Datenschutz

Das unterschätzte Risiko: Wenn vertrauliche Post in fremden Händen landet

Die Szenarien ähneln sich: Ein Bescheid vom Sozialamt landet im Briefkasten einer wildfremden Person. Eine Rechnung mit sensiblen Patientendaten wird an die falsche Faxnummer gesendet. Oder eine E-Mail mit Gehaltsabrechnungen erreicht versehentlich einen Mitarbeiter, der diese Informationen nicht sehen sollte. Was zunächst wie ein bedauerliches Versehen wirkt, entpuppt sich bei näherer Betrachtung als handfester Datenschutzverstoß mit potenziell weitreichenden Konsequenzen.

Am 24. November 2025 setzte die Schweiz ein Zeichen, das in ganz Europa Wellen schlagen dürfte. Privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, verabschiedete eine Resolution, die auf ein faktisches Verbot internationaler Cloud-Dienste für Behörden hinausläuft. Insbesondere die Hyperscaler Microsoft, Google und Amazon sind betroffen. Die Botschaft ist eindeutig: Wer Bürgerdaten ernst nimmt, darf sie nicht in die Hände US-amerikanischer Konzerne legen.

Was heise online als “breites Cloud-Verbot” titelt, ist bei genauerer Betrachtung noch drastischer. Die Resolution lässt praktisch keine Möglichkeit mehr, Software-as-a-Service (SaaS)-Lösungen wie Microsoft 365 datenschutzkonform zu nutzen – zumindest nicht, wenn besonders schützenswerte oder gesetzlich geheimhaltungspflichtige Daten verarbeitet werden. Und das betrifft praktisch alle Behördendaten, denn die meisten unterliegen dem Amtsgeheimnis.

“Wenn ich heute ein Smartphone konfigurieren würde, würde ich Daniel Micays GrapheneOS als Basis-Betriebssystem verwenden.” Diese Worte stammen von Edward Snowden. Ein Mann, der sein Leben riskierte, um uns vor Massenüberwachung zu warnen. Ein Mann, der weiß, wovon er spricht, wenn es um digitale Sicherheit geht. Und er schwört auf GrapheneOS.

Das sollte uns zu denken geben. Denn während Millionen Menschen täglich ihr Leben in die Hände von Google und Apple legen – ihren Standort, ihre Kontakte, ihre Nachrichten, ihre Fotos –, gibt es eine Alternative. Eine, die Datenschutz und Sicherheit nicht als Marketing-Versprechen versteht, sondern als technische Realität.

Am 15. November 2025 verkündete Alexander Roßnagel, Hessens Beauftragter für Datenschutz und Informationsfreiheit, eine Entscheidung, die vielen wie ein verspäteter Aprilscherz vorkommen dürfte: Microsoft 365 sei nun datenschutzkonform nutzbar. Nach monatelangen Verhandlungen mit dem Konzern aus Redmond habe man die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst. Das klingt zunächst beruhigend – bis man erfährt, was genau untersucht wurde. Oder besser: was nicht untersucht wurde.

Die Prüfung, die keine war

Roßnagels Behörde hat Microsoft 365 niemals technisch geprüft. Nicht ein einziges Mal. Die Software, die in Tausenden Behörden und Unternehmen sensible Daten verarbeiten soll, wurde nicht auf ihre tatsächlichen Datenflüsse analysiert. Niemand hat nachgesehen, welche Informationen wo landen, welche Telemetriedaten gesammelt werden, welche Verbindungen zu welchen Servern bestehen. Als heise online nachfragte, antwortete Roßnagel erstaunlich offen: „Dazu sind wir personell überhaupt nicht in der Lage."

Es ist ein Lehrstück darüber, wie Politik funktioniert – oder besser: nicht funktioniert. Während ein Bundesland zeigt, wie man sich von Big Tech emanzipiert, läuft ein anderes sehenden Auges in die totale Abhängigkeit. Bayern will bis Ende 2025 einen Vertrag mit Microsoft über die Nutzung von Microsoft 365 für die gesamte Landesverwaltung abschließen. Fast eine Milliarde Euro über fünf Jahre. Ohne Ausschreibung. Ohne ernsthafte Prüfung von Alternativen. Und das Schlimmste: ohne Lösung für das fundamentale DSGVO-Problem.

Es sollte selbstverständlich sein: Bürger haben das Recht zu erfahren, welche Daten Behörden über sie gespeichert haben. Artikel 15 der Datenschutz-Grundverordnung verspricht vollständige Transparenz. Doch die Realität in nordrhein-westfälischen Ämtern, Schulen und Kommunen sieht anders aus. Behörden antworten unvollständig, verzögert oder verweisen auf technische Unmöglichkeiten. Das Problem: Wer nicht weiß, welche Daten die öffentliche Hand über ihn speichert, kann auch keine anderen Rechte geltend machen.

