Auslegungssache – der c't-Datenschutz-Podcast

Die aktuelle Episode des c't-Datenschutz-Podcasts steht fast komplett im Zeichen der Europawahl, die in Deutschland am 9. Juni stattfindet. Holger und Joerg haben sich vorgenommen, einen digitalpolitischen und datenschutzrechtlichen Rückblick auf die vergangene Legislaturperiode zu wagen und begründet dazu aufzurufen, wählen zu gehen. Als versierter Gast bereichert diesmal Falk Steiner das Gespräch. Falk beobachtet als freier Journalist für c't und heise online das politische Geschehen in Berlin und in Brüssel. In der Episode erläutert er die Zusammenhänge zwischen den vielen digitalpolitischen Gesetzgebungsverfahren im Bund und der EU. Außerdem besprechen die drei, welche Verfahren mit in die nächste Legislatur genommen werden dürften und was anstehen könnte. Nicht zuletzt spekulieren sie darüber, ob die Datenschutz-Grundverordnung in den nächsten fünf Jahren aufgeschnürt und reformiert werden könnte. Abschließend folgt noch ein kurzer Ritt durch die Parteiprogramme der größeren deutschen Parteien zur EU-Wahl. Es bleibt die Erkenntnis, dass zur Digitalpolitik durch die Bank viele Allgemeinplätze und wenig konkrete Forderungen zu finden sind. Allenfalls große politisch Linien lassen sich finden. Falk merkt lakonisch an, dass Digitalpolitik und insbesondere Datenschutz eben nach wie vor bei vielen Entscheidungsträgern keinen hohen Stellenwert genießt

Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen. In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen. Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen. Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen. In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung. Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.

Der Umsatz mit Computerspielen steigt in Deutschland kontinuierlich. 2023 wurden mit PC-Games und Konsolenspielen mehr als 3,7 Milliarden Euro umgesetzt. Besonders boomt der Markt auf Smartphones und Tablets: Für fast drei Milliarden Euro kauften Daddlerinnen und Daddler Items, Skins oder Coins per In-App-Stores in den Spielen. Für die Branche gelten hierzulande dieselben datenschutzrechtlichen Einschränkungen wie für etwa soziale Medien. Hinzu kommen allerdings noch strenge Jugendschutzbestimmungen. Und längst werden die Games nicht mehr (nur) im Laden gekauft, sondern hauptsächlich über Plattformen wie Steam, Playstation oder eben den Appstores von Google und Apple. Sowohl beim Kauf als auch bei der Nutzung fallen eine Menge Daten an. Im Datenschutz-Podcast von c't erläutert ein juristischer Experte und Interessenvertreter die Perspektive der deutschen Games-Branche: Prof. Christian-Henner Hentsch ist Professor für Urheber- und Medienrecht an der Kölner Forschungsstelle für Medienrecht der TH Köln, daneben verantwortet als Leiter Recht und Regulierung für den Verband der Deutschen Games-Branche "game" alle verbandsinternen rechtlichen Fragen sowie die rechtspolitischen Themen. Henner gibt einen Einblick in die Branche und erklärt, welche Parteien dort derzeit agieren, von Plattformen über Publisher bis zu Indie-Studios. Weil der Verkauf von Werbeplätzen in Spielen kaum stattfinde, benötigten Spiele-Anbieter in aller Regel keine Einwilligung zur Datenerhebung. In diesem Bereich werde alles über die Kauf- und Nutzungsverträge geregelt. Dies umfasse auch die Verarbeitung von anfallenden personenbezogenen Daten während des Spielens. Bei den Plattformen selbst würden eine Menge Daten auflaufen, doch diese würden nur sehr eingeschränkt an Publisher und Entwickler weitergegeben, sagt Hentsch. Aber natürlich finde eine Beobachtung der Spieler statt, um das Spielerlebnis zu optimieren und manchmal auch, um geeignete Stellen zu finden, an denen jemand besipielsweise besonders interessiert sein könnte, mit zusätzlichen Items den Fortgang des Games zu beschleunigen.

