Auslegungssache – der c't-Datenschutz-Podcast

Mit Peter Hense, Joerg Heidrich und Holger Bleich Dieser Bußgeldbescheid schlug ein wie eine Bombe: Rund 35 Millionen Euro soll der Modekonzern H&M zahlen, weil er in seinem Nürnberger Servicecenter illegal private Lebensumstände von Mitarbeitern erfasst und ausgewertet hat. Noch ist nicht klar, ob H&M die Strafe des zuständigen Hamburgischen Datenschutzbeauftragten hinnehmen wird. Auf jeden Fall aber wirft das Verfahren ein Schlaglicht auf die technischen Möglichkeiten der Mitarbeiterüberwachung. Welche Grenzen das europäische Datenschutzrecht Arbeitgebern setzt, diskutieren Joerg und Holger zusammen mit ihrem Gast Peter Hense. Peter arbeitet als Rechtsanwalt im internationalen IT- und Technologierecht, im Datenschutz sowie der Prozessführung (Privacy Litigation). Seiner Ansicht nach beginnt der DSGVO-Hammer erst allmählich zu kreisen, was den Beschäftigtendatenschutz angeht. Neben Bußgeldern in erheblicher Höhe könnten auch drohende Schadensersatzansprüche von Mitarbeitern dazu führen, dass Unternehmen künftig diesem Thema höhere Priorität einräumen. An der Zeit wäre es in vielen Bereichen, man denke etwa an die Callcenter- und Paketzustellbranchen.

Mit Professor Nikolaus Forgó, Joerg Heidrich und Holger Bleich Diskussionen rund um den Datenschutz und die DSGVO werden hierzulande meist stark aus inländischer Sicht geführt. Sei es, wenn es um die Höhe von Bußgeldern, die Auslegung der DSGVO-Artikel oder um die praktischen Auswirkungen der DSGVO geht. Joerg und Holger weiten deshalb in Episode 22 einmal den Blick und schauen hinüber ins Nachbarland Österreich. Dort an der Universität Wien leitet Professor Nikolaus Forgó das Institut für Innovation und Digitalisierung im Recht. Prof. Forgó erläutert die Unterschiede im Institutionensystem zwischen den beiden Ländern und erklärt, warum die österreichische Datenschutzaufsicht zurückhaltender Bußgelder verhängt als die deutschen Behörden. Außerdem geht es um eine Kuriosität in der österreichischen DSGVO-Umsetzung: Obwohl es die Verordnung nicht vorsieht, umfasst sie auch den Schutz der Daten von juristischen Personen, also etwa von Unternehmen. Dies führte in Österreich bereits zu einigen gerichtlichen Auseinandersetzungen.

Mit Joerg Heidrich, Holger Bleich und Tim Wybitul Bereits vor rund 10 Monaten in Episode 3 warnte Joerg vor Schadensersatzforderungen, die aus DSGVO-Verstößen abgeleitet werden können. Noch ist die Rechtsprechung diffus, aber Berichte über Ansprüche nach Art. 82 DSGVO häufen sich. Zeit also, dieses Thema erneut zu beleuchten. Dazu haben sich Joerg und Holger mit Rechtsanwalt Tim Wybitul einen Experten aus der Praxis in den Podcast geholt. Tim arbeitet in der Kanzlei Latham & Watkins und kann von tausenden Schadensersatzforderungen berichten, denen sich von der Kanzlei vertretene Unternehmen gegenübersehen. Er erläutert die rechtlichen Grundlagen, seine Bewertung der Forderungen und beispielhaft auch bereits ergangene Urteile. Tims Prognose: Sobald Klagen Erfolg versprechen, werden Schadensersatz und Schmerzensgeld Legal-Tech-Unternehmen anlocken, die massenhaft Forderungen aufkaufen und durchsetzen könnten. === Anzeige / Sponsorenhinweis === Abonnieren auch Sie den Podcast "Der Datenschutz Talk"! Wöchentlich präsentieren wir Ihnen aktuelle Nachrichten aus dem Datenschutz. Immer freitags, um sich auf der Fahrt ins Wochenende ein kurzes Update zu holen. Verpassen Sie auch nicht unsere Langfolgen. Hier diskutieren wir mit Experten aktuelle und spannende Sachverhalte aus der beruflichen Praxis eines DSB. https://www.migosens.de/podcast/ === Anzeige / Sponsorenhinweis Ende ===

