Auslegungssache – der c't-Datenschutz-Podcast

Mit Damian Boeselager, Holger Bleich und Joerg Heidrich Diesmal geht es ausnahmsweise weniger um Datenschutz. Wir weiten den Blick in Richtung EU und die komplizierte Gesetzgebung in Brüssel. Dazu sprechen Holgerund Joerg mit dem EU-Parlamentarier Damian Boeselager, der spannende Innenansichten liefert. Damian hat 2017 die Partei Volt mitgegründet und zog mit 0,7 Prozent der deutschen Stimmen für Volt bei der Europawahl 2019 ins Parlament ein, wo er als Mitglied der Fraktion Die Grünen/EFA fungiert. Für die Fraktion verhandelte er als Schattenberichterstatter maßgeblich die beiden Verordnungen Digital Governance Act und Data Act mit. Letztere ist am 9. November vom EU-Parlament final beschlossen worden und tritt damit nach dem erwartbaren Placet des Europäischen Rats bald in Kraft. Im Gespräch zeigt sich Damian als begeisterter EU-Befürworter. Deshalb habe er Volt mit einer dezidiert europäischen Agenda gegründet. Das Motto laute: "Fix the EU!" Er lebe gerade seinen Traum, "mit Impact" Dinge bewegen zu können und an Dingen zu arbeiten, die ihn wirklich interessieren. Damian erläutert die Grundzüge des EU-Gesetzgebungsverfahren und die Rolle des EU-Parlaments darin. Während das Parlament seine Arbeit der sehr transparent offenlege, mauere der der EU-Rat als Gegenpart, kritsiert er. Dies komme insbesondere im Trilog-Verfahren negativ zum Tragen, in dem die verschiedenen Position zu einem Kompromiss gegossen werden müssen. In der Runde geht es ausführlicher ums Zustandekommen des Data Acts. Damian schildert, welche Positionen er vertreten hat und wie er mit Einflussversuchen von Lobbyorganisationen umgeht. Im konkreten Fall versuchte mit Airbus ein großer europäischer Konzern, wichtige Punkte im Data Act zu kippen.

Mit Hendrik vom Lehn, Holger Bleich und Joerg Heidrich Themenbereich "Datenschutz im Ehrenamt" der Stiftung Datenschutz

Mit Dr. Simon Gerdemann, Holger Bleich und Joerg Heidrich Hinweisgeberschutzgesetz, Stand: 31.05.2023

Mit Felix Neumann, Holger Bleich und Joerg Heidrich "Artikel 91" - Blog von Felix Neumann zu Datenschutz in Kirchen und Religionsgemeinschaften

Mit Carola Sieling, Holger Bleich und Joerg Heidrich LfDI Rheinland-Pfalz: Handout "Best of Datenschutz" (PDF) Pressemitteilung OVG Lüneburg zur Klageabweisung der ehem. LfD Niedersachsens EU-US DPF: Homepage und durchsuchbare Liste Anwendungshinweise der DSK zum DPF (PDF, Stand: 4.9.2023)

Mit Prof. Dr. Fabian Schmieder, Holger Bleich und Joerg Heidrich Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.

Mit Dr. Christoph Wegener, Holger Bleich und Joerg Heidrich Die Datenschutz-Grundverordnung (DSGVO) beruht auf dem Verbotsparadigma: Das Erheben und Speichern von personenbezogenen Daten ist untersagt, außer es es ist erlaubt. Eine Erlaubnis kann sich nur aus Art. 6 ergeben, in dem die Rechtsgrundlagen definiert sind, also beispielsweise ein "berechtigtes Interesse" oder eine widerrufbare Einwilligung des Dateninhabers. Fällt die Rechtsgrundlage weg, muss der Verantwortliche unverzüglich die erhobenen Daten löschen. Das muss er auch tun, wenn der Dateninhaber von seinem Recht auf "Löschen auf Zuruf" nach Art. 17 DSGVO Gebrauch macht. Diese Gemengelage macht deutlich, auf welch tönernen Füßen datengetriebene Geschäftsmodelle in der EU stehen. Auch die neuen Datengesetze wie der Data Act und Data Governance Act hebeln das Verbotsparadigma nicht aus, sondern müssen sich ihm unterordnen. Hinzu kommt, dass diverse nationale Vorschriften von Behörden und Unternehmen fordern, beispielsweise Verträge und Rechnungen eben nicht zu löschen, sondern innerhalb einer Frist verfügbar zu halten. Zusätzlich gibt es die Pflicht, geschäftliche E-Mails zehn Jahre lang zu archivieren. Außerdem sollen Verantwortliche Backups ihre Datenbestände vorhalten. All diese Ausnahmen deckt Art. 17, Abs. 3 DSGVO. Doch wie soll man das alles praktisch umsetzen; wie löscht man wirklich sicher Daten, um seinen Pflichten nachzukommen? Darüber sprechen Heise-Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich in Episode 91 des c't-Datenschutz-Podcasts Auslegungssache. Als kompetenter Gast steht ihnen dabei Dr. Christoph Wegener zur Seite. Wegener ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Im Podcast erläutert er, welche Methoden er zum Löschen von Daten empfiehlt und gibt hilfreiche Tipps für die Praxis in Unternehmen.

