Der Datenschutz Talk podcast

Player FM - Internet Radio Done Right

14 subscribers

Vor vier Jahren hinzugefügt

Inhalt bereitgestellt von migosens GmbH - Mülheim an der Ruhr, Migosens - Datenschutz, and Informationssicherheit mit Praxisnähe. Alle Podcast-Inhalte, einschließlich Episoden, Grafiken und Podcast-Beschreibungen, werden direkt von migosens GmbH - Mülheim an der Ruhr, Migosens - Datenschutz, and Informationssicherheit mit Praxisnähe oder seinem Podcast-Plattformpartner hochgeladen und bereitgestellt. Wenn Sie glauben, dass jemand Ihr urheberrechtlich geschütztes Werk ohne Ihre Erlaubnis nutzt, können Sie dem hier beschriebenen Verfahren folgen https://de.player.fm/legal.

The Head Start: Embracing the Journey

1
Sweat and Resilience: Balancing Chronic Migraine with Fitness Goals 35:00

vor 11 Tagen35:00

Später Spielen

Listen

Gefällt mir

Geliked

35:00

The healing power of fitness goes far beyond physical benefits—for today’s guest, it’s a form of self-expression and a celebration of what the body can do. In this episode, host Nora McInerny sits down with fitness personality Ivylis Rivera, who shares her deeply personal journey of navigating life with Chronic Migraine while holding onto her passion for movement. Ivylis opens up about the struggle of staying active while facing the fear of triggering a headache or migraine attack and the resilience it takes to keep pushing forward—a resilience that carried her through the challenging journey of finding a Chronic Migraine treatment plan that worked for her. Join Nora and Ivylis as they explore the concept of “soft living,” a philosophy Ivylis embraces—staying active, listening to your body, and building trust in oneself. Click here for Product Information, including Boxed Warning and Medication Guide, or visit https://abbv.ie/prescribing_info See omnystudio.com/listener for privacy information.…

Der Datenschutz Talk

Serie-Home•Feed

Ihr Podcast rund um die Themen Datenschutz und Informationssicherheit

330 Episoden

#Business News #Nachrichten #migosens GmbH - Mülheim an der Ruhr #Informationssicherheit mit Praxisnähe #Migosens - Datenschutz

Der Datenschutz Talk

14 subscribers

updated vor 13 Stunden

Serie-Home•Feed

Ihr Podcast rund um die Themen Datenschutz und Informationssicherheit

330 Episoden

#Business News #Nachrichten #migosens GmbH - Mülheim an der Ruhr #Informationssicherheit mit Praxisnähe #Migosens - Datenschutz

Alle Folgen

Der Datenschutz Talk

1
Verbraucherzentrale scheitert gegen Metas KI Training - DS News KW 22/2025 18:01

vor 13 hours18:01

18:01

Was ist in der KW 22 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Aktuelle Themenfolge zu NIS2-Pflichten für Unternehmen OLG Köln zu Meta KI Training ( OLG Köln, Urteil vom 23.5.2025 – 15 UKl 2/25 ) Urteil stärkt die Rolle des PCLOB als unabhängige Kontrollinstanz im Data Privacy Framework BSI weist auf Sicherheitsrisiko bei Passwortmanagern hin Nachvertragliche Werbung, auch in Form von Haustürbesuchen, kann ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO darstellen ( VG Bremen, Urteil vom 23.04.2025, Az. 4 K 2873/23 ) Veröffentlichungen und Veranstaltungen: Zum Verhältnis von § 7 UWG und Artikel 6 DSGVO ( DSB 2025, 140 und BVerwG, Urt. v. 29.01.2025 – 6 C 3.23 ) BSI Cyber-Sicherheitsempfehlung Einladung der Vereinigung der Europäische Datenschutzbeauftragten zur Zukunft des DPF Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/verbraucherzentrale-scheitert-gegen-metas-ki-training-ds-news-kw-22-2025/↗ Der Beitrag Verbraucherzentrale scheitert gegen Metas KI Training – DS News KW 22/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
META KI Training - letzte Chance zum Widerspruch - DS News KW 21/2025 29:18

vor 7 Tagen29:18

29:18

Was ist in der KW 21 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Meta KI Training : Datenschutzbeauftragte fordern öffentliche Stellen zum Handeln auf VG Hannover zu manipulativen Cookie-Bannern Kein Herausgabeanspruch von Überwachungsvideos im OPNV nach der DSGVO OVG Brandenburg, Urteil vom 13. Mai 2025 – OVG 12 B 14/23 – CNIL verhängt Bußgeld in Höhe von 900.000€ Sammelklage gegen X Empfehlungen: Datenschutzbericht 2024 des HBDI 4. Datenschutztag Hessen & Rheinland Pfalz Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/meta-ki-training-letzte-chance-zum-widerspruch-ds-news-kw-21-2025/↗ Transkript zur Folge: Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Heute ist Freitag, der 23.05.2025. Unser Redaktionsschluss war wie immer um 10 Uhr. Und heute für Sie im Podcast-Studio sind Lothar Simonowski und meine liebe Kollegin Natalia Wozniak. Grüß dich, Natalia. Hi, Lothar. Ja, wir lassen heute mal wieder die Datenschutzwoche-Revue passieren. Und ja, wir haben es schon gemerkt in der Vorbereitung. Es sind wieder zahlreiche spannende Themen dabei. Natalia, was hast du mitgebracht? Ich habe heute etwas brandaktuelles, nämlich den letzten Aufruf zum Widerspruch zum Meta-KI-Training, an den wir es noch nicht gemacht haben. Dann habe ich ein Urteil des OVG Brandenburg zum Herausgabeanspruch von Überwachungsvideos im öffentlichen Personennahverkehr. Ich habe eine Sammelklage gegen X, ehemals Twitter, und einen kleinen Veranstaltungshinweis. Ja, sehr gut. Hört sich spannend an. Vor allem das erste Thema. Da bin ich gespannt. Ich habe insgesamt drei Punkte. Zum einen ein Urteil zu manipulativen Cookie-Bannern. Das zweite Thema dreht sich um ein Bußgeld der französischen Aufsichtsbehörde KNIL. Und zu guter Letzt einen Lesehinweis zum Datenschutzbericht des hessischen Beauftragten für den Datenschutz und Informationsfreiheit. Okay, dann lass uns starten. Alles klar, ich lege los. Und zwar mit unserem Titelthema, Meta-KI-Training. Ich denke mal, ja, alle unsere Hörer werden schon mitbekommen haben, Meta hatte nämlich angekündigt, Nutzerdaten von Facebook und Instagram ab dem 27. Mai, nächste Woche schon, für das Training eigener KI-Anwendungen, unter anderem für sein Sprachmodell, einzusetzen. Betroffen sind dann die öffentlichen Aktivitäten aller volljährigen europäischen Nutzer und Nutzerinnen von Facebook und Instagram und ja, diese sollen dann für das Training der eigenen KI-Anwendungen von Meta eingesetzt werden. Unabhängig davon, ob das Vorgehen von Meta datenschutzrechtlich zulässig ist, haben wir auch schon dazu berichtet, hat Meta dafür ein Opt-out-Mechanismus vorgesehen. Ohne einen solchen Opt-out oder beziehungsweise Widerspruch wird Meta die künftig anfallenden Daten aus dem eigenen Profil als auch solche aus der Vergangenheit verwenden, also die künftig anfallenden Daten und die bereits vorliegenden Daten. Der Widerspruch gilt auch nur für die Daten im eigenen Profil. Beiträge und Fotos in anderen Accounts oder auf Facebook Fanpages von Unternehmen sind davon nicht betroffen, es sei denn, dass die Betreiber diese Accounts ebenfalls widersprochen haben. Daher, und jetzt kommen wir zu der aktuellen Meldung, nämlich wenden sich jetzt. Quasi diese und letzte Woche, einige Aufsichtsbehörden In den letzten Tagen der Widerspruchsfrist, nicht nur an Unternehmen, sondern auch an öffentlichen Stellen, die vor allem Facebook-Pen-Pages für ihre Öffentlichkeitsarbeit nutzen. Unter anderem die Brandenburger Datenschutzbeauftragte Frau Dagmar Hartke hat nun öffentliche Stellen eindringlich empfohlen, dem KI-Training durch Meta mit ihren Facebook- und Instagram-Daten unverzüglich zu widersprechen. Ähnlich äußerten sich auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Prof. Dr. Keber, sowie die LDI NRW. Betroffene Unternehmen und öffentliche Stellen, aber auch genauso private Personen selbst, sollten daher dringend vor dem Stichtag nächste Woche, also vor dem 27.05. Handeln und die Möglichkeit zum Widerspruch nutzen. Meta-KI wird nämlich ab dem 27. Mai, ab nächsten Dienstag, mit Posts, Fotos und Kommentaren der Nutzer und Nutzerinnen von Facebook und Instagram trainiert. Was bedeutet das also konkret? Wir können Unternehmen nur empfehlen, überprüft alle Facebook- und Instagram-Profile eures Unternehmens. Ihr müsst dem KI-Training tatsächlich aktiv widersprechen. Am besten vor dem nächsten Dienstag, vor dem 27. Mai. Klärt dazu intern, wer das umsetzt und stellt sicher, dass es auch wirklich passiert. Die weitere Empfehlung, eure Datenschutz-Erklärung für Social Media, die sollte auch um einen Hinweis auf diese neue Datenverarbeitung Verarbeitung durch Meta und das Widerspruchsrecht ergänzt werden. Informiert auch eure Mitarbeiter darüber, dass ihre öffentlichen Aktivitäten auf den Meta-Plattformen auch im beruflichen Kontext oder auf Unternehmenseiten für KI-Zwecke genutzt werden könnten. Erklärt euren Mitarbeitern, wie sie für ihre privaten Profile widersprechen können. Das ist tatsächlich besonders wichtig, weil Mitarbeiter auch in öffentlichen Unternehmensgruppen aktiv sein können oder das Unternehmen anderweitig auf Meta-Plattformen repräsentieren, möglicherweise. Dann gibt es natürlich noch ein paar strategische Überlegungen, die wir nur empfehlen können. Und zwar für einige Unternehmen, insbesondere solche mit einem hohen Schutzbedarf bei den Daten ihrer Zielgruppe oder für öffentliche Stellen, könnte diese Entwicklung vielleicht auch ein Anlass sein, die Nutzung von Meta-Plattformen grundsätzlich neu zu bewerten, falls die Risiken dann doch zu hoch eingeschätzt werden. Und zuletzt Dokumentation. Ganz wichtig. Haltet euren Widerspruch sowie alle damit verbundenen Überlegungen und getroffenen Maßnahmen gut dokumentiert fest. Das heißt, wenn ihr auf den Widerspruch hin diese E-Mail bekommt, Bestätigungs-E-Mail bekommt, ablegen und eben auch die getroffenen Maßnahmen dokumentieren. Das ist unerlässlich für eure Rechenschaftspflicht nach der DSGVO. Wer sich da jetzt noch ein bisschen einlesen möchte, an der Stelle vielleicht noch ein Lesehinweis, denn der Hamburger Datenschutzbeauftragte Thomas Fuchs hat auf seiner Webseite auch zahlreiche weitere Informationen zusammengestellt und aufgelistet, wie Nutzener sich informieren und Widerspruch gegen das KI-Training einlegen können. Wir verlinken dafür auch in den Shownotes. Von daher sehr aktuell, sehr spannend und ich glaube, jeder ist davon betroffen. Tatsächlich. Also ich habe es gemacht. Facebook, da habe ich keinen Account, aber bei Instagram, da hatte ich das tatsächlich genutzt. Und ja, aus der Hamburger Datenschutzaufsicht, die sind sehr, sehr wertvoll, die Hinweise. Aber auch und da nochmal vielen Dank an die Kollegen von der Verbraucherschutzzentrale NRW. Also es war auch sehr, sehr strukturiert und gut gemacht. Und es ist auch gut, dass es solche Anleitungen gibt, weil intuitiv war es jetzt mal nicht mit dem Widerspruch. Es hat sehr, sehr gut geholfen. Ja, tatsächlich. Wir haben gestern noch mit Lothar uns dazu ausgetauscht, weil wir es beide auch gemacht haben. Und es war tatsächlich nicht so einfach, das Formular zu finden, wo man den Widerspruch auch wirklich einreichen konnte. Von daher, es ist nicht ohne. So sieht es aus. Hier kommen wir zu meiner ersten Meldung und zwar zum Urteil des Verwaltungsgerichtes Hannover. Das hat am 19. März diesen Jahres entschieden, Webseiten, die einen Alle-Akzeptieren-Button für Cookies anbieten, müssen auch eine gleichwertige Alles-Ablehnen-Schaltfläche anbieten. Und zwar direkt sichtbar auf der ersten Ebene des Cookie-Banners. Das bedeutet keine zusätzlichen Klicks, kein Scrollen, kein Suchen. Das Gericht folgt damit der Einschätzung des Landesdatenschutzbeauftragten des Landes Niedersachsen. Der hatte nämlich ein Medienunternehmen aus dem Bundesland angemahnt, weil es Nutzerinnen und Nutzer keine echte Wahl ließ. Was war das ursächliche Problem? Das betroffene Unternehmen hatte seine Cookie-Banner so gestaltet, dass das Akzeptieren von Cookies einfach und schnell möglich war. Allerdings das Ablehnen dagegen kompliziert war. Es war versteckt oder überhaupt gar nicht vorgesehen. In diesem Zusammenhang stellte das Gericht mehrere Verstöße fest. Hier die wichtigsten. Zum einen war die Ablehnung technisch und optisch deutlich erschwert. Zum zweiten wurden die Nutzer durch wiederholte Banner zur Zustimmung gedrängt. Das haben wir auch sehr, sehr häufig in der Beobachtung. Und drittens, wichtige Informationen zu Drittanbietern oder zur Datenverarbeitung waren schwer auffindbar oder unvollständig. Ja, das Urteil macht die Grundsätze eindeutig klar. Eine Einwilligung in die Verarbeitung personenbezogener Daten muss freiwillig, informiert und eindeutig erfolgen. Alles andere stellt einen Verstoß dar gegen die Datenschutzgrundverordnung und auch gegen das C3DG, also das Telekommunikation Digitale Dienste Datenschutzgesetz. Was bedeutet das jetzt für unsere Praxis? Also für alle, die eine Webseite betreiben und auch personenbezogene Daten damit verarbeiten, ist dieses Urteil nochmal ein sehr guter Anlass. Die eigenen Cookie-Banner zu prüfen und auch gegebenenfalls zu überarbeiten. Eigentlich in drei Perspektiven. Zum einen zur gleichwertigen Auswahlmöglichkeit. Also wenn es einen Alles-Akzeptieren-Button gibt, muss es auch einen Alles-Ablehnenden-Button geben. Und zwar auf derselben Ebene. Das sollte gleich sichtbar sein und auch gleich gestaltet sein. Es sollten zum Zweiten keine manipulativen Designs, also Dark Patterns, verwendet werden. Das Ablehnen darf nicht komplizierter sein als das Akzeptieren. Und Begriffe wie optimales Nutzungserlebnis oder akzeptieren und schließen auf dem Schließen-Button sind irreführend und unzulässig. Und auch das wiederholte Banner, das wiederholte Anzeigen von Banner, die zur Zustimmung drängen, sind nicht erlaubt. Und, na klar, in Richtung Transparenz und Information. Also die Nutzer müssen klar erkennen können, worin sie einwilligen. Dazu gehört erstmal der Begriff Einwilligung. Das muss deutlich und explizit genannt werden. Dann darüber hinaus die Anzahl und Namen von Drittanbietern müssen sichtbar sein und auch die Hinweise zu Datenverarbeitung außerhalb der EU, also außerhalb der DSGVO auf das Widerrufsrecht. Das muss sofort zugänglich sein und nicht erst, nachdem man scrollt oder klickt. Also, ja, dieses Urteil betrifft nicht nur große Unternehmen, große Medienhäuser, sondern wirklich alle, die eine Webseite betreiben und die Daten verarbeiten. Es geht hier, ich denke mal in erster Linie um Fairness und Transparenz gegenüber den betroffenen Personen. Ich finde es gut, dass wir das Urteil jetzt haben, auch wenn das an sich irgendwo auch schon ein alter Hut ist. Weil wenn ich überlege, das ist, ich glaube seit 2021 mit der Orientierungshilfe, ich glaube das war Baden-Württemberg, bin mir aber gar nicht mehr sicher, ist eigentlich klargestellt worden, wie ein Cookie-Banner gestaltet werden soll. Und dass wir das jetzt vier Jahre später noch brauchen, ist einerseits traurig, andererseits aber finde ich sehr wichtig, weil die Praxis zeigt ja, dass es dadurch viele Unsicherheiten gibt und viele Cookie-Banner immer noch so ein verstecktes Ablehnen in sich haben. Und ich glaube auch zugleich die Klarstellung, dass die Buttons gleichwertig sein müssen, nicht gleichgestaltet. Die müssen also nicht beide die gleiche Farbe haben, aber sie müssen gleichwertig sein, sie müssen gleich erreichbar sein. Ich glaube auch das ist eine sehr wichtige Klarstellung, die tatsächlich auch für die Praxis eine weitere Hilfestellung sein kann. Von daher finde ich gut. Okay, dann komme ich zu einem weiteren Urteil, nämlich vom OVG Brandenburg zum Herausgabeanspruch von Überwachungsvideos im öffentlichen Personennahverkehr. Das OVG Brandenburg hat dazu eine Pressemitteilung vom 13. Mai diesen Jahres veröffentlicht. Das Urteil ist noch nicht veröffentlicht. Nach dieser Pressemitteilung besteht kein Rechtsanspruch auf Herausgabe von Videoaufnahmen in der S-Bahn. Oder genauer gesagt, das OVG Berlin hat eine entsprechende Entscheidung des Verwaltungsgerichts Berlin aus Oktober 2023 im Ergebnis jetzt bestätigt und entschieden, dass die Betreiberin des öffentlichen S-Bahn-Netzes hier in Berlin nach der DSGVO nicht verpflichtet ist, Fahrgästen eine Kopie der Videoaufnahmen über ihre eigene Fahrt in der S-Bahn herauszugeben. Ein Fahrgast hatte sich auf das Auskunftsrechner Artikel 15 berufen und eine Kopie der Überwachungsvideos zu seiner Fahrt in der S-Bahn verlangt. Mein erster Impuls, als ich das gelesen habe, den schiebe ich hier mal rein, war die Überlegung, ob das abgelehnt wurde im Hinblick auf zu viel Aufwand, weil dann müssten ja an sich alle anderen Fahrgäste auf dieser Fahrt, die die einsteigen, zusteigen, in der S-Bahn drin sind, ja geschwärzt werden, damit sie nicht erkennbar sind. Aber tatsächlich war der Grund hier ein anderer. Die S-Bahn Berlin GmbH lehnte die Bereitstellung der Kopien nämlich ab und verwies auf ihr mit der Berliner Datenschutzbeauftragten abgestimmtes Datenschutzkonzept. Laut diesem Datenschutzkonzept durften Videoaufnahmen nur bei Auskunftsanfragen der Strafverfolgungsbehörden an diese herausgegeben werden. Ansonsten werden die Aufnahmen nach 48 Stunden automatisch gelöscht. Eine Herausgabe an die Betroffenen war daher nicht vorgesehen in dem Konzept. Das Gericht erkannte zwar an, dass es sich bei den Aufnahmen um personenbezogene Daten handelt, dennoch wurde die Verweigerung der Herausgabe als rechtmäßig bewertet, da das Datenschutzkonzept Persönlichkeitsrechte der Fahrgäste und die Vorgaben der DSGVO bestmöglich schützt. Das individuelle Interesse der Klägerin, hier also des Fahrgastes, musste daher zurückstehen, zumal die Klägerin bereits über die Art und Dauer der Datenspeicherung informiert worden war. Dennoch wurde die Revision zum Bundesverwaltungsgericht zugelassen. Insofern mal schauen, das letzte Wort ist noch nicht gesprochen. Ich finde, es ist aber ein sehr interessanter Fall. Der zeigt nämlich, wie wichtig ein gutes Datenschutzkonzept ist. Und zwar eines, das nicht nur die Löschfristen konkret regelt, sondern auch den Umgang mit den Daten im Falle eines Vorfalls oder bei Anfragen von Behörden. Interessant ist aber auch die Möglichkeit, auf Basis des Löschkonzeptes Konzeptes die weitere Auskunft und Bereitstellung von Kopien verweigern zu können, nachdem die Art und Weise und Speicherung der Daten beauskunftet wurde. Insofern glaube ich, dass das Urteil auch noch Auswirkungen auf die Praxis haben wird. Ich bin gespannt auf den Volltext. Ja, also beeindruckend. Wir hatten tatsächlich eine Vorbereitung darüber gesprochen, ob die Ablehnung passiert ist, weil es zu aufwendig war, das auszuarbeiten. Aber ich finde es gut, dass auch das Datenschutzkonzept so eingehalten wird, dass da nichts herausgegeben wird, weil man das explizit und ausschließlich nur für die Strafverfolgungsbehörden hat. Und einen Punkt, den würde ich auch nochmal gerne herausheben, das ist die Kooperation mit der Datenschutzaufsicht. Also es lohnt sich tatsächlich, auch als verantwortliche Stelle im Vorfeld mal drüber zu sprechen. Wir kommen gleich nochmal zu der Nachricht dazu, des hessischen Datenschutzbeauftragten, der seinen Jahresbericht veröffentlicht hat. Also diese Kooperation von Wirtschaft hin zu der Aufsichtsbehörde. Ich finde es gut und ich glaube, das scheint sich zu lohnen. Ja, und ich glaube, wie entspannt muss man als Unternehmen dann tatsächlich sein, wenn man sagt, gut, ich habe hier ein Datenkonzept, ein Datenschutzkonzept und es ist mit der Aufsichtsbehörde abgestimmt. Da kann eigentlich auch nichts mehr passieren. Man kann sich zurücklehnen und entspannen. Genau. Die nächste Meldung geht nach Frankreich, schließt so ein bisschen an das Thema Cookie, Cookie-Banner, Einwilligung und ähnliches. Und zwar hat die KNIL, die französische Datenschutzaufsichtsbehörde, ein Bußgeld verhängt in Höhe von 900.000 Euro. Am 15. Mai 2025 hat die KNIL diese 900.000 Euro gegen das Unternehmen SoLocal Marketing Services verhängt und zwar mit dem Vorwurf, das Unternehmen hat Millionen Menschen ohne deren Zustimmung per SMS und E-Mail kontaktiert und ihre Daten ohne rechtliche Grundlage an Werbepartner weitergegeben. Ja, das ist nicht nur ein klarer Verstoß gegen die Datenschutz-Grundverordnung, sondern auch ein Beispiel dafür, wie Unternehmen versuchen, mit fragwürdigen Methoden an persönliche Daten zu kommen, um der schnöde Mammon damit Geld zu verdienen. Wie kam es dazu? So Local hatte sich die Daten nicht selbst erhoben, sondern sie von sogenannten Datenbrokern gekauft. Und diese wiederum sammelten Informationen über Nutzerinnen und Nutzer, oft über Online-Gewinnspiele, Produkttests oder offensichtlich andere scheinbar harmlose Angebote. Und wir wissen das auch hier mit den Cookie-Bannern, der dort mitmacht, wenn Nutzer von Webseiten Cookie-Banner sehen, wie oft klickt man da drauf oder wie oft wird draufgeklickt, um einzuwilligen, um zuzustimmen. Diese Daten am Ende des Tages nutzte SoLocal dann, um im Auftrag der Werbekunden gezielte Kampagnen auszuspielen. Das Problem, die Betroffenen wussten davon nichts und hatten nicht wirksam eingewilligt, dass ihre Daten für Werbung verwendet werden dürfen. Die Knill stellte in diesem Zusammenhang fest, dass die Formulare, mit denen angeblich die Einwilligung eingeholt wurde, irreführend waren. Dass die Zustimmung nicht freiwillig, nicht eindeutig und nicht nachvollziehbar war. Und darüber hinaus, die SoLocal konnte nicht belegen, dass die betroffenen Personen überhaupt zugestimmt haben. Ja, was sind die Konsequenzen daraus? Neben der Geldstrafe hat die Knill eine klare Anordnung erlassen, dass SoLocal keine elektronische Werbung mehr verschicken darf, wenn keine gültige Einwilligung vorliegt. Und zwar soll das Ganze so lange gehen, wenn das Unternehmen dagegen verstößt. Droht ein Zwangsgeld von 10.000 Euro pro Tag. Warum ist die Strafe so hoch? 900.000 und 10.000 Euro pro Tag. Es ist sehr interessant mal zu sehen, wie die Knülle dort kalkuliert hat. Es sind mehrere Aspekte berücksichtigt worden. Zum einen die Menge. Also es wurden mehrere Millionen Menschen in Mitleidenschaft gezogen. Also wir sprechen hier nicht von Einzelfällen. Und ja, das Unternehmen hat durch diese Kampagne sich finanziell bereichert, also finanziell davon profitiert. Und offensichtlich hat SoLocal auch eine relevante Marktstellung, zumindest im französischen Markt. Aber gleichzeitig wurde auch respektiert und anerkannt, dass das Unternehmen bereits erste Maßnahmen zur Verbesserung eingeleitet hat, was die Strafe laut der Knill etwas reduziert hat. Also es kann gut sein, dass wir da auch schon über einer Million gelegen haben. Ja, Natalia, das Urteil ist, ich glaube, ein eindeutiges Signal. Nicht nur an SoLocal, sondern an alle Unternehmen, die mit personenbezogenen Daten arbeiten und die auch von Datenbrokern kaufen. Also man muss da gewährleisten können, dass die Einwilligungen tatsächlich da sind und dass die echt sind und dass die Einwilligung freiwillig informiert und nachweisbar erfolgt ist. Wir hatten im Vorfeld schon mal drüber gesprochen, ist glaube ich auch ein ganz guter Tipp, sich bei der Beschaffung von Daten, von Adressbrokern jetzt nicht nur die Bestätigung zu holen. Im Zweifel steht man mit diesem Blatt Papier dann vor Gericht alleine da. Also es wäre ganz gut, wenn man da auch mal ein bisschen tiefer gräbt und auch mal sich die Einwilligungsformulare mal anschaut und sich zeigen lässt und auch mal Evidenzen geben lässt, wie dann die Einwilligungen erfolgt sind. Für uns als Nutzer heißt es aber auch, und da sind wir wieder bei dem Thema Cookie-Banner, wir sollten genau hinschauen, wo wir unsere Daten eingeben und auch, wenn wir schon bei Gewinnspielen oder Produkttests mitmachen, lieber zweimal überlegen, ob wir das wirklich machen wollen und ob wir die Daten letztendlich preisgeben. In dem Zusammenhang, wie oft haben wir den Satz schon gehört, ich habe ja nichts zu verbergen. Ja, das stimmt. Aber ich gucke jetzt nochmal durch die Unternehmensbrille auf das Ganze. Das ist tatsächlich immer mit einem gewissen Risiko verbunden, Daten einzukaufen, wenn man zugleich auch nur die Bestätigung bekommt. Natürlich haben wir die Einwillung eingeholt, wenn man die Daten dann auch für werbliche Zwecke nutzen möchte. Insofern nur die Bestätigung alleine, so wie du gesagt hast. Man kann dann vielleicht überlegen, wenn es wirklich schief laufen sollte, ob man sich dann ja das Bußgeld, was man dann ja selber irgendwann auferlegt bekommen könnte, ob man das im Rahmen eines Schadensersatzes dann gegenüber dem Datenbroker nochmal gelten machen kann. Aber sicherer will man natürlich, wenn man sich wirklich die Formulare oder die Dokumente, zumindest die Vorlagen, mit denen die Einwägung eingeholt wurden, einmal vorlegen lässt, um da einfach zu prüfen, wäre eine solche Einwägung überhaupt wirksam? Ist das denn transparent genug? Ist denn beschrieben, was mit den Daten gemacht werden darf? Ist vielleicht auch sogar die Nutzung, die ich als Unternehmen selber plane und vorhabe, von der Einwilligung abgedeckt und vielleicht auch mal so ein paar Einwilligungen als Stichproben auch nochmal geben lassen? Und ich denke, ein zuverlässiger Datenbroker sollte damit eigentlich kein Problem haben. Genau. Vertrieb ist teuer. Jeder Datensatz ist teuer. Und diese Marketingkampagne, die letztendlich zu Geschäft führen sollen, die müssen eingetaktet werden. Und da sollte der Aufwand auch betrieben werden, um dem auch gerecht zu werden. Ja. Und vor allem Verantwortung ist nicht delegierbar. Die verantwortliche Stelle am Ende, die muss dann sicherstellen, dass die Daten auch rechtmäßig erhoben wurden und auch genutzt werden dürfen. So, ich komme dann zu unserem fünften Thema für heute. Ich glaube, das ist unser letztes Thema für heute. Genau, genau. Nämlich der Sammelklage gegen X, ehemals Twitter. Und zwar hat hier die niederländische Verbraucherschutzorganisation SOMI beim Kammergericht Berlin eine Sammelklage gegen das soziale Netzwerk X eingereicht. Wir haben beide heute bei der Vorbereitung überlegt, warum das, warum eine niederländische Organisation beim Kammergericht Berlin eine Klage einreicht. Und zwar auf die Schnelle bei der Vorbereitung konnte ich das jetzt nicht ganz durchdringen, aber jedenfalls gibt das Verbraucherrechte-Durchsetzungsgesetz, Verbänden in Deutschland das Recht gegen Missstände bei Online-Plattformen zu klagen. Die Klage richtet sich konkret oder aktuell gegen schwerwiegende Datenschutzverstöße. Laut SOMI soll X unter anderem gravierende Datendecks weder gemeldet haben noch die Person informiert haben. Ferner ohne rechtliche Grundlage sind sie Benutzerdaten gezielt auswerten und für Empfehlungsalgorithmen verwenden und auch Daten ohne wirksame Einwilligung für Werbezwecke, Thema, was wir gerade hatten, nutzen. Diese Sammelklage fordert die Verbraucherschutzorganisation mindestens 750 Euro Schadensersatz für registrierte Nutzer von X sowie zusätzlich mindestens 250 Euro für Nutzer, die von einem Datenleck betroffen sind. Nutzer können sich dieser Klage anschließen. Hierzu wurde das Klageregister beim Bundesamt für Justiz geöffnet und auf der Internetseite des Bundesamtes öffentlich bekannt gemacht. Damit besteht für die Nutzer kein Prozesskostenrisiko. Im Erfolgsfall erhalten die registrierten Betroffenen die ihnen zustehenden Entschädigungen direkt, ohne selbst klagen zu müssen. Das bedeutet, eine Entscheidung wie die im Fall dieser Sammelklage gegen X kann die Zukunft von Datenschutzklagen in mehrfacher Hinsicht prägen. Mit dem Verbraucherrechte-Durchsetzungsgesetz können klageberechtigte Stellen, das heißt qualifizierte Verbraucherverbände und andere qualifizierte Einrichtungen, Verbandsklagen, konkret Abhilfeklagen oder Musterfeststellungsklagen gegen Unternehmen erheben. Wird die Klage erfolgreich? Und ich denke möglicherweise auch dann, wenn sie in der Sache selbst nicht begründet sein sollte, könnte die Klage dennoch als Muster für künftige Verfahren dienen und damit eine Art Präzedenzwirkung entfalten. Gleichzeitig kann die Entscheidung die Position von Nutzern gegenüber großen Online-Plattformen, aber nicht nur, also auch gegenüber anderen Unternehmen, erheblich stärken. Sie demonstriert, dass Datenschutzverletzungen nicht folgendlos bleiben und dass Betroffene tatsächlich Schadensersatzansprüche auch durchsetzen können. Bei einem erfolgreichen Urteil kann mit einer deutlichen Zunahme von Datenschutzklagen gerechnet werden. Ich denke auch bei einem Urteil, was in der Sache selber vielleicht, wie gesagt, nicht begründet sein sollte, aber einfach, dass bereits ein Urteil als Sammelklage nach dem Verbraucherrechte-Durchsetzungsgesetz eingereicht wurde, dürfte davon ausreichen. Das Klagen wird also dadurch deutlich vereinfacht und für die einzelnen Betroffenen durch die Nichtbeteiligung an den Kosten nahezu risikoarm. Daher kann Unternehmen spätestens jetzt dringend empfohlen werden, ihre Datenschutzpraktiken zu prüfen, zu überdenken und bei Bedarf auch anzupassen, um künftige Klagen und hohe Schadensersatzzahlungen zu vermeiden. Gerade die Aussicht auf Schadensersatz und die Möglichkeit, sich unkompliziert Sammelklagen anschließen zu können, könnte hier auch das Geschäftsmodell der Datenschutzklage weiter etablieren. Es ist ja denkbar, wenn ich eine klageberechtigte Organisation bin und ich merke, es sind viele Betroffene, die tatsächlich hier ihre Rechte gelten machen könnten oder einen Schaden gelten machen könnten, dann kann über das Klageregister natürlich die Anzahl der Kläger sehr hoch werden. Und dementsprechend auch die Summe der Schadensersatzzahlungen auch deutlich in die Höhe stellen. All das erhöht, denke ich, den Druck auf Unternehmen, das Thema Datenschutz ernst zu nehmen und die gesetzlichen Vorgaben konsequent umzusetzen. Denn auch wenn das Verbraucherrechte-Durchsetzungsgesetz seit Oktober 2023 in Kraft ist, glaube ich, dass es jetzt mit dieser Klage langsam losgehen könnte. Von daher, wir werden das beobachten. Und wir können nur empfehlen, seid darauf vorbereitet. Das entwickelt sich zum Schwert, zum ganz scharfen Schwert, so in alle Richtungen. Ja, definitiv. Ja, wir sind mit den Meldungen durch, sind tatsächlich jetzt angelangt in der Rubrik unserer Lesehinweise. Mein erster Lesehinweis geht nach Hessen. Der hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Rossnagel, Er hat am 20. Mai seinen Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit für 2024 vorgestellt und sie an die Präsidentin des Landtags, Astrid Wallmann, übergeben. Ja, insgesamt, ich bin noch nicht komplett durch den Bericht, aber insgesamt zieht Herr Rossnagel schon ein sehr positives Fazit für 2024. Es gab keine schwerwiegenden Datenschutzverstöße. Die Anzahl der Beschwerden ist allerdings von Bürgerinnen und Bürgern tatsächlich gestiegen, was aber auch ein gutes Signal ist. offensichtlich sind da immer mehr menschen die das gefühl entwickeln dass ihre daten nicht richtig behandelt werden und da Das ist, glaube ich, auch ganz gut so. Was wir auch sehen in dem Bericht, ja, Beratung statt Strafe, wie man dazu notiert, die Zahl der Beratungsanfragen ist deutlich gestiegen. Über 1100 Anträge von Unternehmen und Behörden sind eingegangen. Dabei ganz besonders gefragt war das Thema der künstlichen Intelligenz. Da scheint sehr viel Bewegung drin zu sein. Auch bei Gesetzesänderung war der hessische Beauftragte involviert, etwa beim Polizeirecht oder beim Verfassungsschutz. In 15 Fällen hat er Empfehlungen abgegeben, die auch meist übernommen wurden. Und dabei ging es hier um solche Themen wie Wirtschaftsauskunftsdateien. Hier wurden neue Regeln beschlossen, nachdem man sich intensiv ausgetauscht hat. Oder auch Gespräche mit der Digitalministerin zum Thema Microsoft Teams führten dann zu Verhandlungen mit Microsoft. Also sehr, sehr konstruktiv. Ja, und manchmal, wenn Beraten nicht hilft, dann muss auch klare Zeichen gesetzt werden, klare Ansagen. Es gab in Summe 55 Verwarnungen, 13 Anordnungen, 47 Bußgelder mit insgesamt einer halben Million Euro an Volumen. Ja, also alles in allem lohnt sich, da mal reinzuschauen, sich das mal anzusehen, vielleicht fürs Wochenende. Wir verlinken das Ganze natürlich wieder in den Shownotes. Wunderbar. Ich habe keinen Lesetipp. Ich habe einen Veranstaltungshinweis und zwar in etwas mehr als einer Woche. Mit dem vierten Datenschutztag Hessen und Rheinland-Pfalz am 2. Juli 2025 wollen der BVD und die Teams des hessischen Beauftragten für Datenschutz und Informationsfreiheit sowie des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz eine Schneise durch den Informationsdschungel schlagen. Dabei sollen mit Vorträgen und interaktiven Formaten Fachleute aus den Behörden den Überblick über die großen Entwicklungen des Datenschutzes ermöglichen und für Durchblick in wesentlichen Einzelfragen sorgen. Es wird also spannend. Die Nähe zum praktischen Alltag der Datenschutzbeauftragten soll dabei im Vordergrund stehen. Von daher, für diejenigen unter euch, unter unseren lieben Zuhörern, die den 2. Juli noch einrichten können, können wir, glaube ich, gut empfehlen. Könnte ein interessanter Datenschutztag werden. Ja, wir versuchen es hinzukommen. Ja, bei mir wahrscheinlich nicht. Wird nicht klappen. Ja, prima. Natalia, wir sind tatsächlich am Ende unseres Podcasts angekommen. Wir hatten, ich glaube, wieder ganz spannende Themen in unterschiedlichste Richtungen. Und vor allem, es hat mir wie immer sehr viel Spaß gemacht, das Ganze mit dir vorzubereiten und auch mit dir einzusprechen. Herzlichen Dank dafür. Ich danke dir, Lothar. Und zu den Themen, ich glaube, wir hatten heute wunderbare Themen. Ich fand jedes Thema war einfach sehr interessant und ich glaube auch abwechslungsreich heute tatsächlich. Von daher, ich glaube, wir haben es gut gemacht. Ja, ich glaube auch. Vielen Dank nochmal ans Redaktionsteam, was uns da die Auswahl tatsächlich schwer gemacht hat. Was nehmen wir da mit rein? Wir konnten auch nur einen Teil von dem, was aufgefallen ist, mit reinnehmen. Uns bleibt euch ein schönes Wochenende zu wünschen, falls ihr den Podcast heute am Freitag hört oder einen schönen Wochenstart, wenn ihr das Anfang der kommenden Woche nachholt. Auf jeden Fall bleibt bitte gesund und bis nächste Woche. Bis zum nächsten Mal. Tschüss. Der Beitrag META KI Training – letzte Chance zum Widerspruch – DS News KW 21/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
TCF verstößt gegen die DSGVO - DS News KW 20/2025 21:09

vor 15 Tagen21:09

21:09

Was ist in der KW 20 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? BAG-Urteil 8 AZR 209/21 (A) (nach Entscheidung des EuGH über Vorlagefragen) Datenverarbeitung im Arbeitsverhältnis – Schadenersatz nach Datenschutz-Grundverordnung – Betriebsvereinbarung – Workday Tracking ohne Grundlage : Brüsseler Gericht kippt das Transparency & Consent Framework Sicherheitslücke bei der Bundesagentur für Arbeit Google zahlt 1,375 Milliarden Dollar an Texas wegen Datenschutzverstößen Bundesarbeitsgericht : Digitale Entgeltabrechnung ohne Zustimmung zulässig Toyota Bank zahlt Strafe: Datenschutzbeauftragter war der IT-Abteilung unterstellt Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/tcf-verstoßt-gegen-die-dsgvo-ds-news-kw-20-2025/↗ Der Beitrag TCF verstößt gegen die DSGVO – DS News KW 20/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
530 Millionen Euro Bußgeld gegen TikTok - DS News KW 19/2025 23:47

vor 22 Tagen23:47

23:47

Was ist in der KW 19 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Verbraucherzentrale gegen Meta: Abmahnung wegen KI-Training mit Nutzerdaten DPC verhängt 530 Millionen-Euro-Strafe gegen Tik Tok wegen DSGVOverstoß bei Kinder-Accounts Landesarbeitsgericht Köln, Urteil vom 11.2.2025 – 7 Sa 635/23 Datenleck bei Reha Vita : 17.000 Patientendaten durch veraltete IT öffentlich einsehbar Stellungnahme des EDSA zu Angemessenheitsbeschlüssen Nach USA-Besuch: BfGI besorgt, ob Datenschutzzusagen langfristig gehalten werden können Empfehlungen: Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit: Neues EU-Projekt zum Datenschutz für Kultur und Bildung Neue Termine für kostenfreie Schulungen im Bildungszentrum BIDIB (BaWÜ) EDSA zum Vorschlag der Kommission zur Vereinfachung der Dokumentationspflichten des VVT Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/530-millionen-euro-bußgeld-gegen-tiktok-ds-news-kw-19-2025/ ↗ Der Beitrag 530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
NIS2-Pflichten für Unternehmen: Das musst du wissen - Stephan Auge im Datenschutz Talk 33:24

