530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 9. Mai und wir begrüßen euch wieder ganz herzlich zu
unseren wöchentlichen Datenschutz-News.
Mein Name ist David Schmidt und bei mir ist mein Kollege Lothar Simanowski.
Hallo Lothar, grüß dich.
Hi David.
Unser Redaktionsschluss war heute um 9.30 Uhr und wir sind gespannt,
was es bei dir auf den Zettel geschafft hat. Lothar, schieß mal los.
Ja, es war nicht einfach. Wir hatten ja eine richtig ereignisreiche Woche.
Die Kanzlerwahl und natürlich auch Habemus Papam.
Herzlichen Glückwunsch an Papst Leo XIV. Jetzt bin ich davon ausgegangen,
dass er auch unseren Podcast abonniert hat.
Aber zu den Datenschutzthemen, kommen wir mal zurück. Ich habe tatsächlich drei Themen mitgebracht.
Zum einen die Abmahnung gegen Meta, wegen deren Plänen das KI-Training mit Nutzerdaten durchzuführen.
Das zweite ist ein Urteil des Landesarbeitsgerichtes Köln zu einer verdeckten
Überwachung eines Mitarbeiters.
Und last not least geht es um die Stellungnahmen des ETSA zu Angemessenheitsbeschlüssen.
Und natürlich am Ende wieder Lesehinweise fürs Wochenende oder Bahnfahrten, Urlaub oder ähnliches.
Bei mir steht heute im Programm das Bußgeld gegen TikTok.
Das dürfte an keinem vorbeigegangen sein. Leider ein bisschen zu spät,
um es in die Folge letzte Woche zu schaffen. Deswegen wollen wir das noch nachholen.
Dann spreche ich über ein Datenleck, was bei einer großen Reha-Klinik gefunden wurde.
Und die BFDI war zu Besuch in den USA und hat sich dort über die Zukunft des
Angemessenheitsbeschlusses ausgetauscht.
Zu guter Letzt dürfen natürlich bei mir auch ein paar Veranstaltungstipps nicht fehlen.
Wow, jede Menge Themen, ein bunter Strauß. Dann starten wir mal.
Die Verbraucherzentrale NRW hat Meta abgemahnt, weil persönliche Inhalte europäischer
Nutzer ohne Einwilligung für KI-Trainings verwendet werden sollen.
Meta plant, ab dem 27. Mai, also Ende diesen Monats, alle jemals in Facebook
und Instagram veröffentlichen Beiträge europäischer Nutzerinnen für KI-Trainingswecke zu verwenden.
Dabei soll das Ganze gestützt werden auf der Rechtsgrundlage des berechtigten
Interesses und genutzt werden die Daten, sofern die Kunden nicht aktiv widersprechen.
Jawohl, wir haben hier ein Opt-out. Die Verbraucherzentrale NRW hat deutliche
Zweifel an der Rechtmäßigkeit dieses Vorhabens und hat Meta deshalb abgemahnt.
Die Ankündigung dazu wurde von Meta im April platziert, Mitte April,
hat Meta Platforms Island angekündigt, wie gesagt, ab dem 27.
Mai alle Daten, alle öffentlichen Beiträge für KI-Trainingswecke zu nutzen.
Meta hat die Nutzer von Instagram und Facebook über das Vorhaben per In-App-Mitteilung
oder E-Mail informiert. Die Verbraucherzentrale NRW hat am 30.
April Meta abgemahnt und zur Unterlassung aufgefordert. Sollte Meta dieser Aufforderung
nicht freiwillig nachkommen, prüft die Verbraucherzentrale weitere rechtliche Schritte.
Ein kleiner Hinweis, Verbraucher, die die Verwendung ihrer öffentlichen Informationen
ablehnen möchten, können laut Metas Ankündigung noch vor dem 27.
Mai widersprechen. Wer hierbei Unterstützung benötigt, die Verbraucherzentrale
in NRW, bietet auf ihrer Internetseite eine ausführliche Anleitung dazu.
Ja, Fazit, da wird sehr nachvollziehbar die Abmahnung und auch die Unterlassungsaufforderung,
wenn man sich das mal so anschaut.
Also zum einen die Hauptkritikpunkte, die die Verbraucherzentrale NRW aufgeführt
hat, zum einen das berechtigte Interesse.
