BfDI unterliegt bei Fanpageklage der Bundesregierung – DS News KW 30/2025

Transkript zur Folge:

Ich habe persönlich ganz nach unten gescrollt. Tut mir leid,
ich muss erstmal wieder zu meiner Nachricht zurückkommen.
Ans Ende von das Internet.
Ganz, ganz Ende. So, ich bin wieder im Spiel.
Welcome back.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir begrüßen euch heute am Freitag, den 25. Juli 2025. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Unser Redaktionsschluss war heute um 9.30 Uhr schon. Und ja,
wir haben eindliche Themen heute wieder im Gepäck.
Auch spannende, wie ich finde, Laura. Was hast du mitgebracht?
Ja, neben einer sehr kritischen Sicherheitslücke beim Microsoft SharePoint habe
ich das Titelthema auf dem Zettel, nämlich die Klage rund um die Facebook-Fanpage
des Bundespresseamtes.
Außerdem habe ich noch mitgebracht, ja, ein Debüt, also ein Angemessenheitsbeschluss
für eine Organisation hat es auch gegeben im Laufe der Woche.
Und natürlich auch auf eine Veranstaltung, Veröffentlichung.
Ich weiß gar nicht, was das so genau ist, aber ja, seid gespannt.
Okay. Ja, das ist schön präzise angekündigt. Wunderbar.
Ich hätte auch zu Microsoft etwas, beziehungsweise zum Thema Übermittlung von
Daten von EU-Bürgern, EU-Kunden an US-Behörden.
Da gab es ja eine Anhörung im französischen Senat.
Dann schauen wir einmal auf das betriebliche Eingliederungsmanagement.
Da gab es nämlich eine Entscheidung des Landesarbeitsgerichts in Baden-Württemberg.
Ja, und last but not least hätte ich dann auch noch eine Veröffentlichung der
französischen Datenschutzaufsichtsbehörde.
Damit?
Los geht's?
Los geht's!
Ja, Microsoft geriet diese Woche ziemlich unter Druck, denn eine kritische SharePoint-Lücke
wurde bereits vor dem ersten Patch ausgenutzt.
Eine neu entdeckte Schwachstelle im Microsoft SharePoint sorgt aktuell für erheblichen
Handlungsdruck, denn insbesondere bei Organisationen ist es ja so,
dass hier diese Instanz on-premise betrieben wird, was eben jetzt auch von dieser Lücke betroffen ist.
Die sogenannte Toolshell-Lücke wurde bereits ausgenutzt, noch bevor Microsoft
ein Patch bereitgestellt hatte.
Das berichten Reuters und die Washington Post unter Berufung auf das Sicherheitsunternehmen
iSecurity, die eben die Lücke publik gemacht hatte.
Das BSI hat in diesem Zusammenhang eine Cybersicherheitswarnung mit der Kritikalitätsstufe
3 herausgegeben und das heißt, hier für uns in Deutschland,
Maßnahmen müssen unverzüglich ergriffen werden, denn eben massive Beeinträchtigungen
des Regelbetriebs sind möglich.
Microsoft hatte am vergangenen Wochenende die Schwachstelle auch öffentlich
gemacht, zu einem Zeitpunkt, als eben bereits erste Angriffe liefen und zunächst
wurde empfohlen, das hauseigene Antivirenprogramm Microsoft Defender zu aktivieren,
während eben auf die Patches noch gewartet wurde.
Später veröffentlichte Microsoft aber diese für zwei SharePoint-Versionen.
Allerdings mit der wichtigen Einschränkung, das müssen jetzt die Unternehmen
wissen, dass ein Teil der Absicherung manuell erfolgen. muss.
Unternehmen mussten eben zusätzlich die sogenannten Machine Keys rotieren und
den IIS-Server neu starten, um die Lücke vollständig zu schließen.
Brisant auch bei dem Thema ist das, was eben die Washington Post berichtet hat,
nämlich dass wohl mindestens ein Angreifer hinter der ersten Angriffswelle nach
China zurückverfolgt werden konnte und eben dessen jetzt auch grundsätzlich
IT-Sicherheitsexperten davon ausgehen,
dass sich die Angriffe rasch ausweiten würden, da eben immer mehr Gruppen aktiv versuchen werden,
angreifbare Systeme zu finden und zu kompromittieren.
