Auslegungssache – der c't-Datenschutz-Podcast

Mit Dr. Thomas Schwenke, Holger Bleich und Joerg Heidrich Rechtsbelehrung-Podcast von Marcus Richter und Thomas Schwenke

Mit Karsten Bartels, Holger Bleich und Joerg Heidrich Informationen von TeleTrusT zum "Stand der Technik" inklusive der jeweils aktuellen Handreichung dazu

Mit Jo Bager, Andrea Trinkwalder, Holger Bleich und Joerg Heidrich c't-Artikel aus Ausgabe 25/22: KI-Bildgeneratoren: Was sie können und wie man sie einsetzt Pressemitteilung zum 800.000-Euro-Bußgeld der CNIL gegen Discord (englisch)

Mit Nina Diercks, Holger Bleich und Joerg Heidrich Diercks Digital Recht - Blog von Nina Diercks

Mit padeluun, Holger Bleich und Joerg Heidrich In der neuen Episode der Auslegungssache gibt sich ein junggebliebenes Datenschutz-Urgestein die Ehre: padeluun ist zu Gast im c't-Datenschutz-Podcast. Seit 40 Jahren engagiert sich der Künstler und Netzaktivist aus Bielefeld mit Aktionen und im Verein Digitalcourage für Bürgerrechte und den Erhalt der Privatsphäre in der vernetzten Welt. Zunächst beleuchtet Joerg im "Bußgeld der Woche" die jüngste 20-Millionen-Strafe gegen das US-Unternehmen Clearview AI. In der Diskussion mit Holger und padeluun herrscht schnell Konsens darüber, dass die biometrische Erfassung von Personen ohne deren Einwilligung, wie Clearview AI sie betreibt, ein besonders schwerer Verstoß gegen Datenschutzrecht ist. padeluun erläutert, warum und in welchen Formen er sich seit langer Zeit gegen biometrische Datenverarbeitung wendet. Im Gespräch plaudert der Aktivist dann darüber, was ihn außerdem umtreibt und seine Motivation erhält. padeluun beklagt die Entwicklung hin zu zentralen Kommunikationsstrukturen. Es sei schlecht für den Datenschutz und eine Gefahr für die Demokratie, wenn gewinnorientierte Plattformen wie Meta in der Hand weniger seien. Die Übernahme von Twitter durch Elon Musk habe das nur auf die Spitze getrieben. Das Fediverse mit all seinen Anwendungen zeige, dass dezentrale, verteilte Instanzen genauso gut funktionieren können - ohne die Nachteile, die große Betreiber mit sich bringen. Sein Verein Digitalcourage liefert mit den öffentlich zugänglichen Diensten Beispiele dafür. So betreibt er eine Mastodon- und Peertube-Instanz. Bekannt wurde Digitalcourage aber eher wegen einiger spektakulärer Aktionen sowie die alljährliche Verleihung der Big-Brother-Awards. Jüngst machte der Verein Schlagzeilen, weil er Klage gegen die Deutsche Bahn einreichte. Der Vorwurf: Die App DB Navigator setze ohne Wissen und Einwilligung der Nutzenden Werbetracker ein. === Anzeige / Sponsorenhinweis === Der Bundesverband der Arzneimittel-Hersteller e.V. (BAH) ist der mitgliederstärkste Branchenverband der Arzneimittelindustrie in Deutschland und vertritt global agierende Arzneimittel-Hersteller ebenso aktiv wie den breit repräsentierte Mittelstand. Thematische Insights bekommen Sie im neuen Podcast "Gesunde Perspektiven". Jetzt abonnieren! https://www.bah-bonn.de/infothek/podcast-gesunde-perspektiven/ === Anzeige / Sponsorenhinweis Ende ===

Mit Dr. Diana Ettig, Holger Bleich und Joerg Heidrich Die europäische Datenschutz-Grundverordnung (DSGVO) gewährt Personen, deren Daten erhoben und verarbeitet werden, viele eigene Rechte. Diese sogenannten "Betroffenenrechte" finden sich in den Artikeln 12 bis 20 der DSGVO. Beispielsweise gibt die DSGVO vor, welche Informationen Verantwortliche den Betroffenen in welcher Form geben müssen (Art. 12). Art. 15 regelt den Auskunftsanspruch, außerdem geht es noch um das Recht auf Löschung der Daten sowie um Übertragbarkeit von einem Dienst zum anderen. Gänzlich neu im Vergleich zu älteren Gesetzen wie dem Bundesdatenschutzgesetz (BDSG-alt), billigt Art. 82 DSGVO Betroffenen einen immateriellen Schadenersatzanspruch zu. Genau diese Regelung führt derzeit zu Massenabmahnungen aus Bagatellverstößen heraus. Im c't-Datenschutz-Podcast sprechen Joerg und Holger über die gesetzlichen Grundlagen und die aktuellen Entwicklungen dazu in der Praxis. Ihnen kompetent zur Seite steht in der aktuellen Episode 72 Diana Ettig. Die promovierte Rechtsanwältin vertritt für die Kanzlei Spirit Legal freischaffend ("off counsel") unter anderem Mandanten in Datenschutz-Sachen vor Gericht. Diana berichtet im Podcast von ihren Erfahrungen in Prozessen und erläutert die aktuelle Rechtssprechung anhand konkreter Urteile. Ihrer Beobachtung nach hat sich in einigen Bereichen bereits eine gefestigte Rechtssprechung ("Case Law") herausgebildet. Vieles sei aber noch im Fluss, beispielsweise bei der Bewertung von Schadenersatzansprüchen aus DSGVO-Verstößen heraus.

