Am 12.09.2025 führte Dr. Axel Freiherr von dem Bussche, LL.M. (L.S.E.), CIPP/E, Partner bei Taylor Wessing am Hamburger Standort der Großkanzlei, ein Gespräch mit Dr. h.c. Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Das Thema lautete „Cybersicherheit vs. Datenschutz – Wer hat Vorfahrt?“. Wir dokumentieren dieses Interview in voller Länge.
Dr. Freiherr von dem Bussche: Heute haben wir ein besonders spannendes Thema auf der Agenda: „Cybersicherheit vs. Datenschutz – Wer hat Vorfahrt?“. Dieses Spannungsverhältnis wollen wir beleuchten. Wir freuen uns, dass wir mit Frau Dr. h.c. Marit Hansen über dieses Thema sprechen können. Sie sind nicht nur Datenschutzexpertin, sondern auch eine ausgebildete Informatikerin. Sie haben in der Vergangenheit auch andere Stationen durchlaufen. Sie waren nämlich Mitglied in der Datenethikkommission der Bundesregierung und Expertin in der Arbeitsgruppe der Agentur der Europäischen Union für Cybersicherheit (ENISA). Was hat Sie am meisten geprägt?
Dr. h.c. Marit Hansen: Gleich am Anfang meiner Karriere bei dem Landesbeauftragten für Datenschutz Schleswig-Holstein im Jahre 1995 sprach ich mit meinem damaligen Chef Dr. Helmut Bäumler und erzählte ihm, dass es Internetbrowser gibt, mit denen man Inhalte anzeigen lassen könne. Mein Chef kannte das Wort „Browser“ nicht. Mit seinem polizeirechtlichen Hintergrund fragte er sofort nach: „Inhalte anzeigen? Direkt bei der Polizei?“ (schmunzelt). Dieses Missverständnis zwischen Recht und Technik hat mich dazu gebracht, dass man immer wieder überlegen muss, ob man einander versteht.
Ein ganz besonderes Erlebnis war die Arbeit in der Datenethikkommission der Bundesregierung. Es handelte sich um eine Runde aus interdisziplinär aufgestellten Spezialisten, die trotz ihrer Spezialisierung die Fähigkeit hatten, einander zuzuhören, voneinander zu lernen und sich auf ein gemeinsames Ergebnis zu einigen.
Dr. Freiherr von dem Bussche: Wie sind Sie zu Ihrem jetzigen Amt gekommen?
Dr. h.c. Marit Hansen: Es bedarf einer Kandidatur. Mein fachlicher Hintergrund ist Informatik, das ist untypisch für eine Datenschutzbeauftragte. Ich habe zuvor als stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein gearbeitet. Im Jahr 2015 bin ich vom Schleswig-Holsteinischen Landtag gewählt worden, meine Wiederwahl war 2020. Einerseits kann man als Behördenleiterin fachlich nicht überall tief einsteigen, andererseits bestehen größere Einflussmöglichkeiten. Die Datenschutzkonferenz (das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder; „DSK“) für fast eineinhalb Jahre zu leiten, hat mir ebenfalls große Freude bereitet.
Dr. Freiherr von dem Bussche: Bevor wir zu unserem Gesprächsthema kommen, stelle ich die unausweichliche Frage: Was bedeutet KI für Ihr Amt? Steht nun der große Wandel bevor?
Dr. h.c. Marit Hansen: Art. 74 der Verordnung über künstliche Intelligenz („KI-VO“) sieht neue Aufgaben für die Behörden vor. Abseits von dieser formalen Betrachtung hat sich die Welt durch KI insgesamt verändert. Diese Disruption ist gesamtgesellschaftlich spürbar. Wir merken die Verwendung von Large Language Models (LLMs) auch bei eingehenden Beschwerden. Typische Charakteristika: keine Tippfehler, formal korrekt, standardisiert. Referenzen auf Urteile oder Artikel in Gesetzen können auch schon einmal halluziniert sein.
Dr. Freiherr von dem Bussche: Erhalten Sie qualitativ besser formulierte Beschwerden, oder nehmen Sie auch quantitativ eine Steigerung wahr?
Dr. h.c. Marit Hansen: Auch in quantitativer Hinsicht. Mehrere meiner Kollegen verzeichnen einen Anstieg in Höhe von 50%. Wir haben einen Anstieg von etwas über 25%. Wir wissen jedoch nicht, ob nur KI dafür ausschlaggebend ist.
Dr. Freiherr von dem Bussche: Die Formulierung unseres Themas „Cybersicherheit vs. Datenschutz – Wer hat Vorfahrt?“ ist ein wenig plakativ. Was halten Sie von diesem Titel?
