Auslegungssache – der c't-Datenschutz-Podcast

Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittlere Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich. In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann über die Vorschläge. Schwartmann ist Professor an der Technischen Hochschule Köln, Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) und außerdem Host des Podcasts "DataAgenda". Alle drei Diskutanten begrüßen eine mögliche Entlastung kleiner Unternehmen und Vereine ausdrücklich. Gleichzeitig warnen sie jedoch davor, die Datenschutzpflichten allein an der Größe festzumachen. Gerade bei sensiblen Daten müssten auch kleinere Organisationen weiterhin hohe Standards erfüllen, so Schwartmann. Die genaue Ausgestaltung könnte komplex werden. Es gelte, Erleichterungen zu schaffen, ohne das Schutzniveau insgesamt abzusenken. Ein weiteres Problem sieht Heidrich in der mangelnden Einheitlichkeit der europäischen Datenschutzaufsicht. Die nationalen Behörden wenden die DSGVO sehr unterschiedlich an, was zu Rechtsunsicherheit führt. Eine stärkere Harmonisierung erscheint nötig, aber die Idee, Aufsichtskompetenz etwa an die EU-Kommission zu übertragen, stößt in der Episode auf Skepsis. Die Experten bevorzugen weiterhin unabhängige Datenschutzbehörden, mahnen aber eine bessere Abstimmung an. Auch in Deutschland wird über Änderungen diskutiert. So geht aus dem Sondierungspapier zur möglichen koalitionsbildung von CDU/CSU und SPD hervor, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten bei kleinen Unternehmen entfallen beziehungsweise der Schwellwert dafür deutlich angehoben werden könnte. Schwartmann kritisiert das deutlich: Ein Datenschutzbeauftragter entlaste Unternehmen eher, statt sie zu belasten. Ein Wegfall würde bestehende Datenschutzpflichten nicht beseitigen, sondern den Unternehmen sogar direkte Risiken aufbürden. Zum Abschluss wagen Schwartmann und die Podcast-Hosts eine Prognose: Ja, die DSGVO werde wohl aufgemacht. Doch dass daraus eine umfangreiche Reform entsteht, halten sie für unwahrscheinlich. Zu groß sei die Gefahr, dass sich die unterschiedlichen Interessengruppen in komplizierten Verhandlungen verfangen – und am Ende nur kleine Anpassungen übrig bleiben.

21.03.25 • 70:09

Diesmal werfen Holger und Joerg gemeinsam mit c't-Redakteur Sylvester Tremmel einen kritischen Blick auf ein umstrittenes Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden. Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den entstandenen Schaden und habe keinen Anspruch Zahlung der Rechnung. Im Podcast zeigen sich die Experten fassungslos und üben deutliche Kritik am Urteil. Sylvester ist sich sicher, dass das Gericht technische Details offenbar nicht richtig verstanden hat: Es verwechsle Verschlüsselung mit Signatur. Während eine Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem Zugriff schützt, stellt eine digitale Signatur sicher, dass die Nachricht unterwegs nicht verändert wird. Sylvester stellt klar: Verschlüsselung allein hätte den Betrug nicht zwingend verhindert, eine Signatur dagegen eher. Zudem funktioniert Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und Empfänger – kooperieren und entsprechende Schlüssel austauschen. Auch Joerg hält das Urteil für problematisch. Das Gericht habe die DSGVO falsch angewendet, indem es den wirtschaftlichen Schaden mit der datenschutzrechtlichen Schutzbedürftigkeit personenbezogener Daten vermischte. Die Höhe einer Rechnung könne nicht automatisch bedeuten, dass personenbezogene Daten besonders schützenswert seien und deshalb zwingend Ende-zu-Ende verschlüsselt werden müssten. Im Podcast weisen die Experten darauf hin, dass andere Gerichte in vergleichbaren Fällen zu gegenteiligen Ergebnissen kommen. So entschied etwa das Landgericht Rostock, dass Unternehmen nicht automatisch für Manipulationen haften, wenn beide Seiten sich auf E-Mail als Kommunikationsweg geeinigt haben. Auch das Oberverwaltungsgericht Münster betonte kürzlich, dass eine einfache Transportverschlüsselung im Normalfall ausreichend sei. Am Ende gibt Sylvester praktische Empfehlungen: Unternehmen sollten zumindest Transportverschlüsselung nutzen und idealerweise digitale Signaturen einsetzen, um Manipulationen von E-Mails zu verhindern. Komplette Ende-zu-Ende-Verschlüsselung sei wünschenswert, aber in der Praxis oft schwierig umzusetzen. Vor allem aber solle man stets aufmerksam bleiben und bei überraschend geänderten Kontodaten lieber einmal zu viel als zu wenig nachfragen.

07.03.25 • 73:37

Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen. Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit dem Scheitern der Ampel Anfang November wanderte dieser Entwurf direkt in die Tonne. Im c't-Datenschutz-Podcast diskutieren Joerg und Holger mit Rechtsanwalt Dr. Marc Störing die aktuelle Lage. Marc berät für die Kanzlei Osborne Clarke Unternehmen und Konzerne datenschutzrechtlich. In der Episode erläutert er fachkundig die Situation des europäischen Beschäftigtendatenschutzes und ordnet zwei wichtige Urteile des Europäischen Gerichtshofs (EuGH) aus den Jahren 2023 und 2024 dazu ein. Die Diskutanten sind sich einig, dass wenig Hoffnung auf eine baldige gesetzliche Regelung besteht. Ein Blick auf die Programme der Parteien zur Bundestagswahl zeigt, dass sich nur die SPD klar für ein Beschäftigtendatenschutzgesetz ausspricht. Angesichts der aktuellen Lage sei unwahrscheinlich, dass das Thema in einem möglichen Koalitionsvertrag eine Rolle spielen wird. Für Unternehmen und Beschäftigte bedeutet dies weiter ein hohes Maß an Rechtsunsicherheit. Viele praktische Fragen, etwa zur privaten Nutzung von Firmen-Mailkonten oder der Überwachung am Arbeitsplatz, bleiben in einer Grauzone. Marc, Joerg und Holger hoffen, dass die Politik das Thema Beschäftigtendatenschutz nicht auf die lange Bank schiebt. Nur ein detailliertes Gesetz könne für mehr Rechtssicherheit sorgen.

21.02.25 • 66:28

Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist. heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat. Wegen unzureichend gesicherter Webservices standen massenhaft Mandanteninformationen nahezu offen für jeden im Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen vorbeugen können und wie sie sich verhalten sollten, wenn es dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell in fremde Hände geraten sind? Nach Christophers Meinung ist es erschreckend, dass Patientendaten aufgrund grober Fehler wie fehlender Verschlüsselung und falscher Serverkonfiguration frei zugänglich waren. "Es geht hier um grundlegende Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich selbstverständlich sein sollten", kritisiert er. Doch stattdessen würden immer wieder die gleichen Anfängerfehler gemacht. Auch die Kommunikation der betroffenen Unternehmen lasse oft zu wünschen übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse" seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden und Kunden häufig gar nicht oder nur zögerlich informiert. Hier fordern die Experten unisono deutlich mehr Transparenz. Für Ronald liegt die Wurzel des Problems im mangelnden Risikobewusstsein: "Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig seien regelmäßige Sicherheitsaudits und die Einbindung externer Experten, um Lücken frühzeitig zu erkennen und zu schließen. Unternehmen sollten zudem offener mit Sicherheitsforschern zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten sich sicherlich mehr Informationen darüber, ob und wie ihre Daten in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim Schutz sensibler Daten gibt es noch viel Luft nach oben. Unternehmen müssen ihrer Verantwortung besser gerecht werden - im Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern, sondern können auch immense Imageschäden nach sich ziehen.

