Barbara Schmitz ist Rechtsanwältin bei der BAY GmbH Wirtschaftsprüfungs- und Rechtsanwaltsgesellschaft in München sowie Mitglied des Wissenschaftsbeirats der ZD.
ZD 2025, 425 Am 16.6.2025 hat die Datenschutzkonferenz des Bundes und der Länder (DSK) gleichzeitig fünf Papiere veröffentlicht. Diese umfassen eine Musterrichtlinie zum Bußgeldverfahren, eine technische Orientierungshilfe zur KI sowie mehrere Beschlüsse und Entschließungen zu Themen wie Cloud-Infrastrukturen, digitale Gesundheitsversorgung und das Spannungsverhältnis zwischen Freiheitsrechten und Sicherheitsgesetzen. Die Beiträge greifen nicht nur rechtliche Anforderungen der Digitalisierung auf, sondern beziehen auch technische Entwicklungen und gesellschaftspolitische Aspekte mit ein. Im Überblick:
Musterrichtlinie für das Verfahren über DS-GVO-Geldbußen (MRiDaVG)
Die Musterrichtlinie ist iRe Festlegung der DSK ergangen und gliedert sich in sechs Teile mit insgesamt 23 Nummern. Dem einleitenden Absatz der Festlegung ist zu entnehmen, dass mit den Vorgaben der Richtlinie ein bundeseinheitliches Bußgeldverfahren bei den Datenschutzaufsichtsbehörden sichergestellt werden soll. Lt. Nr. 2 finden die Vorgaben Anwendung auf Bußgeldverfahren der DSK-Aufsichtsbehörden, die „inländische und grenzüberschreitende Datenverarbeitungsvorgänge“ betreffen. Hierbei wird konkret auf die Anforderungen zur Zusammenarbeit und Kohärenz der Aufsichtsbehörden in Art. 60, 65 DS-GVO verwiesen.
Die Richtlinie differenziert zwischen dem datenschutzrechtlichen Bußgeldverfahren und dem Verwaltungsverfahren. Die Datenschutzaufsichtsbehörden sind Verwaltungsbehörden und die Befugnisse der Aufsichtsbehörden nach Art. 58 DS-GVO, Untersuchungs- und Abhilfemaßnahmen durchzuführen, sind demnach verwaltungsrechtliche Maßnahmen. Auf Verwaltungsverfahren finden die Vorgaben gem. Nr. 2 Abs. 1 S. 2 MRiDaVG keine Anwendung. Auch wenn das Bußgeldverfahren in Art. 58 Abs. 2 lit. i DS-GVO mit aufgezählt wird, ist es kein Verwaltungsverfahren im eigentlichen Sinne, da es auf „die Verfolgung und Ahndung von Ordnungswidrigkeiten“ ausgerichtet ist und damit gem. § 2 Abs. 2 Nr. 2 VwVfG vom Anwendungsbereich des VwVfG ausgenommen wird.
Demnach gilt die MRiDaVG nicht für Kontroll- und Überwachungsaufgaben im Vorfeld eines Bußgelds, wie Warnung, Anweisung, Änderungsanordnung, Untersagung einer Verarbeitung oder Verwarnung. Ebenfalls nicht erfasst sind Behörden und sonstige öffentliche Stellen. Nach Art. 83 Abs. 7 DS-GVO können diese nur dann mit Geldbußen belegt werden, wenn das nationale Recht dies ausdrücklich vorsieht. Eine solche Regelung existiert im BDSG jedoch nicht. Im Gegenteil: § 43 Abs. 3 BDSG schließt die Verhängung von Geldbußen gegenüber Bundesbehörden ausdrücklich aus. Die Bundesländer haben sich dieser Regelung in ihren jeweiligen Landesdatenschutzgesetzen weitgehend angeschlossen.
