[datensicherheit.de, 20.10.2025] „Viel Alltägliches spielt sich im Digitalen Raum ab. Doch oft ist nicht ganz klar, wie wir uns sinnvoll digital verhalten und unsere persönlichen Daten wirksam schützen können.“ Daher hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) gezielt ein niedrigschwelliges und praxisnahes Beratungsformat geschaffen: „Datenschutzsprechstunden“ in Stadtteilzentren, Bücherhallen, Elterncafés – und online. Erklärtes Ziel ist es demnach, Betroffene sowohl im privaten Alltag als auch in ihrer Rolle als Verantwortliche in Organisationen praxisnah in Datenschutzfragen zu unterstützen.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs betont, dass mit den „Datenschutzsprechstunden“ in Hamburg Datenschutz praxisnah und verständlich dargeboten werden soll

„Datenschutzsprechstunden“ adressieren zwei Zielgruppen

Bürger
Diese Angebote sollen sich vor allem an Familien, Kinder, Jugendliche und Senioren richten und weisen unter anderem folgende Themenschwerpunkte auf:

• „Welche Rechte habe ich gegenüber einem Unternehmen, das meine Daten verarbeitet (Auskunft, Löschung, Widerspruch)?“
• „Wie geht Datenschutz im familiären Kontext: Messenger-Nutzung, Fotos von Kindern, sichere Geräte?“
• „Wie schütze ich mich vor Betrug und Identitätsdiebstahl?“
• „Digitale Gesundheitsdaten: elektronische Patientenakte (ePA) und eRezepte“

Verantwortliche aus Vereinen und dem Bildungsbereich
Auch für diese Zielgruppen sollen die „Datenschutzsprechstunden“ eine Anlaufstelle bieten, um praxisnahe Orientierung bei der Umsetzung datenschutzrechtlicher Anforderungen zu erhalten. Behandelt werden unter anderem Themen wie

• Fotografieren in der Kita,
• grundlegende Datenschutzinformationen für Vereine sowie die
• DSGVO-konforme Gestaltung von Websites.

„Datenschutzsprechstunden“ jeden ersten Mittwoch bzw. jeden dritten Donnerstag

Die „Datenschutzsprechstunden“ werden ab Oktober 2025 regelmäßig an jedem ersten Mittwoch und jedem dritten Donnerstag im Monat angeboten (ohne Gewähr):

• Mittwochs
  Bürger könnten sich für individuelle Beratungstermine anmelden und ihre persönlichen Datenschutzfragen direkt mit Fachleuten des HmbBfDI klären.
• Donnerstags
  Thematische Veranstaltungen zu aktuellen Fragestellungen – bestehend aus einem fachlichen „Input“ und einer anschließenden Fragerunde.

„Die Teilnahme an den Sprechstunden ist kostenfrei. Eine Anmeldung ist über die Website des HmbBfDI möglich.“

Auswahl an Veranstaltungen im Kontext der „Datenschutzsprechstunden“

• 5. November 2025: „Ihre Fragen. Unsere Antworten.“
  Reservierung eines individuellen Beratungstermins: „Schreiben Sie uns hierfür einfach eine kurze Mail mit Ihrem Terminwunsch und einer kurzen Beschreibung ihres Anliegens an veranstaltungen [at] datenschutz [dot] hamburg [dot] de!“ 
• 20. November 2025: „Kleine Gesichter, große Rechte – Fotografieren in der Kita“ (online) 
• 3. Dezember 2025: „Ihre Fragen. Unsere Antworten.“
  Reservierung eines individuellen Beratungstermins: „Schreiben Sie uns hierfür einfach eine kurze Mail mit Ihrem Terminwunsch und einer kurzen Beschreibung ihres Anliegens an veranstaltungen [at] datenschutz [dot] hamburg [dot] de!“

Der HmbBfDI, Thomas Fuchs, führt zu seinem Angebot aus: „Mit den ,Datenschutzsprechstunden’ wollen wir Datenschutz praxisnah und verständlich machen.“ Ihnen sei es vor allem wichtig, dass Bürger nicht nur ihre Rechte kennen, sondern auch lernen würden, „wie sie diese im Alltag selbstbestimmt nutzen können“.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Aktuelles

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Kontakt

datensicherheit.de, 21.03.2024
Berliner Start-ups, Kleinunternehmen und Vereine: Kostenlose Datenschutz-Schulungen der BlnBDI / Auch Berliner Unternehmen und Vereine sollten Datenschutz von Anfang an mitdenken

datensicherheit.de, 09.10.2020
Cyberfibel: Neues Nachschlagewerk für digitale Aufklärung / Das Bundesamt für Sicherheit in der Informationstechnik und der Deutschland sicher im Netz e.V. haben am 9. Oktober 2020 ihre Cyberfibel vorgestellt

[datensicherheit.de, 01.10.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz Ende September 2025 gezogen und meldet in diesem Zusammenhang, dass er gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt hat.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs: Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!

HmbBfDI monierte, dass das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte

Trotz guter Bonität seien die Kreditkartenanträge mehrerer Kunden mittels automatisierter Entscheidungen abgelehnt worden – „dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden“.

• Als daraufhin die betroffenen Kunden eine Begründung für die abgelehnten Anträge verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Automatisierte Entscheidungen, welche auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind offensichtlich mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Somit ist ein Einsatz solcher Verfahren nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) demnach nur unter engen Voraussetzungen erlaubt.

Unternehmen hat HmbBfDI-Bußgeldbescheid akzeptiert

Neben diesen höheren Anforderungen an die Rechtmäßigkeit hätten die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustünden.