07.02.25 • 69:59

Das in Artikel 15 DSGVO festgeschriebene Auskunftsrecht ist eines der zentralen Betroffenenrechte. Es gilt als ein wichtiges Instrument zur Kontrolle der eigenen Daten, an das sich Rechte zur Korrektur und Löschung von Daten anschließen. Per E-Mail lässt sich bei Unternehmen und Behörden erfragen, welche Daten zu welchem Zweck gespeichert sind, und woher sie stammen. Doch was auf den ersten Blick einfach klingt, wirft in der Praxis viele Fragen auf, wie die Diskussion im aktuellen c't-Datenschutz-Podcast zeigt. Zu Gast ist Bettina Blavert, Syndikusrechtsanwältin und Datenschutzexpertin bei der Sovendus GmbH. Sie sieht das Auskunftsrecht sehr positiv, auch wenn es Unternehmen einiges abverlangt. "Für Betroffene ist es Datenschutz zum Anfassen", sagt sie. Holger und Joerg stimmen zu, weisen allerdings auf Schwierigkeiten bei der Umsetzung des Rechts hin. So müssen Unternehmen Betroffene zunächst einmal eindeutig identifizieren, bevor sie Daten herausgeben, und das, ohne dabei selbst wieder zu viele Daten abzufragen. Außerdem sei die Frist von einem Monat durchaus knapp, wenn umfangreiche oder komplexe Datensätze zusammengestellt werden müssen. Auch inhaltlich gibt es Fallstricke: Müssen komplexe Datenstrukturen in Klartext übersetzt werden? Wie sieht es mit Daten aus, die zwar einen Personenbezug haben, aber zum Beispiel pseudonymisiert gespeichert sind? Und: Dürfen Geschäftsgeheimnisse oder Rechte Dritter einer Auskunft entgegenstehen? Die drei Diskutanten liefern Details aus der Praxis und stellen klar: Das Auskunftsrecht ist ein mächtiges Instrument für Betroffene, aber eben kein Selbstläufer. Unternehmen müssen ihre Prozesse genau prüfen und anpassen, um nicht in Schwierigkeiten zu geraten. Betroffene sollten wiederum genau überlegen, was sie mit einer Anfrage bezwecken wollen. Denn bei aller Auskunftsfreude: Wer es übertreibt, dem kann am Ende sogar der Missbrauch dieses Rechts vorgeworfen werden.

24.01.25 • 71:47

Die Macht von Daten wird oft erst dann sichtbar, wenn sie missbraucht wird. In Episode 125 des c't-Datenschutz-Podcasts werfen Holger, Joerg und der Datenschutzbeauftragte Markus Sailer einen Blick zurück auf historische Beispiele, in denen Staaten ihre Datensammlungen zur gezielten Verfolgung von Bevölkerungsgruppen genutzt haben. Ein besonders bekanntes Beispiel ist die Volkszählung von 1939 im nationalsozialistischen Deutschland. Mit Hilfe von Lochkarten und Hollerith-Tabelliermaschinen erfassten die Nazis damals die Religionszugehörigkeit der Bürger. In Ergänzungskarten wurden "Mischlinge" "Volljuden", "Geltungsjuden" und "Glaubensjuden" gemäß der Nürnberger Rassengesetze von 1935 systematisch erfasst. Die Daten bildeten später die Grundlage für die Deportation von Juden in Konzentrationslager. In anderen Staaten wie den Niederlanden fielen solche Datensammlungen den deutschen Besatzern in die Hände und wurden für Verfolgungsmaßnahmen missbraucht. Ein weiteres Beispiel ist die systematische Erfassung von Homosexuellen durch die Gestapo ab 1934. Auf Basis von polizeilichen "Rosa Listen" wurden zehntausende Männer in Karteien erfasst, überwacht und verfolgt. Insgesamt 50.000 Verurteilungen erfolgten nach dem berüchtigten Paragraphen 175, der in der Bundesrepublik erst 1994 endgültig abgeschafft wurde. Die Gesprächspartner sind sich einig: Auch wenn sich die Methoden geändert haben, besteht die Gefahr des Datenmissbrauchs durch staatliche Stellen weiterhin. Rasterfahndung, die wieder in Deutschland diskutierte Vorratsdatenspeicherung oder der "Cloud Act" in den USA sind aktuelle Beispiele für weitreichende Zugriffsbefugnisse. Zwar setzt die europäische Datenschutz-Grundverordnung (DSGVO) hier wichtige Grenzen. Doch die Diskutanten bezweifeln, ob sie ausreicht, um die Demokratie langfristig zu schützen. Ihr Wunsch an die Politik ist daher ein stärkeres Bewusstsein für die Missbrauchsgefahren von Datensammlungen. Statt Datenschutz vor allem als Hindernis zu sehen, sollte er auch als Schutzschild der freiheitlichen Gesellschaft begriffen werden. Denn historische Erfahrungen mahnen zur Wachsamkeit - in Zeiten von Big Data und Künstlicher Intelligenz mehr denn je.

