Auslegungssache – der c't-Datenschutz-Podcast

• Bayerischer Datenschutz im Fokus

  In Folge 136 des c't-Datenschutz-Podcasts sprechen Holger und Joerg mit Carolin Loy über die Arbeit und Haltung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Loy leitet dort den Bereiche Digitalwirtschaft, ist Pressesprecherin und hat Einblick in viele aktuelle Datenschutzthemen - von Künstlicher Intelligenz bis hin zu Cookie-Bannern. Sie hatte die vorvergangene Episode 134 im heise-Forum kritisch kommentiert und folgte postwendend einer darauffolgenden Einladung von Joerg. Zum Start geht es aber zunächst um ein 45-Millionen-Euro-Bußgeld gegen die deutsche Vodafone GmbH. Die Bundesdatenschutzbeauftragte verhängte diese Summe, weil Vodafone Partneragenturen nicht ausreichend kontrollierte und die Kundenauthentifizierung bei E-SIMs mangelhaft war. Auffällig: Vodafone akzeptierte das Bußgeld schnell, arbeitete bei der Aufklärung mit und spendete zusätzlich an gemeinnützige Organisationen. Einen zweiten Schwerpunkt bildet ein Beschluss des Oberlandesgerichts Köln zu Metas Plänen, öffentliche Facebook- und Instagram-Profile zum Training von KI-Systemen zu nutzen. Das Gericht entschied im Eilverfahren, zu dem noch keine schriftliche Begründung vorliegt: Meta darf diese Daten ohne ausdrückliche Einwilligung der Nutzer heranziehen. Die Interessen von Meta seien berechtigt, zudem hätte Meta Nutzern Widerspruch ermöglicht. In der Podcast-Episode geht es unter anderem um die Frage, ob Nutzer wirklich damit rechnen müssen, dass alte und öffentliche Posts zu KI-Zwecken verarbeitet werden, und ob der Umgang mit sensiblen Daten ausreichend berücksichtigt wird. Loy betont, dass die Rechtslage nicht immer dem Bauchgefühl entspricht und verweist auf europäische Vorgaben, nach denen das KI-Training grundsätzlich auch ohne Einwilligung möglich sein kann, solange bestimmte Bedingungen erfüllt sind. Das weitere Gespräch dreht sich um die tägliche Arbeit der bayerischen Datenschutzaufsicht BayLDA. Die Behörde berät Loy zufolge Unternehmen im Bundesland zu KI-Projekten, prüft Beschwerden - zum Beispiel beim Einsatz von KI im Bewerbungsprozess - und ist europaweit an Orientierungshilfen zu digitalen Themen beteiligt, etwa bei Cookie-Bannern und neuen digitalen Abo-Modellen ("Consent or Pay"). Loy schildert, dass zu Cookie-Bannern und Tracking nach wie vor die meisten Beschwerden eintreffen. Sie sieht neue Ansätze wie PIMs - zentrale Einwilligungsverwaltungen - zwar positiv, zeigt sich aber aber skeptisch, ob sie den Cookie-Banner-Wildwuchs wirklich eindämmen. Loy stellt sich sodan dem Vorwurf, Das BayLDA verhalte sich bei Datenschutzverstößen zu lasch oder zögerlich. Am Beispiel des von c't aufgedeckten Falls "Buchbinder", bei dem Millionen Kundendaten wegen einer Panne offen im Netz standen, erklärt sie, warum am Ende kein Bußgeld verhängt wurde: Das Unternehmen habe hohe Compliance-Standards gehabt, den Vorfall selbst gemeldet und eng mit der Behörde kooperiert. Entscheidend sei nicht der Fehler selbst, sondern wie Unternehmen mit Datenschutz umgehen und ob sie daraus lernen. Loy betont, dass die Behörde nicht vorrangig Strafen verteilen, sondern Datenschutz in der Breite fördern will - auch durch Beratung. Zum Abschluss geht es um die aktuelle Debatte zur Zentralisierung der Datenschutzaufsicht für Unternehmen bei der Bundesdatenschutzbeauftragten. Loy sieht das kritisch: Einheitliche Entscheidungen würden dadurch nicht automatisch entstehen, da viele Fragen ohnehin im europäischen Verbund entschieden werden. Zudem könnten regionale Beratung und Kontrolle verloren gehen. Die Runde vermutet hinter dem Zentralisierungswunsch auch das Ziel, Datenschutzauflagen zu lockern und Bürokratie abzubauen.