Mit Dr. Thilo Weichert, Holger Bleich und Joerg Heidrich Spiegel-Kolumne von Sascha Lobo: "Der Fortschritt und seine Feinde" (7.9.2022) Text auf netzpolitik.org von Thilo Weichert: "Replik auf Sascha Lobo: Datenschutz ist unentbehrlich" (9.9.2022)

Mit Daniel Sandvoß, Holger Bleich und Joerg Heidrich Mittlerweile hat an allen deutschen Schulen das neue Schuljahr begonnen. Aus diesem Anlass widmen sich Holger und Joerg in der neuen Folge dem Datenschutz in der Schule. Kompetent zur Seite steht ihnen dabei Dr. Daniel Sandvoß. Der Jurist lehrt als Hochschuldozent und übernahm 2018 die Leitung des Instituts für Digitalisierung und Datenschutz ID2. Daniel hat zum Thema Datenschutz und Schule promoviert und war an der Entwicklung der niedersächsischen Schulcloud beteiligt. Nach Ansicht von Daniel steht es um den den Datenschutz in Schulen nicht gut. Er vergleicht die Situation mit einem halb eingerissenen Bauklötzchenturm, gar einem "Trümmerhaufen", dem die Baumeister fehlen. Vieles, was die DSGVO fordert, können Schulen derzeit nicht umsetzen. Insbesondere die Dokumentationspflichten würden nicht erfüllt; es mangele an Verarbeitungsverzeichnissen, für die Risikoanalysen nötig wären. Daniel betont, dass in Schulen mit besonders sensiblen Daten nach Art. 9 DSGVO hantiert werde. Im Aufklärungsuntericht etwa geht es auch um sexuelle Orientierung, im Relegionsunterricht um Religionszugehörigkeit, und im Politikunterricht um politische Ausrichtung. Meist handelt es sich um die Verarbeitung von Daten Minderjähriger, was die Lage noch brisanter macht. Dem gegenüber stehen nach Daniels Darstellung überforderte Schulleitungen, die gemäß Datenschutzrecht als Verantortliche Stellen für die Datenverarbeitung fungieren, oft, ohne es zu wissen. Von den Kommunen erhalten Schulen oft wenig konkrete Unterstützung. Zwar drohen keine Bußgelder, weil Schulen öffentliche Stellen sind. Allerdings können Aufsichtsbehörden Verfügungen oder Anordnungen aussprechen, etwa Verbote des Einsatzes bestimmter Software.

Mit Dr. Nils Christian Haag, Holger Bleich und Joerg Heidrich DSK-Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen (PDF, Stand: Juli 2020) LfDI Niedersachsen: Vorlagen für Hinweisschilder zur Videoüberwachung c't-Artikel "Vorsicht, Kamera!" von Holger und Joerg (€)

Mit David Pfau, Holger Bleich und Joerg Heidrich Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat Ende Juli ein praxisrelevantes Verfahren rund um die Auswertung, Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000 Euro Bußgeld soll die Hannoversche Volksbank bezahlen, weil sie ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben und dazu einen Dienstleister herangezogen haben soll. Die Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen angereichert. Ziel sei gewesen, für bestimmte Werbeformen empfängliche Kunden herauszufiltern. Dieses Verfahren ist für den c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und Joerg haben für die Episode 68 deshalb David Pfau eingeladen. David ist "Head of Data & Privacy" bei der conreri digital development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener Datenschutzexperte und berät Unternehmen der Medien- und Digitalbranche. Zunächst besprechen die drei, wie und wo Profilbildung in der DSGVO definiert ist und welche Rechtsgründe es dafür geben kann. Unweigerlich landet man da beim recht unbestimmten "berechtigten Interesse" des Verantwortlichen, also dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmäßig herangezogen wird, um der individuellen Einwilligung jedes Kunden zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt nicht jede Verarbeitung von Kundendaten, wie David betont. Einem freizügigen Umgang mit Kundendaten steht auch die Zweckbindung entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt Unternehmen, sich schon bei der Erhebung von Informationen genau mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst weit zu fassen. Insbesondere, wenn Kundendaten später angereichert oder zum Profiling genutzt werden sollen, wird schnell die Grenze des rechtlich Zulässigen erreicht, die David ausführlich erläutert.