Cover

Auslegungssache – der c't-Datenschutz-Podcast

Sie möchten beim Thema Datenschutz auf dem Laufenden bleiben, aber keine seitenlange Literatur wälzen? Dann wenden Sie sich vertrauensvoll an unser Juristen-Redakteurs-Duo.Alle 14 Tage bespricht c't-Redakteur Holger Bleich mit Joerg Heidrich aktuelle Entwicklungen rund um den Datenschutz. Joerg ist beim c't-Mutterschiff Heise Medien als Justiziar für das Thema zuständig und hat täglich mit der europäischen Datenschutz-Grundverordnung (DSGVO) zu tun. Wechselnde Gäste ergänzen das Duo.Mehr Infos gibts unter https://heise.de/-4571821

Alle Folgen

  • 01.07.2022
    66 MB
    01:19:12
    Cover

    Datenschutz in der Blockchain?

    Blockchains, Crypto-Währungen, Smart Contracts... Im Marketing werden diese Konzepte und Techniken oft als datenschutzfreundlich gepriesen. Doch stimmt das? In Episode 65 des c't-Datenschutz-Podcasts Auslegungssache gehen Holger und Joerg dieser Frage nach. Und weil beide freimütig zugeben, dass sie selbst nicht genügend zu dem Thema wissen, holen sie sich kompetente Verstärkung: c't Redakteur Sylvester Tremmel kennt sich nicht nur mit Blockchain-Technologie aus, sondern kann sie in c't-Artikeln und im Podcast auch prima erklären. Diese Episode eignet sich daher auch für alle, die ohne Marketing-Sprech in die Thematik eingeführt werden wollen.Nach Sylvesters grundlegenden Erläuterungen geht es in einem zweiten Teil der Episode darum, wie sich Blockchains mit aktuellem Datenschutzrecht, insbesondere der DSGVO, vertragen. Wo entstehen personenbeziehbare Daten? Lassen sich Daten in der Blockchain im nachhinein ändern oder sogar löschen, wie es die DSGVO fordert? Und vor allem: Wer ist im Blockchain-Konzept überhaupt verantwortlich für die Datenverarbeitung und könnte sanktioniert werden? Sylvester, Joerg und Holger kommen zu dem Ergebnis, dass die DSGVO kaum auf Blockchains anwendbar ist und somit eine große Leerstelle besteht.

    ...mehr
  • 17.06.2022
    59 MB
    01:10:45
    Cover

    DSGVO in der öffentlichen Verwaltung

    Es hagelt derzeit Bußgelder wegen Datenschutzverstößen gegen deutsche Unternehmen. Die Landesdatenschutzbehörden nehmen diesbezüglich im europäischen Vergleich eine Spitzenposition ein. Doch ein Bereich, der die Bürgerinnen und Bürger stark betrifft, findet in der medialen Berichterstattung kaum statt: Die öffentliche Verwaltung. Welche datenschutzrechtlichen Pflichten entstehen für die Behörden aus der DSGVO heraus? Welche Sanktionen haben sie zu befürchten?Diese Fragen stellen sich Joerg und Holger in der aktuellen Episode des c't-Datenschutz-Podcasts Auslegungssache. Ein versierter Gast steht Rede und Antwort: Dr. Daniel Sandvoß lehrt seit 2010 am Niedersächsischen Studieninstitut für kommunale Verwaltung (NSI) und der Kommunalen Hochschule für Verwaltung in Niedersachsen (HSVN). Sein Schwerpunkt in der Lehre liegt im Bereich Datenschutz und Digitalisierung. Im Datenschutz ist der zudem intensiv als Fortbildungsreferent tätig.Daniel erklärt in der Podcast-Episode, welche Änderungen sich aus der DSGVO für die Kommunen ergeben haben. Er schildert, warum er es für sinnvoll hät, dass Behörden anders als Unternehmen nicht mit Bußgeldern sanktioniert werden können. Besonders spannend: Daniel berichtet aus seinen alltäglichen Erfahrungen bei Datenschutz-Fortbildungen, die er für Beamte in Verwaltungen seit Jahren abhält. Die Awareness sei teilweise gestiegen, es gebe viele gute Beispiele engagierter Kommunen, denen die Themen DSGVO und Datenschutz eben nicht egal seien.

    ...mehr
  • 03.06.2022
    56 MB
    01:07:07
    Cover

    Bußgelder und Schadensersatz - Entwicklungen

    Am 25. Mai 2022 jährte sich die Wirksamkeit der EU-Datenschutz-Grundverordnung (DSGVO) zum vierten Mal. Erhebungen zufolge haben die Datenschutzbehörden aller EU-Mitgliedsstaaten in den vier Jahren insgesamt bereits mehr als 1,6 Milliarden Euro an Bußgeldern verhängt. Allerdings verteilt sich die Summe sehr ungleich, weil es bislang keine einheitliche Bemessungsgrundlage für Datenschutzverstöße gibt.Dies soll sich nun ändern: Am 12 Mai hat der Europäische Datenschutzausschuss (EDSA) als gemeinsames Abstimmungsgremium der EU-Datenschutzbehörden ein Bußgeld-Berechnungsschema für DSGVO-Verstöße beschlossen, das die zuständigen Aufsichtsbehörden Schritt für Schritt durcharbeiten sollen. Ersten Einschätzungen zufolge wird es vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen. In Mitgliedstaaten, die bislang eher niedrige Geldbußen verhängt haben, sind strengere Sanktionen künftig sehr wahrscheinlich.Joerg und Holger erläutern das neue Modell. Zur Seite steht ihnen Rechtsanwalt Tim Wybitul, der bereits in Episode 21 zu Gast war. Tim vertritt teils sehr umsatzstarke Mandanten in Datenschutzstreitigkeiten vor Gericht und mit Behörden, bei internen Untersuchungen und in anderen datenschutzrechtlichen Auseinandersetzungen. Er erklärt im Podcast beispielsweise die Unterschiede zwischen behördlichen Anordnungen und Bußgeldverfahren, die vor verschiedenen Gerichten ausgefochten werden und ordnet das EDSA-Berechnungsmodell ein.In einem zweiten Teil geht es im Podcast um das verwandte Thema der Schadensersatzforderungen aus DSGVO-Verstößen. Tim erläutert die aktuelle Rechtsprechung in einigen Verfahren. Seiner Beobachtung zufolge ergibt sich eine klare Tendenz. Massenhafte Schadensersatzforderungen entwickeln sich zu einem lukrativen Geschäftsmodell, weil die Gerichte zunehmend immaterierelle Schäden bejahen, etwa beim Einsatz von Google Fonts auf einer Webseite ohne Einwilligung der Besucher: "Schadensersatzforderungen dürften sich langfristig zu einem noch höheren finanziellen Risiko für Unternehmen entwickeln als Bußgelder."

    ...mehr
  • 20.05.2022
    62 MB
    01:14:44
    Cover

    Massenüberwachung mit "Chatkontrolle"?

    Selten hat ein Gesetzesvorschlag der EU-Kommission so viel Widerspruch in kurzer Zeit geerntet wie die am 11. Mai vorgestellten "neuen EU-Rechtsvorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet". Dies liegt keineswegs am unbestritten wichtigen Ziel, die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder einzudämmen. Es sind die Mittel dazu, die auf rigide Ablehnung von Bürgerrechtlern, Datenschützern, aber auch von Wirtschaftsverbänden und mehreren Bundesministerien stoßen.Beispielsweise will die EU-Kommission Anbieter verschlüsselter Messenger wie WhatsApp, Signal, Threema oder Apple dazu zwingen, Fotos und Videos von Kindesmissbrauch in den Nachrichten ihrer Nutzer ausfindig zu machen sowie mit verdekent Text-Scans von Chat-Nachrichten gegen Grooming vorzugehen. Zur Koordination mit den Behörden in den Mitgliedsländern soll eine neue EU-Zentralstelle aufgebaut werden.Patrick Breyer, EU-Parlamentarier der Piratenpartei, hat für dieses Vorhaben den Begriff "Chatkontrolle" geprägt. Unablässig wies er in den vergangenen Monaten auf die Gefahren der Kommissionspläne für die Privatsphäre jeder Bürgerin und jedes Bürgers der EU hin. Seiner Ansicht nach würde das Gesetzespaket tief in die Grundrechte, beispielsweise das Fernmeldegeheimnis, eingreifen. Auf seiner Website ruft er die Zivilgesellschaft zum Widerstand auf.Im c't-Datenschutz-Podcast erläutert der Jurist und Richter, wie es zu dem Entwurf kam, was genau darin steht, wo er die Gefahren für Bürgerrechte und Datenschutz sieht, und wie er die Motive der beteiligten Kommissions-Mitglieder einschätzt. Breyer weist darauf hin, dass seiner Beobachtung nach der Widerspruch nur in Deutschland so groß war, ähnliches habe er in keinem anderen EU-Mitgliedsland beobachtet. Er befürchte, dass der Entwurf ohne einschneidende Abschwächungen von Bürgerrechtseingriffen die weiteren Stationen im Gesetzgebungsprozess (EU-Parlament und Rat) passieren könnte.

    ...mehr
  • 06.05.2022
    74 MB
    01:28:35
    Cover

    Datenschutz für die Schublade

    Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Joerg und Holger zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte.Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen.Joerg hebt die potenzielle Bedeutung dieser Entscheidung für die Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch Rechtsanwältin Kathrin Schürmann die Begründung der Behörde. Kathrin ist Gründungs-Partnerin der Kanzlei Schürmann Rosenthal Dreyer berät Unternehmen als Datenschutzexpertin bei der Einführung und Entwicklung neuer digitaler Geschäftsmodelle.Im Schwerpunkt der Episode geht es um die Pflicht zu einer verschriftlichten Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand des Beispiels einer Dating-Website erläutern Kathrin und Joerg, ab wann es einer solchen DSFA zwingend bedarf und welche Punkte darin abgehandelt sein sollten. Ziel der DSFA ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der Rechte und Freiheiten der betroffenen Personen bewerten, also eine Risikoanalyse aller Verarbeitungsvorgänge vornehmen.Das ist keineswegs trivial. Die Pflicht, so die Vermutung von Holger, wird von der überwiegenden Mehrheit deutscher Unternehmen ignoriert. Joerg und Kathrin sehen das ähnlich und weisen darauf hin, dass damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich mit internationalem Datentransfer zu Auftragsverarbeitern, komme ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.

