Show cover of Auslegungssache – der c't-Datenschutz-Podcast

Auslegungssache – der c't-Datenschutz-Podcast

Sie möchten beim Thema Datenschutz auf dem Laufenden bleiben, aber keine seitenlange Literatur wälzen? Dann wenden Sie sich vertrauensvoll an unser Juristen-Redakteurs-Duo. Alle 14 Tage bespricht c't-Redakteur Holger Bleich mit Joerg Heidrich aktuelle Entwicklungen rund um den Datenschutz. Joerg ist beim c't-Mutterschiff Heise Medien als Justiziar für das Thema zuständig und hat täglich mit der europäischen Datenschutz-Grundverordnung (DSGVO) zu tun. Wechselnde Gäste ergänzen das Duo. Mehr Infos gibts unter https://heise.de/-4571821

Tracks

Datenschutz-Fundamentalismus?
Eine Kolumne von Sascha Lobo auf Spiegel Online hat Mitte September dieses Jahres für heftige Diskussionen unter Datenschützern gesorgt. Der vom Spiegel so titulierte "Strategieberater mit den Schwerpunkten Internet und digitale Technologien" holte zum großen Rundumschlag gegen den "Datenschutz als Verhinderungswaffe" aus. Dem "real existierenden Datenschutz" gehe es "leider häufiger ums Prinzip als um das digitale Leben", behauptete Lobo. Namentlich hat sich der Kolumnist auf Thilo Weichert eingeschossen, den ehemaligen schleswig-holsteinischen Landesdatenschutzbeauftragen, der von 2004 bis 2015 recht lautstark agiert hatte. Weichert sei "eine Art Hohepriester der radikalen schleswig-holsteinischen Datenschutzschule", meinte Lobo. Weicher habe mit "dem metaphorischen Schrotgewehr gegen alle Formen sozialer Medien von bösen Digitalkonzernen geschossen". Grund genug für Holger und Joerg, Weichert in den c't-Datenschutz-Podcast einzuladen und ihn zu den Fundi-Vorwürfen zu befragen. Im Gespräch bestätigt Weichert, seit jeher auf einigen datenschutzrechtlichen Grundprizipien zu beharren und da durchaus fundamentalistisch zu argumentieren. Lobos Kritik aber weist er weit von sich, und greift den Kolumnisten frontal an. Weichert plaudert über seinen langen Konflikt gegen Facebook und betont, dass soziale Medien nicht zwingend und permanent Grundrechte verletzen müssen, um erfolgreich zu sein. Befragt zum dem Zustand des Datenschutzes in Deutschland nach Wirksamwerden der DSGVO 2018, kritisiert Weichert die ehemalige Bundesdatenschutzbeauftrage Andrea Voßhoff und lobt ihren Nachfolger Ulrich Kelber. Auf Landesebene kommt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bei Weichert besonders schlecht weg: Aus seiner Zeit berichtet er, dass dort "politische Ansagen zugunsten des Wirtschaftsstandorts offensichtlich eine Rolle gespielt haben". Weichert wörtlich: "Ich habe mich lange zurückgehalten mit Kollegenschelte, aber das ist ein seit vielen Jahren zu beobachtendes Phänomen."
64:42 09/23/2022
Datenschutz in der Schule
Mittlerweile hat an allen deutschen Schulen das neue Schuljahr begonnen. Aus diesem Anlass widmen sich Holger und Joerg in der neuen Folge dem Datenschutz in der Schule. Kompetent zur Seite steht ihnen dabei Dr. Daniel Sandvoß. Der Jurist lehrt als Hochschuldozent und übernahm 2018 die Leitung des Instituts für Digitalisierung und Datenschutz ID2. Daniel hat zum Thema Datenschutz und Schule promoviert und war an der Entwicklung der niedersächsischen Schulcloud beteiligt. Nach Ansicht von Daniel steht es um den den Datenschutz in Schulen nicht gut. Er vergleicht die Situation mit einem halb eingerissenen Bauklötzchenturm, gar einem "Trümmerhaufen", dem die Baumeister fehlen. Vieles, was die DSGVO fordert, können Schulen derzeit nicht umsetzen. Insbesondere die Dokumentationspflichten würden nicht erfüllt; es mangele an Verarbeitungsverzeichnissen, für die Risikoanalysen nötig wären. Daniel betont, dass in Schulen mit besonders sensiblen Daten nach Art. 9 DSGVO hantiert werde. Im Aufklärungsuntericht etwa geht es auch um sexuelle Orientierung, im Relegionsunterricht um Religionszugehörigkeit, und im Politikunterricht um politische Ausrichtung. Meist handelt es sich um die Verarbeitung von Daten Minderjähriger, was die Lage noch brisanter macht. Dem gegenüber stehen nach Daniels Darstellung überforderte Schulleitungen, die gemäß Datenschutzrecht als Verantortliche Stellen für die Datenverarbeitung fungieren, oft, ohne es zu wissen. Von den Kommunen erhalten Schulen oft wenig konkrete Unterstützung. Zwar drohen keine Bußgelder, weil Schulen öffentliche Stellen sind. Allerdings können Aufsichtsbehörden Verfügungen oder Anordnungen aussprechen, etwa Verbote des Einsatzes bestimmter Software.
69:24 09/09/2022
Vorsicht Kamera!
Nicht nur große Unternehmen überwachen ihr Gelände gerne mit Kameras, sondern auch Privatleute ihren Haus- oder Wohnungseingang. Kameras sind allgegenwärtig, und allzu oft verstößt deren Einsatz gegen Datenschutzrecht, wie die große Zahl von Beschwerden und Bußgeldern belegt. Genug Anlass für den c't-Datenschutz-Podcast, sich ausführlich mit den rechtlichen Grundlagen und vor allem mit den Pflichten zu beschäftigen, die es beim Betrieb von Überwachungskameras im beruflichen wie privaten Bereich zu beachten gilt. Holger und Joerg haben dazu Nils Christian Haag eingeladen. Der promovierte Rechtsanwalt ist Vorstand der intersoft consulting AG, die unter anderem das Infoportal Dr. Datenschutz betreibt. Weil die Datenschutz-Grundverordnung (DSGVO) das Themenfeld Videoüberwachung nicht explizit regelt, erläutert Nils zunächst, welche Vorschriften anzuwenden sind. Eine Rechtsgrundlage kann sich aus Art. 6 ("berechtigtes Interesse") ergeben. Zusätzlich müssen Kamerabetreiber Transparenzpflichten (Art. 13 DSGVO) erfüllen, meist in Form von gut sichtbar ausgehängten Hinweisschildern. Diese können sogar an Autos erforderlich sein, wie sich auch aus dem "Bußgeld der Woche" ergibt. Die drei erklären, wie solche Schilder aussehen müssen und wo man sie am besten anbringt. Rechtliche Probleme gibt es in diesem Zusammenhang auch beim Einsatz von digitalen Videokameraklingeln wie Ring von Amazon. Diese müssen zwingend so ausgerichtet werden, dass bei ihrer Nutzung nicht auch noch die Haustüre des Nachbarn überwacht wird. Eine besondere Warnung spricht Nils für die Nutzung von Kameras mit Tonaufzeichnung aus. Hier kann sogar eine Strafbarkeit in Form der Verletzung der Vertraulichkeit des Wortes nach Paragraf 201 StGB lauern, etwa wenn man ein Gespräch der Nachbarn aufzeichnet.
