Auslegungssache – der c't-Datenschutz-Podcast

Mit Nils Haag, Holger Bleich und Joerg Heidrich Wer ein Unternehmen an den Start bringt, hat in der Regel anderes zu tun, als sich mit Datenschutz-Belangen zu beschäftigen. Das kann unangenehme Folgen haben, denn die Regeln der DSGVO gelten für kleine Start-ups fast exakt genauso wie für große Konzerne. In Episode 42 des Auslegungssache-Podcasts geben Joerg und Holger Tipps an die Hand, worauf das Augenmerk gerichtet werden sollte, um Ärger zu vermeiden. Zur Verstärkung haben sie Dr. Nils Christian Haag in die Sendung geladen. Der Rechtsanwalt schöpft aus seiner langjährigen Erfahrung als Datenschutzbeauftragter verschiedener Unternehmen und seiner Tätigkeit als Vorstand von Intersoft Consulting, eines auf Datenschutz-Beratung spezialisierten Unternehmens. Haag erläutert Punkt für Punkt, welche Vorschriften der DSGVO kleine Firmen und auch Vereine besonders im Fokus haben sollten. Unter anderem geht es um den Web-Auftritt, die Kundenpflege, korrektes Marketing, ein vernünftiges Verzeichnis der Verarbeitungstätigkeiten und natürlich die Auftragsverarbeitung. Auch wenn im Unternehmen unter 20 Mitarbeiter mit der Verarbeitung zu tun haben und deshalb kein Datenschutzbeauftragter vorhanden sein muss, ändere das nichts an den Pflichten, betont Haag: "Da kommt es manchmal zu folgenschweren Missverständnissen."

Mit Iris Phan, Holger Bleich und Joerg Heidrich Mit Iris Phan haben Joerg und Holger eine Expertin an der Schnittstelle zwischen Technik, Recht und Philosophie in den Podcast eingeladen. Phan arbeitet als Juristin der Stabsstelle IT-Recht der Leibniz Universität Hannover und promoviert parallel zum Thema: "Künstliche Intelligenz: Rechtliche und ethische Implikationen am Beispiel des Sexroboters". In der Episode stellt sie zunächst dar, wie Roboter in der Medizin und Pflege, aber auch zur Erfüllung sexueller Bedürfnisse eingesetzt werden. Sowohl die Funktionen zum maschinellen Lernen und KI-Einsatz kommen zur Sprache, als auch die vielfältigen Sensoren, die in den Geräten verbaut sind und hoch sensible Daten erfassen. In der Regulierung ist diese Problematik noch nicht recht angekommen, meint Phan. Zumindest äußern sich Aufsichtsbehörden dazu noch nicht. Tatsächlich aber potenzieren sich in den Robotern Szenarien, die jeweils für sich schon für Skandale gesorgt haben, etwa die Aufzeichnung von Stimmen zur maschinellen Spracherkennung, nun kombiniert mit der Erfassung von Kamerabildern oder Körperaktivität. Phan plädiert für eine Debatte, die datenschutzrechtliche und ethische Aspekte einschließt. === Anzeige / Sponsorenhinweis === Sophos stoppt Cyberangriffe – mit einem kompletten Portfolio modernster Cybersecurity-Lösungen. Jetzt informieren unter www.sophos.de === Anzeige / Sponsorenhinweis Ende ===

Mit Ralf Bendrath, Holger Bleich und Joerg Heidrich "Democracy - im Rausch der Daten" - Die Langfassung des Dokumentarfilms zur Entsteheung der DSGVO von David Bernet ermöglicht spannende Innenansichten zum EU-Gesetzgebungsprozess und zeigt die Arbeit von Ralf Bendrath

Mit Peter Leppelt, Holger Bleich und Joerg Heidrich Wenn Juristen Begriffe aus dem Datenschutzbereich verwenden, meinen sie damit oft etwas völlig anderes als Techniker, die dieselben Worte nutzen. Was soll der "Stand der Technik" sein? Was genau meint "Privacy by Design"? Joerg und Holger gehen in den Realitycheck und sprechen über Kommunikationsprobleme zwischen Datenschutzjuristen und ITlern. Dazu haben sie sich mit Peter Leppelt einen streitbaren, fachkundigen Praktiker eingeladen. Leppelt ist gelernter Informationstechniker und berät Organisationen im Bereich der IT-Security sowie in Datenschutz-Belangen. Bereits am Beispiel von Privacy by Design erkennt er grundsätzlich unterschiedliche Herangehensweisen: Während Techniker diesem Konzept zufolge oft bestrebt sind, möglichst wenige Daten überhaupt erst entstehen zu lassen, beschäftigen sich Juristen (und Gesetze) eher damit, den Zugriff darauf organisatorisch zu beschränken. Leppelt kritisiert diesen "Compliance-Ansatz" und nennt als Beispiel den Einsatz von Microsoft Office 365, der technisch derzeit eigentlich nicht datenschutzkonform geschehen könne, aber juristisch hilfsweise über geschriebene Regeln legalisiert werde. Dieses Konzept durchziehe die IT-Welt. Es sei etwa eine Illusion der Juristen zu glauben, Daten ließen sich in den Clouds großer Anbieter lokalisieren oder gar löschen, auch wenn es dafür rechtliche Garantien gebe. Leppelts These zur derzeitigen Umsetzung der DSGVO: "Wir verballern viel zuviel Zeit mit unnützem Kram wie Cookie-Bannern, Datenschutzerklärungen oder CC-Listen in Mails, anstatt an die technisch wichtigen Dinge zu gehen." Positiv sei der durch die Corona Warn App angestoßene Trend, dass sich "public money, public code" und die transparente, datensparsame Entwicklung gesellschaftlich bedeutender Software durchsetzt.