• Stellten etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so seien Verantwortliche verpflichtet, Antragstellern aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Sowohl im Verwaltungs- als auch im Bußgeldverfahren habe das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand sei bei der Bußgeldzumessung erheblich mildernd berücksichtigt worden – das Unternehmen habe den Bußgeldbescheid akzeptiert.

Auch gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden Bußgeld-Forderungen des HmbBfDI

Das oben genannte Bußgeld eingerechnet, habe der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. „Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.“

• In drei Fällen hätten Unternehmen Kunden Werbung per E-Mail zugesandt, ohne dass die Empfänger darin eingewilligt hätten. Gegen diese Unternehmen seien Bußgelder im unteren fünfstelligen Bereich festgesetzt worden.

Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden seien insgesamt sechs Bußgelder verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hätten. „Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.“

HmbBfDI unterstreicht Rolle der Auskunfts- und Informationsansprüche

Zudem habe der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro verhängt. Dieses Unternehmen habe Dienstleister mit dem Versand postalischer Werbung beauftragt – die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe es in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

• Der HmbBfDI, Thomas Fuchs, kommentiert: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten!“

Dies gelte insbesondere bei für die Betroffenen undurchsichtigen Strukturen, wie z.B. Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz Künstlicher Intelligenz (KI). „Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!“, stellt Fuchs abschließend klar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern / USA in beiden Analysen auf Platz 1, Deutschland folgt bei Attacken auf Rang 2

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 08.06.2023
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen / Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

datensicherheit.de, 31.05.2023
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag / Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung

[datensicherheit.de, 10.09.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist in seiner aktuellen Stellungnahme darauf hin, dass angefangen z.B. bei elektronischen Zahnbürsten bis hin zu Windkraftturbinen viele Gebrauchsgegenstände und Maschinen Sensordaten über das Internet an ihre Hersteller senden. Ab dem 12. September 2025 profitieren demnach Verbraucher und Wirtschaftsakteure von neuen Zugangsansprüchen auf die Daten solcher vernetzter Geräte, denn der „Data Act“ ermögliche es sowohl den Benutzern dieser Geräte als auch Dritten, solche Sensordaten anzufordern – Voraussetzung sei, „dass die Anspruchsvoraussetzungen nach dem ,Data Act’ erfüllt sind, das Datenschutzrecht dem nicht entgegensteht und Geschäftsgeheimnisse gewahrt bleiben“.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs unterstreicht: Datenzugang und Datenschutz sind kein Widerspruch!

Bei Personenbezug sind Datenschutzbehörden fortan „Data Act“-Aufsicht

„Handelt es sich bei den zu übermittelten Daten um personenbezogene, setzt das Europarecht die Datenschutzbehörden als Aufsicht für die Einhaltung der Bestimmungen des ,Data Acts’ ein.“ Diese Aufgabe folge unmittelbar aus Artikel 37 Abs. 3 „Data Act“.

Der HmbBfDI unterstütze Anspruchsberechtigte bei der Geltendmachung ihrer Rechte – „soweit sie personenbezogene Daten betreffen“. Darunter fielen insbesondere:

• Zugang zu personenbezogenen Daten beim Hersteller
• Wechsel des Anbieters von Datenverarbeitungsdiensten (sogenanntes Cloud-Switching)
• Schutz der Vertraulichkeit durch technisch-organisatorische Maßnahmen bei der empfangenden Stelle
• Transparenzpflichten

Diese Rechte könne der HmbBfDI gegebenenfalls mit Anordnungen durchsetzen. Verstöße könnten teilweise mit Geldbußen geahndet werden. Alternativ könnten die Ansprüche selbständig über den Zivilrechtsweg verfolgt werden. „Zu den Rechten und Pflichten aus dem ,Data Act’, dem Zusammenspiel mit dem Datenschutzrecht und der aufsichtsbehördlichen Durchsetzung hat der HmbBfDI eine ausführliche Handreichung veröffentlicht.“

Beschwerde möglich, wenn Rechte aus dem „Data Act“ in Bezug auf personenbezogene Daten verletzt wurden

Jede natürliche und juristische Person könne nun Beschwerde beim HmbBfDI einlegen, „wenn sie Grund zur Annahme hat, dass ein Hamburger Unternehmen ihre Rechten aus dem ,Data Act’ in Bezug auf personenbezogene Daten verletzt“.

• Die Beschwerden könnten formlos an das Funktionspostfach „dataact [at] datenschutz [dot] hamburg [dot] de“ gerichtet werden. Alternativ könnten die Postanschrift der Behörde oder das allgemeine Beschwerdeformular verwendet werden.

Jeder Beschwerde werde federführend in dem Referat nachgegangen, „das auch die datenschutzrechtliche Aufsicht über die jeweilige verantwortliche Stelle hat“. Damit werde der Zielrichtung des Art. 37 Abs. 3 „Data Act“ gefolgt, Datenverwendungen nach der „Datenschutz-Grundverordnung“ (DSGVO) und nach dem „Data Act“ einheitlich zu beurteilen. Das Fachreferat führe seine Ermittlungen in enger Abstimmung mit dem Fachbereich für Informationsfreiheit, um die Expertise zu Geschäftsgeheimnissen als Hinderungsgrund für einen Informationszugang einzubeziehen.

„Data Act“ soll helfen Datenmonopole aufzubrechen und Privatsphäre-Interessen zu wahren

Die Zuständigkeit des HmbBfDI als „Data Act“-Aufsicht sei auf Fälle mit personenbezogenen Daten beschränkt. Für alle übrigen Konstellationen müsse der Bundesgesetzgeber eine oder mehrere Aufsichtsbehörden für Deutschland benennen. Dies sei bislang nicht geschehen.

• Ansprüche in Bezug auf nicht personenbezogene Daten könnten deshalb bis auf Weiteres nur eigenständig auf dem Zivilrechtsweg erfolgen.