    ...mehr
  • 22.04.2022
    62 MB
    01:14:22
    Cover

    Privatsphäre vs. Strafverfolgung

    Derzeit vergeht kaum eine Woche, in der es keine Meldungen zu spektakulären Razzien und Drogenfunden gibt. Mitte der Woche etwa haben Fahnder von Zoll und Polizei zahlreiche Privatwohnungen und Geschäftsräume in Niedersachsen, Hamburg und in Schleswig-Holstein gestürmt. Zeitgleich liefen auch Razzien in anderen Ländern, darunter die Niederlande, Belgien und Paraguay.In den meisten Fällen ziehen die Durchsuchungen Haftbefehle und Beschlagnahmungen nach sich; fast immer werden die Fahnder fündig. Woher kommt diese hohe Erfolgsquote? Die Tatvorwürfe beziehen sich stets auf Delikte, die im Frühjahr 2020 geschehen sein sollen. Genau in diesem Zeitraum nämlich hatte die französische Polizei ein Kryptomessenger-System namens Encrochat infitriert und die Kommunikation der angeblich überwiegend kriminellen Klientel belauscht.Wie genau der staatliche Hack technisch vonstatten gegangen ist, darüber schweigen sich die französischen Behörden aus und verweisen auf das Militärgeheimnis. Dennoch haben sie die gewonnenen Daten aufbereitet und über die EU-Polizeibehörde Europol Mitgliedsstaaten zur Verfügung gestellt, in denen sie kriminelle Encrochat-Kunden verortet haben - so auch dem Bundeskriminalamt in Deutschland.Mehr als 2000 Ermittlungsverfahren sind hierzulande auf Grundlage der Encrochat-Daten eröffnet worden; in etlichen Verfahren folgten bereits Verurteilungen. Es stellt sich die Frage, ob der Hack nach hiesigen Gesetzen überhaupt hätte stattfinden dürfen. Immerhin handelt es sich um einen tiefen Eingriff in die Vertraulichkeit von Kommunikation und die Integrität der eigenen Geräte.Der Bundesgerichtshof hat jüngst Bedenken zur Verwertbarkeit der übermittelten Beweise eine klare Absage erteilt. Doch in einem c't-Artikel wirft Prof. Dennis Kenji Kipker weitere Fragen auf. Der Professor für IT-Sicherheitsrecht forscht und lehrt am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) der Uni Bremen. Kipker kritisiert, dass die jeweiligen Strafkammern der Gerichte das Encrochat-Material nicht auf Integrität prüfen und den Beschuldigten versagen, die Quelle selbst in Augenschein zu nehmen.Kipker: "Der Staat ist Grundrechtsverpflichteter und kann sich dieser Verantwortung nicht dadurch entziehen, dass er digitale Ermittlungsverfahren als 'Black Box' führt und es Betroffenen nicht ermöglicht, gegen sie vorgelegte digitale Beweismittel zu entkräften. Der Fall EncroChat ist nur ein eindrucksvolles Beispiel dafür, was noch kommen kann – weil digitale Beweismittel in strafrechtlichen Ermittlungen eine immer größere Rolle spielen."In der aktuellen Episode 60 des c't-Datenschutz-Podcasts ist Kipker zu Gast und erläutert, welche Probleme der Fall Encrochat aufwirft. Es geht auch um die übergeordnete Frage, wie tief der Staat in die Privatsphäre von Bürgern einzugreifen bereit ist: Von Encrochat zur Vorratsdatenspeicherung ist es kein allzu großer Schritt. Kipkers Meinung nach ist das Vorgehen der französischen Ermittlungsbehörden ein weiterer Beleg dafür, dass sich die sogenannte Überachungsgesamtrechnung immer weiter zuungunsten der Bürgerrechte entwickelt.

    ...mehr
  • 08.04.2022
    72 MB
    01:25:57
    Cover

    Privacy Harbour oder Safe Shield?

    Einen "großen Durchbruch" für den internationalen Datenverkehr hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen Ende März versprochen. In einer gemeinsamen Pressekonferenz vermeldeten sie eine "grundsätzliche Einigung" für ein neues Datenschutzabkommen, nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für rechtswidrig und damit unwirksam erklärt worden war. Mit ihrer Erklärung weckten die beiden Spitzenpolitiker große Hoffnungen bei Unternehmen dies- und jenseits des Atlantiks. Zu recht?Dieser Frage gehen Holger und Joerg in Episode 59 nach. Als Gast in dieser Folge schätzt Prof. Alexander Golland die Lage kompetent ein. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Er hält eine Professur für Wirtschaftsrecht an der Fachhochschule Aachen.Zunächst klären die drei, welche Voraussetzungen für einen sicheren Datentransfer in Staaten außerhalb der EU gegen sein müssen: Nach Art. 45 DSGVO muss die EU-Kommission einen sogenannten Angemessenheitsbeschluss verabschieden, in dem dem Zielland ein dem der EU ähnliches Datenschutzniveau attestiert wird. Dies sst beispielsweise für die Schweiz, Kanada, Neuseeland oder Japan der Fall. Warum die Kommission nach dem Brexit sehr eilig einen befristeten Angemessenheitsbeschluss mit dem Vereinigten Königreich (UK) herbeigeführt hat, erklärt Alexander ausführlich.Außerdem schildert er detailliert, wie steinig und zeitraubend der formale Weg zu einem neuen Angemessenheitsbeschluss zur Datensicherheit in den USA sein wird. Deshalb dämpft er die Erwartungen für eine baldige neue Rechtsgrundlage: "Vor 2023 wird das eher nicht klappen", lautet seine Prognose, die sich mit der vieler anderen Experten deckt.Viele Unternehmen bringt das nun in eine schwierige Situation: Bis Ende 2022 müssen sie ihren Datentransfer mit den Juni 2021 aktualisierten Standard-Vertragsklauseln (SCC) rechtlich absichern. Dann sind sie auch verpflichtet, eine Risikoabschätzung im Rahmen eines Transfer Impact Assessments (TIA) vorzuhalten - was erhebliche zusätzliche Kosten verursacht. Die SCC-Vertragsparteien müssen darin darstellen, dass der Empfänger der Daten im Drittland in der Lage ist, den rechtlichen Anforderungen nachzukommen.Was also tun? Sollten die Unternehmen darauf vertrauen, dass die EU-Kommission bis dahin einen Beschluss zustande bekommt - oder sollten sie doch vorbeugend in den sauren, teuren Apfel beißen? Alexander gibt im Podcast Hinweise.

    ...mehr
  • 25.03.2022
    60 MB
    01:12:15
    Cover

    "So viele Acts, so wenig Zeit"

    Gleich mit mehreren Gesetzen im Rahmen einer "Datenstrategie" will die EU "die Führungsrolle in einer datengestützten Gesellschaft übernehmen". Der AI Act etwa ist ein Verordnungsentwurf, der die Verarbeitung von Daten in KI-Systemen regeln soll. Ihm folgte im Februar 2022 der EU-Kommissions-Vorschlag zum Data Act. Die Verordnung soll den Binnenmarkt-Gedanken auf Datenhandel übertragen. Jeder Verbrauchter darf demzufolge selbst entscheiden, wer wann Zugriff auf seine Daten erhält, um damit einen Mehrwert zu erzeugen. Hier geht es insbesondere um anfallende Daten bei Gerätenutzung (Fahrzeuge, IoT usw).All diese Initiativen treffen auf die recht rigide DSGVO. In Episode 58 der Auslegungssache ordnen Joerg und Holger zusammen mit Alexandra Ebert die Dinge ein. Alexandra ist Chief Trust Officer beim Unternehmen mostly.ai und außerdem Expertin für Datenschutz, synthetische Daten und ethische Künstliche Intelligenz. Sie weist im Podcast darauf hin, dass vermehrtes Nutzen von personenbezogenen Daten, wie es von der EU gewünscht ist, auch neue Anforderungen an die Anonymisierung vor Weiterverarbeitung stellt. Diese sei oftmals kaum noch möglich.Alexandra erklärt, wie aus echten Datenbeständen synthetische Daten generiert werden können, die dann wiederum Forschungszwecken oder dem Training von KI-Systemen dienen. Im letzteren Fall könnten synthetische Daten außerdem dafür sorgen, dass ein vorhandener Bias im echten Datenbestand korrigiert wird. Ebert sieht hier eine Chance, Tendenzen zur Diskriminierung, wie sie bei KI-Systemen nach dem Training mit Echtdaten zu beobachten sind, entgegenzuwirken.

    ...mehr
  • 11.03.2022
    949 MB
    00:42
    Cover

    Episode 58 kommt am 25. März 2022

    Liebe Hörerinnen und Hörer der Auslegungssache: Wegen eines Krankheitsfalls mussten wir die geplante Aufzeichnung von Episode 58 verschieben. Wir bleiben im Turnus und verschieben die Veröffentlichung der neuen Episode auf den 25. März 2022. Vielen Dank vorab für Euer Verständnis! Viele Grüße von Joerg und Holger - und bleibt gesund :-)

    ...mehr
  • 25.02.2022
    62 MB
    01:13:43
    Cover

    IT-Sicherheit und Datenschutz

    Logfiles und Datenbanken enthalten fast immer auch personenbezogene Daten. Um sie ausreichend zu schützen, müssen Unternehmen und Privatpersonen „geeignete technische und organisatorische Maßnahmen treffen“. Das reicht von regelmäßigen Software-Updates und Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und Pseudonymisierung bis hin zu regelmäßigen Backups. Über das Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des IT-Recht-Blogs Telemedicus.Seiner Erfahrung nach werden beide Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist unterschiedlich: Datenschutz schützt personenbezogene Daten, IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen. Deshalb können sie sich auch in die Quere kommen: etwa wenn Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen erfordern oder der Virenscanner Dateien zum Check in die Cloud lädt. Auf was man bei der IT-Sicherheit für den Datenschutz achten muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32. Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss ich meine Technik zertifizieren lassen? Wann muss ich einen Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf an, in welchem Bundesland man sitzt – denn die deutschen Datenschutzbehörden haben mitunter verschiedene Ansichten zum Umgang mit technischen Fragen.Adrian Schneider Tipp an Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden, was die Risiken sind und was Sie tun müssen, um sie vernünftig zu adressieren. Welche Folgen Murks bei der IT-Sicherheit haben kann, zeigt unser Bußgeld der Woche, das die italienische Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs enthielten, konnten Nutzer auch die Gesundheitsdaten anderer Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht komisch und sprach ein Bußgeld für dieses Versäumnis.

    ...mehr
  • 11.02.2022
    75 MB
    01:24:33
    Cover

    Datenschutz für Websites

    Ob Vereinsauftritt, privates Blog oder Online-Shop: Für Webseiten gilt die DSGVO. Wer eine Seite aufsetzt, muss sich deshalb von Anfang an Gedanken machen, an welchen Stellen er Nutzerdaten speichert, verarbeitet und weiterleitet, zum Beispiel über eingebundene Dienste und Plug-ins.Doch wie genau bekommt man seine Webseite datenschutzkonform? Diese Frage beantworten Joerg und Achim – Holgers Urlaubsvertretung – gemeinsam mit Carola Sieling. Carola ist bereits zum dritten Mal (Folge 27, Folge 18) in der c't Auslegungssache zu Gast und erklärt, welche Vorgaben der DSGVO für Website-Anbieter relevant sind.Wunderbar zum Thema Websites passt auch das Bußgeld der Woche, das in dieser Woche gar kein Bußgeld ist, sondern ein Schadensersatz. Ein Webseitenbetreiber muss 100 Euro an einen Seitenbesucher bezahlen, weil dessen IP durch den Einsatz von Google Fonts an Google in den USA weitergegeben wurde – ohne Einwilligung. Das Urteil ist noch nicht rechtskräftig.Beim Betreiben einer Webseite lauern zahlreiche weitere Datenschutzfallen: Das eingebettete Video von YouTube ist ebenso problematisch wie der Like-Button für Facebook, und im Newsletterformular sollte man sich hüten, allzu viele persönliche Informationen abzufragen. Bei Fotos kommen außerdem Urheberrecht und Persönlichkeitsrechte hinzu, die es zu beachten gilt.Besonders kritisch ist das Einbauen von Analytics-Tools, mit denen man mehr über die Besucher seiner Webseite erfahren kann. Jüngst hat etwa die österreichische Datenschutzbehörde entschieden, dass der Einsatz von Google Analytics gegen die DSGVO verstößt – und auch Joerg und Carola sind eindeutig der Meinung, dass man fürs Besucherzählen derzeit besser nicht den Dienst von Google einsetzt.

