Datenschutz in der juristischen Ausbildung

Franziska Matthies, LL.B., LL.M.

Am 6. Juni 2025 diskutierte die Justizminister:innenkonferenz Reformvorschläge für die zweistufige juristische Ausbildung aus Studium und Referendariat. Die letzte inhaltlich umfangreiche Reform der juristischen Ausbildung in Deutschland trat 2003 in Kraft – im gleichen Jahr wie die Agenda 2010 und die Pflicht zum Dosenpfand. 2025 hat sich nicht nur die gesellschaftspolitische Lage verändert, sondern auch die datenschutzrechtliche.

Das Datenschutzrecht ist keine Erfindung des 21. Jahrhunderts. Doch der Stellenwert des Datenschutzes hat sich im Zuge der technologischen Entwicklung, neuer Geschäftsmodelle und (teil-)harmonisierender EU-Rechtsakte gewandelt. Datenschutz ist ein omnipräsentes und rechtsgebietsübergreifendes Thema geworden. Das betrifft die drei „klassischen“ Rechtsgebiete und die tägliche juristische Arbeit in Unternehmen, Kanzleien und Behörden. Das gilt für nationalen, europäischen und internationalen Grundrechtsschutz, für Vertragsprüfungen, für jede zeitgemäße Due Diligence, für jede Website, für gezielte Werbung. Für nahezu jede Produktund Prozessentwicklung spielt Datenschutz eine entscheidende Rolle.

Datenschutz spielt keine Rolle in der juristischen Ausbildung

Es gibt aktuell keine Grundlagenfächer, die den Umgang und die Methodik mit Datenschutz, Datenrecht oder Recht und Ethik in der digitalen Welt vermitteln. Am Ende von Studium und Referendariat haben Volljurist:innen die Befähigung zum Richter:innenamt. Und genau das ist der Grund, warum diese Ausbildung oder Spezialisierung im Datenschutzrecht nicht ausschließlich spezialisierten Bachelor- und Masterstudiengängen überlassen werden sollte. Datenschutz ist ein gesamtgesellschaftliches Thema. Als Volljurist:innen sind wir nach der langen (und reformbedürftigen) Ausbildung in der privilegierten Position, als Richter:innen gesamtgesellschaftliche Verantwortung übernehmen zu können. Dazu sollte die Ausbildung uns auch befähigen. Natürlich kann nicht jedes Rechtsgebiet im Studium gelehrt werden. So ist das Steuerrecht mit seiner hohen praktischen Relevanz schließlich auch kein Grundlagenfach. Der Unterschied besteht im Anspruch der „volljuristischen“ Ausbildung, die auf die Arbeit als Richter:in vorbereitet.

Fachgerichte wie Finanzgerichte ziehen meist Menschen mit Vorwissen oder besonderem Interesse am Steuerrecht an. Schadensersatzklagen nach Art. 82 DSGVO aber landen bei den Amts- und Landgerichten. Streitigkeiten mit Datenschutzaufsichtsbehörden landen vor den Verwaltungsgerichten. Die Richter:innen sind darauf nicht ausreichend vorbereitet. Kammern für datenschutzrechtliche Streitigkeiten gibt es nur an wenigen Landgerichten.

Das Image-Problem

Der Datenschutz hat in der Politik, bei Unternehmen und in der Bevölkerung kein gutes Ansehen. Ein Grund dafür ist die Rechtsunsicherheit: Gerichte entscheiden uneinheitlich, Aufsichtsbehörden legen unterschiedliche Maßstäbe an, Klarheit gibt es oft erst beim EuGH.

Auch dies ist zu einem erheblichen Teil darauf zurückzuführen, dass deutsche Richter:innen im Datenschutzrecht nicht (einheitlich) ausgebildet sind. Besseres technisches Verständnis und Wissen um datengetriebene Geschäftsmodelle – zweifellos bei jüngeren Richter:innen stärker ausgeprägt – ersetzen keine Kenntnisse im Datenschutzrecht. Derzeit braucht es Eigeninitiative, um sich die Grundausrüstung an Wissen und Methodik anzueignen, die Fälle im Datenschutzrecht erfordern.

Daten(schutz)recht

Der inzwischen etablierte Begriff des Datenrechts macht deutlich, dass ein zeitgemäßes Rechtssystem mehr umfasst als den Schutz personenbezogener Daten; das Daten(schutz)recht arbeitet mit unionsautonomen Konzepten. Privacy by Design und Privacy by Default haben keine Entsprechung in der deutschen Methodik, genauso wenig Datenzugänglichkeit und Datenübertragbarkeit. Auch die Definition von Verantwortlichkeit nach der DSGVO hat vor dem Hintergrund, dass es sich um eine Ausprägung des Grundrechtsschutzes aus Art. 8 GrCh handelt, keine Parallele in der deutschen Rechtspraxis.

Die unionsautonomen Konzepte im Datenschutzrecht erweitern das deutsche juristische Methodenrepertoire durch ihre überstaatliche Bindung, technischen Anforderungen und das starke abstrakte Datenschutz-Grundrecht aus Art. 8 GrCh. Und das muss die juristische Ausbildung berücksichtigen.

