Auslegungssache – der c't-Datenschutz-Podcast

Mit Sascha Kremer, Holger Bleich und Joerg Heidrich Für Episode 48 des c't-Datenschutz-Podcasts hatten sich Joerg und Holger auf die Anregung eines Hörers vorgenommen, ausgiebig zu klären, wann Datenverarbeitungen nach DSGVO erlaubt sind. Herausgekommen ist eine Auslegungssache mit deutlicher Überlänge. Die Zeit ist gut investiert, denn als Podcast-Gast erläutert der auf Datenschutz spezialisierte Rechtsanwalt Sascha Kremer die Sachlage auch für Laien verständlich und anhand vieler konkreter Beispiele. Als Mantra der DSGVO gilt: Jede Verarbeitung von personenbezogenen Daten ist verboten, außer es existiert eine Erlaubnis ("Verbot mit Erlaubnisvorbehalt"). Was erlaubt ist, regelt Art. 6 DSGVO, der die sechs möglichen Rechtsgrundlagen definiert. Am Beginn der Liste steht die infomierte Einwilligung der betroffenen Person. Jeder kennt sie, beispielsweise durch die Websites vergeschalteten Cookie-Banner. Unternehmen mögen sie sie nicht sonderlich, weil sie jederzeit widerrufbar ist. Lieber ist ihnen, sich auf die erlaubte Datenverarbeitung im Umfeld eines Vertragsschlusses zu berufen. Diese greift bereits bei der Anbahnung, beispielsweise wenn ein potenzieller Kunde Produkte in den Warenkorb eines Onlineshops legt. In der Podcast-Episode legen Joerg und Sascha Kremer ein besonderes Augenmerk auf Art. 6 Abs. 1f, aus die erlaubte "Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten". Joerg bezeichnet diese Rechtsgrundlage als "Auffangvorschrift". Kremer weist darauf hin, dass diese Rechtsgrundlage oft falsch verstanden wird: Es gehe nicht nur ums berechtigte Interesse des Verarbeitenden, sondern um eine Abwägung von Interessen des Verarbeitenden, der betroffenen Person und vielleicht auch noch Dritter. Deshalb lasse sich daraus keinesfalls ein Freibrief konstruieren. Anhand von Beispielen werfen die drei Diskutanten Interessen auf beide Seiten der Waage und schauen, wann tatsächlich "berechtigtes Interesse" vorliegt.

Mit Prof. Johannes Caspar, Holger Bleich und Joerg Heidrich 12 engagierte Jahre im Amt als Datenschutzbeauftragter des Landes Hamburg liegen hinter Johannes Caspar. Unter seiner Aufsicht standen beispielsweise Google und Facebook, weil sie ihre deutschen Zelte in der Hansestadt aufgeschlagen haben. Und Caspar hat mit den beiden US-Konzernen einige Konflikte ausgetragen, die international Beachtung fanden, beispielsweise zu Googles Streetview oder dem Datenaustausch zwischen Facebook und WhatsApp. Im c't-Datenschutz-Podcast blickt Caspar zurück auf zwei Amtszeiten, nicht immer ganz ohne Zorn. Die Einführung der DSGVO beschreibt Caspar als große Zäsur: "Vorher war der Datenschutz ein 'Recht des Volkes', flankiert von den 'kleinen Helden', den Landesdatenschutzbeauftragten." Die DSGVO habe zu einer Machtfülle der Datenschutzaufsicht geführt, die sie auch angreifbarer mache. Für lokale Unternehmen fungiere man als Ansprechpartner und Berater. Das falle allerdings zunehmend schwer, "weil die Behörden so schlecht ausgestattet sind, dass sie nicht einmal die Beschwerden von Personen abarbeiten können". Wegen mangelhafter Ausstattung habe seine Behörde "einen Berg von Beschwerden vor uns hergeschoben, den wir nicht abtragen konnten". Das liege an verfehlter Politik. Caspar betont die gute Zusammenarbeit mit den anderen Länderbehörden in der Datenschutzkonferenz (DSK). Die DSK habe sich über viele Jahre hinweg bewährt: "Dieses Gremium wird ziemlich unterschätzt. Sie ist die Speerspitze des Datenschutzes in Europa." Eine Zentralisierung der deutschen Datenschutzaufsicht sei unnötig: "Ich bin ein Freund der Diversität". Allerdings führe diese im Vollzug auch auch zu Diskussionen, Schleifen und zur Überbürokratisierung. Eine Reform sei angebracht. Deutliche Kritik übt Caspar an der irischen Datenschutzbehörde, die die meisten US-Konzerne in Europa beaufsichtigt und sanktioniert. Irland sei gleichzeitig ein Steuerparadies und eine Datenschutzwüste. In den US-amerikanischen Konzernzentralen habe sich das längst herumgesprochen: "Man will nur nach Irland." Und wenn dann Unternehmen in Hamburg kontrolliert würden, aber in Irland passiere nichts, verlören Bürger und Unternehmen den Glauben an fairen Datenschutz. Weil nie etwas passiert sei, habe er beispielsweise selbst eine Anordnung im Eilverfahren für drei Monate gegen WhatsApp erlassen. Er sei sehr enttäuscht gewesen, dass der EU-Datenschutzausschuss dieses Verfahren im Juli gestoppt hat. Ein Hoffungsschimmer sei das gerade in Irlang verhängte Bußgeld von 225 Millionen Euro gegen WhatsApp. Laut Caspar hat sich eben über die Jahre einiges angesammelt und führt nun zu einer vergleichsweise hohen Strafe. Caspar wörtlich: "Ich war mal Straßenfußballer. Da galt: 'drei Ecken, ein Elfer'."

