Millionen-Bußgeld nach fehlender Kontrolle – DS News KW 39/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosens.
Wir haben heute Freitag, den 26. September 2025.
Unser Redaktionsschluss war um 10 Uhr. Mein Name ist Laura Droschinski und an
meiner Seite begrüße ich heute Natalia Bosnia.
Guten Morgen.
Hallo liebe Natalia, schön, dass du da bist.
Ich freue mich jedenfalls, Laura.
Ich hoffe, dir geht's gut?
Ja, mir auch.
Ja, auf jeden Fall. Ja, wir gehen frisch in eine neue Folge,
aber vielleicht erstmal im ersten Moment, wer es noch nicht mitbekommen hat.
Wir haben diese Woche eine ganz neue Themenfolge veröffentlicht und zwar zum
Thema datenschutzfreundliche Webseiten-Tools.
Also ich finde für die Praxis ein super relevantes Thema. Und in der Folge spricht
unser lieber Heiko mit Philipp Roth über mögliche Alternativen zu bekannten
Online-Tools, die ja heutzutage, glaube ich, nicht mehr in der Online-Welt wegzudenken sind.
Und die beiden beschäftigen sich eben mit den Fragen, wo genau die datenschutzrechtlichen
und praktischen Probleme bei der Nutzung, insbesondere von großen Anbietern
dieser Tools wie Google und Meta liegen,
wie Unternehmen ihre Webseiten datenschutzkonform gestalten können,
ohne eben dabei an der User Experience schrauben zu müssen, vor allem runterschrauben zu müssen.
Und natürlich auch besprechen sie konkrete Alternativen für Videos,
Formulare, Captures oder Kartendienste.
Also, wen es interessiert, warum eben auch Einwilligungsraten im Online-Business
ein entscheidender KPA sein kann und warum es eben sich auch für Unternehmen lohnen kann,
kostenpflichtige europäische Lösungen einzusetzen, sollte unbedingt reinhören.
Natalia, ich denke mal, das hast du auch auf der Liste, oder?
Auf jeden Fall, auf jeden Fall. Ist fürs Wochenende fest vorgemerkt.
Ja, ist auch vielleicht nur ein Teil 1. Das heißt, wir können uns noch auf die zweite Folge freuen.
Aber bis dahin haben wir jetzt erstmal für heute ein paar Themen mitgebracht.
Was hast du denn auf dem Zettel?
Ich habe zum einen den EuGH. Dieser soll über Massenübermittlungen an die Schufa entscheiden bzw.
Deren Rechtmäßigkeit prüfen. Dann habe ich ein Millionen Bußgeld an McDonalds
Polska, also Polen, wegen einer fehlenden Kontrolle von Auftragsverarbeitern.
Dann ebenfalls ein Bußgeld aus Polen. Hier hat die Aufsicht eine Strafe gegen
die ING-Bank für unzulässiges Einscannen von Ausweisen verhängt.
Dann habe ich noch eine Bitkom-Studie mitgebracht, wo es um das Thema Cyberangriffe geht.
Und ein Lesehinweis und Veranstaltungshinweis.
Das hört sich gut an. Bei mir finden sich heute zum einen ein Urteil vom Oberlandesgerät
Stuttgart zur Lidl Plus App. Weiter geht es mit einer möglichen Sicherheitslücke bei OpenAI.
Finde ich auch in der Praxis ganz interessant.
Und dann habe ich noch eine Leseempfehlung mitgebracht, sowie auch einen Veranstaltungshinweis.
Ein bunter Strauß.
So ist es, wie fast immer. Dann startet doch mal bitte.
Alles klar. So, ich fange mal mit dem EuGH an.
Und zwar ist beim Landgericht Lübeck, da sind wir nämlich noch,
aktuell ein Verfahren anhängig, in dem das Landgericht darüber entscheiden soll,
ob Artikel 6 Absatz 1 F DSGVO, also das berechtigte Interesse,
im konkreten Fall, in dem ein Mobilfunkunternehmen den Namen eines Kunden,
sein Geburtsdatum, seine Anschrift sowie das Datum des Vertragsschlusses und
die Vertragsnummer an die Schufa weiterleitete.
Ob für eben Artikel 6.1f einschlägig dafür ist.
Die gemeldeten Daten sind in den Schufa-Bonitätskorps eingeflossen und eine
Einwilligung wurde nicht eingeholt.
