Auslegungssache – der c't-Datenschutz-Podcast

Mit Jan Mahn, Holger Bleich und Joerg Heidrich "Jan hat schon sehr viel Elend gesehen." So begrüßt Joerg den heutigen Episodengast, c't-Redakteur Jan Mahn. Und das nicht von ungefähr: Geht es bei c't um Datenpannen, kommt oft Jan ins Spiel und untersucht sowohl Ursachen als auch Auswirkungen derselben. Seine niederschmetternde Erkenntnis ist, dass vielen der datenschutzrelevanten Sicherheitsunfälle kein hochkomplexer Angriff zugrunde liegt, sondern schlicht Schlamperei von Entwicklern oder Admins. Da geht es um ungeschützte SMB-Freigaben genauso wie um Passwort-Datenbanken im Klartext oder veraltete Schutzmaßnahmen. Nach Ansicht von Jan häufen sich diese Lecks unter anderem, weil Entwickler in Unternehmen in agilen Arbeitsmodellen oft nicht mehr das Große und Ganze im Blick haben, sondern nur noch die Erledigung von Tickets in engen zeitlichen Rahmen. Im Podcast plaudert Jan über seine Erfahrungen, und Joerg schätzt die juristischen Konsequenzen dieser Datenlecks ein.

Mit Marit Hansen, Joerg Heidrich und Holger Bleich In Episode 31 beschäftigen sich Joerg und Holger zunächst ausführlicher als gewohnt mit dem Bußgeld der Woche: Umgerechnet 10,6 Millionen Euro möchte die norwegische Datenschutzbehörde gegen die Dating-Plattform Grindr verhängen, weil sie ohne Einwilligung der Nutzer massenhaft personenbezogene Daten an mehrere Dutzend Drittfirmen weitergeleitet hat, darunter besonders sensible Informationen gemäß DSGVO. Als Gast zugeschaltet ist Marit Hansen, die Landesdatenschutzbeauftragte von Schleswig-Holstein. Und Marit hat zur Bußgeld-Diskussion gleich einiges beizutragen. Eigentliches Steckenpferd der gelernten Informatikerin sind aber die Konzepte Privacy by Design und Privacy by Default, die der Artikel 25 der DSGVO regeln soll. Entgegen landläufiger Meinung treffen die Pflichten aus diesem Artikel keineswegs Hersteller von Anwendungen, sondern vielmehr diejenigen, die die Software einsetzen (also die "Verantwortlichen"), wie Marit anschaulich erläutert. Ab Beispiel von Webbrowsern zeigen die drei konkret, was es zu beachten gilt. Allerdings gibt Marit zu bedenken, dass in Erwägungsgrund zu Artikel 25 vieles im Ungefähren bleibt und wohl auch deshalb bislang Verstöße gegen Privacy by Design kaum geahndet werden. Eine Ausnahme: Das hohe "Deutsche Wohnen"-Bußgeld beruht ausdrücklich auf einem Verstoß gegen Privacy by Design.

Mit Johannes Endres, Holger Bleich und Joerg Heidrich Investigative Recherchen erfordern es oft, dass personenbezogene Daten gesichtet, extern bewertet und sortiert werden müssen - dies meist, ohne den Betroffenen zu informieren oder die Quelle offenzulegen. Damit der Journalismus diese gesellschaftliche Aufgabe erfüllen kann, nennt die DSGVO Ausnahmen der strengen datenschutzrechtlichen Vorgaben (Medienpriviliegien), die auch für Ton-, Bild- und Videoaufnahmen gelten können. Zu diesen Privilegien kursieren in der Öffentlichkeit einige Missverständnisse. Deshalb sprechen Joerg und Holger in dieser Episode darüber, für wen und in welchen Konstellationen die Ausnahmen gelten, und worauf JournalistInnen besonders achten sollten. Sie begeben sich aber nicht alleine ins Dickicht von Datenschutz- und Landespressegesetzen: Mit dabei ist Johannes Endres. Johannes war lange Jahre c't-Redakteur, Ressortleiter, und von 2013 bis 2017 Chefredakteur von heise online und c’t. Von 2015 bis 2020 war er außerdem Mitglied des deutschen Presserats, dort Vorsitzender der beiden Beschwerdeausschüsse "Trennung von Werbung und Redaktion" und "Redaktionsdatenschutz". Derzeit arbeitet Johannes bei Althammer & Kill, einem Unternehmen, das Unternehmen bei der Umsetzung von Datenschutzbestimmungen berät.