27.12.24 • 68:53

Lange erwartet, nun viel diskutiert: Das Urteil des Bundesgerichtshofs (BGH) zum Schadensersatzanspruch aus Art. 82 der Datenschutz-Grundverordnung (DSGVO) beschäftigt nicht nur Juristen. Der BGH hatte sich mit der Frage beschäftigt, ob schon der bloße Kontrollverlust über eigene Daten einen immateriellen Schaden begründen kann. Anlass war ein Datenleak bei Facebook im Jahr 2019, bei dem Kriminelle über eine zu weit offene Schnittstelle an Nutzerdaten wie Namen, Telefonnummern und Adressen von über 500 Millionen Nutzern gelangten, darunter mutmaßlich sechs Millionen Deutsche. Der BGH hatte sich ein Berufungsurteil des Oberlandesgerichts Köln herausgepickt und die Revision zum sogenannten Leitentscheidungsverfahren erklärt. Diese Möglichkeit hat das oberste deutsche Gericht, seit am 31. Oktober das Leitentscheidungsgesetz in Kraft getreten ist: In Fällen, die grundlegende Rechtsfragen betreffen, soll eine Leitentscheidung des BGH als Richtschnur für niedere Instanzen in ähnlichen Fällen dienen. In seinem Urteil (Az. VI ZR 10/24) hat der BGH am 18. November die Hürden für immaterielle Schadensersatzansprüche nach Art. 82 DSGVO sehr niedrig gesetzt. Entgegen der Auffassung von Meta könne "auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein". Demnach müssen Betroffene nicht nachweisen, dass ihre Daten missbräuchlich verwendet worden seien. Auch Belege für Angst und Sorge vor einem Missbrauch sind dem Urteil zufolge nicht erforderlich. Besonders spannend: Nicht nur mündlich während der Urteilsverkündung, sondern auch in seiner schriftlichen Urteilbegründung gab der BGH den Instanzgerichten konkrete Hinweise zur Höhe der finanziellen Entschädigung für den erlittenen "Kontrollverlust". Für den konkreten Fall, bei dem keine Schäden nachgewiesen wurden, schlug er eine "Größenordnung von 100 Euro" vor. Falls der ein Fall gravierender ist, kann der Betrag laut BGH allerdings auch wesentlich höher sein. Im c't-Datenschutz-Podcast erläutert Dr. Lea Stegemann, Rechtsanwältin und Expertin für Schadensersatzansprüche aus DSGVO-Verstößen heraus, die Hintergründe und Auswirkungen des BGH-Urteils. Lea sieht in dem Urteil einerseits einen wichtigen Schritt für den Persönlichkeitsschutz der Betroffenen. Andererseits warnt sie vor Risiken für Unternehmen, wenn nun zusätzlich zu möglichen DSGVO-Bußgeldern noch Schadensersatzforderungen in Millionenhöhe kommen. Unklar bleibt fürs Erste, wie sich das Urteil auf die Praxis der Legal-Tech-Kanzleien auswirkt, die Betroffene zu Massenklagen animieren. Der Verbraucherzentrale Bundesverband (vzbv) hat jüngst eine Musterfeststellungsklage gegen den Facebook-Mutterkonzern Meta beim Hanseatischen Oberlandesgericht Hamburg eingereicht, der sich jeder Betroffene bald kostenlos anschließen kann. Lea sieht darin Chance, Ansprüche gesammelt anzumelden, ohne in dem einzelnen Fall ein Gerichtsverfahren und eine Beweisaufnahme durchführen zu müssen. Sie plädiert ohnehin für eine Pauschalierung und Bündelung von massenhaft vorhandenen, ähnlich gelagerten Schadensersatzansprüchen, um die Justiz zu entlasten. Der Gesetzgeber könne dafür die Rahmenbedingungen schaffen.

13.12.24 • 77:37

Eine bislang wenig beachtete Studie des österreichischen Forschers und Aktivisten Wolfie Christl aus August 2024 brachte es an den Tag: Microsoft bietet Unternehmen, die Microsoft 365 Enterprise nutzen, weitreichende Möglichkeiten, das Verhalten ihrer Mitarbeiter zu überwachen und zu analysieren. Es geht um zubuchbare Produkte zum "Sicherheitsinformations- und Ereignis-Management" (SIEM) und zu "User and Entity Behavior Analytics" (UEBA). Mit den Zusatzprodukten "Sentinel" und "Purview" können sich Arbeitgeber von Microsoft aufzeigen lassen, welche Mitarbeiter ein Sicherheitsrisiko darstellen könnten, etwa aufgrund "anstößiger" Chats oder häufigen Abrufen bestimmter Webseiten. Dabei werden riesige Mengen sensibler Mitarbeiterdaten verarbeitet und verknüpft, beispielsweise aus Teams und Sharepoint. Christl zeigt auf, wie Microsoft dafür intensiv KI einsetzt und Unternehmen ermutigt, detaillierte Profile ihrer Mitarbeiter zu erstellen, um "Risikofaktoren" und "Anomalien" zu erkennen. Im c't-Datenschutz-Podcast diskutieren Holger und Joerg die ethischen und rechtlichen Implikationen. Rechtsanwältin Anna Cardillo steht ihnen dabei mit ihrer Expertise zur Seite. Anna berät seit 2006 Unternehmen und Behörden im Datenschutz- und Informationssicherheitsrecht. Sie hat sich auf die Unterstützung bei der Implementierung und datenschtuzrechtlich sauberer Umsetzung digitaler Prozesse spezialisiert. Anna äußert erhebliche Zweifel an der Rechtmäßigkeit der Überwachungspraktiken, die Microsoft und andere von Christl untersuchte Unternehmen anbieten. Es fehle oft schlicht an Wissen und damit der an der nötigen Transparenz, austarierten Risikoabwägungen sowie einer Rechtsgrundlage für derart weitreichende Datenauswertungen. Das Fazit: Auch wenn Unternehmen ein berechtigtes Interesse an der IT-Sicherheit haben, sind viele der von Microsoft angepriesenen Überwachungsmaßnahmen unverhältnismäßig und könnten hierzulande unzulässig sein. Betroffene Mitarbeiter sollten sich nicht scheuen, die Praktiken kritisch zu hinterfragen und sich im Zweifelsfall beispielsweise an den Betriebsrat oder eine Hinweisgeberstelle zu wenden.

29.11.24 • 77:16

Nun hat es auch einmal den c't-Datenschutz-Podcast erwischt: Manchmal ändert sich die Nachrichtensituation von einen Tag auf den anderen gravierend, so geschehen am 6. November. Kaum war die aktuelle Folge im Kasten, löste sich die Ampelkoalition auf. Einige Gesetzesprojekte, über die es in der Episode gesprochen wird, dürften damit vorerst gestoppt sein. Dennoch halten wir die Episode 122 der Auslegungssache für sehr hörenswert, beleuchtet sie doch die Lage der Bürgerrechte in Deutschland sowie Bestrebungen der nun ehemaligen Bundesregierung, grundrechtsgefährdende Projekte auf die Schiene zu bringen. Im Mittelpunkt steht das Sicherheitspaket, das eventuell mit Hilfe der Unionsparteien trotz Ampel-Aus noch vor der Bundestagswahl realisiert werden könnte. Holger und Joerg sprechen darüber mit Dr. Ulf Buermeyer, Jurist, Mitgründer der Gesellschaft für Freiheitsrechte und Co-Host des Podcasts "Lage der Nation". Das in Reaktion auf den Messerangriff von Solingen hastig zusammengestellte Paket passierte Mitte Oktober zunächst den Bundestag, scheiterte dann aber vorerst im Bundesrat am Widerstand der Union. Diese fordert noch schärfere Maßnahmen wie eine Ausweitung der Befugnisse für Verfassungsschutz und Polizei. Besonders umstritten ist die Einführung einer Datenbank zur biometrischen Gesichtserkennung beim BKA. Ulf bezweifelt, dass eine solche Datenbank verfassungsrechtlich Bestand hätte. Er sieht darin einen massiven Eingriff in die Grundrechte. Ebenfalls diskutiert wurde in der Ampleregierung ein neuer Anlauf zur Vorratsdatenspeicherung von IP-Adressen. Hier sehen sich Befürworter wie Innenministerin Nancy Faeser durch ein EuGH-Urteil von April 2024 bestätigt. Die FDP setzte dem das Modell "Quick Freeze" entgegen, bei dem Verbindungsdaten erst bei einem konkreten Verdacht "eingefroren" und dann für Ermittlungen freigegeben werden. Ulf plädiert dafür, diesen Ansatz zumindest zu erproben und wissenschaftlich zu evaluieren. Insgesamt wünscht er sich eine Versachlichung der oft emotional geführten Debatte um innere Sicherheit und Migration. Sowohl Quick Freeze als auch die Vorratsdatenspeicherung dürften nun nach dem Ampel-Aus vorerst in den Schubladen verschwinden.

