Auslegungssache – der c't-Datenschutz-Podcast – Details, episodes & analysis

Schwarz-Rote Koalition: Datenschutz im Umbruch Im c't-Datenschutz-Podcast diskutieren Holger Bleich, Joerg Heidrich und Ex-Landesdatenschützer Stefan Brink über die geplante Neuausrichtung des Datenschutzes unter der schwarz-roten Koalition. Droht ein Abschied vom föderalen Modell? Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger? Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse. Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt. Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will. Beim Thema Informationsfreiheit herrscht Ernüchterung: Ein modernes Transparenzgesetz, wie es der Ampelkoalition vorschwebte, ist nun nicht mehr in Sicht, stattdessen ist laut Brink "vier Jahre Winter" angesagt. Am Ende steht das Bild einer komplexen Gemengelage: Datenschutz bleibt ein zentrales Grundrecht, steht aber unter politischem und wirtschaftlichem Druck.

Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende. Im c't-Datenschutz-Podcast erläutern Holger und Joerg Heidrich zusammen mit Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe. Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil. Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Holger, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben. Auch sogenannte Standardvertragsklauseln als Alternative stehen auf tönernen Füßen, da der EuGH hohe Anforderungen an "Transfer Impact Assessments" stellt. US-Gesetze wie der CLOUD Act ermöglichen weiterhin den Zugriff auf Daten bei US-Anbietern. Für EU-Unternehmen ist es kaum leistbar, sich komplett von US-Diensten zu lösen, da eine digitale Souveränität Europas fehlt. Die Aufsichtsbehörden in Deutschland und Europa sitzen nach Brinks Schilderung zwischen den Stühlen: Sie wissen um die rechtlichen Mängel, schrecken aber vor harten Maßnahmen zurück – auch aus Furcht vor wirtschaftlichem Chaos. Stattdessen setzen sie auf Dialog und hoffen, dass Unternehmen zumindest Alternativen prüfen. Die Diskutanten sehen die Gefahr, dass der Datentransfer zum Spielball im Handelskonflikt zwischen den USA und der EU werden könnte. Am Ende bleibt die Erkenntnis: Der transatlantische Datenverkehr ist in schwere See geraten, und Unternehmen täten gut daran, sich nach Alternativen umzusehen.