Die Rolle des EuGH 

Der EuGH verweist bei mehreren deutschen Vorlageverfahren zu DSGVO-relevanten Themen auf seine bereits gefestigte Rechtsprechung und bestätigt diese, wodurch keine grundsätzliche Rechtsfortbildung erfolgt. Daran zeigt sich, dass deutsche Richter:innen die so wichtige Rechtsprechung des EuGH im Daten(schutz)recht häufig nicht auf ihre Fälle anwenden (können). Beispiele sind etwa Entscheidungen zu Art. 82 DSGVO (Schadensersatz) oder Art. 83 DSGVO (Bußgelder), bei denen der EuGH bekannte Prinzipien bestätigt und Klarstellungen vornimmt, ohne grundsätzlich Neues zu entwickeln. 

Mit einer datenschutzrechtlichen Grundlagenausbildung im Rahmen der volljuristischen Ausbildung würde die divergierende Rechtsprechung deutscher Gerichte abnehmen, das Spektrum an Auslegung und Interpretation insbesondere der DSGVO wäre überschaubarer, es bestünde weniger Klärungsbedarf und der EuGH müsste sich mit weniger Vorlagefragen befassen. Insgesamt würde sich mehr Rechtssicherheit im Daten(schutz)recht etablieren.

Ein Plädoyer

Es ist an der Zeit, dass das Daten(schutz)recht Einzug erhält in die juristische Ausbildung. Es ist elementarer Teil der täglichen juristischen Arbeit. Die lange volljuristische Ausbildung bereitet auf diese Lebenswirklichkeit nicht vor. Vermittelte Kenntnisse gehen im Europarecht kaum über die Bindungswirkung von Verordnungen hinaus; im Zivil-, Strafund Verwaltungsrecht wird Daten(schutz)recht nicht thematisiert.

Mit einem Grundlagenfach zum Thema „Recht in der digitalen Welt“ könnten und sollten u. a. die Grundprinzipien des Daten(schutz)rechts vermittelt werden; die Kompetenzen, die Durchsetzung, die Zusammenhänge und Überschneidungen zwischen den Rechtsakten und die grundlegende Rechtsprechung des EuGH.

Aber nicht nur in der volljuristischen Ausbildung muss Daten(schutz)recht thematisiert werden. Auch für Richter:innen und für die Verwaltung sollte es regelmäßig verpflichtende Fortbildungen geben. Das Datenrecht ist ein sehr dynamisches Rechtsgebiet; gerade angesichts der Personalsituation an Gerichten und in der Verwaltung kann nicht erwartet werden, dass sich der oder die Einzelne neben dem Tagesgeschäft eigenverantwortlich auf dem neuesten Stand hält. Regelmäßige Schulungen zu den Entwicklungen im Datenrecht müssen zur Selbstverständlichkeit werden.

Am Ende der klassischen juristischen Ausbildung, fällt bei der Durchsicht der Stellenanzeigen auf, wie viele Ausschreibungen es zu Digitalrecht, Datenrecht, Datenschutz, zu interdisziplinären Projekten zur datengerechten Prozessund Produktentwicklung usw. gibt. Natürlich erfolgt eine Einarbeitung zum Arbeitsbeginn und sicherlich ist es möglich, entsprechende Kenntnisse in der täglichen Arbeit zu erwerben. Doch ist das angemessen in so einem dynamischen Rechtsgebiet? Ist das der Zeitpunkt, an dem mit dem ganz Grundsätzlichen begonnen werden sollte? Ist das zeitgemäß? Ist das von Arbeitgeber:innen und Arbeitnehmer:innen realistisch zu leisten? Sollte es hier nicht um Vertiefung und Spezialisierung gehen? Trägt dieses Vorgehen zu einem effektiven Datenschutz und einem klaren Verständnis bei?

In the meantime 

Bis zur nächsten Reform der juristischen Ausbildung wird einige Zeit vergehen. In der Zwischenzeit sind angehende Jurist:innen mit Interesse am Daten(schutz)recht auf Bachelor- und Masterstudiengänge neben oder im Anschluss an das Jurastudium verwiesen. Persönlich kann ich diesen Schritt in ein spannendes, umfangreiches, sich ständig entwickelndes Rechtsgebiet mit gesellschaftspolitischer Bedeutung über nationalstaatliche Grenzen hinaus von ganzem Herzen empfehlen. Gleichzeitig sollte eine angemessene Grundausbildung bei diesem Thema nicht die alleinige Verantwortung der einzelnen Jurist:in sein. 

Datenschutz ist ein gesamtgesellschaftliches Thema. Das wird deutlich durch den erwähnten Stellenwert für Demokratie und Rechtsstaatlichkeit, aber auch an Szenarien, die den gesellschaftlichen Zusammenhalt betreffen. Die Arbeit mit Daten ist eine stetige Suche nach Mustern und Zusammenhängen. Auch Privilegierung und Diskriminierung sind gesellschaftliche Muster. Die Frage, ob und welche Gesellschaftsgruppen in den Trainingsdaten eines KI-System über-, unter oder gar nicht repräsentiert sind, welche Eigenschaften oder welches Verhalten ihnen zugeschrieben werden, wer darauf Zugriff hat und ob sie korrigiert werden können, betrifft die Einzelperson in ihrer persönlichen Lebensgestaltung. Datenschutz schützt keine Daten, sondern Personen. Das macht es zu einer extrem verantwortungsvollen Aufgabe für uns alle. Auch für Volljurist:innen.

_____________________________________________________________________________________________________________________________________________

Dieser Artikel erscheint hier mit freundlicher Genehmigung des Erich Schmidt Verlages und wurde zuerst in der PinG – Privacy in Germany 6 / 2025 am 28.10.2025 veröffentlicht.