67:42 08/26/2022
Umgang mit Kundenprofilen
Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat Ende Juli ein praxisrelevantes Verfahren rund um die Auswertung, Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000 Euro Bußgeld soll die Hannoversche Volksbank bezahlen, weil sie ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben und dazu einen Dienstleister herangezogen haben soll. Die Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen angereichert. Ziel sei gewesen, für bestimmte Werbeformen empfängliche Kunden herauszufiltern. Dieses Verfahren ist für den c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und Joerg haben für die Episode 68 deshalb David Pfau eingeladen. David ist "Head of Data & Privacy" bei der conreri digital development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener Datenschutzexperte und berät Unternehmen der Medien- und Digitalbranche. Zunächst besprechen die drei, wie und wo Profilbildung in der DSGVO definiert ist und welche Rechtsgründe es dafür geben kann. Unweigerlich landet man da beim recht unbestimmten "berechtigten Interesse" des Verantwortlichen, also dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmäßig herangezogen wird, um der individuellen Einwilligung jedes Kunden zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt nicht jede Verarbeitung von Kundendaten, wie David betont. Einem freizügigen Umgang mit Kundendaten steht auch die Zweckbindung entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt Unternehmen, sich schon bei der Erhebung von Informationen genau mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst weit zu fassen. Insbesondere, wenn Kundendaten später angereichert oder zum Profiling genutzt werden sollen, wird schnell die Grenze des rechtlich Zulässigen erreicht, die David ausführlich erläutert.
79:04 08/12/2022
Der Elefant im Datenraum
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (BfDI) steht stets im Fokus der Öffentlichkeit. Seiner Aufsicht unterliegen nicht nur die deutschen Niederlassungen von Meta (ehemals Facebook) und Google, sondern auch etliche große deutsche Medienhäuser, etwa der Springer-Konzern. Mit Spannung war daher im vergangenen Jahr erwartet worden, wer dem scheidenden, langjährigen BfDI Johannes Caspar folgen wird. Im November 2021 übernahm der Jurist Thomas Fuchs nach seiner Wahl durch die Hamburger Bürgerschaft das Amt. Fuchs war zuvor 13 Jahre lang Direktor der Medienanstalt Hamburg/Schleswig-Holstein. Er ist also im Bereich der behördlichen Aufsicht kein Unbekannter. In der aktuellen Episode 67 des c't-Datenschutz-Podcasts erzählt er von seinen ersten Monaten als oberster Hamburger Datenschützer. Fuchs betont, dass er einen kooperativen Ansatz seiner Behörde in den Vordergrund stellt. Datenschutz sei in den vergangenen vier Jahren vorwiegend als das "scharfe Schwert", die Drohung mit dem Bußgeld, wahrgenommen worden. Es gebe aber ein großes Bedürfnis nach demokratischer Datennutzung, etwa für Forschung und Mobilität: "Das möchte ich von Anfang an begleiten", betont Fuchs. Als Beispiel für verfehlte Regulierung nennt er die Pläne zu einem Impfregister: "Wir haben in der Coronapandemie brutalen Datenmangel. Viele haben gesagt, ein Impfregister geht datenschutzrechtlich nicht. Ich würde sagen: Das ginge sehr wohl datenschutzkonform, wenn klar geregelt würde, wer darauf zugreifen darf." Das Werk seines Vorgängers will Fuchs fortführen: "Wir beschäftigen uns weiterhin intensiv mit Meta und Google, und wir haben auch noch Einfluss auf die Entscheidungen, die allerdings in Irland getroffen werden." Fuchs ist guter Dinge, dass die irische Datenschutzbehörde als in der EU zuständige Aufsicht über die großen Tech-Konzerne gerade die Zügel anzieht. "Eine Entscheidung zur Datenübermittlung von Facebook in die USA steht beispielsweise unmittelbar bevor." Bauchschmerzen bereitet Hamburgs neuem BfDI die Ausformulierung der EU-Datenstrategie. Gesetze wie der Data Act oder der Data Governance Act seien zwar für sich genommen "spannend und relevant". Aber es sei "schlicht eine Katastrophe", dass sie keine Ausnahmen zur DSGVO enthalten, sondern komplett mit ihr in Einklang zu bringen sind: "Künftig dürften noch mehr Projekte gar nicht erst in Angriff genommen werden, aus Angst davor, irgendwie gegen Datenschutzrecht zu verstoßen." Die DSGVO müsse sich in einen Binnenmarkt einbetten, der auch Wirtschaftsinteressen berücksichtigt, sonst sei sie nicht zukunftsfähig.
75:52 07/29/2022
Die Industrieperspektive
Immer mehr Datenschutzexperten beklagen, dass der Datenschutz allzu einseitig als Verbraucherschutz interpretiert wird. Andere Interessen wie die der Forschung, der Bildung oder auch der Wirtschaft blieben dabei häufig auf der Strecke. Für Holger und Joerg ist das ein Anlass, im Podcast einmal die Perspektive der datengetriebenen Industrie zu beleuchten. Dazu haben sie Rebekka Weiß in die aktuelle Episode 66 eingeladen. Rebekka ist die "Leiterin Vertrauen & Sicherheit" beim IT-Branchenverband Bitkom. Die Volljuristin betreut beim Verband unter anderem die inhaltliche Arbeit in den Bereichen Datenschutz, Wettbewerbs- sowie Kartellrecht, Trust Services und Digitale Identitäten. Sie vertritt den Bitkom und die Wirtschaft in verschiedenen Expertengremien und stimmt deshalb durchaus zu, wenn sie im Podcast von Bleich als Lobbyistin bezeichnet wird. Sie erläutert, an welchen Stellen sie im politischen Berlin mitspricht. Rebekka berichtet davon, mit welchen Problemen die Unternehmen nach wie vor bei der Umsetzung des Datenschutz im Alltag zu kämpfen haben. Auf der einen Seite seien vier Jahre nach Wirksamwerden der DSGVO Prozesse angepasst worden und Datenschutz werde nun bereits bei der Entwicklung von Prozessen und Innovationen mitgedacht. Trotzdem gäbe es immer noch viele Rechtsunsicherheiten, beispielsweise bei der Umsetzung von Auskunftsansprüchen, die in letzter Zeit mehr und mehr wahrgenommen werden. Und auch die unklaren rechtlichen Verhältnisse beim Datentransfer in die USA stelle viele Unternehmen vor große Probleme. Die Juristin wünscht sich mehr Balance und Ausgleich bei der Auslegung der DSGVO und mehr Einigkeit der Behörden.
71:57 07/15/2022
Datenschutz in der Blockchain?
Blockchains, Crypto-Währungen, Smart Contracts... Im Marketing werden diese Konzepte und Techniken oft als datenschutzfreundlich gepriesen. Doch stimmt das? In Episode 65 des c't-Datenschutz-Podcasts Auslegungssache gehen Holger und Joerg dieser Frage nach. Und weil beide freimütig zugeben, dass sie selbst nicht genügend zu dem Thema wissen, holen sie sich kompetente Verstärkung: c't Redakteur Sylvester Tremmel kennt sich nicht nur mit Blockchain-Technologie aus, sondern kann sie in c't-Artikeln und im Podcast auch prima erklären. Diese Episode eignet sich daher auch für alle, die ohne Marketing-Sprech in die Thematik eingeführt werden wollen. Nach Sylvesters grundlegenden Erläuterungen geht es in einem zweiten Teil der Episode darum, wie sich Blockchains mit aktuellem Datenschutzrecht, insbesondere der DSGVO, vertragen. Wo entstehen personenbeziehbare Daten? Lassen sich Daten in der Blockchain im nachhinein ändern oder sogar löschen, wie es die DSGVO fordert? Und vor allem: Wer ist im Blockchain-Konzept überhaupt verantwortlich für die Datenverarbeitung und könnte sanktioniert werden? Sylvester, Joerg und Holger kommen zu dem Ergebnis, dass die DSGVO kaum auf Blockchains anwendbar ist und somit eine große Leerstelle besteht.