Mit Prof. Dr. Anna K. Bernzen, Holger Bleich und Joerg Heidrich Na klar, jeder weiß es: Wer kostenlose Plattformen wie Facebook nutzt, bezahlt zwar kein Geld, dafür willigt er oft stillschweigend ein, dass seinen dort hinterlassenen Daten analysiert und genutzt werden. Der Deal lautet: Plattformzugang gegen das Ausspielen personalisierter Werbung. Er findet sich allerorten, beispielsweise auch auf den kostenfreien Angeboten deutscher Verlagshäuser. Was viele nicht wissen: Das Gegenschäft "Leistung gegen Daten" existiert keineswegs nur informell, sondern findet seit Beginn 2022 auch Niederschlag im Bürgerlichen Gesetzbuch (BGB, § 312 Abs. 1a und § 327 Abs. 3). De facto gelten seitdem im digitalen Bereich beim Bezahlen mit Daten dieselben Regeln wie bei Geldzahlungen. Und das hat Folgen, denn Verbraucher haben nun dieselben Rechte. Und Unternehmen treffen dieselben Informations- und Gewährleistungspflichten wie beim Deal "Leistung/Ware gegen Geld". Doch wann genau kommt ein solcher Vertrag zustande? Und wo beißt sich das neue deutsche Recht mit der Prinzipien der Datenschutz-Grundverordnung (DSGVO), etwa der Zweckbindung und dem Kopplungsverbot? Um diese und viele weitere Fragen geht es in Episode 90 des c't-Datenschutz-Podcasts. Holger und Joerg sprechen dazu mit Prof. Dr. Anna K. Bernzen. Die promovierte Juristin verfasst derzeit als Akademische Rätin an der Rheinischen-Friedrich-Wilhelms-Universität Bonn ihre Habilitationsschrift zum Verbraucherschutz in der Plattformökonomie. Seit Oktober 2022 ist sie außerdem Juniorprofessorin für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Im Podcast erläutert Anna die Grundlagen des neuen digitalen Vertragsrechts im BGB, weist auf Konfliktpotenzial hin und gibt Tipps für die Praxis.

Mit Sebastian Hilbig, Holger Bleich und Joerg Heidrich Was wenige Hörerinnen und Hörer wissen dürften: Im August 2020 war der Heise-Verlag, genauer die Heise Medien GmbH & Co. KG, ins Visier der Datenschutzaufsicht des Landes Niedersachsen geraten - also der für den in Hannover ansässigen Verlag zuständigen Behörde. Die Landesdatenschutzbeauftragte (LfD) kritisierte die Art und Weise, wie heise online Einwilligungen zum Setzen von First- und Third-Party-Cookies abfragt. Dabei ging es um die optische Gestaltung des sogenannten Consent-Frameworks ebenso wie um das alternative Angebot eines Tracking-freien, aber dann kostenpflichtigen "Pur-Abos". Der Verlag hat die Kritik angenommen und in einem intensiven Austausch mit der Behörde Änderungen vorgenommen sowie Lösungen erarbeitet. Im Dezember 2022 war ein wichtiger Zwischenschritt erfolgt, doch erst im April 2023 zeigte sich die Behörde vollständig zufrieden mit der auf heise online eingesetzen Einwilligungseinholung für Cookies. Im Mai schließlich kamen alle Verfahren zum Abschluss, die Lösung auf heise online wurde abschließend als rechtskonform erklärt. Viele weitere Großverlage haben den Prozess, den man vielleicht als "Musterverfahren" bezeichnen kann, aufmerksam verfolgt und stehen im Austausch mit den technisch und juristisch Verantwortlichen bei Heise. Zwei dieser Verantwortlichen sind Verlagsjustiziar Joerg Heidrich sowie Sebastian Hilbig. Sebastian ist als Technischer Leiter (CTO) bei Heise Medien für die Weiterentwicklung der gesamten digitalen Infrastruktur zuständig. Zu seinem Verantwortungsbereich zählen die Web-Entwicklung, das IT-Systemmanagement und die Produktion. In der Auslegungssache erläutert er zunächst, was Cookies genau sind und welche Problematiken mit ihnen einhergehen. Anschließend arbeitet er zusammen mit Joerg und Holger das Verfahren auf und schildert die Knackpunkte, die auch technischer Art waren. In der Rubrik "Bußgeld der Woche" geht es diesmal außerdem ausgerechnet um ein Bußgeld, dass die Landesdatenschutzbeauftragte Niedersachsens gegen eine Privatperson verhängt hat. Mehrere weibliche Jugendliche hatten den Eindruck, in der Innenstadt von einer männlichen Person verfolgt und fotografiert zu werden. Eine Kontrolle des Smartphones durch die Polizei hatte anschließen ergeben, dass die Betroffenen der gezielte Fokus mehrerer Fotografien waren. Sie informierte die LfD, die im Fotografieren auf der Straße eine unerlaubte Datenerhebung sah. Kritiker befürchten nun bereits das Ende der Streetphotography. Was ist dran? Hinweis in eigener Sache: Die Auslegungssache geht in eine kurze Sommerpause. Die nächste Episode 90 ist für den 11. August 2023 geplant.

Mit Stephanie Richter, Holger Bleich und Joerg Heidrich Video-Mitschnitt des Vortrags von Stephanie Richter zum Data Act im Rahmen der Privacy-Ring-Tagung