Auslegungssache – der c't-Datenschutz-Podcast

Am 12. September 2025 wird der Data Act der EU wirksam. Es steht zu befürchten, dass viele Unternehmen darauf kaum vorbereitet sind. In Episode 142 des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht über die weitreichenden Folgen der neuen Verordnung. Der Data Act soll Datensilos aufbrechen und Nutzern Zugang zu Daten verschaffen, die bei der Verwendung vernetzter Geräte entstehen, vom Auto über die Kaffeemaschine bis zur Solaranlage. Bisher kontrollieren viele Hersteller diese Daten exklusiv. Künftig müssen sie sie auf Verlangen herausgeben, auch an Dritte. Die EU-Kommission erhofft sich davon jährlich bis zu 200 Milliarden Euro zusätzliches Wirtschaftswachstum durch neue datenbasierte Geschäftsmodelle. Die praktische Umsetzung stellt Unternehmen vor massive Probleme. Sie müssen ab sofort Datenlizenzverträge mit Nutzern schließen und Schnittstellen zur Datenherausgabe schaffen. Die von der EU-Kommission versprochenen Mustervertragsklauseln existieren zehn Tage vor dem Stichtag nur als Entwurf. "Das schadet vor allem denjenigen, die das Gesetz anwenden müssen", kritisiert Loy die mangelhafte Vorbereitung. Besonders komplex stellt sich die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten dar. Bei personenbezogenen Daten greift weiterhin die DSGVO mit Vorrang. Das heißt, Unternehmen benötigen eine Rechtsgrundlage für die Herausgabe. Dies führt zu einem Dilemma: Verweigern sie die Herausgabe mangels Rechtsgrundlage, verstoßen sie möglicherweise gegen den Data Act. Geben sie Daten ohne Rechtsgrundlage heraus, verletzen sie die DSGVO. Weitere Unsicherheit schafft die fehlende Aufsichtsstruktur. Deutschland hat noch keine zuständige Behörde für nicht-personenbezogene Daten benannt. Ein Referentenentwurf vom Jahresanfang sah die Bundesnetzagentur vor, für personenbezogene Daten sollte die Bundesbeauftragte für Datenschutz zentral zuständig sein, was die föderale Aufsichtsstruktur der Datenschutzaufsicht aushebeln würde. Nach der vorgezogenen Bundestagswahl im Februar wurde der Entwurf der damaligen Ampelkoalition obsolet, ein neuer liegt noch nicht vor. Die Expertin Loy empfiehlt Unternehmen dringend, ihre Datenbestände zu analysieren und zwischen personenbezogenen und anderen Daten zu trennen. Sie müssen Informationspflichten nach dem Data Act erfüllen und Verträge vorbereiten. Im Zweifel rät sie, vom Personenbezug auszugehen und Herausgabeanfragen zunächst kritisch zu prüfen. Während die Diskutanten die Grundidee des Data Acts – mehr Datenzugang und Wettbewerb – durchaus begrüßen, kritisieren sie die Umsetzung. Gerade der Mittelstand sei mit der Flut neuer Digitalgesetze völlig überfordert, moniert Joerg. Die komplexe Verzahnung mit der DSGVO schaffe mehr Rechtsunsicherheit als Klarheit.

In Episode 141 widmen sich Holger und Joerg gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Sebastian ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät. Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten. Bei der Datenschutzerklärung rät Sebastian Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren - von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Joerg anmerkt. Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Sebastian, die Schriften lokal zu hosten statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden. Interessant ist die Diskussion über cookiefreies Tracking: Tools wie Matomo oder etracker kann man so konfigurien, dass sie nur aggregierte Daten ohne individuelles Nutzerverhalten erfassen. Dann ist keine Einwilligung nötig. Für viele kleine Websites reichen diese aggregierten Daten völlig aus, um Besucherzahlen und Verweildauer zu messen. Die technische Sicherheit darf nicht vernachlässigt werden: SSL-Verschlüsselung ist mittlerweile Standard, regelmäßige Backups und Updates sind Pflicht. Kraska empfiehlt zudem Zwei-Faktor-Authentifizierung für Backend-Zugänge. Passwörter dürfen niemals im Klartext gespeichert werden. Abschließend beruhigt Sabastian Website-Betreiber: Die Aufsichtsbehörden zeigen sich bei kleineren Verstößen meist kulant und unterstützen bei der Behebung von Mängeln. Wichtig sei, sich erkennbar zu bemühen und die grundlegenden Anforderungen umzusetzen. Für kleine Websites und Vereine gebe es zudem kostenlose Vorlagen und Tools, die den Einstieg erleichtern.

Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz im c't-Datenschutz-Podcast. Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen. Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind. Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten. Einen pragmatischen Rat hat der erfahrene Anwalt für Unternehmen parat: Nach Möglichkeit sollten interne Dokumente frei von personenbezogenen Daten sein, um Konflikte von vornherein zu vermeiden. Wo dies nicht gehe, bleibe nur eine sorgfältige Prüfung und Risikoabwägung im Einzelfall. Auch wenn es auf den ersten Blick wie ein Nischenthema wirkt, zeigt sich am Recht auf Auskunft exemplarisch das Spannungsfeld zwischen Datenschutz und Unternehmensinteressen. Schutzrechte für Betroffene dürfen nicht ausgehöhlt, Geschäftsgeheimnisse aber auch nicht leichtfertig preisgegeben werden. Es braucht einen umsichtigen Ausgleich im Einzelfall, resümieren Piltz und die Podcast-Hosts, Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich.

Die Sommerflaute nutzen die beiden Hosts für einen bunten Ritt durch die Datenschutzwelt. Holger und Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen. Den Auftakt macht das obligatorische "Bußgeld der Woche", diesmal aus Italien: Die Autostrade per l'Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Holger und Joerg diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen. Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in form von Social-Plug-ins. Meta könne damit allerdings "jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat", so das Gericht. Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines "Überwachungsgefühls" zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte. Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige "EU Data Boundary" für der Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud Act weiterhin auf europäische Kundendaten zugreifen können. Holger zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage. Die Hosts widmen sich außerdem einem viralen Privacy-Desaster: Bei einem Konzert der Popband Coldplay wurden zwei Personen von der "Kiss Cam" in einer intimen Situation erfasst. Als die beiden sich selbst auf der Leinwand im Saal erkannten, schlug die Frau die Hände vors Gesicht, der Mann ging in die Hocke und versteckte sich. Das Video verbreitete sich rasant im Netz, die Betroffenen wurden identifiziert und öffentlich bloßgestellt, mit schwerwiegenden persönlichen Konsequenzen. Unbeteiligte mit ähnlichen Namen gerieten ins Visier des Internet-Mobs. Bleich findet das "eklig" und kritisiert die Post-Privacy-Gesellschaft scharf. Joerg erläutert anhand des Beispiels überdies die rechtlichen Aspekte solcher Aufnahmen bei Großveranstaltungen. Als Ferienlektüre empfiehlt Holger zuguterletzt den aktuellen Tätigkeitsbericht des Katholischen Datenschutzzentrums (siehe Shownotes) - mit skurrilen Fällen wie falsch etikettierten Plazenten und datenschutzrechtlichen Fragen bei Teufelsaustreibungen.

Seit Wirksamwerden der Datenschutz-Grundverordnung (DSGVO) 2018 sind die Inhaberdaten von Domains weitgehend unter Verschluss. Was vorher über das sogenannte Whois-System frei zugänglich war, ist heute nur noch schwer zu bekommen. In Episode 138 diskutieren Holger und Joerg mit dem Domainrecht-Experten Thomas Rickert über die Auswirkungen dieser Entwicklung. Rickert ist geschäftsführender Gesellschafter der Rickert Rechtsanwaltsgesellschaft und außerdem im Rat der Generic Names Supporting Organization (GNSO Council) aktiv, die wiederum Teil der zentralen Domain-Verwaltung Internet Corporation for Assigned Names and Numbers (ICANN) ist. Außerdem leitet der Rechtsanwalt beim eco-Verband die KG Names & Numbers. Rickert schildert, dass vor der DSGVO für jede Domainregistrierung über 70 Datenelemente erhoben und veröffentlicht werden mussten - vom Namen über die Adresse bis zur Faxnummer. Diese Praxis führte dazu, dass Datenhändler die Informationen massenhaft abgriffen und Domaininhaber kurz nach der Registrierung mit Spam überhäuft wurden. Die ICANN reagierte auf die DSGVO mit einer Notlösung: Statt der Daten erscheint seitdem meist nur noch "Redacted for Privacy". Für Rechteinhaber wie Verlage, die gegen Urheberrechtsverletzungen vorgehen wollen, ist das ein Problem, betont Heidrich. Er berichtet frustriert, dass er bei offensichtlichen Rechtsverletzungen keine Kontaktmöglichkeit mehr findet. Die Täter verstecken sich bewusst hinter amerikanischen Anbietern, die keine Auskünfte erteilen. Rickert verteidigt die neue Praxis, die alte sei datenschutzrechtlich nicht haltbar gewesen. Zudem überschätze man den Wert der Registrierungsdaten bei der Bekämpfung von Cyberkriminalität. Über 50 Prozent der Phishing-Fälle liefen über kompromittierte Websites legitimer Betreiber. Wichtiger als der Zugriff auf Inhaberdaten sei die schnelle Reaktion durch Domainsuspendierung. Die ICANN arbeitet an Lösungen wie dem Registration Data Request System (RDRS), das Anfragen an die richtigen Stellen weiterleitet. Überdies soll die EU-Richtlinie NIS2 mit ihrem Art. 28 neue Rechtsgrundlagen für die Herausgabe von Domaindaten schaffen. Unternehmensdaten sollen wieder veröffentlicht werden müssen, und berechtigte Anfragen binnen 72 Stunden beantwortet werden. Die Diskussion zeigt exemplarisch am wichtigen DNS den Konflikt zwischen Datenschutz und berechtigten Transparenzinteressen. Während die einen das "Going Dark" des Whois-Systems beklagen, sehen andere darin eine überfällige Korrektur datenschutzwidriger Praktiken.

Sommer, Hitze, kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Holger und Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse, Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände". Im Zentrum der Podcast-Folge steht ein nun schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten. Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach deren Lesart hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen. Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

In Folge 136 des c't-Datenschutz-Podcasts sprechen Holger und Joerg mit Carolin Loy über die Arbeit und Haltung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Loy leitet dort den Bereiche Digitalwirtschaft, ist Pressesprecherin und hat Einblick in viele aktuelle Datenschutzthemen - von Künstlicher Intelligenz bis hin zu Cookie-Bannern. Sie hatte die vorvergangene Episode 134 im heise-Forum kritisch kommentiert und folgte postwendend einer darauffolgenden Einladung von Joerg. Zum Start geht es aber zunächst um ein 45-Millionen-Euro-Bußgeld gegen die deutsche Vodafone GmbH. Die Bundesdatenschutzbeauftragte verhängte diese Summe, weil Vodafone Partneragenturen nicht ausreichend kontrollierte und die Kundenauthentifizierung bei E-SIMs mangelhaft war. Auffällig: Vodafone akzeptierte das Bußgeld schnell, arbeitete bei der Aufklärung mit und spendete zusätzlich an gemeinnützige Organisationen. Einen zweiten Schwerpunkt bildet ein Beschluss des Oberlandesgerichts Köln zu Metas Plänen, öffentliche Facebook- und Instagram-Profile zum Training von KI-Systemen zu nutzen. Das Gericht entschied im Eilverfahren, zu dem noch keine schriftliche Begründung vorliegt: Meta darf diese Daten ohne ausdrückliche Einwilligung der Nutzer heranziehen. Die Interessen von Meta seien berechtigt, zudem hätte Meta Nutzern Widerspruch ermöglicht. In der Podcast-Episode geht es unter anderem um die Frage, ob Nutzer wirklich damit rechnen müssen, dass alte und öffentliche Posts zu KI-Zwecken verarbeitet werden, und ob der Umgang mit sensiblen Daten ausreichend berücksichtigt wird. Loy betont, dass die Rechtslage nicht immer dem Bauchgefühl entspricht und verweist auf europäische Vorgaben, nach denen das KI-Training grundsätzlich auch ohne Einwilligung möglich sein kann, solange bestimmte Bedingungen erfüllt sind. Das weitere Gespräch dreht sich um die tägliche Arbeit der bayerischen Datenschutzaufsicht BayLDA. Die Behörde berät Loy zufolge Unternehmen im Bundesland zu KI-Projekten, prüft Beschwerden - zum Beispiel beim Einsatz von KI im Bewerbungsprozess - und ist europaweit an Orientierungshilfen zu digitalen Themen beteiligt, etwa bei Cookie-Bannern und neuen digitalen Abo-Modellen ("Consent or Pay"). Loy schildert, dass zu Cookie-Bannern und Tracking nach wie vor die meisten Beschwerden eintreffen. Sie sieht neue Ansätze wie PIMs - zentrale Einwilligungsverwaltungen - zwar positiv, zeigt sich aber aber skeptisch, ob sie den Cookie-Banner-Wildwuchs wirklich eindämmen. Loy stellt sich sodan dem Vorwurf, Das BayLDA verhalte sich bei Datenschutzverstößen zu lasch oder zögerlich. Am Beispiel des von c't aufgedeckten Falls "Buchbinder", bei dem Millionen Kundendaten wegen einer Panne offen im Netz standen, erklärt sie, warum am Ende kein Bußgeld verhängt wurde: Das Unternehmen habe hohe Compliance-Standards gehabt, den Vorfall selbst gemeldet und eng mit der Behörde kooperiert. Entscheidend sei nicht der Fehler selbst, sondern wie Unternehmen mit Datenschutz umgehen und ob sie daraus lernen. Loy betont, dass die Behörde nicht vorrangig Strafen verteilen, sondern Datenschutz in der Breite fördern will - auch durch Beratung. Zum Abschluss geht es um die aktuelle Debatte zur Zentralisierung der Datenschutzaufsicht für Unternehmen bei der Bundesdatenschutzbeauftragten. Loy sieht das kritisch: Einheitliche Entscheidungen würden dadurch nicht automatisch entstehen, da viele Fragen ohnehin im europäischen Verbund entschieden werden. Zudem könnten regionale Beratung und Kontrolle verloren gehen. Die Runde vermutet hinter dem Zentralisierungswunsch auch das Ziel, Datenschutzauflagen zu lockern und Bürokratie abzubauen.

Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar. In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz. Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer. Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache. Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat. Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

Schwarz-Rote Koalition: Datenschutz im Umbruch Im c't-Datenschutz-Podcast diskutieren Holger Bleich, Joerg Heidrich und Ex-Landesdatenschützer Stefan Brink über die geplante Neuausrichtung des Datenschutzes unter der schwarz-roten Koalition. Droht ein Abschied vom föderalen Modell? Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger? Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse. Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt. Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will. Beim Thema Informationsfreiheit herrscht Ernüchterung: Ein modernes Transparenzgesetz, wie es der Ampelkoalition vorschwebte, ist nun nicht mehr in Sicht, stattdessen ist laut Brink "vier Jahre Winter" angesagt. Am Ende steht das Bild einer komplexen Gemengelage: Datenschutz bleibt ein zentrales Grundrecht, steht aber unter politischem und wirtschaftlichem Druck.

Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende. Im c't-Datenschutz-Podcast erläutern Holger und Joerg Heidrich zusammen mit Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe. Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil. Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Holger, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben. Auch sogenannte Standardvertragsklauseln als Alternative stehen auf tönernen Füßen, da der EuGH hohe Anforderungen an "Transfer Impact Assessments" stellt. US-Gesetze wie der CLOUD Act ermöglichen weiterhin den Zugriff auf Daten bei US-Anbietern. Für EU-Unternehmen ist es kaum leistbar, sich komplett von US-Diensten zu lösen, da eine digitale Souveränität Europas fehlt. Die Aufsichtsbehörden in Deutschland und Europa sitzen nach Brinks Schilderung zwischen den Stühlen: Sie wissen um die rechtlichen Mängel, schrecken aber vor harten Maßnahmen zurück – auch aus Furcht vor wirtschaftlichem Chaos. Stattdessen setzen sie auf Dialog und hoffen, dass Unternehmen zumindest Alternativen prüfen. Die Diskutanten sehen die Gefahr, dass der Datentransfer zum Spielball im Handelskonflikt zwischen den USA und der EU werden könnte. Am Ende bleibt die Erkenntnis: Der transatlantische Datenverkehr ist in schwere See geraten, und Unternehmen täten gut daran, sich nach Alternativen umzusehen.

Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD). Schwartmann weist zunächst die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze. Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten. Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten. Die Diskussion offenbart, dass die KI-Verordnung nur wenige datenschutzrechtliche Ausnahmen enthält, beispielsweise bei der Nutzung sensibler Daten zur Korrektur von Verzerrungen in KI-Modellen oder in sogenannten Reallaboren, geschützten Testumgebungen für neue KI-Anwendungen. Heidrich kritisiert, dass der Gesetzgeber hier Chancen verpasst habe, grundlegende datenschutzrechtliche Konflikte bei der Nutzung moderner KI-Systeme zu regeln.

In der aktuellen Episode steht der European Health Data Space (EHDS) im Fokus. Die EU-Verordnung zum einem gemeinsamen Gesundheitsdatenraum ist am 26. März in Kraft getreten und wird ab März 2027 schrittweise wirksam. Ziel des ambitionierten Projekts ist es, elektronische Gesundheitsdaten in ganz Europa einfacher zugänglich zu machen – sowohl für Patienten als auch für Ärzte, Forschung und Wirtschaft. Doch was bedeutet das konkret für den Schutz von sensiblen Patientendaten? Holger und Joerg haben dazu Rechtsanwältin Dr. Christina Schreiber eingeladen. Sie ist Spezialistin im Datenschutzrecht mit Schwerpunkt im Gesundheitswesen und erläutert die Hintergründe und Auswirkungen des EHDS. Laut Kristina bekommen Patienten künftig leichter Zugriff auf ihre medizinischen Daten und können diese digital auch für Ärzte im EU-Ausland zur Verfügung stellen. Einen zentralen Speicherort gibt es dabei nicht; die Daten bleiben dezentral in Arztpraxen und Kliniken gespeichert und werden nur bei Bedarf digital zusammengeführt. Ein wesentlicher Teil der Verordnung regelt die sogenannte Sekundärnutzung. So sollen Forscher, Behörden und auch Unternehmen Zugriff auf anonymisierte oder pseudonymisierte Gesundheitsdaten erhalten, um die medizinische Versorgung zu verbessern, neue Therapien zu entwickeln und Gesundheitssysteme effizienter zu gestalten. Eine unabhängige Behörde in jedem Mitgliedsstaat soll künftig prüfen, wer wann welche Daten zu welchen Zwecken verwenden darf – stets unter Berücksichtigung der DSGVO. Angesichts der ambitionierten Ziele sieht Kristina große Herausforderungen. Vor allem die technische Umsetzung sei komplex, und es brauche ausreichend Ressourcen, um die geplanten hohen Datenschutz- und Sicherheitsstandards in der Praxis zu erreichen. Hinzu kommen unterschiedliche nationale Regelungen: In Skandinavien etwa ist die Datenfreigabe für Gesundheitszwecke nahezu selbstverständlich, während Deutschland stärker auf individuelle Zustimmung setzt. Die Diskutanten sind sich einig: Die Idee hinter dem EHDS ist gut und wichtig, aber die Umsetzung bleibt eine Mammutaufgabe. Deutschland hinke bei der Digitalisierung im Gesundheitswesen ohnehin bereits weit hinterher. Die Hoffnung ist, dass der Druck aus Brüssel nun auch hierzulande endlich Bewegung in die Sache bringt.

Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittlere Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich. In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann über die Vorschläge. Schwartmann ist Professor an der Technischen Hochschule Köln, Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) und außerdem Host des Podcasts "DataAgenda". Alle drei Diskutanten begrüßen eine mögliche Entlastung kleiner Unternehmen und Vereine ausdrücklich. Gleichzeitig warnen sie jedoch davor, die Datenschutzpflichten allein an der Größe festzumachen. Gerade bei sensiblen Daten müssten auch kleinere Organisationen weiterhin hohe Standards erfüllen, so Schwartmann. Die genaue Ausgestaltung könnte komplex werden. Es gelte, Erleichterungen zu schaffen, ohne das Schutzniveau insgesamt abzusenken. Ein weiteres Problem sieht Heidrich in der mangelnden Einheitlichkeit der europäischen Datenschutzaufsicht. Die nationalen Behörden wenden die DSGVO sehr unterschiedlich an, was zu Rechtsunsicherheit führt. Eine stärkere Harmonisierung erscheint nötig, aber die Idee, Aufsichtskompetenz etwa an die EU-Kommission zu übertragen, stößt in der Episode auf Skepsis. Die Experten bevorzugen weiterhin unabhängige Datenschutzbehörden, mahnen aber eine bessere Abstimmung an. Auch in Deutschland wird über Änderungen diskutiert. So geht aus dem Sondierungspapier zur möglichen koalitionsbildung von CDU/CSU und SPD hervor, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten bei kleinen Unternehmen entfallen beziehungsweise der Schwellwert dafür deutlich angehoben werden könnte. Schwartmann kritisiert das deutlich: Ein Datenschutzbeauftragter entlaste Unternehmen eher, statt sie zu belasten. Ein Wegfall würde bestehende Datenschutzpflichten nicht beseitigen, sondern den Unternehmen sogar direkte Risiken aufbürden. Zum Abschluss wagen Schwartmann und die Podcast-Hosts eine Prognose: Ja, die DSGVO werde wohl aufgemacht. Doch dass daraus eine umfangreiche Reform entsteht, halten sie für unwahrscheinlich. Zu groß sei die Gefahr, dass sich die unterschiedlichen Interessengruppen in komplizierten Verhandlungen verfangen – und am Ende nur kleine Anpassungen übrig bleiben.

Diesmal werfen Holger und Joerg gemeinsam mit c't-Redakteur Sylvester Tremmel einen kritischen Blick auf ein umstrittenes Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden. Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den entstandenen Schaden und habe keinen Anspruch Zahlung der Rechnung. Im Podcast zeigen sich die Experten fassungslos und üben deutliche Kritik am Urteil. Sylvester ist sich sicher, dass das Gericht technische Details offenbar nicht richtig verstanden hat: Es verwechsle Verschlüsselung mit Signatur. Während eine Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem Zugriff schützt, stellt eine digitale Signatur sicher, dass die Nachricht unterwegs nicht verändert wird. Sylvester stellt klar: Verschlüsselung allein hätte den Betrug nicht zwingend verhindert, eine Signatur dagegen eher. Zudem funktioniert Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und Empfänger – kooperieren und entsprechende Schlüssel austauschen. Auch Joerg hält das Urteil für problematisch. Das Gericht habe die DSGVO falsch angewendet, indem es den wirtschaftlichen Schaden mit der datenschutzrechtlichen Schutzbedürftigkeit personenbezogener Daten vermischte. Die Höhe einer Rechnung könne nicht automatisch bedeuten, dass personenbezogene Daten besonders schützenswert seien und deshalb zwingend Ende-zu-Ende verschlüsselt werden müssten. Im Podcast weisen die Experten darauf hin, dass andere Gerichte in vergleichbaren Fällen zu gegenteiligen Ergebnissen kommen. So entschied etwa das Landgericht Rostock, dass Unternehmen nicht automatisch für Manipulationen haften, wenn beide Seiten sich auf E-Mail als Kommunikationsweg geeinigt haben. Auch das Oberverwaltungsgericht Münster betonte kürzlich, dass eine einfache Transportverschlüsselung im Normalfall ausreichend sei. Am Ende gibt Sylvester praktische Empfehlungen: Unternehmen sollten zumindest Transportverschlüsselung nutzen und idealerweise digitale Signaturen einsetzen, um Manipulationen von E-Mails zu verhindern. Komplette Ende-zu-Ende-Verschlüsselung sei wünschenswert, aber in der Praxis oft schwierig umzusetzen. Vor allem aber solle man stets aufmerksam bleiben und bei überraschend geänderten Kontodaten lieber einmal zu viel als zu wenig nachfragen.

Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen. Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit dem Scheitern der Ampel Anfang November wanderte dieser Entwurf direkt in die Tonne. Im c't-Datenschutz-Podcast diskutieren Joerg und Holger mit Rechtsanwalt Dr. Marc Störing die aktuelle Lage. Marc berät für die Kanzlei Osborne Clarke Unternehmen und Konzerne datenschutzrechtlich. In der Episode erläutert er fachkundig die Situation des europäischen Beschäftigtendatenschutzes und ordnet zwei wichtige Urteile des Europäischen Gerichtshofs (EuGH) aus den Jahren 2023 und 2024 dazu ein. Die Diskutanten sind sich einig, dass wenig Hoffnung auf eine baldige gesetzliche Regelung besteht. Ein Blick auf die Programme der Parteien zur Bundestagswahl zeigt, dass sich nur die SPD klar für ein Beschäftigtendatenschutzgesetz ausspricht. Angesichts der aktuellen Lage sei unwahrscheinlich, dass das Thema in einem möglichen Koalitionsvertrag eine Rolle spielen wird. Für Unternehmen und Beschäftigte bedeutet dies weiter ein hohes Maß an Rechtsunsicherheit. Viele praktische Fragen, etwa zur privaten Nutzung von Firmen-Mailkonten oder der Überwachung am Arbeitsplatz, bleiben in einer Grauzone. Marc, Joerg und Holger hoffen, dass die Politik das Thema Beschäftigtendatenschutz nicht auf die lange Bank schiebt. Nur ein detailliertes Gesetz könne für mehr Rechtssicherheit sorgen.

Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist. heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat. Wegen unzureichend gesicherter Webservices standen massenhaft Mandanteninformationen nahezu offen für jeden im Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen vorbeugen können und wie sie sich verhalten sollten, wenn es dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell in fremde Hände geraten sind? Nach Christophers Meinung ist es erschreckend, dass Patientendaten aufgrund grober Fehler wie fehlender Verschlüsselung und falscher Serverkonfiguration frei zugänglich waren. "Es geht hier um grundlegende Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich selbstverständlich sein sollten", kritisiert er. Doch stattdessen würden immer wieder die gleichen Anfängerfehler gemacht. Auch die Kommunikation der betroffenen Unternehmen lasse oft zu wünschen übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse" seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden und Kunden häufig gar nicht oder nur zögerlich informiert. Hier fordern die Experten unisono deutlich mehr Transparenz. Für Ronald liegt die Wurzel des Problems im mangelnden Risikobewusstsein: "Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig seien regelmäßige Sicherheitsaudits und die Einbindung externer Experten, um Lücken frühzeitig zu erkennen und zu schließen. Unternehmen sollten zudem offener mit Sicherheitsforschern zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten sich sicherlich mehr Informationen darüber, ob und wie ihre Daten in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim Schutz sensibler Daten gibt es noch viel Luft nach oben. Unternehmen müssen ihrer Verantwortung besser gerecht werden - im Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern, sondern können auch immense Imageschäden nach sich ziehen.

Das in Artikel 15 DSGVO festgeschriebene Auskunftsrecht ist eines der zentralen Betroffenenrechte. Es gilt als ein wichtiges Instrument zur Kontrolle der eigenen Daten, an das sich Rechte zur Korrektur und Löschung von Daten anschließen. Per E-Mail lässt sich bei Unternehmen und Behörden erfragen, welche Daten zu welchem Zweck gespeichert sind, und woher sie stammen. Doch was auf den ersten Blick einfach klingt, wirft in der Praxis viele Fragen auf, wie die Diskussion im aktuellen c't-Datenschutz-Podcast zeigt. Zu Gast ist Bettina Blavert, Syndikusrechtsanwältin und Datenschutzexpertin bei der Sovendus GmbH. Sie sieht das Auskunftsrecht sehr positiv, auch wenn es Unternehmen einiges abverlangt. "Für Betroffene ist es Datenschutz zum Anfassen", sagt sie. Holger und Joerg stimmen zu, weisen allerdings auf Schwierigkeiten bei der Umsetzung des Rechts hin. So müssen Unternehmen Betroffene zunächst einmal eindeutig identifizieren, bevor sie Daten herausgeben, und das, ohne dabei selbst wieder zu viele Daten abzufragen. Außerdem sei die Frist von einem Monat durchaus knapp, wenn umfangreiche oder komplexe Datensätze zusammengestellt werden müssen. Auch inhaltlich gibt es Fallstricke: Müssen komplexe Datenstrukturen in Klartext übersetzt werden? Wie sieht es mit Daten aus, die zwar einen Personenbezug haben, aber zum Beispiel pseudonymisiert gespeichert sind? Und: Dürfen Geschäftsgeheimnisse oder Rechte Dritter einer Auskunft entgegenstehen? Die drei Diskutanten liefern Details aus der Praxis und stellen klar: Das Auskunftsrecht ist ein mächtiges Instrument für Betroffene, aber eben kein Selbstläufer. Unternehmen müssen ihre Prozesse genau prüfen und anpassen, um nicht in Schwierigkeiten zu geraten. Betroffene sollten wiederum genau überlegen, was sie mit einer Anfrage bezwecken wollen. Denn bei aller Auskunftsfreude: Wer es übertreibt, dem kann am Ende sogar der Missbrauch dieses Rechts vorgeworfen werden.

Die Macht von Daten wird oft erst dann sichtbar, wenn sie missbraucht wird. In Episode 125 des c't-Datenschutz-Podcasts werfen Holger, Joerg und der Datenschutzbeauftragte Markus Sailer einen Blick zurück auf historische Beispiele, in denen Staaten ihre Datensammlungen zur gezielten Verfolgung von Bevölkerungsgruppen genutzt haben. Ein besonders bekanntes Beispiel ist die Volkszählung von 1939 im nationalsozialistischen Deutschland. Mit Hilfe von Lochkarten und Hollerith-Tabelliermaschinen erfassten die Nazis damals die Religionszugehörigkeit der Bürger. In Ergänzungskarten wurden "Mischlinge" "Volljuden", "Geltungsjuden" und "Glaubensjuden" gemäß der Nürnberger Rassengesetze von 1935 systematisch erfasst. Die Daten bildeten später die Grundlage für die Deportation von Juden in Konzentrationslager. In anderen Staaten wie den Niederlanden fielen solche Datensammlungen den deutschen Besatzern in die Hände und wurden für Verfolgungsmaßnahmen missbraucht. Ein weiteres Beispiel ist die systematische Erfassung von Homosexuellen durch die Gestapo ab 1934. Auf Basis von polizeilichen "Rosa Listen" wurden zehntausende Männer in Karteien erfasst, überwacht und verfolgt. Insgesamt 50.000 Verurteilungen erfolgten nach dem berüchtigten Paragraphen 175, der in der Bundesrepublik erst 1994 endgültig abgeschafft wurde. Die Gesprächspartner sind sich einig: Auch wenn sich die Methoden geändert haben, besteht die Gefahr des Datenmissbrauchs durch staatliche Stellen weiterhin. Rasterfahndung, die wieder in Deutschland diskutierte Vorratsdatenspeicherung oder der "Cloud Act" in den USA sind aktuelle Beispiele für weitreichende Zugriffsbefugnisse. Zwar setzt die europäische Datenschutz-Grundverordnung (DSGVO) hier wichtige Grenzen. Doch die Diskutanten bezweifeln, ob sie ausreicht, um die Demokratie langfristig zu schützen. Ihr Wunsch an die Politik ist daher ein stärkeres Bewusstsein für die Missbrauchsgefahren von Datensammlungen. Statt Datenschutz vor allem als Hindernis zu sehen, sollte er auch als Schutzschild der freiheitlichen Gesellschaft begriffen werden. Denn historische Erfahrungen mahnen zur Wachsamkeit - in Zeiten von Big Data und Künstlicher Intelligenz mehr denn je.

Lange erwartet, nun viel diskutiert: Das Urteil des Bundesgerichtshofs (BGH) zum Schadensersatzanspruch aus Art. 82 der Datenschutz-Grundverordnung (DSGVO) beschäftigt nicht nur Juristen. Der BGH hatte sich mit der Frage beschäftigt, ob schon der bloße Kontrollverlust über eigene Daten einen immateriellen Schaden begründen kann. Anlass war ein Datenleak bei Facebook im Jahr 2019, bei dem Kriminelle über eine zu weit offene Schnittstelle an Nutzerdaten wie Namen, Telefonnummern und Adressen von über 500 Millionen Nutzern gelangten, darunter mutmaßlich sechs Millionen Deutsche. Der BGH hatte sich ein Berufungsurteil des Oberlandesgerichts Köln herausgepickt und die Revision zum sogenannten Leitentscheidungsverfahren erklärt. Diese Möglichkeit hat das oberste deutsche Gericht, seit am 31. Oktober das Leitentscheidungsgesetz in Kraft getreten ist: In Fällen, die grundlegende Rechtsfragen betreffen, soll eine Leitentscheidung des BGH als Richtschnur für niedere Instanzen in ähnlichen Fällen dienen. In seinem Urteil (Az. VI ZR 10/24) hat der BGH am 18. November die Hürden für immaterielle Schadensersatzansprüche nach Art. 82 DSGVO sehr niedrig gesetzt. Entgegen der Auffassung von Meta könne "auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein". Demnach müssen Betroffene nicht nachweisen, dass ihre Daten missbräuchlich verwendet worden seien. Auch Belege für Angst und Sorge vor einem Missbrauch sind dem Urteil zufolge nicht erforderlich. Besonders spannend: Nicht nur mündlich während der Urteilsverkündung, sondern auch in seiner schriftlichen Urteilbegründung gab der BGH den Instanzgerichten konkrete Hinweise zur Höhe der finanziellen Entschädigung für den erlittenen "Kontrollverlust". Für den konkreten Fall, bei dem keine Schäden nachgewiesen wurden, schlug er eine "Größenordnung von 100 Euro" vor. Falls der ein Fall gravierender ist, kann der Betrag laut BGH allerdings auch wesentlich höher sein. Im c't-Datenschutz-Podcast erläutert Dr. Lea Stegemann, Rechtsanwältin und Expertin für Schadensersatzansprüche aus DSGVO-Verstößen heraus, die Hintergründe und Auswirkungen des BGH-Urteils. Lea sieht in dem Urteil einerseits einen wichtigen Schritt für den Persönlichkeitsschutz der Betroffenen. Andererseits warnt sie vor Risiken für Unternehmen, wenn nun zusätzlich zu möglichen DSGVO-Bußgeldern noch Schadensersatzforderungen in Millionenhöhe kommen. Unklar bleibt fürs Erste, wie sich das Urteil auf die Praxis der Legal-Tech-Kanzleien auswirkt, die Betroffene zu Massenklagen animieren. Der Verbraucherzentrale Bundesverband (vzbv) hat jüngst eine Musterfeststellungsklage gegen den Facebook-Mutterkonzern Meta beim Hanseatischen Oberlandesgericht Hamburg eingereicht, der sich jeder Betroffene bald kostenlos anschließen kann. Lea sieht darin Chance, Ansprüche gesammelt anzumelden, ohne in dem einzelnen Fall ein Gerichtsverfahren und eine Beweisaufnahme durchführen zu müssen. Sie plädiert ohnehin für eine Pauschalierung und Bündelung von massenhaft vorhandenen, ähnlich gelagerten Schadensersatzansprüchen, um die Justiz zu entlasten. Der Gesetzgeber könne dafür die Rahmenbedingungen schaffen.

Eine bislang wenig beachtete Studie des österreichischen Forschers und Aktivisten Wolfie Christl aus August 2024 brachte es an den Tag: Microsoft bietet Unternehmen, die Microsoft 365 Enterprise nutzen, weitreichende Möglichkeiten, das Verhalten ihrer Mitarbeiter zu überwachen und zu analysieren. Es geht um zubuchbare Produkte zum "Sicherheitsinformations- und Ereignis-Management" (SIEM) und zu "User and Entity Behavior Analytics" (UEBA). Mit den Zusatzprodukten "Sentinel" und "Purview" können sich Arbeitgeber von Microsoft aufzeigen lassen, welche Mitarbeiter ein Sicherheitsrisiko darstellen könnten, etwa aufgrund "anstößiger" Chats oder häufigen Abrufen bestimmter Webseiten. Dabei werden riesige Mengen sensibler Mitarbeiterdaten verarbeitet und verknüpft, beispielsweise aus Teams und Sharepoint. Christl zeigt auf, wie Microsoft dafür intensiv KI einsetzt und Unternehmen ermutigt, detaillierte Profile ihrer Mitarbeiter zu erstellen, um "Risikofaktoren" und "Anomalien" zu erkennen. Im c't-Datenschutz-Podcast diskutieren Holger und Joerg die ethischen und rechtlichen Implikationen. Rechtsanwältin Anna Cardillo steht ihnen dabei mit ihrer Expertise zur Seite. Anna berät seit 2006 Unternehmen und Behörden im Datenschutz- und Informationssicherheitsrecht. Sie hat sich auf die Unterstützung bei der Implementierung und datenschtuzrechtlich sauberer Umsetzung digitaler Prozesse spezialisiert. Anna äußert erhebliche Zweifel an der Rechtmäßigkeit der Überwachungspraktiken, die Microsoft und andere von Christl untersuchte Unternehmen anbieten. Es fehle oft schlicht an Wissen und damit der an der nötigen Transparenz, austarierten Risikoabwägungen sowie einer Rechtsgrundlage für derart weitreichende Datenauswertungen. Das Fazit: Auch wenn Unternehmen ein berechtigtes Interesse an der IT-Sicherheit haben, sind viele der von Microsoft angepriesenen Überwachungsmaßnahmen unverhältnismäßig und könnten hierzulande unzulässig sein. Betroffene Mitarbeiter sollten sich nicht scheuen, die Praktiken kritisch zu hinterfragen und sich im Zweifelsfall beispielsweise an den Betriebsrat oder eine Hinweisgeberstelle zu wenden.

Nun hat es auch einmal den c't-Datenschutz-Podcast erwischt: Manchmal ändert sich die Nachrichtensituation von einen Tag auf den anderen gravierend, so geschehen am 6. November. Kaum war die aktuelle Folge im Kasten, löste sich die Ampelkoalition auf. Einige Gesetzesprojekte, über die es in der Episode gesprochen wird, dürften damit vorerst gestoppt sein. Dennoch halten wir die Episode 122 der Auslegungssache für sehr hörenswert, beleuchtet sie doch die Lage der Bürgerrechte in Deutschland sowie Bestrebungen der nun ehemaligen Bundesregierung, grundrechtsgefährdende Projekte auf die Schiene zu bringen. Im Mittelpunkt steht das Sicherheitspaket, das eventuell mit Hilfe der Unionsparteien trotz Ampel-Aus noch vor der Bundestagswahl realisiert werden könnte. Holger und Joerg sprechen darüber mit Dr. Ulf Buermeyer, Jurist, Mitgründer der Gesellschaft für Freiheitsrechte und Co-Host des Podcasts "Lage der Nation". Das in Reaktion auf den Messerangriff von Solingen hastig zusammengestellte Paket passierte Mitte Oktober zunächst den Bundestag, scheiterte dann aber vorerst im Bundesrat am Widerstand der Union. Diese fordert noch schärfere Maßnahmen wie eine Ausweitung der Befugnisse für Verfassungsschutz und Polizei. Besonders umstritten ist die Einführung einer Datenbank zur biometrischen Gesichtserkennung beim BKA. Ulf bezweifelt, dass eine solche Datenbank verfassungsrechtlich Bestand hätte. Er sieht darin einen massiven Eingriff in die Grundrechte. Ebenfalls diskutiert wurde in der Ampleregierung ein neuer Anlauf zur Vorratsdatenspeicherung von IP-Adressen. Hier sehen sich Befürworter wie Innenministerin Nancy Faeser durch ein EuGH-Urteil von April 2024 bestätigt. Die FDP setzte dem das Modell "Quick Freeze" entgegen, bei dem Verbindungsdaten erst bei einem konkreten Verdacht "eingefroren" und dann für Ermittlungen freigegeben werden. Ulf plädiert dafür, diesen Ansatz zumindest zu erproben und wissenschaftlich zu evaluieren. Insgesamt wünscht er sich eine Versachlichung der oft emotional geführten Debatte um innere Sicherheit und Migration. Sowohl Quick Freeze als auch die Vorratsdatenspeicherung dürften nun nach dem Ampel-Aus vorerst in den Schubladen verschwinden.

Die wirtschaftliche Lage in Deutschland und Europa setzt die Politik unter Druck, aber auch den Datenschutz. Das wurde zuletzt beim Digitalgipfel der Bundesregierung in Frankfurt deutlich. Bundeswirtschaftsminister Robert Habeck stellte dort die föderale Struktur der Datenschutzaufsicht in Frage. 16 Landesdatenschutzbehörden plus zwei in Bayern seien "ein bisschen viele". Er schlug vor, den Behörden thematische statt regionale Zuständigkeiten zuzuweisen. In der aktuelle Episode des c't-Datenschutz-Podcasts erörtert Holger zusammen mit dem freien Journalisten Falk Steiner die digitalpolitische Großwetterlage in Deutschland und Europa. Falk schildert die Stimmung auf dem Digitalgipfel. Ein Tenor war demzufolge, dass Deutschland als Wirtschafts- und KI-Standort hinterherhinkt. Datenschutz werde zunehmend als Bremsklotz der Digitalisierung dargestellt. Auch auf EU-Ebene deutet sich nach Falks Meinung ein Kurswechsel an. Die designierte neue EU-Kommission unter Ursula von der Leyen werde stark auf Wirtschaftswachstum und Bürokratieabbau setzen. Datenschütz dürfte mehr in den Hintergrund treten. Die für Digitales zuständige künftige Exekutiv-Vizepräsidentin Henna Virkkunen soll ein EU-Cloud- und KI-Entwicklungsgesetz vorantreiben. Eine Reform der Datenschutz-Grundverordnung (DSGVO) steht dagegen nicht auf ihrer Agenda. Die neue EU-Kommission werde insgesamt konservativer ausgerichtet sein als die bisherige. Prägende Figuren der Digitalpolitik wie Margrethe Vestager und Thierry Breton schieden aus. Zudem haben sich die Mehrheitsverhältnisse im EU-Parlament nach rechts verschoben. Das könnte Falk zufolge neue Regulierungen erschweren, aber auch bürgerrechtskritische Vorhaben wie die Vorratsdatenspeicherung bremsen, die der designierte Innenkommissar Magnus Brunner wieder aufgreifen soll.

Bei strafrechtlichen Ermittlungen und im Strafprozess sind datenschutzrechtliche Grundsätze außer Kraft gesetzt. Ist das wirklich so, und welche Personlichkeitsrechte gelten dann überhaupt noch? Mit diesen Fragen beschäftigen sich Holger und Joerg in der aktuellen Episode der Auslegungssache. Zu Gast ist der Vollblut-Strafverteidiger Jens Ferner, der, wie er selbst sagt, in seinem "vorherigen Leben" als Software-Entwickler gearbeitet hat und deshalb sehr gut einschätzen kann, wie die Ermittler in der digitalen Forensik vorgehen. In Jens' Verfahren geht es oft um Delikte mit IT-Bezug, doch darum soll geht es in der Podcast-Episode nicht einmal vorrangig. Jens erzählt sehr eindringlich und dennoch unterhaltsam aus dem Alltag eines Strafverteidigers. Er stellt dar, wie Hausdurchsuchungen wirklich ablaufen und gibt Tipps, wie man sich in einem solchen Fall verhalten sollte. Den verblüfften Podcast-Hosts erklärt er, warum vor der Polizei meist keine Daten sicher sind, auch nicht die Privatesten. Wie sollte man selbst sein Smartphone und seinen PC absichern, um keine Daten von sich und von anderen Personen preisgeben zu müssen? Wie versuchen Strafermittler, an die Daten zu kommen? Jens weist darauf hin, dass sichergestellte Datenträger wie Festplatten und Smartphones unter Umständen von jeder Dorf-Polizeidienststelle entsperrt und ausgelesen werden können. Und dann tauchen vielleicht ganz neue Probleme auf, weil aus Zufallsfunden eine andere als die ursprünglich vermutete Straftat konstruiert werden könnte. der Rat von Jens: "Gebt bloß keinen Zugriff auf die Geräte, egal wie sicher man sich wähnt!"

Unsere Redaktionen erreichen immer wieder Anfragen von Leserinnen und Lesern, wie es heise online, c't, oder andere Medien des heise-Verlags mit dem Datenschutz halten. Dürfen Journalisten beispielsweise personenenbezgene Daten, die aus einem Datenleak stammen, zu Recherchezwecken verwahren? Haben die betroffenen Personen diesbezüglich Auskunfts- und Löschrechte? Die Antwort darauf gibt die EU-Datenschutz-Grundverordung nur mittelbar, denn sie regelt diesen Sonderfall nicht direkt, sondern überlässt ihn in Art. 85 den Mitgliedsstaaten. Deutschland hat sich in Abwägung der Grundrechte - Pressefreiheit einerseits und informationelle Selbstbestimmung andererseits - für das sogenannte Medienprivileg entschieden: Unter anderem in den Landespressegesetzen ist geregelt, dass Medien aufgrund ihrer wichtigen Funktion personenbezogene Daten zu journalistischen Zwecken teils jenseits der DSGVO-Pflichten (etwa Rechtsgrundlagen und Betroffenenrechte) grundsätzlich verarbeiten dürfen. Schließen sich Presseerzeugnisse oder Onlinemedien der Selbstregulierung ihrer Branche an, unterliegen sie nicht der staatlichen Datenschutzaufsicht. Diese freiwillige Selbstregulierung hat in Deutschland bereits im Jahr 2001 der Presserat übernommen. Ihn tragen der Bundesverband Digitalpublisher und Zeitungsverleger (BDZV), der deutsche Journalisten-Verband (DJV), die deutsche Journalistinnen- und Journalisten-Union (dju) in ver.di sowie der Medienverband der freien Presse (MVFP). Im Episode 119 des c't-Datenschutz-Podcasts erläutert Roman Portack, warum es dieses Medienprivileg gibt und wie die Selbstregulierung in der Praxis funktioniert. Roman ist seit 2020 Geschäftsführer des Deutschen Presserats und außerdem Fachanwalt für Urheber- und Medienrecht. Im Podcast erklärt er zunächst, was der Pressekodex ist, dem sich die Redaktionen der teilnehmenden Medien verpflichtet sehen und der für die Beurteilung von möglichen Datenschutzverstößen in Redaktionen einschlägig ist. So verpflichten sich die Redaktionen bereits in der Präambel dieses Regelwerks, das Privatleben und das Recht auf informationelle Selbstbestimmung von Personen zu achten. Bei einer identifizierenden Berichterstattung muss das Informationsinteresse der Öffentlichkeit die schutzwürdigen Interessen von Betroffenen überwiegen (Ziffer 8 des Pressekodex). Die Weitergabe von Rechercheergebnissen darf nur zu journalistischen Zwecken erfolgen (Ziffer 5). Über ein Online-Formular kann jeder Bürger potenzielle Verstöße gegen diese datenschutzrechlichen Vorgaben melden. In der Podcast-Episode gehen Holger, Joerg und Roman einige Fälle aus der Praxis beispielhaft durch. Joerg selbst ist für den Medienverband der freien Presse (MVFP) Mitglied im Beschwerdeausschuss Datenschutz des Presserats, der über potenzielle Datenschutzverstöße in Redaktionen berät und urteilt. Ein Verstoß gegen den Pressekodex zieht einen Hinweis, eine Missbilligung oder eine Rüge nach sich. Im Falle einer öffentlichen Rüge haben sich die Verlage verpflichtet, diese im betreffenden Medium zu veröffentlichen.

Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum überschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern. Europäische Datenschutzbehörden arbeiten sich seit Jahren an den Datenschutzerklärungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersächsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zuständigen Datenschutzbehörde befürchten zu müssen. I, Episode 118 beschäftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. Dafür haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten für genau diese Thematik hinzugezogen. Jurist Olaf berät mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten. Zunächst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgeführten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abfließen, die Verwendung von Telemetriedaten ungenügend geklärt ist, die IT-Sicherheit nicht ausführlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschließend darstellt. Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklärt außerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstünden allerdings gerade mit der allmählichen Einführung der KI-Copiloten in die Produkte.

In Episode 117 dreht sich fast alles um das große Wort "Verantwortung". Diese ist ein Grundpfeiler des Datenschutzrechts: Wo personenbezogene Daten verarbeitet werden, muss jemand existieren, der für die Mittel und die Zwecke verantwortlich zeichnet. Diese reale oder juristische Person muss die Rechte von Betroffenen berücksichtigen, sorgt für rechtmäßige technische Maßnahmen und erfüllt die Compliance-Anforderungen. Nur ist es in der komplexen technischen Welt so, dass eher selten ein Verantwortlicher alles in der eigenen Hand hat. In der Regel werden Datenverarbeitungen ausgelagert, sei es zu einem Cloud-Anbieter oder eine Marketingagentur. Meist vereinbaren die Partner eine Auftragsverarbeitung, bei der der Verarbeiter nur Deligierter, aber kein Verantwortlicher ist. Mitunter kommt es aber auch vor, dass sich mehrere Parteien die Verantwortung zur Verarbeitung teilen. das sogenannte "Joint Controlling" nach Art. 26 DSGVO. Und hier wird es kompliziert. c't-Redakteur Holger und heise-Verlagsjustiziar Joerg besprechen dieses komplexe Feld mit Dr. Johannes Marosi. Johannes arbeitet als Rechtsanwalt für IT- und Datenschutzrecht bei Graf von Westphalen in Frankfurt am Main. Insbesondere aber hat er seine Dissertation über das Thema der gemeinsamen Verantwortung im Datenschutzrecht geschrieben. Johannes bestätigt, dass die alleinige Verantwortung heute selten vorkommt, da die meisten Unternehmen externe Dienstleister für verschiedene Aufgaben hinzuziehen. Ein typisches Beispiel für vertraglich gefestigte Auftragsverarbeitung ist das Webhosting, bei dem ein Cloud-Anbieter Kundendaten speichert und verarbeitet. Bei der gemeinsamen Verantwortung müssen die beteiligten Parteien in einem sogenannten Joint-Controller-Agreement festlegen, wer welche Aufgaben und Pflichten übernimmt. Johannes betont, dass es wichtig sei, derlei Vereinbarungen detailliert auszuarbeiten, um spätere Konflikte zu vermeiden. Im Gespräch wird deutlich, dass die gemeinsame Verantwortung komplex und oft schwer zu handhaben ist. Obwohl die DSGVO rechtliche Rahmenbedingungen vorgibt, bleibt vieles in der Praxis unklar. Unternehmen müssten daher sorgfältig prüfen, wie sie ihre Datenschutzverantwortung organisieren und dokumentieren, resümiert Johannes.

Die Auslegungssache weitet wieder einmal den Blick und schaut auf die Entwicklung der Digital- und Netzpolitik aus bürgerrechtlicher Perspektive. Zu Gast ist diesmal Markus Beckedahl. Wohl kaum jemand in Deutschland hat von zivilgesellschaftlicher Seite in den vergangenen 20 Jahren die Debatten intensiver verfolgt und mitgeprägt als er. Markus hat 2003 das Blog netzpolitik.org gegründet und war dort bis 2022 Chefredakteur. Im März dieses Jahres hat er den Staffelstab gänzlich übergeben. Außerdem ist er Mitinitiator der jährlichen Konferenz re:publica, deren Programm er noch heute kuratiert. Und nicht zuletzt hatte er 2010 den Verein "Digitale Gesellschaft" mitgegründet, dessen Vorsitzender und Sprecher er bis 2015 war. Im Gespräch mit Holger und Joerg schildert Markus, wie es sich anfühlte, als er 2015 erfuhr, dass gegen ihn wegen Landesverrats ermittelt wurde. Damals hatte netzpolitik.org Dokumente des Bundesamtes für Verfassungsschutz online gestellt, in denen es um Pläne zur stärkeren Überwachung des Internets ging. Markus, der inzwischen neue Projekte gestarten hat, blickt insgesamt positiv auf die netzpolitische Entwicklung in Deutschland zurück. "Manchmal grüßt schon das Murmeltier und die Forderungen nach mehr Überwachung wiederholen sich. Aber wenn wir nichts gemacht hätten wäre alles viel schlimmer", ist er sich sicher. Im digitalpolitschen Bereich helfe es, in langen Linien zu denken und zu schauen, wo man Steine in den Weg legt, um Fehlentwicklungen zu verhindern. Denn, so resümiert Markus: "Eine bessere digitale Welt ist möglich!"

Seine Ernennung verzögerte sich etwas, doch nun ist der niedersächsische Landesdatenschutzbeauftragte Denis Lehmkemper fast ein Jahr im Amt. Im c't-Datenschutz-Podcast spricht er mit Holger und Joerg über über den Prozess seiner Berufung und dieses erste Jahr. Direkt nach Amtsantritt habe er eine "gut aufgestellte Behörde vorgefunden" und "erst einmal viel zugehört". Lehmkemper vertritt eine kooperative Linie. Seinen Worten zufolge möchte er Dinge ermöglichen und lösungsorientiert arbeiten. In der Episode erläutert er beispielsweise, wie seine Behörde zum Ergebnis kam, dass Microsoft Teams in der niedersächsischen Landesverwaltung anders als in einigen anderen Bundesländern eingesetzt werden darf. Man habe gemäß der Linie der Datenschutzkonferenz mit Microsoft für Niedersachsen die Datenschutzvereinbarungen desn Konzerns angepasst. Um Lösungen für den Einsatz von KI von Wirtschaft und Verwaltung im Bundesland zu finden, hat Lehmkemper einen eigenen Expertenkreis eingerichtet. Zu den zwölf Teilnehmern zählen Vertreter aus der niedersächsischen Wirtschaft und Wissenschaft, der öffentlichen Verwaltung und Datenschutzexperten aus dem gesellschaftlichen Umfeld. Sie sollen "technische und rechtliche Gestaltungsvorschläge" erarbeiten. Dieser von Lehmkemper auch KI-Rat genannte Kreis wird sich zum ersten Mal am 14. August treffen.

Nun ist es soweit: Nach jahrelangen Verhandlungen tritt die KI-Verordnung der EU am 1. August tatsächlich in Kraft, weil sie am 14. Juli im Amtsblatt der EU veröffentlicht wurde. Allerdings kommt sie erst nach Übergangsfristen schrittweise zur Anwendung. Verbote von KI-Kategorien, etwa von Social Scoring, treten nach sechs Monaten in Kraft, die Verpflichtungen für allgemeine KI-Modelle (General Purpose AI, GPAI) gelten nach 12 Monaten und die Regeln für hochriskante KI-Systeme gelten nach 36 Monaten. Am meisten Arbeit dürften Unternehmen und Behörden die umfangreichen Transparenz- und Dokumentationspflichten machen. Im c't-Datenschutz-Podcast werfen Redakteur Holger Bleich und heise-Verlagsjustiziar einen genaueren Blick auf diese - je nach Risikokategorie - unterschiedlich scharfen Regeln. Zur Seite steht ihnen dabei Aurea Verebes. Sie berät und auditiert für die Plesnik GmbH Unternehmen, die KI implementieren möchten oder bereits im Unternehmen nutzen. Außerdem hat sie einen Praxisleitfaden für Datenschutzbeauftragte verfasst, in dem sie sich bereits ausführlich mit den neuen Anforderungen der KI-Verordnung befasst hat. Verebes erläutert die Grundstruktur der Verordnung und erklärt, was hinter dem risikobasierten Ansatz steckt. Außerdem erfahrt Ihr von ihr, wo in diesem Regulierungssystem die generative KI, also GPAI-Systeme, verortet ist. Schnell kommen die drei Diskutanten zur Erkenntnis, dass es sich bei der KI-Verordnung vor allem um ein echtes Compliance-Monstrum handelt. So ist beispielsweise in vielen Einsatzfällen von KI nicht nur eine Datenschutz-Folgeabschätzung erforderlich, sondern auch eine Risikoeinschätzung. Für Berater und Auditoren entsteht hier eine wahre Goldgrube.

Interne oder externe Datenschutzbeauftragte? Darüber sprechen wir mit unserem Gast, Julian Lang, der als Berater für Datenschutz und Informationssicherheit bei Althammer & Kill in Hannover tätig ist. Julian erzählt uns über seinen Alltag als externer Datenschutzbeauftragter, der für verschiedene Unternehmen tätig ist.​ Wir, das ist in dieser Folge neben Joerg als Gastmoderator Niklas Mühleis, der bereits bei uns zu Gast war und als Co-Host unseres neuen Heise-Podcasts "Vorsicht, Kunde!" zu verbraucherrechtlichen Fragen Stellung nimmt. Niklas vertritt Holger, der in dieser Woche seinen wohlverdienten Urlaub in südlichen Gefilden verbringt.​ Gemeinsam wird im Rahmen unserer Rubrik "Bußgeld der Woche" das Vorgehen der Datenschutzbehörden bei Datenklau-Fällen besprochen. Das sind solche Fälle, in denen sich Polizisten oder auch Ladendetektive die Daten meist von Frauen abrufen, um diese zu kontaktieren. Dazu herrschte allgemeines Erstaunen darüber, dass hier meist nur sehr geringe Bußgelder festgelegt werden.​ Im Hauptteil der Episode ging es dann um die Rollen und Aufgaben von externen Datenschutzbeauftragten. Lang ist seit vielen Jahren in diesem Bereich tätig und erzählt über seinen Werdegang, die Herausforderungen im Umgang mit den Unternehmen und nicht zuletzt über skurrile Erlebnisse in seinem Job.​ Die Folge endet mit einem Vergleich zwischen den Vor- und Nachteilen der Berufung eines externen Datenschutzbeauftragten gegenüber einer internen Beauftragung. Zum Abschluss haben die Gäste die Möglichkeit, einen Wunsch an die gute Datenschutzfee zu formulieren.​

Dass eine Landesdatenschutzbehörde weitgehend geräuschlos von einer kompetenten Hand in die nächste übergeben wird, ist mitterweile keine Normalität mehr. In Baden-Württemberg hat das funktioniert: Vor rund einem Jahr, am 1. Juli 2023, trat Prof. Tobias Keber die Nachfolge von Stefan Brink als Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württembergs an. In Episode 112 des c't-Datenschutz-Podcasts plaudert Keber über sein erstes Amtsjahr und erläutert, wie er seine Behörde sieht. Der studierte Jurist war zuvor von 2012 bis 2023 Professor für Medienrecht und Medienpolitik an der Hochschule der Medien Stuttgart. Keber ist außerdem seit seit 2015 Vorsitzender des wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD). Eine Schwerpunkt der Tätigkeit seiner Behörde legte er im ersten Jahr auf die Betrachtung von Künstlicher Intelligenz (KI) aus datenschutzrechtlicher Perspektive. In der Episode spricht sich Keber wie viele seiner Kolleginnen und Kollegen dafür aus, dass hierzulande die deutschen Datenschutzbehörden als Aufsicht für die bald in Kraft tretende KI-Verordnung fungieren. Der Behördenleiter fordert einen pragmatischen Blick auf generative KI und erzählt, dass er schon heute dutzende KI-Projekte öffentlicher Stellen im Ländle datenschutzrechtlich beurteilen muss.

Auslegungssache meets Passwort! In der aktuellen Episode trifft der c't-Datenschutz-Podcast auf sein neues Pendant aus der Security-Sparte von heise. Zu Gast sind nämlich Christopher Kunz und Sylvester Tremmel, die beiden Hosts des Podcasts "Passwort". Naturgemäß geht es deshalb diesmal weniger um Auslegungen der DSGVO als um handfeste IT-Sicherheitsprobleme, deretwegen bei Nutzern oder Unternehmen Datenabfluss droht. Christopher und Sylvester schätzen zunächst ein Bußgeld der Datenschutzbehörde Singapurs ein: Wegen eines schwachen Admin-Passworts kam es bei einer Lernplattform zu einem Einbruch und zum Abzug der Daten von über 500.000 Nutzern. Die beiden schätzen die beschriebene Schwachstelle ein und geben Tipps für gutes Passwort-Management sowie Policies in Unternehmen. Ihr Credo: Eine Policy allein genügt nicht, es braucht technische Maßnahmen, um die Mitarbeiter zu starken Passwörtern zu bringen. Im Hauptteil des der Episode erläutern Christopher und Sylvester, wie Nutzernamen-Passwort-Kombinationen gestohlen werden und was jeder einzelne dagegen tun kann. Sie schildern, auf welchen Kanälen derlei Daten gehandelt werden. Außerdem schätzen sie die Qualität und Wirkung von Leakcheckern wie "Have I Been Pwned" ein. Kann man ihnen trauen? Und wie sollte man sie nutzen, auch als Unternehmen?

Die aktuelle Episode des c't-Datenschutz-Podcasts steht fast komplett im Zeichen der Europawahl, die in Deutschland am 9. Juni stattfindet. Holger und Joerg haben sich vorgenommen, einen digitalpolitischen und datenschutzrechtlichen Rückblick auf die vergangene Legislaturperiode zu wagen und begründet dazu aufzurufen, wählen zu gehen. Als versierter Gast bereichert diesmal Falk Steiner das Gespräch. Falk beobachtet als freier Journalist für c't und heise online das politische Geschehen in Berlin und in Brüssel. In der Episode erläutert er die Zusammenhänge zwischen den vielen digitalpolitischen Gesetzgebungsverfahren im Bund und der EU. Außerdem besprechen die drei, welche Verfahren mit in die nächste Legislatur genommen werden dürften und was anstehen könnte. Nicht zuletzt spekulieren sie darüber, ob die Datenschutz-Grundverordnung in den nächsten fünf Jahren aufgeschnürt und reformiert werden könnte. Abschließend folgt noch ein kurzer Ritt durch die Parteiprogramme der größeren deutschen Parteien zur EU-Wahl. Es bleibt die Erkenntnis, dass zur Digitalpolitik durch die Bank viele Allgemeinplätze und wenig konkrete Forderungen zu finden sind. Allenfalls große politisch Linien lassen sich finden. Falk merkt lakonisch an, dass Digitalpolitik und insbesondere Datenschutz eben nach wie vor bei vielen Entscheidungsträgern keinen hohen Stellenwert genießt

Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen. In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen. Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen. Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen. In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung. Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.

Der Umsatz mit Computerspielen steigt in Deutschland kontinuierlich. 2023 wurden mit PC-Games und Konsolenspielen mehr als 3,7 Milliarden Euro umgesetzt. Besonders boomt der Markt auf Smartphones und Tablets: Für fast drei Milliarden Euro kauften Daddlerinnen und Daddler Items, Skins oder Coins per In-App-Stores in den Spielen. Für die Branche gelten hierzulande dieselben datenschutzrechtlichen Einschränkungen wie für etwa soziale Medien. Hinzu kommen allerdings noch strenge Jugendschutzbestimmungen. Und längst werden die Games nicht mehr (nur) im Laden gekauft, sondern hauptsächlich über Plattformen wie Steam, Playstation oder eben den Appstores von Google und Apple. Sowohl beim Kauf als auch bei der Nutzung fallen eine Menge Daten an. Im Datenschutz-Podcast von c't erläutert ein juristischer Experte und Interessenvertreter die Perspektive der deutschen Games-Branche: Prof. Christian-Henner Hentsch ist Professor für Urheber- und Medienrecht an der Kölner Forschungsstelle für Medienrecht der TH Köln, daneben verantwortet als Leiter Recht und Regulierung für den Verband der Deutschen Games-Branche "game" alle verbandsinternen rechtlichen Fragen sowie die rechtspolitischen Themen. Henner gibt einen Einblick in die Branche und erklärt, welche Parteien dort derzeit agieren, von Plattformen über Publisher bis zu Indie-Studios. Weil der Verkauf von Werbeplätzen in Spielen kaum stattfinde, benötigten Spiele-Anbieter in aller Regel keine Einwilligung zur Datenerhebung. In diesem Bereich werde alles über die Kauf- und Nutzungsverträge geregelt. Dies umfasse auch die Verarbeitung von anfallenden personenbezogenen Daten während des Spielens. Bei den Plattformen selbst würden eine Menge Daten auflaufen, doch diese würden nur sehr eingeschränkt an Publisher und Entwickler weitergegeben, sagt Hentsch. Aber natürlich finde eine Beobachtung der Spieler statt, um das Spielerlebnis zu optimieren und manchmal auch, um geeignete Stellen zu finden, an denen jemand besipielsweise besonders interessiert sein könnte, mit zusätzlichen Items den Fortgang des Games zu beschleunigen.

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien (teilweise von Minderjährigen) offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber hatte c't auf das gravierende Datenleck aufmerksam gemacht. Wir verifizierten das Problem und wiesen die Stay Informed GmbH aus Freiburg darauf hin. Sie reagierte umgehend und schloss die Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Träger einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragsnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Dies sind vielmehr die mehr als 11.000 angeschlossenen Auftragsgeber, also alle Einrichtungen. In Episode 106 der Auslegungssache spricht Joerg mit Holger über die rechtlichen Grundlagen und die Folgen. Holger war an der Recherche zum Stay-Informed-Datenleck beteiligt und kann viel berichten. Joerg erklärt, welche Rolle Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen. Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen - und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das datenverarbeitende System hatten und haben.

Rechtsanwälte bekommen es in der datenschutzrechtlichen Beratungspraxis mitunter mit skurrilen Anfragen von Verbrauchern zu tun. Oft geht es dabei im Alltag um die Durchsetzung von Auskunftsansprüchen und Schadensersatzforderungen. Nebenher müssen sie sich mit Rechtsschutzversicherungen um die Vergütung ihrer Tätigkeit zoffen. In der neuen Episode des c't-Datenschutz-Podcasts plaudert Niklas Mühleis ein wenig aus dem Nähkästchen. Niklas ist Rechtsanwalt und Partner in der Hannoverschen Kanzlei Heidrich Rechtsanwälte, zusammen mit Podcast-Cohost und Heise-Verlagsjustiziar Joerg. Er berichtet über konkrete Fälle und erläutert, welche Kosten anfallen, wenn man einen Anwalt engagiert, um seine Rechte durchzusetzen. Anlass des Besuchs ist, dass Niklas im neuen Heise-Podcast "Vorsicht, Kunde!" als Experte verbraucherrechtliche Fragen aus der IT-Welt juristisch einordnet (siehe Shownotes). Außerdem wagen c't-Redakteur Holger, Joerg und Niklas in der neuen Auslegungssache einen Rückblick auf die Bußgeld-Praxis der europäischen Datenschutzbehörden im vergangen Jahr 2023. Anlass ist eine zusammenfassende Statistik des DSGVO-Portals. Demnach ist die Gesamtsumme der verhängten Bußgelder in Europa um 29 Prozent gegenüber 2022 gestiegen. Insgesamt seien es 2023 2,11 Milliarden Euro gewesen, wobei allein 1,2 Milliarden auf ein einizges Bußgeld gegen Facebook zurückzuführen sind.

Die Datenschutz-Grundverordnung (DSGVO) gibt "Betroffenen" von Datenverarbeitung einige Rechte in die Hand, beispielsweise das Auskunftsersuchen und die Möglichkeit, personenbezogene Daten vom Verantwortlichen löschen zu lassen. Damit sie wissen, welche Rechte ihnen zustehen und wo sie diese einfordern können, schreibt die DSGVO außerdem in Art. 13 und 14 Informationspflichten vor. Es geht zuallererst um die allseits bekannte Datenschutzerklärung, aber nicht nur um sie. Bei den Informationspflichten steckt der Teufel oft im Detail. Grund genug für den c't-Datenschutz-Podcast, einmal genauer auf den Gesetzestext und mögliche Konstallationen in der Praxis zu schauen. Holger und Joerg bekommen dabei Unterstützung von Barbara Schmitz, Rechtsanwältin für IT- und Datenschutzrecht. Barbara berät Unternehmen zur Erfüllung der Informationspflichten und kann aus ihrem beruflichen Alltag berichten. Kaum beachtet wird in der öffentlichen Diskussion der genannte Art. 14 DSGVO, in dem es um Informationen zu Daten geht, die nicht vom Verantwortlichens selbst erhoben, aber von diesem weiterverarbeitet werden. Hierzu muss er konkret und in einer zeitlichen Frist nach Erhalt die Quelle offenlegen. Spannend: Ändert sich der Verarbeitungszeck, muss auch das mitgeteilt werden. Die Drei in der Runde grübeln darüber, wo diese Pflicht in der Praxis verfängt und ob ihnen eine solche Information schon einmal untergekommen ist.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

Derzeit spielt sich um den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber ein unwürdiges politisches Schauspiel vor den Augen der Öffentlichkeit ab. Kelber, dessen erste fünfjährige Amtszeit am 7. Januar ablief, ist derzeit nur noch geschäftsführend im Amt. Und dies ist der Fall, obwohl sich der SPD-Politiker und Informatiker einen hervorragenden Ruf im Amt erarbeitet hat und in der Datenschutz-Community hoch geachtet wird. Kelber selbst hat in einem ungewöhnlichen Statement selbst erklärt, dass er sich gerne für eine weitere fünfjährige Amtszeit zur Verfügung stellt. Er müsste dafür von der Bundesregierung vorgeschlagen und vom Bundestag gewählt werden. Für seine erste Amtzeit hatte ihn 2019 die SPD vorgeschlagen. Doch die verzichtete nun auf diese Möglichkeit. Der Grund dafür könnte sein, dass sie bereits andere Posten zugeschlagen bekommen hat, vielleicht war ihr Kelber aber auch zu unbequem geworden. Nun liegt das Vorschlagsrecht innerhalb der Ampelkoalition bei den Fraktionen von FDP und Grünen. Die tun sich augenscheinlich schwer, eine geeignete Person als Nachfolger zu benennen, die den Job unter diesen Umständen noch annehmen würde. Parteilos sollte diese Person sein, und fachlich qualifiziert, ist aus den Fraktionen zu hören. Wie die Sache ausgeht, scheint derzeit völlig offen. Dieser unschönen Gemengelage nimmt sich der c't-Datenschutz-Podcast Auslegungssache in seiner aktuellen Episode an. Redakteur Holger Bleich hat sich dazu zwei Gäste eingeladen, die die Lage fachkundig analysieren und ihre Meinung dazu nicht hinter dem Berg halten: Dr. Stefan Brink war selbst bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg und kennt sich mit den Verfahren bestens aus. Falk Steiner berichtet als freier politischer Korrespondent seit langen Jahren für c't und heise online aus Berlin und Brüssel. Im Podcast erläutert er die politischen Scharmützel rund um die Neubesetzung des Amts und ordnet sie in größere Zusammenhänge ein. Brink hält das Ernennungsverfahren von Leitern der Datenschutzbehörden für völlig intransparent und nicht vereinbar den Vorgaben aus Art. 53 DSGVO: "Es muss ja nicht nur der Wahlakt selbst transparent sein, es beginnt früher. Wo bleiben die Ausschreibungen, aus denen mehrere Bewerber hervorgehen, um eine Auswahl zu haben?" Momentan würden die der Kontrolle Unterworfenen ihre eigenen Kontrolleure bestimmen. Brink weist im Podcast ausdrücklich darauf hin, dass auch er 2016 in einem solchen Verfahren gewählt wurde. Ob er selbst für das Amt des BfDI zur Verfügung stünde? "Ein klares Nein! Man hat mich mehrmals gefragt, und sogar an mich appelliert, mein Nein zu überdenken." Aus dem politischen Berin weiß Steiner zu berichten, dass "zurzeit hinter den Kulissen gemauschelt wird ohne Ende". Da sei auch ein Machtspiel innerhalb der SPD in Gange, bei dem es sogar um rheinischen Klüngel gehe: "Es spielen da Dinge eine Rolle, die mit Datenschutz rein gar nichts zu tun haben." Welche das sind, erfahren Sie in der Podcastepisode.

