Kaufen deutsche Behörden Daten bei Händlern?
Geschrieben von Miriam Harringer, veröffentlicht am 13.01.2026Tagtäglich entstehen durch die Nutzung von Apps teils detaillierte Bewegungsprofile. Standortdaten aus Apps, Terminbuchungen für Arztbesuche oder Restaurantreservierungen liefern Informationen über Aufenthaltsorte und Lebensgewohnheiten. Werden diese Daten nicht anonym erhoben, handelt es sich um personenbezogene Daten im Sinne von Art. 4 DSGVO.
Dass solche Daten von privaten Anbietern aggregiert und über Datenhändler vermarktet werden, ist bekannt. Zusätzlich sensibel wird die Situation, wenn staatliche Stellen als Erwerber dieser Daten auftreten. Ein unveröffentlichtes Gutachten des Wissenschaftlichen Dienstes des Bundestags gibt Anlass zur Vermutung, dass diese Praxis nun auch von der Bundesregierung angewandt wird. Wir geben einen Überblick.
Behörden als mögliche Datenkäufer
Die tagesschau berichtete, dass deutsche Behörden möglicherweise Werbedaten von Datenhändlern beziehen. Aus Sicht des Datenschutzrechts wirft dieses Vorgehen erhebliche Fragen zur Rechtsgrundlage nach Art. 6 DSGVO auf.
Denn auch Behörden benötigen für die Verarbeitung personenbezogener Daten eine klare Rechtsgrundlage. Auch wenn aus der Perspektive der Bundesregierung diese Daten als solche Informationen eingestuft werden, die „allgemein zugänglich“ seien.
Auf Anfrage einer Linken-Politikerin zum Vorgehen, so die tagesschau, antwortete die Bundesregierung nur: „Das müsse man im Einzelfall rechtlich prüfen.“ Weitere Informationen zu Umfang, Rechtsgrundlagen oder internen Prüfprozessen lässt sie aber offen. Aus Compliance-Sicht entsteht damit ein klares Transparenzdefizit.
Experteneinordnung und fehlende Rechtsgrundlage
Der Verweis auf „öffentlich zugängliche Daten“ greift zu kurz. Denn die DSGVO knüpft nicht an die Herkunft der Daten an, sondern an deren Personenbezug und Zweck der Verarbeitung. Selbst rechtmäßig erhobene Daten dürfen nur mit Rechtsgrundlage und im Rahmen klar bestimmter Zwecke weiterverarbeitet werden (Zweckbindungsgrundsatz, Art. 5 Abs. 1 lit. b DSGVO und Grundsatz der Rechtmäßigkeit, Art. 5 Abs. 1 lit. a DSGVO).
Experte Mark Zöller, Professor für Strafrecht und Digitalisierung an der Ludwig-Maximilians-Universität München, bewertet das mögliche Vorgehen als rechtswidrig, so der tagesschau-Bericht.
Angenommen, Sicherheitsbehörden verarbeiten personenbezogene Daten für einen konkreten Auftrag, für den eine Erhebung erforderlich ist, also rechtens. Problematisch wäre dann, dass unbeteiligte Dritte, eben durch die Datenerhebung aus Datenhändler-Quellen, betroffen sein können, die weder informiert werden noch Einfluss auf die Verarbeitung haben.
Hinzu kommt das Risiko der Datenverknüpfung, bei der ursprünglich als harmlos eingestufte Werbedaten mit weiteren Quellen kombiniert werden – ein potenzieller Konflikt mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.
Fazit
Was der Fall zeigt: Der Umgang staatlicher Stellen mit kommerziell gehandelten Daten für ein behördliches Informationsmanagement oder für Sicherheitsinteressen dürfte weiter Gegenstand politischer und rechtlicher Debatten bleiben. Ganz abgesehen von rechtlichen Grundlagen ist solch ein Vorgehen aber auch wenig vertrauenerweckend für die Bürgerinnen und Bürger.
FAQ
Ist der Ankauf personenbezogener Daten durch Behörden DSGVO-konform?
Nur dann, wenn eine konkrete gesetzliche Rechtsgrundlage vorhanden ist. Ohne klare Ermächtigung fehlt es an einer zulässigen Grundlage nach Art. 6 Abs. 1 DSGVO.
Spielt es eine Rolle, dass es sich um Werbedaten handelt?
Nein. Entscheidend ist der Personenbezug. Auch Werbedaten unterfallen dem Schutz der DSGVO, sobald sie einer identifizierbaren Person zugeordnet werden können.
Sind öffentlich verfügbare oder gekaufte Daten weniger geschützt?
Nein. Auch solche Daten unterliegen den Grundprinzipien der DSGVO, insbesondere Zweckbindung, Transparenz und Datenminimierung.
Warum ist das Thema aus Compliance-Sicht kritisch?
Weil fehlende Rechtsgrundlagen, unklare Zweckdefinitionen und mangelhafte Dokumentation unmittelbar gegen zentrale DSGVO-Pflichten verstoßen können – mit entsprechenden aufsichtsrechtlichen Risiken.
Sprechen Sie uns gerne an, bei Fragen zu Kaufen deutsche Behörden Daten bei Händlern?
Miriam Harringer,
Medien- und Kulturmanagerin sowie langjährige Redakteurin.
Auf unserem Blog schreibt sie Artikel für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- Ethik und Innovation vereint: Der AI Act am Weltmarkt
- Was bedeuten die drei Punkte Genauigkeit, Robustheit und Cybersicherheit gemäß Art. 15 KI-VO?
- Neues BSI-Portal: Zentrale Plattform für KRITIS – mit offener Cloud-Flanke
- Einholung einer Einwilligung bei KI-Tests gem. Art. 61 KI-VO: Die Inhalte auf einen Blick
- Bevollmächtigte für KI außerhalb der EU für GPAI gem. Art. 54 KI-VO
- IT-Sicherheits-Checkliste für Unternehmen
Verwandte Artikel
- Cyberangriffe mit KI: Der ESET Threat Report und die Gefahr durch PromptLock
- State Capture: Wie US-Tech-Konzerne den Staat neu programmieren
- Neues BSI-Portal: Zentrale Plattform für KRITIS – mit offener Cloud-Flanke
- Passwortmanager im Fokus: BSI sieht Verbesserungsbedarf
- Mega-Leak bei WhatsApp: Was der Zugriff auf 3,5 Milliarden Profile jetzt bedeutet
- Verabschiedung des NIS-2-Umsetzungsgesetzes: Was bedeutet das für Unternehmen und Behörden?