Auslegungssache – der c't-Datenschutz-Podcast

Mit Dr. Sebastian Kraska, Holger Bleich und Joerg Heidrich In Episode 141 widmen sich Holger und Joerg gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Sebastian ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät. Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten. Bei der Datenschutzerklärung rät Sebastian Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren - von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Joerg anmerkt. Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Sebastian, die Schriften lokal zu hosten statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden. Interessant ist die Diskussion über cookiefreies Tracking: Tools wie Matomo oder etracker kann man so konfigurien, dass sie nur aggregierte Daten ohne individuelles Nutzerverhalten erfassen. Dann ist keine Einwilligung nötig. Für viele kleine Websites reichen diese aggregierten Daten völlig aus, um Besucherzahlen und Verweildauer zu messen. Die technische Sicherheit darf nicht vernachlässigt werden: SSL-Verschlüsselung ist mittlerweile Standard, regelmäßige Backups und Updates sind Pflicht. Kraska empfiehlt zudem Zwei-Faktor-Authentifizierung für Backend-Zugänge. Passwörter dürfen niemals im Klartext gespeichert werden. Abschließend beruhigt Sabastian Website-Betreiber: Die Aufsichtsbehörden zeigen sich bei kleineren Verstößen meist kulant und unterstützen bei der Behebung von Mängeln. Wichtig sei, sich erkennbar zu bemühen und die grundlegenden Anforderungen umzusetzen. Für kleine Websites und Vereine gebe es zudem kostenlose Vorlagen und Tools, die den Einstieg erleichtern.

Mit Dr. Carlo Piltz, Holger Bleich und Joerg Heidrich Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz im c't-Datenschutz-Podcast. Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen. Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind. Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten. Einen pragmatischen Rat hat der erfahrene Anwalt für Unternehmen parat: Nach Möglichkeit sollten interne Dokumente frei von personenbezogenen Daten sein, um Konflikte von vornherein zu vermeiden. Wo dies nicht gehe, bleibe nur eine sorgfältige Prüfung und Risikoabwägung im Einzelfall. Auch wenn es auf den ersten Blick wie ein Nischenthema wirkt, zeigt sich am Recht auf Auskunft exemplarisch das Spannungsfeld zwischen Datenschutz und Unternehmensinteressen. Schutzrechte für Betroffene dürfen nicht ausgehöhlt, Geschäftsgeheimnisse aber auch nicht leichtfertig preisgegeben werden. Es braucht einen umsichtigen Ausgleich im Einzelfall, resümieren Piltz und die Podcast-Hosts, Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich.

Mit Holger Bleich und Joerg Heidrich Tätigkeitsbericht 2024 des Kath. Datenschutzzentrum Frankfurt/M. (PDF)

Mit Thomas Rickert, Holger Bleich und Joerg Heidrich Über das GNSO Council KG Names & Numbers des eco-Verbands Registration Data Request Service der ICANN

Mit Holger Bleich und Joerg Heidrich Sommer, Hitze, kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Holger und Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse, Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände". Im Zentrum der Podcast-Folge steht ein nun schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten. Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach deren Lesart hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen. Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Carolin Loy leitet den Bereich Digitalwirtschaft beim Bayerischen Landesamt für Datenschutzaufsicht und kennt sich bestens in aktuellen Datenschutzthemen aus. Sie spricht über das hohe Bußgeld gegen Vodafone wegen mangelhafter Kundenauthentifizierung und die positive Reaktion des Unternehmens. Ein weiteres Thema sind Metas Pläne, öffentliche Daten für KI zu nutzen, und die rechtlichen Herausforderungen dabei. Loy behandelt auch den Einfluss von neuen Digitalrechtsakten der EU auf den Datenschutz und die Rolle der Datenschutzbehörden.

Mit Dr. Dr. Hans Steege, Holger Bleich und Joerg Heidrich Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar. In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz. Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer. Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache. Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat. Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

In dieser spannenden Diskussion mit Dr. Stefan Brink, Gründer des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt und ehemaliger Landesdatenschutzbeauftragter von Baden-Württemberg, werden bedeutende Themen des Datenschutzes beleuchtet. Brink äußert Bedenken hinsichtlich der geplanten Zentralisierung, die zu einem massiven Stellenabbau führen könnte. Zudem wird die Balance zwischen Datenschutz und individuellen Rechten thematisiert, während die Herausforderungen durch internationale Unternehmen wie TikTok diskutiert werden.

Dr. Stefan Brink, ehemaliger Landesdatenschutzbeauftragter in Baden-Württemberg und Leiter des wida, spricht über die unsichere Lage des Transatlantic Data Privacy Framework. Er erklärt, wie die Möglichkeit besteht, dass frühere Regelungen durch politische Veränderungen zurückgenommen werden. Auch das lahmgelegte Kontrollgremium PCLOB wird thematisiert, während der Druck im EU-Parlament steigt. Zudem werden die Herausforderungen bei der Datenübertragung zwischen der EU und den USA sowie die Abhängigkeit Europas von US-Technologien diskutiert.

Prof. Rolf Schwartmann ist ein führender Experte für Medienrecht an der Technischen Hochschule Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er beleuchtet das Spannungsfeld zwischen der EU-KI-Verordnung und der DSGVO. Interessante Themen sind der Konflikt zwischen generativer KI und dem Grundsatz der Zweckbindung, sowie die Haftung für falsche Ergebnisse. Zudem werden Herausforderungen bei automatisierten Entscheidungen und die rechtlichen Implikationen im Beruf thematisiert, inklusive der Compliance-Anforderungen für Unternehmen.