EuGH Urteil zu Online-Marktplätzen – DS News KW 49/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Es ist Freitag, der 5. Dezember 2025.
Unser Redaktionsschluss war heute um 9.30 Uhr und wir wollen mit euch wieder
zusammen auf die Geschehnisse in der Welt des Datenschutzes zurückblicken.
Ich mache das nicht alleine. Bei mir ist meine Kollegin Natalia. Hallo Natalia.
Hallo David.
Natalia, was hat es bei dir auf den Zettel geschafft diese Woche?
Ich habe heute zwei spannende Urteile. Einmal das Urteil des EuGH zu Betreibern
von Online-Marktplätzen und ja, zu der vom EuGH festgestellten Verantwortlichkeit
für die Inhalte der Anzeigen.
Und ich habe ein Urteil des Verwaltungsgerichts Berlin zum Recht auf Auskunft
und natürlich noch den einen oder anderen Veranstaltungshinweis bzw. Lesetipp.
Bei mir auf dem Zettel hat es heute geschafft, ein Dokument mit Empfehlungen
zur Gestaltung von Online-Shops veröffentlicht durch das EDPB und ich habe ein
Urteil des Bundesgerichtshofs mitgebracht,
in dem es um Schadenersatz geht.
Okay Natalia, dann darfst du anfangen heute.
Perfekt, danke dir. So, ich fange direkt mit dem Europäischen Gerichtshof mit dem EuGH an.
Diese hat nämlich 2. Dezember, also druckfrisch, diesen Dienstag in einem richtungsweisenden
Urteil den Spielraum bei der Haftung von Online-Marktplätzen eingeengt.
Die Entscheidung stellt klar, dass Hosting-Anbieter für rechtswidrige,
von Nutzenden eingestellte Inhalte datenschutzrechtlich mitverantwortlich sein
können. Aktuell gibt es hierzu zwar nur eine Pressemitteilung des EuGH vom 2.
Dezember, also vom selben Tag, jedoch haben sich erfreulicherweise auch die
Datenschutzbeauftragten von Berlin und Hamburg in einer eigenen Pressemitteilung
vom selben Tag mit diesem Urteil tiefer beschäftigt.
Demnach geht es im konkreten Fall
um die rumänische Verlagsgesellschaft Rusmedia Digital auf dem Urteil.
Portal Publi24RO hatte eine unbekannte Person eine irreführende Anzeige mit
Fotos und der Telefonnummer einer Frau veröffentlicht, die angeblich sexuelle Dienstleistung anbot.
Der EuGH hatte hier zu entscheiden, ob ein Hosting-Anbieter,
der zunächst nur die technische Plattform bereitstellt, für darauf veröffentlichte
Inhalte datenschutzrechtlich verantwortlich ist.
Ja, und der EuGH entschied, dass ein Hosting-Anbieter, also Plattformbetreiber,
auch ohne Einflussnahme auf die Inhalte einer Anzeige eine datenschutzrechtliche
Mitverantwortlichkeit für die von
den Nutzenden auf dem Online-Marktplatz veröffentlichten Inhalte trägt.
Dies gelte im konkreten Fall insbesondere deshalb, da der Plattformbetreiber
in seinen allgemeinen Nutzungsbedingungen sich bestimmte Entscheidungen über
die Zwecke und Mittel der Verarbeitung vorbehalten hatte.
Konkret das Recht, die veröffentlichten Inhalte zu verwenden,
zu verbreiten, zu übertragen, zu vervielfältigen, zu ändern, zu übersetzen.
An Partner weiterzugeben und jederzeit ohne Angabe von triftigen Gründen zu löschen.
Also tatsächlich vielfältige Rechte, die hier dem Plattformbetreiber zustehen.
Für den EuGH reichte dies also aus, um grundlegende Pflichten aus der Datenschutzgrundverordnung
als ausgelöst zu betrachten.
Demnach muss ein Hostingdienst, wenn er wie hier mitverantwortlicher ist,
einige Punkte sicherstellen.
