Auslegungssache: Der Datenschutz-Podcast des c’t Magazins

Auslegungssache Episode 20 bis 11

Inhaltsverzeichnis

Dr. Simon Assion

Sowohl in der EU als auch in Deutschland entstehen derzeit Gesetze, die IT-Sicherheit und Datenschutz neu regulieren werden. Joerg und Holger reden deshalb diesmal über ungelegte Eier, auch wenn das Joerg eigentlich gar nicht so gerne tut. Es geht um offizielle und geleakte Referentenentwürfe, die klar zeigen: Da kommt in nächster Zeit einiges auf BürgerInnen und Unternehmen zu. Diesmal komplettiert Dr. Simon Assion die Runde. Er hat sich bereits mit den Entwürfen zur TKG-Novellierung und dem geplanten TTDSG befasst, in dem unter anderem Cookies neu reguliert werden sollen. Simon ordnet diese Vorhaben in einen größeren Kontext ein und findet durchaus kritische Worte. Simon ist Rechtsanwalt bei der Kanzlei Bird&Bird und berät dort zu allen Fragen des Kommunikations- und Informationsrechts. Folgt ihm auf Twitter, es lohnt sich! Sein Handle: @sas_assion

Podcast-Aufzeichung Episode 19: Jürgen (links), Holger (rechts) und Joerg (unten).

Wer mit personenbezogenen Daten hantiert, muss sich vor Angriffen schützen! Das gilt für alle Organisationen, seien es Unternehmen, Krankenhäuser oder Gerichte. Das EU-Datenschutzrecht sieht heftige Bußgelder vor, wenn sie wegen technischer Mängel Opfer von kriminellen Angriffen auf ihre IT-Infrastruktur werden. Doch die Vorgaben in der DSGVO zur zwingend erforderlichen Vorsorge sind eher wage. Joerg und Holger sehen sich wieder einmal den einschlägigen Artikel 32 an und klären, welche präventiven Maßnahmen sinnvoll sind. Unterstützt werden sie dabei von Jürgen Schmidt, dem leitenden Redakteur von heise Security und außerdem dem Senior Fellow Security des Heise-Verlags. Jürgen liefert News von der Malware-Front, schätzt die derzeitige Bedrohungslage ein und erläutert, wie Ransomware-Banden derzeit vorgehen. Sein Mantra lautet: "Jeder muss davon ausgehen, dass es ihn erwischt, und entsprechend planen!"

Selfie: Rechtsanwältin Carola Sieling beim Auslegungssache-Podcasten in ihrer Kanzlei.

Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield zerschlagen und damit einen großen Teil des Datenflusses aus der EU in die USA für gesetzeswidrig erklärt. Das Datenschutzniveau in den USA sei nicht angemessen, widersprach der EuGH damit der EU-Kommission. Ein Jammern und Wehklagen der Wirtschaft ist nicht zu überhören, obwohl die Entscheidung nicht gerade überraschend kam. Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg und Holger zusammen mit Carola Sieling nach. Carola ist auf IT-Recht spezialisierte Rechtsanwältin (kanzlei-sieling.de) in Hamburg und Paderborn. Sie stellt erst einmal fest: Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Dann erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.

Drei Podcaster von links nach rechts im Livestream: Christoph, Holger und Joerg

Juhu, die Auslegungssache macht Corona-frei! Joerg und Holger lassen das Pandemie-Thema beherzt links liegen und beackern ein wichtiges Themenfeld, dessen Würdigung aus aktuellen Anlässen viel zu lange verschoben wurde: Es geht diesmal um die Frage, wie Cloud-Dienste angesichts der DSGVO-verschärften Bedingungen rechtmäßig genutzt werden können. Zusammen mit Dr. Christoph Wegener tastet sich das c't-Team an die Bedingungen heran, die das aktuelle EU-Datenschutzrecht vorgibt - sowohl für Unternehmen als auch für Privatleute. Dabei wird es durchaus etwas technisch, etwa bei den Fragen, was der von der DSGVO vorgegebene "Stand der Technik" sein könnte und wie Datenlöschungskonzepte in der Cloud funktionieren können. Christoph ordnet die Dinge ein und gibt Ideen für eigene Checklisten vor dem Gang in die Cloud. Er ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Ein Disclaimer in eigener Sache: Christoph hilft uns außerdem als Co-Organisator Heise-Security-Konferenz.