Der HmbBfDI, Thomas Fuchs, stellt abschließend klar: „Datenzugang und Datenschutz sind kein Widerspruch! Wir werden uns im Rahmen des ,Data Acts’ dafür einsetzen, dass Datenmonopole aufgebrochen werden und zugleich Privatsphäre-Interessen gewahrt bleiben. Für die Unternehmen in Hamburg ist es gut, dass die für sie zuständige Datenschutzaufsichtsbehörde auch nach gleichen Maßstäben die Datenschutzfragen im Rahmen des ,Data Acts’ klärt.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 29.04.2025
INFORMATION: Der Data Act als Herausforderung für den Datenschutz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Elektronische Beschwerde

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 30.07.2025] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin lädt zu einer Online-Diskussion zum Thema „Zentralisierung der Digitalaufsicht?“ am 5. August 2025 ein: Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, wurde eingeladen, über die mit einer Zentralisierung verbundenen rechtlichen und praktischen Fragen zu sprechen. Diese Veranstaltung bildet demnach zugleich den Auftakt für ein neues, „niedrigschwelliges“ Diskussionsformat der EAID mit dem Arbeitstitel „Perspektivwechsel“.

Teilnahme an EIAD-Veranstaltung kostenfrei – um Anmeldung wird gebeten

Online-Diskussion „Zentralisierung der Digitalaufsicht?“
Dienstag, 5. August 2025, 16 bis 17 Uhr

• Link zur Teilnahme
  (oder Einwahl über per Telefon: +49 721 6059 6510 – Zugangscode: 525-499-133)

Teilnahme kostenfrei, um Anmeldung per E-Mail an veranstaltungen [at] eaid-berlin [dot] de wird gebeten.

EAID-Hintergrundinformationen zur Datenschutzaufsicht

Nachdem die EU eine Reihe von Rechtsakten für den Digitalbereich („Datenschutz-Grundverordnung“, „Digital Services Act“, „Data Act“, „KI-Verordnung“) beschlossen hat, rückt deren Umsetzung nun in den Mittelpunkt des Interesses.

• Zentrale Bedeutung kommt dabei der Frage zu, wer die Einhaltung der rechtlichen Vorgaben überwachen soll. Diese Frage ist insbesondere vor dem Hintergrund der föderalen Struktur Deutschlands von erheblicher Bedeutung.

So beabsichtigt die Bundesregierung, die Datenschutzaufsicht für nicht-öffentliche Stellen, die derzeit überwiegend bei den unabhängigen Datenschutzbehörden der Länder angesiedelt ist, bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu bündeln. Zugleich soll die Aufsichtsfunktion für die Anwendung der anderen Digitalgesetze der Bundesnetzagentur zugewiesen werden.

Weitere Informationen zum Thema:

GoTo
EAID: Videokonferenz „Zentralisierung der Digitalaufsicht“ am 05.08.2025 16:00-18:00 Uhr / veranstaltet von Karsten Neumann | EAID e.V. gf Vorstandsmitglied

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

EAID
EAID-Blog

Bundesnetzagentur
Auf­ga­ben und Struk­tur

datensicherheit.de, 10.04.2025
BfDI-Stellungnahme zum Koalitionsvertrag: Bereitschaft zur Bündelung der datenschutzrechtlichen Aufsicht / CDU/CSU und SPD streben laut Entwurf ihres Koalitionsvertrages an, die datenschutzrechtliche Aufsicht über die private Wirtschaft bei der BfDI zu bündeln

[datensicherheit.de, 06.06.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gemeldet, dass es ab dem 6. Juni 2025 es keine sechswöchige Frist zur Stromlieferantenwahl mehr gibt. Wenn Mieter in einer neu bezogenen Wohnung elektrische Energie verbrauchen, entsteht ein „Stromlieferungsvertrag in der Grundversorgung“, sofern sie nicht rechtzeitig zuvor bei einem anderen Versorger einen „Stromlieferungsvertrag“ für die Wohnung abgeschlossen haben. Gemäß § 2 Abs. 2 „Stromgrundversorgungsverordnung“ (StromGVV) müssen Mieter demnach die Stromentnahme dem jeweiligen Grundversorger mitteilen. Diese Pflicht sei jedoch vielen nicht bekannt. Bisher hatten Mieter demnach die Möglichkeit, innerhalb der ersten sechs Wochen nach Wohnungsübergabe einen Stromversorger zu wählen, welcher dann den Leistungszeitraum des Grundversorgers mitabrechnet.

Abrechnung des Verbrauchs durch Strom-Grundversorger, wenn nicht vor der Wohnungsübergabe vom Mieter ein anderer Versorger gewählt wurde

„Ab dem 6. Juni 2025 wird diese nachträgliche Lieferantenwahl aufgrund der Umsetzung gesetzlicher Vorgaben nicht mehr möglich sein. Die Abrechnung des Verbrauchs erfolgt dann durch den Grundversorger, wenn nicht rechtzeitig vor der Wohnungsübergabe ein anderer Versorger gewählt wurde.“ Eine Lieferantenwahl könne nur noch mit Wirkung für die Zukunft erfolgen.

Daraus folgt laut HmbBfDI, dass der Grundversorger nunmehr in jedem Fall wissen muss, wer sein Vertragspartner und somit Schuldner in der Grundversorgung ist, um die erbrachte Leistung in Rechnung stellen zu können. Aufgrund dieser Änderung der Abrechnungspraxis hätten Grundversorger und auch Eigentümer, welche gegebenenfalls für den bezogenen Strom der Mieter in Anspruch genommen werden könnten, ein Interesse, die Daten der neuen Mieter möglichst früh dem jeweiligen Grundversorger mitzuteilen.