Bei den Daten handelte es sich eben nicht um negative Zahlungserfahrungen oder
sonstiges nicht vertragsgemäßes Verhalten, sondern um sogenannte Positivdaten,
also um Informationen zur Beauftragung, Durchführung oder Beendigung eines Vertrages.
Dieses Verfahren hat das Landgericht Lübeck nun ausgesetzt und den EuGH angerufen,
denn die Richter am Landgericht bezweifeln hier, dass die Meldung bzw.
Übermittlung von solchen positiven Informationen durch Artikel 6 Absatz 1 F DSGVO gedeckt ist,
da die massenhafte Übermittlung solcher Daten an die Schufa nach Ansicht der
Richter möglicherweise die Grundrechte sehr viele Bürger berühre und betreffe.
Das Landgericht möchte zudem auch wissen, wenn die Übermittlung nach Ansicht
des EuGH grundsätzlich nach Artikel 6.1f gedeckt wäre.
Ob die Übermittlung von Daten jedenfalls dann rechtswidrig wäre,
wenn die Daten zur Profilbildung, also für Scoring-Zwecke, genutzt würden und
auch, ob die betroffenen Personen Schadensersatz verlangen können,
wenn sie zwar nicht nach ihrer Zustimmung gefragt wurden,
aber zumindest auf die Datenübermittlung hingewiesen wurden.
Das EuGH-Urteil, was jetzt ansteht,
dürfte hier also für viele Unternehmen relevant werden und auch klären,
ob und unter welchen Voraussetzungen die Weitergabe von Vertragsdaten an Auskunftteilen
ohne ausdrückliche Zustimmung des Betroffenen zulässig ist.
Wir sprechen hier nochmal Erinnerung an der Stelle von keinen negativen Daten,
sondern von Positivdaten.
Und je nach Ausgang des Verfahrens müssten also die bisherigen Anforderungen
an eine zulässige Übermittlung an Auskunft ein, gegebenenfalls nochmal geprüft
und auch aktualisiert werden.
Das heißt, wir können hier Unternehmen oder euch, liebe Zuhörer,
empfehlen, je nach Ausgang des EuGH-Verfahrens folgende Punkte durchzugehen
bei euch, jeweils im Unternehmen.
Wenn ihr einen solchen Prozess bei euch habt, gegebenenfalls müsste dann die
Rechtsgrundlage angepasst werden, falls 6.1.f.
Doch nicht einschlägig sein sollte und eine Einbindung erforderlich sein sollte.
Dann müssten die Informationspflichten Artikel 13, 14 möglicherweise auch aktualisiert angepasst werden.
Ja, ebenfalls die Interessensabwägung, wenn es eine gibt, bereits dokumentiert,
dass die auch vielleicht angepasst werden müsste oder generell wegfallen würde,
wenn die Einbindung erforderlich sein sollte.
Und eine Neubetrachtung hinsichtlich der Zweckbindung. Insofern,
das EuGH-Urteil wird hier ja einiges an Klarheit bringen.
Wir erwarten es und werden sicherlich berichten, wenn es soweit ist.
Genau, so ist es. Das ist ja gefühlt Thema Schufa, eine Never-Ending-Story oder
grundsätzlich Auskunftteilen.
Die Woche war ja auch eine Nachricht von Neub drin, die ja weiter gegen die Griff vorgehen.
Ja, wir bleiben weiter dran.
Wir bleiben dran.
Das OLG Stuttgart weist die Klage gegen die Lidl Plus App ab.
Also das Oberlandesgericht Stuttgart hat eine Klage des Verbraucherzentrale
Bundesverbands gegen die Lidl Plus App abgewiesen.
Die Verbraucherschützer hatten argumentiert, dass die App nicht als kostenlos
beworben werden dürfe, da Nutzerinnen und Nutzer zwar kein Geld,
aber eben ihre personenbezogenen Daten preisgeben.
Der zuständige Senat folgte dieser Argumentation aber nicht.
Laut dessen Aussage sei nach deutschem und europäischem Richt ein Preis ein
zu zahlender Geldbetrag.
Keine sonstige Gegenleistung. Es sei daher nicht irreführend,
dass Lidl die App als kostenlos bezeichnet und bei der Anmeldung keinen Gesamtpreis nennt.
Auch konnte das Gericht eine bewusste Irreführung nicht erkennen.
