Auslegungssache – der c't-Datenschutz-Podcast

Holger und Joerg verzichten ausnahmsweise auf einen Gast und arbeiten sich zu zweit durch gleich mehrere aktuelle Datenschutzthemen. Den Anfang macht ein Bußgeld aus Großbritannien: Die britische Datenschutzbehörde ICO verhängte gegen Reddit eine Strafe von 14,4 Millionen Pfund (rund 17,3 Millionen Euro), weil die Plattform über Jahre hinweg keine wirksame Altersüberprüfung einsetzte und so Daten von Kindern unter 13 Jahren ohne Rechtsgrundlage verarbeitete. Reddit kündigte Widerspruch an.

Vom Bußgeld leiten die beiden über zum Thema Altersverifikation und sprechen über den Identitätsprüfer Persona. Das US-Unternehmen, an dem unter anderem Palantir-Mitgründer Peter Thiel beteiligt ist, wird von Plattformen wie Reddit, Discord und LinkedIn eingesetzt. Eine Recherche förderte zutage, dass Persona bei der Identitätsprüfung bis zu 269 Prüfschritte durchläuft, Daten mit US-Fahndungslisten und Terrorismus-Datenbanken abgleicht und 17 weitere Unternehmen einbindet. Holger warnt davor, dass solche Dienste weit mehr Daten sammeln und weitergeben könnten, als Nutzer ahnen – und dass über die Hintertür Altersverifikation eine Art Klarnamenpflicht im Netz entstehen könnte.

Anschließend widmen sich die beiden dem Jugendschutzkonzept der SPD. Die Partei fordert ein vollständiges Social-Media-Verbot für unter 14-Jährige und eine eingeschränkte Jugendversion für 14- bis 16-Jährige, in der Empfehlungsalgorithmen, personalisierte Werbung und suchtfördernde Elemente wie Endlos-Scrollen abgeschaltet sein sollen. Die Altersüberprüfung soll über das europäische EUDI-Wallet laufen, das im Frühjahr 2027 starten soll.

Holger erkennt darin zwar den datensparsamsten Ansatz unter den bisherigen Vorschlägen, sieht aber zahlreiche Probleme: Das Wallet existiert noch nicht, steht erst ab 16 Jahren zur Verfügung und schließt Menschen ohne Smartphone und Nicht-EU-Bürger aus. Zudem habe Deutschland nach Einschätzung des Wissenschaftlichen Dienstes des Bundestags durch den Digital Services Act seine Regelungskompetenz im Bereich Jugendschutz auf Plattformen an die EU abgegeben.

Ein weiteres Thema ist ein Urteil des OLG Jena gegen Meta. Das Gericht stellte fest, dass Meta mit seinen Business-Tools eine weitreichende Überwachung der Internetnutzung betreibt, die auch nicht eingeloggte Personen erfasst und sogar sensible Gesundheitsdaten einschließen kann. Das Gericht sprach dem Kläger 3000 Euro Schadenersatz zu und ließ die Revision zum Bundesgerichtshof zu. Beide Podcaster berichten auch von ihren eigenen Erfahrungen als Kläger in Massenverfahren gegen Meta.

Beim Thema Chatkontrolle berichten sie von einer überraschenden Entwicklung im EU-Parlament: Im LIBE-Ausschuss fand sich bei einer Abstimmung keine Mehrheit für die Verlängerung der sogenannten freiwilligen Chatkontrolle, die Anfang April ausläuft. Ohne Verlängerung dürften Plattformen wie Microsoft oder Facebook nicht mehr automatisiert nach Darstellungen von Kindesmissbrauch scannen. Gleichzeitig stehen die Trilog-Verhandlungen zur eigentlichen Chatkontrolle-Verordnung an, deren Ausgang völlig offen ist.

Zum Schluss werfen Holger und Joerg einen Blick auf das Omnibus-Paket zur DSGVO-Reform. Die geplanten Änderungen – darunter eine Neudefinition personenbezogener Daten, Einschränkungen es Auskunftsrechts und Sonderregeln für KI-Training – stoßen auf mehr Widerstand als erwartet. Die zypriotische Ratspräsidentschaft lehnt zentrale Vorschläge ab, auch das Parlament und die Datenschutzbehörden äußern Kritik. Das ehrgeizige Ziel, die Reform noch 2026 abzuschließen, sehen beide damit in Frage gestellt.