Zum einen muss ein Hostingdienst dann, oder ein Plattformbetreiber wie in dem Fall,
eine inhaltliche Überprüfung durchführen, also konkret bereits vor der Veröffentlichung
überprüfen, ob die Inhalte sensible Daten im Sinne von Artikel 9 Absatz 1 DSGVO enthalten.
Der Plattformbetreiber muss auch überprüfen, ob die Person, deren Daten in einer
solchen Anzeige enthalten sind, auch die veröffentlichte Person ist,
also die Personengleichheit überprüfen.
Und wenn die betroffene Person und die veröffentlichende Person nicht dieselbe sind,
hat der Plattformbetreiber weitere Überprüfungspflichten, nämlich zu prüfen,
ob eine Einwilligung der betroffenen Person vorliegt oder eine andere Rechtsgrundlage
für die Veröffentlichung einschlägig ist und dafür Sorge zu tragen,
dass nur solche Personen Inhalte veröffentlichen können,
deren Identität vorab erfasst und überprüft wurde.
Außerdem als weitere Anforderungen oder weitere Punkte sicherzustellen ist,
der Betreiber des Online-Marktplatzes oder der Plattform muss geeignete technische
und organisatorische Schutzmaßnahmen ergreifen, um zu verhindern,
dass Anzeigen mit sensiblen Daten, die auf seiner Webseite veröffentlicht werden,
kopiert und auf anderen Webseiten unrechtmäßig veröffentlicht werden können.
Das Urteil hat also sehr weitreichende Konsequenzen für viele Plattformen.
Ja, es ergeben sich daraus Empfehlungen für die Praxis, denn zum einen sollten
Betreiber von Online-Plattformen dringend überprüfen, ob sie anhand der vom
EuGH aufgestellten Kriterien datenschutzrechtlich verantwortlich sind.
Also Stichpunkt allgemeine Nutzungsbedingungen. Wenn ja, müssen sie auch fortlaufend
sicherstellen, dass personenbezogene Daten rechtmäßig auf ihrer Plattform verarbeitet werden.
Sie müssen zudem Schutzmaßnahmen ergreifen, um die Inhalte vor einer Weiterverwendung zu schützen.
Der EuGH macht also unmissverständlich deutlich, dass bestimmte Haftungsprivilegien
für Unternehmen nicht gelten, wenn es um die Gewährleistung der Datenschutzrechte
der europäischen Bürger geht.
Ja, denn aus dem Urteil folgt weiterhin.
Dass die Haftungsprivilegien aus der E-Commerce-Richtlinie, die im DSA überführt
wurde, eine Verantwortlichkeit nach der DSGVO und damit die Rechte der Betroffenen
aus der DSGVO nicht ausschließend erschmälern darf.
Darauf weisen die Datenschutzbeauftragten von Berlin und Hamburg mit und leiten
daraus ihre Pressemitteilung ab,
dass die datenschutzrechtliche Verantwortlichkeit des Hosting-Anbieters nicht
erst mit der Kenntniserlangung von rechtswidrigen Inhalten entsteht, sondern vorher schon.
Insofern, wie zu Beginn schon gesagt, eine sehr weitreichende Folgen des Urteils
und ich glaube für diejenigen Zuhörer gut.
Unter euch, die eine solche Plattform betreiben, einen Online-Marktplatz betreiben,
sicherlich ein wichtiger Aufruf, um seine eigenen Prozesse zu überprüfen und
zu aktualisieren, weil ich denke mal, dass das, was gefordert wird vom EuGH,
nicht von jedem bereits umgesetzt ist.
Ja, ich denke mal, also natürlich ist dieser Fall erstmal ein Skandal und nachvollziehbar,
dass dann solche Maßnahmen gefordert werden.
Aber die Frage ist natürlich, wie können solche Maßnahmen denn aussehen,
dass sie auch geeignet sind?
Also wie kann ich denn überhaupt identifizieren, ob in der Anzeige sensible Daten drinstehen?
Ja, auch die Identifikation der Person dann halte ich schon für eine Herausforderung.
Ich denke, es ist eine sehr große Herausforderung in der Praxis,
wo auch die Frage der Angemessenheit der technischen und organisatorischen Maßnahmen
eine Rolle spielen wird.
Denn technisch ist vielleicht vieles möglich, aber ist es dann noch verhältnismäßig?
