Auslegungssache – der c't-Datenschutz-Podcast

Nun hat es auch einmal den c't-Datenschutz-Podcast erwischt: Manchmal ändert sich die Nachrichtensituation von einen Tag auf den anderen gravierend, so geschehen am 6. November. Kaum war die aktuelle Folge im Kasten, löste sich die Ampelkoalition auf. Einige Gesetzesprojekte, über die es in der Episode gesprochen wird, dürften damit vorerst gestoppt sein. Dennoch halten wir die Episode 122 der Auslegungssache für sehr hörenswert, beleuchtet sie doch die Lage der Bürgerrechte in Deutschland sowie Bestrebungen der nun ehemaligen Bundesregierung, grundrechtsgefährdende Projekte auf die Schiene zu bringen. Im Mittelpunkt steht das Sicherheitspaket, das eventuell mit Hilfe der Unionsparteien trotz Ampel-Aus noch vor der Bundestagswahl realisiert werden könnte. Holger und Joerg sprechen darüber mit Dr. Ulf Buermeyer, Jurist, Mitgründer der Gesellschaft für Freiheitsrechte und Co-Host des Podcasts "Lage der Nation". Das in Reaktion auf den Messerangriff von Solingen hastig zusammengestellte Paket passierte Mitte Oktober zunächst den Bundestag, scheiterte dann aber vorerst im Bundesrat am Widerstand der Union. Diese fordert noch schärfere Maßnahmen wie eine Ausweitung der Befugnisse für Verfassungsschutz und Polizei. Besonders umstritten ist die Einführung einer Datenbank zur biometrischen Gesichtserkennung beim BKA. Ulf bezweifelt, dass eine solche Datenbank verfassungsrechtlich Bestand hätte. Er sieht darin einen massiven Eingriff in die Grundrechte. Ebenfalls diskutiert wurde in der Ampleregierung ein neuer Anlauf zur Vorratsdatenspeicherung von IP-Adressen. Hier sehen sich Befürworter wie Innenministerin Nancy Faeser durch ein EuGH-Urteil von April 2024 bestätigt. Die FDP setzte dem das Modell "Quick Freeze" entgegen, bei dem Verbindungsdaten erst bei einem konkreten Verdacht "eingefroren" und dann für Ermittlungen freigegeben werden. Ulf plädiert dafür, diesen Ansatz zumindest zu erproben und wissenschaftlich zu evaluieren. Insgesamt wünscht er sich eine Versachlichung der oft emotional geführten Debatte um innere Sicherheit und Migration. Sowohl Quick Freeze als auch die Vorratsdatenspeicherung dürften nun nach dem Ampel-Aus vorerst in den Schubladen verschwinden.

Die wirtschaftliche Lage in Deutschland und Europa setzt die Politik unter Druck, aber auch den Datenschutz. Das wurde zuletzt beim Digitalgipfel der Bundesregierung in Frankfurt deutlich. Bundeswirtschaftsminister Robert Habeck stellte dort die föderale Struktur der Datenschutzaufsicht in Frage. 16 Landesdatenschutzbehörden plus zwei in Bayern seien "ein bisschen viele". Er schlug vor, den Behörden thematische statt regionale Zuständigkeiten zuzuweisen. In der aktuelle Episode des c't-Datenschutz-Podcasts erörtert Holger zusammen mit dem freien Journalisten Falk Steiner die digitalpolitische Großwetterlage in Deutschland und Europa. Falk schildert die Stimmung auf dem Digitalgipfel. Ein Tenor war demzufolge, dass Deutschland als Wirtschafts- und KI-Standort hinterherhinkt. Datenschutz werde zunehmend als Bremsklotz der Digitalisierung dargestellt. Auch auf EU-Ebene deutet sich nach Falks Meinung ein Kurswechsel an. Die designierte neue EU-Kommission unter Ursula von der Leyen werde stark auf Wirtschaftswachstum und Bürokratieabbau setzen. Datenschütz dürfte mehr in den Hintergrund treten. Die für Digitales zuständige künftige Exekutiv-Vizepräsidentin Henna Virkkunen soll ein EU-Cloud- und KI-Entwicklungsgesetz vorantreiben. Eine Reform der Datenschutz-Grundverordnung (DSGVO) steht dagegen nicht auf ihrer Agenda. Die neue EU-Kommission werde insgesamt konservativer ausgerichtet sein als die bisherige. Prägende Figuren der Digitalpolitik wie Margrethe Vestager und Thierry Breton schieden aus. Zudem haben sich die Mehrheitsverhältnisse im EU-Parlament nach rechts verschoben. Das könnte Falk zufolge neue Regulierungen erschweren, aber auch bürgerrechtskritische Vorhaben wie die Vorratsdatenspeicherung bremsen, die der designierte Innenkommissar Magnus Brunner wieder aufgreifen soll.

