Auslegungssache – der c't-Datenschutz-Podcast

• Ein Bus durch den Regel-Dschungel

  Holger und Joerg bilden mit dem politischen Journalisten Falk Steiner in Episode 147 des c’t-Datenschutz-Podcasts ironisch eine "Selbsthilfegruppe der Überforderten". Und das nicht ohne Grund: Mit dem digitalen Omnibusgesetz will die EU-Kommission den Berg an Digitalvorschriften lichten - vom Data Act über die E-Privacy-Richtlinie bis hin zur DSGVO. Der Plan: Aufräumen, vereinheitlichen und die Compliance-Kosten senken. Die Realität: ein neuer, komplexer Riesenentwurf, der alles verändern könnte. Besonders die geplanten Änderungen an der DSGVO sorgen für Gesprächsstoff. So soll der Begriff der personenbezogenen Daten enger gefasst werden. Ob eine Information als personenbezogen gilt, hinge künftig davon ab, ob die verarbeitende Stelle selbst eine Person identifizieren kann. Das könnte weitreichende Folgen haben. Positiv bewerten die Experten die geplante Anhebung der Schwelle für die Meldepflicht von Datenschutzpannen. Diese soll künftig erst bei einem "hohen Risiko" greifen, was Unternehmen und Behörden von Bürokratie entlasten würde. Die Meldefrist würde von 72 auf 96 Stunden verlängert. Auch die Regeln für missbräuchliche Auskunftsanträge soll angepasst werden. Gesundheitsdaten nach Art. 9 DSGVO sollen restriktiver definiert werden. Die Diskutanten sehen diese Entwicklung kritisch, da sie Tür und Tor für umfangreiches Tracking öffnen könnte. Brisant sind die geplanten Erleichterungen für KI-Training: Für die Verarbeitung personenbezogener Daten für maschinelles Lernen soll grundsätzlich ein "berechtigtes Interesse" ausreichen, statt einer Einwilligung. Falk und Holger befürchten, dass von dieser Senkung des Schutzniveaus vor allem große Tech-Konzerne wie Meta und Google profitieren würden. Große Unklarheit herrscht beim Versuch, das Cookie-Chaos zu beenden. Künftig soll es möglich sein, Tracking mit einem Klick abzulehnen - und diese Entscheidung muss dem entwurf zufolge sechs Monate lang respektiert werden. Allerdings ist völlig offen, wie Webseiten das technisch erkennen sollen, ohne selbst wieder Daten zu speichern. Falk fasst das Dilemma trocken zusammen: "Man kann’s einfacher machen - oder komplizierter. die Kommission hat sich offenbar für Letzteres entschieden." Das Fazit der Runde fällt skeptisch aus. Obwohl der Entwurf einige sinnvolle Anpassungen enthält, wirft er vor allem neue Fragen auf und stellt etablierte Praktiken infrage. Statt Rechtsfrieden zu schaffen, drohen jahrelange neue Auseinandersetzungen vor den Gerichten. Für Steiner ist klar: Dies ist erst der Anfang eines langen und komplizierten Gesetzgebungsprozesses.

  --------  

  1:09:24

  --------

  1:09:24
• Wieviel Macht den Daten?

