BfDI: Neue Sicherheitsbefugnisse „nicht zulässig“

Nach weniger als zwei Jahren wird Louisa Specht-Riemenschneider aus gesundheitlichen Gründen aus dem Amt der Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) scheiden, sobald die Nachfolge geregelt ist. Noch ist sie aber Chefin von 386 Mitarbeiterinnen und Mitarbeitern, die im vergangenen Jahr allerhand zu tun hatten. Das geht aus dem

Tätigkeitsbericht für 2025

hervor, den Specht-Riemenschneider am Mittwoch in Berlin vorgestellt hat.

Demnach sind im vergangenen Jahr 11.824 Beschwerden und Anfragen bei der BfDI eingegangen – ein Drittel mehr als im Jahr 2024 und damit Rekordniveau: Nur 2018, als die DSGVO wirksam wurde, lag das Beschwerdeniveau höher. Auch die Zahl der nach Artikel 33 DSGVO von Verursachern gemeldeten Datenschutzverstöße war mit 9110 ebenfalls auf weiterhin hohem Niveau.

Die BfDI, die neben den Bundesbehörden auch für Post- und Telekommunikationsdienste zuständig ist, hat eigenen Angaben zufolge im vergangenen Jahr 80 Vor-Ort-Kontrollen sowie 40 schriftliche Kontrollverfahren durchgeführt. Die Behörde spricht von insgesamt 129 „aufsichtsrechtlichen Maßnahmen“. Eine davon war das Verfahren gegen Vodafone, das zu Bußgeldern von insgesamt 45 Millionen Euro geführt hat.

Einen weiteren Schwerpunkt hat die Behörde 2025 auf Gesundheitsdaten gelegt. Die elektronische Patientenakte (ePA) habe Potenzial für bessere Versorgung und Forschung, wenn Datenschutz, Datensicherheit und Nutzerfreundlichkeit zusammengedacht werden. Viele Bürgerinnen und Bürger stünden der ePA offen gegenüber, zugleich bestehe noch Informationsbedarf. Auch mit dem ReguLab setzt die BfDI im Gesundheitsbereich an.

Kein Applaus für Vorratsdatenspeicherung

Zum Abschied übte Specht-Riemenschneider massive Kritik an der Politik und zeigte sich besorgt angesichts der Vielzahl neuer Gesetze zur inneren Sicherheit. „Die Breite und Intensität der Sicherheitsbefugnisse nimmt zu“, mahnte Specht-Riemenschneider. Zugleich werde die Kontrolle der Sicherheitsbehörden eingeschränkt. „Ich kann nicht verstehen, dass das so kommt, wie es kommt“, sagte die Datenschützerin. „Das ist eine Intensität, die ich in diesem Land nicht für zulässig halte.“

Specht-Riemenschneider warnte vor der geplanten dritten Auflage der Vorratsdatenspeicherung. Sie könne bei dem Gesetzentwurf nicht „frenetisch klatschen“, sagte die Datenschutzbeauftragte. Der Korridor sei weiterhin sehr schmal, auch die Hadopi-Entscheidung des Europäischen Gerichtshofes habe IP-Verbindungsdatenspeicherung „nur für den absolut erforderlichen Zeitraum“ für zulässig erachtet. Die Evidenz für die Notwendigkeit dreimonatiger Speicherung sei die Bundesregierung bislang jedoch schuldig geblieben.

Dass nachrichtendienstliche Befugnisse ausgeweitet und zugleich der datenschutzrechtlichen Kontrolle entzogen werden sollen, bezeichnete die scheidende Datenschutzbeauftragte als „großen Quatsch“. Grundrechtseingriffe seien nur mit funktionierender und wirksamer Kontrolle überhaupt zu rechtfertigen. Specht-Riemenschneider hält es für ausgeschlossen, dass die Aufsicht etwa die Arbeit eines Bundesnachrichtendienstes beeinträchtigt. „Der BND beschäftigt derzeit 6500 Mitarbeiter“, rechnete sie vor. „Wir kommen mit drei.“

EU-Gesetze: „Falsche Richtung“

Auf EU-Ebene sieht Specht-Riemenschneider Handlungsbedarf hinsichtlich des massenhaften Handels mit Daten und der veralteten E-Privacy-Richtlinie. Aber davon sehe sie derzeit nichts: „Mir geht das alles in die falsche Richtung“, kritisierte die Datenschutzbeauftragte. „Alles, was im Datenschutzrecht wichtig wäre, steht nicht im Omnibusgesetz.“

Über den Tisch gezogen werde der Datenschutz dennoch nicht. Ministerien hörten sehr genau zu, wenn es um die deutsche Version der digitalen Brieftasche EUDI-Wallet gehe. Bei der Verwaltungsdigitalisierung von vornherein den Datenschutz mitzudenken und sie datenschutzkonform zu gestalten, sei keine Unmöglichkeit. Eine Voraussetzung dafür sei Transparenz: Bürgerinnen und Bürger müssten wissen, wo ihre Daten genutzt werden, um Rechte geltend machen zu können.

Eine Wallet, die eine Altersverifikation ohne Übermittlung des Geburtsdatums erlaube, sei ihr deutlich lieber als eine „Gesichtsverifikation“ auf biometrischer Basis, betonte Specht-Riemenschneider. Gleichzeitig müsse aber sichergestellt werden, dass hier kein Datenabfluss, auch nicht durch Aggregation unterschiedlicher, über die EUDI-Wallet verifizierter Daten geschehen dürfe.

Noch keine Wallet

Specht-Riemenschneider betonte, sie sehe derzeit darin noch keine vollständige Abbildung des Personalausweises auf Wallet-Basis. Es gebe Daten, die vielleicht besser in den Registern gespeichert bleiben sollten, in denen sie heute seien – sieben Monate vor dem angekündigten Start der deutschen Wallet-Implementation liege ihr aber noch kein Konzept für die technische Ausgestaltung vor, was diese dann tatsächlich beinhalten solle.

Die Bilanz, die die vor zwei Jahren als Nachfolgerin Ulrich Kelbers angetretene Specht-Riemenschneider zieht, klingt weniger optimistisch als früher. An manchen Stellen fehle ihr schlicht die Möglichkeit, Recht durchzusetzen. Wenn etwa Rechtshilfeabkommen in die USA fehlten oder nicht angewandt würden, dann bliebe ihr derzeit nur zu sagen: „Das finden wir nicht gut.“

Konsequent ist daher, dass die BfDI eine andere Entwicklung begrüßt: dass immer häufiger auch der Weg der Schadenersatzklage eingeschlagen werde. Wie in vielen anderen Rechtsbereichen sei das Nebeneinander privatrechtlicher und behördlicher Durchsetzung richtig, meint Specht-Riemenschneider. Ob Schadenersatzansprüche auch gegenüber Bundesbehörden eine sinnvolle Möglichkeit wären, den Datenschutz zu stärken? Angesichts der ineffektiven Kontrollbefugnis, die ihr derzeit gegenüber den Nachrichtendiensten zur Verfügung stehe, müsse sie über solche Ideen noch einmal nachdenken, sagt die scheidende Bundesdatenschutzbeauftragte.

(vbr)