Bei strafrechtlichen Ermittlungen und im Strafprozess sind datenschutzrechtliche Grundsätze außer Kraft gesetzt. Ist das wirklich so, und welche Personlichkeitsrechte gelten dann überhaupt noch? Mit diesen Fragen beschäftigen sich Holger und Joerg in der aktuellen Episode der Auslegungssache. Zu Gast ist der Vollblut-Strafverteidiger Jens Ferner, der, wie er selbst sagt, in seinem "vorherigen Leben" als Software-Entwickler gearbeitet hat und deshalb sehr gut einschätzen kann, wie die Ermittler in der digitalen Forensik vorgehen. In Jens' Verfahren geht es oft um Delikte mit IT-Bezug, doch darum soll geht es in der Podcast-Episode nicht einmal vorrangig. Jens erzählt sehr eindringlich und dennoch unterhaltsam aus dem Alltag eines Strafverteidigers. Er stellt dar, wie Hausdurchsuchungen wirklich ablaufen und gibt Tipps, wie man sich in einem solchen Fall verhalten sollte. Den verblüfften Podcast-Hosts erklärt er, warum vor der Polizei meist keine Daten sicher sind, auch nicht die Privatesten. Wie sollte man selbst sein Smartphone und seinen PC absichern, um keine Daten von sich und von anderen Personen preisgeben zu müssen? Wie versuchen Strafermittler, an die Daten zu kommen? Jens weist darauf hin, dass sichergestellte Datenträger wie Festplatten und Smartphones unter Umständen von jeder Dorf-Polizeidienststelle entsperrt und ausgelesen werden können. Und dann tauchen vielleicht ganz neue Probleme auf, weil aus Zufallsfunden eine andere als die ursprünglich vermutete Straftat konstruiert werden könnte. der Rat von Jens: "Gebt bloß keinen Zugriff auf die Geräte, egal wie sicher man sich wähnt!"