Ist es umsetzbar im Hinblick auf Kosten und Aufwand?
Das wird die Praxis wahrscheinlich nochmal zeigen müssen, aber eine Überprüfung
sollte auf jeden Fall stattfinden.
Ja, das European Data Protection Board, kurz EDPB, hat ein Dokument mit Empfehlungen
zur Gestaltung von Online-Shops veröffentlicht.
Darin geht es insbesondere um die Frage, inwiefern es rechtmäßig ist,
Käufe nur nach einer Registrierung des Kunden zu ermöglichen oder ob hierzu
alternativ ein Gastmodus angeboten werden muss.
In Deutschland gab es dazu ja schon einige Urteile, von denen wir hier auch
im Podcast berichtet haben. Dabei kam die Gerichte recht einheitlich zu der
Auffassung, dass eine zwingende Registrierung regelmäßig nicht erforderlich ist.
Und das ist im Wesentlichen auch die Ansicht des EDPB.
Demnach kommt als Rechtsgrundlage für die Erstellung eines Accounts der Artikel
6 Absatz 1 Buchstabe BDSGVO,
nachdem personenbezogene Daten ja verarbeitet werden dürfen,
wenn dies zur Erfüllung eines Vertrags erforderlich ist,
nur in Ausnahmefällen in Betracht.
Als solche Ausnahmen werden zum Beispiel Abonnementdienste oder der Zugang zu
exklusiven Angeboten vom EDPB genannt.
Es ist keine dieser Ausnahmen gegeben, das heißt insbesondere.
Wenn einfach nur Waren oder Dienstleistungen zum Kauf angeboten werden,
muss dagegen die Bestellung als Gast ermöglicht werden.
Die obligatorische Erstellung eines Accounts ist dann nämlich weder zur Erfüllung
eines Vertrags notwendig, noch von einer anderen Rechtsgrundlage gedeckt.
Auf das berechtigte Interesse könne nur zurückgegriffen werden,
wenn die Account-Erstellung alternativ ist.
Ja, ich halte das für richtig hergeleitet.
Wir hatten ja auch schon die Urteile, wo wir eigentlich auch alle der gleichen
Meinung waren, dass das so aus der DSGVO richtig hergeleitet ist.
Und wer da nochmal jetzt tiefer reingehen möchte, Dem sei dieses Dokument empfohlen.
Ich finde das ziemlich gut gelungen und nachvollziehbar geschrieben.
Und in der Praxis, wer einen Online-Shop betreibt und wer das noch nicht so
umgestellt hat, das man auch als Gast bestellen kann, obwohl keine dieser Ausnahmen
greift, sollte dies schnellstmöglich tun.
Es handelt sich dabei ja eigentlich um ein recht einfach zu mitigierendes Risiko
und was ich auch immer wieder sage,
der regelkonforme Online-Auftritt eines Unternehmens schließt nicht nur solche
Risiken aus, sondern kann auch positive Auswirkungen in der Außenwirkung erzielen,
vor allem wenn es halt noch so viele andere falsch machen.
Und vor allem dient das ja auch dem Grundsatz der Datenminimierung.
Das heißt, wenn ich nur einmalig aber in einem Onlineshop bestelle,
warum brauche ich dann ein Kundenkonto?
Also insofern, es schützt eigentlich auch den Onlineshop-Betreiber,
weil er dann weniger Daten hat, speichert und im Falle eines Falles natürlich
weniger Daten hat, die abgegriffen werden könnten.
Absolut.
Ja, von daher finde ich gut. Ich komme zu meinem nächsten Urteil,
das Verwaltungsgericht Berlin.
Das Urteil ist von Anfang Oktober und es geht darin um das Recht auf Auskunft.
Die Klägerin ist hier die Anbieterin von kostenpflichtigen E-Learning-Sprachkursen
für Selbstlerner und bedient sich zur Abwicklung ihrer Vertrags- bzw.
Eines Zahlungsdienstleisters.