DSK schafft Rechtssicherheit: „Berechtigtes Interesse“ der Vermieter bzw. Verwalter

Die Datenschutzkonferenz (DSK) erkenne, dass eine Rechtsunsicherheit bei der Zulässigkeit der Übermittlung von Mieterdaten an die Grundversorger drohen könnte. Um hier rechtliche Klarheit zu erreichen, hat sie sich in einem Beschluss dazu geäußert, unter welchen Voraussetzungen und ab welchem Zeitpunkt künftig eine Übermittlung der Mieterdaten an die Grundversorger datenschutzrechtlich zulässig ist:

Ab dem Zeitpunkt der Wohnungsübergabe dürften Vermieter bzw. beauftragte Verwalter Mieterdaten an den jeweiligen Grundversorger übermitteln. Es bestehe dann ein überwiegendes „berechtigtes Interesse“ der Vermieter bzw. Verwalter, wenn die Mieter noch keinen Stromlieferungsvertrag mit einem Versorger abgeschlossen haben und sie zuvor auf die beabsichtigte Datenübermittlung an den Grundversorger hingewiesen wurden.

DSK-Beschluss schafft für Mieter und Vermieter deutschlandweit Klarheit

Thomas Fuchs, der HmbBfDI, kommentiert: „Im engen Austausch mit dem Hamburger Grundversorger Vattenfall ist es gelungen, eine Regelung für die Umsetzung der neuen Vorgaben zu finden, die für alle Beteiligten stimmig ist.“

Diese Regelung schaffe als DSK-Beschluss nun deutschlandweit Klarheit. Vermieter informierten Mieter vorab über die Datenübermittlung, welche erst zum Tag des Mietbeginns erfolge.

Weitere Informationen zum Thema:

DSK DATENSCHUTZKONFERENZ, 28.05.2025
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28. Mai 2025 / Meldung von Mieter:innendaten an Grundversorger

DSK
DATENSCHUTZKONFERENZ

datensicherheit.de, 08.01.2025
Meike Kamp ist Vorsitzende der Datenschutzkonferenz 2025 / Berliner Datenschutzbeauftragte sieht u.a. Anonymisierung und Pseudonymisierung als Schwerpunkte

[datensicherheit.de, 18.04.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) weist in seiner aktuellen Stellungnahme darauf hin, dass Meta beabsichtigt, ab Mai 2025 Künstliche Intelligenz (KI) mit Posts, Fotos und Kommentaren der Nutzer von „facebook“ und „Instagram“ zu trainieren – die Daten aller volljährigen europäischen Nutzer sollen demnach für das Training der eigenen KI-Anwendungen eingesetzt werden. „Mit den Daten sollen dann KI-basierte Dienste des Unternehmens wie der Meta-AI-Chatbot auf ,WhatsApp’ oder Sprachmodelle wie ,Llama’ trainiert werden.“

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs, der HmbBfDI: Hier schützt nur ein rechtzeitiger Widerspruch. Wenn, dann jetzt!

Für 2024 geplanter KI-Trainingsbeginn zunächst verschoben

Bereits im vergangenen Jahr – 2024 – hatte Meta angekündigt, alle öffentlichen Beiträge und Fotos seiner europäischen „facebook“- und „Instagram“-Nutzer zum KI-Training zu verwenden. „Meta verschob das Vorhaben dann jedoch, nachdem sich die irische Datenschutzbehörde (IDPC), die EU-weit für Meta zuständig ist, mit datenschutzrechtlichen Fragen, vor allem zur Rechtsgrundlage sowie zur Transparenz, an das Unternehmen gewandt hatte.“ Das nun vorliegende Verfahren ermögliche einen einfacheren Widerspruch gegen die Verwendung der persönlichen Daten für das KI-Training durch Meta.

Registrierte Nutzer der Sozialen Netzwerke „facebook“ und „Instagram“ müssen sich nun entscheiden, ob das Unternehmen KI-Modelle mit ihren persönlichen Daten (Beiträge, Fotos etc.) trainieren darf. „Dies gilt nicht nur für die Zukunft, sondern für alle Daten aus der Vergangenheit.“ Wer keine Bedenken hat, dass seine öffentlich zugänglichen Beiträge, Kommentare und Fotos im eigenen Konto zum KI-Training genutzt werden, muss also nichts tun.

Widerspruch gegen KI-Training mit eigenen Daten sollte vor Ende Mai 2025 eingelegt werden

„Wer verhindern will, dass die eigenen Daten von Meta zu KI-Trainingszwecken verwendet werden, muss jetzt aktiv werden!“ Alle volljährigen europäischen Nutzer werden laut HmbBfDI von Meta entsprechend benachrichtigt und über ihre Möglichkeiten informiert. Widersprochen werden kann in den jeweiligen Apps oder für „facebook“ auf der Webseite „Kontaktformulare“ und für „Instagram“ auf der Webseite „Instagram-Hilfebereich“ (Anmeldung im eigenen Konto erforderlich).

