Datenrecht.at

In der aktuellen Debatte um den Schutz von Minderjährigen im Internet wird immer wieder gefordert, den Zugang zu Social-Media-Plattformen einzuschränken, ein generelles Mindestalter (wie kürzlich in Australien, geplant auch in Österreich, siehe Ministerratsvortrag) einzuführen oder Plattformen bei Verstößen ganz zu verbieten.

Zwei aktuelle Berichte der Wissenschaftlichen Dienste (WD) des Bundestages – Zur Beschränkung und zum Verbot von Social-Media-Plattformen (WD 7 - 3000 - 004/26) sowie zur Altersbegrenzung für soziale Netzwerke (WD 7 - 3000 - 036/25) – zeigen deutlich, dass strenge nationale Regulierungen wohl nur schwierig rechtssicher umsetzbar sind.

Die Kernargumente beider Berichte im Überblick:

• Absoluter Vorrang des EU-Rechts: Der europäische Digital Services Act (DSA) regelt digitale Vermittlungsdienste EU-weit vollharmonisiert, um einen einheitlichen Binnenmarkt zu schaffen. Nationale Alleingänge für generelle Plattform-Verbote oder starre Altersgrenzen widersprechen diesem Ansatz, da Mitgliedstaaten keine abweichenden oder ergänzenden Vorschriften im vollharmonisierten Bereich erlassen dürfen.

• Die Hürde des Herkunftslandprinzips:
  Selbst wenn Deutschland strenge Gesetze verabschieden würde, liefen diese weitgehend ins Leere. Für Diensteanbieter gilt das Herkunftsland- bzw. Sitzlandprinzip. Da die meisten großen Netzwerke (wie Meta, TikTok oder X) ihren europäischen Hauptsitz in Irland haben, unterliegen sie primär den EU-Vorgaben und irischem Recht – und nicht den deutschen Behörden.

• Sperrungen nur als “Ultima Ratio”: Der DSA sieht kein generelles, unbefristetes Verbot von Plattformen vor. Vorübergehende Zugangssperren sind nur als allerletztes Mittel zulässig, beispielsweise wenn eine andauernde Zuwiderhandlung eine Straftat darstellt, die das Leben oder die Sicherheit von Personen bedroht.

• Jugendschutz ist bereits integriert: Große Plattformen sind durch den DSA bereits EU-weit zu strukturellen Jugendschutzmaßnahmen verpflichtet, wozu auch Werkzeuge zur Altersüberprüfung gehören. Zusätzliche, abweichende Vorgaben durch deutsches Recht (wie etwa über das Jugendschutzgesetz) werden durch das EU-Recht überlagert.

• Kollision mit Grund- und Kinderrechten: Ein pauschales staatliches Verbot für jüngere Nutzer greift in das grundgesetzlich geschützte elterliche Erziehungsrecht (Art. 6 Abs. 2 GG) ein, da primär die Eltern entscheiden, welche Medieninhalte sie ihren Kindern zugänglich machen. Zudem würde ein Komplettverbot die in der UN-Kinderrechtskonvention garantierten Rechte auf Information und Teilhabe einschränken.

• Fokus auf risikobasierte Alternativen: Anstatt auf starre Verbote oder pauschale Altersgrenzen zu setzen, wird im europäischen Rechtsrahmen eher ein risikobasierter Ansatz verfolgt. Im Vordergrund stehen dabei die altersgerechte Gestaltung der Plattformen, die Reduzierung Funktionen, Medienkompetenzförderung sowie strukturelle Vorsorgemaßnahmen.

Die Berichte der Wissenschaftlichen Dienste machen klar: Wer national Social-Media-Plattformen verbieten oder strikte nationale Altersgrenzen einführen will, scheitert wahrscheinlich am EU-Recht. Der Schutz von Kindern und Jugendlichen im Netz wird wohl primär über europäische Regulierungen wie den DSA (siehe als Argumente für DSA-Verfahren 2 US-Urteile zu Big Tech und Kinderschutz) und präventive Schutzmaßnahmen auf den Plattformen selbst erfolgen (siehe zB ​vzbv-Positionspapier).