Es ist innerhalb der Nutzungsbedingungen der App neben dem Wort kostenlos ausdrücklich
formuliert, dass im Gegenzug Daten gesammelt und verwendet werden.
Für den, der dies aufmerksam liest, sei also klar, dass die App zwar kein Geld
koste, aber trotzdem eine Art Gegenleistung in Form der eigenen Daten vonnöten ist.
Des Weiteren ist eine aktive Zustimmung des Kunden zu den Teilnahmebedingungen erforderlich.
Ja, die Revision zum Bundesgerichtshof wurde wegen der grundsätzlichen Bedeutung
zugelassen und der Verbraucherzentrale Bundesverband kündigte auch bereits an,
den Fall weiter zu verfolgen, um eben höchstrichterlich klären zu lassen,
ob Verbraucher durch die Preisgabe ihrer Daten faktisch doch eine Gegenleistung erbringen.
Heißt jetzt also, für die mehr als 100 Millionen Nutzerinnen und Nutzer der
Lidl Plus App, finde ich ja wahnsinnig, wie viele das sind, ändert sich aktuell erstmal nichts.
Also Sie können weiterhin die App für Rabatte, Kumpungs und Aktion einsetzen.
Jetzt fragt ihr euch wahrscheinlich, warum haben wir es mitgebracht?
Ist ja gar nicht so ein direkter Datenschutzrechtsbezug.
Jedoch, ich persönlich finde es trotzdem sehr interessant, weil das haben wir
ja auch an anderen Stellen bei Unternehmen, die ähnliche Modelle ja eben verfolgen.
Wo haben wir da eben die harte Abgrenzung? Wann ist es halt eben rechtlich ausschlaggebend,
auch mit Daten in Anführungsstrichen bezahlen zu dürfen und wann nicht?
Und ich glaube, dieses Urteil könnte darüber nochmal entscheidende Klarheit bringen.
Ja, ich denke hier tatsächlich an die vielen, vielen Webseiten,
wo der Cookie-Banner oder der Consent-Banner an der Stelle tatsächlich so aufgebaut ist,
dass entweder zugestimmt wird, dass Cookies gesetzt werden und damit quasi die
eigenen personenbezogenen Daten als Gegenleistung geliefert werden oder verarbeitet
werden dürfen oder aber ein Geldbetrag zu zahlen ist.
Und ich glaube, auch da wird das Urteil für diese Webseiten oder für diese Art
der Gegenleistung auch interessant werden.
Und ich finde auch hier wirklich die Abgrenzung auch spannend,
Preis und Gegenleistung, dass es eben nicht das Gleiche ist.
Ja, auch sehr spannend. Ich gehe mit meiner nächsten Meldung nach Polen und
zwar hat die polnische Aufsichtsbehörde gegen McDonalds Polska ein Bußgeld in
Höhe von über 4 Millionen Euro verhängt.
Wie der Europäische Datenschutzausschuss in dieser Woche berichtet,
hat die polnische Datenschutzaufsicht gegen McDonald's Polska und dessen Dienstleister
auch, nämlich 24-7-Communication, hohe Geldbußen verhängt.
Hintergrund ist ein schwerwiegendes Datenleck. In einem öffentlich zugänglichen
Serververzeichnis waren Daten von McDonalds-Mitarbeitern und McDonalds-Franchise-Nehmern
einsehbar, darunter Namen,
persönliche Identifikationsnummern und Passnummern, der Beginn und das Ende
der Arbeitszeit, Arbeitsstunden und auch Urlaubsangaben sowie Tätigkeitsinformationen ja frei einsehbar.
McDonalds hatte zwar mit dem Dienstleister eine AV geschlossen,
allerdings stellte die Aufsichtsbehörde bei ihren Untersuchungen im Nachgang
zu dem Vorfall einiges fest.
Zum einen oder vor allem, McDonalds hatte die Verwaltung der eingesetzten Systeme
vollständig dem Dienstleister überlassen und keine ausreichende eigene Kontrolle
als verantwortlicher Stelle ausgeübt.
Insbesondere gab es kein Administrationspanel für den Verantwortlichen und auch
administrativer Zugang wurde, obwohl das technisch möglich gewesen wäre,
nie von McDonalds angefordert.
Weder der Konzern noch der Dienstleister führten Risikoanalysen durch oder implementierten
angemessene technische und organisatorische Maßnahmen.