Darüber hinaus setzt die Musterrichtlinie zentrale Vorgaben des EuGH-Urteils in der Rs. Deutsche Wohnen (ZD 2024, 203 mAnm von dem Bussche) um. In Nr. 5 wird das Prinzip der unmittelbaren Verbandshaftung festgelegt. Dieses Prinzip erlaubt es, Geldbußen direkt gegenüber juristischen Personen zu verhängen, ohne dass ein konkreter individueller Pflichtverstoß durch eine Leitungsperson nachgewiesen werden muss. Damit findet das in § 30 OWiG verankerte sog. Rechtsträgerprinzip iRd DS-GVO-Bußgeldverfahren keine Anwendung mehr.
In Nr. 9 legt die DSK fest, wann Verfahren von den Aufsichtsbehörden eingeleitet werden können. So können Verfahren eingeleitet werden, wenn ein Sachverhalt den Aufsichtsbehörden „bekannt geworden ist oder von der Staatsanwaltschaft, den Polizeibehörden oder von einer anderen Behörde abgegeben oder übermittelt wurde.“ Bei Meldungen iRv Datenschutzvorfällen nach Art. 33, 34 BDSG legt Nr. 9 Abs. 3 das Verwendungsverbot in § 43 Abs. 4 BDSG dahingehend aus, dass das Bußgeldverfahren nur dann nicht weiter betrieben wird, „soweit die meldende Stelle durch die gemeldete Verletzung das Verschulden eines Datenschutzverstoßes zugesteht.“ Aus einem zustimmungsabhängigen Verwertungsverbot in § 43 Abs. 4 BDSG wird in Nr. 9 MRiDaVG ein Verwendungsverbot nur nach Schuldeingeständnis.
Mit den Vorschriften in Teil 6 (Nr. 20-23) wird geregelt, ob und in welchem Umfang Informationen über das Bußgeldverfahren mitgeteilt werden können. So „teilt die Datenschutzaufsichtsbehörde dem Gewerbezentralregister (GZR) beim Bundesamt für Justiz in Bonn eine rechtskräftige Entscheidung über Geldbußen mit, soweit die Voraussetzungen des § 149 GewO vorliegen.“ (Nr. 21). In Nr. 22 und 23 wird der Umgang mit Auskunftsersuchen Dritter und die Offenlegung „im Rahmen eigener Öffentlichkeitsarbeit“ geregelt. Bei der Mitteilung an Dritte ist der Betroffene „vor der Auskunftserteilung anzuhören“ und es ist zu prüfen, ob „Betriebs- und Geschäftsgeheimnisse, der Schutz der Berufsfreiheit sowie jeder Umstand, der über die informationelle Selbstbestimmung als solche hinausgeht, wie der Schutz besonders sensibler personenbezogener Daten“ einer Auskunftserteilung an Dritte entgegenstehen. Mitteilungen iRd eigenen Öffentlichkeitsarbeit müssen grundsätzlich „sachlich und inhaltlich richtig sein“ (Nr. 23 Abs. 2), sind gegenüber „Presse- und Medienvertreter:innen wahrheitsgemäß und sachlich zu beantworten“ (Nr. 23 Abs. 1) und lassen die Nennung des Namens oder der Firmierung des oder der von dem Verfahren über Geldbußen Betroffenen im Einzelfall zu, „wenn eine öffentliche Berichterstattung bereits namentlich oder unter Firmierung über den oder die Betroffenen stattgefunden hat.“ (Nr. 23 Abs. 3).
Entschließung: „Ohne Sicherheit keine Freiheit - Ohne Freiheit keine Sicherheit“
In dieser zweiseitigen Entschließung betont die DSK die Balance zwischen staatlicher Sicherheitsgewährleistung und Grundrechtsschutz und unterstreicht: „Ein starker Datenschutz ist kein Selbstzweck, sondern ein wesentliches Element des Rechtsstaats und die Voraussetzung für Sicherheit und Freiheit.“ Die Entschließung richtet sich an Sicherheits- und Ermittlungsbehörden.