Also Meta beruft sich darauf, was aus Sicht der Verbraucherschützer und ich
glaube auch aus Sicht der Datenschützer nicht ausreichend ist.
Mich würde an der Stelle auch mal die ausformulierte Interessenabwägung interessieren,
wie die zu dem Urteil gekommen sind, dass die Rechte und Freiheiten der betroffenen
Personen nicht überwiegen.
Also es reicht nicht aus, die Artikel 6 Absatz 1 Buchstabe F hinzuschreiben.
Zum anderen, als zweiten Punkt, kann ich auch sehr nachvollziehen,
wir haben hier ein Opt-out-Verfahren anstelle Opt-in.
Die Nutzer müssen aktiv widersprechen, statt dass ihre Zustimmung eingeholt
wird und je nachdem, was verarbeitet wird.
Besteht die Gefahr, dass auch
besonders sensible Informationen für das KI-Training verwendet werden.
Wenn man sich mal die KI-Verordnung anguckt in Europa, da wird das schon sehr
restriktiv gehandelt, wenn Daten in dieser Kategorie verarbeitet werden.
Ja, absolut. Hast du alles zusammengefasst? Das Erste, was ich mich tatsächlich
gefragt habe, ist, ob das Mittel überhaupt geeignet ist, um den gewünschten Zweck zu erfüllen.
Denn wenn man jetzt alle Posts, die jemals auf Facebook getätigt wurden,
in einen Topf kippt, auf dem am Ende Intelligenz draufstehen soll,
weiß ich halt nicht, ob das so funktioniert. Aber ich glaube,
das steht nochmal auf einem anderen Blatt.
Absolut. Nach dem Motto, viel hilft viel.
Die irische Datenschutzkommission, DPC, hat TikTok mit einem Bußgeld in Höhe
von 530 Millionen Euro belegt.
Dabei bezieht sich die Behörde auf Untersuchungen aus dem Jahr 2020,
genauer gesagt aus Dezember 2020, also ist schon einige Zeit her.
Und als Begründung führt die Behörde an, dass unter anderem die Voreinstellungen
bei Konten von Minderjährigen nicht datenschutzfreundlich ausgestaltet waren.
Demnach wurden Kinderkonten standardmäßig als öffentliche Profile eingestellt.
Darin lag ein Verstoß gegen das Prinzip Privacy by Design und gegen den Minderjährigen Schutz.
Dieser war auch dadurch verletzt, dass keine wirksame Altersverifikation sichergestellt wurde.
Darüber hinaus hatte TikTok nach Auffassung der Behörde auch die Informationspflichten
nicht erfüllt, weil diese nicht der besonderen Schutzwürdigkeit bzw.
Der Verständnisfähigkeit von Minderjährigen angepasst wurden.
Und zuletzt wird dem sozialen Netzwerk vorgeworfen, gesammelte Daten über Personen,
die in der Europäischen Union leben,
in China zu speichern, wo aber kein vergleichbares Datenschutzniveau sichergestellt ist.
TikTok wies in einer Stellungnahme alles von sich und beteuerte,
dass die eingesetzten Server sich ausschließlich in den USA,
in Singapur und in Malaysia, nicht aber in China befinden.
Der finale Beschluss wurde nach Rücksprache mit anderen EU-Aufsichtsbehörden
im Rahmen des Kohärenzverfahrens gemäß Artikel 60 Datenschutzgrundverordnung
gefasst und enthält neben dem Bußgeld auch Anordnungen,
Datenschutzprozesse innerhalb von sechs Monaten anzupassen.
Inwiefern jetzt die Defizite heute bereits behoben wurden oder die noch vorhanden
sind, ist allerdings unklar.
Wie gesagt, wir reden hier über den Stand von vor etwas mehr als vier Jahren.
TikTok hat angekündigt, sich rechtlich gegen den Beschluss zu wehren.
Die Messe ist hier also noch nicht gelesen.
Ja, aber schon mal ein deutlicher Aufschlag, also mit 530 Millionen.
Ja, und ist ja auch nicht das Erste, vor allem im Zusammenhang mit Minderjährigen-Schutz-
und Altersverifikation. Da gab es, glaube ich, schon ein paar.
Aber jetzt kommt es natürlich ein bisschen dicker langsam.
Ja, und es wird konkreter. Man muss erst mal davon ausgehen,
dass die Informationen, die TikTok von sich gegeben hat, angegeben hat,
dass die Server halt da sind, wo sie es bestimmt haben.
