Auslegungssache – der c't-Datenschutz-Podcast

In dieser spannenden Diskussion mit Dr. Stefan Brink, Gründer des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt und ehemaliger Landesdatenschutzbeauftragter von Baden-Württemberg, werden bedeutende Themen des Datenschutzes beleuchtet. Brink äußert Bedenken hinsichtlich der geplanten Zentralisierung, die zu einem massiven Stellenabbau führen könnte. Zudem wird die Balance zwischen Datenschutz und individuellen Rechten thematisiert, während die Herausforderungen durch internationale Unternehmen wie TikTok diskutiert werden.

Dr. Stefan Brink, ehemaliger Landesdatenschutzbeauftragter in Baden-Württemberg und Leiter des wida, spricht über die unsichere Lage des Transatlantic Data Privacy Framework. Er erklärt, wie die Möglichkeit besteht, dass frühere Regelungen durch politische Veränderungen zurückgenommen werden. Auch das lahmgelegte Kontrollgremium PCLOB wird thematisiert, während der Druck im EU-Parlament steigt. Zudem werden die Herausforderungen bei der Datenübertragung zwischen der EU und den USA sowie die Abhängigkeit Europas von US-Technologien diskutiert.

Prof. Rolf Schwartmann ist ein führender Experte für Medienrecht an der Technischen Hochschule Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er beleuchtet das Spannungsfeld zwischen der EU-KI-Verordnung und der DSGVO. Interessante Themen sind der Konflikt zwischen generativer KI und dem Grundsatz der Zweckbindung, sowie die Haftung für falsche Ergebnisse. Zudem werden Herausforderungen bei automatisierten Entscheidungen und die rechtlichen Implikationen im Beruf thematisiert, inklusive der Compliance-Anforderungen für Unternehmen.

Dr. Christina Schreiber, Rechtsanwältin und Datenschutzexpertin im Gesundheitswesen, spricht über den neuen Europäischen Gesundheitsdatenraum. Sie erklärt, wie Patienten leichter auf ihre Gesundheitsdaten zugreifen können und diese für Ärzte im Ausland bereitstellen. Der Einsatz von anonymisierten Daten für Forschung und öffentliche Zwecke wird diskutiert, ebenso wie die Herausforderungen bei der Gewährleistung des Datenschutzes. Die Rolle der nationalen Datenschutzbehörden und die Notwendigkeit verbindlicher Regelungen werden ebenfalls thematisiert.

Die Diskussion dreht sich um die mögliche Reform der Datenschutz-Grundverordnung (DSGVO), insbesondere die Vorschläge für eine differenzierte Regelung für kleine und mittlere Unternehmen. Axel Voss präsentiert ein dreistufiges Modell, das verschiedene DSGVO-Versionen vorsieht. Die Sprecher warnen jedoch, dass Datenschutz auch für kleinere Organisationen von größter Bedeutung bleibt. Zudem wird ein bemerkenswerter Fall von Datenmissbrauch behandelt und die Herausforderungen von Künstlicher Intelligenz im Datenschutz beleuchtet.

Sylvester Tremmel, ein Technischer Experte für E-Mail-Sicherheit und Verschlüsselung, erklärt die Herausforderungen beim Versand von Rechnungen per E-Mail und beleuchtet aktuelle gerichtliche Urteile. Er diskutiert die Bedeutung von E-Mail-Verschlüsselung und digitalen Signaturen zur Wahrung der Integrität und Sicherheit. Zudem geht es um rechtliche und ethische Dimensionen der biometrischen Gesichtserkennung im Stadionumfeld, und die Rolle der DSGVO sowie bestehende Sicherheitsrisiken und Empfehlungen für Unternehmer zur Verbesserung ihrer E-Mail-Sicherheit.