Lange erwartet, nun viel diskutiert: Das Urteil des Bundesgerichtshofs (BGH) zum Schadensersatzanspruch aus Art. 82 der Datenschutz-Grundverordnung (DSGVO) beschäftigt nicht nur Juristen. Der BGH hatte sich mit der Frage beschäftigt, ob schon der bloße Kontrollverlust über eigene Daten einen immateriellen Schaden begründen kann. Anlass war ein Datenleak bei Facebook im Jahr 2019, bei dem Kriminelle über eine zu weit offene Schnittstelle an Nutzerdaten wie Namen, Telefonnummern und Adressen von über 500 Millionen Nutzern gelangten, darunter mutmaßlich sechs Millionen Deutsche. Der BGH hatte sich ein Berufungsurteil des Oberlandesgerichts Köln herausgepickt und die Revision zum sogenannten Leitentscheidungsverfahren erklärt. Diese Möglichkeit hat das oberste deutsche Gericht, seit am 31. Oktober das Leitentscheidungsgesetz in Kraft getreten ist: In Fällen, die grundlegende Rechtsfragen betreffen, soll eine Leitentscheidung des BGH als Richtschnur für niedere Instanzen in ähnlichen Fällen dienen. In seinem Urteil (Az. VI ZR 10/24) hat der BGH am 18. November die Hürden für immaterielle Schadensersatzansprüche nach Art. 82 DSGVO sehr niedrig gesetzt. Entgegen der Auffassung von Meta könne "auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein". Demnach müssen Betroffene nicht nachweisen, dass ihre Daten missbräuchlich verwendet worden seien. Auch Belege für Angst und Sorge vor einem Missbrauch sind dem Urteil zufolge nicht erforderlich. Besonders spannend: Nicht nur mündlich während der Urteilsverkündung, sondern auch in seiner schriftlichen Urteilbegründung gab der BGH den Instanzgerichten konkrete Hinweise zur Höhe der finanziellen Entschädigung für den erlittenen "Kontrollverlust". Für den konkreten Fall, bei dem keine Schäden nachgewiesen wurden, schlug er eine "Größenordnung von 100 Euro" vor. Falls der ein Fall gravierender ist, kann der Betrag laut BGH allerdings auch wesentlich höher sein. Im c't-Datenschutz-Podcast erläutert Dr. Lea Stegemann, Rechtsanwältin und Expertin für Schadensersatzansprüche aus DSGVO-Verstößen heraus, die Hintergründe und Auswirkungen des BGH-Urteils. Lea sieht in dem Urteil einerseits einen wichtigen Schritt für den Persönlichkeitsschutz der Betroffenen. Andererseits warnt sie vor Risiken für Unternehmen, wenn nun zusätzlich zu möglichen DSGVO-Bußgeldern noch Schadensersatzforderungen in Millionenhöhe kommen. Unklar bleibt fürs Erste, wie sich das Urteil auf die Praxis der Legal-Tech-Kanzleien auswirkt, die Betroffene zu Massenklagen animieren. Der Verbraucherzentrale Bundesverband (vzbv) hat jüngst eine Musterfeststellungsklage gegen den Facebook-Mutterkonzern Meta beim Hanseatischen Oberlandesgericht Hamburg eingereicht, der sich jeder Betroffene bald kostenlos anschließen kann. Lea sieht darin Chance, Ansprüche gesammelt anzumelden, ohne in dem einzelnen Fall ein Gerichtsverfahren und eine Beweisaufnahme durchführen zu müssen. Sie plädiert ohnehin für eine Pauschalierung und Bündelung von massenhaft vorhandenen, ähnlich gelagerten Schadensersatzansprüchen, um die Justiz zu entlasten. Der Gesetzgeber könne dafür die Rahmenbedingungen schaffen.

In Episode 35 verlassen Joerg und Holger die Debatte um DSGVO-Artikel und wagen den Exkurs in ein aktuelles netzpolitisches Thema: Es geht um Hassrede, den Umgang mit strafrechtlich relevanten Inhalten in Sozialen Netzwerken und vor allem um das Netzwerkdurchsetzungsgesetz (NetzDG). Dabei werden sie fachkundig begleitet von Dr. Marc Liesching, der als Professor für Medientheorie und Medienrecht an der Hochschule für Technik, Wirtschaft und Kultur (HTWK) Leipzig forscht und lehrt. Prof. Liesching und sein Team haben am 24. März eine 400-Seitige NetzDG-Teilevaluierung veröffentlicht (siehe Shownotes). Darin attestieren sie dem Gesetz, das seit 2018 in Kraft ist, seinen Zweck zu verfehlen und im Gegenteil höchstwahrscheinlich negative Effekte hervorzurufen, beispielsweise ein Overblocking rechtskonformer Inhalte in Sozialen Netzwerken. Im Podcast stellt Prof. Liesching die Befunde detailiert vor und ordnet das NetzDG in den deutschen und europäischen Regulierungsrahmen ein. Außerdem geht es um die Frage, welche Folgen für den Datenschutz entstehen, falls das "Gesetz zur Bekämpfung des Rechtsextremismus und der Hasskriminalität" und das "Gesetz zur Änderung des Netzwerkdurchsetzungsgesetzes" (NetzDGÄndG) wie von der Bundesregierung geplant noch vor der Bundestagswahl im September in Kraft treten.