Laut Schätzungen sind wohl bisher weltweit rund 10.000 SharePoint Instanzen potenziell anfällig,
bevor eben Microsoft reagierte, aber heißt auch eben dessen auch noch weiterhin
anfällig für Unternehmen, die eben nicht reagieren und eben dessen entsprechend aktiv werden.
Zu den ersten bekannten Opfern der Angriffswelle zählen laut iSecurity nicht
nur Unternehmen, sondern auch mehrere europäische Regierungseinrichtungen,
darunter wohl auch ein großes Energieunternehmen.
Wer also nun SharePoint im Einsatz hat, sollte definitiv aktiv werden,
wenn nicht schon passiert, und prüfen, ob einer seiner Versionen betroffen ist.
Eine Orientierung kann hierbei sicherlich die ausgesprochene Warnung des BSIs
geben, also des Bundesamts für Sicherheit in der Informationstechnik.
Und diese verlinken wir hier natürlich auch für euch in den Shownotes.
Also sofort technische Maßnahmen ergreifen, wenn wir hier eine entsprechende Version finden.
Was wir sicherlich noch mit an die Hand geben können, ist natürlich das Thema Logfiles.
Also diese auch eben entsprechend zu sichern, um Anzeichen eines Angriffs zu
prüfen, um ungewöhnliche Systemzugriffe zu erkennen oder vielleicht sogar neue Benutzerkonten.
Und natürlich auch bei Verdacht auf einen Datenschutzvorfall diesen bewerten,
dokumentieren, im schlimmsten Fall melden.
Was vielleicht auch manchmal noch vergessen wird, ist das Thema Lieferketten.
Also wo haben wir vielleicht auch SharePoint im Einsatz bei Dienstleistern,
Auftragsverarbeitern oder IT-Betrieben?
Also hier, denke ich, sollte auch auf jeden Fall ein Auge drauf geworfen werden.
Und sonst natürlich wieder ein Weckruf, oder Heiko, beim Thema Notfallpläne,
Schwachstellenmanagement auch hier mal wieder drauf zu schauen.
Absolut. Interessant wäre natürlich noch, da habe ich aber auch nichts zu gesehen,
gelesen, was die SharePoint-Server angeht, die von Microsoft betrieben werden,
die ja auch viele nutzen, nicht immer bewusst, weil wir wissen ja,
dass bei Microsoft Teams auch SharePoint im Hintergrund mitläuft und genutzt
wird und dort zum Beispiel dann auch Dateien abgelegt werden,
die man im Chat austauscht.
Also von daher, oder auch wenn man andere Funktionen noch in SharePoint nutzt,
werden halt sehr viele Daten im SharePoint abgelegt.
Da fände ich ganz cool, wenn Microsoft noch mal was zu sagen würde,
ob die auch betroffen waren oder ob man sich hier in Sicherheit wägen kann.
Und damit Microsoft, wie gesagt, ist der gemeinsame Nenner zu meiner Meldung.
Microsoft hat im französischen Senat bestätigt, dass eine Herausgabe von EU-Nutzerdaten
an US-Behörden im Ernstfall nicht ausgeschlossen werden kann.
Wie Heise nämlich diese Woche berichtete, hat der Chefjustiziar von Microsoft
Frankreich vor dem französischen Senat ausgesagt, dass es halt keine Garantie
dafür gäbe, dass Daten von EU-Bürgern niemals an die US-Regierung weitergegeben werden.
Diese öffentliche Einräumung Microsofts hat in der Datenschutz-Community nun
für ein bisschen Aufsehen gesorgt und
Zweifel an der Glaubwürdigkeit des Sovereign-Cloud-Versprechen gestärkt.
Wir haben ja hier auch schon in verschiedenen Podcast-Folgen darüber berichtet,
was Microsoft alles unternimmt,
um EU-Datentransfers einzuschränken, aber auch um halt genau diese Datenherausgabe
an US-Behörden verhindern zu wollen.
Zum Hintergrund, der Cloud Act verpflichtet ja US-Unternehmen,
den US-Behörden Zugriff auf gespeicherte Daten zu gewähren, selbst wenn diese
außerhalb der USA gespeichert sind.
Grundsätzlich stellt das auch ein gesetzliches Dilemma für Microsoft und andere
US-Technologieunternehmen dar, die in der EU tätig sind. Die ergreifen in der
Regel Maßnahmen, um die Daten europäischer Nutzer zu schützen,
wie gerade eben auch berichtet und erwähnt.
Dazu gehört natürlich auch Verschlüsselung der Daten, Möglichkeit,
dann die Daten auch mit eigenen Hardware-Sicherheitsmodulen nochmal zu verschlüsseln.
