Auslegungssache – der c't-Datenschutz-Podcast

Mit Prof. Alexander Golland, Holger Bleich und Joerg Heidrich Gespannt hatte die Datenschutz-Community im Dezember vergangenen Jahres nach Luxemburg geblickt. Gleich sechs Entscheidungen des Europäischen Gerichtshofs standen an, die mehr Klarheit in strittige Fragen zur DSGVO-Auslegung bringen sollten. Doch haben sie diese Erwartung erfüllt? Dieser Frage gehen Joerg Holger in dieser Episode nach. Bereits zum dritten Mal stellte sich Prof. Alexander Golland als Experte zur Verfügung, um im Podcast die Sachlagen kompetent einzuordnen. Alexander lehrt und forscht an der Fachhochschule Aachen zum Recht der Digitalisierung und ist daneben Autor und Herausgeber zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Schriftleiter der Fachzeitschrift "Datenschutz-Berater". Zunächst diskutieren die Drei die EuGH-Entscheidung "Schöner Wohnen" (C-807/21). Dieser zufolge sind DSGVO-Bußgelder gegen Unternehmen möglich, wenn sie ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss hingegen nicht nachgewiesen sein. Dieses muss sich das Unternehmen als juristische Person zurechnen lassen, so der EuGH. Beide Streitparteien werteten das Urteil als Erfolg. Alexander bezeichnet es als "salomonisch" und meint, eigentlich kann sich keine der beiden Seiten darüber freuen. Weiter geht es in der Episode mit den Entscheidungen "NAP" (C-340/21) und "Gemeinde Ummendorf" (C-456/22). Hier wurden Schadensersatzansprüche nach Art. 82 DSGVO aus Datenschutzverstößen heraus verhandelt, konkret ein Cyberangriff, bei dem eventuell personenbezogene Daten abgezogen wurden. Der EuGH entschied de facto eine Beweislastumkehr: Verantwortliche müssen künftig nachweisen, dass ihre Systeme nach Art. 32 DSGVO ausreichend gesichert waren, wenn jemand einen Schaden behauptet. Dem Urteil zufolge können bereits Sorgen und Befürchtungen um einen möglichen Datenverlust einen Schadenersatzanspruch begründen. Doch das die Ängste einen Schaden darstellen, müssen die Betroffenen im Einzelfall nachweisen. Alexander hält diesen Nachweis je nach Umstand für schwierig: "Vielleicht muss mir die Ehefrau bestätigen, dass ich aus Furcht vor dem Missbrauch meiner Daten jede Nacht von drei bis fünf Uhr morgens bibbernd auf der Bettkante saß? Oder ich muss eine Art Angsttagebuch vorlegen können?"

Mit Dr. Michael Koch, Holger Bleich und Joerg Heidrich ChatGPT, Midjourney und Co. stellen die Datenschützer vor völlig neue Herausforderungen. Womit darf man generative KI trainieren? was sollte man beim Nutzen der Blackbox-Modelle beachten, um die Preisgabe personenbezogner Daten zu vermeiden, oder zumindest zu minimieren? Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an die Betreiber? Der Datenschutz muss sehr aufpassen, um nicht wieder als Bremser des Fortschritts dazustehen, meint Joerg. Zusammen mit Holger diskutiert er in der Podcast-Episode die möglichen Rechtsgrundlagen und schätzt die momentane Lage ein. Den beiden kompetent zur Seite steht Dr. Michael Koch. Michael ist Mitarbeiter von Joerg in der Rechtsabteilung des Verlags und vertiefte diese Themen zusammen mit ihm viele Male in Webinaren des Verlags. Außerdem ist er Datenschutzmentor für Start-Ups in Hannover und Referent und Fachautor zu den Themengebieten IT-Recht und Datenschutz. Die drei erörtern, wo beim Einsatz von generativer KI welche personenbezogenen Daten verarbeitet werden können - und wo Probleme entstehen. Ein Disput entsteht in der Diskussion, als es um das "Scraping" öffentlich zugänglicher Daten im Web zu Trainingszwecken geht, wie es beispielsweise OpenAI betreibt: Muss man damit rechnen, dass alle veröffentlichten Informationen potenziell als Trainingsmaterial für Sprach-KIs oder Bildgeneratoren fungieren? Michael erläutert, wie eine betriebliche Nutzung von Chatbots mit einer Richtlinie geregelt werden könnte, etwa mit Compliance-Vorschriften und gemeinsam genutzten Funktions-Accounts. Ausführlicher besprechen die Drei außerdem die "Checkliste zum Einsatz LLM-basierter Chatbots", die der Hamburgische Landesdatenschutzbeauftragte öffentlich bereitgestellt hat. Wer sich daran halte, habe schon sehr viel dafür getan, um auf der rechtssicheren Seite zu sein, ist sich Joerg sicher. LfDI Hamburg: Checkliste zum Einsatz LLM-basierter Chatbots LfDI Baden Württemberg: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz LfDI Baden-Württemberg: Kurz gesagt – LfDI erklärts: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, offene Online-Veranstaltung am 23.1.24, ab 16 Uhr