In Episode 153 der Auslegungssache sprechen Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Maria Christina Rost, seit 2024 Landesbeauftragte für den Datenschutz in Sachsen-Anhalt, über die wachsenden Risiken für Minderjährige im Netz. Rost hat das Thema Kinderdatenschutz zu einem ihrer inhaltichen Schwerpunkte gemacht.

Im Zentrum der Diskussion in der Episode steht die rechtliche und praktische Schutzlücke bei Umgang mit Minderjährigen. Zwar sieht die Datenschutz-Grundverordnung (DSGVO) in Deutschland vor, dass Kinder erst ab 16 Jahren wirksam selbst in die Verarbeitung ihrer Daten einwilligen können. Große Social-Media-Plattformen erlauben die Anmeldung jedoch oft schon ab 13 Jahren, basierend auf der Gesetzeslage in den USA. Diese Diskrepanz führt dazu, dass unzählige Kinder und Jugendliche die Dienste nutzen, ohne dass die in Deutschland geforderte Zustimmung der Eltern eingeholt wird – ein Zustand, den die Aufsichtsbehörden bisher kaum ahnden.

Ein weiterer Schwerpunkt des Gesprächs sind die technischen Lösungen zur Altersverifikation. Die EU arbeitet an einer digitalen Brieftasche (Wallet), die eine datensparsame Altersbestätigung ermöglichen soll, allerdings nur für streng reglementierte Angebote wie Glücksspiel, harte Pornografie und Alkoholverkauf. Zur Altersaverfikation von Social-Media-Plattformen genügen nach Ansicht der EU-Kommission Methoden, die auf biometrischen KI-Analysen von Webcam-Gesichtsaufnahmen beruhen. Rost äußert sich dazu eher skeptisch, da diese neue Datenschutzrisiken schaffen.

Bleich betont, dass technischer Jugendschutz allein ohnehin nicht reicht. Er verweist auf die EU-Kommission, die TikTok in einem vorläufigen Bericht suchtfördernde Mechanismen wie Endlos-Scrollen und Autoplay attestiert hat. Die Plattformen sammelten riesige Datenmengen von Minderjährigen, profilierten und verwerteten sie weitgehend unbehelligt. Hier müsse härter reguliert und vor allem schneller durchgesetzt werden, fordert er.

Rost setzt eher auf Prävention und Medienkompetenz. In Sachsen-Anhalt hat sie gemeinsam mit dem Lehrerfortbildungsinstitut einen ersten Datenschutz-Tag für Lehrkräfte und Schulämter organisiert. Ihr Ziel: ein "Datenführerschein" für Grundschulkinder, vergleichbar mit dem Fahrradführerschein der Verkehrswacht. Ziel sei es, Datenschutz als selbstverständlichen Teil der digitalen Bildung zu etablieren.

Am Ende formuliert Rost ihren Wunsch an die Datenschutzfee: eine gemeinsame Plattform von Datenschutzbehörden und Medienanstalten, die vorhandene Angebote bündelt und einen praxistauglichen Führerschein für den digitalen Alltag entwickelt. Gleichzeitig müsse die Aufsicht über die Plattformen spürbar verschärft werden. Das Fazit der Runde: Medienkompetenz, technischer Schutz und konsequente Regulierung müssen zusammenwirken – einzeln reicht keiner dieser Ansätze aus.

In der aktuellen Episode 152 der Auslegungssache widmen sich Holger und Joerg einer derzeit teils verbittert geführten Debatte: Ist Datenschutz ein Standortvorteil für Unternehmen oder doch nur ein lästiger Kostentreiber? Als Gast begrüßen sie dazu Frederik Richter, Vorstand der Stiftung Datenschutz. Anlass ist ein aktuelles White Paper der Stiftung, das selbstbewusst den Titel "Wirtschaftsvorteil Datenschutz" trägt.

Frederick vertritt im Podcast die Position der Stiftung, dass Unternehmen, die Datenschutz ernst nehmen und zielgerichtet umsetzen, langfristig resilienter und erfolgreicher sind. Er argumentiert, dass guter Datenschutz fast automatisch auch eine bessere IT-Sicherheit mit sich bringt und das wichtigste Kapital im digitalen Raum schafft: Vertrauen. Gerade in Zeiten, in denen die DSGVO oft als Innovationsbremse verschrien werde, wolle die Stiftung Datenschutz einen Gegenpol setzen und Datenschutz als Qualitätsmerkmal "Made in Germany" etablieren.