Nachdem Joerg und Holger über ein außerst skurriles Bußgeld gesprochen haben, geht es über den Umweg der darin thematisierten E-Mail-Verschlüsselung zum Selbstdatenschutz. Zusammen mit Karoline Busse sprechen die beiden darüber, mit welchen Maßnahmen Privatleute und Unternehmen ihre Daten gegen fremden Zugriff absichern sollten. Karoline hat an der Uni Hannover Informatik studiert und beschäftigt sich in Forschung und Lehre mit "Human-Centered Security and Privacy", also Sicherheit und Datenschutz mit dem Faktor Mensch im Mittelpunkt. Sie plädiert dafür, dass sich jeder nicht nur darüber klar sein sollte, welche seiner Daten er für schützenswert hält, sondern auch vor wem er sich schützen möchte: Berufsgeheimnisträger*innen etwa werden ein anderes Niveau anpeilen als Oma Erna. Im Gespräch vertritt Karo die Meinung, dass Usability eine große Rolle spielt, weshalb sie beispielsweise Verschlüsselung mit PGP für gescheitert erklärt, obwohl sie ein hohes Schutzniveau bietet. Stattdessen zeigten Messenger wie Signal, wohin die Reise beim Nutzer-zentrierten Datenschutz gehen sollte.

Nach der eher technisch geprägten Episode 32 wurde es für Joerg und Holger mal Zeit, sich mit "Soft Skills" zu beschäftigen. Das ist genau die Spezialität von Anna Cardillo, die Organisationen dabei unterstützt, DSGVO-Anforderungen zu implementieren. Anna ist nicht nur Rechtsanwältin, sondern auch zertifizierte Datenschutzauditorin. Sie weiss davon zu berichten, wo es in Unternehmen hakt, wenn es um die Umsetzung eines funktionierenden Datenschutzmanagements geht: "Der Fisch stinkt da oft vom Kopf", berichtet sie. In Meetings stehen oft nicht nur sachliche Argumente im Vordergrund, bisweilen muss Anna auch ihre psychologischen Kenntnisse einsetzen, um Denkbarrieren einzureißen und gewohnte Vorgänge neu zu gestalten. "Awareness" heißt da das Zauberwort. Allerdings hat die Akzeptanz von Datenschutzerfordernissen in letzter Zeit gelitten. Anna erzählt aus der Praxis, sie plädiert für Offenheit und den Willen, neue Dinge auszuprobieren.

"Jan hat schon sehr viel Elend gesehen." So begrüßt Joerg den heutigen Episodengast, c't-Redakteur Jan Mahn. Und das nicht von ungefähr: Geht es bei c't um Datenpannen, kommt oft Jan ins Spiel und untersucht sowohl Ursachen als auch Auswirkungen derselben. Seine niederschmetternde Erkenntnis ist, dass vielen der datenschutzrelevanten Sicherheitsunfälle kein hochkomplexer Angriff zugrunde liegt, sondern schlicht Schlamperei von Entwicklern oder Admins. Da geht es um ungeschützte SMB-Freigaben genauso wie um Passwort-Datenbanken im Klartext oder veraltete Schutzmaßnahmen. Nach Ansicht von Jan häufen sich diese Lecks unter anderem, weil Entwickler in Unternehmen in agilen Arbeitsmodellen oft nicht mehr das Große und Ganze im Blick haben, sondern nur noch die Erledigung von Tickets in engen zeitlichen Rahmen. Im Podcast plaudert Jan über seine Erfahrungen, und Joerg schätzt die juristischen Konsequenzen dieser Datenlecks ein.