    ...mehr
  • 28.01.2022
    64 MB
    01:16:44
    Cover

    Problemfall Entscheidungsalgorithmen

    In Episode 55 des c't-Datenschutz-Podcasts wagen sich Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich an ein großes Thema: Immer mehr Entscheidungen werden in unserer Gesellschaft nicht mehr von Menschen, sondern von Algorithmen getroffen. Dabei geht es um banale Dinge wie den Preis des Joghurts im Supermarkt genauso wie um Berwerbungsverfahren oder Scorings von Bürgerinnen und Bürgern für die öffentliche Sicherheit. ADM-Systeme (Algorithmic Decision Making) haben sich in den Alltag eingeschlichen, ohne dass sie ethisch und datenschutzrechtlich ausreichend beachtet werden, so die Ausgangsthese.Rechtsanwalt Peter Hense hat sich intensiv mit diesen Problematiken beschäftigt und ordnet als Gast in dieser Episode die Dinge ein: "Vieles von dem, was uns als KI untergejubelt wird, beruht heruntergebrochen auf reiner Statistik", erklärt er und kritisiert, dass Entscheidungen, die auf maschinellem Lernen beruhen, oftmals völlig verdeckt getroffen werden. Eine benennbare Verantwortung fehlt, es mangelt an "Accountability" bei vielen KI-Systemen. Dies wird laut Hense besonders problematisch, wenn Entscheidungen voll automatisiert, ohne Überwachung und Eingriffsmöglichkeit von Menschen fallen - Die Algorithmen sind oftmals gut gehütete Geheimnisse in privatrechtlicher Hand, was zu Blackboxes führt.Konsens in der Runde ist: Gesetzgeber tun sich schwer, ADM-Systeme einzuordnen und zu regulieren. Als Beispiel dient der einschlägige Art. 22 der DSGVO, dessen Regelungsumfang ziemlich unklar ist und der laut Hense als Konzession an die US-Konzerne für härtere Vorschriften in anderen Bereichen gesehen werden muss; und noch dazu unzureichend in die offizielle deutsche Version der DSGVO übersetzt wurde. Ähnlich verhält es sich mit dem von der EU-Kommission vorgeschlagenen "AI Act" und dem Digital Services Act. Hense plädiert dafür, hier unbedingt aktiver und auch restriktiver zu werden. Viele System agieren intransparent, autonom und fehlerhaft - die Algorithmen reproduzieren Unzulänglichkeiten, die ihnen ihre menschliche Ersteller mitgeben.

    ...mehr
  • 14.01.2022
    67 MB
    01:20:17
    Cover

    Datenschutz-Ausblick 2022

    Das Jahr 2022 startet die neue Bundesregierung im Krisenmodus. Dabei gerät aus dem Blick, dass sich die Ampel-Koalition aus SPD, Grünen und FDP auch digitalpolitisch jede Menge vorgenommen hat. Joerg und Holger diskutieren in Episode 54 des c't-Datenschutz-Podcasts die wichtigsten Pläne für Änderungen im Datenschutz, soweit sie sich bereits aus dem Koalitionsvertrag herauslesen lassen.Dazu haben sie einen Gast eingeladen, der die deutsche Datenschutz-Regulierung nicht nur intensiv verfolgt, sondern auch mit Input begleitet: Frederick Richter ist Jurist und Vorstand der Stiftung Datenschutz, die unabhängige Expertise leistet und zur öffentlichen Diskussion beiträgt. Die Stiftung wurde 2012 von der damaligen Bundesregierung ins Leben gerufen und soll die Stellung des Datenschutzes in der Gesellschaft stärken.Die Ampel hat sich zum Ziel gesetzt, den Beschäftigtendatenschutz mit neuen Regelungen zu modernisieren. Das hält Richter für wichtig, da angesichts der Verlagerungen von Arbeit ins Homeoffice Überwachungsbestrebungen und Leistungskontrolle boomen. Er begrüßt auch, dass bundesweit gültige Positivlisten für "datenschutzkonforme Lern- und Lehrmittel" erstellt werden sollen. Unis und Landesschulbehörden seien hier etwas alleine gelassen, aber "man muss das Gemeinwesen dauerhaft am Laufen halten".Schwammig fanden alle drei Diskutanten die Formulierungen zur Fortsetzung der "Datenstrategie". Richter bemängelt Buzzwords, die noch nicht mit Leben gefüllt sind, etwa das "Dateninstitut", das geschaffen werden soll. Geht es hier um den Umgang mit anonymisierten Daten im Sinne von Open Data, oder um personenbezogene Daten im Sinne der DSGVO? Ähnlich verhält es sich mit den "Datentreuhändern" und den "Datendrehscheiben", die im Koalitionsvertrag erwähnt sind. Noch ist überhaupt nicht klar, welche Konzepte die Regierung hier genau verfolgen will.Positiv hebt Richter hervor, dass die Bundesregierung Standards für die Anonymisierung von Daten entwickeln will. Open Data werde eine immer größere Rolle spielen, und bislang gebe es keine Leitlinien, wie der Personenbezug in Daten DSGVO-konform entfernt werden soll, bevor sie freigegeben werden können. Richter bemängelt, dass die DSGVO hier eine Leerstelle enthält, die die EU noch immer nicht gefüllt hat.

    ...mehr
  • 17.12.2021
    71 MB
    01:25:11
    Cover

    Dr. Datenschutz meets Auslegungssache

    Das wurde aber auch Zeit: Laura und Cornelius vom Podcast "Dr. Datenschutz" beehren die Auslegungssache. Wir haben uns sehr gefreut, dass Cornelius zu diesem Anlass live on tape ein Intro singt und spielt. Wer Dr. Datenschutz noch nicht kennt: Hört rein, die Homepage ist in den Shownotes verlinkt, und natürlich ist er leicht über den Podcatcher zu finden.Neben Podcast-Fusion-Geplauder geht es natürlich auch in Episode 53 um harte Datenschutz-Fakten. Schwerpunktthema ist der aus Artikel 15 DSGVO resultierende Auskunftsanspruch. Als beratende Juristen der intersoft consulting services AG setzen sich Laura und Cornelius oft mit Auskunftsanfragen auseinander. Laura berichtet davon, wie verschieden Unternehmen mit derlei Anfragen umgehen. Und Cornelius ist etwas sauer, dass der wichtige Anspruch seiner Beobachtung nach durch offensichtlich automatisierte Anfragen missbraucht wird.Zusammen mit den beiden Gästen klärt Joerg die Basics: Wann ist ein Auskunftsanspruch berechtigt, welche Fristen gelten, und vor allem: Wie sollte sich ein Anspruchsberechtigter authentifizieren? Mittlerweile gibt es viel Rechtssprechung dazu, aber längst sind nicht alle Fragen geklärt. Einig sind sich die vier Podcaster darin: Der Auskunftsanspruch ist ein wichtiger Baustein des Datenschutzrechts und sollte nicht abgetan werden. Sie ermuntern dazu, ihn ruhig öfter einmal wahrzunehmen.

    ...mehr
  • 03.12.2021
    38 MB
    45:07
    Cover

    Dystopie Mitarbeiterüberwachung

    Mitten in der vierten Coronawelle wagten Joerg und Holger eine Live-Podcast vor Publikum, und zwar auf der Digitalkonferenz Techtide in Hannover unter strengen 2G+-Vorschriften. Auf der Bühne 3 sollte es um dystopische Entwicklungen gehen. Nichts leichter als das, dachten sich die Datenschutz-Apologeten und wählten als Thema "extreme Formen der Mitarbeiterüberwachung". Denn genau dazu hat die Wissenschaftsjournalistin Eva Wolfangel jüngst eine beängstigende Recherche veröffentlicht (siehe Shownotes). Und sie ist die Live-Gästin in der Episode.Wolfangel berichtet vom Einsatz US-amerikanischer Überwachungssoftware in deutschen Unternehmen. So setzt beispielsweise die Unicredit Services in München, die hierzulande unter der Marke HypoVereinsbank bekannt ist, Securonix ein: "Welche Websites man besucht, welche E-Mails man schreibt, welche Programme man nutzt – all das erfassen verschiedene Systeme bei der Unicredit Services", berichtete ihr ein Insider. Andere Software, die in Deutschland zum Einsatz kommt, stammt beispielsweise von Forcepoint oder Genesys. Wolfangel diskutiert mit Joerg und Holger die datenschutzrechtlichen, aber auch ethischen Folgen dieser neuen Dimension von Mitarbeiterüberwachung.

    ...mehr
  • 19.11.2021
    63 MB
    01:15:24
    Cover

    Datenschutz als Verbraucherrecht

    Wird von Rechtsdurchsetzung im Datenschutz gesprochen, geht es meistens um Verfahren und Bußgelder der Aufsichtsbehörden. Doch weil sehr oft Verbraucher die Leidtragenden von systematischen Datenschutzverletzungen sind, nehmen sich auch Organisationen der Verstöße an, die die Rechte der Bürgerinnen und Bürger in der digitalen Welt vertreten. In Deutschland agiert an zentraler Stelle der Bundesverband Verbraucherzentralen (vzbv). Er berät, führt aber auch strategisch juristische Auseinandersetzungen. Das darf er, weil ihn das Verbandsklagerecht dazu ermächtigt, Rechtsfragen anstelle von Verbrauchern von Gerichten klären zu lassen.In Episode 51 des c't-Datenschutz-Podcasts erläutert Heiko Dünkel, Leiter des Teams Rechtsdurchsetzung beim vzbv, wie das funktioniert: "Wir sind dafür da, Waffengleichheit zwischen den Verbrauchern und den großen Konzernen zu gewährleisten." Mit einem Jahresgesamtbudget von ca. 300.000 Euro pro Jahr kämpft sein Team gegen Rechtsverstöße von Facebook oder Apple. Zunächst fordert es per Abmahnung, den Datenschutzverstoß dauerhaft abzustellen. Klappt das nicht, wird im Team entschieden, ob der vzbv die Unterlassungsforderung durch die Gerichtsinstanzen treibt.Der Verband erzielt dabei mitunter spektakuläre Erfolge. Beispielsweise ging die wegweisende EuGH-Entscheidung "Planet49" von 2019 auf seine Klage zurück. Mit diesem Urteil war europaweit endgültig geklärt, dass eine Einwilligung auf Websites nicht mit einem voreingestellten Häkchen, sondern nur mit einer aktiven Handlung erfolgen darf. Aber auch weniger prominente Verfahren sorgen in Fachkreisen für Aufsehen. 2020 etwa hat der vzbv eine Klage gegen den Anwaltssuchdienst advocado vorm Landgericht Rostock gewonnen, mit der klargestellt wurde, dass auch für Cookies zu Analyse- und Marketingzwecken eine informierte Einwilligung erforderlich ist.Dünkel betont, dass der vzbv außerdem intensiv die Gesetzesvorhaben in Deutschland und Europa begleitet. Sein Team sieht sich beispielsweise gerade das ab Dezember gültige neue deutsche Datenschutzgesetz TTDSG an. Außerdem verfolge man die Entwicklung der E-Privacy-Gesetzgebung auf EU-Ebene. Eine "neue Spielwiese" sieht er in der neuen, bislang wenig bekannten BGB-Vorschrift 327q, die im Januar 2022 in Kraft tritt. Kein Wunder, denn darin stellt der Gesetzgeber erstmals klar: Wenn ein Verbraucher für den Erhalt einer Leistung personenbezogene Daten bereitstellt, dann ist das so, als wäre es die Zahlung eines Geldbetrags. "Damit werden wir uns als Verbraucherverband sehr genau befassen, das wird spannend", freut sich Dünkel im Gespräch mit Joerg und Holger.

