Auslegungssache – der c't-Datenschutz-Podcast

Die aktuelle Episode des c't-Datenschutz-Podcasts steht fast komplett im Zeichen der Europawahl, die in Deutschland am 9. Juni stattfindet. Holger und Joerg haben sich vorgenommen, einen digitalpolitischen und datenschutzrechtlichen Rückblick auf die vergangene Legislaturperiode zu wagen und begründet dazu aufzurufen, wählen zu gehen. Als versierter Gast bereichert diesmal Falk Steiner das Gespräch. Falk beobachtet als freier Journalist für c't und heise online das politische Geschehen in Berlin und in Brüssel. In der Episode erläutert er die Zusammenhänge zwischen den vielen digitalpolitischen Gesetzgebungsverfahren im Bund und der EU. Außerdem besprechen die drei, welche Verfahren mit in die nächste Legislatur genommen werden dürften und was anstehen könnte. Nicht zuletzt spekulieren sie darüber, ob die Datenschutz-Grundverordnung in den nächsten fünf Jahren aufgeschnürt und reformiert werden könnte. Abschließend folgt noch ein kurzer Ritt durch die Parteiprogramme der größeren deutschen Parteien zur EU-Wahl. Es bleibt die Erkenntnis, dass zur Digitalpolitik durch die Bank viele Allgemeinplätze und wenig konkrete Forderungen zu finden sind. Allenfalls große politisch Linien lassen sich finden. Falk merkt lakonisch an, dass Digitalpolitik und insbesondere Datenschutz eben nach wie vor bei vielen Entscheidungsträgern keinen hohen Stellenwert genießt

Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen. In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen. Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen. Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen. In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung. Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.

Der Umsatz mit Computerspielen steigt in Deutschland kontinuierlich. 2023 wurden mit PC-Games und Konsolenspielen mehr als 3,7 Milliarden Euro umgesetzt. Besonders boomt der Markt auf Smartphones und Tablets: Für fast drei Milliarden Euro kauften Daddlerinnen und Daddler Items, Skins oder Coins per In-App-Stores in den Spielen. Für die Branche gelten hierzulande dieselben datenschutzrechtlichen Einschränkungen wie für etwa soziale Medien. Hinzu kommen allerdings noch strenge Jugendschutzbestimmungen. Und längst werden die Games nicht mehr (nur) im Laden gekauft, sondern hauptsächlich über Plattformen wie Steam, Playstation oder eben den Appstores von Google und Apple. Sowohl beim Kauf als auch bei der Nutzung fallen eine Menge Daten an. Im Datenschutz-Podcast von c't erläutert ein juristischer Experte und Interessenvertreter die Perspektive der deutschen Games-Branche: Prof. Christian-Henner Hentsch ist Professor für Urheber- und Medienrecht an der Kölner Forschungsstelle für Medienrecht der TH Köln, daneben verantwortet als Leiter Recht und Regulierung für den Verband der Deutschen Games-Branche "game" alle verbandsinternen rechtlichen Fragen sowie die rechtspolitischen Themen. Henner gibt einen Einblick in die Branche und erklärt, welche Parteien dort derzeit agieren, von Plattformen über Publisher bis zu Indie-Studios. Weil der Verkauf von Werbeplätzen in Spielen kaum stattfinde, benötigten Spiele-Anbieter in aller Regel keine Einwilligung zur Datenerhebung. In diesem Bereich werde alles über die Kauf- und Nutzungsverträge geregelt. Dies umfasse auch die Verarbeitung von anfallenden personenbezogenen Daten während des Spielens. Bei den Plattformen selbst würden eine Menge Daten auflaufen, doch diese würden nur sehr eingeschränkt an Publisher und Entwickler weitergegeben, sagt Hentsch. Aber natürlich finde eine Beobachtung der Spieler statt, um das Spielerlebnis zu optimieren und manchmal auch, um geeignete Stellen zu finden, an denen jemand besipielsweise besonders interessiert sein könnte, mit zusätzlichen Items den Fortgang des Games zu beschleunigen.

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien (teilweise von Minderjährigen) offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber hatte c't auf das gravierende Datenleck aufmerksam gemacht. Wir verifizierten das Problem und wiesen die Stay Informed GmbH aus Freiburg darauf hin. Sie reagierte umgehend und schloss die Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Träger einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragsnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Dies sind vielmehr die mehr als 11.000 angeschlossenen Auftragsgeber, also alle Einrichtungen. In Episode 106 der Auslegungssache spricht Joerg mit Holger über die rechtlichen Grundlagen und die Folgen. Holger war an der Recherche zum Stay-Informed-Datenleck beteiligt und kann viel berichten. Joerg erklärt, welche Rolle Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen. Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen - und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das datenverarbeitende System hatten und haben.

Rechtsanwälte bekommen es in der datenschutzrechtlichen Beratungspraxis mitunter mit skurrilen Anfragen von Verbrauchern zu tun. Oft geht es dabei im Alltag um die Durchsetzung von Auskunftsansprüchen und Schadensersatzforderungen. Nebenher müssen sie sich mit Rechtsschutzversicherungen um die Vergütung ihrer Tätigkeit zoffen. In der neuen Episode des c't-Datenschutz-Podcasts plaudert Niklas Mühleis ein wenig aus dem Nähkästchen. Niklas ist Rechtsanwalt und Partner in der Hannoverschen Kanzlei Heidrich Rechtsanwälte, zusammen mit Podcast-Cohost und Heise-Verlagsjustiziar Joerg. Er berichtet über konkrete Fälle und erläutert, welche Kosten anfallen, wenn man einen Anwalt engagiert, um seine Rechte durchzusetzen. Anlass des Besuchs ist, dass Niklas im neuen Heise-Podcast "Vorsicht, Kunde!" als Experte verbraucherrechtliche Fragen aus der IT-Welt juristisch einordnet (siehe Shownotes). Außerdem wagen c't-Redakteur Holger, Joerg und Niklas in der neuen Auslegungssache einen Rückblick auf die Bußgeld-Praxis der europäischen Datenschutzbehörden im vergangen Jahr 2023. Anlass ist eine zusammenfassende Statistik des DSGVO-Portals. Demnach ist die Gesamtsumme der verhängten Bußgelder in Europa um 29 Prozent gegenüber 2022 gestiegen. Insgesamt seien es 2023 2,11 Milliarden Euro gewesen, wobei allein 1,2 Milliarden auf ein einizges Bußgeld gegen Facebook zurückzuführen sind.

Die Datenschutz-Grundverordnung (DSGVO) gibt "Betroffenen" von Datenverarbeitung einige Rechte in die Hand, beispielsweise das Auskunftsersuchen und die Möglichkeit, personenbezogene Daten vom Verantwortlichen löschen zu lassen. Damit sie wissen, welche Rechte ihnen zustehen und wo sie diese einfordern können, schreibt die DSGVO außerdem in Art. 13 und 14 Informationspflichten vor. Es geht zuallererst um die allseits bekannte Datenschutzerklärung, aber nicht nur um sie. Bei den Informationspflichten steckt der Teufel oft im Detail. Grund genug für den c't-Datenschutz-Podcast, einmal genauer auf den Gesetzestext und mögliche Konstallationen in der Praxis zu schauen. Holger und Joerg bekommen dabei Unterstützung von Barbara Schmitz, Rechtsanwältin für IT- und Datenschutzrecht. Barbara berät Unternehmen zur Erfüllung der Informationspflichten und kann aus ihrem beruflichen Alltag berichten. Kaum beachtet wird in der öffentlichen Diskussion der genannte Art. 14 DSGVO, in dem es um Informationen zu Daten geht, die nicht vom Verantwortlichens selbst erhoben, aber von diesem weiterverarbeitet werden. Hierzu muss er konkret und in einer zeitlichen Frist nach Erhalt die Quelle offenlegen. Spannend: Ändert sich der Verarbeitungszeck, muss auch das mitgeteilt werden. Die Drei in der Runde grübeln darüber, wo diese Pflicht in der Praxis verfängt und ob ihnen eine solche Information schon einmal untergekommen ist.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

Derzeit spielt sich um den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber ein unwürdiges politisches Schauspiel vor den Augen der Öffentlichkeit ab. Kelber, dessen erste fünfjährige Amtszeit am 7. Januar ablief, ist derzeit nur noch geschäftsführend im Amt. Und dies ist der Fall, obwohl sich der SPD-Politiker und Informatiker einen hervorragenden Ruf im Amt erarbeitet hat und in der Datenschutz-Community hoch geachtet wird. Kelber selbst hat in einem ungewöhnlichen Statement selbst erklärt, dass er sich gerne für eine weitere fünfjährige Amtszeit zur Verfügung stellt. Er müsste dafür von der Bundesregierung vorgeschlagen und vom Bundestag gewählt werden. Für seine erste Amtzeit hatte ihn 2019 die SPD vorgeschlagen. Doch die verzichtete nun auf diese Möglichkeit. Der Grund dafür könnte sein, dass sie bereits andere Posten zugeschlagen bekommen hat, vielleicht war ihr Kelber aber auch zu unbequem geworden. Nun liegt das Vorschlagsrecht innerhalb der Ampelkoalition bei den Fraktionen von FDP und Grünen. Die tun sich augenscheinlich schwer, eine geeignete Person als Nachfolger zu benennen, die den Job unter diesen Umständen noch annehmen würde. Parteilos sollte diese Person sein, und fachlich qualifiziert, ist aus den Fraktionen zu hören. Wie die Sache ausgeht, scheint derzeit völlig offen. Dieser unschönen Gemengelage nimmt sich der c't-Datenschutz-Podcast Auslegungssache in seiner aktuellen Episode an. Redakteur Holger Bleich hat sich dazu zwei Gäste eingeladen, die die Lage fachkundig analysieren und ihre Meinung dazu nicht hinter dem Berg halten: Dr. Stefan Brink war selbst bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg und kennt sich mit den Verfahren bestens aus. Falk Steiner berichtet als freier politischer Korrespondent seit langen Jahren für c't und heise online aus Berlin und Brüssel. Im Podcast erläutert er die politischen Scharmützel rund um die Neubesetzung des Amts und ordnet sie in größere Zusammenhänge ein. Brink hält das Ernennungsverfahren von Leitern der Datenschutzbehörden für völlig intransparent und nicht vereinbar den Vorgaben aus Art. 53 DSGVO: "Es muss ja nicht nur der Wahlakt selbst transparent sein, es beginnt früher. Wo bleiben die Ausschreibungen, aus denen mehrere Bewerber hervorgehen, um eine Auswahl zu haben?" Momentan würden die der Kontrolle Unterworfenen ihre eigenen Kontrolleure bestimmen. Brink weist im Podcast ausdrücklich darauf hin, dass auch er 2016 in einem solchen Verfahren gewählt wurde. Ob er selbst für das Amt des BfDI zur Verfügung stünde? "Ein klares Nein! Man hat mich mehrmals gefragt, und sogar an mich appelliert, mein Nein zu überdenken." Aus dem politischen Berin weiß Steiner zu berichten, dass "zurzeit hinter den Kulissen gemauschelt wird ohne Ende". Da sei auch ein Machtspiel innerhalb der SPD in Gange, bei dem es sogar um rheinischen Klüngel gehe: "Es spielen da Dinge eine Rolle, die mit Datenschutz rein gar nichts zu tun haben." Welche das sind, erfahren Sie in der Podcastepisode.