Mit Joerg, Holger und Simon Sowohl in der EU als auch in Deutschland entstehen derzeit Gesetze, die IT-Sicherheit und Datenschutz neu regulieren werden. Joerg und Holger reden deshalb diesmal über ungelegte Eier, auch wenn das Joerg eigentlich gar nicht so gerne tut. Es geht um offizielle und geleakte Referentenentwürfe, die klar zeigen: Da kommt in nächster Zeit einiges auf BürgerInnen und Unternehmen zu. Diesmal komplettiert Dr. Simon Assion die Runde. Er hat sich bereits mit den Entwürfen zur TKG-Novellierung und dem geplanten TTDSG befasst, in dem unter anderem Cookies neu reguliert werden sollen. Simon ordnet diese Vorhaben in einen größeren Kontext ein und findet durchaus kritische Worte. Simon ist Rechtsanwalt bei der Kanzlei Bird&Bird und berät dort zu allen Fragen des Kommunikations- und Informationsrechts. Folgt ihm auf Twitter, es lohnt sich! Sein Handle: @sas_assion

Mit Joerg Heidrich, Holger bleich und Jürgen Schmidt Wer mit personenbezogenen Daten hantiert, muss sich vor Angriffen schützen! Das gilt für alle Organisationen, seien es Unternehmen, Krankenhäuser oder Gerichte. Das EU-Datenschutzrecht sieht heftige Bußgelder vor, wenn sie wegen technischer Mängel Opfer von kriminellen Angriffen auf ihre IT-Infrastruktur werden. Doch die Vorgaben in der DSGVO zur zwingend erforderlichen Vorsorge sind eher wage. Joerg und Holger sehen sich wieder einmal den einschlägigen Artikel 32 an und klären, welche präventiven Maßnahmen sinnvoll sind. Unterstützt werden sie dabei von Jürgen Schmidt, dem leitenden Redakteur von heise Security und außerdem dem Senior Fellow Security des Heise-Verlags. Jürgen liefert News von der Malware-Front, schätzt die derzeitige Bedrohungslage ein und erläutert, wie Ransomware-Banden derzeit vorgehen. Sein Mantra lautet: "Jeder muss davon ausgehen, dass es ihn erwischt, und entsprechend planen!"

Mit Carola Sieling, Joerg Heidrich und Holger Bleich Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield zerschlagen und damit einen großen Teil des Datenflusses aus der EU in die USA für gesetzeswidrig erklärt. Das Datenschutzniveau in den USA sei nicht angemessen, widersprach der EuGH damit der EU-Kommission. Ein Jammern und Wehklagen der Wirtschaft ist nicht zu überhören, obwohl die Entscheidung nicht gerade überraschend kam. Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg und Holger zusammen mit Carola Sieling nach. Carola ist auf IT-Recht spezialisierte Rechtsanwältin (kanzlei-sieling.de) in Hamburg und Paderborn. Sie stellt erst einmal fest: Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Dann erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.

Mit Dr. Christoph Wegener, Joerg Heidrich und Holger Bleich Juhu, die Auslegungssache macht Corona-frei! Joerg und Holger lassen das Pandemie-Thema beherzt links liegen und beackern ein wichtiges Themenfeld, dessen Würdigung aus aktuellen Anlässen viel zu lange verschoben wurde: Es geht diesmal um die Frage, wie Cloud-Dienste angesichts der DSGVO-verschärften Bedingungen rechtmäßig genutzt werden können. Zusammen mit Dr. Christoph Wegener tastet sich das c't-Team an die Bedingungen heran, die das aktuelle EU-Datenschutzrecht vorgibt - sowohl für Unternehmen als auch für Privatleute. Dabei wird es durchaus etwas technisch, etwa bei den Fragen, was der von der DSGVO vorgegebene "Stand der Technik" sein könnte und wie Datenlöschungskonzepte in der Cloud funktionieren können. Christoph ordnet die Dinge ein und gibt Ideen für eigene Checklisten vor dem Gang in die Cloud. Er ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Ein Disclaimer in eigener Sache: Christoph hilft uns außerdem als Co-Organisator Heise-Security-Konferenz.