vor 25 Tagen33:24

33:24

Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung? In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen. Was du aus dieser Folge mitnimmst: Was ist NIS2? Ziel: Harmonisierung der Cybersicherheitsstandards in der EU Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant) Abgrenzung zur DSGVO und zum Cyber Resilience Act Für wen gilt NIS2? Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m. Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein BSI stellt ein Tool zur Betroffenheitsprüfung bereit Welche Pflichten entstehen? Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement) Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001 Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung Was bedeutet das für bestehende KRITIS-Unternehmen? Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar Herausforderungen beim Lieferkettenmanagement Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister Sanktionen und Wettbewerbsvorteile Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1) Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor Keywords, die in dieser Folge behandelt werden: NIS2 Richtlinie 2025 NIS2 Anforderungen Unternehmen Informationssicherheit Pflicht Cybersecurity Gesetz EU NIS2 Umsetzung Deutschland Betroffenheitsanalyse NIS2 ISMS NIS2 ISO 27001 Datenschutz und NIS2 Vorfallmeldung BSI Lieferkettensicherheit NIS2 Managementsystem Informationssicherheit DORA vs. NIS2 Cyber Resilience Act EU Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/ Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk. Mein Name ist Heiko Gossen und ich begrüße euch wieder recht herzlich zu einer Themenfolge. Und ja, es geht bei den Themenfolgen Schlag auf Schlag dieses Frühjahr, auch wenn die Pause jetzt ein bisschen länger war. Wir haben heute ein Thema, das schon seit längerem in vieler Munde ist, aber tatsächlich in Deutschland noch auf dem Weg quasi. Es geht um das Thema NIS 2 und da habe ich gedacht, da frage ich doch mal einen Experten, den wir sogar im Haus haben, nämlich Stefan. Stefan Auge ist bei uns Teamleiter Management-Systeme, verantwortlich für die Beratung zu insbesondere den ISO-Standards ISO 9001, also Qualitätsmanagement. Aber, und da liegt der Schwerpunkt, das weiß ich sogar, ISO 27001 und alles, was da auch quasi dranhängt, also Kritis und ISO 270019, also einige Derivate, die noch mit dranhängen, 17, 18 glaube ich auch noch. Und bist auch noch TÜV-Auditor, schon seit neun Jahren beim TÜV Rheinland. Daher freut es mich sehr, dass wir heute die Zeit finden, um über das Thema NIS II zu sprechen. Herzlich willkommen, Stefan Auge. Vielen Dank, mich freut es auch. Ich freue mich. Lass uns vielleicht für die, die jetzt auch bei dem Thema noch nicht so viele Berührungspunkte hatten oder die sich zurückgelehnt haben und gesagt haben, warten wir doch erstmal ab, was da jetzt wirklich kommt. Was ist genau die NIS-2-Richtlinie, was bezweckt sie, was ist quasi der Hintergrund? Ja, auf die NIS-2-Richtlinie können wir natürlich gerne eingehen, was soll wir oder sonst anderes tun. Auf die nationale Gesetzgebung kommen wir gleich noch zu sprechen. Da wird es nämlich dann ein bisschen komplizierter als bei der Richtlinie selber. Die NIS-2-Richtlinie ist erstmal zum Beispiel eine EU-Richtlinie, welche im Jahr 2023, nein 2022, nämlich am 27.12., also kurz vorm Jahreswechsel, veröffentlicht wurde. Und wer sich mit der Gesetzgebung so ein bisschen auskennt, wird wissen, eine EU-Richtlinie muss in ein nationales Gesetz von den Mitgliedstaaten umgewandelt werden. Und dafür haben die Mitgliedstaaten zwei Jahre Zeit. Und es gab schon Vorgänge, deswegen NIS-2. Auch das 2 hat eine Bedeutung, nämlich es gibt die sogenannte NIS-Richtlinie, NIS, da können wir ganz kurz auf die Abkürzung eingehen, heißt Netzwerk- und Informationssicherheit. So einfach ist es. Und das sind auch die Themen, die dann geregelt werden. Und Ziel ist es, dass wir eben in der EU ein gemeinsames Cyber-Sicherheitsniveau bei den Mitgliedstaaten haben. Da haben wir heute ein sehr großes Gefälle, kennen wir auch von anderen Themen. Und Ziel ist es, dass wir da wirklich ein gemeinsames Niveau erreichen. Du hast schon gesagt, es ist eine Richtlinie, die nationales Recht umgesetzt werden muss, also entgegen zum Beispiel einer Verordnung, wie jetzt die Datenschutzgrundverordnung oder auch die KI-Verordnung, die direkt wirksames Recht in allen Mitgliedstaaten sind. Und es ist halt bei der Richtlinie, so wie wir das damals mit der 95er-Datenschutzrichtlinie auch kannten, die dann erstmal in nationales Recht überführt werden muss. Ich sag mal so, toi toi toi für die EU, dass es halt bei der Nächstenrichtlinie besser harmonisiert ist danach als beim Datenschutz. Aber gut, das ist nicht unsere Baustelle. Wir setzen das ja um, was der Gesetzgeber vorgibt. Und wenn es eine Richtlinie ist, ist es halt eine Richtlinie. Jetzt, wie ist denn, also du hattest schon gesagt, eigentlich zwei Jahre Zeit, Ende 2022. Wenn ich jetzt Mathematik nicht ganz schlecht aufgepasst habe, würde ich sagen, die zwei Jahre sind eigentlich schon um. Und ich weiß, wir hatten auch schon mal Anfang des Jahres das Thema, dass es jetzt irgendwie eigentlich fast fertig sein soll. Aber da sind wir noch nicht, oder? Jetzt kommt der komplizierte Teil. Ich behaupte, wir wären schon soweit, weil, wie das immer so ist, es gibt eine EU-Richtlinie. Dann müssen sich die Mitgliedstaaten auch wieder in Deutschland darauf vorbereiten. Und dann startet halt das nationale Gesetzgebungsverfahren. Das sind eigentlich überall erstmal gleich, losgelöst vom Thema NIST 2. Das heißt, es gibt dann irgendwann einen Referentenentwurf, dann werden Branchenverbände, Interessenverbände werden angehört, da kann man sich dann mit einbringen. Und dann startet eben auch dann das Gesetzgebungsverfahren im Bundestag und im Bundesrat. Und wir haben es eigentlich genau bis dahin geschafft. Das heißt, die erste Lesung im Bundestag hat es auch schon gegeben und dann hat der Bundeskanzler eben die Vertrauensfrage gestellt und Neuwahlen angesetzt. Und damit war das Thema eigentlich schon vom Tisch. Weil wenn man sich die Gesetzgebungsverfahren anschaut, werden halt Gesetzgebungsverfahren, welche in einer Legislaturperiode nicht abgeschlossen werden von einem Bundestag, werden quasi wieder auf den Stand Null zurückgesetzt. Und genau das ist hier passiert, weil, und das werden wir alle mitbekommen haben, es gab dann wichtigere Themen kurz vor dem Wahlkampf, dass das Thema NIST 2 über die Wupper geworfen wurde. Und deswegen muss dieses ganze Verfahren, Bundestag und Bundesrat mit der neuen Regierung dann wieder gestartet werden. Aktuell ist der Plan, bis Mitte des Jahres soll es dann das nationale Gesetz geben. Ich tippe eher, wir reden über Ende des Jahres. Was aber ja nicht heißt, dass die Unternehmen nicht schon mal sich damit auseinandersetzen sollten. Viele haben es ja auch schon getan. Wie gesagt, viele diskutieren auch schon über das Thema. Es gibt auch schon, ich sag mal durch die Richtlinie selber ja, eine Idee davon, was umzusetzen ist. Aber bevor wir dahin kommen, was inhaltlich letztendlich zu tun ist, sollten wir trotzdem einmal vorneweg vielleicht klären, für wen ist das denn nachher anwendbar? Also wie ist so die Tendenz oder was es ergibt, auch aus der Richtlinie sich schon, für welche Unternehmen ist diese nachher verbindlich, welche müssen da auch handeln? Also ich sage immer, ein gesundes Mittelmaß ist wichtig. Man muss jetzt nicht den Stress verfallen, weil man sagt, um Gottes Willen, es kommt hier ein neues Gesetz. Man darf es ordentlich auf die Langebank schieben. Natürlich, wir haben jetzt noch kein nationales Gesetz, aber die EU-Richtlinie, die gilt trotzdem schon. Und die Themen, auch wenn wir jetzt nochmal neu in die Bundestags- und Bundesratsverhandlungen gehen, das Gesetz gibt es ja trotzdem schon. Und deswegen weiß man heute schon, was auf einen zukommt. Und da können sich Unternehmer eigentlich schon ganz gut drauf vorbereiten. Nur zur Einordnung, wo stehen wir eigentlich in Deutschland? Es gibt ein paar Länder wie Italien, Kroatien, Dänemark, die sind schon fertig. Da gibt es schon ein Gesetz. Da gibt es einige Länder, da ist es fast final. Deutschland, Österreich. Es gibt auch Länder wie Frankreich, Spanien, Portugal. Da gibt es noch gar keinen Entwurf. Und die hatten keine Neuwahlen. Von daher stehen wir nicht ganz alleine da in der EU. Deswegen, das Gesetz wird auf jeden Fall kommen. Die Grundzüge stehen auch schon fest. Das heißt, man kann sich heute schon darauf vorbereiten. Da wäre es auf keinen Fall in den Stress verfallen, dass man sagt, wir müssen jetzt in den nächsten zwei Monaten Maßnahmen umsetzen, aber man sollte das auch nicht bis zwei raus schieben. Für wen gilt es? Auch da wird es wieder kompliziert. Da können wir gleich mal ein bisschen genauer einsteigen. Man tippt, dass rund 30.000 Unternehmen davon betroffen sein werden. Wonach kann ich mich denn jetzt orientieren, um festzustellen, wie hoch ist die Wahrscheinlichkeit, dass ich zu den 30.000 gehöre? Gibt es doch bestimmt irgendwelche Parameter, die da zugrunde gelegt werden müssten? Das Thema ist nicht ganz einfach. Also um wirklich für sich selber zu beurteilen, bin ich nur betroffen oder bin ich nicht betroffen? Man könnte es ganz einfach sagen und geht einfach auf die Seite Betroffenheitsanalyse BSI, einfach bei Google eingeben, kommt auf eine Homepage und da kann man seine ganzen Daten eintippen. So einfach ist es dann aber doch nicht. Das Ergebnis ist nicht immer ganz verlässlich und man muss natürlich, bevor man das macht, sich vorher mit den Grundlagen beschäftigt haben. Und da ist das BSI hingegangen, was ja maßgeblich auch in der Gesetzgebung beteiligt ist und auch nachher die zuständige Behörde für das Thema sein wird und hat Unternehmen nach wichtigen und besonders wichtigen Sektoren aufgeteilt. Da gibt es dann Anlagen, Anlage 1 und Anlage 2 und da gibt es dann wieder Sektoren drunter. Und so muss man sich dem Thema immer weiter ran nähern. Wir haben ja schon Kritis-Anforderungen, also wir gucken ja gleich nochmal drauf, was halt inhaltlich die Unternehmen einhalten müssen. Wenn wir jetzt einerseits gucken, Kritis haben wir schon, ist auch schon seit einigen Jahren ja verpflichtend dort, je nachdem in welchem Sektor und welchem Bereich ich bin, sich sogar zertifizieren zu lassen. Sind die, die von Kritis betroffen sind und da schon was gemacht haben, jetzt durch die NIS-2-Richtlinie eventuell nochmal verpflichtet, mehr andere Dinge zu machen oder ist das zwei nebeneinander stehende Dinge, die entweder oder zutreffen? Ich würde sagen, sie greifen ineinander. Wir müssen die Themen auf jeden Fall zusammen behandeln, weil wir Richtung kritische Infrastrukturen gehen. Da gibt es heute ein BSI-Gesetz. Auch das wird es in Zukunft geben. Es muss natürlich verändert werden, weil einige Themen, die im NIS2-Gesetz geregelt werden, heute schon im BSI-Gesetz drin sind. Die müssen dann herausgenommen werden. Und eine Kritis-Verordnung, die ja ganz konkret sagt, wer ist eigentlich ein kritisches Unternehmen, wer bringt kritische Dienstleistungen, die wird es weiterhin geben. Auch mit den Schwellwerten, alles, was mit dazugehört. Okay, du sagst, da kann man also beim BSI nachschauen, da gibt es Sektoren und so weiter, wichtig, unwichtig. Das heißt, es kann aber jetzt zum Beispiel auch ein KMU-Unternehmen betreffen. Das sind jetzt nicht nur große Unternehmen und es ist auch nicht nur kritische Infrastruktur, die das betrifft, sondern da kann es auch andere betreffen. Was wären beispielsweise jetzt Sektoren, die da betroffen sind, wo man sagt, da kann man sich auf jeden Fall schon mal darauf einstellen, dass man höchstwahrscheinlich davon betroffen ist? Ja, also wie eben schon gesagt, gibt es ja Anlagen 1 und Anlagen 2. Die unterscheiden nach besonders wichtigen und wichtigen Unternehmen. Und wer auf jeden Fall betroffen sein wird, sind alle, die heute schon kritische Infrastruktur betreiben. Die sind vor allem in Anlage 1 mit drin. Energiebetreiber, Netzversorger, Transportunternehmen, die auch teilweise jetzt noch hinzukommen, wie zum Beispiel Unternehmen, die ein ÖPNV betreiben. Unternehmen aus dem Finanzwesen, aus dem Gesundheitssektor, sind alles schon Unternehmen, die wir heute bei Kritis schon kennen, die aber jetzt noch mit hinzukommen, weil jetzt noch mehrere Faktoren hinzukommen. Und dann kommt noch die Anlage 2, das sind die sogenannten wichtigen Unternehmen, die hinzukommen, die aus den gleichen Sektoren kommen. Aber da gibt es die Besonderheit, nämlich dass wir das Thema öffentliche TK-Netze, TK-Dienste losgelöst von Kritis auch noch mit drin haben. Okay, also auch wahrscheinlich so Zulieferer oder die heute einfach noch nicht unter die Kritis-Voraussetzungen fallen. Absolut, Zulieferer, wobei es Thema Lieferantenmanagement kommt, bei den Maßnahmen drauf zu sprechen. Und es gibt ja auch noch neben den Einrichtungen oder den Kategorien und den Sektoren noch weitere Kriterien wie Mitarbeiteranzahl und Umsatz. Aber das gilt nicht für alle Sektoren. Da muss man ein bisschen aufpassen, weil das kann auch wirklich Kleinstunternehmen treffen. Okay, also man darf sich da jetzt nicht, nur weil man ein kleines Unternehmen ist, in der Sicherheit wiegen. Das ist schon mal eine wichtige Information. Und jetzt hast du gesagt, okay, können auch Kritis-Unternehmen von betroffen sein, also müssen die jetzt dann erwartbar mehr machen, neue Dinge tun. Worin unterscheidet sich dann am Ende auch NIS2 von den Kritis-Anforderungen? Also für Grittes-Unternehmen ändert sich gar nicht so viel. Nehmen wir als Beispiel den Netzbetreiber, die ja schon seit Januar 2018 sich zertifizieren lassen müssen oder auch den Wasserversorger, für den Auffristen seit 2019 gelten, für ein BSI-Nachweisverfahren, für die ändert sich gar nicht so viel. Ich sage auch immer, wenn ich gefragt werde von solchen Kunden oder Interessenten oder Ansprechpartnern, ihr seid eigentlich die, die am wenigsten machen müssen. Weil die kennen die Maßnahmen schon aus ihrem vorherigen branchenspezifischen Sicherheitsstandard. Die werden heute schon geprüft. Deswegen von den Maßnahmen her ändert sich gar nicht so viel. Eher zum Positiven, was die Prüffrist betrifft. Aber ich glaube, da kommen wir später auch noch drauf zu sprechen. Interessant wird aber auf das Thema, wenn ich gerne nochmal kurz eingehen, die wirklich Kleinstunternehmen. Das trifft nicht auf alle Sektoren zu, aber wir können ja mal gerne ein Beispiel machen, wo man sieht, es ist selten, aber auch wirklich ganz, ganz kleine Unternehmen können betroffen werden. Nehmen wir zum Beispiel die Anlage 2 für wichtige Unternehmen, wo wir auch den Bereich TK-Netze, TK-Dienste mit drin haben und das Thema Telekommunikation. Das heißt, wenn ich ein Ein-Mann-Unternehmen habe und vielleicht trotzdem als Vertrauensdienstanbieter auftrete oder aber auch TK-Netze anbiete im Bereich Telekommunikation, gelten alle Schwellwerte nicht mehr für mich und ich muss Maßnahmen umsetzen. Auch wenn ich nur ein Einzelkämpfer in einer Einwandfirma bin. Okay, das ist natürlich nachvollziehbar, dass da dann vielleicht auch die Freude nicht ganz so groß ist bei so kleinen Unternehmen. Aber du sagst, das ist auch die Ausnahme. Es ist jetzt auch nicht so, dass da regelmäßig Unternehmen betroffen sind, die damit einfach auch nicht umgehen können aufgrund der Anforderungen. Absolut. Aber auch da muss man schauen, dass es ein gangbarer Weg wird, die Maßnahmen umzusetzen. Ich kann, ich glaube, es ist eigentlich ganz klar, von einem Einzelkämpferunternehmen, ich nenne es mal so, nicht verlangen, dass ich ein tausendseitiges Sicherheitskonzept aufbaue mit sämtlichen Maßnahmen zur Informationssicherheit. Da ist auch irgendwas gefragt, dass das Ganze halt wirklich passgenau umgesetzt wird. Okay, verstehe. Also, wir haben Kritisanforderungen, die werden sich gar nicht großartig ändern. Vielleicht sogar, gibt es vielleicht auch sogar Erleichterungen bei den Prüffristen und ansonsten kommen halt weitere Unternehmen hinzu. Die müssen sich dann im Zweifelsfall schlau machen, ob sie davon betroffen sind oder nicht. Orientierung bietet das BSI unter dem Suchbegriff Betroffenheitsanfrage NIST 2. Genau, ganz konkret Betroffenheitsprüfung NIST 2 einfach bei Google eingeben und da kommt man direkt auf den entsprechenden Link. Dann gehen wir mal inhaltlich rein. Welche Maßnahmen sind denn jetzt konkret gefordert und was ist erforderlich und wo müssen die Unternehmen im Zweifelsfall vor allen Dingen darauf achten? Ja, das sind ganz viele Fristen, die anfallen. Also Fristen oder auch Maßnahmen. Das fängt an, dass man sich erstmal selber registrieren muss als NIST 2 betroffenes Unternehmen. Da wird das BSI oder andere Bürger nicht auf einen zukommen und sagen, du bist jetzt NIST 2, sondern man hat die Pflicht, dies selber zu tun. Das heißt, man muss die Betroffenheitsprüfung für sich selber machen und muss dann drei Monate nach Inkrafttreten des Gesetzes sich selber beim BSI registrieren. Das ist eine Maßnahme, die von Unternehmen gefordert wird. Wenn wir in Richtung technische Maßnahmen schauen oder auch organisatorische Maßnahmen, ist nur die ganz klar definiert. Das fängt an bei einer Risikoanalyse, die man für die Informationssicherheit im Unternehmen machen muss, geht weiter über das Thema Regeln von Informationssicherheitsvorfällen oder Incidents, geht auf das Thema Entwicklung weiter, Personalsicherheit, physische Sicherheit und wer sich mit der Informationssicherheit schon ein bisschen auskennt, dem werden diese Begriffe alle bekannt vorkommen, nämlich aus der ISO 27001. Das heißt, es wird eigentlich ein ISMS gefordert, ein Informationssicherheitsmanagementsystem. Die Maßnahmen sind nicht so ganz konkret definiert wie in der Norm, aber es sind genau die gleichen Themen. Jetzt haben wir ja bei der ISO 27001 und bei Management System ja in der Regel immer, dass wir ja diesen Management System Anforderungen haben. Also ja nicht nur die Umsetzung von Einzelmaßnahmen, sondern Kern ist ja immer erstmal ich brauche das Management System, was mir nachher Hilfestellung gibt. Wie muss ich eine Maßnahme umsetzen? Welche sind auch erforderlich und welche halt auch nicht? Das heißt, ich habe sowas wie Risikomanagement, Management Review, Audits, muss Dokumentenlenkung haben und so weiter. Ist das auch alles Bestandteil dann von den zwei Anforderungen oder sagst du, genau da liegt letztendlich dann der Unterschied und da ist es halt nicht ganz so streng? Eigentlich ist es genau das, nämlich ein Management-System. NIS II und auch das nationale Gesetz schreiben wir jetzt nicht so konkret rein, aber wenn man sich die Maßnahmen durchliest, die Fristen, die dahinter stehen, was man beim BSI nachher einreichen muss, es ist ein Management-System. Es fängt, wie gesagt, beim Risikomanagement an, aber auch das Thema Management von Schwachstellen, das sind alles Themen, die in der Norm gefordert sind. Was natürlich jetzt nicht gefordert wird, ist die Prüfung, dass man sich verpflichtend nachher prüfen muss, wie man es bei einem ISO 17001 Audit macht, aber es wird im Managementsystem gefordert, es ist nichts anderes. Und muss ich das dann gegenüber dem BSI zum Beispiel irgendwie nachweisen? Muss ich das irgendwie bestätigen, dass ich es habe? Muss ich gegebenenfalls regelmäßig irgendwelche Fragen beantworten? Hier gibt es eigentlich eine ganz einfache Trennung. Wir haben, wie wir es heute schon haben, die Betreiber von kritischen Infrastrukturen. Die müssen ja heute schon alle zwei Jahre sich dem BSI-Nachweisverfahren unterziehen. Ist nichts anderes wie ein Audit, eine Prüfung. Das müssen die auch weiterhin tun. Aber, und hier kommt eine Erleichterung, nur alle drei Jahre. Ja, deswegen da hat man dann ein Jahr gespart. Wenn man das Ganze auf sechs Jahre sieht, hat man eine Prüfung gespart, weil auf jeden Fall schon mal Kostenersparnis und dafür, dass man nicht noch zusätzliche Maßnahmen erfüllen muss, haben die schon mal eine minimale Erleichterung. Das Thema Systeme zur Angriffserkennung ist jetzt zwar letztes Jahr neu hinzugekommen, was für eine zusätzliche Prüfung ist, aber das lassen wir, glaube ich, hier erst mal weg, also dass da quasi wieder mehr Aufwand kommt, aber erst mal gespart. Bei den anderen Unternehmen, die unter die Sektoren Anlage 1 und 2 fallen, gibt es keine Prüfpflicht. Das heißt, es wird für Unternehmen keine verpflichtende Prüfung geben, sondern das BSI, also man muss sich erstmal registrieren, das ist auf jeden Fall der Fall nach drei Monaten, muss dem BSI dann auch wahrscheinlich nachweisen, das ist natürlich ganz klar geregelt im Gesetzentwurf, das war so ein kleiner Streitpunkt, ob man die Umsetzung der Maßnahmen noch bestätigen muss. Und das BSI kann dann Prüfungen anordnen. Das ist aber auch ganz klar definiert, wann das der Fall ist. Okay, kannst du noch ein bisschen ausführen, wie das genau definiert ist? Ja, das kann ich auf jeden Fall machen. Wie gesagt, Kritis, Prüfpflicht alle drei Jahre. Bei den Unternehmen, die besonders wichtig sind, Anlage 1 Kategorien, die können aufgefordert werden, risikobasiert. Das heißt, das BSI geht dann wirklich hin, gucke ich das Unternehmen an, gibt es ein erhöhtes Risiko für Cyberangriffe und wenn ja, können wir eine Prüfung anordnen und bei den Anlage-2-Kategorien, also die wichtigen Einrichtungen, ist es immer vorfallsbasiert. Das heißt, sollte es mal zu einem Vorfall kommen, kann im Nachhinein das BSE die Prüfung anordnen. Aber ansonsten gibt es keine Prüfpflichten. Thema Vorfall heißt, es gibt auch eine Meldepflicht, ähnlich wie bei Datenschutzvorfällen auch, dass ich das dann gegebenenfalls dem BSI mitteilen muss, wenn was passiert ist? Absolut. Wichtig ist natürlich, dass man vorher den Prozess für sich selber definiert. Wie wir es auch an dem ISMS-Informationen-Sicherheitsmanagementsystem kennen. Das heißt, man muss natürlich vorher ganz klar regeln, wie gehe ich mit Sicherheitsereignissen um? Wann ist es ein Vorfall? Wie müssen Sie mittlerweile an die verantwortlichen Personen melden? Und auch dann muss man das BSE informieren. Da gibt es aber auch Schwellgrenzen. Also ähnlich wie bei Datenschutzvorfällen gucken wir ja auch, es gibt da ein Risiko. Wenn ja, wie hoch ist das? Danach richtet sich, ob ich die Aufsichtsbehörde informieren muss oder gegebenenfalls sogar die Betroffenen. Ist das hier ähnlich? Oder muss ich da jeden verlorenen USB-Stuhr, jedes verlorene Handy im Zweifelsfall melden? Nee, muss man nicht. Aber auch das ist wichtig, dass man in seinem eigenen Prozess in seiner Richtlinie genau definiert. Und wir müssen natürlich immer schauen, aus den bisherigen Kritis-Bereichen kennen wir das ja schon. Und das können wir gerne als Beispiel nehmen, wenn wir die Netzbetreiber haben. Wenn jetzt in der NetOffice-Welt ein USB-Stick verloren geht, wo aber für den kritischen Bereich, für den Netzbetrieb keinerlei Dateninformationen drauf sind, ist das nicht so streng zu bewerten, als wenn wir wirklich Netzdaten verloren gehen. Und genauso gilt das auch bei den neuen Anlagen 1 und 2. Das heißt, wir haben auch da und wir nehmen zum Beispiel diese Siedlungsabfallentsorgung. Wenn ich jetzt Daten habe, die wirklich mit einem konkreten Geschäftsprozess zusammenhängen, was ja dann aus List 2 wirklich der kritische Prozess ist, dann muss ich das deutlich strenger risikobasiert bewerten, als wenn es der USB-Stick mit dem Speiseplan ist. Verstehe. Also das heißt, wenn ich jetzt mal aus einer Managementperspektive gucke und sehe, okay, wir haben einerseits Datenschutzmanagement, vielleicht habe ich auch schon Informationssicherheitsmanagement etabliert, dann, ich meine, das ist ja sowieso immer unser Mantra, macht es natürlich Sinn, das auch zu nutzen, wo ich halt Schnittmengen habe, gleiche Prozesse, also jetzt Thema beispielsweise Vorfälle, egal ob ich jetzt einen Datenschutzvorfall habe, Informationssicherheitsvorfall, das über einen Meldestell, über einen Prozess abzubilden. Und dann muss ich jetzt halt im Zweifelsfall natürlich zwei Dinge prüfen. Einerseits habe ich ein Datenschutzrisiko, muss ich eventuell der Aufsichtsbehörde melden, muss ich eventuell den Betroffenen informieren und gleichzeitig muss ich aber dann auch prüfen, ist es eventuell ein meldepflichtiger Vorfall im Sinne der NIST-2-Richtlinie und muss es dann gegebenenfalls den BSI melden. Genau. Das ist sowieso auch immer die Prüfung, wenn man auch nicht unter NIST-2 fällt, man trotzdem ein informationssicheres Management-System betreibt. Wir haben natürlich, ich glaube, warum hier gar nicht ins Detail gehen, zwei unterschiedliche Schwerpunkte. Das heißt, wir haben einmal Datenschutzumfeld, DSGVO, natürlich den Schutz der Person bezogen in Daten. Bei NIST-2 eher die Cybersicherheit und die Informationssicherheit. Die beiden Themen gehören aber heute ja schon trotzdem irgendwie zusammen. Das heißt, wenn ich über Informationssicherheit rede, gehört der Datenschutz irgendwie schon mit dazu. Man muss natürlich genau schauen und es ist eigentlich eine Doppelprüfung, welchen Vorfall habe, was ist genau passiert, sind personenbezogene Daten betroffen abhandengekommen oder nicht und was ist im Bereich der Informationssicherheit passiert und muss sich eben dann für zwei Meldewege entscheiden, das heißt im Worst Case zwei Meldungen, ja. Dazu eben schon angeteasert, das Thema Lieferketten-Sicherheit. Wir haben natürlich auch da Datenschutzperspektive, AV-Verträge etc. pp. Dann haben wir aber auch noch sowas wie Lieferketten-Gesetz. Jetzt ist das aber auch nochmal eine Anforderung, wahrscheinlich ja in NIS 2. Kannst du uns da mal einsortieren? Gibt es da Anforderungen, die jetzt auch für die Unternehmen vielleicht sehr herausfordernd sein können und sortiere uns das da einfach mal ein. Das ist für mich mit eines der schwierigsten Themen, die jetzt bei NIS2 gefordert werden. Vor allem, wenn ich mich mit dem Thema Informationssicherheit, Informationssicherheitsmanagementsystem und Lieferantendienstleistungssteuerung bisher noch gar nicht auseinandergesetzt habe. Und da ist NIS2, wie gesagt, NIS2 kann selber die wichtigsten Regelungen für uns Risikomanagement, Notfallmanagement und eben das Lieferantenmanagement. Und sobald ich in meinem kritischen Bereich, bleiben wir ruhig wieder bei der Siedlungsabfallentsorgung, ich habe einen Hersteller, der meine Abholfahrzeuge zum Beispiel mit einem Tourenplan versorgt. Dann habe ich einen Softwarehersteller und NIST2 sagt ganz konkret, diesen Softwarehersteller, der liefert in meinem Bereich eine kritische Anwendung, in diesem kritischen Bereich und den muss ich ganz klar steuern. Das heißt, ich muss meinem Dienstleister klare Vorgaben machen in Richtung Informationssicherheit. Und eigentlich heißt das nichts anderes, das kennen wir aus mittlerweile anderen Gesetzen oder Verordnungen wie der DORA-Verordnung zum Beispiel, dass ich meinem Dienstleister die Maßnahmen, die NIST2 von mir fordert, In Teilen, wenn sie für ihn relevant sind, weitergeben muss. Vertraglich. Und das Ganze eventuell auch auditieren muss. Das heißt, das ist aber auch wieder etwas, was ich halt im Zweifelsfall für mich selber nach Kriterien dann einmal definieren muss. Wann ist diese Schwelle erreicht und wo habe ich das Risiko, was ich so hoch sehe, dass es dann auch angemessen ist zu auditieren? Genau, man sollte für sich selber eine Richtlinie schreiben, also aus der Practice-Erfahrung, eine Richtlinie zum Thema Lieferantensicherheit, Dienstleister-Sicherheit und dort klar reinschreiben, was erwarte ich eigentlich für meine Lieferanten und Dienstleistern. Und das muss ich ja nicht für alle Lieferanten und Dienstleister machen. Wenn wir jetzt den Lieferanten und Dienstleister nehmen, der mir alle zwei Wochen die Kisten Wasser vor die Haustür stellt, der ist für die Informationssicherheit nicht so relevant wie eben der Software-Lieferant. Sehen, wo ich da prozessual schon klar unterscheiden und dann dort schon genau festlegen, wie gehe ich mit meinen Dienstleistern um. Also auch da sind so klassische Dinge wie eine Business Impact Analyse ja sinnvoll zu sagen, was sind meine wichtigsten Prozesse im Sinne der Kritikalität meiner Leistungserbringung, welche Systeme sind dafür besonders relevant, welche Dienstleister sind dafür besonders relevant und da kann ich dann auch gut natürlich Risikobewertungen dran ansetzen zu sagen, okay, wenn der ausfällt oder wenn der Bockmist baut, dann habe ich halt ein höheres Risiko und dann gehe ich halt im Zweifelsfall auch natürlich intensiver an die Vorgaben oder auch an die Prüfungen. Ja, absolut. Also BIA ist ein gutes Stichwort. Ich habe eben schon gesagt, das Thema Notfallmanagement hat beim Thema NS2 eine sehr hohe Priorität und auch von den eingeforderten Maßnahmen. Und eine BIA ist ein absolut super Mittel, um sich genau diesem Thema zu nähern. Weil ich muss ja schon, und das ist auch beim Risikomeldung, nichts anderes, genau schauen, wo sind eigentlich meine Kroniwellen und wo sind die Themen, wo ich wirklich darauf achten muss. Und das Gleiche gilt auch für die Dienstleisterlieferanten. Also ich gehe prozessbasiert ran, schaue, wo sind meine kritischen Prozesse, in einer BIA zum Beispiel, und schaue dann, welche Ressourcen brauche ich eigentlich, wenn dieser Prozess funktioniert. Und bei Ressourcen reden wir nicht nur eben über einen Server oder einen Laptop, sondern auch über Dienstleister. Jede Menge neue Gesetze, NIS 2 ist eins davon. Aber wir haben ja, du hast es eben auch schon mal kurz erwähnt, natürlich DORA, die zumindest die Finanzindustrie natürlich sehr beschäftigt derzeit. Dann haben wir noch den Cyber Resilience Act. Und wie sieht es da aus? Also gibt es Synergien? Gibt es eventuell Dinge, die vielleicht sogar konträr sind? Glaube ich jetzt wahrscheinlich nicht, aber gibt es zumindest irgendwo noch Synergien? Ja, also bei DORA und bei NIST 2 würde ich jetzt nicht unbedingt von Synergien sprechen. Da müssen wir schon klar unterscheiden. sind zeitlich relativ nah beieinander. Die DORA gilt ja seit Januar 2025 verpflichtend für Unternehmen aus dem Finanzsektor, die unter die Aufsicht der BaFin fallen. Das ist aber ganz klar geregelt, damit es eben keine Doppelumsetzung gibt. Wenn ein Unternehmen unter die DORA-Vorgaben fällt, die in die gleiche Richtung gehen wie die NIS 2, muss das Unternehmen nicht jetzt auch noch die NIS 2-Anforderungen erfüllen, sondern die sind ganz klar davon ausgenommen. Also entweder oder? Entweder oder. Entweder DORA oder NIS 2, aber nicht beides zusammen. Das ist ganz klar abgegrenzt, weil die DORA, wie gesagt, es ist eigentlich das gleiche wie die NIST 2 unter einem anderen Namen und nur mehr auf den Finanzsektor zugeschnitten. Wenn wir uns aber den, ja, schwieriges Wort, Cyber Resilience Act, ich habe es geschafft, anschaut, da geht es in der Tat um das Thema physische Sicherheit. Das heißt, wie schütze ich eigentlich Anlagen vor genau Angriffen? Und da muss man wirklich, ja ganz mal schauen, das ist davon auf jeden Fall ein krittes Unternehmen unter diese Vorgaben. Das heißt, wie schütze ich wirklich einzelne Anlagen vor Angriffen? Und die müssen auch umgesetzt werden, weil es einen etwas anderen Schwerpunkt hat. Jetzt hast du eben schon gesagt, wir müssen uns als Unternehmen, wenn wir davon betroffen sind, wenn wir also feststellen, wir fallen unter NIST 2, dann beim BSI melden innerhalb von drei Monaten, nachdem das Gesetz in Kraft getreten ist, dann kann es sein, wenn ich Vorfälle melde, dass vielleicht sogar auch nochmal eine zusätzliche Prüffpflicht kommt. Und wenn ich jetzt aber sage, will ich alles gar nicht machen, will mich schon gar nicht melden, vielleicht muss ich dann auch gar nicht registrieren, vielleicht muss ich dann auch nichts machen, wie sehen da die Sanktionskonsequenzen aus? Dann wird es teuer. Also, wir kennen das schon aus der DSGVO. Auch da gibt es ja klar Sanktionen. Es ist das Beinens 2 ein bisschen komplizierter, was man generell sagen kann. Es gibt die Sanktionsmöglichkeit. Hier wird allerdings nach Tatbeständen und verschiedenen Verstößen unterschieden. Und dann auch noch nach der Unternehmensgröße in Anlage 1 und Anlage 2. Das heißt, hier muss man ganz genau hinschauen. Das ist auch ganz klar im Gesetz definiert. Wirklich mit konkreten Beispielen. Kann man sich mal anschauen. Sehr interessant an der Stelle. Ich mache ein Beispiel. Wir haben jetzt eine besonders wichtige Einrichtung. Wir haben einen Netzbetreiber, der unter die Anlage 1 fällt und er setzt diese Maßnahmen nicht um. Für ihn könnte dann im Höchstfall eine Strafe von 10 Millionen Euro oder aber 2 Prozent vom weltweiten Umsatz anfallen. Nehmen wir dagegen eine wichtige Einrichtung aus der Anlage 2, zum Beispiel Unternehmen der Siedlungsabfallentsorgung. Die fallen unter Anlage 2, eine wichtige Einrichtung. Für die würde dann für den gleichen Verstoß würden 7 Millionen maximal anfallen, 7 Millionen Euro oder halt 1,4 Prozent des weiten Umsatzes. Macht den Braten jetzt nicht fett bei den Summen, muss man auch ganz ehrlich sagen, da wird es unterschieden. Aber es bleibt festzuhalten, Strafen sind vorgesehen, Sanktionen, ab wann die dann greifen, wird man in der Praxis sehen. Okay, also es lohnt sich dann schon, das auch einzuhalten. Okay, vielleicht dann noch zum Schluss. Beim Datenschutz haben wir das ja auch immer wieder den Unternehmen gesagt, dass halt das durchaus von Vorteil sein kann, auch im Wettbewerb, wenn man sich halt nicht nur an die Regeln hält, sondern wenn man das halt auch aktiv rausstellt und auch klar macht, dass man da halt nicht nur gerade so die Latte schafft, sondern dass man halt vielleicht ein bisschen mehr macht. Wie sieht das so bei NIST 2 aus? Siehst du da irgendwo Chancen für Wettbewerbsvorteile oder ist es am Ende sowieso nur so, dass alle das Mindestmaß machen und dann hoffen, dass sie nicht irgendwann mal geprüft werden? Ich würde gar nicht sagen, NIST 2 ist der Wettbewerbsvorteil, sondern das Informationssicherheitsmanagementsystem ist der Wettbewerbsvorteil. Und den kann ich bereits heute schon ziehen, ohne dass ich NIST 2 relevant bin. Natürlich kommt es eine NIST 2-Richtlinie oder ein Gesetz und fordert genau die Umsetzung von einem Informationssicherheitsmanagementsystem von mir. Ich bin aber losgelöst davon der festen Überzeugung, dass eine Zertifizierung in dem Bereich oder auch schon, wenn ich nur ein ESMS implementiert habe, durchaus ein Wettbewerbsvorteil sein kann, sogar ist. Es gibt mittlerweile immer mehr Kunden, die es von ihren Dienstleistern verlangen, auch vertraglich einfordern. Wenn ich erst mit der Umsetzung anfange, wenn es in einem Vertrag drin steht, das kann schief gehen, weil der Kunde es vielleicht relativ zeitnah fordert, dann habe ich Zeitdruck. Das kann aber schon bei Ausschreibungen relevant sein. Das heißt, dass auf dieses Thema Cybersicherheit, was immer wichtiger wird, mein Kunde Wert legt und schon Ausschreibungen genau solche Zerfizierungsnachweise fordert. Und hinzu kommt natürlich, ein informationssicheres Management-System kann auch vor Vorfällen schützen. Das heißt, wenn ich erstmal Schaden erlitten habe und muss dann meine Kunden informieren, dass vielleicht auch Daten vom Kunden weg sind, wird es meistens sehr unangenehm, auch die Gespräche sehr unangenehm. Und deswegen ist generell die Umsetzung von einem Informationssicherungsmanagementsystem meiner Überzeugung nach ein absoluter Wettbewerbsvorteil. Und S2 fordert eben genau das von mir. Von daher, ganz klares Ja von mir. Ich glaube, das ist nochmal ein sehr guter Appell ja auch an die Unternehmen, die vielleicht auch nicht betroffen sind. Und das, was wir ja auch beobachten, ist, alle, die das Thema stiefmütterlich behandeln, nicht vernünftig sich mit Risiken auseinandersetzen, früher oder später halt irgendeine Art von Vorfall haben. Manchmal geht es vielleicht auch glimpflich aus, vielleicht nur ein, zwei E-Mail-Konten betroffen, aber auch das sehen wir ja nicht selten, dass dann plötzlich doch alles verschlüsselt ist oder größere Schäden durch Fischung entstehen. Und deswegen kann ich das nur unterstreichen, dass das Thema Informationssicherheitsmanagement-System, also strukturiertes Auseinandersetzen mit Risiken, Umsetzen von Maßnahmen, risikoorientiert, definitiv jedem Unternehmen eigentlich anzuraten, ist egal, ob es jetzt halt unter kritische Infrastruktur fällt, unter den Zwei-Richtlinien fällt oder DORA, ist es am Ende völlig wurscht. Am Ende muss halt jedes Unternehmen für sich abwägen, gehe ich das Risiko ein, später erst betroffen zu sein und dann das SMS einzuführen. Also am Ende zahlen die Unternehmen, die nichts tun, höchstwahrscheinlich sowieso doppelt. Es ist ja nur die Frage, gebe ich das Geld jetzt aus oder gebe ich es nachher nochmal aus nach einem Vorfall, wo ich den Vorfall erst zu stemmen habe und dann auch nochmal eine SMS einführe. Also wirklich dringende Empfehlung, das Thema nicht zu lange zu schieben, weil dann ist es nämlich nur eine Frage des Wann und nicht mehr des Opfers passiert. Das würde ich genauso unterschreiben, ja. Wunderbar. Stefan, ich glaube, du hast uns damit schon mal einen sehr guten ersten Überblick über die NS2-Richtlinie gegeben und das, wo wir gerade stehen. Ich lade unsere Zuhörer natürlich ein, wenn es darüber hinaus noch weitergehende Fragen gibt, uns die einfach zu stellen. Ihr findet in den Shownotes natürlich den Link zur Themenfolge und dann auch zur Webseite mit der Kommentarmöglichkeit. Stellt uns gerne die Fragen. Wir kümmern uns dann um eine zeitnahe Antwort. Und je nachdem, wenn es sich lohnt, wenn es mehrere Fragen sind, dann können wir natürlich auch gerne nochmal einen Follow-up machen. Also es gibt ja nochmal vielleicht auch einen zweiten Teil. Ich wollte jetzt nicht reingreitschen, Heiko, aber das war jetzt wirklich so ein bisschen an der Oberfläche kratzen. NIST 2, DORA und die ganzen Vorgaben, die jetzt kommen, auch das Cyber Resilience Act, bietet noch so viele Themen. Ja, da haben wir locker noch Platz für eine Folge 2 und 3. Okay. Also, dem kann ich ja nur anfügen, wie gesagt, fühlt euch frei, die Fragen zu stellen in den Kommentaren oder schickt sie uns gerne auch per E-Mail, podcast.migosens.de. Wir freuen uns und natürlich auch, wenn ihr, wie gesagt, doch Anregungen, Ideen dazu habt, schreibt sie gerne in die Show-Nows. In diesem Sinne, ganz herzlichen Dank, Stefan. Gerne. Und danke euch, bleibt uns gewogen und auf bald. Tschüss zusammen. Der Beitrag NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk erschien zuerst auf migosens .…

Der Datenschutz Talk

1
eBay plant KI-Training mit Nutzerdaten - DS News KW 18/2025 9:28

vor 29 Tagen9:28

9:28

Was ist in der KW 18 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? KI-Webseitenklonung : Neue Bedrohung für Phishing-Angriffe eBay will Nutzerdaten für KI Training verwenden Bußgeld gegen die Griechische Nationalbank Veröffentlichungen und Veranstaltungen: HmbBfDI – Handreichung zum Data Act Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg – Datenpannen-Management– Grundlagen und Praxishinweise Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/ebay-plant-ki-training-mit-nutzerdaten-ds-news-kw-18-2025/ Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Heute ist Freitag, der 2. Mai und wir begrüßen euch wieder zu unseren wöchentlichen Datenschutz-News. Mein Name ist Gregor Wortberg und bei mir ist David Schmidt. Grüß dich Gregor. Hi David. Ganz vergessen, unser Reduktionsschluss war natürlich wie immer heute um 10 Uhr. Das wollen wir unseren Hörern und Hörern natürlich nicht vorenthalten. Und ja, wir freuen uns auch in dieser Woche wieder ein paar News mitgebracht zu haben. Welche Themen hast du denn heute dabei? Ich habe eine neue Phishing-Bedrohung dabei, über die ich sprechen möchte. Und ein Bußgeld aus Griechenland habe ich im Gepäck. Und ein Veranstaltungshinweis. Wie sieht es bei dir aus? Ich habe quasi das Titelthema mitgebracht, eBay plant das Training von KI anhand von Nutzerdaten. Darüber möchte ich einmal sprechen und dann auch noch eine Veröffentlichung inklusive Veranstaltungshinweis aus Hamburg. Das klingt spannend und dann würde ich vorschlagen, wir steigen ein mit der Phishing-Bedrohung. Heise warnt vor einer neuen Phishing-Bedrohung in Form der KI-basierten Software Darkula. Bei Darkula handelt es sich um eine sogenannte Phishing-as-a-Service-Plattform, die mit dem letzten Update mit generativer KI ausgestattet wurde, um schneller hochwertige, maßgeschneiderte Phishing-Kits zu erstellen. Insbesondere das Nachbauen von Webseiten soll damit jetzt komplett ohne Programmierkenntnisse möglich sein, sodass jetzt auch weniger technisch versierte kriminelle, sehr überzeugende, mehrsprachige und individuelle Phishing-Seiten bauen können. Und auch die Verbreitung der entsprechenden Links, zum Beispiel per SMS. RCS und iMessage, soll ebenfalls durch KI gezielter und einfacher funktionieren. Das Ganze funktioniert wie gewöhnliche Software-as-a-Service-Produkte als ein Abonnement-basiertes System. Also hier steckt schon eine enorme Organisation hinter. Und für Unternehmen ist es natürlich wichtig, ihre Mitarbeitenden regelmäßig über Phishing-Gefahren zu sensibilisieren und auf verdächtige Nachrichten hinzuweisen, so wie technische Schutzmaßnahmen wie etwas Spamfilter und Anti-Phishing-Tools zu nutzen und regelmäßig zu aktualisieren. Ja, das gilt natürlich jetzt nicht nur auf neue und organisierte Phishing-Bedrohungen, auch nicht nur auf KI-basierte Phishing-Bedrohungen, sondern für jede. Die muss nicht als Software-as-a-Service extra gekauft werden, sondern die kann natürlich auch weiterhin auf klassischer Weise selbst im stillen Kämmerlein gebaut werden. Ebay plant, die Nutzerdaten ihrer Mitglieder für das Trainieren von KI-Modellen zu verwenden. Darüber hatte vor kurzem Ebay seine Benutzerinnen und Benutzer auch schon per E-Mail informiert und war grundsätzlich die Information mitgegeben, dass sie künftig verstärkt auf künstliche Intelligenz setzen wollen. Das Unternehmen hatte angekündigt, personenbezogene Daten zu nutzen, um aber auch KI-Systeme zu entwickeln und zu trainieren. Gleichzeitig wurde in diesem Zusammenhang auch eine neue Datenschutzerklärung veröffentlicht, nämlich am 21. April. Diese Ankündigung allein hat schon ein bisschen für Aufregung und Aufruhr gesorgt und es sind auch schon einige Beschwerden bei der zuständigen brandenburgischen Datenschutzbeauftragten Dagmar Hartke eingegangen, wie sie in einer Pressemitteilung auf der Webseite des LDR Brandenburg bekannt gegeben hat. Die neue Datenschutzerklärung von Ebay wurde auch gesichtet und von der Landesbeauftragten als nicht ausreichend transparent bezeichnet. Es sei aktuell unzureichend verständlich, welche konkreten Daten der Nutzerinnen und Nutzer für das KI-Training überhaupt verwendet werden sollen. Auch die genauen Ziele des Trainings sind nicht benannt und wer am Ende Zugriff auf die Daten haben wird, sind ihrer Ansicht nach auch noch offen. Also eine ganze Reihe eigentlich an fehlenden Informationen, die man vielleicht doch erwarten würde in dem Zusammenhang. Laut einem Bericht von Heise plane Ebay Nutzerdaten für KI-gestützte Angebotserstellung, KI-generierte Zusammenfassung von Produktretensionen und Chatantworten in Echtzeit verwenden zu wollen. Und die Datenschutzbehörde steht wohl auch schon bereits im Austausch mit Ebay zu dieser Thematik. Das Unternehmen hat wohl der Behörde mitgeteilt, dass das KI-Training auch noch nicht begonnen habe. An der Stelle hat man dann auch noch Zeit, die klare Empfehlung der Landesbeauftragten umzusetzen, nämlich der Datenverarbeitung zu widersprechen. Das Recht hat man natürlich. Insbesondere wird aber auch nochmal darauf hingewiesen, dass die Nutzung der Daten zum KI-Training nicht mehr rückgängig gemacht werden könne. Also jetzt widersprechen, bevor es einmal drin ist? Genau, genau. Ansonsten alles zu spät. Alles zu spät, ja. Ja, komischer Trend, dass irgendwie jetzt alles mit KI versehen wird. Also sei es die Phishing-Software, sei es eBay, weiß ich nicht, wie sinnvoll das ist. Keine Ahnung, ob das jetzt so einen großen Mehrwert für eBay haben wird. KI ist ja auch nicht immer direkt KI, das merkt man ja auch in der Praxis, dass vieles auf einmal KI ist, was vielleicht auch eine normale Anwendung einfach sein kann. Ja, gibt es schon das KI-Washing eigentlich als Begriff, sonst würde ich das mal hier mit einführen Wir. Setzen einen Trend. Die griechische Datenschutzbehörde hat gegen die griechische Nationalbank ein Bußgeld in Höhe von 100.000 Euro verhängt. Hintergrund war eine eingereichte Beschwerde wegen der falschen Verlinkung des Bankkontos des Beschwerdeführers mit der Handynummer eines Dritten, der sich der Beschwerde angeschlossen hat. Diese falsche Verlinkung hat zur Geldüberweisung über einen Online-Zahlungsdienst auf ein falsches Konto geführt. Im Rahmen der von der Behörde durchgeführten Verwaltungsprüfung stellte die Bank schließlich fest, dass das Problem auf eine falsche Konfiguration aus einem Update der Mobile Banking Anwendung aus dem Jahr 2020 zurückzuführen sei und dass weitere 24 ihrer Kunden betroffen waren. Die Behörde sah darin einen Verstoß gegen die Grundsätze der Genauigkeit, Integrität und Vertraulichkeit von Daten sowie die Grundsätze des Datenschutzes durch Design. Ja, also ich finde das Bußgeld 100.000 Euro für den langen Zeitraum, dass man das nicht gemerkt hat, schon relativ niedrig. Ja, so günstig mit weggekommen. Ja, ich weiß nicht, ob das jetzt eine öffentliche Bank ist oder ob das eine private ist, aber für die lange Zeit und nur 24 Kunden, die sich jetzt selber identifiziert haben, gut, wenn das stimmt, dann ist das ja überschaubar, aber weiß man ja nicht so genau, wie das jetzt zurückverfolgt werden konnte. Ich komme schon zur ersten Veröffentlichung inklusive Veranstaltungstipp. Der Hamburger Chip Beauftragte für Datenschutz und Informationsfreiheit hat eine Handreichung mit dem Titel Der Data Act als Herausforderung für den Datenschutzveröffentlichung. Der Data Act wird ja Anfang September gültig, wo man dann ja auch schon die Anforderungen als Unternehmen umsetzen muss. Dementsprechend kommt es zu einem guten Zeitpunkt, sich dann doch auch nochmal mit den Anforderungen auseinanderzusetzen. Die Handreichung enthält einen Überblick über die Inhalte des Data-Acts sowie zeigt es erste Handlungsbedarfe auf und skizziert die Möglichkeiten der datenschutzbehördlichen Aufsicht. Ebenso wird der Data-Act Gegenstand des Hamburger Datenschutzforums am 15. Mai sein. Das als kleiner Veranstaltungshinweis. Das Dokument verlinken wir euch natürlich wie immer in den Shownotes. Und ich habe noch einen Veranstaltungstipp versprochen. Dahinter verbirgt sich eine hybride Veranstaltung des LFDI Baden-Württemberg und zwar geht es um das beliebte Thema Datenpannenmanagement, Grundlagen und Praxishinweise. Das Ganze findet statt am 20. Mai von 15.30 Uhr bis 17 Uhr. Ich habe gelesen, dass die Teilnehmeranzahl beschränkt ist, deswegen empfiehlt es sich, sich zügig dafür anzumelden und ich denke mal, das ist ja ein Thema, was man immer mal wieder auffrischen kann, damit dann im Falle des Falles keine Panik aufkommt und jeder weiß, was zu tun ist. Empfiehlt sich definitiv für jedes Unternehmen, sich mit dem Thema auseinanderzusetzen. Ja, David, das war eine kurz und knackige Folge am Brückentag. Ja, genau. Ich bedanke mich. Es hat wieder sehr viel Spaß mit dir gemacht. Und unseren Hörern und Hörern wünsche ich natürlich auch, falls sie uns am Brückentag hören, ein schönes verlängertes Wochenende und am Montag dann einen guten Start in die neue Woche. Wir freuen uns auf nächste Woche. Bis dahin. Bis bald. Der Beitrag eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025 17:51