Das Parlamentarische Datenschutzkomitee (PDK), Österreichs zweite Datenschutz-Aufsichtsbehörde neben der DSB, hat gemäß § 35e Abs. 3 in Verbindung mit § 23 DSG bis zum 31. März eines jeden Jahres einen Tätigkeitsbericht zu erstellen. Dieser wurde nun hier (pünktlich) veröffentlicht: Dokument öffnen (PDF)

Am 19.3.2026 hat der Europäische Datenschutzausschuss (EDPB) den Startschuss für seine diesjährige koordinierte Prüfmaßnahme (Coordinated Enforcement Framework - CEF) gegeben. Nachdem im vergangenen Jahr das Recht auf Löschung geprüft wurde, rückt 2026 ein neues, für uns alle hochrelevantes Thema in den Fokus: die Einhaltung der Transparenz- und Informationsverpflichtungen unter der DSGVO.

Was bedeutet das aus österreichischer Sicht?
Die österreichische Datenschutzbehörde (DSB) hat bereits bestätigt, dass sie sich auch im Jahr 2026 an dieser europaweit zwischen 25 Datenschutzbehörden koordinierten Maßnahme beteiligen wird. Für Verantwortliche heißt es daher aufpassen: Die Behörde wird demnächst gezielt Verantwortliche aus unterschiedlichen Sektoren kontaktieren - erfahrungsgemäß mit einem detaillierten Fragebogen. Nähere Details zum genauen Vorgehen in Österreich wird die DSB zu einem späteren Zeitpunkt noch bekannt geben.

Warum gerade Transparenz?
Die DSGVO stellt durch die Artikel 12, 13 und 14 sicher, dass betroffene Personen darüber informiert werden, wenn ihre Daten verarbeitet werden. Dieses Recht auf Information ist ein Kernelement der Transparenz und sorgt dafür, dass Betroffene mehr Kontrolle über ihre personenbezogenen Daten behalten. Art 12 Abs 1 DSGVO, der Ausdruck des Transparenzgrundsatzes ist, soll laut EuGH gewährleisten, dass die betroffene Person in die Lage versetzt wird, die an sie gerichteten Informationen in vollem Umfang zu verstehen (EuGH 4.5.2023, C‑487/21, Rn 38; 11.7.2024, C‑757/22, Rn 56 ff).

Wie geht es weiter?
In der zweiten Jahreshälfte 2026 werden die teilnehmenden Behörden ihre gesammelten nationalen Erkenntnisse austauschen und aggregieren. Ziel ist es, tiefere Einblicke in die praktische Umsetzung der Informationspflichten zu gewinnen und einen gemeinsamen Bericht zu erstellen. Dieser wird schließlich vom EDPB verabschiedet und soll gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene ermöglichen.

Im soeben erschienenen Jahrbuch 25 Datenschutzrecht, herausgegeben von Bergauer/Gosch findet sich ein ausführlicher Beitrag, den ich als Erstautor (ua auch zur Digitalen Souveränität) mitverfassen durfte: Kastelitz/Tercero/Löffler, Neue (und altbekannte) Anforderungen an den Einsatz von Cloud-Lösungen – Data Act, Digital Markets Act und DSGVO, 29-57

In Europa wächst die Besorgnis über einen potenziellen „Kill Switch“ aus den USA. Dieser Begriff beschreibt die Möglichkeit der US-Regierung, Europas Zugang zu US-amerikanischen Cloud-Diensten und anderen Technologien einseitig zu kappen. Obwohl ein solches Szenario als unwahrscheinlich gilt, wäre es grundsätzlich möglich - Instrumente hierfür existieren z.B. im International Emergency Economic Powers Act (IEEPA), wie der ehemalige Chief of the Cyber and National Security Unit at the White House ausführlich ausführt.

