In der aktuellen Folge 136 des c’t-Datenschutz-Podcasts sprechen Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich mit Carolin Loy über die Arbeit und Haltung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Loy (LinkedIn-Profil) leitet dort den Bereich Digitalwirtschaft, ist Pressesprecherin und hat Einblick in viele aktuelle Datenschutzthemen – von Künstlicher Intelligenz bis hin zu Cookie-Bannern. Sie hatte die vorvergangene Episode 134 im heise-Forum kritisch kommentiert und folgte postwendend einer darauffolgenden Einladung von Heidrich.

Zum Start geht es aber zunächst um ein 45-Millionen-Euro-Bußgeld gegen die deutsche Vodafone GmbH. Die Bundesdatenschutzbeauftragte verhängte diese Summe, weil Vodafone Partneragenturen nicht ausreichend kontrollierte und die Kundenauthentifizierung bei E-SIMs mangelhaft war. Auffällig: Vodafone akzeptierte das Bußgeld schnell, arbeitete bei der Aufklärung mit und spendete zusätzlich an gemeinnützige Organisationen.

Berechtigtes Interesse?

Einen zweiten Schwerpunkt bildet ein Beschluss des Oberlandesgerichts Köln zu Metas Plänen, öffentliche Facebook- und Instagram-Profile zum Training von KI-Systemen zu nutzen. Das Gericht entschied im Eilverfahren, zu dem noch keine schriftliche Begründung vorliegt: Meta darf diese Daten ohne ausdrückliche Einwilligung der Nutzer heranziehen. Die Interessen von Meta seien berechtigt, zudem hätte Meta Nutzern Widerspruch ermöglicht.

In der Podcast-Episode geht es unter anderem um die Frage, ob Nutzer wirklich damit rechnen müssen, dass alte und öffentliche Posts zu KI-Zwecken verarbeitet werden, und ob der Umgang mit sensiblen Daten ausreichend berücksichtigt wird. Loy betont, dass die Rechtslage nicht immer dem Bauchgefühl entspricht und verweist auf europäische Vorgaben, nach denen das KI-Training grundsätzlich auch ohne Einwilligung möglich sein kann, solange bestimmte Bedingungen erfüllt sind.

Zu zögerlich?

Das weitere Gespräch dreht sich um die tägliche Arbeit der bayerischen Datenschutzaufsicht BayLDA. Die Behörde berät Loy zufolge Unternehmen im Bundesland zu KI-Projekten, prüft Beschwerden – zum Beispiel beim Einsatz von KI im Bewerbungsprozess – und ist europaweit an Orientierungshilfen zu digitalen Themen beteiligt, etwa bei Cookie-Bannern und neuen digitalen Abo-Modellen („Consent or Pay“). Loy schildert, dass zu Cookie-Bannern und Tracking nach wie vor die meisten Beschwerden eintreffen. Sie sieht neue Ansätze wie PIMs – zentrale Einwilligungsverwaltungen – zwar positiv, zeigt sich aber aber skeptisch, ob sie den Cookie-Banner-Wildwuchs wirklich eindämmen.

Loy stellt sich sodann dem Vorwurf, das BayLDA verhalte sich bei Datenschutzverstößen zu lasch oder zögerlich. Am Beispiel des von c’t aufgedeckten Falls „Buchbinder“, bei dem Millionen Kundendaten wegen einer Panne offen im Netz standen, erklärt sie, warum am Ende kein Bußgeld verhängt wurde: Das Unternehmen habe hohe Compliance-Standards gehabt, den Vorfall selbst gemeldet und eng mit der Behörde kooperiert. Entscheidend sei nicht der Fehler selbst, sondern wie Unternehmen mit Datenschutz umgehen und ob sie daraus lernen. Loy betont, dass die Behörde nicht vorrangig Strafen verteilen, sondern Datenschutz in der Breite fördern will – auch durch Beratung.

Zum Abschluss geht es um die aktuelle Debatte zur Zentralisierung der Datenschutzaufsicht für Unternehmen bei der Bundesdatenschutzbeauftragten. Loy sieht das kritisch: Einheitliche Entscheidungen würden dadurch nicht automatisch entstehen, da viele Fragen ohnehin im europäischen Verbund entschieden werden. Zudem könnten regionale Beratung und Kontrolle verloren gehen. Die Runde vermutet hinter dem Zentralisierungswunsch auch das Ziel, Datenschutzauflagen zu lockern und Bürokratie abzubauen.

Episode 136:

Hier geht es zu allen bisherigen Folgen:

(hob)