In einem konkreten Fall, der jetzt hier dem Urteil zugrunde liegt,
gab es eine vermutlich betrügerische Abbuchung vom Benutzerkonto des Beschwerdeführers
und der Beschwerdeführer machte unabhängig von diversen anderen Fragestellungen
hierzu gegenüber der Klägerin einen datenschutzrechtlichen Auskunftsanspruch
nach Artikel 15 DSGVO geltend und begehrte auch die Bereitstellung von entsprechenden Kopien.
Die Klägerin verwies den Beschwerdeführer auf die Polizei und erklärte wiederholt,
dass sie über keine weiteren Daten des Beschwerdeführers verfüge,
außer denen, die sie bereits beauskunftet hatte.
Dabei verweigerte die Klägerin die Beauskunft bezüglich der Nutzungsdaten zum Benutzerkonto bzw.
Bezüglich der personenbezogenen Daten des Benutzerkontoinhabers,
die nicht die des Beschwerdeführers seien.
Also potenziell gehe ich davon aus, dass hier die Daten desjenigen sind,
der in betrügerischer Absicht auf das Konto des Beschwerdeführers zugegriffen hatte.
Das heißt, bezüglich dieser Daten hat die Klägerin die Beauskunftung verbeigert.
Daraufhin hat sich der Beschwerdeführer bei der Aufsichtsbehörde,
ja, an die Aufsichtsbehörde gewendet und diese erließ eine Verwarnung unter
anderem wegen eines Verstoßes gegen die Auskunftspflicht gegenüber dem Beschwerdeführer.
Gegen diese Verwarnung wendet sich nun der Kläger.
So, das war jetzt ganz viel Sachverhalt, aber ich glaube, das war jetzt tatsächlich
wichtig, um das, was jetzt kommt, zu verstehen oder besser einordnen zu können.
Das Verwaltungsgericht Berlin hat die Klage nun abgewiesen, das heißt,
die Verwarnung hat weiterhin Bestand.
Zur Begründung führt es aus, dass Daten, die sich auf mehrere Personen beziehen,
nicht von vornherein aus der Definition des Artikel 4 Nummer 1 DSGVO oder aus
dem Auskunftsrechner Artikel 15 herausfallen.
Hierfür gäbe es keinerlei Anhaltspunkte in den Erwägungsgründen zur DSGVO oder
in den sonstigen Bestimmungen der DSGVO.
Unter Verweis auf die Rechtsprechung des Europäischen Gerichtshofs kann,
so das Verwaltungsgericht,
ein und dieselbe Information, nämlich mehrere natürliche Personen betreffen
und folglich für diese Personen, vorausgesetzt, dass sie bestimmt oder bestimmbar
sind, ein personenbezogenes Datum darstellen.
Die Klägerin durfte hier die Beauskunftung der personenbezogenen Daten,
die sich auch auf die unbekannte dritte Person beziehen, daher nicht nach Artikel
15 verweigern, nur weil sie sich eben auch auf die unbekannte dritte Person beziehen.
Zum Anspruch auf Kopie hat das Verwaltungsgericht ferner festgestellt,
dass zwar das Recht auf Erhalt einer Kopie der personenbezogenen Daten,
die Gegenstand der Verarbeitung sind, die Rechte und Freiheiten anderer Personen
nicht beeinträchtigen.
In einem Fall wie hier allerdings, wo die dritte Person die Verknüpfung von
ihren Daten oder von zur Verfügung gestellten Daten mit der Person des Auskunftssuchenden
widerrechtlich veranlasst hat, also im Falle von Identitätsdiebstahl.
Können die Rechte und Freiheiten durch die Beauskunftung der von ihr rührenden
Daten nicht beeinträchtigt werden.
Das heißt, sie können dem Auskunftsrecht des Betroffenen nicht entgegenstehen.
Konkret hat hier also die dritte Person durch ihr widerrechtliches Tun den Schutz
der DSGVO für ihre eigenen Daten
insoweit verloren, als dass die eben auch beauskunftet werden können.
Dem Auskunftsrecht des Beschwerdeführers kann auch nicht entgegengehalten werden,
dass der Beschwerdeführer mit seinem auf Artikel 15 gestützten Begehren offenbar
zivilrechtliche und oder strafrechtliche Schritte gegen die Person,
die seine Identität missbraucht hatte, anstrengen wollte.