79:12 07/01/2022
DSGVO in der öffentlichen Verwaltung
Es hagelt derzeit Bußgelder wegen Datenschutzverstößen gegen deutsche Unternehmen. Die Landesdatenschutzbehörden nehmen diesbezüglich im europäischen Vergleich eine Spitzenposition ein. Doch ein Bereich, der die Bürgerinnen und Bürger stark betrifft, findet in der medialen Berichterstattung kaum statt: Die öffentliche Verwaltung. Welche datenschutzrechtlichen Pflichten entstehen für die Behörden aus der DSGVO heraus? Welche Sanktionen haben sie zu befürchten? Diese Fragen stellen sich Joerg und Holger in der aktuellen Episode des c't-Datenschutz-Podcasts Auslegungssache. Ein versierter Gast steht Rede und Antwort: Dr. Daniel Sandvoß lehrt seit 2010 am Niedersächsischen Studieninstitut für kommunale Verwaltung (NSI) und der Kommunalen Hochschule für Verwaltung in Niedersachsen (HSVN). Sein Schwerpunkt in der Lehre liegt im Bereich Datenschutz und Digitalisierung. Im Datenschutz ist der zudem intensiv als Fortbildungsreferent tätig. Daniel erklärt in der Podcast-Episode, welche Änderungen sich aus der DSGVO für die Kommunen ergeben haben. Er schildert, warum er es für sinnvoll hät, dass Behörden anders als Unternehmen nicht mit Bußgeldern sanktioniert werden können. Besonders spannend: Daniel berichtet aus seinen alltäglichen Erfahrungen bei Datenschutz-Fortbildungen, die er für Beamte in Verwaltungen seit Jahren abhält. Die Awareness sei teilweise gestiegen, es gebe viele gute Beispiele engagierter Kommunen, denen die Themen DSGVO und Datenschutz eben nicht egal seien.
70:45 06/17/2022
Bußgelder und Schadensersatz - Entwicklungen
Am 25. Mai 2022 jährte sich die Wirksamkeit der EU-Datenschutz-Grundverordnung (DSGVO) zum vierten Mal. Erhebungen zufolge haben die Datenschutzbehörden aller EU-Mitgliedsstaaten in den vier Jahren insgesamt bereits mehr als 1,6 Milliarden Euro an Bußgeldern verhängt. Allerdings verteilt sich die Summe sehr ungleich, weil es bislang keine einheitliche Bemessungsgrundlage für Datenschutzverstöße gibt. Dies soll sich nun ändern: Am 12 Mai hat der Europäische Datenschutzausschuss (EDSA) als gemeinsames Abstimmungsgremium der EU-Datenschutzbehörden ein Bußgeld-Berechnungsschema für DSGVO-Verstöße beschlossen, das die zuständigen Aufsichtsbehörden Schritt für Schritt durcharbeiten sollen. Ersten Einschätzungen zufolge wird es vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen. In Mitgliedstaaten, die bislang eher niedrige Geldbußen verhängt haben, sind strengere Sanktionen künftig sehr wahrscheinlich. Joerg und Holger erläutern das neue Modell. Zur Seite steht ihnen Rechtsanwalt Tim Wybitul, der bereits in Episode 21 zu Gast war. Tim vertritt teils sehr umsatzstarke Mandanten in Datenschutzstreitigkeiten vor Gericht und mit Behörden, bei internen Untersuchungen und in anderen datenschutzrechtlichen Auseinandersetzungen. Er erklärt im Podcast beispielsweise die Unterschiede zwischen behördlichen Anordnungen und Bußgeldverfahren, die vor verschiedenen Gerichten ausgefochten werden und ordnet das EDSA-Berechnungsmodell ein. In einem zweiten Teil geht es im Podcast um das verwandte Thema der Schadensersatzforderungen aus DSGVO-Verstößen. Tim erläutert die aktuelle Rechtsprechung in einigen Verfahren. Seiner Beobachtung zufolge ergibt sich eine klare Tendenz. Massenhafte Schadensersatzforderungen entwickeln sich zu einem lukrativen Geschäftsmodell, weil die Gerichte zunehmend immaterierelle Schäden bejahen, etwa beim Einsatz von Google Fonts auf einer Webseite ohne Einwilligung der Besucher: "Schadensersatzforderungen dürften sich langfristig zu einem noch höheren finanziellen Risiko für Unternehmen entwickeln als Bußgelder."
67:07 06/03/2022
Massenüberwachung mit "Chatkontrolle"?
Selten hat ein Gesetzesvorschlag der EU-Kommission so viel Widerspruch in kurzer Zeit geerntet wie die am 11. Mai vorgestellten "neuen EU-Rechtsvorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet". Dies liegt keineswegs am unbestritten wichtigen Ziel, die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder einzudämmen. Es sind die Mittel dazu, die auf rigide Ablehnung von Bürgerrechtlern, Datenschützern, aber auch von Wirtschaftsverbänden und mehreren Bundesministerien stoßen. Beispielsweise will die EU-Kommission Anbieter verschlüsselter Messenger wie WhatsApp, Signal, Threema oder Apple dazu zwingen, Fotos und Videos von Kindesmissbrauch in den Nachrichten ihrer Nutzer ausfindig zu machen sowie mit verdekent Text-Scans von Chat-Nachrichten gegen Grooming vorzugehen. Zur Koordination mit den Behörden in den Mitgliedsländern soll eine neue EU-Zentralstelle aufgebaut werden. Patrick Breyer, EU-Parlamentarier der Piratenpartei, hat für dieses Vorhaben den Begriff "Chatkontrolle" geprägt. Unablässig wies er in den vergangenen Monaten auf die Gefahren der Kommissionspläne für die Privatsphäre jeder Bürgerin und jedes Bürgers der EU hin. Seiner Ansicht nach würde das Gesetzespaket tief in die Grundrechte, beispielsweise das Fernmeldegeheimnis, eingreifen. Auf seiner Website ruft er die Zivilgesellschaft zum Widerstand auf. Im c't-Datenschutz-Podcast erläutert der Jurist und Richter, wie es zu dem Entwurf kam, was genau darin steht, wo er die Gefahren für Bürgerrechte und Datenschutz sieht, und wie er die Motive der beteiligten Kommissions-Mitglieder einschätzt. Breyer weist darauf hin, dass seiner Beobachtung nach der Widerspruch nur in Deutschland so groß war, ähnliches habe er in keinem anderen EU-Mitgliedsland beobachtet. Er befürchte, dass der Entwurf ohne einschneidende Abschwächungen von Bürgerrechtseingriffen die weiteren Stationen im Gesetzgebungsprozess (EU-Parlament und Rat) passieren könnte.
74:44 05/20/2022
Datenschutz für die Schublade
Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Joerg und Holger zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte. Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen. Joerg hebt die potenzielle Bedeutung dieser Entscheidung für die Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch Rechtsanwältin Kathrin Schürmann die Begründung der Behörde. Kathrin ist Gründungs-Partnerin der Kanzlei Schürmann Rosenthal Dreyer berät Unternehmen als Datenschutzexpertin bei der Einführung und Entwicklung neuer digitaler Geschäftsmodelle. Im Schwerpunkt der Episode geht es um die Pflicht zu einer verschriftlichten Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand des Beispiels einer Dating-Website erläutern Kathrin und Joerg, ab wann es einer solchen DSFA zwingend bedarf und welche Punkte darin abgehandelt sein sollten. Ziel der DSFA ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der Rechte und Freiheiten der betroffenen Personen bewerten, also eine Risikoanalyse aller Verarbeitungsvorgänge vornehmen. Das ist keineswegs trivial. Die Pflicht, so die Vermutung von Holger, wird von der überwiegenden Mehrheit deutscher Unternehmen ignoriert. Joerg und Kathrin sehen das ähnlich und weisen darauf hin, dass damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich mit internationalem Datentransfer zu Auftragsverarbeitern, komme ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.