vor 5 weeks17:51

17:51

Was ist in der KW 17 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Schadensersatz wegen fehlender datenschutzfreundlicher Voreinstellungen (Urteil vom 8.4.2025 – 6 U 79/23) 200 Mio.-Strafe für Meta wegen DMA-Verstoß BGH zu Auskunftsrecht für Gesellschafter ( BGH, Urteil v. 22.1.2025 – II ZB 18/23 ) Hertz Kunden von Datenleck betroffen Verstoß bei jeder fünften geprüften Webseite in Hamburg Veröffentlichungen und Veranstaltungen: Der HmbBfDI lädt ein zum 4. Hamburger Datenschutzforum Der Europäische Datenschutzausschuss (EDSA) hat seinen Jahresbericht veröffentlicht Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/jede-funfte-website-verstoßt-gegen-datenschutzvorgaben-ds-news-kw-17-2025/ Transkript zur Folge: Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Heute ist Freitag, der 25. April 2025 und wir begrüßen euch wieder zu unserem wöchentlichen Datenschutz-News. Denn, ihr bei den Megosens hatten wir immer das Gleis, nee, das Ohr auf dem Gleis für euch. So rum. Wir halten das Gleis nicht so stark sind wir nun auch nicht. Nein, genau, das wäre ein bisschen Ted Weh, glaube ich, genau. Mein Name ist Heiko Gossen. Und mein Name ist Laura Droschinski. Ja, unser Redaktionsschluss, wie immer, um 10 Uhr heute. Und ansonsten war es auch eine kurze Woche, Laura, oder? Stimmt, genau. Das Osterwochenende hat uns eine kurze Woche beschert. Aber du hast es ja schon letzte Woche angekündigt und ich glaube, wir sollten heute unsere Zuhörerinnen und Zuhörer auch nochmal darauf aufmerksam machen, dass die Themenfolge online gegangen ist am Dienstag. Genau, ich hoffe, es haben alle schon gesehen. Wer nicht, der sei hier dann tatsächlich daran erinnert. Mit Michael Will hatte ich ja zu dem EuGH-Urteil zur Anrede eine Folge gemacht und ich finde, er hat einerseits ein bisschen beruhigt, aber er hat auch klar gemacht, dass wir es nicht ignorieren dürfen. Dann kommen wir zu unseren Themen. Was hast du denn heute mit dabei, Laura? Ja, ich habe einmal eine Strafe für Meta dabei, die sich auf den DMA bezieht. Weiter geht es mit einem etwas weitreicheren Datenleck bei dem Autovermieter Herz und eine Veranstaltungsempfehlung habe ich auch auf dem Zettel. In der Rubrik Veröffentlichung hätte ich auch was dabei. Dann hätte ich was zu unserem Titelthema, nämlich die Webseitenprüfungen in Hamburg. Dann schauen wir auf ein Urteil vom Bundesgerichtshof zum Auskunftsrecht für Gesellschafter. Starten möchte ich aber mit einer Entscheidung auch gegen Meta zum Thema Privacy by Default. Und damit würde ich auch direkt loslegen, denn das OLG Frankfurt hat Meta zur Zahlung von 1000 Euro Schadensersatz wegen unzureichender Datenschutzvoreinstellungen verurteilt. Wenn Nutzer bei Facebook erst selbst aktiv werden müssen, um ihre Daten vor der Öffentlichkeit zu schützen, dann ist das mit dem Grundsatz der Datenminimierung nicht vereinbar. So hat das OLG Frankfurt entschieden. Im konkreten Fall bekam jetzt die Frau Schadensersatz zugesprochen, nachdem ihre persönlichen Daten durch das sogenannte Scraping abgegriffen worden waren. Das Gericht stellte klar, die Privatsphäre-Einstellungen einer Plattform müssen von Anfang an datenschutzkonform sein. Das bedeutet, es darf halt nicht sein, dass sensible Informationen wie E-Mail-Adressen oder Telefonnummern halt standardmäßig öffentlich sichtbar sind. Meines Erachtens ist das hier ein seltenes Urteil. Es ist auch das Erste, was mir ganz bewusst zu Ohren und Augen gekommen ist, was sich halt konkret mit den datenschutzfreundlichen Voreinstellungen beschäftigt. Ich habe das Urteil selber noch nicht gelesen, jetzt nur bei Beck Online den Newsartikel dazu gesehen. Die sprechen zwar auch hier vom Thema, vom Prinzip der Datenminimierung und beziehen sich auf Artikel 5, aber das spricht auch für mich sehr eindeutig eigentlich für Artikel 25 und Privacy by Default. Das denke ich auch, ja. Habe ich auch gerade, als du das mit der Datenminimierung sagtest, habe ich auch mal kurz gestockt. Aber es ist nicht genauso. Privacy by default at its best, würde man glaube ich sagen. Ganz genau. Ja, ich habe ja auch eine Nachricht mitgebracht zu Meta und zwar im laufenden Handelskonflikt mit den USA verärgert die Europäische Kommission US-Unternehmen und verhängt hohe Geldstrafen wegen Verstößen gegen das Gesetz über digitale Märkte, also die DMA. Und eine Strafe habe ich diesbezüglich mitgebracht, eben hier gerade gesagt zu Meta, weil wir hier einen interessanten Datenschutzbezug haben, auch wenn es den DMA betrifft. Denn bei der Strafe geht es um den Consent or Pay Button oder das Modell, das Meta im November 2023 für Facebook und Instagram in der EU eingeführt hat. Und Meta soll nun eben 200 Millionen Euro Strafe zahlen. Nutzer hatten eben damals die Wahl, entweder sie stimmen der Zusammenführung ihrer Daten für personalisierte Werbung zu oder sie zahlen eben ein monatliches Abo für eine werbefreie Nutzung. Die Kommission sieht hier einen klaren Verstoß gegen die Verordnung, denn der Nutzer hat eben nicht die Möglichkeit, sich explizit für eine weniger personalisierte, aber ansonsten gleichwertige Alternative zu entscheiden. Das Modell von Meta hat es den Nutzern also nicht erlaubt, ihr Recht auf eine freiwillige Zustimmung zur Datenverknüpfung wahrzunehmen. Zwar hat Meta im November 2024 eine neue Version des Modells vorgestellt, die angeblich weniger Daten für Bergung nutzt, aber die aktuelle Strafe bezieht sich auf den Zeitraum von März bis November 2024, in dem eben nur die binäre Zustimmung oder Zahlenoption existierte. Die Kommission prüft wohl auch die neue Variante von Meta aktuell noch und steht im Austausch mit dem Unternehmen. Ob die Strafe juristisch angefochten wird, ist noch nicht bekannt. Meta hat nun 60 Tage Zeit, um der Entscheidung der Kommission nachzukommen und andernfalls drohen wie oft in solchen Verfahren eben möglicherweise noch höhere Zwangsgelder. Die Kommission betont, dass sie weiterhin eng mit dem Unternehmen zusammenarbeiten wird, um auch das DMA sicherzustellen. Vielleicht auch ein bisschen, um zu deeskalieren, denn es gab natürlich auch in den aktuellen verrückten Zeiten mit den USA Reaktionen von dort mit Bezug auf eben konkret diese EU-Strafe. Und ein Sprecher des Weißen Hauses nannte die Bußgelder eine neue Art wirtschaftlicher Erpressung, die man nicht dulden werde, wie Reuters berichtete. Also die Regulierung amerikanischer Firmen durch EU sei eine Handelsbarriere und eine direkte Gefahr für eine freie Gesellschaft. Heiko, hoffen wir mal, dass sich das nicht durchsetzt, oder? Ja, ich hätte mich jetzt sehr überrascht, wenn die Trump-Administration da nicht irgendwie eine Vergeltung drin sieht für ihre Zölle oder andere Dinge drin vermutet. Ich finde es aber auch ganz interessant, dass der Europäische Datenschutzausschuss damals ja auch gesagt hatte, wir brauchen noch eine dritte Variante für dieses Pay-or-Consent. Und ja, wir alle uns ja ein bisschen gefragt haben, worauf stützt er das eigentlich? Also das ist ja jetzt dann, dass der DMA kein echtes Datenschutzthema. Von daher finde ich es überraschend, dass jetzt dann das unter diesem Aspekt zu einem Bußgeld geführt hat. Gehen wir weiter. Der Bundesgerichtshof hat Ende Januar entschieden, dass ein Gesellschafter grundsätzlich das Recht hat, Auskunft über Namen, Adressen und Beteiligungshöhen seiner Mitgesellschafter zu erhalten. Das gilt auch dann, wenn der Gesellschafter diese Information nutzen möchte, um zum Beispiel anderen Kaufangebote für deren Anteile zu unterbreiten. Laut dem Gericht stellt dies keine unzulässige Rechtsausübung oder ein Missbrauch des Auskunftsrechts dar. Entscheidend sei, dass das Auskunftsrecht ein grundlegendes Mitgliedschaftsrecht in einer Personengesellschaft sei. Auch tatenstuhlsrechtliche Gründe stehen dem Auskunftsanspruch nicht entgegen, so das Gericht, denn es betont, dass die Weitergabe dieser Daten an Mitgesellschaften in der Regel gemäß der Daten- und Grundverordnung zulässig sei. Es sei halt für die Ausübung der Mitgliedschaftsrechte oft erforderlich, die Mitgesellschaften und deren Beteiligungen zu kennen. Nur so können Gesellschafter ihre Rechte informiert wahrnehmen, beispielsweise bei Abstimmungen, sodass es gibt. Der Fall kam vor dem Bundesgerichtshof, nachdem ein Gesellschafter von zwei Fondsgesellschaften Auskunft über die Daten der anderen Gesellschafter verlangt hatte. Der Fall kommt jetzt vielleicht dem einen oder anderen bekannt vor, denn wir hatten Ende letzten Jahres oder im Herbst, das war im September, hat der Europäische Gerichtshof in einem ähnlichen Fall entschieden. Und er hat eine sehr restriktive Prüfung der Erforderlichkeit bei Weitergabe der Gesellschaft der Daten durch einen Fondsbetreiber dort damals festgehalten und das auch dem Amtsgericht München, was diese Frage vorgelegt hatte, entsprechende Weisungen mitgegeben oder Hilfestellungen mitgegeben. Von daher habe ich schon ein bisschen das Gefühl, dass der BGH hier wieder ein bisschen anders entschieden hat als der EuGH, zumal zumindest jetzt bei meinem Lesen ich nichts gefunden habe, wie diese Erforderlichkeit nach den engen Maßstäben des EuGHs, die wir ja in den letzten Jahren sehr häufig letztendlich gesehen haben, wirklich begründet. Ja, ich finde den Teilen halt wirklich unangenehm, wenn hier die Rechtsprechungen doch in unterschiedliche Richtungen abdriften, woran man sich dann am Ende des Tages orientiert. Ja, wahrscheinlich muss man doch nochmal ein bisschen tiefer in die Details reingehen. Das schaffen wir natürlich hier im Rahmen der Vorbereitung nicht immer jedes Urteil so tiefgehend zu analysieren. Aber ich glaube, das ist in dem Fall tatsächlich notwendig, um dann die Unterschiede zu finden und herauszuarbeiten. Meine nächste Nachricht bezieht sich auf ein Datenleck und zwar ist hier Hertz betroffen, bei dem eben persönliche Daten von betroffenen Kunden und Mitarbeitern im Darknet veröffentlicht wurden. Im Januar 2025 ist Hertz, einer der größten Mietwagenfirmen der Welt, Ziel einer Cyberattacke geworden, bei der Kundendaten in die Hände der Angreifer gelangt sind und mit der Veröffentlichung gestohlener Daten im Darknet erpresst worden. Mehreren Berichten zufolge in dieser Woche ist nicht nur Hart selbst betroffen von diesem Sicherheitsvorfall, sondern auch die Tochtergesellschaften Dollar und Thrifty. Wie das Unternehmen in einer offiziellen Mitteilung bekannt gab, nutzten die Angreifer eine Schwachstelle in der Dateiübertragungsplattform des Softwareanbieters Clio Communications aus. Die betroffene Zero-Day-Schwachstelle wurde offenbar bereits in den Monaten Oktober und Dezember des vergangenen Jahres ausgenutzt um unbefugt auf die Daten zuzugreifen. Brisant ist eben, dass Herz nach eigenen Angaben erst am 10. Februar diesen Jahreskenntnis von dem Datenabfluss erlangte und daraufhin umgehend eine Untersuchung einleitete. Diese Untersuchung wurde Anfang April abgeschlossen und enthüllt eben nun in den Berichten aktuell die Ausmaße des Datenlecks. Laut Herz sind sensible Informationen wie Namen, Kontaktdaten, Geburtsdaten, Zahlungsdetails und insbesondere Führerscheininformationen von Kunden kompromittiert worden. In einigen Regionen konnten sogar Sozialversicherungsnummern, Ausweisdaten und Informationen über Unfallverletzungen abgeflossen sein. Die genaue Anzahl der Betroffenen von den Unternehmen ist derzeit noch unklar, da eben noch keine konkreten Angaben dazu gemacht wurden. Hertz versicherte, dass den Fortfall den zuständigen Strafverfolgungs- und Aufsichtsbehörden gemeldet zu haben. Bisher seien dem Unternehmen aber keine Fälle von Missbrauch der abgeflossenen Daten bekannt. Um, das fand ich jetzt ganz interessant, potenziell betroffenen Kunden entgegenzukommen, hat Hertz das Unternehmen Croll mit einer Darknet-Überwachung bezüglich der Daten der Betroffenen beauftragt und bietet außerdem den Betroffenen einen kostenfreien, zwerigen Zugang zu dem Dienst an. Nichtsdestotrotz ist, glaube ich, festzuhalten, Betroffenen ist eben geraten, Vorsicht walten zu lassen, um eben jetzt infolgedessen nicht Opfer von Betrug zu werden, nicht immer so leicht erkennbar. Und insbesondere, wenn wir jetzt hier von Finanzdaten sprechen, auch hier Kontoauszüge und Kreditkartenabrechnungen auch weiterhin im Blick zu haben. Ich habe das Gefühl, die Autovermieter sind ein attraktives Ziel für Hacker. Da hatten wir in der Vergangenheit schon öfters Meldungen zu. Richtig, aber man hat natürlich auch sofort einen sehr bunten Blumpf draus an Daten in dieser Zielgruppe. Also durchaus nachvollziehbar. Jawohl. Der hamburgische Datenschutzbeauftragte deckt auf, dass fast jede fünfte geprüfte Webseite in Hamburg beim Einsatz von Drittdiensten gegen Datenschutzvorgaben verstößt. Der Hamburger BFDI hat eine Stichprobe von 1000 in Hamburg betriebenen Webseiten unter die Lupe genommen. Dabei ging es speziell um die Einbindung von sogenannten Drittdiensten, also externen Angeboten, wie beispielsweise Webanalyse, Werbung oder auch die Anzeige von Karten. Das Ergebnis findet er alarmierend. Die nämlich 185 dieser zufällig ausgewählten Webseiten wurden erhebliche Mängel festgestellt. Das Hauptproblem seien wohl, viele dieser Drittdienste werden direkt beim Aufruf der Webseite aktiv und beginnen auch dann natürlich direkt mit dem Tracking der Nutzer, noch bevor diese überhaupt ihre Einwilligung dazu gegeben haben. Das ist natürlich etwas, das haben wir auch hier schon mehrfach betont, dass wenn man halt einen Cookie-Banner hat, dass man natürlich prüfen muss, dass der halt auch wirklich erst die Cookie setzt, wenn dann die entsprechende Einwilligung gegeben wurde. Die Liste der beanschaulierten Dienste ist dabei durchaus prominent besetzt, da zumindest die der da im Hintergrund eingebundenen Dienste, dann da taucht wohl häufig Google Analytics auf, finde ich jetzt wenig überraschend, aber auch Google Maps, Google Ads, YouTube, Facebook, Vimeo, Microsoft Advertising, Pinterest, LinkedIn, wie gesagt, finde ich jetzt wenig überraschend, das sind natürlich die Social Media Dinge und Google Analytics, glaube ich, ist nach wie vor auch sehr beliebt. Die betroffenen Webseitenbetreiber werden jetzt halt schriftlich von der Behörde über die Mängel informiert und bekommen die Chance, diese auch zu korrigieren. Laut der Pressemitteilung ist das Ziel der Aktion ausdrücklich, das Bewusstsein für die Notwendigkeit der datenschutzkonformen Einbindung zu schärfen und die allgemeine Compliance von Webauftritten mit Sitz in Hamburg entsprechend zu verbessern. Ja, von daher kann ich unsere Handlungsempfehlung nur wiederholen. Die Webseiten regelmäßig überprüfen. Ich glaube, da ist man immer gut beraten, denn das wissen wir auch aus eigener Erfahrung, nicht jede Änderung an der Webseite wird immer datenschutzrechtlich auch kommuniziert, also dem Datenschutzbeauftragten oder dem Datenschutzteam. Es wird nicht immer geprüft. Manche Marketingabteilungen sind da natürlich sehr regelmäßig dran und das kann natürlich auch mal durchgehen, gerade wenn man mit Agenturen zusammenarbeitet. Also wie gesagt, es sind viele Köche und da würde ich dann raten, die Webseite immer wieder mal zu prüfen oder halt durch entsprechende Dienste überprüfen zu lassen. Genau und wir müssen auch dazu sagen, Hamburg ist ja nicht die erste Aufsichtsbehörde, die so eine Aktion startet. Und ja, mit Blick auf die aktuellen technischen Möglichkeiten, die man hat, ist es ja auch ein leichtes, jetzt tausend Webseiten auch überprüfen zu lassen mit entsprechenden Tools und Technik. Deshalb, ich glaube, groß verstecken kann man sich halt einfach auch gar nicht mehr. Genau, also da sollte man gar nicht drauf spekulieren und die Tools, wie gesagt, da gibt es ja Anbieter, viele für, die sowas ja auch als Service anbieten. Also da kann ich jedem Unternehmen auch nur raten, die eigene Webseite da ab und zu mal drüber laufen zu lassen. Ja, ich bleibe in Hamburg und habe einen Veranstaltungshinweis von dort mitgebracht, denn die Aufsichtsbehörde in Hamburg lädt ein am 15. Mai zum 4. Hamburger Datenschutzforum. Die gemeinsam mit der Hamburger Datenschutzgesellschaft e.V. Sowie mit Unterstützung der Handelskammer Hamburg ausgerichtete Veranstaltung widmet sich den bedeutenden Änderungen und Herausforderungen, die durch den EU-Data-Act für den Umgang mit Daten in der Europäischen Union entstehen. Und Anlass ist eben die Umsetzungsfrist der neuen Verordnung zum 12. September diesen Jahres für zahlreiche Unternehmen. Viele der neuen Pflichten aus dem Data Act betreffen ja wohl sowohl personenbezogene Daten als auch nicht personenbezogene Daten. Und genau dadurch entsteht eben eine enge Verbindung zum Datenschutzrecht, womit sich halt diese Veranstaltung beschäftigt. Also wer Interesse hat, wir packen das hier natürlich gerne in die Shownotes am Nachmittag des 15. Mai, 14 bis 17 Uhr im Forum der Handelskammer Hamburg. Dann habe ich noch einen Veröffentlichungshinweis. Der Europäische Datenschutzausschuss, kurz ETSA, hat seinen Jahresbericht 2024 veröffentlicht. Der ETSA fokussiert sich in seiner strategischen Ausrichtung 2024 bis 2027 demnach auf vier Hauptsäulen. Harmonisierung und Förderung der Compliance, Stärkung einer gemeinsamen Durchsetzungsstruktur, Sicherung des Datenschutzes in einem sich entwickelnden digitalen Umfeld sowie Beitrag zum globalen Datenschutzdialog. Außerdem betont der ETSA die Bedeutung koordinierter Datenschutzdurchsetzungsaktionen, also hier insbesondere im Rahmen des Coordinated Enforcement Framework, um eine einheitliche Anwendung der DSGVO in der EU zu gewährleisten. Das, wie gesagt, verlinken wir natürlich auch. Klar, wer da nochmal reingucken möchte, der kann natürlich dann da sich den Link direkt aus den Shownotes raussuchen. Und damit sind wir für heute schon durch. Stichwort Shownotes, da ist ja auch immer der Link zur Folgenseite drin. Wenn man da draufklickt, kann man natürlich auch Kommentare hinterlassen. Wer also was hat, was er uns mitgeben möchte, der darf gerne dort natürlich draufklicken und auch einen Kommentar hinterlassen. Wir freuen uns darüber immer und ansonsten sind wir jetzt, wie gesagt, erstmal für heute, für die kurze Woche, auch mit einer kurzen Folge vielleicht. Mal gucken. Na, ein bisschen, was war es ja doch. Sind wir auf jeden Fall durch. in diesem Sinne. Vielen Dank, Laura. Danke auch. Und euch ein schönes Wochenende. Bleibt uns gewogen und auf bald. Bis bald. Der Beitrag Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Verwendung der Anrede nach dem EuGH-Urteil C-394/23 - Michael Will im Datenschutz Talk Podcast 44:42