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien (teilweise von Minderjährigen) offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber hatte c't auf das gravierende Datenleck aufmerksam gemacht. Wir verifizierten das Problem und wiesen die Stay Informed GmbH aus Freiburg darauf hin. Sie reagierte umgehend und schloss die Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Träger einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragsnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Dies sind vielmehr die mehr als 11.000 angeschlossenen Auftragsgeber, also alle Einrichtungen. In Episode 106 der Auslegungssache spricht Joerg mit Holger über die rechtlichen Grundlagen und die Folgen. Holger war an der Recherche zum Stay-Informed-Datenleck beteiligt und kann viel berichten. Joerg erklärt, welche Rolle Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen. Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen - und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das datenverarbeitende System hatten und haben.

Rechtsanwälte bekommen es in der datenschutzrechtlichen Beratungspraxis mitunter mit skurrilen Anfragen von Verbrauchern zu tun. Oft geht es dabei im Alltag um die Durchsetzung von Auskunftsansprüchen und Schadensersatzforderungen. Nebenher müssen sie sich mit Rechtsschutzversicherungen um die Vergütung ihrer Tätigkeit zoffen. In der neuen Episode des c't-Datenschutz-Podcasts plaudert Niklas Mühleis ein wenig aus dem Nähkästchen. Niklas ist Rechtsanwalt und Partner in der Hannoverschen Kanzlei Heidrich Rechtsanwälte, zusammen mit Podcast-Cohost und Heise-Verlagsjustiziar Joerg. Er berichtet über konkrete Fälle und erläutert, welche Kosten anfallen, wenn man einen Anwalt engagiert, um seine Rechte durchzusetzen. Anlass des Besuchs ist, dass Niklas im neuen Heise-Podcast "Vorsicht, Kunde!" als Experte verbraucherrechtliche Fragen aus der IT-Welt juristisch einordnet (siehe Shownotes). Außerdem wagen c't-Redakteur Holger, Joerg und Niklas in der neuen Auslegungssache einen Rückblick auf die Bußgeld-Praxis der europäischen Datenschutzbehörden im vergangen Jahr 2023. Anlass ist eine zusammenfassende Statistik des DSGVO-Portals. Demnach ist die Gesamtsumme der verhängten Bußgelder in Europa um 29 Prozent gegenüber 2022 gestiegen. Insgesamt seien es 2023 2,11 Milliarden Euro gewesen, wobei allein 1,2 Milliarden auf ein einizges Bußgeld gegen Facebook zurückzuführen sind.

Die Datenschutz-Grundverordnung (DSGVO) gibt "Betroffenen" von Datenverarbeitung einige Rechte in die Hand, beispielsweise das Auskunftsersuchen und die Möglichkeit, personenbezogene Daten vom Verantwortlichen löschen zu lassen. Damit sie wissen, welche Rechte ihnen zustehen und wo sie diese einfordern können, schreibt die DSGVO außerdem in Art. 13 und 14 Informationspflichten vor. Es geht zuallererst um die allseits bekannte Datenschutzerklärung, aber nicht nur um sie. Bei den Informationspflichten steckt der Teufel oft im Detail. Grund genug für den c't-Datenschutz-Podcast, einmal genauer auf den Gesetzestext und mögliche Konstallationen in der Praxis zu schauen. Holger und Joerg bekommen dabei Unterstützung von Barbara Schmitz, Rechtsanwältin für IT- und Datenschutzrecht. Barbara berät Unternehmen zur Erfüllung der Informationspflichten und kann aus ihrem beruflichen Alltag berichten. Kaum beachtet wird in der öffentlichen Diskussion der genannte Art. 14 DSGVO, in dem es um Informationen zu Daten geht, die nicht vom Verantwortlichens selbst erhoben, aber von diesem weiterverarbeitet werden. Hierzu muss er konkret und in einer zeitlichen Frist nach Erhalt die Quelle offenlegen. Spannend: Ändert sich der Verarbeitungszeck, muss auch das mitgeteilt werden. Die Drei in der Runde grübeln darüber, wo diese Pflicht in der Praxis verfängt und ob ihnen eine solche Information schon einmal untergekommen ist.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