Die DSK greift die politische Debatte um das Spannungsverhältnis zwischen den Erfordernissen der Sicherheitspolitik und dem Recht auf informationelle Selbstbestimmung auf. Sie betont, dass Datenschutz nicht als pauschaler Täterschutz missverstanden werden darf, sondern ein verfassungsrechtlich verankertes Abwehrrecht gegen unverhältnismäßige staatliche Eingriffe in die Freiheitsrechte der Bürgerinnen und Bürger ist. Nach Ansicht der DSK lässt sich dieses Spannungsverhältnis durch eine sorgfältige Verhältnismäßigkeitsprüfung im Einzelfall auflösen, bei der sowohl die Sicherheitsinteressen des Staates als auch die Grundrechte der Betroffenen angemessen zu berücksichtigen sind.
In der Entschließung teilt die DSK darüber hinaus mit, dass sie im Projekt „P20“ (https://www.bmi.bund.de/DE/themen/sicherheit/programm-p20/programm-p20-node.html) beratend bei der digitalen Transformation der polizeilichen IT-Infrastruktur und -Architektur mitgewirkt hat. Sie appelliert, statt mit voreiligen Gesetzesaktivitäten auf Sicherheitsvorfälle zu reagieren, die vorhandenen Eingriffsbefugnisse zu evaluieren. In diesem Zusammenhang verweist sie auf die Pilotstudie des Max-Planck-Instituts vom Januar 2025 (https://www.bmjv.de/SharedDocs/Publikationen/DE/Fachpublikationen/2025_Forschungsbericht_Ueberwachungsgesamtrechnung.pdf?__blob=publicationFile&v=6).
Orientierungshilfe zu KI-Systemen
In der 28-seitigen Orientierungshilfe (OH) konkretisiert die DSK, welche TOMs bei der Entwicklung und dem Betrieb von KI-Systemen iSd Datenschutzes erforderlich sind. Das Ziel besteht darin, Unternehmen, Behörden und Entwicklern eine praxisnahe Unterstützung zu bieten und diese mit den Prinzipien der Datenethik in Einklang zu bringen.
Die OH unterteilt die KI-Prozesse in vier Phasen: Konzeption und Design, Entwicklung, Einführung sowie Betrieb und Monitoring. In jeder dieser sog. Lebenszyklus-Phasen werden konkrete datenschutzrechtliche Anforderungen mit TOMs verknüpft. Im Designstadium wird bereits auf die Notwendigkeit von Privacy by Default und einer klaren Zweckbindung verwiesen. Die Empfehlung lautet, bereits in diesem ersten Stadium Maßnahmen zur Datenminimierung, Risikobewertung und Transparenz einzuplanen. Während der Entwicklungsphase sind Maßnahmen gegen Re-Identifikation, Verfahren zur Bias-Erkennung und Techniken wie Federated Learning oder Pseudonymisierung zu beachten.
In der 3. Lebensphase, bei der Einführung des KI-Systems, sind vorrangig die sog. Gewährleistungsziele wie Transparenz, Datenminimierung, Verfügbarkeit, Integrität und Vertraulichkeit zu berücksichtigen. Im laufenden Betrieb eines KI-Prozesses (4. Phase) wird Wert auf die Überwachung der Systeme, die Bewertung von Outputs, Schutz vor Manipulation sowie die kontinuierliche Aktualisierung der TOMs gelegt.
Entschließung zu „Confidential Cloud Computing“
Hier setzt sich die DSK mit dem Begriff und der Technologie des Confidential Cloud Computing auseinander. Grundlage für die Überlegungen sind Technologieprodukte verschiedener Anbieter, die „eine Verschlüsselung von Daten im Arbeitsspeicher oder reine Zugriffsbeschränkungen auf reservierte Speicherbereiche“ anbieten. Grundsätzlich soll mit dieser Technologie sichergestellt werden, dass die Nutzung der Cloud-Hardware durch verschiedene Kunden, aber auch der Zugriff durch den Cloud-Betreiber datenschutz- und datensicherheitskonform gewährleistet werden können. Dh, die in der Cloud gespeicherten Daten sollen auch während der Verarbeitung vor unberechtigten Zugriffen durch andere Nutzer oder durch den Cloud-Betreiber geschützt werden. Dabei handelt es sich idR um hardwarebasierte Trusted-Execution-Environments(TEE)-Technologie. Namentlich wird die Technologie in der Entschließung nicht genannt. Die DSK verwendet zur Einordnung die Begriffe „Angreifermodell“ und „Schlüsselmanagement“.