Gespannt hatte die Datenschutz-Community im Dezember vergangenen Jahres nach Luxemburg geblickt. Gleich sechs Entscheidungen des Europäischen Gerichtshofs standen an, die mehr Klarheit in strittige Fragen zur DSGVO-Auslegung bringen sollten. Doch haben sie diese Erwartung erfüllt? Dieser Frage gehen Joerg Holger in dieser Episode nach. Bereits zum dritten Mal stellte sich Prof. Alexander Golland als Experte zur Verfügung, um im Podcast die Sachlagen kompetent einzuordnen. Alexander lehrt und forscht an der Fachhochschule Aachen zum Recht der Digitalisierung und ist daneben Autor und Herausgeber zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Schriftleiter der Fachzeitschrift "Datenschutz-Berater". Zunächst diskutieren die Drei die EuGH-Entscheidung "Schöner Wohnen" (C-807/21). Dieser zufolge sind DSGVO-Bußgelder gegen Unternehmen möglich, wenn sie ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss hingegen nicht nachgewiesen sein. Dieses muss sich das Unternehmen als juristische Person zurechnen lassen, so der EuGH. Beide Streitparteien werteten das Urteil als Erfolg. Alexander bezeichnet es als "salomonisch" und meint, eigentlich kann sich keine der beiden Seiten darüber freuen sollte. Weiter geht es in der Episode mit den Entscheidungen "NAP" (C-340/21) und "Gemeinde Ummendorf" (C-456/22). Hier wurden Schadensersatzansprüche nach Art. 82 DSGVO aus Datenschutzverstößen heraus verhandelt, konkret ein Cyberangriff, bei dem eventuell personenbezogene Daten abgezogen wurden. Der EuGH entschied de facto eine Beweislastumkehr: Verantwortliche müssen künftig nachweisen, dass ihre Systeme nach Art. 32 DSGVO ausreichend gesichert waren, wenn jemand einen Schaden behauptet. Dem Urteil zufolge können bereits Sorgen und Befürchtungen um einen möglichen Datenverlust einen Schadenersatzanspruch begründen. Doch das die Ängste einen Schaden darstellen, müssen die Betroffenen im Einzelfall nachweisen. Alexander hält diesen Nachweis je nach Umstand für schwierig: "Vielleicht muss mir die Ehefrau bestätigen, dass ich aus Furcht vor dem Missbrauch meiner Daten jede Nacht von drei bis fünf Uhr morgens bibbernd auf der Bettkante saß? Oder ich muss eine Art Angsttagebuch vorlegen können?"

ChatGPT, Midjourney und Co. stellen die Datenschützer vor völlig neue Herausforderungen. Womit darf man generative KI trainieren? was sollte man beim Nutzen der Blackbox-Modelle beachten, um die Preisgabe personenbezogner Daten zu vermeiden, oder zumindest zu minimieren? Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an die Betreiber? Der Datenschutz muss sehr aufpassen, um nicht wieder als Bremser des Fortschritts dazustehen, meint Joerg. Zusammen mit Holger diskutiert er in der Podcast-Episode die möglichen Rechtsgrundlagen und schätzt die momentane Lage ein. Den beiden kompetent zur Seite steht Dr. Michael Koch. Michael ist Mitarbeiter von Joerg in der Rechtsabteilung des Verlags und vertiefte diese Themen zusammen mit ihm viele Male in Webinaren des Verlags. Außerdem ist er Datenschutzmentor für Start-Ups in Hannover und Referent und Fachautor zu den Themengebieten IT-Recht und Datenschutz. Die drei erörtern, wo beim Einsatz von generativer KI welche personenbezogenen Daten verarbeitet werden können - und wo Probleme entstehen. Ein Disput entsteht in der Diskussion, als es um das "Scraping" öffentlich zugänglicher Daten im Web zu Trainingszwecken geht, wie es beispielsweise OpenAI betreibt: Muss man damit rechnen, dass alle veröffentlichten Informationen potenziell als Trainingsmaterial für Sprach-KIs oder Bildgeneratoren fungieren? Michael erläutert, wie eine betriebliche Nutzung von Chatbots mit einer Richtlinie geregelt werden könnte, etwa mit Compliance-Vorschriften und gemeinsam genutzten Funktions-Accounts. Ausführlicher besprechen die Drei außerdem die "Checkliste zum Einsatz LLM-basierter Chatbots", die der Hamburgische Landesdatenschutzbeauftragte öffentlich bereitgestellt hat. Wer sich daran halte, habe schon sehr viel dafür getan, um auf der rechtssicheren Seite zu sein, ist sich Joerg sicher.

Geht es nach dem Willen der EU, wird bald jeder Bürger der 27 Mitgliedsstaaten eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030 sollen sich 80 Prozent aller EU-Bürger online im Web damit ausweisen können. Die gesetzliche Grundlage dazu nennt sich eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am 9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und Kommission erzielt, und am 7. Dezember hat Industrieausschuss des Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen Artikel, der von zivilgesellschaftlichen Organisationen, aber auch IT-Experten aus dem universitären Umfeld scharf kritisiert wird. Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache. c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15. Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten dieser Problematik beschäftigt. In erster Linie geht es um Artikel 45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge, Firefox, und Safari künftig sogenannte qualifizierte Zertifikate (Qualified Website Authentication Certificates, QWACs) für die Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der Browser sollen Aussteller dieser QWACs, die sogenannten Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei: Diese staatlich kontrollierten Anbieter könnten Hintertüren einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes und Geheimdienste weltweit haben großes Interesse, den Verkehr ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte falsche Zertifikate für alle Websites ausstellen und der Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten – das Szenario träfe damit alle Europäer. Immer wieder warnen Browser-Hersteller und Wissenschaftler davor, ein Szenario per Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation und damit auch den Datenschutz der Bürger derart aushöhlt.

Es wird langsam zur Tradition im c't-Datenschutz-Podcast: Ehemalige Behördenleiter kommen gerne als Gäste, um die High- und Lowlights ihrer Amtszeit gemeinsam mit Holger und Joerg Revue passieren zu lassen. Und das ohne jene Redebeschränkungen, die ihnen ihre Position auferlegt hatte. In Episode 98 plaudert die ehemalige Landesdatenschutzbeauftrage Niedersachsens Barbara Thiel aus dem datenschutzrechtlichen Nähkästchen. Thiel amtierte von 2015 bis Mitte 2023 und erlebte den Awareness-Wandel, den die DSGVO mit sich brachte, als Behördenleiterin an vorderster Front mit. In Podcast erzählt sie, wie der Start verlief, welche Schwerpunkte sie sich aussuchte und auf welche Widerstände sie im Laufe ihrer Amtszeit stieß. Thiel berichtet von wenig bekannten Verfahren, ordnet aber auch spektakuläre Bußgelder ein, die sie verhängt hat. Im Gespräch bemängelt sie, dass es zu wenig Ambitionen gibt, die Datenschutzregulierung auf deutscher Ebene zu vereinheitlichen und in den europäischen Kontext einzuhegen. An dieser Stelle will sie sich ihren Aussagen zufolge auch künftig engagieren. Erstmals schildert Thiel außerdem öffentlich ihre Motivation dazu, gegen die Ernennung ihres Nachfolgers gerichtlich vorzugehen. Sie kritisiert, dass ihr Nachfolger und CDU-Politiker Dennis Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben. Das Verwaltungsgericht Hannover wies Thiels Klage ab, am 15. September schließlich bestätigte auch das Oberverwaltungsgericht Lüneburg, dass Lehmkemper entgegen Thiels Auffassung ernannt werden kann, was Tags darauf auch geschah. Thiel betont im Podcast, dass sich ihre Klage keinesfalls gegen ihren Nachfolger gerichtet habe. Vielmehr vermutet sie beim Ernennungsverfahren in Niedersachsen einen Verstoß gegen Artikel 53 DSGVO, der nicht nur ein transparentes Ernennungsverfahren verlange, sondern auch die erforderliche Sachkunde und Qualifikation des Bewerbers fordere. Schließlich sei allerdings zu ihrem Bedauern in der Sache nicht einmal entschieden worden.

Als die Datenschutz-Grundverordnung 2018 wirksam wurde, führte das regelrecht zu panischen Reaktionen bei vielen ehrenamtlich Tätigen, beispielsweise in den mehr als 600.000 eingetragenen Vereinen. Dies hat einen simplen Grund: Zur negativen Überraschung sah das neue EU-Gesetz keinerlei Erleichterungen für sie vor. Nach dem Motto "one size fits all" gelten dieselben Bestimmungen für den Vorsitzenden des Taubenzüchtervereins wie für einen US-amerikanischen Megakonzern. Mitterweile haben sich die Wogen geglättet, denn bislang lassen die Aufsichtsbehörden Milde walten. Nur in wenigen Fällen setzte es Bußgelder gegen Vereine, und wenn, ging es um eher geringe Beträge im dreistelligen Bereich. Dennoch tun Verantwortliche in Vereinen gut daran, sich mit den Vorgaben der DSGVO zu beschäftigen. Dies gilt insbesondere für die Dokumentationspflichten und die technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten der Mitglieder. Die Aufsichtsbehörden selbst leisten da eher wenig konkrete Hilfestellung. Deshalb hat sich die Stiftung Datenschutz des Themas angenommen und unter dem Motto "Datenschutz im Ehrenamt" umfangreiches Infomaterial bereitgestellt. Verantwortlich für diesen Bereich ist Hendrik vom Lehn, Referent für Datenschutzrecht bei der Stiftung und Diplom-Informatiker. Im c't-Datenschutz-Podcast erläutert er, welche Besonderheiten Vereinsverantwortliche beachten sollten. Beispielsweise gilt es, ehrenamtliches Personal zur Verschwiegenheit beim Umgang mit personenbezogenen Daten zu verpflichten, zumal, wenn es um besonders sensible Gesondheitsdaten geht. Außerdem empfiehlt Hendrik, eine Person zu benennen, die alle Datenschutzbelange überblickt und koordiniert. Zusätzlich kann je nach Größe des Vereins nötig werden, einen offiziellen Datenschutzbeauftragten zu qualifizieren oder von extern zu bestellen. Hendrik berichtet aus der Praxis von besonders häufigen Problemstellungen, beispielsweise dem Umgang mit Fotos und Videos - und wie man damit umgehen sollte.

Nach einem außergewöhnlich langen Gesetzgebungsverfahren ist am 2. Juli 2023 das erste Gesetz in Kraft getreten, das den Schutz von Whistleblowern insbesondere in Unternehmen regelt. Damit hat Deutschland die EU-Richtlinie 2019/1937 (Hinweisgeberrichtlinie) umgesetzt. Weil die Bundesrepublik dabei alle Fristen gerissen hat, läuft ein millionenschweres Vertragsverletzungsverfahren. In der Podcast-Episode werden die Genese des Gesetzes, Kompromisse bei der Umsetzung sowie die konkreten Anforderungen zum Schutz von Hinweisgebern diskutiert. Dazu haben Holger und Joerg einen kompetenten Gesprächspartner eingeladen: Dr. Simon Gerdemann war indirekt an der Enstehung des Gesetzes beteiligt und leitet derzeit das Projekt "Wirkungsanalyse des deutschen und europäischen Whistleblowing-Rechts" an der Uni Göttingen. Simon erklärt, für welche Unternehmen das Gesetz gilt, in welcher Form sie Hinweise von Mitarbeitern auf Missstände entgegennehmen müssen und wie sie darauf den Vorschriften zufolge reagieren sollten. Außerdem erläutert er die Funktion von externen Meldestellen, an die sich Whistleblower nun ebenfalls wenden können. Nicht zuletzt geht es hier um teils höchst sensible personenbezogene Daten, weshalb auch die datenschutzrechtlichen Implikationen zur Sprache kommen. Schlussendlich ist sich die Runde einig, dass das Hinweisgeberschutzgesetz zwar nicht der Weisheit letzten Schluss, aber einen guten Anfang darstellt. Was fehle, sei insbesondere die verbriefte Möglichkeit für Whistleblower, brisante Informationen zu Missständen auch garantiert annonym melden zu können.