Ist aber auch leicht zu überprüfen. Ist auch leicht in der Historie zu überprüfen.
Es ist ein spannendes Thema. Ich bin gespannt, wie es da weitergeht.
Was schwieriger zu überprüfen sein wird, ist, falls die Server dort stehen,
wo sie stehen sollen, ob nicht doch aus China auch darauf zugegriffen wurde.
Richtig, ja. Okay, wir sind beim Urteil des Landesarbeitsgerichtes Köln,
dass die heimliche Überwachung eines Mitarbeiters durch eine Detektei bei begründetem
Verdacht und verhältnismäßiger Durchführung für datenschutzrechtlich zulässig erklärt.
Offen gesprochen, bei dieser Überschrift bin ich sehr neugierig geworden und
fragte mich, was ist denn mit Beweisverwertungsverboten und ähnliches?
Aber die Erläuterung findet sich dann in der Urteilsbegründung,
dass ein Beweisverwertungsverbot nicht automatisch bei datenschutzwidrig oder
vermeintlich datenschutzwidrig erhobene Beweisen greift, wenn die Überwachungsmaßnahmen
verhältnismäßig waren. Aber jetzt mal der Reihe nach, was ist passiert?
Ein langjähriger Fahrausweisprüfer war mehrfach durch Dritte beobachtet worden,
wie er während seiner Arbeitszeit keine Kontrollen durchführte,
sondern eher privat unterwegs war.
Der Arbeitgeber beauftragte eine Detektei, offensichtlich hat er Hinweise bekommen,
über mehrere Tage, die das Ganze
dokumentierten, dass der Kläger seine Arbeitstätigkeit vorzeitig beendete,
ohne dies zu dokumentieren und so dem Arbeitgeber anzuzeigen.
Der Kläger wurde daraufhin fristlos gekündigt und der Arbeitgeber verlangte
Ersatz für die Detektivkosten.
Der Kläger erhob daraufhin Kündigungsschutzklage
und rügte unter anderem datenschutzrechtliche Verstöße.
Vor Gericht wurde nun der Kern der Frage erörtert, ob eine verdeckte Überwachung
eines Arbeitnehmers durch eine Detektei datenschutzrechtlich zulässig ist.
In diesem Fall bejahte das Gericht dies auf Grundlage von § 26 Abs.
1 Satz 2 Bundesdatenschutzgesetz.
Also hier haben wir einen konkreten Verdacht einer schwerwiegenden Pflichtverletzung.
Die Maßnahme sich tatsächlich auf dienstliche Aktivitäten beschränkte und die
Überwachung fand im öffentlichen Raum statt, also nicht in der privaten Sphäre des Betroffenen.
Die Datenerhebung wurde also forderlich und verhältnismäßig vom Gericht beurteilt.
Das Gericht hat datenschutzrechtlich insbesondere folgende Punkte hervorgehoben.
Zum einen erstens der Erlaubnistatbestand, hatten wir gerade schon erwähnt,
Artikel 26, also Datenschutz im Beschäftigungskontext, erlaubt die Verarbeitung
personenbezogener Daten zur Aufdeckung von Straftaten.
Zum anderen der konkrete Verdachtsfall, es gab klare Hinweise auf die Arbeitszeitbetrugsvorgänge,
gestützt durch Beobachtung von Dritten, in diesem Fall war es der Sicherheitsdienst.
Die Verhältnismäßigkeit, die Beobachtung der Detektei beschränkte sich auf die
dienstlichen Zeiten und fand im öffentlichen Raum statt und war zeitlich begrenzt.
Die Eingriffsintensität hat das Gericht als nicht schwerwiegend bewertet zum
Eingriff in die Persönlichkeitsrechte und das letzte Thema, was beleuchtet wurde,
war das Beweisverwertungsverbot.
Denn da hat das Gericht festgestellt, dass selbst wenn datenschutzrechtliche
Zweifel bestünden, führe das nicht automatisch zur Unverwertbarkeit der gewonnenen Erkenntnisse.
Es müsse eine umfassende Interessenabwägung vorgenommen werden,
die hier zugunsten des Arbeitgebers ausfiel.
Also ein sehr interessanter Fall, wo es sich dann auch immer lohnt,
nicht nur die Überschrift zu nehmen und zu sagen, okay, also wir können die
Mitarbeiter überwachen, sondern es müssen auch entsprechende Prämissen bestehen.
Von Verdachtsfällen, ich glaube, das war das Ausschlaggebende,
dass es tatsächlich Verdachtsfälle dokumentiert gab und dementsprechend auch
angemessen durchgeführt werden.
Aber ich finde, ein sehr interessanter Fall, der für die Praxis relevant ist.
Ja, ich finde das erstmal super, dass du hier nochmal klargestellt hast,
dass die Hürden hoch sind, aber wie sie dann in so einem Fall auch übersprungen
werden können, weil sowas muss natürlich auch irgendwie möglich sein.
Ja, was mich immer so ein bisschen stutzig macht, ist dann halt die Einordnung
des Beweisverwertungsverbots, dass da irgendwie auch nochmal eine Einzelfallentscheidung erfolgen soll.
Ich finde, das lädt halt immer so ein bisschen dazu ein, erstmal ins Blaue zu
überwachen und dann am Ende halt zu gucken, ob die datenschutzrechtlichen Anforderungen
auch erfüllt waren und es dann verwertbar ist. Und das ist ja eigentlich nicht die Idee.
Genau, die Zulässigkeitsprüfung, die sollte tatsächlich vor der Verarbeitung
stattfinden, gebe ich dir recht.
Der Chaos Computer Club hat eine gravierende Sicherheitslücke bei der Reha Vita
GmbH gefunden. Das berichtet Heise.
Die Reha Vita Group betreibt an vier Standorten Rehabilitationskliniken und
verarbeitet dabei Gesundheitsdaten ihrer Patienten.
Aufgrund veralteter Software und fehlender Zugriffsbeschränkungen war es möglich,
sich Zugriff auf Patientenakten, Diagnosen,
Entlassungsberichte und Bankverbindungen von 17.000 Patienten zu verschaffen.
Schon ein ganz schönes Brett. Die betroffene IT-Infrastruktur wurde durch den
Dienstleister Meditec betrieben,
der bereits Anfang des Jahres durch ein Datenleck bei einem anderen Unternehmen
aus dem Gesundheitssektor negativ auffiel.
In diesem Fall wurden laut Chaos Computer Club mehrere Jahre keine Patches durchgeführt,
sodass eine überholte Django-Version eingesetzt wurde, die zu ungeschützten
Server-Endpunkten geführt hat.
Und ich glaube, das ist halt ein Paradebeispiel dafür,
dass man seine Dienstleister nicht einfach nur beauftragt und die dann machen
lässt, sondern dass man die auch während der Beauftragung immer mal wieder kontrollieren
muss und dass die auch zu monitoren sind.
Also hier war es ja tatsächlich so, dass dieser Dienstleister für eine vergleichbare
Dienstleistung schon in den Medien negativ aufgefallen war.
Es ist mit Sicherheit keine Anforderung, dass man sich jetzt jeden Tag hinsetzt
und jede Zeitung durchliest,
aber man sollte natürlich trotzdem immer Augen und Ohren offen halten und sowas
dann auch genau verfolgen.
Ich finde, du hast das sehr, sehr gut herausgearbeitet, dass es sich um das
Thema der technischen und organisatorischen Maßnahmen handelt.
Wie oft auch wir beide, wenn wir solche Verträge,
AV-Verträge bewerten, kommen wir an die Stelle der technischen und organisatorischen
Maßnahmen und wie oft findet man dann von Copy-Paste oder schon veralteten Maßnahmen
Angaben, die es zu prüfen gilt.
Und gerade, wie du gerade richtigerweise gesagt hast, wenn ich gerade Gesundheitsdaten,
sensible Daten, aber auch generell im Dienstleistungsverhältnis stehe,
da muss ich sicherstellen, da muss ich gewährleisten, dass die technischen und
organisatorischen Maßnahmen sinnvoll sind und durchdacht sind.
Und wir können an der Stelle, weil wir, David und ich, uns da schon sehr intensiv
mit auseinandergesetzt haben, auch eine Brücke schlagen zum Bitkom.
Da gibt es ein sehr, sehr schönes Tool und auch sehr wertvolles und nützliches Tool.
Und zwar ist das das Datenschutzreifegradmodell zu den technischen und organisatorischen
Maßnahmen, wo man mal ein Gefühl bekommt, welche Anforderungen erfüllt sein
müssen, je nach Schutzbedarf.
Es lohnt sich, da intensiver reinzuschauen, nicht nur bei eigenen technischen
und organisatorischen Maßnahmen, sondern auch und verstärkt bei den TOM der
beauftragten Dienstleister.
Absolut. Wichtiger Hinweis.
Kommen wir zum dritten und letzten Thema auf meiner Liste und zwar zu den Stellungnahmen
des Europäischen Datenschutzausschusses.
Der ETSA hat eine sechsmonatige Verlängerung der bestehenden Angemessenheitsbeschlüsse
für das Vereinigte Königreich empfohlen, um der EU-Kommission für eine Neubewertung Zeit zu geben.
Zudem hat der EZA dem Entwurf der EU-Kommission zugestimmt, der Europäischen
Patentorganisation, kurz EPA, ein angemessenes Datenschutzniveau zu bescheinigen.
Das wäre auch der erste Angemessenheitsbeschluss für eine internationale Organisation.
Ein kurzes Recap zum Datentransfer mit dem Vereinigten Königreich.
Für UK laufen die aktuellen Angemessenheitsbeschlüsse am 27.
Juni, also 27.06. diesen Jahres aus.
Da dort derzeit Datenschutzreformen im Parlament beraten werden,
empfiehlte ETSA eine Verlängerung bis zum 27.12.
Diesen Jahres, um eine fundierte Neubewertung zu ermöglichen.
Aber, unmissverständlich wurde darauf hingewiesen, bei dieser Verlängerung der
UK-Angemessenheitsbeschlüsse betonte ETSA,
dass es sich um eine einmalige technische Maßnahme handelt, die nicht weiter
verlängert werden soll.
Also es wird spannend zum Jahresende hin, wie man mit Datentransferen in das
Vereinigte Königreich umgehen muss.
Ja, wie sind solche Empfehlungen des ETSA zu bewerten? Die Europäische Kommission
berücksichtigt Empfehlungen des Europäischen Datenschutzausschusses bei Angemessenheitsbeschlüssen,
ist jedoch nicht verpflichtet, ihnen vollständig zu folgen.
In der Praxis übernimmt die Kommission in der Regel viele Hinweise des ETSA,
trifft jedoch gelegentlich auch abweichende Entscheidungen, Siehe Angemessenheitsbeschluss
zum EU-US Data Privacy Framework, kurz DPF,
bei dem der ETSA zwar Fortschritte erkannte, aber auch Bedenken äußerte.
Trotz dieser Bedenken hat die Kommission dann den Beschluss erlassen.
Dies zeigt, dass die Kommission die Empfehlung des ETSA sorgfältig abwägt,
aber letztendlich auch eigenständig entscheidet.
Weitere Informationen, gerade im Hinblick auf den Angemessenheitsbeschluss mit
UK, findet ihr wie immer als Link in unseren Shownotes.
Das kann man sich auch als Lesezeichen im Browser hinterlegen,
weil wir haben gerade gelernt, zum Ende des Jahres wird es ernst,
am 27.12. muss es einen neuen Beschluss geben.
Ansonsten fallen wir wieder auf die Regularien der DSGVO zurück,
das heißt AVV, Standardvertragsklauseln, TIA und so weiter.
Ja und das möchte ich direkt aufgreifen.
Du hast gerade angesprochen, dass der Angemessenheitsbeschluss zwischen der
EU und den USA von Anfang an auf wackeligen Beinen stand und das wird durch
die Entwicklung in den USA natürlich jetzt nicht gerade sicherer.
Die BFDI, Frau Prof. Dr.
Luisa Specht-Riemenschneide, war jetzt zu Besuch in Washington,
um Gespräche zur Zukunft des EU-US Data Privacy Framework zu führen.
Konkret fand ein Austausch mit Vertretern des Wirtschafts- und des Justizministeriums
der USA statt und den im Rahmen des Angemessenheitsbeschlusses gegründeten Privacy
and Civil Liberties Oversight Board.
Die BFDI äußerte dabei ihre Besorgnis,
ob die mit der EU vereinbarten Zusagen der USA in Zukunft noch Bestand haben
können und zudem waren auch die
rasanten Entwicklungen im Bereich der künstlichen Intelligenz ein Thema,
die für die BFDI eine hohe Priorität darstellen.