Mit Dr. Thomas Schwenke, Holger Bleich und Joerg Heidrich Das Datenschutzjahr 2020 fordert dazu heraus, kritisch beäugt zu werden. Joerg und Holger haben sich für einen Blick zurück im Zorn Dr. Thomas Schwenke eingeladen. Thomas kennt sich als selbstständiger Rechtsanwalt mit Spezialgebiet Social-Media-Recht bestens in der aktuellen datenschutzrechtlichen Lage aus und betreibt nebenher den Podcast "Rechtsbelehrung". In dieser Auslegungssache XXL kommentieren die Drei viele der Themen rückblickend, die in vergangenen Episoden bereits ausführlicher zur Sprache kamen: Natürlich geht es um das Ende des Privacy-Shields und die Corona-Warn-App, aber auch ums Elend mit den Cookie-Bannern, die (nicht für alle) leidigen Videokonferenz-Tools und die rechtlichen Folgen des Brexits. Der bisweilen leicht polemische Datenschutz-Stammtisch moniert die Tendenz, Freiheitsrechte und Privatsphäre der europäischen Bürgerinnen und Bürger immer weiter einzuschränken. Zum Abschluss gibt es noch einen Blick in die Zukunft: Welche Themen werden 2021 und darüber hinaus auf die Agenda rutschen? Allen Hörerinnen und Hörern einen guten Rutsch ins hoffentlich bessere Jahr 2021. Bleibt gesund, und: Schützt Eure Daten!

Mit Manuel Atug, Holger Bleich und Joerg Heidrich Joerg und Holger wildern wieder einmal im Bereich der IT-Sicherheit, weil Security ihrer Meinung nach eben direkt mit dem Schutz von Daten zusammenhängt. Ihr Gast in dieser Episode ist ein ausgesprochener Praktiker, nämlich der @HonkHase, den man außerhalb von Twitter auch unter seinem Namen Manuel Atug kennt. Manuel berät als Senior Manager der HiSolutions AG Unternehmen bei der Einführung von Informationssicherheits-Management-Systemen. Außerdem ist er in diversen Vereinen wie dem CCC aktiv und hat als Experte für kritische Infrastrukturen die unabhängige AG Kritis gegründet. Nachdem sich Joerg wieder einmal an der irischen Datenschutzbehörde abgearbeitet hat, geht es um staatliche IT-Security-Regulierung. Die Drei plaudern über legendäre gesetzgeberische Fehlschläge und aktuelle Sicherheitsunfälle. Manuel erinnert mehrfach daran, dass ID-Sicherheit kein Zustand, sondern ein Prozess ist. Als er Fails aus der Praxis erzählt, gruselt es Joerg. Zu unguter Letzt geht es um die Novellierung des IT-Sicherheitsgesetzes (IT-SIG 2.0), die gerade (am 16.12.2020) das Kabinett der Bundesregierung passiert hat. Manuel lässt kein gutes Haar am Verfahren und Ergebnis.

Mit Carola Sieling, Holger Bleich und Joerg Heidrich Nachdem Joerg seinem Ärger über das Schufa-Projekt "CheckNow" Luft gemacht und bei der Gelegenheit die Rubrik "Ärgernis der Woche" ausgerufen hat, widmet er sich mit Holger dem Schwerpunkt-Thema dieser Episode, nämlich der Videoüberwachung im nicht-öffentlichen Bereich. Mit von der Partie ist Rechtsanwältin Carola Sieling, die StammhörerInnen bereits aus Episode 18 kennen. Carola berät Unternehmen bei der Vorbereitung von Kamera-Anlagen und kennt sich in der Materie aus Datenschutzsicht bestens aus. Sie erläutert, was es von Unternehmensseite bei der Vorbereitung zu beachten gilt, und was zu welchem Zweck möglich und gestattet ist. Dabei geht es keineswegs nur um die DSGVO, sondern natürlich spielen auch andere Felder wie das Urheber- oder das Persönlichkeitsrecht eine große Rolle. Für Angestellte und Private dürfte interessant sein zu erfahren, was sie sich an Videoüberwachung bieten lassen müssen und wo sie berechtigt Einsprüche anmelden sollten.

Mit Barbara Thiel, Joerg Heidrich und Holger Bleich Joerg und Holger begrüßen in Episode 26 die niedersächsische Landesdatenschutzbeauftragte (LfDI) Barbara Thiel. Frau Thiel erzählt, wie sie 2015 in ungewöhnlich kurzer Zeit zu ihrem Amt gekommen ist, zunächst ohne zu ahnen, was da mit der DSGVO an Herausforderungen auf sie zukommen würde. Sie bemängelt, dass ihre Behörde dafür zu schlecht ausgestattet war und auch heute noch personell unzureichend bestückt ist. Im Vergleich zu 2019 sei auch bedingt durch die Corona-Pandemie das Beschwerdeaufkommen weiter gestiegen. Die Bestrebungen, Datenschutzaufsicht von den Ländern hin zum Bund zu verlagern, sieht Thiel überaus kritisch, weil dabei kleine Unternehmen und der Mittelstand zu den Verlierern gehören könnten. Stattdessen könne man doch die DSK stärken. In Sachen Homeschooling drängt die LfDI auf die Einführung der bereits für Mai 2020 angekündigten Bildungscloud. Sie kritisiert, dass bis heute kein Datenschutzkonzept dazu vorliegt. Die Duldung anderer Lösungen hat wohl irgendwann auch mal ein Ende. Von der Datenschutzfee wünscht sich Frau Thiel: "Mehr Befugnisse und mehr Personal!"

