Alle Episoden

Es hagelt derzeit Bußgelder wegen Datenschutzverstößen gegen deutsche Unternehmen. Die Landesdatenschutzbehörden nehmen diesbezüglich im europäischen Vergleich eine Spitzenposition ein. Doch ein Bereich, der die Bürgerinnen und Bürger stark betrifft, findet in der medialen Berichterstattung kaum statt: Die öffentliche Verwaltung. Welche datenschutzrechtlichen Pflichten entstehen für die Behörden aus der DSGVO heraus? Welche Sanktionen haben sie zu befürchten?

Diese Fragen stellen sich Joerg und Holger in der aktuellen Episode des c't-Datenschutz-Podcasts Auslegungssache. Ein versierter Gast steht Rede und Antwort: Dr. Daniel Sandvoß lehrt seit 2010 am Niedersächsischen Studieninstitut für kommunale Verwaltung (NSI) und der Kommunalen Hochschule für Verwaltung in Niedersachsen (HSVN). Sein...

Am 25. Mai 2022 jährte sich die Wirksamkeit der EU-Datenschutz-Grundverordnung (DSGVO) zum vierten Mal. Erhebungen zufolge haben die Datenschutzbehörden aller EU-Mitgliedsstaaten in den vier Jahren insgesamt bereits mehr als 1,6 Milliarden Euro an Bußgeldern verhängt. Allerdings verteilt sich die Summe sehr ungleich, weil es bislang keine einheitliche Bemessungsgrundlage für Datenschutzverstöße gibt.

Dies soll sich nun ändern: Am 12 Mai hat der Europäische Datenschutzausschuss (EDSA) als gemeinsames Abstimmungsgremium der EU-Datenschutzbehörden ein Bußgeld-Berechnungsschema für DSGVO-Verstöße beschlossen, das die zuständigen Aufsichtsbehörden Schritt für Schritt durcharbeiten sollen. Ersten Einschätzungen zufolge wird es vor allem für große und umsatzstarke Unternehmen zu erheblichen Risiken führen. In...

Selten hat ein Gesetzesvorschlag der EU-Kommission so viel Widerspruch in kurzer Zeit geerntet wie die am 11. Mai vorgestellten "neuen EU-Rechtsvorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Internet". Dies liegt keineswegs am unbestritten wichtigen Ziel, die Verbreitung von Darstellungen sexualisierter Gewalt gegen Kinder einzudämmen. Es sind die Mittel dazu, die auf rigide Ablehnung von Bürgerrechtlern, Datenschützern, aber auch von Wirtschaftsverbänden und mehreren Bundesministerien stoßen.

Beispielsweise will die EU-Kommission Anbieter verschlüsselter Messenger wie WhatsApp, Signal, Threema oder Apple dazu zwingen, Fotos und Videos von Kindesmissbrauch in den Nachrichten ihrer Nutzer ausfindig zu machen sowie mit verdekent Text-Scans...

Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Joerg und Holger zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte.

Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen.

Joerg hebt die...

Derzeit vergeht kaum eine Woche, in der es keine Meldungen zu spektakulären Razzien und Drogenfunden gibt. Mitte der Woche etwa haben Fahnder von Zoll und Polizei zahlreiche Privatwohnungen und Geschäftsräume in Niedersachsen, Hamburg und in Schleswig-Holstein gestürmt. Zeitgleich liefen auch Razzien in anderen Ländern, darunter die Niederlande, Belgien und Paraguay.

In den meisten Fällen ziehen die Durchsuchungen Haftbefehle und Beschlagnahmungen nach sich; fast immer werden die Fahnder fündig. Woher kommt diese hohe Erfolgsquote? Die Tatvorwürfe beziehen sich stets auf Delikte, die im Frühjahr 2020 geschehen sein sollen. Genau in diesem Zeitraum nämlich hatte die französische Polizei ein Kryptomessenger-System namens Encrochat...

Einen "großen Durchbruch" für den internationalen Datenverkehr hatten US-Präsident Joe Biden und EU-Kommissionspräsidentin Ursula von der Leyen Ende März versprochen. In einer gemeinsamen Pressekonferenz vermeldeten sie eine "grundsätzliche Einigung" für ein neues Datenschutzabkommen, nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für rechtswidrig und damit unwirksam erklärt worden war. Mit ihrer Erklärung weckten die beiden Spitzenpolitiker große Hoffnungen bei Unternehmen dies- und jenseits des Atlantiks. Zu recht?

Dieser Frage gehen Holger und Joerg in Episode 59 nach. Als Gast in dieser Folge schätzt Prof. Alexander Golland die Lage kompetent ein. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen...

Gleich mit mehreren Gesetzen im Rahmen einer "Datenstrategie" will die EU "die Führungsrolle in einer datengestützten Gesellschaft übernehmen". Der AI Act etwa ist ein Verordnungsentwurf, der die Verarbeitung von Daten in KI-Systemen regeln soll. Ihm folgte im Februar 2022 der EU-Kommissions-Vorschlag zum Data Act. Die Verordnung soll den Binnenmarkt-Gedanken auf Datenhandel übertragen. Jeder Verbrauchter darf demzufolge selbst entscheiden, wer wann Zugriff auf seine Daten erhält, um damit einen Mehrwert zu erzeugen. Hier geht es insbesondere um anfallende Daten bei Gerätenutzung (Fahrzeuge, IoT usw).

All diese Initiativen treffen auf die recht rigide DSGVO. In Episode 58 der Auslegungssache ordnen Joerg und...

Liebe Hörerinnen und Hörer der Auslegungssache: Wegen eines Krankheitsfalls mussten wir die geplante Aufzeichnung von Episode 58 verschieben. Wir bleiben im Turnus und verschieben die Veröffentlichung der neuen Episode auf den 25. März 2022. Vielen Dank vorab für Euer Verständnis! Viele Grüße von Joerg und Holger - und bleibt gesund :-)

Logfiles und Datenbanken enthalten fast immer auch personenbezogene Daten. Um sie ausreichend zu schützen, müssen Unternehmen und Privatpersonen „geeignete technische und organisatorische Maßnahmen treffen“. Das reicht von regelmäßigen Software-Updates und Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und Pseudonymisierung bis hin zu regelmäßigen Backups.

Über das Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des IT-Recht-Blogs Telemedicus.

Seiner Erfahrung nach werden beide Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist unterschiedlich: Datenschutz schützt personenbezogene Daten, IT-Sicherheit schaut vor allem auf...

Ob Vereinsauftritt, privates Blog oder Online-Shop: Für Webseiten gilt die DSGVO. Wer eine Seite aufsetzt, muss sich deshalb von Anfang an Gedanken machen, an welchen Stellen er Nutzerdaten speichert, verarbeitet und weiterleitet, zum Beispiel über eingebundene Dienste und Plug-ins.

Doch wie genau bekommt man seine Webseite datenschutzkonform? Diese Frage beantworten Joerg und Achim – Holgers Urlaubsvertretung – gemeinsam mit Carola Sieling. Carola ist bereits zum dritten Mal (Folge 27, Folge 18) in der c't Auslegungssache zu Gast und erklärt, welche Vorgaben der DSGVO für Website-Anbieter relevant sind.

Wunderbar zum Thema Websites passt auch das Bußgeld der Woche, das in dieser...