  In Episode 146 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg einem Grundsatzthema: Wo steht steht der Datenschutz zwischen notwendiger Machtbegrenzung und störendem Innovationshindernis? Juraprofessorin Hannah Ruschemeier beschäftigt sich genau mit derlei Fragen. Sie forscht an der Universität Osnabrück zu KI-Regulierung, Plattformrecht und den Herausforderungen der digitalen Transformation. Auf dem DatenTag der Stiftung Datenschutz hatte sie jüngst ihre Thesen zur "Datenmacht" in einer Keynote zusammengefasst (siehe Shownotes). Ruschemeier bestreitet vehement, dass Datenschutz obsolet oder gar tot sei. Sie beobachte zwar eine gewisse Resignation in der Gesellschaft, sehe aber gerade deshalb die Notwendigkeit für mehr Aufklärung. Viele Menschen verstünden nicht, was mit ihren Daten passiert und welche Macht große Tech-Konzerne damit ausüben. Diese "informationelle Machtasymmetrie" zwischen Datenkonzernen und Verbrauchern hält sie für ein zentrales Problem. Besonders kritisch sieht die Professorin das Geschäftsmodell vieler Tech-Giganten, die nach dem Prinzip "move fast and break things" Fakten schaffen und sich erst später um rechtliche Konformität kümmern. Während Meta oder Google Milliardenstrafen quasi aus der Portokasse zahlen können, kämpfen kleine und mittlere Unternehmen mit hohen Compliance-Kosten. Diese Asymmetrie zeige sich auch im mangelnden Vollzug: Große Player würden unzureichend belangt, während kleinere Betriebe unter der Bürokratielast leiden. Aus der Praxis berichtet Joerg, dass die bürokratischen Hürden für Start-ups und kleine Unternehmen enorm sein können. Seiner These, dass Datenschutz durchaus Innovationen ausbremse, steht Ruschemeier allerdings kritisch gegenüber. Sie fordert hier eine differenziertere Sichtweise. Der Begriff "Innovation" dürfe kein Totschlagargument gegen jede Regulierung sein. Vielmehr müsse man fragen, wem eine Neuerung nützt. Sie plädiert für stärker gemeinwohlorientierte Definitionen und Entwicklungen. Regulierung schütze, statt zu hemmen - Europa solle stolz auf seinen starken Grundrechtsschutz sein. Ruschemeier plädiert für eine umfassende Reform der europäischen Datenschutz-Grundverordnung (DSGVO). Sie spricht sich im Podcast für einen risikobasierten Ansatz aus: Unternehmen mit besonders datenintensiven Geschäftsmodellen sollten strenger reguliert werden, während kleine Betriebe entlastet werden könnten. Gleichzeitig warnt sie davor, das Schutzniveau generell abzusenken. Stattdessen brauche es eine bessere Abstimmung zwischen den verschiedenen Digital-Gesetzen wie DSGVO, KI-Verordnung und Digital Services Act. Die Expertin sieht Europa nicht im Wettrennen mit USA und China um die nächste große Plattform, insbesondere im Bereich KI. Stattdessen sollte sich der Kontinent auf seine Stärken konzentrieren: starker Grundrechtsschutz, Rechtssicherheit und industrielle Anwendungen. Diese könnten durchaus Standortvorteile sein, wenn man sie richtig nutze und kommuniziere.

  --------  

  1:07:45

  --------

  1:07:45
• Social Media im Würgegriff der EU?