Denn so, ich finde, eine sehr zutreffende Begründung des Verwaltungsgerichts,
denn der Antragsteller muss seinen Antrag in Artikel 15 Absatz 1 DSGVO nicht begründen.
Und das bedeutet zugleich, dass er auch nicht zurückgewiesen werden kann,
wenn mit ihm ein anderer Zweck verfolgt wird als der, der von der Verarbeitung
Kenntnis zu nehmen und deren Rechtmäßigkeit zu überprüfen.
Und nachher das Urteil, ja, im Rückblick schwer, doch relativ schwer zu erfassen, schwer zu lesen.
Im Ergebnis bedeutet es aber, dass, und ich glaube, das ist der Kern des Urteils,
oder zwei Kerne des Urteils, die ich jetzt nochmal gerne zusammenfassen möchte.
Dass, wenn sich ein personenbezogenes Datum nicht nur auf eine Person beziehungsweise
auf mehrere Personen bezieht, also quasi geteilt wird von mehreren Personen,
kann jede Person auch die Auskunft diesbezüglich verlangen.
Und der andere Kernpunkt ist eben, dass der Zweck der Auskunft,
also zivilrechtliche oder straffliche Schritte einlegen zu können oder anstrengen
zu wollen, einen Auskunftsanspruch eben nicht hindert.
Ja, ich glaube, ein doch sehr spannendes Urteil alles in allem und wir verlinken
in den Shownotes und ich glaube, vielleicht auch ein Lesetipp wert.
Ja, ich glaube, dass wir gerade im Bereich Identitätsdiebstahl noch viele schwierige
Konstellationen haben wie solche, wie die, die du gerade vorgetragen hast,
wo es halt einer Lösung bedarf.
Ich glaube, auch wenn das alles ein bisschen kompliziert hier von dem Gericht
aufgebaut wurde, ist man da doch zu einem ganz guten Ergebnis gekommen, das tragbar ist.
Und was den Zweck der Auskunft angeht, hatten wir ja auch schon vermehrt hier im Podcast,
dass es durchaus okay sein kann, damit nicht nur die Kontrolle der Datenverarbeitung
bei dem Verantwortlichen zu verfolgen, sondern dass auch anderen Zwecken dienen kann.
Grenze ist dann natürlich die Rechtsmissbräuchlichkeit, die wir hier aber nicht haben, im Gegenteil.
Genau so ist es.
Der Bundesgerichtshof hat zu einem Schadenersatzbegehren nach Artikel 82 DSGVO geurteilt.
Neu ist hier, dass als relevanter Verstoß nicht auf eine direkt unrechtmäßige
Verarbeitung abgestellt wird, sondern auf die mangelhafte Kontrolle eines Auftragsverarbeiters.
In dem zugrunde liegenden Fall hatte der spätere Kläger ein Konto bei einem
Musik-Streaming-Dienst als spätere Beklagte.
Dieser Streaming-Dienst setzte zum Hosting auf einen Dienstleister als Auftragsverarbeiter
und nachdem dieses Auftragsverarbeitungsverhältnis endete,
löschte der Dienstleister die
Daten aber nicht, sondern überführte diese lediglich in eine Testumgebung.
Der Streaming-Dienstleister, also der Auftraggeber.
Als für die Daten verantwortliche Stelle gab sich dann blöderweise mit einer
einfachen E-Mail zufrieden, dass die Daten gelöscht werden würden.
Eine Bestätigung hierfür las sich der
Streaming-Dienstleister von seinem Auftragsverarbeiter aber nicht geben.
Und ja, dann kam es, wie es kommen musste. Die Daten, die eigentlich hätten
gelöscht sein müssten, kamen bei dem ehemaligen Auftragsverarbeiter abhanden.
Der Kläger, dessen Daten hiervon betroffen waren, forderte dafür dann Schadenersatz
von der Streaming-Plattform.
Und der Bundesgerichtshof sah darin, dass keine Bestätigung der Löschung eingeholt
wurde, ein Verstoß gegen die Kontrollpflicht aus Artikel 28 DSGVO der Streaming-Plattform.