Längst nicht jeden Umgang mit personenbezogenen Daten in Europa regelt die DSGVO. Für viele Unternehmen und Organisationen gelten eigene Datenschutzvorschriften, etwa für den Rundfunk, den Journalismus und vor allem für Kirchen und andere Religionsgemeinschaften. So haben sich die katholische und die evangelische Kirche in Deutschland eigene Gesetze geschrieben, die zwar an die DSGVO angelehnt sind, aber auch erhebliche Unterschiede aufweisen. Wie ist das möglich, wo doch die DSGVO unterschiedslos in der ganzen EU gelten soll? Die Verordnung enthält in Artikel 91 eine Ausnahme. Sie besagt, dass Kirchen ihre Datenschutzvorschriften behalten dürfen, wenn diese schon vor Frühjahr 2016 gegolten haben und "umfassend" sind. Warum diese Ausnahme zustande kam und welche Konsequenzen sie in der Praxis mit sich bringt, diskutieren Holger und Joerg. Ihnen zur Seite steht in dieser Episode mit Felix Neumann der Experte für kirchlichen Datenschutz in Deutschland. Felix arbeitet als Journalist beim Portal katholisch.de und betreibt nebenher das Blog "Artikel 91", in dem es um die Auswirkungen der Sonderregelung geht. Nach seinen Recherchen geht sie auf intensive Lobbyarbeit der deutschen Kirchen sowie auf den Einsatz der deutschen Bundesregierung im Gesetzgebungsprozess zur DSGVO zurück. Felix erklärt im Podcast, welche Unterschiede die kirchlichen Datenschutzgesetze zur DSGVO aufweisen. Insbesondere definieren sie abseits von staatlicher Kontrolle eine eigene Aufsichtsstruktur, und sie enthalten wesentlich geringere Sanktionierungsmöglichkeiten: Während die DSGVO Bußgelder von bis zu 20 Millionen Euro vorsieht, deckeln die Kirchengesetze die Strafe auf maximal 500.000 Euro. Besonders spannend ist die Frage, welche Religionsgemeinschaften außer den großen Kirchen Anspruch auf eigene Datenschutzregeln erheben. Dies schildert Felix ausführlich, auch Anhand einer gerichtlichen Auseinandersetzung der Selbständigen Evangelisch-Lutherischen Kirche (SELK) mit der niedersächsischen Landesdatenschutzaufsicht. Hier steht im Raum, dass grundsätzliche Fragen dazu noch vor dem Europäischen Gerichtshof (EuGH) landen könnten.

Seit dem 10. Juli dieses Jahres gilt das EU-US Data Privacy Framework. Die Vereinbarung erlaubt es Unternehmen, unter gewissen Voraussetzungen Daten in die USA zu transferieren. Die Erlaubnis beruht auf einem erneuten Angemessenheitsbeschluss der EU-Kommission, nach dem die Vorherigen vom Europäischen Gerichtshof einkassiert worden waren. Was genau dieses DPF ist und was Unternehmen beachten müssen, hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anfang September in ausführlichen Anwendungshinweisen gut verständlich erläutert. Anders als vergleichbare Beschlüsse mit weiteren Staaten erlaubt die Neuregelung nicht grundsätzlich eine Weitergabe über den Atlantik, wie die DSK betont. Das DPF wirkt sektoral und erfasst nur Datenübermittlungen an solche US-Unternehmen und -Organisationen, die aktiv an diesem Programm teilnehmen und sich in eine entsprechende Liste eintragen lassen. In Episode 93 des c't-Datenschutz-Podcasts erläutern Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich, was sich mit dem DPF für Unternehmen, aber auch für Bürgerinnen und Bürger ändert. Ihnen kompetent zur Seite steht dabei Carola Sieling. die Fachanwältin für IT-Recht berät in ihrer Kanzlei Unternehmen in Datenschutz-Belangen und fungiert als Datenschutzbeauftragte. Zusammen lesen sich die Drei kommentierend durch das DSK-Papier. Neben dem DPF diskutieren sie außerdem ein hohes Bußgeld, das die irische Datenschutzbehörde gegen die TikTok Technology Limited, also den europäischen Ableger von TikTok/Bytedance, ausgesprochen hat. Das Unternehmen soll 345 Millionen Euro zahlen, weil es im Beobachtungszeitraum 2020 diverse Verstöße im Umgang mit den Daten Minderjähriger begangen hat.

Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.

Die Datenschutz-Grundverordnung (DSGVO) beruht auf dem Verbotsparadigma: Das Erheben und Speichern von personenbezogenen Daten ist untersagt, außer es es ist erlaubt. Eine Erlaubnis kann sich nur aus Art. 6 ergeben, in dem die Rechtsgrundlagen definiert sind, also beispielsweise ein "berechtigtes Interesse" oder eine widerrufbare Einwilligung des Dateninhabers. Fällt die Rechtsgrundlage weg, muss der Verantwortliche unverzüglich die erhobenen Daten löschen. Das muss er auch tun, wenn der Dateninhaber von seinem Recht auf "Löschen auf Zuruf" nach Art. 17 DSGVO Gebrauch macht. Diese Gemengelage macht deutlich, auf welch tönernen Füßen datengetriebene Geschäftsmodelle in der EU stehen. Auch die neuen Datengesetze wie der Data Act und Data Governance Act hebeln das Verbotsparadigma nicht aus, sondern müssen sich ihm unterordnen. Hinzu kommt, dass diverse nationale Vorschriften von Behörden und Unternehmen fordern, beispielsweise Verträge und Rechnungen eben nicht zu löschen, sondern innerhalb einer Frist verfügbar zu halten. Zusätzlich gibt es die Pflicht, geschäftliche E-Mails zehn Jahre lang zu archivieren. Außerdem sollen Verantwortliche Backups ihre Datenbestände vorhalten. All diese Ausnahmen deckt Art. 17, Abs. 3 DSGVO. Doch wie soll man das alles praktisch umsetzen; wie löscht man wirklich sicher Daten, um seinen Pflichten nachzukommen? Darüber sprechen Heise-Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich in Episode 91 des c't-Datenschutz-Podcasts Auslegungssache. Als kompetenter Gast steht ihnen dabei Dr. Christoph Wegener zur Seite. Wegener ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Im Podcast erläutert er, welche Methoden er zum Löschen von Daten empfiehlt und gibt hilfreiche Tipps für die Praxis in Unternehmen.

Na klar, jeder weiß es: Wer kostenlose Plattformen wie Facebook nutzt, bezahlt zwar kein Geld, dafür willigt er oft stillschweigend ein, dass seinen dort hinterlassenen Daten analysiert und genutzt werden. Der Deal lautet: Plattformzugang gegen das Ausspielen personalisierter Werbung. Er findet sich allerorten, beispielsweise auch auf den kostenfreien Angeboten deutscher Verlagshäuser. Was viele nicht wissen: Das Gegenschäft "Leistung gegen Daten" existiert keineswegs nur informell, sondern findet seit Beginn 2022 auch Niederschlag im Bürgerlichen Gesetzbuch (BGB, § 312 Abs. 1a und § 327 Abs. 3). De facto gelten seitdem im digitalen Bereich beim Bezahlen mit Daten dieselben Regeln wie bei Geldzahlungen. Und das hat Folgen, denn Verbraucher haben nun dieselben Rechte. Und Unternehmen treffen dieselben Informations- und Gewährleistungspflichten wie beim Deal "Leistung/Ware gegen Geld". Doch wann genau kommt ein solcher Vertrag zustande? Und wo beißt sich das neue deutsche Recht mit der Prinzipien der Datenschutz-Grundverordnung (DSGVO), etwa der Zweckbindung und dem Kopplungsverbot? Um diese und viele weitere Fragen geht es in Episode 90 des c't-Datenschutz-Podcasts. Holger und Joerg sprechen dazu mit Prof. Dr. Anna K. Bernzen. Die promovierte Juristin verfasst derzeit als Akademische Rätin an der Rheinischen-Friedrich-Wilhelms-Universität Bonn ihre Habilitationsschrift zum Verbraucherschutz in der Plattformökonomie. Seit Oktober 2022 ist sie außerdem Juniorprofessorin für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Im Podcast erläutert Anna die Grundlagen des neuen digitalen Vertragsrechts im BGB, weist auf Konfliktpotenzial hin und gibt Tipps für die Praxis.

Was wenige Hörerinnen und Hörer wissen dürften: Im August 2020 war der Heise-Verlag, genauer die Heise Medien GmbH & Co. KG, ins Visier der Datenschutzaufsicht des Landes Niedersachsen geraten - also der für den in Hannover ansässigen Verlag zuständigen Behörde. Die Landesdatenschutzbeauftragte (LfD) kritisierte die Art und Weise, wie heise online Einwilligungen zum Setzen von First- und Third-Party-Cookies abfragt. Dabei ging es um die optische Gestaltung des sogenannten Consent-Frameworks ebenso wie um das alternative Angebot eines Tracking-freien, aber dann kostenpflichtigen "Pur-Abos". Der Verlag hat die Kritik angenommen und in einem intensiven Austausch mit der Behörde Änderungen vorgenommen sowie Lösungen erarbeitet. Im Dezember 2022 war ein wichtiger Zwischenschritt erfolgt, doch erst im April 2023 zeigte sich die Behörde vollständig zufrieden mit der auf heise online eingesetzen Einwilligungseinholung für Cookies. Im Mai schließlich kamen alle Verfahren zum Abschluss, die Lösung auf heise online wurde abschließend als rechtskonform erklärt. Viele weitere Großverlage haben den Prozess, den man vielleicht als "Musterverfahren" bezeichnen kann, aufmerksam verfolgt und stehen im Austausch mit den technisch und juristisch Verantwortlichen bei Heise. Zwei dieser Verantwortlichen sind Verlagsjustiziar Joerg Heidrich sowie Sebastian Hilbig. Sebastian ist als Technischer Leiter (CTO) bei Heise Medien für die Weiterentwicklung der gesamten digitalen Infrastruktur zuständig. Zu seinem Verantwortungsbereich zählen die Web-Entwicklung, das IT-Systemmanagement und die Produktion. In der Auslegungssache erläutert er zunächst, was Cookies genau sind und welche Problematiken mit ihnen einhergehen. Anschließend arbeitet er zusammen mit Joerg und Holger das Verfahren auf und schildert die Knackpunkte, die auch technischer Art waren. In der Rubrik "Bußgeld der Woche" geht es diesmal außerdem ausgerechnet um ein Bußgeld, dass die Landesdatenschutzbeauftragte Niedersachsens gegen eine Privatperson verhängt hat. Mehrere weibliche Jugendliche hatten den Eindruck, in der Innenstadt von einer männlichen Person verfolgt und fotografiert zu werden. Eine Kontrolle des Smartphones durch die Polizei hatte anschließen ergeben, dass die Betroffenen der gezielte Fokus mehrerer Fotografien waren. Sie informierte die LfD, die im Fotografieren auf der Straße eine unerlaubte Datenerhebung sah. Kritiker befürchten nun bereits das Ende der Streetphotography. Was ist dran? Hinweis in eigener Sache: Die Auslegungssache geht in eine kurze Sommerpause. Die nächste Episode 90 ist für den 11. August 2023 geplant.

