Auslegungssache – der c't-Datenschutz-Podcast

Mit Prof. Hannah Ruschemeier, Holger Bleich und Joerg Heidrich Keynote Prof. Hannah Ruschemeier zum DatenTag der Stiftung Datenschutz am 16. September 2025

Mit Dr. Thomas Schwenke, Holger Bleich und Joerg Heidrich In Episode 145 des c't-Datenschutz-Podcasts nehmen die Holger und Joerg die Regulierung von Social-Media-Plattformen unter die Lupe. Als Gast haben sie sich den Rechtsanwalt und Social-Media-Experten Dr. Thomas Schwenke eingeladen. Thomas, der gerade ein Buch zum Thema "Recht für Online-Marketing und KI" veröffentlicht hat, erklärt gleich zu Beginn: Der Begriff "Social Media" sei überholt. Plattformen wie TikTok oder Instagram entwickelten sich immer mehr zu "algorithmischen Medien", bei denen der passive Konsum von Inhalten im Vordergrund stehe,und nicht mehr der soziale Austausch. Hauptthema der Diskussion ist die Regulierungswelle der EU, die mit Gesetzen wie dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) versucht, die Macht der Tech-Konzerne zu begrenzen. Ein aktuelles Beispiel ist die neue Verordnung zur Transparenz politischer Werbung (TT-Verordnung). Sie schränkt das gezielte Ausspielen von Werbung, das sogenannte Microtargeting, stark ein. Die Reaktion der Konzerne ließ nicht lange auf sich warten: Sowohl Meta als auch Google kündigten an, wegen der neuen, komplexen Regeln künftig keine politische Werbung mehr in der EU schalten zu wollen. Die Experten sind sich uneins, wie wirksam diese vielen EU-Gesetze wirklich sind. Während Holger argumentiert, dass die EU die Konzerne durchaus zum Handeln zwingt – etwa bei der Einholung von Einwilligungen oder der Anpassung ihrer Bezahlmodelle –, bleiben Thomas und Joerg skeptisch. Sie kritisieren, dass viele Nutzer mit den komplexen Einwilligungs-Bannern überfordert seien und dass das Geschäftsmodell des Trackings im Kern unangetastet bleibe. Besonders ernüchternd fällt die Bilanz bei den viel beworbenen Schadensersatzklagen gegen Meta aus. Holger zitiert Zahlen, die der ehemalige baden-württembergische Datenschutzbeauftragte Stefan Brink in einem anderen Podcast teilte: Von rund 2200 Klagen wegen der Business Tools von Meta wurden 70 Prozent komplett zugunsten des Konzerns entschieden. In 97 Prozent der Fälle lag der zugesprochene Schadensersatz bei maximal 500 Euro. Die medienwirksamen Urteile mit hohen Schadensersatzzahlungen seien absolute Ausnahmen. Ein Urteil des Landgerichts München I stützt diese skeptische Sicht. Das Gericht wies die Klage eines Nutzers ab, der wegen der Übermittlung seiner Daten in die USA Schadensersatz forderte. Die Richter argumentierten, wer einen globalen US-Dienst wie Facebook wissentlich nutze, müsse mit einem Datentransfer rechnen. Sich später darüber zu beschweren, sei widersprüchliches Verhalten. Das Fazit der Runde: Der Kampf gegen die Datenkraken ist zäh und die Erfolge sind oft kleiner, als es den Anschein hat.

Peter Siering, Leiter für Systeme und Sicherheit bei c't und Open-Source-Experte, erklärt, wie europäische Alternativen zu US-Cloud-Diensten implementiert werden können. Er diskutiert Nextcloud als Ersatz für Microsoft 365 und nennt spezifische Konfigurations- und Umstiegstipps. Zudem wird das Thema digitale Souveränität beleuchtet, insbesondere die Risiken der US-Abhängigkeit. Siering bietet Einsteiger-Tipps für Linux und spricht über datenschutzfreundliche Messenger- und E-Mail-Alternativen.

