Auslegungssache – der c't-Datenschutz-Podcast

Carolin Loy leitet den Bereich Digitalwirtschaft beim Bayerischen Landesamt für Datenschutzaufsicht und kennt sich bestens in aktuellen Datenschutzthemen aus. Sie spricht über das hohe Bußgeld gegen Vodafone wegen mangelhafter Kundenauthentifizierung und die positive Reaktion des Unternehmens. Ein weiteres Thema sind Metas Pläne, öffentliche Daten für KI zu nutzen, und die rechtlichen Herausforderungen dabei. Loy behandelt auch den Einfluss von neuen Digitalrechtsakten der EU auf den Datenschutz und die Rolle der Datenschutzbehörden.

Mit Dr. Dr. Hans Steege, Holger Bleich und Joerg Heidrich Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar. In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz. Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer. Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache. Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat. Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

In dieser spannenden Diskussion mit Dr. Stefan Brink, Gründer des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt und ehemaliger Landesdatenschutzbeauftragter von Baden-Württemberg, werden bedeutende Themen des Datenschutzes beleuchtet. Brink äußert Bedenken hinsichtlich der geplanten Zentralisierung, die zu einem massiven Stellenabbau führen könnte. Zudem wird die Balance zwischen Datenschutz und individuellen Rechten thematisiert, während die Herausforderungen durch internationale Unternehmen wie TikTok diskutiert werden.

Dr. Stefan Brink, ehemaliger Landesdatenschutzbeauftragter in Baden-Württemberg und Leiter des wida, spricht über die unsichere Lage des Transatlantic Data Privacy Framework. Er erklärt, wie die Möglichkeit besteht, dass frühere Regelungen durch politische Veränderungen zurückgenommen werden. Auch das lahmgelegte Kontrollgremium PCLOB wird thematisiert, während der Druck im EU-Parlament steigt. Zudem werden die Herausforderungen bei der Datenübertragung zwischen der EU und den USA sowie die Abhängigkeit Europas von US-Technologien diskutiert.

Prof. Rolf Schwartmann ist ein führender Experte für Medienrecht an der Technischen Hochschule Köln und Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er beleuchtet das Spannungsfeld zwischen der EU-KI-Verordnung und der DSGVO. Interessante Themen sind der Konflikt zwischen generativer KI und dem Grundsatz der Zweckbindung, sowie die Haftung für falsche Ergebnisse. Zudem werden Herausforderungen bei automatisierten Entscheidungen und die rechtlichen Implikationen im Beruf thematisiert, inklusive der Compliance-Anforderungen für Unternehmen.

Dr. Christina Schreiber, Rechtsanwältin und Datenschutzexpertin im Gesundheitswesen, spricht über den neuen Europäischen Gesundheitsdatenraum. Sie erklärt, wie Patienten leichter auf ihre Gesundheitsdaten zugreifen können und diese für Ärzte im Ausland bereitstellen. Der Einsatz von anonymisierten Daten für Forschung und öffentliche Zwecke wird diskutiert, ebenso wie die Herausforderungen bei der Gewährleistung des Datenschutzes. Die Rolle der nationalen Datenschutzbehörden und die Notwendigkeit verbindlicher Regelungen werden ebenfalls thematisiert.

Die Diskussion dreht sich um die mögliche Reform der Datenschutz-Grundverordnung (DSGVO), insbesondere die Vorschläge für eine differenzierte Regelung für kleine und mittlere Unternehmen. Axel Voss präsentiert ein dreistufiges Modell, das verschiedene DSGVO-Versionen vorsieht. Die Sprecher warnen jedoch, dass Datenschutz auch für kleinere Organisationen von größter Bedeutung bleibt. Zudem wird ein bemerkenswerter Fall von Datenmissbrauch behandelt und die Herausforderungen von Künstlicher Intelligenz im Datenschutz beleuchtet.

