Auslegungssache – der c't-Datenschutz-Podcast

Mit Thomas Fuchs, Holger Bleich und Joerg Heidrich Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (BfDI) steht stets im Fokus der Öffentlichkeit. Seiner Aufsicht unterliegen nicht nur die deutschen Niederlassungen von Meta (ehemals Facebook) und Google, sondern auch etliche große deutsche Medienhäuser, etwa der Springer-Konzern. Mit Spannung war daher im vergangenen Jahr erwartet worden, wer dem scheidenden, langjährigen BfDI Johannes Caspar folgen wird. Im November 2021 übernahm der Jurist Thomas Fuchs nach seiner Wahl durch die Hamburger Bürgerschaft das Amt. Fuchs war zuvor 13 Jahre lang Direktor der Medienanstalt Hamburg/Schleswig-Holstein. Er ist also im Bereich der behördlichen Aufsicht kein Unbekannter. In der aktuellen Episode 67 des c't-Datenschutz-Podcasts erzählt er von seinen ersten Monaten als oberster Hamburger Datenschützer. Fuchs betont, dass er einen kooperativen Ansatz seiner Behörde in den Vordergrund stellt. Datenschutz sei in den vergangenen vier Jahren vorwiegend als das "scharfe Schwert", die Drohung mit dem Bußgeld, wahrgenommen worden. Es gebe aber ein großes Bedürfnis nach demokratischer Datennutzung, etwa für Forschung und Mobilität: "Das möchte ich von Anfang an begleiten", betont Fuchs. Als Beispiel für verfehlte Regulierung nennt er die Pläne zu einem Impfregister: "Wir haben in der Coronapandemie brutalen Datenmangel. Viele haben gesagt, ein Impfregister geht datenschutzrechtlich nicht. Ich würde sagen: Das ginge sehr wohl datenschutzkonform, wenn klar geregelt würde, wer darauf zugreifen darf." Das Werk seines Vorgängers will Fuchs fortführen: "Wir beschäftigen uns weiterhin intensiv mit Meta und Google, und wir haben auch noch Einfluss auf die Entscheidungen, die allerdings in Irland getroffen werden." Fuchs ist guter Dinge, dass die irische Datenschutzbehörde als in der EU zuständige Aufsicht über die großen Tech-Konzerne gerade die Zügel anzieht. "Eine Entscheidung zur Datenübermittlung von Facebook in die USA steht beispielsweise unmittelbar bevor." Bauchschmerzen bereitet Hamburgs neuem BfDI die Ausformulierung der EU-Datenstrategie. Gesetze wie der Data Act oder der Data Governance Act seien zwar für sich genommen "spannend und relevant". Aber es sei "schlicht eine Katastrophe", dass sie keine Ausnahmen zur DSGVO enthalten, sondern komplett mit ihr in Einklang zu bringen sind: "Künftig dürften noch mehr Projekte gar nicht erst in Angriff genommen werden, aus Angst davor, irgendwie gegen Datenschutzrecht zu verstoßen." Die DSGVO müsse sich in einen Binnenmarkt einbetten, der auch Wirtschaftsinteressen berücksichtigt, sonst sei sie nicht zukunftsfähig.

Mit Rebekka Weiß, Holger Bleich und Joerg Heidrich Immer mehr Datenschutzexperten beklagen, dass der Datenschutz allzu einseitig als Verbraucherschutz interpretiert wird. Andere Interessen wie die der Forschung, der Bildung oder auch der Wirtschaft blieben dabei häufig auf der Strecke. Für Holger und Joerg ist das ein Anlass, im Podcast einmal die Perspektive der datengetriebenen Industrie zu beleuchten. Dazu haben sie Rebekka Weiß in die aktuelle Episode 66 eingeladen. Rebekka ist die "Leiterin Vertrauen & Sicherheit" beim IT-Branchenverband Bitkom. Die Volljuristin betreut beim Verband unter anderem die inhaltliche Arbeit in den Bereichen Datenschutz, Wettbewerbs- sowie Kartellrecht, Trust Services und Digitale Identitäten. Sie vertritt den Bitkom und die Wirtschaft in verschiedenen Expertengremien und stimmt deshalb durchaus zu, wenn sie im Podcast von Bleich als Lobbyistin bezeichnet wird. Sie erläutert, an welchen Stellen sie im politischen Berlin mitspricht. Rebekka berichtet davon, mit welchen Problemen die Unternehmen nach wie vor bei der Umsetzung des Datenschutz im Alltag zu kämpfen haben. Auf der einen Seite seien vier Jahre nach Wirksamwerden der DSGVO Prozesse angepasst worden und Datenschutz werde nun bereits bei der Entwicklung von Prozessen und Innovationen mitgedacht. Trotzdem gäbe es immer noch viele Rechtsunsicherheiten, beispielsweise bei der Umsetzung von Auskunftsansprüchen, die in letzter Zeit mehr und mehr wahrgenommen werden. Und auch die unklaren rechtlichen Verhältnisse beim Datentransfer in die USA stelle viele Unternehmen vor große Probleme. Die Juristin wünscht sich mehr Balance und Ausgleich bei der Auslegung der DSGVO und mehr Einigkeit der Behörden.