88:35 05/06/2022
Privatsphäre vs. Strafverfolgung
Derzeit vergeht kaum eine Woche, in der es keine Meldungen zu spektakulären Razzien und Drogenfunden gibt. Mitte der Woche etwa haben Fahnder von Zoll und Polizei zahlreiche Privatwohnungen und Geschäftsräume in Niedersachsen, Hamburg und in Schleswig-Holstein gestürmt. Zeitgleich liefen auch Razzien in anderen Ländern, darunter die Niederlande, Belgien und Paraguay. In den meisten Fällen ziehen die Durchsuchungen Haftbefehle und Beschlagnahmungen nach sich; fast immer werden die Fahnder fündig. Woher kommt diese hohe Erfolgsquote? Die Tatvorwürfe beziehen sich stets auf Delikte, die im Frühjahr 2020 geschehen sein sollen. Genau in diesem Zeitraum nämlich hatte die französische Polizei ein Kryptomessenger-System namens Encrochat infitriert und die Kommunikation der angeblich überwiegend kriminellen Klientel belauscht. Wie genau der staatliche Hack technisch vonstatten gegangen ist, darüber schweigen sich die französischen Behörden aus und verweisen auf das Militärgeheimnis. Dennoch haben sie die gewonnenen Daten aufbereitet und über die EU-Polizeibehörde Europol Mitgliedsstaaten zur Verfügung gestellt, in denen sie kriminelle Encrochat-Kunden verortet haben - so auch dem Bundeskriminalamt in Deutschland. Mehr als 2000 Ermittlungsverfahren sind hierzulande auf Grundlage der Encrochat-Daten eröffnet worden; in etlichen Verfahren folgten bereits Verurteilungen. Es stellt sich die Frage, ob der Hack nach hiesigen Gesetzen überhaupt hätte stattfinden dürfen. Immerhin handelt es sich um einen tiefen Eingriff in die Vertraulichkeit von Kommunikation und die Integrität der eigenen Geräte. Der Bundesgerichtshof hat jüngst Bedenken zur Verwertbarkeit der übermittelten Beweise eine klare Absage erteilt. Doch in einem c't-Artikel wirft Prof. Dennis Kenji Kipker weitere Fragen auf. Der Professor für IT-Sicherheitsrecht forscht und lehrt am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Uni Bremen. Kipker kritisiert, dass die jeweiligen Strafkammern der Gerichte das Encrochat-Material nicht auf Integrität prüfen und den Beschuldigten versagen, die Quelle selbst in Augenschein zu nehmen. Kipker: "Der Staat ist Grundrechtsverpflichteter und kann sich dieser Verantwortung nicht dadurch entziehen, dass er digitale Ermittlungsverfahren als 'Black Box' führt und es Betroffenen nicht ermöglicht, gegen sie vorgelegte digitale Beweismittel zu entkräften. Der Fall EncroChat ist nur ein eindrucksvolles Beispiel dafür, was noch kommen kann – weil digitale Beweismittel in strafrechtlichen Ermittlungen eine immer größere Rolle spielen." In der aktuellen Episode 60 des c't-Datenschutz-Podcasts ist Kipker zu Gast und erläutert, welche Probleme der Fall Encrochat aufwirft. Es geht auch um die übergeordnete Frage, wie tief der Staat in die Privatsphäre von Bürgern einzugreifen bereit ist: Von Encrochat zur Vorratsdatenspeicherung ist es kein allzu großer Schritt. Kipkers Meinung nach ist das Vorgehen der französischen Ermittlungsbehörden ein weiterer Beleg dafür, dass sich die sogenannte Überachungsgesamtrechnung immer weiter zuungunsten der Bürgerrechte entwickelt.
74:22 04/22/2022
Privacy Harbour oder Safe Shield?
Einen "großen Durchbruch" für den internationalen Datenverkehr hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen Ende März versprochen. In einer gemeinsamen Pressekonferenz vermeldeten sie eine "grundsätzliche Einigung" für ein neues Datenschutzabkommen, nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für rechtswidrig und damit unwirksam erklärt worden war. Mit ihrer Erklärung weckten die beiden Spitzenpolitiker große Hoffnungen bei Unternehmen dies- und jenseits des Atlantiks. Zu recht? Dieser Frage gehen Holger und Joerg in Episode 59 nach. Als Gast in dieser Folge schätzt Prof. Alexander Golland die Lage kompetent ein. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Er hält eine Professur für Wirtschaftsrecht an der Fachhochschule Aachen. Zunächst klären die drei, welche Voraussetzungen für einen sicheren Datentransfer in Staaten außerhalb der EU gegen sein müssen: Nach Art. 45 DSGVO muss die EU-Kommission einen sogenannten Angemessenheitsbeschluss verabschieden, in dem dem Zielland ein dem der EU ähnliches Datenschutzniveau attestiert wird. Dies sst beispielsweise für die Schweiz, Kanada, Neuseeland oder Japan der Fall. Warum die Kommission nach dem Brexit sehr eilig einen befristeten Angemessenheitsbeschluss mit dem Vereinigten Königreich (UK) herbeigeführt hat, erklärt Alexander ausführlich. Außerdem schildert er detailliert, wie steinig und zeitraubend der formale Weg zu einem neuen Angemessenheitsbeschluss zur Datensicherheit in den USA sein wird. Deshalb dämpft er die Erwartungen für eine baldige neue Rechtsgrundlage: "Vor 2023 wird das eher nicht klappen", lautet seine Prognose, die sich mit der vieler anderen Experten deckt. Viele Unternehmen bringt das nun in eine schwierige Situation: Bis Ende 2022 müssen sie ihren Datentransfer mit den Juni 2021 aktualisierten Standard-Vertragsklauseln (SCC) rechtlich absichern. Dann sind sie auch verpflichtet, eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) vorzuhalten - was erhebliche zusätzliche Kosten verursacht. Die SCC-Vertragsparteien müssen darin darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen. Was also tun? Sollten die Unternehmen darauf vertrauen, dass die EU-Kommission bis dahin einen Beschluss zustande bekommt - oder sollten sie doch vorbeugend in den sauren, teuren Apfel beißen? Alexander gibt im Podcast Hinweise.
85:57 04/08/2022
"So viele Acts, so wenig Zeit"
Gleich mit mehreren Gesetzen im Rahmen einer "Datenstrategie" will die EU "die Führungsrolle in einer datengestützten Gesellschaft übernehmen". Der AI Act etwa ist ein Verordnungsentwurf, der die Verarbeitung von Daten in KI-Systemen regeln soll. Ihm folgte im Februar 2022 der EU-Kommissions-Vorschlag zum Data Act. Die Verordnung soll den Binnenmarkt-Gedanken auf Datenhandel übertragen. Jeder Verbrauchter darf demzufolge selbst entscheiden, wer wann Zugriff auf seine Daten erhält, um damit einen Mehrwert zu erzeugen. Hier geht es insbesondere um anfallende Daten bei Gerätenutzung (Fahrzeuge, IoT usw). All diese Initiativen treffen auf die recht rigide DSGVO. In Episode 58 der Auslegungssache ordnen Joerg und Holger zusammen mit Alexandra Ebert die Dinge ein. Alexandra ist Chief Trust Officer beim Unternehmen mostly.ai und außerdem Expertin für Datenschutz, synthetische Daten und ethische Künstliche Intelligenz. Sie weist im Podcast darauf hin, dass vermehrtes Nutzen von personenbezogenen Daten, wie es von der EU gewünscht ist, auch neue Anforderungen an die Anonymisierung vor Weiterverarbeitung stellt. Diese sei oftmals kaum noch möglich. Alexandra erklärt, wie aus echten Datenbeständen synthetische Daten generiert werden können, die dann wiederum Forschungszwecken oder dem Training von KI-Systemen dienen. Im letzteren Fall könnten synthetische Daten außerdem dafür sorgen, dass ein vorhandener Bias im echten Datenbestand korrigiert wird. Ebert sieht hier eine Chance, Tendenzen zur Diskriminierung, wie sie bei KI-Systemen nach dem Training mit Echtdaten zu beobachten sind, entgegenzuwirken.
72:15 03/25/2022
Episode 58 kommt am 25. März 2022
Liebe Hörerinnen und Hörer der Auslegungssache: Wegen eines Krankheitsfalls mussten wir die geplante Aufzeichnung von Episode 58 verschieben. Wir bleiben im Turnus und verschieben die Veröffentlichung der neuen Episode auf den 25. März 2022. Vielen Dank vorab für Euer Verständnis! Viele Grüße von Joerg und Holger - und bleibt gesund :-)
00:42 03/11/2022
IT-Sicherheit und Datenschutz
Logfiles und Datenbanken enthalten fast immer auch personenbezogene Daten. Um sie ausreichend zu schützen, müssen Unternehmen und Privatpersonen „geeignete technische und organisatorische Maßnahmen treffen“. Das reicht von regelmäßigen Software-Updates und Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und Pseudonymisierung bis hin zu regelmäßigen Backups. Über das Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des IT-Recht-Blogs Telemedicus. Seiner Erfahrung nach werden beide Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist unterschiedlich: Datenschutz schützt personenbezogene Daten, IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen. Deshalb können sie sich auch in die Quere kommen: etwa wenn Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen erfordern oder der Virenscanner Dateien zum Check in die Cloud lädt. Auf was man bei der IT-Sicherheit für den Datenschutz achten muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32. Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss ich meine Technik zertifizieren lassen? Wann muss ich einen Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf an, in welchem Bundesland man sitzt – denn die deutschen Datenschutzbehörden haben mitunter verschiedene Ansichten zum Umgang mit technischen Fragen. Adrian Schneider Tipp an Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden, was die Risiken sind und was Sie tun müssen, um sie vernünftig zu adressieren. Welche Folgen Murks bei der IT-Sicherheit haben kann, zeigt unser Bußgeld der Woche, das die italienische Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs enthielten, konnten Nutzer auch die Gesundheitsdaten anderer Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht komisch und sprach ein Bußgeld für dieses Versäumnis.
73:43 02/25/2022
Datenschutz für Websites
Ob Vereinsauftritt, privates Blog oder Online-Shop: Für Webseiten gilt die DSGVO. Wer eine Seite aufsetzt, muss sich deshalb von Anfang an Gedanken machen, an welchen Stellen er Nutzerdaten speichert, verarbeitet und weiterleitet, zum Beispiel über eingebundene Dienste und Plug-ins. Doch wie genau bekommt man seine Webseite datenschutzkonform? Diese Frage beantworten Joerg und Achim – Holgers Urlaubsvertretung – gemeinsam mit Carola Sieling. Carola ist bereits zum dritten Mal (Folge 27, Folge 18) in der c't Auslegungssache zu Gast und erklärt, welche Vorgaben der DSGVO für Website-Anbieter relevant sind. Wunderbar zum Thema Websites passt auch das Bußgeld der Woche, das in dieser Woche gar kein Bußgeld ist, sondern ein Schadensersatz. Ein Webseitenbetreiber muss 100 Euro an einen Seitenbesucher bezahlen, weil dessen IP durch den Einsatz von Google Fonts an Google in den USA weitergegeben wurde – ohne Einwilligung. Das Urteil ist noch nicht rechtskräftig. Beim Betreiben einer Webseite lauern zahlreiche weitere Datenschutzfallen: Das eingebettete Video von YouTube ist ebenso problematisch wie der Like-Button für Facebook, und im Newsletterformular sollte man sich hüten, allzu viele persönliche Informationen abzufragen. Bei Fotos kommen außerdem Urheberrecht und Persönlichkeitsrechte hinzu, die es zu beachten gilt. Besonders kritisch ist das Einbauen von Analytics-Tools, mit denen man mehr über die Besucher seiner Webseite erfahren kann. Jüngst hat etwa die österreichische Datenschutzbehörde entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstößt – und auch Joerg und Carola sind eindeutig der Meinung, dass man fürs Besucherzählen derzeit besser nicht den Dienst von Google einsetzt.
84:33 02/11/2022
Problemfall Entscheidungsalgorithmen
In Episode 55 des c't-Datenschutz-Podcasts wagen sich Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich an ein großes Thema: Immer mehr Entscheidungen werden in unserer Gesellschaft nicht mehr von Menschen, sondern von Algorithmen getroffen. Dabei geht es um banale Dinge wie den Preis des Joghurts im Supermarkt genauso wie um Berwerbungsverfahren oder Scorings von Bürgerinnen und Bürgern für die öffentliche Sicherheit. ADM-Systeme (Algorithmic Decision Making) haben sich in den Alltag eingeschlichen, ohne dass sie ethisch und datenschutzrechtlich ausreichend beachtet werden, so die Ausgangsthese. Rechtsanwalt Peter Hense hat sich intensiv mit diesen Problematiken beschäftigt und ordnet als Gast in dieser Episode die Dinge ein: "Vieles von dem, was uns als KI untergejubelt wird, beruht heruntergebrochen auf reiner Statistik", erklärt er und kritisiert, dass Entscheidungen, die auf maschinellem Lernen beruhen, oftmals völlig verdeckt getroffen werden. Eine benennbare Verantwortung fehlt, es mangelt an "Accountability" bei vielen KI-Systemen. Dies wird laut Hense besonders problematisch, wenn Entscheidungen voll automatisiert, ohne Überwachung und Eingriffsmöglichkeit von Menschen fallen - Die Algorithmen sind oftmals gut gehütete Geheimnisse in privatrechtlicher Hand, was zu Blackboxes führt. Konsens in der Runde ist: Gesetzgeber tun sich schwer, ADM-Systeme einzuordnen und zu regulieren. Als Beispiel dient der einschlägige Art. 22 der DSGVO, dessen Regelungsumfang ziemlich unklar ist und der laut Hense als Konzession an die US-Konzerne für härtere Vorschriften in anderen Bereichen gesehen werden muss; und noch dazu unzureichend in die offizielle deutsche Version der DSGVO übersetzt wurde. Ähnlich verhält es sich mit dem von der EU-Kommission vorgeschlagenen "AI Act" und dem Digital Services Act. Hense plädiert dafür, hier unbedingt aktiver und auch restriktiver zu werden. Viele System agieren intransparent, autonom und fehlerhaft - die Algorithmen reproduzieren Unzulänglichkeiten, die ihnen ihre menschliche Ersteller mitgeben.
76:44 01/28/2022
Datenschutz-Ausblick 2022
Das Jahr 2022 startet die neue Bundesregierung im Krisenmodus. Dabei gerät aus dem Blick, dass sich die Ampel-Koalition aus SPD, Grünen und FDP auch digitalpolitisch jede Menge vorgenommen hat. Joerg und Holger diskutieren in Episode 54 des c't-Datenschutz-Podcasts die wichtigsten Pläne für Änderungen im Datenschutz, soweit sie sich bereits aus dem Koalitionsvertrag herauslesen lassen. Dazu haben sie einen Gast eingeladen, der die deutsche Datenschutz-Regulierung nicht nur intensiv verfolgt, sondern auch mit Input begleitet: Frederick Richter ist Jurist und Vorstand der Stiftung Datenschutz, die unabhängige Expertise leistet und zur öffentlichen Diskussion beiträgt. Die Stiftung wurde 2012 von der damaligen Bundesregierung ins Leben gerufen und soll die Stellung des Datenschutzes in der Gesellschaft stärken. Die Ampel hat sich zum Ziel gesetzt, den Beschäftigtendatenschutz mit neuen Regelungen zu modernisieren. Das hält Richter für wichtig, da angesichts der Verlagerungen von Arbeit ins Homeoffice Überwachungsbestrebungen und Leistungskontrolle boomen. Er begrüßt auch, dass bundesweit gültige Positivlisten für "datenschutzkonforme Lern- und Lehrmittel" erstellt werden sollen. Unis und Landesschulbehörden seien hier etwas alleine gelassen, aber "man muss das Gemeinwesen dauerhaft am Laufen halten". Schwammig fanden alle drei Diskutanten die Formulierungen zur Fortsetzung der "Datenstrategie". Richter bemängelt Buzzwords, die noch nicht mit Leben gefüllt sind, etwa das "Dateninstitut", das geschaffen werden soll. Geht es hier um den Umgang mit anonymisierten Daten im Sinne von Open Data, oder um personenbezogene Daten im Sinne der DSGVO? Ähnlich verhält es sich mit den "Datentreuhändern" und den "Datendrehscheiben", die im Koalitionsvertrag erwähnt sind. Noch ist überhaupt nicht klar, welche Konzepte die Regierung hier genau verfolgen will. Positiv hebt Richter hervor, dass die Bundesregierung Standards für die Anonymisierung von Daten entwickeln will. Open Data werde eine immer größere Rolle spielen, und bislang gebe es keine Leitlinien, wie der Personenbezug in Daten DSGVO-konform entfernt werden soll, bevor sie freigegeben werden können. Richter bemängelt, dass die DSGVO hier eine Leerstelle enthält, die die EU noch immer nicht gefüllt hat.