Die Diskussion im Podcast zeigt jedoch schnell, dass Theorie und Praxis auch in diesem Bereich bisweilen auseinanderklaffen. Während Einigkeit darüber besteht, dass Datenschutz Reputationsschäden verhindern kann, zweifeln die Hosts an der These, dass er bereits heute ein echter Standortvorteil ist. Holger verweist auf die Dominanz US-amerikanischer Konzerne, die oft nach dem Prinzip "Move fast and break things" agieren und sich ihre marktbeherrschenden Positionen teils durch die Missachtung europäischer Standards gesichert haben. Auch die mangelnde Nachfrage der Kunden nach datenschutzfreundlichen Produkten wird thematisiert: Oft schlägt Bequemlichkeit die Datensparsamkeit.

Einig ist sich die Runde, dass im Datenschutzrecht die Bürokratie für kleine Unternehmen dringend abgebaut werden muss. Es sei unverhältnismäßig, wenn der Handwerksbetrieb um die Ecke dieselben Dokumentationspflichten erfüllen muss wie ein Großkonzern, obwohl das Risiko völlig unterschiedlich ist, betont Frederick. Hier setzt die Runde ihre Hoffnungen in die anstehenden Reformen der DSGVO auf EU-Ebene.

Besonders kritisch sehen alle drei allerdings die Idee der Bundesregierung, betriebliche Datenschutzbeauftragte abzuschaffen. Das löse kein einziges Problem. Mehr Sympathie hat Frederick für eine Zentralisierung der Datenschutzaufsicht auf Bundesebene - zumindest für länderübergreifende Sachverhalte. Die aktuelle Situation mit bis zu 17 unterschiedlichen Behördenmeinungen zum selben europäischen Recht sei nicht tragbar.

Datenschutz gilt überall, auch am Gericht. Doch wie genau setzen Richterinnen und Richter die Regeln um, wenn sie selbst täglich mit sensiblen Informationen arbeiten? Diese Frage steht im Mittelpunkt von Episode 151 des c't-Datenschutz-Podcasts. Redakteur Holger und heise-Justiziar Joerg sprechen dazu mit Kristin Benedikt. Sie ist Richterin an einem bayerischen Verwaltungsgericht, dort auch Datenschutzbeauftragte und Pressesprecherin. Zuvor leitete sie fünf Jahre lang den Bereich Internet beim Bayerischen Landesamt für Datenschutzaufsicht.

Kristin erläutert zunächst die Grundlagen. Die DSGVO gilt für alle Gerichte, von Zivil- über Verwaltungs- bis zu Arbeitsgerichten. Nur die Strafjustiz unterliegt eigenen Regelungen. Als öffentliche Stellen stützen sich Gerichte auf die DSGVO-Rechtsgrundlagen der rechtlichen Verpflichtung und des öffentlichen Interesses. Das berechtigte Interesse, auf das sich Unternehmen oft berufen, steht ihnen nicht zur Verfügung.

Eine Besonderheit macht die Sache kompliziert: Richter genießen verfassungsrechtlich garantierte Unabhängigkeit. Deshalb gibt es für ihre Tätigkeit keine Datenschutzaufsicht. Die DSGVO schließt in Art. 55 ausdrücklich aus, dass Aufsichtsbehörden Gerichte bei ihrer richterlichen Arbeit kontrollieren. Bußgelder gegen Richter? Ausgeschlossen.

Das bedeutet allerdings nicht, dass Richter tun können, was sie wollen, betont Kristin. Sie müssen den Grundsatz der Datenminimierung beachten und dürfen nur Informationen erheben, die für ihre Entscheidung relevant sind. In der Praxis entstehen dabei Spannungen: Verwaltungsrichter müssen von Amts wegen ermitteln, wissen aber oft erst im Laufe des Verfahrens, welche Informationen sie wirklich brauchen, erläutert Kristin.

Ein praktisches Problem schildert sie aus ihrem Alltag. Behörden schicken häufig komplette Akten ans Gericht, ohne vorher zu prüfen, welche Informationen darin wirklich relevant sind. Das Gericht muss diese Unterlagen dann den Verfahrensbeteiligten zugänglich machen - auch wenn sie Daten unbeteiligter Dritter enthalten. Hier sieht die Richterin die behördlichen Datenschutzbeauftragten in der Pflicht, für mehr Sensibilität zu sorgen.