Selfie: Ninja Marnau beim Auslegungssache-Podcasten

Joerg und Holger kommen vom Thema einfach nicht los: Auch in Episode 16 geht es wieder um die Corona-Warn-App. Diesmal dient sie als Beispiel dafür, warum eine solch komplexe Datenverarbeitung eine sogenannte Datenschutzfolgeabschätzung (DSFA) benötigt. Zu Gast in der Auslegungssache ist diesmal Ninja Marnau. Ninja forscht am Helmholtz Center for Information Security (CISPA) in Saarbrücken zu Datenschutzthemen. Sie war beratend in den Entwicklungsprozess der Corona-Warn-App involviert und arbeitete auch bei der 117-starken DSFA mit. die DSFA selbst lässt sich unter diesem Link (PDF) abrufen: https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

Episode 16 zum Anhören:

Selfie: Kirsten Bock beim Auslegungssache-Podcaten im Homeoffice.

Die informierte Einwilligung! Stimmt der Bürger nur aktiv zu, soll jeder Empfänger fast alles mit seinen Daten anstellen dürfen. So hat es nach dem EuGH jüngst auch der BGH bestätigt. Und den Bürgerinnen und Bürgern hat es sich so eingebrannt. Doch stimmt das? Und ist es das, was die EU als Gesetzgeber mit der DSGVO gewollt hat? Bürgerinnen und Bürger, die nicht mehr durchblicken und deshalb alles abnicken, weil sie nun mal die Dienste nutzen wollen? Zweifel sind angebracht, denn es gibt nicht nur die Einwilligung, sondern gleichberechtigt fünf andere eigentlich gleichrangige Rechtsgründe dafür, Daten erheben und verarbeiten zu dürfen, die aber derzeit faktisch zurücktreten. Darüber diskutieren Joerg und Holger mit Kirsten Bock. Sie studierte Rechtswissenschaften und arbeitet seit vielen Jahren als Datenschutzjuristin im aufsichtsbehördlichen Bereich, forscht zu ethischen und gesellschaftlichen Grundsatzfragen des Datenschutzes und ist eine der Autorinnen des Standard-Datenschutzmodells. Und sie äußert aus Datenschutzperspektive heftige Kritk am Modell der Corona-Warn-App, die kommende Woche erscheinen soll. Auch das musste natürlich begesprochen werden in dieser Episode.

Episode 15 zum Anhören:

Selfie: Thomas Althammer beim Auslegungssache-podcasten in seinem Büro.

Endlich! Die irische Datenschutzbehörde ist aufgewacht. Joerg und Holger präsentieren tatsächlich einen Bußgeldbescheid der DPC, allerdings gegen eine öffentliche Stelle. In Sachen Facebook bleibt sie nach wie vor untätig, was den Datenschützer Max Schrems in einem Brandbrief zum Urteil "Die DSGVO ist dysfunktional" veranlasste, wie Holger berichtet. Im Schwerpunkt von Episode 14 geht es aber um Microsoft 365 (ehemals Office 365). An dem viel genutzten Cloudoffice- und Workgroup-Paket scheiden sich die Datenschutz-Geister. Während der Konzern stets betont, alle DSGVO-Vorgaben einzuhalten, warnen einige Datenschutzbehörden vor dem Einsatz in Behörden, Schulen und Unternehmen. Zusammen mit ihrem Gast Thomas Althammer grübeln sie darüber, wo die Knackpunkte liegen und ob Microsoft wirklich mit offenen Karten spielt. Zweifel sind zumindest angebracht, wie Thomas zu berichten weiß. Er kennt die Problematiken aus der beruflichen Praxis: Sein Unternehmen Althammer&Kill berät namhafte Unternehmen als externer Datenschutzbeauftragter, zu Informationssicherheit und in IT-Strategiefragen, und Thomas selbst hat sich ausführlich mit den datenschutzrechtlichen Fallstricken rund um den Einsatz von Microsoft 365 beschäftigt.