15.11.24 • 68:19

Die wirtschaftliche Lage in Deutschland und Europa setzt die Politik unter Druck, aber auch den Datenschutz. Das wurde zuletzt beim Digitalgipfel der Bundesregierung in Frankfurt deutlich. Bundeswirtschaftsminister Robert Habeck stellte dort die föderale Struktur der Datenschutzaufsicht in Frage. 16 Landesdatenschutzbehörden plus zwei in Bayern seien "ein bisschen viele". Er schlug vor, den Behörden thematische statt regionale Zuständigkeiten zuzuweisen. In der aktuelle Episode des c't-Datenschutz-Podcasts erörtert Holger zusammen mit dem freien Journalisten Falk Steiner die digitalpolitische Großwetterlage in Deutschland und Europa. Falk schildert die Stimmung auf dem Digitalgipfel. Ein Tenor war demzufolge, dass Deutschland als Wirtschafts- und KI-Standort hinterherhinkt. Datenschutz werde zunehmend als Bremsklotz der Digitalisierung dargestellt. Auch auf EU-Ebene deutet sich nach Falks Meinung ein Kurswechsel an. Die designierte neue EU-Kommission unter Ursula von der Leyen werde stark auf Wirtschaftswachstum und Bürokratieabbau setzen. Datenschütz dürfte mehr in den Hintergrund treten. Die für Digitales zuständige künftige Exekutiv-Vizepräsidentin Henna Virkkunen soll ein EU-Cloud- und KI-Entwicklungsgesetz vorantreiben. Eine Reform der Datenschutz-Grundverordnung (DSGVO) steht dagegen nicht auf ihrer Agenda. Die neue EU-Kommission werde insgesamt konservativer ausgerichtet sein als die bisherige. Prägende Figuren der Digitalpolitik wie Margrethe Vestager und Thierry Breton schieden aus. Zudem haben sich die Mehrheitsverhältnisse im EU-Parlament nach rechts verschoben. Das könnte Falk zufolge neue Regulierungen erschweren, aber auch bürgerrechtskritische Vorhaben wie die Vorratsdatenspeicherung bremsen, die der designierte Innenkommissar Magnus Brunner wieder aufgreifen soll.

01.11.24 • 57:35

Bei strafrechtlichen Ermittlungen und im Strafprozess sind datenschutzrechtliche Grundsätze außer Kraft gesetzt. Ist das wirklich so, und welche Personlichkeitsrechte gelten dann überhaupt noch? Mit diesen Fragen beschäftigen sich Holger und Joerg in der aktuellen Episode der Auslegungssache. Zu Gast ist der Vollblut-Strafverteidiger Jens Ferner, der, wie er selbst sagt, in seinem "vorherigen Leben" als Software-Entwickler gearbeitet hat und deshalb sehr gut einschätzen kann, wie die Ermittler in der digitalen Forensik vorgehen. In Jens' Verfahren geht es oft um Delikte mit IT-Bezug, doch darum soll geht es in der Podcast-Episode nicht einmal vorrangig. Jens erzählt sehr eindringlich und dennoch unterhaltsam aus dem Alltag eines Strafverteidigers. Er stellt dar, wie Hausdurchsuchungen wirklich ablaufen und gibt Tipps, wie man sich in einem solchen Fall verhalten sollte. Den verblüfften Podcast-Hosts erklärt er, warum vor der Polizei meist keine Daten sicher sind, auch nicht die Privatesten. Wie sollte man selbst sein Smartphone und seinen PC absichern, um keine Daten von sich und von anderen Personen preisgeben zu müssen? Wie versuchen Strafermittler, an die Daten zu kommen? Jens weist darauf hin, dass sichergestellte Datenträger wie Festplatten und Smartphones unter Umständen von jeder Dorf-Polizeidienststelle entsperrt und ausgelesen werden können. Und dann tauchen vielleicht ganz neue Probleme auf, weil aus Zufallsfunden eine andere als die ursprünglich vermutete Straftat konstruiert werden könnte. der Rat von Jens: "Gebt bloß keinen Zugriff auf die Geräte, egal wie sicher man sich wähnt!"

18.10.24 • 70:05

Unsere Redaktionen erreichen immer wieder Anfragen von Leserinnen und Lesern, wie es heise online, c't, oder andere Medien des heise-Verlags mit dem Datenschutz halten. Dürfen Journalisten beispielsweise personenenbezgene Daten, die aus einem Datenleak stammen, zu Recherchezwecken verwahren? Haben die betroffenen Personen diesbezüglich Auskunfts- und Löschrechte? Die Antwort darauf gibt die EU-Datenschutz-Grundverordung nur mittelbar, denn sie regelt diesen Sonderfall nicht direkt, sondern überlässt ihn in Art. 85 den Mitgliedsstaaten. Deutschland hat sich in Abwägung der Grundrechte - Pressefreiheit einerseits und informationelle Selbstbestimmung andererseits - für das sogenannte Medienprivileg entschieden: Unter anderem in den Landespressegesetzen ist geregelt, dass Medien aufgrund ihrer wichtigen Funktion personenbezogene Daten zu journalistischen Zwecken teils jenseits der DSGVO-Pflichten (etwa Rechtsgrundlagen und Betroffenenrechte) grundsätzlich verarbeiten dürfen. Schließen sich Presseerzeugnisse oder Onlinemedien der Selbstregulierung ihrer Branche an, unterliegen sie nicht der staatlichen Datenschutzaufsicht. Diese freiwillige Selbstregulierung hat in Deutschland bereits im Jahr 2001 der Presserat übernommen. Ihn tragen der Bundesverband Digitalpublisher und Zeitungsverleger (BDZV), der deutsche Journalisten-Verband (DJV), die deutsche Journalistinnen- und Journalisten-Union (dju) in ver.di sowie der Medienverband der freien Presse (MVFP). Im Episode 119 des c't-Datenschutz-Podcasts erläutert Roman Portack, warum es dieses Medienprivileg gibt und wie die Selbstregulierung in der Praxis funktioniert. Roman ist seit 2020 Geschäftsführer des Deutschen Presserats und außerdem Fachanwalt für Urheber- und Medienrecht. Im Podcast erklärt er zunächst, was der Pressekodex ist, dem sich die Redaktionen der teilnehmenden Medien verpflichtet sehen und der für die Beurteilung von möglichen Datenschutzverstößen in Redaktionen einschlägig ist. So verpflichten sich die Redaktionen bereits in der Präambel dieses Regelwerks, das Privatleben und das Recht auf informationelle Selbstbestimmung von Personen zu achten. Bei einer identifizierenden Berichterstattung muss das Informationsinteresse der Öffentlichkeit die schutzwürdigen Interessen von Betroffenen überwiegen (Ziffer 8 des Pressekodex). Die Weitergabe von Rechercheergebnissen darf nur zu journalistischen Zwecken erfolgen (Ziffer 5). Über ein Online-Formular kann jeder Bürger potenzielle Verstöße gegen diese datenschutzrechlichen Vorgaben melden. In der Podcast-Episode gehen Holger, Joerg und Roman einige Fälle aus der Praxis beispielhaft durch. Joerg selbst ist für den Medienverband der freien Presse (MVFP) Mitglied im Beschwerdeausschuss Datenschutz des Presserats, der über potenzielle Datenschutzverstöße in Redaktionen berät und urteilt. Ein Verstoß gegen den Pressekodex zieht einen Hinweis, eine Missbilligung oder eine Rüge nach sich. Im Falle einer öffentlichen Rüge haben sich die Verlage verpflichtet, diese im betreffenden Medium zu veröffentlichen.

