In der aktuellen Episode 152 der Auslegungssache widmen sich c’t-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich einer derzeit teils verbittert geführten Debatte: Ist Datenschutz ein Standortvorteil für Unternehmen oder doch nur ein lästiger Kostentreiber? Als Gast begrüßen sie dazu Frederick Richter, Vorstand der Stiftung Datenschutz. Anlass ist ein aktuelles Whitepaper der Stiftung, das selbstbewusst den Titel „Wirtschaftsvorteil Datenschutz“ trägt.

Richter vertritt im Podcast die Position der Stiftung, dass Unternehmen, die Datenschutz ernst nehmen und zielgerichtet umsetzen, langfristig resilienter und erfolgreicher sind. Er argumentiert, dass guter Datenschutz fast automatisch auch eine bessere IT-Sicherheit mit sich bringt und das wichtigste Kapital im digitalen Raum schafft: Vertrauen. Gerade in Zeiten, in denen die DSGVO oft als Innovationsbremse verschrien werde, wolle die Stiftung Datenschutz einen Gegenpol setzen und Datenschutz als Qualitätsmerkmal „Made in Germany“ etablieren.

Bequemlichkeit vs. Datensparsamkeit

Die Diskussion im Podcast zeigt jedoch schnell, dass Theorie und Praxis auch in diesem Bereich bisweilen auseinanderklaffen. Während Einigkeit darüber besteht, dass Datenschutz Reputationsschäden verhindern kann, zweifeln die Hosts, dass er bereits heute ein echter Standortvorteil ist. Bleich verweist auf die Dominanz US-amerikanischer Konzerne, die oft nach dem Prinzip „Move fast and break things“ agieren und sich ihre marktbeherrschenden Positionen teils durch die Missachtung europäischer Standards gesichert haben. Auch die mangelnde Nachfrage der Kunden nach datenschutzfreundlichen Produkten wird thematisiert: Oft schlägt Bequemlichkeit die Datensparsamkeit.

Einig ist sich die Runde, dass im Datenschutzrecht die Bürokratie für kleine Unternehmen dringend abgebaut werden muss. Es sei unverhältnismäßig, wenn der Handwerksbetrieb um die Ecke dieselben Dokumentationspflichten erfüllen muss wie ein Großkonzern, obwohl das Risiko völlig unterschiedlich ist, betont Richter. Hier setzt die Runde ihre Hoffnungen in die anstehenden Reformen der DSGVO auf EU-Ebene.

Besonders kritisch sehen alle drei allerdings die Idee der Bundesregierung, betriebliche Datenschutzbeauftragte abzuschaffen. Das löse kein einziges Problem. Mehr Sympathie hat Richter für eine Zentralisierung der Datenschutzaufsicht auf Bundesebene, zumindest für länderübergreifende Sachverhalte. Die aktuelle Situation mit bis zu 17 unterschiedlichen Behördenmeinungen zum selben europäischen Recht sei nicht tragbar.

Bußgeld der Woche: 1,2 Mio. Euro der spanischen Datenschutzbehörde AEPD gegen einen Krankenhauskonzern (Infos von DSGVO-Portal)

Episode 152:

Hier geht es zu allen bisherigen Folgen:

(hob)

Am Patchday im Februar hat Google nur ein Sicherheitsupdate für seine Pixel-Serie veröffentlicht. Nutzen Angreifer die Lücke erfolgreich aus, können sie sich höhere Rechte verschaffen.

Patchday ohne Patches? Nicht ganz …

Offensichtlich stuft Google diesen Monat keine Android-Schwachstelle als besonders bedrohlich ein. Dementsprechend finden sich in der Februar-Sicherheitsmitteilung keine Hinweise auf Sicherheitspatches. Seit Juli 2025 schließt Google monatlich ihrer Einschätzung nach nur noch sehr gefährliche Lücken. Die verbleibenden Updates werden seitdem quartalsweise verteilt. Kommenden Monat wird es dann wahrscheinlich wieder mehr Updates geben.

