Auslegungssache – der c't-Datenschutz-Podcast

Mit Holger Bleich und Joerg Heidrich Sommer, Hitze, kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Holger und Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse, Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände". Im Zentrum der Podcast-Folge steht ein nun schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten. Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach deren Lesart hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen. Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.

Mit Carolin Loy, Holger Bleich und Joerg Heidrich In Folge 136 des c't-Datenschutz-Podcasts sprechen Holger und Joerg mit Carolin Loy über die Arbeit und Haltung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Loy leitet dort den Bereiche Digitalwirtschaft, ist Pressesprecherin und hat Einblick in viele aktuelle Datenschutzthemen - von Künstlicher Intelligenz bis hin zu Cookie-Bannern. Sie hatte die vorvergangene Episode 134 im heise-Forum kritisch kommentiert und folgte postwendend einer darauffolgenden Einladung von Joerg. Zum Start geht es aber zunächst um ein 45-Millionen-Euro-Bußgeld gegen die deutsche Vodafone GmbH. Die Bundesdatenschutzbeauftragte verhängte diese Summe, weil Vodafone Partneragenturen nicht ausreichend kontrollierte und die Kundenauthentifizierung bei E-SIMs mangelhaft war. Auffällig: Vodafone akzeptierte das Bußgeld schnell, arbeitete bei der Aufklärung mit und spendete zusätzlich an gemeinnützige Organisationen. Einen zweiten Schwerpunkt bildet ein Beschluss des Oberlandesgerichts Köln zu Metas Plänen, öffentliche Facebook- und Instagram-Profile zum Training von KI-Systemen zu nutzen. Das Gericht entschied im Eilverfahren, zu dem noch keine schriftliche Begründung vorliegt: Meta darf diese Daten ohne ausdrückliche Einwilligung der Nutzer heranziehen. Die Interessen von Meta seien berechtigt, zudem hätte Meta Nutzern Widerspruch ermöglicht. In der Podcast-Episode geht es unter anderem um die Frage, ob Nutzer wirklich damit rechnen müssen, dass alte und öffentliche Posts zu KI-Zwecken verarbeitet werden, und ob der Umgang mit sensiblen Daten ausreichend berücksichtigt wird. Loy betont, dass die Rechtslage nicht immer dem Bauchgefühl entspricht und verweist auf europäische Vorgaben, nach denen das KI-Training grundsätzlich auch ohne Einwilligung möglich sein kann, solange bestimmte Bedingungen erfüllt sind. Das weitere Gespräch dreht sich um die tägliche Arbeit der bayerischen Datenschutzaufsicht BayLDA. Die Behörde berät Loy zufolge Unternehmen im Bundesland zu KI-Projekten, prüft Beschwerden - zum Beispiel beim Einsatz von KI im Bewerbungsprozess - und ist europaweit an Orientierungshilfen zu digitalen Themen beteiligt, etwa bei Cookie-Bannern und neuen digitalen Abo-Modellen ("Consent or Pay"). Loy schildert, dass zu Cookie-Bannern und Tracking nach wie vor die meisten Beschwerden eintreffen. Sie sieht neue Ansätze wie PIMs - zentrale Einwilligungsverwaltungen - zwar positiv, zeigt sich aber aber skeptisch, ob sie den Cookie-Banner-Wildwuchs wirklich eindämmen. Loy stellt sich sodan dem Vorwurf, Das BayLDA verhalte sich bei Datenschutzverstößen zu lasch oder zögerlich. Am Beispiel des von c't aufgedeckten Falls "Buchbinder", bei dem Millionen Kundendaten wegen einer Panne offen im Netz standen, erklärt sie, warum am Ende kein Bußgeld verhängt wurde: Das Unternehmen habe hohe Compliance-Standards gehabt, den Vorfall selbst gemeldet und eng mit der Behörde kooperiert. Entscheidend sei nicht der Fehler selbst, sondern wie Unternehmen mit Datenschutz umgehen und ob sie daraus lernen. Loy betont, dass die Behörde nicht vorrangig Strafen verteilen, sondern Datenschutz in der Breite fördern will - auch durch Beratung. Zum Abschluss geht es um die aktuelle Debatte zur Zentralisierung der Datenschutzaufsicht für Unternehmen bei der Bundesdatenschutzbeauftragten. Loy sieht das kritisch: Einheitliche Entscheidungen würden dadurch nicht automatisch entstehen, da viele Fragen ohnehin im europäischen Verbund entschieden werden. Zudem könnten regionale Beratung und Kontrolle verloren gehen. Die Runde vermutet hinter dem Zentralisierungswunsch auch das Ziel, Datenschutzauflagen zu lockern und Bürokratie abzubauen.