Derzeit spielt sich um den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber ein unwürdiges politisches Schauspiel vor den Augen der Öffentlichkeit ab. Kelber, dessen erste fünfjährige Amtszeit am 7. Januar ablief, ist derzeit nur noch geschäftsführend im Amt. Und dies ist der Fall, obwohl sich der SPD-Politiker und Informatiker einen hervorragenden Ruf im Amt erarbeitet hat und in der Datenschutz-Community hoch geachtet wird. Kelber selbst hat in einem ungewöhnlichen Statement selbst erklärt, dass er sich gerne für eine weitere fünfjährige Amtszeit zur Verfügung stellt. Er müsste dafür von der Bundesregierung vorgeschlagen und vom Bundestag gewählt werden. Für seine erste Amtzeit hatte ihn 2019 die SPD vorgeschlagen. Doch die verzichtete nun auf diese Möglichkeit. Der Grund dafür könnte sein, dass sie bereits andere Posten zugeschlagen bekommen hat, vielleicht war ihr Kelber aber auch zu unbequem geworden. Nun liegt das Vorschlagsrecht innerhalb der Ampelkoalition bei den Fraktionen von FDP und Grünen. Die tun sich augenscheinlich schwer, eine geeignete Person als Nachfolger zu benennen, die den Job unter diesen Umständen noch annehmen würde. Parteilos sollte diese Person sein, und fachlich qualifiziert, ist aus den Fraktionen zu hören. Wie die Sache ausgeht, scheint derzeit völlig offen. Dieser unschönen Gemengelage nimmt sich der c't-Datenschutz-Podcast Auslegungssache in seiner aktuellen Episode an. Redakteur Holger Bleich hat sich dazu zwei Gäste eingeladen, die die Lage fachkundig analysieren und ihre Meinung dazu nicht hinter dem Berg halten: Dr. Stefan Brink war selbst bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg und kennt sich mit den Verfahren bestens aus. Falk Steiner berichtet als freier politischer Korrespondent seit langen Jahren für c't und heise online aus Berlin und Brüssel. Im Podcast erläutert er die politischen Scharmützel rund um die Neubesetzung des Amts und ordnet sie in größere Zusammenhänge ein. Brink hält das Ernennungsverfahren von Leitern der Datenschutzbehörden für völlig intransparent und nicht vereinbar den Vorgaben aus Art. 53 DSGVO: "Es muss ja nicht nur der Wahlakt selbst transparent sein, es beginnt früher. Wo bleiben die Ausschreibungen, aus denen mehrere Bewerber hervorgehen, um eine Auswahl zu haben?" Momentan würden die der Kontrolle Unterworfenen ihre eigenen Kontrolleure bestimmen. Brink weist im Podcast ausdrücklich darauf hin, dass auch er 2016 in einem solchen Verfahren gewählt wurde. Ob er selbst für das Amt des BfDI zur Verfügung stünde? "Ein klares Nein! Man hat mich mehrmals gefragt, und sogar an mich appelliert, mein Nein zu überdenken." Aus dem politischen Berin weiß Steiner zu berichten, dass "zurzeit hinter den Kulissen gemauschelt wird ohne Ende". Da sei auch ein Machtspiel innerhalb der SPD in Gange, bei dem es sogar um rheinischen Klüngel gehe: "Es spielen da Dinge eine Rolle, die mit Datenschutz rein gar nichts zu tun haben." Welche das sind, erfahren Sie in der Podcastepisode.

Gespannt hatte die Datenschutz-Community im Dezember vergangenen Jahres nach Luxemburg geblickt. Gleich sechs Entscheidungen des Europäischen Gerichtshofs standen an, die mehr Klarheit in strittige Fragen zur DSGVO-Auslegung bringen sollten. Doch haben sie diese Erwartung erfüllt? Dieser Frage gehen Joerg Holger in dieser Episode nach. Bereits zum dritten Mal stellte sich Prof. Alexander Golland als Experte zur Verfügung, um im Podcast die Sachlagen kompetent einzuordnen. Alexander lehrt und forscht an der Fachhochschule Aachen zum Recht der Digitalisierung und ist daneben Autor und Herausgeber zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Schriftleiter der Fachzeitschrift "Datenschutz-Berater". Zunächst diskutieren die Drei die EuGH-Entscheidung "Schöner Wohnen" (C-807/21). Dieser zufolge sind DSGVO-Bußgelder gegen Unternehmen möglich, wenn sie ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss hingegen nicht nachgewiesen sein. Dieses muss sich das Unternehmen als juristische Person zurechnen lassen, so der EuGH. Beide Streitparteien werteten das Urteil als Erfolg. Alexander bezeichnet es als "salomonisch" und meint, eigentlich kann sich keine der beiden Seiten darüber freuen sollte. Weiter geht es in der Episode mit den Entscheidungen "NAP" (C-340/21) und "Gemeinde Ummendorf" (C-456/22). Hier wurden Schadensersatzansprüche nach Art. 82 DSGVO aus Datenschutzverstößen heraus verhandelt, konkret ein Cyberangriff, bei dem eventuell personenbezogene Daten abgezogen wurden. Der EuGH entschied de facto eine Beweislastumkehr: Verantwortliche müssen künftig nachweisen, dass ihre Systeme nach Art. 32 DSGVO ausreichend gesichert waren, wenn jemand einen Schaden behauptet. Dem Urteil zufolge können bereits Sorgen und Befürchtungen um einen möglichen Datenverlust einen Schadenersatzanspruch begründen. Doch das die Ängste einen Schaden darstellen, müssen die Betroffenen im Einzelfall nachweisen. Alexander hält diesen Nachweis je nach Umstand für schwierig: "Vielleicht muss mir die Ehefrau bestätigen, dass ich aus Furcht vor dem Missbrauch meiner Daten jede Nacht von drei bis fünf Uhr morgens bibbernd auf der Bettkante saß? Oder ich muss eine Art Angsttagebuch vorlegen können?"