Unsere Redaktionen erreichen immer wieder Anfragen von Leserinnen und Lesern, wie es heise online, c't, oder andere Medien des heise-Verlags mit dem Datenschutz halten. Dürfen Journalisten beispielsweise personenenbezgene Daten, die aus einem Datenleak stammen, zu Recherchezwecken verwahren? Haben die betroffenen Personen diesbezüglich Auskunfts- und Löschrechte? Die Antwort darauf gibt die EU-Datenschutz-Grundverordung nur mittelbar, denn sie regelt diesen Sonderfall nicht direkt, sondern überlässt ihn in Art. 85 den Mitgliedsstaaten. Deutschland hat sich in Abwägung der Grundrechte - Pressefreiheit einerseits und informationelle Selbstbestimmung andererseits - für das sogenannte Medienprivileg entschieden: Unter anderem in den Landespressegesetzen ist geregelt, dass Medien aufgrund ihrer wichtigen Funktion personenbezogene Daten zu journalistischen Zwecken teils jenseits der DSGVO-Pflichten (etwa Rechtsgrundlagen und Betroffenenrechte) grundsätzlich verarbeiten dürfen. Schließen sich Presseerzeugnisse oder Onlinemedien der Selbstregulierung ihrer Branche an, unterliegen sie nicht der staatlichen Datenschutzaufsicht. Diese freiwillige Selbstregulierung hat in Deutschland bereits im Jahr 2001 der Presserat übernommen. Ihn tragen der Bundesverband Digitalpublisher und Zeitungsverleger (BDZV), der deutsche Journalisten-Verband (DJV), die deutsche Journalistinnen- und Journalisten-Union (dju) in ver.di sowie der Medienverband der freien Presse (MVFP). Im Episode 119 des c't-Datenschutz-Podcasts erläutert Roman Portack, warum es dieses Medienprivileg gibt und wie die Selbstregulierung in der Praxis funktioniert. Roman ist seit 2020 Geschäftsführer des Deutschen Presserats und außerdem Fachanwalt für Urheber- und Medienrecht. Im Podcast erklärt er zunächst, was der Pressekodex ist, dem sich die Redaktionen der teilnehmenden Medien verpflichtet sehen und der für die Beurteilung von möglichen Datenschutzverstößen in Redaktionen einschlägig ist. So verpflichten sich die Redaktionen bereits in der Präambel dieses Regelwerks, das Privatleben und das Recht auf informationelle Selbstbestimmung von Personen zu achten. Bei einer identifizierenden Berichterstattung muss das Informationsinteresse der Öffentlichkeit die schutzwürdigen Interessen von Betroffenen überwiegen (Ziffer 8 des Pressekodex). Die Weitergabe von Rechercheergebnissen darf nur zu journalistischen Zwecken erfolgen (Ziffer 5). Über ein Online-Formular kann jeder Bürger potenzielle Verstöße gegen diese datenschutzrechlichen Vorgaben melden. In der Podcast-Episode gehen Holger, Joerg und Roman einige Fälle aus der Praxis beispielhaft durch. Joerg selbst ist für den Medienverband der freien Presse (MVFP) Mitglied im Beschwerdeausschuss Datenschutz des Presserats, der über potenzielle Datenschutzverstöße in Redaktionen berät und urteilt. Ein Verstoß gegen den Pressekodex zieht einen Hinweis, eine Missbilligung oder eine Rüge nach sich. Im Falle einer öffentlichen Rüge haben sich die Verlage verpflichtet, diese im betreffenden Medium zu veröffentlichen.

Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum überschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern. Europäische Datenschutzbehörden arbeiten sich seit Jahren an den Datenschutzerklärungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersächsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zuständigen Datenschutzbehörde befürchten zu müssen. I, Episode 118 beschäftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. Dafür haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten für genau diese Thematik hinzugezogen. Jurist Olaf berät mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten. Zunächst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgeführten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abfließen, die Verwendung von Telemetriedaten ungenügend geklärt ist, die IT-Sicherheit nicht ausführlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschließend darstellt. Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklärt außerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstünden allerdings gerade mit der allmählichen Einführung der KI-Copiloten in die Produkte.