Gespannt hatte die Datenschutz-Community im Dezember vergangenen Jahres nach Luxemburg geblickt. Gleich sechs Entscheidungen des Europäischen Gerichtshofs standen an, die mehr Klarheit in strittige Fragen zur DSGVO-Auslegung bringen sollten. Doch haben sie diese Erwartung erfüllt? Dieser Frage gehen Joerg Holger in dieser Episode nach. Bereits zum dritten Mal stellte sich Prof. Alexander Golland als Experte zur Verfügung, um im Podcast die Sachlagen kompetent einzuordnen. Alexander lehrt und forscht an der Fachhochschule Aachen zum Recht der Digitalisierung und ist daneben Autor und Herausgeber zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Schriftleiter der Fachzeitschrift "Datenschutz-Berater". Zunächst diskutieren die Drei die EuGH-Entscheidung "Schöner Wohnen" (C-807/21). Dieser zufolge sind DSGVO-Bußgelder gegen Unternehmen möglich, wenn sie ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss hingegen nicht nachgewiesen sein. Dieses muss sich das Unternehmen als juristische Person zurechnen lassen, so der EuGH. Beide Streitparteien werteten das Urteil als Erfolg. Alexander bezeichnet es als "salomonisch" und meint, eigentlich kann sich keine der beiden Seiten darüber freuen sollte. Weiter geht es in der Episode mit den Entscheidungen "NAP" (C-340/21) und "Gemeinde Ummendorf" (C-456/22). Hier wurden Schadensersatzansprüche nach Art. 82 DSGVO aus Datenschutzverstößen heraus verhandelt, konkret ein Cyberangriff, bei dem eventuell personenbezogene Daten abgezogen wurden. Der EuGH entschied de facto eine Beweislastumkehr: Verantwortliche müssen künftig nachweisen, dass ihre Systeme nach Art. 32 DSGVO ausreichend gesichert waren, wenn jemand einen Schaden behauptet. Dem Urteil zufolge können bereits Sorgen und Befürchtungen um einen möglichen Datenverlust einen Schadenersatzanspruch begründen. Doch das die Ängste einen Schaden darstellen, müssen die Betroffenen im Einzelfall nachweisen. Alexander hält diesen Nachweis je nach Umstand für schwierig: "Vielleicht muss mir die Ehefrau bestätigen, dass ich aus Furcht vor dem Missbrauch meiner Daten jede Nacht von drei bis fünf Uhr morgens bibbernd auf der Bettkante saß? Oder ich muss eine Art Angsttagebuch vorlegen können?"

ChatGPT, Midjourney und Co. stellen die Datenschützer vor völlig neue Herausforderungen. Womit darf man generative KI trainieren? was sollte man beim Nutzen der Blackbox-Modelle beachten, um die Preisgabe personenbezogner Daten zu vermeiden, oder zumindest zu minimieren? Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an die Betreiber? Der Datenschutz muss sehr aufpassen, um nicht wieder als Bremser des Fortschritts dazustehen, meint Joerg. Zusammen mit Holger diskutiert er in der Podcast-Episode die möglichen Rechtsgrundlagen und schätzt die momentane Lage ein. Den beiden kompetent zur Seite steht Dr. Michael Koch. Michael ist Mitarbeiter von Joerg in der Rechtsabteilung des Verlags und vertiefte diese Themen zusammen mit ihm viele Male in Webinaren des Verlags. Außerdem ist er Datenschutzmentor für Start-Ups in Hannover und Referent und Fachautor zu den Themengebieten IT-Recht und Datenschutz. Die drei erörtern, wo beim Einsatz von generativer KI welche personenbezogenen Daten verarbeitet werden können - und wo Probleme entstehen. Ein Disput entsteht in der Diskussion, als es um das "Scraping" öffentlich zugänglicher Daten im Web zu Trainingszwecken geht, wie es beispielsweise OpenAI betreibt: Muss man damit rechnen, dass alle veröffentlichten Informationen potenziell als Trainingsmaterial für Sprach-KIs oder Bildgeneratoren fungieren? Michael erläutert, wie eine betriebliche Nutzung von Chatbots mit einer Richtlinie geregelt werden könnte, etwa mit Compliance-Vorschriften und gemeinsam genutzten Funktions-Accounts. Ausführlicher besprechen die Drei außerdem die "Checkliste zum Einsatz LLM-basierter Chatbots", die der Hamburgische Landesdatenschutzbeauftragte öffentlich bereitgestellt hat. Wer sich daran halte, habe schon sehr viel dafür getan, um auf der rechtssicheren Seite zu sein, ist sich Joerg sicher.

Geht es nach dem Willen der EU, wird bald jeder Bürger der 27 Mitgliedsstaaten eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030 sollen sich 80 Prozent aller EU-Bürger online im Web damit ausweisen können. Die gesetzliche Grundlage dazu nennt sich eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am 9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und Kommission erzielt, und am 7. Dezember hat Industrieausschuss des Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen Artikel, der von zivilgesellschaftlichen Organisationen, aber auch IT-Experten aus dem universitären Umfeld scharf kritisiert wird. Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache. c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15. Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten dieser Problematik beschäftigt. In erster Linie geht es um Artikel 45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge, Firefox, und Safari künftig sogenannte qualifizierte Zertifikate (Qualified Website Authentication Certificates, QWACs) für die Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der Browser sollen Aussteller dieser QWACs, die sogenannten Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei: Diese staatlich kontrollierten Anbieter könnten Hintertüren einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes und Geheimdienste weltweit haben großes Interesse, den Verkehr ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte falsche Zertifikate für alle Websites ausstellen und der Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten – das Szenario träfe damit alle Europäer. Immer wieder warnen Browser-Hersteller und Wissenschaftler davor, ein Szenario per Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation und damit auch den Datenschutz der Bürger derart aushöhlt.

Es wird langsam zur Tradition im c't-Datenschutz-Podcast: Ehemalige Behördenleiter kommen gerne als Gäste, um die High- und Lowlights ihrer Amtszeit gemeinsam mit Holger und Joerg Revue passieren zu lassen. Und das ohne jene Redebeschränkungen, die ihnen ihre Position auferlegt hatte. In Episode 98 plaudert die ehemalige Landesdatenschutzbeauftrage Niedersachsens Barbara Thiel aus dem datenschutzrechtlichen Nähkästchen. Thiel amtierte von 2015 bis Mitte 2023 und erlebte den Awareness-Wandel, den die DSGVO mit sich brachte, als Behördenleiterin an vorderster Front mit. In Podcast erzählt sie, wie der Start verlief, welche Schwerpunkte sie sich aussuchte und auf welche Widerstände sie im Laufe ihrer Amtszeit stieß. Thiel berichtet von wenig bekannten Verfahren, ordnet aber auch spektakuläre Bußgelder ein, die sie verhängt hat. Im Gespräch bemängelt sie, dass es zu wenig Ambitionen gibt, die Datenschutzregulierung auf deutscher Ebene zu vereinheitlichen und in den europäischen Kontext einzuhegen. An dieser Stelle will sie sich ihren Aussagen zufolge auch künftig engagieren. Erstmals schildert Thiel außerdem öffentlich ihre Motivation dazu, gegen die Ernennung ihres Nachfolgers gerichtlich vorzugehen. Sie kritisiert, dass ihr Nachfolger und CDU-Politiker Dennis Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben. Das Verwaltungsgericht Hannover wies Thiels Klage ab, am 15. September schließlich bestätigte auch das Oberverwaltungsgericht Lüneburg, dass Lehmkemper entgegen Thiels Auffassung ernannt werden kann, was Tags darauf auch geschah. Thiel betont im Podcast, dass sich ihre Klage keinesfalls gegen ihren Nachfolger gerichtet habe. Vielmehr vermutet sie beim Ernennungsverfahren in Niedersachsen einen Verstoß gegen Artikel 53 DSGVO, der nicht nur ein transparentes Ernennungsverfahren verlange, sondern auch die erforderliche Sachkunde und Qualifikation des Bewerbers fordere. Schließlich sei allerdings zu ihrem Bedauern in der Sache nicht einmal entschieden worden.

Mit Damian Boeselager, Holger Bleich und Joerg Heidrich Diesmal geht es ausnahmsweise weniger um Datenschutz. Wir weiten den Blick in Richtung EU und die komplizierte Gesetzgebung in Brüssel. Dazu sprechen Holgerund Joerg mit dem EU-Parlamentarier Damian Boeselager, der spannende Innenansichten liefert. Damian hat 2017 die Partei Volt mitgegründet und zog mit 0,7 Prozent der deutschen Stimmen für Volt bei der Europawahl 2019 ins Parlament ein, wo er als Mitglied der Fraktion Die Grünen/EFA fungiert. Für die Fraktion verhandelte er als Schattenberichterstatter maßgeblich die beiden Verordnungen Digital Governance Act und Data Act mit. Letztere ist am 9. November vom EU-Parlament final beschlossen worden und tritt damit nach dem erwartbaren Placet des Europäischen Rats bald in Kraft. Im Gespräch zeigt sich Damian als begeisterter EU-Befürworter. Deshalb habe er Volt mit einer dezidiert europäischen Agenda gegründet. Das Motto laute: "Fix the EU!" Er lebe gerade seinen Traum, "mit Impact" Dinge bewegen zu können und an Dingen zu arbeiten, die ihn wirklich interessieren. Damian erläutert die Grundzüge des EU-Gesetzgebungsverfahren und die Rolle des EU-Parlaments darin. Während das Parlament seine Arbeit der sehr transparent offenlege, mauere der der EU-Rat als Gegenpart, kritsiert er. Dies komme insbesondere im Trilog-Verfahren negativ zum Tragen, in dem die verschiedenen Position zu einem Kompromiss gegossen werden müssen. In der Runde geht es ausführlicher ums Zustandekommen des Data Acts. Damian schildert, welche Positionen er vertreten hat und wie er mit Einflussversuchen von Lobbyorganisationen umgeht. Im konkreten Fall versuchte mit Airbus ein großer europäischer Konzern, wichtige Punkte im Data Act zu kippen.

Als die Datenschutz-Grundverordnung 2018 wirksam wurde, führte das regelrecht zu panischen Reaktionen bei vielen ehrenamtlich Tätigen, beispielsweise in den mehr als 600.000 eingetragenen Vereinen. Dies hat einen simplen Grund: Zur negativen Überraschung sah das neue EU-Gesetz keinerlei Erleichterungen für sie vor. Nach dem Motto "one size fits all" gelten dieselben Bestimmungen für den Vorsitzenden des Taubenzüchtervereins wie für einen US-amerikanischen Megakonzern. Mitterweile haben sich die Wogen geglättet, denn bislang lassen die Aufsichtsbehörden Milde walten. Nur in wenigen Fällen setzte es Bußgelder gegen Vereine, und wenn, ging es um eher geringe Beträge im dreistelligen Bereich. Dennoch tun Verantwortliche in Vereinen gut daran, sich mit den Vorgaben der DSGVO zu beschäftigen. Dies gilt insbesondere für die Dokumentationspflichten und die technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten der Mitglieder. Die Aufsichtsbehörden selbst leisten da eher wenig konkrete Hilfestellung. Deshalb hat sich die Stiftung Datenschutz des Themas angenommen und unter dem Motto "Datenschutz im Ehrenamt" umfangreiches Infomaterial bereitgestellt. Verantwortlich für diesen Bereich ist Hendrik vom Lehn, Referent für Datenschutzrecht bei der Stiftung und Diplom-Informatiker. Im c't-Datenschutz-Podcast erläutert er, welche Besonderheiten Vereinsverantwortliche beachten sollten. Beispielsweise gilt es, ehrenamtliches Personal zur Verschwiegenheit beim Umgang mit personenbezogenen Daten zu verpflichten, zumal, wenn es um besonders sensible Gesondheitsdaten geht. Außerdem empfiehlt Hendrik, eine Person zu benennen, die alle Datenschutzbelange überblickt und koordiniert. Zusätzlich kann je nach Größe des Vereins nötig werden, einen offiziellen Datenschutzbeauftragten zu qualifizieren oder von extern zu bestellen. Hendrik berichtet aus der Praxis von besonders häufigen Problemstellungen, beispielsweise dem Umgang mit Fotos und Videos - und wie man damit umgehen sollte.

Nach einem außergewöhnlich langen Gesetzgebungsverfahren ist am 2. Juli 2023 das erste Gesetz in Kraft getreten, das den Schutz von Whistleblowern insbesondere in Unternehmen regelt. Damit hat Deutschland die EU-Richtlinie 2019/1937 (Hinweisgeberrichtlinie) umgesetzt. Weil die Bundesrepublik dabei alle Fristen gerissen hat, läuft ein millionenschweres Vertragsverletzungsverfahren. In der Podcast-Episode werden die Genese des Gesetzes, Kompromisse bei der Umsetzung sowie die konkreten Anforderungen zum Schutz von Hinweisgebern diskutiert. Dazu haben Holger und Joerg einen kompetenten Gesprächspartner eingeladen: Dr. Simon Gerdemann war indirekt an der Enstehung des Gesetzes beteiligt und leitet derzeit das Projekt "Wirkungsanalyse des deutschen und europäischen Whistleblowing-Rechts" an der Uni Göttingen. Simon erklärt, für welche Unternehmen das Gesetz gilt, in welcher Form sie Hinweise von Mitarbeitern auf Missstände entgegennehmen müssen und wie sie darauf den Vorschriften zufolge reagieren sollten. Außerdem erläutert er die Funktion von externen Meldestellen, an die sich Whistleblower nun ebenfalls wenden können. Nicht zuletzt geht es hier um teils höchst sensible personenbezogene Daten, weshalb auch die datenschutzrechtlichen Implikationen zur Sprache kommen. Schlussendlich ist sich die Runde einig, dass das Hinweisgeberschutzgesetz zwar nicht der Weisheit letzten Schluss, aber einen guten Anfang darstellt. Was fehle, sei insbesondere die verbriefte Möglichkeit für Whistleblower, brisante Informationen zu Missständen auch garantiert annonym melden zu können.

Längst nicht jeden Umgang mit personenbezogenen Daten in Europa regelt die DSGVO. Für viele Unternehmen und Organisationen gelten eigene Datenschutzvorschriften, etwa für den Rundfunk, den Journalismus und vor allem für Kirchen und andere Religionsgemeinschaften. So haben sich die katholische und die evangelische Kirche in Deutschland eigene Gesetze geschrieben, die zwar an die DSGVO angelehnt sind, aber auch erhebliche Unterschiede aufweisen. Wie ist das möglich, wo doch die DSGVO unterschiedslos in der ganzen EU gelten soll? Die Verordnung enthält in Artikel 91 eine Ausnahme. Sie besagt, dass Kirchen ihre Datenschutzvorschriften behalten dürfen, wenn diese schon vor Frühjahr 2016 gegolten haben und "umfassend" sind. Warum diese Ausnahme zustande kam und welche Konsequenzen sie in der Praxis mit sich bringt, diskutieren Holger und Joerg. Ihnen zur Seite steht in dieser Episode mit Felix Neumann der Experte für kirchlichen Datenschutz in Deutschland. Felix arbeitet als Journalist beim Portal katholisch.de und betreibt nebenher das Blog "Artikel 91", in dem es um die Auswirkungen der Sonderregelung geht. Nach seinen Recherchen geht sie auf intensive Lobbyarbeit der deutschen Kirchen sowie auf den Einsatz der deutschen Bundesregierung im Gesetzgebungsprozess zur DSGVO zurück. Felix erklärt im Podcast, welche Unterschiede die kirchlichen Datenschutzgesetze zur DSGVO aufweisen. Insbesondere definieren sie abseits von staatlicher Kontrolle eine eigene Aufsichtsstruktur, und sie enthalten wesentlich geringere Sanktionierungsmöglichkeiten: Während die DSGVO Bußgelder von bis zu 20 Millionen Euro vorsieht, deckeln die Kirchengesetze die Strafe auf maximal 500.000 Euro. Besonders spannend ist die Frage, welche Religionsgemeinschaften außer den großen Kirchen Anspruch auf eigene Datenschutzregeln erheben. Dies schildert Felix ausführlich, auch Anhand einer gerichtlichen Auseinandersetzung der Selbständigen Evangelisch-Lutherischen Kirche (SELK) mit der niedersächsischen Landesdatenschutzaufsicht. Hier steht im Raum, dass grundsätzliche Fragen dazu noch vor dem Europäischen Gerichtshof (EuGH) landen könnten.

Seit dem 10. Juli dieses Jahres gilt das EU-US Data Privacy Framework. Die Vereinbarung erlaubt es Unternehmen, unter gewissen Voraussetzungen Daten in die USA zu transferieren. Die Erlaubnis beruht auf einem erneuten Angemessenheitsbeschluss der EU-Kommission, nach dem die Vorherigen vom Europäischen Gerichtshof einkassiert worden waren. Was genau dieses DPF ist und was Unternehmen beachten müssen, hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anfang September in ausführlichen Anwendungshinweisen gut verständlich erläutert. Anders als vergleichbare Beschlüsse mit weiteren Staaten erlaubt die Neuregelung nicht grundsätzlich eine Weitergabe über den Atlantik, wie die DSK betont. Das DPF wirkt sektoral und erfasst nur Datenübermittlungen an solche US-Unternehmen und -Organisationen, die aktiv an diesem Programm teilnehmen und sich in eine entsprechende Liste eintragen lassen. In Episode 93 des c't-Datenschutz-Podcasts erläutern Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich, was sich mit dem DPF für Unternehmen, aber auch für Bürgerinnen und Bürger ändert. Ihnen kompetent zur Seite steht dabei Carola Sieling. die Fachanwältin für IT-Recht berät in ihrer Kanzlei Unternehmen in Datenschutz-Belangen und fungiert als Datenschutzbeauftragte. Zusammen lesen sich die Drei kommentierend durch das DSK-Papier. Neben dem DPF diskutieren sie außerdem ein hohes Bußgeld, das die irische Datenschutzbehörde gegen die TikTok Technology Limited, also den europäischen Ableger von TikTok/Bytedance, ausgesprochen hat. Das Unternehmen soll 345 Millionen Euro zahlen, weil es im Beobachtungszeitraum 2020 diverse Verstöße im Umgang mit den Daten Minderjähriger begangen hat.

Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.

Die Datenschutz-Grundverordnung (DSGVO) beruht auf dem Verbotsparadigma: Das Erheben und Speichern von personenbezogenen Daten ist untersagt, außer es es ist erlaubt. Eine Erlaubnis kann sich nur aus Art. 6 ergeben, in dem die Rechtsgrundlagen definiert sind, also beispielsweise ein "berechtigtes Interesse" oder eine widerrufbare Einwilligung des Dateninhabers. Fällt die Rechtsgrundlage weg, muss der Verantwortliche unverzüglich die erhobenen Daten löschen. Das muss er auch tun, wenn der Dateninhaber von seinem Recht auf "Löschen auf Zuruf" nach Art. 17 DSGVO Gebrauch macht. Diese Gemengelage macht deutlich, auf welch tönernen Füßen datengetriebene Geschäftsmodelle in der EU stehen. Auch die neuen Datengesetze wie der Data Act und Data Governance Act hebeln das Verbotsparadigma nicht aus, sondern müssen sich ihm unterordnen. Hinzu kommt, dass diverse nationale Vorschriften von Behörden und Unternehmen fordern, beispielsweise Verträge und Rechnungen eben nicht zu löschen, sondern innerhalb einer Frist verfügbar zu halten. Zusätzlich gibt es die Pflicht, geschäftliche E-Mails zehn Jahre lang zu archivieren. Außerdem sollen Verantwortliche Backups ihre Datenbestände vorhalten. All diese Ausnahmen deckt Art. 17, Abs. 3 DSGVO. Doch wie soll man das alles praktisch umsetzen; wie löscht man wirklich sicher Daten, um seinen Pflichten nachzukommen? Darüber sprechen Heise-Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich in Episode 91 des c't-Datenschutz-Podcasts Auslegungssache. Als kompetenter Gast steht ihnen dabei Dr. Christoph Wegener zur Seite. Wegener ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Im Podcast erläutert er, welche Methoden er zum Löschen von Daten empfiehlt und gibt hilfreiche Tipps für die Praxis in Unternehmen.

Na klar, jeder weiß es: Wer kostenlose Plattformen wie Facebook nutzt, bezahlt zwar kein Geld, dafür willigt er oft stillschweigend ein, dass seinen dort hinterlassenen Daten analysiert und genutzt werden. Der Deal lautet: Plattformzugang gegen das Ausspielen personalisierter Werbung. Er findet sich allerorten, beispielsweise auch auf den kostenfreien Angeboten deutscher Verlagshäuser. Was viele nicht wissen: Das Gegenschäft "Leistung gegen Daten" existiert keineswegs nur informell, sondern findet seit Beginn 2022 auch Niederschlag im Bürgerlichen Gesetzbuch (BGB, § 312 Abs. 1a und § 327 Abs. 3). De facto gelten seitdem im digitalen Bereich beim Bezahlen mit Daten dieselben Regeln wie bei Geldzahlungen. Und das hat Folgen, denn Verbraucher haben nun dieselben Rechte. Und Unternehmen treffen dieselben Informations- und Gewährleistungspflichten wie beim Deal "Leistung/Ware gegen Geld". Doch wann genau kommt ein solcher Vertrag zustande? Und wo beißt sich das neue deutsche Recht mit der Prinzipien der Datenschutz-Grundverordnung (DSGVO), etwa der Zweckbindung und dem Kopplungsverbot? Um diese und viele weitere Fragen geht es in Episode 90 des c't-Datenschutz-Podcasts. Holger und Joerg sprechen dazu mit Prof. Dr. Anna K. Bernzen. Die promovierte Juristin verfasst derzeit als Akademische Rätin an der Rheinischen-Friedrich-Wilhelms-Universität Bonn ihre Habilitationsschrift zum Verbraucherschutz in der Plattformökonomie. Seit Oktober 2022 ist sie außerdem Juniorprofessorin für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Im Podcast erläutert Anna die Grundlagen des neuen digitalen Vertragsrechts im BGB, weist auf Konfliktpotenzial hin und gibt Tipps für die Praxis.