    ...mehr
  • 05.11.2021
    70 MB
    01:23:20
    Cover

    Post Privacy, Tannenbäume und Transhumanismus

    Es gibt etwas zu feiern für Joerg und Holger: Der c't-Podcast Auslegungssache wird 50. Anlässlich der Jubiläumsepisode ist eine Bestandsaufnahme fällig. Welchen Stellenwert hat der Datenschutz in Politik, Unternehmen und in der Gesellschaft? Warum hat er momentan einen schweren Stand? Wo ist Kritik an der DSGVO berechtigt, wo überzogen und wo einfach nur Ausrede für anderweitige Versäumnisse?Zur Feier gesellt sich ein gern gesehener Gast: Bereits zum dritten Mal beehrt Rechtsanwalt Dr. Thomas Schwenke den Podcast und lässt sich auf eine bisweilen fachlich durchaus mäandernde Diskussion ein. Die Drei sprechen über aktuelle kritische Debattenbeiträge. Schwenke sagt bezüglich der stockenden Digitalisierung in Deutschland: "Dass der Datenschutz Manches bremst ist richtig. Wenn mein Auto keine Bremsen hätte, könnte ich damit natürlich auch viel weiter fahren. Spätestens in der nächsten Kurve käme ich aber in Probleme."Ausführlich beschäftigen sich die Drei mit den nervigen Einwilligungen. Es geht auch um die Frage, ob Bürgerinnen und Bürger in jedem Fall informiert genug sind, um Verarbeitungen abschätzen zu können. Es folgt ein Gedankenexperiment: Was, wenn die Einwilligungen durch maschinelle Aushandlungen ersetzt und die Menschen aus der Gleichung genommen werden? Auf eine erste Tendenz dazu könnten die im TTDSG verankerten Personal-Management-Systeme (PIMS) hinweisen. Und zum Ende wird es noch ein wenig Meta.

    ...mehr
  • 22.10.2021
    65 MB
    01:17:13
    Cover

    Das TTDSG - Alter Datenschutz in neuen Schäuchen?

    In der Öffentlichkeit kaum wahrgenommen, aber durchaus relevant: Am 1. Dezember 2021 treten in Deutschland neue Datenschutzregeln in Kraft. Das "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien" (TTDSG) soll laut der ehemaligen Bundesregierung "mehr Rechtssicherheit und Rechtsklarheit zum Schutz der Privatsphäre in der digitalen Welt" schaffen.Inhaltlich stellt das TTDSG eine Neuregulierung der Datenschutzbestimmungen in der Telekommunikation und bei Telemedien dar. Und zu den Telemedien gehören nahezu alle Angebote im Web, zum Beispiel soziale Medien und Blogs, Webshops, Suchmaschinen und auch Webmailer. Dazu fasst das neue Gesetz Regelungen zusammen, die bislang im TKG und TMG zu finden waren. Formal setzt das TTDSG sehr verspätet europarrechtliche Vorgaben aus der E-Privacy-Richtlinie um, die aus dem Jahr 2002 stammt und zuletzt 2009 geändert wurde.Während die Bundesregierung frohlockte, das TTDSG bedeute "das Ende der Cookiebanner", ziehen Joerg und Holger anhand des Gesetzestextes ernüchtert Bilanz. Als Gast begrüßen sie dazu den Rechtsanwalt und Datenschutzspezialist Dr. Carlo Piltz, der den Gesetzgebungsprozess beobachtet und bereits erste Einschätzungen zu den Auswirkungen des TTDSG geschrieben hat. Piltz ordnet das neue Gesetz zunächst in den bestehenden Regelungswust ein, insbesondere erklärt er, wie das deutsche Gesetz zur europäischen DSGVO steht.Anschließend erläutern die drei Stück für Stück, welche Änderungen ab Dezember insbesondere für Anbieter im Web ins Haus stehen. Gerade bei den Cookies wird es etwas strenger. Website-Betreiber können sich nämlich nicht mehr auf das sogenannte "berechtigte Interesse" für bestimmte Cookie-Kategorien berufen (höre Auslegungssache 48), sondern dürften - so die Prognose von Piltz - künftig öfter nach Einwilligungen fragen müssen. Die Empfehlung lautet: Egal ob Webshop, Blog oder Newsportal - es ist höchste Zeit, sich intensiv mit dem TTDSG zu beschäftigen, um im Dezember Post von den Datenschutzbehörden zu verhindern.

    ...mehr
  • 08.10.2021
    72 MB
    01:26:11
    Cover

    DSGVO Art. 6: Wann Datenverabeitung erlaubt ist

    Für Episode 48 des c't-Datenschutz-Podcasts hatten sich Joerg und Holger auf die Anregung eines Hörers vorgenommen, ausgiebig zu klären, wann Datenverarbeitungen nach DSGVO erlaubt sind. Herausgekommen ist eine Auslegungssache mit deutlicher Überlänge. Die Zeit ist gut investiert, denn als Podcast-Gast erläutert der auf Datenschutz spezialisierte Rechtsanwalt Sascha Kremer die Sachlage auch für Laien verständlich und anhand vieler konkreter Beispiele.Als Mantra der DSGVO gilt: Jede Verarbeitung von personenbezogenen Daten ist verboten, außer es existiert eine Erlaubnis ("Verbot mit Erlaubnisvorbehalt"). Was erlaubt ist, regelt Art. 6 DSGVO, der die sechs möglichen Rechtsgrundlagen definiert. Am Beginn der Liste steht die infomierte Einwilligung der betroffenen Person. Jeder kennt sie, beispielsweise durch die Websites vergeschalteten Cookie-Banner. Unternehmen mögen sie sie nicht sonderlich, weil sie jederzeit widerrufbar ist. Lieber ist ihnen, sich auf die erlaubte Datenverarbeitung im Umfeld eines Vertragsschlusses zu berufen. Diese greift bereits bei der Anbahnung, beispielsweise wenn ein potenzieller Kunde Produkte in den Warenkorb eines Onlineshops legt.In der Podcast-Episode legen Joerg und Sascha Kremer ein besonderes Augenmerk auf Art. 6 Abs. 1f, aus die erlaubte "Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten". Joerg bezeichnet diese Rechtsgrundlage als "Auffangvorschrift". Kremer weist darauf hin, dass diese Rechtsgrundlage oft falsch verstanden wird: Es gehe nicht nur ums berechtigte Interesse des Verarbeitenden, sondern um eine Abwägung von Interessen des Verarbeitenden, der betroffenen Person und vielleicht auch noch Dritter. Deshalb lasse sich daraus keinesfalls ein Freibrief konstruieren. Anhand von Beispielen werfen die drei Diskutanten Interessen auf beide Seiten der Waage und schauen, wann tatsächlich "berechtigtes Interesse" vorliegt.

    ...mehr
  • 24.09.2021
    48 MB
    57:01
    Cover

    Don’t Look Back in Anger

    12 engagierte Jahre im Amt als Datenschutzbeauftragter des Landes Hamburg liegen hinter Johannes Caspar. Unter seiner Aufsicht standen beispielsweise Google und Facebook, weil sie ihre deutschen Zelte in der Hansestadt aufgeschlagen haben. Und Caspar hat mit den beiden US-Konzernen einige Konflikte ausgetragen, die international Beachtung fanden, beispielsweise zu Googles Streetview oder dem Datenaustausch zwischen Facebook und WhatsApp. Im c't-Datenschutz-Podcast blickt Caspar zurück auf zwei Amtszeiten, nicht immer ganz ohne Zorn.Die Einführung der DSGVO beschreibt Caspar als große Zäsur: "Vorher war der Datenschutz ein 'Recht des Volkes', flankiert von den 'kleinen Helden', den Landesdatenschutzbeauftragten." Die DSGVO habe zu einer Machtfülle der Datenschutzaufsicht geführt, die sie auch angreifbarer mache. Für lokale Unternehmen fungiere man als Ansprechpartner und Berater. Das falle allerdings zunehmend schwer, "weil die Behörden so schlecht ausgestattet sind, dass sie nicht einmal die Beschwerden von Personen abarbeiten können". Wegen mangelhafter Ausstattung habe seine Behörde "einen Berg von Beschwerden vor uns hergeschoben, den wir nicht abtragen konnten". Das liege an verfehlter Politik.Caspar betont die gute Zusammenarbeit mit den anderen Länderbehörden in der Datenschutzkonferenz (DSK). Die DSK habe sich über viele Jahre hinweg bewährt: "Dieses Gremium wird ziemlich unterschätzt. Sie ist die Speerspitze des Datenschutzes in Europa." Eine Zentralisierung der deutschen Datenschutzaufsicht sei unnötig: "Ich bin ein Freund der Diversität". Allerdings führe diese im Vollzug auch auch zu Diskussionen, Schleifen und zur Überbürokratisierung. Eine Reform sei angebracht.Deutliche Kritik übt Caspar an der irischen Datenschutzbehörde, die die meisten US-Konzerne in Europa beaufsichtigt und sanktioniert. Irland sei gleichzeitig ein Steuerparadies und eine Datenschutzwüste. In den US-amerikanischen Konzernzentralen habe sich das längst herumgesprochen: "Man will nur nach Irland." Und wenn dann Unternehmen in Hamburg kontrolliert würden, aber in Irland passiere nichts, verlören Bürger und Unternehmen den Glauben an fairen Datenschutz. Weil nie etwas passiert sei, habe er beispielsweise selbst eine Anordnung im Eilverfahren für drei Monate gegen WhatsApp erlassen. Er sei sehr enttäuscht gewesen, dass der EU-Datenschutzausschuss dieses Verfahren im Juli gestoppt hat.Ein Hoffungsschimmer sei das gerade in Irlang verhängte Bußgeld von 225 Millionen Euro gegen WhatsApp. Laut Caspar hat sich eben über die Jahre einiges angesammelt und führt nun zu einer vergleichsweise hohen Strafe. Caspar wörtlich: "Ich war mal Straßenfußballer. Da galt: 'drei Ecken, ein Elfer'."

    ...mehr
  • 10.09.2021
    64 MB
    01:16:11
    Cover

    "Die Hölle ist zugefroren!"

    In Episode 46 begrüßen Joerg und Holger die Berliner Rechtsanwältin Katrin Kirchert als Gästin. Als TÜV-zertifizierte Datenschutzbeauftragte begleitet Kirchert Unternehmen und Vereine bei der Umsetzung der DSGVO und des BDSG. Vor allem aber beschäftigt sie sich mit dem Datenschutz von Beschäftigten, um den es in dieser Ausgabe der Auslegungssache hauptsächlich geht.Zunächst aber malträtiert Joerg die Anwesenden, indem er Teile einer Kolumne von Jan Fleischhauer zum Besten gibt. Der Focus-Autor verbreitet zunächst fachlich ziemlichen Unsinn und gießt anschließend Häme über professionelle Datenschützer. "Was sind das für Menschen, die Datenschützer werden wollen?", fragt er sich. Joerg gibt die Frage an Kirchert weiter, die souverän kontert: "Weil es Spaß macht?"Anschließend friert im die Hölle zu: Im Bußgeld der Woche geht es um die 225-Millionen-Euro-Strafe gegen WhatsApp, die die irische Datenschutzaufsicht DPC jüngst ausgesprochen hat. Tatsächlich ist die Behörde also gegen den Facebook-Konzern aktiv geworden. Betrachtet man allerdings die ganze Geschichte, stellt sich heraus, dass die DPC zum Jagen getragen werden musste: Der Europäische Datenschutzausschuss (EDSA) erwirkte per Beschluss eine Steigerung des Bußgelds von 50 auf die besagten 225 Millionen Euro, außerdem sorgte unter anderem der deutsche Bundesdatenschutzbeauftragte dafür, dass sich die Behörde intensiver mit dem seit 2018 untersuchten Fall beschäftigen musste, als es ihr lieb war.Im Schwerpunkt der Episode klärt Joerg mit Kirchert anhand vieler Beispiele, wie genau der § 26 BDSG-neu wirkt, in dem der Beschäftigten-Datenschutz in Deutschland geregelt ist. Geschützt sind nicht nur Angestellte, sondern genauso auch Bewerber oder gekündigte Mitarbeiter. Unternehmen sollten sich mit dieser Vorschrift intensiv beschäftigen und ihre Prozesse daraufhin kontrollieren, um nicht auf die Nase zu fallen. Hier geht es um Auftragsverarbeitung (etwa Job-Portale) genauso wie um Löschfristen, die es zu beachten gilt. Auch der Umgang mit Fotos oder Videos von Angestellten birgt Stolpersteine, insbesondere hinsichtlich widerrufbarer Einwilligungen (Kirchert: "Die haben es im Beschäftigungsverhältnis wirklich in sich").