In Episode 31 beschäftigen sich Joerg und Holger zunächst ausführlicher als gewohnt mit dem Bußgeld der Woche: Umgerechnet 10,6 Millionen Euro möchte die norwegische Datenschutzbehörde gegen die Dating-Plattform Grindr verhängen, weil sie ohne Einwilligung der Nutzer massenhaft personenbezogene Daten an mehrere Dutzend Drittfirmen weitergeleitet hat, darunter besonders sensible Informationen gemäß DSGVO. Als Gast zugeschaltet ist Marit Hansen, die Landesdatenschutzbeauftragte von Schleswig-Holstein. Und Marit hat zur Bußgeld-Diskussion gleich einiges beizutragen. Eigentliches Steckenpferd der gelernten Informatikerin sind aber die Konzepte Privacy by Design und Privacy by Default, die der Artikel 25 der DSGVO regeln soll. Entgegen landläufiger Meinung treffen die Pflichten aus diesem Artikel keineswegs Hersteller von Anwendungen, sondern vielmehr diejenigen, die die Software einsetzen (also die "Verantwortlichen"), wie Marit anschaulich erläutert. Ab Beispiel von Webbrowsern zeigen die drei konkret, was es zu beachten gilt. Allerdings gibt Marit zu bedenken, dass in Erwägungsgrund zu Artikel 25 vieles im Ungefähren bleibt und wohl auch deshalb bislang Verstöße gegen Privacy by Design kaum geahndet werden. Eine Ausnahme: Das hohe "Deutsche Wohnen"-Bußgeld beruht ausdrücklich auf einem Verstoß gegen Privacy by Design.

Investigative Recherchen erfordern es oft, dass personenbezogene Daten gesichtet, extern bewertet und sortiert werden müssen - dies meist, ohne den Betroffenen zu informieren oder die Quelle offenzulegen. Damit der Journalismus diese gesellschaftliche Aufgabe erfüllen kann, nennt die DSGVO Ausnahmen der strengen datenschutzrechtlichen Vorgaben (Medienpriviliegien), die auch für Ton-, Bild- und Videoaufnahmen gelten können. Zu diesen Privilegien kursieren in der Öffentlichkeit einige Missverständnisse. Deshalb sprechen Joerg und Holger in dieser Episode darüber, für wen und in welchen Konstellationen die Ausnahmen gelten, und worauf JournalistInnen besonders achten sollten. Sie begeben sich aber nicht alleine ins Dickicht von Datenschutz- und Landespressegesetzen: Mit dabei ist Johannes Endres. Johannes war lange Jahre c't-Redakteur, Ressortleiter, und von 2013 bis 2017 Chefredakteur von heise online und c’t. Von 2015 bis 2020 war er außerdem Mitglied des deutschen Presserats, dort Vorsitzender der beiden Beschwerdeausschüsse "Trennung von Werbung und Redaktion" und "Redaktionsdatenschutz". Derzeit arbeitet Johannes bei Althammer & Kill, einem Unternehmen, das Unternehmen bei der Umsetzung von Datenschutzbestimmungen berät.

Das Datenschutzjahr 2020 fordert dazu heraus, kritisch beäugt zu werden. Joerg und Holger haben sich für einen Blick zurück im Zorn Dr. Thomas Schwenke eingeladen. Thomas kennt sich als selbstständiger Rechtsanwalt mit Spezialgebiet Social-Media-Recht bestens in der aktuellen datenschutzrechtlichen Lage aus und betreibt nebenher den Podcast "Rechtsbelehrung". In dieser Auslegungssache XXL kommentieren die Drei viele der Themen rückblickend, die in vergangenen Episoden bereits ausführlicher zur Sprache kamen: Natürlich geht es um das Ende des Privacy-Shields und die Corona-Warn-App, aber auch ums Elend mit den Cookie-Bannern, die (nicht für alle) leidigen Videokonferenz-Tools und die rechtlichen Folgen des Brexits. Der bisweilen leicht polemische Datenschutz-Stammtisch moniert die Tendenz, Freiheitsrechte und Privatsphäre der europäischen Bürgerinnen und Bürger immer weiter einzuschränken. Zum Abschluss gibt es noch einen Blick in die Zukunft: Welche Themen werden 2021 und darüber hinaus auf die Agenda rutschen? Allen Hörerinnen und Hörern einen guten Rutsch ins hoffentlich bessere Jahr 2021. Bleibt gesund, und: Schützt Eure Daten!