Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar.

In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz.

Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer.

Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache.

Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat.

Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

Schwarz-Rote Koalition: Datenschutz im Umbruch

Im c't-Datenschutz-Podcast diskutieren Holger Bleich, Joerg Heidrich und Ex-Landesdatenschützer Stefan Brink über die geplante Neuausrichtung des Datenschutzes unter der schwarz-roten Koalition. Droht ein Abschied vom föderalen Modell?

Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger?

Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse.

Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt.

Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will.

Beim Thema Informationsfreiheit herrscht Ernüchterung: Ein modernes Transparenzgesetz, wie es der Ampelkoalition vorschwebte, ist nun nicht mehr in Sicht, stattdessen ist laut Brink "vier Jahre Winter" angesagt. Am Ende steht das Bild einer komplexen Gemengelage: Datenschutz bleibt ein zentrales Grundrecht, steht aber unter politischem und wirtschaftlichem Druck.

Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende.

Im c't-Datenschutz-Podcast erläutern Holger und Joerg Heidrich zusammen mit Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe.

Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil.

Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Holger, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben.

Auch sogenannte Standardvertragsklauseln als Alternative stehen auf tönernen Füßen, da der EuGH hohe Anforderungen an "Transfer Impact Assessments" stellt. US-Gesetze wie der CLOUD Act ermöglichen weiterhin den Zugriff auf Daten bei US-Anbietern. Für EU-Unternehmen ist es kaum leistbar, sich komplett von US-Diensten zu lösen, da eine digitale Souveränität Europas fehlt.

Die Aufsichtsbehörden in Deutschland und Europa sitzen nach Brinks Schilderung zwischen den Stühlen: Sie wissen um die rechtlichen Mängel, schrecken aber vor harten Maßnahmen zurück – auch aus Furcht vor wirtschaftlichem Chaos. Stattdessen setzen sie auf Dialog und hoffen, dass Unternehmen zumindest Alternativen prüfen.

Die Diskutanten sehen die Gefahr, dass der Datentransfer zum Spielball im Handelskonflikt zwischen den USA und der EU werden könnte. Am Ende bleibt die Erkenntnis: Der transatlantische Datenverkehr ist in schwere See geraten, und Unternehmen täten gut daran, sich nach Alternativen umzusehen.

Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD).

Schwartmann weist zunächst die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze.

Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten.

Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten.

Die Diskussion offenbart, dass die KI-Verordnung nur wenige datenschutzrechtliche Ausnahmen enthält, beispielsweise bei der Nutzung sensibler Daten zur Korrektur von Verzerrungen in KI-Modellen oder in sogenannten Reallaboren, geschützten Testumgebungen für neue KI-Anwendungen. Heidrich kritisiert, dass der Gesetzgeber hier Chancen verpasst habe, grundlegende datenschutzrechtliche Konflikte bei der Nutzung moderner KI-Systeme zu regeln.

In der aktuellen Episode steht der European Health Data Space (EHDS) im Fokus. Die EU-Verordnung zum einem gemeinsamen Gesundheitsdatenraum ist am 26. März in Kraft getreten und wird ab März 2027 schrittweise wirksam. Ziel des ambitionierten Projekts ist es, elektronische Gesundheitsdaten in ganz Europa einfacher zugänglich zu machen – sowohl für Patienten als auch für Ärzte, Forschung und Wirtschaft. Doch was bedeutet das konkret für den Schutz von sensiblen Patientendaten?

Holger und Joerg haben dazu Rechtsanwältin Dr. Christina Schreiber eingeladen. Sie ist Spezialistin im Datenschutzrecht mit Schwerpunkt im Gesundheitswesen und erläutert die Hintergründe und Auswirkungen des EHDS. Laut Kristina bekommen Patienten künftig leichter Zugriff auf ihre medizinischen Daten und können diese digital auch für Ärzte im EU-Ausland zur Verfügung stellen. Einen zentralen Speicherort gibt es dabei nicht; die Daten bleiben dezentral in Arztpraxen und Kliniken gespeichert und werden nur bei Bedarf digital zusammengeführt.