Im Rahmen ihrer Datenstrategie vollzog die EU-Kommission ab 2020 eine Kehrtwende in der rechtlichen Behandlung von personenbezogenen Daten: Während die geltende Datenschutz-Grundverordnung (DSGVO) einen sehr restriktiven Ansatz verfolgt, stellen alle derzeit in diesem Bereich geplanten Verordnungen die Wertschöpfung und die Förderung der Datenwirtschaft in den Vordergrund. Weil die DSGVO dennoch nicht angetastet werden soll, sind Widersprüche vorprogrammiert. Holger und Joerg exerzieren diese Ungereimtheiten anhand des Data Acts, also des auf deutsch so bezeichneten "Datengesetzes", einmal durch. Dazu haben sie eine absolute Expertin eingeladen: Stephanie Richter beschäftigt sich als Rechtsanwältin und Associate in der Kanzlei TaylorWessing seit längerem mit der Genese des Data Acts, und hat dabei auch die Konflikte des Entwurfs mit den bestehenden DSGVO-Regelungen seziert. Den ersten Entwurf zum Data Act hat die EU-Kommission im Februar 2022 vorgelegt. Mittlerweile haben sich Rat und EU-Parlament auf Positionen zu dem Vorschlag festgelegt, und das Gesetzeswerk durchläuft die Kompromissfindung im Trilogverfahren. Eventuell wird dieser Kompromiss noch in diesem Monat stehen, sodass der Data Act bald verabschiedet werden könnte. Vermutlich bleiben dann Unternehmen gerade einmal 12 Monate, um alle Forderungen technisch und organisatorisch umzusetzen. Und die haben es in sich: Der Data Act soll dafür sorgen, dass Daten, die von Geräten gesammelt werden, nicht in Silos (Clouds) der Hersteller verbleiben, sondern auf Wunsch der Dateninhaber über Vermittlungsdienste gehandelt werden können. Dabei kann es um Fahrzeuge genau wie um IoT-Geräte oder Sprachassistenten gehen. Betroffen sind Verbraucher als Nutzende genauso wie Unternehmen. Es geht um "Accessability by Design", also um Interoperabilität und Schnittstellen. Stephanie weist darauf hin, dass Datenpools meist aus einem unsortierten Bestand von personenbezogenen und anonymen Daten bestehen, sogenannten "Mischdaten". Die mit dem Data Act einhergehende Pflicht für Hersteller, diese Daten zugänglich zu machen, kollidiere mit dem Gebot zur Datenminimierung in der DSGVO. Würden Mischbestände weit ausgelegt, drohe eine Schwächung des Datenschutzes. Umgekehrt könnten Unternehmen den Datensschutz vor sich hertragen, um den Forderungen des Data Acts zu entgehen. Die Rechtsanwältin schildert im Podcast weitere Kollisionen und weist außerdem auf die Problematik hin, dass Daten auch Geschäftsgeheimnisse enthalten. Im Fazit prognostiziert sie neue Rechtsunsicherheiten sowohl für Verbraucher als auch für Unternehmen. Es bedürfte wohl jahrelanger Gerichtsverfahren und einiger EuGH-Entscheidungen, bis klar sei, ob der Data Act die von der EU-Kommission gesteckten hohen Ziele erreichen könne.

Viel ist bereits geschrieben und gesagt worden zum fünfjährigen Geburtstag der Datenschutz-Grundverordnung (DSGVO). Dieser Geburtstag ging natürlich auch am c't-Datenschutz-Podcast nicht spurlos vorüber, in dem sich Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Episoden mit den praktischen Folgen der Verordnung erklärend auseinandersetzen. Es wurde Zeit für ein Resümee, ein kleines Zwischenfazit. Zum Auftakt der Privacy-Ring-Konferenz in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde um ihre Expertise zur Entwicklung der DSGVO: Die Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät Unternehmen bereits seit 2002 im IT- und Datenschutzrecht und ist vielfältig in diesen Bereichen aktiv. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die satzungsgemäß als "unabhängige Informations- und Diskussionsplattform" fungiert. Nachdem die muntere Runde sich zunächst mit dem "Bußgeld der Woche" - diesmal der 1,2-Milliarden-Strafe für Facebook - beschäftigte, kam sie auf die Befürchtungen zu sprechen, die 2018 mit der DSGVO einhergingen. Während Massenabmahnungen ausgeblieben waren, hatte der "One size fits all"-Ansatz zu viel Unsicherheit geführt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich darüber verärgert, dass Aufsichtsbehörden zum Start der DSGVO "kaum Hilfestellung oder Handreichnungen" parat hatten und damit zur Unsicherheit beigetragen hätten. Und wenn es mal Handreicungen gebe, enthielten sie eher Verbote als Anleitungen zum rechtmäßigen Vorgehen. Die Runde war sich allerdings auch einig, dass die DSGVO dem Datenschutz ziemlich schnell zu mehr Aufmerksamkeit verhalf: "Es gab hier auch schon ein Datenschutzgesetz, das ähnlich der DSGVO war, nur eben keine ernstzunehmende Sanktionierung. Vieles war vorher auch schon verboten, es hat sich nur niemand dafür interessiert", konstatierte Auer-Reinsdorff. Die gesteigerte "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutz-Niveau geführt, da zeigten sich die Gesprächspartner einig. Dies könne man als positiven Effekt der DSGVO verbuchen. Konsens herrschte auch dazu, dass unter den Aufsichtsbehörden zu wenig Konsens herrscht. Frederick Richter hält dies zumindest auf internationaler Ebene für unausweichlich: "Die unterschiedlichen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben eine jeweils andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch ibnnerhalb deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter meinte: "Hohe Bußgelder helfen aber in der Breite nicht, abschreckend wäre, wenn es sehr viele kleine Bußgelder gäbe, dafür aber fehlt die Kapazität."

Seit nunmehr fünf Jahren entfaltet die europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor. Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Joerg und Holger erläutern und diskutieren die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der an der Aachen University of Applied Sciences. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Im Urteil "Österreichische Post AG" (Az.: C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben. In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine "Kopie" der personenbezogener Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Auszüge der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird. Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Datenverarbeitung insgesamt unrechtmäßig erfolgt ist - mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

Die Gebäude-Automatisierung ist endgültig im privaten Zuhause angekommen: Rollläden öffnen und schließen von selbst, Helligkeitssensoren bestimmen, wann das Licht angeht, Bewegungsmelder kommunizieren mit den Heizkörpern, und die Wohnungstür öffnet sich per Fingertip in der Smart-Home-App. Sprachassistenten wie Alexa und Google Assistant erschließen die Steuerung des Smart Homes mit gesprochenen Kommandos. Und das TV-Gerät registriert die Gewohnheiten beim Medienkonsum. All die Sensoren generieren teils personenbezogene Daten, die gespeichert und verarbeitet werden. In der Summe lässt sich daraus eine Menge schließen, was datenschutzrechtliche Fragen aufwirft. Darüber sprechen in Episode 85 des c't-Datenschutz-Podcasts Holger und Joerg mit ihrem Gast Dr. Marc Störing. Der Rechtsanwalt ist Partner in der internationalen Kanzlei Osborne Clarke und dort auf IT-nahe datenschutzrechtliche Beratung spezialisiert. Privat hat Marc ein Faible für Heimautomatisierung - im Podcast erzählt er denn auch zunächst von seinen eigenen Projekten. Im Gespräch klären die Drei, wo welche Daten anfallen können und wie sie gespeichert werden. Anschließend diskutieren sie, welche Rechtsgrundlagen der DSGVO eine Verarbeitung rechtfertigen könnten, sofern nicht ausschließlich das familiäre Umfeld erfasst ist (was praktisch nie der Fall ist). Es geht auch um grundsätzliche Fragen nach Erforderlichkeit, Zweckbindung und Speicherdauer im Smart-Home-Bereich. Ganz andere Problemstellungen entstehen beim "Smart Building" im geschäftlichen Umfeld. Hier geht es etwa um Verantwortlichkeiten, Beschäftigtendatenschutz und Auftragsverarbeitungen spezialisierter Dienstleister. Auch dieses weite Feld wird im Podcast angerissen.

Gibt es in Deutschland einen "Datenschutztourismus"? Suchen sich Unternehmen gezielt Standorte in Bundesländern, deren Aufsichtsbehörden die Datenschutz-Grundverordnung (DSGVO) eher lax auslegen? Diese Frage bewegt die einschlägige Community, und deshalb auch den c't-Datenschutz-Podcast Auslegungssache. Holger und Joerg sprechen darüber kontrovers mit Dr. Stefan Brink. Der ehemalige Datenschutzbeauftragte Baden-Württembergs ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt, wida, in Berlin. Brink nimmt in der Podcast-Episode kein Blatt vor den Mund und zieht Bilanz seiner Amtszeit (2016 bis Ende 2022). Brink gibt sich als Verfechter des föderalen Systems bei der Datenschutzaufsicht. Probleme kann er nicht erkennen. Man bekomme "als Unternehmen Rechtssicherheit von der Datenschutzbehörde, wenn man sie befragt". Man müsse nur darauf bestehen, Auskünfte zu bekommen. "Der Rest ist dann Mimimi in der Form: Ich kenne aber eine andere Aufsichtsbehörde, die sieht das freundlicher." Es gehe dann nicht mehr um Rechssicherheit, sondern um "Wünsch dir was". Harsche Kritik übt Brink am gemeinsamen Gremium der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK): "Die DSK ist für alle Teilnehmer eine Zumutung. Es gibt wenig, was mich in den vergangenen Jahre so betrübt hat, wie die Zusammenarbeit in der DSK. Als ich mich entschlossen habe, den Amtshut abzulegen, war das kein Faktor, der mich hat zögern lassen." Immherin habe sich "die DSK hat in den letzten Jahren gut zusammengerauft. Wir sollten daran arbeiten, dass die DSK-Entscheidungen verbindlicher werden, das Gremium weiter institutionalisieren". Brink plädiert dafür, die DSK "als übergeordnete Instanz zu stärken". Die Frage werde sein: "Bestehen wir auf einstimmigen Beschlüssen der DSK, oder lassen wir Mehrheitsbeschlüsse zu, an die sich alle Aufsichten halten müssen. Das wird spannend, weil dann auch die durch die DSGVO garantierte Unabhängigkeit der Behörden berührt würde. Es ist der richtige Ansatz, dies durch Bundesgesetzgebung zu unterstützen."