Diese Bedrohung befeuert Europas Streben nach digitaler Souveränität, dessen praktische Umsetzung u.a. in der Entwicklung „souveräner Clouds“ liegt, die vor US-Gesetzen wie dem CLOUD Act geschützt sind. Doch der Weg ist steinig: US-Hyperscaler wie Google, Microsoft und Amazon dominieren den europäischen Markt, ihre „europäischen” Angebote werden von manchen sogar als „Souveränitäts-Washing“ kritisiert. Selbst vermeintliche „Datengrenzen“ von US-Anbietern weisen nämlich z.T. wenig beachtete Ausnahmen auf, die Datenübertragungen in die USA zur Folge haben (oder auch Zugriffe aus den USA mittels CLOUD Act oder anderer Instrumentarien, siehe dazu z.B. Prof. Vladeck für die dt. DSK) und somit die Datensouveränität in Frage stellen. Zudem sind proprietäre Cloud-Systeme strukturell von Updates aus den USA abhängig, was bei einem Entzug der Unterstützung schnell zu Sicherheitslücken führen könnte. BSI-Präsidentin Plattner hält die vollständige digitale Souveränität für Deutschland derzeit für unerreichbar, betont aber die Wichtigkeit von Kontrollmechanismen. Langfristig setzt Europa auf den Aufbau eigener Alternativen, um strategische Abhängigkeiten zu mindern und einer „digitalen Scheidung“ entgegenzuwirken - siehe u.a. den Bericht „EuroStack – Eine europäische Alternative für digitale Souveränität“, der aufzeigt, wie die EuroStack-Initiative dazu beitragen kann, die Abhängigkeit Europas zu verringern.

Für besonders Interessierte empfehle ich diese Anfragebeantwortung der dt. Bundesregierung zum Thema “Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungscloud-Strategie”.

Laut Website der österreichischen Datenschutzbehörde wurde am 6. November 2024 die „Erklärung über ein Netzwerk Digitalisierung“ unterzeichnet. Das Netzwerk Digitalisierung dient dem regelmäßigen Informations- und Erfahrungsaustausch zwischen diesen Behörden. Ziel ist es, im Rahmen der jeweiligen Zuständigkeiten eng zusammenzuarbeiten, um ein gemeinsames Verständnis zu den relevanten Fragestellungen der Digitalisierung zu ermöglichen und somit unterschiedliche Entscheidungen und Ansätze weitgehend zu vermeiden..

Weitere Mitglieder des Netzwerks sind folgende unabhängige Behörden:

• Bundeswettbewerbsbehörde
• E-Control
• Finanzmarktaufsicht
• Kommunikationsbehörde Austria
• Rundfunk- und Telekom Regulierungs GmbH (RTR), Fachbereich Telekommunikation und Post
• Schienen Control
• Telekom-Control-Kommission

Bislang war die Datenschutzbehörde (DSB) die einzige Aufsichtsbehörde für den Datenschutz in Österreich. Als Reaktion auf das Urteil des EuGH vom 16.1.2024 (Rs C‑33/22), womit im Wesentlichen die Zuständigkeit der DSB auch für den Gesetzgebungsbereich bejaht wurde (Gewaltenteilung!), wird nunmehr ein Parlamentarisches Datenschutzkomitee als “sektorale” Aufsichtsbehörde eingerichtet, das per Landesverfassungsgesetz auch für Landtage, Landesrechnungshöfe und Landesvolksanwälte zuständig gemacht werden kann. Die im Nationalrat vertretenen Parteien haben sich auf ein Gesetzespaket geeinigt, mit dem u.a. das Geschäftsordnungsgesetz, das Informationsordnungsgesetz, das Datenschutzgesetz, das Rechnungshof-, das Volksanwaltschaftsgesetz und das B-VG entsprechend geändert werden:

• 2594 d.B. - Informationsordnungsgesetz, Datenschutzgesetz, Beamten-Dienstrechtsgesetz 1979 und Verwaltungsgerichtshofgesetz 1985
• 2595 d.B. - Rechnungshofgesetz 1948 und Volksanwaltschaftsgesetz 1982
• 3848/A - Bundes-Verfassungsgesetz
• 3847/A - Geschäftsordnungsgesetz 1975
• Änderung der Geschäftsordnung des Bundesrates
• Pressemeldung NR vom 13.6.2024

