Auslegungssache – der c't-Datenschutz-Podcast

Mit Holger Bleich und Joerg Heidrich Sommer, Hitze, kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Holger und Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse, Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände". Im Zentrum der Podcast-Folge steht ein nun schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten. Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach deren Lesart hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen. Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Carolin Loy leitet den Bereich Digitalwirtschaft beim Bayerischen Landesamt für Datenschutzaufsicht und kennt sich bestens in aktuellen Datenschutzthemen aus. Sie spricht über das hohe Bußgeld gegen Vodafone wegen mangelhafter Kundenauthentifizierung und die positive Reaktion des Unternehmens. Ein weiteres Thema sind Metas Pläne, öffentliche Daten für KI zu nutzen, und die rechtlichen Herausforderungen dabei. Loy behandelt auch den Einfluss von neuen Digitalrechtsakten der EU auf den Datenschutz und die Rolle der Datenschutzbehörden.

Mit Dr. Dr. Hans Steege, Holger Bleich und Joerg Heidrich Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar. In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz. Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer. Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache. Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat. Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

In dieser spannenden Diskussion mit Dr. Stefan Brink, Gründer des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt und ehemaliger Landesdatenschutzbeauftragter von Baden-Württemberg, werden bedeutende Themen des Datenschutzes beleuchtet. Brink äußert Bedenken hinsichtlich der geplanten Zentralisierung, die zu einem massiven Stellenabbau führen könnte. Zudem wird die Balance zwischen Datenschutz und individuellen Rechten thematisiert, während die Herausforderungen durch internationale Unternehmen wie TikTok diskutiert werden.

Dr. Stefan Brink, ehemaliger Landesdatenschutzbeauftragter in Baden-Württemberg und Leiter des wida, spricht über die unsichere Lage des Transatlantic Data Privacy Framework. Er erklärt, wie die Möglichkeit besteht, dass frühere Regelungen durch politische Veränderungen zurückgenommen werden. Auch das lahmgelegte Kontrollgremium PCLOB wird thematisiert, während der Druck im EU-Parlament steigt. Zudem werden die Herausforderungen bei der Datenübertragung zwischen der EU und den USA sowie die Abhängigkeit Europas von US-Technologien diskutiert.

Prof. Rolf Schwartmann ist ein führender Experte für Medienrecht an der Technischen Hochschule Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er beleuchtet das Spannungsfeld zwischen der EU-KI-Verordnung und der DSGVO. Interessante Themen sind der Konflikt zwischen generativer KI und dem Grundsatz der Zweckbindung, sowie die Haftung für falsche Ergebnisse. Zudem werden Herausforderungen bei automatisierten Entscheidungen und die rechtlichen Implikationen im Beruf thematisiert, inklusive der Compliance-Anforderungen für Unternehmen.

Dr. Christina Schreiber, Rechtsanwältin und Datenschutzexpertin im Gesundheitswesen, spricht über den neuen Europäischen Gesundheitsdatenraum. Sie erklärt, wie Patienten leichter auf ihre Gesundheitsdaten zugreifen können und diese für Ärzte im Ausland bereitstellen. Der Einsatz von anonymisierten Daten für Forschung und öffentliche Zwecke wird diskutiert, ebenso wie die Herausforderungen bei der Gewährleistung des Datenschutzes. Die Rolle der nationalen Datenschutzbehörden und die Notwendigkeit verbindlicher Regelungen werden ebenfalls thematisiert.

Die Diskussion dreht sich um die mögliche Reform der Datenschutz-Grundverordnung (DSGVO), insbesondere die Vorschläge für eine differenzierte Regelung für kleine und mittlere Unternehmen. Axel Voss präsentiert ein dreistufiges Modell, das verschiedene DSGVO-Versionen vorsieht. Die Sprecher warnen jedoch, dass Datenschutz auch für kleinere Organisationen von größter Bedeutung bleibt. Zudem wird ein bemerkenswerter Fall von Datenmissbrauch behandelt und die Herausforderungen von Künstlicher Intelligenz im Datenschutz beleuchtet.

Sylvester Tremmel, ein Technischer Experte für E-Mail-Sicherheit und Verschlüsselung, erklärt die Herausforderungen beim Versand von Rechnungen per E-Mail und beleuchtet aktuelle gerichtliche Urteile. Er diskutiert die Bedeutung von E-Mail-Verschlüsselung und digitalen Signaturen zur Wahrung der Integrität und Sicherheit. Zudem geht es um rechtliche und ethische Dimensionen der biometrischen Gesichtserkennung im Stadionumfeld, und die Rolle der DSGVO sowie bestehende Sicherheitsrisiken und Empfehlungen für Unternehmer zur Verbesserung ihrer E-Mail-Sicherheit.

Mit Dr. Marc Störing, Holger Bleich und Joerg Heidrich Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen. Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit dem Scheitern der Ampel Anfang November wanderte dieser Entwurf direkt in die Tonne. Im c't-Datenschutz-Podcast diskutieren Joerg und Holger mit Rechtsanwalt Dr. Marc Störing die aktuelle Lage. Marc berät für die Kanzlei Osborne Clarke Unternehmen und Konzerne datenschutzrechtlich. In der Episode erläutert er fachkundig die Situation des europäischen Beschäftigtendatenschutzes und ordnet zwei wichtige Urteile des Europäischen Gerichtshofs (EuGH) aus den Jahren 2023 und 2024 dazu ein. Die Diskutanten sind sich einig, dass wenig Hoffnung auf eine baldige gesetzliche Regelung besteht. Ein Blick auf die Programme der Parteien zur Bundestagswahl zeigt, dass sich nur die SPD klar für ein Beschäftigtendatenschutzgesetz ausspricht. Angesichts der aktuellen Lage sei unwahrscheinlich, dass das Thema in einem möglichen Koalitionsvertrag eine Rolle spielen wird. Für Unternehmen und Beschäftigte bedeutet dies weiter ein hohes Maß an Rechtsunsicherheit. Viele praktische Fragen, etwa zur privaten Nutzung von Firmen-Mailkonten oder der Überwachung am Arbeitsplatz, bleiben in einer Grauzone. Marc, Joerg und Holger hoffen, dass die Politik das Thema Beschäftigtendatenschutz nicht auf die lange Bank schiebt. Nur ein detailliertes Gesetz könne für mehr Rechtssicherheit sorgen.