Seit nunmehr fünf Jahren entfaltet die europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor. Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Joerg und Holger erläutern und diskutieren die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der an der Aachen University of Applied Sciences. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Im Urteil "Österreichische Post AG" (Az.: C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben. In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine "Kopie" der personenbezogener Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Auszüge der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird. Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Datenverarbeitung insgesamt unrechtmäßig erfolgt ist - mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

Die Gebäude-Automatisierung ist endgültig im privaten Zuhause angekommen: Rollläden öffnen und schließen von selbst, Helligkeitssensoren bestimmen, wann das Licht angeht, Bewegungsmelder kommunizieren mit den Heizkörpern, und die Wohnungstür öffnet sich per Fingertip in der Smart-Home-App. Sprachassistenten wie Alexa und Google Assistant erschließen die Steuerung des Smart Homes mit gesprochenen Kommandos. Und das TV-Gerät registriert die Gewohnheiten beim Medienkonsum. All die Sensoren generieren teils personenbezogene Daten, die gespeichert und verarbeitet werden. In der Summe lässt sich daraus eine Menge schließen, was datenschutzrechtliche Fragen aufwirft. Darüber sprechen in Episode 85 des c't-Datenschutz-Podcasts Holger und Joerg mit ihrem Gast Dr. Marc Störing. Der Rechtsanwalt ist Partner in der internationalen Kanzlei Osborne Clarke und dort auf IT-nahe datenschutzrechtliche Beratung spezialisiert. Privat hat Marc ein Faible für Heimautomatisierung - im Podcast erzählt er denn auch zunächst von seinen eigenen Projekten. Im Gespräch klären die Drei, wo welche Daten anfallen können und wie sie gespeichert werden. Anschließend diskutieren sie, welche Rechtsgrundlagen der DSGVO eine Verarbeitung rechtfertigen könnten, sofern nicht ausschließlich das familiäre Umfeld erfasst ist (was praktisch nie der Fall ist). Es geht auch um grundsätzliche Fragen nach Erforderlichkeit, Zweckbindung und Speicherdauer im Smart-Home-Bereich. Ganz andere Problemstellungen entstehen beim "Smart Building" im geschäftlichen Umfeld. Hier geht es etwa um Verantwortlichkeiten, Beschäftigtendatenschutz und Auftragsverarbeitungen spezialisierter Dienstleister. Auch dieses weite Feld wird im Podcast angerissen.

Gibt es in Deutschland einen "Datenschutztourismus"? Suchen sich Unternehmen gezielt Standorte in Bundesländern, deren Aufsichtsbehörden die Datenschutz-Grundverordnung (DSGVO) eher lax auslegen? Diese Frage bewegt die einschlägige Community, und deshalb auch den c't-Datenschutz-Podcast Auslegungssache. Holger und Joerg sprechen darüber kontrovers mit Dr. Stefan Brink. Der ehemalige Datenschutzbeauftragte Baden-Württembergs ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt, wida, in Berlin. Brink nimmt in der Podcast-Episode kein Blatt vor den Mund und zieht Bilanz seiner Amtszeit (2016 bis Ende 2022). Brink gibt sich als Verfechter des föderalen Systems bei der Datenschutzaufsicht. Probleme kann er nicht erkennen. Man bekomme "als Unternehmen Rechtssicherheit von der Datenschutzbehörde, wenn man sie befragt". Man müsse nur darauf bestehen, Auskünfte zu bekommen. "Der Rest ist dann Mimimi in der Form: Ich kenne aber eine andere Aufsichtsbehörde, die sieht das freundlicher." Es gehe dann nicht mehr um Rechssicherheit, sondern um "Wünsch dir was". Harsche Kritik übt Brink am gemeinsamen Gremium der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK): "Die DSK ist für alle Teilnehmer eine Zumutung. Es gibt wenig, was mich in den vergangenen Jahre so betrübt hat, wie die Zusammenarbeit in der DSK. Als ich mich entschlossen habe, den Amtshut abzulegen, war das kein Faktor, der mich hat zögern lassen." Immherin habe sich "die DSK hat in den letzten Jahren gut zusammengerauft. Wir sollten daran arbeiten, dass die DSK-Entscheidungen verbindlicher werden, das Gremium weiter institutionalisieren". Brink plädiert dafür, die DSK "als übergeordnete Instanz zu stärken". Die Frage werde sein: "Bestehen wir auf einstimmigen Beschlüssen der DSK, oder lassen wir Mehrheitsbeschlüsse zu, an die sich alle Aufsichten halten müssen. Das wird spannend, weil dann auch die durch die DSGVO garantierte Unabhängigkeit der Behörden berührt würde. Es ist der richtige Ansatz, dies durch Bundesgesetzgebung zu unterstützen."