Episode 14 zum Anhören:

Linus Neumann erklärt die Funktionsweise von Contact-Tracing-Apps (hier nicht im Podcast, sondern in den ARD Tagesthemen)

Endlich wieder ein knackiges Bußgeld der Woche - die Aufsichtsbehörden erwachen wohl aus dem Corona-Schlaf. Auch Joerg und Holger wollen in die neue Normalität und besprechen, welchen Beitrag dazu die Kontaktverfolgung mit Smartphone-Apps leisten kann. Mehr als nur Unterstützung erhalten sie dabei von Linus Neumann, der aus Berlin zugeschaltet ist. Linus ist unter anderem Sprecher des Chaos Computer Clubs (CCC) und Podcaster (https://logbuch-netzpolitik.de). Er hat sich intensiv mit den App-Konzepten beschäftigt und erklärt in dieser XL-Episode ausführlich, wie die Kontaktverfolgung mittels Bluetooth funktioniert, welche Unterschiede zwischen den zentralen und dezentralen Ansätzen bestehen, wie Apple und Google in die Situation eingriffen und wie das Tracing nun datenschutzschonend ablaufen könnte.

Unter Mitwirkung von Linus hat der CCC zehn Prüfsteine für die Beurteilung von Contact-Tracing-Apps formuliert:

https://www.ccc.de/de/updates/2020/contact-tracing-requirements

Gebt uns gerne Feedback an auslegungssache@heise.de oder im Forum unter ct.de/auslegungssache. :-)

Episode 13 zum Anhören:

Aus Hamburg zugeschaltet: Peter Schaar

(Bild: Peter Schaar)

Wen interessiert denn gerade Datenschutz? Joerg und Holger gehen der Frage nach, welche Rolle der Datenschutz als Grundrecht bei den Maßnahmen zur Corona-Eindämmung spielt. Natürlich geht es um den verantwortungsvollen Umgang mit Gesundheitsdaten, aber etwa auch darum, welche Möglichkeiten Schulen haben, per Videochat zu unterrichten. Eine wenig überzeugende Rolle spielen hier derzeit die Landesdatenschutzbehörden, die kaum konkrete Hinweise geben. Das sieht auch der Bundesdatenschutzbeauftragte a.D. Peter Schaar so, der in dieser Episode aus Hamburg zugeschaltet ist. Schaar, der heute der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) vorsteht, hat einen Apell namens "Corona – Pandemie bekämpfen, Bürgerrechte und Datenschutz wahren!" initiiert, der hier zu finden ist:

https://www.eaid-berlin.de/appell-der-europaeischen-akademie-fuer-informationsfreiheit-und-datenschutz-corona-pandemie-bekaempfen-buergerrechte-und-datenschutz-wahren/

Episode 12 zum Anhören:

Thomas Schwenke beim Auslegungssache-Podcasten im Homeoffice

Plötzlich schwappt eine Digitalisierungswelle durchs Land, und damit eine neue Datenschutzdebatte. Wer kann, bleibt nämlich wegen der Corona-Kontaktsperre im Homeoffice und videokonferiert mit den KollegInnen. Joerg und Holger besprechen mit Rechtsanwalt Dr. Thomas Schwenke, welche Anforderungen dabei gelten. Darf man bedenkenlos US-Plattformen wie Zoom oder MS Teams nutzen? Nach welchen Kriterien sollte man ein Konferenzsystem auswählen? Thomas hat dazu unter https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting eine Checkliste zusammengestellt, die die drei zusammen mit vielen Beispielen durchgehen.

Episode 11 zum Anhören: