Datenschutz genießt heute eine besondere Bedeutung. Deshalb gibt es auch einen europäischen Datenschutztag. Er findet jährlich am 28. Januar statt und wurde 2007 vom Europarat ins Leben gerufen, um die Öffentlichkeit für den Schutz persönlicher Daten zu sensibilisieren. Das Datum wurde gewählt, weil am 28. Januar 1981 die ‘Europäische Datenschutzkonvention‘ unterzeichnet wurde. Ihr gehören die 47 Mitglieder des Europarats und einige weitere Staaten an. Einen vergleichbaren Erinnerungstag der Vereinten Nationen gibt es nicht. Allerdings würdigen auch die USA und Kanada den Europäischen Datenschutztag. Inzwischen haben sich weitere Staaten angeschlossen.

Am Datenschutztag finden weltweit Aktionen und Veranstaltungen statt, die zeigen, wie wichtig der Schutz der eigenen Daten im digitalen Zeitalter ist und für welche Zwecke personenbezogene Daten ermittelt und verarbeitet werden. Rund um die Uhr werden zunehmend persönliche Daten erhoben und genutzt, z.B. am Arbeitsplatz, beim Online-Shopping, bei Behörden oder im Gesundheitswesen. Jeder Schritt im Internet hinterlässt dort eine Spur, bei Unternehmen, Institutionen und staatlichen Organen.

Datenschutz soll die Überwachung durch Konzerne reduzieren. Oftmals wissen die Bürger/innen gar nicht, wo überall ihre Daten gespeichert sind und was mit ihnen geschieht. Viele sind sich der Risiken im Umgang mit ihren Daten und ihrer Rechte nicht hinreichend bewusst und wissen nicht, wie sie reagieren sollen, wenn diese verletzt werden. Dem soll der Datenschutztag mit Sensibilisierungskampagnen, mit Bildungsprojekten und mit öffentlichen Aufklärungsaktionen entgegenwirken. Immerhin betrachten 79% der Verbraucher/innen die Einhaltung des Datenschutzes als Kaufkriterium.

Für den Datenschutztag 2026 gibt es noch kein offizielles bundesweites Programm bzw. Motto. Abzusehen ist, dass sich die Themen stark auf den KI-Einsatz in Forschung und im Gesundheitswesen, den Schutz der Bildungseinrichtungen, den Datenschutz durch Technikgestaltung und die Stärkung des Vertrauens in den Datenschutz, speziell in Innovationen, konzentrieren. Wichtige Anlaufstellen sowie Anbieter von Fachtagungen sind der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) und die Deutsche Vereinigung für Datenschutz (DvdD).

Auch die Bundeszentrale für Politische Bildung ist an der Gestaltung des Europäischen Datenschutztages beteiligt. Sie stellt zum Beispiel kostenlose Materialien zu Datenschutz-und Urheberrecht bereit, erklärt die Bedeutung des Datenschutztages und der relevanten rechtlichen Bestimmungen und informiert über das Veranstaltungsprogramm.

Zwar richten sich die Aktionen und Veranstaltungen im Rahmen des Datenschutztags vorrangig an Fachleute und Insider, jedoch betrifft das grundsätzliche Anliegen die ganze Gesellschaft. Datenschutz ist vielfältig, in Europa gilt er als Bestandteil einer nachhaltigen Demokratie. Er umfasst persönliche Daten wie Namen, Geburtsdaten, Anschriften, Mailadressen, Telefonnummern, Cookis, Fotos und Filme, Bildungs- und Gesundheitsdaten und schützt sie vor unbefugter Erhebung, Verarbeitung und Weitergabe. Auch Informationen über die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität einer Personen gehören zur Kategorie der sensiblen personenbezogenen Daten und sind geschützt. 

Datenschutz sorgt dafür, dass der Einzelne die Kontrolle über seine Informationen wahren kann, basierend auf dem verfassungsmäßigen Recht auf informationelle Selbstbestimmung, das sich aus dem Grundgesetz ableitet. Im sogenannten Volkszählungsurteil des Bundesverfassungsgerichtes von 1983 wurden die persönlichen Daten als Teil der eigenen Persönlichkeit und der Menschenwürde eingestuft. Datenschutz und Privatsphäre sind daher grundlegende Voraussetzungen zur Wahrnehmung anderer Rechte, beispielsweise der Rede- und Versammlungsfreiheit.