Mit Katrin Kirchert, Holger Bleich und Joerg Heidrich Fleischhauer-Kolumne (Focus online): "Wer schuld ist, wenn die Kinder verblöden? Ich habe einen Hauptverdächtigen für Sie" Dr. Datenschutz: "WhatsApp: Wie aus einem 50 Mio. € Bußgeld 225 Mio. € wurden" PDF: EDSA-Beschluss zum DPC-WhatsApp-Verfahren

Mit Tim Pritlove, Jürgen Schmidt, Joerg Heidrich und Holger Bleich NCMEC: Statistiken zu den Meldezahlen großer Plattformen Podcast Logbuch:Netzpolitik von Tim Pritlove und Linus Neumann Kommentar von Jürgen Schmidt: Apples CSAM-Scans – Ein Tabubruch, der in die Totalüberwachung führt (heise online) iPhone soll Fotos überwachen: 90 Organisationen rufen Apple zu Kehrtwende auf (heise online) Apple-Manager: iCloud "beste Plattform" für Pädokriminalität (heise online)

Mit Johannes Börnsen, Holger Bleich und Joerg Heidrich Der Tätigkeitsbericht der LfDI Niedersachsen 2020 (Bußgeld der Woche auf S. 97)

Mit Dr. Christoph Wegener, Holger Bleich und Joerg Heidrich c't-Artikel (kostenpflichtig online): Dr. Christoph Wegener und Joerg Heidrich, Verdachtsmomente finden, Beweise sichern – und zwar datenschutzgerecht, c't 15/2021, S. 166

Mit Nils Haag, Holger Bleich und Joerg Heidrich Wer ein Unternehmen an den Start bringt, hat in der Regel anderes zu tun, als sich mit Datenschutz-Belangen zu beschäftigen. Das kann unangenehme Folgen haben, denn die Regeln der DSGVO gelten für kleine Start-ups fast exakt genauso wie für große Konzerne. In Episode 42 des Auslegungssache-Podcasts geben Joerg und Holger Tipps an die Hand, worauf das Augenmerk gerichtet werden sollte, um Ärger zu vermeiden. Zur Verstärkung haben sie Dr. Nils Christian Haag in die Sendung geladen. Der Rechtsanwalt schöpft aus seiner langjährigen Erfahrung als Datenschutzbeauftragter verschiedener Unternehmen und seiner Tätigkeit als Vorstand von Intersoft Consulting, eines auf Datenschutz-Beratung spezialisierten Unternehmens. Haag erläutert Punkt für Punkt, welche Vorschriften der DSGVO kleine Firmen und auch Vereine besonders im Fokus haben sollten. Unter anderem geht es um den Web-Auftritt, die Kundenpflege, korrektes Marketing, ein vernünftiges Verzeichnis der Verarbeitungstätigkeiten und natürlich die Auftragsverarbeitung. Auch wenn im Unternehmen unter 20 Mitarbeiter mit der Verarbeitung zu tun haben und deshalb kein Datenschutzbeauftragter vorhanden sein muss, ändere das nichts an den Pflichten, betont Haag: "Da kommt es manchmal zu folgenschweren Missverständnissen."