Eine Schwachstelle (CVE-2026-0106 „hoch“) findet sich dann aber doch in einer Warnmeldung für Pixel-Geräte. Die Lücke betrifft den VPU-Treiber und nach erfolgreichen Angriffen verfügen Angreifer über höhere Nutzerrechte. Weitere Informationen zur Lücke sind derzeit nicht verfügbar. Wer ein noch im Support befindliches Pixel-Smartphone besitzt, sollte sicherstellen, dass das Patch-Level 2026-02-05 installiert ist.

Patchdays anderer Hersteller

Neben Google versorgen auch andere Hersteller wie Oppo und Samsung regelmäßig ausgewählte Geräte mit Sicherheitspatches. Diesen Monat hat etwa Samsung mehrere mit dem Bedrohungsgrad „hoch“ eingestufte Schwachstellen geschlossen. So können etwa Angreifer mit physischem Zugriff auf ein Smartphone unter Android 14, 15 und 16 eigene Befehle ausführen (CVE-2026-20980).

Besitzer von Androidgeräten des Herstellers sollten in den Einstellungen prüfen, ob das Sicherheitspatchpaket zum Download steht und es installieren. Bislang gibt es keine Berichte, dass Angreifer bereits an Schwachstellen ansetzen.

(des)

Die EU-Grenzagentur Frontex hat im November ihre Luftüberwachung auf die Gewässer vor Westafrika erweitert. Regelmäßige Einsätze erfolgen seitdem immer wieder von der Insel Santiago, die zu den Kapverden gehört. Für die Stationierung eines Flugzeugs war Frontex-Direktor Hans Leijtens selbst in die kapverdische Hauptstadt Praia gereist. Dort traf sich der Niederländer mit dem Staatsminister, dem Verteidigungs- sowie dem Innenminister und weiteren hochrangigen Regierungsmitgliedern.

Die Luftüberwachung von Praia aus ist der erste derartige Einsatz von Frontex in einem afrikanischen Land. An den Gesprächen zur technischen Umsetzung waren auch Behörden aus Portugal beteiligt – die beiden Länder arbeiten nach der Unabhängigkeit des Inselstaats Kap Verde auch zu maritimer Sicherheit eng zusammen. Nach Angaben eines Frontex-Sprechers stimmt sich die EU-Grenzagentur auch mit spanischen Behörden zu den Flügen ab.

Die zu Spanien gehörenden Kanarischen Inseln sind oft Ziel der Überfahrten von Booten mit Migrant*innen, die von Gambia, Guinea-Bissau, Senegal oder Mauretanien in Richtung Europa ablegen. Auf sie hat es Frontex abgesehen.

Hochgerüstete Überwachungsflugzeuge

Mit den ausgeweiteten Flügen ihrer „Multipurpose Aerial Surveillance“ will Frontex die EU-Migrationsabwehr verstärken. Bei privaten Firmen gecharterte Luftfahrzeuge halten dazu Ausschau in den Such- und Rettungsregionen im Atlantik vor Senegal und Mauretanien. Bei Sichtung eines Bootes informiert die Besatzung die zuständigen Behörden der westafrikanischen Länder. Deren Küstenwachen sollen die Menschen abfangen und zurückholen. Ein solches Pullback-System praktiziert Frontex bereits seit 2017 mit der Küstenwache in Libyen.

Allerdings startet die neue Frontex-Mission ohne ein neues Arbeitsabkommen mit den Kapverden. Wie aus einer aktuellen Antwort auf eine parlamentarische Anfrage hervorgeht, bezeichnet Frontex den aktuellen Betrieb deshalb als „Phase 1“. In diesem Zeitraum findet demnach kein erweiterter Austausch von Daten aus der Überwachung mit kapverdischen Behörden statt – dies soll erst nach Unterzeichnung einer entsprechenden Vereinbarung in „Phase 2“ erfolgen.