Konkret bemängelte die Aufsichtsbehörde, dass die Bestimmung des Auftragsverarbeitungsvertrages
hinsichtlich der Durchführung von Audits und Inspektionen nicht eingehalten wurden.
Der Verantwortliche, also McDonalds, Polska, hat keine angemessene Aufsicht
über seine, dem Auftragnehmer, anvertrauten Daten ausgeübt.
Die Aufsichtsbehörde wies auch darauf hin, dass die Umsetzung und Einhaltung
der vereinbarten, angemessenen Tommen für beide Parteien gilt und auch keine
einmalige Maßnahme ist.
Und vielmehr bedarf es bei beiden, also sowohl bei McDonalds als auch beim 24-7-Communication,
also beim Auftraggeber und Auftragnehmer,
wirksame Prozesse, in deren Rahmen beide die getroffenen Maßnahmen regelmäßig
überprüfen und gegebenenfalls auch aktualisieren sollten und müssen.
Insofern, das war so der Hauptkritikpunkt der Aufsichtsbehörde,
aber es gab noch weitere Punkte, denn ein Subdienstleister wurde durch den Auftragsverarbeiter eingesetzt,
ohne dass ein erforderlicher Auftragsverarbeitungsvertrag mit diesem abgeschlossen worden wäre.
Zudem war der Datenschutzbeauftragte nicht in zentrale Entscheidung einbezogen worden.
Als Folge verhängte die Behörde somit eine Geldbuße in Höhe von rund 4 Millionen
Euro gegen McDonalds und in Höhe von rund 44.000 Euro gegen den Dienstleister.
Für uns sicherlich eine Handlungsempfehlung wert, denn der Fall zeigt eindeutig,
dass Verantwortliche die Kontrolle über personenbezogene Daten nicht alleine
den Auftragsverarbeitern überlassen dürfen.
Notwendig sind natürlich klare Verträge, aber auch die laufende Kontrolle der
in den Verträgen vereinbarten Maßnahmen und Regelungen,
sowie auch Risikoanalysen und die frühzeitige Einbindung des Datenschutzbeauftragten.
Die fehlende Aufsicht und technische Nachlässigkeiten können sonst,
wie der Fall hier auch zeigt, schnell zu hohen Bußgeldern führen.
Von daher sicherlich ein Hinweis für unsere höherer Wert.
Absolut. Und wir hatten es in der Vergangenheit auch schon mal beim Thema Löschen,
dass man da als verantwortliche Stelle durchaus sich seiner Rolle bewusst sein
muss und hier auch durchaus mit Kontrollen nachhaken sollte.
Genau richtig.
Aber du hast noch ein weiteres hohes Bußgeld aus Polen mitgebracht.
Ich habe noch ein weiteres hohes Bußgeld.
Ich bleibe nämlich in Polen.
Polnische Woche heute.
Eine polnische Woche. Ich mache direkt weiter mit einer weiteren Millionenstrafe aus Polen.
Die polnische Aufsicht war nämlich fleißig diese Woche und hat auch gegen die
ING Bank für unzulässiges Einscannen von Ausweisen eine Millionenstrafe verhängt.
Und zwar die ING Bank Schlonski muss ein Bußgeld in Höhe von 4,37 Millionen Euro zahlen.
Der Grund dafür ist, dass zwischen April 2019 und September 2020 durch die Bank
routinemäßig die Ausweise von Kunden und Interessenten eingescannt wurden,
ohne zuvor geprüft zu haben, ob dies nach dem Geldwäschegesetz, also nach dem EML-Act,
tatsächlich erforderlich war.
Die Aufsicht stellte bei ihrer Prüfung fest, dass die Bank keine individuelle
Risikoprüfung durchgeführt hatte,
sondern das Einscannen des Ausweises vielfach einfach zur Voraussetzung für
alltägliche Vorgänge gemacht hatte, etwa bei Geldautomatenbeschwerden.
Damit fehlte eine klare rechtliche Grundlage für die Verarbeitung,
denn nach dem AML-Gesetz, also Anti-Money-Laundering-Act,
in Deutsch auch Geldwäschergesetz, dürfen Personalausweise nur dann kopiert
werden, wenn dies im Einzelfall zwingend für Maßnahmen gegen Geldwäsche oder
Terrorismusfinanzierung erforderlich ist.
Ein bloßes standardisiertes Vorgehen, wie in dem Fall bei der ING-Bank,
ohne Abwägung des konkreten Risikos genügt also nicht.