    ...mehr
  • 27.08.2021
    69 MB
    01:22:15
    Cover

    Apples CSAM-Scanning-Pläne: Fortschritt oder Privacy-Dammbruch?

    Apple will mit iPadOS 15 und iOS 15 (vorerst nur in den USA) eine neue Funktion einführen, mit der die Foto-Bibliothek von iPad- und iPhone-Nutzern auf Darstellungen von Kindesmissbrauch ("Child Sexual Abuse Material", kurz CSAM) untersucht werden kann. Treffer sollen dann den zuständigen Behörden gemeldet werden. Bürgerrechtsorganisationen, Datenschützer und auch Politiker laufen Sturm gegen die Idee, Inhalte-Scans direkt auf dem Smartphone der Besitzer durchführen zu wollen. Dies sei ein Privacy-Dammbruch, ist derzeit oft zu hören.Im Podcast gehen Joerg und Holger die Debatte möglichst differenziert an und haben dafür gleich zwei kompetente Gäste gebeten, in die Diskussion zu gehen: Tim Pritlove gilt als Podcast-Urgestein und setzt sich beispielsweise wöchentlich im Podcast "Logbuch:Netzpolitik" (zusammen mit CCC-Sprecher Linus Neumann) mit Datenschutz und Datensicherheit in der IT auseinander. Pritlove versteht die Aufregung nicht ganz und plädiert dafür, Apples Ansatz als einen weiteren Vorschlag im Kampf gegen Kindesmissbrauch zu sehen, den es jetzt ins Verhältnis zu anderen, invasiveren Maßnahmen anderer Plattformen zu setzen gilt.Jürgen Schmidt ist leitender Redakteur und Senior Fellow Security bei Heise Medien spricht dagegen von einer gänzlich neuen Qualität. In einem Kommentar auf heise online bezeichnete er Apples Vorgehen bereits als "Tabubruch, der in die Totalüberwachung führt". Im c't-Podcast legt er nach.

    ...mehr
  • 13.08.2021
    61 MB
    01:13:16
    Cover

    Sommer, Sonne, Datenschutz

    Nach einer klitzekleinen Sommerpause groovt sich der c't-Datenschutz-Podcast Auslegungssache langsam wieder in den Betriebsmodus. Gleich zwei Bußgelder der Woche hat Joerg diesmal mitgebracht. Wenig beachtet, aber sehr relevant ist eine Strafe, die die Landesdatenschutzbehörde Niedersachsen gegen einen Shopbetreiber ausgesprochen hat: Weil er eine um Jahre veraltete Version einer Shopsoftware (xt:Commerce in der Version 3.0.4 SP2.1) einsetzte, die gravierende Sicherheitslücken aufwies, musste er 65.500 Euro zahlen. Joergs Rat lautet daher wieder einmal: Admins sollte unbedingt darauf achten, dass die eingesetzte Ausstattung dem "Stand der Technik" entspricht, wie es die DSGVO vorschreibt.Joerg und Holger haben die Episode 44 bereitwillig von Johannes Börnsen kapern lassen. Börnsen ist Video- und Audio-Producer bei c't und heise online. Er übernimmt souverän die Moderation und lässt die beiden Podcaster über ihren Werdegang und ihr Projekt plaudern. Joerg etwa verrät, dass er anders als Holger kein passionierter Podcast-Hörer ist. Er erklärt, wie die Themen entstehen und die Gästinnen und Gäste gefunden werden. Holger schildert, welche Plattformen zum Einsatz kommen und wie die Pandemie dazu geführt hat, das Konzept anzupassen. Beide wünschen sich nach mehr Feedback und rufen dazu auf, Themenwünsche für die vielen noch folgenden Episoden zu äußern.

    ...mehr
  • 16.07.2021
    66 MB
    01:18:43
    Cover

    IT-Forensik und Datenschutz

    Verfehlungen im Arbeitsumfeld kommen nicht selten vor: Mal lädt ein Mitarbeiter massenhaft urheberrechtlich geschützte Filme auf den Bürorechner herunter, ein anderer verbringt täglich Stunden mit seinen eBay-Aktivitäten. Mitunter tangiert der Missbrauch von Arbeitszeit- und Mitteln auch den strafrechtlichen Bereich, etwa wenn es um den Handel mit Darstellungen von Kindesmissbrauch geht. Immer gilt: Nachforschungen von Arbeitgebern bei einem Verdacht sind heikel, denn auch hier gilt Datenschutz- und Persönlichkeitsrecht.In Episode 43 der Auslegungssache ergründen Joerg und Holger, wie Arbeitgeber, IT-Administratoren und Datenschutzbeauftragte in solchen Fällen agieren sollten. Fachkundige Hilfe dabei leistet Christoph Wegener, der Unternehmen bei IT-forensischen Aktivitäten freiberuflich unterstützt. Zunächst geht es um die datenschutzrechtlichen Grundlagen, die in Deutschland im Paragrafen 26 BDSG definiert sind, der die "Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses" regelt. Wer diese Bestimmung verletzt, verstößt nicht nur gegen Recht, sondern riskiert auch ein Verwertungsverbot für seine mühevoll gewonnenen Informationen, die dann im Rahmen von straf-, zivil- und arbeitsrechtlichen Auseinandersetzungen nicht oder nur begrenzt verwendet werden können.Wegener erläutert, welche Vorbereitungen man treffen sollte. Es gilt beispielsweise dafür zu sorgen, dass mindestens vier Augen bei der Forensik mitwirken, und am besten alle relevanten Stellen, etwa der interne Datenschutzbeauftragte und der Betriebsrat einbezogen werden. Ein Alleingang von IT-Administratoren ist tabu. Hat man den Verdacht auf eine Straftat, sollte grundsätzlich eine Ermittlungsbehörde übernehmen. Neben den datenschutzrechtlichen Vorüberlegungen spielt die technische Vorgehensweise (Sichern und Auswerten) eine große Rolle. Auch hier hat Wegener einige Tipps parat.

    ...mehr
  • 01.07.2021
    65 MB
    01:17:43
    Cover

    Datenschutz-Basics für kleine Unternehmen

    Wer ein Unternehmen an den Start bringt, hat in der Regel anderes zu tun, als sich mit Datenschutz-Belangen zu beschäftigen. Das kann unangenehme Folgen haben, denn die Regeln der DSGVO gelten für kleine Start-ups fast exakt genauso wie für große Konzerne. In Episode 42 des Auslegungssache-Podcasts geben Joerg und Holger Tipps an die Hand, worauf das Augenmerk gerichtet werden sollte, um Ärger zu vermeiden.Zur Verstärkung haben sie Dr. Nils Christian Haag in die Sendung geladen. Der Rechtsanwalt schöpft aus seiner langjährigen Erfahrung als Datenschutzbeauftragter verschiedener Unternehmen und seiner Tätigkeit als Vorstand von Intersoft Consulting, eines auf Datenschutz-Beratung spezialisierten Unternehmens. Haag erläutert Punkt für Punkt, welche Vorschriften der DSGVO kleine Firmen und auch Vereine besonders im Fokus haben sollten.Unter anderem geht es um den Web-Auftritt, die Kundenpflege, korrektes Marketing, ein vernünftiges Verzeichnis der Verarbeitungstätigkeiten und natürlich die Auftragsverarbeitung. Auch wenn im Unternehmen unter 20 Mitarbeiter mit der Verarbeitung zu tun haben und deshalb kein Datenschutzbeauftragter vorhanden sein muss, ändere das nichts an den Pflichten, betont Haag: "Da kommt es manchmal zu folgenschweren Missverständnissen."

    ...mehr
  • 18.06.2021
    66 MB
    01:18:55
    Cover

    Roboter, Datenschutz und Ethik

    Mit Iris Phan haben Joerg und Holger eine Expertin an der Schnittstelle zwischen Technik, Recht und Philosophie in den Podcast eingeladen. Phan arbeitet als Juristin der Stabsstelle IT-Recht der Leibniz Universität Hannover und promoviert parallel zum Thema: "Künstliche Intelligenz: Rechtliche und ethische Implikationen am Beispiel des Sexroboters".In der Episode stellt sie zunächst dar, wie Roboter in der Medizin und Pflege, aber auch zur Erfüllung sexueller Bedürfnisse eingesetzt werden. Sowohl die Funktionen zum maschinellen Lernen und KI-Einsatz kommen zur Sprache, als auch die vielfältigen Sensoren, die in den Geräten verbaut sind und hoch sensible Daten erfassen.In der Regulierung ist diese Problematik noch nicht recht angekommen, meint Phan. Zumindest äußern sich Aufsichtsbehörden dazu noch nicht. Tatsächlich aber potenzieren sich in den Robotern Szenarien, die jeweils für sich schon für Skandale gesorgt haben, etwa die Aufzeichnung von Stimmen zur maschinellen Spracherkennung, nun kombiniert mit der Erfassung von Kamerabildern oder Körperaktivität. Phan plädiert für eine Debatte, die datenschutzrechtliche und ethische Aspekte einschließt.=== Anzeige / Sponsorenhinweis === Sophos stoppt Cyberangriffe – mit einem kompletten Portfolio modernster Cybersecurity-Lösungen. Jetzt informieren unter www.sophos.de === Anzeige / Sponsorenhinweis Ende ===

    ...mehr
  • 04.06.2021
    65 MB
    01:18:02
    Cover

    Wie entsteht eigentlich... eine DSGVO?

    Beinahe in jeder Episode diskutieren Joerg und Holger über einzelne Artikel der europäischen Datenschutz-Grundverordnung (DSGVO). Seit fünf Jahren ist das Gesetz nun in Kraft, seit drei Jahren wird es angewendet. Anlass genug, einmal auf die Entstehung zurückzublicken. Dazu ist Ralf Bendrath aus Brüssel zugeschaltet. Bendrath hat als wissenschaftlicher Mitarbeiter des (mittlerweile ehemaligen) grünen EU-Abgeordneten Jan-Philipp Albrecht (damals Berichterstatter des Parlaments zur DSGVO) maßgeblich am Gesetzestext mitgewirkt.Bendrath erläutert, wie Albrecht zu der Aufgabe kam, und wie die verschiedenen EU-Institutionen am Prozeß beteiligt waren: 2012 hatte zunächst die Kommission einen Vorschlag gemacht, der dann von Rat und Parlament diskutiert wurde. Albrecht musste fast 4000 (!) Änderungsanträge der Parlamentsfraktionen in seine Überarbeitung des Vorschlags einbeziehen. Außerdem empfingen er und Bendrath fast täglich Lobbyisten, die für Lockerungen so mancher DSGVO-Paradigmen warben. Das geschah ganz profan im Büro des Abgeordneten, "mit viel Club Mate", wie Bendrath erzählt.Spannend ist der Blick hinter die Kulissen des Brüsseler Alltags: Beispielsweise erläutert Bendrath, wie er sich abends gezielt in den Kneipen beim Bier zu Mitarbeitern des Rats gesellte um herauszufinden, wie dort der Stand ist, und um ihnen klarzumachen, wo die roten Linien des Parlaments verlaufen. Ein Beispiel sei die Zweckbindung bei der Verarbeitung personenbezogener Daten gewesen, die der Rat eigentlich kippen wollte. In diesem Prozess wurde der sogenannte Trilog vorbereitet, also die Verhandlung um eine finale Version des Gesetzestextes zwischen Parlament, Rat und Kommission, die Ende 2015 schließlich erfolgreich abgeschlossen wurde.

