Auslegungssache – der c't-Datenschutz-Podcast

Mit Manuel Atug, Holger Bleich und Joerg Heidrich Joerg und Holger wildern wieder einmal im Bereich der IT-Sicherheit, weil Security ihrer Meinung nach eben direkt mit dem Schutz von Daten zusammenhängt. Ihr Gast in dieser Episode ist ein ausgesprochener Praktiker, nämlich der @HonkHase, den man außerhalb von Twitter auch unter seinem Namen Manuel Atug kennt. Manuel berät als Senior Manager der HiSolutions AG Unternehmen bei der Einführung von Informationssicherheits-Management-Systemen. Außerdem ist er in diversen Vereinen wie dem CCC aktiv und hat als Experte für kritische Infrastrukturen die unabhängige AG Kritis gegründet. Nachdem sich Joerg wieder einmal an der irischen Datenschutzbehörde abgearbeitet hat, geht es um staatliche IT-Security-Regulierung. Die Drei plaudern über legendäre gesetzgeberische Fehlschläge und aktuelle Sicherheitsunfälle. Manuel erinnert mehrfach daran, dass ID-Sicherheit kein Zustand, sondern ein Prozess ist. Als er Fails aus der Praxis erzählt, gruselt es Joerg. Zu unguter Letzt geht es um die Novellierung des IT-Sicherheitsgesetzes (IT-SIG 2.0), die gerade (am 16.12.2020) das Kabinett der Bundesregierung passiert hat. Manuel lässt kein gutes Haar am Verfahren und Ergebnis.

Mit Carola Sieling, Holger Bleich und Joerg Heidrich Nachdem Joerg seinem Ärger über das Schufa-Projekt "CheckNow" Luft gemacht und bei der Gelegenheit die Rubrik "Ärgernis der Woche" ausgerufen hat, widmet er sich mit Holger dem Schwerpunkt-Thema dieser Episode, nämlich der Videoüberwachung im nicht-öffentlichen Bereich. Mit von der Partie ist Rechtsanwältin Carola Sieling, die StammhörerInnen bereits aus Episode 18 kennen. Carola berät Unternehmen bei der Vorbereitung von Kamera-Anlagen und kennt sich in der Materie aus Datenschutzsicht bestens aus. Sie erläutert, was es von Unternehmensseite bei der Vorbereitung zu beachten gilt, und was zu welchem Zweck möglich und gestattet ist. Dabei geht es keineswegs nur um die DSGVO, sondern natürlich spielen auch andere Felder wie das Urheber- oder das Persönlichkeitsrecht eine große Rolle. Für Angestellte und Private dürfte interessant sein zu erfahren, was sie sich an Videoüberwachung bieten lassen müssen und wo sie berechtigt Einsprüche anmelden sollten.

Mit Barbara Thiel, Joerg Heidrich und Holger Bleich Joerg und Holger begrüßen in Episode 26 die niedersächsische Landesdatenschutzbeauftragte (LfDI) Barbara Thiel. Frau Thiel erzählt, wie sie 2015 in ungewöhnlich kurzer Zeit zu ihrem Amt gekommen ist, zunächst ohne zu ahnen, was da mit der DSGVO an Herausforderungen auf sie zukommen würde. Sie bemängelt, dass ihre Behörde dafür zu schlecht ausgestattet war und auch heute noch personell unzureichend bestückt ist. Im Vergleich zu 2019 sei auch bedingt durch die Corona-Pandemie das Beschwerdeaufkommen weiter gestiegen. Die Bestrebungen, Datenschutzaufsicht von den Ländern hin zum Bund zu verlagern, sieht Thiel überaus kritisch, weil dabei kleine Unternehmen und der Mittelstand zu den Verlierern gehören könnten. Stattdessen könne man doch die DSK stärken. In Sachen Homeschooling drängt die LfDI auf die Einführung der bereits für Mai 2020 angekündigten Bildungscloud. Sie kritisiert, dass bis heute kein Datenschutzkonzept dazu vorliegt. Die Duldung anderer Lösungen hat wohl irgendwann auch mal ein Ende. Von der Datenschutzfee wünscht sich Frau Thiel: "Mehr Befugnisse und mehr Personal!"