Dr. h.c. Marit Hansen: Ich mag provokante Titel (lacht). Die Headline beschreibt das Spannungsverhältnis gut. Ich würde nur der Formulierung widersprechen, dass einer Vorfahrt haben muss. Das Spannungsverhältnis ist mit einem Hausbau vergleichbar: Man kann zum Beispiel nicht zunächst den Maurer beginnen lassen und zu einem späteren Zeitpunkt den Architekten einschalten. Es müssen alle Akteure von Beginn an eingeplant werden, damit das Haus nicht zusammenstürzt.
Dr. Freiherr von dem Bussche: Ein klassischer Fall eines solchen Spannungsverhältnisses kommt in unserer Praxis insofern vor, als bei der Implementierung von Cybersicherheitsmaßnahmen auch personenbezogene Daten verarbeitet werden. Dies betrifft beispielsweise die Überwachung von Postfächern, um Cybercrime zu verhindern. Diese Verarbeitung von personenbezogenen Daten bedarf einer datenschutzrechtlichen Rechtsgrundlage. Wir erleben häufig, dass Mandanten freudig ihre Pflicht zur Implementierung von Cybersicherheitsmaßnahmen erfüllen, aber zugleich dabei, mangels explizit bemühter DSGVO-Rechtfertigungsgrundlage, versehentlich gegen Datenschutzrecht verstoßen. Sobald wir dies in unserer Beratung mitteilen, sind die Mandanten perplex. Wie bewerten Sie dies?
Dr. h.c. Marit Hansen: Früher gab es noch nicht spezielle Regelwerke wie beispielsweise die sich in der Umsetzung befindende NIS2-Richtlinie oder den Cyber Resilience Act. Stattdessen galt „nur“ die Datenschutz-Grundverordnung („DSGVO“), die in ihren Vorschriften wie zum Beispiel in Art. 5 Abs. 1 lit. f und 32 DSGVO „Sicherheit“ nennt. Schon in diesem Zusammenhang hat es viele überrascht, dass für die Implementierung von technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO immer dann eine Rechtsgrundlage erforderlich ist, wenn damit personenbezogene Daten verarbeitet werden – und das ist oft der Fall. Da hilft jedoch zum Beispiel Art. 6 Abs. 1 lit. c DSGVO weiter, der auf die Erfüllung einer rechtlichen Verpflichtung abstellt. Mit den neuen Rechtsnormen wird es aber expliziter. So nennt beispielsweise die NIS2-Richtlinie ausdrücklich Art. 6 Abs. 1 lit. c DSGVO in Erwägungsgrund 109, 121.
Dr. Freiherr von dem Bussche: Mich hat eine solche klare Bezugnahme positiv überrascht. Hier sehen wir das von Ihnen beschriebene Miteinander von Cybersicherheit und Datenschutz. Das ist durchaus neu.
Dr. h.c. Marit Hansen: Ja, ich finde es gut. Erwägungsgrund 121 der NIS2-Richtlinie nennt zudem konkrete Maßnahmen zur Gewährleistung der Cybersicherheit. Da muss man genau hingucken und darf nicht Hochglanzprospekten glauben, die nur eine bestimmte Maßnahme als den letzten Schrei der Cybersicherheit bezeichnen. Es kommt auch immer auf das Wie an. So können die in Erwägungsgrund 121 genannten Maßnahmen beispielsweise Speicherfristen betreffen. Die früher vertretenen Aufbewahrungsfristen von sieben Tagen für Protokollierungsdateien mit IP-Adressen im Unternehmen reichen zumeist nicht mehr aus, da sich Ransomware-Angriffe über drei Monate oder länger hinziehen können. Eine Beschränkung einer Aufbewahrung auf eine Woche würde einer vollständigen Aufklärung entgegenstehen. Bei Ransomware-Angriffen hieße dies, dass man den Ursprungspunkt, also den „Patient Zero“, in der Regel nicht identifizieren könnte.
Dr. Freiherr von dem Bussche: Also gibt es nun eine gewisse Klarstellung. Diese darf jedoch nicht als Freifahrtschein verstanden werden.
Dr. h.c. Marit Hansen: Genau. Es gilt nämlich für alle Maßnahmen das Gebot der Erforderlichkeit und der Verhältnismäßigkeit. Dabei hilft wieder der Blick in Erwägungsgrund 121 der NIS2-Richtlinie, der davon spricht, bei den Cybersicherheitsmaßnahmen gleichzeitig das Datenschutzrisiko einzudämmen, zum Beispiel durch Weitergabebeschränkungen, Verschlüsselung oder Pseudonymisierung der verarbeiteten Daten. Als weiteres Gesetz macht auch der Cyber Resilience Act das diskutierte Spannungsverhältnis deutlich. Der Cyber Resilience Act schreibt sogar als Konzeptionsgrundsatz „Security-by-Design“ für Produkte mit digitalen Elementen vor. Dies betrifft alles, was vernetzbar ist und somit auch IoT-Produkte. Der Cyber Resilience Act listet auf, was „Security-by-Design“ bedeutet – neben Vertraulichkeit, Integrität und Verfügbarkeit gehört auch die Datenminimierung dazu, die wir aus dem Datenschutz kennen.