vor 6 weeks44:42

44:42

Darf ich Kunden noch mit „Herr“ oder „Frau“ ansprechen – oder ist das bereits ein Datenschutzverstoß? Diese Frage bewegt aktuell viele Unternehmen. Anlass ist das EuGH-Urteil C-394/23 , das die Pflicht zur Anrede bei SNCF Connect für unzulässig erklärt hat. Der Grund: Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 DSGVO . In dieser Themenfolge des Datenschutz Talks analysieren wir das Urteil gemeinsam mit Michael Will , Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) . Dabei geht es nicht nur um die juristische Bewertung, sondern vor allem um die praktischen Folgen für Unternehmen, Datenschutzbeauftragte und Geschäftsführungen . Was du aus dieser Folge mitnimmst: Ausgangspunkt des Urteils: Was ist passiert? Der Fall „Mousse gegen CNIL und SNCF Connect “: Pflichtfeld Anrede: „Herr“ oder „Frau“ beim Online-Ticketkauf. Warum der EuGH darin einen Verstoß gegen die DSGVO sieht. Bedeutung des Begriffs „erforderlich“ im Rahmen der Datenminimierung. EuGH-Urteil zur Anrede: Was steht in der Begründung? Warum die Anrede nicht zur Vertragserfüllung nötig ist. Warum der EuGH eine inklusivere, neutrale Ansprache fordert. Wie sich der Begriff „Erforderlichkeit“ verschärft hat. Was ändert sich durch das Urteil in der Praxis? Müssen Formulare mit Anredefeldern jetzt angepasst werden? Reicht die Auswahloption „keine Angabe“ aus? Dürfen Unternehmen noch personenbezogene Anreden in der 1:1-Kommunikation verwenden? DSGVO & berechtigtes Interesse: Was gilt künftig? Warum der EuGH das berechtigte Interesse der Bahn nicht gelten ließ. Welche Anforderungen nun an Artikel 6 Abs. 1 lit. f DSGVO gestellt werden. Was passiert, wenn der Zweck bzw. das berechtigte Interesse nicht in der Datenschutzerklärung steht? Müssen Daten jetzt gelöscht werden? Einwilligung oder berechtigtes Interesse? Was der EuGH wirklich meint Deutet sich ein Vorrang der Einwilligung an? Welche Rolle spielen Informationspflichten nach Artikel 13 DSGVO? Warum Einwilligung allein nicht automatisch sicher ist. Handlungsempfehlungen für Unternehmen Was Datenschutzbeauftragte jetzt konkret prüfen sollten. Wie ein sauberes 6 Abs. 1 lit. f-Modell aufgebaut sein muss. Welche Angaben in der Datenschutzerklärung nicht fehlen dürfen. Wann Widerspruchsmöglichkeiten aktiv und technisch umsetzbar sein müssen. Keywords, die in dieser Folge behandelt werden: EuGH Urteil Anrede Datenminimierung DSGVO Pflichtfelder Webformulare berechtigtes Interesse DSGVO Einwilligung oder berechtigtes Interesse Artikel 13 DSGVO Informationspflicht personenbezogene Anrede Datenschutz DSGVO Formulare Anrede Datenschutz Aufsichtsbehörden Einschätzung Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/ ) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/verwendung-der-anrede-nach-dem-eugh-urteil-c-394-23-michael-will-im-datenschutz-talk-podcast/ Transkript der Folge: Heiko Gossen (00:15) Wie in unserem großen Jahresrückblick versprochen, wollen wir dieses Jahr wieder ein paar mehr Themenfolgen machen. Und heute haben wir ein besonders aktuelles und auch sehr praxisrelevantes Thema für euch, das Europäische Gerichtshofsurteil, EUGH-Urteil vom Anfang des Jahres zur verpflichtenden Angabe der Anrede beim Online-Ticketkauf. Vielleicht … Scheinbar kleiner Fall, aber ich glaube doch mit großer Wirkung für die Praxis. Und dazu begrüße ich einen ausgewiesenen Experten, mit dessen Meinung glaube ich, in Datenschutzthemen durchaus Gewicht hat. Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht. Will, herzlich willkommen. MICHAEL WILL (00:57) Schön hier wieder Gast sein zu dürfen, grüße Sie. Heiko Gossen (00:59) Ja, ich habe nachgeschaut. 2022 im Oktober, also vor genau zweieinhalb Jahren, waren Sie schon mal hier zu Gast. Wir hatten ja damals zum Thema Drittstaatentransfer gesprochen. Ich freue mich sehr, dass Sie heute hier sind und wir heute, ja, wie gesagt, zu einem ganz anderen Thema mal sprechen können. MICHAEL WILL (01:16) Über das andere könnten wir jetzt auch ausgegebenem Anlass sprechen, aber wir nehmen uns lieber das vor, was der UGH schon entschieden hat. Absolut gut. Heiko Gossen (01:23) Genau, das ist ein bisschen weniger spekulativ als das, was uns vielleicht noch mit USA und so weiter droht. Von daher bin ich auch dafür. Wir gehen einmal, wie gesagt, auf das Urteil zum der Sache Moos gegen die französische Bahn. Und in dem Urteil ging es die Frage der verpflichtenden Angabe beim Fahrscheinkauf Herr oder Frau, was die Bahn abgefragt hatte und der Verband Moos hatte dagegen geklagt. Der Europäische Gerichtshof hat ja final entschieden, wir haben hier auch in unseren Datenschutz-News schon darüber berichtet, dass die verpflichtende Abfrage der Anrede beim Online-Ticketkauf gegen die DSGVO verstoße, genauer gesagt gegen den Grundsatz der Datenminimierung. Damit macht das Urteil, glaube ich, relativ klar, dass für die Vertragserfüllung selbst, also jetzt hier in dem Fall Transport einer Person mit der Bahn, das Geschlecht erstmal grundsätzlich nicht erforderlich ist. Ich bin ehrlich, ich habe mich bei dem ein oder anderen Online-Formular früher auch schon gefragt, warum eigentlich die Anrede wichtig ist oder wofür sie abgefragt wird, aber habe da jetzt nie deswegen irgendjemand bemüht. Aber Herr Will mal so ganz überspitzt gefragt, ist es jetzt eigentlich schon Datenschutzverstoß, wenn ich sie mit MICHAEL WILL (02:17) Vielen Heiko Gossen (02:39) Herr Will anspreche. MICHAEL WILL (02:42) Wir steigen gleich am Anfang aus. Da wir in keinem Beschäftigungsverhältnis sind, das Ansprechen schon gar kein Thema. Wenn wir jetzt hier unsere elektronische Umgebung dazu nehmen, dann wird die Frage schon ein bisschen spannender. Was wir bei Herville merken, was wir dann merken, wenn es anders wäre. Wir kommen bis hin zur theoretischen Reichweite. von Artikel 9 in manchen Konstellationen. Aber das heißt noch lange nicht, dass das ein Verstoß sein muss. Aber wir sind ohne Frage im Anwendungsbereich, jedenfalls dann, wenn wir den Rest der sachlichen Voraussetzungen mit erfüllt haben. Heiko Gossen (03:25) Wunderbar. Vielen Dank für die erste Einschätzung. Aber vielleicht gehen wir dann doch mal ein bisschen von vorne ran und gucken einmal auf die Entscheidung bzw. noch mal ganz kurz auf den Sachverhalt. Den hatte ich ja eingangs schon beschrieben. Jetzt ging es ja unter anderem darum, dass in diesem Formular von der Bahn abgefragt wurde Herr oder Frau. Es gab keine Alternative noch dazu. Also es geht ja einmal die Frage. von eventuell auch noch anderen Geschlechtern, drittes Geschlecht, Dann haben wir auf der anderen Seite aber, und das ist, glaube ich, datenschutzrechtlich das, wo natürlich am Ende sehr viel Zündstoff drin liegt, weil es ja nicht nur vielleicht diese eine Frage geht. Ich habe ein Online-Formular bei der Deutschen Bahn oder bei einer anderen Bahngesellschaft, sondern wir sehen das ja in sehr vielen Formularen und in sehr vielen Themen, wo die Datenabfrage erfolgt, durchaus zum Zwecke einer höflichen Ansprache, Wahrung von Umgangsformen und so weiter. Und da hat der EuGH ja auch unter anderem zu Stellung genommen. Und vielleicht könnten Sie so mal ganz kurz aus Ihrer Sicht beschreiben, wie haben Sie das Urteil jetzt und die Entscheidungen des Europäischen Gerichtshofs in Gänze wahrgenommen? Und ist das etwas, womit wir uns tatsächlich beschäftigen müssen oder es ist eher ein Sturm im Wasserglas. MICHAEL WILL (04:48) Naja, schon aus Respekt vor dem Gerichtshof, glaube ich, sind wir absolut nicht in der Situation, dass wir sagen können, das ist unerheblich, das sollte uns nicht interessieren. Das können wir nicht einfach so als unike Entscheidung zum Jahresbeginn abheften als eine juristische Stilblüte, wenn nicht angemessen. Was wir uns vergegenwärtigen sollten, glaube ich, wir haben es mit einem Ausgangssachverhalt zu tun, der nicht mehr so ganz alltäglich ist. In Deutschland ist das jedenfalls, glaube ich, durch AGG-Recht durch auch eine juristische Auseinandersetzung, die, glaube ich, die Deutsche Bahn am Ende geführt hatte, heute jedenfalls nicht mehr gang und gäbe, dass man neben Herr und Frau nicht noch die Alternative keine Angabe nicht angeboten kriegt. In Frankreich war das aber so. Da ist nur diese einzige Option Herr oder Frau als Auswahlmöglichkeit zur Diskussion gestellt worden und so weit. war, glaube ich, sozusagen die Grundstimmung in dem Verfahren schon ein bisschen noch von mehr Fragen geprägt, als wir das bei dem Sachverhalt hätten keine Angabe. juristisch Wo ich ganz schnell bei Ihnen bin, mit der Entscheidung auch absolut im Einklang ist, das ist kein Datum, das zwingend zu einer Vertragsdurchführung erforderlich ist. Wir hatten in der Zeit beispielsweise zur Vorbereitung des Europäischen Datenschutztags ja auch eine Datenschutzkonferenzdebatte über das Recht auf analoges Leben. Ein bisschen sensibilisiert durch solche Fragen kann man schnell erkennen. Ein Eisenbahnticket ist eigentlich nichts, was man jetzt zwingend eigentlich nur überhaupt personalisieren muss, wenn man das mit der analogen Welt vergleicht oder auch noch zusätzlich dann mit dem genauen Anredefeld noch verbinden muss. Das ist klar für den EuGH. Brut sich insoweit dann nur noch die Alternative über 6.1.f an, ist es zur Kundenkommunikation erforderlich. Und da halten dann ein paar Überlegungen in Einzug, die für mich ein bisschen schwieriger als Datenschutzbehörde nicht zu akzeptieren sind. Wie gesagt, ist Respekt vor dem Gericht. Aber wo ich ahne, dass wir in Einzelverfahren Erklärungsnöte bekommen. Die Erklärungsnöte beginnen dort, wo der EuGH sehr sehr postulierend sagt, du hättest auch andere Möglichkeiten zu einer inklusiven höflichen Kundenkommunikation gehabt. Das heißt, hier beginnen wir nicht mit einer Frage am überhaupt berechtigten Interesse an Kundenkommunikation, aber mit einer letztlich am Erforderlichkeitsgrundsatz, so wäre meine Wahrnehmung festgemachten, Debatte über geschäftlichen Stil und angemessene Umgangsformen. Und das finde ich ist ein Bereich, wo wir als Datenschützende so ein bisschen gerne ins Kreuzfeuer geraten, wo wir uns möglicherweise die Kritik anhören müssen. Da seid ihr jetzt aber etwas übergrüßig. Das ist ein Bereich, wo ich als Datenschutzbehörde jedenfalls für den Moment einräumen muss. Da haben wir noch nie hingeguckt, ganz ehrlich gesprochen. Heiko Gossen (08:14) Ich höre daraus, Sie sind an der Stelle auch so aus der Perspektive heraus nicht ganz glücklich mit den Ausführungen und vielleicht auch jetzt mit dem Thema als solchen, dass Sie sagen, ja als Aufsichtsbehörde, und das ist ja das, wofür wir im Unternehmen ja genauso mitkämpfen, dass halt Datenschutz oft als der Verhinderer wahrgenommen wird, als übertrieben, als viel zu streng. Und das ist, glaube ich, an manchen Stellen einfach Ja, falsch. Ja, also da muss man ehrlich sagen, wenn man sich ernsthaft mit dem Thema auseinandersetzt, geht ja auch bei vielen anderen Fachfragen, kann man sehr viel darstellen rechtlich. Manchmal ist es halt nur eine Wahrnehmung. Aber hier in dem konkreten Fall wird es tatsächlich schon ein bisschen schwieriger zu erklären, dass wir da jetzt ein bisschen strenger sein müssen und nicht mehr automatisch die Abfrage in jedem Formular nach der Anrede einfach so, wie sie vielleicht früher war, dann drin haben dürfen. MICHAEL WILL (09:09) Wobei nochmal, ich würde es schon heute aus anderen als datenschutzrechtlichen Gründen als Standard betrachten, dass wir die Frage Herr, Frau noch mit einer weiteren Option freilassen, verbinden. Das ist in Ordnung, das reflektiert unsere Rechtsordnung an ganz ganz vielen Stellen, beispielsweise auch dem Personenstandswesen. Also da haben wir, glaube ich, stabile Normative vor. Wo es für mich schwierig wird, wird zu sagen, ist datenschutzrechtlich geboten, letztlich immer, das ist die Voreinstellung, ohne diese Wahlmöglichkeiten für Kundinnen und auf eine Anrede zu verzichten, generell sozusagen neutral zu kommunizieren mit einem Hallo oder Bayerisch Servus, was auch immer. An der Stelle beginnt für mich so… angedockt über die Datenschutzrechtlich-dogmatisch sicherlich verständliche Frage braucht es dieses Datum, dann Kommunikationsprozesse so gestalten zu können. Ein Übergriff in gesellschaftliche Grundumgangsformen. Das ist eigentlich ein Bereich, wo ich jetzt aus einer staatsrechtlichen Perspektive sagen würde, da sind wir als Gesetzgeber. eher ein bisschen gehalten davon, Abstand zu halten. Da ergibt sich klassischerweise jedenfalls, und darüber muss man uns genau unterhalten, kein so massiver Grundrechtskonflikt, dass wir da normativ einschweiten müssen. Mich erinnert das persönlich so ein bisschen an die Debatte über Rechtschreibreformen und andere Dinge, wo wir dann bis hin zum Bundesverfassungsgericht streiten mussten, braucht es für diese Regeländerungen. Denn in Gesetzesvorbehalt Ermächtigungen ist die Kultusministerkonferenz da überhaupt die legitime Stelle. Das ist meine Schwierigkeit, dass es dogmatisch in den Spielregeln des Datenschutzes funktioniert, diese Sachverhalte zu erfassen. ist ganz klar einzuräumen. Für mich ist ein bisschen die Frage, wie glaube ich auch für andere, hätte da mehr Spielraum bestanden, sich zurückzuhalten und zu sagen… Das ist die Entscheidung des Verantwortlichen, wie er seine Kommunikationsprozesse gestalten möchte. Das ist bei einem Unternehmen, ja dem ganzen Land Frankreich als Monopolunternehmen verpflichtet ist, am Ende vielleicht auch eine Frage der dortigen Verkehrssitze, kulturellen Gegebenheiten. Hier hätte ich mich, also wäre ich genauso damit zufrieden gewesen, wenn sich der EuGH zurückgehalten hätte und dieses Argument, was er zurückgewiesen hat, die Kultur ist nichts, was datenschutzrechtlich. Belang hat, sich anders entschieden hätte. Für mich stellt sich jetzt die Frage, was muss ich damit als Datenschutzbehörde tun? Muss ich jetzt gewisse Grußformeln und Höflichkeitsformeln in Geschäftsprozessen stets und immer hinterfragen? Das ist ein bisschen das Unglück, was mich mit dieser Entscheidung plagt. Vor allem, dann, sobald ich hinterfrage, das Thema im Raum steht, untersage ich das aufsichtlich, muss ich es sogar… Sanktionieren mit einem Bußgeld, dann geraten wir schnell in eine Ecke als Datenschützende, die Sie gerade beschrieben haben, wo wir überhaupt nicht hingehören, weil wir eigentlich, glaube ich, richtigerweise dem Individuum nutzen, seine Freiheitsräume verteidigen und hier an der Stelle sind wir auf einem Feld unterwegs, wo sich das Individuum, wenn es denn diese dritte Alternative für ihn gäbe, eigentlich ganz gut selber verteidigt. Heiko Gossen (12:42) Ja, also da muss man ja eher rettend sozusagen auch für die Aufsichtsbehörden die Lanze brechen, zu sagen, ja, also auch die französische Aufsichtsbehörde hatte diese Argumentation, dass man das im Rahmen der Geschäftskommunikation ja als erforderlich sieht, weil sie ja mitgegangen und hatte ja dann auch für die Bahnen hier plädiert und für die Abweisung der Klage dann auch entsprechend beantragt. MICHAEL WILL (13:07) Ich glaube, eine kurze Zensur, genau diese Situation, es sich ein, wie sagen wir, ein Daseinsvorsorgeangebot handelt, jemanden, der ein de facto Monopol handelt, spielt für die Bewertung der Entscheidung an der Stelle eine ganz große Rolle. Dort haben wir nicht das, was wir jetzt gerade postuliert haben, nämlich die Möglichkeitenpflicht. mit jemandem anderen sein Geschäft abzuschließen. Das geht, wenn man ein Eisenbahnticket in Frankreich braucht, eben nur mit Essence F. Und auf diese Weise ist meine Welt auch wieder in Ordnung. Hier hätte es diese Wahlmöglichkeit nicht gegeben und insoweit hat es jetzt der EGH über seine Entscheidung hergestellt. Das ist ja am Ende das Ergebnis. Wir brauchen noch einen gesonderten Prozess, zu der Anrede Entscheidung zu Heiko Gossen (14:02) Jetzt haben Sie hier eben schon angesprochen, bedarf es noch einer dritten Option wegen dem Geschlecht? Ich glaube, da sind wir uns einig, heutzutage eigentlich brauchen wir da drinnen nicht mehr diskutieren. Was mich aber auch ein bisschen irritiert hat bei dieser Entscheidung, bisher hat der Europäische Gerichtshof ja und die DSGVO hat es ja auch nicht eingegrenzt, das berechtigte Interesse nicht sehr eng. sozusagen, was Voraussetzung ist, ein berechtigtes Interesse auch darstellen zu können. Und jetzt war ja die Argumentation auch der Wahn zu sagen, naja, die förmliche Anrede ist ja eigentlich ein eigener Zweck. Und für diesen eigenen Zweck ist es dann im Zafelsfall auch erforderlich. Und da fand ich es persönlich jetzt aber ein bisschen schwierig, dass der Europäische Gerichtshof da gesagt hat. ist es jetzt kein legitimer Zweck mehr, weil es gibt ja eine Alternative durch diese inklusive Ansprache, die Sie ja eben auch schon erwähnt haben. Habe ich das missverstanden oder ist es tatsächlich da an der Stelle vielleicht schon auch eher ein bisschen fraglich, ob der EuGH da nicht so weit gegangen ist, zu sagen, den Zweck weg zu diskutieren oder zu negieren, ist vielleicht eher ein bisschen schwierig an der Stelle. MICHAEL WILL (15:16) Ja, es ist in der Tat ein Punkt, enorme Genauigkeit verlangt. Auf der einen Seite anerkennt der OGH ganz klar das legitime Interesse an geschäftlichen Kommunikationsbeziehungen. Umgekehrt stellt er aber dann doch im Rahmen der Betrachtung von Erforderlichkeit, im Rahmen von objektiv unerlässlich Überlegungen hinsichtlich des Zwecks an. Nämlich, wie kann ich denn nur in seinen Worten nur diesen Zweck erreichen. Mit der Formel von der Unerlässlichkeit müssen wir zwangsläufig die Zwecksetzung des Verantwortlichen mit im Blick nehmen und mit dem Wort unerlässlich nimmt der EGH, finde ich, etwas anderes als unser klassisches Merkmal der Erfordernigkeit im Blick. ist etwas, wo wir schon noch mal der Schraube an der Stelle eine Drehung mehr geben, in meinen Augen. Ich weiß, dass wir auch in den Papieren des Europäischen Datenschutzes, Schutzausschusses bzw. vorher noch der Working Party 29 auch ein restriktives Verständnis von Erforderlichkeit hatten. Das ist, ich, auch für die Praxis ganz wichtig, erforderlich nicht mit irgendwo nützlich sich zu übersetzen, sondern das müssen sehr tragfähige, am Ende in einer Abwägung auch hinreichende Gründe sein. Was der UGH hier tut, ist, er setzt sich vollkommen an die Stelle des Verantwortlichen, wenn es die Betrachtung der zu erreichenden Zwecke geht. Und damit findet nochmal etwas statt, was wir vorhin schon kurz berührt haben, nämlich der Übergriff in eine Ansicht anderen Rechtsverhältnissen vom Staat nicht notwendigerweise zu regulierenden Freiheitsräumen. Es ist in meinen Augen ein bisschen schwierig, wenn sich der Staat vornimmt, beliebigerweise Unternehmen vorzuschreiben, wie sie mit ihren Kundinnen und Kunden zu kommunizieren haben. Das kann in einem lockeren Jugendladen etwas ganz anderes sein, als stellen wir uns beispielsweise ein hochdistinguiertes Finanzgeschäft vor irgendjemandem, der super hochwertige, meinetwegen Konfektionsherrenmode vertreibt oder sonst jemanden. Hier würde ich den Verantwortlichen eigentlich gerne mehr Spielräume zugestehen wollen über die Art und Weise, wie sie Kommunikation betreiben wollen, letztlich auch ihre, ja… das Erscheinungsbild ihres Geschäftes mit zu bestimmen. Das Element, das Sprache auch ausmacht, geht beim UGH ein bisschen mit dieser sehr nüchternen Brille des Datenschutzes unter. Das ist für mich nicht nur erfreulich. Heiko Gossen (18:13) Also dass wir bei der Erforderlichkeit strenger sein müssen als nützlich, gehe ich völlig mit. Ich glaube auch, dass das halt etwas ist, was sicherlich in der Praxis oft vielleicht ein wenig Lachs gehandhabt wurde in der Praxis. Das habe ich auch hier und da beobachtet. Deswegen, also das kann ich durchaus verstehen. Ich denke auch, dass wir die berechtigten Interessen immer mal kritisch hinterfragen sollen. wirklich am Ende die Abwägung so wie man sie sich wünscht oder ist es vielleicht dann doch eher vom Wunsch getrieben. Aber was ich halt auch wahrnehme ist, dass der Europäische Gerichtshof schon bei dem ganzen Thema, also man hat so ein bisschen das Gefühl und das hatte ich bei diesem Urteil auch, dass der Europäische Gerichtshof schon die Einwilligung als erstes Mittel auf jeden Fall sieht und deswegen halt auch gerade bei dem 6.1f doch sehr, sehr, sehr, sehr, sehr kritisch geworden ist und sagt im Zweifelsfall tut es dann doch die Einwilligung. Spüren Sie das auch? Sehen Sie da eine Veränderung auch in dem, wie wir den 6.1f anwenden können in der Praxis? MICHAEL WILL (19:22) Also ich nehme letztlich seit der Metabundeskartellamtsentscheidung war, diese Sorge ganz viele umtreibt. Bei der Metabundeskartellamtsentscheidung hatte ich noch ein bisschen die Formel, die beim EGH jetzt mittlerweile auftaucht, nämlich dass die übrigen Erlaubnistatbestände eng zu interpretieren seien. Ehrlich gesagt noch nicht so ganz ernst genommen. Habe aber insbesondere in Brüssel, also im großen europäischen Rahmen auch aus internationaler Betrachterperspektive da schon wirklich die deutliche Furcht wahrgenommen. Das ist ein Vorrang der Einwilligungskonzept. Das hat sich jetzt in der Judikatur des vergangenen Jahres irgendwo so langsam als neue Tonlage eingefunden. Wenn Sie an die Tennisbond-Entscheidung denken, an die 9. Kommanditgesellschaft, immer hatten wir an der Stelle die Frage, gibt es noch alternative Wege, mit denen der Verantwortliche trotzdem zu seinem Ziel, der einen Stelle Werbetreibende zu informieren, an der anderen Stelle Kontakt herzustellen, erreichen kann. Was der EGH nie gemacht hat, nach meiner Wahrnehmung, ohne dass ich jetzt wirklich sämtliche Sprachfassungen vergleichen könnte, das nicht, das habe ich nicht die Fähigkeit, er hat an der Stelle nie sozusagen gefragt. geht das anstelle dessen auch mit einer Einwilligung. hat beispielsweise bei der 9. Kommandit-Gesellschaft immer nach dem Einverständnis der anderen Gesellschaft gefragt. Trotzdem, auch da wieder, es ist ein Nachjustieren, ist ein strenger Betrachten und mit dem Gebot Dinge, die die übrigen Verarbeitungsbefugnisse Eng auszulegen klingt ja ein Satz an, den wir aus der Methode kennen. Eng muss ich immer Dinge auslegen, die Ausnahmetatbestände darstellen. Insoweit ist sich der Gerichtshof irgendwo auch latent bewusst, er bringt es nur nicht zu Papier, dass er an der Stelle von einem Verständnis von Artikel 8 Grundrechtecharta scheint ihm das vorzugeben. Der Einwilligung als Regelsachverhalt ist, die Datenflüsse erlaubt. und allen anderen eher so die Rechtfertigungserfordernisse mit gibt. Also das klingt nach Artikel 52 Grundrechtecharta und vielem anderen. Und damit sind wir auf einem Weg, der für eine an Datennutzung orientierte Rechtsordnung maßgeblich sein wird, weil wir sehr oft mit personenbezogenen Daten zu tun haben. der schwierig werden wird. Wir müssen so oft im Moment mit insbesondere den neuen Rechtsakten, Data Act, der KI-Verordnung auf 6.1.F-Konstruktionen zurückgreifen, weil uns der Gesetzgeber an der Stelle ein bisschen mutlos geblieben ist, weil er nicht eigene im öffentlichen Interesse mögliche Verarbeitungsbefugnisse geregelt hat, dass das mit diesen Anforderungen ziemlich spannend werden wird. Wie werden wir bei einem KI-Training denn nachweisen, dass dieser spezifische Datensatz tatsächlich objektiv unerlässlich ist, zu einer guten KI zu kommen? Das sind verständliche Fragen, die jetzt im Raum stehen. Neben anderen, die der UGH auch in dieser Entscheidung mit angetippt hat. Aber wir haben ja noch bisschen Zeit. Heiko Gossen (22:50) Genau, da würde ich direkt mal auch drauf kommen, weil es ging ja dann auch unter anderem die Frage, wenn wir das berechtigte Interesse heranziehen würden, können und dann aber in den Artikel 13 Informationen, den das berechtigte Interesse nicht genannt haben, hat der EUGH, so in meiner Leser hat er gesagt, dann ist die Datenverarbeitung schon unzulässig. Heißt also, dass wir die Da Antrittshinweise ja in Unternehmen durchaus jetzt alle wahrscheinlich nochmal kritisch prüfen sollten, das ist zumindest das, was wir unseren Kunden auch empfehlen. Sehen Sie das ähnlich und würden Sie auch in letzter Konsequenz sagen, ja, wenn es halt nicht drin steht, die Datenverarbeitung unzulässig, ich muss die Daten löschen? MICHAEL WILL (23:39) Das ist die Konsequenz. Das ist auch schon vorher da gewesen. glaube auch da wieder ist der historische Weg zurück in die Metabundeskartelle amtsentscheidung, ja der EuGH gewissermaßen die ganze Klaviatur der Erlaubnistatbestände durchspielen durfte. Insoweit geht das noch klarer zurück auf die Schlussanträge des Generalanwalts. Jetzt nur eine Bestätigung dieses Ansatzes. Es löst ohne Frage, wenn man sich auf den Blick in die Praxis verlegt, Unbehagen aus. Dogmatisch finde ich es allerdings überzeugend. Was ich bei vielen 6.1.f-Konstruktionen vermisse, ist das Eingeständnis, wenn ich den Weg über 6.1.f gehe, brauche ich eine intervenierbare Datenverarbeitung, weil der 6.1.f-Weg immer in Begleitung mit Artikel 21 zu gehen ist. Das heißt, ich muss den Betroffenen ein Widerspruchsrecht einräumen. Ich muss in der Lage sein, prüfen, Datenverarbeitung auch für die Zeit meiner Prüfung auszusetzen. All das ist eingebettete Logik, bei der ich in der Praxis manchmal das Gefühl habe, da stehen bestenfalls Formeln. Ob es tatsächlich so funktioniert, weiß ich nicht immer. Und wenn man sich das anschaut, dass der einzelne eine Widerspruchsmöglichkeit hat, übrigens interessanterweise ja seit der Grundverordnung sogar dann, wenn ein öffentliches Interesse, also 6.1e, die Datenverarbeitung legitimiert. Das finde ich ein ziemlich steiler Ansatz. Also der Gesetzgeber hat erst entschieden, die Datenverarbeitung ist sozusagen im öffentlichen Interesse zumindest gewollt und jemandem zugewiesen. Und dann gibt es trotzdem möglicherweise überragende Individualinteressen. Damit haben wir einen sehr weitreichenden Schutz. Und dieser sehr weitreichende Schutz kann nur funktionieren, logisch betrachtet, wenn der Einzelne weiß, mit was er sich da zu messen hat. Und dazu sind die Informationspflichten nach Artikel 13 da. Also das, finde ich, ordnet sich schlüssiger in die Gesamtwelt ein, steht aber ohne Frage im Widerspruch zu zumindest einigen, was wir in der Praxis immer wieder anschauen dürfen. Heiko Gossen (25:49) Das Widerspruchsrecht nach 21, weil Sie es gerade ansprechen, ist auch bei uns in der Praxis manchmal durchaus ein kontroverser Diskussionspunkt. Was sind die Anforderungen an den Hinweis auf dieses Widerspruchsrecht? Weil Artikel 21 spricht da ja schon von einer sehr konkreten Hinweis. Wie ist da so Ihre Wahrnehmung? Wird da immer eingehalten? Und was sind auch Ihre Erwartungen eigentlich an so einen Widerspruchshinweis? reicht der, ich den in Artikel 13 Informationen mit einbaue oder ist es doch was, ich im Zweifelsfall, wo ich den Nutzer ein bisschen mit der Nase drauf stoßen muss. MICHAEL WILL (26:28) Mir fällt immer auf, dass Artikel 21 tatsächlich ein bisschen schwächer am Ende in den Anforderungen ausgestaltet ist als die Wiederruflichkeit der Einwilligung. Das glaube ich ist so der erste Ausgangspunkt. Also das heißt wir müssen nicht wie bei Cookies so den Mechanismus auf derselben Ebene anbringen. Aber wir sollten ihn auch nicht verstecken, in den sonstigen Informationen unterbringen. Dahinter sollte jedenfalls, das wäre meine Anforderung, ein klarer Prozess stehen. Und da habe ich immer wieder die Bestätigung bekommen, naja, wir haben das zwar hier reingeschrieben, aber im Grunde wissen wir gar nicht, wie wir unsere Systeme stoppen und am Ende überprüfen sollten, wenn es den einzelnen Datensatz geht. auch da wieder, überlegen Sie sich, was das im Kontext eines 6.1f-basierten KI-Trainings bedeutet. Was ist, wenn unser Journalist, der Herr Bernklaut in der Q-Pilot am Ende irgendwie statt als forensischen Journalisten als Täter identifiziert hat, sagt, für meinen Datensatz habe ich jetzt nicht nur irgendwo einen Berichtigungsanspruch, sondern ich bin hier über 6.1f reingekommen. Da habe ich auch ein Widerspruchsrecht, ich will stärker geschützt werden. Schafft das tatsächlich ein solcher Vorgang? Da habe ich ernsthafte Sorgen, dass das technisch umgesetzt ist. Die formalen Anforderungen würde ich nicht zu hoch setzen. Wie gesagt, sie sind andere als bei der Einwilligung. Es würde für mich beispielsweise auch einleuchten, wenn man dort, wo man seine berechtigten Interessen erklärt, dann an der Stelle auch darauf hinweist, wenn sie meinen, ihre Interessen… gegenläufiger Art sind höherwertig, dann haben sie hier den Widerspruchprozess. Das ist eigentlich für den Betroffenen eine sehr systematisch, sozusagen aus seiner Perspektive, stimmige Art, das umzusetzen. Heiko Gossen (28:24) Ich würde jetzt noch mal zu der Entscheidung zurückkommen, weil das, ich ja eingangs ein bisschen auch provokant gefragt habe, stellt uns natürlich in der Praxis jetzt durchaus vor Herausforderungen. was bedeutet das wirklich für die geschäftliche Kommunikation, gerade im B2B-Umfeld oder da, wo ich einen persönlichen Kontakt mit jemandem habe, den ich weiterhin mit sehr geehrter Herr oder sehr geehrte Frau ansprechen möchte und die bisher sich auch nie beschwert hat? Müssen wir unseren Kunden sagen, nee, das geht auch nicht mehr und schreibt nur noch Guten Tag, MICHAEL WILL (28:52) Hm. Das Heiko Gossen (28:58) Will? MICHAEL WILL (28:58) meh. Ja, das ist ehrlich gesagt das Szenario, vor dem ich Angst habe. Das ist ungefähr so wie Mai, Juni 2018 als tonnenweise Briefe bei uns in den Postgästen landeten. Immer mit der Erklärung, wir brauchen jetzt neue Einwilligungen. Das ist das neue Datenschutzrecht, was das jetzt vorschlagt. Wir wissen, wie viel davon tatsächlich falsch war, unbegründet war. Und genauso würde ich jetzt meinen, dass in der bestehenden Vertragsbeziehung die Notwendigkeit da ist, alles umzustellen und das dann am Ende auch noch mit einer Formel, ist wegen des Datenschutzes zu begründen. Das ist nicht der Fall, der EGH entschieden hat. Das muss man ganz klar sagen, während der EGH hat den Fall eines Daseinsvorsorgeunternehmens mit letztlich Massenkommunikation, ihr anderes Beispiel, zu untersuchen gehabt. Insoweit andere Lage. wo wir vielleicht auch über 61b reden können, springt mir am Ende vielleicht der Kunde ab, wenn ich ihn gar nicht mehr persönlich anschreibe und reagiert auch gar nicht mehr auf das, was ich ihm als Teil der vertraglichen Kommunikation jetzt mitteilen möchte. Würde ich anders betrachten, wo wir tatsächlich hingucken müssen und das ist jetzt die unangenehme Wahrheit, der wir uns stellen müssen, ist der Auftakt für Sonstige Kommunikationsbeziehungen vor allem auf Internetschnittstellen, da sind wir jetzt doch bei der Konsequenz aus der Entscheidung, bei der Notwendigkeit angekommen. Wir müssen den Leuten eine Wahl lassen und Wahl lassen bedeutet in der Welt der Datenschutzgrundverordnung. Das sind Einwilligungsprozesse. Haben Sie eine andere Idee, wie wir das stabil abbilden können, wenn wir es nicht weglassen? Ich habe noch keine bekommen. Ich kenne einen Beitrag, der sich jetzt demnächst in der CD damit beschäftigen wird, dem ich sehr zustimmen kann. Der zieht auch die Schlussfolgerungen. Das sind dann letztlich ja offenkundig Einwilligungsprozesse. Es ist jedem klar, zu welchen Zwecken hier auch dann die Daten weiterverarbeitet werden müssen. Für mich ist das noch nicht so ganz das Ende. Wir müssen doch noch über die Wiederruflichkeit der Einwilligung etwas sagen. Und vielleicht müssen wir auch sozusagen das Kontextverständnis unserer Kundinnen und Kunden zumindest durch ein klein bisschen Text unterstützen. Wir hätten gerne zu zwecken unserer weiteren geschäftlichen Kommunikation hier eine Anredeentscheidung von Ihnen. Sie können Sie da und dort jederzeit widerrufen. Das ist jetzt, ich, die Aufgabe in so Essence-CF-vergleichbaren, ich nenne es mal Portalsituationen, wo wir auf eine unbestimmte Zeit hinweg Kommunikation miteinander unterhalten und etablieren wollen. Heiko Gossen (31:49) Hm. Also ich hab durchaus drüber nachgedacht. MICHAEL WILL (31:52) Ich habe noch keine bessere Antwort gefunden. Tut mir leid. Das ist im Moment jenseits des Abgrenzens zu ihren B2B-Szenarien die einzig datenschutzrechtlich wirklich formal stabile Antwort, ich Ihnen geben kann. Heiko Gossen (32:10) Wobei ich mich halt schon frage, man nicht das, was der EGH vielleicht dann auch nicht so ganz ausführlicher beschrieben hat, zu sagen, wie sieht es denn wirklich aus, wenn ich jetzt mal von vorne bis hinten durchgehend diesen eigenen Zweck sauber definiere, zu sagen, ich habe schon ein rechtiges Interesse, dass ich meine Kunden quasi nach nationalem Standard üblich auch anrede. Also dass es vielleicht ich mir ein bisschen mehr Gedanken darüber mache, dass ich diesen Zweck sauber definiere. dann durchaus natürlich sage, wenn das der Zweck ist, warum ich dieses Datum erhebe, ich das in den Datenschutzhinweisen richtig kenntlich mache, das Widerspruchsrecht entsprechend kenntlich mache, ob ich dann nicht über auch ja eine tatsächliche Erforderlichkeit dahin komme zu sagen, ich muss dann für das umzusetzen, auch natürlich das Geschlecht wissen oder was der Kunde wünscht, wie in welchem Geschlecht er zugeordnet werden möchte. wäre dann aber durchaus natürlich sinnigerweise auch an der Stelle zu sagen, wenn er es halt nicht möchte, dann lasse ich ihm aber auch eine Option zu sagen, du kannst es auch einfach nicht angeben, aber dann ist es so eine Mischform eigentlich aus berechtigtem Interesse und auf der anderen Seite aber auch einer sehr einfachen Umsetzung des Widerspruchs rechts, in dem ich halt einfach sage, ich will weder nonbinär noch Herr oder Sie, Herr oder Frau angesprochen werden, sondern ganz einfach schlussendlich, ich will es nicht angeben. MICHAEL WILL (33:32) Man könnte sich nun auch die Frage stellen, ist das, was Sie gerade schildern? Erstens eine andere Fallgruppe, jetzt in meinem Portalbeispiel wirklich von nicht besonders qualitativ eingrenzbaren Kommunikationsbeziehungen ausgegangen, wenn ich ein Geschäftsmodell habe, dass ich so mit besonderen Zwecken aufladen kann. Ich habe vorhin schon so ein bisschen sozusagen die Atmosphäre zu beschreiben versucht, irgendeine exklusive Dienstleistung in einem Rahmen, ich eben die genaue persönliche Ansprache von Kundinnen und Kunden als besonderes Merkmal meines Geschäfts habe. Bankumfeld, andere existenziellere Entscheidungen oder irgendetwas, es Wertigkeiten geht. kann ich mir das vorstellen und dann können wir uns noch mit der anderen datenschutzrechtlichen Frage beschäftigen. Ist das Feld freibleibend andere, vielleicht der voraussetzungslose Widerspruch in so einem 6.1.F. Modell, dann wären wir auch wieder in ganz anderen Fragen, als sie der EuGH entschieden hat. Denn französische Eisenbahn, das ist ja auch ein kurzer Abschnitt in der Entscheidung, hat ja offenbar nur ein lapidares Artikel 21 Verfahren angeboten und der EuGH hat da zu Recht zur Rückgewiesen, dass das in irgendeiner Weise die schutzwürdigen Interessen der Betroffenen relativieren würde. Unser Beispiel wäre aber mit dem anderen Feld sozusagen das Opt-out. Ich will keine Anrede. Und damit hätten wir etwas, was die Betroffenenrechte sicherlich, das ist klare Dogmatik, haben wir an verschiedenen Stellen, mit einer besonderen Schutzvorkehrung ausstattet und was sich vielleicht dann für die Verantwortlichen Seite dann sozusagen gewichtserhühend auswirkt. Also ja, halte ich am Ende auch noch für einen genauso diskutablen Gangbahnweg. Heiko Gossen (35:30) Sie sind ja Leiter eine Aufsichtsbehörde. haben eben das Eingangs ja auch schon mal ganz kurz angerissen. Wie sieht es da aus? Ist das ein Thema zwischen Ihnen und den anderen deutschen Aufsichtsbehörden? Ist es eventuell gar ein Thema auch im Europäischen Datenschutzausschuss? Gibt es darüber auch einen Austausch und eine gemeinsame Position? MICHAEL WILL (35:52) Wir tauschen uns über ganz, ganz vieles aus, sehr, regelmäßig, anders als das verbreitete Narrativ von Unabgestimmtheit und Divergenzen. Aber ehrlicherweise über diese Frage haben wir uns noch nicht ausgetauscht. Ich kann mir allerdings vorstellen, dass sie eine Bedeutung haben wird, wenn wir jetzt, das Konsultationsverfahren ist ja zu Ende, über die Version 2.0 der Guidelines zu berechtigtem Interesse… Die sind ja rausgekommen in der Zeit, wo die EuGH-Richtssprechung unglaublich ertragreich war, gerade zu diesem Thema. Und insofern wäre meine Erwartung, dass wir spätestens dann, wenn wir da über Änderungsbedarfe reden, dann uns auch über die Auswirkungen der MUSH-Entscheidung verständigen werden. Heiko Gossen (36:36) Ich mal spaßeshalber eine KI meiner Wahl gefragt, wie denn so im europäischen Umfeld diese Entscheidung in Foren und in sozialen Medien diskutiert wird. Interessanterweise, also erstmal wenig überraschend, glaube ich in Frankreich. Frankreich liegt ganz vorne bei diesem Ranking. Deutschland schon auf Platz zwei. Was ich aber sehr überraschend fand tatsächlich, ist, Königreich liegt dann schon auf Platz drei, das ist schon nur noch halb so intensiv wie in Frankreich, aber immerhin. Und dann nimmt es ab über Spanien, Italien, Niederlande und das einzige Land, wo es dazu irgendwie gar keine Diskussionen gab, ist Bulgarien. MICHAEL WILL (37:23) Es bestätigt ein Bild, das wir immer haben, wenn Sie beispielsweise in die EdBB-Statistiken über Fallzahlen gucken, dann ist da Deutschland immer ganz führend. Kritische Geister mögen jetzt sagen, naja, das liegt daran, dass er so viele Aufsichtsbehörden hat. Die produzieren so nach dem Lüchow-Dannebergs-Satz der Kriminalisten dann auch besonders viele Fälle, aber das meint die Statistik ja gar nicht. Wir haben, glaube ich, hohe Sensitivität für Datenschutzthemen. haben, glaube ich, eine gute Diskussionskultur darüber, dass das passt dazu. Frankreich ist umgekehrt ein Land, das natürlich jetzt oberflächlich betrachtet betroffen war, das aber jetzt vielleicht in besonderer Weise auch sprachlich sensibel genau für diese Fragestellungen ist. Denn dort, wenn wir allein in die Grammatik gucken, spielt da die genaue Zuordnung von masculinum femininum. dann eine entscheidende Rolle. Also überrascht mich beides nicht. Richtig erstaunt bin ich in der Tat über den Befund, was den angels-sächsischen Sprachraum betrifft, da hätte ich gedacht, da spielen diese Details der Anrede, die wir in der deutschen und französischen Sprache so super zisilliert ausgebildet haben, irgendwie weniger große Rolle und deshalb auch diese Fragestellung. Vielleicht ist es auch die Perspektive auf Wir sind Gott sei Dank da draußen und wir sind ein bisschen unabhängiger von der manchmal überraschenden Rechtsprechung des EuGH. Vielleicht ist da also ein klein bisschen sozusagen Brexit Applaus dann auch mit dabei. Heiko Gossen (39:00) bisschen Erleichterung. Das kann mag sein, das mag ich nicht ausschließen. Ich höre aber raus, es gibt jetzt seitens der DSK, aber auch bei Ihnen jetzt keine Ambitionen auf dieses Urteil hin, Webformulare von Unternehmen im Zuständigkeitsbereich oder so aktiv zu prüfen, aktiv Kontrollen jetzt da draus abzuleiten, die höre ich da nicht raus, liege da richtig? MICHAEL WILL (39:03) Ja. Nein, davon kann ich nichts berichten. Für meine Aufsichtsbehörde kann ich sagen, ich würde das nur dann aufgreifen, wenn wir dazu eine konkrete Beschwerde haben. Im Moment sehe ich für uns andere Prioritäten. Heiko Gossen (39:39) Abschließend was wäre vielleicht Ihre Empfehlung an Datenschutzbeauftragte im Unternehmen, ja weiten Teil unserer Zuhörerschaft darstellen. Wie sollten die aus Ihrer Sicht am besten jetzt damit umgehen? Wie sollten sie vorgehen? MICHAEL WILL (39:54) diesem Podcast hören, genau auf die Differenzierungen, die wir herausgearbeitet haben, achten, hoffentlich gut herausgearbeitet haben und sich dann die Frage stellen, ist mein Unternehmen denn tatsächlich in einer diesem Eisenbahnunternehmen vergleichbaren Situation? Wenn da noch Vergleichbarkeit besteht, weil wir tatsächlich bei einer jetzt nach uns Erbeider empfinden. Rechtlich will ich das nicht abschließend bewerten. Eigentlich unzeitgemäßen alleine Männlein-Weiblein-Anfrage, Herr- und Frau-Situation sind, dann ist vielleicht Zeit darüber nachzudenken und sich die erste Option einer Verteidigung aufzubauen, mit dem Feld andere den Weg zu der heute entwickelten voraussetzungslosen Widerspruchslösung aufzumachen. Gut wäre dann noch einen weiteren Blick auf meine Informationspflichten zu werfen und sich zu fragen, sagen wir da etwas über berechtigte Interessen im Zusammenhang mit diesem Datum? Dann wird das Bild rund. Solche 6.1f-Modell haben wir festgestellt. E G Rechtsprechung ist an der Stelle sehr, sehr mittlerweile und das ist auch schlüssig so. Und zum Schluss wäre noch ein Blick, wenn wir so ein 611-Modell haben, kein Einwilligungsmodell, dann natürlich auf die Widerspruchsmöglichkeit wichtig. Dann wäre es gut, dem Webseitenbauer und allen anderen zu erklären, dass diese Prozesse bitte intervenierbar sein müssen, damit ich solche Widersprüche auch tatsächlich sachgerecht prüfen kann. Das wären die drei Schritte, die ich letztlich anempfehlen würde. Heiko Gossen (41:40) herzlichen Dank. Haben wir aus Ihrer Sicht noch was Wichtiges vergessen in Bezug auf diese Entscheidung? wir irgendwas, habe ich was vergessen anzusprechen, was Ihnen aber noch auf dem Herzen liegt dabei? MICHAEL WILL (41:50) Nein, es ist, glaube ich, die Entwicklung der Rechtsprechung vor Augen zu führen, dass 6.1f jetzt keine simple Verarbeitungserlaubnis ist. Sie ist wichtig, aber sie ist mit jetzt mittlerweile immer mehr Fragestellungen verbunden. Ich würde aber gleichzeitig sehr deutlich davor warnen, zu sagen, es gibt eine Hierarchie, es gibt ein Ranking. der Verarbeitungserlaubnisse. Ich warte auf den Moment, wo die E EGH-Rechtsprechung das nochmal aufgreift. Wir sagen es ja beispielsweise in den 6.1.F-Guidelines sehr, sehr deutlich. Da gibt es keine Hierarchie, sondern es ist einfach ein anspruchsvoller Verarbeitungserlaubnis. Das wäre die Quintessenz für heute und ich glaube, die Facetten dazu haben wir in den zurückliegenden Minuten sehr, sehr herausgearbeitet. Zur Not einfach nochmal zurückspulen. Heiko Gossen (42:47) Genau, das ist immer ein guter Tipp. Ganz herzlichen Dank, Herr Will, ich kann das nur absolut bestätigen. Ich werde auch nicht müde, das immer wieder zu sagen, dass man bei den berechtigten Interessen sehr gut, sehr sauber arbeiten muss, auf was das Abwägen nachher geht. Darum geht, dass man das auch sauber dokumentiert, weil da ist im Zweifelsfall nachher wirklich der Zündstoff drin, wenn man das nicht vernünftig … MICHAEL WILL (43:09) Ich denke am Ende, dass das auch eine wunderbare erzieherische Funktion hat, das, was wir beide als unzureichend bewerten, nämlich das bloße nützliche Datenverarbeiten, weil es nett ist, weil es schon mal zu irgendwas gut sein könnte. Das vermeiden wir durch einen solchen sorgfältigen Prozess. ist für mich ein bisschen sozusagen die Meter und methodische Ebene der Entscheide. Heiko Gossen (43:34) Ja, kann ich voll unterstützen. daher freut mich, dass wir da am Ende auch auf jeden Fall mit einem Konsens rausgehen. Ich danke Ihnen ganz herzlich für Ihre Zeit, aber insbesondere natürlich auch für Ihre Sichtweise und Ihre Einschätzung aus Sicht einer Aufsichtsbehörde. Wünsche Ihnen alles Gute. Unseren Zuhörern kann ich natürlich nur raten, das zu beherzigen, auf der anderen Seite gerne auch in Austausch zu treten mit uns. Wir verlinken in den Show Notes wieder die Seite zur Themenfolge. Da sind auch gerne Kommentare gewünscht, wer dazu noch was beizutragen hat. Und ansonsten bleibt uns gewogen und auf bald. MICHAEL WILL (44:19) Herzlichen Dank für das spannende Gespräch. Alles Gute! Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk. Wie in unserem großen Jahresrückblick versprochen, wollen wir dieses Jahr wieder ein paar mehr Themenfolgen machen. Und heute haben wir ein besonders aktuelles und auch sehr praxisrelevantes Thema für euch, das europäische Gerichtshofsurteil, EuGH-Urteil vom Anfang des Jahres zur verpflichtenden Angabe der Anrede beim Online-Ticketkauf. Vielleicht ein scheinbar kleiner Fall, aber ich glaube doch mit großer Wirkung für die Praxis und dazu begrüße ich einen ausgewiesenen Experten, dessen Meinung glaube ich in Datenschutzthemen durchaus Gewicht hat. Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht. Herr Will, herzlich willkommen. Schön, hier wieder Gast sein zu dürfen. Grüße Sie. Ja, ich habe nachgeschaut. 2022 im Oktober, also vor genau zweieinhalb Jahren, waren Sie schon mal hier zu Gast. Wir hatten ja damals zum Thema Drittstaatentransfer gesprochen. Ich freue mich sehr, dass Sie heute hier sind und wir heute, wie gesagt, zu einem ganz anderen Thema mal sprechen können. Über das andere könnten wir jetzt auch ausgegeben im Anlass sprechen. Aber wir nehmen uns lieber das vor, was der EuGH schon entschieden hat. Absolut gut. Genau, das ist ein bisschen weniger spekulativ als das, was uns vielleicht noch mit USA und so weiter droht. Von daher bin ich auch dafür. Wir gehen einmal, wie gesagt, auf das Urteil der Sache Moos gegen die französische Bahn. Und in dem Urteil ging es um die Frage der verpflichtenden Angabe beim Fahrscheinkauf Herr oder Frau, was die Bahn abgefragt hatte und der Verband Moos hatte dagegen geklagt. Der Europäische Gerichtshof hat ja final entschieden, wir haben hier auch in unseren Datenschutz-News schon darüber berichtet, dass die verpflichtende Abfrage der Anrede beim Online-Ticketkauf gegen die DSGVO verstoße, genauer gesagt gegen den Grundsatz der Datenminimierung. Damit macht das Urteil, glaube ich, relativ klar, dass für die Vertragserfüllung selbst, also jetzt hier in dem Fall Transport einer Person mit der Bahn, das Geschlecht erstmal grundsätzlich nicht erforderlich ist. Ich bin ehrlich, ich habe mich bei dem einen oder anderen Online-Formular früher auch schon gefragt, warum eigentlich die Anrede wichtig ist oder wofür sie abgefragt wird, aber habe da jetzt nie deswegen irgendjemanden bemüht. Aber Herr Will, mal so ganz überspitzt gefragt, ist es jetzt eigentlich schon ein Datenschutzverstoß, wenn ich Sie mit Herr Will anspreche? Wir steigen gleich am Anfang aus. Da wir in keinem Beschäftigungsverhältnis sind, ist das Ansprechen schon gar kein Thema. Wenn wir jetzt hier unsere elektronische Umgebung dazu nehmen, dann wird die Frage schon ein bisschen spannender. Oder was wir bei Herwill merken, was wir dann merken, wenn es anders wäre, wir kommen bis hin zur theoretischen Reichweite von Artikel 9 in manchen Konstellationen. Aber das heißt noch lange nicht, dass das ein Verstoß sein muss. Aber wir sind ohne Frage im Anwendungsbereich, jedenfalls dann, wenn wir den Rest der sachlichen Voraussetzungen mit erfüllt haben. Wunderbar, vielen Dank für die erste Einschätzung. Aber vielleicht gehen wir dann doch mal ein bisschen von vorne ran und gucken einmal auf die Entscheidung, beziehungsweise nochmal ganz kurz auf den Sachverhalt, den hatte ich ja eingangs schon beschrieben. Jetzt ging es ja unter anderem darum, dass in diesem Formular von der Bahn abgefragt wurde, Herr oder Frau. Es gab keine Alternative noch dazu. Also es geht ja einmal um die Frage von eventuell auch noch anderen Geschlechtern, drittes Geschlecht. Dann haben wir auf der anderen Seite aber, und das ist glaube ich datenschutzrechtlich das, wo natürlich am Ende sehr viel Zündstoff drin liegt. Weil es ja nicht nur vielleicht um diese eine Frage geht. Ich habe ein Online-Formular bei der Deutschen Bahn oder bei einer anderen Bahngesellschaft, sondern wir sehen das ja in sehr vielen Formularen und in sehr vielen Themen, wo halt die Datenabfrage erfolgt, durchaus halt zum Zwecke einer höflichen Ansprache, Wahrung von Umgangsformen und so weiter und da hat der EuGH ja auch unter anderem ja zu Stellung genommen und vielleicht könnten Sie sagen, So mal ganz kurz aus Ihrer Sicht beschreiben, wie haben Sie das Urteil jetzt und die Entscheidungen des Europäischen Gerichtshofs in Gänze wahrgenommen und ist das etwas, womit wir uns tatsächlich beschäftigen müssen oder ist es eher ein Sturm im Wasserglas? Naja, schon aus Respekt vor dem Gerichtshof, glaube ich, sind wir absolut nicht in der Situation, dass wir sagen können, das ist unerheblich, das sollte uns nicht interessieren. Das können wir nicht einfach so als unike Entscheidung zum Jahresbeginn abheften als eine juristische Stilblüte. Wenn nicht angemessen. Was wir uns vergegenwärtigen sollten, glaube ich, ist, wir haben es mit einem Ausgangssachverhalt zu tun, der nicht mehr so ganz alltäglich ist. In Deutschland ist das jedenfalls, glaube ich, durch AGG-Recht, durch auch eine juristische Auseinandersetzung, die, glaube ich, die Deutsche Bahn am Ende geführt hatte, heute jedenfalls nicht mehr gang und gäbe, dass man neben Herr und Frau nicht noch die Alternative, keine Angabe, nicht angeboten kriegt. In Frankreich war das aber so. Dort ist nur diese einzige Option, Herr oder Frau, als Auswahlmöglichkeit zur Diskussion gestellt worden. Und insoweit war, glaube ich, sozusagen die Grundstimmung in dem Verfahren schon ein bisschen noch von mehr Fragen geprägt, als wir das bei dem Sachverhalt hätten. keine Angabe. Wo ich ganz schnell bei Ihnen bin, mit der Entscheidung auch absolut im Einklang ist, das ist kein Datum, das zwingend zu einer Vertragsdurchführung erforderlich ist. Wir hatten in der Zeit beispielsweise zur Vorbereitung des Europäischen Datenschutztags Das ist ja auch eine Datenschutzkonferenzdebatte über das Recht auf analoges Leben. Ein bisschen sensibilisiert durch solche Fragen kann man schnell erkennen. Ein Eisenbahnticket ist eigentlich nichts, was man jetzt zwingend eigentlich nur überhaupt personalisieren muss, wenn man das mit der analogen Welt vergleicht oder auch noch zusätzlich dann mit dem genauen Anredefeld noch verbinden muss. Also das ist klar. Für den EuGH sich insoweit dann nur noch die Alternative über 6.1f an. Es ist zur Kundenkommunikation erforderlich. Und da halten dann ein paar Überlegungen Einzug, die für mich ein bisschen schwieriger als Datenschutzbehörde nicht zu akzeptieren sind. Wie gesagt, das ist Respekt vor dem Gericht. Aber wo ich ahne, dass wir in Einzelverfahren Erklärungsnöte befinden, Die Erklärungsnöte beginnen dort, wo der EuGH sehr postulierend sagt, du hättest doch andere Möglichkeiten zu einer inklusiven, höflichen Kundenkommunikation gehabt. Das heißt, hier beginnen wir nicht mit einer Frage am überhaupt berechtigten Interesse an Kundenkommunikation, aber mit einer letztlich am Erforderlichkeitsgrundsatz, so wäre meine Wahrnehmung festgemachten, Debatte über geschäftlichen Stil und angemessene Umgangsformen. Und das, finde ich, ist ein Bereich, wo wir als Datenschützende so ein bisschen gerne ins Kreuzfeuer geraten, wo wir uns möglicherweise die Kritik anhören müssen. Da seid ihr jetzt aber etwas übergriffig. Das ist ein Bereich, wo ich als Datenschutzbehörde jedenfalls für den Moment einräumen muss. Da haben wir noch nie hingeguckt, ganz ehrlich gesprochen. Ich höre daraus, Sie sind an der Stelle auch so aus der Perspektive heraus nicht ganz glücklich mit den Ausführungen und vielleicht auch jetzt mit dem Thema als solchen, dass Sie sagen, ja als Aufsichtsbehörde und das ist ja das, wofür wir im Unternehmen ja genauso mit kämpfen, dass halt Datenschutz oft als der Verhinderer wahrgenommen wird, als übertrieben, als viel zu streng und das ist glaube ich an manchen Stellen einfach falsch. Ja, also da muss man jetzt ehrlich sagen, wenn man sich ernsthaft mit dem Thema auseinandersetzt, geht ja auch bei vielen anderen Fachfragen kann man sehr viel darstellen rechtlich. Manchmal ist es halt nur eine Wahrnehmung, aber hier in dem konkreten Fall wird es tatsächlich schon ein bisschen schwieriger zu erklären, dass wir da jetzt ein bisschen strenger sein müssen und nicht mehr automatisch die Abfrage in jedem Formular nach der Anrede, einfach so wie sie vielleicht früher war, dann drin haben dürfen. Wobei nochmal, ich würde es schon heute aus anderen als datenschutzrechtlichen Gründen als Standard betrachten, dass wir die Frage Herr-Frau noch mit einer weiteren Option freilassen verbinden. Das ist in Ordnung, das reflektiert unsere Rechtsordnung an ganz, ganz vielen Stellen, beispielsweise auch dem Personenstandswesen. Also da haben wir, glaube ich, eine stabile normative Vorgabe. Wo es für mich schwierig wird, wird zu sagen, es ist datenschutzrechtlich geboten, letztlich immer, das ist die Voreinstellung, ohne diese Wahlmöglichkeiten für Kundinnen und Kunden auf eine Anrede zu verzichten, generell sozusagen neutral zu kommunizieren mit einem Hallo oder bayerisch Servus, was auch immer. An der Stelle beginnt für mich so angedockt über die datenschutzrechtlich dogmatisch sicherlich verständliche Frage, braucht es dieses Datum, um dann Kommunikationsprozesse so gestalten zu können, ein Übergriff in gesellschaftliche Veränderungen. Das ist Grundumgangsform. Das ist eigentlich ein Bereich, wo ich jetzt aus einer staatsrechtlichen Perspektive sagen würde, da sind wir als Gesetzgeber eher ein bisschen gehalten davon, Abstand zu halten. Da ergibt sich klassischerweise jedenfalls, und darüber muss man uns genau unterhalten, kein so massiver Grundrechtskonflikt, dass wir da normativ einschreiten müssen. Mich erinnert das persönlich so ein bisschen an die Debatte über Rechtschreibreformen und andere Dinge, wo wir dann bis hin zum Bundesverfassungsgericht streiten mussten. Braucht es für diese Regeländerungen, denn ein Gesetzesvorbehalt, Ermächtigungen ist die Kultusministerkonferenz da überhaupt die legitime Stelle. Das ist meine Schwierigkeit, dass es dogmatisch in den Spielregeln des Datenschutzes funktioniert, diese Sachverhalte zu erfassen. Das ist ganz klar einzuräumen. Für mich ist ein bisschen die Frage, wie glaube ich auch für andere, hätte da mehr Spielraum bestanden, sich zurückzuhalten und zu sagen, das ist die Entscheidung des Verantwortlichen, wie er seine Kommunikationsprozesse gestalten möchte. Das ist bei einem Unternehmen, das ja dem ganzen Land Frankreich als Monopolunternehmen verpflichtet ist, am Ende vielleicht auch eine Frage der dortigen Verkehrssitte, der kulturellen Gegebenheiten. Hier hätte ich mich, also wäre ich genauso damit zufrieden gewesen, wenn sich der EuGH zurückgehalten hätte und dieses Argument, was er zurückgewiesen hat, die Kultur ist nichts, was datenschutzrechtlich Belang hat. Sich anders entschieden hätte. Für mich stellt sich jetzt die Frage, was muss ich damit als Datenschutzbehörde tun? Muss ich jetzt gewisse Grußformeln und Höflichkeitsformeln in Geschäftsprozessen stets und immer hinterfragen? Das ist ein bisschen das Unglück, was mich mit dieser Entscheidung plagt, vor allem, wenn dann, sobald ich hinterfrage. Dass das Thema im Raum steht, untersage ich das aufsichtlich, muss ich es sogar in Redaktionieren mit einem Bußgeld, dann geraten wir schnell in eine Ecke als Datenschützende, die Sie gerade beschrieben haben, wo wir überhaupt nicht hingehören, weil wir eigentlich, glaube ich, richtigerweise dem Individuum nutzen, seine Freiheitsräume verteidigen Und hier an der Stelle sind wir auf einem Feld unterwegs, wo sich das Individuum, wenn es denn diese dritte Alternative für ihn gäbe, eigentlich ganz gut selber verteidigen könnte. Ja, also da muss man ja eher rettend sozusagen auch für die Aufsichtsbehörden die Lanze brechen zu sagen, ja, also auch die französische Aufsichtsbehörde hatte diese Argumentation, dass man das im Rahmen der Geschäftskommunikation ja als erforderlich sieht, weil sie ja mitgegangen und hatte ja dann auch für die Bahn hier plädiert und für die Abweisung der Klage dann auch entsprechend beantragt. Ich glaube, eine kurze Zäsur, genau diese Situation, dass es sich um ein Daseinsvorsorgeangebot handelt, jemanden, der ein de facto Monopol handelt, spielt für die Bewertung der Entscheidung an der Stelle eine ganz große Rolle. Dort haben wir nicht das, was wir jetzt gerade postuliert haben, nämlich die Möglichkeitenpflicht, mit jemand anderem sein Geschäft abzuschließen. Das geht, wenn man ein Eisenbahnticket in Frankreich braucht, eben nur mit Essence. Und auf diese Weise ist meine Welt auch wieder in Ordnung. Hier hätte es diese Wahlmöglichkeit nicht gegeben und insoweit hat sie jetzt der EuGH über seine Entscheidung hergestellt. Das ist ja am Ende das Ergebnis. Wir brauchen noch einen gesonderten Prozess, um zu der Anredeentscheidung zu kommen. Jetzt haben Sie ja eben schon angesprochen, es bedarf so einer dritten Option wegen drittem Geschlecht. Ich glaube, da sind wir uns einig. ist heutzutage, eigentlich brauchen wir darüber nicht mehr diskutieren. Was mich aber auch ein bisschen irritiert hat bei dieser Entscheidung, bisher hat der Europäische Gerichtshof ja und die DSGVO hat es ja auch nicht eingegrenzt, das berechtigte Interesse, nicht sehr eng sozusagen, was Voraussetzung ist, um ein berechtigtes Interesse auch darstellen zu können. Und jetzt war ja die Argumentation auch der Bahn zu sagen, naja, die förmliche Anrede ist ja eigentlich ein eigener Zweck. Und für diesen eigenen Zweck ist es dann im Zweifelsfall auch erforderlich. Und da fand ich es persönlich jetzt aber ein bisschen schwierig, dass der Europäische Gerichtshof da gesagt hat, nee, da ist es jetzt kein legitimer Zweck mehr, weil es gibt ja eine Alternative durch diese inklusive Ansprache, die Sie ja eben auch schon erwähnt haben. Habe ich das missverstanden oder ist es tatsächlich da an der Stelle vielleicht schon auch eher ein bisschen fraglich, ob der EuGH da nicht zu weit gegangen ist, zu sagen, den Zweck weg zu diskutieren oder zu negieren ist vielleicht eher ein bisschen schwierig an der Stelle? Ja, es ist in der Tat ein Punkt der enormen Genauigkeit verlangt. Auf der einen Seite anerkennt der EuGH ganz klar das legitime Interesse an geschäftlichen Kommunikationsbeziehungen. Umgekehrt stellt er aber dann doch im Rahmen der Betrachtung von Erforderlichkeit, im Rahmen von objektiv unerlässlich Überlegungen hinsichtlich des Zwecks an. Nämlich, wie kann ich denn nur, in seinen Worten, nur diesen Zweck erreichen? Mit der Formel von der Unerlässlichkeit müssen wir zwangsläufig die Zwecksetzung des Verantwortlichen mit im Blick nehmen und mit dem Wort unerlässlich nimmt der EuGH, finde ich, etwas anderes als unser klassisches Merkmal der Erforderlichkeit im Blick. Das ist etwas, wo wir schon nochmal der Schraube an der Stelle eine Drehung mehr geben, in meinen Augen. Ich weiß, dass wir auch in den Papieren des Europäischen Datenschutzausschusses bzw. Vorher noch der Working Party 29 auch ein restriktives Verständnis von Erforderlichkeit hatten. Das ist glaube ich auch für die Praxis ganz wichtig, erforderlich nicht mit irgendwo nützlich sich zu übersetzen, sondern das müssen sehr tragfähige am Ende in einer Abwägung auch hinreichende Grundlagen. Was der EuGH aber hier tut, ist, er setzt sich vollkommen an die Stelle des Verantwortlichen, wenn es die Betrachtung der zu erreichenden Zwecke geht und damit findet nochmal etwas statt, was wir vorhin schon kurz berührt haben, nämlich der Übergriff in eine Ansicht. Anderen Rechtsverhältnissen vom Staat nicht notwendigerweise zu regulierenden Freiheitsräumen. Es ist in meinen Augen ein bisschen schwierig, wenn sich der Staat vornimmt, wirklich beliebigerweise Unternehmen vorzuschreiben, wie sie mit ihren Kundinnen und Kunden zu kommunizieren haben. Und das kann in einem lockeren Jugendladen etwas ganz anderes sein, als stellen wir uns beispielsweise ein hochdistinguiertes Finanzgeschäft vor irgendjemanden, der super hochwertige, meinetwegen Konfektionsherrenmodel vertreibt oder sonst jemanden. Hier würde ich den Verantwortlichen eigentlich gerne mehr Spielräume zu bestehen wollen, über die Art und Weise, wie sie Kommunikation betreiben wollen, letztlich auch das Erscheinungsbild ihres Geschäftes mitzubestimmen. Das Element, das Sprache auch ausmacht, geht beim EuGH ein bisschen mit dieser sehr nüchternen Brille des Datenschutzes unter. Das ist für mich nicht nur erfreulich. Also, dass wir bei der Erforderlichkeit strenger sein müssen als nützlich, gehe ich völlig mit. Ich glaube auch, dass das halt etwas ist, was sicherlich in der Praxis oft vielleicht ein wenig lax gehandhabt wurde in der Praxis. Das habe ich auch hier und da beobachtet. Deswegen, also das kann ich durchaus verstehen. Ich denke auch, dass wir die berechtigten Interessen immer mal kritisch hinterfragen sollen. Ist es halt wirklich am Ende die Abwägung so, wie man sie sich wünscht oder ist es vielleicht dann doch eher vom Wunsch getrieben. Aber was ich halt auch wahrnehme, ist halt, dass der Europäische Gerichtshof schon bei dem ganzen Thema, also man hat so ein bisschen das Gefühl, und das hatte ich bei diesem Urteil auch, dass der Europäische Gerichtshof schon die Einwilligung als erstes Mittel auf jeden Fall sieht und deswegen halt auch gerade bei dem 6.1.f doch sehr, sehr, sehr, sehr, sehr kritisch geworden ist und sagt im Zweifelsfall, tut es dann doch die Einwilligung. Spüren Sie das auch? Sehen Sie da eine Veränderung auch in dem, wie wir den 61F anwenden können in der Praxis? Also ich nehme letztlich seit der Meta-Bundeskartellamtsentscheidung wahr, dass das diese Sorge ganz viele umtreibt. Bei der Meta-Bundeskartellamtsentscheidung hatte ich noch ein bisschen die Formel, die beim EuGH jetzt mittlerweile auftaucht, nämlich dass die übrigen Erlaubnistatbestände eng zu interpretieren seien, ehrlich gesagt noch nicht so ganz ernst genommen. Habe aber insbesondere Brüssel, also im großen europäischen Rahmen, auch aus internationaler Betrachterperspektive, da schon wirklich die deutliche Furcht wahrgenommen. Das ist ein Vorrang der Einwilligungskonzept. Das hat sich jetzt in der Judikatur des vergangenen Jahres irgendwo so langsam als neue Tonlage eingefunden. Wenn Sie an die Tennisbond-Entscheidung denken, an die neunte Kommanditgesellschaft, immer hatten wir an der Stelle die Frage, gibt es noch alternative Wege, mit denen der Verantwortliche trotzdem zu seinem Ziel, der einen Stelle Werbetreibende zu informieren, an der anderen Stelle Kontakt herzustellen, erreichen kann. Was der EuGH nie gemacht hat, nach meiner Wahrnehmung, ohne dass ich jetzt wirklich sämtliche Sprachfassungen vergleichen könnte, dass so habe ich nicht die Fähigkeit ist, er hat an der Stelle nie sozusagen gefragt, geht das anstelle dessen auch mit einer Einwilligung. Er hat beispielsweise bei der 9. Kommanditgesellschaft immer nach dem Einverständnis der anderen Gesellschaft gefragt. Trotzdem, auch da wieder, es ist ein… Es ist ein strenger Betrachten und mit dem Gebot, Dinge, die die übrigen Verarbeitungsbefugnisse eng auszulegen, klingt ja ein Satz an, den wir aus der Methodik kennen. Eng muss ich immer Dinge auslegen, die Ausnahmetatbestände darstellen. Und insoweit, glaube ich, ist sich der Gerichtshof irgendwo auch latent bewusst, er bringt es nur nicht zu Papier. Dass er an der Stelle von einem Verständnis von auch Artikel 8 Grundrechtecharta scheint ihm das vorzugeben, der Einwilligung als Regelsachverhalt ist, die Datenflüsse erlaubt und allem anderen eher so die Rechtfertigungserfordernisse mitgibt. Also das klingt nach Artikel 52 Grundrechtecharta und vielem anderen. Und damit sind wir auf einem Weg, der für eine an Datennutzung orientierte Rechtsordnung maßgeblich sein wird, weil wir sehr oft mit personenbezogenen Daten zu tun haben, der schwierig werden wird. Wir müssen so oft im Moment mit insbesondere den neuen Rechtsakten, dem Data Act, der KI-Verordnung auf 6.1f-Konstruktionen zurückgreifen, weil uns der Gesetzgeber an der Stelle ein bisschen mutlos geblieben ist, weil er nicht eigene, im öffentlichen Interesse sehr mögliche Verarbeitungsbefugnisse geregelt hat, dass das mit diesen Anforderungen ziemlich spannend werden wird. Wie werden wir bei einem KI-Training denn nachweisen, dass dieser spezifische Datensatz tatsächlich objektiv unerlässlich ist, um zu einer guten KI zu kommen? Das sind verständliche Fragen, die jetzt im Raum stehen. Neben anderen, die der EuGH auch in dieser Entscheidung auch noch mit angetippt hat, aber wir haben ja noch ein bisschen Zeit. Genau, da würde ich direkt mal auch drauf kommen, weil es ging ja dann auch unter anderem um die Frage, wenn wir das berechtigte Interesse heranziehen würden, können und dann aber in den Artikel 13 Informationen, den das berechtigte Interesse nicht genannt haben, hat der EuGH, so in meiner Lese hat er gesagt, dann ist die Datenverarbeitung schon unzulässig. Heißt also, dass wir die Datenschutzhinweise ja in den Unternehmen durchaus jetzt alle wahrscheinlich nochmal kritisch prüfen sollten. Das ist zumindest das, was wir unseren Kunden auch empfehlen. Sehen Sie das ähnlich und würden Sie auch in letzter Konsequenz sagen, ja, wenn es halt nicht drin steht, ist die Datenverarbeitung unzulässig, ich muss die Daten löschen? Das ist die Konsequenz. Das ist auch schon vorher da gewesen. Weg zurück in die Meta-Bundes-Kartell-Amtsentscheidung, wo ja der EuGH gewissermaßen die ganze Klaviatur der Erlaubnistatbestände durchspielen dürfte. Insoweit geht das noch klarer zurück auf die Schlussanträge des Generalanwalts. Jetzt nur eine Bestätigung dieses Ansatzes. Es löst ohne Frage, wenn man sich auf den Blick in die Praxis dann verlegt, Unbehagen aus. Dogmatisch finde ich es allerdings überzeugend. Was ich bei vielen 6.1f-Konstruktionen vermisse, ist das Eingeständnis, wenn ich den Weg über 6.1f gehe, brauche ich eine intervenierbare, Datenverarbeitung, weil der 6.1f-Weg immer in Begleitung mit Artikel 21 zu gehen ist. Das heißt, ich muss dem Betroffenen ein Widerspruchsrecht einräumen. Ich muss in der Lage sein, zu prüfen, Datenverarbeitung auch für die Zeit meiner Prüfung auszusetzen. All das. Eingebettete Logik, bei der ich in der Praxis manchmal das Gefühl habe, da stehen bestenfalls Formeln, ob es tatsächlich so funktioniert, weiß ich nicht immer. Und wenn man sich das anschaut, dass der Einzelne eine Widerspruchsmöglichkeit hat, übrigens interessanterweise ja seit der Grundverordnung sogar dann, wenn ein öffentliches Interesse, also 6.1e, die Datenverarbeitung legitimiert. Das ist, finde ich, ein ziemlich steiler Ansatz. Also der Gesetzgeber hat erst entschieden, eine Datenverarbeitung ist sozusagen im öffentlichen Interesse zumindest gewollt und jemandem zugewiesen. Und dann gibt es trotzdem möglicherweise überragende Individualinteressen. Damit haben wir einen sehr weitreichenden Schutz. Und dieser sehr weitreichende Schutz kann nur funktionieren, logisch betrachtet, wenn der Einzelne weiß, mit was er sich da denn zu messen hat. Und dazu sind die Informationspflichten nach Artikel 13 da. Also das, finde ich, ordnet sich schlüssiger in die Gesamtwelt ein, steht aber ohne Frage im Widerspruch zu so zumindest einigen, was wir in der Praxis immer wieder anschauen dürfen. Das Widerspruchsrecht nach 21, weil Sie es gerade ansprechen, ist auch bei uns in der Praxis manchmal durchaus ein kontroverser Diskussionspunkt. Was sind die Anforderungen an den Hinweis auf dieses Widerspruchsrecht? Weil Artikel 21 spricht da ja schon von einem sehr konkreten Hinweis. Wie ist also Ihre Wahrnehmung? Wird der immer eingehalten und was sind auch Ihre Erwartungen eigentlich an so einen Widerspruchshinweis? Reicht der, wenn ich den Artikel 13 Informationen mit einbaue oder ist es doch was, wo ich den Nutzer ein bisschen mit der Nase draufstoßen muss? Mir fällt immer auf, dass Artikel 21 tatsächlich ein bisschen schwächer am Ende in den Anforderungen ausgestaltet ist, als die Widerruflichkeit der Einwilligung. Das, glaube ich, ist so der erste Ausgangspunkt. Also das heißt, wir müssen nicht wie bei Cookies so den Mechanismus auf derselben Ebene anbringen. Aber wir sollten ihn auch nicht verstecken, irgendwo in den sonstigen Informationen unterbringen. Dahinter sollte jedenfalls, das wäre meine Anforderung, ein klarer Prozess stehen. Und da habe ich immer wieder die Bestätigung bekommen, naja, wir haben das zwar hier reingeschrieben, aber im Grunde wissen wir gar nicht, wie wir unsere Systeme stoppen und am Ende überprüfen sollten, wenn es um den einzelnen Datensatz geht. Auch da wieder überlegen Sie sich, was das im Kontext eines 6.1f-basierten KI-Trainings bedeutet. Was ist, wenn unser Journalist, der Herr Bernklau, den der Co-Pilot am Ende irgendwie statt als forensischen Journalisten als Täter identifiziert hat, sagt, Für meinen Datensatz habe ich jetzt nicht nur irgendwo einen Berichtigungsanspruch, sondern ich bin hier über 6.1.f. Reingekommen. Da habe ich auch ein Widerspruchsrecht, ich will stärker geschützt werden. Schafft das tatsächlich ein solcher Vorgang? Da habe ich ernsthafte Sorgen, dass das technisch umgesetzt ist. Die formalen Anforderungen würde ich nicht zu hoch setzen. Wie gesagt, sie sind andere als bei der Einwilligung. Es würde für mich beispielsweise auch einleuchten, wenn man dort, wo man seine berechtigten Interessen erklärt, dann an der Stelle auch darauf hinweist, wenn sie meinen, ihre Interessen gegenläufiger Art sind höherwertig, dann haben sie hier den Widerspruchsprozess. Das ist eigentlich für den Betroffenen eine sehr systematisch, sozusagen aus seiner Perspektive stimmige Art, das umzusetzen. Ich würde jetzt nochmal zu der Entscheidung zurückkommen, weil das, was ich ja eingangs so ein bisschen auch provokant gefragt habe, stellt uns natürlich in der Praxis jetzt durchaus vor Herausforderungen. Was bedeutet es wirklich für die geschäftliche Kommunikation, gerade im B2B-Umfeld oder da, wo ich einen persönlichen Kontakt mit jemandem habe, den ich weiterhin mit sehr geehrter Herr oder sehr geehrter Frau ansprechen möchte und die bisher sich auch nie beschwert hat? Müssen wir unseren Kunden sagen, nee, das geht auch nicht mehr und schreibt nur noch guten Tag, Michael Wöll? Ja, das ist ehrlich gesagt das Szenario, vor dem ich Angst habe. Das ist ungefähr so wie Mai, Juni 2018, als tonnenweise Briefe bei uns in den Postkästen landeten, immer mit der Erklärung, wir brauchen jetzt neue Einwilligungen, das ist das neue Datenschutzrecht, was das jetzt vorschreibt. Wir wissen, wie viel davon tatsächlich falsch war, unbegründet war und genauso würde ich jetzt meinen, dass in der bestehenden Vertragsbeziehung die Notwendigkeit da ist, alles umzustellen und das dann am Ende auch noch mit einer Formel, das ist wegen des Datenschutzes, zu begründen. Das ist nicht der Fall, den der EuGH entschieden hat. Das muss man ganz klar sagen, während der EuGH hat den Fall eines Daseinsvorsorgeunternehmens mit letztlich Massenkommunikation, ihr anderes Beispiel, zu untersuchen gehabt. Insoweit andere Lage, wo wir vielleicht auch über 6.1b reden können, springt mir am Ende vielleicht der Kunde ab, wenn ich ihn gar nicht mehr persönlich anschreibe und reagiert auch gar nicht mehr auf das, was ich ihm als Teil der vertraglichen Kommunikation jetzt mitteilen möchte. Würde ich anders betrachten. Wo wir tatsächlich hingucken müssen, und das ist jetzt die unangenehme Wahrheit, der wir uns stellen müssen, ist der Auftakt für… Sonstige Kommunikationsbeziehungen vor allem auf Internetschnittstellen, da sind wir jetzt doch bei der Konsequenz aus der Entscheidung, bei der Notwendigkeit angekommen. Wir müssen den Leuten eine Wahl lassen und Wahl lassen bedeutet in der Welt der Datenschutzgrundverordnung, das sind Einwilligungsprozesse. Haben Sie eine andere Idee, wie wir das stabil abbilden können, wenn wir es nicht weglassen? Ich habe noch keine bekommen. Ich kenne einen Beitrag, der sich jetzt demnächst in der ZD damit beschäftigen wird, dem ich sehr zustimmen kann. Der zieht auch die Schlussfolgerungen. Das sind dann letztlich ja offenkundig Einwilligungsprozesse. Es ist jedem klar, zu welchen Zwecken hier auch dann die Daten weiterverarbeitet werden müssen. Für mich ist das noch nicht so ganz das Ende. Wir müssen doch noch über die Widerruflichkeit der Einwilligung etwas sagen. Und vielleicht müssen wir auch sozusagen das Kontextverständnis unserer Kundinnen und Kunden zumindest durch ein klein bisschen Text unterstützen. Wir hätten gerne zu Zwecken unserer weiteren geschäftlichen Kommunikation hier eine Anredeentscheidung von Ihnen. Sie können sie da und dort jederzeit widerrufen. Das ist jetzt, glaube ich, die Aufgabe in so Essence-CF-vergleichbaren, ich nenne es mal Portalsituationen, wo wir auf eine unbestimmte Zeit hinweg Kommunikation miteinander unterhalten und etablieren wollen. Also ich habe durchaus darüber nachgedacht. Ich habe noch keine bessere Antwort gefunden. Tut mir leid. Das ist im Moment jenseits des Abgrenzens zu ihren B2B-Szenarien die einzig datenschutzrechtlich wirklich formal stabile Antwort, die ich Ihnen geben kann. Ja, wobei ich mich halt schon frage, ob man nicht das, was der EuGH vielleicht dann auch nicht so ganz ausführlicher beschrieben hat, zu sagen, wie sieht es denn wirklich aus, wenn ich jetzt mal von vorne bis hinten durchgehend diesen eigenen Zweck sauber definiere, zu sagen, ich habe schon ein berechtigtes Interesse, dass ich eine Kundin quasi nach nationalem Standard üblich auch anrede, also dass es vielleicht ich mir ein bisschen mehr Gedanken darüber mache, dass ich diesen Zweck sauber definiere. Dann durchaus natürlich sage, wenn das der Zweck ist, warum ich dieses Datum erhebe, ich das in den Datenschutzhinweisen richtig kenntlich mache, das Widerspruchsrecht entsprechend kenntlich mache, ob ich dann nicht über auch ja eine tatsächliche Erforderlichkeit dahin komme zu sagen, ich muss dann für das umzusetzen, auch natürlich das Geschlecht wissen oder was der Kunde wünscht, wie in welchem Geschlecht er zugeordnet werden möchte. Wäre dann aber durchaus natürlich sinnigerweise auch an der Stelle zu sagen, wenn er es halt nicht möchte, dann lasse ich ihm aber auch eine Option zu sagen, du kannst es auch einfach nicht angeben. Aber dann ist es so eine Mischform eigentlich aus Berechtigtem Interesse und auf der anderen Seite aber auch einer sehr einfachen Umsetzung des Widerspruchsrechts, indem ich halt einfach sage, ich will weder non-binär noch Herr oder Sie, Herr oder Frau angesprochen werden, sondern ganz einfach schlussendlich, ich will es nicht angeben. Man könnte sich nun auch die Frage stellen, ist das, was Sie gerade schildern, erstens eine andere Fallgruppe, ich war jetzt in meinem Portalbeispiel wirklich von nicht besonders interessiert. Qualitativ eingrenzbaren Kommunikationsbeziehungen ausgegangen, wenn ich ein Geschäftsmodell habe, das ich so mit besonderen Zwecken aufladen kann. Ich habe vorhin schon so ein bisschen sozusagen die Atmosphäre zu beschreiben versucht. Irgendeine exklusive Dienstleistung, einen Rahmen, wo ich eben die genaue persönliche Ansprache von Kundinnen und Kunden als besonderes Merkmal meines Geschäfts habe. Bankumfeld, andere existenziellere Entscheidungen oder irgendetwas, wo es um Wertigkeiten geht. Kann ich mir das vorstellen? Und dann können wir uns noch mit der anderen datenschutzrechtlichen Frage beschäftigen. Ist das Feld freibleibend andere vielleicht der voraussetzungslose Widerspruch in so einem 6.1f-Modell? Dann wären wir auch wieder in ganz anderen Fragen, als sie der EuGH entschieden hat. Denn französische Eisenbahn, das ist ja auch ein kurzer Abschnitt in der Entscheidung, hat ja offenbar nur ein lapidares Artikel 21 Verfahren angeboten und der EuGH hat dazu recht zurückgewiesen, dass das in irgendeiner Weise die schutzwürdigen Interessen der Betroffenen relativieren würde. Unser Beispiel wäre aber mit dem anderen Feld sozusagen das Opt-out. Ich will keine Anrede. Und damit hätten wir etwas, was die betroffenen Rechte sicherlich, das ist klare Dogmatik, haben wir an verschiedenen Stellen, noch mit einer besonderen Schutzvorkehrung ausstattet und was sich vielleicht dann für die verantwortlichen Seite dann sozusagen gewichtserhöhend auswirkt. Also ja, halte ich am Ende auch noch für einen genauso diskutablen, gangbaren Weg. Sie sind ja Leiter einer Aufsichtsbehörde. Wir haben eben das Eingangs ja auch schon mal ganz kurz angerissen. Wie sieht es da aus? Also ist das ein Thema auch zwischen Ihnen und den anderen deutschen Aufsichtsbehörden? Ist es eventuell gar ein Thema auch im Europäischen Datenschutzausschuss? Gibt es darüber auch einen Austausch und eine gemeinsame Position? Wir tauschen uns über ganz, ganz vieles aus, sehr, sehr regelmäßig, anders als das verbreitete Narrativ von Unabgestimmtheit und gar Divergenzen, aber ehrlicherweise über diese Frage haben wir uns noch nicht ausgetauscht. Ich kann mir allerdings vorstellen, dass sie eine Bedeutung haben wird, wenn wir jetzt, das Konsultationsverfahren ist ja zu Ende, über die Version 2.0 der Guidelines zu berechtigtem Interesse reden. Die sind ja rausgekommen in der Zeit, wo die EuGH-Rechtsprechung unglaublich ertragreich war, gerade zu diesem Thema und insoweit wäre meine Erwartung, dass wir spätestens dann, wenn wir da über Änderungsbedarfe reden, dann uns auch über die Auswirkungen der Temusch-Entscheidung. Ich habe mal spaßeshalber eine KI meiner Wahl gefragt, wie denn so im europäischen Umfeld diese Entscheidung in Foren und in sozialen Medien diskutiert wird. Interessanterweise, also erstmal wenig überraschend glaube ich in Frankreich. Frankreich liegt ganz vorne bei diesem Ranking, Deutschland schon auf Platz zwei. Was ich aber sehr überraschend fand, tatsächlich das Verein Königreich liegt dann schon auf Platz drei. Das ist schon nur noch halb so intensiv wie in Frankreich, aber immerhin. Und dann nimmt es ab über Spanien, Italien, Niederlande und das einzige Land, wo es dazu irgendwie gar keine Diskussionen gab, ist Bulgarien. Es bestätigt ein Bild, das wir immer haben, wenn Sie beispielsweise in die EDPB-Statistiken über Fallzahlen gucken, dann ist da Deutschland immer ganz führend. Kritische Geister mögen jetzt sagen, naja, das liegt daran, dass er so viele Aufsichtsbehörden hat. Die produzieren so nach dem Lüchow-Dannebergs-Satz der Kriminalisten dann auch besonders viele Fälle, aber das meint die Statistik ja gar nicht. Wir haben, glaube ich, eine hohe Sensitivität für Datenschutzthemen. Wir haben, glaube ich, auch eine gute Diskussionskultur darüber. Das passt dazu. Frankreich ist umgekehrt ein Land, das natürlich jetzt oberflächlich betrachtet betroffen war. Das aber jetzt vielleicht in besonderer Weise auch sprachlich sensibel genau für diese Fragestellungen ist. Denn dort, wenn wir allein in die Grammatik gucken, spielt ja die genaue Zuordnung von Maskulinum, Femininum dann eine entscheidende Rolle. Also überrascht mich beides nicht. Richtig erstaunt bin ich in der Tat über den Befund, was den angelsächsischen Sprachraum betrifft. Da hätte ich gedacht, da spielen diese Details der Anrede, die wir in der deutschen und französischen Sprache so super zeseliert ausgebildet haben, irgendwie weniger große Rolle und deshalb auch diese Fragestellung. Vielleicht ist es auch die Perspektive auf, wir sind Gott sei Dank da draußen und wir sind ein bisschen unabhängiger von dieser manchmal überraschenden Rechtsprechung des EuGH. Vielleicht ist da also ein klein bisschen sozusagen Brexit-Applaus dann auch mit. Erleichterungen, das kann mag sein, das mag ich nicht ausschließen. Ich höre aber raus, es gibt jetzt seitens der DSK, aber auch bei Ihnen jetzt keine Ambitionen auf dieses Urteil hin, Webformulare von Unternehmen im Zuständigkeitsbereich oder so aktiv zu prüfen, Aktivkontrollen jetzt daraus abzuleiten, die höre ich da nicht raus. Liege ich da richtig? Davon kann ich nichts berichten. Für meine Aufsichtsbehörde kann ich sagen, ich würde das nur dann aufgreifen, wenn wir dazu eine konkrete Beschwerde haben. Im Moment sehe ich für uns andere Prioritäten. Abschließend, was wäre vielleicht Ihre Empfehlung an Datenschutzbeauftragte im Unternehmen, die ja einen weiten Teil unserer Zuhörerschaft darstellen? Wie sollten die aus Ihrer Sicht am besten jetzt damit umgehen? Wie sollten sie vorgehen? Diesen Podcast hören, genau auf die Differenzierungen, die wir herausgearbeitet haben, achten, hoffentlich gut herausgearbeitet haben und sich dann die Frage stellen, ist mein Unternehmen denn tatsächlich in diesem Eisenbahnunternehmen vergleichbaren Situation? Wenn da noch Vergleichbarkeit besteht, weil wir tatsächlich bei einer, jetzt nach unserer Beider empfinden, rechtlich will ich das nicht abschließend bewerten, eigentlich unzeitgemäßen alleine Männlein-Weiblein-Anfrage, Herr- und Frau-Situation sind, dann ist vielleicht Zeit darüber nachzudenken und sich die erste Option einer Verteidigung aufzubauen mit dem Feld Andere, den Weg zu der heute entwickelten voraussetzungslosen Widerspruchslösung aufzumachen. Gut wäre dann, noch einen weiteren Blick auf meine Informationspflichten zu werfen und sich zu fragen, sagen wir da etwas über berechtigte Interessen im Zusammenhang mit diesem Datum, dann wird das Bild rund. Und dass ein solches 6.1f-Modell dann bräuchte, haben wir festgestellt. EuGH-Rechtsprechung ist an der Stelle sehr, sehr klar mittlerweile und das ist auch schlüssig so. Und zum Schluss wäre noch ein Blick, wenn wir so ein 6.1f-Modell haben, kein Einwilligungsmodell, dann natürlich auf die Widerspruchsmöglichkeit wichtig. Dann wäre es gut, dem Webseitenbauer und allen anderen zu erklären, dass diese Prozesse bitte intervenierbar sein müssen, damit ich solche Widersprüche auch tatsächlich sachgerecht prüfen kann. Das wären die drei Schritte letztlich, die ich anempfehlen würde. Herzlichen Dank. Haben wir aus Ihrer Sicht noch etwas Wichtiges vergessen in Bezug auf diese Entscheidung? Haben wir irgendwas, habe ich was vergessen anzusprechen, was Ihnen aber noch auf dem Herzen liegt dabei? Nein, es ist, glaube ich, wichtig, sich die Entwicklung der Rechtsprechung vor Augen zu führen, dass 6.1f jetzt keine simple Verarbeitungserlaubnis ist. Sie ist wichtig, aber sie ist mit jetzt mittlerweile immer mehr Fragestellungen verbunden. Ich würde aber gleichzeitig sehr deutlich davor warnen zu sagen, es gibt eine Hierarchie, es gibt ein Ranking der Verarbeitungserlaubnisse. Ich warte auf den Moment, wo die EuGH-Rechtsprechung das nochmal aufgreift. Wir sagen es ja beispielsweise in den 6.1f-Guidelines sehr, sehr deutlich, da gibt es keine Hierarchie, sondern es ist einfach ein anspruchsvolles Verarbeitungserlaubnis. Das wäre die Quintessenz für heute und ich glaube, die Facetten dazu haben wir in den zurückliegenden Minuten sehr, sehr gut herausgearbeitet. Zur Not einfach nochmal zu reden. Genau, das ist immer ein guter Tipp. Ganz herzlichen Dank, Herr Will. Ich kann das nur absolut bestätigen. Ich werde auch nicht müde, das immer wieder zu sagen, dass man bei den berechtigten Interessen sehr gut, sehr sauber arbeiten muss. Auch was das Abwägen nachher geht, darum geht, dass man das sauber dokumentiert. Weil da ist im Zweifelsfall nachher wirklich der Zündstoff drin, wenn man das nicht vernünftig gemacht hat. Ich denke am Ende, dass das auch eine wunderbare erzieherische Funktion hat. Nämlich das, was wir beide als unzureichend bewerten, nämlich das bloße nützliche Datenverarbeitung, weil es nett ist, weil es schon mal zu irgendwas gut sein könnte. Das vermeiden wir durch einen solchen sorgfältigen Prozess. Das ist für mich ein bisschen sozusagen die Meta- und methodische Ebene der Entscheidung. Ja, kann ich voll unterstützen. Von daher freut mich, dass wir da am Ende auch auf jeden Fall mit einem Konsens rausgehen. Ich danke Ihnen ganz herzlich für Ihre Zeit, aber insbesondere natürlich auch für Ihre Sichtweise und Ihre Einschätzung aus Sicht einer Aufsichtsbehörde. Wünsche Ihnen alles Gute unseren Zuhörern kann ich natürlich nur raten einmal das zu beherzigen auf der anderen Seite gerne auch in Austausch zu treten mit uns wir verlinken in den Shownotes wieder die Seite die zur Themenfolge da sind auch gerne Kommentare, gewünscht wer dazu noch was beizutragen hat und ansonsten bleibt uns gewogen und auf bald herzlichen. Dank für das spannende Gespräch alles Gute. Der Beitrag Verwendung der Anrede nach dem EuGH-Urteil C-394/23 – Michael Will im Datenschutz Talk Podcast erschien zuerst auf migosens .…