Auch ohne Abkommen zum Datentausch können in der „Phase 1“ Informationen zu gesichteten Booten an die Küstenwache der Kapverden übermittelt werden – jedenfalls in einem Seenotfall. Dies könne über das internationale Seerecht erfolgen, das im Rahmen von Such- und Rettungseinsätzen die Benachrichtigung von maritimen Leitstellen benachbarter Staaten vorschreibt, erklärt Frontex.

Kapverden benennen „Eurosur-Koordinierungszentrum“

Nach Unterzeichnung eines Arbeitsabkommens soll dann „Phase 2“ beginnen. Dann würde der Informationsaustausch zu Booten auf dem Weg zu den Kanaren über ein Lagezentrum der Marine erfolgen, das Kap Verde dafür benannt hat. Frontex bezeichnet dieses COSMAR, das Zentrum für maritime Sicherheitsoperationen, als „Eurosur-Koordinierungszentrum“. Eurosur ist das Überwachungsnetzwerk, an das seit 2014 alle Schengen-Staaten mit dem Frontex-Hauptquartier in Warschau vernetzt sind. Dorthin werden auch die von Flugzeugen aufgenommenen Videos in Echtzeit gestreamt.

Die Antwort auf die parlamentarische Anfrage gibt auch Auskunft zur Sensortechnik an dem bei der britischen Firma DEA mit einem Rahmenvertrag gecharterten Flugzeug. Dazu gehören eine giro-stabilisierte elektro-optische und Infrarot-Kamera mit Wärmebildfunktion und Tageslicht-Zoomkamera, außerdem ein AIS-Transponder zur Schiffsidentifikation und ein Seeüberwachungsradar.

Derartige Ausrüstung gilt als Dual-Use-Technik, die auch militärisch verwendet werden kann. Schiffe der zivilen Seenotrettung dürfen sie deshalb nicht erwerben oder einsetzen, ansonsten können sie auch wegen Spionage verfolgt werden.

„Operative Verbindungsbeamte“ in Warschau

Mit der Anbindung an Eurosur erhalten die „eingebetteten kapverdischen Behörden“ laut Frontex die gleichen Informationen wie Portugal und Spanien. Dazu stationiert die Regierung in „Phase 2“ außerdem „operative Verbindungsbeamte“ in Warschau. Umgekehrt will Frontex aber kein eigenes Personal auf den Kapverden stationieren.

Die Frontex-Mission von den Kapverden aus soll eine Lücke schließen, die gescheiterte Verhandlungen mit Senegal und Mauretanien hinterließen: Die EU-Grenzagentur wollte ursprünglich Statusabkommen mit diesen Ländern schließen, um auch dort operieren zu dürfen. Trotz vorheriger positiver Signale verweigerten die Regierungen jedoch entsprechende Gespräche.

Die Flüge von Praia erfolgen deshalb außerhalb der Zwölfmeilenzone von Senegal und Mauretanien und damit im internationalen Seegebiet. So zeigt es auch ein ADSB-Tracker für das Flugzeug.

Grundrechtsbeauftragter äußert sich kritisch

Auch der Frontex-Grundrechtsbeauftragte Jonas Grimheden hatte sich bereits mit den Flügen von Praia aus beschäftigt – und äußerte sich schon im Planungsstadium kritisch. Denn die Flugzeuge sollen Informationen über entdeckte Migrant*innen an Such- und Rettungsbehörden der betreffenden Staaten weitergeben. In Mauretanien und Senegal gibt es aber Berichte über Defizite beim Schutz der Menschenrechte. Deshalb hätten vor der Inbetriebnahme des Flugdienstes wirksame Schutzmaßnahmen eingeführt werden sollen, meint Grimheden.

Das Büro des Grundrechtsbeauftragten forderte daher einen Aktionsplan, der die Probleme adressiert. Besonders das Verbot des Non-Refoulement – also das Verbot, Menschen in Länder zurückzuschicken, wo ihnen Verfolgung droht – müsse darin berücksichtigt werden, so Grimheden.