In Episode 117 dreht sich fast alles um das große Wort "Verantwortung". Diese ist ein Grundpfeiler des Datenschutzrechts: Wo personenbezogene Daten verarbeitet werden, muss jemand existieren, der für die Mittel und die Zwecke verantwortlich zeichnet. Diese reale oder juristische Person muss die Rechte von Betroffenen berücksichtigen, sorgt für rechtmäßige technische Maßnahmen und erfüllt die Compliance-Anforderungen. Nur ist es in der komplexen technischen Welt so, dass eher selten ein Verantwortlicher alles in der eigenen Hand hat. In der Regel werden Datenverarbeitungen ausgelagert, sei es zu einem Cloud-Anbieter oder eine Marketingagentur. Meist vereinbaren die Partner eine Auftragsverarbeitung, bei der der Verarbeiter nur Deligierter, aber kein Verantwortlicher ist. Mitunter kommt es aber auch vor, dass sich mehrere Parteien die Verantwortung zur Verarbeitung teilen. das sogenannte "Joint Controlling" nach Art. 26 DSGVO. Und hier wird es kompliziert. c't-Redakteur Holger und heise-Verlagsjustiziar Joerg besprechen dieses komplexe Feld mit Dr. Johannes Marosi. Johannes arbeitet als Rechtsanwalt für IT- und Datenschutzrecht bei Graf von Westphalen in Frankfurt am Main. Insbesondere aber hat er seine Dissertation über das Thema der gemeinsamen Verantwortung im Datenschutzrecht geschrieben. Johannes bestätigt, dass die alleinige Verantwortung heute selten vorkommt, da die meisten Unternehmen externe Dienstleister für verschiedene Aufgaben hinzuziehen. Ein typisches Beispiel für vertraglich gefestigte Auftragsverarbeitung ist das Webhosting, bei dem ein Cloud-Anbieter Kundendaten speichert und verarbeitet. Bei der gemeinsamen Verantwortung müssen die beteiligten Parteien in einem sogenannten Joint-Controller-Agreement festlegen, wer welche Aufgaben und Pflichten übernimmt. Johannes betont, dass es wichtig sei, derlei Vereinbarungen detailliert auszuarbeiten, um spätere Konflikte zu vermeiden. Im Gespräch wird deutlich, dass die gemeinsame Verantwortung komplex und oft schwer zu handhaben ist. Obwohl die DSGVO rechtliche Rahmenbedingungen vorgibt, bleibt vieles in der Praxis unklar. Unternehmen müssten daher sorgfältig prüfen, wie sie ihre Datenschutzverantwortung organisieren und dokumentieren, resümiert Johannes.

Die Auslegungssache weitet wieder einmal den Blick und schaut auf die Entwicklung der Digital- und Netzpolitik aus bürgerrechtlicher Perspektive. Zu Gast ist diesmal Markus Beckedahl. Wohl kaum jemand in Deutschland hat von zivilgesellschaftlicher Seite in den vergangenen 20 Jahren die Debatten intensiver verfolgt und mitgeprägt als er. Markus hat 2003 das Blog netzpolitik.org gegründet und war dort bis 2022 Chefredakteur. Im März dieses Jahres hat er den Staffelstab gänzlich übergeben. Außerdem ist er Mitinitiator der jährlichen Konferenz re:publica, deren Programm er noch heute kuratiert. Und nicht zuletzt hatte er 2010 den Verein "Digitale Gesellschaft" mitgegründet, dessen Vorsitzender und Sprecher er bis 2015 war. Im Gespräch mit Holger und Joerg schildert Markus, wie es sich anfühlte, als er 2015 erfuhr, dass gegen ihn wegen Landesverrats ermittelt wurde. Damals hatte netzpolitik.org Dokumente des Bundesamtes für Verfassungsschutz online gestellt, in denen es um Pläne zur stärkeren Überwachung des Internets ging. Markus, der inzwischen neue Projekte gestarten hat, blickt insgesamt positiv auf die netzpolitische Entwicklung in Deutschland zurück. "Manchmal grüßt schon das Murmeltier und die Forderungen nach mehr Überwachung wiederholen sich. Aber wenn wir nichts gemacht hätten wäre alles viel schlimmer", ist er sich sicher. Im digitalpolitschen Bereich helfe es, in langen Linien zu denken und zu schauen, wo man Steine in den Weg legt, um Fehlentwicklungen zu verhindern. Denn, so resümiert Markus: "Eine bessere digitale Welt ist möglich!"

