DSGVO

Eine weit verbreitete Falschbehauptung

In Diskussionen über Datenschutz fällt immer wieder ein Satz, der so selbstsicher wie falsch ist: “Datenschutz ist doch gar kein Grundrecht!” Diese Behauptung wird in Kommentarspalten, Podiumsdiskussionen und sogar in juristischen Debatten vorgebracht – meist von Menschen, die entweder die rechtlichen Grundlagen nicht kennen oder bewusst verschleiern wollen, welchen verfassungsrechtlichen Rang der Schutz personenbezogener Daten tatsächlich hat.

Die Wahrheit ist eine andere: Datenschutz ist sehr wohl ein Grundrecht. Und zwar auf mehreren Ebenen gleichzeitig. Diese Tatsache ist nicht nur juristisch eindeutig belegt, sondern bildet das Fundament unserer gesamten Datenschutzgesetzgebung. Wer das bestreitet, stellt sich gegen vier Jahrzehnte Rechtsprechung, gegen europäisches Verfassungsrecht und gegen die ausdrücklichen Feststellungen höchster Gerichte.

[Mehr]

Eine Theorie der symbolischen Gegenwehr

Im Juni 2013 erschütterte Edward Snowden mit seinen Enthüllungen das Fundament des digitalen Vertrauens. Was folgte, war nicht nur ein politischer Skandal, sondern ein tektonisches Beben im Verhältnis zwischen Bürgern, Staaten und Technologiekonzernen. Die Reaktion der Europäischen Union ließ nicht lange auf sich warten: Die Datenschutz-Grundverordnung wurde mit neuem Nachdruck vorangetrieben und 2018 in Kraft gesetzt. Doch war diese Reaktion mehr als ein symbolischer Akt? Diese Analyse untersucht die These, dass die DSGVO zwar eine direkte Antwort auf die Snowden-Enthüllungen darstellt, ihre Wirksamkeit gegen globale Überwachung jedoch von Anfang an strukturell begrenzt war.

[Mehr]

Ein Präzedenzfall mit Signalwirkung

Die österreichische Datenschutzbehörde hat einen bemerkenswerten Erfolg gegen den Tech-Giganten Microsoft erzielt. Die Entscheidung ist eindeutig: Microsoft hat ohne rechtliche Grundlage Tracking-Cookies auf den Geräten einer Schülerin platziert und muss diese Praxis innerhalb von vier Wochen einstellen. Was auf den ersten Blick wie ein einzelner Fall erscheint, entpuppt sich bei genauerer Betrachtung als Spitze eines Eisbergs, der Millionen von Schülern, Lehrern und öffentlichen Einrichtungen in ganz Europa betrifft.

[Mehr]

Die Illusion der digitalen Souveränität im Bildungssektor

Was als moderne Schulplattform angepriesen wird, entpuppt sich bei genauerer Betrachtung als weiteres Beispiel für die Abhängigkeit deutscher Bildungseinrichtungen von US-amerikanischen Tech-Konzernen. Die technische Analyse der Logineo NRW Messenger-Infrastruktur offenbart nicht nur interessante DNS-Details, sondern wirft grundlegende Fragen zur digitalen Souveränität und zum Datenschutz auf.

Technische DNS- und Netzwerkanalyse

Die Untersuchung einer anonymisierten Subdomain der Domain logineonrw-messenger.de mittels gängiger Konsolenwerkzeuge liefert aufschlussreiche Ergebnisse. Die durchgeführten Analysen umfassten:

[Mehr]

Die Wahrheit tut manchmal weh. Besonders wenn sie schwarz auf weiß dokumentiert ist und alle bisherigen Beteuerungen als das entlarvt, was sie waren: Schutzbehauptungen. Ein Rechtsgutachten der Universität zu Köln, erstellt im Auftrag des Bundesinnenministeriums und nun durch eine Anfrage nach dem Informationsfreiheitsgesetz öffentlich, räumt mit allen Illusionen auf. Was Heise Online berichtet, ist der juristische Offenbarungseid für die digitale Souveränität Europas: US-Behörden haben weitreichenden, rechtlich abgesicherten Zugriff auf europäische Cloud-Daten – völlig unabhängig davon, wo die Server physisch stehen.