Was wenige Hörerinnen und Hörer wissen dürften: Im August 2020 war der Heise-Verlag, genauer die Heise Medien GmbH & Co. KG, ins Visier der Datenschutzaufsicht des Landes Niedersachsen geraten - also der für den in Hannover ansässigen Verlag zuständigen Behörde. Die Landesdatenschutzbeauftragte (LfD) kritisierte die Art und Weise, wie heise online Einwilligungen zum Setzen von First- und Third-Party-Cookies abfragt. Dabei ging es um die optische Gestaltung des sogenannten Consent-Frameworks ebenso wie um das alternative Angebot eines Tracking-freien, aber dann kostenpflichtigen "Pur-Abos". Der Verlag hat die Kritik angenommen und in einem intensiven Austausch mit der Behörde Änderungen vorgenommen sowie Lösungen erarbeitet. Im Dezember 2022 war ein wichtiger Zwischenschritt erfolgt, doch erst im April 2023 zeigte sich die Behörde vollständig zufrieden mit der auf heise online eingesetzen Einwilligungseinholung für Cookies. Im Mai schließlich kamen alle Verfahren zum Abschluss, die Lösung auf heise online wurde abschließend als rechtskonform erklärt. Viele weitere Großverlage haben den Prozess, den man vielleicht als "Musterverfahren" bezeichnen kann, aufmerksam verfolgt und stehen im Austausch mit den technisch und juristisch Verantwortlichen bei Heise. Zwei dieser Verantwortlichen sind Verlagsjustiziar Joerg Heidrich sowie Sebastian Hilbig. Sebastian ist als Technischer Leiter (CTO) bei Heise Medien für die Weiterentwicklung der gesamten digitalen Infrastruktur zuständig. Zu seinem Verantwortungsbereich zählen die Web-Entwicklung, das IT-Systemmanagement und die Produktion. In der Auslegungssache erläutert er zunächst, was Cookies genau sind und welche Problematiken mit ihnen einhergehen. Anschließend arbeitet er zusammen mit Joerg und Holger das Verfahren auf und schildert die Knackpunkte, die auch technischer Art waren. In der Rubrik "Bußgeld der Woche" geht es diesmal außerdem ausgerechnet um ein Bußgeld, dass die Landesdatenschutzbeauftragte Niedersachsens gegen eine Privatperson verhängt hat. Mehrere weibliche Jugendliche hatten den Eindruck, in der Innenstadt von einer männlichen Person verfolgt und fotografiert zu werden. Eine Kontrolle des Smartphones durch die Polizei hatte anschließen ergeben, dass die Betroffenen der gezielte Fokus mehrerer Fotografien waren. Sie informierte die LfD, die im Fotografieren auf der Straße eine unerlaubte Datenerhebung sah. Kritiker befürchten nun bereits das Ende der Streetphotography. Was ist dran? Hinweis in eigener Sache: Die Auslegungssache geht in eine kurze Sommerpause. Die nächste Episode 90 ist für den 11. August 2023 geplant.

Im Rahmen ihrer Datenstrategie vollzog die EU-Kommission ab 2020 eine Kehrtwende in der rechtlichen Behandlung von personenbezogenen Daten: Während die geltende Datenschutz-Grundverordnung (DSGVO) einen sehr restriktiven Ansatz verfolgt, stellen alle derzeit in diesem Bereich geplanten Verordnungen die Wertschöpfung und die Förderung der Datenwirtschaft in den Vordergrund. Weil die DSGVO dennoch nicht angetastet werden soll, sind Widersprüche vorprogrammiert. Holger und Joerg exerzieren diese Ungereimtheiten anhand des Data Acts, also des auf deutsch so bezeichneten "Datengesetzes", einmal durch. Dazu haben sie eine absolute Expertin eingeladen: Stephanie Richter beschäftigt sich als Rechtsanwältin und Associate in der Kanzlei TaylorWessing seit längerem mit der Genese des Data Acts, und hat dabei auch die Konflikte des Entwurfs mit den bestehenden DSGVO-Regelungen seziert. Den ersten Entwurf zum Data Act hat die EU-Kommission im Februar 2022 vorgelegt. Mittlerweile haben sich Rat und EU-Parlament auf Positionen zu dem Vorschlag festgelegt, und das Gesetzeswerk durchläuft die Kompromissfindung im Trilogverfahren. Eventuell wird dieser Kompromiss noch in diesem Monat stehen, sodass der Data Act bald verabschiedet werden könnte. Vermutlich bleiben dann Unternehmen gerade einmal 12 Monate, um alle Forderungen technisch und organisatorisch umzusetzen. Und die haben es in sich: Der Data Act soll dafür sorgen, dass Daten, die von Geräten gesammelt werden, nicht in Silos (Clouds) der Hersteller verbleiben, sondern auf Wunsch der Dateninhaber über Vermittlungsdienste gehandelt werden können. Dabei kann es um Fahrzeuge genau wie um IoT-Geräte oder Sprachassistenten gehen. Betroffen sind Verbraucher als Nutzende genauso wie Unternehmen. Es geht um "Accessability by Design", also um Interoperabilität und Schnittstellen. Stephanie weist darauf hin, dass Datenpools meist aus einem unsortierten Bestand von personenbezogenen und anonymen Daten bestehen, sogenannten "Mischdaten". Die mit dem Data Act einhergehende Pflicht für Hersteller, diese Daten zugänglich zu machen, kollidiere mit dem Gebot zur Datenminimierung in der DSGVO. Würden Mischbestände weit ausgelegt, drohe eine Schwächung des Datenschutzes. Umgekehrt könnten Unternehmen den Datensschutz vor sich hertragen, um den Forderungen des Data Acts zu entgehen. Die Rechtsanwältin schildert im Podcast weitere Kollisionen und weist außerdem auf die Problematik hin, dass Daten auch Geschäftsgeheimnisse enthalten. Im Fazit prognostiziert sie neue Rechtsunsicherheiten sowohl für Verbraucher als auch für Unternehmen. Es bedürfte wohl jahrelanger Gerichtsverfahren und einiger EuGH-Entscheidungen, bis klar sei, ob der Data Act die von der EU-Kommission gesteckten hohen Ziele erreichen könne.

Viel ist bereits geschrieben und gesagt worden zum fünfjährigen Geburtstag der Datenschutz-Grundverordnung (DSGVO). Dieser Geburtstag ging natürlich auch am c't-Datenschutz-Podcast nicht spurlos vorüber, in dem sich Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Episoden mit den praktischen Folgen der Verordnung erklärend auseinandersetzen. Es wurde Zeit für ein Resümee, ein kleines Zwischenfazit. Zum Auftakt der Privacy-Ring-Konferenz in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde um ihre Expertise zur Entwicklung der DSGVO: Die Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät Unternehmen bereits seit 2002 im IT- und Datenschutzrecht und ist vielfältig in diesen Bereichen aktiv. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die satzungsgemäß als "unabhängige Informations- und Diskussionsplattform" fungiert. Nachdem die muntere Runde sich zunächst mit dem "Bußgeld der Woche" - diesmal der 1,2-Milliarden-Strafe für Facebook - beschäftigte, kam sie auf die Befürchtungen zu sprechen, die 2018 mit der DSGVO einhergingen. Während Massenabmahnungen ausgeblieben waren, hatte der "One size fits all"-Ansatz zu viel Unsicherheit geführt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich darüber verärgert, dass Aufsichtsbehörden zum Start der DSGVO "kaum Hilfestellung oder Handreichnungen" parat hatten und damit zur Unsicherheit beigetragen hätten. Und wenn es mal Handreicungen gebe, enthielten sie eher Verbote als Anleitungen zum rechtmäßigen Vorgehen. Die Runde war sich allerdings auch einig, dass die DSGVO dem Datenschutz ziemlich schnell zu mehr Aufmerksamkeit verhalf: "Es gab hier auch schon ein Datenschutzgesetz, das ähnlich der DSGVO war, nur eben keine ernstzunehmende Sanktionierung. Vieles war vorher auch schon verboten, es hat sich nur niemand dafür interessiert", konstatierte Auer-Reinsdorff. Die gesteigerte "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutz-Niveau geführt, da zeigten sich die Gesprächspartner einig. Dies könne man als positiven Effekt der DSGVO verbuchen. Konsens herrschte auch dazu, dass unter den Aufsichtsbehörden zu wenig Konsens herrscht. Frederick Richter hält dies zumindest auf internationaler Ebene für unausweichlich: "Die unterschiedlichen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben eine jeweils andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch ibnnerhalb deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter meinte: "Hohe Bußgelder helfen aber in der Breite nicht, abschreckend wäre, wenn es sehr viele kleine Bußgelder gäbe, dafür aber fehlt die Kapazität."

Seit nunmehr fünf Jahren entfaltet die europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor. Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Joerg und Holger erläutern und diskutieren die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der an der Aachen University of Applied Sciences. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Im Urteil "Österreichische Post AG" (Az.: C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben. In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine "Kopie" der personenbezogener Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Auszüge der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird. Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Datenverarbeitung insgesamt unrechtmäßig erfolgt ist - mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

Die Gebäude-Automatisierung ist endgültig im privaten Zuhause angekommen: Rollläden öffnen und schließen von selbst, Helligkeitssensoren bestimmen, wann das Licht angeht, Bewegungsmelder kommunizieren mit den Heizkörpern, und die Wohnungstür öffnet sich per Fingertip in der Smart-Home-App. Sprachassistenten wie Alexa und Google Assistant erschließen die Steuerung des Smart Homes mit gesprochenen Kommandos. Und das TV-Gerät registriert die Gewohnheiten beim Medienkonsum. All die Sensoren generieren teils personenbezogene Daten, die gespeichert und verarbeitet werden. In der Summe lässt sich daraus eine Menge schließen, was datenschutzrechtliche Fragen aufwirft. Darüber sprechen in Episode 85 des c't-Datenschutz-Podcasts Holger und Joerg mit ihrem Gast Dr. Marc Störing. Der Rechtsanwalt ist Partner in der internationalen Kanzlei Osborne Clarke und dort auf IT-nahe datenschutzrechtliche Beratung spezialisiert. Privat hat Marc ein Faible für Heimautomatisierung - im Podcast erzählt er denn auch zunächst von seinen eigenen Projekten. Im Gespräch klären die Drei, wo welche Daten anfallen können und wie sie gespeichert werden. Anschließend diskutieren sie, welche Rechtsgrundlagen der DSGVO eine Verarbeitung rechtfertigen könnten, sofern nicht ausschließlich das familiäre Umfeld erfasst ist (was praktisch nie der Fall ist). Es geht auch um grundsätzliche Fragen nach Erforderlichkeit, Zweckbindung und Speicherdauer im Smart-Home-Bereich. Ganz andere Problemstellungen entstehen beim "Smart Building" im geschäftlichen Umfeld. Hier geht es etwa um Verantwortlichkeiten, Beschäftigtendatenschutz und Auftragsverarbeitungen spezialisierter Dienstleister. Auch dieses weite Feld wird im Podcast angerissen.

Gibt es in Deutschland einen "Datenschutztourismus"? Suchen sich Unternehmen gezielt Standorte in Bundesländern, deren Aufsichtsbehörden die Datenschutz-Grundverordnung (DSGVO) eher lax auslegen? Diese Frage bewegt die einschlägige Community, und deshalb auch den c't-Datenschutz-Podcast Auslegungssache. Holger und Joerg sprechen darüber kontrovers mit Dr. Stefan Brink. Der ehemalige Datenschutzbeauftragte Baden-Württembergs ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt, wida, in Berlin. Brink nimmt in der Podcast-Episode kein Blatt vor den Mund und zieht Bilanz seiner Amtszeit (2016 bis Ende 2022). Brink gibt sich als Verfechter des föderalen Systems bei der Datenschutzaufsicht. Probleme kann er nicht erkennen. Man bekomme "als Unternehmen Rechtssicherheit von der Datenschutzbehörde, wenn man sie befragt". Man müsse nur darauf bestehen, Auskünfte zu bekommen. "Der Rest ist dann Mimimi in der Form: Ich kenne aber eine andere Aufsichtsbehörde, die sieht das freundlicher." Es gehe dann nicht mehr um Rechssicherheit, sondern um "Wünsch dir was". Harsche Kritik übt Brink am gemeinsamen Gremium der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK): "Die DSK ist für alle Teilnehmer eine Zumutung. Es gibt wenig, was mich in den vergangenen Jahre so betrübt hat, wie die Zusammenarbeit in der DSK. Als ich mich entschlossen habe, den Amtshut abzulegen, war das kein Faktor, der mich hat zögern lassen." Immherin habe sich "die DSK hat in den letzten Jahren gut zusammengerauft. Wir sollten daran arbeiten, dass die DSK-Entscheidungen verbindlicher werden, das Gremium weiter institutionalisieren". Brink plädiert dafür, die DSK "als übergeordnete Instanz zu stärken". Die Frage werde sein: "Bestehen wir auf einstimmigen Beschlüssen der DSK, oder lassen wir Mehrheitsbeschlüsse zu, an die sich alle Aufsichten halten müssen. Das wird spannend, weil dann auch die durch die DSGVO garantierte Unabhängigkeit der Behörden berührt würde. Es ist der richtige Ansatz, dies durch Bundesgesetzgebung zu unterstützen."

DGA, DMA, DSA, DA, AIA, EHDS: Im Rahmen ihrer Datenstrategie überschlägt sich die Europäische Kommission mit neuen Verordnungen, die den Umgang mit Daten innerhalb der Europäischen Union (EU) regulieren sollen. Einige davon sind noch im Planungsstatus, andere bereits in Kraft und bald wirksam. Auf Bürger und Unternehmen kommt da ein Vorschriftengestrüpp zu, das den klaren Blick aufs große Ganze erst einmal verhindern dürfte. Dr. Winfried Veil, in der neuen Episode 83 zu Gast im c't-Datenschutz-Podcast, gilt als harter Kritiker der hektischen Regulierung. Der Jurist begleitete als Referent im Bundesinnenministerium beispielsweise als Experte in der zuständigen EU-Projektgruppe die Ratsverhandlungen zur Datenschutz-Grundverordnung (DSGVO). Er spricht von einem "legislativen Tsunami", der zurzeit über die EU schwappt. In alle den Datengesetzen finde sich stets sinngemäß der Passus "Die DSGVO bleibt unberührt". Doch diese Behauptung lasse sich bei einem näheren Blick in die Gesetzentwürfe nicht halten. Am Beispiel des bereits in Kraft getretenen Digital Services Acts (DSA) besprechen Joerg und Holger mit Winfried, wo das neue Plattform-Gesetz eben doch datenschutzrechtliche Fragen aufwirft. Insbesondere erläutert Winfried, dass die im DSA definierten Mechanismen zu Meldewegen für rechtswidrige Inhalte de facto zu einer Vorratsdatenspeicherung bei den Plattformen führen könnte. Plakativ spricht er von "Pöbler-, Denunzianten- und Querulantendatenbanken". Und dies sei nur einer von mehreren Aspekten, bei dem sich der DSA und die DSGVO in die Quere kommen.

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wirksam wurde, witterten Einige das große Geschäft mit Datenschutz-Labeln. Denn die DSGVO ermöglichte in ihren Artikel 42 und 43 erstmals europaweit harmonisierte Zertifizierungsprozesse: Produkte und Dienstleistungen sollen auf DSGVO-Konfomität überprüft werden können. Doch bevor Zertifizierungsanbieter starten, müssen sie sich gemäß DSGVO von einer offiziellen Stelle akkreditieren lassen. Und genau an einer solchen Stelle fehlte es lange Zeit in Deutschland. 2021 hat die Deutsche Akkreditierungsstelle (DAkkS) ihre Arbeit aufgenommen. In Episode 82 des c't-Datenschutz-Podcast geht es um den Zustand des deutsche DSGVO-Zertifizierungswesens. Holger und Joerg sprechen dazu mit Rechtsanwalt Dr. Sebastian Kraska. Der Datenschutz-Spezialist beschäftigt sich seit Jahren mit allen Untiefen der Zertifizierung und plaudert in der Episode ein wenig aus dem Nähkästchen. Zusammen mit Sebastian gehen Holger und Joerg alle möglichen Formen durch, beginnend mit Möglichkeiten zur Zertifizierung von Personen, etwa zum Datenschutzbeauftragten oder Auditor. Anschließend erläutert Sebastian die Unterschiede zwischen Produkt- und Management-Zertifizierungen. Er schildert, wie eine Zertifizierung abläuft und wo man sie beantragen kann. Außerdem geht es um alternative Produkte, die beispielsweise auf der recht neuen ISO-Norm 27701 beruhen, aber keine DSGVO-Konformität bescheinigen.

Das Datenschutzrecht führt in kaum einem anderen Gebiet zu so viel Unsicherheit wie beim Aufnehmen und Veröffentlichen von Fotos. Kein Wunder, sind doch hochauflösende Smartphone-Kameras mittlerweile allgegenwärtig. Leichtsinnige Zeitgenossen posten ohne Hemmungen widerrechtlich Fotos fremder Personen auf Instagram oder laden gleich ganze Videos zu TikTok hoch. Auf der anderen Seite versehen Lehrer aus Furcht vor rechtlichen Folgen die Kinderaugen auf Klassenfotos mit unnützen schwarzen Balken. Einige Vereine veröffentlichen Bilder von der Jubiläumsfeier im Zweifel lieber gar nicht mehr. Die juristische Situation rund um Fotos und Videos ist komplex, weil hier viele Rechtsgebiete tangiert sind. Einerseits schützen Persönlichkeitsrechte und der Datenschutz die Betroffenen, vulgo die Abgelichteten. Andererseits gewährt in Deutschland unter anderem das Kunsturheberrecht gewisse Spielräume. Und für Journalismus gelten nochmals andere Regeln. Viele Gründe Holger und Joerg, diese Thematik zu sortieren und jede Menge Tipps für den Alltag herauszuarbeiten. Kompetent zur Seite steht ihnen dabei ihre Gästin Dr. Diana Ettig. Die Fachanwältin für Urheber- und Medienrecht verbindet dieses Gebiet mit ihrer besonderen Expertise im Datenschutzrecht. Diana sortiert, wie die einschlägigen Gesetze zusammenspielen und erläutert anhand vieler Beispiele, welche Bedingungen nötig sind, um sorgenfrei Fotos veröffentlichen zu können. Es geht dabei um das freizügige Betriebsfest genauso wie um den abgebildeten Mitarbeiter und der Firmenbroschüre oder das schnell geschossene Foto vom Kinderfasching in der Kita. Die Anwältin geht dabei auch auf aktuelle Rechtsprechung ein und zeigt auf, wo noch Rechtsunsicherheit besteht: "Ich würde sagen, das Thema ist sehr praxisrelevant, und dafür fast noch zu wenig vor Gericht." Ihre Ausführungen schließt Diana mit dem Appell an Eltern, sehr vorsichtig mit dem Posten von Fotos oder Videos ihrer Sprösslinge zu sein: "Ich würde warten, bis die Kinder selbst in der Lage sind zu entscheiden, wozu natürlich auch ein gewisses Maß an Medienkompetenz vermittelt werden muss." *** Hinweis: Wegen technischer Probleme konnten wir in dieser Folge keine Kapitelmarken setzen. Hier die Einsprungzeiten in die Abschnitte: 0:00 Begrüßung 1:41 Vorstellung Dr. Diana Ettig 5:44 Bußgeld der Woche 15:21 Schwerpunkt Fotos und Datenschutz 1:21:06 Ausklang

Wer digitales Marketing mit E-Mails betreibt, begibt sich in ein juristisches Minenfeld in der Schnittstelle von Datenschutz und Wettbewerbsrecht. In Episode 78 Holger und Joerg zusammen mit ihrem Gast Dr. Martin Schirmbacher ins Thema ein. Weil einige Fragen ungeklärt blieben, folgt nun ein zweiter Teil zu dem Themenkomplex. Martin geht nochmals auf Zweckbindung und Kopplungsverbot ein. Der Experte erläutert, wie eine Newsletter-Einwilligung zu widerrufen sein muss. Genügt der Hinweis auf eine Webseite oder muss ein Abmeldelink direkt in jeder Mail vorhanden sein? Und: Unter welchen Umständen darf ein Unternehmen Nutzungsverhalten erheben, etwa die Öffnungsraten zählen oder Linkklicks tracken, um die Interessen von Nutzern auszuforschen? Zuvor geht es im Podcast allerdings um ein aktuelles Urteil des Verwaltungsgerichts Hannover: Mit einem Aufsehen erregenden Urteil hat die 10. Kammer des Gerichts am 9. Februar die Mitarbeiterkontrolle in einem Logistikzentrum von Amazon in Winsen/Luhe für rechtmäßig erklärt. Die Verhandlung fand nach einer Begehung des "Tatorts" vor Ort statt. c't-Redakteur Christian Wölbert war als Pressevertreter bei diesem außergewöhnlichen Termin dabei und schildert in der Auslegungssache seine Eindrücke.

Die Digitalisierung des Gesundheitswesens in Deutschland und auch auf europäischer Ebene gleicht einer nie enden wollenden Baustelle. Sie ist geprägt von Pleiten, Pech und Leuchtturmprojekten. Zuletzt hatte der geplante, aber überflüssige Austausch von Konnektoren-Hardware für Schlagzeilen gesorgt, weil er zig Millionen Euro Beitragszahlergeld verschlungen hätte. Für Probleme sorgt derzeit auch die Einführung des E-Rezepts und der E-Gesundheitakte - nicht zuletzt wegen berechtigter Einwände von Datenschützern. In einem gerade veröffentlichten Buch namens "Diagnose Digital-Desaster" arbeitet sich Peter Schaar durch die diversen Baustellenabschnitte im Gesundheitswesen, benennt Probleme und bietet Lösungen an. Schaar schöpft aus seinem eigenen Erfahrungsschatz: von 2003 bis 2013 war er Bundesbeauftragter für den Datenschutz, und seit 2016 leitet er die Schlichtungsstelle der Gesellschaft für die Telematikanwendungen der Gesundheitskarte (Gematik). In der Auslegungssache spricht er mit Holger und Joerg über seine Erfahrungen in diesen Ämtern. Schaar beschreibt, wie sich die Entwicklung der Digitalisierung im Gesundheitswesen von Anfang der 2000er bis heute vollzogen hat. Er benennt die Akteure in diesem Spiel und erläutert, warum die Arbeit der Gematik und die Einführung der Telematik-Infrastruktur so schwer vorankam. Ein Kerpunkt seiner Kritik: Anstatt die Bedürfnisse von Ärzten und Patienten im Fokus zu haben, drehte sich viel um Großprojekte, deren Nutzen nicht ausreicht, um sie schmackhaft zu machen. Gleichzeitig wurden immer wieder Kompromisse geschlossen, unter denen der Patienten-Datenschutz leidet - was der Akzeptanz ebenfalls nicht zuträglich ist. Und nun droht sich dieses Spiel auf europäischer Ebene fortzusetzen: Per Verordnung will die EU-Kommission einen europaweit kompatiblen "Gesundheitsdatenraum" schaffen, der insbesondere den Zugriff auf pseudonymisierte Informationen für Forschungseinrichtunen sowie kommerzielle Anbieter erleichtern soll. Schaar erklärt, welche Ideen er daran für gut hält - und welche er kritisiert.