Die Behörde ahndete damit mehrere Grundsätze der DSGVO.
Die Rechtmäßigkeit der Verarbeitung, also des Einscans der Ausweise,
für die eine Rechtsgrundlage eben nicht erkennbar war, sich nicht aus dem EML-Act
ergab, aber auch die Zweckbindung und die Datenminimierung bzw.
Den Grundsatz der Datenminimierung.
Insofern auch an der Stelle für unsere Zuhörer eine Handlungsempfehlung,
denn gerade Banken und Finanzdienstleister sollten sicherstellen,
dass Ausweiskopien nicht automatisch, sondern nur nach dokumentierter Risikoanalyse
erfolgen bzw. durchgeführt werden.
Jede Verarbeitung solcher sensibler
Identitätsdaten muss sich zwingend am Ni-to-No-Prinzip orientieren.
Also nur dann erfolgen, wenn sie nachweislich für die Erfüllung von gesetzlichen
Pflichten erforderlich ist.
Und ich glaube in der Praxis auch wichtig an der Stelle, dass nicht nur Banken-
und Finanzdienstleister, sondern auch andere Unternehmen,
die bei ihrer Tätigkeit vielleicht in den aktuellen Prozessen noch Personalausweise
einscannen, sich überlegen sollten und prüfen sollten,
ob dies tatsächlich so erforderlich ist und dem Need-to-No-Prinzip entspricht
und auch durch den EML-Act gedeckt ist.
Weil das erleben wir tatsächlich in Praxis, vielleicht im privaten Leben auch,
wenn man ein Päckchen abholen möchte beim Paketdienstleister,
wird teilweise auch noch der Personalausweis fotokopiert.
Von daher, ja, überprüft gerne eure Prozesse, liebe Zuhörer.
Und wir sind gespannt, was dabei rauskommt.
Genau, immer Obacht.
Sicherheitsforscher des US-israelischen Unternehmens Redware haben eine Schwachstelle
im Umgang von Chat-GPT-Agenten mit externen Konten identifiziert.
Das haben mehrere Medien diese Woche berichtet. Und ja, der als Shadowleak bezeichnete
Angriffsablauf erlaubt es,
personenbezogene Daten aus E-Mail-Postfächern zu exfiltrieren,
sobald ein Nutzer dem Large Language Model den Zugriff auf sein Konto gestattet
und das Modell bittet, E-Mails zu durchsuchen oder eben zusammenzufassen.
So funktioniert der Angriff in Kurzform. Der Angreifer oder die Angreifer schicken
dem Opfer eine scheinbar harmlose HTML-Mail,
die aber eben einen unsichtbaren eingebetteten Prompt, also in Kurzform eine
Anweisung eben an das LLM, enthält.
Dieser Prompt instruiert den Agenten etwa, alle Personalabteilungs-E-Mails zu
finden, personenbezogene Datensätze zu extrahieren und diese kodiert an eine
vom Angreifer kontrollierte URL zu senden.
Und dies auch gegebenenfalls mehrfach.
Nutzt das Opfer dann den Agenten mit Zugriff auf sein Postfach,
liest der Agent den versteckten Prompt und führt die Anweisung aus.
Technisch macht sich die Methode Prompt Injection und Verschleierung zunutze.
Die eben sogenannte Base64-Codierung wird offenbar eingesetzt,
damit das Model die Daten nicht direkt als sensible Inhalte erkennt.
Die Sicherheitsforscher meldeten den Befund wohl bereits am 18.
Juni über das Bug-Bounty-Portal an OpenAI und laut den Forschern wurde die Lücke
aber auch rund erst sechs Wochen später behoben.
OpenAI kennzeichnete das Problem offiziell als geschlossen am 3.
September diesen Jahres.
Inzwischen hat OpenAI-CEO Sam
Altman vor generellen Risiken beim E-Mail-Zugriff durch Agenten gewarnt.
Redmare, also die Sicherheitsforscher und andere bemängeln allerdings,
dass OpenAI zu diesem Zeitpunkt bereits konkrete Informationen über den Exploit-Vorlagen,
die eben nicht offen kommuniziert wurden.
Also warum ist das jetzt für uns in der Praxis relevant? Ich glaube,
OpenAI-Produkte davon wie ChatGPT werden ja doch oft in der Praxis angewandt.