Mit Nikolas Maekeler, Joerg Heidrich und Holger Bleich Oha, bereits ein Jahr und 25 Episoden Auslegungssache? Joerg und Holger ist das kürzlich aufgefallen. Deshalb haben sie einen speziellen Gast in die virtuelle Runde eingeladen, nämlich Rechtsanwalt Nikolas Maekeler. Nikolas war sowohl bei der Konzeption als auch in den ersten Folgen des Podcasts stets dabei, bevor er beschloss, den Heise-Verlag zu verlassen und sein Glück als Syndikusanwalt eines Versicherungskonzerns zu suchen. In dieser Episode plaudern die drei ein wenig über die Anfänge des Podcast-Projekts. Weil Nikolas nun auch Datenschutzbeauftragter im Konzern ist, bot es sich an, einmal ausführlicher auf diese Funktion einzugehen, die die DSGVO für Firmen und Behörden immerhin vorschreibt. Für Holger stellt sich dabei insbesondere die Frage, warum an ein soltes "Amt" übernehmen sollte; welche Vorteile und zusätzliche Aufgaben sich daraus für Arbeitnehmer ergeben können. Auch die Position von externen Datenschutzbeauftragten beleuchten die Drei. Das Bußgeld der Woche: https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-fahrzeughalter-2020-10-14-ES-682.php Tesla-Gutachten von Dr. Thilo Weichert: https://www.netzwerk-datenschutzexpertise.de/dokument/kfz-automation-und-autonomes-fahren

Mit Prof. Ulrich Kelber, Joerg Heidrich und Holger Bleich Joerg und Holger begrüßen in der Auslegungssache 24 den Bundesdatenschutzbeauftragten Prof. Ulrich Kelber. Natürlich geht es im Gespräch in erster Linie um Dinge, die derzeit die Datenschutzwelt bewegen. Insbesondere um das Urteil SchremsII, mit dem der EuGH Unternehmen und Behörden die Rechtsgrundlage zum Transfer von personenbezogenen Daten in die USA de facto entzogen hat. Kelber verrät beispielsweise bei dieser Gelegenheit, dass die Datenschutzkonferenz Empfehlungen zur rechtssicheren Datenübermittlung via EU-Standardschutzklauseln erarbeitet. Der Bundesdatenschutzbeauftragte teilt offenkundig durchaus die never ending Kritik von Joerg und Holger an der irischen Datenschutzaufsicht. Sehr spannend: Kelber erklärt, wie seine Behörde aufgestellt ist und welchen Einfluss er auf Gesetzgebungsverfahren haben kann. Und ganz zum Ende befragt Ulrich Kelber sogar die gute Datenschutzfee. Eine Transparenz-Anmerkung: Wer in den ersten fünf Minuten Tonschnitte bemerkt, liegt richtig. Wir haben nichts herausgeschnitten, sondern nur ein wenig sortiert, weil es Probleme mit getrennt aufgezeichneten Tonspuren gab.

Mit Peter Hense, Joerg Heidrich und Holger Bleich Dieser Bußgeldbescheid schlug ein wie eine Bombe: Rund 35 Millionen Euro soll der Modekonzern H&M zahlen, weil er in seinem Nürnberger Servicecenter illegal private Lebensumstände von Mitarbeitern erfasst und ausgewertet hat. Noch ist nicht klar, ob H&M die Strafe des zuständigen Hamburgischen Datenschutzbeauftragten hinnehmen wird. Auf jeden Fall aber wirft das Verfahren ein Schlaglicht auf die technischen Möglichkeiten der Mitarbeiterüberwachung. Welche Grenzen das europäische Datenschutzrecht Arbeitgebern setzt, diskutieren Joerg und Holger zusammen mit ihrem Gast Peter Hense. Peter arbeitet als Rechtsanwalt im internationalen IT- und Technologierecht, im Datenschutz sowie der Prozessführung (Privacy Litigation). Seiner Ansicht nach beginnt der DSGVO-Hammer erst allmählich zu kreisen, was den Beschäftigtendatenschutz angeht. Neben Bußgeldern in erheblicher Höhe könnten auch drohende Schadensersatzansprüche von Mitarbeitern dazu führen, dass Unternehmen künftig diesem Thema höhere Priorität einräumen. An der Zeit wäre es in vielen Bereichen, man denke etwa an die Callcenter- und Paketzustellbranchen.