04.10.24 • 66:23

Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum überschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern. Europäische Datenschutzbehörden arbeiten sich seit Jahren an den Datenschutzerklärungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersächsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zuständigen Datenschutzbehörde befürchten zu müssen. I, Episode 118 beschäftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. Dafür haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten für genau diese Thematik hinzugezogen. Jurist Olaf berät mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten. Zunächst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgeführten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abfließen, die Verwendung von Telemetriedaten ungenügend geklärt ist, die IT-Sicherheit nicht ausführlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschließend darstellt. Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklärt außerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstünden allerdings gerade mit der allmählichen Einführung der KI-Copiloten in die Produkte.

20.09.24 • 65:33

In Episode 117 dreht sich fast alles um das große Wort "Verantwortung". Diese ist ein Grundpfeiler des Datenschutzrechts: Wo personenbezogene Daten verarbeitet werden, muss jemand existieren, der für die Mittel und die Zwecke verantwortlich zeichnet. Diese reale oder juristische Person muss die Rechte von Betroffenen berücksichtigen, sorgt für rechtmäßige technische Maßnahmen und erfüllt die Compliance-Anforderungen. Nur ist es in der komplexen technischen Welt so, dass eher selten ein Verantwortlicher alles in der eigenen Hand hat. In der Regel werden Datenverarbeitungen ausgelagert, sei es zu einem Cloud-Anbieter oder eine Marketingagentur. Meist vereinbaren die Partner eine Auftragsverarbeitung, bei der der Verarbeiter nur Deligierter, aber kein Verantwortlicher ist. Mitunter kommt es aber auch vor, dass sich mehrere Parteien die Verantwortung zur Verarbeitung teilen. das sogenannte "Joint Controlling" nach Art. 26 DSGVO. Und hier wird es kompliziert. c't-Redakteur Holger und heise-Verlagsjustiziar Joerg besprechen dieses komplexe Feld mit Dr. Johannes Marosi. Johannes arbeitet als Rechtsanwalt für IT- und Datenschutzrecht bei Graf von Westphalen in Frankfurt am Main. Insbesondere aber hat er seine Dissertation über das Thema der gemeinsamen Verantwortung im Datenschutzrecht geschrieben. Johannes bestätigt, dass die alleinige Verantwortung heute selten vorkommt, da die meisten Unternehmen externe Dienstleister für verschiedene Aufgaben hinzuziehen. Ein typisches Beispiel für vertraglich gefestigte Auftragsverarbeitung ist das Webhosting, bei dem ein Cloud-Anbieter Kundendaten speichert und verarbeitet. Bei der gemeinsamen Verantwortung müssen die beteiligten Parteien in einem sogenannten Joint-Controller-Agreement festlegen, wer welche Aufgaben und Pflichten übernimmt. Johannes betont, dass es wichtig sei, derlei Vereinbarungen detailliert auszuarbeiten, um spätere Konflikte zu vermeiden. Im Gespräch wird deutlich, dass die gemeinsame Verantwortung komplex und oft schwer zu handhaben ist. Obwohl die DSGVO rechtliche Rahmenbedingungen vorgibt, bleibt vieles in der Praxis unklar. Unternehmen müssten daher sorgfältig prüfen, wie sie ihre Datenschutzverantwortung organisieren und dokumentieren, resümiert Johannes.

06.09.24 • 64:58

Die Auslegungssache weitet wieder einmal den Blick und schaut auf die Entwicklung der Digital- und Netzpolitik aus bürgerrechtlicher Perspektive. Zu Gast ist diesmal Markus Beckedahl. Wohl kaum jemand in Deutschland hat von zivilgesellschaftlicher Seite in den vergangenen 20 Jahren die Debatten intensiver verfolgt und mitgeprägt als er. Markus hat 2003 das Blog netzpolitik.org gegründet und war dort bis 2022 Chefredakteur. Im März dieses Jahres hat er den Staffelstab gänzlich übergeben. Außerdem ist er Mitinitiator der jährlichen Konferenz re:publica, deren Programm er noch heute kuratiert. Und nicht zuletzt hatte er 2010 den Verein "Digitale Gesellschaft" mitgegründet, dessen Vorsitzender und Sprecher er bis 2015 war. Im Gespräch mit Holger und Joerg schildert Markus, wie es sich anfühlte, als er 2015 erfuhr, dass gegen ihn wegen Landesverrats ermittelt wurde. Damals hatte netzpolitik.org Dokumente des Bundesamtes für Verfassungsschutz online gestellt, in denen es um Pläne zur stärkeren Überwachung des Internets ging. Markus, der inzwischen neue Projekte gestarten hat, blickt insgesamt positiv auf die netzpolitische Entwicklung in Deutschland zurück. "Manchmal grüßt schon das Murmeltier und die Forderungen nach mehr Überwachung wiederholen sich. Aber wenn wir nichts gemacht hätten wäre alles viel schlimmer", ist er sich sicher. Im digitalpolitschen Bereich helfe es, in langen Linien zu denken und zu schauen, wo man Steine in den Weg legt, um Fehlentwicklungen zu verhindern. Denn, so resümiert Markus: "Eine bessere digitale Welt ist möglich!"

23.08.24 • 66:54

Seine Ernennung verzögerte sich etwas, doch nun ist der niedersächsische Landesdatenschutzbeauftragte Denis Lehmkemper fast ein Jahr im Amt. Im c't-Datenschutz-Podcast spricht er mit Holger und Joerg über über den Prozess seiner Berufung und dieses erste Jahr. Direkt nach Amtsantritt habe er eine "gut aufgestellte Behörde vorgefunden" und "erst einmal viel zugehört". Lehmkemper vertritt eine kooperative Linie. Seinen Worten zufolge möchte er Dinge ermöglichen und lösungsorientiert arbeiten. In der Episode erläutert er beispielsweise, wie seine Behörde zum Ergebnis kam, dass Microsoft Teams in der niedersächsischen Landesverwaltung anders als in einigen anderen Bundesländern eingesetzt werden darf. Man habe gemäß der Linie der Datenschutzkonferenz mit Microsoft für Niedersachsen die Datenschutzvereinbarungen desn Konzerns angepasst. Um Lösungen für den Einsatz von KI von Wirtschaft und Verwaltung im Bundesland zu finden, hat Lehmkemper einen eigenen Expertenkreis eingerichtet. Zu den zwölf Teilnehmern zählen Vertreter aus der niedersächsischen Wirtschaft und Wissenschaft, der öffentlichen Verwaltung und Datenschutzexperten aus dem gesellschaftlichen Umfeld. Sie sollen "technische und rechtliche Gestaltungsvorschläge" erarbeiten. Dieser von Lehmkemper auch KI-Rat genannte Kreis wird sich zum ersten Mal am 14. August treffen.