Ja, ich drücke die Daumen, dass es da an der Stelle weitergeht und zeigt aber
auch die Vorgehensweise,
dass man durchaus auch, obwohl der DPF in place ist, aber stärker und stark
über eine Vertragsklausel nachdenkt, die anzuwenden und auch eine TIA dann durchzuführen.
Im Moment wird tatsächlich eine TIA Light, also jetzt nicht so als Deep Dive
funktionieren, aber ich glaube, es ist ein guter Rat, wenn man sich da vorbereitet.
Ja, ich denke, wir haben es ja auch gesehen bei Schrems 1, Schrems 2,
wie schnell das Ganze gehen kann und dass man dann eben doch wieder dieses Fallback-Szenario hat.
Und da sind halt die Standardvertragsklauseln einfach das verlässlichste Instrument.
Wir sind durch mit den Meldungen, was uns in die Rubrik der Lese- und Veranstaltungshinweise führt.
Mein erster Tipp geht in den Norden, nach Hamburg.
Und zwar gibt es vom hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
angekündigt ein neues EU-Projekt zum Datenschutz für Kultur und Bildung.
Unter dem Hashtag MoinDigitaleVorbilder werden praxisnahe Wege für pädagogische
Fachkräfte in der Jugend- und Kulturarbeit
gezeigt. Hierzu gibt es eine Auftaktveranstaltung und zwar am 12.
Mai in der Zeit von 16 bis 18 Uhr in
der Zentralbibliothek. Hierzu eine Veranstaltung. Der Eintritt ist frei.
Um vorige Anmeldung wird gebeten. Zu erwarten ist hier der Umgang mit DSGVO-konformen
Apps, wie man Sicherheitschecks durchführt. Es gibt Quizspiele,
Informationsmaterialien, Gespräche mit Experten.
Auch hier ist der Chaos Computer Club dabei.
Es ist für Snacks und Getränke gesorgt.
Ja super und nicht nur im hohen Norden, sondern auch im Süden kann man sich
zum Datenschutz weiterbilden.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg
bietet in den nächsten Wochen eine Reihe von kostenfreien Schulungen im hauseigenen
Bildungszentrum zu ganz diversen Themen an.
Die Themen lauten Schule digital, Datenschutz und KI in Bildungseinrichtungen,
Datenpannenmanagement, Grundlagen und Praxishinweise.
Da hatten wir, glaube ich, auch in der letzten Woche schon darauf hingewiesen.
Dann gibt es noch Veranstaltungen zu den Themen Datenschutz durch Technikgestaltung,
Datenschutzgrundlagen für öffentliche Stellen und Datenschutz im Verein.
Zielgruppe dieser Schulungen sind alle verantwortlichen Stellen,
Datenschutzbeauftragte, Selbstständige, Startups und alle interessierten Bürger und Bürgerinnen.
Die Schulungen finden teilweise remote und teilweise vor Ort in Stuttgart statt.
Die genauen Daten lassen sich der Webseite der Behörde entnehmen,
die wir nochmal verlinken.
Sehr gut. Ich mag solche konkreten und praxisnahen Veranstaltungen,
wo es wirklich dann ums Doing geht.
Ja, vor allem volles Programm. Also wenn man das alles mitnimmt, dann weiß man ja alles.
Genau.
Ja, mein letzter Hinweis geht in die Dokumentationspflichten.
Und zwar hat die EU-Kommission ihre Absicht erklärt, die Aufzeichnungspflichten
für kleinere Organisationen unter Artikel 30 zu vereinfachen.
Der ETSA begrüßt diese Initiative grundsätzlich, betont jedoch,
dass andere Datenschutzverpflichtungen unberührt bleiben müssen.
Dazu gibt es einen Link, den wir auch in den Shownotes dokumentieren,
nennt sich Simplification Record Keeping Obligation.
Da gibt es sehr, sehr gute Hinweise, also auch eine gute Lektüre,
um mal nachzuforschen, ob man nicht alle Dokumentationen, die man zur Rechenschaftsfähigkeit
benötigt, ob man die nicht vereinfacht darstellen, erstellen und vor allem pflegen kann.
Und das war der bunte Blumenstrauß für diese Woche ich hoffe,
dass ihr uns auch in der nächsten Woche wieder zuhören werdet falls ihr uns
heute am Freitag schon hört,
wünschen wir euch einen guten Start in das sonnige Wochenende falls ihr uns
erst am Montag hört einen guten Start in die neue Woche, bis bald bis bald.