Mit Iris Phan, Holger Bleich und Joerg Heidrich Mit Iris Phan haben Joerg und Holger eine Expertin an der Schnittstelle zwischen Technik, Recht und Philosophie in den Podcast eingeladen. Phan arbeitet als Juristin der Stabsstelle IT-Recht der Leibniz Universität Hannover und promoviert parallel zum Thema: "Künstliche Intelligenz: Rechtliche und ethische Implikationen am Beispiel des Sexroboters". In der Episode stellt sie zunächst dar, wie Roboter in der Medizin und Pflege, aber auch zur Erfüllung sexueller Bedürfnisse eingesetzt werden. Sowohl die Funktionen zum maschinellen Lernen und KI-Einsatz kommen zur Sprache, als auch die vielfältigen Sensoren, die in den Geräten verbaut sind und hoch sensible Daten erfassen. In der Regulierung ist diese Problematik noch nicht recht angekommen, meint Phan. Zumindest äußern sich Aufsichtsbehörden dazu noch nicht. Tatsächlich aber potenzieren sich in den Robotern Szenarien, die jeweils für sich schon für Skandale gesorgt haben, etwa die Aufzeichnung von Stimmen zur maschinellen Spracherkennung, nun kombiniert mit der Erfassung von Kamerabildern oder Körperaktivität. Phan plädiert für eine Debatte, die datenschutzrechtliche und ethische Aspekte einschließt. === Anzeige / Sponsorenhinweis === Sophos stoppt Cyberangriffe – mit einem kompletten Portfolio modernster Cybersecurity-Lösungen. Jetzt informieren unter www.sophos.de === Anzeige / Sponsorenhinweis Ende ===

Mit Ralf Bendrath, Holger Bleich und Joerg Heidrich "Democracy - im Rausch der Daten" - Die Langfassung des Dokumentarfilms zur Entsteheung der DSGVO von David Bernet ermöglicht spannende Innenansichten zum EU-Gesetzgebungsprozess und zeigt die Arbeit von Ralf Bendrath

Mit Peter Leppelt, Holger Bleich und Joerg Heidrich Wenn Juristen Begriffe aus dem Datenschutzbereich verwenden, meinen sie damit oft etwas völlig anderes als Techniker, die dieselben Worte nutzen. Was soll der "Stand der Technik" sein? Was genau meint "Privacy by Design"? Joerg und Holger gehen in den Realitycheck und sprechen über Kommunikationsprobleme zwischen Datenschutzjuristen und ITlern. Dazu haben sie sich mit Peter Leppelt einen streitbaren, fachkundigen Praktiker eingeladen. Leppelt ist gelernter Informationstechniker und berät Organisationen im Bereich der IT-Security sowie in Datenschutz-Belangen. Bereits am Beispiel von Privacy by Design erkennt er grundsätzlich unterschiedliche Herangehensweisen: Während Techniker diesem Konzept zufolge oft bestrebt sind, möglichst wenige Daten überhaupt erst entstehen zu lassen, beschäftigen sich Juristen (und Gesetze) eher damit, den Zugriff darauf organisatorisch zu beschränken. Leppelt kritisiert diesen "Compliance-Ansatz" und nennt als Beispiel den Einsatz von Microsoft Office 365, der technisch derzeit eigentlich nicht datenschutzkonform geschehen könne, aber juristisch hilfsweise über geschriebene Regeln legalisiert werde. Dieses Konzept durchziehe die IT-Welt. Es sei etwa eine Illusion der Juristen zu glauben, Daten ließen sich in den Clouds großer Anbieter lokalisieren oder gar löschen, auch wenn es dafür rechtliche Garantien gebe. Leppelts These zur derzeitigen Umsetzung der DSGVO: "Wir verballern viel zuviel Zeit mit unnützem Kram wie Cookie-Bannern, Datenschutzerklärungen oder CC-Listen in Mails, anstatt an die technisch wichtigen Dinge zu gehen." Positiv sei der durch die Corona Warn App angestoßene Trend, dass sich "public money, public code" und die transparente, datensparsame Entwicklung gesellschaftlich bedeutender Software durchsetzt.