DGA, DMA, DSA, DA, AIA, EHDS: Im Rahmen ihrer Datenstrategie überschlägt sich die Europäische Kommission mit neuen Verordnungen, die den Umgang mit Daten innerhalb der Europäischen Union (EU) regulieren sollen. Einige davon sind noch im Planungsstatus, andere bereits in Kraft und bald wirksam. Auf Bürger und Unternehmen kommt da ein Vorschriftengestrüpp zu, das den klaren Blick aufs große Ganze erst einmal verhindern dürfte. Dr. Winfried Veil, in der neuen Episode 83 zu Gast im c't-Datenschutz-Podcast, gilt als harter Kritiker der hektischen Regulierung. Der Jurist begleitete als Referent im Bundesinnenministerium beispielsweise als Experte in der zuständigen EU-Projektgruppe die Ratsverhandlungen zur Datenschutz-Grundverordnung (DSGVO). Er spricht von einem "legislativen Tsunami", der zurzeit über die EU schwappt. In alle den Datengesetzen finde sich stets sinngemäß der Passus "Die DSGVO bleibt unberührt". Doch diese Behauptung lasse sich bei einem näheren Blick in die Gesetzentwürfe nicht halten. Am Beispiel des bereits in Kraft getretenen Digital Services Acts (DSA) besprechen Joerg und Holger mit Winfried, wo das neue Plattform-Gesetz eben doch datenschutzrechtliche Fragen aufwirft. Insbesondere erläutert Winfried, dass die im DSA definierten Mechanismen zu Meldewegen für rechtswidrige Inhalte de facto zu einer Vorratsdatenspeicherung bei den Plattformen führen könnte. Plakativ spricht er von "Pöbler-, Denunzianten- und Querulantendatenbanken". Und dies sei nur einer von mehreren Aspekten, bei dem sich der DSA und die DSGVO in die Quere kommen.

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wirksam wurde, witterten Einige das große Geschäft mit Datenschutz-Labeln. Denn die DSGVO ermöglichte in ihren Artikel 42 und 43 erstmals europaweit harmonisierte Zertifizierungsprozesse: Produkte und Dienstleistungen sollen auf DSGVO-Konfomität überprüft werden können. Doch bevor Zertifizierungsanbieter starten, müssen sie sich gemäß DSGVO von einer offiziellen Stelle akkreditieren lassen. Und genau an einer solchen Stelle fehlte es lange Zeit in Deutschland. 2021 hat die Deutsche Akkreditierungsstelle (DAkkS) ihre Arbeit aufgenommen. In Episode 82 des c't-Datenschutz-Podcast geht es um den Zustand des deutsche DSGVO-Zertifizierungswesens. Holger und Joerg sprechen dazu mit Rechtsanwalt Dr. Sebastian Kraska. Der Datenschutz-Spezialist beschäftigt sich seit Jahren mit allen Untiefen der Zertifizierung und plaudert in der Episode ein wenig aus dem Nähkästchen. Zusammen mit Sebastian gehen Holger und Joerg alle möglichen Formen durch, beginnend mit Möglichkeiten zur Zertifizierung von Personen, etwa zum Datenschutzbeauftragten oder Auditor. Anschließend erläutert Sebastian die Unterschiede zwischen Produkt- und Management-Zertifizierungen. Er schildert, wie eine Zertifizierung abläuft und wo man sie beantragen kann. Außerdem geht es um alternative Produkte, die beispielsweise auf der recht neuen ISO-Norm 27701 beruhen, aber keine DSGVO-Konformität bescheinigen.