Und Shadow League, also diese Lücke, zeigt eben jetzt das grundsätzliche Risiko,
was entstehen kann beim Zusammenspiel von einem solchen Tool in Kombination
mit der Erteilung von Zugriffsrechten auf persönlichen Konten.
Also für Unternehmen, aber auch Behörden könnte das durchaus unmittelbare Folgen
haben für Compliance- und Datenschutzanforderungen, denn eben personenbezogene
Daten können somit unbemerkt an Dritte gelangen.
Also auch hier, die Verantwortlichen sind angehalten, wie auch bei so vielen
anderen Themen eben, die technischen organisatorischen Maßnahmen entsprechend
anzupassen, bevor sie eben KI-Agenten weitreichende Zugriffe auf interne Konten erlauben.
Aber auch, wie an so vielen anderen Stellen, die wir natürlich ja wissen es
selber am besten, Schulen der Mitarbeiter ist auch hier das Mittel erster Wahl.
Also auch keine unkontrollierten Erlaubnisse für KI-Agenten rauszugeben,
Und auch immer wieder zu sensibilisieren und zu Vorsicht aufzurufen bei unbekannten
HTML-Mails und Anhängen.
Also das, was wir bei anderen Cyberattacken eben auch kennen.
Ich glaube, das zeigt wirklich sehr eindeutig, wie wichtig es ist,
bei den Tom auch up-to-date zu sein und wirklich die aktuellen technischen und
organisatorischen Maßnahmen umzusetzen.
Und dass es eben nicht damit getan ist, es einmal zu machen und danach wieder
liegen zu lassen, Weil man muss auch wirklich mit dem Stand der Technik gehen.
Und auch die Schulung der Mitarbeiter, auch hier funktioniert es nicht einfach,
die Schulung vom letzten Jahr aus der Schublade zu holen, sondern auch die muss
regelmäßig aktualisiert werden, weil sie einfach durch neue Gegebenheiten einfach
neue Sensibilisierungserfordernisse ergeben.
Und ja, ich glaube, wir werden nie müde zu betonen, wie wichtig es ist,
die Tom zu prüfen, zu aktualisieren und ja, mit den Mitarbeitern auch regelmäßig
als Teil davon zu sensibilisieren.
Ja, ich komme zu meinem nächsten Thema, was hier gar nicht so weit entfernt
ist und tatsächlich an die sehr gut sich hier dran anschließt,
nämlich eine Bitkom-Studie.
Danach sind fast alle deutschen Unternehmen von Cyberangriffen betroffen.
Eine neue Studie des Digitalverbands Bitkom zeigt, fast jedes deutsche Unternehmen,
also 8 von 10, war im vergangenen Jahr Opfer von Datendiebstahl,
Sabotage oder Industriespionage.
Immer öfter führt hierbei die Spur nach Russland und China.
Drei Viertel der Unternehmen berichten von digitaler Sabotage,
zwei Drittel von Ausspähungen und Datenklau.
Aber auch klassische Formen wie der Diebstahl von Dokumenten oder die Sabotage
vom Produktionssystem spielen weiterhin eine Rolle laut der Studie.
Laut Bitkom-Präsident Ralf Wintergerst ist die entscheidende Frage nicht,
ob Unternehmen angegriffen werden, sondern ob sie diese Angriffe auch wirklich abwehren können.
So erreichte die Schadenssumme tatsächlich erstmals über 200 Milliarden Euro.
Angriffe mit künstlicher Intelligenz nehmen hierbei zu, während Deepfakes oder
Robocalls bislang nur eine geringe Rolle spielen. Was sich vielleicht,
hier in Einschub von mir, in Zukunft auch noch ändern könnte.
Der Verfassungsschutz, der die Studie mit dem Bitkom zusammen begleitet hat,
betont seine verstärkten Aktivitäten bei der Aufdeckung staatlicher Angriffe.
Mittlerweile erhalten über ein Drittel der betroffenen Unternehmen Hinweise
auf Angreifer direkt von den Behörden.
Ja, der Anteil von Cyberangriffe am Gesamtschaden für Unternehmen liegt aktuell,
so der Bitkom, bei rund 70 Prozent. Vielleicht rüttelt das den einen oder anderen wach.
Von daher unsere Empfehlung, das, was wir auch gerade schon hatten,
lieber Laura, Überprüfung der eigenen TOM und Prozesse, regelmäßige Updates
zum Beispiel und Berücksichtigung des Stands der Technik.
