Nach weniger als zwei Jahren wird Louisa Specht-Riemenschneider aus gesundheitlichen Gründen aus dem Amt der Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) scheiden, sobald die Nachfolge geregelt ist. Noch ist sie aber Chefin von 386 Mitarbeiterinnen und Mitarbeitern, die im vergangenen Jahr allerhand zu tun hatten. Das geht aus dem

Tätigkeitsbericht für 2025

hervor, den Specht-Riemenschneider am Mittwoch in Berlin vorgestellt hat.

Demnach sind im vergangenen Jahr 11.824 Beschwerden und Anfragen bei der BfDI eingegangen – ein Drittel mehr als im Jahr 2024 und damit Rekordniveau: Nur 2018, als die DSGVO wirksam wurde, lag das Beschwerdeniveau höher. Auch die Zahl der nach Artikel 33 DSGVO von Verursachern gemeldeten Datenschutzverstöße war mit 9110 ebenfalls auf weiterhin hohem Niveau.

Die BfDI, die neben den Bundesbehörden auch für Post- und Telekommunikationsdienste zuständig ist, hat eigenen Angaben zufolge im vergangenen Jahr 80 Vor-Ort-Kontrollen sowie 40 schriftliche Kontrollverfahren durchgeführt. Die Behörde spricht von insgesamt 129 „aufsichtsrechtlichen Maßnahmen“. Eine davon war das Verfahren gegen Vodafone, das zu Bußgeldern von insgesamt 45 Millionen Euro geführt hat.

Einen weiteren Schwerpunkt hat die Behörde 2025 auf Gesundheitsdaten gelegt. Die elektronische Patientenakte (ePA) habe Potenzial für bessere Versorgung und Forschung, wenn Datenschutz, Datensicherheit und Nutzerfreundlichkeit zusammengedacht werden. Viele Bürgerinnen und Bürger stünden der ePA offen gegenüber, zugleich bestehe noch Informationsbedarf. Auch mit dem ReguLab setzt die BfDI im Gesundheitsbereich an.

Kein Applaus für Vorratsdatenspeicherung

Zum Abschied übte Specht-Riemenschneider massive Kritik an der Politik und zeigte sich besorgt angesichts der Vielzahl neuer Gesetze zur inneren Sicherheit. „Die Breite und Intensität der Sicherheitsbefugnisse nimmt zu“, mahnte Specht-Riemenschneider. Zugleich werde die Kontrolle der Sicherheitsbehörden eingeschränkt. „Ich kann nicht verstehen, dass das so kommt, wie es kommt“, sagte die Datenschützerin. „Das ist eine Intensität, die ich in diesem Land nicht für zulässig halte.“

Specht-Riemenschneider warnte vor der geplanten dritten Auflage der Vorratsdatenspeicherung. Sie könne bei dem Gesetzentwurf nicht „frenetisch klatschen“, sagte die Datenschutzbeauftragte. Der Korridor sei weiterhin sehr schmal, auch die Hadopi-Entscheidung des Europäischen Gerichtshofes habe IP-Verbindungsdatenspeicherung „nur für den absolut erforderlichen Zeitraum“ für zulässig erachtet. Die Evidenz für die Notwendigkeit dreimonatiger Speicherung sei die Bundesregierung bislang jedoch schuldig geblieben.

Dass nachrichtendienstliche Befugnisse ausgeweitet und zugleich der datenschutzrechtlichen Kontrolle entzogen werden sollen, bezeichnete die scheidende Datenschutzbeauftragte als „großen Quatsch“. Grundrechtseingriffe seien nur mit funktionierender und wirksamer Kontrolle überhaupt zu rechtfertigen. Specht-Riemenschneider hält es für ausgeschlossen, dass die Aufsicht etwa die Arbeit eines Bundesnachrichtendienstes beeinträchtigt. „Der BND beschäftigt derzeit 6500 Mitarbeiter“, rechnete sie vor. „Wir kommen mit drei.“