Das Fundament aller Betroffenenrechte

Das Auskunftsrecht nach Artikel 15 DSGVO ist nicht verhandelbar. Es ist die Grundlage, auf der alle anderen Datenschutzrechte aufbauen. Für öffentliche Stellen in NRW gelten die DSGVO sowie das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW), das zusätzliche Regelungen für Behörden, Schulen und Kommunen enthält.

Seit über drei Jahren versucht die EU-Kommission, ein Gesetz durchzusetzen, das die verschlüsselte Kommunikation aller Bürger durchleuchten würde. Die offizielle Begründung: Kinderschutz. Das Ziel: die Bekämpfung von Darstellungen sexuellen Kindesmissbrauchs. Die Realität: ein beispielloser Eingriff in die Grundrechte, der wissenschaftlich widerlegt, juristisch bedenklich und technisch gefährlich ist.

Ein Gesetz, das nicht sterben will

Die Geschichte der Chatkontrolle gleicht einer politischen Zombie-Apokalypse. Seit dem ersten Vorschlag im Mai 2022 wurde das Vorhaben mehrfach begraben – nur um von der jeweils amtierenden Ratspräsidentschaft wiederbelebt zu werden. Belgien scheiterte, Ungarn scheiterte, auch Dänemark scheiterte im September 2025 und erneut im Oktober 2025. Doch das Vorhaben liegt nicht etwa am Widerstand von Technologieunternehmen oder mangelnder politischer Unterstützung. Es scheitert an der Realität: Mehr als 470 Wissenschaftler aus 34 Ländern haben sich dagegen ausgesprochen. Die Gesellschaft für Informatik warnt eindringlich. Der Chaos Computer Club spricht von “gefährlichem Vorstoß”. Selbst der juristische Dienst des EU-Rates hält das Vorhaben für rechtswidrig.

Am Morgen des 20. Oktober 2025 erlebte Europa einen digitalen Stillstand. Signal versagte den Dienst, Zoom-Meetings blieben schwarz, Duolingo-Nutzer konnten nicht lernen, und im Vereinigten Königreich war es unmöglich, Steuererklärungen einzureichen. Der Grund: Ein DNS-Problem in der AWS-Region US-EAST-1 legte weltweit über 2.000 Dienste lahm und betraf mehr als 8,1 Millionen Nutzer.

Was als technischer Zwischenfall begann, offenbart eine beängstigende Wahrheit über die digitale Infrastruktur Europas: Wir haben uns in eine gefährliche Abhängigkeit von US-amerikanischen Tech-Konzernen manövriert, aus der es kein einfaches Entkommen gibt.

Die Einführung der elektronischen Patientenakte (ePA) wird von der Bundesregierung als Meilenstein der Digitalisierung im Gesundheitswesen gefeiert. Ab Januar 2025 soll jeder gesetzlich Versicherte automatisch eine ePA erhalten – es sei denn, er widerspricht aktiv. Was auf den ersten Blick nach Fortschritt klingt, entpuppt sich bei genauerer Betrachtung als datenschutzrechtliches Minenfeld mit weitreichenden Konsequenzen für die Privatsphäre von Millionen Menschen.

Das Opt-Out-Verfahren: Einwilligung auf den Kopf gestellt

Mit dem Wechsel vom Opt-In zum Opt-Out hat die Bundesregierung einen fundamentalen Paradigmenwechsel vollzogen. Statt dass Versicherte bewusst und informiert einwilligen müssen, wird ihnen die ePA automatisch aufgezwungen. Wer seine intimsten Gesundheitsdaten nicht zentral gespeichert haben möchte, muss aktiv widersprechen – und das rechtzeitig.

Während Großkonzerne weltweit die digitale Kommunikation dominieren und Nutzerdaten in gigantischen Rechenzentren sammeln, geht ein deutsches Bundesland einen anderen Weg. Rheinland-Pfalz hat mit dem Schulchat RLP einen Messenger entwickelt, der zeigt, dass digitale Souveränität keine Utopie sein muss – sondern gelebte Praxis werden kann.

Ein Vortrag, der aufhorchen lässt

Auf der Matrix Conference 2025 präsentierten Lisa Kostrzewa, Jan Krammer, Philipp Monz und Dr. Roland Alton ein Projekt, das in der deutschen Bildungslandschaft seinesgleichen sucht. Der Schulchat RLP ist nicht einfach nur eine weitere Messenger-App. Er ist das Ergebnis einer bewussten Entscheidung gegen proprietäre Lösungen und für digitale Selbstbestimmung.