Der Datenschutz Talk

1
USA-Reisen nur noch mit Wegwerfhandys - DS News KW 16/2025 20:31

vor 6 weeks20:31

20:31

Was ist in der KW 16 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? 1. Themenfolge 2025 mit Michael Will LG Hamburg (Beschluss vom 04.03.2025, Az. 625 Qs 6/25 OWi (juris)): Bußgeldverfahren, Bewilligung der Herausgabe von Teilen des erlassenen Bußgeldbescheids Schutz personenbezogener Daten über strafrechtliche Verurteilungen EuGH (Urteil vom 07.03.2024 – C-740/22 , Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 2 und Art. 86 DSGVO) Facebook & Instagram: Widerspruchsmöglichkeiten bei Metas KI-Training jetzt prüfen DPC leitet offizielle Untersuchung gegen X ein: KI-Chatbot Grok EU-Kommission:USA-Reisen nur noch mit Wegwerfhandys Empfehlungen: F r agebogen zur europaweiten Prüfaktion zum Recht auf Löschung ist online Gegenstand öffentlicher Konsultation: Leitlinien 02/2025 zum Umgang mit personenbezogenen Daten in Blockchain-Technologien Aktualisierung der Hilfeseite zu TikTok: Checkliste zum Einsatz von Tik Tok für öffentliche Stellen Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/usa-reisen-nur-noch-mit-wegwerfhandys-ds-news-kw-16-2025/↗ Transkript zur Folge: Okay, wir laufen. Also das Band läuft. Nein, es ist gar kein Band. Was habe ich jetzt gemacht? Was hast du gemacht? Du hast aber, Entschuldigung, alles weg, Internet gelöscht. Es ist wieder da. Gut, danke schön. Bitte, gerne. Legen wir los. Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Heute ist Donnerstag, der 17. April 2025. Mein Name ist Heiko Gossen und ich begrüße meine wunderbare Kollegin Laura Droschinski an meiner Seite. Hallo Laura. Hallo Heiko. Unser Redaktionsschluss war bereits gestern um 18 Uhr, weil wir heute sehr früh aufnehmen müssen. Denn es stehen ja die Ostertage an. Und von daher ist es natürlich auch naheliegend, dass wir nicht am Freitag veröffentlichen, weil das ist ein bundesweiter Feiertag, sondern am Donnerstag. Ihr Service-Podcast. Gut, dass wir es hier nochmal gesagt haben. Richtig. Nicht, dass einer morgen früh aus Versehen zur Arbeit fährt. Das wollen wir natürlich gerne unterstützen, dass jeder seinen freien Tag genießen kann, der ihn denn genießen darf und kann. Ich habe eine Neuigkeit, Laura, vielleicht bevor wir zu unseren Themen kommen. Oh, ein Ostergeschenk. Ein Ostergeschenk quasi. Wir werden es nicht mehr vor Ostern schaffen zu veröffentlichen, aber ich hoffe in der nächsten Woche, also in der Osterwoche, unsere erste Themenfolge für dieses Jahr. Und wie ich finde auch direkt eine zu einem spannenden Thema, was uns in den letzten Monaten hier und da ja auch schon beschäftigt hat, ist nämlich die Frage der Anrede und wann dürfen wir die denn noch erheben, wie dürfen wir sie verwenden. Und dazu habe ich niemand Geringeren als den Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will, gewinnen können. Und wie gesagt, wenn alles gut läuft, dann gibt es die Folge im Laufe der nächsten Woche auf die Ohren. Ich persönlich freue mich sehr drauf. Das Thema haben wir ja kontrovers diskutiert, nicht nur bei uns intern, müssen wir dazu sagen, sondern natürlich auch mit unseren Mandanten, mit unseren Kunden. Ich glaube, das ist fast an keinem Datenschützer vorbeigegangen, das Thema, oder? Ich hoffe zumindest, weil es ist ja nicht ganz ohne. Also es steckt ja schon ein bisschen Potenzial drin. Wenn man es ignoriert und nicht irgendwie sich mit dem Unternehmen anschaut, hat man natürlich auch Risiken. Deswegen ist da jedem, glaube ich, Datenschützer anzuraten, dass man das sich mal anschaut. Oder die Folge hört. Besser die Folge hört. Ja. Okay. Wir haben aber ein paar Themen für heute auch. Natürlich auch, wenn es eine kurze Woche war, ist es was passiert. Absolut. Was hast du mit dabei, Laura? Trotz der kurzen Woche, du hast es schon gesagt, ist trotzdem ein bisschen was passiert. Oder wir haben ein paar Themen zusammenbekommen die letzten Tage. Zu Beginn einmal habe ich ein Urteil mitgebracht aus Hamburg zum Thema Veröffentlichung von Bußgeldbescheiden. Außerdem geht es bei mir heute noch um den Widerspruch in KI-Modelle oder die Verarbeitung der Daten in KI-Modelle bei Meta. Und ich habe das Top-Thema auf dem Zettel, nämlich inwieweit es dann erforderlich ist, mit Backwerf-Handys in die USA zu reisen. Und zu guter Letzt natürlich auch für das lange Wochenende, wie es sich gehört, ein Liesetipp. Dann hätte ich dabei einmal einen Blick auf die EuGH-Entscheidung zum Thema DSGVO und Gerichte. Was muss denn ein Gericht bei der Herausgabe von strafrechtlich relevanten Sachverhalten beachten? Dann gucken wir noch auf die irische Aufsichtsbehörde und ein Verfahren gegen die KI von Musk und auch zwei Veröffentlichungen hätte ich noch mit dabei. Dann, Laura, leg doch mal los. Ja, du hast ja schon gerade gesagt, du hast was auf dem Zettel, was Gerichte beachten müssen. Und ich habe was auf dem Zettel, was Aufsichtsbehörden beachten müssen bei der Verarbeitung von personenbezogenen Daten. Denn das Landgericht Hamburg hat entschieden, dass die Offenlegung wesentlicher Informationen eines Bußgeldbescheids datenschutzrechtlich zulässig ist, wenn sie der beschwerdenführenden Person denn dienen. Der Bußgeldbescheid muss dabei jedoch nicht in Gänze zur Verfügung gestellt werden. Was ging dem Beschluss voran in Hamburg? Der Beschwerdeführer war von einer Datenschutzverletzung betroffen und wollte eben anhand der nicht veröffentlichten Bescheiddaten prüfen, inwieweit seine Rechte und Freiheiten tatsächlich verletzt wurden. Da er sich selbst in einem laufenden Klageverfahren mit dem Unternehmen befand. Wollte er die Information zur Festigung seiner Argumentation heranziehen und beantragte eben die Offenlegung des Bußgeldbescheids, wogegen man sich auf der anderen Seite wehrte. Konkret kommt nun das Landgericht Hamburg in seinem Beschluss zum Ergebnis, dass die Information der betroffenen Person über den Ausgang eines Datenschutzbeschwerdeverfahrens durchaus grundsätzlich als zulässig einzustufen ist. Das Gericht macht dabei deutlich, dass die Datenschutzaufsichtsbehörde im Rahmen ihres gesetzlichen Auftrags handelt, wenn sie eben die betroffene Person darüber informiert, welche Maßnahmen sie aufgrund einer berechtigten Beschwerde ergriffen hat. Die Offenlegung darf dabei allerdings nicht unverhältnismäßig sein, also insbesondere darf der vollständige Bußgeldbescheid nicht ohne Prüfung pauschal weitergeleitet werden. Die Datenschutzaufsicht darf Auszüge oder Inhalte aus Verfahren mitteilen, solange dies eben zweckbezogen und verhältnismäßig erfolgt. Laut Aussage des Gerichts genügt es vielmehr, dass der Beschwerdeführer anhand der Informationen in die Lage versetzt werden kann, prüfen zu können, ob und in welcher Weise die zivilrechtlichen Ansprüche weiter durchgesetzt werden sollen. Also hier jetzt eine klassische Interessenabwägung auch für die Aufsichtsbehörden oder beziehungsweise sie kommen darum nicht herum und finde ich eigentlich ein ganz schönes Urteil, was das nochmal unterstreicht, weil begleitet uns ja auch in der Praxis an sehr, sehr vielen Stellen immer wieder abzuwägen, zu sagen, was ist zweckbezogen, was ist verhältnismäßig für meine Datenverarbeitung und ja, dass es auch hier eben nicht gilt, alle Unterlagen rüber zu schmeißen. Ja, Erforderlichkeit haben wir ja in jüngerer Zeit irgendwie immer wieder, auch bei den Entscheidungen des Europäischen Gerichtshofs. Und da komme ich dann auch direkt zu. Der EuGH hat klargestellt, dass der Schutz personenbezogener Daten über strafrechtliche Verurteilung und Vorrang vor dem Recht auf Informationsfreiheit hat. Der EuGH, also Europäische Gerichtshof, hat sich im vorliegenden Fall außerdem noch zu der Frage geäußert, ob ein nationales Gericht, das mündlich Informationen über eine strafrechtliche Verurteil zum Beispiel an Medienvertreter weitergibt. Eine Verarbeitung personenbezogener Daten auch im Sinne der DSGVO vornimmt. Dabei hat der EuGH jetzt im Wesentlichen dann folgende Punkte hervorgehoben. Also erstens, wir müssen, wie das auch bei anderen Themen ja bisher auch schon immer gehandhabt wurde vom EuGH, den Begriff der Verarbeitung weit auslegen. Also auch eine mündliche Mitteilung kann eine Verarbeitung sein, wenn sie auf personenbezogene Daten zielt. Dann natürlich die besondere Sensibilität der strafrechtlichen Verurteilung nach Artikel 10 DSGVO, die als besonders schützenswert auch gesehen werden. Dass natürlich auch ein Gericht verantwortlicher sein kann im Sinne der DSGVO, wenn sie Daten aktiv an Dritte weitergeben. Dass wir aber auch natürlich Grenzen der Pressefreiheit hier berücksichtigen müssen. Also der journalistische Kontext rechtfertigt nicht automatisch die Verarbeitung der Daten, die durch öffentliche Stellen hier entsprechend erhoben wurden. Im Ergebnis ist es halt so, auch mündlich weitergebende personenbezogene Daten unterliegen halt der DSGVO. Das ist glaube ich ein Punkt, den wir auch sehr gut nochmal in die betriebliche Praxis übernehmen können, auch wenn das Urteil jetzt hier sich erstmal auf ein Gericht bezieht, sondern dass wir halt da natürlich daran denken, dass hier die mündliche Kommunikation kein blinder Fleck der DSGVO dann ist. Und strafrechtliche Informationen unterliegen halt besonders strengen Anforderungen. Also auch hier sollte man halt immer wieder darauf achten, zum Beispiel wenn man Führungszeugnisse von potenziellen Mitarbeitenden oder auch bestehenden Beschäftigten vielleicht zum Beispiel anfordert, dass da natürlich dann auch diese besonders sensiblen Informationen durchaus enthalten sein können und dass Datenbotsrechtlich dann auch einen besonderen Augenmerk haben sollte. Ja, ist wichtig. Besonders schutzwürdige Daten. Ganz schöne Brücke zu meinem nächsten Thema, nämlich Social Media, wo wir ja wissen, der eine oder andere teilt dort mehr, teilt dort weniger. Nein, aber im Großen und Ganzen Fotos etc. Spiegelt ja oft das Leben der einzelnen Nutzer wieder. Und jetzt ist halt bekannt geworden oder mal wieder bekannt geworden oder es wird jetzt konkret, komme ich endlich auf den Punkt, dass Meta eben öffentliche Inhalte zukünftig für KI nutzen möchte und im Zuge dessen Datenschützer und Datenschutzbehörden Nutzer dazu aufrufen zu handeln. Denn Meta will ab Ende Mai 2025 damit beginnen, die Inhalte aller volljährigen Nutzerinnen und Nutzer in Europa aus Facebook und Instagram zum Training eigener KI-Anwendungen zu verwenden. Darunter auch ältere Beiträge, Kommentare und Fotos. Das betrifft eben nicht nur zukünftige Inhalte, sondern auch rückwirkend alles, was bisher auf den Profilen öffentlich sichtbar war. Die Nutzung erfolgt ohne ausdrückliche Zustimmung, basierend auf einem berechtigten Interesse, gemäß des Artikel 6 Absatz 1 Lit FDSGVO. Meta hatte bereits, wer sich vielleicht erinnert und ich meine auch dunkle Erinnerungen zu haben, dass wir das hatten damals in den News 2024, schon mal einen ähnlichen Start geplant, diesen aber eben nach Bedenken der irischen Datenschutzaufsicht verschoben. Besonders kritisch waren damals die Fragen zur Transparenz, zur Rechtsgrundlagen und zur freiwilligen Einwilligung. Nun hat eben Meta das Verfahren zwischenzeitlich angepasst und setzt nun statt auf eine Einwilligung auf das berechtigte Interesse, wie bereits gesagt, und damit in dem Zusammenhang einer Widerspruchsmöglichkeit. Der Datenschutzbeauftragte aus Hamburg, Thomas Fuchs, empfiehlt auch in seiner Pressemitteilung diese Woche, dass allen Nutzern, die nicht möchten, dass ihre Daten für KI-Trainingszwecke verwendet werden, bis spätestens Ende nächsten Monats aktiv Widerspruch einzulegen. Hierfür hat Meta ein Widerspruchsverfahren eingerichtet, das bis Ende Mai vollständig wirkt. Danach zwar weiterhin auch möglich ist, aber man muss eben wissen, dann nur noch für zukünftige Daten. Ein späterer Widerspruch verhindert eben nicht die bereits erfolgte Nutzung der Daten, da einmal in KI-Modellen eingeflossene Daten technisch nicht mehr entfernt werden können. Vielleicht ganz interessant, in der Pressemitteilung hat Thomas Fuchs auch noch ein FAQ beigefügt, das Orientierung geben soll bei der Entscheidungsfindung und eben beschreibt, wie und in welcher Form Widerspruch einzulegen ist. Für die Praxis wieder, glaube ich, können wir wieder gut ableiten, Datenschutz frühzeitig einbinden, also Unternehmen, die auf KI-Modelle setzen oder KI-Projekte umsetzen wollen, hier schon früh eben datenschutzrechtliche Aspekte mit aufzunehmen. Transparente Informationen, aber auch effektive Widerspruchsverfahren machen sicherlich Sinn, hier auch mal ein Augenmerk drauf zu haben. Opt-out-Lösungen können natürlich auch mal überlegt werden, dann im Weiteren, wie das halt für die Nutzer besonders freundlich gemacht werden kann. Und ja, man sollte halt für die KI-spezifischen Szenarien vorbereitet sein, oder? Wir haben immer wieder das Thema Betroffenenrechte, Löschpflichten, was ja durchaus wir Herausforderungen haben beim Thema KI. Am Ende ist ja immer die Frage, die wir ja schon häufiger diskutiert haben, auch nochmal in unserer Silvester-Show, ist halt das, was nachher in so einem Modell drin ist, sind es noch personenbezogene Daten? Und dann gelten natürlich genau diese Herausforderungen. Nochmal hier ganz kurz zu der Pressemitteilung. Es hört sich jetzt so an, als wenn tatsächlich das auch dann vorher mit Herrn Fuchs abgestimmt wurde und dort ist halt in irgendeiner Form auch nur eine Freigabe oder zumindest halt mal irgendwie jetzt anscheinend kein Gegenwind mehr von der Aufsichtsbehörde gibt. Genau, also er sagt halt ganz klar, es wird umgesetzt und Widerspruchslösung ist halt das, was er halt eben mit unterstützt. Ja, die, und damit komme ich zu meiner nächsten Meldung, scheint es bei X nicht vorhergegeben zu haben, denn die irische Datenschutzaufsicht leitet ein Verfahren gegen X wegen KI-Datentrainings ein. Damit steht nun auch GROC, wie zuvor schon JGPT, unter datenschutzrechtlicher Beobachtung in der EU. Denn am 11. April hat die irische Datenschutzbehörde DPC eine offizielle Untersuchung gegen X eingeleitet. Der Fokus liegt auf der Nutzung öffentlich zugänglicher EU-Beiträge auf der Plattform X, die für das Training des KI-Modells GROC entsprechend auch genutzt werden sollen. Die entscheidende Frage ist hierbei dann auch, ob das Training mit personenbezogenen Daten ohne die Einwilligung zulässig war. Natürlich hier, auch weil es halt um die europäischen Beiträge geht, natürlich insbesondere dann auch im Lichte der DSGVO. Wer Grog noch nicht kennt, Grog ist ein Produkt von XAI, ebenfalls einem Unternehmen von Elon Musk, das halt ähnlich wie OpenAI oder DeepSeek generative KI-Modelle entwickelt. Musks Firma hinter Grog, also XAI, hat dafür extra in den letzten Monaten bei einem internen Aktien-Deal innerhalb des Konzerngeflechts, nämlich die Plattform X, geschluckt, um unter anderem halt damit auch das Training von Grog mit den Nutzerdaten rechtlich zu vereinfachen. Bereits im August 2024, also ähnlich wie du gerade eben auch schon für Meta berichtet hast, hatte die DPC auch schon ein Verfahren gegen X eröffnet und damals stimmte X halt nach einem Rechtsstreit dann auch vor den irischen Gerichten zu, die Verwendung von Daten der europäischen Bürger für das KI-Training zumindest vorübergehend auszusetzen. Das scheint aber zumindest mal Neub damals nicht gereicht zu haben und die reichten dann entsprechend auch Beschwerden in mehreren europäischen Mitgliedstaaten dann gegen X ein und das ist jetzt quasi der aktuelle Stand und wir werden jetzt natürlich abwarten müssen, wie hart die DPC dann auch gegen X vorgeht. Nach neu ist es wohl so, dass sie halt nach wie vor befürchten, dass die DPC hier doch eher mit Samthandschuhen wieder mal zupackt, statt mit der festen Eisenhand. Ja, aber dem Gossip wollen wir uns nicht hingeben. Nein, natürlich nicht. Aber wie gesagt, GROC war jetzt mir auch noch nicht so ganz geläufig, dass die da auch sehr aktiv an generativen Modellen entwickeln. Aber es ist natürlich naheliegend, dass sie dann auch die Daten verwenden wollen, die sie haben. So ist es. Ja, kommen wir zu unserem Top-Thema, denn die EU-Kommission hat auf US-Reisen ihrer Delegation Schutzmaßnahmen gegen Überwachung getroffen und ihre Mitarbeiter mit Wegwerfhandys ausgestattet. Das geht aus Berichten seitens Heise hervor und denen zufolge erhalten eben EU-Angestellte bei Dienstreisen in die USA Einweg, Mobiltelefone und einfache ausgestattete Laptops, um das Risiko von Datenspionage oder Zugriffen durch US-Behörden zu minimieren. Diese Maßnahmen betreffen wohl auch Teilnehmer und Teilnehmende an Verhandlungen zum transatlantischen Datenschutzabkommen. Mein erster Impuls war, ja, wenn nicht die, wer dann? Aber grundsätzlich ja wissen wir ja, dass eben personenbezogene oder sensible Daten bei Aufenthalten in Drittländern, zu denen ja auch die USA gehören, einem erhöhten Risiko ausgesetzt sind. Und Grund hierfür sind eben die möglichen Datenzugriffe durch Behörden und Rechtsunsicherheiten. Daher ist, glaube ich, die Entscheidung für uns wenig überraschend, oder Heiko? Ja, also das ist ja das, was wir auch unseren Kunden empfehlen. Sagen wir, wenn man halt in bestimmte Länder reist, sollte man sich schon sehr wohl überlegen, welche Geräte nimmt man mit, welche Informationen sind da drauf, definitiv. Genau, und richtig ist ja auch zu sagen, okay, Dienstreisen außerhalb der EU für viele Unternehmen, ja, gar keine Seltenheit, gehören zur Praxis. Aber was man vielleicht auch immer wieder sagen muss, ist das Thema Urlaub. Also nimmt ein Angestellter aus Pflichtbewusstsein vielleicht doch mal sein Diensthandel mit auf die Malediven, haben wir auch hier ein Thema. Ganz genau und ich würde halt auch immer dazu raten, also manche Unternehmen sind natürlich schon sensibel, sagen ähnlich auch, wir nehmen halt nur Geräte mit, wo nichts Sensibles drauf ist oder dann halt über ein VPN auf die Daten hier zugreifen. Auch da wäre ich halt je nach Land, je nach Reiseland immer sehr vorsichtig, weil auch da, wenn man jetzt zum Beispiel nach China reist, weiß man natürlich nicht, wenn das Gerät kontrolliert wird und vielleicht auch kurz aus dem Sichtbereich verschwindet, was da eventuell vielleicht noch drauf geschmuggelt wird oder wenn halt auch Zugänge drauf sind, vielleicht mit VPN, weiß man natürlich auch nicht so genau, ob da nicht dann durch die Behörden nachher vielleicht Zugriffe verlangt werden. Deswegen wäre ich da wirklich immer sehr vorsichtig und im Zweifelsfall würde ich nachher dann vielleicht über die Geräte dann erst die Zugänge in die lokalen Daten und so weiter einrichten zu lassen oder einzurichten, wenn man denn einmal eingereist ist und das Gerät wieder vollständig unter seiner Kontrolle hat. Gut, dann kommen wir zu unserer beliebten Rubrik Veröffentlichungen und Veranstaltungen. Es gibt eine Veröffentlichung, die, glaube ich, sehr viele interessieren wird. Das ist nämlich der Fragebogen zur europaweiten Prüfaktion zum Recht auf Löschung. Der ist nämlich nun online. Der Fragebogen zu dieser koordinierten Maßnahme kann natürlich auch von Verantwortlichen, die ihn jetzt nicht von einer Aufsichtsbehörde zugeschickt bekommen, zur Selbstkontrolle genutzt werden. Die europaweite Initiative, haben wir ja schon darüber berichtet hier auch, die praktische Umsetzung des Rechts nach Artikel 17, Recht auf Löschung, in den Unternehmen und öffentlichen Stellen untersuchen soll. Der kann natürlich, wie gesagt, durchaus ein bisschen Potenzial enthalten. Ich habe schon mal einen Blick auch reingeworfen. Wenn man sich die Fragen so durchliest, denkt man erstmal so, naja, ist ja gar nicht so schwierig, aber wenn man sich dann halt mal an die Antworten ranmacht, da steckt halt schon ein bisschen Potenzial drin. Also von daher würde ich auch jedem Unternehmen raten, was den jetzt im Rahmen einer aufsichtsbehördlichen Fragung bekommt, sehr sorgfältig vorzugehen. Aber natürlich, wie gesagt, allen anderen Unternehmen ihn halt auch zu nutzen, um sich vorzubereiten oder mal selbst zu prüfen. So ist es. Ja, und ich habe auch noch eine weitere Leseempfehlung mitgebracht und zwar hat am 14. April der Europäische Datenschutzausschuss die Leitlinie zum Umgang mit personenbezogenen Daten in Blockchain-Technologien veröffentlicht. Diese sollen eben Organisationen dabei unterstützen, die DSGVO bei der Nutzung von Blockchains einzuhalten. Und die Leitlinie befindet sich nun bis zum 9. Juni diesen Jahres in der öffentlichen Konsultation. Also hier Interessierte können ihre Stellungnahme über die offizielle Webseite des Datenschutzausschusses einreichen. Mein letzter Hinweis ist eine Checkliste und zwar auf der Webseite auch des Landesdatenschutzbeauftragten Baden-Württemberg zum Thema Datenschutz bei TikTok. Die wurde nämlich kürzlich von ihm veröffentlicht und richtet sich jetzt hier in dem Fall speziell an Behörden und öffentliche Einrichtungen, die TikTok für ihre Öffentlichkeitsarbeit nutzen oder planen, dies zu tun. Und die Checkliste soll halt dabei helfen, die datenschutzrechtliche Zulässigkeit des Einsatzes von TikTok zu bewerten. Auch wenn sie sich an Behörden richtet, ich glaube, sie kann auch im Unternehmen hilfreich sein, vielleicht einige Impulse dann auch für die datenschutzrechtliche Prüfung im Unternehmen geben. Wer also TikTok im Unternehmen plant einzusetzen oder die Marketingabteilung, der sollte vielleicht da auch mal reinschauen. Und damit wäre ich durch. Wie sieht es bei dir aus? Ich auch. Ja. Was Schönes vor an Ostern? Natürlich. Wunderbar. Der Rest bleibt geheim. Richtig. Datenschutz. Datenschutz, genau. Gut, wunderbar. Ich hoffe, ihr habt auch alle was Schönes vor. Vier freie Tage hoffentlich vor euch oder vielleicht auch länger, weil ihr Osterferien nutzt, um auch Urlaub zu machen. In diesem Sinne euch auf jeden Fall allen ein schönes Osterfest. Osterfest, bleibt uns gewogen und auf bald. Schöne Ostern, bis bald. Der Beitrag USA-Reisen nur noch mit Wegwerfhandys – DS News KW 16/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Einsatz von Meta Business Tools führt zu Schadensersatz - DS News KW 15/2025 24:02

