Auslegungssache – der c't-Datenschutz-Podcast

Mit Dr. Thilo Weichert, Holger Bleich und Joerg Heidrich Spiegel-Kolumne von Sascha Lobo: "Der Fortschritt und seine Feinde" (7.9.2022) Text auf netzpolitik.org von Thilo Weichert: "Replik auf Sascha Lobo: Datenschutz ist unentbehrlich" (9.9.2022)

Mit Daniel Sandvoß, Holger Bleich und Joerg Heidrich Mittlerweile hat an allen deutschen Schulen das neue Schuljahr begonnen. Aus diesem Anlass widmen sich Holger und Joerg in der neuen Folge dem Datenschutz in der Schule. Kompetent zur Seite steht ihnen dabei Dr. Daniel Sandvoß. Der Jurist lehrt als Hochschuldozent und übernahm 2018 die Leitung des Instituts für Digitalisierung und Datenschutz ID2. Daniel hat zum Thema Datenschutz und Schule promoviert und war an der Entwicklung der niedersächsischen Schulcloud beteiligt. Nach Ansicht von Daniel steht es um den den Datenschutz in Schulen nicht gut. Er vergleicht die Situation mit einem halb eingerissenen Bauklötzchenturm, gar einem "Trümmerhaufen", dem die Baumeister fehlen. Vieles, was die DSGVO fordert, können Schulen derzeit nicht umsetzen. Insbesondere die Dokumentationspflichten würden nicht erfüllt; es mangele an Verarbeitungsverzeichnissen, für die Risikoanalysen nötig wären. Daniel betont, dass in Schulen mit besonders sensiblen Daten nach Art. 9 DSGVO hantiert werde. Im Aufklärungsuntericht etwa geht es auch um sexuelle Orientierung, im Relegionsunterricht um Religionszugehörigkeit, und im Politikunterricht um politische Ausrichtung. Meist handelt es sich um die Verarbeitung von Daten Minderjähriger, was die Lage noch brisanter macht. Dem gegenüber stehen nach Daniels Darstellung überforderte Schulleitungen, die gemäß Datenschutzrecht als Verantortliche Stellen für die Datenverarbeitung fungieren, oft, ohne es zu wissen. Von den Kommunen erhalten Schulen oft wenig konkrete Unterstützung. Zwar drohen keine Bußgelder, weil Schulen öffentliche Stellen sind. Allerdings können Aufsichtsbehörden Verfügungen oder Anordnungen aussprechen, etwa Verbote des Einsatzes bestimmter Software.

Mit Dr. Nils Christian Haag, Holger Bleich und Joerg Heidrich DSK-Orientierungshilfe Videoüberwachung durch nicht-öffentliche Stellen (PDF, Stand: Juli 2020) LfDI Niedersachsen: Vorlagen für Hinweisschilder zur Videoüberwachung c't-Artikel "Vorsicht, Kamera!" von Holger und Joerg (€)

Mit David Pfau, Holger Bleich und Joerg Heidrich Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat Ende Juli ein praxisrelevantes Verfahren rund um die Auswertung, Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000 Euro Bußgeld soll die Hannoversche Volksbank bezahlen, weil sie ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben und dazu einen Dienstleister herangezogen haben soll. Die Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen angereichert. Ziel sei gewesen, für bestimmte Werbeformen empfängliche Kunden herauszufiltern. Dieses Verfahren ist für den c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und Joerg haben für die Episode 68 deshalb David Pfau eingeladen. David ist "Head of Data & Privacy" bei der conreri digital development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener Datenschutzexperte und berät Unternehmen der Medien- und Digitalbranche. Zunächst besprechen die drei, wie und wo Profilbildung in der DSGVO definiert ist und welche Rechtsgründe es dafür geben kann. Unweigerlich landet man da beim recht unbestimmten "berechtigten Interesse" des Verantwortlichen, also dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmäßig herangezogen wird, um der individuellen Einwilligung jedes Kunden zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt nicht jede Verarbeitung von Kundendaten, wie David betont. Einem freizügigen Umgang mit Kundendaten steht auch die Zweckbindung entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt Unternehmen, sich schon bei der Erhebung von Informationen genau mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst weit zu fassen. Insbesondere, wenn Kundendaten später angereichert oder zum Profiling genutzt werden sollen, wird schnell die Grenze des rechtlich Zulässigen erreicht, die David ausführlich erläutert.