Sylvester Tremmel, ein Technischer Experte für E-Mail-Sicherheit und Verschlüsselung, erklärt die Herausforderungen beim Versand von Rechnungen per E-Mail und beleuchtet aktuelle gerichtliche Urteile. Er diskutiert die Bedeutung von E-Mail-Verschlüsselung und digitalen Signaturen zur Wahrung der Integrität und Sicherheit. Zudem geht es um rechtliche und ethische Dimensionen der biometrischen Gesichtserkennung im Stadionumfeld, und die Rolle der DSGVO sowie bestehende Sicherheitsrisiken und Empfehlungen für Unternehmer zur Verbesserung ihrer E-Mail-Sicherheit.

Mit Dr. Marc Störing, Holger Bleich und Joerg Heidrich Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen. Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit dem Scheitern der Ampel Anfang November wanderte dieser Entwurf direkt in die Tonne. Im c't-Datenschutz-Podcast diskutieren Joerg und Holger mit Rechtsanwalt Dr. Marc Störing die aktuelle Lage. Marc berät für die Kanzlei Osborne Clarke Unternehmen und Konzerne datenschutzrechtlich. In der Episode erläutert er fachkundig die Situation des europäischen Beschäftigtendatenschutzes und ordnet zwei wichtige Urteile des Europäischen Gerichtshofs (EuGH) aus den Jahren 2023 und 2024 dazu ein. Die Diskutanten sind sich einig, dass wenig Hoffnung auf eine baldige gesetzliche Regelung besteht. Ein Blick auf die Programme der Parteien zur Bundestagswahl zeigt, dass sich nur die SPD klar für ein Beschäftigtendatenschutzgesetz ausspricht. Angesichts der aktuellen Lage sei unwahrscheinlich, dass das Thema in einem möglichen Koalitionsvertrag eine Rolle spielen wird. Für Unternehmen und Beschäftigte bedeutet dies weiter ein hohes Maß an Rechtsunsicherheit. Viele praktische Fragen, etwa zur privaten Nutzung von Firmen-Mailkonten oder der Überwachung am Arbeitsplatz, bleiben in einer Grauzone. Marc, Joerg und Holger hoffen, dass die Politik das Thema Beschäftigtendatenschutz nicht auf die lange Bank schiebt. Nur ein detailliertes Gesetz könne für mehr Rechtssicherheit sorgen.

Mit Marie-Claire Koch, Ronald Eikenberg, Dr. Christopher Kunz und Joerg Heidrich Vorab: Melden Sie datenschutzrelevante Informationen gerne anonym an unser Investigativteam: heise-Hinweisgeber-System Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist. heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat. Wegen unzureichend gesicherter Webservices standen massenhaft Mandanteninformationen nahezu offen für jeden im Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen vorbeugen können und wie sie sich verhalten sollten, wenn es dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell in fremde Hände geraten sind? Nach Christophers Meinung ist es erschreckend, dass Patientendaten aufgrund grober Fehler wie fehlender Verschlüsselung und falscher Serverkonfiguration frei zugänglich waren. "Es geht hier um grundlegende Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich selbstverständlich sein sollten", kritisiert er. Doch stattdessen würden immer wieder die gleichen Anfängerfehler gemacht. Auch die Kommunikation der betroffenen Unternehmen lasse oft zu wünschen übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse" seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden und Kunden häufig gar nicht oder nur zögerlich informiert. Hier fordern die Experten unisono deutlich mehr Transparenz. Für Ronald liegt die Wurzel des Problems im mangelnden Risikobewusstsein: "Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig seien regelmäßige Sicherheitsaudits und die Einbindung externer Experten, um Lücken frühzeitig zu erkennen und zu schließen. Unternehmen sollten zudem offener mit Sicherheitsforschern zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten sich sicherlich mehr Informationen darüber, ob und wie ihre Daten in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim Schutz sensibler Daten gibt es noch viel Luft nach oben. Unternehmen müssen ihrer Verantwortung besser gerecht werden - im Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern, sondern können auch immense Imageschäden nach sich ziehen.