„Soll der Widerspruch seine volle Wirkung entfalten, muss er vor Ende Mai 2025 eingelegt werden.“ Widerspruch sei zwar auch danach jederzeit möglich, doch lasse sich dann nicht mehr rückgängig machen, dass die eigenen Daten evtl. bereits für das KI-Training verwendet worden sind: „Trainingsdaten fließen unwiderruflich in KI-Modelle ein, und ihr Einfluss kann nach heutigem Stand der Technik nicht mehr aus dem Modell entfernt werden.“ Der HmbBfDI, Thomas Fuchs, kommentiert: „Ich kann gut verstehen, dass es Nutzer/innen sorgt, wenn alle ihre in Sozialen Netzwerken geteilten Bilder und Texte nun in KI-Modelle fließen. Hier schützt nur ein rechtzeitiger Widerspruch. Wenn, dann jetzt!“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 15.04.2025
Fragen und Antworten zum KI-Training von Meta mit persönlichen Daten

facebook
Hilfebereich / Melde dich bitte an

Instagram
Hilfebereich / Melde dich bitte an

datensicherheit.de, 15.08.2020
KI-Training: Künstliche Intelligenz benötigt Daten / Unternehmen erwarten steigenden Bedarf an Trainingsdaten für KI – zwei Drittel benötigen dafür auch personenbezogene Daten

[datensicherheit.de, 19.03.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) rät kurz vor dem kalendarischen Frühlingsbeginn zu einer Art Digitalem Frühjahrsputz – Unternehmen sollten sich von veralteten Unterlagen trennen: „Wenn digitale Dokumente und Papierakten personenbezogene Daten enthalten, dürfen sie nach der Datenschutz-Grundverordnung (DSGVO) nur so lange aufbewahrt werden, wie es erforderlich ist.“ Mindestens einmal im Jahr sei es deshalb Zeit, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten länger benötigt werden. Professionelle Datenverarbeiter erledigten dies automatisiert. Wo keine automatischen Routinen etabliert sind, müsse händisch gelöscht werden. „Dabei sollten Unternehmen und Behörden unbedingt prüfen, ob ihre Löschroutinen bereits die ab 2025 geltenden neuen gesetzlichen Aufbewahrungsfristen berücksichtigen.“

Je nach Datenart und Geschäftszweig müssen teilweise spezielle Fristen beachtet werden

Für viele Dokumente gälten gesetzlich festgelegte Mindestspeicherfristen. „Diese ergeben sich zumeist aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) mit einem abgestuften System aus sechs, acht und zehn Jahren. Detaillierte Überblicke darüber, was wie lange vorzuhalten ist, hat unter anderem die Handelskammer veröffentlicht.“

Je nach Datenart und Geschäftszweig kämen teilweise spezielle Fristen hinzu. So hätten beispielsweise Arztpraxen die berufsrechtliche Zehn-Jahres-Frist des Bürgerlichen Gesetzbuchs (BGB) oder auch die 30-Jahres-Frist der Strahlenschutzverordnung (StrlSchVO) zu beachten. Ein anderes Beispiel für besondere Fristen treffe Arbeitgeber, welche unter anderem Aufzeichnungen zur verrichteten Arbeitszeit, zum Jugendschutz und zum Mutterschutz zwei Jahre lang aufbewahren müssten.

„Wenn die Speicherfristen abgelaufen sind, müssen die Daten in der Regel unverzüglich gelöscht werden!“ Das Datenschutzrecht verlange jedoch keine sofortige Löschung in der Silvesternacht – je nach Komplexität des Systems könne der Prozess einige Wochen bis Monate dauern. „Wichtig ist, dass er zum Jahresbeginn direkt eingeläutet wird. Bis zum Frühlingsbeginn sollte die jährliche Löschung abgeschlossen sein.“

Neue Fristen ab 2025: Im Frühjahr müssen deutlich mehr Datenfelder bereinigt und Löschkonzepte angepasst werden

Dieses Jahr sei beim Digitalen Frühjahrsputz besondere Aufmerksamkeit geboten. Der Bundesgesetzgeber habe einige Aufbewahrungsfristen verkürzt, so dass auch die betroffenen Daten früher gelöscht werden müssten.

„Mit dem Vierten Bürokratie-Entlastungsgesetz sind die AO und das HGB angepasst worden. Die in der Praxis wichtigste Fallgruppe der Belege zu Buchungen muss jetzt acht Jahre anstelle der bisherigen zehn aufbewahrt und danach gelöscht werden.“

Für andere Dokumentenarten wie zum Beispiel Handelsbücher und Handelsbriefe bleibe es bei der Frist von zehn Jahren. Diese Gesetzesänderungen hätten zur Folge, dass im Frühjahr 2025 deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssten.

Interne Löschkonzepte für personenbezogene Daten ohne gesetzliche Aufbewahrungsfrist

„Auch personenbezogene Daten, für die es keine gesetzliche Aufbewahrungsfrist gibt, müssen gelöscht werden, wenn sie nicht mehr benötigt werden.“ Hierfür seien Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. „In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen.“

Die Länge dieser Fristen könne dabei, je nach Datenart und Geschäftszweig, stark variieren. Hilfestellung bei der internen Entscheidung gäben in der Regel die jeweiligen Branchenverbände. Es könne auch sinnvoll sein, sich an zivilrechtlichen Verjährungsfristen zu orientieren. Für die Löschung datenschutzrechtlicher Dokumentationen zum Beispiel zur Beantwortung eines Auskunftsantrags biete es sich an, sich an der dreijährigen Verjährungsfrist für Ordnungswidrigkeiten zu orientieren.

Dem HmbBfDI ist nach eigenen Angaben vor allem wichtig, dass Unternehmen sich ein nachvollziehbares Löschkonzept gegeben haben und die daran anschließende Löschung auch tatsächlich funktioniert. „Wie lange die im Konzept verankerten Fristen sind, kann das jeweilige Unternehmen am besten einschätzen.“ Die Aufsichtsbehörde stelle dabei keine Zeitspannen in Frage, welche auf unternehmerischer Erfahrung basierend plausibel begründet würden – „solange sie nicht exzessiv ausgedehnt werden“.