    ...mehr
  • 21.05.2021
    62 MB
    01:13:22
    Cover

    Recht vs. Technik: Ein Realitycheck

    Wenn Juristen Begriffe aus dem Datenschutzbereich verwenden, meinen sie damit oft etwas völlig anderes als Techniker, die dieselben Worte nutzen. Was soll der "Stand der Technik" sein? Was genau meint "Privacy by Design"? Joerg und Holger gehen in den Realitycheck und sprechen über Kommunikationsprobleme zwischen Datenschutzjuristen und ITlern. Dazu haben sie sich mit Peter Leppelt einen streitbaren, fachkundigen Praktiker eingeladen. Leppelt ist gelernter Informationstechniker und berät Organisationen im Bereich der IT-Security sowie in Datenschutz-Belangen.Bereits am Beispiel von Privacy by Design erkennt er grundsätzlich unterschiedliche Herangehensweisen: Während Techniker diesem Konzept zufolge oft bestrebt sind, möglichst wenige Daten überhaupt erst entstehen zu lassen, beschäftigen sich Juristen (und Gesetze) eher damit, den Zugriff darauf organisatorisch zu beschränken. Leppelt kritisiert diesen "Compliance-Ansatz" und nennt als Beispiel den Einsatz von Microsoft Office 365, der technisch derzeit eigentlich nicht datenschutzkonform geschehen könne, aber juristisch hilfsweise über geschriebene Regeln legalisiert werde. Dieses Konzept durchziehe die IT-Welt.Es sei etwa eine Illusion der Juristen zu glauben, Daten ließen sich in den Clouds großer Anbieter lokalisieren oder gar löschen, auch wenn es dafür rechtliche Garantien gebe. Leppelts These zur derzeitigen Umsetzung der DSGVO: "Wir verballern viel zuviel Zeit mit unnützem Kram wie Cookie-Bannern, Datenschutzerklärungen oder CC-Listen in Mails, anstatt an die technisch wichtigen Dinge zu gehen." Positiv sei der durch die Corona Warn App angestoßene Trend, dass sich "public money, public code" und die transparente, datensparsame Entwicklung gesellschaftlich bedeutender Software durchsetzt.

    ...mehr
  • 07.05.2021
    64 MB
    01:16:37
    Cover

    Im Auftrag der DSGVO

    Joerg und Holger besprechen in Episode 38 zunächst ein Bußgeld der niederländischen Datenschutzaufsicht gegen eine Gemeinde: Die Stadt Enschede hat mit WLAN-Sensoren den Andrang in der Innenstadt gemessen, hätte dabei aber auch Bewegungsprofile der Bürger-Smartphones erstellen können. Doch genügt es, dass sie es technisch hätte können, um sie dafür zu bestrafen? Rechtsanwalt Sascha Kremer, Gast der Sendung, bezweifelt das und hält das Bußgeld für übertrieben. Es ist nicht rechtskräftig, und wird es nach Meinung von Sascha wohl auch nicht werden.Schwerpunkt der Episode ist allerdings das datenschutzrechtliche Konstrukt der Auftragsverarbeitung. Welche Haftung trifft den Verantwortlichen, welche den Auftragsverarbeiter? Was ist ein AV-Vertrag, und vor allem: Wann ist er nötig und was muss drinstehen? Sascha erläutert, wie der wenig bekannte Artikel 29 der DSGVO zu interpretieren ist, in dem wage die Rolle der "unterstellten Person" des Verantwortlichen beschrieben ist, also etwa die aller Mitarbeiter im Unternehmen außer dem Chef. Anhand vieler Beispiele macht Sascha klar, wie wichtig es ist, sich mit der Auftragsverarbeitung zu beschäftigen, sei es als verantwortlicher Datenverarbeiter oder als davon Betroffener. Und um es richtig kompliziert zu machen, gibt es ja auch noch die gemeinsame Verantwortung ("Joint Controlling") ...

    ...mehr
  • 23.04.2021
    57 MB
    01:08:00
    Cover

    Anonymität: Der heilige Gral der DSGVO

    Die Pseudonymisierung und Anonymisierung von personenbezogenen Daten spielen für Technik und Wissenschaft eine große Rolle und sind so etwas wie der heilige Gral der DSGVO. Sie ermöglichen beispielsweise, dass die Verarbeitung von Gesundheitsdaten zu Forschungszwecken oder die dauerhafte Speicherung von IP-Adressen datenschutzkonform geschehen kann. Was man aber genau unter diesen Begriffen versteht, ist in der DSGVO nur sehr oberflächlich geregelt, wie Joerg und Holger in Episode 37 feststellen. Mit Hilfe von Adrian Schneider beleuchten sie das sich daraus ergebende Minenfeld. Adrian ist Rechtsanwalt bei der Kanzlei Osborne Clarke und begleitet Unternehmen bei der Entwicklung und Einführung innovativer IT-Produkte in den Bereichen Cloud-Infrastruktur, Smart Data und Machine Learning.Mit Adrian klären Joerg und Holger zunächst, welche die einschlägigen DSGVO-Vorschriften sind. Sie landen beim Erwägungsgrund 26 DSGVO, der eher schwammig definiert, wie der Personenbezug von Daten aufgehoben wird. Vielleicht hilft ja der Bundesdatenschutzbeauftragte? Dieser hat im Juni 2020 sein "Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche" veröffentlicht. Doch leider bringt auch das nicht viel mehr Klarheit, sondern schafft eher neue Probleme: Die drei müssen sich ihre eigenen Gedanken machen und geben Tipps dazu, was als hinreichende Anonymisierung im rechtlichen Sinn gelten könnte - und schimpfen dabei hin und wieder ein wenig auf den Gesetzgeber, der allzu unkonkret bleibt und das Problem auf die Praxis abwälzt.

    ...mehr
  • 09.04.2021
    59 MB
    01:10:19
    Cover

    Art. 5.2 - Die Al-Capone-Vorschrift

    In Episode 36 haben Holger und Joerg den Landesdatenschutzbeauftragten Baden-Württemberg zu Gast. Dr. Stefan Brink erläutert zunächst, wie es zum Bußgeld der Woche gekommen ist, das er selbst verhängt hat: 300.000 Euro muss die VfB Stuttgart AG bezahlen, weil sie keine Rechenschaft über Abflüsse von Mitgliederdaten des Vereins VfB Stuttgart an eine PR-Agentur geben konnte: Zum ersten Mal erfolgt eine Strafe wegen eines Verstoßes gegen Art. 5.2 DSGVO (Rechenschaftspflicht). Es geht um Verjährungsfristen, interne Vorgänge und einen angestrebten "Deal", weshalb das Bußgeld recht niedrig ausgefallen ist. Brink erläutert, wie es dazu kam, und er plädiert dafür, dass Datenschutzbehörden ihre Entscheidungen transparent machen, und er lädt dazu ein, Details zu Entscheidungsprozessen per Informationsfreiheitsgesetz einzufordern.Im zweiten Teil der Episode geht es um die Rolle der Landesdatenschutzbehörde Baden-Württemberg in der Debatte um Contact Tracing zum Pandemie-Schutz und speziell um die die luca-App. Diese sei ein "verdammt gut gemachtes Angebot". Brink plädiert für mehr Gelassenheit in der "puristischen Community" und für die Rolle des Datenschutzes als Ermöglicher statt als Verhinderer. Er legt an private Anbieter niedrigere Maßstäbe an als an staatliche Stellen, deshalb hat er keine Probleme mit der umstrittenenen luca-App und empfiehlt seiner Landesregierung den (für die Bürger freiwilligen) Einsatz. Politischen Einfluss auf diese Entscheidung habe es nicht gegeben. Derlei Behauptungen seien "Quark".

    ...mehr
  • 26.03.2021
    67 MB
    01:20:04
    Cover

    "Das Auge des Sauron"

    In Episode 35 verlassen Joerg und Holger die Debatte um DSGVO-Artikel und wagen den Exkurs in ein aktuelles netzpolitisches Thema: Es geht um Hassrede, den Umgang mit strafrechtlich relevanten Inhalten in Sozialen Netzwerken und vor allem um das Netzwerkdurchsetzungsgesetz (NetzDG). Dabei werden sie fachkundig begleitet von Dr. Marc Liesching, der als Professor für Medientheorie und Medienrecht an der Hochschule für Technik, Wirtschaft und Kultur (HTWK) Leipzig forscht und lehrt. Prof. Liesching und sein Team haben am 24. März eine 400-Seitige NetzDG-Teilevaluierung veröffentlicht (siehe Shownotes). Darin attestieren sie dem Gesetz, das seit 2018 in Kraft ist, seinen Zweck zu verfehlen und im Gegenteil höchstwahrscheinlich negative Effekte hervorzurufen, beispielsweise ein Overblocking rechtskonformer Inhalte in Sozialen Netzwerken. Im Podcast stellt Prof. Liesching die Befunde detailiert vor und ordnet das NetzDG in den deutschen und europäischen Regulierungsrahmen ein. Außerdem geht es um die Frage, welche Folgen für den Datenschutz entstehen, falls das "Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" und das "Gesetz zur Änderung des Netzwerkdurchsetzungsgesetzes" (NetzDGÄndG) wie von der Bundesregierung geplant noch vor der Bundestagswahl im September in Kraft treten.

    ...mehr
  • 12.03.2021
    61 MB
    01:12:40
    Cover

    Und schützt eure Daten!

    Nachdem Joerg und Holger über ein außerst skurriles Bußgeld gesprochen haben, geht es über den Umweg der darin thematisierten E-Mail-Verschlüsselung zum Selbstdatenschutz. Zusammen mit Karoline Busse sprechen die beiden darüber, mit welchen Maßnahmen Privatleute und Unternehmen ihre Daten gegen fremden Zugriff absichern sollten. Karoline hat an der Uni Hannover Informatik studiert und beschäftigt sich in Forschung und Lehre mit "Human-Centered Security and Privacy", also Sicherheit und Datenschutz mit dem Faktor Mensch im Mittelpunkt. Sie plädiert dafür, dass sich jeder nicht nur darüber klar sein sollte, welche seiner Daten er für schützenswert hält, sondern auch vor wem er sich schützen möchte: Berufsgeheimnisträger*innen etwa werden ein anderes Niveau anpeilen als Oma Erna. Im Gespräch vertritt Karo die Meinung, dass Usability eine große Rolle spielt, weshalb sie beispielsweise Verschlüsselung mit PGP für gescheitert erklärt, obwohl sie ein hohes Schutzniveau bietet. Stattdessen zeigten Messenger wie Signal, wohin die Reise beim Nutzer-zentrierten Datenschutz gehen sollte.