Mit Professor Nikolaus Forgó, Joerg Heidrich und Holger Bleich Diskussionen rund um den Datenschutz und die DSGVO werden hierzulande meist stark aus inländischer Sicht geführt. Sei es, wenn es um die Höhe von Bußgeldern, die Auslegung der DSGVO-Artikel oder um die praktischen Auswirkungen der DSGVO geht. Joerg und Holger weiten deshalb in Episode 22 einmal den Blick und schauen hinüber ins Nachbarland Österreich. Dort an der Universität Wien leitet Professor Nikolaus Forgó das Institut für Innovation und Digitalisierung im Recht. Prof. Forgó erläutert die Unterschiede im Institutionensystem zwischen den beiden Ländern und erklärt, warum die österreichische Datenschutzaufsicht zurückhaltender Bußgelder verhängt als die deutschen Behörden. Außerdem geht es um eine Kuriosität in der österreichischen DSGVO-Umsetzung: Obwohl es die Verordnung nicht vorsieht, umfasst sie auch den Schutz der Daten von juristischen Personen, also etwa von Unternehmen. Dies führte in Österreich bereits zu einigen gerichtlichen Auseinandersetzungen.

Mit Joerg Heidrich, Holger Bleich und Tim Wybitul Bereits vor rund 10 Monaten in Episode 3 warnte Joerg vor Schadensersatzforderungen, die aus DSGVO-Verstößen abgeleitet werden können. Noch ist die Rechtsprechung diffus, aber Berichte über Ansprüche nach Art. 82 DSGVO häufen sich. Zeit also, dieses Thema erneut zu beleuchten. Dazu haben sich Joerg und Holger mit Rechtsanwalt Tim Wybitul einen Experten aus der Praxis in den Podcast geholt. Tim arbeitet in der Kanzlei Latham & Watkins und kann von tausenden Schadensersatzforderungen berichten, denen sich von der Kanzlei vertretene Unternehmen gegenübersehen. Er erläutert die rechtlichen Grundlagen, seine Bewertung der Forderungen und beispielhaft auch bereits ergangene Urteile. Tims Prognose: Sobald Klagen Erfolg versprechen, werden Schadensersatz und Schmerzensgeld Legal-Tech-Unternehmen anlocken, die massenhaft Forderungen aufkaufen und durchsetzen könnten. === Anzeige / Sponsorenhinweis === Abonnieren auch Sie den Podcast "Der Datenschutz Talk"! Wöchentlich präsentieren wir Ihnen aktuelle Nachrichten aus dem Datenschutz. Immer freitags, um sich auf der Fahrt ins Wochenende ein kurzes Update zu holen. Verpassen Sie auch nicht unsere Langfolgen. Hier diskutieren wir mit Experten aktuelle und spannende Sachverhalte aus der beruflichen Praxis eines DSB. https://www.migosens.de/podcast/ === Anzeige / Sponsorenhinweis Ende ===

Mit Joerg, Holger und Simon Sowohl in der EU als auch in Deutschland entstehen derzeit Gesetze, die IT-Sicherheit und Datenschutz neu regulieren werden. Joerg und Holger reden deshalb diesmal über ungelegte Eier, auch wenn das Joerg eigentlich gar nicht so gerne tut. Es geht um offizielle und geleakte Referentenentwürfe, die klar zeigen: Da kommt in nächster Zeit einiges auf BürgerInnen und Unternehmen zu. Diesmal komplettiert Dr. Simon Assion die Runde. Er hat sich bereits mit den Entwürfen zur TKG-Novellierung und dem geplanten TTDSG befasst, in dem unter anderem Cookies neu reguliert werden sollen. Simon ordnet diese Vorhaben in einen größeren Kontext ein und findet durchaus kritische Worte. Simon ist Rechtsanwalt bei der Kanzlei Bird&Bird und berät dort zu allen Fragen des Kommunikations- und Informationsrechts. Folgt ihm auf Twitter, es lohnt sich! Sein Handle: @sas_assion

Mit Joerg Heidrich, Holger bleich und Jürgen Schmidt Wer mit personenbezogenen Daten hantiert, muss sich vor Angriffen schützen! Das gilt für alle Organisationen, seien es Unternehmen, Krankenhäuser oder Gerichte. Das EU-Datenschutzrecht sieht heftige Bußgelder vor, wenn sie wegen technischer Mängel Opfer von kriminellen Angriffen auf ihre IT-Infrastruktur werden. Doch die Vorgaben in der DSGVO zur zwingend erforderlichen Vorsorge sind eher wage. Joerg und Holger sehen sich wieder einmal den einschlägigen Artikel 32 an und klären, welche präventiven Maßnahmen sinnvoll sind. Unterstützt werden sie dabei von Jürgen Schmidt, dem leitenden Redakteur von heise Security und außerdem dem Senior Fellow Security des Heise-Verlags. Jürgen liefert News von der Malware-Front, schätzt die derzeitige Bedrohungslage ein und erläutert, wie Ransomware-Banden derzeit vorgehen. Sein Mantra lautet: "Jeder muss davon ausgehen, dass es ihn erwischt, und entsprechend planen!"