09.08.24 • 69:26

Nun ist es soweit: Nach jahrelangen Verhandlungen tritt die KI-Verordnung der EU am 1. August tatsächlich in Kraft, weil sie am 14. Juli im Amtsblatt der EU veröffentlicht wurde. Allerdings kommt sie erst nach Übergangsfristen schrittweise zur Anwendung. Verbote von KI-Kategorien, etwa von Social Scoring, treten nach sechs Monaten in Kraft, die Verpflichtungen für allgemeine KI-Modelle (General Purpose AI, GPAI) gelten nach 12 Monaten und die Regeln für hochriskante KI-Systeme gelten nach 36 Monaten. Am meisten Arbeit dürften Unternehmen und Behörden die umfangreichen Transparenz- und Dokumentationspflichten machen. Im c't-Datenschutz-Podcast werfen Redakteur Holger Bleich und heise-Verlagsjustiziar einen genaueren Blick auf diese - je nach Risikokategorie - unterschiedlich scharfen Regeln. Zur Seite steht ihnen dabei Aurea Verebes. Sie berät und auditiert für die Plesnik GmbH Unternehmen, die KI implementieren möchten oder bereits im Unternehmen nutzen. Außerdem hat sie einen Praxisleitfaden für Datenschutzbeauftragte verfasst, in dem sie sich bereits ausführlich mit den neuen Anforderungen der KI-Verordnung befasst hat. Verebes erläutert die Grundstruktur der Verordnung und erklärt, was hinter dem risikobasierten Ansatz steckt. Außerdem erfahrt Ihr von ihr, wo in diesem Regulierungssystem die generative KI, also GPAI-Systeme, verortet ist. Schnell kommen die drei Diskutanten zur Erkenntnis, dass es sich bei der KI-Verordnung vor allem um ein echtes Compliance-Monstrum handelt. So ist beispielsweise in vielen Einsatzfällen von KI nicht nur eine Datenschutz-Folgeabschätzung erforderlich, sondern auch eine Risikoeinschätzung. Für Berater und Auditoren entsteht hier eine wahre Goldgrube.

26.07.24 • 72:21

Interne oder externe Datenschutzbeauftragte? Darüber sprechen wir mit unserem Gast, Julian Lang, der als Berater für Datenschutz und Informationssicherheit bei Althammer & Kill in Hannover tätig ist. Julian erzählt uns über seinen Alltag als externer Datenschutzbeauftragter, der für verschiedene Unternehmen tätig ist.​ Wir, das ist in dieser Folge neben Joerg als Gastmoderator Niklas Mühleis, der bereits bei uns zu Gast war und als Co-Host unseres neuen Heise-Podcasts "Vorsicht, Kunde!" zu verbraucherrechtlichen Fragen Stellung nimmt. Niklas vertritt Holger, der in dieser Woche seinen wohlverdienten Urlaub in südlichen Gefilden verbringt.​ Gemeinsam wird im Rahmen unserer Rubrik "Bußgeld der Woche" das Vorgehen der Datenschutzbehörden bei Datenklau-Fällen besprochen. Das sind solche Fälle, in denen sich Polizisten oder auch Ladendetektive die Daten meist von Frauen abrufen, um diese zu kontaktieren. Dazu herrschte allgemeines Erstaunen darüber, dass hier meist nur sehr geringe Bußgelder festgelegt werden.​ Im Hauptteil der Episode ging es dann um die Rollen und Aufgaben von externen Datenschutzbeauftragten. Lang ist seit vielen Jahren in diesem Bereich tätig und erzählt über seinen Werdegang, die Herausforderungen im Umgang mit den Unternehmen und nicht zuletzt über skurrile Erlebnisse in seinem Job.​ Die Folge endet mit einem Vergleich zwischen den Vor- und Nachteilen der Berufung eines externen Datenschutzbeauftragten gegenüber einer internen Beauftragung. Zum Abschluss haben die Gäste die Möglichkeit, einen Wunsch an die gute Datenschutzfee zu formulieren.​

12.07.24 • 73:40

Dass eine Landesdatenschutzbehörde weitgehend geräuschlos von einer kompetenten Hand in die nächste übergeben wird, ist mitterweile keine Normalität mehr. In Baden-Württemberg hat das funktioniert: Vor rund einem Jahr, am 1. Juli 2023, trat Prof. Tobias Keber die Nachfolge von Stefan Brink als Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württembergs an. In Episode 112 des c't-Datenschutz-Podcasts plaudert Keber über sein erstes Amtsjahr und erläutert, wie er seine Behörde sieht. Der studierte Jurist war zuvor von 2012 bis 2023 Professor für Medienrecht und Medienpolitik an der Hochschule der Medien Stuttgart. Keber ist außerdem seit seit 2015 Vorsitzender des wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD). Eine Schwerpunkt der Tätigkeit seiner Behörde legte er im ersten Jahr auf die Betrachtung von Künstlicher Intelligenz (KI) aus datenschutzrechtlicher Perspektive. In der Episode spricht sich Keber wie viele seiner Kolleginnen und Kollegen dafür aus, dass hierzulande die deutschen Datenschutzbehörden als Aufsicht für die bald in Kraft tretende KI-Verordnung fungieren. Der Behördenleiter fordert einen pragmatischen Blick auf generative KI und erzählt, dass er schon heute dutzende KI-Projekte öffentlicher Stellen im Ländle datenschutzrechtlich beurteilen muss.

28.06.24 • 68:01

Auslegungssache meets Passwort! In der aktuellen Episode trifft der c't-Datenschutz-Podcast auf sein neues Pendant aus der Security-Sparte von heise. Zu Gast sind nämlich Christopher Kunz und Sylvester Tremmel, die beiden Hosts des Podcasts "Passwort". Naturgemäß geht es deshalb diesmal weniger um Auslegungen der DSGVO als um handfeste IT-Sicherheitsprobleme, deretwegen bei Nutzern oder Unternehmen Datenabfluss droht. Christopher und Sylvester schätzen zunächst ein Bußgeld der Datenschutzbehörde Singapurs ein: Wegen eines schwachen Admin-Passworts kam es bei einer Lernplattform zu einem Einbruch und zum Abzug der Daten von über 500.000 Nutzern. Die beiden schätzen die beschriebene Schwachstelle ein und geben Tipps für gutes Passwort-Management sowie Policies in Unternehmen. Ihr Credo: Eine Policy allein genügt nicht, es braucht technische Maßnahmen, um die Mitarbeiter zu starken Passwörtern zu bringen. Im Hauptteil des der Episode erläutern Christopher und Sylvester, wie Nutzernamen-Passwort-Kombinationen gestohlen werden und was jeder einzelne dagegen tun kann. Sie schildern, auf welchen Kanälen derlei Daten gehandelt werden. Außerdem schätzen sie die Qualität und Wirkung von Leakcheckern wie "Have I Been Pwned" ein. Kann man ihnen trauen? Und wie sollte man sie nutzen, auch als Unternehmen?