Mit Ninja Marnau, Joerg Heidrich und Holger Bleich Joerg und Holger kommen vom Thema einfach nicht los: Auch in Episode 16 geht es wieder um die Corona-Warn-App. Diesmal dient sie als Beispiel dafür, warum eine solch komplexe Datenverarbeitung eine sogenannte Datenschutzfolgeabschätzung (DSFA) benötigt. Zu Gast in der Auslegungssache ist diesmal Ninja Marnau. Ninja forscht am Helmholtz Center for Information Security (CISPA) in Saarbrücken zu Datenschutzthemen. Sie war beratend in den Entwicklungsprozess der Corona-Warn-App involviert und arbeitete auch bei der 117-starken DSFA mit. die DSFA selbst lässt sich unter diesem Link (PDF) abrufen: https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

Mit Kirsten Bock, Joerg Heidrich und Holger Bleich Die informierte Einwilligung! Stimmt der Bürger nur aktiv zu, soll jeder Empfänger fast alles mit seinen Daten anstellen dürfen. So hat es nach dem EuGH jüngst auch der BGH bestätigt. Und den Bürgerinnen und Bürgern hat es sich so eingebrannt. Doch stimmt das? Und ist es das, was die EU als Gesetzgeber mit der DSGVO gewollt hat? Bürgerinnen und Bürger, die nicht mehr durchblicken und deshalb alles abnicken, weil sie nun mal die Dienste nutzen wollen? Zweifel sind angebracht, denn es gibt nicht nur die Einwilligung, sondern gleichberechtigt fünf andere eigentlich gleichrangige Rechtsgründe dafür, Daten erheben und verarbeiten zu dürfen, die aber derzeit faktisch zurücktreten. Darüber diskutieren Joerg und Holger mit Kirsten Bock. Sie studierte Rechtswissenschaften und arbeitet seit vielen Jahren als Datenschutzjuristin im aufsichtsbehördlichen Bereich, forscht zu ethischen und gesellschaftlichen Grundsatzfragen des Datenschutzes und ist eine der Autorinnen des Standard-Datenschutzmodells. Und sie äußert aus Datenschutzperspektive heftige Kritk am Modell der Corona-Warn-App, die kommende Woche erscheinen soll. Auch das musste natürlich begesprochen werden in dieser Episode.

Mit Thomas Althammer, Joerg Heidrich und Holger Bleich Endlich! Die irische Datenschutzbehörde ist aufgewacht. Joerg und Holger präsentieren tatsächlich einen Bußgeldbescheid der DPC, allerdings gegen eine öffentliche Stelle. In Sachen Facebook bleibt sie nach wie vor untätig, was den Datenschützer Max Schrems in einem Brandbrief zum Urteil "Die DSGVO ist dysfunktional" veranlasste, wie Holger berichtet. Im Schwerpunkt von Episode 14 geht es aber um Microsoft 365 (ehemals Office 365). An dem viel genutzten Cloudoffice- und Workgroup-Paket scheiden sich die Datenschutz-Geister. Während der Konzern stets betont, alle DSGVO-Vorgaben einzuhalten, warnen einige Datenschutzbehörden vor dem Einsatz in Behörden, Schulen und Unternehmen. Zusammen mit ihrem Gast Thomas Althammer grübeln sie darüber, wo die Knackpunkte liegen und ob Microsoft wirklich mit offenen Karten spielt. Zweifel sind zumindest angebracht, wie Thomas zu berichten weiß. Er kennt die Problematiken aus der beruflichen Praxis: Sein Unternehmen Althammer&Kill berät namhafte Unternehmen als externer Datenschutzbeauftragter, zu Informationssicherheit und in IT-Strategiefragen, und Thomas selbst hat sich ausführlich mit den datenschutzrechtlichen Fallstricken rund um den Einsatz von Microsoft 365 beschäftigt.