EU-Gesetze: „Falsche Richtung“

Auf EU-Ebene sieht Specht-Riemenschneider Handlungsbedarf hinsichtlich des massenhaften Handels mit Daten und der veralteten E-Privacy-Richtlinie. Aber davon sehe sie derzeit nichts: „Mir geht das alles in die falsche Richtung“, kritisierte die Datenschutzbeauftragte. „Alles, was im Datenschutzrecht wichtig wäre, steht nicht im Omnibusgesetz.“

Über den Tisch gezogen werde der Datenschutz dennoch nicht. Ministerien hörten sehr genau zu, wenn es um die deutsche Version der digitalen Brieftasche EUDI-Wallet gehe. Bei der Verwaltungsdigitalisierung von vornherein den Datenschutz mitzudenken und sie datenschutzkonform zu gestalten, sei keine Unmöglichkeit. Eine Voraussetzung dafür sei Transparenz: Bürgerinnen und Bürger müssten wissen, wo ihre Daten genutzt werden, um Rechte geltend machen zu können.

Eine Wallet, die eine Altersverifikation ohne Übermittlung des Geburtsdatums erlaube, sei ihr deutlich lieber als eine „Gesichtsverifikation“ auf biometrischer Basis, betonte Specht-Riemenschneider. Gleichzeitig müsse aber sichergestellt werden, dass hier kein Datenabfluss, auch nicht durch Aggregation unterschiedlicher, über die EUDI-Wallet verifizierter Daten geschehen dürfe.

Noch keine Wallet

Specht-Riemenschneider betonte, sie sehe derzeit darin noch keine vollständige Abbildung des Personalausweises auf Wallet-Basis. Es gebe Daten, die vielleicht besser in den Registern gespeichert bleiben sollten, in denen sie heute seien – sieben Monate vor dem angekündigten Start der deutschen Wallet-Implementation liege ihr aber noch kein Konzept für die technische Ausgestaltung vor, was diese dann tatsächlich beinhalten solle.

Die Bilanz, die die vor zwei Jahren als Nachfolgerin Ulrich Kelbers angetretene Specht-Riemenschneider zieht, klingt weniger optimistisch als früher. An manchen Stellen fehle ihr schlicht die Möglichkeit, Recht durchzusetzen. Wenn etwa Rechtshilfeabkommen in die USA fehlten oder nicht angewandt würden, dann bliebe ihr derzeit nur zu sagen: „Das finden wir nicht gut.“

Konsequent ist daher, dass die BfDI eine andere Entwicklung begrüßt: dass immer häufiger auch der Weg der Schadenersatzklage eingeschlagen werde. Wie in vielen anderen Rechtsbereichen sei das Nebeneinander privatrechtlicher und behördlicher Durchsetzung richtig, meint Specht-Riemenschneider. Ob Schadenersatzansprüche auch gegenüber Bundesbehörden eine sinnvolle Möglichkeit wären, den Datenschutz zu stärken? Angesichts der ineffektiven Kontrollbefugnis, die ihr derzeit gegenüber den Nachrichtendiensten zur Verfügung stehe, müsse sie über solche Ideen noch einmal nachdenken, sagt die scheidende Bundesdatenschutzbeauftragte.

(vbr)

Die Microsoft-Tochter Linkedin verfolgt und speichert, wer welche Nutzerprofile abruft. Das wird für Reklamezwecke ausgewertet. Gegen Gebühr von rund 30 Euro monatlich kann zudem jeder Nutzer die Liste der Besucher seines eigenen Profils einsehen. Soll Linkedin dieselbe Information allerdings im Rahmen einer DSVGO-Auskunft herausrücken, geht das angeblich nicht. Diesen Widerspruch möchte ein österreichischer Linkedin-Nutzer nicht länger hinnehmen.

Er hat bei der Datenschutzbehörde des Landes Beschwerde gegen Linkedin Ireland erhoben. Die für Linkedins Europageschäft zuständige Konzernabteilung solle zur umfassenden Auskunft verpflichtet und zudem bestraft werden. Die Datenschutz-Organisation Noyb (None of your business) unterstützt den Beschwerdeführer.