Menschenwürde ist ein Grundrecht. Daher spielen der Anspruch auf ein Privatleben, das Recht auf Eigenständigkeit und die Kontrolle über Informationen über die eigene Person, aber auch das Recht, in Ruhe gelassen zu werden, eine entscheidende Rolle. Privatsphäre ist ein gesellschaftlicher Wert. Fast alle Staaten der Welt erkennen dies in irgendeiner Form in ihrer Verfassung an. Zudem finden wir das Recht auf Privatsphäre in Art. 12 der Allgemeinen Erklärung der Menschenrechte, in Art. 8 der Europäischen Menschenrechtskonvention und in Art. 7 der Europäischen Charta der Grundrechte. Art. 8 dieser Charta, die für die EU verbindliche Wirkung entfaltet, enthält ein ausdrückliches Recht auf den Schutz personenbezogener Daten.

Grundlage des Datenschutzes sind die EU-weit gültige Datenschutz-Grundverordnung (DSGVO) von 2016 und das deutsche Bundesdatenschutzgesetz (BDSG) von 2017. Sie schreiben vor, dass Daten, die sich auf natürliche Personen beziehen und deren Identifikation ermöglichen, nur mit Einwilligung und auf gesetzlicher Grundlage verarbeitet werden dürfen, und verleiht den Bürger/innen umfassende Rechte. Die DSGVO gilt als die umfassendste und fortschrittlichste Datenschutzvorschrift weltweit. Sie gilt z.B. auch für Organisationen und Unternehmn ohne Sitz in der EU, wenn diese Waren oder Dienstleistungen für EU-Bürger/innen anbieten. 

2016 hat die EU einen sensiblen Bereich geregelt und eine Datenschutzrichtlinie für Polizei und Strafjustiz verabschiedet. Die Polizei darf Daten zur Verhütung und Verfolgung von Straftaten speichern, muss aber Löschfristen beachten, Betroffenen Auskunft geben und strenge Prinzipien wie Rechtmäßigkeit und Zweckbindung beachten. – Seit Ende 2021 gilt ein neues Telekommunikation-Telemedien-Datenschutz-Gesetz. Es sieht u.a. vor, dass Fingerprinting und Speicherung von Cookie-Dateien nur nach eindeutiger, freiwilliger und informativer Einwilligung der Nutzer/innen erfolgen dürfen. Fingerprinting ist eine Ermittlungsmethode zur Identifizierung eines Internetnutzers anhand einzigartiger Merkmale seines Browsers.

Einige Grundsätze des Datenschutzes sind allgemein anerkannt: Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Verfügbarkeit, Speicherbegrenzung, Integrität, Vertraulichkeit, Rechenschaftspflicht. Um Transparenz zu gewährleisten, müssen die Organisationen bzw. Unternehmen den gesamten Bearbeitungsprozess dokumentieren und überwachen. Die Kernaspekte der Umsetzung lassen sich wie folgt zusammenfassen:

~ Recht auf informationelle Selbstbestimmung gemäß Urteil des Bundesverfassungerichts von 1983, Grundrecht laut Art. 2,1 und 1,1 GG,

~ Umfassender Geltungsschutzbereich aller Daten, die eine Person identifizierbar machen können,

~ Gesetzliche Grundlage durch DSGVO und BDST,

~ Verbotsprinzip: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und nur unter strengen Auflagen (z.B. Einwilligung) gestattet,

~ Rechte der Betroffenen wie Auskunft, Berichtigung, eingeschränkte Nutzung, Widerspruchsrecht, Löschung, Einwilligung, Übertragbarkeit, Zweckbindung. Durch eine Änderung des Bundesdatenschutzgesetzes sind die Auskunftsrechte auf Beschäfitigungsverhältnisse, Bonität, Verbraucherkredite und Videoüberwachung erweitert worden.

~ Technische Sicherheit: Schutz vor unbefugtem Zugriff, Manipulation, Missbrauch, Zerstörung und unerwünschter Werbung; Wahrung von Vertraulichkeit, Integrität, Verfügbarkeit,

~ Machtausgleich zwischen Einzelpersonen und großen Organisationen oder Unternehmen.