vor 7 weeks24:02

24:02

Was ist in der KW 15 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? LG Berlin zu Meta Business Tools (Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24) Entscheidung zum Spannungsfeld zwischen Informationsfreiheit und Datenschutz ( EuGH, Urteil vom 03.04.2025 – C-710/23 ) Vorfall bei Europcar Angemessenheitsbeschluss mit UK vierte Generation des SCHUFA-Scores in Folge des EuGH-Urteils die Ergebnisse der Koalitionsverhandlungen Umgezogen! Neuer Sitz für Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) EU Kommission plant Anpassungsvorschlag für DSGVO Veröffentlichungen: Europol-Studie : Angreifbarkeit von biometrischen Identifizierungssystemen EDSA : praxisorientierte Methoden zur Identifikation und Minderung von Datenschutzrisiken in LLM-Systemen Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/einsatz-von-meta-business-tools-fuhrt-zu-schadensersatz-ds-news-kw-15-2025/ Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Wir begrüßen euch wieder zu unseren wöchentlichen Datenschutz-News und heute ist Freitag, Der 11. April 2025. Wir, das sind meine Wenigkeit Heiko Gossen und mein werter Kollege David Schmidt. Hallo David. Grüß dich Heiko. Wir gucken ja hier bei der Migosens immer jede Woche, was so passiert, behalten das für euch, aber auch für uns selber im Blick, weil natürlich auch unsere Kolleginnen und Kollegen immer sehr dankbar sind, hier eine Zusammenfassung der Woche zu bekommen. Und da lassen wir euch natürlich alle gerne daran teilhaben. In dem Sinne, David, was hast du denn heute alles mitgebracht? Bei mir steht auf dem Zettel, dass das Landgericht Berlin sich mit den Meta-Business-Tools befasst hat, es einen Cyberangriff auf Europecar gab, dass die Schufa ein neues Scoring-Verfahren einführen möchte und dass der ETSA sich mit möglichen DSGVO-Anpassungen befasst. Wie sieht es bei dir aus, Heiko? Ich würde auf ein europäisches Gerichtshofsurteil schauen, wo es unter anderem um berufliche Kontaktdaten geht oder Kontaktinformationen. Dann schauen wir, wie sieht es eigentlich aus mit dem Angemessenheitsbeschluss für Großbritannien. Dann schauen wir nochmal auf die Überlegungen der neuen Bundesregierung, was mit der Datenschutzaufsicht zu verändern. Ein, wie ich finde, sehr spannendes Thema. Ein kleiner Service-Hinweis zur sächsischen Datenschutzbeauftragten und natürlich auch eine Veröffentlichung hätte ich noch mit dabei. Ich glaube, es ist wieder schön viel Abwechslung drin und nichts Langweiliges. Eine Veröffentlichung habe ich auch noch mitgebracht. Will ich nicht unterschlagen. Okay, also dann legen wir los. Genau, wir beginnen heute mit dem Landgericht Berlin 2. Dieses musste sich mit den Business Tools von Meta auseinandersetzen und hat infolgedessen in sechs Fällen Meta zu einer Zahlung von je 2000 Euro Schadenersatz wegen unzulässiger Datenverarbeitung verurteilt. Dies geht aus einer Pressemeldung des Gerichts hervor. Meta betreibt nicht nur soziale Netzwerke und den Messenger-Dienst WhatsApp, sondern bietet auch Tools für Unternehmen an. Bei diesen Tools handelt es sich zum Beispiel um APIs und Pixel, die es ermöglichen, den Erfolg von unternehmenseigenen Webseiten und Apps zu messen und auszuwerten. Gleichzeitig werden die Daten aber auch an Meta selbst übermittelt und dies ermöglicht, dem Konzern wiederum Profile zu bilden und mit gegebenenfalls bestehenden Instagram- und Facebook-Profilen zu verknüpfen. Ähnlich also wie Google Analytics so, von der Funktionsweise und in den hier zugrunde liegenden Fällen hatten sich die betroffenen Personen direkt an Meta gewendet und unter anderem um Auskunft und Löschung dieser Daten gebeten. Dem war Meta nicht nachgekommen, mit der Begründung, dass ausschließlich die Unternehmen, die diese Business Tools einsetzen, für die Datenverarbeitung verantwortlich seien und damit auch für die Übermittlung an Meta sowie die Erfüllung der betroffenen Rechte. Das sah das Landgericht Berlin 2 anders. Welche Konstellation hier genau angenommen wurde, also ob eine gemeinsame Verantwortlichkeit oder eine getrennte Verantwortlichkeit, ist aus der Meldung leider nicht zu entnehmen. Der Volltext ist noch nicht veröffentlicht. Aber jedenfalls sah das Gericht die Erforderlichkeit einer eigens an Meta erteilten Einwilligung, die Meta nicht vorweisen konnte als erforderlich an. Ja, eine Einwilligung ist hier wohl auch die einzig denkbare Rechtsgrundlage, weil. Wie gesagt, zum einen werden Profile gebildet und zum anderen sind laut Argumentation der Betroffenen ist es Meta sogar möglich, in diesen Profilen erfasste sensible Daten wie etwa ihre politischen und religiösen Einstellungen, ihre sexuelle Orientierung oder Erkrankungen zu erfassen. So könnten zum Beispiel Informationen über Bestellungen bei Apotheken, Angaben zu problematischen Suchtverhalten oder Eingaben beim Wahl-O-Mat ausgelesen werden. Jedenfalls resultieren aus dieser Verarbeitung ohne Rechtsgrundlage die besagten Schadenersatzansprüche und auch die betroffenen Rechte muss Meta jetzt nachträglich erfüllen. Also das heißt insbesondere Auskunft nach Artikel 15 sowie die Löschung nach Artikel 17 DSGVO. Und die Urteile sind noch nicht rechtskräftig, das muss man auch dazu sagen. Deswegen sind die Volltexte auch noch nicht veröffentlicht worden. Meta kann noch Berufung einlegen. Mich persönlich würde es aber wundern, wenn ein Berufungsgericht auf Basis dieser Faktenlage in der Sache zu einem anderen Ergebnis gelangt. Ich denke einzig über den entstandenen Schaden und die Höhe des Schadenersatzes kann man hier noch diskutieren. Wie siehst du das? Also wenn man bei Meta jetzt sagt, das ist nicht unsere Baustelle, müsste man ja davon ausgehen, dass sie da mit einer Auftragsverarbeitung argumentieren würden. Halte ich aber jetzt halt auch unter der bisherigen Rechtsprechung des EuGHs auch zu den weiten Auslegungen zur gemeinsamen Verantwortlichkeit halt auch für schwierig. Und dann wird es natürlich auch schwierig zu sagen, okay, da mache ich gar nichts mit zu tun. Würde mich jetzt auch wundern, bin aber auch durchaus interessiert, wie das dann halt natürlich im Detail vom Gericht auch bewertet wurde. Was mich, ja also letztendlich das, was halt gesammelt wird an Informationen, gerade halt so die ganzen Eingaben, Valomat und so weiter, dass es so tief geht, dass man die Eingaben sogar darüber nachverfolgen kann, war mir bisher jetzt auch nicht bewusst, aber ist natürlich erschreckend. Was mich natürlich auch sehr interessieren würde, ist dann nachher, wie sind hier die Schäden nachgewiesen worden, weil die Schadensersatzhöhe ist ja jetzt nicht gerade klein. Wir denken halt so dieser reine Kontrollverlust, BGH, Leitentscheidung 100 Euro, okay. Aber da muss ja offensichtlich dann irgendwie schon nochmal ein bisschen mehr nachgewiesen worden sein wahrscheinlich, weil ich kann mir jetzt nicht vorstellen, dass es nur alleine aus der Datenkategorie heraus, weil es sich um Artikel 9 Daten handelt, man deswegen direkt auch ohne weiteren Nachweis so hohe Schadensersatzforderungen durchgehen lässt. Ja, ich denke auch da liegt dann noch die Krux. Zum einen beim Nachweis des entstandenen Schadens und der Kausalität, aber so vom Grundsatz her, glaube ich, kommt Meta nicht da drumherum, hier eine Einwilligung einzuholen. Ja, gut. Dann kommen wir zu einem Gericht, wo es wahrscheinlich keine Revision mehr möglich ist oder Berufung. Der Europäische Gerichtshof hat klargestellt, dass auch berufliche Kontaktdaten von Unternehmensvertretern personenbezogene Daten im Sinne der DSGVO sind und ein nationaler Konsultationsmechanismus vor Datenoffenlegung mit der DSGVO vereinbar ist, wenn er denn nicht unverhältnismäßig ist. So, klingt ein bisschen kompliziert, ich versuche es mal aufzulösen. Also im vorliegenden Fall ging es um die Frage, ob, aber auch unter welchen Umständen personenbezogenen Daten von Unternehmensvertretern in amtlichen Dokumenten veröffentlicht werden dürfen oder zum Beispiel im Rahmen von Informationsfreiheitsanfragen offengelegt werden dürfen und ob die betroffene Person vorher konsultiert werden muss. Das Gericht stellte klar, Informationen, also es war Teil der Vorlagefragen, ob es sich dann überhaupt um personenbezogene Daten handelt, insbesondere wenn die Daten, beruflichen Kontaktdaten von Unternehmensvertretern im Ausland ansässig sind, also hier in dem Fall Großbritannien und China. Der Gerichtshof stellte klar, nein, Informationen wie Name, Unterschrift oder auch berufliche Kontaktdaten von natürlichen Personen, die eine juristische Person vertreten, sind personenbezogene Daten im Sinne der DSGVO. Ist jetzt insoweit für uns nicht überraschend. Ich hoffe für unsere Zuhörer auch nicht. Aber interessanter wird es halt, wie gesagt, im zweiten Teil, bei der zweiten Vorlagefrage und da gehe ich nochmal ganz kurz auf den Hintergrund des Falls ein. In dem Fall hier war es ein Journalist, der beim tschechischen Gesundheitsministerium einsicht in Verträge und Zertifikate über den Kauf von Covid-19-Tests beantragt hatte. Und darin enthalten waren unter anderem Namen und Kontaktdaten von Vertretern der beteiligten Unternehmen. Und das Ministerium verweigerte aber die Herausgabe dieser personenbezogenen Daten mit der Begründung, dass die betroffenen Personen vorher nicht konsultiert worden seien. Nämlich genau das sieht eine nationale Regelung in Tschechien vor, dass halt im Rahmen solcher Anfragen dann die Personen vorher konsultiert werden müssen. Wie gesagt, die saßen jedoch in Großbritannien und China und man hat ja hier wohl auch keine weiteren Kontaktdaten. Daher schwärzte die Behörde diese personenbezogenen Daten kurzerhand. Datenschutzrechtlich ja jetzt erstmal zu begrüßen, zu sagen, okay, können wir nicht erfüllen, deswegen schwärzen wir die. Aber der Antragsteller hat sich halt damit nicht zufrieden gegeben, sondern wollte halt diese Informationen auch haben. hat deswegen geklagt, ging dann durch die verschiedenen Gerichte. EuGH hat nun drei zentrale Punkte herausgearbeitet. Also erstens, weite Auslegung personenbezogener Daten, wie gerade schon gesagt, auch berufliche Kontaktdaten. Zweitens, Erlaubnis nationaler Datenschutzmechanismen, die die DSGVO erweitern. Also hier in dem Fall zum Beispiel diese Pflicht einer vorherigen Konsultationspflicht ist grundsätzlich möglich, weil es möglich ist, Der Transparenz letztendlich ja auch dient und der Wahrung auch von den Rechten der Betroffenen. Aber er sagt halt auch, drittens, die Verhältnismäßigkeit ist entscheidend. Also die Umsetzung solcher nationalen Regelungen darf nicht zu einer faktischen Blockade der Informationsfreiheit führen. Also eine pauschale Verweigerung, nur weil man halt keine Kontaktdaten hat. Das ist halt auch nicht möglich. Also von daher ist es am Ende so, es muss halt abgewogen werden, ob denn halt diese Daten dann beauskunftelt werden dürfen oder nicht. Also was hier überwiegt, Informationsfreiheit versus Persönlichkeitsrecht und Datenschutz. Was können wir jetzt aus der Praxis dafür mitnehmen, weil ja die wenigsten von uns jetzt eine Informationsfreiheitsbehörde betreiben, die dies tun. Schöne Grüße an der Stelle, für die ist es wahrscheinlich sowieso schon klar. Aber ich glaube auch für die berufliche Praxis kann man da im Unternehmen was mitnehmen, weil ich glaube, dass diese Frage sind denn die Daten von Geschäftsführern, die zum Beispiel im Handelsregister veröffentlicht werden, personenbezogene Daten. Für uns, wie gesagt, ist ja eigentlich immer klar, aber hier haben wir nochmal eine Bestätigung auf dem EuGH. Es ist außer Frage, es sind personenbezogene Daten. Und auf der anderen Seite, das, wie gesagt, glaube ich, ist halt nochmal wichtig für auch sehr viele Fachfragen, die man vielleicht so im Alltag hat, wenn es darum geht, wo werden solche Daten veröffentlicht und darf man die nutzen und so weiter. Transparenz ist halt im Zweifelsfall das Stichwort, also von daher sollte man halt auch bei Auskunftsanfragen über halt Unternehmensvertreter und so weiter im Zweifelsfall immer die Transparenz wahren und gucken, dass halt auch die Betroffenen darüber Bescheid wissen und sei es halt nur, dass man halt auch mit einem Geschäftsführer vorher, bevor er ins Handelsregister eingetragen wird, mal einen Datenschutzhinweis an die Hand gibt, wo drin steht, hier lieber Geschäftsführer, deine Daten werden im Handelsregister veröffentlicht und werden halt auf der Webseite veröffentlicht. Also das wird immer vorauszusetzen, auch bei solchen exponierten Positionen muss ja nicht sein. Gebe ich dir recht, ist da natürlich immer eine Einzelfallentscheidung, wie man das abwägt. Das muss ja auch nicht auf einem Gesetz beruhen, auf einem Informationsfreiheitsgesetz, sondern kann eben auch, wie bei deinem Beispiel, auf Transparenzgesetzen wie dem Handelsregister beruhen, aber auch aus berechtigten Interessen kann ich mir das durchaus vorstellen. Denn wie du sagst, wichtig ist eben, dass man dann diese Interessenabwägung im Einzelfall durchführt. Und auch wenn es für uns trivial ist, ich finde es trotzdem nochmal ganz gut, dass der EuGH auch klargestellt hat, dass der Datenschutz auch für natürliche Personen, die nicht in der EU leben, gilt. Definitiv. Auch da, glaube ich, hilft es, wenn man vor so einer Herausforderung steht. Nach einem Cyberangriff auf den Autovermieter Europecar wurden angeblich 1,6 Millionen Kundendatensätze im Darknet veröffentlicht. Das behaupten zumindest die Angreifer, die die Daten erbeutet haben wollen. Europa selbst hat zwar einen unberechtigten Datenabfluss bestätigt, die Datenschutzbehörde ist auch informiert und man ist auch dabei, die Betroffenen zu informieren. Es wird allerdings noch analysiert, welcher Ausmaße genau dieses Leck hatte. Der oder die Angreifer haben jedenfalls laut eigenen Aussagen nicht nur personenbezogene Daten in Form von Kundenstammdaten, sondern auch Quellcodes abgreifen können. Ob und wie viel davon jetzt stimmt, ist zur Zeit noch unklar. Dann gehen wir direkt weiter. Die EU-Kommission hat vorgeschlagen, die Angemessenheitsentscheidung von 2021 mit dem Vereinigten Königreich um sechs Monate zu verlängern. Damit wäre dann der freie Datenfluss bis zum Ende diesen Jahres, bis zum 27. September 2025, gewährleistet. Die Verlängerung gibt dann dem Vereinigten Königreich Zeit, den Gesetzgebungsprozess, in dem sie sich gerade befinden, zum Thema Datenschutz entsprechend abzuschließen. Das heißt also die Datenschutzregelungen von 2021 würden dann erstmal jetzt auch für die europäischen Unternehmen weitergelten. Der Vorschlag wurde nun dem Europäischen Datenschutzausschuss zur Stellungnahme vorgelegt. Die haben ja in der Regel das Recht da sich auch zu zu äußern. Wird die Verlängerung nicht verabschiedet und veröffentlicht, würde der aktuelle Angemessenheitsbeschluss nämlich am 27. Juni diesen Jahres bereits auslaufen und das ist gar nicht mehr so lange hin. Der Plan ist, dass nach Abschluss des Gesetzgebungsprozesses in Großbritannien zur Datenschutzreform die Kommission diesen neu bewertet, ob das Vereinigte Königreich dann weiterhin das angemessene Datenschutzniveau bietet und man dann halt auch den Angemessenheitsbeschluss erneuern kann grundsätzlich, Vielleicht unbefristet, vielleicht auch wieder eine Befristung. Weiß ich nicht, wie da genau die Erfolgsaussichten aussehen, dass es unbefristet wird. Und so lange sollten die Unternehmen natürlich darauf vorbereitet sein, dass es vielleicht keinen neuen Angemessenheitsbeschluss gibt. Also meine Empfehlung wäre halt vorsorglich SCCs immer unter dem Vorbehalt abzuschließen, dass der Angemessenheitsbeschluss entfällt oder wer nicht so weit gehen will und die Arbeit machen will, der sollte meines Erachtens aber zumindest mal eine Liste in der Schublade haben und vielleicht sogar einen Plan, wie er vorgeht, wenn dann es plötzlich heißt, der Angemessenheitsbeschluss wird nicht erneuert. Ja, finde ich gut, dass du es nochmal mitgebracht hast, weil das Thema fliegt meinem Gefühl nach ein bisschen unterm Radar. Ja, ganz genau. Also deswegen war ich auch ganz froh, als neulich mal ein Kollege die Frage aufgebracht hat, zu sagen, wie sieht es denn eigentlich aus? Ja, und das haben die Recherchen jetzt ergeben. Die Schufa testet zurzeit ihren neuen Score, der für mehr Transparenz und Verständlichkeit auf Seiten der Verbraucher sorgen soll. Das hat die Schufa in einer eigenen Pressemitteilung kommuniziert und das Ganze passiert jetzt infolge einer Vorlageentscheidung des EuGH. Die dürfte eigentlich an keinem vorbeigegangen sein, ist jetzt schon knapp ein Jahr her. Und daraus wurde für die Schufa die Verpflichtung abgeleitet, im Rahmen des Artikel 15 DSGVO auch die Funktionsweise ihres Scorings gegenüber den Betroffenen transparenter zu machen. Laut Schufa soll diese neue Methode jetzt die Nachvollziehbarkeit des Scores und die Kontrolle ihrer Daten für Verbraucher entsprechend diese Anforderungen verbessern. Und nach Angaben der Schufa wurde die neue Berechnungsmethode auch schon dem hessischen Beauftragten für Datenschutz und Informationsfreiheit vorgestellt und sie haben ein positives Feedback dazu erhalten. Weise, denke ich, vorher das mal vorzulegen und Feedback einzuholen. Und von daher ist es doch gut. Also klingt ja so, als wären sie damit vielleicht auf einem guten Weg. Nicht mehr und nicht weniger. Richtig. Die neue Bundesregierung plant die Bündelung der Datenschutzaufsicht bei der Bundesbeauftragten für den Datenschutz und Informationsfreiheit. Wie die meisten vielleicht schon mitbekommen haben diese Woche, hat sich die schwarz-rote Koalition diese Woche ja auf einen Koalitionsvertrag verständigt. Enthalten ist auch die Absicht, die Datenschutzaufsicht für die Privatwirtschaft bei der BFDI zu bündeln. Außerdem vorgesehen ist, dass die Behörde umbenannt wird in Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit. Von Professor Luisa Specht-Riemenschneider gab es auch schon in der Info, dass man sich für diese Aufgabe bereit erklärt, sie auch zu übernehmen und das auch gerne tut und eine Chance drin sieht. Einige Landesdatenschutzbeauftragte haben aber schon verlautbaren lassen, dass sie das für eine schlechte Idee halten aus diversen Gründen. Ist aber natürlich auch nachvollziehbar, weil das würde natürlich wahrscheinlich bedeuten, dass die Behörden kleiner würden und sie Personal wahrscheinlich dann auch abgeben müssten. Ob das jetzt wirklich ein Nachteil ist für die Unternehmen, sei mal dahingestellt, die Auffassungen der Aufsichtsbehörden im privatwirtschaftlichen Bereich würden ja dadurch automatisch einheitlich werden. Die Abstimmungsaufwände, die Datenschutzkonferenz, glaube ich, würde auch sinken. Also von daher wäre es auf jeden Fall für die Aufsichtsbehörden ja eigentlich eine Entlastung. Aber wir werden sehen. Also wir haben ja auch im Bitkom schon mit einigen Aufsichtsbehörden dazu diskutiert. Die haben sich natürlich alle dazu immer eher verhalten geäußert. Ja, der Meinungspluralismus da ist natürlich nicht so fördernd. Auf der anderen Seite kann es ja auch helfen, zu zufriedenstellenden Ergebnissen zu kommen für alle. Aber ich würde es auch begrüßen, wenn das gebündelt werden würde. Ja, und der Meinungspluralismus, der ist ja auch wirklich besser geworden. Also das muss man wirklich der Fairness halber sagen, wenn man sich das anguckt. Die sind schon deutlich geschlossener, als das vor ein paar Jahren der Fall war. Und ich kann mir aber vorstellen, dass da auch sehr viel Energie reingeht, das zu erreichen. Wo wir schon bei den Aufsichtsbehörden sind, noch ein kleiner Servicehinweis. Die sächsische Datenschutz- und Transparenzbeauftragte ist umgezogen. Klar, Unternehmen sollten jetzt prüfen, ob eventuell die Kontaktdaten, die sie zu der Behörde haben, also es ist natürlich die Behörde umgezogen, nicht die Beauftragte selber. Das sollten wir natürlich jetzt einmal prüfen, ob da eventuell was anzupassen ist. Die Postfachadresse bleibt wohl unverändert, aber wie gesagt, je nachdem, was man in den Datenschutzhinweisen drinstehen hat, da lohnt nochmal der Check. Ob die wohl auch nur zwei Wochen Zeit haben, sich umzumelden? Ja. Ja, die müssen bestimmt auch eine Meldebescheinigung vorlegen beim Vermieter. Die Datenschutzwoche berichtet, dass die EU-Kommission plant, in den kommenden Wochen einen Vorschlag zur Vereinfachung der Datenschutzgrundverordnung vorzulegen. Ziel soll es sein, insbesondere kleine und mittlere Unternehmen bei der Einhaltung der Datenschutzvorgaben zu entlasten. Da sind wir natürlich sehr gespannt und auch das ist grundsätzlich eine begrüßenswerte Initiative, wie ich finde. Ich kann mir aber vorstellen, dass, wenn man den Schritt gehen wird, die handwerkliche Umsetzung schwierig werden könnte. Ja, sicherlich herausfordernd. Auf der anderen Seite und auch da werden in den letzten Monaten sehr viel Diskussionen zugeführt beim Bitkom-Arbeitskreis. Der Bedarf ist da. Also man sieht halt ja manche Regelungen, wo man sich schon noch fragt, sind die wirklich notwendig oder haben die sich nicht letztendlich auch ein bisschen als Rohrkrepierer erwiesen. Ich denke dann so Regelungen wie Datenportabilität zum Beispiel. Es gibt aber auch sicherlich Herausforderungen für kleine, mittelständische Unternehmen. Ich denke immer so, wahrscheinlich geht es dann am Ende, aber das ist ja jetzt kein DSGVO-Thema, sondern eher wieder eins, was vielleicht auch unsere neue Regierung dann wieder verfolgt. Ist die Frage, ab welcher Schwelle ist denn ein Datenschutzbeauftragter notwendig oder nicht? Wo ich ja immer der Meinung bin, der macht ja eigentlich jetzt nicht den Riesenaufwand, er hilft ja eigentlich. Aber da könnte ich mir natürlich auch vorstellen. Aber ich denke, wie gesagt, viele Dokumentationspflichten, wenn es da Entlastungen gibt für KMUs, sicherlich auch nicht verkehrt. Vielleicht fällt einem nach außen hin auch noch eine bessere Lösung ein, um so diesen Informations-Bias zu verhindern, dieses Überladen mit Informationen, weil wir ja jetzt nicht nur Informationspflichten im Zusammenhang mit dem Datenschutz haben, sondern mit AI-Act, Verbraucherschutz etc. Pp. Also man kriegt ja einen immer dickeren Katalog in die Hand gedrückt. Das ist es. Gut, kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen, die aber heute ohne Veranstaltungen auskommen müssen. Dafür aber zwei Veröffentlichungen. Die eine ist eine Europol-Studie, die Schwachstellen biometrischer Identifizierungssysteme aufzeigt und sie warnt vor der Manipulierbarkeit biometrischer Erkennung durch Deepfakes und Morphing. Die Studie unterstreicht die Notwendigkeit Schwachstellen biometrischer Systeme zu kennen, denn der Bericht der Europol Innovation Lab, wenn dann spreche ich es auch richtig hoffentlich aus, analysiert nämlich die Schwachstellen von biometrischen Systemen wie zum Beispiel Fingerabdruck, Gesichtsiris oder auch Spracherkennungssystemen. Ich glaube, das ist vor allen Dingen natürlich für Entwickler solcher Systeme hochgradig interessant, aber auch für Unternehmen, die solche Systeme einsetzen oder vielleicht den Einsatz planen, durchaus relevant und sicherlich ein Blick wert, um zu verstehen, worauf beim Einsatz man halt achten sollte und vor allen Dingen, um sich auch der Risiken und Grenzen solcher Systeme bewusst zu werden. Von daher den Link packen wir wie immer in die Shownotes. Und ich bleibe noch beim ETSA. Dieser hat jetzt eine Leitlinie zu den Datenschutzrisiken und möglichen Maßnahmen beim Einsatz von großen Sprachmodellen, den sogenannten Large Language Models, veröffentlicht. Ja, ein Thema, das uns alle jetzt schon längere Zeit begleitet und glaube ich auch noch begleiten wird. Ich denke, da lohnt es sich auf jeden Fall mal durchzublättern. Wunderbar, damit sind wir durch für diese Woche vielleicht nochmal der Hinweis wir packen in die Shownotes ja auch immer einen Link zur Folgenseite wo ihr gerne auch Kommentare hinterlassen dürft, freuen wir uns immer haben wir in der Vergangenheit natürlich auch und ich hoffe, dass wir da auch immer zeitgemäß also zeitgerecht so antworten, zeitgemäß auch wir verwenden moderne deutsche Sprache in der Regel, Nein, aber wir freuen uns, wie gesagt, auch wenn ihr uns natürlich auf eurer Podcast-Plattform eurer Wahl eine Bewertung hinterlasst, vielleicht auch empfehlt. Auch anderen Datenschützern freuen wir uns immer und von daher Dankeschön dafür schon mal im Voraus. In diesem Sinne, bleibt uns gewogen und auf bald. Auf bald. Der Beitrag Einsatz von Meta Business Tools führt zu Schadensersatz – DS News KW 15/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Informationspflichten bei Zweckänderung - DS News KW 14/2025 25:15

vor 8 weeks25:15

25:15

Was ist in der KW 14 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? WhatsApp im Polizeidienst unzulässig LG Hannover, Beschluss vom 26.02.2025, Az. 128 OWiLG 1/24: Pseudonymisierung ArbG Düsseldorf, Urteil vom 04.12.2024, Az. 8 Ca 3409/24 : Immaterieller Schadenersatz Wettbewerbsrecht x Datenschutzrecht Verkauf von Steuerdaten: noyb fordert Ende der Praxis in Schweden. Empfehlungen & Veranstaltungen: Veranstaltungstipp: Donnerstag, 10.04.2025, 19:30-21:00 Uhr: Datenschutz, Informationsfreiheit, KI: Aktuelle Themen des LfDI BaWü Neue IT-Sicherheitsrichtlinie für Arztpraxen veröffentlicht Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/informationspflichten-bei-zweckaenderung-ds-news-kw-14-2025 Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, deinem wöchentlichen Update zum Datenschutz. Heute an die Mikros sind Lothar Somanowski und meine liebe Kollegin Laura Droschinski. Hallo. Hi, grüß dich Laura. Wir haben Freitag, den 4. April 2025. Unser Redaktionsschluss war wie immer um 10 Uhr. Nö. 9.30 Uhr, aber kein Problem. Jetlag. Nehmen wir auch. Ja okay, dann 9.30 Uhr. Mir kam es vor wie 10. Und wie immer haben wir auf die Meldung in dieser Woche zurückgeblickt. Laura, welche Themen hast du an diesem superschönen sonnigen Freitag dabei? Sonnige Datenschutz-Thema habe ich dabei und zwar einmal ein Update zum Thema WhatsApp. Gar kein Update, das ist eigentlich falsch gesagt, aber mal wieder WhatsApp. Ich glaube, das ist die bessere Formulierung dafür. Dann habe ich ein ganz interessantes Urteil mitgebracht. Sie sind ja immer interessant, aber eins vom Arbeitsgericht Düsseldorf zum Thema immaterieller Schadensersatz. Und zu guter Letzt noch was aus der Welt der Kuriositäten. Und ich glaube, du auch, oder? Wir haben heute mal entschieden, wir machen mal so eine kleine Ecke auf dafür. Ja, genau. Ja, unter anderem habe ich dabei einen Beschluss des Landgerichts Hannover zu Informationspflichten bei Zweckänderung und ebenfalls aus der Rubrik Kurioses ein Bußgeld der französischen Aufsichtsbehörde und der Wettbewerbsbehörde gegen Apple. Und dazu noch kommen wir zu Veranstaltungstipps, Lesehinweisen und so weiter. Also schon wieder ein sehr bunter Strauß an guten Datenschutzthemen. Lass uns loslegen. Genau, ich starte mal mit dem WhatsApp-Thema, denn die Landesbeauftragte für Datenschutz und die Informationsfreiheit in Nordrhein-Westfalen, Bettina Geig, hat die Polizei dazu aufgefordert, WhatsApp nicht mehr für ihre dienstliche Kommunikation zu nutzen. Das geht aus ihrer Pressemitteilung vom 2. April hervor und die LDI untersagte der Polizei die Nutzung von WhatsApp nach mehreren Beschwerden aus dem eigenen Umfeld, also von den Polizisten dort und zwar auch ausdrücklich für organisatorische Themen wie Dienstpläne oder Krankmeldungen. Auch hat sie wohl das Innenministerium über die Missstände informiert. In ihrer Pressemitteilung hat sie nun hervorgehoben, dass insbesondere eine Einwilligung in die WhatsApp-Nutzung durch Polizeibeamte nicht als freiwillig beachtet werden kann, wenn dadurch ein Gruppenzwang entsteht. Fand ich ein ganz interessanter Hinweis, insbesondere im Beschäftigtenumfeld, sollte man das ja auch nicht immer außer Acht lassen. Und außerdem gilt nach ihren Worten eben, dass Behörden die Messenger-Dienste für dienstliche Zwecke einsetzen, dass diese damit auch automatisch Verantwortliche im Sinne des GVO werden und dann auch von allen Inhalten wie Chats, Sprachnachrichten oder Videocalls und abgerundet dann natürlich auch verantwortlich sind für die datenschutzrechtlichen Voreinstellungen. Auch das aus unserer Sicht, oder Lothar? Wenig überraschend, aber trotzdem finde ich immer nochmal ganz schön, darauf hinzuweisen, wie kritisch das Thema doch ist. Und sie hat auch nochmal ausgeführt, dass auch in den Fällen, wo eben nur einzelne Vorgesetzte, da ist jetzt beispielsweise Dienstgruppenleiter, WhatsApp für die dienstliche Kommunikation verlangen, dass auch das eben der Behörde zugerechnet wird, wenn sie das eben in Rolle ihrer vorgesetzten Funktion tun. Also hier kann man eben nicht auf die, in Anführungsstrichen, privaten Belange abstellen. Beschäftigte berichteten wohl regelmäßig eben in Vergangenheit, dass sie verpflichtet worden wären, Krankmeldungen, Dienstplanänderungen oder eben auch organisatorische Themen über WhatsApp zu klären. Auch da wieder, auch wenn ich mich wiederhole, bin ich überraschend, dass die LDI das hier als klar unzulässig einstuft, weil, ich glaube es wissen fast alle, aber ich bin nicht müde es zu betonen, haben wir ja bei WhatsApp eben die Herausforderung, dass Metadaten übermittelt werden, Adressbuchdaten insbesondere verarbeitet werden, des Geräts, was WhatsApp nutzt im herkömmlichen Format und eben dessen halt auch die Kontakte unbeteiligter Dritter an WhatsApp gespielt werden, ohne deren Wissen und auch Einwilligung. Und somit sind die Grundsätze, sei es Datenminimierung, aber auch Zweckbindung und Transparenz eben wenig vereinbar. Und die LDI betonte auch, dass es vielleicht nicht nur für die Polizei gilt, sondern für alle Behörden, dass sie es an allen Stellen als sehr, sehr kritisch betrachtet. Ja, für alle Behörden, für alle Unternehmen in der Privatwirtschaft. Also dieser Evergreen, der WhatsApp hat es mal wieder geschafft aktuell zu werden. Ich finde es aber auch wirklich gut. Man sitzt ja oftmals, wenn man Schulung, Sensibilisierung vorbereitet, genau vor dieser Folie, welches Beispiel nimmst du für Messenger-Dienste. Und dann überlegt man schon, ja WhatsApp, das machen wir schon seit Jahren, darauf hinzuweisen, dass es datenschutzrechtlich problematisch sein kann mit der Durchführung. Aber das zeigt das Beispiel hier. Es ist nach wie vor aktuell. Auch was ich gut fand, dieser Zusammenhang mit der Freiwilligkeit von Mitarbeiterentscheidungen. Also wenn mein Chef von mir verlangt, dass ich über WhatsApp was teilen muss, wie freiwillig ist dann meine Entscheidung über meine Daten, die nicht in die Staaten beispielsweise zu transportieren. Richtig. Ich finde ganz interessant und ich weiß nicht, ob es dir auch so geht. Für mich in der Praxis stellt sich oft die Herausforderung, dass eben argumentiert wird, unsere Beschäftigten wollen das ja, für die ist WhatsApp im Umgang viel einfacher, weil absolut ein großer Teil im Privaten ist das ja auch verbreitet. Aber hier finde ich jetzt ganz konkret mal ein schönes Beispiel zu sagen, nee, hier haben ja eben die Polizeibeamten gesagt, ich möchte das eigentlich gar nicht und sich beschwert. Also das sollte man vielleicht auch als Arbeitgeber immer wieder im Kopf auch haben, zu sagen, okay, ich habe einfach auch Beschäftigte, die bei dem Thema sensibel sind und die es eben nicht wollen und sich privat vielleicht auch schon ganz bewusst gegen WhatsApp entschieden haben und dann plötzlich hier vor dieser Herausforderung stehen. Das stimmt. Die Wahrnehmung der Geschäftsführung kann manchmal auseinandergehen und abweichen von dem, was die Mitarbeiter möchten. Ja, sehr gut. Wir kommen zur Meldung des Landgerichts Hannover. Es hat ein Bußgeldverfahren wegen angeblich fehlenden Informationspflichten, nach Artikel 13 im Rahmen eines US-Monitorings eingestellt. In diesem Beschluss liegt der Fokus auf einem aktuellen Verfahren, bei der der Landesdatenschutzbeauftragte Niedersachsen gegen ein Unternehmen im Rahmen des Dieselkomplexes ein Bußgeld verhängt hatte. Ein externer US-Monitor, Controller, der aufgrund eines Vergleichs mit US-Behörden eingesetzt wurde, hatte Einblick in interne Prozesse und Unterlagen des Unternehmens. Dabei kam es zu mehreren datenschutzrechtlich sensiblen Datenweitergaben über Beschäftigte, das sowohl mit Klarnamen als auch pseudonymisiert wurde. Die Aufsichtsbehörde war seinerzeit der Meinung, dass das Unternehmen gegen die Informationspflicht nach Artikel 13 der DSGVO verstoßen habe, aber das Landgericht Hannover sieht es da anders. Es stellt fest, dass in diesem Fall die Pseudonymisierung einer Anonymisierung sehr nahe kam, denn der im Ausland befindliche Controller, der Monitor, stand außerhalb des Betriebes und konnte die übermittelten Personalnummern nicht bestimmten Personen zuordnen. Ferner noch, das finde ich auch sehr interessant, die Aussage vom Landgericht, die Annahme des Landesdatenschutzbeauftragten Niedersachsen, dass dies, jetzt kommt das Zitat, aufgrund von Datenerhebung und Datenverknüpfung und geführten Gesprächen durchaus in bestimmten Fällen möglich gewesen sein dürfte, so der Datenschutzbeauftragte, wurde vom Gericht als spekulativ betrachtet. Der Monitor hätte keine Veranlassung gehabt, die Klarnamen zu verlangen, da er nach den vertraglichen Vereinbarungen dazu berechtigt gewesen wäre. Solange er dies nicht getan hat und sich mit den Personalnummern begnügte, blieben die dahinterstehenden Personen für ihn quasi anonym. Ja, was ist der Kern dieses Beschlusses? Wie wurde es begründet? Ich glaube, im Zentrum steht die Frage, ob und wann Unternehmen ihre Beschäftigten über eine Zweckänderung bei der Verarbeitung von personenbezogenen Daten individuell informieren müssen. Insbesondere bei der Weitergabe pseudonymisierter oder anonymisierter Daten an externe Stellen wie diesen US-Compliance-Monitor. Das Gericht verneinte hier eine Verletzung der Informationspflicht nach Artikel 13 Absatz 3, weil die Betroffenen bereits durch allgemeine und spezifische Informationsmaterialien ausreichend unterrichtet wurden. Ja, dabei hat das Gericht auch festgestellt, dass es ja auch gar keine Zweckänderung gab, weil es ging ja nicht darum zu sanktionieren, Bußgelder auszusprechen, sondern es ging darum, die Kontrollrechte des Unternehmens durchzuführen. Ja, was lässt sich jetzt ganz speziell aus diesem Urteil für die Praxis in einem Unternehmen ableiten? Ich glaube, Laura, dahinter steckt einiges schon drin. Erstmal die Transparenz durch der zentrale Informationsangebote. Und das ist, ich glaube, wichtig, darauf hinzuweisen, dass eine gut gepflegte und regelmäßig aktualisierte Datenschutzerklärung eigentlich das Nonplusultra ist. Absolut. Nur nicht, wenn man im Nachgang irgendwas ergänzt. Oh ja, genau. Auch schon gesehen. Genau, genau. Ja und also sehr, sehr konkret sollte die DSH sein und dass die Informationen auch präzise genug sind, damit ich als betroffene Person den Umfang, Zweck, Empfänger und so weiter nachvollziehen kann. Richtig. Ja, und was ich auch sehr bemerkenswert fand, dass hier die Pseudonymisierung ausreichend sein kann, wenn externe Empfänger die Daten nicht ohne weiteres identifizieren können. Ja, ich habe da so ein bisschen den Artikel 4 im Hinterkopf, die Definition. Für mich war immer ein personenbezogenes Datum, was direkt identifiziert oder identifizieren lässt. Und jetzt gerade in dieser Konstellation, was wäre es auch wirtschaftlich vertretbar und auch möglich mit geringem Aufwand auch Personen herauszubekommen. Also von da struggle ich da so ein bisschen mit dem Urteil. Ich weiß nicht, wie du das siehst. Ich würde mich da dir anschließen, definitiv. Also auch eher abweichend der aktuellen Auffassung oder der Auffassung, die ich bisher hatte zu dem Thema. Ja, genau. Ja, Dokumentation hilft. Also das Urteil zeigt, wie wichtig es ist, datenschutzrechtliche Prüfung, Entscheidung, Hinweise, Einzelfallabwägung und so weiter nachvollziehbar zu dokumentieren für den Fall der Fälle. Es kann irgendwann mal wichtig werden. Volles Programm. Aber uns macht es ja auch Spaß. Absolut. Das ist unser Leben. Richtig. Ich gehe weiter. Und zwar, ein Arbeitgeber, der eine Auskunft gemäß DSGVO nicht fristgerecht erteilt und in der Zwischenzeit die Daten löscht, hat dem Bewerber immateriellen Schadensersatz zu zahlen. So entschied bereits am 4. Dezember das Arbeitsgericht in Düsseldorf. Das Arbeitsgericht in Südorf hat entschieden, dass eine verspätete oder gar nicht erteilte Auskunft nach Artikel 15 DSGVO in Verbindung mit der vorschnellen Löschung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden begründet und das auch ohne Nachweis eines konkreten Datenmissbrauchs. Entscheidend war für das Gericht hier der daraus resultierende Kontrollverlust über die eigenen Daten. Das Gericht schätzte den Schaden auf 750 Euro, da die Ungewissheit über den Umgang mit den Daten und die verspätete Reaktion der Beklagten eine Beeinträchtigung darstellte. Weitere psychische Belastungen oder gesellschaftliche Nachteile wurden aber auch nicht dargelegt. Der Kläger hatte sich auf eine Stelle beworben und unmittelbar nach der Absage eine Auskunft angefordert. Die Beklagte reagierte nicht fristgerecht und löschte die Bewerbungsdaten zwischenzeitlich. Erst nach über einem Monat wurde eine knappe, inhaltlich unzureichende Antwort durch den externen Datenschutzbeauftragten verschickt. Spannend dabei ist, finde ich, dass die Beklagte vermutete, dass hinter der Bewerbung eine datenschutzrechtliche Falle stand und warf dem Kläger Rechtsmissbrauch vor und betonte, dass kein echter Schaden entstanden sei. Das Gericht wies eben nun die Argumentation zurück und stellte klar, auch beharrlicher Rechtsgebrauch ist zulässig und kein Missbrauch. Da lögst du hinter deinem Mikro hervor. Ja, das Gericht hat sich hierbei klar auf die jüngere EuGH und ja auch Bundesarbeitsgerichtsrechtsprechung zur Auslegung von Artikel 32, ich sage schon 82 DSGVO gestützt. Und demnach sind eben drei Voraussetzungen für Schadensersatz kumulativ notwendig, nämlich ja eben der Verstoß gegen ein Artikel der DSGVO, dass es einen Schaden gibt und eine Kausalität. Eine besondere Erheblichkeit des Schadens wird da eben nicht verlangt. Im vorliegenden Fall lag der Verstoß in der Nichterteilung der Auskunft sowie der Löschung der Daten trotz des noch offenen Auskunftsersuchens. Der immaterielle Schaden wurde aus dem Kontrollverlust über die eigenen Daten und der begründeten Sorge vor einem möglichen Datenmissbrauch abgeleitet. Wichtig vielleicht dabei ist noch eben zu sagen, dass die Kammer betonte, dass es nicht ausreiche, sich auf Betriebsaufläufe oder eine Überlastung des Datenschutzbeauftragten zu berufen und dass eine verspätete oder unbeantwortete Anfrage nicht einfach durch nachträgliche Löschung geheilt werden könnte. Ist auch eine ganz pfiffige Idee, wie ich finde. Zusammengefasst, also hätte die Beklagte auf das Aufkunftsersuchen des Klägers pflichtgemäß reagiert, wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten geblieben und er hätte eben keine begründete Befürchtung im Hinblick auf eine missbräuchliche Verwendung haben müssen. Es ist ja erstmal löblich, dass man nach Zweckentfall Daten löscht. Das ist ja schon mal gut. Allerdings gerade so im Kontext Bewerbung. Man hat ja da auch gewisse Rechenschaftspflichten oder Möglichkeiten auch zu beachten. Also die Empfehlung lautet ja sechs Monate die Bewerbung noch aufrecht zu erhalten, nicht zu löschen, weil da Ansprüche kommen können aus dem AGG oder aus sonstigen Gesetzesprechungen. Also löschen ja, aber immer unter Berücksichtigung der sinnvollen und gesetzlichen Aufbewahrungspflichten. Ja, absolut. Also gut, jetzt weiß man natürlich nicht, vielleicht hat der Bewerber sich auch schon mehrfach versucht, bei dem Unternehmen zu platzieren, wie sie jetzt halt auf die Idee des Rechtsmissbrauchs kamen. Das haben wir an anderer Stelle auch schon mal gesehen, wo man eben sagt, okay, werden da Unternehmen bombardiert, dass man sich da versucht vielleicht zu wehren. Aber hier, das ist jetzt glaube ich ein ganz gutes Beispiel dafür, dass das vielleicht nicht der eleganteste Weg sein muss für das Unternehmen. Ja und das ist tatsächlich, das Löschen, was du gerade sagtest, ist ja auch eine pfiffige Idee, einfach mal löschen. Ich werde es mal probieren. Ich werde irgendwo was bestellen und dann direkt auch Artikel 17 in Anspruch nehmen. Mal gucken, ob meine Rechnung dann auch gelöscht wird. Okay, Laura hat es schon angekündigt. Wir eröffnen die Rubrik Kurioses. Wir haben da einige nette und interessante Berichterstattung gefunden, unter anderem diese hier. Apple wurde wegen wettbewerbswidriger Umsetzung von Datenschutzmaßnahmen in Frankreich sanktioniert und zwar in einer Höhe von 150 Millionen Euro. Der Grund für das Bußgeld war das von Apple implementierte App-Tracking-Transparency-System, ATT, dass Apple nach Meinung der Behörden eine Marktvorherrschaft im Bereich der App-Verbreitung für iOS und iPadOS verschafft hätte. Zum Hintergrund, seit vier Jahren, seit 2021, verlangt Apple von Drittanbietern eine ausdrückliche Einwilligung zur Nutzerverfolgung, aber bei den eigenen Diensten jedoch nicht im gleichen Maße, so hatten es die Behörden festgestellt. Die französische Wettbewerbsbehörde sieht darin eine strategische Marktverzerrung und wurde bei der datenschutzrechtlichen Bewertung durch die KNIL, also die französische Datenschutzaufsicht, unterstützt. Bereits 2020 hatte die KNIL einen Antrag auf einstweilige Maßnahmen abgelehnt und führte stattdessen nun eine Sachuntersuchung durch. Also so eine Art Amtshilfe. In ihrer Pressemitteilung betont die Wettbewerbsbehörde, dass es das Ziel des Systems ist, personenbezogene Daten besser zu schützen. Das sei nicht zu kritisieren. Das finde ich schon mal löblich. Allerdings sei bei der Umsetzung der Funktion problematisch, dass bei der Eröffnung einer installierten Drittanbieter-App wohl separate Einwilligungserforderungen erscheinen, die zur Datenverarbeitung angezeigt werden und die behandelt werden müssen. Das schränkt offensichtlich vor allem kleinere Publisher ein in ihren Handlungsfreiheiten. Auch Nutzer könnten sich dazu auch gestört fühlen, da die Anzahl der bei der App-Installation zu öffnen Fenster vervielfacht wird, was die Nutzung von Drittanbieter-Apps unnötig umständlich macht. Die Geldstrafe interessanterweise hätte nach Aussage der Aufsichtsbehörde und der Knill durch geringfügige Anpassungen am ATT-System verhindert werden können. Wahrscheinlich hätte man da auch die Hürden etwas höher gelegt und auch entsprechend Einwilligungen weitergereicht. Die von der Behörde vorgeschlagenen Änderungen hätten die so entstandenen doppelten Aufforderungen verhindert. Zwar verfolgt Apple mit ATT ein legitimes Datenschutzinteresse, jedoch hat das Unternehmen laut den Behörden gleichzeitig das eigene Wertesystem und Werbesystem bevorzugt und damit seine Marktmacht missbraucht. Das zeigt, Datenschutzmaßnahmen müssen technisch und rechtlich fair gegenüber allen Marktteilnehmern umgesetzt werden. Ich finde es kurios. Ich finde es kurios an dieser Meldung, dass es jetzt zu einem Bußgeld gekommen ist, obwohl datenschutzrechtliche Maßnahmen umgesetzt wurden. Vielleicht übertrieben wurde in die eine Richtung, aber sie wurden umgesetzt. Die Aufsichtsbehörde KNIL hat in diesem Verfahren ja mindestens an der Sachuntersuchung unterstützt. Also ich finde es sehr bemerkenswert, zumal bei den Datenschutzvoreinstellungen von Apple selber wohl offensichtlich nichts zu mäkeln war. Es ging ja wirklich nur um diese Verzerrung. Ich finde es auch, habe ich in der Vorbereitung auch schon gesagt, ich finde es echt ein bisschen traurig. Ja. Also aus datenschutzrechtlicher Sicht. Ja, also insbesondere, weil wir ja auch der Auffassung sind, dass ja auch der Datenschutz durchaus einen Wettbewerbsvorteil darstellt. Und dass es ja auch wichtig ist, auch hier betroffenen Personen ja auch eben die Auswahl zu lassen. Und zu sagen, ja, ich habe ein besonderes Datenschutzniveau und sich dann auch aktiv für mich dafür zu entscheiden. Also ist das ja ein bisschen schade. Ist auch. Ist auch tatsächlich. Also mein Wettbewerbsvorteil kann ja zum Beispiel auch sein, dass du unterstreichst, dass du mit den Mitarbeitenden Daten sehr, sehr gut umgehst. Und wenn du jetzt Maßnahmen dazu triffst, ist es dann auch eine Marktverzerrung dann, dass die Mitarbeiter dann bei dir und die Bewerber sich bei dir dann bewerben. Ja, schwierig. Ich finde es auch nicht so. Diese Franzosen. Von Frankreich gehe ich nach Schweden. Schön, dass wir die Kuriositäten nicht aus unseren eigenen ländlichen Reihen haben. Ist aber auch ein Qualitätsmerkmal. In unserem Wirkungskreis passiert da nichts. Ein bisschen WhatsApp bei der Polizei. Na gut, macht das schon. Nein, wollen wir wieder ernst werden. Und zwar verklagt Neub die schwedische Steuerbehörde wegen des Verkaufs personenbezogener Daten. Da mussten wir aber mal kurz Halt machen, weil sich das doch sehr komisch las in meinen Augen. Und die österreichische Datenschutzorganisation, Non-of-your-Business, wir kennen es ja hier schon zuhoch, hier bei uns im Podcast gewesen, hat eben rechtliche Schritte gegen die schwedische Steuerbehörde eingeleitet, weil diese wohl personenbezogene Daten von Bürgern an Datenbroker verkauft, die sie anschließend im Internet veröffentlichen. Das geht aus einer gestrigen Pressemitteilung hervor und eben laut dieser verkauft die schwedische Steuerbehörde die Daten wie Einkommen, Wohnort und Sozialversicherungsnummer, Grundbesitzwerte und weiteres an private Unternehmen, die diese Informationen öffentlich zugänglich machen. Ursprünglich erhoben wurden die Daten natürlich für die Steuererhebung. Laut Neub verstößt diese Praxis gegen die DSGVO, da die betroffenen Personen eben keine Kontrolle über die Verbreitung ihrer Daten hätten und keine Zustimmung zur Weitergabe laut ihren Aussagen gegeben haben. Die Grundsätze der Datenverarbeitung gemäß Artikel 5 DSGVO wird wohl ebenso nicht entsprochen. Gerade die Zweckbindung wird nicht eingehalten. Auslöser der Klage war Folgendes. Ein Betroffener beantragte bei der schwedischen Steuerbehörde die Einschränkung der Weitergabe seiner personenbezogenen Daten, eben wegen mutmaßlicher rechtswidriger Verarbeitung. Die Behörde lehnte ab und berief sich auf ihre gesetzlichen Aufgaben. Diese, laut ihren Aussagen, übt sie eben öffentliche Befugnisse aus, indem sie die persönlichen Daten an Unternehmen weitergibt. Jetzt muss man hierzu wissen, dass eben die Steuerbehörde in Schweden das staatliche Adressregister, in dem die persönlichen Daten aller in Schweden lebenden Menschen gespeichert sind, vorhält. Sowas gibt es, glaube ich, bei uns nicht. Und nach nationalem Recht können Unternehmen auf die Daten in dieser Datenbank zugreifen, um, Zitat, persönliche Informationen zu aktualisieren, zu ergänzen und zu überprüfen oder Namen und Adressen für Direktmarketing, öffentliche Bekanntmachung oder andere vergleichbare Aktivitäten auszuwählen. Mhm. Der oberste Gerichtshof in Schweden hat bereits kürzlich entschieden, dass hierbei immer das Recht auf Informationsfreiheit gegen das Recht auf Privatsphäre abgewogen werden muss. Also dass alleinige Begründungen in der Transparenz liegen, sieht der oberste Gerichtshof auch hier nicht. Und eben dieser kam auch zum Schluss, dass diese konkurrierenden Rechte immer gegeneinander abgewogen werden müssen. Wenn es wahrscheinlich ist, dass die Verarbeitung von Daten gegen die DSGVO verstößt, müssen sie in diesen Fällen als Vertrauensverhältnis vertraulich gekennzeichnet werden. Und diese Vertraulichkeit, also diese Markierung soll es Datenbrokern dann verbieten, an persönliche Daten von Menschen in Schweden zu gelangen, also auf dieser Detailtiefe. Das sieht eben Neub nicht und trotz diesem Urteils, was es halt gibt, setzt eben laut Neub die Steuerbehörde den Verkauf der personenbezogenen Daten fort und will das eben nun gerichtlich stoppen lassen. Zu Recht. Zu Recht hat es diese Meldung in die Rubrik Kuriosus geschafft. Also das sind einige Fragezeichen. Zum einen, wer die Daten verkauft. Zum anderen sind die nur zur Bereitstellung, wo Unternehmen dann zugreifen. Also das ist ein Fall. Ich stelle mir gerade mal das VVT vor, das Verzeichnis der Verarbeitungstätigkeiten. Welche Rechtsgrundlage packst du dann in diese Verarbeitungstätigkeit Verkauf von Adressdaten rein? Absolut. Ja, und vor allem halt auch, also öffentliche Register, klar, gibt es das auch bei uns, aber halt ja nicht in dieser Detailtiefe. Also, dass ich jetzt sage, okay, ich schaue mal mal Einkommen und Co. An, das ist ja nochmal Next Level. Ja, ja, Next Level. Super, wir kommen direkt zu unseren Veranstaltungs- und Lesehinweisen und zwar Professor Dr. Tobias Keber lädt ein aus Baden-Württemberg und zwar zu einer Diskussion zur Klärung von Fragen zum Thema KI. Wie passt Datenschutz und künstliche Intelligenz zusammen? Kann eine KI dabei helfen, dass Bürger, Bürgerinnen mehr und schneller amtliche Informationen von Behörden erhalten und so weiter? Also über diese und weitere Fragen spricht der Landesbeauftragte für den Datenschutz, Dr. Keber, und zwar am 10.04. in der Zeit von 1930 bis 21 Uhr, und zwar an einer Veranstaltung der Stadtbibliothek Stuttgart. Und Zusammenarbeit mit dem Chaos Computer Club hört sich spannend an. Weitere Informationen findet ihr auf der Homepage der Stadtbibliothek, verlinken wir in den Shownotes. Was wir auch in den Shownotes mit verlinken, ist eine neue IT-Sicherheitsrichtlinie für vertragsärztliche Versorgung. Diese wurde kürzlich veröffentlicht, also im Laufe der Woche. Vielleicht ein Randthema, aber nicht weniger wichtig, denn diese legt eben neue Standards für den Schutz sensibler Patientendaten in der vertragsärztlichen Versorgung fest. Und ich habe so ein bisschen im Gefühl, dass vielleicht die ein oder andere Praxis dann nochmal nachschärfen könnte. Ziel ist es eben hier, die IT-Sicherheit in Arztpraxen zu erhöhen und somit den Datenschutz ja auch zu stärken. Angesichts der zunehmenden Cyberbedrohung im Gesundheitswesen hat das Bundesamt für Sicherheit in der Informationstechnik, kurz BCI, die Notwendigkeit gesehen, die bestehenden Sicherheitsrichtlinien zu überarbeiten. Und die neuen Vorgaben sollen eben dazu beitragen, die Widerstandsfähigkeit von Arztpraxen gegenüber digitalen Angriffen zu erhöhen und den Schutz der Patientendaten zu gewährleisten. Finden wir es eine gute Idee, oder Lothar? Absolut. Ganz, ganz wichtig. Ganz wichtig. Wenn man bei einigen Ärzten ist, dann sieht man schon die Notwendigkeit, danach zu schärfen. Laura, wir sind durch. Richtig. Wir sind durch. Das hat wie immer sehr viel Spaß gemacht. Vielen, vielen Dank. Danke auch. War sehr gut, war sehr gut. Ja, wir wünschen euch an dem heutigen Freitag, wir schauen aus dem Fenster, zumindest in unserer Region, Mülheim an der Ruhe, ist es sehr, sehr sonnig, sehr warm, frühlingshaft, fast schon vorsommerlich warm in der Sonne. Wir wünschen euch ein schönes Wochenende. Wenn ihr das heute am Freitag hört, falls ihr den Podcast am Wochenende oder Anfang kommender Woche hört, hoffen wir, dass ihr ein schönes Wochenende hattet und euch eine gute Woche. Bis zum nächsten Mal. Bis zum nächsten Mal. Der Beitrag Informationspflichten bei Zweckänderung – DS News KW 14/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
BGH stärkt Verbraucherverbände zu Lasten von Meta - DS News KW 13/2025 22:53