Seine Ernennung verzögerte sich etwas, doch nun ist der niedersächsische Landesdatenschutzbeauftragte Denis Lehmkemper fast ein Jahr im Amt. Im c't-Datenschutz-Podcast spricht er mit Holger und Joerg über über den Prozess seiner Berufung und dieses erste Jahr. Direkt nach Amtsantritt habe er eine "gut aufgestellte Behörde vorgefunden" und "erst einmal viel zugehört". Lehmkemper vertritt eine kooperative Linie. Seinen Worten zufolge möchte er Dinge ermöglichen und lösungsorientiert arbeiten. In der Episode erläutert er beispielsweise, wie seine Behörde zum Ergebnis kam, dass Microsoft Teams in der niedersächsischen Landesverwaltung anders als in einigen anderen Bundesländern eingesetzt werden darf. Man habe gemäß der Linie der Datenschutzkonferenz mit Microsoft für Niedersachsen die Datenschutzvereinbarungen desn Konzerns angepasst. Um Lösungen für den Einsatz von KI von Wirtschaft und Verwaltung im Bundesland zu finden, hat Lehmkemper einen eigenen Expertenkreis eingerichtet. Zu den zwölf Teilnehmern zählen Vertreter aus der niedersächsischen Wirtschaft und Wissenschaft, der öffentlichen Verwaltung und Datenschutzexperten aus dem gesellschaftlichen Umfeld. Sie sollen "technische und rechtliche Gestaltungsvorschläge" erarbeiten. Dieser von Lehmkemper auch KI-Rat genannte Kreis wird sich zum ersten Mal am 14. August treffen.

Nun ist es soweit: Nach jahrelangen Verhandlungen tritt die KI-Verordnung der EU am 1. August tatsächlich in Kraft, weil sie am 14. Juli im Amtsblatt der EU veröffentlicht wurde. Allerdings kommt sie erst nach Übergangsfristen schrittweise zur Anwendung. Verbote von KI-Kategorien, etwa von Social Scoring, treten nach sechs Monaten in Kraft, die Verpflichtungen für allgemeine KI-Modelle (General Purpose AI, GPAI) gelten nach 12 Monaten und die Regeln für hochriskante KI-Systeme gelten nach 36 Monaten. Am meisten Arbeit dürften Unternehmen und Behörden die umfangreichen Transparenz- und Dokumentationspflichten machen. Im c't-Datenschutz-Podcast werfen Redakteur Holger Bleich und heise-Verlagsjustiziar einen genaueren Blick auf diese - je nach Risikokategorie - unterschiedlich scharfen Regeln. Zur Seite steht ihnen dabei Aurea Verebes. Sie berät und auditiert für die Plesnik GmbH Unternehmen, die KI implementieren möchten oder bereits im Unternehmen nutzen. Außerdem hat sie einen Praxisleitfaden für Datenschutzbeauftragte verfasst, in dem sie sich bereits ausführlich mit den neuen Anforderungen der KI-Verordnung befasst hat. Verebes erläutert die Grundstruktur der Verordnung und erklärt, was hinter dem risikobasierten Ansatz steckt. Außerdem erfahrt Ihr von ihr, wo in diesem Regulierungssystem die generative KI, also GPAI-Systeme, verortet ist. Schnell kommen die drei Diskutanten zur Erkenntnis, dass es sich bei der KI-Verordnung vor allem um ein echtes Compliance-Monstrum handelt. So ist beispielsweise in vielen Einsatzfällen von KI nicht nur eine Datenschutz-Folgeabschätzung erforderlich, sondern auch eine Risikoeinschätzung. Für Berater und Auditoren entsteht hier eine wahre Goldgrube.

Interne oder externe Datenschutzbeauftragte? Darüber sprechen wir mit unserem Gast, Julian Lang, der als Berater für Datenschutz und Informationssicherheit bei Althammer & Kill in Hannover tätig ist. Julian erzählt uns über seinen Alltag als externer Datenschutzbeauftragter, der für verschiedene Unternehmen tätig ist.​ Wir, das ist in dieser Folge neben Joerg als Gastmoderator Niklas Mühleis, der bereits bei uns zu Gast war und als Co-Host unseres neuen Heise-Podcasts "Vorsicht, Kunde!" zu verbraucherrechtlichen Fragen Stellung nimmt. Niklas vertritt Holger, der in dieser Woche seinen wohlverdienten Urlaub in südlichen Gefilden verbringt.​ Gemeinsam wird im Rahmen unserer Rubrik "Bußgeld der Woche" das Vorgehen der Datenschutzbehörden bei Datenklau-Fällen besprochen. Das sind solche Fälle, in denen sich Polizisten oder auch Ladendetektive die Daten meist von Frauen abrufen, um diese zu kontaktieren. Dazu herrschte allgemeines Erstaunen darüber, dass hier meist nur sehr geringe Bußgelder festgelegt werden.​ Im Hauptteil der Episode ging es dann um die Rollen und Aufgaben von externen Datenschutzbeauftragten. Lang ist seit vielen Jahren in diesem Bereich tätig und erzählt über seinen Werdegang, die Herausforderungen im Umgang mit den Unternehmen und nicht zuletzt über skurrile Erlebnisse in seinem Job.​ Die Folge endet mit einem Vergleich zwischen den Vor- und Nachteilen der Berufung eines externen Datenschutzbeauftragten gegenüber einer internen Beauftragung. Zum Abschluss haben die Gäste die Möglichkeit, einen Wunsch an die gute Datenschutzfee zu formulieren.​