Mit Thomas Fuchs, Holger Bleich und Joerg Heidrich Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (BfDI) steht stets im Fokus der Öffentlichkeit. Seiner Aufsicht unterliegen nicht nur die deutschen Niederlassungen von Meta (ehemals Facebook) und Google, sondern auch etliche große deutsche Medienhäuser, etwa der Springer-Konzern. Mit Spannung war daher im vergangenen Jahr erwartet worden, wer dem scheidenden, langjährigen BfDI Johannes Caspar folgen wird. Im November 2021 übernahm der Jurist Thomas Fuchs nach seiner Wahl durch die Hamburger Bürgerschaft das Amt. Fuchs war zuvor 13 Jahre lang Direktor der Medienanstalt Hamburg/Schleswig-Holstein. Er ist also im Bereich der behördlichen Aufsicht kein Unbekannter. In der aktuellen Episode 67 des c't-Datenschutz-Podcasts erzählt er von seinen ersten Monaten als oberster Hamburger Datenschützer. Fuchs betont, dass er einen kooperativen Ansatz seiner Behörde in den Vordergrund stellt. Datenschutz sei in den vergangenen vier Jahren vorwiegend als das "scharfe Schwert", die Drohung mit dem Bußgeld, wahrgenommen worden. Es gebe aber ein großes Bedürfnis nach demokratischer Datennutzung, etwa für Forschung und Mobilität: "Das möchte ich von Anfang an begleiten", betont Fuchs. Als Beispiel für verfehlte Regulierung nennt er die Pläne zu einem Impfregister: "Wir haben in der Coronapandemie brutalen Datenmangel. Viele haben gesagt, ein Impfregister geht datenschutzrechtlich nicht. Ich würde sagen: Das ginge sehr wohl datenschutzkonform, wenn klar geregelt würde, wer darauf zugreifen darf." Das Werk seines Vorgängers will Fuchs fortführen: "Wir beschäftigen uns weiterhin intensiv mit Meta und Google, und wir haben auch noch Einfluss auf die Entscheidungen, die allerdings in Irland getroffen werden." Fuchs ist guter Dinge, dass die irische Datenschutzbehörde als in der EU zuständige Aufsicht über die großen Tech-Konzerne gerade die Zügel anzieht. "Eine Entscheidung zur Datenübermittlung von Facebook in die USA steht beispielsweise unmittelbar bevor." Bauchschmerzen bereitet Hamburgs neuem BfDI die Ausformulierung der EU-Datenstrategie. Gesetze wie der Data Act oder der Data Governance Act seien zwar für sich genommen "spannend und relevant". Aber es sei "schlicht eine Katastrophe", dass sie keine Ausnahmen zur DSGVO enthalten, sondern komplett mit ihr in Einklang zu bringen sind: "Künftig dürften noch mehr Projekte gar nicht erst in Angriff genommen werden, aus Angst davor, irgendwie gegen Datenschutzrecht zu verstoßen." Die DSGVO müsse sich in einen Binnenmarkt einbetten, der auch Wirtschaftsinteressen berücksichtigt, sonst sei sie nicht zukunftsfähig.

Mit Rebekka Weiß, Holger Bleich und Joerg Heidrich Immer mehr Datenschutzexperten beklagen, dass der Datenschutz allzu einseitig als Verbraucherschutz interpretiert wird. Andere Interessen wie die der Forschung, der Bildung oder auch der Wirtschaft blieben dabei häufig auf der Strecke. Für Holger und Joerg ist das ein Anlass, im Podcast einmal die Perspektive der datengetriebenen Industrie zu beleuchten. Dazu haben sie Rebekka Weiß in die aktuelle Episode 66 eingeladen. Rebekka ist die "Leiterin Vertrauen & Sicherheit" beim IT-Branchenverband Bitkom. Die Volljuristin betreut beim Verband unter anderem die inhaltliche Arbeit in den Bereichen Datenschutz, Wettbewerbs- sowie Kartellrecht, Trust Services und Digitale Identitäten. Sie vertritt den Bitkom und die Wirtschaft in verschiedenen Expertengremien und stimmt deshalb durchaus zu, wenn sie im Podcast von Bleich als Lobbyistin bezeichnet wird. Sie erläutert, an welchen Stellen sie im politischen Berlin mitspricht. Rebekka berichtet davon, mit welchen Problemen die Unternehmen nach wie vor bei der Umsetzung des Datenschutz im Alltag zu kämpfen haben. Auf der einen Seite seien vier Jahre nach Wirksamwerden der DSGVO Prozesse angepasst worden und Datenschutz werde nun bereits bei der Entwicklung von Prozessen und Innovationen mitgedacht. Trotzdem gäbe es immer noch viele Rechtsunsicherheiten, beispielsweise bei der Umsetzung von Auskunftsansprüchen, die in letzter Zeit mehr und mehr wahrgenommen werden. Und auch die unklaren rechtlichen Verhältnisse beim Datentransfer in die USA stelle viele Unternehmen vor große Probleme. Die Juristin wünscht sich mehr Balance und Ausgleich bei der Auslegung der DSGVO und mehr Einigkeit der Behörden.

Mit Sylvester Tremmel, Holger Bleich und Joerg Heidrich Bitkom-Faktenpapier zur Anwendung der DSGVO bei Blockchains (PDF)

Mit Dr. Daniel Sandvoß Leitfäden des ID2 für Digitalisierung und Datenschutz in der kommunalen Verwaltung

Mit Tim Wybitul, Holger Bleich und Joerg Heidrich Neues Modell zur Berechnung von Bußgeldern des EDSA (PDF, englisch)

Mit Dr. Patrick Breyer, Holger Bleich und Joerg Heidrich Pressemitteilung der EU-Kommission (mit Link zum Entwurfstext): "Kampf gegen Kindesmissbrauch: Kommission präsentiert Gesetzesvorschlag zum Schutz von Kindern" heise online zum Entwurf: Chatkontrolle - EU-Kommission bringt Verordnung für Kinderporno-Scans auf den Weg heise online zu den Reaktionen auf den Entwurf: Chatkontrolle und Websperren- EU-Kommission legt "die Axt an die Grundrechte" Patrick Beyers Infos zur "Chatkontrolle"