DGA, DMA, DSA, DA, AIA, EHDS: Im Rahmen ihrer Datenstrategie überschlägt sich die Europäische Kommission mit neuen Verordnungen, die den Umgang mit Daten innerhalb der Europäischen Union (EU) regulieren sollen. Einige davon sind noch im Planungsstatus, andere bereits in Kraft und bald wirksam. Auf Bürger und Unternehmen kommt da ein Vorschriftengestrüpp zu, das den klaren Blick aufs große Ganze erst einmal verhindern dürfte. Dr. Winfried Veil, in der neuen Episode 83 zu Gast im c't-Datenschutz-Podcast, gilt als harter Kritiker der hektischen Regulierung. Der Jurist begleitete als Referent im Bundesinnenministerium beispielsweise als Experte in der zuständigen EU-Projektgruppe die Ratsverhandlungen zur Datenschutz-Grundverordnung (DSGVO). Er spricht von einem "legislativen Tsunami", der zurzeit über die EU schwappt. In alle den Datengesetzen finde sich stets sinngemäß der Passus "Die DSGVO bleibt unberührt". Doch diese Behauptung lasse sich bei einem näheren Blick in die Gesetzentwürfe nicht halten. Am Beispiel des bereits in Kraft getretenen Digital Services Acts (DSA) besprechen Joerg und Holger mit Winfried, wo das neue Plattform-Gesetz eben doch datenschutzrechtliche Fragen aufwirft. Insbesondere erläutert Winfried, dass die im DSA definierten Mechanismen zu Meldewegen für rechtswidrige Inhalte de facto zu einer Vorratsdatenspeicherung bei den Plattformen führen könnte. Plakativ spricht er von "Pöbler-, Denunzianten- und Querulantendatenbanken". Und dies sei nur einer von mehreren Aspekten, bei dem sich der DSA und die DSGVO in die Quere kommen.

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wirksam wurde, witterten Einige das große Geschäft mit Datenschutz-Labeln. Denn die DSGVO ermöglichte in ihren Artikel 42 und 43 erstmals europaweit harmonisierte Zertifizierungsprozesse: Produkte und Dienstleistungen sollen auf DSGVO-Konfomität überprüft werden können. Doch bevor Zertifizierungsanbieter starten, müssen sie sich gemäß DSGVO von einer offiziellen Stelle akkreditieren lassen. Und genau an einer solchen Stelle fehlte es lange Zeit in Deutschland. 2021 hat die Deutsche Akkreditierungsstelle (DAkkS) ihre Arbeit aufgenommen. In Episode 82 des c't-Datenschutz-Podcast geht es um den Zustand des deutsche DSGVO-Zertifizierungswesens. Holger und Joerg sprechen dazu mit Rechtsanwalt Dr. Sebastian Kraska. Der Datenschutz-Spezialist beschäftigt sich seit Jahren mit allen Untiefen der Zertifizierung und plaudert in der Episode ein wenig aus dem Nähkästchen. Zusammen mit Sebastian gehen Holger und Joerg alle möglichen Formen durch, beginnend mit Möglichkeiten zur Zertifizierung von Personen, etwa zum Datenschutzbeauftragten oder Auditor. Anschließend erläutert Sebastian die Unterschiede zwischen Produkt- und Management-Zertifizierungen. Er schildert, wie eine Zertifizierung abläuft und wo man sie beantragen kann. Außerdem geht es um alternative Produkte, die beispielsweise auf der recht neuen ISO-Norm 27701 beruhen, aber keine DSGVO-Konformität bescheinigen.

Das Datenschutzrecht führt in kaum einem anderen Gebiet zu so viel Unsicherheit wie beim Aufnehmen und Veröffentlichen von Fotos. Kein Wunder, sind doch hochauflösende Smartphone-Kameras mittlerweile allgegenwärtig. Leichtsinnige Zeitgenossen posten ohne Hemmungen widerrechtlich Fotos fremder Personen auf Instagram oder laden gleich ganze Videos zu TikTok hoch. Auf der anderen Seite versehen Lehrer aus Furcht vor rechtlichen Folgen die Kinderaugen auf Klassenfotos mit unnützen schwarzen Balken. Einige Vereine veröffentlichen Bilder von der Jubiläumsfeier im Zweifel lieber gar nicht mehr. Die juristische Situation rund um Fotos und Videos ist komplex, weil hier viele Rechtsgebiete tangiert sind. Einerseits schützen Persönlichkeitsrechte und der Datenschutz die Betroffenen, vulgo die Abgelichteten. Andererseits gewährt in Deutschland unter anderem das Kunsturheberrecht gewisse Spielräume. Und für Journalismus gelten nochmals andere Regeln. Viele Gründe Holger und Joerg, diese Thematik zu sortieren und jede Menge Tipps für den Alltag herauszuarbeiten. Kompetent zur Seite steht ihnen dabei ihre Gästin Dr. Diana Ettig. Die Fachanwältin für Urheber- und Medienrecht verbindet dieses Gebiet mit ihrer besonderen Expertise im Datenschutzrecht. Diana sortiert, wie die einschlägigen Gesetze zusammenspielen und erläutert anhand vieler Beispiele, welche Bedingungen nötig sind, um sorgenfrei Fotos veröffentlichen zu können. Es geht dabei um das freizügige Betriebsfest genauso wie um den abgebildeten Mitarbeiter und der Firmenbroschüre oder das schnell geschossene Foto vom Kinderfasching in der Kita. Die Anwältin geht dabei auch auf aktuelle Rechtsprechung ein und zeigt auf, wo noch Rechtsunsicherheit besteht: "Ich würde sagen, das Thema ist sehr praxisrelevant, und dafür fast noch zu wenig vor Gericht." Ihre Ausführungen schließt Diana mit dem Appell an Eltern, sehr vorsichtig mit dem Posten von Fotos oder Videos ihrer Sprösslinge zu sein: "Ich würde warten, bis die Kinder selbst in der Lage sind zu entscheiden, wozu natürlich auch ein gewisses Maß an Medienkompetenz vermittelt werden muss." *** Hinweis: Wegen technischer Probleme konnten wir in dieser Folge keine Kapitelmarken setzen. Hier die Einsprungzeiten in die Abschnitte: 0:00 Begrüßung 1:41 Vorstellung Dr. Diana Ettig 5:44 Bußgeld der Woche 15:21 Schwerpunkt Fotos und Datenschutz 1:21:06 Ausklang

Wer digitales Marketing mit E-Mails betreibt, begibt sich in ein juristisches Minenfeld in der Schnittstelle von Datenschutz und Wettbewerbsrecht. In Episode 78 Holger und Joerg zusammen mit ihrem Gast Dr. Martin Schirmbacher ins Thema ein. Weil einige Fragen ungeklärt blieben, folgt nun ein zweiter Teil zu dem Themenkomplex. Martin geht nochmals auf Zweckbindung und Kopplungsverbot ein. Der Experte erläutert, wie eine Newsletter-Einwilligung zu widerrufen sein muss. Genügt der Hinweis auf eine Webseite oder muss ein Abmeldelink direkt in jeder Mail vorhanden sein? Und: Unter welchen Umständen darf ein Unternehmen Nutzungsverhalten erheben, etwa die Öffnungsraten zählen oder Linkklicks tracken, um die Interessen von Nutzern auszuforschen? Zuvor geht es im Podcast allerdings um ein aktuelles Urteil des Verwaltungsgerichts Hannover: Mit einem Aufsehen erregenden Urteil hat die 10. Kammer des Gerichts am 9. Februar die Mitarbeiterkontrolle in einem Logistikzentrum von Amazon in Winsen/Luhe für rechtmäßig erklärt. Die Verhandlung fand nach einer Begehung des "Tatorts" vor Ort statt. c't-Redakteur Christian Wölbert war als Pressevertreter bei diesem außergewöhnlichen Termin dabei und schildert in der Auslegungssache seine Eindrücke.

Die Digitalisierung des Gesundheitswesens in Deutschland und auch auf europäischer Ebene gleicht einer nie enden wollenden Baustelle. Sie ist geprägt von Pleiten, Pech und Leuchtturmprojekten. Zuletzt hatte der geplante, aber überflüssige Austausch von Konnektoren-Hardware für Schlagzeilen gesorgt, weil er zig Millionen Euro Beitragszahlergeld verschlungen hätte. Für Probleme sorgt derzeit auch die Einführung des E-Rezepts und der E-Gesundheitakte - nicht zuletzt wegen berechtigter Einwände von Datenschützern. In einem gerade veröffentlichten Buch namens "Diagnose Digital-Desaster" arbeitet sich Peter Schaar durch die diversen Baustellenabschnitte im Gesundheitswesen, benennt Probleme und bietet Lösungen an. Schaar schöpft aus seinem eigenen Erfahrungsschatz: von 2003 bis 2013 war er Bundesbeauftragter für den Datenschutz, und seit 2016 leitet er die Schlichtungsstelle der Gesellschaft für die Telematikanwendungen der Gesundheitskarte (Gematik). In der Auslegungssache spricht er mit Holger und Joerg über seine Erfahrungen in diesen Ämtern. Schaar beschreibt, wie sich die Entwicklung der Digitalisierung im Gesundheitswesen von Anfang der 2000er bis heute vollzogen hat. Er benennt die Akteure in diesem Spiel und erläutert, warum die Arbeit der Gematik und die Einführung der Telematik-Infrastruktur so schwer vorankam. Ein Kerpunkt seiner Kritik: Anstatt die Bedürfnisse von Ärzten und Patienten im Fokus zu haben, drehte sich viel um Großprojekte, deren Nutzen nicht ausreicht, um sie schmackhaft zu machen. Gleichzeitig wurden immer wieder Kompromisse geschlossen, unter denen der Patienten-Datenschutz leidet - was der Akzeptanz ebenfalls nicht zuträglich ist. Und nun droht sich dieses Spiel auf europäischer Ebene fortzusetzen: Per Verordnung will die EU-Kommission einen europaweit kompatiblen "Gesundheitsdatenraum" schaffen, der insbesondere den Zugriff auf pseudonymisierte Informationen für Forschungseinrichtunen sowie kommerzielle Anbieter erleichtern soll. Schaar erklärt, welche Ideen er daran für gut hält - und welche er kritisiert.

Von wegen, die E-Mail ist tot! Eine Flut von Benachrichtigungen und Newlettern ergießt sich täglich in Nutzer-Postfächer, die meist aussortieren Spam-Mail noch nicht mit eingeschlossen. Vor allem die Kommunikation zwischen Online-Diensten und -Shops mit ihren Kunden läuft in aller Regel mit der guten alten E-Mail am besten. Auch für Werbung eignet sich das Medium optimal, da der Versand wenig kostet und Erfolgsmessungen ermöglicht. Doch es ist längst nicht alles erlaubt, was gemacht wird. In Episode 78 der Auslegungssache beschäftigen sich Holger und Joerg mit den gesetzlichen Rahmenbedingungen für rechtlich korrektes Telefon- und E-Mail-Marketing. Ihnen zur Seite steht Dr. Martin Schirmbacher. Der Rechtsanwalt aus der Berliner Kanzlei Härting gilt als ausgewiesener Experte im Rechtsbereich elektronisches Marketing und Werbung. Martin erläutert, welche Vorschriften aus dem Wettbewerbs- und Datenschutzrecht relevant sind. In jedem Fall benötigen Unternehmen eine Rechtsgrundlage für den werblichen Versand von E-Mails, in den meisten Fällen müssen sie sich Einwilligungen einholen. Mit dem Double-Opt-in existiert dafür ein etabliertes Vorgehen. Liegt ein bestehenden Kundenverhältnis vor, gibt es außerdem Sonderreglungen. Der Experte erklärt desweiteren, wann es zu Problemen mit der Zweckbindung kommen kann. Martin betont, dass es zu vielen Situationen eine gesichterte Rechtslage dank umfangreicher Rechtssprechung gibt (siehe Shownotes). In einer der nächsten Epsisoden des Podcasts wird Schirmbacher erneut zu Gast sein, um in die rechtlichen Grenzen des Werbetrackings einzuführen. Achtung: Cliffhanger!