Bußgelder zur Ahndung unzureichender Datenlöschung

Die konzeptionelle und faktische Umsetzung des Löschgebots sei ein Schwerpunktthema des HmbBfDI. Bei Routinekontrollen der Datenhaltung in Unternehmen werde regelhaft nach Aufbewahrungsfristen und Löschprozessen gefragt. „Im Herbst 2024 hatte der HmbBfDI beispielsweise die entsprechende Praxis bei Dienstleistern des Forderungsmanagements überprüft. In dem Zusammenhang hat er gegen ein Unternehmen ein Bußgeld in Höhe von 900.000 Euro wegen unzureichender Datenlöschung verhängt.“

In einem weiteren Fall der Branche habe er ein derzeit noch laufendes Bußgeldverfahren eröffnet. Das Thema Datenlöschung sei auch europaweit in den Fokus gerückt – als Jahresthema des „Coordinated Enforcement Framework“ der Mitglieder des Europäischen Datenschutzausschusses.

Der HmbBfDI, Thomas Fuchs, führt zu der Thematik aus: „,Big Data’ ist nicht ,Old Data’!“ Kunden müssten nicht ewig in den Datenspeichern von Unternehmen bleiben, mit denen sie vor Jahren einmal Kontakt hatten. Datensilos nur für den Fall aufwachsen zu lassen, dass man Informationen vielleicht später noch einmal brauchen könnte, sei nicht akzeptabel. „Stimmige Löschkonzepte sind Ausdruck einer guten Daten-Compliance im Unternehmen – und eine Rechtspflicht“, betont Fuchs abschließend.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 05.03.2025
CEF 2025: Einleitung einer koordinierten Durchsetzung des Rechts auf Löschung

HK Hamburg
Steuer- und Handelsrecht / Aufbewahrungsfristen von Geschäftsunterlagen

Die Bundesregierung, 01.01.2025
Bürokratieentlastungsgesetz / Bürokratie abbauen – Wirtschaft entlasten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 12.11.2024
Branchenweite Schwerpunktprüfung im Forderungsmanagement / 900.000 Euro Bußgeld wegen Verstoßes gegen Löschpflichten

Bundesministerium der Justiz
Abgabenordnung (AO) / § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen

Bundesministerium der Justiz
Handelsgesetzbuch / § 257 Aufbewahrung von Unterlagen / Aufbewahrungsfristen

Bundesministerium der Justiz
Arbeitszeitgesetz (ArbZG) / § 16 Aushang und Arbeitszeitnachweise

Bundesministerium der Justiz
Gesetz zum Schutze der arbeitenden Jugend (Jugendarbeitsschutzgesetz – JarbSchG) / § 50 Auskunft, Vorlage der Verzeichnisse

Bundesministerium der Justiz
Gesetz zum Schutz von Müttern bei der Arbeit, in der Ausbildung und im Studium (Mutterschutzgesetz – MuSchG) / § 27 Mitteilungs- und Aufbewahrungspflichten des Arbeitgebers, Offenbarungsverbot der mit der Überwachung beauftragten Personen

datensicherheit.de, 07.03.2025
Recht auf Löschung: Landesdatenschutzbeauftragter Rheinland-Pfalz unterstützt europaweite Prüfaktion / Zum Recht auf Löschung gehen bei Datenschutzaufsichtsbehörden viele Beschwerden ein

[datensicherheit.de, 16.01.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ist in seiner Stellungnahme vom 13. Februar 2025 auf die Vorreiterrolle Hamburg in Fragen der Transparenz auf politischer Ebene eingegangen. Demnach gilt Hamburg mit seinem Transparenzgesetz als Vorbild für andere Länder in Deutschland. Nachholbedarf habe indes noch bei der Transparenz der Lobby-Kontakte der Senats- und Bürgerschaftsmitglieder bestanden. Diese Lücke werde nun geschlossen, denn am 12. Februar 2025 habe die Hamburger Bürgerschaft ein Lobby-Registergesetz beschlossen.

Neues Hamburger Lobby-Registergesetz mit legislativ-exekutivem „Fußabdruck“

Künftig müsse sich jeder Interessenvertreter, der sich regelmäßig an Senat oder Bürgerschaft bzw. an hochrangige Entscheidungsträger in den Behörden wendet, in ein Lobby-Register eintragen. Das neue Lobby-Registergesetz sehe auch einen legislativ-exekutiven „Fußabdruck“ vor: Stellungnahmen, mit denen Einfluss auf konkrete Gesetzesvorhaben genommen werden soll, müssten nun zusammen mit den übrigen Gesetzesmaterialien veröffentlicht werden.

So werde besser nachvollziehbar, „welche Gruppen oder Personen sich mit ihren Positionen eingebracht und gegebenenfalls durchgesetzt haben“. Zudem müssten sich die Lobbyisten einem Verhaltenskodex für integre Lobby-Arbeit unterwerfen – bei Verstößen gegen die Gesetzespflichten drohten Bußgelder.

Hamburger Lobby-Register soll Versuche einer verdeckten politischen Einflussnahme erschweren

Der HmbBfDI wirbt nach eigenen Angaben „bereits seit Jahren für mehr Transparenz bei Lobby-Kontakten“. Ein Lobby-Register könne Versuche einer verdeckten politischen Einflussnahme erschweren und Verflechtungen zwischen Lobby-Gruppen und Entscheidungsträgern sichtbar machen. Dadurch sichere es langfristig auch das Vertrauen in die Integrität der Mandats- und Amtsträger.

Das vorliegende Gesetz biete dafür eine gute Basis. Wie schon das Transparenzgesetz sei es aus einer Volksinitiative hervorgegangen. Die Reichweite der Transparenzpflichten und die Sanktionsmöglichkeiten orientierten sich an vergleichbaren Regelungen in Bund und Ländern – mit einer Besonderheit: „Wer der Meinung ist, dass im Register Informationen fehlen, die eintragungspflichtig sind, kann in einem Vermittlungsverfahren den HmbBfDI anrufen.“ Der HmbBfDI sei damit der erste Informationsfreiheitsbeauftragte, der auch im Zusammenhang mit einem Lobbyregister Aufgaben übernehme.