Mit Prof. Alexander Golland, Holger Bleich und Joerg Heidrich Holger und Joerg widmen sich diemal gemeinsam mit Professor Dr. Alexander Golland drei wichtigen Entscheidungen des Europäischen Gerichtshofs, alle drei aus dem laufenden Monat September. Alexander, Professor für Wirtschaftsrecht an der FH Aachen, ordnet die teils verwirrenden Urteile ein und erklärt deren praktische Auswirkungen. Im Mittelpunkt steht zunächst die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datentransfer, dem wiederum das EU-US Data Privacy Framework zugrunde liegt. Latombe wollte den Beschluss für nichtig erklären lassen. Das Europäische Gericht (EuG) wies die Klage ab, damit bleibt er vorerst als Rechtsgrundlage bestehen. Alexander ordnet das Verfahren ein und erläutert, warum das Gericht nur prüfte, ob die Kommission 2023 bei Erlass des Beschlusses korrekt handelte, nicht aber die heutige Situation unter veränderten politischen Vorzeichen bewertete. Besonders praxisrelevant ist das SRB-Urteil des EuGH zur Pseudonymisierung. Die zentrale Frage: Sind pseudonymisierte Daten für Empfänger, die selbst (ohne Dritte) keinen Personenbezug herstellen können, anonym, oder bleiben sie personenbezogen? Der EuGH bestätigt in dem Revisionsverfahren zwar den sogenannten "subjektiven Ansatz" – es kommt auf die Möglichkeiten des Empfängers an –, lässt aber entscheidende Detailfragen offen. Alexander kritisiert die fehlende Rechtssicherheit: Unternehmen wissen weiterhin nicht genau, ob sie für solche Datenübermittlungen Auftragsverarbeitungsverträge benötigen. Die Richter machten wenig Vorgaben und verwiesen auf die Einzelfallprüfung. "Steine statt Brot", resümiert Alexander. Fall drei dreht sich um den immateriellen Schadenersatz. Ein Bewerber hatte gegen die Quirin Privatbank geklagt, weil sensible Angaben versehentlich an einen Dritten gingen. Der EuGH bestätigte: Auch Ärger oder Schamgefühle können ein Schaden im Sinne der DSGVO sein. Ein Nachweis bleibt aber schwierig. Beim Thema Unterlassung urteilten die Richter restriktiv: Einen originären Unterlassungsanspruch sieht die DSGVO nicht vor. Allerdings könne das nationale Recht solche Ansprüche zulassen, hierzulande beispielsweise über das Wettbewerbsrecht. Für die Praxis bedeutet das: Betroffene müssen künftig eher auf das allgemeine Persönlichkeitsrecht zurückgreifen. Die Diskutanten zeigen sich ein wenig frustriert über die mangelnde Klarheit der Urteile. Statt eindeutiger Vorgaben liefern die Gerichte oft nur die klassische Juristen-Antwort: "Es kommt darauf an." Für Unternehmen und Betroffene bedeutet das weiterhin erhebliche Rechtsunsicherheit bei alltäglichen Datenverarbeitungen.

Carolin Loy, Bereichsleiterin für Digitalwirtschaft und Rechtsfragen künstlicher Intelligenz beim Bayerischen Landesamt für Datenschutzaufsicht, teilt ihre Expertise über den kommenden Data Act der EU. Sie warnt vor den massiven Herausforderungen für Unternehmen, die sich auf diese neue Verordnung vorbereiten müssen. Loy erklärt, wie der Data Act Nutzern Zugang zu wichtigen Daten verschafft und die komplexe Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten thematisiert. Zudem diskutiert sie die bedeutenden Implikationen für den Wettbewerb und erforderliche Anpassungen in bestehenden Verträgen.

Mit Dr. Sebastian Kraska, Holger Bleich und Joerg Heidrich In Episode 141 widmen sich Holger und Joerg gemeinsam mit Dr. Sebastian Kraska den wichtigsten Datenschutzthemen für Website-Betreiber. Sebastian ist Rechtsanwalt und Geschäftsführer der IITR Datenschutz GmbH, die Unternehmen bei Datenschutz und Informationssicherheit berät. Am Beispiel eines fiktiven Katzenfutter-Shops arbeiten die drei systematisch zentrale Anforderungen ab. Zunächst geht es um Cookie-Banner: Technisch notwendige Cookies für Warenkörbe oder Spracheinstellungen benötigen keine Einwilligung. Anders sieht es bei Tracking-Tools oder anderen nicht technisch erforderlichen Cookies aus. Hier müssen Website-Betreiber eine echte Wahlmöglichkeit bieten. Die Aufsichtsbehörden fordern dabei gleichwertige Ja- und Nein-Buttons auf derselben Ebene sowie granulare Einstellungsmöglichkeiten. Bei der Datenschutzerklärung rät Sebastian Betreibern kleinerer Websites zu Generatoren statt Eigenbauten. Die Erklärung muss transparent über alle Datenverarbeitungen informieren - von Tracking-Tools über Rechtsgrundlagen bis zu Empfängern der Daten. Je komplexer die Website, desto umfangreicher wird das Dokument. Die Datenschutzerklärung von heise.de umfasst beispielsweise etwa 14 Druckseiten, wie Joerg anmerkt. Ein weiteres Thema sind Datenübermittlungen in Drittländer, etwa durch Google Analytics oder eingebundene Schriftarten. Bei Google Fonts empfiehlt Sebastian, die Schriften lokal zu hosten statt von Google-Servern zu laden. So vermeidet man ungewollte Datenübertragungen. Für YouTube-Videos oder Google Maps können Overlays eingesetzt werden, die erst nach expliziter Zustimmung die Inhalte laden. Interessant ist die Diskussion über cookiefreies Tracking: Tools wie Matomo oder etracker kann man so konfigurien, dass sie nur aggregierte Daten ohne individuelles Nutzerverhalten erfassen. Dann ist keine Einwilligung nötig. Für viele kleine Websites reichen diese aggregierten Daten völlig aus, um Besucherzahlen und Verweildauer zu messen. Die technische Sicherheit darf nicht vernachlässigt werden: SSL-Verschlüsselung ist mittlerweile Standard, regelmäßige Backups und Updates sind Pflicht. Kraska empfiehlt zudem Zwei-Faktor-Authentifizierung für Backend-Zugänge. Passwörter dürfen niemals im Klartext gespeichert werden. Abschließend beruhigt Sabastian Website-Betreiber: Die Aufsichtsbehörden zeigen sich bei kleineren Verstößen meist kulant und unterstützen bei der Behebung von Mängeln. Wichtig sei, sich erkennbar zu bemühen und die grundlegenden Anforderungen umzusetzen. Für kleine Websites und Vereine gebe es zudem kostenlose Vorlagen und Tools, die den Einstieg erleichtern.