Öffentliche Stellen sind verpflichtet, Datenschutzbeauftragte (gemäß DSGVO) zu benennen. Für Unternehmen gilt dies, wenn ihre Kerntätigkeit in regelmäßiger Überwachung oder in umfangreicher Verarbeitung besonderer Datenkategorien besteht, oder ab 20 Mitarbeitern, die ständig personenbezogene Daten verarbeiten. Die Datenschutzbeauftragten (DSB) sollen beraten, überwachen, schulen und als Ansprechpartner wirken, auch als Kontaktstelle für Betroffene (Bürger, Kunden) und Aufsichtsbehörden. Auch bei der Meldung von Datenschutzverletzungen sind sie gefordert.

Datenschutzbeauftragte müssen ihr Fachwissen im Datenschutzrecht nachweisen. Sie dürfen wegen ihrer Tätigkeit nicht benachteiligt oder abberufen werden und müssen ihre Aufgaben ohne Weisung erfüllen können. Unternehmen können auch externe DSB engagieren, um die komplexen Anforderungen des Datenschutzes zu erfüllen. Diese übernehmen die Aufgaben eines internen DSB, ohne Mitarbeiter des Unternehmens zu sein. In Deutschland gbt es tausende von Datenschutzbeauftagten, in der EU etwa 500.000.

Jedes EU-Land verfügt über eine ‘obere’ unabhängige Datenschutzbehörde. Sie hat u.a. das Recht, Beschwerden nachzugehen und Verstöße zu untersuchen und zu ahnden, bei wissentlichem und gewerbsmäßigem Missbrauch sogar mit Freiheitsstrafen. Die Behörde muss frei von jeder politischen Einfußnahme handeln. Der Europäische Gerichtshof hat diese Rolle der Datenschutzbehörden wiederholt betont und z.B. ihre Zuständigkeit bei der Kontrolle internationaler Übermittlungen in Nicht-EU-Länder bescheinigt. Die Datenschutzbehörden haben auch die Aufgabe, das nationale Parlament, die Regierung und andere Einrichtungen zu beraten und Einzelpersonen bei der Ausübung ihrer Rechte zu unterstützen.

Um einen verantwortungsvollen Umgang mit gesammelten Daten sicherzustellen, sind Anonymisierung und Pseudonymisierung von zentraler Bedeutung. Daher hat sich die DSK, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, diese Aufgabe vorgenommen. Pseudonymisierung ist ein Datenschutzverfahren, bei dem personenbezogene Daten so verarbeitet werden, dass sie ohne zusätzliche Informationen keiner bestimmten Person mehr zugeordnet werden können. Basis sind die im Januar 2025 vom Europäischen Datenausschuss dazu veröffentlichten Leitlinien. Die Ergebnisse sollen anlässlich des Europäischen Datenschutztages 2026 vorgestellt und mit Fachleuten aus Wissenschaft, Wirtschaft und Verwaltung diskutiert werden.

Datenschutz dürfte ohnehin 2026 ein wichtiges Thema bleiben. Es gibt immer wieder Neuregelungen, die beachtet und umgesetzt werden müssen. So ist am 12. September 2025 die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) EU-weit geltendes Recht geworden. Die Übergangsfrist läuft bis zum 12.9.2026. Der Data Act enthält einheitliche Vorgaben für Unternehmen, die ihre Produkte und Dienstleistungen in der EU anbieten. Ziel ist es, in unterschiedlichen Lebensbereichen künftig Daten mehr und besser nutzen zu können. So soll der Data Act durch mehr Datennutzung zu mehr Wertschöpfung beitragen, insbesondere für neue Geschäftsmodelle, Start-Ups und KMUs.

Insbesondere enthält der Data Act Vorschriften 

~ zur Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen, 

~ zu den Pflichten der Dateninhaber, die nach dem Recht der EU gehalten sind, Daten bereitzustellen (inkl. Entgeltregelungen), 

~ zum Verbot missbräuchlicher Vertragsklauseln für den Datenzugang und die Datennutzung zwischen Unternehmen, 

~ zur Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeiten und 

~ zu vertraglichen Regelungen und zur technischen Umsetzung beim Wechsel zwischen Datenverarbeitungsdiensten („Cloud Switching“).