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit als unabhängige Beschwerdestelle

Der HmbBfDI, Thomas Fuchs, kommentiert: „Es ist sehr erfreulich, dass es noch in dieser Legislaturperiode gelungen ist, ein Lobby-Registergesetz zu verabschieden, dass sich auch im bundesweiten Vergleich sehen lassen kann – mit klaren Transparenzpflichten, legislativem ,Fußabdruck’ und einer unabhängigen Beschwerdestelle.“

Lobbyismus sei nicht grundsätzlich fragwürdig, er dürfe aber nicht im Verborgenen stattfinden. „Das neue Lobby-Register kann einen Beitrag dazu leisten, das ,Hinterzimmer’ abzuschaffen und Versuche der Einflussnahme in die Öffentlichkeit zu bringen“, so Fuchs abschließend.

Weitere Informationen zum Thema:

BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG, 02.01.2025
Drucksache 22/17395 / Ein weiterer Meilenstein für mehr Transparenz und Vertrauen in die Politik: Nach dem Transparenzportal bekommt Hamburg nun auch ein Lobbyregister

[datensicherheit.de, 16.04.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat laut einer eigenen Meldung vom 15. April 2024 seinen „Tätigkeitsbericht Datenschutz 2023“ vorgestellt: Die Beschwerden nähmen zu – die Unternehmen vernachlässigten häufig die Löschpflichten. Im Hamburger Rathaus übergab der HmbBfDI, Thomas Fuchs, seinen Tätigkeitsbericht an die Bürgerschaftspräsidentin, Carola Veit.

Abbildung: HmbBfDI

„Tätigkeitsbericht Datenschutz 2023“ in Hamburg vorgestellt

KI-Verordnung: Aufsicht sollte bei Datenschutzbehörden liegen

Zur kürzlich verabschiedeten KI-Verordnung (KI-VO) behandelt der Tätigkeitsbericht 2023 demnach eine entscheidende Frage in der Einleitung: „Wer wird in Deutschland die Aufsicht über deren Einhaltung übernehmen?“

Fuchs benennt hierzu eine klare Zuständigkeit:„Meines Erachtens kommen für die Aufsicht über die Anwendung von KI-Systemen nur die Datenschutzaufsichtsbehörden in Betracht. Wir kennen die IT-Systeme der Behörden und Unternehmen, insoweit sie personenbezogene Daten verarbeiten.“ Er warnt: „Neue Aufsichtsstrukturen führen nur zu mehr Bürokratie für die Anwender.“

Bei wichtigen politischen Themen sind Datenschutzbehörden laut KI-VO ohnehin zuständig

Bei wichtigen politischen Themen würden die Datenschutzbehörden nach der KI-VO ohnehin zuständig sein. „Wenn KI zur Strafverfolgung oder in Migrationsfragen eingesetzt wird oder Wahlen beeinflussen könnte, werden Datenschutzbehörden die Aufsicht führen.“

Fuchs fordert: „Diese Aufsicht sollte zu einer allgemeinen Zuständigkeit vervollständigt werden: So würden konkrete Risiken beim Einsatz von KI-Produkten, wie Gefährdungen für Gesundheit, Sicherheit und Grundrechtsschutz aus einer Hand kontrolliert werden.“

Zunahme der gemeldeten Datenschutz-Verletzungen…

Die Zahl der Beschwerdeverfahren habe wieder zugenommen und liege mit 2.537 Fällen knapp 20 Prozent über dem Vorjahreswert von 2.160. Dieser Anstieg sei größtenteils auf eine wachsende Zahl von Beschwerden im Zusammenhang mit Produkten von „Meta“ und „Google“ und die federführende Rolle des HmbBfDI in Deutschland für diese Unternehmen zurückzuführen.

Weiter ansteigend seien auch die gemeldeten Datenschutz-Verletzungen: „Nach 859 Fällen im Vorjahr stieg die Zahl der Data-Breach-Meldungen auf insgesamt 925, die Zahl gemeldeter Hacker-Angriffe auf 235 (im Vorjahr 227). Nur zur Erinnerung: Im Jahr 2019 gab es in Hamburg nur 74 gemeldete Hacker-Angriffe.“ Zudem habe der HmbBfDI 20 Bußgeldverfahren im Jahr 2023 eingeleitet.

Unternehmen vernachlässigen Löschpflichten für nicht mehr genutzte Datenbestände mit Personenbezug

Zahlreiche, auch aktuelle, Verfahren des HmbBfDI beträfen gravierende Fehler von Unternehmen im Umgang mit veralteten Datenbeständen. „So werden nicht mehr genutzte Datenbestände mit Personenbezug, wie etwa Ausweiskopien oder Finanzdaten, nicht gelöscht, obwohl der Zweck der Datenverarbeitung schon lange entfallen ist.“ Dies sei nicht nur eine Verletzung der DSGVO, sondern auch Ausdruck eines mangelhaften Datenmanagements, welches der HmbBfDI in den verschiedensten Branchen, von Inkasso-Diensten bis zum Gastgewerbe, beobachtet habe.