  --------  

  1:16:08
• Datenschutz im vernetzten Auto

  Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar. In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz. Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer. Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache. Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat. Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

  --------  

  1:07:23
• Schwarz-Rote Koalition: Datenschutz im Umbruch

  Schwarz-Rote Koalition: Datenschutz im Umbruch Im c't-Datenschutz-Podcast diskutieren Holger Bleich, Joerg Heidrich und Ex-Landesdatenschützer Stefan Brink über die geplante Neuausrichtung des Datenschutzes unter der schwarz-roten Koalition. Droht ein Abschied vom föderalen Modell? Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger? Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse. Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt. Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will. Beim Thema Informationsfreiheit herrscht Ernüchterung: Ein modernes Transparenzgesetz, wie es der Ampelkoalition vorschwebte, ist nun nicht mehr in Sicht, stattdessen ist laut Brink "vier Jahre Winter" angesagt. Am Ende steht das Bild einer komplexen Gemengelage: Datenschutz bleibt ein zentrales Grundrecht, steht aber unter politischem und wirtschaftlichem Druck.

  --------  

  1:14:42
• Transatlantisches Daten-Sturmtief

  Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende. Im c't-Datenschutz-Podcast erläutern Holger und Joerg Heidrich zusammen mit Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe. Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil. Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Holger, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben. Auch sogenannte Standardvertragsklauseln als Alternative stehen auf tönernen Füßen, da der EuGH hohe Anforderungen an "Transfer Impact Assessments" stellt. US-Gesetze wie der CLOUD Act ermöglichen weiterhin den Zugriff auf Daten bei US-Anbietern. Für EU-Unternehmen ist es kaum leistbar, sich komplett von US-Diensten zu lösen, da eine digitale Souveränität Europas fehlt. Die Aufsichtsbehörden in Deutschland und Europa sitzen nach Brinks Schilderung zwischen den Stühlen: Sie wissen um die rechtlichen Mängel, schrecken aber vor harten Maßnahmen zurück – auch aus Furcht vor wirtschaftlichem Chaos. Stattdessen setzen sie auf Dialog und hoffen, dass Unternehmen zumindest Alternativen prüfen. Die Diskutanten sehen die Gefahr, dass der Datentransfer zum Spielball im Handelskonflikt zwischen den USA und der EU werden könnte. Am Ende bleibt die Erkenntnis: Der transatlantische Datenverkehr ist in schwere See geraten, und Unternehmen täten gut daran, sich nach Alternativen umzusehen.

  --------  

  1:01:53
• KI-Verordnung und Datenschutz - ein schwieriges Verhältnis

  Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD). Schwartmann weist zunächst die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze. Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten. Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten. Die Diskussion offenbart, dass die KI-Verordnung nur wenige datenschutzrechtliche Ausnahmen enthält, beispielsweise bei der Nutzung sensibler Daten zur Korrektur von Verzerrungen in KI-Modellen oder in sogenannten Reallaboren, geschützten Testumgebungen für neue KI-Anwendungen. Heidrich kritisiert, dass der Gesetzgeber hier Chancen verpasst habe, grundlegende datenschutzrechtliche Konflikte bei der Nutzung moderner KI-Systeme zu regeln.

  --------  

  1:18:14

Weitere Wirtschaft Podcasts

Trending Wirtschaft Podcasts

Über Auslegungssache – der c't-Datenschutz-Podcast

Auslegungssache – der c't-Datenschutz-Podcast: Zugehörige Podcasts