Von wegen, die E-Mail ist tot! Eine Flut von Benachrichtigungen und Newlettern ergießt sich täglich in Nutzer-Postfächer, die meist aussortieren Spam-Mail noch nicht mit eingeschlossen. Vor allem die Kommunikation zwischen Online-Diensten und -Shops mit ihren Kunden läuft in aller Regel mit der guten alten E-Mail am besten. Auch für Werbung eignet sich das Medium optimal, da der Versand wenig kostet und Erfolgsmessungen ermöglicht. Doch es ist längst nicht alles erlaubt, was gemacht wird. In Episode 78 der Auslegungssache beschäftigen sich Holger und Joerg mit den gesetzlichen Rahmenbedingungen für rechtlich korrektes Telefon- und E-Mail-Marketing. Ihnen zur Seite steht Dr. Martin Schirmbacher. Der Rechtsanwalt aus der Berliner Kanzlei Härting gilt als ausgewiesener Experte im Rechtsbereich elektronisches Marketing und Werbung. Martin erläutert, welche Vorschriften aus dem Wettbewerbs- und Datenschutzrecht relevant sind. In jedem Fall benötigen Unternehmen eine Rechtsgrundlage für den werblichen Versand von E-Mails, in den meisten Fällen müssen sie sich Einwilligungen einholen. Mit dem Double-Opt-in existiert dafür ein etabliertes Vorgehen. Liegt ein bestehenden Kundenverhältnis vor, gibt es außerdem Sonderreglungen. Der Experte erklärt desweiteren, wann es zu Problemen mit der Zweckbindung kommen kann. Martin betont, dass es zu vielen Situationen eine gesichterte Rechtslage dank umfangreicher Rechtssprechung gibt (siehe Shownotes). In einer der nächsten Epsisoden des Podcasts wird Schirmbacher erneut zu Gast sein, um in die rechtlichen Grenzen des Werbetrackings einzuführen. Achtung: Cliffhanger!

2023 ging ja gut los: Kurz nach Jahreswechsel knallte es in der Datenschutzwelt. Die irische Datenschutzbehörde DPC hat dem Facebook-Konzern Meta eher widerwillig ein Bußgeld von 390 Millionen Euro aufgebrummt, weil dieser seit Jahren Informationen zur Verwendung von Kundendaten in den AGB versteckt und keine explizite Tracking-Einwilligung einholt. Gegen diesen direkten Angriff auf sein Geschäftmodell wird Meta in Irland gerichtlich vorgehen. In Auslegungssache 77 sprechen Holger und Joerg ausführlich über Entstehung und eventuelle Folgen des Falls. Dies ist aber nur der Einstieg in einen launischen Rückblick ins Datenschutz-Jahr 2022, den die beiden fast schon traditionell mit Dr. Thomas Schwenke wagen. Thomas berät als Rechtsanwalt zu den Themen Datenschutz, Social Media und Marketing und produziert zusammen mit dem Radiojournalisten Marcus Richter den Podcast "Rechtsbelehrung". Im Rückblick geht es um Themen wie die berüchtigte Google-Fonts-Abmahnwelle, Aufsehen erregende Bußgelder, Trippelschritte hin zu einem neuen EU-US-Datentransfer-Abkommen, zweifelhafte EU-Gesetzesintitiativen, KI, und natürlich um Cookies. Außerdem wagt die Dreierrunde einige Prognosen zu dem, was die Datenschutzwelt 2023 am meisten beschäftigen könnte.

Wer sich mit IT-Sicherheit oder Datenschutz beschäftigt, wird früher oder später mit dem ominösen Terminus "Stand der Technik" konfrontiert. Der Begriff spielt beispielsweise in der Datenschutz-Grundverordnung (DSGVO) eine wichtige Rolle: Nach Artikel 32 DSGVO müssen Datenverarbeitende "geeignete technische und organisatorische Maßnahmen" treffen, um "ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Und dabei soll sollen sie eben den "Stand der Technik" berücksichtigen. Doch was ist technisch und juristisch hinter dieser schwammigen Forderung zu verstehen? Genau dies wollen Joerg und Holger ergründen. Als kompetenten Gesprächspartner haben sie dazu den Rechtsanwalt Karsten Bartels an ihrer Seite. Der gelernte Rechtsinformatiker ist stellvertretender Vorstandsvorsitzender des Bundesverband IT-Sicherheit e. V., auch als TeleTrusT bekannt. Dort hat er auch den "Arbeitskreis Stand der Technik" mit gegründet. TeleTrusT veröffentlicht auch die "Handreichung zum 'Stand der Technik'", in der Experten aus der Wirtschaft (oft aktualisiert) konkrete Hinweise zu geeigneten technischen Maßnahmen und Prozessen in allen möglichen Bereichen der IT zusammentragen, beispielsweise zur sicheren Website-Verschlüsselung oder zur Multifaktor-Authentifizierung. Im Podcast erläutert Karsten, was es mit dem "Stand der Technik" auf sich hat. Dieser Stand bewege sich irgendwo zwischen "anerkannten Regeln der Technik", etwa den DIN-Normen, und dem neuesten "Stand von Wissenschaft und Technik". Zusammen mit Joerg geht er Satz für Satz durch Artikel 32 DSGVO und erklärt, was der europäische Gesetzgeber hier fordert. Außerdem ordnet Karsten den Begriff in den Kontext anderer Vorschriften ein, etwa des IT-Sicherheisgesetzes und bevorstehender EU-Regulierung. Hier werde sich mit dem im September von der EU-Kommission vorgeschlagenen "Cyber Resilience Act" bald einiges ändern, prophezeit er.

Langsam wird es unheimlich: Maschinen erlernen, Bilder zu malen, Stimmen zu imitieren oder Mimiken nachzubilden. Daraus ergeben sich für die Gesellschaft neue Fragen im Umgang mit sogenannter künstlicher Intelligenz (KI). Wie passt diese vorgeblich schöpferische Kraft nichtmenschlichen Schaffens in unser Werte- und Rechtssystem? Wie wollen wir damit urheberrechtlich umgehen? Welche datenschutzrechtlichen Probleme könnten bald auf uns zukommen? Darüber diskutieren Joerg und Holger in der aktuellen Episode. Ihnen zur Seite stehen Andrea und Jo, die sich in der c't-Redaktion intensiv mit der Thematik beschäftigt haben. Die beiden führen zunächst ins Thema ein und erläutern, wie es zu dem Entwicklungssprung in der KI gekommen ist. Andrea schildert leicht verständlich die Funktionsweise der gerade so populären KI-Bildgeneratoren. Joerg umreisst anschließend die juristisch tangierten Problemfelder und warnt vor Panikmache: Ja, Datenschutz spiele eine Rolle. Aber meist würden Daten - auch zu Trainingszwecken - verarbeitet, die ohnehin veröffentlicht seien. Bei der Nutzung dürfte in einer Abwägung das "berechtigte Interesse" überwiegen. Veraussetzung sei, dass die KI-Produkte eingespeiste Daten hinreichend verfremden. Kniffliger seien die urheberrechtlichen Aspekte. Hier läuft die Diskussion gerade auf Hochtouren, wie Joerg, Andrea und Jo an Beispielen zeigen.

Der Bewerbermarkt ist leergefegt, und in Deutschland herrscht Fachkräftemangel wie nie zuvor. Unternehmen übertreffen sich in kreativen Recruiting-Maßnahmen und durchforsten das Internet nach potenziell geeignetem Personal. Doch dürfen sie das? Immerhin gilt das Datenschutzrecht auch für Informationen, die Menschen freiwillig veröffentlichen. Und: Welche Daten dürfen beim Sourcing sowie im Bewerbungsprozess erhoben und vielleicht auch über diese Phase hinaus gespeichert werden? Weil diese Fragen sowohl für Unternehmen als auch für Arbeitssuchende von Bedeutung sind, beschäftigen sich Joerg und Holger in Episode 74 der Auslegungssache ausführlich mit den Datenschutz-Aspekten in allen Phasen eines Bewerbungsprozesses. Ihnen zur Seite steht mit der Hamburger Rechtsanwältin Nina Diercks eine ausgewiesene Spezialistin auf genau diesem Rechtsgebiet. Nina berät Unternehmen in den Bereichen des IT-, Medien-, Datenschutz- und des jeweils angrenzenden Arbeitsrechts. Die drei Diskutanten spielen beispielhaft ein sogenanntes Sourcing-Verfahren durch und beleuchten die datenschutzrechtlichen Aspekte, die bis zur Einstellung eines Bewerbers zu beachten sind. Nina erläutert, welche Regelungen der DSGVO sowie des BDSG-neu zum Tragen kommen und welche Empfehlungen sie daraus im Umgang mit den Daten ableitet. Ein besonderes Augenmerk legt sie auf die mittlerweile üblichen Assessment-Verfahren, die auch aktiv angeworbene Bewerber oftmals durchlaufen müssen. Welche Arten von Tests gibt es, und wie ist jeweils mit den gewonnenen teils höchst sensiblen Daten umzugehen? Und welche Informationen von abgelehnten Bewerbern darf ein Unternehmen wie lange vorhalten? Nina weicht hier aus praktischen Erwägungen teilweise von der "reinen Lehre" ab, wie sie selbst erklärt. === Anzeige / Sponsorenhinweis === Der Bundesverband der Arzneimittel-Hersteller e.V. (BAH) ist der mitgliederstärkste Branchenverband der Arzneimittelindustrie in Deutschland und vertritt global agierende Arzneimittel-Hersteller ebenso aktiv wie den breit repräsentierte Mittelstand. Thematische Insights bekommen Sie im neuen Podcast "Gesunde Perspektiven". Jetzt abonnieren! https://www.bah-bonn.de/infothek/podcast-gesunde-perspektiven/ === Anzeige / Sponsorenhinweis Ende ===

In der neuen Episode der Auslegungssache gibt sich ein junggebliebenes Datenschutz-Urgestein die Ehre: padeluun ist zu Gast im c't-Datenschutz-Podcast. Seit 40 Jahren engagiert sich der Künstler und Netzaktivist aus Bielefeld mit Aktionen und im Verein Digitalcourage für Bürgerrechte und den Erhalt der Privatsphäre in der vernetzten Welt. Zunächst beleuchtet Joerg im "Bußgeld der Woche" die jüngste 20-Millionen-Strafe gegen das US-Unternehmen Clearview AI. In der Diskussion mit Holger und padeluun herrscht schnell Konsens darüber, dass die biometrische Erfassung von Personen ohne deren Einwilligung, wie Clearview AI sie betreibt, ein besonders schwerer Verstoß gegen Datenschutzrecht ist. padeluun erläutert, warum und in welchen Formen er sich seit langer Zeit gegen biometrische Datenverarbeitung wendet. Im Gespräch plaudert der Aktivist dann darüber, was ihn außerdem umtreibt und seine Motivation erhält. padeluun beklagt die Entwicklung hin zu zentralen Kommunikationsstrukturen. Es sei schlecht für den Datenschutz und eine Gefahr für die Demokratie, wenn gewinnorientierte Plattformen wie Meta in der Hand weniger seien. Die Übernahme von Twitter durch Elon Musk habe das nur auf die Spitze getrieben. Das Fediverse mit all seinen Anwendungen zeige, dass dezentrale, verteilte Instanzen genauso gut funktionieren können - ohne die Nachteile, die große Betreiber mit sich bringen. Sein Verein Digitalcourage liefert mit den öffentlich zugänglichen Diensten Beispiele dafür. So betreibt er eine Mastodon- und Peertube-Instanz. Bekannt wurde Digitalcourage aber eher wegen einiger spektakulärer Aktionen sowie die alljährliche Verleihung der Big-Brother-Awards. Jüngst machte der Verein Schlagzeilen, weil er Klage gegen die Deutsche Bahn einreichte. Der Vorwurf: Die App DB Navigator setze ohne Wissen und Einwilligung der Nutzenden Werbetracker ein. === Anzeige / Sponsorenhinweis === Der Bundesverband der Arzneimittel-Hersteller e.V. (BAH) ist der mitgliederstärkste Branchenverband der Arzneimittelindustrie in Deutschland und vertritt global agierende Arzneimittel-Hersteller ebenso aktiv wie den breit repräsentierte Mittelstand. Thematische Insights bekommen Sie im neuen Podcast "Gesunde Perspektiven". Jetzt abonnieren! https://www.bah-bonn.de/infothek/podcast-gesunde-perspektiven/ === Anzeige / Sponsorenhinweis Ende ===

Die europäische Datenschutz-Grundverordnung (DSGVO) gewährt Personen, deren Daten erhoben und verarbeitet werden, viele eigene Rechte. Diese sogenannten "Betroffenenrechte" finden sich in den Artikeln 12 bis 20 der DSGVO. Beispielsweise gibt die DSGVO vor, welche Informationen Verantwortliche den Betroffenen in welcher Form geben müssen (Art. 12). Art. 15 regelt den Auskunftsanspruch, außerdem geht es noch um das Recht auf Löschung der Daten sowie um Übertragbarkeit von einem Dienst zum anderen. Gänzlich neu im Vergleich zu älteren Gesetzen wie dem Bundesdatenschutzgesetz (BDSG-alt), billigt Art. 82 DSGVO Betroffenen einen immateriellen Schadenersatzanspruch zu. Genau diese Regelung führt derzeit zu Massenabmahnungen aus Bagatellverstößen heraus. Im c't-Datenschutz-Podcast sprechen Joerg und Holger über die gesetzlichen Grundlagen und die aktuellen Entwicklungen dazu in der Praxis. Ihnen kompetent zur Seite steht in der aktuellen Episode 72 Diana Ettig. Die promovierte Rechtsanwältin vertritt für die Kanzlei Spirit Legal freischaffend ("off counsel") unter anderem Mandanten in Datenschutz-Sachen vor Gericht. Diana berichtet im Podcast von ihren Erfahrungen in Prozessen und erläutert die aktuelle Rechtssprechung anhand konkreter Urteile. Ihrer Beobachtung nach hat sich in einigen Bereichen bereits eine gefestigte Rechtssprechung ("Case Law") herausgebildet. Vieles sei aber noch im Fluss, beispielsweise bei der Bewertung von Schadenersatzansprüchen aus DSGVO-Verstößen heraus.

Eine Kolumne von Sascha Lobo auf Spiegel Online hat Mitte September dieses Jahres für heftige Diskussionen unter Datenschützern gesorgt. Der vom Spiegel so titulierte "Strategieberater mit den Schwerpunkten Internet und digitale Technologien" holte zum großen Rundumschlag gegen den "Datenschutz als Verhinderungswaffe" aus. Dem "real existierenden Datenschutz" gehe es "leider häufiger ums Prinzip als um das digitale Leben", behauptete Lobo. Namentlich hat sich der Kolumnist auf Thilo Weichert eingeschossen, den ehemaligen schleswig-holsteinischen Landesdatenschutzbeauftragen, der von 2004 bis 2015 recht lautstark agiert hatte. Weichert sei "eine Art Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule", meinte Lobo. Weicher habe mit "dem metaphorischen Schrotgewehr gegen alle Formen sozialer Medien von bösen Digitalkonzernen geschossen". Grund genug für Holger und Joerg, Weichert in den c't-Datenschutz-Podcast einzuladen und ihn zu den Fundi-Vorwürfen zu befragen. Im Gespräch bestätigt Weichert, seit jeher auf einigen datenschutzrechtlichen Grundprizipien zu beharren und da durchaus fundamentalistisch zu argumentieren. Lobos Kritik aber weist er weit von sich, und greift den Kolumnisten frontal an. Weichert plaudert über seinen langen Konflikt gegen Facebook und betont, dass soziale Medien nicht zwingend und permanent Grundrechte verletzen müssen, um erfolgreich zu sein. Befragt zum dem Zustand des Datenschutzes in Deutschland nach Wirksamwerden der DSGVO 2018, kritisiert Weichert die ehemalige Bundesdatenschutzbeauftrage Andrea Voßhoff und lobt ihren Nachfolger Ulrich Kelber. Auf Landesebene kommt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bei Weichert besonders schlecht weg: Aus seiner Zeit berichtet er, dass dort "politische Ansagen zugunsten des Wirtschaftsstandorts offensichtlich eine Rolle gespielt haben". Weichert wörtlich: "Ich habe mich lange zurückgehalten mit Kollegenschelte, aber das ist ein seit vielen Jahren zu beobachtendes Phänomen."

Mittlerweile hat an allen deutschen Schulen das neue Schuljahr begonnen. Aus diesem Anlass widmen sich Holger und Joerg in der neuen Folge dem Datenschutz in der Schule. Kompetent zur Seite steht ihnen dabei Dr. Daniel Sandvoß. Der Jurist lehrt als Hochschuldozent und übernahm 2018 die Leitung des Instituts für Digitalisierung und Datenschutz ID2. Daniel hat zum Thema Datenschutz und Schule promoviert und war an der Entwicklung der niedersächsischen Schulcloud beteiligt. Nach Ansicht von Daniel steht es um den den Datenschutz in Schulen nicht gut. Er vergleicht die Situation mit einem halb eingerissenen Bauklötzchenturm, gar einem "Trümmerhaufen", dem die Baumeister fehlen. Vieles, was die DSGVO fordert, können Schulen derzeit nicht umsetzen. Insbesondere die Dokumentationspflichten würden nicht erfüllt; es mangele an Verarbeitungsverzeichnissen, für die Risikoanalysen nötig wären. Daniel betont, dass in Schulen mit besonders sensiblen Daten nach Art. 9 DSGVO hantiert werde. Im Aufklärungsuntericht etwa geht es auch um sexuelle Orientierung, im Relegionsunterricht um Religionszugehörigkeit, und im Politikunterricht um politische Ausrichtung. Meist handelt es sich um die Verarbeitung von Daten Minderjähriger, was die Lage noch brisanter macht. Dem gegenüber stehen nach Daniels Darstellung überforderte Schulleitungen, die gemäß Datenschutzrecht als Verantortliche Stellen für die Datenverarbeitung fungieren, oft, ohne es zu wissen. Von den Kommunen erhalten Schulen oft wenig konkrete Unterstützung. Zwar drohen keine Bußgelder, weil Schulen öffentliche Stellen sind. Allerdings können Aufsichtsbehörden Verfügungen oder Anordnungen aussprechen, etwa Verbote des Einsatzes bestimmter Software.

Nicht nur große Unternehmen überwachen ihr Gelände gerne mit Kameras, sondern auch Privatleute ihren Haus- oder Wohnungseingang. Kameras sind allgegenwärtig, und allzu oft verstößt deren Einsatz gegen Datenschutzrecht, wie die große Zahl von Beschwerden und Bußgeldern belegt. Genug Anlass für den c't-Datenschutz-Podcast, sich ausführlich mit den rechtlichen Grundlagen und vor allem mit den Pflichten zu beschäftigen, die es beim Betrieb von Überwachungskameras im beruflichen wie privaten Bereich zu beachten gilt. Holger und Joerg haben dazu Nils Christian Haag eingeladen. Der promovierte Rechtsanwalt ist Vorstand der intersoft consulting AG, die unter anderem das Infoportal Dr. Datenschutz betreibt. Weil die Datenschutz-Grundverordnung (DSGVO) das Themenfeld Videoüberwachung nicht explizit regelt, erläutert Nils zunächst, welche Vorschriften anzuwenden sind. Eine Rechtsgrundlage kann sich aus Art. 6 ("berechtigtes Interesse") ergeben. Zusätzlich müssen Kamerabetreiber Transparenzpflichten (Art. 13 DSGVO) erfüllen, meist in Form von gut sichtbar ausgehängten Hinweisschildern. Diese können sogar an Autos erforderlich sein, wie sich auch aus dem "Bußgeld der Woche" ergibt. Die drei erklären, wie solche Schilder aussehen müssen und wo man sie am besten anbringt. Rechtliche Probleme gibt es in diesem Zusammenhang auch beim Einsatz von digitalen Videokameraklingeln wie Ring von Amazon. Diese müssen zwingend so ausgerichtet werden, dass bei ihrer Nutzung nicht auch noch die Haustüre des Nachbarn überwacht wird. Eine besondere Warnung spricht Nils für die Nutzung von Kameras mit Tonaufzeichnung aus. Hier kann sogar eine Strafbarkeit in Form der Verletzung der Vertraulichkeit des Wortes nach Paragraf 201 StGB lauern, etwa wenn man ein Gespräch der Nachbarn aufzeichnet.

Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat Ende Juli ein praxisrelevantes Verfahren rund um die Auswertung, Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000 Euro Bußgeld soll die Hannoversche Volksbank bezahlen, weil sie ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben und dazu einen Dienstleister herangezogen haben soll. Die Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen angereichert. Ziel sei gewesen, für bestimmte Werbeformen empfängliche Kunden herauszufiltern. Dieses Verfahren ist für den c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und Joerg haben für die Episode 68 deshalb David Pfau eingeladen. David ist "Head of Data & Privacy" bei der conreri digital development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener Datenschutzexperte und berät Unternehmen der Medien- und Digitalbranche. Zunächst besprechen die drei, wie und wo Profilbildung in der DSGVO definiert ist und welche Rechtsgründe es dafür geben kann. Unweigerlich landet man da beim recht unbestimmten "berechtigten Interesse" des Verantwortlichen, also dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmäßig herangezogen wird, um der individuellen Einwilligung jedes Kunden zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt nicht jede Verarbeitung von Kundendaten, wie David betont. Einem freizügigen Umgang mit Kundendaten steht auch die Zweckbindung entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt Unternehmen, sich schon bei der Erhebung von Informationen genau mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst weit zu fassen. Insbesondere, wenn Kundendaten später angereichert oder zum Profiling genutzt werden sollen, wird schnell die Grenze des rechtlich Zulässigen erreicht, die David ausführlich erläutert.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (BfDI) steht stets im Fokus der Öffentlichkeit. Seiner Aufsicht unterliegen nicht nur die deutschen Niederlassungen von Meta (ehemals Facebook) und Google, sondern auch etliche große deutsche Medienhäuser, etwa der Springer-Konzern. Mit Spannung war daher im vergangenen Jahr erwartet worden, wer dem scheidenden, langjährigen BfDI Johannes Caspar folgen wird. Im November 2021 übernahm der Jurist Thomas Fuchs nach seiner Wahl durch die Hamburger Bürgerschaft das Amt. Fuchs war zuvor 13 Jahre lang Direktor der Medienanstalt Hamburg/Schleswig-Holstein. Er ist also im Bereich der behördlichen Aufsicht kein Unbekannter. In der aktuellen Episode 67 des c't-Datenschutz-Podcasts erzählt er von seinen ersten Monaten als oberster Hamburger Datenschützer. Fuchs betont, dass er einen kooperativen Ansatz seiner Behörde in den Vordergrund stellt. Datenschutz sei in den vergangenen vier Jahren vorwiegend als das "scharfe Schwert", die Drohung mit dem Bußgeld, wahrgenommen worden. Es gebe aber ein großes Bedürfnis nach demokratischer Datennutzung, etwa für Forschung und Mobilität: "Das möchte ich von Anfang an begleiten", betont Fuchs. Als Beispiel für verfehlte Regulierung nennt er die Pläne zu einem Impfregister: "Wir haben in der Coronapandemie brutalen Datenmangel. Viele haben gesagt, ein Impfregister geht datenschutzrechtlich nicht. Ich würde sagen: Das ginge sehr wohl datenschutzkonform, wenn klar geregelt würde, wer darauf zugreifen darf." Das Werk seines Vorgängers will Fuchs fortführen: "Wir beschäftigen uns weiterhin intensiv mit Meta und Google, und wir haben auch noch Einfluss auf die Entscheidungen, die allerdings in Irland getroffen werden." Fuchs ist guter Dinge, dass die irische Datenschutzbehörde als in der EU zuständige Aufsicht über die großen Tech-Konzerne gerade die Zügel anzieht. "Eine Entscheidung zur Datenübermittlung von Facebook in die USA steht beispielsweise unmittelbar bevor." Bauchschmerzen bereitet Hamburgs neuem BfDI die Ausformulierung der EU-Datenstrategie. Gesetze wie der Data Act oder der Data Governance Act seien zwar für sich genommen "spannend und relevant". Aber es sei "schlicht eine Katastrophe", dass sie keine Ausnahmen zur DSGVO enthalten, sondern komplett mit ihr in Einklang zu bringen sind: "Künftig dürften noch mehr Projekte gar nicht erst in Angriff genommen werden, aus Angst davor, irgendwie gegen Datenschutzrecht zu verstoßen." Die DSGVO müsse sich in einen Binnenmarkt einbetten, der auch Wirtschaftsinteressen berücksichtigt, sonst sei sie nicht zukunftsfähig.

