01

Kernpunkte:

  • Zehn Jahre Datenschutz-Grundverordnung
  • Zahlen und Fakten
  • Neue Zuständigkeiten des ULD
  • Beratung für die öffentliche Verwaltung

 

1    Datenschutz und Informationsfreiheit

Alles ist im Fluss – diese Erkenntnis ist nicht neu. Aber was wir seit einigen Jahren immer stärker sehen, ist keine allmähliche Veränderung mehr, sondern eine abrupte und disruptive Abkehr von der bekannten und erprobten Welt, in der wir es uns zuvor eingerichtet haben. Da sind nicht nur die Vorboten der gigantischen Naturkatastrophen, die der Klimawandel mit sich bringt. Oder die Angriffswellen auf die Computer und die kritische Infrastruktur, die das Rückgrat der Digitalisierung darstellen. Geopolitische Spannungen, Zeitenwende, eine Weltordnung, die aus den Fugen gerät. Und der Datenschutz mittendrin.

Denn Daten sind Macht. Nicht von ungefähr setzt die US-Behörde ICE (Immigration and Customs Enforcement) Smart Glasses und Bodycams mit biometrischer Gesichtserkennungssoftware ein, um Gesichter zu scannen und mit Datenbanken abzugleichen. Das US-amerikanische Department of Government Efficiency (DOGE) hat nicht nur auf Daten zum Regierungshandeln zugegriffen, wie es sich aus seiner Aufgabe einer Effizienzprüfung erklären ließe, sondern sich auch Zugang zu sensiblen Daten von Millionen von Bürgerinnen und Bürgern verschafft und diese kopiert. Gerichte haben im Nachhinein versucht, dem Einhalt zu gebieten, der Supreme Court hat derartige Zugriffe wiederum erlaubt. Zweckbindung? Fehlanzeige.

In der globalisierten Welt können politische Entwicklungen in anderen Ländern auf einen selbst durchschlagen. Beispielsweise wenn dort ansässige Anbieter von Produkten oder Anwendungen die eigenen personenbezogenen Daten speichern und dortige Behörden darauf zugreifen. Oder wenn eine Firma, eine Nichtregierungsorganisation oder eine Privatperson auf einer schwarzen Liste landet und befürchten muss, auf einmal von Bank- oder E-Mail-Konten ausgeschlossen zu werden.

Man kann nicht sagen, dass es angesichts dieser unguten Abhängigkeiten an Warnungen gefehlt hätte. Wirklich verstanden wurden diese Warnungen leider nicht, wie man an der gegenwärtigen Situation leicht ablesen kann. „Ausspähen unter Freunden, das geht gar nicht“, sagte die damalige Bundeskanzlerin Angela Merkel im Oktober 2013, als kurz zuvor die Snowden-Dokumente bekannt geworden waren. Später wurde als noch unerreichtes Ziel im Koalitionsvertrag festgelegt, Deutschland solle „Verschlüsselungsstandort Nummer eins“ werden. Verschlüsselung muss dringend ausgebaut werden, das stimmt – aber Verschlüsseln allein hilft auch nicht über die Abhängigkeiten hinweg, die sich nicht nur auf das digitale Leben der Menschen negativ auswirken können.

Die Lösung: digitale Souveränität. Die schleswig-holsteinische Regierung ist weit voran auf dem Weg, sich aus den Abhängigkeiten von Anbietern herauszulösen, die nicht verlässlich die europäischen Werte verfolgen. Die Open-Source-Strategie wird seit Jahren vorangetrieben. Schleswig-Holstein zeigt Schritt für Schritt, dass digitale Souveränität möglich ist. Dabei geht es auch um Datenschutz. Und um den Schutz der eigenen Infrastruktur. Das Gute: Wenn sich erst mal einige Pioniere auf den Weg gemacht haben, um digital souverän zu werden, ist es für nachfolgende Akteure einfacher. Sie können die Wege der Pioniere als Blaupausen nutzen.

Das Titelbild dieses Berichts zeigt symbolisch, wie eine Brücke auf- und umgebaut wird: mit den blauen Bausteinen der Europäischen Union, die allmählich die anderen Komponenten ersetzen. Weniger Abhängigkeiten, mehr Verlässlichkeit und Transparenz, mehr Garantien für europäische Werte – und dazu gehört auch der Datenschutz.

In diesem Bericht habe ich einiges zu den großen Themen unserer (Datenschutz-)Zeit und viele kleine Beispiele aus unserer täglichen Arbeit zusammengestellt. Eines ist klar: Datenschutz im Wandel wird uns auch künftig begleiten – das ist so sicher wie der Wandel selbst. Ich wünsche Ihnen viel Spaß beim Lesen!

Dr. h. c. Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein
Landesbeauftragte für Informationszugang Schleswig-Holstein

 

1.1      Zehn Jahre Datenschutz-Grundverordnung – ein Zwischenfazit

Die meisten Personen, die an die Anfänge der Datenschutz-Grundverordnung denken, werden wahrscheinlich das Jahr 2018 im Kopf haben: Zum 25.05.2018 wurde die DSGVO wirksam, ab dann mussten die Verantwortlichen und Auftragsverarbeiter die darin beschriebenen Pflichten erfüllen. Einige Expertinnen oder Experten werden weiter zurückdenken, z. B. an den 25.01.2012, als die Europäische Kommission ihren Gesetzentwurf vorstellte, der anschließend durch das Parlament und den Rat noch verändert wurde.