Die übrigen Tatbestandsmerkmale des Artikel 82 in Form von Schaden,
Kausalität und Verschulden der verantwortlichen Stelle sah das Gericht ebenfalls als gegeben.
Im Rahmen des Verschuldens wurde auch nochmal darauf hingewiesen,
dass es sich nach der Rechtsprechung des EuGH um eine vermutete Verschuldenshaftung handelt.
Das heißt, die Verantwortliche Stelle muss eben nachweisen, dass sie den Verstoß nicht verschuldet hat.
Und gerade das war in diesem Fall aber nicht möglich, weil man sich hat die
erfolgte Löschung nicht bestätigen lassen.
Ich denke, die Geschichte zeigt, dass die Kontroll- und Dokumentationspflichten
eben nicht nur für die Schublade sind, auch wenn sie öfters mal als solche abgetan werden.
Sondern wenn diese nicht eingehalten werden, neben behördlichen Sanktionen auch
zivilrechtliche Schadenersatzansprüche begründen kann.
Und das Ganze hat dann natürlich auch nochmal einen Rattenschwanz,
denn daraus entsteht dann ein neuer Streit mit den Dienstleistern,
wo es um Innenregress geht und was einfach viel weiteren Aufwand erzeugt.
Hier in diesem Fall ist die Höhe des zu leistenden Schadenersatzes noch nicht
festgelegt, dazu wurde an die Vorenstanz zurück verwiesen.
Ich glaube auch ein sehr wichtiges Urteil für die Praxis, weil es einfach nochmal deutlich macht,
der ein Punkt, der in der Praxis vielleicht oft übersehen oder vergessen wird,
dass wirklich bei Ende der Vertragsbeziehung auch die Löschung beim Auftragsverarbeiter
bestätigt und zum einen erfolgen muss,
aber auch bestätigt werden muss, dass man sich das in die eigene Dokumentation
als Verantwortlicher ablegt.
Am besten mit einem Löschprotokoll, mit Screenshots, wie auch immer,
damit man einfach weiß, okay, damit ist jetzt der Vorgang abgeschlossen.
Und ich glaube, in der Praxis passiert das vielleicht ein bisschen zu selten.
Das heißt, ja, das Urteil Verantwortliche, sehr wichtig, aber auch für Auftragsverarbeiter,
weil ja in dem Fall, wenn die Daten nicht gelöscht wurden, ja,
mehrere Verstöße gegen die DSGVO folgen können.
Rechtsgrundlage, Verarbeitung ohne Rechtsgrundlage, wie hier,
nur die Verbringungstestsystem ist ja jetzt nicht, dass die Daten dann verarbeitet werden dürfen.
Aber auch wenn jetzt wirklich ein Abgang der Daten stattfindet,
können damit ja auch nur weitreichende Folgen für den Auftragsverarbeiter damit einhergehen.
Von daher, ich glaube, ein wichtiges Urteil für die Praxis und das können wir
unseren Zuhörern unbedingt ans Herz legen.
Ja, also ich denke darüber, dass hier der Auftragsverarbeiter das schwarze Schaf
eigentlich ist, kann man nicht streiten.
Ich finde die Herleitung, die dann auf die verantwortliche Stelle geht,
absolut nachvollziehbar.
Allerdings auch sehr hart. Ich glaube, das kann man auch sagen,
aber es ist, wie es ist und wie du sagst, einfach in der Auftragsverarbeitung,
in dem Vertrag zu vereinbaren, dass die Daten zu löschen sind,
reicht auf keinen Fall aus,
sondern letzten Endes braucht man für die Dokumentationspflicht und für eine
Exkulpation hinsichtlich des Verschuldens die Bestätigung, dass auch gelöscht wurde.
So, dann sind wir, glaube ich, mit unseren Urteilen, mit unseren Themen durch
und kommen eigentlich zu den Veröffentlichungen und Veranstaltungen.
Ich habe eine Info vom LFDI Baden-Württemberg mitgebracht.
Die baden-württembergische Datenschutzbehörde kündigt nämlich den Umzug ihrer Dienststelle an.
