Alle Episoden

In der aktuellen Episode steht der European Health Data Space (EHDS) im Fokus. Die EU-Verordnung zum einem gemeinsamen Gesundheitsdatenraum ist am 26. März in Kraft getreten und wird ab März 2027 schrittweise wirksam. Ziel des ambitionierten Projekts ist es, elektronische Gesundheitsdaten in ganz Europa einfacher zugänglich zu machen – sowohl für Patienten als auch für Ärzte, Forschung und Wirtschaft. Doch was bedeutet das konkret für den Schutz von sensiblen Patientendaten?

Holger und Joerg haben dazu Rechtsanwältin Dr. Christina Schreiber eingeladen. Sie ist Spezialistin im Datenschutzrecht mit Schwerpunkt im Gesundheitswesen und erläutert die Hintergründe und Auswirkungen des EHDS. Laut Kristina bekommen...

Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittlere Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich.

In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit...

Diesmal werfen Holger und Joerg gemeinsam mit c't-Redakteur Sylvester Tremmel einen kritischen Blick auf ein umstrittenes Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden.

Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er...

Der Beschäftigtendatenschutz in Deutschland kommt nicht voran. Eigentlich sieht eine Öffnungsklausel in der DSGVO vor, dass die EU-Mitgliedsstaaten diesbezüglich mit nationalen Gesetzen das Recht ausgestalten dürfen. In Deutschland existiert aber bis dato nur der unspezifische Paragraf 26 BDSG und einige gleichlautende Vorschriften in Landesdatenschutzgesetzen.

Seit mehr als zehn Jahren ist vorgesehen, ein eigenes Beschäftigtendatenschutzgesetz zu entwickeln. Auch die Ampelkoalition hatte sich ein solches in ihr Pflichtenheft für die Legislaturperiode geschrieben. Im Oktober 2024 legte sie schließlich einen Referentenentwurf vor. Dieser sah unter anderem klare Regeln zur Einwilligung von Arbeitnehmern, Überwachungsmaßnahmen durch den Arbeitgeber und Löschfristen für Beschäftigtendaten vor. Doch mit...

Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist.

heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat....

Das in Artikel 15 DSGVO festgeschriebene Auskunftsrecht ist eines der zentralen Betroffenenrechte. Es gilt als ein wichtiges Instrument zur Kontrolle der eigenen Daten, an das sich Rechte zur Korrektur und Löschung von Daten anschließen. Per E-Mail lässt sich bei Unternehmen und Behörden erfragen, welche Daten zu welchem Zweck gespeichert sind, und woher sie stammen. Doch was auf den ersten Blick einfach klingt, wirft in der Praxis viele Fragen auf, wie die Diskussion im aktuellen c't-Datenschutz-Podcast zeigt.

Zu Gast ist Bettina Blavert, Syndikusrechtsanwältin und Datenschutzexpertin bei der Sovendus GmbH. Sie sieht das Auskunftsrecht sehr positiv, auch wenn es Unternehmen einiges abverlangt....

Die Macht von Daten wird oft erst dann sichtbar, wenn sie missbraucht wird. In Episode 125 des c't-Datenschutz-Podcasts werfen Holger, Joerg und der Datenschutzbeauftragte Markus Sailer einen Blick zurück auf historische Beispiele, in denen Staaten ihre Datensammlungen zur gezielten Verfolgung von Bevölkerungsgruppen genutzt haben.

Ein besonders bekanntes Beispiel ist die Volkszählung von 1939 im nationalsozialistischen Deutschland. Mit Hilfe von Lochkarten und Hollerith-Tabelliermaschinen erfassten die Nazis damals die Religionszugehörigkeit der Bürger. In Ergänzungskarten wurden "Mischlinge" "Volljuden", "Geltungsjuden" und "Glaubensjuden" gemäß der Nürnberger Rassengesetze von 1935 systematisch erfasst. Die Daten bildeten später die Grundlage für die Deportation von Juden in Konzentrationslager. In...

Lange erwartet, nun viel diskutiert: Das Urteil des Bundesgerichtshofs (BGH) zum Schadensersatzanspruch aus Art. 82 der Datenschutz-Grundverordnung (DSGVO) beschäftigt nicht nur Juristen. Der BGH hatte sich mit der Frage beschäftigt, ob schon der bloße Kontrollverlust über eigene Daten einen immateriellen Schaden begründen kann. Anlass war ein Datenleak bei Facebook im Jahr 2019, bei dem Kriminelle über eine zu weit offene Schnittstelle an Nutzerdaten wie Namen, Telefonnummern und Adressen von über 500 Millionen Nutzern gelangten, darunter mutmaßlich sechs Millionen Deutsche.

Der BGH hatte sich ein Berufungsurteil des Oberlandesgerichts Köln herausgepickt und die Revision zum sogenannten Leitentscheidungsverfahren erklärt. Diese Möglichkeit hat das...

Eine bislang wenig beachtete Studie des österreichischen Forschers und Aktivisten Wolfie Christl aus August 2024 brachte es an den Tag: Microsoft bietet Unternehmen, die Microsoft 365 Enterprise nutzen, weitreichende Möglichkeiten, das Verhalten ihrer Mitarbeiter zu überwachen und zu analysieren. Es geht um zubuchbare Produkte zum "Sicherheitsinformations- und Ereignis-Management" (SIEM) und zu "User and Entity Behavior Analytics" (UEBA).

Mit den Zusatzprodukten "Sentinel" und "Purview" können sich Arbeitgeber von Microsoft aufzeigen lassen, welche Mitarbeiter ein Sicherheitsrisiko darstellen könnten, etwa aufgrund "anstößiger" Chats oder häufigen Abrufen bestimmter Webseiten. Dabei werden riesige Mengen sensibler Mitarbeiterdaten verarbeitet und verknüpft, beispielsweise aus Teams und Sharepoint. Christl...

Nun hat es auch einmal den c't-Datenschutz-Podcast erwischt: Manchmal ändert sich die Nachrichtensituation von einen Tag auf den anderen gravierend, so geschehen am 6. November. Kaum war die aktuelle Folge im Kasten, löste sich die Ampelkoalition auf. Einige Gesetzesprojekte, über die es in der Episode gesprochen wird, dürften damit vorerst gestoppt sein. Dennoch halten wir die Episode 122 der Auslegungssache für sehr hörenswert, beleuchtet sie doch die Lage der Bürgerrechte in Deutschland sowie Bestrebungen der nun ehemaligen Bundesregierung, grundrechtsgefährdende Projekte auf die Schiene zu bringen.

Im Mittelpunkt steht das Sicherheitspaket, das eventuell mit Hilfe der Unionsparteien trotz Ampel-Aus noch vor...