ChatGPT, Midjourney und Co. stellen die Datenschützer vor völlig neue Herausforderungen. Womit darf man generative KI trainieren? was sollte man beim Nutzen der Blackbox-Modelle beachten, um die Preisgabe personenbezogner Daten zu vermeiden, oder zumindest zu minimieren? Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an die Betreiber? Der Datenschutz muss sehr aufpassen, um nicht wieder als Bremser des Fortschritts dazustehen, meint Joerg. Zusammen mit Holger diskutiert er in der Podcast-Episode die möglichen Rechtsgrundlagen und schätzt die momentane Lage ein. Den beiden kompetent zur Seite steht Dr. Michael Koch. Michael ist Mitarbeiter von Joerg in der Rechtsabteilung des Verlags und vertiefte diese Themen zusammen mit ihm viele Male in Webinaren des Verlags. Außerdem ist er Datenschutzmentor für Start-Ups in Hannover und Referent und Fachautor zu den Themengebieten IT-Recht und Datenschutz. Die drei erörtern, wo beim Einsatz von generativer KI welche personenbezogenen Daten verarbeitet werden können - und wo Probleme entstehen. Ein Disput entsteht in der Diskussion, als es um das "Scraping" öffentlich zugänglicher Daten im Web zu Trainingszwecken geht, wie es beispielsweise OpenAI betreibt: Muss man damit rechnen, dass alle veröffentlichten Informationen potenziell als Trainingsmaterial für Sprach-KIs oder Bildgeneratoren fungieren? Michael erläutert, wie eine betriebliche Nutzung von Chatbots mit einer Richtlinie geregelt werden könnte, etwa mit Compliance-Vorschriften und gemeinsam genutzten Funktions-Accounts. Ausführlicher besprechen die Drei außerdem die "Checkliste zum Einsatz LLM-basierter Chatbots", die der Hamburgische Landesdatenschutzbeauftragte öffentlich bereitgestellt hat. Wer sich daran halte, habe schon sehr viel dafür getan, um auf der rechtssicheren Seite zu sein, ist sich Joerg sicher.

Geht es nach dem Willen der EU, wird bald jeder Bürger der 27 Mitgliedsstaaten eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030 sollen sich 80 Prozent aller EU-Bürger online im Web damit ausweisen können. Die gesetzliche Grundlage dazu nennt sich eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am 9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und Kommission erzielt, und am 7. Dezember hat Industrieausschuss des Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen Artikel, der von zivilgesellschaftlichen Organisationen, aber auch IT-Experten aus dem universitären Umfeld scharf kritisiert wird. Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache. c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15. Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten dieser Problematik beschäftigt. In erster Linie geht es um Artikel 45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge, Firefox, und Safari künftig sogenannte qualifizierte Zertifikate (Qualified Website Authentication Certificates, QWACs) für die Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der Browser sollen Aussteller dieser QWACs, die sogenannten Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei: Diese staatlich kontrollierten Anbieter könnten Hintertüren einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes und Geheimdienste weltweit haben großes Interesse, den Verkehr ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte falsche Zertifikate für alle Websites ausstellen und der Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten – das Szenario träfe damit alle Europäer. Immer wieder warnen Browser-Hersteller und Wissenschaftler davor, ein Szenario per Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation und damit auch den Datenschutz der Bürger derart aushöhlt.

Es wird langsam zur Tradition im c't-Datenschutz-Podcast: Ehemalige Behördenleiter kommen gerne als Gäste, um die High- und Lowlights ihrer Amtszeit gemeinsam mit Holger und Joerg Revue passieren zu lassen. Und das ohne jene Redebeschränkungen, die ihnen ihre Position auferlegt hatte. In Episode 98 plaudert die ehemalige Landesdatenschutzbeauftrage Niedersachsens Barbara Thiel aus dem datenschutzrechtlichen Nähkästchen. Thiel amtierte von 2015 bis Mitte 2023 und erlebte den Awareness-Wandel, den die DSGVO mit sich brachte, als Behördenleiterin an vorderster Front mit. In Podcast erzählt sie, wie der Start verlief, welche Schwerpunkte sie sich aussuchte und auf welche Widerstände sie im Laufe ihrer Amtszeit stieß. Thiel berichtet von wenig bekannten Verfahren, ordnet aber auch spektakuläre Bußgelder ein, die sie verhängt hat. Im Gespräch bemängelt sie, dass es zu wenig Ambitionen gibt, die Datenschutzregulierung auf deutscher Ebene zu vereinheitlichen und in den europäischen Kontext einzuhegen. An dieser Stelle will sie sich ihren Aussagen zufolge auch künftig engagieren. Erstmals schildert Thiel außerdem öffentlich ihre Motivation dazu, gegen die Ernennung ihres Nachfolgers gerichtlich vorzugehen. Sie kritisiert, dass ihr Nachfolger und CDU-Politiker Dennis Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben. Das Verwaltungsgericht Hannover wies Thiels Klage ab, am 15. September schließlich bestätigte auch das Oberverwaltungsgericht Lüneburg, dass Lehmkemper entgegen Thiels Auffassung ernannt werden kann, was Tags darauf auch geschah. Thiel betont im Podcast, dass sich ihre Klage keinesfalls gegen ihren Nachfolger gerichtet habe. Vielmehr vermutet sie beim Ernennungsverfahren in Niedersachsen einen Verstoß gegen Artikel 53 DSGVO, der nicht nur ein transparentes Ernennungsverfahren verlange, sondern auch die erforderliche Sachkunde und Qualifikation des Bewerbers fordere. Schließlich sei allerdings zu ihrem Bedauern in der Sache nicht einmal entschieden worden.

Als die Datenschutz-Grundverordnung 2018 wirksam wurde, führte das regelrecht zu panischen Reaktionen bei vielen ehrenamtlich Tätigen, beispielsweise in den mehr als 600.000 eingetragenen Vereinen. Dies hat einen simplen Grund: Zur negativen Überraschung sah das neue EU-Gesetz keinerlei Erleichterungen für sie vor. Nach dem Motto "one size fits all" gelten dieselben Bestimmungen für den Vorsitzenden des Taubenzüchtervereins wie für einen US-amerikanischen Megakonzern. Mitterweile haben sich die Wogen geglättet, denn bislang lassen die Aufsichtsbehörden Milde walten. Nur in wenigen Fällen setzte es Bußgelder gegen Vereine, und wenn, ging es um eher geringe Beträge im dreistelligen Bereich. Dennoch tun Verantwortliche in Vereinen gut daran, sich mit den Vorgaben der DSGVO zu beschäftigen. Dies gilt insbesondere für die Dokumentationspflichten und die technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten der Mitglieder. Die Aufsichtsbehörden selbst leisten da eher wenig konkrete Hilfestellung. Deshalb hat sich die Stiftung Datenschutz des Themas angenommen und unter dem Motto "Datenschutz im Ehrenamt" umfangreiches Infomaterial bereitgestellt. Verantwortlich für diesen Bereich ist Hendrik vom Lehn, Referent für Datenschutzrecht bei der Stiftung und Diplom-Informatiker. Im c't-Datenschutz-Podcast erläutert er, welche Besonderheiten Vereinsverantwortliche beachten sollten. Beispielsweise gilt es, ehrenamtliches Personal zur Verschwiegenheit beim Umgang mit personenbezogenen Daten zu verpflichten, zumal, wenn es um besonders sensible Gesondheitsdaten geht. Außerdem empfiehlt Hendrik, eine Person zu benennen, die alle Datenschutzbelange überblickt und koordiniert. Zusätzlich kann je nach Größe des Vereins nötig werden, einen offiziellen Datenschutzbeauftragten zu qualifizieren oder von extern zu bestellen. Hendrik berichtet aus der Praxis von besonders häufigen Problemstellungen, beispielsweise dem Umgang mit Fotos und Videos - und wie man damit umgehen sollte.