In Kraft trat die DSGVO im Mai 2016, also etwa zehn Jahre vor Erscheinen dieses Berichts. Zu diesem Zeitpunkt konnten alle Verantwortlichen und Auftragsverarbeiter den Gesetzestext lesen und die zweijährige Umsetzungsfrist bis zum Wirksamwerden der DSGVO nutzen. Ebenso wie die anderen Aufsichtsbehörden boten wir Beratung an. Da sich die Anforderungen der DSGVO gar nicht so sehr von den vorherigen Regelungen in den Bundes- und Landesdatenschutzgesetzen unterschieden, konzentrierten wir uns damals in unseren Vorträgen und Beratungen darauf, wie Verantwortliche und Auftragsverarbeiter ausgehend von der bisherigen Rechtslage nur wenig ändern oder ergänzen mussten, um zum 25.05.2018 weiterhin die neuen datenschutzrechtlichen Anforderungen zu erfüllen.

Im Nachhinein war dieser Ansatz zu optimistisch gewesen, denn offenbar hatten sich nicht alle Firmen vor 2018 um ihren Datenschutz gekümmert. Wer bereits einen Datenschutzbeauftragten benannt hatte, war besser aufgestellt (Tz. 1.5). Aber erst als die Storys über mögliche Geldbußen oder Abmahnrisiken durch die Medien rauschten – möglicherweise lanciert oder angeheizt von Berufsgruppen, die sich dann unmittelbar als Lösung anboten –, war Datenschutz in aller Munde. Dieses Image, in dem Datenschutz als Schreckgespenst dargestellt wird, hallt immer noch nach.

Der europäische Gesetzgeber hat mit der DSGVO einen Instrumentenkasten zur Verfügung gestellt, der viel Bewährtes und einiges Neues enthielt. Wahrscheinlich hätte sich aber keiner träumen lassen, dass für die Vorbereitung und Einführung des Instruments der Zertifizierung so viele Jahre ins Land gehen würden (Tz. 9.1), wobei die Produkte, die bei der Verarbeitung personenbezogener Daten zum Einsatz kommen, selbst gar nicht nach der DSGVO zertifizierbar sind. Aber auch heute noch ist eine Zertifizierung nach der DSGVO bisher die Ausnahme.

Das Instrument der Verhaltensregeln (Codes of Conducts) wurde von den Branchenverbänden bisher nur in homöopathischem Ausmaß genutzt. Dabei läge es doch nahe, diesen Ansatz mit den branchenspezifischen Anforderungen an die Gestaltung (Datenschutz by Design & by Default) zu kombinieren und damit die Verarbeitungen innerhalb der Branche schon aus Eigeninteresse ein Stück weit standardisieren zu können. Und nicht nur die Verarbeitungen, sondern auch die Informationspflichten und die Prozesse zur Umsetzung der Betroffenenrechte sowie die Dokumentation zur Umsetzung der Rechenschaftspflicht.

Hoffnung lag (und liegt immer noch) auch auf den „standardisierten Bildsymbolen“ nach Art. 12 Abs. 8 DSGVO. Dabei handelt es sich um Piktogramme, die es den betroffenen Personen erleichtern sollen, die vom Verantwortlichen nach Artikel 13 und 14 DSGVO bereitgestellten Informationen zu verstehen und – gegebenenfalls mithilfe von Assistenz-Tools – automatisiert auszuwerten. Der Ball liegt seit zehn Jahren bei der Europäischen Kommission, denn sie hat die Befugnis, delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. Mit der Standardisierung der Bildsymbole und im digitalen Bereich auch der elektronischen Repräsentanz und maschinenlesbaren Darstellung (siehe Art. 12 Abs. 7 DSGVO) wäre auch ein großer Schritt dafür getan, dass die Informationspflichten insgesamt leichter für die Verantwortlichen umsetzbar wären. Es ist unklar, wann die Europäische Kommission eigene Vorschläge vorlegen wird – oder ob sie überhaupt zu diesem Thema aktiv werden möchte. Wenn nein, dann sollte überlegt werden, diese Aufgabe dem Europäischen Datenschutzausschuss zuzuweisen.

Auf der Habenseite zu verbuchen sind die Entscheidungen des Europäischen Gerichtshofs (EuGH): Für alle, die Datenschutzrecht verstehen wollen oder müssen, hat der EuGH über die letzten Jahre einen großen Schatz an Urteilen und Auslegungsvorgaben geschaffen. Es ist nicht so, dass man ohne den EuGH die DSGVO nicht verstehen könnte – tatsächlich hat der EuGH vielfach genau das wiederholt, was bereits im Gesetzestext steht. Für die einheitliche Auslegung in allen Mitgliedstaaten mit verschiedenen Rechts- und Verwaltungstraditionen sind die Entscheidungen des EuGH jedoch ein Segen.

Zehn Jahre Datenschutz-Grundverordnung – ist nun das meiste geschafft? Kann man sich auf dem Erreichten ausruhen und die Hände in den Schoß legen? Nein, das geht generell nicht in der heutigen Welt, in der die verschiedenen Risiken – hier: für Datenschutz und Cybersicherheit – beherrschbar bleiben müssen. Der technische Fortschritt (Stichwort KI) und der Wandel in den Anforderungen der Umgebung, nicht zuletzt durch geopolitische Herausforderungen und Souveränitätsnotwendigkeiten, erfordern ein ständiges (Re-)Agieren. Gerade in Bezug auf die weiteren Rechtsakte der Europäischen Union beispielsweise zu KI, Datennutzung oder Cybersicherheit muss das Wechselspiel mit dem Datenschutzrecht austariert werden.