[Mehr]

Das unterschätzte Risiko: Wenn vertrauliche Post in fremden Händen landet

Die Szenarien ähneln sich: Ein Bescheid vom Sozialamt landet im Briefkasten einer wildfremden Person. Eine Rechnung mit sensiblen Patientendaten wird an die falsche Faxnummer gesendet. Oder eine E-Mail mit Gehaltsabrechnungen erreicht versehentlich einen Mitarbeiter, der diese Informationen nicht sehen sollte. Was zunächst wie ein bedauerliches Versehen wirkt, entpuppt sich bei näherer Betrachtung als handfester Datenschutzverstoß mit potenziell weitreichenden Konsequenzen.

[Mehr]

Am 15. November 2025 verkündete Alexander Roßnagel, Hessens Beauftragter für Datenschutz und Informationsfreiheit, eine Entscheidung, die vielen wie ein verspäteter Aprilscherz vorkommen dürfte: Microsoft 365 sei nun datenschutzkonform nutzbar. Nach monatelangen Verhandlungen mit dem Konzern aus Redmond habe man die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst. Das klingt zunächst beruhigend – bis man erfährt, was genau untersucht wurde. Oder besser: was nicht untersucht wurde.

Die Prüfung, die keine war

Roßnagels Behörde hat Microsoft 365 niemals technisch geprüft. Nicht ein einziges Mal. Die Software, die in Tausenden Behörden und Unternehmen sensible Daten verarbeiten soll, wurde nicht auf ihre tatsächlichen Datenflüsse analysiert. Niemand hat nachgesehen, welche Informationen wo landen, welche Telemetriedaten gesammelt werden, welche Verbindungen zu welchen Servern bestehen. Als heise online nachfragte, antwortete Roßnagel erstaunlich offen: „Dazu sind wir personell überhaupt nicht in der Lage."

[Mehr]

Es ist ein Lehrstück darüber, wie Politik funktioniert – oder besser: nicht funktioniert. Während ein Bundesland zeigt, wie man sich von Big Tech emanzipiert, läuft ein anderes sehenden Auges in die totale Abhängigkeit. Bayern will bis Ende 2025 einen Vertrag mit Microsoft über die Nutzung von Microsoft 365 für die gesamte Landesverwaltung abschließen. Fast eine Milliarde Euro über fünf Jahre. Ohne Ausschreibung. Ohne ernsthafte Prüfung von Alternativen. Und das Schlimmste: ohne Lösung für das fundamentale DSGVO-Problem.

[Mehr]

Es sollte selbstverständlich sein: Bürger haben das Recht zu erfahren, welche Daten Behörden über sie gespeichert haben. Artikel 15 der Datenschutz-Grundverordnung verspricht vollständige Transparenz. Doch die Realität in nordrhein-westfälischen Ämtern, Schulen und Kommunen sieht anders aus. Behörden antworten unvollständig, verzögert oder verweisen auf technische Unmöglichkeiten. Das Problem: Wer nicht weiß, welche Daten die öffentliche Hand über ihn speichert, kann auch keine anderen Rechte geltend machen.

Das Fundament aller Betroffenenrechte

Das Auskunftsrecht nach Artikel 15 DSGVO ist nicht verhandelbar. Es ist die Grundlage, auf der alle anderen Datenschutzrechte aufbauen. Für öffentliche Stellen in NRW gelten die DSGVO sowie das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW), das zusätzliche Regelungen für Behörden, Schulen und Kommunen enthält.

[Mehr]

Die Entscheidung der österreichischen Datenschutzbehörde gegen Microsoft 365 Education ist kein Zufall, sondern Bestätigung jahrelanger Kritik: Unterrichtsdaten dürfen nicht für Tracking und Werbezwecke missbraucht werden. Der Präzedenzfall aus Österreich hilft auch deutschen Datenschützern und Schulen. [Mehr]