Mit Jan Mahn, Sylvester Tremmel und Holger Bleich Geht es nach dem Willen der EU, wird bald jeder Bürger der 27 Mitgliedsstaaten eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030 sollen sich 80 Prozent aller EU-Bürger online im Web damit ausweisen können. Die gesetzliche Grundlage dazu nennt sich eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am 9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und Kommission erzielt, und am 7. Dezember hat Industrieausschuss des Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen Artikel, der von zivilgesellschaftlichen Organisationen, aber auch IT-Experten aus dem universitären Umfeld scharf kritisiert wird. Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache. c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15. Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten dieser Problematik beschäftigt. In erster Linie geht es um Artikel 45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge, Firefox, und Safari künftig sogenannte qualifizierte Zertifikate (Qualified Website Authentication Certificates, QWACs) für die Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der Browser sollen Aussteller dieser QWACs, die sogenannten Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei: Diese staatlich kontrollierten Anbieter könnten Hintertüren einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes und Geheimdienste weltweit haben großes Interesse, den Verkehr ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte falsche Zertifikate für alle Websites ausstellen und der Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten – das Szenario träfe damit alle Europäer. Immer wieder warnen Browser-Hersteller und Wissenschaftler davor, ein Szenario per Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation und damit auch den Datenschutz der Bürger derart aushöhlt.

Mit Barbara Thiel, Holger Bleich und Joerg Heidrich Es wird langsam zur Tradition im c't-Datenschutz-Podcast: Ehemalige Behördenleiter kommen gerne als Gäste, um die High- und Lowlights ihrer Amtszeit gemeinsam mit Holge und Joerg Revue passieren zu lassen. Und das ohne jene Redebeschränkungen, die ihnen ihre Position auferlegt hatte. In Episode 98 plaudert die ehemalige Landesdatenschutzbeauftrage Niedersachsens Barbara Thiel aus dem datenschutzrechtlichen Nähkästchen. Thiel amtierte von 2015 bis Mitte 2023 und erlebte den Awareness-Wandel, den die DSGVO mit sich brachte, als Behördenleiterin an vorderster Front mit. In Podcast erzählt sie, wie der Start verlief, welche Schwerpunkte sie sich aussuchte und auf welche Widerstände sie im Laufe ihrer Amtszeit stieß. Thiel berichtet von wenig bekannten Verfahren, ordnet aber auch spektakuläre Bußgelder ein, die sie verhängt hat. Im Gespräch bemängelt sie, dass es zu wenig Ambitionen gibt, die Datenschutzregulierung auf deutscher Ebene zu vereinheitlichen und in den europäischen Kontext einzuhegen. An dieser Stelle will sie sich ihren Aussagen zufolge auch künftig engagieren. Erstmals schildert Thiel außerdem öffentlich ihre Motivation dazu, gegen die Ernennung ihres Nachfolgers gerichtlich vorzugehen. Sie kritisiert, dass ihr Nachfolger und CDU-Politiker Dennis Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben. Das Verwaltungsgericht Hannover wies Thiels Klage ab, am 15. September schließlich bestätigte auch das Oberverwaltungsgericht Lüneburg, dass Lehmkemper entgegen Thiels Auffassung ernannt werden kann, was Tags darauf auch geschah. Thiel betont im Podcast, dass sich ihre Klage keinesfalls gegen ihren Nachfolger gerichtet habe. Vielmehr vermutet sie beim Ernennungsverfahren in Niedersachsen einen Verstoß gegen Artikel 53 DSGVO, der nicht nur ein transparentes Ernennungsverfahren verlange, sondern auch die erforderliche Sachkunde und Qualifikation des Bewerbers fordere. Schließlich sei allerdings zu ihrem Bedauern in der Sache nicht einmal entschieden worden.