Mit Nikolas Maekeler, Joerg Heidrich und Holger Bleich Oha, bereits ein Jahr und 25 Episoden Auslegungssache? Joerg und Holger ist das kürzlich aufgefallen. Deshalb haben sie einen speziellen Gast in die virtuelle Runde eingeladen, nämlich Rechtsanwalt Nikolas Maekeler. Nikolas war sowohl bei der Konzeption als auch in den ersten Folgen des Podcasts stets dabei, bevor er beschloss, den Heise-Verlag zu verlassen und sein Glück als Syndikusanwalt eines Versicherungskonzerns zu suchen. In dieser Episode plaudern die drei ein wenig über die Anfänge des Podcast-Projekts. Weil Nikolas nun auch Datenschutzbeauftragter im Konzern ist, bot es sich an, einmal ausführlicher auf diese Funktion einzugehen, die die DSGVO für Firmen und Behörden immerhin vorschreibt. Für Holger stellt sich dabei insbesondere die Frage, warum an ein soltes "Amt" übernehmen sollte; welche Vorteile und zusätzliche Aufgaben sich daraus für Arbeitnehmer ergeben können. Auch die Position von externen Datenschutzbeauftragten beleuchten die Drei. Das Bußgeld der Woche: https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-fahrzeughalter-2020-10-14-ES-682.php Tesla-Gutachten von Dr. Thilo Weichert: https://www.netzwerk-datenschutzexpertise.de/dokument/kfz-automation-und-autonomes-fahren

Mit Prof. Ulrich Kelber, Joerg Heidrich und Holger Bleich Joerg und Holger begrüßen in der Auslegungssache 24 den Bundesdatenschutzbeauftragten Prof. Ulrich Kelber. Natürlich geht es im Gespräch in erster Linie um Dinge, die derzeit die Datenschutzwelt bewegen. Insbesondere um das Urteil SchremsII, mit dem der EuGH Unternehmen und Behörden die Rechtsgrundlage zum Transfer von personenbezogenen Daten in die USA de facto entzogen hat. Kelber verrät beispielsweise bei dieser Gelegenheit, dass die Datenschutzkonferenz Empfehlungen zur rechtssicheren Datenübermittlung via EU-Standardschutzklauseln erarbeitet. Der Bundesdatenschutzbeauftragte teilt offenkundig durchaus die never ending Kritik von Joerg und Holger an der irischen Datenschutzaufsicht. Sehr spannend: Kelber erklärt, wie seine Behörde aufgestellt ist und welchen Einfluss er auf Gesetzgebungsverfahren haben kann. Und ganz zum Ende befragt Ulrich Kelber sogar die gute Datenschutzfee. Eine Transparenz-Anmerkung: Wer in den ersten fünf Minuten Tonschnitte bemerkt, liegt richtig. Wir haben nichts herausgeschnitten, sondern nur ein wenig sortiert, weil es Probleme mit getrennt aufgezeichneten Tonspuren gab.

Mit Peter Hense, Joerg Heidrich und Holger Bleich Dieser Bußgeldbescheid schlug ein wie eine Bombe: Rund 35 Millionen Euro soll der Modekonzern H&M zahlen, weil er in seinem Nürnberger Servicecenter illegal private Lebensumstände von Mitarbeitern erfasst und ausgewertet hat. Noch ist nicht klar, ob H&M die Strafe des zuständigen Hamburgischen Datenschutzbeauftragten hinnehmen wird. Auf jeden Fall aber wirft das Verfahren ein Schlaglicht auf die technischen Möglichkeiten der Mitarbeiterüberwachung. Welche Grenzen das europäische Datenschutzrecht Arbeitgebern setzt, diskutieren Joerg und Holger zusammen mit ihrem Gast Peter Hense. Peter arbeitet als Rechtsanwalt im internationalen IT- und Technologierecht, im Datenschutz sowie der Prozessführung (Privacy Litigation). Seiner Ansicht nach beginnt der DSGVO-Hammer erst allmählich zu kreisen, was den Beschäftigtendatenschutz angeht. Neben Bußgeldern in erheblicher Höhe könnten auch drohende Schadensersatzansprüche von Mitarbeitern dazu führen, dass Unternehmen künftig diesem Thema höhere Priorität einräumen. An der Zeit wäre es in vielen Bereichen, man denke etwa an die Callcenter- und Paketzustellbranchen.