Immer mehr Datenschutzexperten beklagen, dass der Datenschutz allzu einseitig als Verbraucherschutz interpretiert wird. Andere Interessen wie die der Forschung, der Bildung oder auch der Wirtschaft blieben dabei häufig auf der Strecke. Für Holger und Joerg ist das ein Anlass, im Podcast einmal die Perspektive der datengetriebenen Industrie zu beleuchten. Dazu haben sie Rebekka Weiß in die aktuelle Episode 66 eingeladen. Rebekka ist die "Leiterin Vertrauen & Sicherheit" beim IT-Branchenverband Bitkom. Die Volljuristin betreut beim Verband unter anderem die inhaltliche Arbeit in den Bereichen Datenschutz, Wettbewerbs- sowie Kartellrecht, Trust Services und Digitale Identitäten. Sie vertritt den Bitkom und die Wirtschaft in verschiedenen Expertengremien und stimmt deshalb durchaus zu, wenn sie im Podcast von Bleich als Lobbyistin bezeichnet wird. Sie erläutert, an welchen Stellen sie im politischen Berlin mitspricht. Rebekka berichtet davon, mit welchen Problemen die Unternehmen nach wie vor bei der Umsetzung des Datenschutz im Alltag zu kämpfen haben. Auf der einen Seite seien vier Jahre nach Wirksamwerden der DSGVO Prozesse angepasst worden und Datenschutz werde nun bereits bei der Entwicklung von Prozessen und Innovationen mitgedacht. Trotzdem gäbe es immer noch viele Rechtsunsicherheiten, beispielsweise bei der Umsetzung von Auskunftsansprüchen, die in letzter Zeit mehr und mehr wahrgenommen werden. Und auch die unklaren rechtlichen Verhältnisse beim Datentransfer in die USA stelle viele Unternehmen vor große Probleme. Die Juristin wünscht sich mehr Balance und Ausgleich bei der Auslegung der DSGVO und mehr Einigkeit der Behörden.

Blockchains, Crypto-Währungen, Smart Contracts... Im Marketing werden diese Konzepte und Techniken oft als datenschutzfreundlich gepriesen. Doch stimmt das? In Episode 65 des c't-Datenschutz-Podcasts Auslegungssache gehen Holger und Joerg dieser Frage nach. Und weil beide freimütig zugeben, dass sie selbst nicht genügend zu dem Thema wissen, holen sie sich kompetente Verstärkung: c't Redakteur Sylvester Tremmel kennt sich nicht nur mit Blockchain-Technologie aus, sondern kann sie in c't-Artikeln und im Podcast auch prima erklären. Diese Episode eignet sich daher auch für alle, die ohne Marketing-Sprech in die Thematik eingeführt werden wollen. Nach Sylvesters grundlegenden Erläuterungen geht es in einem zweiten Teil der Episode darum, wie sich Blockchains mit aktuellem Datenschutzrecht, insbesondere der DSGVO, vertragen. Wo entstehen personenbeziehbare Daten? Lassen sich Daten in der Blockchain im nachhinein ändern oder sogar löschen, wie es die DSGVO fordert? Und vor allem: Wer ist im Blockchain-Konzept überhaupt verantwortlich für die Datenverarbeitung und könnte sanktioniert werden? Sylvester, Joerg und Holger kommen zu dem Ergebnis, dass die DSGVO kaum auf Blockchains anwendbar ist und somit eine große Leerstelle besteht.

Es hagelt derzeit Bußgelder wegen Datenschutzverstößen gegen deutsche Unternehmen. Die Landesdatenschutzbehörden nehmen diesbezüglich im europäischen Vergleich eine Spitzenposition ein. Doch ein Bereich, der die Bürgerinnen und Bürger stark betrifft, findet in der medialen Berichterstattung kaum statt: Die öffentliche Verwaltung. Welche datenschutzrechtlichen Pflichten entstehen für die Behörden aus der DSGVO heraus? Welche Sanktionen haben sie zu befürchten? Diese Fragen stellen sich Joerg und Holger in der aktuellen Episode des c't-Datenschutz-Podcasts Auslegungssache. Ein versierter Gast steht Rede und Antwort: Dr. Daniel Sandvoß lehrt seit 2010 am Niedersächsischen Studieninstitut für kommunale Verwaltung (NSI) und der Kommunalen Hochschule für Verwaltung in Niedersachsen (HSVN). Sein Schwerpunkt in der Lehre liegt im Bereich Datenschutz und Digitalisierung. Im Datenschutz ist der zudem intensiv als Fortbildungsreferent tätig. Daniel erklärt in der Podcast-Episode, welche Änderungen sich aus der DSGVO für die Kommunen ergeben haben. Er schildert, warum er es für sinnvoll hät, dass Behörden anders als Unternehmen nicht mit Bußgeldern sanktioniert werden können. Besonders spannend: Daniel berichtet aus seinen alltäglichen Erfahrungen bei Datenschutz-Fortbildungen, die er für Beamte in Verwaltungen seit Jahren abhält. Die Awareness sei teilweise gestiegen, es gebe viele gute Beispiele engagierter Kommunen, denen die Themen DSGVO und Datenschutz eben nicht egal seien.

Am 25. Mai 2022 jährte sich die Wirksamkeit der EU-Datenschutz-Grundverordnung (DSGVO) zum vierten Mal. Erhebungen zufolge haben die Datenschutzbehörden aller EU-Mitgliedsstaaten in den vier Jahren insgesamt bereits mehr als 1,6 Milliarden Euro an Bußgeldern verhängt. Allerdings verteilt sich die Summe sehr ungleich, weil es bislang keine einheitliche Bemessungsgrundlage für Datenschutzverstöße gibt. Dies soll sich nun ändern: Am 12 Mai hat der Europäische Datenschutzausschuss (EDSA) als gemeinsames Abstimmungsgremium der EU-Datenschutzbehörden ein Bußgeld-Berechnungsschema für DSGVO-Verstöße beschlossen, das die zuständigen Aufsichtsbehörden Schritt für Schritt durcharbeiten sollen. Ersten Einschätzungen zufolge wird es vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen. In Mitgliedstaaten, die bislang eher niedrige Geldbußen verhängt haben, sind strengere Sanktionen künftig sehr wahrscheinlich. Joerg und Holger erläutern das neue Modell. Zur Seite steht ihnen Rechtsanwalt Tim Wybitul, der bereits in Episode 21 zu Gast war. Tim vertritt teils sehr umsatzstarke Mandanten in Datenschutzstreitigkeiten vor Gericht und mit Behörden, bei internen Untersuchungen und in anderen datenschutzrechtlichen Auseinandersetzungen. Er erklärt im Podcast beispielsweise die Unterschiede zwischen behördlichen Anordnungen und Bußgeldverfahren, die vor verschiedenen Gerichten ausgefochten werden und ordnet das EDSA-Berechnungsmodell ein. In einem zweiten Teil geht es im Podcast um das verwandte Thema der Schadensersatzforderungen aus DSGVO-Verstößen. Tim erläutert die aktuelle Rechtsprechung in einigen Verfahren. Seiner Beobachtung zufolge ergibt sich eine klare Tendenz. Massenhafte Schadensersatzforderungen entwickeln sich zu einem lukrativen Geschäftsmodell, weil die Gerichte zunehmend immaterierelle Schäden bejahen, etwa beim Einsatz von Google Fonts auf einer Webseite ohne Einwilligung der Besucher: "Schadensersatzforderungen dürften sich langfristig zu einem noch höheren finanziellen Risiko für Unternehmen entwickeln als Bußgelder."

Selten hat ein Gesetzesvorschlag der EU-Kommission so viel Widerspruch in kurzer Zeit geerntet wie die am 11. Mai vorgestellten "neuen EU-Rechtsvorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet". Dies liegt keineswegs am unbestritten wichtigen Ziel, die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder einzudämmen. Es sind die Mittel dazu, die auf rigide Ablehnung von Bürgerrechtlern, Datenschützern, aber auch von Wirtschaftsverbänden und mehreren Bundesministerien stoßen. Beispielsweise will die EU-Kommission Anbieter verschlüsselter Messenger wie WhatsApp, Signal, Threema oder Apple dazu zwingen, Fotos und Videos von Kindesmissbrauch in den Nachrichten ihrer Nutzer ausfindig zu machen sowie mit verdekent Text-Scans von Chat-Nachrichten gegen Grooming vorzugehen. Zur Koordination mit den Behörden in den Mitgliedsländern soll eine neue EU-Zentralstelle aufgebaut werden. Patrick Breyer, EU-Parlamentarier der Piratenpartei, hat für dieses Vorhaben den Begriff "Chatkontrolle" geprägt. Unablässig wies er in den vergangenen Monaten auf die Gefahren der Kommissionspläne für die Privatsphäre jeder Bürgerin und jedes Bürgers der EU hin. Seiner Ansicht nach würde das Gesetzespaket tief in die Grundrechte, beispielsweise das Fernmeldegeheimnis, eingreifen. Auf seiner Website ruft er die Zivilgesellschaft zum Widerstand auf. Im c't-Datenschutz-Podcast erläutert der Jurist und Richter, wie es zu dem Entwurf kam, was genau darin steht, wo er die Gefahren für Bürgerrechte und Datenschutz sieht, und wie er die Motive der beteiligten Kommissions-Mitglieder einschätzt. Breyer weist darauf hin, dass seiner Beobachtung nach der Widerspruch nur in Deutschland so groß war, ähnliches habe er in keinem anderen EU-Mitgliedsland beobachtet. Er befürchte, dass der Entwurf ohne einschneidende Abschwächungen von Bürgerrechtseingriffen die weiteren Stationen im Gesetzgebungsprozess (EU-Parlament und Rat) passieren könnte.

Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Joerg und Holger zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte. Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen. Joerg hebt die potenzielle Bedeutung dieser Entscheidung für die Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch Rechtsanwältin Kathrin Schürmann die Begründung der Behörde. Kathrin ist Gründungs-Partnerin der Kanzlei Schürmann Rosenthal Dreyer berät Unternehmen als Datenschutzexpertin bei der Einführung und Entwicklung neuer digitaler Geschäftsmodelle. Im Schwerpunkt der Episode geht es um die Pflicht zu einer verschriftlichten Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand des Beispiels einer Dating-Website erläutern Kathrin und Joerg, ab wann es einer solchen DSFA zwingend bedarf und welche Punkte darin abgehandelt sein sollten. Ziel der DSFA ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der Rechte und Freiheiten der betroffenen Personen bewerten, also eine Risikoanalyse aller Verarbeitungsvorgänge vornehmen. Das ist keineswegs trivial. Die Pflicht, so die Vermutung von Holger, wird von der überwiegenden Mehrheit deutscher Unternehmen ignoriert. Joerg und Kathrin sehen das ähnlich und weisen darauf hin, dass damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich mit internationalem Datentransfer zu Auftragsverarbeitern, komme ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.

Derzeit vergeht kaum eine Woche, in der es keine Meldungen zu spektakulären Razzien und Drogenfunden gibt. Mitte der Woche etwa haben Fahnder von Zoll und Polizei zahlreiche Privatwohnungen und Geschäftsräume in Niedersachsen, Hamburg und in Schleswig-Holstein gestürmt. Zeitgleich liefen auch Razzien in anderen Ländern, darunter die Niederlande, Belgien und Paraguay. In den meisten Fällen ziehen die Durchsuchungen Haftbefehle und Beschlagnahmungen nach sich; fast immer werden die Fahnder fündig. Woher kommt diese hohe Erfolgsquote? Die Tatvorwürfe beziehen sich stets auf Delikte, die im Frühjahr 2020 geschehen sein sollen. Genau in diesem Zeitraum nämlich hatte die französische Polizei ein Kryptomessenger-System namens Encrochat infitriert und die Kommunikation der angeblich überwiegend kriminellen Klientel belauscht. Wie genau der staatliche Hack technisch vonstatten gegangen ist, darüber schweigen sich die französischen Behörden aus und verweisen auf das Militärgeheimnis. Dennoch haben sie die gewonnenen Daten aufbereitet und über die EU-Polizeibehörde Europol Mitgliedsstaaten zur Verfügung gestellt, in denen sie kriminelle Encrochat-Kunden verortet haben - so auch dem Bundeskriminalamt in Deutschland. Mehr als 2000 Ermittlungsverfahren sind hierzulande auf Grundlage der Encrochat-Daten eröffnet worden; in etlichen Verfahren folgten bereits Verurteilungen. Es stellt sich die Frage, ob der Hack nach hiesigen Gesetzen überhaupt hätte stattfinden dürfen. Immerhin handelt es sich um einen tiefen Eingriff in die Vertraulichkeit von Kommunikation und die Integrität der eigenen Geräte. Der Bundesgerichtshof hat jüngst Bedenken zur Verwertbarkeit der übermittelten Beweise eine klare Absage erteilt. Doch in einem c't-Artikel wirft Prof. Dennis Kenji Kipker weitere Fragen auf. Der Professor für IT-Sicherheitsrecht forscht und lehrt am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Uni Bremen. Kipker kritisiert, dass die jeweiligen Strafkammern der Gerichte das Encrochat-Material nicht auf Integrität prüfen und den Beschuldigten versagen, die Quelle selbst in Augenschein zu nehmen. Kipker: "Der Staat ist Grundrechtsverpflichteter und kann sich dieser Verantwortung nicht dadurch entziehen, dass er digitale Ermittlungsverfahren als 'Black Box' führt und es Betroffenen nicht ermöglicht, gegen sie vorgelegte digitale Beweismittel zu entkräften. Der Fall EncroChat ist nur ein eindrucksvolles Beispiel dafür, was noch kommen kann – weil digitale Beweismittel in strafrechtlichen Ermittlungen eine immer größere Rolle spielen." In der aktuellen Episode 60 des c't-Datenschutz-Podcasts ist Kipker zu Gast und erläutert, welche Probleme der Fall Encrochat aufwirft. Es geht auch um die übergeordnete Frage, wie tief der Staat in die Privatsphäre von Bürgern einzugreifen bereit ist: Von Encrochat zur Vorratsdatenspeicherung ist es kein allzu großer Schritt. Kipkers Meinung nach ist das Vorgehen der französischen Ermittlungsbehörden ein weiterer Beleg dafür, dass sich die sogenannte Überachungsgesamtrechnung immer weiter zuungunsten der Bürgerrechte entwickelt.

Einen "großen Durchbruch" für den internationalen Datenverkehr hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen Ende März versprochen. In einer gemeinsamen Pressekonferenz vermeldeten sie eine "grundsätzliche Einigung" für ein neues Datenschutzabkommen, nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für rechtswidrig und damit unwirksam erklärt worden war. Mit ihrer Erklärung weckten die beiden Spitzenpolitiker große Hoffnungen bei Unternehmen dies- und jenseits des Atlantiks. Zu recht? Dieser Frage gehen Holger und Joerg in Episode 59 nach. Als Gast in dieser Folge schätzt Prof. Alexander Golland die Lage kompetent ein. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Er hält eine Professur für Wirtschaftsrecht an der Fachhochschule Aachen. Zunächst klären die drei, welche Voraussetzungen für einen sicheren Datentransfer in Staaten außerhalb der EU gegen sein müssen: Nach Art. 45 DSGVO muss die EU-Kommission einen sogenannten Angemessenheitsbeschluss verabschieden, in dem dem Zielland ein dem der EU ähnliches Datenschutzniveau attestiert wird. Dies sst beispielsweise für die Schweiz, Kanada, Neuseeland oder Japan der Fall. Warum die Kommission nach dem Brexit sehr eilig einen befristeten Angemessenheitsbeschluss mit dem Vereinigten Königreich (UK) herbeigeführt hat, erklärt Alexander ausführlich. Außerdem schildert er detailliert, wie steinig und zeitraubend der formale Weg zu einem neuen Angemessenheitsbeschluss zur Datensicherheit in den USA sein wird. Deshalb dämpft er die Erwartungen für eine baldige neue Rechtsgrundlage: "Vor 2023 wird das eher nicht klappen", lautet seine Prognose, die sich mit der vieler anderen Experten deckt. Viele Unternehmen bringt das nun in eine schwierige Situation: Bis Ende 2022 müssen sie ihren Datentransfer mit den Juni 2021 aktualisierten Standard-Vertragsklauseln (SCC) rechtlich absichern. Dann sind sie auch verpflichtet, eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) vorzuhalten - was erhebliche zusätzliche Kosten verursacht. Die SCC-Vertragsparteien müssen darin darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen. Was also tun? Sollten die Unternehmen darauf vertrauen, dass die EU-Kommission bis dahin einen Beschluss zustande bekommt - oder sollten sie doch vorbeugend in den sauren, teuren Apfel beißen? Alexander gibt im Podcast Hinweise.

Gleich mit mehreren Gesetzen im Rahmen einer "Datenstrategie" will die EU "die Führungsrolle in einer datengestützten Gesellschaft übernehmen". Der AI Act etwa ist ein Verordnungsentwurf, der die Verarbeitung von Daten in KI-Systemen regeln soll. Ihm folgte im Februar 2022 der EU-Kommissions-Vorschlag zum Data Act. Die Verordnung soll den Binnenmarkt-Gedanken auf Datenhandel übertragen. Jeder Verbrauchter darf demzufolge selbst entscheiden, wer wann Zugriff auf seine Daten erhält, um damit einen Mehrwert zu erzeugen. Hier geht es insbesondere um anfallende Daten bei Gerätenutzung (Fahrzeuge, IoT usw). All diese Initiativen treffen auf die recht rigide DSGVO. In Episode 58 der Auslegungssache ordnen Joerg und Holger zusammen mit Alexandra Ebert die Dinge ein. Alexandra ist Chief Trust Officer beim Unternehmen mostly.ai und außerdem Expertin für Datenschutz, synthetische Daten und ethische Künstliche Intelligenz. Sie weist im Podcast darauf hin, dass vermehrtes Nutzen von personenbezogenen Daten, wie es von der EU gewünscht ist, auch neue Anforderungen an die Anonymisierung vor Weiterverarbeitung stellt. Diese sei oftmals kaum noch möglich. Alexandra erklärt, wie aus echten Datenbeständen synthetische Daten generiert werden können, die dann wiederum Forschungszwecken oder dem Training von KI-Systemen dienen. Im letzteren Fall könnten synthetische Daten außerdem dafür sorgen, dass ein vorhandener Bias im echten Datenbestand korrigiert wird. Ebert sieht hier eine Chance, Tendenzen zur Diskriminierung, wie sie bei KI-Systemen nach dem Training mit Echtdaten zu beobachten sind, entgegenzuwirken.

Liebe Hörerinnen und Hörer der Auslegungssache: Wegen eines Krankheitsfalls mussten wir die geplante Aufzeichnung von Episode 58 verschieben. Wir bleiben im Turnus und verschieben die Veröffentlichung der neuen Episode auf den 25. März 2022. Vielen Dank vorab für Euer Verständnis! Viele Grüße von Joerg und Holger - und bleibt gesund :-)

Logfiles und Datenbanken enthalten fast immer auch personenbezogene Daten. Um sie ausreichend zu schützen, müssen Unternehmen und Privatpersonen „geeignete technische und organisatorische Maßnahmen treffen“. Das reicht von regelmäßigen Software-Updates und Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und Pseudonymisierung bis hin zu regelmäßigen Backups. Über das Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des IT-Recht-Blogs Telemedicus. Seiner Erfahrung nach werden beide Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist unterschiedlich: Datenschutz schützt personenbezogene Daten, IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen. Deshalb können sie sich auch in die Quere kommen: etwa wenn Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen erfordern oder der Virenscanner Dateien zum Check in die Cloud lädt. Auf was man bei der IT-Sicherheit für den Datenschutz achten muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32. Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss ich meine Technik zertifizieren lassen? Wann muss ich einen Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf an, in welchem Bundesland man sitzt – denn die deutschen Datenschutzbehörden haben mitunter verschiedene Ansichten zum Umgang mit technischen Fragen. Adrian Schneider Tipp an Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden, was die Risiken sind und was Sie tun müssen, um sie vernünftig zu adressieren. Welche Folgen Murks bei der IT-Sicherheit haben kann, zeigt unser Bußgeld der Woche, das die italienische Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs enthielten, konnten Nutzer auch die Gesundheitsdaten anderer Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht komisch und sprach ein Bußgeld für dieses Versäumnis.

Ob Vereinsauftritt, privates Blog oder Online-Shop: Für Webseiten gilt die DSGVO. Wer eine Seite aufsetzt, muss sich deshalb von Anfang an Gedanken machen, an welchen Stellen er Nutzerdaten speichert, verarbeitet und weiterleitet, zum Beispiel über eingebundene Dienste und Plug-ins. Doch wie genau bekommt man seine Webseite datenschutzkonform? Diese Frage beantworten Joerg und Achim – Holgers Urlaubsvertretung – gemeinsam mit Carola Sieling. Carola ist bereits zum dritten Mal (Folge 27, Folge 18) in der c't Auslegungssache zu Gast und erklärt, welche Vorgaben der DSGVO für Website-Anbieter relevant sind. Wunderbar zum Thema Websites passt auch das Bußgeld der Woche, das in dieser Woche gar kein Bußgeld ist, sondern ein Schadensersatz. Ein Webseitenbetreiber muss 100 Euro an einen Seitenbesucher bezahlen, weil dessen IP durch den Einsatz von Google Fonts an Google in den USA weitergegeben wurde – ohne Einwilligung. Das Urteil ist noch nicht rechtskräftig. Beim Betreiben einer Webseite lauern zahlreiche weitere Datenschutzfallen: Das eingebettete Video von YouTube ist ebenso problematisch wie der Like-Button für Facebook, und im Newsletterformular sollte man sich hüten, allzu viele persönliche Informationen abzufragen. Bei Fotos kommen außerdem Urheberrecht und Persönlichkeitsrechte hinzu, die es zu beachten gilt. Besonders kritisch ist das Einbauen von Analytics-Tools, mit denen man mehr über die Besucher seiner Webseite erfahren kann. Jüngst hat etwa die österreichische Datenschutzbehörde entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstößt – und auch Joerg und Carola sind eindeutig der Meinung, dass man fürs Besucherzählen derzeit besser nicht den Dienst von Google einsetzt.