Vielleicht passt die Analogie zu einem Chor mit dem Einsingen oder einem Sportteam mit dem Aufwärmen: Jede Vorbereitungsphase kostet Zeit, sie ist aber auch nötig, damit die Qualität der darauffolgenden Performance stimmt und möglichst keine Pannen passieren. Dazu dient eigentlich die Übergangszeit, die der europäische Gesetzgeber einräumt. Bei der DSGVO war diese Übergangszeit von zwei Jahren unmittelbar vor dem 25.05.2018 nicht perfekt genutzt worden. Dies hängt auch mit der Herstellerlücke der DSGVO (Tz. 2.4) zusammen, denn die Hersteller sind nicht Verpflichtete nach dem Datenschutzrecht, sondern sollen nur „ermutigt“ werden (Erwägungsgrund 78 Satz 4 der DSGVO). Wäre es durch Unterstützung der Hersteller und durch mehr Standardisierung in der Gestaltung und Dokumentation von Anfang an einfach gewesen, die datenschutzrechtlichen Anforderungen zu erfüllen, hätten die Verantwortlichen nicht den Eindruck gehabt, dass jeder für sich das Rad neu hätte erfinden müssen.

Nun stehen Reformen im europäischen Datenrecht – einschließlich des Datenschutzrechts – an (Tz. 2.3). Dieses Mal gilt es, die Übergangszeiten effektiv zur Vorbereitung zu nutzen. Die Leitschnur sollte sein: Rechtskonformität muss leichtfallen – wer Recht und Gesetz erfüllen will, soll es einfach haben. Dazu gehört es, dass insbesondere Aufsichtsbehörden, Branchenverbände, Kammern, die Regierungen und die Standardisierungsgremien aufzeigen, wie man das europäische Recht in der Praxis umsetzen kann. Im Endeffekt geht es darum, die europäischen Werte, die in der Europäischen Grundrechte-Charta niedergelegt sind, in den technischen und organisatorischen Systemen zu implementieren.

 

1.2      Zahlen und Fakten zum Jahr 2025

Immer mehr Beschwerden, immer mehr Datenpannen – das Jahr 2025 wartet mit Spitzenwerten auf.

Vor dem Jahr 2018, als die Datenschutz-Grundverordnung wirksam wurde (Tz. 1.1), wussten viele Menschen nicht über ihre Datenschutzrechte Bescheid und wären wahrscheinlich auch nicht auf die Idee gekommen, eine Beschwerde an die Datenschutzaufsichtsbehörde zu senden. Dies hat sich mittlerweile geändert: Das Datenschutzbewusstsein ist in der Bevölkerung weit verbreitet. Wer von möglichen Datenschutzverstößen betroffen ist, entwickelt oft eine hohe Sensibilität. Auch wissen viele betroffene Personen, wie sie ihre Rechte geltend machen können. Ein Teil der Beschwerdeführenden lässt sich anscheinend von KI-Systemen beraten, wie sie in Internetsuchmaschinen integriert sind. Wer möchte, kann ein KI-Sprachmodell anweisen, seine Beschwerde fertig auszuformulieren.

In dieser Situation – größeres Datenschutzbewusstsein, Wissen über Aufsichtsbehörden und Beschwerdemöglichkeiten sowie etwaige KI-Unterstützung – hat sich bei uns und anderen Aufsichtsbehörden die Zahl der bearbeiteten Beschwerden deutlich erhöht. Den Trend konnten wir schon im Vorjahr ausmachen, als die Beschwerdezahlen 2024 gegenüber dem Jahr 2023 um 21 Prozent gestiegen waren. Im Jahr 2025 gibt es mit 2.276 Eingängen einen neuen Spitzenwert (zum Vergleich: 2021: 1.464, 2022: 1.334, 2023: 1.344, 2024: 1.628). Dies ist eine Steigerung um knapp 40 Prozent.

Auch die Zahl der gemeldeten Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen) ist gestiegen: Im Jahr 2025 sind 775 Meldungen bei uns eingegangen – ein neuer Spitzenwert für die schleswig-holsteinische Datenschutzaufsicht. Im Vergleich zum Vorjahr mit 602 Meldungen handelt es sich um eine Zunahme von 29 Prozent.

Im Folgenden sind die genauen Zahlen dargestellt: Im Jahr 2024 erreichten uns 2.276 schriftliche Beschwerden (Vorjahr: 1.628), von denen 437 (Vorjahr: 301) nicht in unserer Zuständigkeit (öffentliche und nichtöffentliche Stellen in Schleswig-Holstein mit Ausnahme bestimmter Bereiche in Bundeszuständigkeit, z. B. Telekommunikation) lagen und an die zuständigen Behörden abgegeben werden mussten.

Insgesamt wurden in eigener Zuständigkeit 1.839 (Vorjahr: 1.327) Beschwerden bearbeitet, davon richteten sich mehr als 80 Prozent der Beschwerden gegen Unternehmen und andere nichtöffentliche Stellen (1.498; Vorjahr: 1.087), der Rest gegen Behörden (341; Vorjahr: 240). Unsere Beratungsleistung gegenüber Verantwortlichen, Auftragsverarbeitern und betroffenen Personen im öffentlichen und nichtöffentlichen Bereich wurde in 576 Fällen (Vorjahr: 443) in Anspruch genommen.

Abb. 1: Zahl der bearbeiteten Beschwerden 2025

Abb. 1: Zahl der bearbeiteten Beschwerden 2025

Abb. 2: Zahl der bearbeiteten Meldungen nach Artikel 33 DSGVO 2025

Abb. 1: Zahl der bearbeiteten Meldungen nach Artikel 33 DSGVO 2025

Ohne vorherige Beschwerde wurden eine (Vorjahr: zehn) Prüfung im öffentlichen und eine Prüfung (Vorjahr: zwölf) im nichtöffentlichen Bereich begonnen und neue Verfahren eingeleitet; zahlreiche Prüfungen aus dem Vorjahr wurden fortgeführt.