  In Episode 145 des c't-Datenschutz-Podcasts nehmen die Holger und Joerg die Regulierung von Social-Media-Plattformen unter die Lupe. Als Gast haben sie sich den Rechtsanwalt und Social-Media-Experten Dr. Thomas Schwenke eingeladen. Thomas, der gerade ein Buch zum Thema "Recht für Online-Marketing und KI" veröffentlicht hat, erklärt gleich zu Beginn: Der Begriff "Social Media" sei überholt. Plattformen wie TikTok oder Instagram entwickelten sich immer mehr zu "algorithmischen Medien", bei denen der passive Konsum von Inhalten im Vordergrund stehe,und nicht mehr der soziale Austausch. Hauptthema der Diskussion ist die Regulierungswelle der EU, die mit Gesetzen wie dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) versucht, die Macht der Tech-Konzerne zu begrenzen. Ein aktuelles Beispiel ist die neue Verordnung zur Transparenz politischer Werbung (TT-Verordnung). Sie schränkt das gezielte Ausspielen von Werbung, das sogenannte Microtargeting, stark ein. Die Reaktion der Konzerne ließ nicht lange auf sich warten: Sowohl Meta als auch Google kündigten an, wegen der neuen, komplexen Regeln künftig keine politische Werbung mehr in der EU schalten zu wollen. Die Experten sind sich uneins, wie wirksam diese vielen EU-Gesetze wirklich sind. Während Holger argumentiert, dass die EU die Konzerne durchaus zum Handeln zwingt – etwa bei der Einholung von Einwilligungen oder der Anpassung ihrer Bezahlmodelle –, bleiben Thomas und Joerg skeptisch. Sie kritisieren, dass viele Nutzer mit den komplexen Einwilligungs-Bannern überfordert seien und dass das Geschäftsmodell des Trackings im Kern unangetastet bleibe. Besonders ernüchternd fällt die Bilanz bei den viel beworbenen Schadensersatzklagen gegen Meta aus. Holger zitiert Zahlen, die der ehemalige baden-württembergische Datenschutzbeauftragte Stefan Brink in einem anderen Podcast teilte: Von rund 2200 Klagen wegen der Business Tools von Meta wurden 70 Prozent komplett zugunsten des Konzerns entschieden. In 97 Prozent der Fälle lag der zugesprochene Schadensersatz bei maximal 500 Euro. Die medienwirksamen Urteile mit hohen Schadensersatzzahlungen seien absolute Ausnahmen. Ein Urteil des Landgerichts München I stützt diese skeptische Sicht. Das Gericht wies die Klage eines Nutzers ab, der wegen der Übermittlung seiner Daten in die USA Schadensersatz forderte. Die Richter argumentierten, wer einen globalen US-Dienst wie Facebook wissentlich nutze, müsse mit einem Datentransfer rechnen. Sich später darüber zu beschweren, sei widersprüchliches Verhalten. Das Fazit der Runde: Der Kampf gegen die Datenkraken ist zäh und die Erfolge sind oft kleiner, als es den Anschein hat.

  --------  

  1:14:42

  --------

  1:14:42
• Wege aus der US-Abhängigkeit

  Die Abhängigkeit von US-amerikanischen IT-Diensten birgt konkrete Risiken. Deutlich wurde dies jüngst etwa im Fall von Karim Khan, Chefankläger des Internationalen Strafgerichtshofs (IStGH), dem Microsoft plötzlich seine Konten sperrte. Grund seien Sanktionen der US-Regierung gegen den IStGH gewesen. Solche "Killswitch"-Aktionen zeigen die Verwundbarkeit auch von europäischen Nutzern. Zudem scannen Dienste wie Microsoft und Google automatisch Inhalte in ihren Cloud-Speichern und melden verdächtige Funde an US-Strafverfolgungsbehörden. In Episode 144 des c't-Datenschutz-Podcasts widmen sich Holger und Joerg gemeinsam mit Peter Siering dem Thema digitale Souveränität. Peter, seit 35 Jahren bei heise und Leiter des Ressorts Systeme und Sicherheit, bringt seine langjährige Erfahrung mit Microsoft-Produkten und Open-Source-Alternativen in die Diskussion ein. Für den Ausstieg aus Microsoft 365 empfiehlt Peter Nextcloud als zentrale Alternative. Die Open-Source-Software bietet kollaborative Dokumentenbearbeitung, Chat und Videokonferenzen. Kleine Unternehmen können diese Lösung über lokale Systemhäuser beziehen, müssen aber Schulungsaufwand und Umstellungspannen einkalkulieren, wie Peter betont. Der Wechsel erfordere Investitionsbereitschaft. Bei Cloud-Diensten existieren durchaus europäische Alternativen zu den US-Hyperscalern wie AWS oder Azure. OVH aus Frankreich und IONOS aus Deutschland bieten vergleichbare Dienste an, wenn auch mit weniger granularen Optionen. Die Preisunterschiede sind dabei überraschend gering. Wichtig sei, von Anfang an auf Anbieterunabhängigkeit zu achten und proprietäre Lösungen zu vermeiden, erläutert Peter. Wechselwilligen empfiehlt er als ersten Schritt eine Bestandsaufnahme: Wo liegen meine Daten? Habe ich sie leichtfertig aus der Hand gegeben? Der Wechsel zu europäischen E-Mail-Anbietern und Cloud-Speichern sowie die Nutzung alternativer Suchmaschinen und Browser sind praktikable Sofortmaßnahmen. Für Unternehmen lohnt die Suche nach lokalen Dienstleistern, die europäische Alternativen implementieren können.

