Auslegungssache – der c't-Datenschutz-Podcast – Détails, épisodes et analyse

In Episode 117 dreht sich fast alles um das große Wort "Verantwortung". Diese ist ein Grundpfeiler des Datenschutzrechts: Wo personenbezogene Daten verarbeitet werden, muss jemand existieren, der für die Mittel und die Zwecke verantwortlich zeichnet. Diese reale oder juristische Person muss die Rechte von Betroffenen berücksichtigen, sorgt für rechtmäßige technische Maßnahmen und erfüllt die Compliance-Anforderungen. Nur ist es in der komplexen technischen Welt so, dass eher selten ein Verantwortlicher alles in der eigenen Hand hat. In der Regel werden Datenverarbeitungen ausgelagert, sei es zu einem Cloud-Anbieter oder eine Marketingagentur. Meist vereinbaren die Partner eine Auftragsverarbeitung, bei der der Verarbeiter nur Deligierter, aber kein Verantwortlicher ist. Mitunter kommt es aber auch vor, dass sich mehrere Parteien die Verantwortung zur Verarbeitung teilen. das sogenannte "Joint Controlling" nach Art. 26 DSGVO. Und hier wird es kompliziert. c't-Redakteur Holger und heise-Verlagsjustiziar Joerg besprechen dieses komplexe Feld mit Dr. Johannes Marosi. Johannes arbeitet als Rechtsanwalt für IT- und Datenschutzrecht bei Graf von Westphalen in Frankfurt am Main. Insbesondere aber hat er seine Dissertation über das Thema der gemeinsamen Verantwortung im Datenschutzrecht geschrieben. Johannes bestätigt, dass die alleinige Verantwortung heute selten vorkommt, da die meisten Unternehmen externe Dienstleister für verschiedene Aufgaben hinzuziehen. Ein typisches Beispiel für vertraglich gefestigte Auftragsverarbeitung ist das Webhosting, bei dem ein Cloud-Anbieter Kundendaten speichert und verarbeitet. Bei der gemeinsamen Verantwortung müssen die beteiligten Parteien in einem sogenannten Joint-Controller-Agreement festlegen, wer welche Aufgaben und Pflichten übernimmt. Johannes betont, dass es wichtig sei, derlei Vereinbarungen detailliert auszuarbeiten, um spätere Konflikte zu vermeiden. Im Gespräch wird deutlich, dass die gemeinsame Verantwortung komplex und oft schwer zu handhaben ist. Obwohl die DSGVO rechtliche Rahmenbedingungen vorgibt, bleibt vieles in der Praxis unklar. Unternehmen müssten daher sorgfältig prüfen, wie sie ihre Datenschutzverantwortung organisieren und dokumentieren, resümiert Johannes.

Die Auslegungssache weitet wieder einmal den Blick und schaut auf die Entwicklung der Digital- und Netzpolitik aus bürgerrechtlicher Perspektive. Zu Gast ist diesmal Markus Beckedahl. Wohl kaum jemand in Deutschland hat von zivilgesellschaftlicher Seite in den vergangenen 20 Jahren die Debatten intensiver verfolgt und mitgeprägt als er. Markus hat 2003 das Blog netzpolitik.org gegründet und war dort bis 2022 Chefredakteur. Im März dieses Jahres hat er den Staffelstab gänzlich übergeben. Außerdem ist er Mitinitiator der jährlichen Konferenz re:publica, deren Programm er noch heute kuratiert. Und nicht zuletzt hatte er 2010 den Verein "Digitale Gesellschaft" mitgegründet, dessen Vorsitzender und Sprecher er bis 2015 war. Im Gespräch mit Holger und Joerg schildert Markus, wie es sich anfühlte, als er 2015 erfuhr, dass gegen ihn wegen Landesverrats ermittelt wurde. Damals hatte netzpolitik.org Dokumente des Bundesamtes für Verfassungsschutz online gestellt, in denen es um Pläne zur stärkeren Überwachung des Internets ging. Markus, der inzwischen neue Projekte gestarten hat, blickt insgesamt positiv auf die netzpolitische Entwicklung in Deutschland zurück. "Manchmal grüßt schon das Murmeltier und die Forderungen nach mehr Überwachung wiederholen sich. Aber wenn wir nichts gemacht hätten wäre alles viel schlimmer", ist er sich sicher. Im digitalpolitschen Bereich helfe es, in langen Linien zu denken und zu schauen, wo man Steine in den Weg legt, um Fehlentwicklungen zu verhindern. Denn, so resümiert Markus: "Eine bessere digitale Welt ist möglich!"