vor 9 weeks22:53

22:53

Was ist in der KW 13 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Meta Platforms und App-Center für Gratisspiele (Urteil vom 27. März 2025 – I ZR 186/17) Luxemburgisches Verwaltungsgericht bestätigt 746 Millionen Bußgeld für Amazon Rekordstrafe i.H.v 225 Millionen Euro gegen WhatsApp auf dem Prüfstand Verwendung von Aufnahmen als Beweis ( AG Lö r rach, Urteil vom 03.03.2025, Az. 3 C 1099/24 (juris): Recht auf Löschung) LG München, Beschluss vom 19.02.2025 – Auskunftsanspruch gegenüber Anbietern von E-Mail-Diensten aus § 21 TDDDG ( 25 O 9210/24 ) Illegale Glücksspielseiten mit identischer Software nach Datenschutzalarm abgeschaltet. Empfehlungen: öffentliche Datenschutzsprechstunde zum Hamburger Tätigkeitsbericht am 15. April 2025 heise-Interview mit Landesdatenschützer Tobias Keber: Digitale Kehrwoche, Recht auf Löschung und Kuriositäten im Datenschutz Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/bgh-starkt-verbraucherverbande-zu-lasten-von-meta-ds-news-kw-13-2025/ Transkript zur Folge: Jetzt kann ich aber, ne? Jetzt kann ich. Lick los. Alles klar. Herzlich willkommen bei Datenschutz-Talk. Fang nochmal an. Herzlich willkommen bei unserem Datenschutz-Talk, eurem wöchentlichen Datenschutz-Podcast. Mein Name ist Natalia Wozniak. Bei mir ist meine liebe Kollegin Laura Droschinski. Ich wollte schon viel schneller loslegen, sorry. Alles gut. Heute haben wir Freitag, den 28.03. und unser Redaktionsschluss war wie gewohnt um 10 Uhr. Laura, jetzt kannst du loslegen. Welche Themen hast du mitgebracht? Ja, und zwar habe ich ein Urteil mitgebracht vom Bundesgerichtshof zum Thema Verbraucherverbände und dass es diese eben gestärkt hat im Laufe der Woche. Dann geht es weiter bei mir mit einem weiteren Urteil, diesmal aus Lorach zum Thema Beweissicherung. Und dann habe ich noch ein Update zum Top-Thema aus der letzten Woche auch auf dem Zettel. Da hatten ja David und Lothar zu der Datenpanne bei dem Glücksspielanbieter Merkur berichtet. Und zu guter Letzt habe ich noch eine Leseempfehlung für das Wochenende. Klingt spannend. Okay, ich schließe mich dem an. Ich habe zwei Rekordbußgelder, einmal Amazon und einmal WhatsApp, mitgebracht. Ich habe ein Urteil des LG München zum Auskunftsrecht in Verbindung mit Paragraph 21 T3 DG. Und ich habe einen Veranstaltungshinweis mitgebracht. Gut, ich würde sagen, wir legen los. Laura, fang an. Genau, Natalia. Und zwar, wie wir ja bereits seit letztem Jahr wissen, können Verbraucherverbände bei Datenschutzverstößen stellvertretend für Konsumenten klagen. Und das bestätigte nun der Bundesgerichtshof in einem Urteil am 27. März. Der unter anderem für das Wettbewerbsrecht zuständige Erste Zivilsenat des Bundesgerichtshofs hat entschieden, dass Meta-Plattforms mit seinem App-Zentrum auf Facebook gegen die Datenschutzgrundverordnung verstoßen hat. Geklagt hatte der Dachverband der Verbraucherzentralen der Bundesländer, der Facebook-App-Zentrum für kostenlose Spiele als wettbewerbswidrig und datenschutzrechtlich unzulässig einstufte. Der BGH kam nun zu dem Ergebnis, dass Meta-Plattforms personenbezogene Daten im App-Zentrum von Facebook ohne ausreichende Information und Einwilligung der Nutzer an Spieleanbieter weitergegeben hat und gab der Berufung der Beklagten nicht recht, da diese sich versuchte, gegen das Verbandsklagerecht zu wehren. Der Verbraucherzentrale Bundesverband hatte bereits 2012 Klage gegen Facebook-App-Zentrum eingereicht und die Nutzer wurden eben durch einen einzigen Klick auf den Button Spiele spielen dazu gebracht, Spieleanbietern weitreichende Zugriffsrechte auf ihre persönlichen Daten zu gewähren, ohne eben eine angemessene Aufklärung. Der BGH bestätigte nun, dass diese Praxis rechtswidrig war und machte deutlich, Verbraucherverbände dürfen solche Datenschutzverstöße auch ohne konkrete Einzelbeschwerde juristisch verfolgen. Also nochmal eine Betonung, ein Unterstreichen der Entscheidung, die wir ja im letzten Jahr hatten. Was ist sonst aus dieser Nachricht für unsere datenschutzrechtliche Praxis abzuleiten? Ich glaube, nochmal einmal mehr, wie wichtig es ist, dass Unternehmer die Nutzer transparent und verständlich über die Erhebung und Weitergabe von Daten informieren. Dass auch eine Einwilligung immer freiwillig informiert und ausdrücklich erfolgen muss. Und zu guter Letzt natürlich wir die Verbraucherverbände als weiteres Risiko für Unternehmen nicht außer Acht lassen dürfen. Also dass diese eben auch Datenschutzverstöße stellvertretend für Betroffene vor Gericht bringen können. Also hier eine absolute Stärkung des kollektiven Datenschutzes oder wie siehst du das? Ja, ich habe gerade den Gedanken im Kopf, dass ich glaube zu Beginn der DSGVO 2018, wo es losging, da haben noch viele Unternehmen wirklich gedacht, ach, das wird schon alles gut gehen. Mich erwischt schon keiner, wenn ich mich vielleicht hier und da nicht an die Vorgaben halte. Und mittlerweile wird die Luft immer dünner, glaube ich, weil das scharfe Schwert des Datenschutzes wird immer schärfer mit der Zeit. Genau, hast du das Bußgeldrisiko, Schadensersatzansprüche und wenn jetzt sich halt auch noch vermehrt Verbraucherschützer einschalten und sich vielleicht auch in so Urteilen sich weiter bestärkt sehen, kann das natürlich einen entsprechenden Effekt haben. Genau so ist es. Und zum Thema scharfes Schwert habe ich jetzt auch meine Bußgelder mitgebracht. Zum einen hat das Luxemburger Verwaltungsgericht aktuell eine Rekordstrafe in Höhe von 746 Millionen Euro gegen Amazon wegen Datenschutzverstoßen bestätigt. Hintergrund ist die Verhängung einer Geldbuße in eben dieser Höhe, in Höhe von 746 Millionen Euro, gegen Amazon durch die Nationale Datenschutzbehörde, die CNPD, im Jahr 2021. Die CNPD hatte damals festgestellt, dass der Amazon-Konzern die erforderlichen Einwilligungen der Nutzer im Zusammenhang mit Amazons Werbetargeting nicht eingeholt hatte. Konkret ging es damals darum, dass Amazon-Nutzerinnen und Nutzern personalisierte Werbung auf Basis umfangreiche Datenanalysen ausgespielt hat. Laut der Aufsichtsbehörde fehlte hierfür eine wirksame Einwilligung, wie sie in der DSGVO vorgesehen ist. Die Nutzer wurden also nicht ausreichend über den Zweck oder den Umfang der Verarbeitung informiert und ihnen wurde auch keine echte Wahl gelassen, einzuwilligen oder eben nicht einzuwilligen, also ein verstecktes Opt-in quasi. Amazon hatte damals diese Entscheidung der Aufsichtsbehörde angefochten und nun ist das Urteil des Luxemburger Verwaltungsgerichts da. Das Gericht hat, wie gesagt, den Beschluss der Aufsichtsbehörde vollumfänglich bestätigt, auch hinsichtlich der Höhe der Geldbuße. Amazon muss also aktuell die angeordneten Berichtigungsmaßnahmen umsetzen. Das Gericht ist aber auch noch ein Stückchen weiter gegangen. Nach den Feststellungen des Verwaltungsgerichts hat Amazon auch gegen Transparenz- und Informationspflichten sowie Vorgaben zur Umsetzung von betroffenen Rechten, darunter auf Zugang sowie Berichtigung und Löschung verarbeitete Daten, verstoßen. Der US-Konzern prüft nun weitere rechtliche Schritte. Das heißt, Amazon möchte das prüfen, inwiefern das Bußgeld akzeptiert werden muss oder das Urteil akzeptiert werden muss oder ob gegebenenfalls es dann noch eine Ebene höher geht. Ja, mit diesem Bußgeld, 746 Millionen Euro, liegt Amazon tatsächlich aktuell auf Rang 2 der DSGVO-Geldstrafen-Rangliste. Platz 1 gehört noch der Meta-Plattforms. Die Meta-Plattforms hatten doch ein Bußgeld in Höhe von 1,2 Milliarden Euro aus dem Jahr 2023 auf dem Tisch liegen. Von daher unbestritten Platz Nummer 1, Amazon Platz Nummer 2. Ich habe aber auch noch ein weiteres Bußgeld mitgebracht, weil aktuell steht nämlich auch WhatsApp wieder bußgeldmäßig ein bisschen mehr im Fokus. Allerdings in eine etwas andere Richtung und zwar ist ein Bußgeld in Höhe von 225 Millionen Euro aus dem Jahr 2021 erneut auf dem Prüfstand. Hier empfiehlt aktuell die zuständige EuGH-Generalanwältin in ihren Schlussanträgen, eine Nichtigkeitsklage von WhatsApp, die WhatsApp eingereicht hatte, tatsächlich für zulässig zu erklären, da das vorherige Gericht, so die Generalstaatsanwältin, die Argumente des Unternehmens nicht ausreichend geprüft habe. Das heißt, auch hier geht es um eine Rekordstrafe, 225 Millionen Euro, die bereits 2021 durch die irische Datenschutzaufsichtsbehörde gegen WhatsApp einer Tochter des Facebook-Konzerns Meta-Plattforms verhängt wurde. Das Europäische Gericht hatte damals, 2022, die Beschwerde von WhatsApp als unzulässig abgewiesen. Aktuell wird das Verfahren also neu betrachtet und wir warten ab. Der Ausgang ist also noch offen, inwiefern der EuGH dem Schlussantrag der Generalanwältin stattgibt oder wie es ansonsten weitergeht. Aber ich glaube, das Interessante ist hier an diesen zwei Fällen, dass diese Fälle einfach zeigen, dass die in Artikel 83 DSGVO in den Absätzen 4 und 5 festgelegten konkreten Beträge bei Weitem nicht die Obergrenze sind. Also die 10 Millionen und 20 Millionen, die quasi in den Absätzen 4 oder 5 drinstehen, sind nicht das Ende der Fahnenstange. Und gerade bei großen Konzernen und den entsprechenden Umsätzen greifen die Aufsichtsbehörden und auch die Gerichte, wie wir jetzt an den Beispielen sehen gerade, auch gerne auf die möglichen zwei Prozent beziehungsweise vier Prozent des, und jetzt zitiere ich einmal, des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres zurück. Das heißt, nach oben hin ist es tatsächlich nicht beschränkt. Von daher, ja, die Überlegung, die manche Unternehmen so manchmal in den Raum werfen, ja, wenn was passiert, dann zahle ich es aus der Portokasse. Das geht nicht immer auf. Und ja, um wieder zum Anfang zurückzukommen, die DSG vor wird auch, was die Bußgelder und die Bußgeldhöhe angeht, ein immer schärferes Schwert gefüllt. Ja, und dass sich halt auch so große Unternehmen dagegen wehren, zeigt ja nur mal mehr, dass ihnen das nicht egal ist oder es vielleicht bei bestimmten Vorhaben vielleicht, ich sag jetzt mal, mit eingepreist war, dass es hier ein Risiko gibt, ein Bußgeldrisiko gibt. Und ich finde auf der anderen Seite auch wieder faszinierend, wie lange es dauert, bis da so eine Entscheidung da ist. Wie gesagt, wir reden jetzt hier von vier Jahren. Ja, das ist tatsächlich, manchmal ist das so ein bisschen Unsicherheit für die Zwischenzeit, weil man weiß nicht, wie es ausgeht. Ja, richtig. Aber wir bleiben dran, wie immer. Ich habe ein Urteil mitgebracht, ein bisschen mehr aus dem privateren Kontext, aber sicherlich aus datenschutzrechtlicher Sicht interessant, weil es hier eine Brisanz hat, nämlich bei einem Nachbarschaftsstreit. Ja, immer wieder aus der Welt der Kuriositäten, da gibt es so einiges. Und hier ging es jetzt in dem konkreten Fall um die Frage, darf ich meinen Nachbarn heimlich filmen, wenn ich glaube, er verstößt gegen das Baurecht? Was meinst du, Natalia? Ich würde mal tippen auf ganz bestimmt. Nein, natürlich nicht. Ja, das Amtsgericht Lorach hat in einem Urteil am 3. März festgestellt, dass das bloße Interesse, möglicherweise rechtswidriges Verhalten zu dokumentieren, keine anlasslose und umfassende Videoüberwachung des Nachbarn rechtfertigt. Insbesondere dann nicht, wenn der behauptete Zweck, etwa ein Verstoß gegen das Bauplanungsrecht, durch weniger Eingriff intensive Mittel erreicht werden könnte. Was war im konkreten Fall passiert? Amtsgericht Laurach entschied, die Aufnahmen waren unzulässig und müssen gelöscht werden. Das Gericht hat hierbei sehr detailliert geprüft, ob die Voraussetzungen des Artikel 6 Absatz 1 Lit F des GVO-Vorlagen, also ob ein berechtigtes Interesse an den Aufnahmen bestand. Das Ergebnis, glaube ich für uns beide natürlich ja wenig überraschend, ist nein. Und als wichtigste Argumente führte das Gericht eben an, dass es keine Erforderlichkeit gäbe. Also es hätte genügt, die gewerblichen Geräte zu dokumentieren. Eine Abbildung der Personen wäre definitiv nicht notwendig gewesen. Außerdem geht es natürlich hier auch um den Schutz der Privatsphäre des Klägers. Also für alle Aufnahmen konnte der Kläger plausible private Erklärungen liefern. Der Beklagte hatte eben keine gegenteiligen Beweise. Dann hatten die Bilder keinen Beweiswert, also keinen konkreten Indizwert. Damit bestand auch kein Anspruch auf Speicherung oder Ausnahme nach Artikel 17 Absatz 3 Lit E DSGVO, also die Löschung der personenbezogenen Daten. Dem entgegen steht eben die Erfüllung einer rechtlichen Verpflichtung. Das gab es hier eben nicht. und am Ende natürlich auch gleiches, schlägt nicht gleiche Kerbe wie das Thema Privatsphäre, natürlich auch Persönlichkeitsrechte, dass sie die allgemeinen Persönlichkeitsrechte und das Recht am eigenen Bild verletzt waren. Wie gesagt, das Gericht hat sehr sorgfältig abgewogen und betonte auch eben nochmal, dass auch eine potenzielle Rechtsverfolgung nicht zur Aushebelung datenschutzrechtlicher Grundsätze führen darf, insbesondere nicht bei privaten Aufnahmen ohne konkreten Anhaltspunkt. Ich finde im Fall wirklich sehr schön, nochmal die Herleitung zum berechtigten Interesse, dass es eben hier nicht trägt. Und ja, übertragbare Punkte hier wiederum für uns auch, dass eben Beweisinteresse nicht gleich der Freibrief zur Datenverarbeitung ist, also auch im unternehmerischen Kontext wieder. Hier durchaus mal ein Auge drauf werfen, ob eben eine Datenverarbeitung wirklich tatsächlich notwendig und verhältnismäßig ist, aber auch natürlich, dass das berechtigte Interesse nie ein Auffangtatbestand sein darf. Einmal das, aber ich glaube auch der Punkt, dass tatsächlich bei der Rechtsgrundlage 6.1.f. Berechtigtes Interesse auch wirklich eine Interessensabwägung durchzuführen ist, sich tatsächlich ein Unternehmen, was jetzt zum Beispiel eine Videoüberwachung einsetzt, auch wirklich überlegen muss, welche Interessen des Betroffenen werden denn hier beeinträchtigt durch meine Videoüberwachung und was ist jetzt mein Interesse, kann ich das wirklich mit einem milderen Mittel vielleicht sogar abdecken, dass das tatsächlich in der Praxis noch zu kurz kommt. Und ich glaube, dass dieses Urteil gute Stichpunkte oder Anhaltspunkte gibt, welche Überlegungen dabei anzustellen sind. Richtig. Und eben auch, was ja im Allgemeinen nicht immer so gesehen wird, ist eben, dass eben auch Einzelpersonen ganz einfach in diesen Fällen Verantwortliche im Sinne der DSGVO werden können. Und dass es eben hier dieses nur rein für private Zwecke in diesen Fällen eben nicht ausreicht. Ja, kein Freibrief. Kein Freibrief. Okay, ich komme zu einem weiteren Urteil des Landgericht München 1. Und zwar hat das Landgericht München 1 bezüglich des Auskunftsrechts nach § 21 T3 DG entschieden, dass der Betreiber eines E-Mail-Dienstes als Anbieter eines digitalen Dienstes im Sinne von § 21 Absatz 2 Satz 1 T3 DG anzusehen ist. Dabei, so das Landgericht weiter, setzt ein Anspruch gegen einen Anbieter digitaler Dienste aus § 21 Absatz 2 T3DG nicht voraus, dass der streitgegenständig oder gegebenenfalls rechtswidriger Inhalt unmittelbar über diesen, in diesem konkreten Fall über den E-Mail-Dienst des in Anspruch genommenen Anbieters verbreitet wird. Für diejenigen unserer Zuhörer, den Artikel 21, die 3DG vielleicht nicht so im Alltag so ganz geläufig ist oder noch nicht so oft untergekommen ist, begründet dieser Paragraf einen Auskunftsanspruch über Bestandsdaten gegen Anbieter von digitalen Diensten, allerdings nur in Ausnahmefällen. Und zwar, wenn dies zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist, das steht in Absatz 1, oder soweit dies zur Durchsetzung bestimmter in Absatz 2 näher konkretisierter zivilrechtliche Ansprüche erforderlich ist. Das heißt, Auskunftsanspruch in Ausnahmefällen in den dort geregelten Fällen. Im konkreten Fall, der hier dem Urteil zugrunde lag, hatte die beklagte Bewertung über die Antragstellerin, also die Antragstellerin war ein Unternehmen der Automobilbranche, voraussichtlich der Arbeitgeber der Beklagten. Jedenfalls hat die beklagte Bewertung auf einem Bewertungsportal, auf einer Online-Plattform, auf der aktuelle und ehemalige Mitarbeiter, Bewerber oder auch Lehrlinge Arbeitgeberbewertung abgeben können, hinterlassen. Die Bewertungen werden auf dieser Plattform anonym abgegeben und die Beklagte hatte unter anderem zum Beispiel geschrieben außen hui, in phui und so weiter. Hinsichtlich dieser und auch weiterer Bewertungen begehrte dann die Arbeitgeberin, also die Antragstellerin hier, zunächst die Erteilung von Auskünften über die Bestandsdaten der Verfasser dieser Bewertung von dem Plattformanbieter. Auf entsprechenden gerichtlichen Beschluss konnte leider nur die E-Mail-Adresse bekannt gegeben werden, da weitere Daten nicht vorhanden waren, sodass sich die Antragstellerin dann wiederum mit ihrem Auskunftsersuchen an den beteiligten E-Mail-Dienst gewendet hatte und dort die gespeicherten Bestandsdaten abgefragt hatte. Auch diese Möglichkeit besteht und das ist dann noch eben durch das Landgericht München bestätigt worden. An dem Urteil ist tatsächlich interessant, dass der Einwand des E-Mail-Dienstleisters, dass die streitgegenständlichen Handlungen, also die Bewertungen auf einer anderen fremden Plattform erfolgt sind, dass der eben nicht greift, weil es vor dem Hintergrund des §21 T3 DG eben nicht darum geht, ob es der eigene Dienst ist oder ob es eben ein fremder Dienst ist, auf dem Streit gegen ständige Handlungen durchgeführt wurden oder der hier im Raume steht, sondern es kommt eben allein darauf an, dass zivilrechtliche Ansprüche verfolgt werden. Und gerade hier im Rahmen einer bereits erhobenen Klage liege das eben vor. Insofern, ich glaube, es ist ein interessantes Urteil, in der Praxis vielleicht eher seltener relevant, aber trotzdem etwas, was man schon mal gehört haben sollte, dass wir tatsächlich auch im TK-Bereich über den Paragraph 21 auch noch Auskunftsrechte haben gegen Diensteanbieter. Vielleicht einfach mal zum Abspeichern, wenn es mal relevant wird. Ich fand es super interessant. Also mir war das eben nicht bewusst, dass man eben auch als, ich sage jetzt mal dritte Person, personenbezogene Daten halt eben auch anfordern kann, dass es hier ein Auskunftsrecht gibt. Ja, vor allem einmal als dritte Person an einen Dienstanbieter, der eigentlich gar nicht in dem Verfahren beteiligt ist. Genau, richtig. Ja, von nachher abspeichern. Irgendwann wird es vielleicht benötigt. Genau, richtig. Ich habe ein Update mitgebracht zur Datenpanne bei Merkur. Und zwar berichtete Heise diese Woche, dass weitere, insbesondere illegale Online-Casinos nach dem Datenleck der The Mill Software offline genommen worden sind. David hatte ja in der letzten Woche hier von diesem brisanten Datenleck berichtet. Und nachdem eben dieses Datenleck bekannt gemacht wurde, wurde eben nun bekannt, dass mehrere andere Online-Casinos von derselben Schwachstelle betroffen waren, darunter auch Anbieter ohne gültige Lizenz. Diese Seiten wurden mittlerweile ebenfalls vom Netz genommen und die… Entdeckung zeigt halt eben, dass die unsichere Software offenbar breitflächig im Einsatz war und das teilweise bei vielerlei Casinos und damit wächst eben der Kreis auch der potenziellen Betroffenen deutlich und der Druck auf die Aufsichtsbehörden grenzüberschreitend zu handeln steigt. Alles klar. Dann komme ich zu unseren Veranstaltungshinweisen und Lesehinweisen. Und zwar sind eigentlich zwei Veranstaltungshinweise sehe ich gerade. Denn der Hamburger Datenschutzbeauftragte hat eine Datenschutz-Sprechstunde zu seinem aktuellen Tätigkeitsbericht am 15. April angekündigt. Dort beantwortet er Fragen der Bürgerinnen und Bürger zu seinem aktuellen 33. Tätigkeitsbericht Datenschutz. Diese Datenschutz-Sprechstunde ist ein neues Angebot des Hamburger Datenschutzbeauftragten. Von daher, ich glaube, eine interessante Anlaufstelle für alle möglichen digitalen Fragestellungen und für diejenigen, die Fragen zum Tätigkeitsbericht haben, aber vielleicht auch darüber hinaus. Also insofern 15. April um 13.30 bis 14.30 werden Fragen durch Herrn Thomas Fuchs beantwortet. Darüber hinaus haben wir aber auch bezüglich des 33. Tätigkeitsberichts am 2. April einen weiteren Veranstaltungshinweis. Denn am 2. April stellt der Hamburger Datenschutzbeauftragte im Rahmen einer Pressekonferenz seinen 33. Tätigkeitsbericht vor. Es könnte sich also zum Beispiel schon mal lohnen, an dem Termin am 2.4. Teilzunehmen, sich vielleicht vorher schon mal die Inhalte selbst durchzuschauen, zu prüfen, was relevant ist und im Anschluss daran im Rahmen der Datenschutzsprechstunde Fragen, die vielleicht aufgetaucht sind, nochmal zu erörtern. Von daher 2.4. Pressekonferenz, 15.4. Datenschutzsprechstunde. Ja, ich finde immer so neue Formate ganz schön. Also mein Gefühl ist, vielleicht teilt das ja jemand, dass doch die Landesdatenschützer und Landesdatenschützerinnen immer aktiver werden im Kontakt zu den Bürgerinnen und Bürgern, aber natürlich auch zu uns Fachleuten. Ich persönlich finde das sehr schön und begrüße das auch. Ich habe noch eine Leseempfehlung mitgebracht, wie ich ja zum Anfang schon gesagt habe. Und hier geht es um ein Interview mit Tobias Käber, also dem Landesdatenschützer aus Baden-Württemberg, der auch schon bei uns zu Gast war im Podcast. Und er führt bei heise.de ein Interview mit Einblicken in die europäische Initiative zum Recht auf Löschung. Ganz interessant, wer da mal reinschauen möchte, packen wir hier gerne in die Shownotes. Und ja, wir nehmen das Thema Löschen ja auch dieses Jahr besonders ernst. Wir haben das als Schwerpunktthema bei dem einen oder anderen Kunden bei uns auch platziert, um da noch besser zu werden. Und ja, ich freue mich schon drauf. Jedenfalls. Ich bin gespannt, was das Jahr bringt. Vielleicht auch der Hinweis an unsere lieben Zuhörerinnen und Zuhörern, dass wir natürlich an verschiedensten Stellen datenschutzrechtlich auch hier unterstützen können. Wer dann noch Unterstützung braucht, weil das Thema Löschen kann ein sehr großes sein, Thema Löschkonzept, meldet euch sehr gerne. Und vielleicht ergänzen wir an der Stelle, dass wir auch an der einen oder anderen Stelle auch Unterstützung brauchen. Das heißt, wir suchen auch weiterhin neue Kollegen. Wer gerne zu uns kommen möchte, kann sich gerne bei uns melden. Auf unserer Karriere-Seite oder auf unserer Internetseite gibt es einen Link. So ist es. Wir freuen uns sehr. Wir würden uns freuen. So, dann sind wir damit, glaube ich, am Ende für heute, Laura. Es war schön. Finde ich auch. Es hat Spaß gemacht. Wir hoffen, es hat auch euch gefallen und dass ihr das ein oder andere mitnehmen konntet. Wir wünschen euch ein schönes Wochenende, falls ihr das heute am Freitag hört. Oder einen guten Start in die neue Woche, falls ihr das irgendwann am Montag oder wann auch immer hört. Von daher bleibt uns treu und wir hören uns nächste Woche wieder. Bis dann. Tschüss. Der Beitrag BGH stärkt Verbraucherverbände zu Lasten von Meta – DS News KW 13/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025 13:41

vor 10 weeks13:41

13:41

Was ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Überprüfung und Löschung veralteter personenbezogener Daten noyb reicht Beschwerde gegen OpenAI wegen Verstoßes gegen die DSGVO ein Glücksspielsysteme vollständig öffentlich zugänglich Hersteller wie Asus, HPE und Lenovo von Sicherheitslücke in Fernwartungssoftware betroffen Empfehlungen Datenschutz im Vereinsleben Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/alarmierendes-datenleck-bei-glucksspielsystem-ds-news-kw-12-2025/↗ Transkript zur Folge: Herzlich Willkommen zum Datenschutz Talk, deinem wöchentlichen Update zum Datenschutz. Heute am Mikro sind Lothar Szymanowski und mein lieber Kollege David Schmidt. Grüßt sich Lothar. Hi David. Wir haben Freitag, den 21. März 2025. Unser Redaktionsschluss war wie immer um 10 Uhr. Und wie üblich haben wir auf die Meldung in dieser Woche zurückgeblickt. David, welche Themen hast du dabei? Wir schauen nochmal auf die mit dem Bürokratieentlastungsgesetz geänderten Aufbewahrungsfristen und dann habe ich noch eine Sicherheitslücke mitgebracht, die sich bei einem großen Glücksspielanbieter offenbart hat. Wie sieht es bei dir aus, Lothar? Ich habe auch zwei Themen dabei und zwar zum einen eine Beschwerde der Neub gegen OpenAI und ebenfalls eine Sicherheitslücke in einer Fernwartungssoftware. Dann lass uns loslegen. Seit dem 1. Januar ist das Bürokratieentlastungsgesetz 4 in Kraft getreten. Mit dem Gesetz wurden die gesetzlichen Aufbewahrungsfristen für bestimmte Dokumente, insbesondere für Belege nach 257 Handelsgesetzbuch und 147 Abgabenordnung von 10 auf 8 Jahre verkürzt. Vor diesem Hintergrund hat der hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit daran erinnert, die Löschfristen im Rahmen der Löschroutinen und Löschkonzepte entsprechend anzupassen. Zur Orientierung verweist seine Behörde auf eine Seite der Handelskammer in Hamburg und dem schließen wir uns an und packen den Link in die Shownotes. Auf der Seite ist nicht nur erklärt, wie lange verschiedene Unterlagen aufgehoben werden müssen, sondern auch wie, wo und in welcher Form. Also ein guter erster Aufschlag, um sich mit dem Thema hoffentlich nicht erst zum ersten Mal, sondern jetzt erneut zu befassen. Das hört sich so an, als ob die Löschkonzepte überarbeitet werden müssen, die Fristen für die Verarbeitung angepasst werden müssen. Ja, das hört sich nach Arbeit an. Und das Ganze, wie ich dich richtig verstanden habe, läuft unter dem Stichwort Bürokratie-Entlastungsgesetz. Ich glaube in der vierten Version jetzt, ne? In der vierten Version, ich weiß aber nicht, ob das jetzt die vierte Version ist für dieses Gesetz oder ob es vorher andere Entlastungen gab und die werden einfach durchnummeriert. Vielleicht weiß das jemand von den Zuhörern und kann uns da aufklären. Ja, auch vielleicht mal die Auflösung Teil 1 bis 3 würde uns auch interessieren an der Stelle. Aber tatsächlich, also es geht letztendlich darum, die Fristen für das Löschen von strukturierten, aber auch von unstrukturierten Daten zu löschen. Ein Blick und eine Änderung des Löschkonzeptes würden wir empfehlen und ans Herz legen. Kommen wir zur Beschwerde Neub. Der Titel ist schon sehr reißerisch, aber trifft es eigentlich ganz gut. JetGPT hat fälschlicherweise einen norwegischen Nutzer als Doppelmörder dargestellt. Wie wir bei Heise und bei Neub selber lesen konnten, wurde ein norwegischer Mann fälschlicherweise von JetGPT als Mörder dargestellt. Das hat zu einer Datenschutzbeschwerde des österreichischen Vereins Neub bei der norwegischen Datenschutzbehörde geführt. Reub kritisiert, dass OpenAI sich auf einen Haftungsausschluss beruft, der nicht ausreiche, um die gesetzlichen Verpflichtungen zur Datenrichtigkeit gemäß der DSGVO-Vorgaben zu umgehen. In diesem bemerkenswerten Fall in Norwegen enthielt der Betroffene die Antwort von ChatGPT auf die Frage nach seinem Namen teilweise korrekte Informationen wie Heimatort, Anzahl, Geschlechter und Alter seiner Kinder. Allerdings stellte der Chatbot den Betroffenen fälschlicherweise als Mörder dar, der zwei seiner drei Kinder getötet haben soll und deshalb zu 21 Jahren Haft verurteilt wurde. Warum es zu dieser Falschaussage seitens ChatGPT, dem Sprachmodell, gekommen ist, bleibt völlig unklar. Es hat ja auch schon Fälle gegeben, in denen beispielsweise Journalisten auch als Straftäter beschrieben wurden, nur weil sie diese Taten berichteten und diese Ergebnisse vermischt wurden. Aber wie gesagt, die Halluzinationen in diesem norwegischen Fall sind nicht, zumindest auf den ersten Blick, nachvollziehbar. Im Kern der Beschwerde von Neub geht es darum, dass die DSGVO den Grundsatz zur Datenrichtigkeit enthält, der es ermöglicht, sich gegen Unwahrheiten zu wehren und eine Richtigstellung zu verlangen. OpenAI weist darauf hin, dass Chat-GPT Fehler machen könnte, was durch einen Hinweis kenntlich gemacht wurde. Aber Neub kritisiert jedoch, und das ist auch nachvollziehbar, dass dieser winzige Hinweis nicht ausreiche, um den gesetzlichen Verpflichtungen zur Richtigkeit nachzukommen. Zitat von Neub, die gesetzlichen Verpflichtungen zur Datenrichtigkeit lassen sich nicht mit einem Haftungsausschluss umgehen. Ja, grundsätzlich haben wir hier eine Herausforderung mit, ja grundsätzlich KI-Sprachmodellen zu tun, bei denen Fakten und Fiktionen vermischt werden. Fazit, deshalb zeigt deutlich, dass wir zum jetzigen Zeitpunkt sehr, sehr aufmerksam sein müssen und auch kritisch sein müssen, da wo KI-Systeme Einzug in den privaten und geschäftlichen Bereich einhalten und immer stärker und immer schneller zum Einzug kommen. Klar auch, KI-Systeme werden zwar immer besser und sicherlich wird es auch zukünftig technische Möglichkeiten geben, gegen diese Halluzinationen vorzugehen und diese einzudämmen. Allerdings schützt das auch nicht vor Fehlern und entbindet uns auch nicht von der Verpflichtung der Kontrolle, der kritischen Kontrolle. Ja, alles in allem, ich glaube, diese Aspekte, die gehören auch in eine betriebliche Richtlinie zum Umgang mit KI-Systemen. Um nicht so festzustellen, ja, welche Systeme darf ich verwenden? Sind die freigegeben? Wie trainiere ich die? Sondern wie gehe ich mit den Ergebnissen um? Ich finde es vor allem auch ein super Beispiel für die Wichtigkeit des Grundsatzes der Richtigkeit der Daten. Auf der einen Seite erschütternd, aber eben auch ein super Beispiel, was das für Auswirkungen haben kann, wenn Daten einmal unrichtig im Umlauf kommen. Und gerade im Zusammenhang mit KI sollte man da immer vorsichtig sein und auch überlegen, wie man eine Halluzination, die man nicht direkt nach der Generierung der Daten bemerkt hat, noch zurückverfolgen kann. Also Stichwort Verwässerung von aus KI generierten Daten mit anderswo erhobenen Daten. Bei dem Glücksspielanbieter Merkur wurde durch eine IT-Sicherheitsforscherin ein erhebliches Datenleck aufgedeckt. Die Lücke betrifft die Online-Casinos der Merkur-Gruppe und aufgedeckt wurde diese von der Sicherheitsforscherin Lilith Wittmann. Für die Online-Casinos wurde eine Software namens The Mill Adventures eingesetzt, die von einem maltesischen Dienstleister zur Verfügung gestellt wird. Durch eine ungeschützte GraphQL-Schnittstelle war es möglich, personenbezogene Daten von über einer Million Spielern einzusehen. Unter den Daten befinden sich nicht nur Namen der Spieler, sondern auch sensible Informationen wie Spielhistorien, interne Vermerke zu einzelnen Spielern, Ausweiskopien und Zahlungsinformationen. Ja, in Anbetracht der Quantität und Qualität dieser Lücke sind wir gespannt, welche behördlichen Sanktionen und auch Schadenersatzforderungen durch Betroffene auf die Merkur-Gruppe zukommen. Wow, nicht trivial. Wir sind bei den technisch-organisatorischen Maßnahmen und wie wichtig die sind, kann man sehr, sehr schön an diesem Beispiel sehen. Ja, vor allem in so einem sensiblen Bereich. Sowieso irgendwie so ein bisschen immer in der shady Ecke, wo sich vielleicht auch Behörden und Personen, die nicht so viel damit zu tun haben, gar nicht so für interessieren. Aber es ist hier natürlich ein Riesending. Absolut. Also das Risikobetrachtung, die Auswirkungen für die betroffene Person, nicht nur Identitätsdiebstahl, sondern auch Erpressungsrisiken, ist schon irre. Wir bleiben tatsächlich bei Sicherheitslücken und zwar konnten wir ebenfalls bei Heise lesen über eine kritische Schwachstelle in einer Serverfernwartungssoftware, die Army Megarec. Sicherheitsexperten von Eklipsium haben in der Fernwartungssoftware eine kritische Sicherheitslücke entdeckt. Diese Schwachstelle ist auch bekannt als Redfish Authentication Bypass. Hat auch eine CWE-Nummer, also eine Common Vulnerability and Exposure-Nummer. Ist die 224 54085, verlinken wir auch in den Shownotes, und wurde mit der höchsten Risikostufe bewertet. Sie betrifft die Firmware und ermöglicht potenziell autorisierten Zugriff auf die Server. Diese schwerwiegende Sicherheitslücke in der Fernwartungssoftware könnte es Angreifern ermöglichen, auf vertrauliche Daten zuzugreifen bzw. Systeme zu manipulieren oder sogar Schadsoftware zu installieren. Und natürlich sind Unternehmen als Verantwortliche verpflichtet, personenbezogene Daten durch dem Risiko angemessene und geeignete technische und organisatorische Maßnahmen zu schützen. Und eine solche Schwachstelle stellt ein erhebliches Risiko für die Integrität und Vertraulichkeit dieser Daten dar. Für die technisch interessierten Zuhörer sind die betroffenen Systeme. Die Firmware Army MegaRack wird auf den Baseboard-Management-Controllern von Servern eingesetzt, unter anderem bei den Herstellern wie Asus, SROG Rack. HPE, also im Enterprise-Segment und bei Lenovo. Die Schwachstelle befindet sich in einem Codemodul für die Fernwartung API Redfish, die sich als sicherer Ersatz für das ältere IPMM-Protokoll gilt. Es wurden bereits vom Hersteller Patches bereitgestellt, die jedoch von den jeweiligen Herstellern in ihre Firmware integrieren müssen. Ja, also falls noch nicht passiert, sich mal diese Schwachstelle anschauen, die CWE-Nummer mal nachschlagen und bitte ins Patchmanagement übernehmen. Und ja, auch hinsichtlich der Fernwartung ist auch ein Riesenthema. Auch nochmal ein Auge drauf werfen, stellt man sich zunächst die Frage, welche Aspekte aus dem Datenschutz gelten bei der Fernwartung, was ist dort zu beachten? Ja, das ist ein Datenschutzthema. Es muss zum einen vertraglich geregelt sein, welche Instanzen, welche Hersteller dürfen denn auf die Systeme zugreifen. Habe ich da Protokolle darüber, wenn es unbeaufsichtigt ist oder ist es sogar ein begleiteter oder beaufsichtigter Vorgang? Also da auch nochmal bitte in die Richtlinien schauen zur Fernwartung von Systemen, von Software und die Aufnahme in das Patchmanagement. Zum Abschluss habe ich noch einen kleinen Schmunzler mitgebracht. Der kommt von uns aus Nordrhein-Westfalen. Die Landesbeauftragte für den Datenschutz hier, Bettina Geig, hat eine Verwarnung gegen einen Kleingartenverein ausgesprochen. Und vielleicht betrifft es ja den einen oder anderen jetzt, wo das Wetter wieder besser wird, dass man wieder Zeit in seinem Schrebergarten verbringen möchte. Diese Vereine halten selbstverständlich auch Jahresversammlungen ab und der hier verwarnte Verein ist auf die Idee gekommen, das Protokoll mit allen Mitgliedsnamen von dieser Versammlung in einem zugänglichen Glasschau-Kasten zu veröffentlichen. Da hatten sich Mitglieder gegen beschwert und die Behörde ist daraufhin dann tätig geworden. Was es alles gibt. Ich bin heute Abend tatsächlich in meinem Angelferein unterwegs. Ich werde mir auch mal die Schaukästen anschauen. Mach das mal. Besser du sprichst die Verwarnung aus als die Behörde. Ich bin auf die Gesichter gespannt. Gut, ich glaube wir sind soweit durch, lieber David. Wir sind kurz vor dem Wochenende und blicken tatsächlich zurück auf eine spannende Woche. Ich freue mich auf das Wochenende. Das Wetter scheint ja auch uns in die Karten zu spielen. Wie wirst du das bundesliga-freie Wochenende gestalten? Nicht im Schrebergarten, so viel verrate ich. Das hört sich nach einem Plan an. Ja, vielen Dank, falls ihr das heute am Freitag hört. Wir wünschen euch ein schönes Wochenende, ein sonniges Wochenende. erholt euch gut. Falls ihr es am Montag hört, wünschen wir euch, dass ihr euch am Wochenende gut erholt habt, euch einen guten Wochenstart und würden sagen, bis nächste Woche. Auf bald! Der Beitrag Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Kein Anspruch auf Ende-zu-Ende-Verschlüsselung - DS News KW 11/2025 25:02

