Datenschutz­woche

Bundesrat will Vorratsdatenspeicherung ausweiten

Im April 2026 hat die Bundesregierung einen Gesetzentwurf für eine generelle, anlasslose Vorratsdatenspeicherung vorgelegt. Neben der IP-Adresse sollen die Provider auch die Anschlusskennung, die zugehörige Nutzerkennung, das Datum mit sekundengenauer Start- und Ende-Uhrzeit der IP-Zuweisung zum Anschlussinhaber sowie die zugehörige Portnummer speichern.

In den Empfehlungen des Rechtsausschusses des Bundesrats in Vorbereitung auf die 1066. Sitzung des Bundesrats wird nun eine Ausweitung des umstrittenen Gesetzesentwurfs gefordert. Statt wie bisher vorhergesehen eine dreimonatige Speicherfrist einzuführen, bittet der Bundesrat „im weiteren Gesetzgebungsverfahren zu prüfen, ob die Daten nach § 177 Absatz 1 Satz 1 TKG-E bis zu sechs Monate gespeichert werden können“. Begründet wird dies mit polizeifachlichen Anforderungen und Erfahrungen.

Neben der Vorratsdatenspeicherung sieht der Gesetzentwurf auch eine Sicherungsanordnung als neues Rechtsinstrument vor. Demnach sollen Anbieter von Internetzugängen und E-Mail neben den Metadaten nun auch Standort- und Inhaltsdaten speichern.

Diese Daten sollen auch zur Gefahrenabwehr herangezogen werden. Da die Gefahrenabwehr vornehmlich auf Länderebene erfolgt, enthält die Empfehlung des Rechtsausschusses des Bundesrats die Forderung, eine Ausweitung auf die Länderpolizeien und die Geheimdienste der Länder vorzunehmen, um die Anforderungen aus der „Doppeltür“-Rechtsprechung des Bundesverfassungsgerichts einzuhalten. Im Gesetzentwurf der Bundesregierung erstreckt sich die Neuregelung bisher nur auf die Bundespolizei und das Bundeskriminalamt.

Hintergrund des erneuten gesetzgeberischen Anlaufs für eine Vorratsdatenspeicherung ist auch das Urteil des Europäischen Gerichtshofs vom 30.04.2024 (C-470/21), in welchem der EuGH seine lange bestehende restriktive Linie gelockert hatte. Auf der Tagesordnung der Sitzung am 12.06.2026 stehen auch weitere Punkte zu digitalen Ermittlungsbefugnissen von Polizeibehörden an (TOP 29a, 29b und 34).

Sicherheitsvorfall bei Fotodienstleister

Der bekannte Fotodienstleister Portraitbox wurde Mitte Mai 2026 Opfer eines schwerwiegenden IT-Sicherheitsvorfalls. Über einen kompromittierten API-Schlüssel erlangten Angreifer Zugriff auf die Cloud-Infrastruktur des Unternehmens. Dabei wurde eine große Menge an Kundendaten – darunter Namen, E-Mail-Adressen, Lieferanschriften, Bestellhistorien sowie Zugangsdaten und Passwörter – sowie unzählige Bilddateien, einschließlich Aufnahmen von Kita- und Schulkindern, entwendet und anschließend auf den Servern gelöscht. Vermutlich drohen die Angreifer nun gegenüber Portraitbox mit der Veröffentlichung der Daten, um eine Geldzahlung zu erpressen.

Nach dem Angriff haben bereits mehrere Landesdatenschutzaufsichtsbehörden auf den Vorfall reagiert, so unter anderem das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat infolge des Vorfalls ebenfalls Hinweise veröffentlicht und dabei zwischen Fotograf*innen bzw. Fotostudios sowie Kund*innen unterschieden. Portraitbox ist überwiegend als Auftragsverarbeiterin tätig, sodass die Fotograf*innen und Fotostudios der Pflicht zur Prüfung und der Umsetzung von Meldungen nach den Art. 33 und 34 DSGVO unterliegen. Betroffenen Kund*innen raten die Aufsichtsbehörden, Passwörter zu ändern und erhöhte Wachsamkeit gegenüber Phishing-Mails walten zu lassen.