Er gibt an, von Linkedin Datenauskunft gemäß Artikel 15 DSGVO (Datenschutz-Grundverordnung) beantragt, aber nur unvollständig erhalten zu haben. Gefehlt habe die Liste jener Nutzer, die sein Profil abgerufen haben. Linkedin habe dieses Manko dadurch erklärt, dass es nur die personenbezogenen Daten des Antragstellers selbst beauskunfte, nicht Daten anderer Mitglieder.

Dies ist aus Sicht Noybs jedoch eine Verkürzung des Auskunftsrechts: Artikel 15 Absatz 1 Litera c gewährt das Recht, über „die Empfänger … gegenüber denen die personenbezogenen Daten offengelegt worden sind” unterrichtet zu werden. Und Profilbesucher seien eben Empfänger von Daten über die im Profil vorgestellte Person.

Präzedenzfall Österreichische Post

Tatsächlich hat jeder hat das Recht, zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden: Sind konkrete Empfänger bekannt, sind sie laut einem Erkenntnis des Europäischen Gerichtshofes aus dem Jahr 2023 zu benennen (EuGH C-154/21). Damals wollte die Österreichische Post nicht verraten, an welche Werbetreibende sie Kundendaten verkauft. Doch der EuGH hat erkannt, dass für Datenverarbeitung Verantwortliche sehr wohl verpflichtet sind, Betroffenen auf Anfrage die Identität der Empfänger offenzulegen. Darauf beruft sich Noyb auch gegenüber Linkedin.

Zwar sei ungeklärt, ob Linkedins Protokollierung der Profilbesucher überhaupt rechtlich zulässig sei, meint Noyb. Doch da die Daten vorhanden seien, müsse Linkedin Auskunft erteilen. heise online hat die Tochter des Microsoft-Konzerns zwecks Stellungnahme kontaktiert.

Übrigens kann jeder Linkedin-Nutzer verhindern, dass er in den Listen der Besucher anderer Profile auftaucht. Die entsprechende Option ist in den Einstellungen unter „Sichtbarkeit” zu finden.

(ds)

Sie ist elektrisch und kommt aus Thüringen: Der Elektrorollerhersteller Emco E-Roller lässt das traditionsreiche Kleinkraftrad Schwalbe wieder aufleben. Es soll am historischen Ort produziert werden.

Das Unternehmen aus Lingen im Emsland hat nach eigenen Angaben „eine Absichtserklärung zur Lizenzübernahme“ der Marke Schwalbe unterzeichnet. Zudem sei eine Produktionshalle in Suhl angemietet worden. Die steht im Stadtteil Heinrichs auf dem historischen Gelände des Herstellers Simson, der die Schwalbe ab Mitte der 1960er Jahre baute.

Die Produktion der historischen Schwalbe endete 1986. 30 Jahre später brachte das Münchener Unternehmen Govecs die Schwalbe in einer elektrischen Version wieder zurück. Das Zweirad, dessen Design deutliche Anklänge an das Original hatte, wurde in Polen produziert. Ende vergangenen Jahres musste Govecs jedoch Insolvenz anmelden, und die Fertigung wurde eingestellt.

Die Schwalbe wird neu belebt

Jetzt will Emco sie wieder starten. „Die Schwalbe muss wieder Luft unter die Flügel bekommen – und zwar in Suhl“, sagte Yasmin von Schweinitz, Mitinhaberin von Emco. „Unser Ziel ist es, eine Ikone nicht nur neu zu beleben, sondern sie konsequent in die Zukunft zu führen.“

Emco E-Roller hat in den vergangenen Jahren von mehreren insolventen Herstellern Marken von Elektro-Motorrollern übernommen. Darunter sind unter anderem Unu des gleichnamigen Berliner Unternehmens oder Kumpan, bekannt für Elektro-Motorroller im Retro-Look.

Ob Emco das Design der Elektro-Schwalbe von Govecs übernimmt, ist nicht bekannt. Details zum Produktionsstart und zu den Stückzahlen wollte Emco noch nicht nennen. Die Produktion in Suhl soll noch in diesem Jahr anlaufen.

(wpl)