Mit Dr. Marc Störing, Holger Bleich und Joerg Heidrich Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen. Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit dem Scheitern der Ampel Anfang November wanderte dieser Entwurf direkt in die Tonne. Im c't-Datenschutz-Podcast diskutieren Joerg und Holger mit Rechtsanwalt Dr. Marc Störing die aktuelle Lage. Marc berät für die Kanzlei Osborne Clarke Unternehmen und Konzerne datenschutzrechtlich. In der Episode erläutert er fachkundig die Situation des europäischen Beschäftigtendatenschutzes und ordnet zwei wichtige Urteile des Europäischen Gerichtshofs (EuGH) aus den Jahren 2023 und 2024 dazu ein. Die Diskutanten sind sich einig, dass wenig Hoffnung auf eine baldige gesetzliche Regelung besteht. Ein Blick auf die Programme der Parteien zur Bundestagswahl zeigt, dass sich nur die SPD klar für ein Beschäftigtendatenschutzgesetz ausspricht. Angesichts der aktuellen Lage sei unwahrscheinlich, dass das Thema in einem möglichen Koalitionsvertrag eine Rolle spielen wird. Für Unternehmen und Beschäftigte bedeutet dies weiter ein hohes Maß an Rechtsunsicherheit. Viele praktische Fragen, etwa zur privaten Nutzung von Firmen-Mailkonten oder der Überwachung am Arbeitsplatz, bleiben in einer Grauzone. Marc, Joerg und Holger hoffen, dass die Politik das Thema Beschäftigtendatenschutz nicht auf die lange Bank schiebt. Nur ein detailliertes Gesetz könne für mehr Rechtssicherheit sorgen.

Mit Marie-Claire Koch, Ronald Eikenberg, Dr. Christopher Kunz und Joerg Heidrich Vorab: Melden Sie datenschutzrelevante Informationen gerne anonym an unser Investigativteam: heise-Hinweisgeber-System Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist. heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat. Wegen unzureichend gesicherter Webservices standen massenhaft Mandanteninformationen nahezu offen für jeden im Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen vorbeugen können und wie sie sich verhalten sollten, wenn es dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell in fremde Hände geraten sind? Nach Christophers Meinung ist es erschreckend, dass Patientendaten aufgrund grober Fehler wie fehlender Verschlüsselung und falscher Serverkonfiguration frei zugänglich waren. "Es geht hier um grundlegende Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich selbstverständlich sein sollten", kritisiert er. Doch stattdessen würden immer wieder die gleichen Anfängerfehler gemacht. Auch die Kommunikation der betroffenen Unternehmen lasse oft zu wünschen übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse" seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden und Kunden häufig gar nicht oder nur zögerlich informiert. Hier fordern die Experten unisono deutlich mehr Transparenz. Für Ronald liegt die Wurzel des Problems im mangelnden Risikobewusstsein: "Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig seien regelmäßige Sicherheitsaudits und die Einbindung externer Experten, um Lücken frühzeitig zu erkennen und zu schließen. Unternehmen sollten zudem offener mit Sicherheitsforschern zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten sich sicherlich mehr Informationen darüber, ob und wie ihre Daten in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim Schutz sensibler Daten gibt es noch viel Luft nach oben. Unternehmen müssen ihrer Verantwortung besser gerecht werden - im Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern, sondern können auch immense Imageschäden nach sich ziehen.