Dass eine Landesdatenschutzbehörde weitgehend geräuschlos von einer kompetenten Hand in die nächste übergeben wird, ist mitterweile keine Normalität mehr. In Baden-Württemberg hat das funktioniert: Vor rund einem Jahr, am 1. Juli 2023, trat Prof. Tobias Keber die Nachfolge von Stefan Brink als Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württembergs an. In Episode 112 des c't-Datenschutz-Podcasts plaudert Keber über sein erstes Amtsjahr und erläutert, wie er seine Behörde sieht. Der studierte Jurist war zuvor von 2012 bis 2023 Professor für Medienrecht und Medienpolitik an der Hochschule der Medien Stuttgart. Keber ist außerdem seit seit 2015 Vorsitzender des wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD). Eine Schwerpunkt der Tätigkeit seiner Behörde legte er im ersten Jahr auf die Betrachtung von Künstlicher Intelligenz (KI) aus datenschutzrechtlicher Perspektive. In der Episode spricht sich Keber wie viele seiner Kolleginnen und Kollegen dafür aus, dass hierzulande die deutschen Datenschutzbehörden als Aufsicht für die bald in Kraft tretende KI-Verordnung fungieren. Der Behördenleiter fordert einen pragmatischen Blick auf generative KI und erzählt, dass er schon heute dutzende KI-Projekte öffentlicher Stellen im Ländle datenschutzrechtlich beurteilen muss.

Auslegungssache meets Passwort! In der aktuellen Episode trifft der c't-Datenschutz-Podcast auf sein neues Pendant aus der Security-Sparte von heise. Zu Gast sind nämlich Christopher Kunz und Sylvester Tremmel, die beiden Hosts des Podcasts "Passwort". Naturgemäß geht es deshalb diesmal weniger um Auslegungen der DSGVO als um handfeste IT-Sicherheitsprobleme, deretwegen bei Nutzern oder Unternehmen Datenabfluss droht. Christopher und Sylvester schätzen zunächst ein Bußgeld der Datenschutzbehörde Singapurs ein: Wegen eines schwachen Admin-Passworts kam es bei einer Lernplattform zu einem Einbruch und zum Abzug der Daten von über 500.000 Nutzern. Die beiden schätzen die beschriebene Schwachstelle ein und geben Tipps für gutes Passwort-Management sowie Policies in Unternehmen. Ihr Credo: Eine Policy allein genügt nicht, es braucht technische Maßnahmen, um die Mitarbeiter zu starken Passwörtern zu bringen. Im Hauptteil des der Episode erläutern Christopher und Sylvester, wie Nutzernamen-Passwort-Kombinationen gestohlen werden und was jeder einzelne dagegen tun kann. Sie schildern, auf welchen Kanälen derlei Daten gehandelt werden. Außerdem schätzen sie die Qualität und Wirkung von Leakcheckern wie "Have I Been Pwned" ein. Kann man ihnen trauen? Und wie sollte man sie nutzen, auch als Unternehmen?