Ein wesentlicher Teil der Verordnung regelt die sogenannte Sekundärnutzung. So sollen Forscher, Behörden und auch Unternehmen Zugriff auf anonymisierte oder pseudonymisierte Gesundheitsdaten erhalten, um die medizinische Versorgung zu verbessern, neue Therapien zu entwickeln und Gesundheitssysteme effizienter zu gestalten. Eine unabhängige Behörde in jedem Mitgliedsstaat soll künftig prüfen, wer wann welche Daten zu welchen Zwecken verwenden darf – stets unter Berücksichtigung der DSGVO.

Angesichts der ambitionierten Ziele sieht Kristina große Herausforderungen. Vor allem die technische Umsetzung sei komplex, und es brauche ausreichend Ressourcen, um die geplanten hohen Datenschutz- und Sicherheitsstandards in der Praxis zu erreichen. Hinzu kommen unterschiedliche nationale Regelungen: In Skandinavien etwa ist die Datenfreigabe für Gesundheitszwecke nahezu selbstverständlich, während Deutschland stärker auf individuelle Zustimmung setzt.

Die Diskutanten sind sich einig: Die Idee hinter dem EHDS ist gut und wichtig, aber die Umsetzung bleibt eine Mammutaufgabe. Deutschland hinke bei der Digitalisierung im Gesundheitswesen ohnehin bereits weit hinterher. Die Hoffnung ist, dass der Druck aus Brüssel nun auch hierzulande endlich Bewegung in die Sache bringt.

Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittlere Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich.

In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann über die Vorschläge. Schwartmann ist Professor an der Technischen Hochschule Köln, Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) und außerdem Host des Podcasts "DataAgenda".

Alle drei Diskutanten begrüßen eine mögliche Entlastung kleiner Unternehmen und Vereine ausdrücklich. Gleichzeitig warnen sie jedoch davor, die Datenschutzpflichten allein an der Größe festzumachen. Gerade bei sensiblen Daten müssten auch kleinere Organisationen weiterhin hohe Standards erfüllen, so Schwartmann. Die genaue Ausgestaltung könnte komplex werden. Es gelte, Erleichterungen zu schaffen, ohne das Schutzniveau insgesamt abzusenken.

Ein weiteres Problem sieht Heidrich in der mangelnden Einheitlichkeit der europäischen Datenschutzaufsicht. Die nationalen Behörden wenden die DSGVO sehr unterschiedlich an, was zu Rechtsunsicherheit führt. Eine stärkere Harmonisierung erscheint nötig, aber die Idee, Aufsichtskompetenz etwa an die EU-Kommission zu übertragen, stößt in der Episode auf Skepsis. Die Experten bevorzugen weiterhin unabhängige Datenschutzbehörden, mahnen aber eine bessere Abstimmung an.

Auch in Deutschland wird über Änderungen diskutiert. So geht aus dem Sondierungspapier zur möglichen koalitionsbildung von CDU/CSU und SPD hervor, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten bei kleinen Unternehmen entfallen beziehungsweise der Schwellwert dafür deutlich angehoben werden könnte. Schwartmann kritisiert das deutlich: Ein Datenschutzbeauftragter entlaste Unternehmen eher, statt sie zu belasten. Ein Wegfall würde bestehende Datenschutzpflichten nicht beseitigen, sondern den Unternehmen sogar direkte Risiken aufbürden.

Zum Abschluss wagen Schwartmann und die Podcast-Hosts eine Prognose: Ja, die DSGVO werde wohl aufgemacht. Doch dass daraus eine umfangreiche Reform entsteht, halten sie für unwahrscheinlich. Zu groß sei die Gefahr, dass sich die unterschiedlichen Interessengruppen in komplizierten Verhandlungen verfangen – und am Ende nur kleine Anpassungen übrig bleiben.