Mit Damian Boeselager, Holger Bleich und Joerg Heidrich Diesmal geht es ausnahmsweise weniger um Datenschutz. Wir weiten den Blick in Richtung EU und die komplizierte Gesetzgebung in Brüssel. Dazu sprechen Holgerund Joerg mit dem EU-Parlamentarier Damian Boeselager, der spannende Innenansichten liefert. Damian hat 2017 die Partei Volt mitgegründet und zog mit 0,7 Prozent der deutschen Stimmen für Volt bei der Europawahl 2019 ins Parlament ein, wo er als Mitglied der Fraktion Die Grünen/EFA fungiert. Für die Fraktion verhandelte er als Schattenberichterstatter maßgeblich die beiden Verordnungen Digital Governance Act und Data Act mit. Letztere ist am 9. November vom EU-Parlament final beschlossen worden und tritt damit nach dem erwartbaren Placet des Europäischen Rats bald in Kraft. Im Gespräch zeigt sich Damian als begeisterter EU-Befürworter. Deshalb habe er Volt mit einer dezidiert europäischen Agenda gegründet. Das Motto laute: "Fix the EU!" Er lebe gerade seinen Traum, "mit Impact" Dinge bewegen zu können und an Dingen zu arbeiten, die ihn wirklich interessieren. Damian erläutert die Grundzüge des EU-Gesetzgebungsverfahren und die Rolle des EU-Parlaments darin. Während das Parlament seine Arbeit der sehr transparent offenlege, mauere der der EU-Rat als Gegenpart, kritsiert er. Dies komme insbesondere im Trilog-Verfahren negativ zum Tragen, in dem die verschiedenen Position zu einem Kompromiss gegossen werden müssen. In der Runde geht es ausführlicher ums Zustandekommen des Data Acts. Damian schildert, welche Positionen er vertreten hat und wie er mit Einflussversuchen von Lobbyorganisationen umgeht. Im konkreten Fall versuchte mit Airbus ein großer europäischer Konzern, wichtige Punkte im Data Act zu kippen.

Mit Hendrik vom Lehn, Holger Bleich und Joerg Heidrich Themenbereich "Datenschutz im Ehrenamt" der Stiftung Datenschutz

Mit Dr. Simon Gerdemann, Holger Bleich und Joerg Heidrich Hinweisgeberschutzgesetz, Stand: 31.05.2023

Mit Felix Neumann, Holger Bleich und Joerg Heidrich "Artikel 91" - Blog von Felix Neumann zu Datenschutz in Kirchen und Religionsgemeinschaften

Mit Carola Sieling, Holger Bleich und Joerg Heidrich LfDI Rheinland-Pfalz: Handout "Best of Datenschutz" (PDF) Pressemitteilung OVG Lüneburg zur Klageabweisung der ehem. LfD Niedersachsens EU-US DPF: Homepage und durchsuchbare Liste Anwendungshinweise der DSK zum DPF (PDF, Stand: 4.9.2023)

Mit Prof. Dr. Fabian Schmieder, Holger Bleich und Joerg Heidrich Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.