Betroffenenrechte gelten auch gegenüber Gerichten. Wer wissen will, welche Daten über ihn gespeichert sind, kann Auskunft verlangen. Allerdings gibt es Einschränkungen zum Schutz der Unabhängigkeit der Justiz und laufender Verfahren. Lösch- oder Berichtigungsansprüche laufen bei Gerichtsakten oft ins Leere - was einmal in einer Akte steht, lässt sich meist nicht einfach entfernen.

Zum Schluss geht es um den Einsatz von KI am Gericht. Einen "Robo-Richter" lehnt Kristin strikt ab. Entscheidungen müssen ihrer Ansicht nach von Menschen vorbereitet und getroffen werden. Sinnvoll sei KI aber bei unterstützenden Aufgaben, etwa beim Anonymisieren von Urteilen oder in der Gerichtsverwaltung. Auch bei Übersetzungen oder der Aufbereitung großer Textmengen sieht sie Chancen, solange die Verantwortung klar beim Menschen bleibt.

In Episode 150 des c't-Datenschutz-Podcasts geht es um IT-Forensik, insbesondere die digitale Spurensicherung nach Cyberangriffen und bei Verdachtsfällen im Unternehmen. Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich haben dazu Joanna Lang-Recht eingeladen. Sie leitet den Bereich Forensik bei der Intersoft Consulting Services AG und bringt einen ungewöhnlichen Werdegang mit: Nach einem Germanistikstudium wechselte sie zur IT-Security und erwarb zahlreiche Zertifizierungen im Bereich Forensik.

Joanna beschreibt IT-Forensik als klassische Spurensuche, nur eben komplett digital. Ermittelt wird auf Laptops, Smartphones, Servern oder in ganzen IT-Landschaften. Ziel sei es, sauber zu rekonstruieren: Wer ist eingedrungen, welche Daten sind betroffen und wie groß ist der Schaden. Ihr Team identifiziert Spuren, sichert sie möglichst gerichtsfest und wertet sie neutral aus.

Den größten Teil ihrer Einsätze machen laut Joanna Ransomware-Angriffe aus. Mehr als die Hälfte aller Vorfälle drehen sich um erpresste Unternehmen, deren Systeme verschlüsselt wurden. Feiertage gelten dabei als Hochrisikophase: IT-Abteilungen sind dünn besetzt, Angriffe werden später bemerkt, Schäden wachsen.

Ein heikles Thema ist das Zahlen von Lösegeld. Viele Unternehmen verhandeln tatsächlich mit den Erpressern, oft aus purer Not, weil Backups fehlen oder unbrauchbar sind. Joanna schildert, dass diese kriminellen Gruppen professionell auftreten: mit eigenen Chatportalen, Support-Strukturen und einer Art Notrufsystem. Wer zahlt, erhält in der Regel auch funktionierende Entschlüsselungsschlüssel, sonst würde das kriminelle Geschäftsmodell zusammenbrechen.

Neben externen Angriffen bearbeiten Forensik-Teams auch interne Fälle in Unternehmen: Verdacht auf Datendiebstahl durch Mitarbeitende, Wirtschaftsspionage oder Arbeitszeitbetrug. Hier sei besondere Vorsicht gefragt, erzählt Joanna. Untersuchungen müssen eng am konkreten Verdacht bleiben, um nicht unnötig in private Daten einzudringen. Bring-your-own-Device-Modelle erschweren solche Ermittlungen erheblich und machen sie manchmal sogar unmöglich.

Im Spannungsfeld zwischen Aufklärung und Datenschutz betont Joanna die Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden der Länder. Meldungen zu Sicherheitsvorfällen laufen demnach meist pragmatisch ab, Nachfragen bleiben sachlich. Betroffenenrechte spielen Joanna bei der Spurensuche eine Rolle, bremsen die Ermittlungen aber selten, solange die Datensicherung gut begründet ist. Vor jeder Analyse prüfe das Team, ob ein berechtigtes Interesse gemäß DSGVO vorliege und ob Privatnutzung der Geräte erlaubt war. Bei unklaren Situationen lehne man Aufträge ab.