Viel ist bereits geschrieben und gesagt worden zum fünfjährigen Geburtstag der Datenschutz-Grundverordnung (DSGVO). Dieser Geburtstag ging natürlich auch am c't-Datenschutz-Podcast nicht spurlos vorüber, in dem sich Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Episoden mit den praktischen Folgen der Verordnung erklärend auseinandersetzen. Es wurde Zeit für ein Resümee, ein kleines Zwischenfazit. Zum Auftakt der Privacy-Ring-Konferenz in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde um ihre Expertise zur Entwicklung der DSGVO: Die Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät Unternehmen bereits seit 2002 im IT- und Datenschutzrecht und ist vielfältig in diesen Bereichen aktiv. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die satzungsgemäß als "unabhängige Informations- und Diskussionsplattform" fungiert. Nachdem die muntere Runde sich zunächst mit dem "Bußgeld der Woche" - diesmal der 1,2-Milliarden-Strafe für Facebook - beschäftigte, kam sie auf die Befürchtungen zu sprechen, die 2018 mit der DSGVO einhergingen. Während Massenabmahnungen ausgeblieben waren, hatte der "One size fits all"-Ansatz zu viel Unsicherheit geführt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich darüber verärgert, dass Aufsichtsbehörden zum Start der DSGVO "kaum Hilfestellung oder Handreichnungen" parat hatten und damit zur Unsicherheit beigetragen hätten. Und wenn es mal Handreicungen gebe, enthielten sie eher Verbote als Anleitungen zum rechtmäßigen Vorgehen. Die Runde war sich allerdings auch einig, dass die DSGVO dem Datenschutz ziemlich schnell zu mehr Aufmerksamkeit verhalf: "Es gab hier auch schon ein Datenschutzgesetz, das ähnlich der DSGVO war, nur eben keine ernstzunehmende Sanktionierung. Vieles war vorher auch schon verboten, es hat sich nur niemand dafür interessiert", konstatierte Auer-Reinsdorff. Die gesteigerte "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutz-Niveau geführt, da zeigten sich die Gesprächspartner einig. Dies könne man als positiven Effekt der DSGVO verbuchen. Konsens herrschte auch dazu, dass unter den Aufsichtsbehörden zu wenig Konsens herrscht. Frederick Richter hält dies zumindest auf internationaler Ebene für unausweichlich: "Die unterschiedlichen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben eine jeweils andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch ibnnerhalb deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter meinte: "Hohe Bußgelder helfen aber in der Breite nicht, abschreckend wäre, wenn es sehr viele kleine Bußgelder gäbe, dafür aber fehlt die Kapazität."

Seit nunmehr fünf Jahren entfaltet die europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor. Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Joerg und Holger erläutern und diskutieren die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der an der Aachen University of Applied Sciences. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Im Urteil "Österreichische Post AG" (Az.: C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben. In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine "Kopie" der personenbezogener Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Auszüge der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird. Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Datenverarbeitung insgesamt unrechtmäßig erfolgt ist - mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

Die Gebäude-Automatisierung ist endgültig im privaten Zuhause angekommen: Rollläden öffnen und schließen von selbst, Helligkeitssensoren bestimmen, wann das Licht angeht, Bewegungsmelder kommunizieren mit den Heizkörpern, und die Wohnungstür öffnet sich per Fingertip in der Smart-Home-App. Sprachassistenten wie Alexa und Google Assistant erschließen die Steuerung des Smart Homes mit gesprochenen Kommandos. Und das TV-Gerät registriert die Gewohnheiten beim Medienkonsum. All die Sensoren generieren teils personenbezogene Daten, die gespeichert und verarbeitet werden. In der Summe lässt sich daraus eine Menge schließen, was datenschutzrechtliche Fragen aufwirft. Darüber sprechen in Episode 85 des c't-Datenschutz-Podcasts Holger und Joerg mit ihrem Gast Dr. Marc Störing. Der Rechtsanwalt ist Partner in der internationalen Kanzlei Osborne Clarke und dort auf IT-nahe datenschutzrechtliche Beratung spezialisiert. Privat hat Marc ein Faible für Heimautomatisierung - im Podcast erzählt er denn auch zunächst von seinen eigenen Projekten. Im Gespräch klären die Drei, wo welche Daten anfallen können und wie sie gespeichert werden. Anschließend diskutieren sie, welche Rechtsgrundlagen der DSGVO eine Verarbeitung rechtfertigen könnten, sofern nicht ausschließlich das familiäre Umfeld erfasst ist (was praktisch nie der Fall ist). Es geht auch um grundsätzliche Fragen nach Erforderlichkeit, Zweckbindung und Speicherdauer im Smart-Home-Bereich. Ganz andere Problemstellungen entstehen beim "Smart Building" im geschäftlichen Umfeld. Hier geht es etwa um Verantwortlichkeiten, Beschäftigtendatenschutz und Auftragsverarbeitungen spezialisierter Dienstleister. Auch dieses weite Feld wird im Podcast angerissen.