80:17 01/14/2022
Dr. Datenschutz meets Auslegungssache
Das wurde aber auch Zeit: Laura und Cornelius vom Podcast "Dr. Datenschutz" beehren die Auslegungssache. Wir haben uns sehr gefreut, dass Cornelius zu diesem Anlass live on tape ein Intro singt und spielt. Wer Dr. Datenschutz noch nicht kennt: Hört rein, die Homepage ist in den Shownotes verlinkt, und natürlich ist er leicht über den Podcatcher zu finden. Neben Podcast-Fusion-Geplauder geht es natürlich auch in Episode 53 um harte Datenschutz-Fakten. Schwerpunktthema ist der aus Artikel 15 DSGVO resultierende Auskunftsanspruch. Als beratende Juristen der intersoft consulting services AG setzen sich Laura und Cornelius oft mit Auskunftsanfragen auseinander. Laura berichtet davon, wie verschieden Unternehmen mit derlei Anfragen umgehen. Und Cornelius ist etwas sauer, dass der wichtige Anspruch seiner Beobachtung nach durch offensichtlich automatisierte Anfragen missbraucht wird. Zusammen mit den beiden Gästen klärt Joerg die Basics: Wann ist ein Auskunftsanspruch berechtigt, welche Fristen gelten, und vor allem: Wie sollte sich ein Anspruchsberechtigter authentifizieren? Mittlerweile gibt es viel Rechtssprechung dazu, aber längst sind nicht alle Fragen geklärt. Einig sind sich die vier Podcaster darin: Der Auskunftsanspruch ist ein wichtiger Baustein des Datenschutzrechts und sollte nicht abgetan werden. Sie ermuntern dazu, ihn ruhig öfter einmal wahrzunehmen.
85:11 12/17/2021
Dystopie Mitarbeiterüberwachung
Mitten in der vierten Coronawelle wagten Joerg und Holger eine Live-Podcast vor Publikum, und zwar auf der Digitalkonferenz Techtide in Hannover unter strengen 2G+-Vorschriften. Auf der Bühne 3 sollte es um dystopische Entwicklungen gehen. Nichts leichter als das, dachten sich die Datenschutz-Apologeten und wählten als Thema "extreme Formen der Mitarbeiterüberwachung". Denn genau dazu hat die Wissenschaftsjournalistin Eva Wolfangel jüngst eine beängstigende Recherche veröffentlicht (siehe Shownotes). Und sie ist die Live-Gästin in der Episode. Wolfangel berichtet vom Einsatz US-amerikanischer Überwachungssoftware in deutschen Unternehmen. So setzt beispielsweise die Unicredit Services in München, die hierzulande unter der Marke HypoVereinsbank bekannt ist, Securonix ein: "Welche Websites man besucht, welche E-Mails man schreibt, welche Programme man nutzt – all das erfassen verschiedene Systeme bei der Unicredit Services", berichtete ihr ein Insider. Andere Software, die in Deutschland zum Einsatz kommt, stammt beispielsweise von Forcepoint oder Genesys. Wolfangel diskutiert mit Joerg und Holger die datenschutzrechtlichen, aber auch ethischen Folgen dieser neuen Dimension von Mitarbeiterüberwachung.
45:07 12/03/2021
Datenschutz als Verbraucherrecht
Wird von Rechtsdurchsetzung im Datenschutz gesprochen, geht es meistens um Verfahren und Bußgelder der Aufsichtsbehörden. Doch weil sehr oft Verbraucher die Leidtragenden von systematischen Datenschutzverletzungen sind, nehmen sich auch Organisationen der Verstöße an, die die Rechte der Bürgerinnen und Bürger in der digitalen Welt vertreten. In Deutschland agiert an zentraler Stelle der Bundesverband Verbraucherzentralen (vzbv). Er berät, führt aber auch strategisch juristische Auseinandersetzungen. Das darf er, weil ihn das Verbandsklagerecht dazu ermächtigt, Rechtsfragen anstelle von Verbrauchern von Gerichten klären zu lassen. In Episode 51 des c't-Datenschutz-Podcasts erläutert Heiko Dünkel, Leiter des Teams Rechtsdurchsetzung beim vzbv, wie das funktioniert: "Wir sind dafür da, Waffengleichheit zwischen den Verbrauchern und den großen Konzernen zu gewährleisten." Mit einem Jahresgesamtbudget von ca. 300.000 Euro pro Jahr kämpft sein Team gegen Rechtsverstöße von Facebook oder Apple. Zunächst fordert es per Abmahnung, den Datenschutzverstoß dauerhaft abzustellen. Klappt das nicht, wird im Team entschieden, ob der vzbv die Unterlassungsforderung durch die Gerichtsinstanzen treibt. Der Verband erzielt dabei mitunter spektakuläre Erfolge. Beispielsweise ging die wegweisende EuGH-Entscheidung "Planet49" von 2019 auf seine Klage zurück. Mit diesem Urteil war europaweit endgültig geklärt, dass eine Einwilligung auf Websites nicht mit einem voreingestellten Häkchen, sondern nur mit einer aktiven Handlung erfolgen darf. Aber auch weniger prominente Verfahren sorgen in Fachkreisen für Aufsehen. 2020 etwa hat der vzbv eine Klage gegen den Anwaltssuchdienst advocado vorm Landgericht Rostock gewonnen, mit der klargestellt wurde, dass auch für Cookies zu Analyse- und Marketingzwecken eine informierte Einwilligung erforderlich ist. Dünkel betont, dass der vzbv außerdem intensiv die Gesetzesvorhaben in Deutschland und Europa begleitet. Sein Team sieht sich beispielsweise gerade das ab Dezember gültige neue deutsche Datenschutzgesetz TTDSG an. Außerdem verfolge man die Entwicklung der E-Privacy-Gesetzgebung auf EU-Ebene. Eine "neue Spielwiese" sieht er in der neuen, bislang wenig bekannten BGB-Vorschrift 327q, die im Januar 2022 in Kraft tritt. Kein Wunder, denn darin stellt der Gesetzgeber erstmals klar: Wenn ein Verbraucher für den Erhalt einer Leistung personenbezogene Daten bereitstellt, dann ist das so, als wäre es die Zahlung eines Geldbetrags. "Damit werden wir uns als Verbraucherverband sehr genau befassen, das wird spannend", freut sich Dünkel im Gespräch mit Joerg und Holger.
75:24 11/19/2021
Post Privacy, Tannenbäume und Transhumanismus
Es gibt etwas zu feiern für Joerg und Holger: Der c't-Podcast Auslegungssache wird 50. Anlässlich der Jubiläumsepisode ist eine Bestandsaufnahme fällig. Welchen Stellenwert hat der Datenschutz in Politik, Unternehmen und in der Gesellschaft? Warum hat er momentan einen schweren Stand? Wo ist Kritik an der DSGVO berechtigt, wo überzogen und wo einfach nur Ausrede für anderweitige Versäumnisse? Zur Feier gesellt sich ein gern gesehener Gast: Bereits zum dritten Mal beehrt Rechtsanwalt Dr. Thomas Schwenke den Podcast und lässt sich auf eine bisweilen fachlich durchaus mäandernde Diskussion ein. Die Drei sprechen über aktuelle kritische Debattenbeiträge. Schwenke sagt bezüglich der stockenden Digitalisierung in Deutschland: "Dass der Datenschutz Manches bremst ist richtig. Wenn mein Auto keine Bremsen hätte, könnte ich damit natürlich auch viel weiter fahren. Spätestens in der nächsten Kurve käme ich aber in Probleme." Ausführlich beschäftigen sich die Drei mit den nervigen Einwilligungen. Es geht auch um die Frage, ob Bürgerinnen und Bürger in jedem Fall informiert genug sind, um Verarbeitungen abschätzen zu können. Es folgt ein Gedankenexperiment: Was, wenn die Einwilligungen durch maschinelle Aushandlungen ersetzt und die Menschen aus der Gleichung genommen werden? Auf eine erste Tendenz dazu könnten die im TTDSG verankerten Personal-Management-Systeme (PIMS) hinweisen. Und zum Ende wird es noch ein wenig Meta.
83:20 11/05/2021
Das TTDSG - Alter Datenschutz in neuen Schäuchen?