Ein Löschkonzept gehöre zur datenschutzrechtlichen Grundausstattung jeder datenverarbeitenden Stelle. Dafür brauche es bereits vor der Erhebung eine Bestandsaufnahme, „welche Daten überhaupt gesammelt werden und wie lange sie voraussichtlich benötigt werden“. Eine weitere Aufbewahrung ohne konkreten Zweck verletze die Rechte der Betroffenen. Fuchs kommentiert: „,Old Data’ ist nicht ,Big Data’: Wenn die Kundenbeziehung endet, sind die erhobenen Daten je nach Typ sofort oder nach festgelegten Fristen zu löschen.“

Datenschutzaufsicht übernimmt gestaltende Rolle

Immer stärker komme die gestaltende Rolle der Datenschutzaufsichtsbehörden zum Tragen und lasse sich an konkreten Projekten ablesen: „So konnte Google im Jahr 2023 seinen Dienst ,Street View’ durch neue Aufnahmen aktualisieren. Aufgrund großen Widerstands gegen die Aufnahmen im Jahr 2010 war der Dienst in Deutschland seitdem nicht mehr erneuert worden, so dass Gebäude jüngeren Datums, wie beispielsweise die Elbphilharmonie, nicht auffindbar waren.“

Der HmbBfDI habe für diese Aktualisierung frühzeitig klare Regeln vereinbart, welche das Recht der Bürger auf Informationelle Selbstbestimmung – in diesem Fall die Weigerung, das eigene Haus abbilden zu lassen – durch ein umfassendes Widerspruchsrecht gesichert hätten, aber „dem Unternehmen zugleich die Nutzung der geduldeten Bilder ermöglichten“. Auch in anderen Fällen, etwa bei der Ausgestaltung von sogenannten Pur-Abo-Modellen, hätten mit betroffenen Unternehmen datenschutzkonforme Lösungen gefunden werden können.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
TÄTIGKEITSBERICHT DATENSCHUTZ 2023

[datensicherheit.de, 16.02.2023] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) meldet, dass das Bundesverfassungsgericht (BVerfG) mit seiner Entscheidung vom 16. Februar 2023 den § 49 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG) für nichtig erklärt hat. Diese Vorschrift verstoße gegen das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Informationelle Selbstbestimmung.

Bisher nicht zwischen Daten über Personen, die Anlass für eine Maßnahme gegeben haben, und jenen anderer unterschieden

„§ 49 PolDVG gestattete die automatisierte Auswertung von bei der Polizei Hamburg vorhandenen Daten zur vorbeugenden Bekämpfung bestimmter Straftaten. Es ließ die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zu.“ Dabei wurde demnach nicht zwischen Personen, die einen Anlass für eine Maßnahme gegeben haben, und den Daten anderer unterschieden. Dadurch habe die Gefahr bestanden, dass auch zahlreiche rechtlich unbeteiligte Personen von weiteren polizeilichen Maßnahmen betroffen gewesen wären, die z.B. als Zeuge oder Erstatter einer Anzeige in einem polizeilichen Datensystem gespeichert sind.

Perspektivisch gehe es nicht um ein grundsätzliches Verbot der Nutzung von Auswertungssoftware durch die Polizei, sondern vielmehr um eine klare Definition der sog. Eingriffsschwelle und damit um eine Begrenzung des Einsatzes auf konkrete Gefahren für bedeutende Rechtsgüter oder bevorstehende schwere Straftaten. Aus geringerem Anlass würden solche Auswertungen in Zukunft
nur dann möglich sein, „wenn die Auswertungsmethoden durch den Gesetzgeber klarer begrenzt werden und dadurch auch das Eingriffsgewicht geringer ausfällt“.

Automatisierte Auswertungen von Daten auf Grundlage von § 49 PolDVG in Hamburg noch nicht durchgeführt

Unmittelbare praktische Auswirkungen auf die Arbeit der Polizei Hamburg und des HmbBfDI habe diese Entscheidung des BVerfG zunächst nicht, denn bisher seien automatisierte Auswertungen von Daten auf der Grundlage von § 49 PolDVG in Hamburg noch nicht durchgeführt worden. „Deswegen wurde durch das BVerfG für Hamburg auch – anders als für Hessen – keine übergangsweise Anwendung der Norm angeordnet, da dies für Hamburg praktisch nicht notwendig ist.“

Allerdings habe die Entscheidung Auswirkungen auf den potenziellen Einsatz von Analysesoftware im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“. In dessen Kontext sei bereits federführend durch das Bayerische Landeskriminalamt der Zuschlag an das Unternehmen Palantir für ein neues verfahrensübergreifendes Recherche- und Analysesystem (VeRa) erteilt worden. Die Hamburger Polizei habe ihr Interesse an VeRA bekundet, aber noch keine Entscheidung getroffen. Für den Einsatz dieser Software sei die rechtliche Grundlage nun erstmal entfallen.

Durch neue Datenauswertungstechnologien schwere Grundrechtseingriffe möglich

Thomas Fuchs, als Sachkundiger bei der Verhandlung des BVerfG in Karlsruhe aufgetreten, begrüßt nach eigenen Angaben das Urteil:„Das Gericht ist im Wesentlichen unserer Argumentation gefolgt, dass die durch neue Datenauswertungstechnologien möglichen schweren Grundrechtseingriffe nur aufgrund eindeutiger rechtlicher Grundlagen erfolgen können.“ Dies sei durch das sehr unbestimmte Hamburgische Gesetz nicht gegeben gewesen.

Darüber hinaus gebe das Urteil wichtige Hinweise für die Möglichkeiten und Grenzen beim Einsatz automatisierter Systeme. Die Hamburgische Bürgerschaft sei nun aufgefordert, dies neu und grundrechtskonform zu regeln. Bei der Gelegenheit sollten auch andere polizeiliche Eingriffsnormen nachgeschärft und mit der aktuellen Rechtsprechung des BVerfG in Einklang gebracht werden.

Weitere Informationen zum Thema:

Bundesverfassungsgericht
Leitsätze zum Urteil des Ersten Senats vom 16. Februar 2023 / – 1 BvR 1547/19 – / – 1 BvR 2634/20 – / Automatisierte Datenanalyse