Urteil OLG Schleswig vom 18.12.2024 (Az. 12 U 9/24): "Sicherheitsvorkehrungen beim Versand von Emails mit angehängten Rechnungen im Geschäftsverkehr"

Beschluss OVG NRW vom 20.02.2025 (Az. 16 B 288/23): "Personenbezogene Daten Elektronische Datenübermittlung Ende-zu-Ende-Verschlüsselung"

Urteil LG Rostock vom 20.11.2024 (Az. 2 O 450/24)

Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen.

Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit dem Scheitern der Ampel Anfang November wanderte dieser Entwurf direkt in die Tonne.

Im c't-Datenschutz-Podcast diskutieren Joerg und Holger mit Rechtsanwalt Dr. Marc Störing die aktuelle Lage. Marc berät für die Kanzlei Osborne Clarke Unternehmen und Konzerne datenschutzrechtlich. In der Episode erläutert er fachkundig die Situation des europäischen Beschäftigtendatenschutzes und ordnet zwei wichtige Urteile des Europäischen Gerichtshofs (EuGH) aus den Jahren 2023 und 2024 dazu ein.

Die Diskutanten sind sich einig, dass wenig Hoffnung auf eine baldige gesetzliche Regelung besteht. Ein Blick auf die Programme der Parteien zur Bundestagswahl zeigt, dass sich nur die SPD klar für ein Beschäftigtendatenschutzgesetz ausspricht. Angesichts der aktuellen Lage sei unwahrscheinlich, dass das Thema in einem möglichen Koalitionsvertrag eine Rolle spielen wird.

Für Unternehmen und Beschäftigte bedeutet dies weiter ein hohes Maß an Rechtsunsicherheit. Viele praktische Fragen, etwa zur privaten Nutzung von Firmen-Mailkonten oder der Überwachung am Arbeitsplatz, bleiben in einer Grauzone. Marc, Joerg und Holger hoffen, dass die Politik das Thema Beschäftigtendatenschutz nicht auf die lange Bank schiebt. Nur ein detailliertes Gesetz könne für mehr Rechtssicherheit sorgen.

Vorab: Melden Sie datenschutzrelevante Informationen gerne anonym an unser Investigativteam:

heise-Hinweisgeber-System

Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist.

heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat. Wegen unzureichend gesicherter Webservices standen massenhaft Mandanteninformationen nahezu offen für jeden im Internet zum Abruf bereit.

Zusammen mit heise-Justiziar Joerg Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen vorbeugen können und wie sie sich verhalten sollten, wenn es dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell in fremde Hände geraten sind?

Nach Christophers Meinung ist es erschreckend, dass Patientendaten aufgrund grober Fehler wie fehlender Verschlüsselung und falscher Serverkonfiguration frei zugänglich waren. "Es geht hier um grundlegende Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich selbstverständlich sein sollten", kritisiert er. Doch stattdessen würden immer wieder die gleichen Anfängerfehler gemacht.

Auch die Kommunikation der betroffenen Unternehmen lasse oft zu wünschen übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse" seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden und Kunden häufig gar nicht oder nur zögerlich informiert. Hier fordern die Experten unisono deutlich mehr Transparenz.

Für Ronald liegt die Wurzel des Problems im mangelnden Risikobewusstsein: "Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig seien regelmäßige Sicherheitsaudits und die Einbindung externer Experten, um Lücken frühzeitig zu erkennen und zu schließen.

Unternehmen sollten zudem offener mit Sicherheitsforschern zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten sich sicherlich mehr Informationen darüber, ob und wie ihre Daten in falsche Hände geraten sind.

Insgesamt zeigt die Diskussion: Beim Schutz sensibler Daten gibt es noch viel Luft nach oben. Unternehmen müssen ihrer Verantwortung besser gerecht werden - im Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern, sondern können auch immense Imageschäden nach sich ziehen.