Mit Sylvester Tremmel, Holger Bleich und Joerg Heidrich Bitkom-Faktenpapier zur Anwendung der DSGVO bei Blockchains (PDF)

Mit Dr. Daniel Sandvoß Leitfäden des ID2 für Digitalisierung und Datenschutz in der kommunalen Verwaltung

Mit Tim Wybitul, Holger Bleich und Joerg Heidrich Neues Modell zur Berechnung von Bußgeldern des EDSA (PDF, englisch)

Mit Dr. Patrick Breyer, Holger Bleich und Joerg Heidrich Pressemitteilung der EU-Kommission (mit Link zum Entwurfstext): "Kampf gegen Kindesmissbrauch: Kommission präsentiert Gesetzesvorschlag zum Schutz von Kindern" heise online zum Entwurf: Chatkontrolle - EU-Kommission bringt Verordnung für Kinderporno-Scans auf den Weg heise online zu den Reaktionen auf den Entwurf: Chatkontrolle und Websperren- EU-Kommission legt "die Axt an die Grundrechte" Patrick Beyers Infos zur "Chatkontrolle"

Mit Kathrin Schürmann, Holger Bleich und Joerg Heidrich Dr. Datenschutz mit Hinweisen zu Positivlisten für eine DSFA Abgestimmte DSFA-Positivliste der DSK DSFA-Leitfaden des BayLfD

Mit Prof. Dennis-Kenji Kipker, Holger Bleich und Joerg Heidrich Dennis Kenji Kipker, Juristisches Neuland, Der Fall EncroChat: Rechtliche Probleme bei digitalen Ermittlungen, c't 9/2022, S. 174 (Paywall)

Mit Prof. Alexander Golland, Holger Bleich und Joerg Heidrich Einen "großen Durchbruch" für den internationalen Datenverkehr hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen Ende März versprochen. In einer gemeinsamen Pressekonferenz vermeldeten sie eine "grundsätzliche Einigung" für ein neues Datenschutzabkommen, nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für rechtswidrig und damit unwirksam erklärt worden war. Mit ihrer Erklärung weckten die beiden Spitzenpolitiker große Hoffnungen bei Unternehmen dies- und jenseits des Atlantiks. Zu recht? Dieser Frage gehen Holger und Joerg in Episode 59 nach. Als Gast in dieser Folge schätzt Prof. Alexander Golland die Lage kompetent ein. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Er hält eine Professur für Wirtschaftsrecht an der Fachhochschule Aachen. Zunächst klären die drei, welche Voraussetzungen für einen sicheren Datentransfer in Staaten außerhalb der EU gegen sein müssen: Nach Art. 45 DSGVO muss die EU-Kommission einen sogenannten Angemessenheitsbeschluss verabschieden, in dem dem Zielland ein dem der EU ähnliches Datenschutzniveau attestiert wird. Dies sst beispielsweise für die Schweiz, Kanada, Neuseeland oder Japan der Fall. Warum die Kommission nach dem Brexit sehr eilig einen befristeten Angemessenheitsbeschluss mit dem Vereinigten Königreich (UK) herbeigeführt hat, erklärt Alexander ausführlich. Außerdem schildert er detailliert, wie steinig und zeitraubend der formale Weg zu einem neuen Angemessenheitsbeschluss zur Datensicherheit in den USA sein wird. Deshalb dämpft er die Erwartungen für eine baldige neue Rechtsgrundlage: "Vor 2023 wird das eher nicht klappen", lautet seine Prognose, die sich mit der vieler anderen Experten deckt. Viele Unternehmen bringt das nun in eine schwierige Situation: Bis Ende 2022 müssen sie ihren Datentransfer mit den Juni 2021 aktualisierten Standard-Vertragsklauseln (SCC) rechtlich absichern. Dann sind sie auch verpflichtet, eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) vorzuhalten - was erhebliche zusätzliche Kosten verursacht. Die SCC-Vertragsparteien müssen darin darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen. Was also tun? Sollten die Unternehmen darauf vertrauen, dass die EU-Kommission bis dahin einen Beschluss zustande bekommt - oder sollten sie doch vorbeugend in den sauren, teuren Apfel beißen? Alexander gibt im Podcast Hinweise.

Mit Alexandra Ebert, Holger Bleich und Joerg Heidrich Data Democratization Podcast von Alexandra Ebert