In der Öffentlichkeit kaum wahrgenommen, aber durchaus relevant: Am 1. Dezember 2021 treten in Deutschland neue Datenschutzregeln in Kraft. Das "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG) soll laut der ehemaligen Bundesregierung "mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt" schaffen. Inhaltlich stellt das TTDSG eine Neuregulierung der Datenschutzbestimmungen in der Telekommunikation und bei Telemedien dar. Und zu den Telemedien gehören nahezu alle Angebote im Web, zum Beispiel soziale Medien und Blogs, Webshops, Suchmaschinen und auch Webmailer. Dazu fasst das neue Gesetz Regelungen zusammen, die bislang im TKG und TMG zu finden waren. Formal setzt das TTDSG sehr verspätet europarrechtliche Vorgaben aus der E-Privacy-Richtlinie um, die aus dem Jahr 2002 stammt und zuletzt 2009 geändert wurde. Während die Bundesregierung frohlockte, das TTDSG bedeute "das Ende der Cookiebanner", ziehen Joerg und Holger anhand des Gesetzestextes ernüchtert Bilanz. Als Gast begrüßen sie dazu den Rechtsanwalt und Datenschutzspezialist Dr. Carlo Piltz, der den Gesetzgebungsprozess beobachtet und bereits erste Einschätzungen zu den Auswirkungen des TTDSG geschrieben hat. Piltz ordnet das neue Gesetz zunächst in den bestehenden Regelungswust ein, insbesondere erklärt er, wie das deutsche Gesetz zur europäischen DSGVO steht. Anschließend erläutern die drei Stück für Stück, welche Änderungen ab Dezember insbesondere für Anbieter im Web ins Haus stehen. Gerade bei den Cookies wird es etwas strenger. Website-Betreiber können sich nämlich nicht mehr auf das sogenannte "berechtigte Interesse" für bestimmte Cookie-Kategorien berufen (höre Auslegungssache 48), sondern dürften - so die Prognose von Piltz - künftig öfter nach Einwilligungen fragen müssen. Die Empfehlung lautet: Egal ob Webshop, Blog oder Newsportal - es ist höchste Zeit, sich intensiv mit dem TTDSG zu beschäftigen, um im Dezember Post von den Datenschutzbehörden zu verhindern.
77:13 10/22/2021
DSGVO Art. 6: Wann Datenverabeitung erlaubt ist
Für Episode 48 des c't-Datenschutz-Podcasts hatten sich Joerg und Holger auf die Anregung eines Hörers vorgenommen, ausgiebig zu klären, wann Datenverarbeitungen nach DSGVO erlaubt sind. Herausgekommen ist eine Auslegungssache mit deutlicher Überlänge. Die Zeit ist gut investiert, denn als Podcast-Gast erläutert der auf Datenschutz spezialisierte Rechtsanwalt Sascha Kremer die Sachlage auch für Laien verständlich und anhand vieler konkreter Beispiele. Als Mantra der DSGVO gilt: Jede Verarbeitung von personenbezogenen Daten ist verboten, außer es existiert eine Erlaubnis ("Verbot mit Erlaubnisvorbehalt"). Was erlaubt ist, regelt Art. 6 DSGVO, der die sechs möglichen Rechtsgrundlagen definiert. Am Beginn der Liste steht die infomierte Einwilligung der betroffenen Person. Jeder kennt sie, beispielsweise durch die Websites vergeschalteten Cookie-Banner. Unternehmen mögen sie sie nicht sonderlich, weil sie jederzeit widerrufbar ist. Lieber ist ihnen, sich auf die erlaubte Datenverarbeitung im Umfeld eines Vertragsschlusses zu berufen. Diese greift bereits bei der Anbahnung, beispielsweise wenn ein potenzieller Kunde Produkte in den Warenkorb eines Onlineshops legt. In der Podcast-Episode legen Joerg und Sascha Kremer ein besonderes Augenmerk auf Art. 6 Abs. 1f, aus die erlaubte "Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten". Joerg bezeichnet diese Rechtsgrundlage als "Auffangvorschrift". Kremer weist darauf hin, dass diese Rechtsgrundlage oft falsch verstanden wird: Es gehe nicht nur ums berechtigte Interesse des Verarbeitenden, sondern um eine Abwägung von Interessen des Verarbeitenden, der betroffenen Person und vielleicht auch noch Dritter. Deshalb lasse sich daraus keinesfalls ein Freibrief konstruieren. Anhand von Beispielen werfen die drei Diskutanten Interessen auf beide Seiten der Waage und schauen, wann tatsächlich "berechtigtes Interesse" vorliegt.
86:11 10/08/2021
Don’t Look Back in Anger
12 engagierte Jahre im Amt als Datenschutzbeauftragter des Landes Hamburg liegen hinter Johannes Caspar. Unter seiner Aufsicht standen beispielsweise Google und Facebook, weil sie ihre deutschen Zelte in der Hansestadt aufgeschlagen haben. Und Caspar hat mit den beiden US-Konzernen einige Konflikte ausgetragen, die international Beachtung fanden, beispielsweise zu Googles Streetview oder dem Datenaustausch zwischen Facebook und WhatsApp. Im c't-Datenschutz-Podcast blickt Caspar zurück auf zwei Amtszeiten, nicht immer ganz ohne Zorn. Die Einführung der DSGVO beschreibt Caspar als große Zäsur: "Vorher war der Datenschutz ein 'Recht des Volkes', flankiert von den 'kleinen Helden', den Landesdatenschutzbeauftragten." Die DSGVO habe zu einer Machtfülle der Datenschutzaufsicht geführt, die sie auch angreifbarer mache. Für lokale Unternehmen fungiere man als Ansprechpartner und Berater. Das falle allerdings zunehmend schwer, "weil die Behörden so schlecht ausgestattet sind, dass sie nicht einmal die Beschwerden von Personen abarbeiten können". Wegen mangelhafter Ausstattung habe seine Behörde "einen Berg von Beschwerden vor uns hergeschoben, den wir nicht abtragen konnten". Das liege an verfehlter Politik. Caspar betont die gute Zusammenarbeit mit den anderen Länderbehörden in der Datenschutzkonferenz (DSK). Die DSK habe sich über viele Jahre hinweg bewährt: "Dieses Gremium wird ziemlich unterschätzt. Sie ist die Speerspitze des Datenschutzes in Europa." Eine Zentralisierung der deutschen Datenschutzaufsicht sei unnötig: "Ich bin ein Freund der Diversität". Allerdings führe diese im Vollzug auch auch zu Diskussionen, Schleifen und zur Überbürokratisierung. Eine Reform sei angebracht. Deutliche Kritik übt Caspar an der irischen Datenschutzbehörde, die die meisten US-Konzerne in Europa beaufsichtigt und sanktioniert. Irland sei gleichzeitig ein Steuerparadies und eine Datenschutzwüste. In den US-amerikanischen Konzernzentralen habe sich das längst herumgesprochen: "Man will nur nach Irland." Und wenn dann Unternehmen in Hamburg kontrolliert würden, aber in Irland passiere nichts, verlören Bürger und Unternehmen den Glauben an fairen Datenschutz. Weil nie etwas passiert sei, habe er beispielsweise selbst eine Anordnung im Eilverfahren für drei Monate gegen WhatsApp erlassen. Er sei sehr enttäuscht gewesen, dass der EU-Datenschutzausschuss dieses Verfahren im Juli gestoppt hat. Ein Hoffungsschimmer sei das gerade in Irlang verhängte Bußgeld von 225 Millionen Euro gegen WhatsApp. Laut Caspar hat sich eben über die Jahre einiges angesammelt und führt nun zu einer vergleichsweise hohen Strafe. Caspar wörtlich: "Ich war mal Straßenfußballer. Da galt: 'drei Ecken, ein Elfer'."
57:01 09/24/2021
"Die Hölle ist zugefroren!"