Hier https://www.uibk.ac.at/de … ustausch-zum-datenschutz/ ist ein lesenswerter Bericht über das Treffen der IG Datenschutz an der Uni Innsbruck zu finden.
Es war eine wirklich gelungene Veranstaltung - woran ich das festmache? Vielleicht kenne nicht nur ich das Gefühl, welches einen bei der Rückreise überkommt - vieles gelernt und sich vielfältig ausgetauscht zu haben. Fortsetzung folgt im Herbst an der Uni Klagenfurt, u.a. mit einem Vortrag einer Mitarbeiterin der österreichischen Datenschutzbehörde (DSB).

Die im verlinkten Beitrag erwähnte Entscheidung der DSB (Bescheid vom 26.01.2023, Zl. D124.1011/22 / 2022-0.740.438 und das diese Rechtsauffassung zur datenschutzrechtlichen Rollenverteilung an Universitäten bestätigende Erkenntnis des BVwG (W292 2268628-1/5E) waren übrigens Anlass, das Universitätsgesetz zu novellieren:
https://www.ris.bka.gv.at … I_50/BGBLA_2024_I_50.html

8. In § 6 erhält der letzte Abs. 7 die Absatzbezeichnung „(8)“; es wird folgender Abs. 9 angefügt:
„(9)
Hinsichtlich der Verarbeitung personenbezogener Daten durch die Universität und der universitären Organe ist die Universität Verantwortlicher im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung], ABl. Nr. L 119 vom 04.05.2016 S. 1, [im Folgenden: DSGVO].“

Seit Jahren ist ein Trend hin zur Auslagerung von IT-Services („IT-Outsourcing“) via Cloud Computing an spezialisierte Dritte (oft als Software as a Service - SaaS) festzustellen. Bei diesen Cloud-Anbietern handelt es sich meist um global agierende Unternehmen, die zwar idR allgemeine Branchenstandards der IT-Sicherheit beachten, jedoch laut den Aussagen einiger Datenschutzbehörden nicht immer (durchgängig) europäische bzw. nationale datenschutzrechtliche Anforderungen an den Datenschutz erfüllen. Hier obliegt es dem datenschutzrechtlichen Verantwortlichen, vor Vertragsabschluss sorgfältig zu prüfen, ob der gewählte Cloud-Anbieter diese Voraussetzungen wirklich mitbringt. Denn der Verantwortliche darf nur geeignete Auftragsverarbeiter einsetzen und muss nachweisen können, dass er die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat („Rechenschaftspflicht“, Art 5 Abs 2 DSGVO). Insbesondere ist ein Vertrag über die Auftragsverarbeitung (AVV) mit dem IT-Dienstleister abzuschließen, der bestimmte Anforderungen erfüllen muss (siehe insb Art 28 Abs 3 und 4 DSGVO).

Im Fokus mehrerer Datenschutzbehörden stand und steht aktuell der Einsatz von Microsoft 365 (MS365). Jüngst hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysiert darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.europa.e … ions-use-microsoft-365_en).

Aber auch Max Schrems mit seiner Datenschutz-NGO noyb hat unlängst zwei Beschwerden hinsichtlich der Verwendung von MS365 Education in Schulen bei der österreichischen Datenschutzbehörde eingebracht (https://noyb.eu/de/micros … -blames-your-local-school).

Unter diesen Prämissen sollte die Einführung von MS365 bei Verantwortlichen auch aus Datenschutzsicht engmaschig begleitet werden, weitere Hinweise findet man u.a. bei der deutschen Datenschutzkonferenz (https://datenschutzkonfer … S365_abschlussbericht.pdf) und in einer Handreichung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) und sechs weiterer Datenschutzaufsichtsbehörden (https://www.lfd.niedersac … mit-microsoft-225722.html) - es bleibt spannend, da der LfD Niedersachsen die Einführung von Microsoft Teams in der Landesverwaltung Niedersachsen, mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung, für akzeptabel hält (https://www.lfd.niedersac … niedersachsen-231856.html).