    • Zwei weitere EU-Neuregelungen werden im August bzw. September 2026 rechtskräftig. Beide dienen dazu, die Verständlichkeit und Vollständigkeit von Datenschutzhinweisen zu verbessern und Manipulationen zu verhindern. Der Datenaustausch wird klarer geregelt, Zweckbindung und Löschroutinen werden verbindlicher. – Durch den Cyber Resilience Act (CRA) wird eine Meldepflicht für Hersteller bei Schwachstellen und schweren Sicherheitsvorfällen bei Produkten mit digitalen Elementen eingeführt. – Die E-Evidence-Verordnung schreibt vor, dass Digitale Dienste auf Anfragen von Strafverfolgungsbehörden anderer EU-Länder Nutzerdaten herausgeben oder speichern müssen.

Eine wichtige Funktion auf EU-Ebene nimmt der Europäische Datenschutzbeauftragte wahr. Mit Sitz in Brüssel und rund 70 Bediensteten soll die 2004 gegründete Kontrollbehörde dafür sorgen, dass alle EU-Organe bei der Verarbeitung persönenbezogener Daten den Schutz der Privatsphäre gewährleisten und die Datenschutzregeln einhalten. Neben dieser Kontrollfunktion berät er alle EU-Gremien bei der  Verwendung personenbezogener Daten, bearbeitet Beschwerden und führt Untersuchungen durch, beobachtet die Entwicklung neuer Technologien und arbeitet mit den nationalen Behörden der EU-Staaten zusammen. 

Zu folgenden Aspekten dürfen EU-Gremien keine personenbezogenen Daten sammeln und verarbeiten:

  • ~ Herkunft oder ethnische Zugehörigkeit
  • ~ politische Meinungen
  • ~ religiöse oder weltanschauliche Überzeugungen
  • ~ Gewerkschaftzugehörigkeit

~ Daten zur Gesundheit oder sexuellen Orientierung. Diese dürfen nur zu Zwecken der Gesundheitsfürsorge verarbeitet werden.

Wer der Ansicht ist, sein Recht auf Datenschutz sei verletzt worden und die zuständige EU-Behörde könne bzw. wolle dem nicht abhelfen, kann sich an den Datenschutzbeauftragten dieses Amtes und notfalls an den Europäischen Datenschutzbeauftragten wenden. Ist man mit dessen Entscheidung nicht einverstanden, kann man den Gerichtshof der Europäischen Union anrufen.

Die Rechte auf Privatsphäre und auf Datenschutz sind nicht absolut, unter bestimmten Bedingungen können sie eingeschränkt werden. Sie dürfen gegen andere Werte der EU wie Menschenrechte, Meinungs- und Pressefreiheit oder ungehinderten Zugang zu Informationen abgewogen werden. Auch Belange wie die öffentliche Sicherheit, terroristische Bedrohungen oder andere schwere Strafsachen können Einschränkungen rechtfertigen. Zur Frage der Erweiterung des Datenaustauschs zu Strafverfolgungszwecken hat der Europäische Datenschutzbeautragte bereits mehrfach Stellung bezogen – auch zu Maßnahmen außerhalb Europas wie Vereinbarungen zwischen EU und USA.

Fragen der nationalen Sicherheit liegen unverändert in der alleinigen Zuständigkeit des einzelnen Mitgliedstaates. Deshalb werden im Zusammenhang mit Verbrechen und Terrorismus in enormem Umfang personenbezogene Daten gesammelt, gespeichert und grenzüberschreitend ausgetauscht. Hier liegt eine große Herausforderung für die Abwägung zwischen Privatsphäre und Sicherheit, und der EU-Datenschutzbeauftragte ist immer wieder gefordert.

Über Heiner Jüttner:

Avatar-FotoDer Autor war von 1972 bis 1982 FDP-Mitglied, 1980 Bundestagskandidat, 1981-1982 Vorsitzender in Aachen, 1982-1983 Landesvorsitzender der Liberalen Demokraten NRW, 1984 bis 1991 Ratsmitglied der Grünen in Aachen, 1991-98 Beigeordneter der Stadt Aachen. 1999–2007 kaufmännischer Geschäftsführer der Wassergewinnungs- und -aufbereitungsgesellschaft Nordeifel, die die Stadt Aachen und den Kreis Aachen mit Trinkwasser beliefert.