    ...mehr
  • 26.02.2021
    59 MB
    01:10:24
    Cover

    Datenschutz leben lernen

    Nach der eher technisch geprägten Episode 32 wurde es für Joerg und Holger mal Zeit, sich mit "Soft Skills" zu beschäftigen. Das ist genau die Spezialität von Anna Cardillo, die Organisationen dabei unterstützt, DSGVO-Anforderungen zu implementieren. Anna ist nicht nur Rechtsanwältin, sondern auch zertifizierte Datenschutzauditorin. Sie weiss davon zu berichten, wo es in Unternehmen hakt, wenn es um die Umsetzung eines funktionierenden Datenschutzmanagements geht: "Der Fisch stinkt da oft vom Kopf", berichtet sie. In Meetings stehen oft nicht nur sachliche Argumente im Vordergrund, bisweilen muss Anna auch ihre psychologischen Kenntnisse einsetzen, um Denkbarrieren einzureißen und gewohnte Vorgänge neu zu gestalten. "Awareness" heißt da das Zauberwort. Allerdings hat die Akzeptanz von Datenschutzerfordernissen in letzter Zeit gelitten. Anna erzählt aus der Praxis, sie plädiert für Offenheit und den Willen, neue Dinge auszuprobieren.

    ...mehr
  • 12.02.2021
    64 MB
    01:16:17
    Cover

    Wenn Daten lecken

    "Jan hat schon sehr viel Elend gesehen." So begrüßt Joerg den heutigen Episodengast, c't-Redakteur Jan Mahn. Und das nicht von ungefähr: Geht es bei c't um Datenpannen, kommt oft Jan ins Spiel und untersucht sowohl Ursachen als auch Auswirkungen derselben. Seine niederschmetternde Erkenntnis ist, dass vielen der datenschutzrelevanten Sicherheitsunfälle kein hochkomplexer Angriff zugrunde liegt, sondern schlicht Schlamperei von Entwicklern oder Admins. Da geht es um ungeschützte SMB-Freigaben genauso wie um Passwort-Datenbanken im Klartext oder veraltete Schutzmaßnahmen. Nach Ansicht von Jan häufen sich diese Lecks unter anderem, weil Entwickler in Unternehmen in agilen Arbeitsmodellen oft nicht mehr das Große und Ganze im Blick haben, sondern nur noch die Erledigung von Tickets in engen zeitlichen Rahmen. Im Podcast plaudert Jan über seine Erfahrungen, und Joerg schätzt die juristischen Konsequenzen dieser Datenlecks ein.

    ...mehr
  • 29.01.2021
    56 MB
    01:06:39
    Cover

    Privacy by Design

    In Episode 31 beschäftigen sich Joerg und Holger zunächst ausführlicher als gewohnt mit dem Bußgeld der Woche: Umgerechnet 10,6 Millionen Euro möchte die norwegische Datenschutzbehörde gegen die Dating-Plattform Grindr verhängen, weil sie ohne Einwilligung der Nutzer massenhaft personenbezogene Daten an mehrere Dutzend Drittfirmen weitergeleitet hat, darunter besonders sensible Informationen gemäß DSGVO. Als Gast zugeschaltet ist Marit Hansen, die Landesdatenschutzbeauftragte von Schleswig-Holstein. Und Marit hat zur Bußgeld-Diskussion gleich einiges beizutragen. Eigentliches Steckenpferd der gelernten Informatikerin sind aber die Konzepte Privacy by Design und Privacy by Default, die der Artikel 25 der DSGVO regeln soll. Entgegen landläufiger Meinung treffen die Pflichten aus diesem Artikel keineswegs Hersteller von Anwendungen, sondern vielmehr diejenigen, die die Software einsetzen (also die "Verantwortlichen"), wie Marit anschaulich erläutert. Ab Beispiel von Webbrowsern zeigen die drei konkret, was es zu beachten gilt. Allerdings gibt Marit zu bedenken, dass in Erwägungsgrund zu Artikel 25 vieles im Ungefähren bleibt und wohl auch deshalb bislang Verstöße gegen Privacy by Design kaum geahndet werden. Eine Ausnahme: Das hohe "Deutsche Wohnen"-Bußgeld beruht ausdrücklich auf einem Verstoß gegen Privacy by Design.

    ...mehr
  • 15.01.2021
    58 MB
    01:09:48
    Cover

    Journalismus und der Datenschutz

    Investigative Recherchen erfordern es oft, dass personenbezogene Daten gesichtet, extern bewertet und sortiert werden müssen - dies meist, ohne den Betroffenen zu informieren oder die Quelle offenzulegen. Damit der Journalismus diese gesellschaftliche Aufgabe erfüllen kann, nennt die DSGVO Ausnahmen der strengen datenschutzrechtlichen Vorgaben (Medienpriviliegien), die auch für Ton-, Bild- und Videoaufnahmen gelten können. Zu diesen Privilegien kursieren in der Öffentlichkeit einige Missverständnisse. Deshalb sprechen Joerg und Holger in dieser Episode darüber, für wen und in welchen Konstellationen die Ausnahmen gelten, und worauf JournalistInnen besonders achten sollten. Sie begeben sich aber nicht alleine ins Dickicht von Datenschutz- und Landespressegesetzen: Mit dabei ist Johannes Endres. Johannes war lange Jahre c't-Redakteur, Ressortleiter, und von 2013 bis 2017 Chefredakteur von heise online und c’t. Von 2015 bis 2020 war er außerdem Mitglied des deutschen Presserats, dort Vorsitzender der beiden Beschwerdeausschüsse "Trennung von Werbung und Redaktion" und "Redaktionsdatenschutz". Derzeit arbeitet Johannes bei Althammer & Kill, einem Unternehmen, das Unternehmen bei der Umsetzung von Datenschutzbestimmungen berät.

    ...mehr
  • 31.12.2020
    89 MB
    01:46:42
    Cover

    Pandemischer Jahresrück- und ausblick

    Das Datenschutzjahr 2020 fordert dazu heraus, kritisch beäugt zu werden. Joerg und Holger haben sich für einen Blick zurück im Zorn Dr. Thomas Schwenke eingeladen. Thomas kennt sich als selbstständiger Rechtsanwalt mit Spezialgebiet Social-Media-Recht bestens in der aktuellen datenschutzrechtlichen Lage aus und betreibt nebenher den Podcast "Rechtsbelehrung". In dieser Auslegungssache XXL kommentieren die Drei viele der Themen rückblickend, die in vergangenen Episoden bereits ausführlicher zur Sprache kamen: Natürlich geht es um das Ende des Privacy-Shields und die Corona-Warn-App, aber auch ums Elend mit den Cookie-Bannern, die (nicht für alle) leidigen Videokonferenz-Tools und die rechtlichen Folgen des Brexits. Der bisweilen leicht polemische Datenschutz-Stammtisch moniert die Tendenz, Freiheitsrechte und Privatsphäre der europäischen Bürgerinnen und Bürger immer weiter einzuschränken. Zum Abschluss gibt es noch einen Blick in die Zukunft: Welche Themen werden 2021 und darüber hinaus auf die Agenda rutschen? Allen Hörerinnen und Hörern einen guten Rutsch ins hoffentlich bessere Jahr 2021. Bleibt gesund, und: Schützt Eure Daten!

    ...mehr
  • 18.12.2020
    58 MB
    01:09:22
    Cover

    ITSIG in kritischer Kritis-Kritik

    Joerg und Holger wildern wieder einmal im Bereich der IT-Sicherheit, weil Security ihrer Meinung nach eben direkt mit dem Schutz von Daten zusammenhängt. Ihr Gast in dieser Episode ist ein ausgesprochener Praktiker, nämlich der @HonkHase, den man außerhalb von Twitter auch unter seinem Namen Manuel Atug kennt. Manuel berät als Senior Manager der HiSolutions AG Unternehmen bei der Einführung von Informationssicherheits-Management-Systemen. Außerdem ist er in diversen Vereinen wie dem CCC aktiv und hat als Experte für kritische Infrastrukturen die unabhängige AG Kritis gegründet. Nachdem sich Joerg wieder einmal an der irischen Datenschutzbehörde abgearbeitet hat, geht es um staatliche IT-Security-Regulierung. Die Drei plaudern über legendäre gesetzgeberische Fehlschläge und aktuelle Sicherheitsunfälle. Manuel erinnert mehrfach daran, dass ID-Sicherheit kein Zustand, sondern ein Prozess ist. Als er Fails aus der Praxis erzählt, gruselt es Joerg. Zu unguter Letzt geht es um die Novellierung des IT-Sicherheitsgesetzes (IT-SIG 2.0), die gerade (am 16.12.2020) das Kabinett der Bundesregierung passiert hat. Manuel lässt kein gutes Haar am Verfahren und Ergebnis.

    ...mehr
  • 04.12.2020
    59 MB
    01:10:03
    Cover

    Grenzen der Videoüberwachung

    Nachdem Joerg seinem Ärger über das Schufa-Projekt "CheckNow" Luft gemacht und bei der Gelegenheit die Rubrik "Ärgernis der Woche" ausgerufen hat, widmet er sich mit Holger dem Schwerpunkt-Thema dieser Episode, nämlich der Videoüberwachung im nicht-öffentlichen Bereich. Mit von der Partie ist Rechtsanwältin Carola Sieling, die StammhörerInnen bereits aus Episode 18 kennen. Carola berät Unternehmen bei der Vorbereitung von Kamera-Anlagen und kennt sich in der Materie aus Datenschutzsicht bestens aus. Sie erläutert, was es von Unternehmensseite bei der Vorbereitung zu beachten gilt, und was zu welchem Zweck möglich und gestattet ist. Dabei geht es keineswegs nur um die DSGVO, sondern natürlich spielen auch andere Felder wie das Urheber- oder das Persönlichkeitsrecht eine große Rolle. Für Angestellte und Private dürfte interessant sein zu erfahren, was sie sich an Videoüberwachung bieten lassen müssen und wo sie berechtigt Einsprüche anmelden sollten.

    ...mehr
  • 25.11.2020
    54 MB
    01:04:31
    Cover

    26. "Frau Thiel schweigt jetzt"

    Joerg und Holger begrüßen in Episode 26 die niedersächsische Landesdatenschutzbeauftragte (LfDI) Barbara Thiel. Frau Thiel erzählt, wie sie 2015 in ungewöhnlich kurzer Zeit zu ihrem Amt gekommen ist, zunächst ohne zu ahnen, was da mit der DSGVO an Herausforderungen auf sie zukommen würde. Sie bemängelt, dass ihre Behörde dafür zu schlecht ausgestattet war und auch heute noch personell unzureichend bestückt ist. Im Vergleich zu 2019 sei auch bedingt durch die Corona-Pandemie das Beschwerdeaufkommen weiter gestiegen. Die Bestrebungen, Datenschutzaufsicht von den Ländern hin zum Bund zu verlagern, sieht Thiel überaus kritisch, weil dabei kleine Unternehmen und der Mittelstand zu den Verlierern gehören könnten. Stattdessen könne man doch die DSK stärken. In Sachen Homeschooling drängt die LfDI auf die Einführung der bereits für Mai 2020 angekündigten Bildungscloud. Sie kritisiert, dass bis heute kein Datenschutzkonzept dazu vorliegt. Die Duldung anderer Lösungen hat wohl irgendwann auch mal ein Ende. Von der Datenschutzfee wünscht sich Frau Thiel: "Mehr Befugnisse und mehr Personal!"