Mit Dr. Carlo Piltz, Holger Bleich und Joerg Heidrich Das Recht auf Auskunft gegenüber Unternehmen und Behörden über die eigenen, gespeicherten Daten ist eines der zentralen Betroffenenrechte in der DSGVO. Doch was, wenn bei der Auskunftsanfrage an ein Unternehmen Geschäftsgeheimnisse im Spiel sind? Dann prallen zwei schützenswerte Rechtsgüter aufeinander, erklärt Rechtsanwalt Dr. Carlo Piltz im c't-Datenschutz-Podcast. Piltz, der sich in seiner Kanzlei schwerpunktmäßig mit Datenschutzrecht befasst, erläutert die rechtlichen Rahmenbedingungen: Das 2019 in Kraft getretene Geschäftsgeheimnisgesetz schützt sensible Unternehmensinformationen vor unlauterer Erlangung und Offenlegung. Zugleich räumt die DSGVO Betroffenen umfassende Auskunftsrechte über ihre Daten ein. Wo diese Ansprüche kollidieren, muss im Einzelfall eine Abwägung erfolgen. Zwar dürfen Unternehmen die Auskunft verweigern, wenn Geschäftsgeheimnisse offenbart würden, so Piltz. Sie müssen dies aber detailliert begründen. Letztlich entscheiden dann Datenschutz-Aufsichtsbehörden oder Gerichte nach Sichtung der so deklarierten Geheimnisse, ob das Geheimhaltungsinteresse überwiegt. Dabei kommt es auch darauf an, wie relevant die beanspruchten Informationen für die Rechte des Betroffenen sind. Weitere Grenzen der Auskunftspflicht können sich aus dem Schutz der Rechte Dritter ergeben, etwa wenn Daten mehrere Personen betreffen, etwa in E-Mails. Auch bei missbräuchlichen oder exzessiven Anfragen kann die Auskunft verweigert werden. Unternehmen müssen dann aber genau darlegen, warum sie die Ausnahme für einschlägig halten. Einen pragmatischen Rat hat der erfahrene Anwalt für Unternehmen parat: Nach Möglichkeit sollten interne Dokumente frei von personenbezogenen Daten sein, um Konflikte von vornherein zu vermeiden. Wo dies nicht gehe, bleibe nur eine sorgfältige Prüfung und Risikoabwägung im Einzelfall. Auch wenn es auf den ersten Blick wie ein Nischenthema wirkt, zeigt sich am Recht auf Auskunft exemplarisch das Spannungsfeld zwischen Datenschutz und Unternehmensinteressen. Schutzrechte für Betroffene dürfen nicht ausgehöhlt, Geschäftsgeheimnisse aber auch nicht leichtfertig preisgegeben werden. Es braucht einen umsichtigen Ausgleich im Einzelfall, resümieren Piltz und die Podcast-Hosts, Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich.

Mit Holger Bleich und Joerg Heidrich Tätigkeitsbericht 2024 des Kath. Datenschutzzentrum Frankfurt/M. (PDF)

Mit Thomas Rickert, Holger Bleich und Joerg Heidrich Über das GNSO Council KG Names & Numbers des eco-Verbands Registration Data Request Service der ICANN

Mit Holger Bleich und Joerg Heidrich Sommer, Hitze, kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Holger und Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse, Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände". Im Zentrum der Podcast-Folge steht ein nun schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten. Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach deren Lesart hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen. Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.