  --------  

  1:10:15

  --------

  1:10:15
• Drei Urteile, viele Fragezeichen

  Holger und Joerg widmen sich diemal gemeinsam mit Professor Dr. Alexander Golland drei wichtigen Entscheidungen des Europäischen Gerichtshofs, alle drei aus dem laufenden Monat September. Alexander, Professor für Wirtschaftsrecht an der FH Aachen, ordnet die teils verwirrenden Urteile ein und erklärt deren praktische Auswirkungen. Im Mittelpunkt steht zunächst die Klage des französischen Abgeordneten Philippe Latombe gegen den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datentransfer, dem wiederum das EU-US Data Privacy Framework zugrunde liegt. Latombe wollte den Beschluss für nichtig erklären lassen. Das Europäische Gericht (EuG) wies die Klage ab, damit bleibt er vorerst als Rechtsgrundlage bestehen. Alexander ordnet das Verfahren ein und erläutert, warum das Gericht nur prüfte, ob die Kommission 2023 bei Erlass des Beschlusses korrekt handelte, nicht aber die heutige Situation unter veränderten politischen Vorzeichen bewertete. Besonders praxisrelevant ist das SRB-Urteil des EuGH zur Pseudonymisierung. Die zentrale Frage: Sind pseudonymisierte Daten für Empfänger, die selbst (ohne Dritte) keinen Personenbezug herstellen können, anonym, oder bleiben sie personenbezogen? Der EuGH bestätigt in dem Revisionsverfahren zwar den sogenannten "subjektiven Ansatz" – es kommt auf die Möglichkeiten des Empfängers an –, lässt aber entscheidende Detailfragen offen. Alexander kritisiert die fehlende Rechtssicherheit: Unternehmen wissen weiterhin nicht genau, ob sie für solche Datenübermittlungen Auftragsverarbeitungsverträge benötigen. Die Richter machten wenig Vorgaben und verwiesen auf die Einzelfallprüfung. "Steine statt Brot", resümiert Alexander. Fall drei dreht sich um den immateriellen Schadenersatz. Ein Bewerber hatte gegen die Quirin Privatbank geklagt, weil sensible Angaben versehentlich an einen Dritten gingen. Der EuGH bestätigte: Auch Ärger oder Schamgefühle können ein Schaden im Sinne der DSGVO sein. Ein Nachweis bleibt aber schwierig. Beim Thema Unterlassung urteilten die Richter restriktiv: Einen originären Unterlassungsanspruch sieht die DSGVO nicht vor. Allerdings könne das nationale Recht solche Ansprüche zulassen, hierzulande beispielsweise über das Wettbewerbsrecht. Für die Praxis bedeutet das: Betroffene müssen künftig eher auf das allgemeine Persönlichkeitsrecht zurückgreifen. Die Diskutanten zeigen sich ein wenig frustriert über die mangelnde Klarheit der Urteile. Statt eindeutiger Vorgaben liefern die Gerichte oft nur die klassische Juristen-Antwort: "Es kommt darauf an." Für Unternehmen und Betroffene bedeutet das weiterhin erhebliche Rechtsunsicherheit bei alltäglichen Datenverarbeitungen.

  --------  

  1:09:13

  --------

  1:09:13

Weitere Wirtschaft Podcasts

Trending Wirtschaft Podcasts

Über Auslegungssache – der c't-Datenschutz-Podcast

Auslegungssache – der c't-Datenschutz-Podcast: Zugehörige Podcasts