    ...mehr
  • 12.11.2020
    54 MB
    01:04:03
    Cover

    25. Die Rolle des Datenschutzbeauftragten

    Oha, bereits ein Jahr und 25 Episoden Auslegungssache? Joerg und Holger ist das kürzlich aufgefallen. Deshalb haben sie einen speziellen Gast in die virtuelle Runde eingeladen, nämlich Rechtsanwalt Nikolas Maekeler. Nikolas war sowohl bei der Konzeption als auch in den ersten Folgen des Podcasts stets dabei, bevor er beschloss, den Heise-Verlag zu verlassen und sein Glück als Syndikusanwalt eines Versicherungskonzerns zu suchen. In dieser Episode plaudern die drei ein wenig über die Anfänge des Podcast-Projekts. Weil Nikolas nun auch Datenschutzbeauftragter im Konzern ist, bot es sich an, einmal ausführlicher auf diese Funktion einzugehen, die die DSGVO für Firmen und Behörden immerhin vorschreibt. Für Holger stellt sich dabei insbesondere die Frage, warum an ein soltes "Amt" übernehmen sollte; welche Vorteile und zusätzliche Aufgaben sich daraus für Arbeitnehmer ergeben können. Auch die Position von externen Datenschutzbeauftragten beleuchten die Drei.Das Bußgeld der Woche: [https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-fahrzeughalter-2020-10-14-ES-682.php](https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-fahrzeughalter-2020-10-14-ES-682.php) Tesla-Gutachten von Dr. Thilo Weichert: [https://www.netzwerk-datenschutzexpertise.de/dokument/kfz-automation-und-autonomes-fahren](https://www.netzwerk-datenschutzexpertise.de/dokument/kfz-automation-und-autonomes-fahren)

    ...mehr
  • 12.11.2020
    48 MB
    57:28
    Cover

    24. Der BfDI im Gespräch

    Joerg und Holger begrüßen in der Auslegungssache 24 den Bundesdatenschutzbeauftragten Prof. Ulrich Kelber. Natürlich geht es im Gespräch in erster Linie um Dinge, die derzeit die Datenschutzwelt bewegen. Insbesondere um das Urteil SchremsII, mit dem der EuGH Unternehmen und Behörden die Rechtsgrundlage zum Transfer von personenbezogenen Daten in die USA de facto entzogen hat. Kelber verrät beispielsweise bei dieser Gelegenheit, dass die Datenschutzkonferenz Empfehlungen zur rechtssicheren Datenübermittlung via EU-Standardschutzklauseln erarbeitet. Der Bundesdatenschutzbeauftragte teilt offenkundig durchaus die never ending Kritik von Joerg und Holger an der irischen Datenschutzaufsicht. Sehr spannend: Kelber erklärt, wie seine Behörde aufgestellt ist und welchen Einfluss er auf Gesetzgebungsverfahren haben kann. Und ganz zum Ende befragt Ulrich Kelber sogar die gute Datenschutzfee. Eine Transparenz-Anmerkung: Wer in den ersten fünf Minuten Tonschnitte bemerkt, liegt richtig. Wir haben nichts herausgeschnitten, sondern nur ein wenig sortiert, weil es Probleme mit getrennt aufgezeichneten Tonspuren gab.

    ...mehr
  • 12.11.2020
    62 MB
    01:13:38
    Cover

    23. Big Brother Arbeitgeber

    Dieser Bußgeldbescheid schlug ein wie eine Bombe: Rund 35 Millionen Euro soll der Modekonzern H&M zahlen, weil er in seinem Nürnberger Servicecenter illegal private Lebensumstände von Mitarbeitern erfasst und ausgewertet hat. Noch ist nicht klar, ob H&M die Strafe des zuständigen Hamburgischen Datenschutzbeauftragten hinnehmen wird. Auf jeden Fall aber wirft das Verfahren ein Schlaglicht auf die technischen Möglichkeiten der Mitarbeiterüberwachung. Welche Grenzen das europäische Datenschutzrecht Arbeitgebern setzt, diskutieren Joerg und Holger zusammen mit ihrem Gast Peter Hense. Peter arbeitet als Rechtsanwalt im internationalen IT- und Technologierecht, im Datenschutz sowie der Prozessführung (Privacy Litigation). Seiner Ansicht nach beginnt der DSGVO-Hammer erst allmählich zu kreisen, was den Beschäftigtendatenschutz angeht. Neben Bußgeldern in erheblicher Höhe könnten auch drohende Schadensersatzansprüche von Mitarbeitern dazu führen, dass Unternehmen künftig diesem Thema höhere Priorität einräumen. An der Zeit wäre es in vielen Bereichen, man denke etwa an die Callcenter- und Paketzustellbranchen.

    ...mehr
  • 12.11.2020
    51 MB
    01:01:36
    Cover

    22. Österreichisches Minesweeper

    Diskussionen rund um den Datenschutz und die DSGVO werden hierzulande meist stark aus inländischer Sicht geführt. Sei es, wenn es um die Höhe von Bußgeldern, die Auslegung der DSGVO-Artikel oder um die praktischen Auswirkungen der DSGVO geht. Joerg und Holger weiten deshalb in Episode 22 einmal den Blick und schauen hinüber ins Nachbarland Österreich. Dort an der Universität Wien leitet Professor Nikolaus Forgó das Institut für Innovation und Digitalisierung im Recht. Prof. Forgó erläutert die Unterschiede im Institutionensystem zwischen den beiden Ländern und erklärt, warum die österreichische Datenschutzaufsicht zurückhaltender Bußgelder verhängt als die deutschen Behörden. Außerdem geht es um eine Kuriosität in der österreichischen DSGVO-Umsetzung: Obwohl es die Verordnung nicht vorsieht, umfasst sie auch den Schutz der Daten von juristischen Personen, also etwa von Unternehmen. Dies führte in Österreich bereits zu einigen gerichtlichen Auseinandersetzungen.

    ...mehr
  • 12.11.2020
    56 MB
    01:06:31
    Cover

    21. Zeitbombe Schadensersatz II

    Bereits vor rund 10 Monaten in Episode 3 warnte Joerg vor Schadensersatzforderungen, die aus DSGVO-Verstößen abgeleitet werden können. Noch ist die Rechtsprechung diffus, aber Berichte über Ansprüche nach Art. 82 DSGVO häufen sich. Zeit also, dieses Thema erneut zu beleuchten. Dazu haben sich Joerg und Holger mit Rechtsanwalt Tim Wybitul einen Experten aus der Praxis in den Podcast geholt. Tim arbeitet in der Kanzlei Latham & Watkins und kann von tausenden Schadensersatzforderungen berichten, denen sich von der Kanzlei vertretene Unternehmen gegenübersehen. Er erläutert die rechtlichen Grundlagen, seine Bewertung der Forderungen und beispielhaft auch bereits ergangene Urteile. Tims Prognose: Sobald Klagen Erfolg versprechen, werden Schadensersatz und Schmerzensgeld Legal-Tech-Unternehmen anlocken, die massenhaft Forderungen aufkaufen und durchsetzen könnten.=== Anzeige / Sponsorenhinweis === Abonnieren auch Sie den Podcast "Der Datenschutz Talk"! Wöchentlich präsentieren wir Ihnen aktuelle Nachrichten aus dem Datenschutz. Immer freitags, um sich auf der Fahrt ins Wochenende ein kurzes Update zu holen. Verpassen Sie auch nicht unsere Langfolgen. Hier diskutieren wir mit Experten aktuelle und spannende Sachverhalte aus der beruflichen Praxis eines DSB. https://www.migosens.de/podcast/ === Anzeige / Sponsorenhinweis Ende ===

    ...mehr
  • 12.11.2020
    59 MB
    01:10:01
    Cover

    20. Besorgter Blick in die Glaskugel

    Sowohl in der EU als auch in Deutschland entstehen derzeit Gesetze, die IT-Sicherheit und Datenschutz neu regulieren werden. Joerg und Holger reden deshalb diesmal über ungelegte Eier, auch wenn das Joerg eigentlich gar nicht so gerne tut. Es geht um offizielle und geleakte Referentenentwürfe, die klar zeigen: Da kommt in nächster Zeit einiges auf BürgerInnen und Unternehmen zu. Diesmal komplettiert Dr. Simon Assion die Runde. Er hat sich bereits mit den Entwürfen zur TKG-Novellierung und dem geplanten TTDSG befasst, in dem unter anderem Cookies neu reguliert werden sollen. Simon ordnet diese Vorhaben in einen größeren Kontext ein und findet durchaus kritische Worte. Simon ist Rechtsanwalt bei der Kanzlei Bird&Bird und berät dort zu allen Fragen des Kommunikations- und Informationsrechts. Folgt ihm auf Twitter, es lohnt sich! Sein Handle: @sas_assion

    ...mehr
  • 12.11.2020
    54 MB
    01:05:01
    Cover

    19. Irgendwann erwischt es jeden!

    Wer mit personenbezogenen Daten hantiert, muss sich vor Angriffen schützen! Das gilt für alle Organisationen, seien es Unternehmen, Krankenhäuser oder Gerichte. Das EU-Datenschutzrecht sieht heftige Bußgelder vor, wenn sie wegen technischer Mängel Opfer von kriminellen Angriffen auf ihre IT-Infrastruktur werden. Doch die Vorgaben in der DSGVO zur zwingend erforderlichen Vorsorge sind eher wage. Joerg und Holger sehen sich wieder einmal den einschlägigen Artikel 32 an und klären, welche präventiven Maßnahmen sinnvoll sind. Unterstützt werden sie dabei von Jürgen Schmidt, dem leitenden Redakteur von heise Security und außerdem dem Senior Fellow Security des Heise-Verlags. Jürgen liefert News von der Malware-Front, schätzt die derzeitige Bedrohungslage ein und erläutert, wie Ransomware-Banden derzeit vorgehen. Sein Mantra lautet: "Jeder muss davon ausgehen, dass es ihn erwischt, und entsprechend planen!"

    ...mehr
  • 12.11.2020
    61 MB
    01:13:14
    Cover

    18. Next Stop Privacy Harbour?

    Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield zerschlagen und damit einen großen Teil des Datenflusses aus der EU in die USA für gesetzeswidrig erklärt. Das Datenschutzniveau in den USA sei nicht angemessen, widersprach der EuGH damit der EU-Kommission. Ein Jammern und Wehklagen der Wirtschaft ist nicht zu überhören, obwohl die Entscheidung nicht gerade überraschend kam. Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg und Holger zusammen mit Carola Sieling nach. Carola ist auf IT-Recht spezialisierte Rechtsanwältin (kanzlei-sieling.de) in Hamburg und Paderborn. Sie stellt erst einmal fest: Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Dann erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.

    ...mehr
  • 12.11.2020
    68 MB
    01:11:29
    Cover

    17. Cloud oder nicht Cloud?

    Juhu, die Auslegungssache macht Corona-frei! Joerg und Holger lassen das Pandemie-Thema beherzt links liegen und beackern ein wichtiges Themenfeld, dessen Würdigung aus aktuellen Anlässen viel zu lange verschoben wurde: Es geht diesmal um die Frage, wie Cloud-Dienste angesichts der DSGVO-verschärften Bedingungen rechtmäßig genutzt werden können. Zusammen mit Dr. Christoph Wegener tastet sich das c't-Team an die Bedingungen heran, die das aktuelle EU-Datenschutzrecht vorgibt - sowohl für Unternehmen als auch für Privatleute. Dabei wird es durchaus etwas technisch, etwa bei den Fragen, was der von der DSGVO vorgegebene "Stand der Technik" sein könnte und wie Datenlöschungskonzepte in der Cloud funktionieren können. Christoph ordnet die Dinge ein und gibt Ideen für eigene Checklisten vor dem Gang in die Cloud. Er ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Ein Disclaimer in eigener Sache: Christoph hilft uns außerdem als Co-Organisator Heise-Security-Konferenz.

    ...mehr