14.06.24 • 62:35

Die aktuelle Episode des c't-Datenschutz-Podcasts steht fast komplett im Zeichen der Europawahl, die in Deutschland am 9. Juni stattfindet. Holger und Joerg haben sich vorgenommen, einen digitalpolitischen und datenschutzrechtlichen Rückblick auf die vergangene Legislaturperiode zu wagen und begründet dazu aufzurufen, wählen zu gehen. Als versierter Gast bereichert diesmal Falk Steiner das Gespräch. Falk beobachtet als freier Journalist für c't und heise online das politische Geschehen in Berlin und in Brüssel. In der Episode erläutert er die Zusammenhänge zwischen den vielen digitalpolitischen Gesetzgebungsverfahren im Bund und der EU. Außerdem besprechen die drei, welche Verfahren mit in die nächste Legislatur genommen werden dürften und was anstehen könnte. Nicht zuletzt spekulieren sie darüber, ob die Datenschutz-Grundverordnung in den nächsten fünf Jahren aufgeschnürt und reformiert werden könnte. Abschließend folgt noch ein kurzer Ritt durch die Parteiprogramme der größeren deutschen Parteien zur EU-Wahl. Es bleibt die Erkenntnis, dass zur Digitalpolitik durch die Bank viele Allgemeinplätze und wenig konkrete Forderungen zu finden sind. Allenfalls große politisch Linien lassen sich finden. Falk merkt lakonisch an, dass Digitalpolitik und insbesondere Datenschutz eben nach wie vor bei vielen Entscheidungsträgern keinen hohen Stellenwert genießt

31.05.24 • 74:46

Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen. In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen. Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen. Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen. In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung. Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.

17.05.24 • 65:56

Der Umsatz mit Computerspielen steigt in Deutschland kontinuierlich. 2023 wurden mit PC-Games und Konsolenspielen mehr als 3,7 Milliarden Euro umgesetzt. Besonders boomt der Markt auf Smartphones und Tablets: Für fast drei Milliarden Euro kauften Daddlerinnen und Daddler Items, Skins oder Coins per In-App-Stores in den Spielen. Für die Branche gelten hierzulande dieselben datenschutzrechtlichen Einschränkungen wie für etwa soziale Medien. Hinzu kommen allerdings noch strenge Jugendschutzbestimmungen. Und längst werden die Games nicht mehr (nur) im Laden gekauft, sondern hauptsächlich über Plattformen wie Steam, Playstation oder eben den Appstores von Google und Apple. Sowohl beim Kauf als auch bei der Nutzung fallen eine Menge Daten an. Im Datenschutz-Podcast von c't erläutert ein juristischer Experte und Interessenvertreter die Perspektive der deutschen Games-Branche: Prof. Christian-Henner Hentsch ist Professor für Urheber- und Medienrecht an der Kölner Forschungsstelle für Medienrecht der TH Köln, daneben verantwortet als Leiter Recht und Regulierung für den Verband der Deutschen Games-Branche "game" alle verbandsinternen rechtlichen Fragen sowie die rechtspolitischen Themen. Henner gibt einen Einblick in die Branche und erklärt, welche Parteien dort derzeit agieren, von Plattformen über Publisher bis zu Indie-Studios. Weil der Verkauf von Werbeplätzen in Spielen kaum stattfinde, benötigten Spiele-Anbieter in aller Regel keine Einwilligung zur Datenerhebung. In diesem Bereich werde alles über die Kauf- und Nutzungsverträge geregelt. Dies umfasse auch die Verarbeitung von anfallenden personenbezogenen Daten während des Spielens. Bei den Plattformen selbst würden eine Menge Daten auflaufen, doch diese würden nur sehr eingeschränkt an Publisher und Entwickler weitergegeben, sagt Hentsch. Aber natürlich finde eine Beobachtung der Spieler statt, um das Spielerlebnis zu optimieren und manchmal auch, um geeignete Stellen zu finden, an denen jemand besipielsweise besonders interessiert sein könnte, mit zusätzlichen Items den Fortgang des Games zu beschleunigen.

03.05.24 • 72:20

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

19.04.24 • 65:15

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien (teilweise von Minderjährigen) offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber hatte c't auf das gravierende Datenleck aufmerksam gemacht. Wir verifizierten das Problem und wiesen die Stay Informed GmbH aus Freiburg darauf hin. Sie reagierte umgehend und schloss die Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Träger einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragsnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Dies sind vielmehr die mehr als 11.000 angeschlossenen Auftragsgeber, also alle Einrichtungen. In Episode 106 der Auslegungssache spricht Joerg mit Holger über die rechtlichen Grundlagen und die Folgen. Holger war an der Recherche zum Stay-Informed-Datenleck beteiligt und kann viel berichten. Joerg erklärt, welche Rolle Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen. Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen - und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das datenverarbeitende System hatten und haben.

05.04.24 • 61:54

Rechtsanwälte bekommen es in der datenschutzrechtlichen Beratungspraxis mitunter mit skurrilen Anfragen von Verbrauchern zu tun. Oft geht es dabei im Alltag um die Durchsetzung von Auskunftsansprüchen und Schadensersatzforderungen. Nebenher müssen sie sich mit Rechtsschutzversicherungen um die Vergütung ihrer Tätigkeit zoffen. In der neuen Episode des c't-Datenschutz-Podcasts plaudert Niklas Mühleis ein wenig aus dem Nähkästchen. Niklas ist Rechtsanwalt und Partner in der Hannoverschen Kanzlei Heidrich Rechtsanwälte, zusammen mit Podcast-Cohost und Heise-Verlagsjustiziar Joerg. Er berichtet über konkrete Fälle und erläutert, welche Kosten anfallen, wenn man einen Anwalt engagiert, um seine Rechte durchzusetzen. Anlass des Besuchs ist, dass Niklas im neuen Heise-Podcast "Vorsicht, Kunde!" als Experte verbraucherrechtliche Fragen aus der IT-Welt juristisch einordnet (siehe Shownotes). Außerdem wagen c't-Redakteur Holger, Joerg und Niklas in der neuen Auslegungssache einen Rückblick auf die Bußgeld-Praxis der europäischen Datenschutzbehörden im vergangen Jahr 2023. Anlass ist eine zusammenfassende Statistik des DSGVO-Portals. Demnach ist die Gesamtsumme der verhängten Bußgelder in Europa um 29 Prozent gegenüber 2022 gestiegen. Insgesamt seien es 2023 2,11 Milliarden Euro gewesen, wobei allein 1,2 Milliarden auf ein einizges Bußgeld gegen Facebook zurückzuführen sind.