In Episode 46 begrüßen Joerg und Holger die Berliner Rechtsanwältin Katrin Kirchert als Gästin. Als TÜV-zertifizierte Datenschutzbeauftragte begleitet Kirchert Unternehmen und Vereine bei der Umsetzung der DSGVO und des BDSG. Vor allem aber beschäftigt sie sich mit dem Datenschutz von Beschäftigten, um den es in dieser Ausgabe der Auslegungssache hauptsächlich geht. Zunächst aber malträtiert Joerg die Anwesenden, indem er Teile einer Kolumne von Jan Fleischhauer zum Besten gibt. Der Focus-Autor verbreitet zunächst fachlich ziemlichen Unsinn und gießt anschließend Häme über professionelle Datenschützer. "Was sind das für Menschen, die Datenschützer werden wollen?", fragt er sich. Joerg gibt die Frage an Kirchert weiter, die souverän kontert: "Weil es Spaß macht?" Anschließend friert im die Hölle zu: Im Bußgeld der Woche geht es um die 225-Millionen-Euro-Strafe gegen WhatsApp, die die irische Datenschutzaufsicht DPC jüngst ausgesprochen hat. Tatsächlich ist die Behörde also gegen den Facebook-Konzern aktiv geworden. Betrachtet man allerdings die ganze Geschichte, stellt sich heraus, dass die DPC zum Jagen getragen werden musste: Der Europäische Datenschutzausschuss (EDSA) erwirkte per Beschluss eine Steigerung des Bußgelds von 50 auf die besagten 225 Millionen Euro, außerdem sorgte unter anderem der deutsche Bundesdatenschutzbeauftragte dafür, dass sich die Behörde intensiver mit dem seit 2018 untersuchten Fall beschäftigen musste, als es ihr lieb war. Im Schwerpunkt der Episode klärt Joerg mit Kirchert anhand vieler Beispiele, wie genau der § 26 BDSG-neu wirkt, in dem der Beschäftigten-Datenschutz in Deutschland geregelt ist. Geschützt sind nicht nur Angestellte, sondern genauso auch Bewerber oder gekündigte Mitarbeiter. Unternehmen sollten sich mit dieser Vorschrift intensiv beschäftigen und ihre Prozesse daraufhin kontrollieren, um nicht auf die Nase zu fallen. Hier geht es um Auftragsverarbeitung (etwa Job-Portale) genauso wie um Löschfristen, die es zu beachten gilt. Auch der Umgang mit Fotos oder Videos von Angestellten birgt Stolpersteine, insbesondere hinsichtlich widerrufbarer Einwilligungen (Kirchert: "Die haben es im Beschäftigungsverhältnis wirklich in sich").
76:11 09/10/2021
Apples CSAM-Scanning-Pläne: Fortschritt oder Privacy-Dammbruch?
Apple will mit iPadOS 15 und iOS 15 (vorerst nur in den USA) eine neue Funktion einführen, mit der die Foto-Bibliothek von iPad- und iPhone-Nutzern auf Darstellungen von Kindesmissbrauch ("Child Sexual Abuse Material", kurz CSAM) untersucht werden kann. Treffer sollen dann den zuständigen Behörden gemeldet werden. Bürgerrechtsorganisationen, Datenschützer und auch Politiker laufen Sturm gegen die Idee, Inhalte-Scans direkt auf dem Smartphone der Besitzer durchführen zu wollen. Dies sei ein Privacy-Dammbruch, ist derzeit oft zu hören. Im Podcast gehen Joerg und Holger die Debatte möglichst differenziert an und haben dafür gleich zwei kompetente Gäste gebeten, in die Diskussion zu gehen: Tim Pritlove gilt als Podcast-Urgestein und setzt sich beispielsweise wöchentlich im Podcast "Logbuch:Netzpolitik" (zusammen mit CCC-Sprecher Linus Neumann) mit Datenschutz und Datensicherheit in der IT auseinander. Pritlove versteht die Aufregung nicht ganz und plädiert dafür, Apples Ansatz als einen weiteren Vorschlag im Kampf gegen Kindesmissbrauch zu sehen, den es jetzt ins Verhältnis zu anderen, invasiveren Maßnahmen anderer Plattformen zu setzen gilt. Jürgen Schmidt ist leitender Redakteur und Senior Fellow Security bei Heise Medien spricht dagegen von einer gänzlich neuen Qualität. In einem Kommentar auf heise online bezeichnete er Apples Vorgehen bereits als "Tabubruch, der in die Totalüberwachung führt". Im c't-Podcast legt er nach.
82:15 08/27/2021
Sommer, Sonne, Datenschutz
Nach einer klitzekleinen Sommerpause groovt sich der c't-Datenschutz-Podcast Auslegungssache langsam wieder in den Betriebsmodus. Gleich zwei Bußgelder der Woche hat Joerg diesmal mitgebracht. Wenig beachtet, aber sehr relevant ist eine Strafe, die die Landesdatenschutzbehörde Niedersachsen gegen einen Shopbetreiber ausgesprochen hat: Weil er eine um Jahre veraltete Version einer Shopsoftware (xt:Commerce in der Version 3.0.4 SP2.1) einsetzte, die gravierende Sicherheitslücken aufwies, musste er 65.500 Euro zahlen. Joergs Rat lautet daher wieder einmal: Admins sollte unbedingt darauf achten, dass die eingesetzte Ausstattung dem "Stand der Technik" entspricht, wie es die DSGVO vorschreibt. Joerg und Holger haben die Episode 44 bereitwillig von Johannes Börnsen kapern lassen. Börnsen ist Video- und Audio-Producer bei c't und heise online. Er übernimmt souverän die Moderation und lässt die beiden Podcaster über ihren Werdegang und ihr Projekt plaudern. Joerg etwa verrät, dass er anders als Holger kein passionierter Podcast-Hörer ist. Er erklärt, wie die Themen entstehen und die Gästinnen und Gäste gefunden werden. Holger schildert, welche Plattformen zum Einsatz kommen und wie die Pandemie dazu geführt hat, das Konzept anzupassen. Beide wünschen sich nach mehr Feedback und rufen dazu auf, Themenwünsche für die vielen noch folgenden Episoden zu äußern.
73:16 08/13/2021
IT-Forensik und Datenschutz
Verfehlungen im Arbeitsumfeld kommen nicht selten vor: Mal lädt ein Mitarbeiter massenhaft urheberrechtlich geschützte Filme auf den Bürorechner herunter, ein anderer verbringt täglich Stunden mit seinen eBay-Aktivitäten. Mitunter tangiert der Missbrauch von Arbeitszeit- und Mitteln auch den strafrechtlichen Bereich, etwa wenn es um den Handel mit Darstellungen von Kindesmissbrauch geht. Immer gilt: Nachforschungen von Arbeitgebern bei einem Verdacht sind heikel, denn auch hier gilt Datenschutz- und Persönlichkeitsrecht. In Episode 43 der Auslegungssache ergründen Joerg und Holger, wie Arbeitgeber, IT-Administratoren und Datenschutzbeauftragte in solchen Fällen agieren sollten. Fachkundige Hilfe dabei leistet Christoph Wegener, der Unternehmen bei IT-forensischen Aktivitäten freiberuflich unterstützt. Zunächst geht es um die datenschutzrechtlichen Grundlagen, die in Deutschland im Paragrafen 26 BDSG definiert sind, der die "Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses" regelt. Wer diese Bestimmung verletzt, verstößt nicht nur gegen Recht, sondern riskiert auch ein Verwertungsverbot für seine mühevoll gewonnenen Informationen, die dann im Rahmen von straf-, zivil- und arbeitsrechtlichen Auseinandersetzungen nicht oder nur begrenzt verwendet werden können. Wegener erläutert, welche Vorbereitungen man treffen sollte. Es gilt beispielsweise dafür zu sorgen, dass mindestens vier Augen bei der Forensik mitwirken, und am besten alle relevanten Stellen, etwa der interne Datenschutzbeauftragte und der Betriebsrat einbezogen werden. Ein Alleingang von IT-Administratoren ist tabu. Hat man den Verdacht auf eine Straftat, sollte grundsätzlich eine Ermittlungsbehörde übernehmen. Neben den datenschutzrechtlichen Vorüberlegungen spielt die technische Vorgehensweise (Sichern und Auswerten) eine große Rolle. Auch hier hat Wegener einige Tipps parat.
78:43 07/16/2021