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield zerschlagen und damit einen großen Teil des Datenflusses aus der EU in die USA für gesetzeswidrig erklärt. Das Datenschutzniveau in den USA sei nicht angemessen, widersprach der EuGH damit der EU-Kommission. Ein Jammern und Wehklagen der Wirtschaft ist nicht zu überhören, obwohl die Entscheidung nicht gerade überraschend kam. Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg und Holger zusammen mit Carola Sieling nach. Carola ist auf IT-Recht spezialisierte Rechtsanwältin (kanzlei-sieling.de) in Hamburg und Paderborn. Sie stellt erst einmal fest: Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Dann erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.

Juhu, die Auslegungssache macht Corona-frei! Joerg und Holger lassen das Pandemie-Thema beherzt links liegen und beackern ein wichtiges Themenfeld, dessen Würdigung aus aktuellen Anlässen viel zu lange verschoben wurde: Es geht diesmal um die Frage, wie Cloud-Dienste angesichts der DSGVO-verschärften Bedingungen rechtmäßig genutzt werden können. Zusammen mit Dr. Christoph Wegener tastet sich das c't-Team an die Bedingungen heran, die das aktuelle EU-Datenschutzrecht vorgibt - sowohl für Unternehmen als auch für Privatleute. Dabei wird es durchaus etwas technisch, etwa bei den Fragen, was der von der DSGVO vorgegebene "Stand der Technik" sein könnte und wie Datenlöschungskonzepte in der Cloud funktionieren können. Christoph ordnet die Dinge ein und gibt Ideen für eigene Checklisten vor dem Gang in die Cloud. Er ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Ein Disclaimer in eigener Sache: Christoph hilft uns außerdem als Co-Organisator Heise-Security-Konferenz.

Joerg und Holger kommen vom Thema einfach nicht los: Auch in Episode 16 geht es wieder um die Corona-Warn-App. Diesmal dient sie als Beispiel dafür, warum eine solch komplexe Datenverarbeitung eine sogenannte Datenschutzfolgeabschätzung (DSFA) benötigt. Zu Gast in der Auslegungssache ist diesmal Ninja Marnau. Ninja forscht am Helmholtz Center for Information Security (CISPA) in Saarbrücken zu Datenschutzthemen. Sie war beratend in den Entwicklungsprozess der Corona-Warn-App involviert und arbeitete auch bei der 117-starken DSFA mit. die DSFA selbst lässt sich unter diesem Link (PDF) abrufen: https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

Die informierte Einwilligung! Stimmt der Bürger nur aktiv zu, soll jeder Empfänger fast alles mit seinen Daten anstellen dürfen. So hat es nach dem EuGH jüngst auch der BGH bestätigt. Und den Bürgerinnen und Bürgern hat es sich so eingebrannt. Doch stimmt das? Und ist es das, was die EU als Gesetzgeber mit der DSGVO gewollt hat? Bürgerinnen und Bürger, die nicht mehr durchblicken und deshalb alles abnicken, weil sie nun mal die Dienste nutzen wollen? Zweifel sind angebracht, denn es gibt nicht nur die Einwilligung, sondern gleichberechtigt fünf andere eigentlich gleichrangige Rechtsgründe dafür, Daten erheben und verarbeiten zu dürfen, die aber derzeit faktisch zurücktreten. Darüber diskutieren Joerg und Holger mit Kirsten Bock. Sie studierte Rechtswissenschaften und arbeitet seit vielen Jahren als Datenschutzjuristin im aufsichtsbehördlichen Bereich, forscht zu ethischen und gesellschaftlichen Grundsatzfragen des Datenschutzes und ist eine der Autorinnen des Standard-Datenschutzmodells. Und sie äußert aus Datenschutzperspektive heftige Kritk am Modell der Corona-Warn-App, die kommende Woche erscheinen soll. Auch das musste natürlich begesprochen werden in dieser Episode.