Und ich glaube, ja, ansonsten können wir unseren lieben Zuhörern hier auch nur empfehlen,
sich diese Bitkom-Studie vielleicht als hier vorgelagerter Lesehinweis einmal
durchzulesen, um zu schauen,
wo man genau beim eigenen Unternehmen noch drauf gucken müsste,
wo möglicherweise Einfallstore sind und lauern, die man vielleicht so nicht auf dem Schirm hat.
So ist es. Ja, du hast schon netterweise übergeleitet zu unserer nächsten Kategorie,
nämlich Veröffentlichung und Veranstaltung.
Und ich habe als erstes mitgebracht die Information darüber,
dass die EU-Kommission die Konsultation zum Digital-Omnibus gestartet hat.
Also die Europäische Kommission hat eben hier die Konsultation eröffnet und
mit diesem Vorhaben sollen ja eben bestehende europäische Vorschriften im Digitalbereich
vereinfacht werden, ohne eben den Schutz von Grundrechten zu schwächen.
Geplant sind unter anderem Lockerungen bei Regeln zum Umgang mit Daten und Cookies,
eine Vereinfachung der Meldepflichten bei Cybervorfällen sowie rechtliche Klarstellung
zur Anwendung der KI-Verordnung und der EU-Digitalidentität.
Besonders kleine und niedrige Unternehmen sollen durch die Anpassungen auch
zukünftig entlastet werden, ja auch beispielsweise beim Thema Dokumentation.
Nun sind eben Gruppen aus Wirtschaft, Zivilgesellschaft und Verwaltung gefragt.
Denn diese und Experten natürlich auch, denn diese sind eingeladen bis Mitte
Oktober, Stellungnahmen einzureichen zu dem Thema.
Also wir bleiben gespannt, was da in Brüssel denn ankommt.
Was ich aber in dem Zusammenhang auch natürlich erwähnen möchte,
ist, dass sich an der Technischen Universität in München in dem Zusammenhang
auch mit datenschutzrechtlichem Bezug ein Think Tank zusammengefunden hat,
nämlich eine Arbeitsgruppe mit Experten aus Politik,
Verwaltung, Wirtschaft und Zivilgesellschaft,
die eben sich mit dem Thema DSGVO-Reform beschäftigt.
Austauschen wollen und eben sich zum Ziel gesetzt haben, auch hier konkrete
Reformbausteine zu erarbeiten.
Diese sollen zukünftig eben verständlich, aber auch anschlussfähig sein und
umsetzbar in der Praxis und damit natürlich einen konkreten Mehrwert für alle Anwender bieten.
Und die Gruppe hat sich natürlich auch politische Debatten mit auf die Fahne
geschrieben bis Ende diesen Jahres.
Also vier konkrete Maßnahmen, Empfehlungen sind hier das gesteckte Ziel für
die praxisnahe Weiterentwicklung der DSGVO.
Ich bin total gespannt, was die Arbeitsgruppe schafft und finde es natürlich
auch super toll, dass sich in Deutschland da auch in der Zeit jetzt was formiert hat,
um aktiv auf vielleicht anstehende Reformen, in welcher Form sie auch immer
uns erwarten werden, mitarbeiten können.
Und ich finde, Ideen aus der Praxis sind ja immer gut, oder Natalia?
Ja, auf jeden Fall, weil dabei wird ja eigentlich ein gangbarer Weg immer aufgezeigt,
den man vielleicht für sich noch ein bisschen anpassen kann.
Aber man weiß, okay, so könnte es funktionieren. Es ist dann nicht so ganz trocken.
So, etwas nicht aus der Praxis, aber für die Praxis.
Der Europarat hat nämlich einen Entwurf für Leitlinien zum Schutz der Privatsphäre
bei großen Sprachmodellen veröffentlicht.
Ja, das Thema Sprachmodelle, Large Language Models, LLM, haben wir vorhin schon gehabt bei dir, Laura.
Hierzu hat der Europarat, wie gesagt, den ersten Entwurf der Leitlinien zum
Umgang mit diesen Sprachmodellen vorgelegt.
Ziel ist es, dass Datenschutz- und Menschenrechtsprinzipien über den gesamten
Lebenszyklus solcher Systeme hinweg verbindlich berücksichtigt werden sollen.
Diese Leitlinien richten sich an die Praktiker,
nämlich sowohl an Entwickler und Betreiber als auch an die Regulierungsbehörden
und gefordert werden eine risikobasierte Vorgehensweise, Transparenzpflichten
sowie wirksame Governance-Strukturen.