Mit Sascha Kremer, Holger Bleich und Joerg Heidrich Joerg und Holger besprechen in Episode 38 zunächst ein Bußgeld der niederländischen Datenschutzaufsicht gegen eine Gemeinde: Die Stadt Enschede hat mit WLAN-Sensoren den Andrang in der Innenstadt gemessen, hätte dabei aber auch Bewegungsprofile der Bürger-Smartphones erstellen können. Doch genügt es, dass sie es technisch hätte können, um sie dafür zu bestrafen? Rechtsanwalt Sascha Kremer, Gast der Sendung, bezweifelt das und hält das Bußgeld für übertrieben. Es ist nicht rechtskräftig, und wird es nach Meinung von Sascha wohl auch nicht werden. Schwerpunkt der Episode ist allerdings das datenschutzrechtliche Konstrukt der Auftragsverarbeitung. Welche Haftung trifft den Verantwortlichen, welche den Auftragsverarbeiter? Was ist ein AV-Vertrag, und vor allem: Wann ist er nötig und was muss drinstehen? Sascha erläutert, wie der wenig bekannte Artikel 29 der DSGVO zu interpretieren ist, in dem wage die Rolle der "unterstellten Person" des Verantwortlichen beschrieben ist, also etwa die aller Mitarbeiter im Unternehmen außer dem Chef. Anhand vieler Beispiele macht Sascha klar, wie wichtig es ist, sich mit der Auftragsverarbeitung zu beschäftigen, sei es als verantwortlicher Datenverarbeiter oder als davon Betroffener. Und um es richtig kompliziert zu machen, gibt es ja auch noch die gemeinsame Verantwortung ("Joint Controlling") ...

Mit Adrian Schneider, Holger Bleich und Joerg Heidrich Positionspapier des Bundesdatenschutzbeauftragten (Juni 2020): "Zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche"

Mit Dr. Stefan Brink, Holger Bleich und Joerg Heidrich Ute Bernhardt, Ingo Ruhmann, Karin Schuler, Dr. Thilo Weichert: Zum Auswahlprozess von Datenschutzbeauftragten als Leitung der Aufsichtsbehörden Hörtipp: Die Akte VfB - Liebling Bosman meets Dr. Stefan Brink

Mit Prof. Marc Liesching, Holger Bleich und Joerg Heidrich Download der Teilevaluierung: https://www.carlgrossmann.com/liesching-das-netzdg-in-der-praktischen-anwendung/

Mit Karoline Busse, Holger Bleich und Joerg Heidrich Paper "Why Johnny Can't Encrypt" mit der Usability-Studie von PGP 5.0 WP-Artikel zur Liste der Datenpunkte, aus denen Facebook Personenprofile erstellt Karolines Twitter-Handle: @kb_usec

Mit Anna Cardillo, Holger Bleich und Joerg Heidrich Nach der eher technisch geprägten Episode 32 wurde es für Joerg und Holger mal Zeit, sich mit "Soft Skills" zu beschäftigen. Das ist genau die Spezialität von Anna Cardillo, die Organisationen dabei unterstützt, DSGVO-Anforderungen zu implementieren. Anna ist nicht nur Rechtsanwältin, sondern auch zertifizierte Datenschutzauditorin. Sie weiss davon zu berichten, wo es in Unternehmen hakt, wenn es um die Umsetzung eines funktionierenden Datenschutzmanagements geht: "Der Fisch stinkt da oft vom Kopf", berichtet sie. In Meetings stehen oft nicht nur sachliche Argumente im Vordergrund, bisweilen muss Anna auch ihre psychologischen Kenntnisse einsetzen, um Denkbarrieren einzureißen und gewohnte Vorgänge neu zu gestalten. "Awareness" heißt da das Zauberwort. Allerdings hat die Akzeptanz von Datenschutzerfordernissen in letzter Zeit gelitten. Anna erzählt aus der Praxis, sie plädiert für Offenheit und den Willen, neue Dinge auszuprobieren.