Die Zahl von 775 (Vorjahr: 602) gemeldeten Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO, § 41 LDSG oder § 65 BDSG in Verbindung mit § 500 StPO (Datenpannen) ist im Vergleich zum Vorjahr wieder signifikant gestiegen. Viele Verantwortliche kennen mittlerweile die Pflicht zur Meldung von Datenpannen, jedoch stellen wir immer wieder in unseren Prüfungen fest, dass die ordnungsgemäßen Meldungen unterblieben sind. Wir gehen von einer hohen Dunkelziffer von Fällen aus, in denen die Verantwortlichen der Meldepflicht nicht nachgekommen sind. Die Gründe dafür sind vielfältig: Unkenntnis, Fehleinschätzungen, eine entgegenstehende Fehlerkultur in der Organisation oder auch nur der Glaube daran, dass das Malheur wohl nicht herauskäme.

Von den Abhilfemaßnahmen als Reaktion auf festgestellte Verstöße gegen das Datenschutzrecht wurde im Berichtsjahr insgesamt wie folgt Gebrauch gemacht:

  • 35 Warnungen (Vorjahr: 29),
  • 9 Verwarnungen (Vorjahr: 7),
  • keine Anordnung zur Änderung oder Einschränkung der Verarbeitung (Vorjahr: 2),
  • 5 Geldbußen (Vorjahr: 3) in einer Gesamthöhe von mehr als 280.000 Euro.

Nach unserem Eindruck wird die Dienststelle der Landesbeauftragten für Datenschutz in Gesetzgebungsvorhaben auf Landesebene weitgehend eingebunden, wenn Aspekte des Datenschutzes oder des Informationszugangs betroffen sein könnten. Dies geschah im Berichtsjahr über die Ministerien parallel zur Anhörung von Verbänden oder über die Ausschüsse im Landtag in 25 (Vorjahr: 18) neuen Gesetzgebungsvorhaben; einige Themen aus Gesetzgebungsvorhaben des Vorjahres wurden auch im Berichtsjahr weiterverfolgt.

 

1.3      Weiterentwicklung von LDSG und IZG-SH in Schleswig-Holstein

So oft ändert man Gesetze nicht, jedenfalls nicht, wenn sie im Großen und Ganzen funktionieren: „Never touch a running system“. Daher war es auch gar nicht erstaunlich, dass im Berichtsjahr weder ein novelliertes Landesdatenschutzgesetz (LDSG) noch ein novelliertes Informationszugangsgesetz (IZG-SH) beschlossen wurden, obwohl die Anpassungsbedarfe, die aus Sicht meiner Dienststelle bestehen, bereits mitgeteilt wurden (43. TB, Tz. 1.4).

Im Bereich der Informationsfreiheit hat das Deutsche Forschungsinstitut für öffentliche Verwaltung Ende 2025 die Evaluation abgeschlossen und einen Bericht vorgelegt, zu dem wir im Jahr 2026 eine Stellungnahme abgeben werden. Unsere wichtigsten Wünsche haben wir bereits im Vorjahr kommuniziert (43. TB, Tz. 12.5):

  • Ausweitung des Geltungsbereichs auf juristische Personen des Privatrechts, die im Besitz von öffentlichen Stellen sind (z. B. Stadtwerke),
  • Präzisierung der Vorgaben, unter welchen Bedingungen Anfragen „zu umfangreich“ sind,
  • Klarstellung, dass keine pauschale Pflicht zur Identifizierung der Antragsteller besteht,
  • Anregung zu einer freiwilligen Benennung für die Position von Transparenzbeauftragten.

Anders als im Informationsfreiheitsrecht bestehen im Bereich des Datenschutzes mit der DSGVO und weiteren Rechtsnormen detaillierte europäische Vorgaben. Die zentralen Begriffe und Instrumente werden auf EU-Ebene definiert, sodass der Landesgesetzgeber im Datenschutzrecht stärker gebunden ist.

Wir hatten vor dem vorzeitigen Koalitionsende auf Bundesebene Ende 2024 auf eine zügige BDSG-Novellierung gehofft, die man bei der LDSG-Novellierung hätte berücksichtigen können, doch durch den Regierungswechsel auf Bundesebene im Februar 2025 hat sich dies verzögert. Nach den Informationen aus der Föderalen Modernisierungsagenda (Tz. 2.1) sollen einige Änderungen Ende 2026, andere Ende 2027 umgesetzt sein (Modernisierungsagenda, Seite 31):

https://bmds.bund.de/themen/staatsmodernisierung/modernisierungsagenda-foederal[Extern]
Kurzlink: https://uldsh.de/tb44-1-3a

Wenn der Schleswig-Holsteinische Landtag die LDSG-Novelle noch in dieser Legislaturperiode beschließen möchte, die im Frühjahr 2027 endet, wäre es zu spät, erst nach Verabschiedung der BDSG-Änderungen damit anzufangen. Natürlich ist es aber sinnvoll, die geplanten Änderungen auf Bundesebene schon frühzeitig in Erfahrung zu bringen und – soweit Anpassungen auf Landesebene nötig oder sinnvoll sind – diese zu berücksichtigen.

In einem Punkt ist aber doch Eile geboten: Zum Ende meiner Amtszeit im September 2026 wäre es vorteilhaft, wenn zumindest die erkannten Mängel im Errichtungsgesetz ULD schon beseitigt wären. Das betrifft insbesondere die Situation, wenn nach dem Ablauf der Amtszeit der oder des Landesbeauftragten für Datenschutz keine unmittelbare Nachfolge zur Verfügung steht: Nach Ende der vorgesehenen Übergangszeit von sechs Monaten wären nach der jetzigen Regelung weder der oder die bisherige Landesbeauftragte (§ 6 Abs. 2 Satz 4 Errichtungsgesetz ULD) noch die Stellvertretung (§ 9 Abs. 2 Satz 3 Errichtungsgesetz ULD) berechtigt, die Geschäfte des ULD zu führen. Diese Situation sollte vermieden werden, um die Funktionsfähigkeit der Datenschutzaufsicht zu erhalten.