Mit Bettina Blawert, Holger Bleich und Joerg Heidrich Das in Artikel 15 DSGVO festgeschriebene Auskunftsrecht ist eines der zentralen Betroffenenrechte. Es gilt als ein wichtiges Instrument zur Kontrolle der eigenen Daten, an das sich Rechte zur Korrektur und Löschung von Daten anschließen. Per E-Mail lässt sich bei Unternehmen und Behörden erfragen, welche Daten zu welchem Zweck gespeichert sind, und woher sie stammen. Doch was auf den ersten Blick einfach klingt, wirft in der Praxis viele Fragen auf, wie die Diskussion im aktuellen c't-Datenschutz-Podcast zeigt. Zu Gast ist Bettina Blavert, Syndikusrechtsanwältin und Datenschutzexpertin bei der Sovendus GmbH. Sie sieht das Auskunftsrecht sehr positiv, auch wenn es Unternehmen einiges abverlangt. "Für Betroffene ist es Datenschutz zum Anfassen", sagt sie. Holger und Joerg stimmen zu, weisen allerdings auf Schwierigkeiten bei der Umsetzung des Rechts hin. So müssen Unternehmen Betroffene zunächst einmal eindeutig identifizieren, bevor sie Daten herausgeben, und das, ohne dabei selbst wieder zu viele Daten abzufragen. Außerdem sei die Frist von einem Monat durchaus knapp, wenn umfangreiche oder komplexe Datensätze zusammengestellt werden müssen. Auch inhaltlich gibt es Fallstricke: Müssen komplexe Datenstrukturen in Klartext übersetzt werden? Wie sieht es mit Daten aus, die zwar einen Personenbezug haben, aber zum Beispiel pseudonymisiert gespeichert sind? Und: Dürfen Geschäftsgeheimnisse oder Rechte Dritter einer Auskunft entgegenstehen? Die drei Diskutanten liefern Details aus der Praxis und stellen klar: Das Auskunftsrecht ist ein mächtiges Instrument für Betroffene, aber eben kein Selbstläufer. Unternehmen müssen ihre Prozesse genau prüfen und anpassen, um nicht in Schwierigkeiten zu geraten. Betroffene sollten wiederum genau überlegen, was sie mit einer Anfrage bezwecken wollen. Denn bei aller Auskunftsfreude: Wer es übertreibt, dem kann am Ende sogar der Missbrauch dieses Rechts vorgeworfen werden.

Mit Markus Sailer, Holger Bleich und Joerg Heidrich Die Macht von Daten wird oft erst dann sichtbar, wenn sie missbraucht wird. In Episode 125 des c't-Datenschutz-Podcasts werfen Holger, Joerg und der Datenschutzbeauftragte Markus Sailer einen Blick zurück auf historische Beispiele, in denen Staaten ihre Datensammlungen zur gezielten Verfolgung von Bevölkerungsgruppen genutzt haben. Ein besonders bekanntes Beispiel ist die Volkszählung von 1939 im nationalsozialistischen Deutschland. Mit Hilfe von Lochkarten und Hollerith-Tabelliermaschinen erfassten die Nazis damals die Religionszugehörigkeit der Bürger. In Ergänzungskarten wurden "Mischlinge" "Volljuden", "Geltungsjuden" und "Glaubensjuden" gemäß der Nürnberger Rassengesetze von 1935 systematisch erfasst. Die Daten bildeten später die Grundlage für die Deportation von Juden in Konzentrationslager. In anderen Staaten wie den Niederlanden fielen solche Datensammlungen den deutschen Besatzern in die Hände und wurden für Verfolgungsmaßnahmen missbraucht. Ein weiteres Beispiel ist die systematische Erfassung von Homosexuellen durch die Gestapo ab 1934. Auf Basis von polizeilichen "Rosa Listen" wurden zehntausende Männer in Karteien erfasst, überwacht und verfolgt. Insgesamt 50.000 Verurteilungen erfolgten nach dem berüchtigten Paragraphen 175, der in der Bundesrepublik erst 1994 endgültig abgeschafft wurde. Die Gesprächspartner sind sich einig: Auch wenn sich die Methoden geändert haben, besteht die Gefahr des Datenmissbrauchs durch staatliche Stellen weiterhin. Rasterfahndung, die wieder in Deutschland diskutierte Vorratsdatenspeicherung oder der "Cloud Act" in den USA sind aktuelle Beispiele für weitreichende Zugriffsbefugnisse. Zwar setzt die europäische Datenschutz-Grundverordnung (DSGVO) hier wichtige Grenzen. Doch die Diskutanten bezweifeln, ob sie ausreicht, um die Demokratie langfristig zu schützen. Ihr Wunsch an die Politik ist daher ein stärkeres Bewusstsein für die Missbrauchsgefahren von Datensammlungen. Statt Datenschutz vor allem als Hindernis zu sehen, sollte er auch als Schutzschild der freiheitlichen Gesellschaft begriffen werden. Denn historische Erfahrungen mahnen zur Wachsamkeit - in Zeiten von Big Data und Künstlicher Intelligenz mehr denn je.