Im Ergebnis empfiehlt die DSK den Einsatz dieser Technologie als „weitere Schicht eines Defense-in-Depth-Ansatzes“, die dem allgemeinen Sicherheitsniveau dient und auch „Schutz gegen andere Nutzer und Innentäter“ bietet. Gleichzeitig warnt die DSK vor einfachen Lösungen in Werbeversprechen und führt im Fazit aus: „Absolute Vertraulichkeit ist nicht möglich und grundsätzlich ist davon auszugehen, dass ein Cloud-Betreiber Zugriffsmöglichkeiten auf die zu schützenden Daten besitzt.“
Beschluss zu Online-Terminverwaltungen in Heilberufen
Mit diesem Beschluss greift die DSK die Debatte über die datenschutzkonforme Gestaltung von Online-Terminbuchungen bei Heilberufspraxen auf und unterscheidet zwischen zwei Modellen der Terminverwaltung. Wird der Terminbuchungsdienstleister im Auftrag der jeweiligen Praxis tätig und hat der Patient kein eigenes Vertragsverhältnis oder Nutzerkonto, liegt eine klassische Auftragsverarbeitung vor. Wenn Patienten zur Terminbuchung ein Nutzerkonto beim Dienstleister anlegen müssen, entsteht nach Ansicht der DSK ein eigenes Vertragsverhältnis. Mit der Folge, dass „eine saubere Trennung der Verantwortlichkeiten erforderlich ist, die auch für die Patientinnen und Patienten klar erkennbar sein muss.“
In dem Fall einer Auftragsverarbeitung bedarf es keiner Einwilligung der Patienten, vorausgesetzt, die Datenverarbeitung erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. b DS-GVO (hier: Vereinbarung eines Behandlungstermins). Dabei sind die allgemeinen Datenschutzgrundsätze, insbesondere Transparenz, Datenminimierung und Zweckbindung, zu beachten. Eine Terminbenachrichtigung hingegen ist nach Ansicht der DSK als „erweitertes Serviceangebot“ für die Behandlung nicht erforderlich. Die Datenerhebung zu diesem Zweck bedarf daher einer ausdrücklichen Einwilligung. Auf der Grundlage dieses DSK-Beschlusses können Praxen ihre Terminlösungen auf Rechtmäßigkeit und Transparenz prüfen und anpassen.
Fazit
Trotz der thematischen Breite der fünf DSK-Papiere lassen sich strategische Querverbindungen erkennen. Drei übergeordnete Motive ziehen sich durch alle Veröffentlichungen: ein kohärenter Datenschutzansatz der Aufsichtsbehörden, technische Gestaltungsspielräume sowie die Erkennbarkeit und Kontrollierbarkeit von datenschutzrechtlichen Risiken. In einer zusammenfassenden Pressemitteilung zieht die DSK die Linien ihrer Positionen zusammen und signalisiert deutliche Kritik an aktuellen sicherheitspolitischen Gesetzesinitiativen. Dabei verweist sie auf ihre neuen Anwendungshilfen zu KI, Cloud und medizinischer Terminvergabe, um lösungsorientierte Wege aufzuzeigen, und formuliert in den Veröffentlichungen konkrete Handlungsempfehlungen, die sich an der Praxis orientieren. Gleichzeitig legt sie in den gesellschaftlich relevanten Bereichen wie KI, Sicherheitsgesetzgebung, Gesundheitsdatenverarbeitung und Cloud-Infrastrukturen Wert auf ein differenziertes Verständnis, das sich an den jeweiligen Kontext anpasst. Datenschutz wird hier nicht als Hemmnis verstanden, sondern als verfassungsrechtlicher Impulsgeber.