Der Vollständigkeit halber sei hier außerdem auf zwei Bereiche verwiesen, in denen Handlungsbedarf bestehen könnte: zum einen im parlamentarischen Datenschutz (siehe ausführlicher in Tz. 3.1) und zum anderen in der Datenschutzaufsicht im Bereich justizieller Tätigkeiten (43. TB, Tz. 4.3.2), die nicht von uns wahrgenommen werden kann, sondern von justizeigenen Kontrollstellen übernommen werden sollte (Erwägungsgrund 20 der DSGVO). Solche Kontrollstellen sind jedoch noch nicht eingerichtet worden.

Im vorherigen Berichtsjahr spielte dies in einem Gerichtsverfahren gegen das ULD eine Rolle: Ein Beschwerdeführer hatte Klage erhoben und gefordert, dass das ULD in einem Fall justizieller Tätigkeit den Sachverhalt prüfen und bewerten sollte. Das Schleswig-Holsteinische Verwaltungsgericht stellte am 8. Juni 2024 – 8 A 89/22 fest: „Es ist […] Aufgabe des Gesetzgebers, eine datenschutzrechtliche Kontrolle für den Bereich der justiziellen Tätigkeit zu schaffen.“ (43. TB, Tz. 4.3.2) Darauf, dass Datenschutzbeschwerden über justizielle Tätigkeiten ins Leere gehen, hatten wir schon unmittelbar nach Wirksamwerden der DSGVO verwiesen (39. TB, Tz. 4.3.5).


Was ist zu tun?
Bei den anstehenden Novellierungen bieten wir unsere Expertise und vor allem die praktischen Erfahrungen als Kontrollbehörde in den Bereichen Datenschutz und Informationszugang an.

 

1.4      Neue Zuständigkeiten des ULD – vom Zugang zu Produktdaten bis zur politischen Werbung

Seit dem 12. September 2025 gilt die europäische Datenverordnung, bekannt unter dem Titel „Data Act“. Die Vorschriften regeln die Verarbeitung personenbezogener und nicht personenbezogener Produktdaten, welche über vernetzte Produkte erlangt, generiert oder erhoben wurden. Die vernetzten Produkte können etwa Umgebungsinformationen über Sensoren erfassen, Nutzungsinformationen bereitstellen oder Angaben zum Verbrauch und Verschleiß des Produktes erstellen. Die verarbeiteten Produktdaten ermöglichen gegebenenfalls eine verbesserte Fehlerkontrolle oder Fehlernachverfolgung, tragen zur Optimierung bei der Ursachenforschung in Bezug auf die Haltbarkeit und Verwendbarkeit von Verkaufs-, Miet- oder Leasinggegenständen bei und reduzieren durch eine effizientere Schwachstellenanalyse den Aufwand der Fehlerbehebung. Die Palette der vernetzten Produkte reicht von Alltagsgegenständen, wie z. B. einer elektrischen Zahnbürste, bis zum Einsatz von Maschinen in industriellen Herstellungsverfahren. Vernetzte Produkte sind durch eine technische Schnittstelle gekennzeichnet, über welche die Produktdaten abrufbar sind, wofür ein elektronischer Kommunikationsdienst bzw. eine Internetverbindung, ein physischer Kontakt oder ein geräteinterner Zugang in Betracht kommen.

Bei den Produktdaten kann es sich um aggregierte bzw. statistische Angaben handeln, wodurch im Falle einer Verarbeitung keine datenschutzrechtlichen Fragestellungen entstehen. Ein Personenbezog ist hingegen denkbar, wenn etwa spezifische Gebrauchs- und Verbrauchsinformationen zu Produkten im Fokus stehen, die auf eine natürliche Person rückführbar sind. Im letzteren Fall wird für die Überwachung und Kontrolle der Datenverarbeitung eine Zuständigkeit der Datenschutzaufsichtsbehörden begründet, was der Verordnungsgeber im Data Act zum Ausdruck bringt. Dafür bedarf es keiner nationalen Zuweisung. Die Zuständigkeit der Datenschutzaufsichtsbehörden ergibt sich direkt aus Artikel 37 des Data Acts.

Art. 37 Abs. 3 Data Act

Die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörden sind bezüglich des Schutzes personenbezogener Daten auch für die Überwachung der Anwendung der vorliegenden Verordnung zuständig. Die Kapitel VI und VII der Verordnung (EU) 2016/679 finden sinngemäß Anwendung.

Kontrollzuständigkeiten des ULD können sich im Zusammenhang mit der Verarbeitung personenbezogener Produktdaten etwa in folgenden Themengebieten ergeben:

  • Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf den Zugang, die Nutzung und Bereitstellung von Produktdaten,
  • Weitergabe von Produktdaten an Dritte und Pflichten der Datenempfänger,
  • Verträge zwischen Dateninhabern und Datenempfängern,
  • technische Schutzmaßnahmen über die unbefugte Nutzung oder Offenlegung von Daten.