Internationale Nachrichten

• Europa: Die EU-Kommission hat am 03.06.2026 ihren Entwurf für einen Cloud and AI Development Act (CADA) vorgestellt.
• Europa: Opinion 16/2026 und 17/2026 des EDSA zu Entwurfsentscheidungen der niederländischen Datenschutzaufsichtsbehörde für Binding Corporate Rules der Infor-Gruppe.
• Österreich: Nach einer Entscheidung der österreichischen Datenschutzbehörde stellt die Erhebung und Speicherung einer zwingenden geschlechtsspezifischen Anrede (Herr/Frau) beim Registrierungsprozess gegen die Grundsätze der Datenverarbeitung gemäß Art. 5 DSGVO. In der Entscheidung stellt die Behörde insbesondere auf das EuGH-Urteil vom 09.01.2025, Az. C-394/23 („Mousse“) ab.

Aktuelle Gerichtsentscheidungen

• OLG Stuttgart, Urteile vom 29.04.2026, Az. 4 U 372/24 (Volltext) und Az. 4 U 353/24 (Volltext): Urteile zu Ansprüchen gegen die Betreiberin eines sozialen Netzwerks wegen der Verwendung sog. Business-Tools, die auf Drittseiten personenbezogene Daten erfassen und an die Betreiberin übermitteln.

Neues aus den Aufsichtsbehörden

• Der Hessische Beauftragte für Datenschutz und Informationsfreiheit: Hinweise zum Cyberangriff auf einen Fotodienstleister für Fotografinnen, Fotografen und Fotostudios sowie für Kundinnen und Kunden.
• Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein: Cyberangriff auf Foto-Dienstleister - Das müssen Beteiligte jetzt wissen.
• Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Social Media ist nicht WildWest: Handlungsrahmen des LfDI für öffentliche Stellen aktualisiert.
• Der Landesbeauftragte für den Datenschutz Niedersachsen: Der LfD fordert Verantwortliche und IT-Dienstleister anlässlich aktueller Ereignisse bei Cyberangriffen zum Handeln auf.
• Der Landesbeauftragte für den Datenschutz Niedersachsen: Der LfD schlägt eine Entlastung der Justizt zur effizienteren Gestaltung von Bußgeldverfahren vor.

Neues aus Bund und Ländern

• Bayern: Der Freistaat Bayern hat die Verhandlungen über den geplanten landesweiten Milliarden-Rahmenvertrag zur Einführung von Microsoft 365 (M365) in der Landesverwaltung gestoppt.
• Bundesministerium der Justiz und für Verbraucherschutz: Das BMJV bereitet den strafprozessualen Schutz von Daten der elektronischen Patientenakte vor. Ein Gesetzentwurf wird laut Mitteilung der Kassenärztlichen Bundesvereinigung zur Zeit ausgearbeitet.
• Bundesfinanzministerium: Der Referentenentwurf des BMF für das Jahressteuergesetz 2026 bereitet den flächendeckenden Einzug von Systemen mit Künstlicher Intelligenz in den Finanzämtern vor. Mit einer Änderung von § 29c AO soll eine gesetzliche Erlaubnis geschaffen werden, Steuerdaten (und damit auch personenbezogene Daten) für die Entwicklung, Überprüfung und Modifikation automatisierter Verfahren verwenden zu dürfen, da ein Training mit fiktiven Testdaten nicht zielführend sei. Als Schutzmaßnahme ist eine einjährige Löschfrist vorhergesehen.
• Bundesregierung: Das Bundeskabinett hat den Entwurf für das Digitale Identitätengesetz (DIdG) beschlossen und damit den Weg für die Einführung der EUDI-Wallet bereitet.