2023 ging ja gut los: Kurz nach Jahreswechsel knallte es in der Datenschutzwelt. Die irische Datenschutzbehörde DPC hat dem Facebook-Konzern Meta eher widerwillig ein Bußgeld von 390 Millionen Euro aufgebrummt, weil dieser seit Jahren Informationen zur Verwendung von Kundendaten in den AGB versteckt und keine explizite Tracking-Einwilligung einholt. Gegen diesen direkten Angriff auf sein Geschäftmodell wird Meta in Irland gerichtlich vorgehen. In Auslegungssache 77 sprechen Holger und Joerg ausführlich über Entstehung und eventuelle Folgen des Falls. Dies ist aber nur der Einstieg in einen launischen Rückblick ins Datenschutz-Jahr 2022, den die beiden fast schon traditionell mit Dr. Thomas Schwenke wagen. Thomas berät als Rechtsanwalt zu den Themen Datenschutz, Social Media und Marketing und produziert zusammen mit dem Radiojournalisten Marcus Richter den Podcast "Rechtsbelehrung". Im Rückblick geht es um Themen wie die berüchtigte Google-Fonts-Abmahnwelle, Aufsehen erregende Bußgelder, Trippelschritte hin zu einem neuen EU-US-Datentransfer-Abkommen, zweifelhafte EU-Gesetzesintitiativen, KI, und natürlich um Cookies. Außerdem wagt die Dreierrunde einige Prognosen zu dem, was die Datenschutzwelt 2023 am meisten beschäftigen könnte.

Wer sich mit IT-Sicherheit oder Datenschutz beschäftigt, wird früher oder später mit dem ominösen Terminus "Stand der Technik" konfrontiert. Der Begriff spielt beispielsweise in der Datenschutz-Grundverordnung (DSGVO) eine wichtige Rolle: Nach Artikel 32 DSGVO müssen Datenverarbeitende "geeignete technische und organisatorische Maßnahmen" treffen, um "ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Und dabei soll sollen sie eben den "Stand der Technik" berücksichtigen. Doch was ist technisch und juristisch hinter dieser schwammigen Forderung zu verstehen? Genau dies wollen Joerg und Holger ergründen. Als kompetenten Gesprächspartner haben sie dazu den Rechtsanwalt Karsten Bartels an ihrer Seite. Der gelernte Rechtsinformatiker ist stellvertretender Vorstandsvorsitzender des Bundesverband IT-Sicherheit e. V., auch als TeleTrusT bekannt. Dort hat er auch den "Arbeitskreis Stand der Technik" mit gegründet. TeleTrusT veröffentlicht auch die "Handreichung zum 'Stand der Technik'", in der Experten aus der Wirtschaft (oft aktualisiert) konkrete Hinweise zu geeigneten technischen Maßnahmen und Prozessen in allen möglichen Bereichen der IT zusammentragen, beispielsweise zur sicheren Website-Verschlüsselung oder zur Multifaktor-Authentifizierung. Im Podcast erläutert Karsten, was es mit dem "Stand der Technik" auf sich hat. Dieser Stand bewege sich irgendwo zwischen "anerkannten Regeln der Technik", etwa den DIN-Normen, und dem neuesten "Stand von Wissenschaft und Technik". Zusammen mit Joerg geht er Satz für Satz durch Artikel 32 DSGVO und erklärt, was der europäische Gesetzgeber hier fordert. Außerdem ordnet Karsten den Begriff in den Kontext anderer Vorschriften ein, etwa des IT-Sicherheisgesetzes und bevorstehender EU-Regulierung. Hier werde sich mit dem im September von der EU-Kommission vorgeschlagenen "Cyber Resilience Act" bald einiges ändern, prophezeit er.

Langsam wird es unheimlich: Maschinen erlernen, Bilder zu malen, Stimmen zu imitieren oder Mimiken nachzubilden. Daraus ergeben sich für die Gesellschaft neue Fragen im Umgang mit sogenannter künstlicher Intelligenz (KI). Wie passt diese vorgeblich schöpferische Kraft nichtmenschlichen Schaffens in unser Werte- und Rechtssystem? Wie wollen wir damit urheberrechtlich umgehen? Welche datenschutzrechtlichen Probleme könnten bald auf uns zukommen? Darüber diskutieren Joerg und Holger in der aktuellen Episode. Ihnen zur Seite stehen Andrea und Jo, die sich in der c't-Redaktion intensiv mit der Thematik beschäftigt haben. Die beiden führen zunächst ins Thema ein und erläutern, wie es zu dem Entwicklungssprung in der KI gekommen ist. Andrea schildert leicht verständlich die Funktionsweise der gerade so populären KI-Bildgeneratoren. Joerg umreisst anschließend die juristisch tangierten Problemfelder und warnt vor Panikmache: Ja, Datenschutz spiele eine Rolle. Aber meist würden Daten - auch zu Trainingszwecken - verarbeitet, die ohnehin veröffentlicht seien. Bei der Nutzung dürfte in einer Abwägung das "berechtigte Interesse" überwiegen. Veraussetzung sei, dass die KI-Produkte eingespeiste Daten hinreichend verfremden. Kniffliger seien die urheberrechtlichen Aspekte. Hier läuft die Diskussion gerade auf Hochtouren, wie Joerg, Andrea und Jo an Beispielen zeigen.

Der Bewerbermarkt ist leergefegt, und in Deutschland herrscht Fachkräftemangel wie nie zuvor. Unternehmen übertreffen sich in kreativen Recruiting-Maßnahmen und durchforsten das Internet nach potenziell geeignetem Personal. Doch dürfen sie das? Immerhin gilt das Datenschutzrecht auch für Informationen, die Menschen freiwillig veröffentlichen. Und: Welche Daten dürfen beim Sourcing sowie im Bewerbungsprozess erhoben und vielleicht auch über diese Phase hinaus gespeichert werden? Weil diese Fragen sowohl für Unternehmen als auch für Arbeitssuchende von Bedeutung sind, beschäftigen sich Joerg und Holger in Episode 74 der Auslegungssache ausführlich mit den Datenschutz-Aspekten in allen Phasen eines Bewerbungsprozesses. Ihnen zur Seite steht mit der Hamburger Rechtsanwältin Nina Diercks eine ausgewiesene Spezialistin auf genau diesem Rechtsgebiet. Nina berät Unternehmen in den Bereichen des IT-, Medien-, Datenschutz- und des jeweils angrenzenden Arbeitsrechts. Die drei Diskutanten spielen beispielhaft ein sogenanntes Sourcing-Verfahren durch und beleuchten die datenschutzrechtlichen Aspekte, die bis zur Einstellung eines Bewerbers zu beachten sind. Nina erläutert, welche Regelungen der DSGVO sowie des BDSG-neu zum Tragen kommen und welche Empfehlungen sie daraus im Umgang mit den Daten ableitet. Ein besonderes Augenmerk legt sie auf die mittlerweile üblichen Assessment-Verfahren, die auch aktiv angeworbene Bewerber oftmals durchlaufen müssen. Welche Arten von Tests gibt es, und wie ist jeweils mit den gewonnenen teils höchst sensiblen Daten umzugehen? Und welche Informationen von abgelehnten Bewerbern darf ein Unternehmen wie lange vorhalten? Nina weicht hier aus praktischen Erwägungen teilweise von der "reinen Lehre" ab, wie sie selbst erklärt. === Anzeige / Sponsorenhinweis === Der Bundesverband der Arzneimittel-Hersteller e.V. (BAH) ist der mitgliederstärkste Branchenverband der Arzneimittelindustrie in Deutschland und vertritt global agierende Arzneimittel-Hersteller ebenso aktiv wie den breit repräsentierte Mittelstand. Thematische Insights bekommen Sie im neuen Podcast "Gesunde Perspektiven". Jetzt abonnieren! https://www.bah-bonn.de/infothek/podcast-gesunde-perspektiven/ === Anzeige / Sponsorenhinweis Ende ===

In der neuen Episode der Auslegungssache gibt sich ein junggebliebenes Datenschutz-Urgestein die Ehre: padeluun ist zu Gast im c't-Datenschutz-Podcast. Seit 40 Jahren engagiert sich der Künstler und Netzaktivist aus Bielefeld mit Aktionen und im Verein Digitalcourage für Bürgerrechte und den Erhalt der Privatsphäre in der vernetzten Welt. Zunächst beleuchtet Joerg im "Bußgeld der Woche" die jüngste 20-Millionen-Strafe gegen das US-Unternehmen Clearview AI. In der Diskussion mit Holger und padeluun herrscht schnell Konsens darüber, dass die biometrische Erfassung von Personen ohne deren Einwilligung, wie Clearview AI sie betreibt, ein besonders schwerer Verstoß gegen Datenschutzrecht ist. padeluun erläutert, warum und in welchen Formen er sich seit langer Zeit gegen biometrische Datenverarbeitung wendet. Im Gespräch plaudert der Aktivist dann darüber, was ihn außerdem umtreibt und seine Motivation erhält. padeluun beklagt die Entwicklung hin zu zentralen Kommunikationsstrukturen. Es sei schlecht für den Datenschutz und eine Gefahr für die Demokratie, wenn gewinnorientierte Plattformen wie Meta in der Hand weniger seien. Die Übernahme von Twitter durch Elon Musk habe das nur auf die Spitze getrieben. Das Fediverse mit all seinen Anwendungen zeige, dass dezentrale, verteilte Instanzen genauso gut funktionieren können - ohne die Nachteile, die große Betreiber mit sich bringen. Sein Verein Digitalcourage liefert mit den öffentlich zugänglichen Diensten Beispiele dafür. So betreibt er eine Mastodon- und Peertube-Instanz. Bekannt wurde Digitalcourage aber eher wegen einiger spektakulärer Aktionen sowie die alljährliche Verleihung der Big-Brother-Awards. Jüngst machte der Verein Schlagzeilen, weil er Klage gegen die Deutsche Bahn einreichte. Der Vorwurf: Die App DB Navigator setze ohne Wissen und Einwilligung der Nutzenden Werbetracker ein. === Anzeige / Sponsorenhinweis === Der Bundesverband der Arzneimittel-Hersteller e.V. (BAH) ist der mitgliederstärkste Branchenverband der Arzneimittelindustrie in Deutschland und vertritt global agierende Arzneimittel-Hersteller ebenso aktiv wie den breit repräsentierte Mittelstand. Thematische Insights bekommen Sie im neuen Podcast "Gesunde Perspektiven". Jetzt abonnieren! https://www.bah-bonn.de/infothek/podcast-gesunde-perspektiven/ === Anzeige / Sponsorenhinweis Ende ===

Die europäische Datenschutz-Grundverordnung (DSGVO) gewährt Personen, deren Daten erhoben und verarbeitet werden, viele eigene Rechte. Diese sogenannten "Betroffenenrechte" finden sich in den Artikeln 12 bis 20 der DSGVO. Beispielsweise gibt die DSGVO vor, welche Informationen Verantwortliche den Betroffenen in welcher Form geben müssen (Art. 12). Art. 15 regelt den Auskunftsanspruch, außerdem geht es noch um das Recht auf Löschung der Daten sowie um Übertragbarkeit von einem Dienst zum anderen. Gänzlich neu im Vergleich zu älteren Gesetzen wie dem Bundesdatenschutzgesetz (BDSG-alt), billigt Art. 82 DSGVO Betroffenen einen immateriellen Schadenersatzanspruch zu. Genau diese Regelung führt derzeit zu Massenabmahnungen aus Bagatellverstößen heraus. Im c't-Datenschutz-Podcast sprechen Joerg und Holger über die gesetzlichen Grundlagen und die aktuellen Entwicklungen dazu in der Praxis. Ihnen kompetent zur Seite steht in der aktuellen Episode 72 Diana Ettig. Die promovierte Rechtsanwältin vertritt für die Kanzlei Spirit Legal freischaffend ("off counsel") unter anderem Mandanten in Datenschutz-Sachen vor Gericht. Diana berichtet im Podcast von ihren Erfahrungen in Prozessen und erläutert die aktuelle Rechtssprechung anhand konkreter Urteile. Ihrer Beobachtung nach hat sich in einigen Bereichen bereits eine gefestigte Rechtssprechung ("Case Law") herausgebildet. Vieles sei aber noch im Fluss, beispielsweise bei der Bewertung von Schadenersatzansprüchen aus DSGVO-Verstößen heraus.