Das ULD hat Informationen zu den neuen aufsichtsbehördlichen Zuständigkeiten im Zusammenhang mit dem Data Act in Form einer Pressemitteilung veröffentlicht:

https://www.datenschutzzentrum.de/artikel/1516-Data-Act-ULD-erhaelt-weitere-Zustaendigkeit.html
Kurzlink: https://uldsh.de/tb44-1-4a

Das Beschwerdeformular des ULD, welches auch für Beschwerden nach dem Data Act verwendet werden kann, ist unter diesem Link abrufbar:

https://www.datenschutzzentrum.de/meldungen
Kurzlink: https://uldsh.de/tb44-1-4b

Seit dem 10. Oktober 2025 gilt die Verordnung über die Transparenz und das Targeting politischer Werbung (TTPW-VO). Der europäische Verordnungsgeber verfolgt mit der Verordnung das Ziel, Vorgaben

  • einschließlich Transparenz- und Sorgfaltspflichten für die Erbringung politischer Werbung und damit verbundener Dienstleistungen sowie gegebenenfalls für Sponsoren über die Erhebung, Speicherung, Offenlegung und Veröffentlichung von Informationen, die mit der Erbringung solcher Dienstleistungen im Binnenmarkt in Zusammenhang stehen,
  • für den Einsatz von Targeting- und Anzeigenschaltungsverfahren, welche die Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung politischer Onlinewerbung umfassen,
  • über die Überwachung und Durchsetzung dieser Verordnung einschließlich der Zusammenarbeit und Koordinierung der zuständigen Behörden

zu schaffen. Dabei möchte der Verordnungsgeber Risiken mindern, die sich bei der Nutzung von Onlineplattformen und sozialen Netzwerken durch politische Akteure ergeben können, welche Wahlwerbemaßnahmen gezielt auf bestimmte Personengruppen abstimmen möchten.

Art. 22 Abs. 1 TTPW-VO

Die Aufsichtsbehörden nach Artikel 51 der Verordnung (EU) 2016/679 oder der Europäische Datenschutzbeauftragte nach Artikel 52 der Verordnung (EU) 2018/1725 sind in ihrem jeweiligen Zuständigkeitsbereich für die Überwachung der Anwendung der Artikel 18 und 19 der vorliegenden Verordnung verantwortlich. Artikel 58 der Verordnung (EU) 2016/679 und Artikel 58 der Verordnung (EU) 2018/1725 gelten sinngemäß. Kapitel VII der Verordnung (EU) 2016/679 findet Anwendung auf Maßnahmen nach den Artikeln 18 und 19 der vorliegenden Verordnung.

Kontrollzuständigkeiten des ULD können sich etwa in folgenden Bereichen ergeben (Artikel 18 und 19 TTPW-VO):

  • spezielle Anforderungen in Bezug auf das Targeting und die Anzeigenschaltung im Zusammenhang mit politischer Werbung im Internet, z. B. Direkterhebungsgebot bei der betroffenen Person, Vorgaben für die Einwilligung zur Datenverarbeitung, Verbot der Wahlwerbung bei Unterschreitung des Wahlalters,
  • Transparenzpflichten hinsichtlich des Einsatzes und der Funktionsweise von Targeting- und Anzeigenschaltungsverfahren einschließlich Angaben zu Parametern zur Bestimmung der zu bewerbenden Personenkreise, der verwendeten Datenkategorien, gegebenenfalls zur Verwendung von KI und der Anzahl betroffener Personen.

Die Zuständigkeit des ULD ergibt sich wiederum direkt aus der EU-Verordnung, sodass es keiner nationalen Zuweisung bedarf:

Das oben verlinkte Beschwerdeformular kann auch für Beschwerden in Bezug auf Verletzungen der Artikel 18 und 19 TTPW-VO verwendet werden.

Noch nicht gesetzlich festgelegt ist übrigens die Zuständigkeit der Marktüberwachungsbehörde nach der KI-Verordnung für KI-Systeme in den Bundesländern. Ob diese Rolle den Landesbeauftragten für Datenschutz zugewiesen wird, soll im Jahr 2026 geklärt sein. Unabhängig davon wird die Zuständigkeit der Landesbeauftragten für Datenschutz für die Überwachung der Verarbeitung von personenbezogenen Daten nach der DSGVO auch in Bezug auf den KIEinsatz im Land bestehen.


Was ist zu tun?
Mit den neuen Zuständigkeiten für die Kontrolle von Vorgaben nach dem Data Act und der TTPW-VO im Kontext der Verarbeitung personenbezogener Daten erhält das ULD zusätzliche Aufgaben, die mit dem zur Verfügung stehenden Personal erledigt werden müssen. Derzeit ist noch nicht absehbar, ob der Aufgabenzuwachs zu einem nennenswerten zusätzlichen Zeit- und Arbeitsaufwand führt. Das ULD wird den Umfang eingehender Anfragen evaluieren und anschließend darüber berichten.

 

1.5      Die Datenschutzbeauftragten vor Ort: wichtige Stütze, Entlastung vor Ort

In Deutschland sind sie seit 1977, als sie im BDSG verankert wurden, eine Erfolgsstory: die betrieblichen und behördlichen Datenschutzbeauftragten, die vor Ort überall dort unterstützen, wo Datenschutzkenntnisse gefragt sind. Mit der Datenschutz-Grundverordnung wurde die Rolle der Datenschutzbeauftragten geschärft – sie setzen nicht selbst operativ die Datenschutzanforderungen um, sondern prüfen und beraten.

Aus Sicht der Datenschutzaufsichtsbehörde sind die Datenschutzbeauftragten wichtige Ansprechpartner. Wenn ihre Expertise in die Gestaltung der Verarbeitung eingeflossen ist, wirkt dies etwaigen datenschutzrechtlichen Verstößen und Datenschutzverletzungen entgegen. Passiert doch etwas, wissen die Datenschutzbeauftragten, was zu tun ist, z. B. in Bezug auf die Melde- und Benachrichtigungspflichten. Und ist die Situation unklar, können sie sich an die Datenschutzaufsichtsbehörden wenden und sich beraten lassen.

Föderale Modernisierungsagenda, Nr. 160

2.2 Beschränkung der Pflicht zur Bestellung von Datenschutzbeauftragten

Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Artikel 37 DSGVO beschränken.