Datenverarbeitende Stellen sollten also ihre Datenschutzhinweise anpassen,
wenn die Adresse dort aufgeführt wird. Ab dem 22.
Dezember 2025 lautet die Anschrift Heilbronner Straße 35 in Postleitzahl 70191 Stuttgart.
Während des Umzugs ist der Landesbeauftragte telefonisch noch eingeschränkt erreichbar.
Insofern eine Info, die vor allem für Unternehmen aus Baden-Württemberg relevant ist.
Ja, genauere Infos oder weitere Informationen finden sich dazu auf der Seite des LFDI.
Oder für Beschwerdeführer aus Baden-Württemberg.
Oder für Beschwerdeführer. Ja, auf jeden Fall. Ja, ein weiterer Hinweis, Lesehinweis.
Der BSI hat nämlich gemeinsam mit internationalen Cyberbehörden,
unter anderem mit der CISA,
einen Leitfaden veröffentlicht zum Thema Principles for the Secure Integration
of AI in Operational Technology.
Dabei geht der BSI auf die vier Grundsätze ein, nämlich erstens auf den Einsatz
und die Risiken von KI-Business.
Und um diese zu verstehen, dann, dass schon bei der Planung Transparenz über
KI-Komponenten und Software-Lieferketten ja zu schaffen oder geschaffen werden muss.
Der BSI oder der Leitfaden enthält Hinweise zu klaren Verantwortlichkeiten und
Szenarien, die festzulegen sind und weist auf eine kontinuierliche Überwachung
sowie Fehlersicherung hin, die zu implementieren ist.
Von daher ja auf jeden Fall ein Lesehinweis zum Thema Künstliche Intelligenz.
Und ich habe auch noch zwei Lesehinweise, die ich gern loswerden möchte.
Beide betreffen Neub, die Bürgerrechtsorganisation.
Zum einen hat diese ein 71-seitiges Dokument veröffentlicht,
in dem Stellung zum Digital Omnibus der EU-Kommission bezogen wird.
Wie erwartbar fällt die Analyse hier natürlich sehr kritisch aus,
eignet sich aber natürlich trotzdem zur Meinungsbildung, wenn auch nicht ganz isoliert.
Also am besten holt man sich da zusätzlichen Input, kann ich aber trotzdem empfehlen.
Und der zweite Tipp ist das Ergebnis einer Studie, die Neub durchgeführt hat, zum Pay-or-OK-Modell.
Vor einiger Zeit hatte der EDPB dazu ja eine neue Leitlinie veröffentlicht und
darin eine dritte Option in Form von Werbung ohne Tracking neben den beiden
etablierten Optionen Zahlen oder Einwilligen gefordert.
Und in dieser Studie wurde diese dritte Option jetzt Probanden vorgelegt von
Neub und tatsächlich war es so.
Dass wenn diese dritte Option vorhanden war, sieben von zehn Teilnehmenden eine
Werbefinanzierung ohne Tracking ausgewählt haben und ohne diese Alternative,
also die bewährten zwei,
stimmten neun von zehn der Datenverarbeitung zu.
Also ich denke schon eine ganz klare Tendenz dahin, dass das Trackic den Leuten
nicht egal ist, sondern aus mangelnden Alternativen ausgewählt wird.
Ich hoffe, dass diese Studie irgendwo in eine Praxiseinfluss oder reinfließt in die Cookie-Banner,
die wir haben, damit eben auch diese dritte Alternative verfügbar wird und auch
mit in den Cookie-Banner enthalten sein wird. Aber ist jetzt nur meine persönliche Hoffnung.
Ja, so und das waren unsere Nachrichten für diese Woche. Es sei denn,
dir ist noch was eingefallen, Natalia?
Nur, dass wir morgen Nikolaus haben.
Stimmt.
Aber datenschutzrechtlich, nee, nichts. Ich habe meinen Zettel durch und nichts mehr draufstehen.
Ich meine auch, aber dann wünschen wir doch allen unseren Zuhörern morgen einen
schönen Nikolaustag, ein schönes zweites Adventswochenende, falls ihr uns schon heute hört.
Und falls ihr uns erst am Montag hört, dann einen guten Start in die neue Woche. Bis bald.
Bis bald.