Gibt es in Deutschland einen "Datenschutztourismus"? Suchen sich Unternehmen gezielt Standorte in Bundesländern, deren Aufsichtsbehörden die Datenschutz-Grundverordnung (DSGVO) eher lax auslegen? Diese Frage bewegt die einschlägige Community, und deshalb auch den c't-Datenschutz-Podcast Auslegungssache. Holger und Joerg sprechen darüber kontrovers mit Dr. Stefan Brink. Der ehemalige Datenschutzbeauftragte Baden-Württembergs ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt, wida, in Berlin. Brink nimmt in der Podcast-Episode kein Blatt vor den Mund und zieht Bilanz seiner Amtszeit (2016 bis Ende 2022). Brink gibt sich als Verfechter des föderalen Systems bei der Datenschutzaufsicht. Probleme kann er nicht erkennen. Man bekomme "als Unternehmen Rechtssicherheit von der Datenschutzbehörde, wenn man sie befragt". Man müsse nur darauf bestehen, Auskünfte zu bekommen. "Der Rest ist dann Mimimi in der Form: Ich kenne aber eine andere Aufsichtsbehörde, die sieht das freundlicher." Es gehe dann nicht mehr um Rechssicherheit, sondern um "Wünsch dir was". Harsche Kritik übt Brink am gemeinsamen Gremium der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK): "Die DSK ist für alle Teilnehmer eine Zumutung. Es gibt wenig, was mich in den vergangenen Jahre so betrübt hat, wie die Zusammenarbeit in der DSK. Als ich mich entschlossen habe, den Amtshut abzulegen, war das kein Faktor, der mich hat zögern lassen." Immherin habe sich "die DSK hat in den letzten Jahren gut zusammengerauft. Wir sollten daran arbeiten, dass die DSK-Entscheidungen verbindlicher werden, das Gremium weiter institutionalisieren". Brink plädiert dafür, die DSK "als übergeordnete Instanz zu stärken". Die Frage werde sein: "Bestehen wir auf einstimmigen Beschlüssen der DSK, oder lassen wir Mehrheitsbeschlüsse zu, an die sich alle Aufsichten halten müssen. Das wird spannend, weil dann auch die durch die DSGVO garantierte Unabhängigkeit der Behörden berührt würde. Es ist der richtige Ansatz, dies durch Bundesgesetzgebung zu unterstützen."

DGA, DMA, DSA, DA, AIA, EHDS: Im Rahmen ihrer Datenstrategie überschlägt sich die Europäische Kommission mit neuen Verordnungen, die den Umgang mit Daten innerhalb der Europäischen Union (EU) regulieren sollen. Einige davon sind noch im Planungsstatus, andere bereits in Kraft und bald wirksam. Auf Bürger und Unternehmen kommt da ein Vorschriftengestrüpp zu, das den klaren Blick aufs große Ganze erst einmal verhindern dürfte. Dr. Winfried Veil, in der neuen Episode 83 zu Gast im c't-Datenschutz-Podcast, gilt als harter Kritiker der hektischen Regulierung. Der Jurist begleitete als Referent im Bundesinnenministerium beispielsweise als Experte in der zuständigen EU-Projektgruppe die Ratsverhandlungen zur Datenschutz-Grundverordnung (DSGVO). Er spricht von einem "legislativen Tsunami", der zurzeit über die EU schwappt. In alle den Datengesetzen finde sich stets sinngemäß der Passus "Die DSGVO bleibt unberührt". Doch diese Behauptung lasse sich bei einem näheren Blick in die Gesetzentwürfe nicht halten. Am Beispiel des bereits in Kraft getretenen Digital Services Acts (DSA) besprechen Joerg und Holger mit Winfried, wo das neue Plattform-Gesetz eben doch datenschutzrechtliche Fragen aufwirft. Insbesondere erläutert Winfried, dass die im DSA definierten Mechanismen zu Meldewegen für rechtswidrige Inhalte de facto zu einer Vorratsdatenspeicherung bei den Plattformen führen könnte. Plakativ spricht er von "Pöbler-, Denunzianten- und Querulantendatenbanken". Und dies sei nur einer von mehreren Aspekten, bei dem sich der DSA und die DSGVO in die Quere kommen.