Aber auch für die Verantwortlichen, die – wie die Bezeichnung im Deutschen schon nahelegt – ihre Verantwortung für die Erfüllung der DSGVO nicht delegieren können, sind die betrieblichen und behördlichen Datenschutzbeauftragten wertvoll. Denn die Leitung hat selten Zeit, sich persönlich im Detail darum zu kümmern, dass alle Rechtsvorschriften – übrigens nicht nur im Datenschutz – eingehalten werden. Hier ist die Unterstützung durch die Datenschutzbeauftragten wesentlich. Sie erkennen die Risiken für die Rechte und Freiheiten natürlicher Personen und können einschätzen, inwieweit diese Risiken durch Umsetzung geeigneter technischer und organisatorischer Schutzmaßnahmen eingedämmt werden können. Und sie sind Ansprechpartner für betroffene Personen und für Mitarbeitende, die Datenschutzfragen haben. Nach unserer Erfahrung tragen Datenschutzbeauftragte dazu bei, dass bei etwaigen Datenschutzproblemen unangenehme und vor allem ressourcenaufwendige Eskalationssituationen vermieden werden.

Aus diesen Gründen sehen wir mit Sorge, dass sich Bund und Länder in der Föderalen Modernisierungsagenda (Tz. 2.1) vorgenommen haben, die Zusatzregeln im BDSG zu Datenschutzbeauftragten, die sich nach unserer Ansicht schon in den Vorgängerregelungen über viele Jahrzehnte bewährt haben, zurückzunehmen:

§ 38 Abs. 1 Satz 1 BDSG Datenschutzbeauftragte nichtöffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. […]

Wird § 38 Abs. 1 BDSG abgeschafft, gelten jedoch immer noch die Regeln des Artikels 37 DSGVO, nach dem die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist, wenn es sich um eine öffentliche Stelle handelt oder wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die mit einem höheren Risiko verbunden ist, beispielsweise bei einer umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO.

Jedenfalls muss allen Verantwortlichen bewusst sein, dass sie ohne eine Datenschutzbeauftragte und ohne einen Datenschutzbeauftragten dieselben datenschutzrechtlichen Anforderungen erfüllen müssen. Nur stellt sich die Frage, ob dies mit oder ohne kundigen Berater oder kundige Beraterin umgesetzt wird und wer im Falle des Falles – bei Datenpannen, Beratungserfordernissen der Beschäftigten oder für Beschwerden – Ansprechstelle ist.

 

1.6      Beratung für die öffentliche Verwaltung

Der EU-Verordnungsgeber weist den Datenschutzaufsichtsbehörden vordergründig die Aufgabe zu, die Anwendung der Datenschutz-Grundverordnung zu überwachen und durchzusetzen. In diesem Kontext führt das ULD Prüfverfahren durch und muss anhand des anwendbaren Verfahrensrechts entscheiden, welche präventiven oder repressiven Maßnahmen zu ergreifen sind.

Die Aufgabenwahrnehmung erschöpft sich jedoch nicht im Verhängen von Zwangs- und Bußgeldern. Vielmehr obliegt dem ULD auch die Aufgabe, im Einklang mit dem Recht des Mitgliedstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung zu beraten (Art. 57 Abs. 1 Buchst. c DSGVO). Legislative Maßnahmen beziehen sich in diesem Zusammenhang auf den Erlass von Gesetzen und Rechtsverordnungen. Als administrative Maßnahmen kommen etwa Weisungen der Ministerien an untergeordnete Dienststellen in Ausübung ihrer Fach- und Rechtsaufsicht in Betracht, wenn eine bestimmte Maßgabe zum Umgang mit personenbezogenen Daten oder zur Gewährleistung der Sicherheit in der Datenverarbeitung erteilt werden soll. Erfasst sind z. B. auch Rechtsverordnungen oder Erlasse. Da die maßgebliche Vorschrift in der DSGVO neben dem nationalen Parlament und der Regierung auch andere Gremien und Einrichtungen erwähnt, zählen im Grundsatz die Träger der öffentlichen Verwaltung in Schleswig-Holstein hinzu, namentlich das Land, die Gemeinden, die Kreise und die Ämter einschließlich die der Aufsicht des Landes unterstehenden Körperschaften des öffentlichen Rechts ohne Gebietshoheit und rechtsfähige Anstalten und Stiftungen des öffentlichen Rechts. Eingeschlossen sind letztlich auch die Landesbehörden.

Die Beratung kann sich auch auf die Ausgestaltung der Verwaltungsabläufe beziehen, z. B. im Rahmen der Verfolgung politischer Zielsetzungen bezüglich der Digitalisierung der Verwaltung.

Die Vorteile einer Beratung liegen auf der Hand: Im Rahmen der Konzeptionierung neuer Datenverarbeitungsverfahren, der Schaffung neuer Rechtsvorschriften, von Fragen zu vertraglichen Vereinbarungen und der damit verbundenen Anforderungen z. B. zu Rechtsgrundlagen, zur Einhaltung von Informationspflichten, der Gestaltung von Formularen und zur Gewährleistung der Datensicherheit kann das ULD einerseits die Rahmenvorgaben erläutern und andererseits nach Möglichkeit praktische Tipps und Empfehlungen wie etwa Formulierungshilfen sowie Hinweise zur Vereinfachung und rechtskonformen, transparenten Gestaltung von Verarbeitungsverfahren geben. In den Fällen eingehender Beschwerden zu bereits umgesetzten Verarbeitungsverfahren, die sich im Einzelfall als nicht datenschutzkonform erweisen, kann das ULD hingegen nur noch eingeschränkt oder überhaupt nicht beraten, sondern wird von Amts wegen nur die vom EU-Verordnungsgeber zugewiesene Aufgabe der Überwachung und Durchsetzung wahrnehmen können. Die Beratung kann auch dazu dienen, Datenpannen und die damit oft verbundenen Reputationsverluste zu vermeiden.

Die Beratungskonzeption umfasst folgende Punkte:

  • Ziel der Beratung ist es, Entscheidungsträger bei der Planung und Umsetzung datenschutzrechtlicher Vorgaben zu unterstützen.
  • Zur Zielgruppe zählen die Träger öffentlicher Verwaltung bzw. deren Landesbehörden.
  • Zu den Formaten der Beratung gehören z. B. die Teilnahme an Gesprächsrunden, die Beteiligung im Vorfeld von Gesetzes- und Verordnungsvorhaben, die Abgabe von Stellungnahmen und Einschätzungen zu Einzelfragen, das Angebot von Vorträgen und Seminaren, die Erweiterung des Informationsangebots sowie die Teilnahme an Arbeitskreisen. Das ULD hat zu den erwähnten Formaten bereits sehr positive Erfahrungen gesammelt.
  • Zu den Beratungsstandards zählen eine unabhängige Beratung, die Sicherstellung der Fachlichkeit und Qualifikation von Beratungspersonen, die Verfolgung lösungsorientierter Ansätze im Rahmen der rechtlichen Rahmenvorgaben sowie eine offene und konstruktive Beratungsatmosphäre.

Was ist zu tun?
Das ULD wird sein Beratungsangebot für die Träger der öffentlichen Verwaltung auf Grundlage der bestehnden Konzeption im Rahmen der personellen und zeitlichen Möglichkeiten weiter ausbauen.

 

1.7      Öffentlichkeitsarbeit

Im Berichtszeitraum wurde im Rahmen der Öffentlichkeitsarbeit durch verschiedene Maßnahmen die Kommunikation mit Bürgerinnen und Bürgern, öffentlichen Stellen des Landes und Unternehmen gepflegt. Ziel ist es, die Öffentlichkeit für die Risiken, Vorschriften und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten zu sensibilisieren und sie darüber aufzuklären.

 

1.7.1   Informationsmaterialien

Das ULD stellt eine Vielzahl von Informationsmaterialien in digitaler und gedruckter Form zur Verfügung. Dies sind u. a.:

  • Themenhefte Praxis-Reihe:   
    Datenschutzbestimmungen praktisch umsetzen für öffentliche Stellen und Unternehmen
    Nr. 1:  Datenschutz bei Vereinen
    Nr. 2:  Datenschutzbeauftragte
    Nr. 3:  Mustervereinbarung für einen Vertrag zur Auftragsverarbeitung
    Nr. 4:  Informationspflichten
    Nr. 5:  Videoüberwachung
    Nr. 6:  Fotos und Webcams
    Nr. 7:  Informationszugangsgesetz für das Land Schleswig-Holstein (IZG-SH)
  • Broschüre „Datenschutz und Sozialarbeit in Schulen“
  • Faltblatt „Datenschutz im Melderecht“
  • Gesetzestext „Datenschutz-Grundverordnung (DSGVO)“
  • Gesetzestext „Landesdatenschutzgesetz (LDSG)“ und „Bundesdatenschutzgesetz (BDSG)“

Die Informationsmaterialien können als gedruckte Broschüre beim ULD bestellt oder online auf der Website abgerufen werden:

https://www.datenschutzzentrum.de/informationsmaterial/
Kurzlink: https://uldsh.de/tb44-1-7-1a

 

1.7.2   Veranstaltungen

Das ULD hat eine Reihe von Veranstaltungen durchgeführt und sich an Veranstaltungen beteiligt. Dies waren u. a.:

  • Fünf Einzelveranstaltungen im Rahmen der Digitalen Woche (13. bis 16. Mai 2025) im ULD
  • Tag der offenen Tür im Schleswig-Holsteinischen Landtag mit einem Informationsstand, 13. Juli 2025
  • Datenschutzkonferenz 2025 „Im Alarmmodus: Sicherheit und Datenschutz?“ am 8. September 2025 in Kiel (Tz. 13.2)
  • Medienkompetenz-Festival mit einem Informationsstand, 10. und 11. Oktober 2025 in Kiel
  • Fachveranstaltung: Austausch rund um KI und Datenschutz „Frag‘ für n‘ Freund“ an vier Terminen 2025 im ULD (Tz. 6.3.3)
  • Schulveranstaltungen „Entscheide DU, sonst tun es andere für Dich!“ für Schülerinnen und Schüler ab Klassenstufe 5 vor Ort in der Schule (Tz. 13.1)
  • Vielzahl an Fortbildungsveranstaltungen für Datenschutz (Tz. 13.1)

 

1.7.2   AK Presse-und Öffentlichkeitsarbeit

Die Datenschutzbehörden der Länder und des Bundes organisieren ihre Zusammenarbeit in regelmäßig tagenden Arbeitskreisen (AK). Im Bereich der Außenkommunikation ist dies der AK Presse- und Öffentlichkeitsarbeit.

Der Fokus in diesem Arbeitskreis liegt auf dem Erfahrungsaustausch und der Abstimmung der Aufsichtsbehörden in den entsprechenden Bereichen der Pressearbeit und der Öffentlichkeitsarbeit.

Im Berichtszeitraum waren die wichtigsten Themen des Arbeitskreises u. a. ein Austausch zu einer Kommunikationsstrategie für die Datenschutzkonferenz (DSK) und Diskussion zu der Presse- und Öffentlichkeitsarbeit in den einzelnen Häusern. Weiterer Punkt war u. a. gemeinsame Präsenz auf zentralen Messeveranstaltungen zu unterschiedlichen Themenbereichen des Datenschutzes.

Das ULD beteiligt sich aktiv an der Arbeit und den Treffen des AK Presse- und Öffentlichkeitsarbeit.

 

Zum Inhaltsverzeichnis Zum nächsten Kapitel