Dr. Freiherr von dem Bussche: Ein weiteres relevantes Gesetz ist der Data Act, der – insbesondere mit Blick auf die erwähnte Datenminimierung – indes dazu auffordert, aus dem Vollen zu schöpfen. IoT-Provider stehen dann womöglich vor der Herausforderung, die KI-VO, die DSGVO, den Data Act und den Cyber Resilience Act beachten zu müssen, wobei sogar ein Gesetz zur Ausschöpfung der Daten auffordert und ein anderes Gesetz wegen „Security-by-Design“ die Datenminimierung beschwört. Die von Ihnen beschriebene Komplexität wird also nicht nachlassen.
Dr. h.c. Marit Hansen: Ja, aber ich verspreche mir viel davon, wenn die Hersteller und Anbieter ihre Systeme gleich datenschutzkonform und sicher gestalten. Rechtskonformität by Design, darin erwarte ich Fortschritte. Für Standardanwendungen wird man sich auch immer wieder auf passende Blaupausen zurückziehen können. Wer jedoch innovative Wege gehen möchte, muss selbst stimmige Lösungen entwickeln.
Dr. Freiherr von dem Bussche: Gut, dann können wir feststellen, dass wir Cybersicherheit und Datenschutzrecht sehr wohl versöhnt bekommen. In unserer Praxis wird das Spannungsverhältnis zwischen Cybersicherheit und Datenschutz auch im Fall von Data-Breaches gemäß Art. 33 DSGVO deutlich. Cyber-Breaches gehen nämlich oft mit Data-Breaches einher. Müssen diejenigen, die freiwillig einen Cyber-Breach anzeigen, ein datenschutzrechtliches Bußgeld fürchten?
Dr. h.c. Marit Hansen: Gemäß § 43 Abs. 4 BDSG gilt der Grundsatz der Selbstbelastungsfreiheit. Derjenige, der sich selbst anzeigt, soll somit nicht noch ein datenschutzrechtliches Bußgeld erhalten. Dies muss jedoch ohnehin nicht befürchtet werden, wenn man sich bei der Meldung des Data-Breaches gegenüber den Aufsichtsbehörden kooperativ verhält.
Dr. Freiherr von dem Bussche: Die wichtige Botschaft lautet also, dass man mit den Aufsichtsbehörden kooperieren sollte – dann muss man auch kein Bußgeld fürchten!
Dr. h.c. Marit Hansen: Grundsätzlich ja. Allerdings muss die Kooperation proaktiv und ohne Trickserei erfolgen. Ungünstig ist zum Beispiel, wenn die Aufsichtsbehörde von dem Data-Breach längst auf anderem Wege erfahren hat.
Dr. Freiherr von dem Bussche: Wir haben umfassend über die enorm zunehmende Komplexität gesprochen, die aus dem Zusammenspiel der vielen Regelwerke folgt. Dies überfordert viele Unternehmen. Gibt es aus Ihrer Sicht im Rahmen der Sanktionierung „mildernde Umstände“ für Unternehmen, welche plötzlich alles auf einmal umsetzen müssen und deshalb verzweifelt sind?
Dr. h.c. Marit Hansen: Das kommt auf den Einzelfall an. Es wird beispielsweise berücksichtigt, wer zeigt, dass er zur Einhaltung der Anforderungen gewillt ist und sich nicht bis zum Wirksamwerden davor drückt, um sodann auf Rücksichtnahme zu hoffen. Nichtstun reicht also nicht.
Dr. Freiherr von dem Bussche: Zum Abschluss habe ich eine Frage, deren Antwort insbesondere Unternehmen, Datenschutzbeauftragte und Leiter von Rechtsabteilungen interessiert: Wie sollte man sich für die nächsten zehn Jahre wappnen?
Dr. h.c. Marit Hansen: Es wird eine ganze Menge passieren. Zwar kann ich nicht in die Glaskugel schauen. Ich bin mir allerdings sicher, dass die Geschwindigkeit sich nicht verringern wird. Daher empfehle ich einen Fokus auf Risikomanagementsysteme, um effektiv und dauerhaft die Risiken beherrschen zu können. Man kann sich auch vertrauensvoll an die Aufsichtsbehörden wenden. Bei Sicherheitsfragen hilft außerdem das Bundesamt für Sicherheit in der Informationstechnik weiter.
Autor
Dr. Axel Freiherr von dem Bussche, LL.M. (L.S.E.), CIPP/E