Mit Dr. Dr. Hans Steege, Holger Bleich und Joerg Heidrich Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar. In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Dr. Dr. Hans Stege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Hans ist seit 2021 im Bereich Datenschutz bei Cariad, einer Volkswagen-Tochter, tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz. Wie Hans erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an - von Ultraschallsensoren über Kameras bis hin zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben - meist auf Basis einer Einwilligung der Nutzer. Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache. Nicht zuletzt zeigen prominente Datenpannen – etwa bei VW, wo monatelange Bewegungsprofile von hunderttausenden Fahrzeugen unzureichend geschützt in der Cloud lagen – wie reichhaltig und schützenswert die gesammelten Daten sind. Die Verantwortung der Hersteller ist enorm, doch oft bleibt unklar, wie lange Daten wirklich gespeichert werden, ob sie ausreichend anonymisiert werden und wer tatsächlich Zugriff hat. Abseits vom VW-Fall, zu dem er aufgrund seiner Anstellung bei Cariad nicht konkret sprechen kann, betont Hans, dass die Hersteller technisch und organisatorisch auf Top-Niveau arbeiten müssen, um den Datenschutz zu gewährleisten. Gleichzeitig stelle sich die Frage nach der digitalen Souveränität, wenn Fahrzeuge aus den USA oder China Unmengen an Daten sammeln. Hier sei die Politik gefragt.

Mit Dr. Stefan Brink, Holger Bleich und Joerg Heidrich Schwarz-Rote Koalition: Datenschutz im Umbruch Im c't-Datenschutz-Podcast diskutieren Holger Bleich, Joerg Heidrich und Ex-Landesdatenschützer Stefan Brink über die geplante Neuausrichtung des Datenschutzes unter der schwarz-roten Koalition. Droht ein Abschied vom föderalen Modell? Die neue Regierungskoalition hat sich einiges vorgenommen, um den Datenschutz in Deutschland neu auszurichten. Im Koalitionsvertrag ist von "Entbürokratisierung" und "Zentralisierung" die Rede. Doch was bedeutet das konkret? Droht ein Abschied vom föderalen Modell der Datenschutzaufsicht? Und welche Rolle spielt dabei das neue Bundesministerium für Digitalisierung und Verwaltungsmondernisierung (BMDV) und dessen Quereinsteiger-Chef, der neue Bundesminister Karsten Wildberger? Diesen Fragen gehen c't-Redakteur Holger Bleich, Verlagsjustiziar Joerg Heidrich und der ehemalige Landesdatenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, in der aktuellen Episode des c't-Datenschutz-Podcasts nach. Brink warnt davor, den Datenschutz vorschnell als "Bürokratie" abzustempeln. Vielmehr gehe es um ein Grundrecht, das in Einklang mit anderen Interessen wie der Datennutzung gebracht werden müsse. Eine Zentralisierung der Datenschutzaufsicht beim Bund, wie im Koalitionsvertrag angedeutet, sieht Brink kritisch. Ihm zufolge würde sie einen massiven Umbau bedeuten: Drei Viertel der Stellen in den Ländern würden wegfallen. Brink sieht die Gefahr, dass dadurch die Beratung vor Ort leidet und das Datenschutzniveau sinkt. Auch das neue Digitalministerium wird diskutiert: Es übernimmt viele Kompetenzen, die bislang auf verschiedene Ressorts verteilt waren, doch der Datenschutz bleibt beim Innenministerium. Brink sieht das als verpasste Chance, den Datenschutz stärker mit der Digitalpolitik zu verzahnen. Zudem kritisiert er, dass die Bundesregierung der Bundesdatenschutzbeauftragten eine neue Rolle als "Beauftragte für Datennutzung, Datenschutz und Informationsfreiheit" zuschreiben will. Beim Thema Informationsfreiheit herrscht Ernüchterung: Ein modernes Transparenzgesetz, wie es der Ampelkoalition vorschwebte, ist nun nicht mehr in Sicht, stattdessen ist laut Brink "vier Jahre Winter" angesagt. Am Ende steht das Bild einer komplexen Gemengelage: Datenschutz bleibt ein zentrales Grundrecht, steht aber unter politischem und wirtschaftlichem Druck.