Die aktuelle Episode des c't-Datenschutz-Podcasts steht fast komplett im Zeichen der Europawahl, die in Deutschland am 9. Juni stattfindet. Holger und Joerg haben sich vorgenommen, einen digitalpolitischen und datenschutzrechtlichen Rückblick auf die vergangene Legislaturperiode zu wagen und begründet dazu aufzurufen, wählen zu gehen. Als versierter Gast bereichert diesmal Falk Steiner das Gespräch. Falk beobachtet als freier Journalist für c't und heise online das politische Geschehen in Berlin und in Brüssel. In der Episode erläutert er die Zusammenhänge zwischen den vielen digitalpolitischen Gesetzgebungsverfahren im Bund und der EU. Außerdem besprechen die drei, welche Verfahren mit in die nächste Legislatur genommen werden dürften und was anstehen könnte. Nicht zuletzt spekulieren sie darüber, ob die Datenschutz-Grundverordnung in den nächsten fünf Jahren aufgeschnürt und reformiert werden könnte. Abschließend folgt noch ein kurzer Ritt durch die Parteiprogramme der größeren deutschen Parteien zur EU-Wahl. Es bleibt die Erkenntnis, dass zur Digitalpolitik durch die Bank viele Allgemeinplätze und wenig konkrete Forderungen zu finden sind. Allenfalls große politisch Linien lassen sich finden. Falk merkt lakonisch an, dass Digitalpolitik und insbesondere Datenschutz eben nach wie vor bei vielen Entscheidungsträgern keinen hohen Stellenwert genießt

Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen. In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen. Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen. Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen. In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung. Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.

Der Umsatz mit Computerspielen steigt in Deutschland kontinuierlich. 2023 wurden mit PC-Games und Konsolenspielen mehr als 3,7 Milliarden Euro umgesetzt. Besonders boomt der Markt auf Smartphones und Tablets: Für fast drei Milliarden Euro kauften Daddlerinnen und Daddler Items, Skins oder Coins per In-App-Stores in den Spielen. Für die Branche gelten hierzulande dieselben datenschutzrechtlichen Einschränkungen wie für etwa soziale Medien. Hinzu kommen allerdings noch strenge Jugendschutzbestimmungen. Und längst werden die Games nicht mehr (nur) im Laden gekauft, sondern hauptsächlich über Plattformen wie Steam, Playstation oder eben den Appstores von Google und Apple. Sowohl beim Kauf als auch bei der Nutzung fallen eine Menge Daten an. Im Datenschutz-Podcast von c't erläutert ein juristischer Experte und Interessenvertreter die Perspektive der deutschen Games-Branche: Prof. Christian-Henner Hentsch ist Professor für Urheber- und Medienrecht an der Kölner Forschungsstelle für Medienrecht der TH Köln, daneben verantwortet als Leiter Recht und Regulierung für den Verband der Deutschen Games-Branche "game" alle verbandsinternen rechtlichen Fragen sowie die rechtspolitischen Themen. Henner gibt einen Einblick in die Branche und erklärt, welche Parteien dort derzeit agieren, von Plattformen über Publisher bis zu Indie-Studios. Weil der Verkauf von Werbeplätzen in Spielen kaum stattfinde, benötigten Spiele-Anbieter in aller Regel keine Einwilligung zur Datenerhebung. In diesem Bereich werde alles über die Kauf- und Nutzungsverträge geregelt. Dies umfasse auch die Verarbeitung von anfallenden personenbezogenen Daten während des Spielens. Bei den Plattformen selbst würden eine Menge Daten auflaufen, doch diese würden nur sehr eingeschränkt an Publisher und Entwickler weitergegeben, sagt Hentsch. Aber natürlich finde eine Beobachtung der Spieler statt, um das Spielerlebnis zu optimieren und manchmal auch, um geeignete Stellen zu finden, an denen jemand besipielsweise besonders interessiert sein könnte, mit zusätzlichen Items den Fortgang des Games zu beschleunigen.