In Episode 55 des c't-Datenschutz-Podcasts wagen sich Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich an ein großes Thema: Immer mehr Entscheidungen werden in unserer Gesellschaft nicht mehr von Menschen, sondern von Algorithmen getroffen. Dabei geht es um banale Dinge wie den Preis des Joghurts im Supermarkt genauso wie um Berwerbungsverfahren oder Scorings von Bürgerinnen und Bürgern für die öffentliche Sicherheit. ADM-Systeme (Algorithmic Decision Making) haben sich in den Alltag eingeschlichen, ohne dass sie ethisch und datenschutzrechtlich ausreichend beachtet werden, so die Ausgangsthese. Rechtsanwalt Peter Hense hat sich intensiv mit diesen Problematiken beschäftigt und ordnet als Gast in dieser Episode die Dinge ein: "Vieles von dem, was uns als KI untergejubelt wird, beruht heruntergebrochen auf reiner Statistik", erklärt er und kritisiert, dass Entscheidungen, die auf maschinellem Lernen beruhen, oftmals völlig verdeckt getroffen werden. Eine benennbare Verantwortung fehlt, es mangelt an "Accountability" bei vielen KI-Systemen. Dies wird laut Hense besonders problematisch, wenn Entscheidungen voll automatisiert, ohne Überwachung und Eingriffsmöglichkeit von Menschen fallen - Die Algorithmen sind oftmals gut gehütete Geheimnisse in privatrechtlicher Hand, was zu Blackboxes führt. Konsens in der Runde ist: Gesetzgeber tun sich schwer, ADM-Systeme einzuordnen und zu regulieren. Als Beispiel dient der einschlägige Art. 22 der DSGVO, dessen Regelungsumfang ziemlich unklar ist und der laut Hense als Konzession an die US-Konzerne für härtere Vorschriften in anderen Bereichen gesehen werden muss; und noch dazu unzureichend in die offizielle deutsche Version der DSGVO übersetzt wurde. Ähnlich verhält es sich mit dem von der EU-Kommission vorgeschlagenen "AI Act" und dem Digital Services Act. Hense plädiert dafür, hier unbedingt aktiver und auch restriktiver zu werden. Viele System agieren intransparent, autonom und fehlerhaft - die Algorithmen reproduzieren Unzulänglichkeiten, die ihnen ihre menschliche Ersteller mitgeben.

Das Jahr 2022 startet die neue Bundesregierung im Krisenmodus. Dabei gerät aus dem Blick, dass sich die Ampel-Koalition aus SPD, Grünen und FDP auch digitalpolitisch jede Menge vorgenommen hat. Joerg und Holger diskutieren in Episode 54 des c't-Datenschutz-Podcasts die wichtigsten Pläne für Änderungen im Datenschutz, soweit sie sich bereits aus dem Koalitionsvertrag herauslesen lassen. Dazu haben sie einen Gast eingeladen, der die deutsche Datenschutz-Regulierung nicht nur intensiv verfolgt, sondern auch mit Input begleitet: Frederick Richter ist Jurist und Vorstand der Stiftung Datenschutz, die unabhängige Expertise leistet und zur öffentlichen Diskussion beiträgt. Die Stiftung wurde 2012 von der damaligen Bundesregierung ins Leben gerufen und soll die Stellung des Datenschutzes in der Gesellschaft stärken. Die Ampel hat sich zum Ziel gesetzt, den Beschäftigtendatenschutz mit neuen Regelungen zu modernisieren. Das hält Richter für wichtig, da angesichts der Verlagerungen von Arbeit ins Homeoffice Überwachungsbestrebungen und Leistungskontrolle boomen. Er begrüßt auch, dass bundesweit gültige Positivlisten für "datenschutzkonforme Lern- und Lehrmittel" erstellt werden sollen. Unis und Landesschulbehörden seien hier etwas alleine gelassen, aber "man muss das Gemeinwesen dauerhaft am Laufen halten". Schwammig fanden alle drei Diskutanten die Formulierungen zur Fortsetzung der "Datenstrategie". Richter bemängelt Buzzwords, die noch nicht mit Leben gefüllt sind, etwa das "Dateninstitut", das geschaffen werden soll. Geht es hier um den Umgang mit anonymisierten Daten im Sinne von Open Data, oder um personenbezogene Daten im Sinne der DSGVO? Ähnlich verhält es sich mit den "Datentreuhändern" und den "Datendrehscheiben", die im Koalitionsvertrag erwähnt sind. Noch ist überhaupt nicht klar, welche Konzepte die Regierung hier genau verfolgen will. Positiv hebt Richter hervor, dass die Bundesregierung Standards für die Anonymisierung von Daten entwickeln will. Open Data werde eine immer größere Rolle spielen, und bislang gebe es keine Leitlinien, wie der Personenbezug in Daten DSGVO-konform entfernt werden soll, bevor sie freigegeben werden können. Richter bemängelt, dass die DSGVO hier eine Leerstelle enthält, die die EU noch immer nicht gefüllt hat.

Das wurde aber auch Zeit: Laura und Cornelius vom Podcast "Dr. Datenschutz" beehren die Auslegungssache. Wir haben uns sehr gefreut, dass Cornelius zu diesem Anlass live on tape ein Intro singt und spielt. Wer Dr. Datenschutz noch nicht kennt: Hört rein, die Homepage ist in den Shownotes verlinkt, und natürlich ist er leicht über den Podcatcher zu finden. Neben Podcast-Fusion-Geplauder geht es natürlich auch in Episode 53 um harte Datenschutz-Fakten. Schwerpunktthema ist der aus Artikel 15 DSGVO resultierende Auskunftsanspruch. Als beratende Juristen der intersoft consulting services AG setzen sich Laura und Cornelius oft mit Auskunftsanfragen auseinander. Laura berichtet davon, wie verschieden Unternehmen mit derlei Anfragen umgehen. Und Cornelius ist etwas sauer, dass der wichtige Anspruch seiner Beobachtung nach durch offensichtlich automatisierte Anfragen missbraucht wird. Zusammen mit den beiden Gästen klärt Joerg die Basics: Wann ist ein Auskunftsanspruch berechtigt, welche Fristen gelten, und vor allem: Wie sollte sich ein Anspruchsberechtigter authentifizieren? Mittlerweile gibt es viel Rechtssprechung dazu, aber längst sind nicht alle Fragen geklärt. Einig sind sich die vier Podcaster darin: Der Auskunftsanspruch ist ein wichtiger Baustein des Datenschutzrechts und sollte nicht abgetan werden. Sie ermuntern dazu, ihn ruhig öfter einmal wahrzunehmen.

Mitten in der vierten Coronawelle wagten Joerg und Holger eine Live-Podcast vor Publikum, und zwar auf der Digitalkonferenz Techtide in Hannover unter strengen 2G+-Vorschriften. Auf der Bühne 3 sollte es um dystopische Entwicklungen gehen. Nichts leichter als das, dachten sich die Datenschutz-Apologeten und wählten als Thema "extreme Formen der Mitarbeiterüberwachung". Denn genau dazu hat die Wissenschaftsjournalistin Eva Wolfangel jüngst eine beängstigende Recherche veröffentlicht (siehe Shownotes). Und sie ist die Live-Gästin in der Episode. Wolfangel berichtet vom Einsatz US-amerikanischer Überwachungssoftware in deutschen Unternehmen. So setzt beispielsweise die Unicredit Services in München, die hierzulande unter der Marke HypoVereinsbank bekannt ist, Securonix ein: "Welche Websites man besucht, welche E-Mails man schreibt, welche Programme man nutzt – all das erfassen verschiedene Systeme bei der Unicredit Services", berichtete ihr ein Insider. Andere Software, die in Deutschland zum Einsatz kommt, stammt beispielsweise von Forcepoint oder Genesys. Wolfangel diskutiert mit Joerg und Holger die datenschutzrechtlichen, aber auch ethischen Folgen dieser neuen Dimension von Mitarbeiterüberwachung.

Wird von Rechtsdurchsetzung im Datenschutz gesprochen, geht es meistens um Verfahren und Bußgelder der Aufsichtsbehörden. Doch weil sehr oft Verbraucher die Leidtragenden von systematischen Datenschutzverletzungen sind, nehmen sich auch Organisationen der Verstöße an, die die Rechte der Bürgerinnen und Bürger in der digitalen Welt vertreten. In Deutschland agiert an zentraler Stelle der Bundesverband Verbraucherzentralen (vzbv). Er berät, führt aber auch strategisch juristische Auseinandersetzungen. Das darf er, weil ihn das Verbandsklagerecht dazu ermächtigt, Rechtsfragen anstelle von Verbrauchern von Gerichten klären zu lassen. In Episode 51 des c't-Datenschutz-Podcasts erläutert Heiko Dünkel, Leiter des Teams Rechtsdurchsetzung beim vzbv, wie das funktioniert: "Wir sind dafür da, Waffengleichheit zwischen den Verbrauchern und den großen Konzernen zu gewährleisten." Mit einem Jahresgesamtbudget von ca. 300.000 Euro pro Jahr kämpft sein Team gegen Rechtsverstöße von Facebook oder Apple. Zunächst fordert es per Abmahnung, den Datenschutzverstoß dauerhaft abzustellen. Klappt das nicht, wird im Team entschieden, ob der vzbv die Unterlassungsforderung durch die Gerichtsinstanzen treibt. Der Verband erzielt dabei mitunter spektakuläre Erfolge. Beispielsweise ging die wegweisende EuGH-Entscheidung "Planet49" von 2019 auf seine Klage zurück. Mit diesem Urteil war europaweit endgültig geklärt, dass eine Einwilligung auf Websites nicht mit einem voreingestellten Häkchen, sondern nur mit einer aktiven Handlung erfolgen darf. Aber auch weniger prominente Verfahren sorgen in Fachkreisen für Aufsehen. 2020 etwa hat der vzbv eine Klage gegen den Anwaltssuchdienst advocado vorm Landgericht Rostock gewonnen, mit der klargestellt wurde, dass auch für Cookies zu Analyse- und Marketingzwecken eine informierte Einwilligung erforderlich ist. Dünkel betont, dass der vzbv außerdem intensiv die Gesetzesvorhaben in Deutschland und Europa begleitet. Sein Team sieht sich beispielsweise gerade das ab Dezember gültige neue deutsche Datenschutzgesetz TTDSG an. Außerdem verfolge man die Entwicklung der E-Privacy-Gesetzgebung auf EU-Ebene. Eine "neue Spielwiese" sieht er in der neuen, bislang wenig bekannten BGB-Vorschrift 327q, die im Januar 2022 in Kraft tritt. Kein Wunder, denn darin stellt der Gesetzgeber erstmals klar: Wenn ein Verbraucher für den Erhalt einer Leistung personenbezogene Daten bereitstellt, dann ist das so, als wäre es die Zahlung eines Geldbetrags. "Damit werden wir uns als Verbraucherverband sehr genau befassen, das wird spannend", freut sich Dünkel im Gespräch mit Joerg und Holger.

Es gibt etwas zu feiern für Joerg und Holger: Der c't-Podcast Auslegungssache wird 50. Anlässlich der Jubiläumsepisode ist eine Bestandsaufnahme fällig. Welchen Stellenwert hat der Datenschutz in Politik, Unternehmen und in der Gesellschaft? Warum hat er momentan einen schweren Stand? Wo ist Kritik an der DSGVO berechtigt, wo überzogen und wo einfach nur Ausrede für anderweitige Versäumnisse? Zur Feier gesellt sich ein gern gesehener Gast: Bereits zum dritten Mal beehrt Rechtsanwalt Dr. Thomas Schwenke den Podcast und lässt sich auf eine bisweilen fachlich durchaus mäandernde Diskussion ein. Die Drei sprechen über aktuelle kritische Debattenbeiträge. Schwenke sagt bezüglich der stockenden Digitalisierung in Deutschland: "Dass der Datenschutz Manches bremst ist richtig. Wenn mein Auto keine Bremsen hätte, könnte ich damit natürlich auch viel weiter fahren. Spätestens in der nächsten Kurve käme ich aber in Probleme." Ausführlich beschäftigen sich die Drei mit den nervigen Einwilligungen. Es geht auch um die Frage, ob Bürgerinnen und Bürger in jedem Fall informiert genug sind, um Verarbeitungen abschätzen zu können. Es folgt ein Gedankenexperiment: Was, wenn die Einwilligungen durch maschinelle Aushandlungen ersetzt und die Menschen aus der Gleichung genommen werden? Auf eine erste Tendenz dazu könnten die im TTDSG verankerten Personal-Management-Systeme (PIMS) hinweisen. Und zum Ende wird es noch ein wenig Meta.

In der Öffentlichkeit kaum wahrgenommen, aber durchaus relevant: Am 1. Dezember 2021 treten in Deutschland neue Datenschutzregeln in Kraft. Das "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG) soll laut der ehemaligen Bundesregierung "mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt" schaffen. Inhaltlich stellt das TTDSG eine Neuregulierung der Datenschutzbestimmungen in der Telekommunikation und bei Telemedien dar. Und zu den Telemedien gehören nahezu alle Angebote im Web, zum Beispiel soziale Medien und Blogs, Webshops, Suchmaschinen und auch Webmailer. Dazu fasst das neue Gesetz Regelungen zusammen, die bislang im TKG und TMG zu finden waren. Formal setzt das TTDSG sehr verspätet europarrechtliche Vorgaben aus der E-Privacy-Richtlinie um, die aus dem Jahr 2002 stammt und zuletzt 2009 geändert wurde. Während die Bundesregierung frohlockte, das TTDSG bedeute "das Ende der Cookiebanner", ziehen Joerg und Holger anhand des Gesetzestextes ernüchtert Bilanz. Als Gast begrüßen sie dazu den Rechtsanwalt und Datenschutzspezialist Dr. Carlo Piltz, der den Gesetzgebungsprozess beobachtet und bereits erste Einschätzungen zu den Auswirkungen des TTDSG geschrieben hat. Piltz ordnet das neue Gesetz zunächst in den bestehenden Regelungswust ein, insbesondere erklärt er, wie das deutsche Gesetz zur europäischen DSGVO steht. Anschließend erläutern die drei Stück für Stück, welche Änderungen ab Dezember insbesondere für Anbieter im Web ins Haus stehen. Gerade bei den Cookies wird es etwas strenger. Website-Betreiber können sich nämlich nicht mehr auf das sogenannte "berechtigte Interesse" für bestimmte Cookie-Kategorien berufen (höre Auslegungssache 48), sondern dürften - so die Prognose von Piltz - künftig öfter nach Einwilligungen fragen müssen. Die Empfehlung lautet: Egal ob Webshop, Blog oder Newsportal - es ist höchste Zeit, sich intensiv mit dem TTDSG zu beschäftigen, um im Dezember Post von den Datenschutzbehörden zu verhindern.

Für Episode 48 des c't-Datenschutz-Podcasts hatten sich Joerg und Holger auf die Anregung eines Hörers vorgenommen, ausgiebig zu klären, wann Datenverarbeitungen nach DSGVO erlaubt sind. Herausgekommen ist eine Auslegungssache mit deutlicher Überlänge. Die Zeit ist gut investiert, denn als Podcast-Gast erläutert der auf Datenschutz spezialisierte Rechtsanwalt Sascha Kremer die Sachlage auch für Laien verständlich und anhand vieler konkreter Beispiele. Als Mantra der DSGVO gilt: Jede Verarbeitung von personenbezogenen Daten ist verboten, außer es existiert eine Erlaubnis ("Verbot mit Erlaubnisvorbehalt"). Was erlaubt ist, regelt Art. 6 DSGVO, der die sechs möglichen Rechtsgrundlagen definiert. Am Beginn der Liste steht die infomierte Einwilligung der betroffenen Person. Jeder kennt sie, beispielsweise durch die Websites vergeschalteten Cookie-Banner. Unternehmen mögen sie sie nicht sonderlich, weil sie jederzeit widerrufbar ist. Lieber ist ihnen, sich auf die erlaubte Datenverarbeitung im Umfeld eines Vertragsschlusses zu berufen. Diese greift bereits bei der Anbahnung, beispielsweise wenn ein potenzieller Kunde Produkte in den Warenkorb eines Onlineshops legt. In der Podcast-Episode legen Joerg und Sascha Kremer ein besonderes Augenmerk auf Art. 6 Abs. 1f, aus die erlaubte "Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten". Joerg bezeichnet diese Rechtsgrundlage als "Auffangvorschrift". Kremer weist darauf hin, dass diese Rechtsgrundlage oft falsch verstanden wird: Es gehe nicht nur ums berechtigte Interesse des Verarbeitenden, sondern um eine Abwägung von Interessen des Verarbeitenden, der betroffenen Person und vielleicht auch noch Dritter. Deshalb lasse sich daraus keinesfalls ein Freibrief konstruieren. Anhand von Beispielen werfen die drei Diskutanten Interessen auf beide Seiten der Waage und schauen, wann tatsächlich "berechtigtes Interesse" vorliegt.

12 engagierte Jahre im Amt als Datenschutzbeauftragter des Landes Hamburg liegen hinter Johannes Caspar. Unter seiner Aufsicht standen beispielsweise Google und Facebook, weil sie ihre deutschen Zelte in der Hansestadt aufgeschlagen haben. Und Caspar hat mit den beiden US-Konzernen einige Konflikte ausgetragen, die international Beachtung fanden, beispielsweise zu Googles Streetview oder dem Datenaustausch zwischen Facebook und WhatsApp. Im c't-Datenschutz-Podcast blickt Caspar zurück auf zwei Amtszeiten, nicht immer ganz ohne Zorn. Die Einführung der DSGVO beschreibt Caspar als große Zäsur: "Vorher war der Datenschutz ein 'Recht des Volkes', flankiert von den 'kleinen Helden', den Landesdatenschutzbeauftragten." Die DSGVO habe zu einer Machtfülle der Datenschutzaufsicht geführt, die sie auch angreifbarer mache. Für lokale Unternehmen fungiere man als Ansprechpartner und Berater. Das falle allerdings zunehmend schwer, "weil die Behörden so schlecht ausgestattet sind, dass sie nicht einmal die Beschwerden von Personen abarbeiten können". Wegen mangelhafter Ausstattung habe seine Behörde "einen Berg von Beschwerden vor uns hergeschoben, den wir nicht abtragen konnten". Das liege an verfehlter Politik. Caspar betont die gute Zusammenarbeit mit den anderen Länderbehörden in der Datenschutzkonferenz (DSK). Die DSK habe sich über viele Jahre hinweg bewährt: "Dieses Gremium wird ziemlich unterschätzt. Sie ist die Speerspitze des Datenschutzes in Europa." Eine Zentralisierung der deutschen Datenschutzaufsicht sei unnötig: "Ich bin ein Freund der Diversität". Allerdings führe diese im Vollzug auch auch zu Diskussionen, Schleifen und zur Überbürokratisierung. Eine Reform sei angebracht. Deutliche Kritik übt Caspar an der irischen Datenschutzbehörde, die die meisten US-Konzerne in Europa beaufsichtigt und sanktioniert. Irland sei gleichzeitig ein Steuerparadies und eine Datenschutzwüste. In den US-amerikanischen Konzernzentralen habe sich das längst herumgesprochen: "Man will nur nach Irland." Und wenn dann Unternehmen in Hamburg kontrolliert würden, aber in Irland passiere nichts, verlören Bürger und Unternehmen den Glauben an fairen Datenschutz. Weil nie etwas passiert sei, habe er beispielsweise selbst eine Anordnung im Eilverfahren für drei Monate gegen WhatsApp erlassen. Er sei sehr enttäuscht gewesen, dass der EU-Datenschutzausschuss dieses Verfahren im Juli gestoppt hat. Ein Hoffungsschimmer sei das gerade in Irlang verhängte Bußgeld von 225 Millionen Euro gegen WhatsApp. Laut Caspar hat sich eben über die Jahre einiges angesammelt und führt nun zu einer vergleichsweise hohen Strafe. Caspar wörtlich: "Ich war mal Straßenfußballer. Da galt: 'drei Ecken, ein Elfer'."

In Episode 46 begrüßen Joerg und Holger die Berliner Rechtsanwältin Katrin Kirchert als Gästin. Als TÜV-zertifizierte Datenschutzbeauftragte begleitet Kirchert Unternehmen und Vereine bei der Umsetzung der DSGVO und des BDSG. Vor allem aber beschäftigt sie sich mit dem Datenschutz von Beschäftigten, um den es in dieser Ausgabe der Auslegungssache hauptsächlich geht. Zunächst aber malträtiert Joerg die Anwesenden, indem er Teile einer Kolumne von Jan Fleischhauer zum Besten gibt. Der Focus-Autor verbreitet zunächst fachlich ziemlichen Unsinn und gießt anschließend Häme über professionelle Datenschützer. "Was sind das für Menschen, die Datenschützer werden wollen?", fragt er sich. Joerg gibt die Frage an Kirchert weiter, die souverän kontert: "Weil es Spaß macht?" Anschließend friert im die Hölle zu: Im Bußgeld der Woche geht es um die 225-Millionen-Euro-Strafe gegen WhatsApp, die die irische Datenschutzaufsicht DPC jüngst ausgesprochen hat. Tatsächlich ist die Behörde also gegen den Facebook-Konzern aktiv geworden. Betrachtet man allerdings die ganze Geschichte, stellt sich heraus, dass die DPC zum Jagen getragen werden musste: Der Europäische Datenschutzausschuss (EDSA) erwirkte per Beschluss eine Steigerung des Bußgelds von 50 auf die besagten 225 Millionen Euro, außerdem sorgte unter anderem der deutsche Bundesdatenschutzbeauftragte dafür, dass sich die Behörde intensiver mit dem seit 2018 untersuchten Fall beschäftigen musste, als es ihr lieb war. Im Schwerpunkt der Episode klärt Joerg mit Kirchert anhand vieler Beispiele, wie genau der § 26 BDSG-neu wirkt, in dem der Beschäftigten-Datenschutz in Deutschland geregelt ist. Geschützt sind nicht nur Angestellte, sondern genauso auch Bewerber oder gekündigte Mitarbeiter. Unternehmen sollten sich mit dieser Vorschrift intensiv beschäftigen und ihre Prozesse daraufhin kontrollieren, um nicht auf die Nase zu fallen. Hier geht es um Auftragsverarbeitung (etwa Job-Portale) genauso wie um Löschfristen, die es zu beachten gilt. Auch der Umgang mit Fotos oder Videos von Angestellten birgt Stolpersteine, insbesondere hinsichtlich widerrufbarer Einwilligungen (Kirchert: "Die haben es im Beschäftigungsverhältnis wirklich in sich").

Apple will mit iPadOS 15 und iOS 15 (vorerst nur in den USA) eine neue Funktion einführen, mit der die Foto-Bibliothek von iPad- und iPhone-Nutzern auf Darstellungen von Kindesmissbrauch ("Child Sexual Abuse Material", kurz CSAM) untersucht werden kann. Treffer sollen dann den zuständigen Behörden gemeldet werden. Bürgerrechtsorganisationen, Datenschützer und auch Politiker laufen Sturm gegen die Idee, Inhalte-Scans direkt auf dem Smartphone der Besitzer durchführen zu wollen. Dies sei ein Privacy-Dammbruch, ist derzeit oft zu hören. Im Podcast gehen Joerg und Holger die Debatte möglichst differenziert an und haben dafür gleich zwei kompetente Gäste gebeten, in die Diskussion zu gehen: Tim Pritlove gilt als Podcast-Urgestein und setzt sich beispielsweise wöchentlich im Podcast "Logbuch:Netzpolitik" (zusammen mit CCC-Sprecher Linus Neumann) mit Datenschutz und Datensicherheit in der IT auseinander. Pritlove versteht die Aufregung nicht ganz und plädiert dafür, Apples Ansatz als einen weiteren Vorschlag im Kampf gegen Kindesmissbrauch zu sehen, den es jetzt ins Verhältnis zu anderen, invasiveren Maßnahmen anderer Plattformen zu setzen gilt. Jürgen Schmidt ist leitender Redakteur und Senior Fellow Security bei Heise Medien spricht dagegen von einer gänzlich neuen Qualität. In einem Kommentar auf heise online bezeichnete er Apples Vorgehen bereits als "Tabubruch, der in die Totalüberwachung führt". Im c't-Podcast legt er nach.