Eine Kolumne von Sascha Lobo auf Spiegel Online hat Mitte September dieses Jahres für heftige Diskussionen unter Datenschützern gesorgt. Der vom Spiegel so titulierte "Strategieberater mit den Schwerpunkten Internet und digitale Technologien" holte zum großen Rundumschlag gegen den "Datenschutz als Verhinderungswaffe" aus. Dem "real existierenden Datenschutz" gehe es "leider häufiger ums Prinzip als um das digitale Leben", behauptete Lobo. Namentlich hat sich der Kolumnist auf Thilo Weichert eingeschossen, den ehemaligen schleswig-holsteinischen Landesdatenschutzbeauftragen, der von 2004 bis 2015 recht lautstark agiert hatte. Weichert sei "eine Art Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule", meinte Lobo. Weicher habe mit "dem metaphorischen Schrotgewehr gegen alle Formen sozialer Medien von bösen Digitalkonzernen geschossen". Grund genug für Holger und Joerg, Weichert in den c't-Datenschutz-Podcast einzuladen und ihn zu den Fundi-Vorwürfen zu befragen. Im Gespräch bestätigt Weichert, seit jeher auf einigen datenschutzrechtlichen Grundprizipien zu beharren und da durchaus fundamentalistisch zu argumentieren. Lobos Kritik aber weist er weit von sich, und greift den Kolumnisten frontal an. Weichert plaudert über seinen langen Konflikt gegen Facebook und betont, dass soziale Medien nicht zwingend und permanent Grundrechte verletzen müssen, um erfolgreich zu sein. Befragt zum dem Zustand des Datenschutzes in Deutschland nach Wirksamwerden der DSGVO 2018, kritisiert Weichert die ehemalige Bundesdatenschutzbeauftrage Andrea Voßhoff und lobt ihren Nachfolger Ulrich Kelber. Auf Landesebene kommt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bei Weichert besonders schlecht weg: Aus seiner Zeit berichtet er, dass dort "politische Ansagen zugunsten des Wirtschaftsstandorts offensichtlich eine Rolle gespielt haben". Weichert wörtlich: "Ich habe mich lange zurückgehalten mit Kollegenschelte, aber das ist ein seit vielen Jahren zu beobachtendes Phänomen."

Mittlerweile hat an allen deutschen Schulen das neue Schuljahr begonnen. Aus diesem Anlass widmen sich Holger und Joerg in der neuen Folge dem Datenschutz in der Schule. Kompetent zur Seite steht ihnen dabei Dr. Daniel Sandvoß. Der Jurist lehrt als Hochschuldozent und übernahm 2018 die Leitung des Instituts für Digitalisierung und Datenschutz ID2. Daniel hat zum Thema Datenschutz und Schule promoviert und war an der Entwicklung der niedersächsischen Schulcloud beteiligt. Nach Ansicht von Daniel steht es um den den Datenschutz in Schulen nicht gut. Er vergleicht die Situation mit einem halb eingerissenen Bauklötzchenturm, gar einem "Trümmerhaufen", dem die Baumeister fehlen. Vieles, was die DSGVO fordert, können Schulen derzeit nicht umsetzen. Insbesondere die Dokumentationspflichten würden nicht erfüllt; es mangele an Verarbeitungsverzeichnissen, für die Risikoanalysen nötig wären. Daniel betont, dass in Schulen mit besonders sensiblen Daten nach Art. 9 DSGVO hantiert werde. Im Aufklärungsuntericht etwa geht es auch um sexuelle Orientierung, im Relegionsunterricht um Religionszugehörigkeit, und im Politikunterricht um politische Ausrichtung. Meist handelt es sich um die Verarbeitung von Daten Minderjähriger, was die Lage noch brisanter macht. Dem gegenüber stehen nach Daniels Darstellung überforderte Schulleitungen, die gemäß Datenschutzrecht als Verantortliche Stellen für die Datenverarbeitung fungieren, oft, ohne es zu wissen. Von den Kommunen erhalten Schulen oft wenig konkrete Unterstützung. Zwar drohen keine Bußgelder, weil Schulen öffentliche Stellen sind. Allerdings können Aufsichtsbehörden Verfügungen oder Anordnungen aussprechen, etwa Verbote des Einsatzes bestimmter Software.

Nicht nur große Unternehmen überwachen ihr Gelände gerne mit Kameras, sondern auch Privatleute ihren Haus- oder Wohnungseingang. Kameras sind allgegenwärtig, und allzu oft verstößt deren Einsatz gegen Datenschutzrecht, wie die große Zahl von Beschwerden und Bußgeldern belegt. Genug Anlass für den c't-Datenschutz-Podcast, sich ausführlich mit den rechtlichen Grundlagen und vor allem mit den Pflichten zu beschäftigen, die es beim Betrieb von Überwachungskameras im beruflichen wie privaten Bereich zu beachten gilt. Holger und Joerg haben dazu Nils Christian Haag eingeladen. Der promovierte Rechtsanwalt ist Vorstand der intersoft consulting AG, die unter anderem das Infoportal Dr. Datenschutz betreibt. Weil die Datenschutz-Grundverordnung (DSGVO) das Themenfeld Videoüberwachung nicht explizit regelt, erläutert Nils zunächst, welche Vorschriften anzuwenden sind. Eine Rechtsgrundlage kann sich aus Art. 6 ("berechtigtes Interesse") ergeben. Zusätzlich müssen Kamerabetreiber Transparenzpflichten (Art. 13 DSGVO) erfüllen, meist in Form von gut sichtbar ausgehängten Hinweisschildern. Diese können sogar an Autos erforderlich sein, wie sich auch aus dem "Bußgeld der Woche" ergibt. Die drei erklären, wie solche Schilder aussehen müssen und wo man sie am besten anbringt. Rechtliche Probleme gibt es in diesem Zusammenhang auch beim Einsatz von digitalen Videokameraklingeln wie Ring von Amazon. Diese müssen zwingend so ausgerichtet werden, dass bei ihrer Nutzung nicht auch noch die Haustüre des Nachbarn überwacht wird. Eine besondere Warnung spricht Nils für die Nutzung von Kameras mit Tonaufzeichnung aus. Hier kann sogar eine Strafbarkeit in Form der Verletzung der Vertraulichkeit des Wortes nach Paragraf 201 StGB lauern, etwa wenn man ein Gespräch der Nachbarn aufzeichnet.

Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat Ende Juli ein praxisrelevantes Verfahren rund um die Auswertung, Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000 Euro Bußgeld soll die Hannoversche Volksbank bezahlen, weil sie ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben und dazu einen Dienstleister herangezogen haben soll. Die Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen angereichert. Ziel sei gewesen, für bestimmte Werbeformen empfängliche Kunden herauszufiltern. Dieses Verfahren ist für den c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und Joerg haben für die Episode 68 deshalb David Pfau eingeladen. David ist "Head of Data & Privacy" bei der conreri digital development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener Datenschutzexperte und berät Unternehmen der Medien- und Digitalbranche. Zunächst besprechen die drei, wie und wo Profilbildung in der DSGVO definiert ist und welche Rechtsgründe es dafür geben kann. Unweigerlich landet man da beim recht unbestimmten "berechtigten Interesse" des Verantwortlichen, also dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmäßig herangezogen wird, um der individuellen Einwilligung jedes Kunden zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt nicht jede Verarbeitung von Kundendaten, wie David betont. Einem freizügigen Umgang mit Kundendaten steht auch die Zweckbindung entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt Unternehmen, sich schon bei der Erhebung von Informationen genau mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst weit zu fassen. Insbesondere, wenn Kundendaten später angereichert oder zum Profiling genutzt werden sollen, wird schnell die Grenze des rechtlich Zulässigen erreicht, die David ausführlich erläutert.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (BfDI) steht stets im Fokus der Öffentlichkeit. Seiner Aufsicht unterliegen nicht nur die deutschen Niederlassungen von Meta (ehemals Facebook) und Google, sondern auch etliche große deutsche Medienhäuser, etwa der Springer-Konzern. Mit Spannung war daher im vergangenen Jahr erwartet worden, wer dem scheidenden, langjährigen BfDI Johannes Caspar folgen wird. Im November 2021 übernahm der Jurist Thomas Fuchs nach seiner Wahl durch die Hamburger Bürgerschaft das Amt. Fuchs war zuvor 13 Jahre lang Direktor der Medienanstalt Hamburg/Schleswig-Holstein. Er ist also im Bereich der behördlichen Aufsicht kein Unbekannter. In der aktuellen Episode 67 des c't-Datenschutz-Podcasts erzählt er von seinen ersten Monaten als oberster Hamburger Datenschützer. Fuchs betont, dass er einen kooperativen Ansatz seiner Behörde in den Vordergrund stellt. Datenschutz sei in den vergangenen vier Jahren vorwiegend als das "scharfe Schwert", die Drohung mit dem Bußgeld, wahrgenommen worden. Es gebe aber ein großes Bedürfnis nach demokratischer Datennutzung, etwa für Forschung und Mobilität: "Das möchte ich von Anfang an begleiten", betont Fuchs. Als Beispiel für verfehlte Regulierung nennt er die Pläne zu einem Impfregister: "Wir haben in der Coronapandemie brutalen Datenmangel. Viele haben gesagt, ein Impfregister geht datenschutzrechtlich nicht. Ich würde sagen: Das ginge sehr wohl datenschutzkonform, wenn klar geregelt würde, wer darauf zugreifen darf." Das Werk seines Vorgängers will Fuchs fortführen: "Wir beschäftigen uns weiterhin intensiv mit Meta und Google, und wir haben auch noch Einfluss auf die Entscheidungen, die allerdings in Irland getroffen werden." Fuchs ist guter Dinge, dass die irische Datenschutzbehörde als in der EU zuständige Aufsicht über die großen Tech-Konzerne gerade die Zügel anzieht. "Eine Entscheidung zur Datenübermittlung von Facebook in die USA steht beispielsweise unmittelbar bevor." Bauchschmerzen bereitet Hamburgs neuem BfDI die Ausformulierung der EU-Datenstrategie. Gesetze wie der Data Act oder der Data Governance Act seien zwar für sich genommen "spannend und relevant". Aber es sei "schlicht eine Katastrophe", dass sie keine Ausnahmen zur DSGVO enthalten, sondern komplett mit ihr in Einklang zu bringen sind: "Künftig dürften noch mehr Projekte gar nicht erst in Angriff genommen werden, aus Angst davor, irgendwie gegen Datenschutzrecht zu verstoßen." Die DSGVO müsse sich in einen Binnenmarkt einbetten, der auch Wirtschaftsinteressen berücksichtigt, sonst sei sie nicht zukunftsfähig.