Endlich! Die irische Datenschutzbehörde ist aufgewacht. Joerg und Holger präsentieren tatsächlich einen Bußgeldbescheid der DPC, allerdings gegen eine öffentliche Stelle. In Sachen Facebook bleibt sie nach wie vor untätig, was den Datenschützer Max Schrems in einem Brandbrief zum Urteil "Die DSGVO ist dysfunktional" veranlasste, wie Holger berichtet. Im Schwerpunkt von Episode 14 geht es aber um Microsoft 365 (ehemals Office 365). An dem viel genutzten Cloudoffice- und Workgroup-Paket scheiden sich die Datenschutz-Geister. Während der Konzern stets betont, alle DSGVO-Vorgaben einzuhalten, warnen einige Datenschutzbehörden vor dem Einsatz in Behörden, Schulen und Unternehmen. Zusammen mit ihrem Gast Thomas Althammer grübeln sie darüber, wo die Knackpunkte liegen und ob Microsoft wirklich mit offenen Karten spielt. Zweifel sind zumindest angebracht, wie Thomas zu berichten weiß. Er kennt die Problematiken aus der beruflichen Praxis: Sein Unternehmen Althammer&Kill berät namhafte Unternehmen als externer Datenschutzbeauftragter, zu Informationssicherheit und in IT-Strategiefragen, und Thomas selbst hat sich ausführlich mit den datenschutzrechtlichen Fallstricken rund um den Einsatz von Microsoft 365 beschäftigt.

Endlich wieder ein knackiges Bußgeld der Woche - die Aufsichtsbehörden erwachen wohl aus dem Corona-Schlaf. Auch Joerg und Holger wollen in die neue Normalität und besprechen, welchen Beitrag dazu die Kontaktverfolgung mit Smartphone-Apps leisten kann. Mehr als nur Unterstützung erhalten sie dabei von Linus Neumann, der aus Berlin zugeschaltet ist. Linus ist unter anderem Sprecher des Chaos Computer Clubs (CCC) und Podcaster (https://logbuch-netzpolitik.de). Er hat sich intensiv mit den App-Konzepten beschäftigt und erklärt in dieser XL-Episode ausführlich, wie die Kontaktverfolgung mittels Bluetooth funktioniert, welche Unterschiede zwischen den zentralen und dezentralen Ansätzen bestehen, wie Apple und Google in die Situation eingriffen und wie das Tracing nun datenschutzschonend ablaufen könnte. Unter Mitwirkung von Linus hat der CCC zehn Prüfsteine für die Beurteilung von Contact-Tracing-Apps formuliert: https://www.ccc.de/de/updates/2020/contact-tracing-requirements Gebt uns gerne Feedback an auslegungssache@heise.de oder im Forum unter ct.de/auslegungssache :-)

Wen interessiert denn gerade Datenschutz? Joerg und Holger gehen der Frage nach, welche Rolle der Datenschutz als Grundrecht bei den Maßnahmen zur Corona-Eindämmung spielt. Natürlich geht es um den verantwortungsvollen Umgang mit Gesundheitsdaten, aber etwa auch darum, welche Möglichkeiten Schulen haben, per Videochat zu unterrichten. Eine wenig überzeugende Rolle spielen hier derzeit die Landesdatenschutzbehörden, die kaum konkrete Hinweise geben. Das sieht auch der Bundesdatenschutzbeauftragte a.D. Peter Schaar so, der in dieser Episode aus Hamburg zugeschaltet ist. Schaar, der heute der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) vorsteht, hat einen Apell namens "Corona – Pandemie bekämpfen, Bürgerrechte und Datenschutz wahren!" initiiert, der hier zu finden ist: https://www.eaid-berlin.de/appell-der-europaeischen-akademie-fuer-informationsfreiheit-und-datenschutz-corona-pandemie-bekaempfen-buergerrechte-und-datenschutz-wahren/