22.03.24 • 69:44

Die Datenschutz-Grundverordnung (DSGVO) gibt "Betroffenen" von Datenverarbeitung einige Rechte in die Hand, beispielsweise das Auskunftsersuchen und die Möglichkeit, personenbezogene Daten vom Verantwortlichen löschen zu lassen. Damit sie wissen, welche Rechte ihnen zustehen und wo sie diese einfordern können, schreibt die DSGVO außerdem in Art. 13 und 14 Informationspflichten vor. Es geht zuallererst um die allseits bekannte Datenschutzerklärung, aber nicht nur um sie. Bei den Informationspflichten steckt der Teufel oft im Detail. Grund genug für den c't-Datenschutz-Podcast, einmal genauer auf den Gesetzestext und mögliche Konstallationen in der Praxis zu schauen. Holger und Joerg bekommen dabei Unterstützung von Barbara Schmitz, Rechtsanwältin für IT- und Datenschutzrecht. Barbara berät Unternehmen zur Erfüllung der Informationspflichten und kann aus ihrem beruflichen Alltag berichten. Kaum beachtet wird in der öffentlichen Diskussion der genannte Art. 14 DSGVO, in dem es um Informationen zu Daten geht, die nicht vom Verantwortlichens selbst erhoben, aber von diesem weiterverarbeitet werden. Hierzu muss er konkret und in einer zeitlichen Frist nach Erhalt die Quelle offenlegen. Spannend: Ändert sich der Verarbeitungszeck, muss auch das mitgeteilt werden. Die Drei in der Runde grübeln darüber, wo diese Pflicht in der Praxis verfängt und ob ihnen eine solche Information schon einmal untergekommen ist.

08.03.24 • 70:33

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

23.02.24 • 78:29

Derzeit spielt sich um den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber ein unwürdiges politisches Schauspiel vor den Augen der Öffentlichkeit ab. Kelber, dessen erste fünfjährige Amtszeit am 7. Januar ablief, ist derzeit nur noch geschäftsführend im Amt. Und dies ist der Fall, obwohl sich der SPD-Politiker und Informatiker einen hervorragenden Ruf im Amt erarbeitet hat und in der Datenschutz-Community hoch geachtet wird. Kelber selbst hat in einem ungewöhnlichen Statement selbst erklärt, dass er sich gerne für eine weitere fünfjährige Amtszeit zur Verfügung stellt. Er müsste dafür von der Bundesregierung vorgeschlagen und vom Bundestag gewählt werden. Für seine erste Amtzeit hatte ihn 2019 die SPD vorgeschlagen. Doch die verzichtete nun auf diese Möglichkeit. Der Grund dafür könnte sein, dass sie bereits andere Posten zugeschlagen bekommen hat, vielleicht war ihr Kelber aber auch zu unbequem geworden. Nun liegt das Vorschlagsrecht innerhalb der Ampelkoalition bei den Fraktionen von FDP und Grünen. Die tun sich augenscheinlich schwer, eine geeignete Person als Nachfolger zu benennen, die den Job unter diesen Umständen noch annehmen würde. Parteilos sollte diese Person sein, und fachlich qualifiziert, ist aus den Fraktionen zu hören. Wie die Sache ausgeht, scheint derzeit völlig offen. Dieser unschönen Gemengelage nimmt sich der c't-Datenschutz-Podcast Auslegungssache in seiner aktuellen Episode an. Redakteur Holger Bleich hat sich dazu zwei Gäste eingeladen, die die Lage fachkundig analysieren und ihre Meinung dazu nicht hinter dem Berg halten: Dr. Stefan Brink war selbst bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg und kennt sich mit den Verfahren bestens aus. Falk Steiner berichtet als freier politischer Korrespondent seit langen Jahren für c't und heise online aus Berlin und Brüssel. Im Podcast erläutert er die politischen Scharmützel rund um die Neubesetzung des Amts und ordnet sie in größere Zusammenhänge ein. Brink hält das Ernennungsverfahren von Leitern der Datenschutzbehörden für völlig intransparent und nicht vereinbar den Vorgaben aus Art. 53 DSGVO: "Es muss ja nicht nur der Wahlakt selbst transparent sein, es beginnt früher. Wo bleiben die Ausschreibungen, aus denen mehrere Bewerber hervorgehen, um eine Auswahl zu haben?" Momentan würden die der Kontrolle Unterworfenen ihre eigenen Kontrolleure bestimmen. Brink weist im Podcast ausdrücklich darauf hin, dass auch er 2016 in einem solchen Verfahren gewählt wurde. Ob er selbst für das Amt des BfDI zur Verfügung stünde? "Ein klares Nein! Man hat mich mehrmals gefragt, und sogar an mich appelliert, mein Nein zu überdenken." Aus dem politischen Berin weiß Steiner zu berichten, dass "zurzeit hinter den Kulissen gemauschelt wird ohne Ende". Da sei auch ein Machtspiel innerhalb der SPD in Gange, bei dem es sogar um rheinischen Klüngel gehe: "Es spielen da Dinge eine Rolle, die mit Datenschutz rein gar nichts zu tun haben." Welche das sind, erfahren Sie in der Podcastepisode.

09.02.24 • 66:49

Gespannt hatte die Datenschutz-Community im Dezember vergangenen Jahres nach Luxemburg geblickt. Gleich sechs Entscheidungen des Europäischen Gerichtshofs standen an, die mehr Klarheit in strittige Fragen zur DSGVO-Auslegung bringen sollten. Doch haben sie diese Erwartung erfüllt? Dieser Frage gehen Joerg Holger in dieser Episode nach. Bereits zum dritten Mal stellte sich Prof. Alexander Golland als Experte zur Verfügung, um im Podcast die Sachlagen kompetent einzuordnen. Alexander lehrt und forscht an der Fachhochschule Aachen zum Recht der Digitalisierung und ist daneben Autor und Herausgeber zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Schriftleiter der Fachzeitschrift "Datenschutz-Berater". Zunächst diskutieren die Drei die EuGH-Entscheidung "Schöner Wohnen" (C-807/21). Dieser zufolge sind DSGVO-Bußgelder gegen Unternehmen möglich, wenn sie ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss hingegen nicht nachgewiesen sein. Dieses muss sich das Unternehmen als juristische Person zurechnen lassen, so der EuGH. Beide Streitparteien werteten das Urteil als Erfolg. Alexander bezeichnet es als "salomonisch" und meint, eigentlich kann sich keine der beiden Seiten darüber freuen sollte. Weiter geht es in der Episode mit den Entscheidungen "NAP" (C-340/21) und "Gemeinde Ummendorf" (C-456/22). Hier wurden Schadensersatzansprüche nach Art. 82 DSGVO aus Datenschutzverstößen heraus verhandelt, konkret ein Cyberangriff, bei dem eventuell personenbezogene Daten abgezogen wurden. Der EuGH entschied de facto eine Beweislastumkehr: Verantwortliche müssen künftig nachweisen, dass ihre Systeme nach Art. 32 DSGVO ausreichend gesichert waren, wenn jemand einen Schaden behauptet. Dem Urteil zufolge können bereits Sorgen und Befürchtungen um einen möglichen Datenverlust einen Schadenersatzanspruch begründen. Doch das die Ängste einen Schaden darstellen, müssen die Betroffenen im Einzelfall nachweisen. Alexander hält diesen Nachweis je nach Umstand für schwierig: "Vielleicht muss mir die Ehefrau bestätigen, dass ich aus Furcht vor dem Missbrauch meiner Daten jede Nacht von drei bis fünf Uhr morgens bibbernd auf der Bettkante saß? Oder ich muss eine Art Angsttagebuch vorlegen können?"

26.01.24 • 56:46