Immer mehr Datenschutzexperten beklagen, dass der Datenschutz allzu einseitig als Verbraucherschutz interpretiert wird. Andere Interessen wie die der Forschung, der Bildung oder auch der Wirtschaft blieben dabei häufig auf der Strecke. Für Holger und Joerg ist das ein Anlass, im Podcast einmal die Perspektive der datengetriebenen Industrie zu beleuchten. Dazu haben sie Rebekka Weiß in die aktuelle Episode 66 eingeladen. Rebekka ist die "Leiterin Vertrauen & Sicherheit" beim IT-Branchenverband Bitkom. Die Volljuristin betreut beim Verband unter anderem die inhaltliche Arbeit in den Bereichen Datenschutz, Wettbewerbs- sowie Kartellrecht, Trust Services und Digitale Identitäten. Sie vertritt den Bitkom und die Wirtschaft in verschiedenen Expertengremien und stimmt deshalb durchaus zu, wenn sie im Podcast von Bleich als Lobbyistin bezeichnet wird. Sie erläutert, an welchen Stellen sie im politischen Berlin mitspricht. Rebekka berichtet davon, mit welchen Problemen die Unternehmen nach wie vor bei der Umsetzung des Datenschutz im Alltag zu kämpfen haben. Auf der einen Seite seien vier Jahre nach Wirksamwerden der DSGVO Prozesse angepasst worden und Datenschutz werde nun bereits bei der Entwicklung von Prozessen und Innovationen mitgedacht. Trotzdem gäbe es immer noch viele Rechtsunsicherheiten, beispielsweise bei der Umsetzung von Auskunftsansprüchen, die in letzter Zeit mehr und mehr wahrgenommen werden. Und auch die unklaren rechtlichen Verhältnisse beim Datentransfer in die USA stelle viele Unternehmen vor große Probleme. Die Juristin wünscht sich mehr Balance und Ausgleich bei der Auslegung der DSGVO und mehr Einigkeit der Behörden.

Blockchains, Crypto-Währungen, Smart Contracts... Im Marketing werden diese Konzepte und Techniken oft als datenschutzfreundlich gepriesen. Doch stimmt das? In Episode 65 des c't-Datenschutz-Podcasts Auslegungssache gehen Holger und Joerg dieser Frage nach. Und weil beide freimütig zugeben, dass sie selbst nicht genügend zu dem Thema wissen, holen sie sich kompetente Verstärkung: c't Redakteur Sylvester Tremmel kennt sich nicht nur mit Blockchain-Technologie aus, sondern kann sie in c't-Artikeln und im Podcast auch prima erklären. Diese Episode eignet sich daher auch für alle, die ohne Marketing-Sprech in die Thematik eingeführt werden wollen. Nach Sylvesters grundlegenden Erläuterungen geht es in einem zweiten Teil der Episode darum, wie sich Blockchains mit aktuellem Datenschutzrecht, insbesondere der DSGVO, vertragen. Wo entstehen personenbeziehbare Daten? Lassen sich Daten in der Blockchain im nachhinein ändern oder sogar löschen, wie es die DSGVO fordert? Und vor allem: Wer ist im Blockchain-Konzept überhaupt verantwortlich für die Datenverarbeitung und könnte sanktioniert werden? Sylvester, Joerg und Holger kommen zu dem Ergebnis, dass die DSGVO kaum auf Blockchains anwendbar ist und somit eine große Leerstelle besteht.

Es hagelt derzeit Bußgelder wegen Datenschutzverstößen gegen deutsche Unternehmen. Die Landesdatenschutzbehörden nehmen diesbezüglich im europäischen Vergleich eine Spitzenposition ein. Doch ein Bereich, der die Bürgerinnen und Bürger stark betrifft, findet in der medialen Berichterstattung kaum statt: Die öffentliche Verwaltung. Welche datenschutzrechtlichen Pflichten entstehen für die Behörden aus der DSGVO heraus? Welche Sanktionen haben sie zu befürchten? Diese Fragen stellen sich Joerg und Holger in der aktuellen Episode des c't-Datenschutz-Podcasts Auslegungssache. Ein versierter Gast steht Rede und Antwort: Dr. Daniel Sandvoß lehrt seit 2010 am Niedersächsischen Studieninstitut für kommunale Verwaltung (NSI) und der Kommunalen Hochschule für Verwaltung in Niedersachsen (HSVN). Sein Schwerpunkt in der Lehre liegt im Bereich Datenschutz und Digitalisierung. Im Datenschutz ist der zudem intensiv als Fortbildungsreferent tätig. Daniel erklärt in der Podcast-Episode, welche Änderungen sich aus der DSGVO für die Kommunen ergeben haben. Er schildert, warum er es für sinnvoll hät, dass Behörden anders als Unternehmen nicht mit Bußgeldern sanktioniert werden können. Besonders spannend: Daniel berichtet aus seinen alltäglichen Erfahrungen bei Datenschutz-Fortbildungen, die er für Beamte in Verwaltungen seit Jahren abhält. Die Awareness sei teilweise gestiegen, es gebe viele gute Beispiele engagierter Kommunen, denen die Themen DSGVO und Datenschutz eben nicht egal seien.

Am 25. Mai 2022 jährte sich die Wirksamkeit der EU-Datenschutz-Grundverordnung (DSGVO) zum vierten Mal. Erhebungen zufolge haben die Datenschutzbehörden aller EU-Mitgliedsstaaten in den vier Jahren insgesamt bereits mehr als 1,6 Milliarden Euro an Bußgeldern verhängt. Allerdings verteilt sich die Summe sehr ungleich, weil es bislang keine einheitliche Bemessungsgrundlage für Datenschutzverstöße gibt. Dies soll sich nun ändern: Am 12 Mai hat der Europäische Datenschutzausschuss (EDSA) als gemeinsames Abstimmungsgremium der EU-Datenschutzbehörden ein Bußgeld-Berechnungsschema für DSGVO-Verstöße beschlossen, das die zuständigen Aufsichtsbehörden Schritt für Schritt durcharbeiten sollen. Ersten Einschätzungen zufolge wird es vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen. In Mitgliedstaaten, die bislang eher niedrige Geldbußen verhängt haben, sind strengere Sanktionen künftig sehr wahrscheinlich. Joerg und Holger erläutern das neue Modell. Zur Seite steht ihnen Rechtsanwalt Tim Wybitul, der bereits in Episode 21 zu Gast war. Tim vertritt teils sehr umsatzstarke Mandanten in Datenschutzstreitigkeiten vor Gericht und mit Behörden, bei internen Untersuchungen und in anderen datenschutzrechtlichen Auseinandersetzungen. Er erklärt im Podcast beispielsweise die Unterschiede zwischen behördlichen Anordnungen und Bußgeldverfahren, die vor verschiedenen Gerichten ausgefochten werden und ordnet das EDSA-Berechnungsmodell ein. In einem zweiten Teil geht es im Podcast um das verwandte Thema der Schadensersatzforderungen aus DSGVO-Verstößen. Tim erläutert die aktuelle Rechtsprechung in einigen Verfahren. Seiner Beobachtung zufolge ergibt sich eine klare Tendenz. Massenhafte Schadensersatzforderungen entwickeln sich zu einem lukrativen Geschäftsmodell, weil die Gerichte zunehmend immaterierelle Schäden bejahen, etwa beim Einsatz von Google Fonts auf einer Webseite ohne Einwilligung der Besucher: "Schadensersatzforderungen dürften sich langfristig zu einem noch höheren finanziellen Risiko für Unternehmen entwickeln als Bußgelder."

Selten hat ein Gesetzesvorschlag der EU-Kommission so viel Widerspruch in kurzer Zeit geerntet wie die am 11. Mai vorgestellten "neuen EU-Rechtsvorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet". Dies liegt keineswegs am unbestritten wichtigen Ziel, die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder einzudämmen. Es sind die Mittel dazu, die auf rigide Ablehnung von Bürgerrechtlern, Datenschützern, aber auch von Wirtschaftsverbänden und mehreren Bundesministerien stoßen. Beispielsweise will die EU-Kommission Anbieter verschlüsselter Messenger wie WhatsApp, Signal, Threema oder Apple dazu zwingen, Fotos und Videos von Kindesmissbrauch in den Nachrichten ihrer Nutzer ausfindig zu machen sowie mit verdekent Text-Scans von Chat-Nachrichten gegen Grooming vorzugehen. Zur Koordination mit den Behörden in den Mitgliedsländern soll eine neue EU-Zentralstelle aufgebaut werden. Patrick Breyer, EU-Parlamentarier der Piratenpartei, hat für dieses Vorhaben den Begriff "Chatkontrolle" geprägt. Unablässig wies er in den vergangenen Monaten auf die Gefahren der Kommissionspläne für die Privatsphäre jeder Bürgerin und jedes Bürgers der EU hin. Seiner Ansicht nach würde das Gesetzespaket tief in die Grundrechte, beispielsweise das Fernmeldegeheimnis, eingreifen. Auf seiner Website ruft er die Zivilgesellschaft zum Widerstand auf. Im c't-Datenschutz-Podcast erläutert der Jurist und Richter, wie es zu dem Entwurf kam, was genau darin steht, wo er die Gefahren für Bürgerrechte und Datenschutz sieht, und wie er die Motive der beteiligten Kommissions-Mitglieder einschätzt. Breyer weist darauf hin, dass seiner Beobachtung nach der Widerspruch nur in Deutschland so groß war, ähnliches habe er in keinem anderen EU-Mitgliedsland beobachtet. Er befürchte, dass der Entwurf ohne einschneidende Abschwächungen von Bürgerrechtseingriffen die weiteren Stationen im Gesetzgebungsprozess (EU-Parlament und Rat) passieren könnte.

Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Joerg und Holger zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte. Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen. Joerg hebt die potenzielle Bedeutung dieser Entscheidung für die Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch Rechtsanwältin Kathrin Schürmann die Begründung der Behörde. Kathrin ist Gründungs-Partnerin der Kanzlei Schürmann Rosenthal Dreyer berät Unternehmen als Datenschutzexpertin bei der Einführung und Entwicklung neuer digitaler Geschäftsmodelle. Im Schwerpunkt der Episode geht es um die Pflicht zu einer verschriftlichten Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand des Beispiels einer Dating-Website erläutern Kathrin und Joerg, ab wann es einer solchen DSFA zwingend bedarf und welche Punkte darin abgehandelt sein sollten. Ziel der DSFA ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der Rechte und Freiheiten der betroffenen Personen bewerten, also eine Risikoanalyse aller Verarbeitungsvorgänge vornehmen. Das ist keineswegs trivial. Die Pflicht, so die Vermutung von Holger, wird von der überwiegenden Mehrheit deutscher Unternehmen ignoriert. Joerg und Kathrin sehen das ähnlich und weisen darauf hin, dass damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich mit internationalem Datentransfer zu Auftragsverarbeitern, komme ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.