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien (teilweise von Minderjährigen) offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber hatte c't auf das gravierende Datenleck aufmerksam gemacht. Wir verifizierten das Problem und wiesen die Stay Informed GmbH aus Freiburg darauf hin. Sie reagierte umgehend und schloss die Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Träger einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragsnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Dies sind vielmehr die mehr als 11.000 angeschlossenen Auftragsgeber, also alle Einrichtungen. In Episode 106 der Auslegungssache spricht Joerg mit Holger über die rechtlichen Grundlagen und die Folgen. Holger war an der Recherche zum Stay-Informed-Datenleck beteiligt und kann viel berichten. Joerg erklärt, welche Rolle Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen. Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen - und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das datenverarbeitende System hatten und haben.

Rechtsanwälte bekommen es in der datenschutzrechtlichen Beratungspraxis mitunter mit skurrilen Anfragen von Verbrauchern zu tun. Oft geht es dabei im Alltag um die Durchsetzung von Auskunftsansprüchen und Schadensersatzforderungen. Nebenher müssen sie sich mit Rechtsschutzversicherungen um die Vergütung ihrer Tätigkeit zoffen. In der neuen Episode des c't-Datenschutz-Podcasts plaudert Niklas Mühleis ein wenig aus dem Nähkästchen. Niklas ist Rechtsanwalt und Partner in der Hannoverschen Kanzlei Heidrich Rechtsanwälte, zusammen mit Podcast-Cohost und Heise-Verlagsjustiziar Joerg. Er berichtet über konkrete Fälle und erläutert, welche Kosten anfallen, wenn man einen Anwalt engagiert, um seine Rechte durchzusetzen. Anlass des Besuchs ist, dass Niklas im neuen Heise-Podcast "Vorsicht, Kunde!" als Experte verbraucherrechtliche Fragen aus der IT-Welt juristisch einordnet (siehe Shownotes). Außerdem wagen c't-Redakteur Holger, Joerg und Niklas in der neuen Auslegungssache einen Rückblick auf die Bußgeld-Praxis der europäischen Datenschutzbehörden im vergangen Jahr 2023. Anlass ist eine zusammenfassende Statistik des DSGVO-Portals. Demnach ist die Gesamtsumme der verhängten Bußgelder in Europa um 29 Prozent gegenüber 2022 gestiegen. Insgesamt seien es 2023 2,11 Milliarden Euro gewesen, wobei allein 1,2 Milliarden auf ein einizges Bußgeld gegen Facebook zurückzuführen sind.

Die Datenschutz-Grundverordnung (DSGVO) gibt "Betroffenen" von Datenverarbeitung einige Rechte in die Hand, beispielsweise das Auskunftsersuchen und die Möglichkeit, personenbezogene Daten vom Verantwortlichen löschen zu lassen. Damit sie wissen, welche Rechte ihnen zustehen und wo sie diese einfordern können, schreibt die DSGVO außerdem in Art. 13 und 14 Informationspflichten vor. Es geht zuallererst um die allseits bekannte Datenschutzerklärung, aber nicht nur um sie. Bei den Informationspflichten steckt der Teufel oft im Detail. Grund genug für den c't-Datenschutz-Podcast, einmal genauer auf den Gesetzestext und mögliche Konstallationen in der Praxis zu schauen. Holger und Joerg bekommen dabei Unterstützung von Barbara Schmitz, Rechtsanwältin für IT- und Datenschutzrecht. Barbara berät Unternehmen zur Erfüllung der Informationspflichten und kann aus ihrem beruflichen Alltag berichten. Kaum beachtet wird in der öffentlichen Diskussion der genannte Art. 14 DSGVO, in dem es um Informationen zu Daten geht, die nicht vom Verantwortlichens selbst erhoben, aber von diesem weiterverarbeitet werden. Hierzu muss er konkret und in einer zeitlichen Frist nach Erhalt die Quelle offenlegen. Spannend: Ändert sich der Verarbeitungszeck, muss auch das mitgeteilt werden. Die Drei in der Runde grübeln darüber, wo diese Pflicht in der Praxis verfängt und ob ihnen eine solche Information schon einmal untergekommen ist.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.