Damit soll gewährleistet werden, dass technologische Innovationen im Bereich
künstliche Intelligenz mit Grundrechten, Demokratie und Rechtsstaatlichkeit vereinbar bleiben.
Insofern für diejenigen, die nachlesen möchten oder noch ein paar Lücken schließen
möchten, sicherlich interessant.
So ist es. Ja, ich möchte mit meiner nächsten Veranstaltungsempfehlung auf ein Jubiläum hinweisen.
Heiko und ich, wir hatten ja letzte Woche schon das schöne Jubiläum der Migosens,
aber wer auch dieses Jahr ein Jubiläum feiert, ist Prof.
Dr. Dieter Kugelmann, der nämlich auf zehn Jahre als Landesbeauftragter für
den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz zurückblickt.
Und er eben einlädt mit seinem Team und der Behörde eben am 10.
Oktober zu einem wissenschaftlichen Symposium unter dem Titel 10 Jahre Datenschutz
im Wandel im Landesmuseum in Mainz.
Also im Mittelpunkt der Veranstaltung sollen eben die Entwicklung des Datenschutzes
stehen der vergangenen 10 Jahre von der Einführung der DSGVO über die zunehmende
Digitalisierung bis hin zur Durchsetzung datenschutzrechtlichen Vorgaben in der Praxis.
Auf dem Programm stehen drei Diskussionspanels mit Fachleuten aus Wissenschaft,
Praxis und Vertretern anderer Landesdatenschutzbehörden und wer interessiert
ist, kann sich kostenlos zu der Veranstaltung anmelden auf der Webseite der
Rheinland-Pfälzischen Datenschutzbehörde.
Ja, an dieser Stelle einen lieben Gruß, weil wir wissen, die lieben Kolleginnen
und Kollegen dort hören uns auch, was uns sehr freut.
Ich habe ebenfalls einen Veranstaltungshinweis nochmal und zwar eine Online-Diskussion, die am 29.
September zum Thema Palantir & Co.
Notwendige Instrumente der
Sicherheitsbehörden oder Schlüssel zum Überwachungsstaat stattfinden wird.
Denn gerade auch vor dem Hintergrund, dass im Juni 2025, also vor wenigen Monaten,
der Einsatz von Gesichtserkennungstechnologie durch die Polizei im Frankfurter
Bahnhofsviertel begonnen hat,
reißt die Diskussion über die Einführung und den Einsatz der Software Gofem,
der US-amerikanischen Firma Palantir, die bei der Polizei in Hessen bereits
im Einsatz ist, nicht mehr ab.
In dieser Online-Diskussion am 29.09., die von 16 bis 17 Uhr stattfinden soll, wird Prof. Dr.
Dennis Kenji Kipka, ich hoffe, ich habe es richtig ausgesprochen, Prof.
Für IT-Sicherheitsrecht an der Uni Bremen zu diesen Fragen sprechen und informieren.
Veranstalter ist hier die Europäische Akademie für Informationsfreiheit und
Datenschutz. Wir verlinken für die Anmeldung in den Shownotes.
Super. Sind wir am Ende angekommen, oder?
Wir sind da.
Ja, vielleicht an der Stelle nochmal. Jetzt ist doch die Folge länger geworden, als wir dachten.
Aber trotzdem nochmal zum Anfang der Reminder, die Brücke schlagen zu der Themenfolge.
Vielen Dank an der Stelle. Das habe ich gerade eben noch vergessen.
Natürlich an Philipp Roth, der eben uns beglückt hat mit seinen Erfahrungen
aus der Digitalwirtschaft, dem Marketing und dem Datenschutz.
Und vielleicht auch der Aufruf an euch, liebe Zuhörerinnen und Zuhörer,
wenn ihr noch Ideen habt für eine Themenfolge oder vielleicht gerne mal bei
uns zu Gast sein möchtet, meldet euch doch gerne.
Wir freuen uns sehr, mit euch in den Austausch zu gehen und ja,
lieben Dank dir auch, Natalia, für die heutige Folge, dass du mit unterstützt hast.
Lieben Dank dir, Laura.
Ja, liebe Zorn und Zorn, danke für eure Zeit und ich sage bis zum nächsten Mal.
Bis zum nächsten Mal, schönes Wochenende.