Nach einem außergewöhnlich langen Gesetzgebungsverfahren ist am 2. Juli 2023 das erste Gesetz in Kraft getreten, das den Schutz von Whistleblowern insbesondere in Unternehmen regelt. Damit hat Deutschland die EU-Richtlinie 2019/1937 (Hinweisgeberrichtlinie) umgesetzt. Weil die Bundesrepublik dabei alle Fristen gerissen hat, läuft ein millionenschweres Vertragsverletzungsverfahren. In der Podcast-Episode werden die Genese des Gesetzes, Kompromisse bei der Umsetzung sowie die konkreten Anforderungen zum Schutz von Hinweisgebern diskutiert. Dazu haben Holger und Joerg einen kompetenten Gesprächspartner eingeladen: Dr. Simon Gerdemann war indirekt an der Enstehung des Gesetzes beteiligt und leitet derzeit das Projekt "Wirkungsanalyse des deutschen und europäischen Whistleblowing-Rechts" an der Uni Göttingen. Simon erklärt, für welche Unternehmen das Gesetz gilt, in welcher Form sie Hinweise von Mitarbeitern auf Missstände entgegennehmen müssen und wie sie darauf den Vorschriften zufolge reagieren sollten. Außerdem erläutert er die Funktion von externen Meldestellen, an die sich Whistleblower nun ebenfalls wenden können. Nicht zuletzt geht es hier um teils höchst sensible personenbezogene Daten, weshalb auch die datenschutzrechtlichen Implikationen zur Sprache kommen. Schlussendlich ist sich die Runde einig, dass das Hinweisgeberschutzgesetz zwar nicht der Weisheit letzten Schluss, aber einen guten Anfang darstellt. Was fehle, sei insbesondere die verbriefte Möglichkeit für Whistleblower, brisante Informationen zu Missständen auch garantiert annonym melden zu können.

Längst nicht jeden Umgang mit personenbezogenen Daten in Europa regelt die DSGVO. Für viele Unternehmen und Organisationen gelten eigene Datenschutzvorschriften, etwa für den Rundfunk, den Journalismus und vor allem für Kirchen und andere Religionsgemeinschaften. So haben sich die katholische und die evangelische Kirche in Deutschland eigene Gesetze geschrieben, die zwar an die DSGVO angelehnt sind, aber auch erhebliche Unterschiede aufweisen. Wie ist das möglich, wo doch die DSGVO unterschiedslos in der ganzen EU gelten soll? Die Verordnung enthält in Artikel 91 eine Ausnahme. Sie besagt, dass Kirchen ihre Datenschutzvorschriften behalten dürfen, wenn diese schon vor Frühjahr 2016 gegolten haben und "umfassend" sind. Warum diese Ausnahme zustande kam und welche Konsequenzen sie in der Praxis mit sich bringt, diskutieren Holger und Joerg. Ihnen zur Seite steht in dieser Episode mit Felix Neumann der Experte für kirchlichen Datenschutz in Deutschland. Felix arbeitet als Journalist beim Portal katholisch.de und betreibt nebenher das Blog "Artikel 91", in dem es um die Auswirkungen der Sonderregelung geht. Nach seinen Recherchen geht sie auf intensive Lobbyarbeit der deutschen Kirchen sowie auf den Einsatz der deutschen Bundesregierung im Gesetzgebungsprozess zur DSGVO zurück. Felix erklärt im Podcast, welche Unterschiede die kirchlichen Datenschutzgesetze zur DSGVO aufweisen. Insbesondere definieren sie abseits von staatlicher Kontrolle eine eigene Aufsichtsstruktur, und sie enthalten wesentlich geringere Sanktionierungsmöglichkeiten: Während die DSGVO Bußgelder von bis zu 20 Millionen Euro vorsieht, deckeln die Kirchengesetze die Strafe auf maximal 500.000 Euro. Besonders spannend ist die Frage, welche Religionsgemeinschaften außer den großen Kirchen Anspruch auf eigene Datenschutzregeln erheben. Dies schildert Felix ausführlich, auch Anhand einer gerichtlichen Auseinandersetzung der Selbständigen Evangelisch-Lutherischen Kirche (SELK) mit der niedersächsischen Landesdatenschutzaufsicht. Hier steht im Raum, dass grundsätzliche Fragen dazu noch vor dem Europäischen Gerichtshof (EuGH) landen könnten.