Mit Dr. Stefan Brink, Holger Bleich und Joerg Heidrich Der Datentransfer zwischen der EU und den USA steht erneut auf wackeligen Beinen. Nachdem der Europäische Gerichtshof (EuGH) bereits die Vorgängerabkommen "Safe Harbor" und "Privacy Shield" gekippt hatte, droht nun auch dem aktuellen "Transatlantic Data Privacy Framework" (TADPF) ein jähes Ende. Im c't-Datenschutz-Podcast erläutern Holger und Joerg Heidrich zusammen mit Dr. Stefan Brink die komplexe Gemengelage. Brink war bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg, leitet nun das Wissenschaftliche Institut für die Digitalisierung der Arbeitswelt (wida) und kennt die Problematik aus nächster Nähe. Das TADPF sollte den Datentransfer eigentlich endlich auf eine solide Basis stellen. US-Präsident Biden erließ dazu 2022 die Executive Order 14086, die den Zugriff von US-Geheimdiensten auf EU-Bürgerdaten einschränken und Beschwerdemöglichkeiten schaffen sollte. Doch die Umsetzung ist fragil. Brink erläutert, dass die Executive Order jederzeit von US-Präsident Donald Trump wieder einkassiert werden könnte. Zudem ist das vorgesehene Kontrollgremium PCLOB faktisch lahmgelegt, da ihm die Mitglieder fehlen. Die EU-Kommission versucht nach Beobachtung von Holger, die Probleme auszusitzen, doch im EU-Parlament wachse der Druck, den Angemessenheitsbeschluss aufzuheben. Auch sogenannte Standardvertragsklauseln als Alternative stehen auf tönernen Füßen, da der EuGH hohe Anforderungen an "Transfer Impact Assessments" stellt. US-Gesetze wie der CLOUD Act ermöglichen weiterhin den Zugriff auf Daten bei US-Anbietern. Für EU-Unternehmen ist es kaum leistbar, sich komplett von US-Diensten zu lösen, da eine digitale Souveränität Europas fehlt. Die Aufsichtsbehörden in Deutschland und Europa sitzen nach Brinks Schilderung zwischen den Stühlen: Sie wissen um die rechtlichen Mängel, schrecken aber vor harten Maßnahmen zurück – auch aus Furcht vor wirtschaftlichem Chaos. Stattdessen setzen sie auf Dialog und hoffen, dass Unternehmen zumindest Alternativen prüfen. Die Diskutanten sehen die Gefahr, dass der Datentransfer zum Spielball im Handelskonflikt zwischen den USA und der EU werden könnte. Am Ende bleibt die Erkenntnis: Der transatlantische Datenverkehr ist in schwere See geraten, und Unternehmen täten gut daran, sich nach Alternativen umzusehen.