vor 11 weeks25:02

25:02

Was ist in der KW 11 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Datenabfrage für private Zwecke: 3.500 Euro Bußgeld Bundesfinanzhof zu Art. 15 DSGVO : Umfassendes Auskunftsbegehren nicht automatisch als exzessiv im Sinne der DSGVO Hanseatisches Oberlandesgericht bestätigt: Keine pauschale Pflicht für Gastzugänge bei Onlineshops VGH München : Kein Recht auf Einsichtnahme in Verträge zwischen Verantwortlichen und Auftragsverarbeitern Beschluss des OVG NRW : Kein Anspruch auf Ende-zu-Ende-Verschlüsselung Empfehlungen: Studie des cyberintelligence.institute (CII) zur Cybersicherheit von Kommunen Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/kein-anspruch-auf-ende-zu-ende-verschlusselung-ds-news-kw-11-2025/↗ Transkript zur Folge: Da sind wir. Alle beide. Alle beide. Bist du bereit? Ich bin bereit. Habe ich ganz vergessen zu fragen. Nein, alles gut. Nicht, dass nachher noch einfällt, Schuhe musst du noch zubinden oder… Ach, machen wir das heute in Bewegung? Ja, kleine Tanztherapie dabei. Oh, schön. Ja, das machen wir wieder. Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Mein Name ist Heiko Gossen. Und mein Name ist Lothar Sumanowski. Und wir starten wieder mit euch gemeinsam ins Wochenende. Und das, wie unsere Tradition das hier verlangt, natürlich nicht, ohne vorher einmal auf die Woche des Datenschutzes zu blicken. Heute ist Freitag, der 14. März 2025. Unser Redaktionsschluss, wie gewohnt, um 10 Uhr. Ja, Heiko, wir sind ja alle wieder im Lande. Es ist Freitag. Wir kommen von einer Woche aus unseren Projekten, aus unseren Aufträgen zurück. Heiko, du warst aber auch unterwegs diese Woche, ne? Ja, tatsächlich. Ich war in München. Wir hatten vom Bitkom unsere Arbeitskreissitzung. Wir waren bei Accenture eingeladen. Auch sehr beeindruckend. Wir hatten eine kleine Führung noch durch deren AI-Studios. Aber auch inhaltlich haben wir doch sehr viele interessante Vorträge gehabt, aber wir hatten auch einen hohen Besuch dort. Michael Will war mit seiner Mitarbeiterin Karina, Karolin Loy, Entschuldigung, da, schöne Grüße an der Stelle. Und nee, aber wir haben auch viel inhaltlich doch erfahren. Also ich habe zum Beispiel mitgenommen, dass wir nicht alleine sind mit dem Missverständnis oder mit dem Unverständnis über die doch irgendwie sehr interessante Leitentscheidung des BGHs zum Facebook-Scraping im November letzten Jahres. Das haben wir ja auch schon in der Silvester-Show mit Simon Weidler von Meta thematisiert. Aber auch zum Thema AI-Eck gab es einiges. Also fand ich jetzt nochmal eine ganz wichtige Klarstellung unter anderem, dass wir halt ja in dem AI-Eck, in Artikel 4, die Verpflichtung zur Mitarbeiterkompetenz haben, was nicht zwingend heißt, dass ich Schulungen durchführen muss. Das ist so, dass was natürlich immer wieder schnell aufkommt und den Unternehmen auch gesagt wird, ihr müsst jetzt eure Mitarbeiter im Bereich AI schulen, aber es geht halt um Kompetenz, die muss vorhanden sein und die kann man auf sehr unterschiedliche Art und Weisen erlangen. Deswegen finde ich, das ist nochmal ein ganz wichtiger Hinweis gewesen. Und was ich auch sehr interessant fand, das hatte Frau Loy auch nochmal erwähnt oder erläutert, dass die Executive Order, die Präsident Biden ja erlassen hatte, um die Zugriffsberechtigungen von den Geheimdiensten auf Daten einzuschränken, also letztendlich eine wichtige Voraussetzung, damit das Data Privacy Framework überhaupt zustande kam, dass die nach aktuellem Stand wohl immer noch in Kraft ist. Also die wurde von Trump nicht aufgehoben. Und dass auch die Neubesetzung dieses Privacy and Civil Liberties Oversight Board gar nicht so ungewöhnlich ist bei neuen Präsidenten und solange das halt auch nachbesetzt wird, dass man hier auch jetzt nicht unbedingt grundsätzlich das Abkommen halt als gefährdet sieht. Und natürlich haben die Aufsichtsbehörden Kritik, keine Frage. Und wie gesagt, das muss ja auch am Ende von der Kommission dann nochmal auch bewertet werden. Aber fand ich nochmal eine ganz gute Einsortierung auch von diesen Themen. Ja, sehr spannend. Also ich will jetzt nicht vom Damoklesschwert sprechen, aber man ist doch schon sehr, sehr aufmerksam, was da jetzt so in den nächsten Wochen und Tagen so los ist. Aber sehr spannende Themen. Hört sich so an, als ob so Themen sind, die es auch uns umtreibt, tatsächlich. Ja, definitiv. Und vielleicht noch ganz kurz ergänzend, auch nochmal, das hat Frau Leu bestätigt, was wir auch hier ja mal sagen, in dem Moment, wo das Privacy Framework natürlich aus welchen Gründen auch immer, ob es der EuGA heißt, ob es die Kommission ist, die ist aufkündigt, aber wenn es fällt, nicht nur die SECs natürlich, wenn sie schon abgeschlossen sind, dann sich darauf zurückziehen, sondern es muss dann auf jeden Fall eine neue TIA durchgeführt werden. Also das ist nochmal eine ganz wichtige Erinnerung an dieser Stelle. Aber damit genug dazu. Unsere Zuhörer sind ja da, um vor allen Dingen auch zu erfahren, was es halt ansonsten an News gab. Was hast du mitgebracht, Lothar? Ich habe insgesamt drei spannende Themen mitgebracht und zwar geht es um ein Bußgeld zu einer Datenabfrage für private Zwecke. Wir haben eine Bestätigung des Hanseatischen Oberlandesgerichtes zur Pflichteinrichtung von Gastzugängen und zu guter Letzt ein Beschluss des Oberverwaltungsgerichts NRW zum Thema der Ende-zu-Ende-Verschlüsselung. Ich würde einen Blick auf eine Entscheidung des Bundesfinanzhofes werfen zu Artikel 15 und wie weit das Auskunftsrecht geht. Dann blicken wir noch auf eine Entscheidung in Bayern vom Verwaltungsgericht dort über das Recht zur Einsichtnahme in Auftragsverarbeitungsverträge und ich hätte eine Veröffentlichung, zu der ich auch noch ein paar Worte sagen möchte. Damit würde ich sagen. Können wir loslegen. Lügen wir los. Ja, wie schon erwähnt, haben wir ein Bußgeld des Landesschutzbeauftragten Baden-Württemberg. Auf dem Tisch erahndet eine rechtswidrige Nutzung des Melderegisters durch einen Polizisten. Ein Polizeibeamter aus Baden-Württemberg wurde vom Landesbeauftragten mit einem Bußgeld von 3.500 Euro belegt. Denn dieser Beamte hatte ohne dienstlichen Anlass Daten einer Frau im Melderegister abgefragt, um ein Lichtbild der Frau einzusehen, die er wohl offensichtlich zuvor bei einer Verkehrskontrolle kennengelernt hatte. Auch ein schönes Wording, kennengelernt hatte. Dabei bewertete er die Frauen nach einer persönlichen Schönheitsskala, auch sehr interessant. Und wenn ein gewisser Wert erreicht wurde, hat er es wohl so für nötig gehalten, Lichtbilder im Melderegister abzufragen. Der Landesbeauftragte wertete diese unrechtmäßige Abfrage als einen Verstoß gegen die Datenschutzgrundverordnung und richtete die Höhe des Bußgeldes durch die herabwürdigende Objektifizierung der Frau für das systematische Vorgehen des Beamten. Der Landesbeauftragte betonte natürlich die Verantwortung von Polizeibeamten im Umgang mit sensiblen Daten und sanktioniert den Missbrauch dienstlicher Datenbanken Konsequenz. Übrigens, im Jahr 2024 wurden insgesamt in zwölf Verfahren gegen polizeibeschäftigte Bußgelder in Höhe von knapp 15.000 Euro verhängt. Fazit. Bei rechtswidrigen Datenabrufen in polizeilichen Datensystemen zu privaten Zwecken handeln Polizeibeschäftigte eigenverantwortlich. Das heißt, eine Sanktionierung als Privatperson im Rahmen eines wirksamen und abschreckenden Bußgeldes gemäß Artikel 83 der DSGVO sind demnach auch durchaus möglich. Es gibt ja immer wieder Fälle von Polizeibeschäftigten, die dienstliche Datenbanken für private Zwecke nutzen. Wir haben auch schon mehrfach darüber berichtet. Die DSGVO sieht vor, dass in solchen Fällen individuell sanktioniert werden kann. Und dieser Fall zeigt auch eindeutig, dass Datenschutzverstöße innerhalb der Polizei nicht nur arbeitsrechtliche Konsequenzen haben, sondern auch persönliche Bußgelder nach sich ziehen können. Das reiht sich ja gut ein. Also ich meine einerseits klar, die Aufsichtsbehörden können gegen die Behörden selber keine Bußgelder verhängen, aber hier ist es ja auch ganz klar, wirklich dann der Beamte, der sozusagen auf eigene Faust, in eigener Verantwortung handelt, dann durchaus sanktionierbar. Also die sind halt nicht geschützt, aber wie du schon sagst, kein Einzelfall, leider, muss man ja auch sagen, dass es halt immer wieder vorkommt. Aber umso beruhigender, dass es dann halt auch nicht unter den Tisch gekehrt wird, sondern halt auch aufgearbeitet wird und entsprechend auch sanktioniert wird. Und dass offensichtlich es auch Meldeinstanzen gibt und Kontrollinstanzen, die so etwas aufdecken. Ob das jetzt beobachtet wurde oder ob es systemische Einstellungen gibt, das beruhigt dann schon. Ja, gut, aber ich stimme dir zu, die Formulierung in der Moral meiner Verkehrskontrolle kennengelernt zu haben. Es klingt halt so, als wäre es von beiden Seiten freiwillig gewesen, aber erfahrungsgemäß ist so eine Polizeikontrolle ja doch immer von einer Seite mehr gewollt als von der anderen. Gut, der Bundesfinanzhof hat entschieden, dass ein umfassendes Auskunftsbegehren nicht automatisch als exzessiv im Sinne der DSGVO gilt und auch hoher Aufwand kein Recht zur Einschränkung dieses Rechts ist. Der BfH stellt also klar, dass Verantwortliche den Auskunftsanspruch nach Artikel 15 DSGVO nicht mit dem Argument eines unverhältnismäßigen Aufwands ablehnen dürfen und betonte auch zudem, dass ein Auskunftsbegehren nicht allein deshalb als exzessiv gilt, weil es nicht sachlich oder zeitlich eingeschränkt ist. Es kam weiterhin zu dem Schluss, dass die Akteneinsicht, die hier in dem Fall auch entsprechend angeboten wurde vom Finanzamt, nicht zwingend als Anforderung des Artikel 15 DSGVO diese als erfüllt sieht, so muss man formulieren, da sie halt nicht immer eine strukturierte und verständliche Auskunft natürlich über die verarbeiteten personenbezogenen Daten gewährleistet. Das Finanzgericht Thüringen hatte hier zunächst anders entschieden und dem Finanzamt Recht gegeben. Der Bundesfinanzhof sah die Sache halt in der Revision nun anders und sagte auch nochmal, eine analoge Anwendung von Artikel 14 Absatz 5 auf das Auskunftsrecht kann hier nicht erfolgen, weil halt hier keine ungeplante Regelungslücke besteht, sondern dass halt zwei sehr unterschiedliche Rechte sind und deswegen das auch nicht übertragbar ist. Dieses Argument des unverhältnismäßigen Aufwandes. Ganz interessant finde ich an dem Urteil die Ausführungen des BfH, an denen er den Exzess abprüft. Also meines Erachtens kann man das auch ganz gut heranziehen, wenn man jetzt zum Beispiel selbst im Unternehmen gerade so einen Fall hat, wo man überlegt, kann ich das eventuell ablehnen unter der Begründung des Exzesses. Da finde ich, wie gesagt, macht das Urteil auf jeden Fall Sinn heranzuziehen und diese ganzen Punkte sich anzuschauen, die das Gericht hier entsprechend auch angeführt hat, um den Access abzuprüfen. Also von daher auf jeden Fall eine Empfehlung und dementsprechend verlinken wir natürlich auch den Volltext dann in den Shownotes. Unsere nächste Meldung führt uns zu einem alten Bekannten. Wir hatten im vergangenen Jahr, also in der Podcast-Folge 33 2024. Davon berichtet, dass die Anlage eines Kundenkontos durchaus im Online-Geschäft verpflichtend sein kann, wenn bestimmte Voraussetzungen erfüllt sind und wenn ein bestimmter Geschäftsvorgang vorliegt. Und zwar hat jetzt dazu das Oberlandesgericht Stuttgart bestätigt, dass ein Marktplatzanbieter, man kann es ruhig hier sagen, das ist Otto.de, Kundinnen zur Kontoerstellung verpflichten kann, wenn die Konten auch automatisch gelöscht werden. Das OLG Stuttgart hat tatsächlich in zweiter Instanz jetzt bestätigt, dass Online-Marktplätze unter bestimmten Bedingungen keinen Gastzugang anbieten müssen, denn der Versandhändler nicht nur Eigenware, sondern auch Dritthändler auf seiner Plattform integriert hat. Und demnach kann es gerechtfertigt sein, dass eine Anmeldung erforderlich ist, solange sichergestellt ist, dass die Kundenkonten nach einer gewissen Inaktivitätsperiode automatisch gelöscht werden und nur für die Vertragsabwicklung notwendigen Daten erhoben werden. Der Datenschutzkonflikt um verpflichtende Kundeninformationen und Kundenkonten in Online-Shops, der schwelt seit Jahren. Die Datenschutzkonferenz DSK hatte bereits 2021 gefordert, dass Unternehmen keine verpflichtende Registrierung verlangen dürfen und viele Shops haben in der Zwischenzeit dieses umgesetzt. Allerdings, einige Anbieter berufen sich aber auf Besonderheiten im Geschäftsmodell, so etwa, wenn sie als Plattform für Drittanbieter agieren. In dem nun entschiedenen Fall hat otto.de den Landesdatenschutzbeauftragten überzeugt, dass eine Anmeldung aus Gründen der Datenminimierung und zentralisierten Verwaltung von Retouren zulässig ist. Das Oberlandesgericht Stuttgart hat das Urteil in der ersten Instanz bestätigt und die Position des hamburgischen Datenschutzbeauftragten gestärkt. Ja, was können wir festhalten? Marktplätze dürfen Kunden und Kundinnen zur Registrierung verpflichten, wenn dies für die zentrale Abwicklung mit Dritthändlern natürlich erforderlich ist. Klar, wenn ich Gewährleistung und Garantieansprüche klären muss, dann muss ich natürlich auch feststellen, wer das bestellt hat und welche Sachen letztendlich dahinterstehen. welcher Händler dahinter steckt. Deswegen kann ich es super nachvollziehen, dass da auch die Daten weiterhin gespeichert werden über den Geschäftsvorfall hinaus. Und ja, was auch in dem Gericht und auch in der ersten Instanz hat man darüber berichtet, dass der Online-Händler auch sehr, sehr stark mit dem hamburgischen Datenschutzbeauftragten kooperiert hat, sich das auch angeschaut hat, auch entsprechende Maßnahmen definiert hat, dass die automatische Kontolöschung eine durchaus datenschutzfreundliche Alternative zum Gastzugang sein kann. Die Datenschutzbehörden, das ist aber auch weiterhin erwartbar, werden weiterhin prüfen, ob Händler ohne Marktplatzmodellen fälschlicherweise Gastzugänge verweigern. Man kann jetzt nicht digital entscheiden, ist das verboten oder ist es erlaubt, das Ganze über Kundenkonten abzuwickeln. Da wird eine weitere Prüfung erforderlich sein. Ja, das passt ja auch ganz schön zur Pressemitteilung des hamburgischen Datenschutzbeauftragten die Woche, der auch nochmal da zusammengefasst hat, dass sie halt weiter prüfen und dass sie auch einige Prüfungen schon durchgeführt haben und auch Unternehmen konkret angeordnet haben, halt Gastzugänge einzurichten, weil sie es halt nicht alle schon hatten. Andere hat er sich aber auch löblich geäußert, dass die das auch schon vor der Entscheidung der DSK angeboten haben. Wunderbar. Die Datenschutz-Grundverordnung gewährt Betroffenen kein Recht auf Einsichtnahme in Verträge zwischen Verantwortlichen und Auftragsverarbeitern. Im vorliegenden Fall, der in Bayern zur Verhandlung stand, stellte das Gericht klar, dass weder die DSGVO noch der Rundfunkbeitragsstaatsvertrag den Betroffenen ein Recht auf Einsicht in solche Verträge einräumen. Das Gericht führte aus, dass die DSGVO den Betroffenen zwar umfangreiche Auskunftsrechte gewährt, diese jedoch halt nicht auf das Recht umfassen, interne Verträge zwischen dem Verantwortlichen und einem Auftragsverarbeiter einzusehen. Auch § 11 Absatz 8 des eben genannten Rundfunkbeitragsstaatsvertrages, der die Auskunftspflicht der Rundfunkanstalten regelt, beinhaltet keinen solchen Anspruch. Das Gericht betonte, die Transparenzpflicht gegenüber dem Betroffenen sei halt nicht so weitgehend, dass die internen Vertragsdokumente offengelegt werden müssen. Aus meiner persönlichen Meinung jetzt heraus, wenig überraschend die Entscheidung, also zumindest für uns, die sich im Datenschutzrecht ja auskennen. Wie gesagt, würde man jetzt auch genau das erwarten. Aber da ja doch viele Verbraucher immer mal wieder auf sehr interessante Ideen kommen, wie weit das Auskunftsrecht gehen kann, vielleicht für den einen oder anderen ja doch nochmal ganz gut, dieses Urteil auch im Hinterkopf zu haben, wenn man sich halt mit solchen Ideen dann in der eigenen Praxis konfrontiert sieht, hat man doch eine ganz gute Argumentationshilfe. Deswegen auch hier würden wir den Link mal direkt in die Shownotes packen. Kreative Bürger. Es ist ja tatsächlich sehr interessant, was da rauskommt. Die Woche hatten wir einen Vorgang, wo ein Bürger das Recht zur Löschung geltend gemacht haben wollte. Allerdings waren noch einige Rechnungen offen bei dem Unternehmen. Also es wäre auch ein Geschäftsmodell. Geschäfte machen und dann Artikel 17 die Löschung machen. Und dann hat sich das erledigt. Ja, ich versuche das auch immer wieder, aber irgendwie. Meine letzte Meldung, die ist ganz interessant im Hinblick auf das Urteil des Oberlandesgerichts Schleswig. Wir hatten Ende letzten Jahres darüber berichtet und zwar ging es dabei um die Frage, Versand von E-Mails, in denen angehängte Rechnungen sind, ob eine Ende-to-Ende-Verschlüsselung erforderlich ist oder nicht. In einem aktuellen Beschluss des Oberverwaltungsgerichtes Nordrhein-Westfalen, das Aktenzeichen wie immer verlinken wir auch in den Shownotes, vom 20. Februar 2025 wurde die Beschwerde eines Antragstellers zurückgewiesen, der verlangte, dass eine Behörde seine personenbezogenen Daten nur und ausschließlich mit Ende-zu-Ende-Verschlüsselung übermittelt. Das Gericht entschied, dass ein solcher Anspruch nicht besteht, wenn die Behörde bereits angemessene Sicherheitsmaßnahmen wie zum Beispiel die TLS-Verschlüsselung implementiert hat. Des Weiteren führte das Gericht aus in seinen Entscheidungen, dass Artikel 18 Absatz 1, also die Einschränkung der Verarbeitung, keinen Anspruch auf spezifische technische Maßnahmen wie die Ende-zu-Ende-Verschlüsselung begründet. Zudem betonte es, dass die Behörde gemäß Artikel 32 verpflichtet ist, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Da der Antragsteller kein besonderes Risiko nachweisen konnte und die Behörde bereits TLS-Verschlüsselung einsetzt, sah das Gericht keinen weiteren Handlungsbedarf. Ja, was sind die Hintergründe dazu? Der Antragsteller hatte im Wege eines einstweiligen Rechtsschutzes gefordert, dass die Antragsgegnerin seine personenbezogenen Daten nur mit Ende-zu-Ende-Verschlüsselung übermittelt. Hilfsweise verlangte er eine dem Stand der Technik entsprechende Verschlüsselung. In erster Instanz hatte das Verwaltungsgericht Köln den Antrag abgelehnt, worauf der Antragsteller Beschwerde einlegte und das Oberverwaltungsgericht bestätigte die Entscheidung der Vorinstanz. Ja, Unternehmen sollten sowie Behörden einfach sicherstellen, dass sie gemäß Artikel 32 geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Und das bedeutet allerdings nicht zwangsläufig die Implementierung von Ende-zu-Ende-Verschlüsselung. Wichtig ist vielmehr, dass die gewählte Sicherheitsmaßnahme dem Stand der Technik entspricht und dem Risiko angemessen ist. Das finde ich ja richtig im Ergebnis. Jetzt hatten wir aber ja auch vor einigen Wochen, ich glaube in der KW6 war es, Natalia glaube ich hatte darüber berichtet, ein Urteil vom USOLG Schleswig, was ja gesagt hat zum Beispiel, also wir erinnern uns vielleicht, da ging es um eine Rechnung von einem Handwerker, die zwischen Versand beim Handwerker und Ankunft beim Empfänger offensichtlich manipuliert worden war und deswegen das Geld an eine andere Bankverbindung gegangen ist, an die des Betrügers. der die Rechnung manipuliert hatte. Und da kam ja das OLG Schleswig zu dem Ergebnis, dass solche Informationen immer Ende zu Ende verschlüsselt werden müssten. Also die sind ja nicht ganz im Einklang, diese beiden Entscheidungen. Also ich habe mich bei diesem OLG Schleswig-Urteil sowieso ein bisschen aufgeregt, weil es halt irgendwie sehr einseitig davon ausgeht, dass Ende zu Ende Verschlüsselung die einzige Variante ist, um das Problem zu lösen. Deswegen begrüße ich jetzt diese Entscheidung hier vom Oberverwaltungsgericht NRW. Aber macht halt wieder für die Praxis, zeigt halt wieder so schön, dass es halt selbst bei einem Oberlandesgericht oder Oberverwaltungsgericht halt irgendwie nicht einheitliche Rechtsprechung gibt und wer dann halt doch irgendwie immer die höheren Instanzen noch braucht. Es ist sowieso verwunderlich, dass ganz konkret technische Maßnahmen empfohlen und auch zugrunde gelegt werden, wie so eine Ende-zu-Ende-Verschlüsselung. Das ist das Erste. Und das Zweite, ist es denn wirklich das Einfallstor Nummer eins, dieser Angriff auf dem Transportwege, auf dem Verschlüsselungswege oder nicht vielmehr die Kompromittierung von E-Mail-Konten und dass dann dort die Änderungen passieren und die Einfallstore sind? Fand ich ebenfalls sehr bemerkenswert, aber ich glaube, das ist ein Thema, was wir auch noch ein wenig länger begleiten dürfen. Ja, wir haben ja die Urteile auch bei uns intern diskutiert. Deswegen, wer da Lust hat, mit uns zusammen sowas zu diskutieren, an der Stelle mal der kleine interne Hinweis, dass wir unser Team vergrößern und deswegen auch gerne noch Kolleginnen und Kollegen suchen, die gerne mit uns halt auch intern an solchen Themen diskutieren und das natürlich auch zum Kunden tragen. Also ganz klar, wir suchen Berater, Beraterinnen. Also es ist nicht nur mit dem internen Diskutieren getan. Es muss auch ein bisschen Geld verdient werden draußen. Das wollen wir nicht verheimlichen. Aber ich finde, wir brauchen uns nicht verstecken mit dem Niveau, auf dem wir hier intern auch die Themen dann auseinandernehmen, diskutieren und zu Ergebnissen kommen. Also, wer Interesse hat, meldet sich gerne bei mir, entweder über LinkedIn oder geht auf unsere Karriereseite migosens.de. Da findet ihr nochmal ein paar Details natürlich auch zu der Stelle und zu dem, was wir suchen, aber auch was wir bieten. Ganz viel. Und das ist nicht wenig. Ja. Also, fühlt euch eingeladen, euch die Seite anzugucken, uns zu kontaktieren. Wir freuen uns. Und damit komme ich zum letzten Punkt, Veröffentlichungen und Veranstaltungen. Heute ist es nur eine Veröffentlichung geworden. Und zwar geht es um eine Studie, die belegt, Cyber-Angriffe treffen immer häufiger auch Städte und Gemeinden, nicht nur Wirtschaftsunternehmen. Die neue Studie des Cyber-Intelligence-Institutes beleuchtet die Widerstandsfähigkeit deutscher Kommunen und kommt zum Ergebnis, die sind offenbar schlecht gegen Bedrohungen gewappnet. Kleiner Hinweis, genau. Ich war nicht so überrascht. Man kriegt es ja aus den Meldungen irgendwie mal mit. Wobei jetzt in den letzten Monaten, glaube ich, waren weniger Kommunen in den öffentlichen, also in den breiten Medien zumindest. Aber wenn man sich die Studie halt anguckt und deswegen kann man natürlich auch nochmal reingucken, weil ich glaube, viele der Punkte kann man halt sehr gut auch auf Unternehmen übertragen, wenn man sich halt anschaut, was sind halt die Gründe. Und das ist halt sehr häufig Mangel an Fachpersonal oder veraltete IT-Systeme, Die sind vielleicht in Kommunen sogar noch häufiger als in Wirtschaftsunternehmen. Aber auch unzureichendes Risikobewusstsein, also nicht nur Schulen und sensibilisierende Mitarbeiter ist halt wichtig, sondern halt letztendlich dann natürlich auch auf Geschäftsführungsebene oder auf Leitungsebene dieses Risikobewusstsein zu schaffen und dann halt auch zum Beispiel dem Punkt fehlende finanzielle Mittel entgegenwirken, weil wir können erst dann was tun, wenn wir halt noch Mittel haben und dazu gehört halt auch Sensibilisierung auf Leitungsebene. Und einen Punkt fand ich auch noch ganz interessant, Probleme mit der IT-Dienstleistersteuerung. Also auch hier ist es wohl bei den, zumindest jetzt wie gesagt Städten und Gemeinden wohl häufig so, dass externe IT-Dienstleister oft unzureichend überwacht werden oder es vielleicht auch sogar keine klaren vertraglichen Regelungen zur Sicherheit gibt. Also das ist natürlich auch etwas, wie gesagt, nicht nur für Kommunen, sondern halt auch für Unternehmen ein ganz wichtiger Punkt, den man auf dem Schirm haben sollte. Das dazu, Link wie gewohnt in den Shownotes, die lohnen sich sowieso immer einen Blick, weil wir packen ja auch immer in die Shownotes den Link zur Folgenseite auf unserer Webseite und da darf man auch Kommentare hinterlassen und wir freuen uns tatsächlich immer über Austausch, also von daher nutzt die Gelegenheit auch da gerne und wenn ihr schon auf der Seite seid, dann könnt ihr auch direkt auf die Karriereseite kommen. So wird ein Schuh draus. Okay, damit sind wir durch. Wir sind durch, ja. Lothar, ganz herzlichen Dank. Ich danke dir, Heiko. Hat Spaß gemacht. Mir auch, wie immer. Und damit wünschen wir euch einen guten Start ins Wochenende. Jetzt könnt ihr die Woche des Datenschutzes hinter euch lassen. Jetzt seid ihr über das Wichtigste informiert. Startet entspannt, genießt das Wochenende. Wir hören uns dann in Kürze wieder, nämlich nächste Woche. Und bis dahin, bleibt uns gewogen und auf bald. Bleibt gesund, bis nächste Woche. Der Beitrag Kein Anspruch auf Ende-zu-Ende-Verschlüsselung – DS News KW 11/2025 erschien zuerst auf migosens .…

Der Datenschutz Talk

1
Wetter-Webcam verstößt gegen Datenschutz - DS News KW 10/2025 21:54

vor 12 weeks21:54

21:54

Was ist in der KW 10 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? BGH zu immateriellen Schadensersatz (Urteil des VI. Zivilsenats vom 28.1.2025 – VI ZR 109/23 ) EDSA leitet Coordinated Enforcement Framework, CEF) für 2025 ein Wetter-Webcam verstößt gegen Datenschutz Massive Sicherheitslücken bei Access Management Systeme (AMS) „Max Mustermann“ als Türöffner zu sensiblen Daten des Bundesamts für Migration und Flüchtlinge (BAMF) EU Komission: Kurswechsel in der Digitalpolitik Empfehlungen: Review 2020-2024 des Europäischen Datenschutzbeauftragten Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/wetter-webcam-verstoßt-gegen-datenschutz-ds-news-kw-10-2025/↗ Transkript zur Folge: Ich könnte jetzt also loslegen, ne? Ja, wir laufen. Du kannst loslegen. Warte, ich laufe eben zum Fenster. Ah, gute Idee. Herzlich willkommen bei unserem Datenschutz-Talk, eurem wöchentlichen Datenschutz-Podcast. Mein Name ist Natalia Wozniak und bei mir ist mein lieber Kollege David Schmidt. Hallo Natalia. Hi David. Ja, wir sind heute hier. Heute ist Freitag, der 7.03.2025, das erste Wochenende nach dem Karneval. Und unser Redaktionsschluss war heute um 9.30 Uhr. Wir haben mal wieder ein paar Themen für euch mitgebracht. Einen bunten Strauß. David, was hast du dabei? Ja, ich habe mitgebracht ein Urteil des Bundesgerichtshofs. Da ging es um Werbee-E-Mails und um Schadenersatz nach der Datenschutz-Grundverordnung. Dann gab es in Österreich Streit um eine Wetter-Webcam, dazu möchte ich berichten. Und zuletzt habe ich noch eine skurrile Sicherheitslücke mitgebracht, die beim Bundesamt für Migration und Flüchtlinge bestand. Klingt alles spannend. Wie sieht es bei dir aus? Ich habe auch drei Themen, auch bunt gemischt. Ich habe einmal den ETSA. Der ETSA leitet konkrete Durchsetzungsmaßnahmen für das Jahr 2025 ein. Dann habe ich eine massive Sicherheitslücke bzw. Viele massive Sicherheitslücken bei Access Management Systemen. Und ich habe eine Info über den Kurswechsel bei der EU-Kommission. Und dann haben wir, glaube ich, noch unsere Veröffentlichungs- und Lesehinweise. Die dürfen natürlich nicht fehlen. Die dürfen nicht fehlen. Alles klar, dann lass uns loslegen. Dann lege ich mal los mit dem Bundesgerichtshof. Dieser hat eine Revisionsentscheidung veröffentlicht, in der es um eine Zahlung eines immateriellen Schadenersatzes nach Artikel 82 Absatz 1 ging. In dem zugrunde liegenden Fall hatte der Kläger bei dem Unternehmen einen Aufkleber bestellt und der Verarbeitung seiner Daten für Werbezwecke widersprochen. Dennoch hat er dann infolge seiner Bestellung Werbe-E-Mails erhalten und begehrte deshalb Schadenersatz aus Artikel 82 DSGVO in Höhe von 500 Euro. Das Gericht schloss sich erst einmal dem Urteil der Voreinstanz an bezüglich des Verstoßes gegen die DSGVO im Sinne des Artikel 82, weil es für die Verarbeitung im Rahmen der Werbemails keine Rechtsgrundlage sah. Zudem sah es den Verstoß auch auf die Verarbeitung gerichtet, wie vom EuGH als zusätzlich ungeschriebene Voraussetzungen definiert. Der Anspruch scheiterte laut Einschätzung des Gerichts jedoch letztlich am eingetretenen Schaden, den der Kläger nicht darlegen konnte. Zwar betonte der BGH, dass es beim Schaden keine Bagatellgrenze gibt. Die Voreinstanz hatte den Anspruch nämlich deswegen scheitern lassen. Allerdings ist die bloße Befürchtung eines Kontrollverlusts kein Schaden. Anders wäre es laut dem Gericht, wenn zum Beispiel die E-Mail-Adresse dritten zugänglich gemacht worden wäre. Ich glaube, das ist sehr auf Linie mit der Rechtsprechung des EuGH und als Fazit kann man daraus mitnehmen, dass unerlaubte Werbung ein Verstoß gegen den Grundsatz der Rechtmäßigkeit der Verarbeitung sein kann, Dass daraus aber nicht automatisch ein Schadenersatzanspruch begründet wird. Der Schaden muss im Einzelfall konkret durch den Geschädigten nachgewiesen werden. Das heißt aber natürlich nicht, dass man da freie Fahrt hat und das Thema auf die leichte Schulter nehmen sollte, denn eine behördliche Sanktionierung für Werbung ohne Rechtsgrundlage ist natürlich trotzdem möglich und auch im Rahmen des Wettbewerbsrechts gibt es ja Rechtsmittel, die dort eingelegt werden können. Ich finde es schön, dass wir hier nochmal vom BGH nochmal die Rechtsprechung, die wir ja in der letzten Zeit ja immer wieder zu dem Thema Schadensersatzanspruch haben, nochmal bekräftigt wurde. Ich glaube, wir können das langsam als ständige und beständige Rechtsprechung annehmen und damit auch eigentlich ganz gut arbeiten. Und ich muss sagen, in dem Fall, wenn der Schaden nicht richtig dargelegt werden konnte durch den Kläger, dann ist es natürlich auch nachvollziehbar, dass der BGH hier auch so geurteilt hat. Absolut. So, dann komme ich zu meinem nächsten Thema oder meinem ersten Thema für heute. Und zwar hat der ETSA, also der Europäische Datenschutzausschuss, vorgestern, also noch druckfrisch, am 5. März, seine europaweit koordinierten Durchsetzungsmaßnahmen im Rahmen des Coordinated Enforcement Framework, kurz CEF, für 2025 eingeleitet. Das CEF dient der besseren Durchsetzung des Datenschutzes und der Förderung der Zusammenarbeit zwischen den Datenschutzbehörden. Für das Jahr 2025 wurde auf Vorschlag des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg die Umsetzung des Rechts auf Löschung, also das Recht auf Vergessenwerden gemäß Artikel 17 DSGVO, als Thema ausgewählt. Hintergrund ist oder die Begründung, warum gerade dieses Recht ausgewählt wurde, ist, dass dies eines der am häufigsten ausgeübten Datenschutzrechte ist und die Datenschutzbehörden häufig Beschwerden von Einzelpersonen diesbezüglich erhalten. An der diesjährigen Initiative werden sich Stand jetzt 32 europäische Datenschutzbehörden beteiligen. In Deutschland alleine nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, NRW, Rheinland-Pfalz und der Bundesbeauftragte teil. Insofern auch einige. Das Kerninstrument der Aktion ist dabei ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechtsauflöschung durch die verantwortlichen Stellen. Das heißt, im nächsten Schritt werden sich die teilnehmenden Datenschutzbehörden mit den Verantwortlichen aus verschiedenen Sektoren und Branchen in Verbindung setzen und eben diese Fragebögen zum Ausfüllen versenden. Es soll dann anhand der Fragebögen geprüft werden, wie die für die Verarbeitung Verantwortlichen mit den bei ihnen eingehenden oder eingegangenen Löschungsanträgen umgehen und wie sie darauf reagieren. Vor allem auch, wie sie die Bedingungen und Ausnahmen für die Ausübung des Rechts auf Löschung anwenden. Die Ergebnisse aus den Fragebögen sollen anschließend zusammengeführt werden und an den ETSA berichtet werden, sodass dann im Anschluss in einem Bericht die Ergebnisse dann veröffentlicht werden können. Die Ergebnisse sollen auch dazu genutzt werden, die praktische Umsetzung des Rechts auf Löschung in den Mitgliedstaaten zu verbessern. Und LDI NRW hat hierzu auch geschrieben, sie können zudem in neue Verlautbarungen der Aufsichtsbehörden münden oder Anlass geben, bestehende Leitlinien oder anderweitige Veröffentlichungen anzupassen, was an sich ein erfreulicher Hinweis ist. Das heißt, die Praxis würde sich irgendwo oder würde irgendwo in den veröffentlichten Aufsichtsbehörden sich potenziell noch besser widerspiegeln können. Insofern kann den Unternehmen tatsächlich empfohlen werden, sich jetzt schon die eigenen Prozesse zur Löschung anzuschauen bzw. Zur Löschung, zum Umgang mit der Anspruch auf Löschung anzuschauen und auch selbst schon mal durchzugehen und zu prüfen, wie die funktionieren und ob sie denn auch wirklich so funktionieren, wie sie sollen. Vielleicht nochmal ein Hinweis, etwas Erfreuliches nochmal bei dem Thema, nochmal zusätzlich. Professor Dr. Keber erklärte, man wolle helfen, die Rechte der Bürgerinnen und Bürger zu stärken und Verantwortlichen auch Hilfestellungen dazu geben, wie das Recht auf Löschung umgesetzt werden kann. Dazu werde man in diesem Jahr mit Veranstaltungen und Handreichungen zum Recht auf Löschung zusätzliche Unterstützung anbieten. Insofern finde ich es sehr gut. Und für die Unternehmen, die sich da vielleicht noch nicht so mit beschäftigt haben, können diese zusätzlichen Handreichungen, Veranstaltungen, die angekündigt wurden, von Professor Keber sicherlich hilfreich sein. Und wir sind dann natürlich gespannt, was bei der Aktion rauskommt und was in dem Abschlussbericht drinstehen wird. Wir sind richtig gespannt, ja. Dann komme ich zum Thema Wetterwebcams. Die Nachricht, die es heute auch geschafft hat, zu unserer Titelnachricht zu werden, kommt aus Österreich. Die österreichische Datenschutzbehörde hat entschieden, dass eine Wetterwebcam in Zwettl in Niederösterreich gegen den Datenschutz verstößt, da sie das Haus eines Anwohners erfasst. Die besagte Wetterwebcam zeigt seit 2017 ein Panorama der Stadt, einschließlich Straßen, Häusern und einem Bahnübergang. Ein Anwohner hatte sich bei der Datenschutzbehörde beschwert, da sein neu gebautes Wohnhaus, seine Autos und gegebenenfalls brennendes Licht in seinem Haus zu sehen waren. Die Datenschutzbehörde gab der Beschwerde statt. Und forderte den Betreiber auf, die Kamera so einzustellen, dass das Haus des Beschwerdeführers nicht mehr erfasst wird. Da dies aber laut dem Betreiber nicht umsetzbar sei, müsse die Webcam nun abgeschaltet werden. Zudem sei die Entscheidung für den Betreiber nicht nachvollziehbar, da viele Webcams ähnliche Panorama zeigen würden. Das typische Argument machen ja alle so. Und er plant jetzt deshalb, den Bescheid vom Bundesverwaltungsgericht prüfen zu lassen. Die Auflösung der Webcam-Bilder sei extra bewusst niedrig gehalten, sodass weder Kennzeichen noch Personen identifizierbar seien. Dieser Fall zeigt, wie sensibel das Thema Datenschutz in Bezug auf öffentliche Webcams sein kann. Betreiber solcher Camps sollten sich bewusst machen, dass es vollkommen irrelevant ist, was der eigentliche Zweck der Videoübertragung ist. Sofern Personen, Fahrzeuge oder Wohnhäuser gefilmt werden oder auch nur die bloße Gefahr besteht, dass solche gefilmt werden könnten, gelten selbstverständlich die datenschutzrechtlichen Bestimmungen. Es ist daher immer ratsam, vor der Installation einer Webcam eine Prüfung der datenschutzrechtlichen Bestimmungen für den Einzelfall durchzuführen. Maßnahmen wie eine geringe Auflösung oder auch eine Teilmaskierung der Kamera können zwar helfen, machen diese Verarbeitung aber keinesfalls automatisch legal. Ich finde das hier tatsächlich sehr spannend, weil wir sehen hier, dass auch wenn es tatsächlich so sein sollte, dass die Kamera eine geringe Auflösung hat, sodass keine Kennzeichen mehr erkennbar sind oder Personen erkennbar sind, ist ja allein die Tatsache, dass ich sehen kann, ist der Betroffene zu Hause, weil sein Auto in der Einfahrt steht oder ist sein Licht gerade an oder nicht aus, ist das ja auch schon etwas, was datenschutzrechtlich relevant ist. Ich kann ja allein dadurch ja irgendwo ein Profil von der Person erstellen. Ich könnte tatsächlich, wenn ich zu Hause sitze und über die Webcam das Haus des Betroffenen anschaue, könnte ich seine Gewohnheiten nachvollziehen und auch sehen, ist der Mensch zu Hause oder nicht zu Hause. Von daher, ich kann tatsächlich in dem Fall gut nachvollziehen, dass der Betroffene hier sich dagegen gewehrt hat und dass das Ergebnis aber auch so ausgegangen ist zu seinen Gunsten. Ja, das Ganze geht jetzt natürlich noch vor das Gericht, aber mich würde wundern, wenn da dann eine andere Entscheidung fällt. Vielleicht werden wir dazu mal in einem Follow-up berichten können. Mal schauen. Okay, ich komme zu jetzt wirklich einem nächsten Thema und zwar zu den massiven Sicherheitslücken bei Access Management Systemen, kurz AMS. Und zwar haben die Forscher des IT-Sicherheitsunternehmens Modat herausgefunden, dass eine erschreckend hohe Anzahl von Access-Management-Systemen falsch konfiguriert ist. Diese Systeme, die eigentlich ja den Zutritt zu Gebäuden kontrollieren sollen, werden so zu einem Ziel für Cyberkriminelle und bieten eben nicht die Sicherheit, die sie bieten sollten. Die Studie umfasst dabei fast rund 50.000 fehlerhaft konfigurierte AMS in verschiedenen Ländern und Branchen, auch im Baugewerbe, im Gesundheitswesen, bei Bildungseinrichtungen, aber auch in der Fertigungsindustrie und sogar bei staatlichen Einrichtungen, also bunt gemischt. Zu den wesentlichen Risiken, die Modat herausgefunden hatte, zählen insbesondere unzureichende Konfigurationen, aber auch veraltete Protokolle und unzureichende Überwachungsmechanismen. Das Hauptproblem laut Modat seien jedoch fehlerhafte Authentifizierungs- und Autorisierungsprozesse. Das bedeutet, dass unbefugte Personen nicht nur in Gebäude eindringen könnten oder können, sondern auch Zugriff auf sensible Daten enthalten können. Zu den gefährdeten Daten gehören zum Beispiel Mitarbeiterfotos, aber auch Namen, Identifikationsnummern, Zugangskartendaten, biometrische Daten, beispielsweise ein Fingerabdruck, der für den Zutritt genutzt wird, und sogar Arbeitspläne, also je nachdem, welche Daten in dem jeweiligen System vom jeweiligen Verantwortlichen erfasst wurden. Besonders besorgniserregend ist hier tatsächlich der Zugriff auf biometrische Daten, die auch für Identitätsdiebstahl und für andere Betrugsformen missbraucht werden könnten. Die Studie macht tatsächlich keine Angaben zu den Herstellern, sodass wir gar nicht genau sagen können, welche Hersteller sind jetzt diejenigen mit den besseren oder mit den schlechteren Systemen. Durch die hohe Anzahl ist davon auszugehen, dass jeder Verantwortliche, der ein AMS betreibt, sich dieses auch nochmal genauer anschauen sollte. Denn die Auswirkungen der Gefährdung, die hier festgestellt wurden von dem Unternehmen, reichen von finanziellen Verlusten, zum Beispiel durch Schadensersatzansprüche möglicherweise, zu Bußgelder, die gemäß der DSGVO verhängt werden könnten durch Aufsichtsbehörden. Insbesondere die unbefugten Zugriffe, die ermöglicht werden und auch der Identitätsdiebstahl kann dazu führen, dass die finanziellen Verluste entsprechend höher liegen. Nehmen wir da jetzt eigentlich mit. Ja, die Studie sollte tatsächlich ein Weckrufunternehmen und Organisation sein bzw. Als ein solcher verstanden werden. Sie sollte zum Anlass genommen werden, die Sicherheit der eigenen Gebäudezugangssysteme bzw. Zutrittssysteme zu überprüfen und dabei auch sicherzustellen, dass sie korrekt konfiguriert sind. Dazu gehört neben der Implementierung von starken Authentifizierungsmethoden auch die regelmäßige Aktualisierung von Software und nicht zu vergessen auch die Schulung von Beschäftigten im Umgang mit sensiblen Daten. Auch sollte regelmäßig überprüft werden bzw. Auch die Aktualisierung der Sicherheitsprotokolle von Zugangsystemen und Zutrittsystemen sichergestellt werden, um potenzielle Bedrohungen schon im Vorfeld oder frühzeitig abwehren zu können. Und auch ganz wichtig, wo wir vorhin über die Daten gesprochen haben, sollte auch geprüft werden, dass nur solche Daten gespeichert werden in den Zutritts- oder Zugangssystemen, die für den Zugriffs- und Zutrittszweck tatsächlich erforderlich sind. Das heißt, wenn ich biometrische Daten gar nicht brauche, weil das System vielleicht gar keinen Fingerabdruckscanner hat, dann sollten die auch nicht erfasst werden. Ich glaube, man kann es mit einem Wort zusammenfassen. Seien Sie wachsam und überprüfen Sie Ihre Access Management Systeme und schauen, ob da vielleicht noch etwas verbessert werden kann. Ums Thema Löschen geht es auch bei meiner Sicherheitslücke, allerdings hier nicht um das Löschen von personenbezogenen Daten, zumindest nicht unmittelbar, sondern um Testdaten. Der IT-Security-Forscher Tim Philipp Schäfers hat beim Bundesamt für Migration und Flüchtlinge eine Sicherheitslücke entdeckt. Hintergrund ist, dass beim BAM veraltete Testkonten scheinbar nicht ordnungsgemäß deaktiviert oder gelöscht wurden. Dies ermöglichte es dem Sicherheitsforscher nach einer Analyse der öffentlich verfügbaren Anleitung zu der Konfiguration des Systems, das beim BAMF im Einsatz ist, sich Zugriff auf sensible Daten zu verschaffen. Konkret gelang es dem Forscher, mit alten E-Mail-Adressen, die für Konfiguration genutzt wurden, über die Passwort-Vergessen-Funktion sich einzuloggen. Die Adressen wurden durch den Dienstleister, der die Konfiguration durchgeführt hatte, nach einer gewissen Zeit wieder freigegeben und dann durch den E-Mail-Dienstleister zur Neuvergabe geöffnet. Der Sicherheitsforscher registrierte eine freigewordene Adresse, die auf Max Mustermann lautet, neu und erhielt so Zugriff auf die mit dem BAMF-System verknüpften Konten. Das zeigt, dass das Versäumnis inaktive oder veraltete Nutzerkonten zu verwalten nicht nur ein Verstoß gegen die DSGVO ist. Sondern auch tatsächlich erhebliche Risiken für die Sicherheit personenbezogener Daten und auch die IT-Sicherheit einer Organisation darstellen kann. Behörden und Unternehmen sollten daher ein striktes Identitäts- und Zugriffsmanagement implementieren, das unter anderem auch die regelmäßige Überprüfung und Deaktivierung inaktiver Konten und Implementierung eines Offboarding-Prozesses umfasst. Dabei sollten nicht nur die Nutzerkonten im Fokus stehen aus dem Produktivsystem. Sondern auch an gegebenenfalls bestehende Testkonten, die noch an das System angebunden sind, gedacht werden. Mir kommt gerade der Gedanke, gerade bei den Testkonten, dass eigentlich, wenn ich jetzt ein Max-Muster mal als User anlege, sollte ich diesen doch eigentlich nur mit Testdaten verknüpfen, indem die Berechtigung einrichten, dass auf bestimmte Testdaten zugegriffen werden kann und nicht auf Echtdaten. Und das ist ja auch einer der Punkte hier, glaube ich, die auch dazu geführt haben, dass einfach ein Testkonto mit Echtdaten verknüpft wurde und die Berechtigung, wie auch immer umfassend, eben auch für Echtdaten gewährt wurde, statt nur für Testdaten. Das heißt Trennung Testdaten und Echtdatensystem. Genau, das sollte der Grundsatz sein. In einigen Fällen geht das nicht, aber wenn das ausnahmsweise mal nicht geht, dann sollte man unbedingt darauf achten, dass danach träglich diese Verbindung gelöscht wird. Auf jeden Fall. So, ich komme zu einem nächsten Thema und zwar zur EU-Kommission. Die EU-Kommission hat nämlich ihr Arbeitsprogramm für das Jahr 2025 angenommen. Ziel des Arbeitsprogramms für dieses Jahr ist es, Europa wettbewerbsfähiger zu machen, sicherer und wirtschaftlich widerstandsfähiger. Dabei stehen statt neue Rechtsakte zur Digitalisierung für das Jahr 2025 aber eher die Vereinfachung und Evaluierung auf der Agenda. Insbesondere soll es dabei um mehr Chancen gehen, um Innovation und Wachstum für Bürger und Unternehmen und auch darum, dass die EU sicherer und wohlhabender werden soll. Datenschutzrechtlich relevant für uns ist in dem Zusammenhang allerdings, dass mit der E-Privacy-Verordnung ein zentrales Regulierungsvorhaben der letzten Jahre aufgegeben wurde. Die E-Privacy-Verordnung sollte eigentlich zeitgleich mit der DSGVO in Kraft treten und sollte den Datenschutz im Bereich der elektronischen Kommunikation europaweit harmonisieren. Nun wird der Entwurf jedoch nicht weiterverfolgt. Ob dies abschließend ist oder ob das Thema eventuell nochmal im nächsten Jahr oder später weiterverfolgt wird, ist aktuell nicht ganz klar. Im Ergebnis ist die E-Privacy-Richtlinie aus dem Jahr 2002, diese bleibt weiterhin in Kraft, ebenso wie die nationalen Regelungen wie das Deutsche Telekommunikations-Digitale Dienste-Datenschutzgesetz, kurz T3G. TDDDG, das weiterhin zu beachten ist, ebenso wie unseren beliebten Cookie-Banner. Insofern haben wir ein bisschen Sicherheit gewonnen oder erfahren, dadurch, dass wir wissen, es ändert sich nichts an der aktuellen Rechtslage, die E-Privacy-Richtlinie bleibt, unser T3DG bleibt und unser Cookie-Banner bleibt ebenfalls. Von daher, wir arbeiten weiter mit dem, was wir haben. Ist ja nicht so, als wäre das gar nichts. Ist ja genug. Wir haben ja was da, von daher passt schon. So, und ich glaube, jetzt kommen wir auch schon zu unseren Veröffentlichungen und Lesehinweisen. Kann das sein? Genau, wobei diese Woche singular richtig ist. Ich habe nämlich einen Veröffentlichungstipp mitgebracht. Für diejenigen, die vielleicht über das sonnige Wochenende noch was zum Lesen suchen, kann ich empfehlen, das Review des Europäischen Datenschutzbeauftragten für die Jahre 2020 bis 2024. Es handelt sich um eine Zusammenfassung der Top-Themen und Tätigkeiten dieses Zeitraums und ja, ich denke, darin lässt sich ja durchaus dann auch eine positive Entwicklung nachlesen. Spannend, spannende Lektüre. So, wir sind damit am Ende von unserer heutigen Podcast-Folge. Wir hoffen, es hat euch gefallen. Wir hoffen, ihr bleibt uns treue Zuhörer. Wir wünschen euch viel Spaß beim Zuhören, falls ihr das heute hört und noch ein schönes Wochenende vor euch habt. Wir wünschen euch einen guten Start in die neue Woche, wenn ihr das erst am Montag hört. Und wir sagen Tschüss und bis zum nächsten Mal. David, ich danke dir. Ich danke dir, Natalia. Bis bald. Bis bald. Der Beitrag Wetter-Webcam verstößt gegen Datenschutz – DS News KW 10/2025 erschien zuerst auf migosens .…

Willkommen auf Player FM!

Player FM scannt gerade das Web nach Podcasts mit hoher Qualität, die du genießen kannst. Es ist die beste Podcast-App und funktioniert auf Android, iPhone und im Web. Melde dich an, um Abos geräteübergreifend zu synchronisieren.

Höre 500+ Themen zu

14 subscribers

Ähnelt Der Datenschutz Talk

The Let Them Theory: A Life-Changing Tool That Millions of People Can't Stop Talking About

Ailun 3 Pack Screen Protector for iPhone 16 Pro [6.3 inch] + 3 Pack Camera Lens Protector with Installation Frame,Case Friendly Tempered Glass Film,[9H Hardness] - HD [6 Pack]

Mini Mic Pro Wireless Microphone for iPhone, iPad, Android, Lavalier Microphone for Video Recording - 2 Pack iPhone Mic Crystal Clear Recording with USB-C for Podcast, ASMR

Podcasts, die es wert sind, gehört zu werden

Der Datenschutz Talk

Der Datenschutz Talk

Podcasts, die es wert sind, gehört zu werden

Willkommen auf Player FM!

The Let Them Theory: A Life-Changing Tool That Millions of People Can't Stop Talking About

TERRO Ant Killer Bait Stations T300B - Liquid Bait to Eliminate Ants - 12 Count Stations for Effective Indoor Ant Control

The Let Them Theory: A Life-Changing Tool That Millions of People Can't Stop Talking About

Bounty Paper Towels Quick Size, White, 16 Family Rolls = 40 Regular Rolls (Packaging May Vary)

The Let Them Theory: A Life-Changing Tool That Millions of People Can't Stop Talking About

Ähnelt Der Datenschutz Talk

Kurzanleitung