Seit dem 10. Juli dieses Jahres gilt das EU-US Data Privacy Framework. Die Vereinbarung erlaubt es Unternehmen, unter gewissen Voraussetzungen Daten in die USA zu transferieren. Die Erlaubnis beruht auf einem erneuten Angemessenheitsbeschluss der EU-Kommission, nach dem die Vorherigen vom Europäischen Gerichtshof einkassiert worden waren. Was genau dieses DPF ist und was Unternehmen beachten müssen, hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anfang September in ausführlichen Anwendungshinweisen gut verständlich erläutert. Anders als vergleichbare Beschlüsse mit weiteren Staaten erlaubt die Neuregelung nicht grundsätzlich eine Weitergabe über den Atlantik, wie die DSK betont. Das DPF wirkt sektoral und erfasst nur Datenübermittlungen an solche US-Unternehmen und -Organisationen, die aktiv an diesem Programm teilnehmen und sich in eine entsprechende Liste eintragen lassen. In Episode 93 des c't-Datenschutz-Podcasts erläutern Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich, was sich mit dem DPF für Unternehmen, aber auch für Bürgerinnen und Bürger ändert. Ihnen kompetent zur Seite steht dabei Carola Sieling. die Fachanwältin für IT-Recht berät in ihrer Kanzlei Unternehmen in Datenschutz-Belangen und fungiert als Datenschutzbeauftragte. Zusammen lesen sich die Drei kommentierend durch das DSK-Papier. Neben dem DPF diskutieren sie außerdem ein hohes Bußgeld, das die irische Datenschutzbehörde gegen die TikTok Technology Limited, also den europäischen Ableger von TikTok/Bytedance, ausgesprochen hat. Das Unternehmen soll 345 Millionen Euro zahlen, weil es im Beobachtungszeitraum 2020 diverse Verstöße im Umgang mit den Daten Minderjähriger begangen hat.

Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.

Die Datenschutz-Grundverordnung (DSGVO) beruht auf dem Verbotsparadigma: Das Erheben und Speichern von personenbezogenen Daten ist untersagt, außer es es ist erlaubt. Eine Erlaubnis kann sich nur aus Art. 6 ergeben, in dem die Rechtsgrundlagen definiert sind, also beispielsweise ein "berechtigtes Interesse" oder eine widerrufbare Einwilligung des Dateninhabers. Fällt die Rechtsgrundlage weg, muss der Verantwortliche unverzüglich die erhobenen Daten löschen. Das muss er auch tun, wenn der Dateninhaber von seinem Recht auf "Löschen auf Zuruf" nach Art. 17 DSGVO Gebrauch macht. Diese Gemengelage macht deutlich, auf welch tönernen Füßen datengetriebene Geschäftsmodelle in der EU stehen. Auch die neuen Datengesetze wie der Data Act und Data Governance Act hebeln das Verbotsparadigma nicht aus, sondern müssen sich ihm unterordnen. Hinzu kommt, dass diverse nationale Vorschriften von Behörden und Unternehmen fordern, beispielsweise Verträge und Rechnungen eben nicht zu löschen, sondern innerhalb einer Frist verfügbar zu halten. Zusätzlich gibt es die Pflicht, geschäftliche E-Mails zehn Jahre lang zu archivieren. Außerdem sollen Verantwortliche Backups ihre Datenbestände vorhalten. All diese Ausnahmen deckt Art. 17, Abs. 3 DSGVO. Doch wie soll man das alles praktisch umsetzen; wie löscht man wirklich sicher Daten, um seinen Pflichten nachzukommen? Darüber sprechen Heise-Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich in Episode 91 des c't-Datenschutz-Podcasts Auslegungssache. Als kompetenter Gast steht ihnen dabei Dr. Christoph Wegener zur Seite. Wegener ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Im Podcast erläutert er, welche Methoden er zum Löschen von Daten empfiehlt und gibt hilfreiche Tipps für die Praxis in Unternehmen.