Das sind natürlich auch sehr wirksame Maßnahmen, insbesondere das eigene Hardware-Sicherheitsmodul.
Dennoch bleibt die Herausgabepflicht an die US-Behörden erstmal formalrechtlich
für solche Anbieter teilweise bestehen.
Vielleicht noch ein ergänzender, auch nicht ganz unwichtiger Hinweis.
Der Chefjustizier hat auch entsprechend erwähnt, dass diese Herausgabe an US-Behörden
so in der Form in Frankreich zumindest bisher noch nicht erfolgt ist.
Und führte auch aus, dass Microsoft die Gültigkeit aller Anfragen immer sehr genau prüfe.
Ja, wie ist das einzuschätzen? Da gibt es jetzt natürlich sehr viele,
für die das Wasser auf ihre Mühlen ist, was halt ihre Kritik und Sorge um die Daten angeht.
Andererseits dürfen wir natürlich auch nicht vergessen, dass wir ja in der Regel
hier Cloud-Verträge mit den europäischen Tochtergesellschaften haben,
also auch in dem Fall dann zum Beispiel mit Microsoft Ireland.
Und die Daten dann nach den letzten Bemühungen dieser Anbieter und auch Microsoft
natürlich im europäischen Wirtschaftsraum erstmal verarbeitet werden und liegen.
Und damit erstmal ganz formal rechtlich auch kein Drittlandsübermittlung stattfindet.
Also von daher ist es jetzt nicht so, dass wir uns erstmal alle wieder irgendwelche
TIAs oder so durchführen müssten dafür.
Ich glaube, dass das ein ganz wesentlicher Unterschied zu einer direkten Übertragung
in die USA beziehungsweise zu der US-Mutter ist, Weil da wäre natürlich ein
direkter Zugriff durch die US-Behörden deutlich einfacher möglich.
Außerdem dürfen wir nicht vergessen, dass halt auch die europäischen Tochtergesellschaften
ja dem EU-Recht, also auch der DSGVO unterliegen und die das auch nicht leichtfertig tun würden.
Denn auch die sind dann nach Artikel 28 gebunden. Also dürfen Daten nur nach
ausdrücklicher Weisung des Kunden verarbeiten mit der entsprechenden Ausnahme.
Wenn eine rechtliche Vorgabe halt zwingend vorschreibt, dass so ein Zugriff
möglich ist für Behörden, dann muss eine Herausgabe ja auch erst stattfinden.
Der Cloud Act dürfte da wahrscheinlich nicht drunter fallen.
Also da liegt dann im Zweifelsfall natürlich auch ein Dilemma,
was diese Unternehmen lösen müssen.
Aber auf der anderen Seite ist natürlich auch eine Offenlegung an Behörden in
Drittländern laut DSGVO nicht komplett ausgeschlossen.
Also auch das zum Beispiel im Rahmen eines offiziellen Rechtshilfeverfahrens
kann das durchaus passieren und das auch andere Unternehmen betreffen.
Deswegen hatten wir ja auch zuletzt hier noch berichtet über die aktualisierten
Leitlinien des ETSAs für die Übermittlung an Behörden in Drittländern.
Also von daher ist es jetzt auch nicht total abwegig, dass es auch andere Unternehmen
betrifft. Also aus meiner Sicht zumindest, ich glaube, man sollte hier nicht
in Panik verfallen, auch wenn jetzt sicherlich viele erstmal in diese Kerbe
schlagen und wie gesagt ihre Bedenken bestätigt sehen.
Eine systematische Auswertung aller Daten von EU-Kunden ist das noch lange nicht.
Also wie gesagt, da müssen wir erstmal keine Sorge haben und von daher sollten
wir glaube ich das halt als nochmal Transparenzansatz nehmen und zu sagen,
ist es halt für unser Unternehmen, für unsere Daten halt vertretbar.
Oder nicht. Das muss am Ende natürlich jedes Unternehmen für sich entscheiden.
Und dann kann man halt diese Risiken bewerten und auch entscheiden,
ob das halt einem das wert ist, den Anbieter zu wechseln oder nicht.
Aus meiner Sicht ist es überschaubar vom Risiko.
Da habe ich nichts hinzuzufügen.
Ende letzter Woche, mal wieder nach der Aufzeichnung unserer News,
hat es noch eine Neuerung ergeben und zwar in dem spannenden Fall,
nämlich von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
aus 2023 gegen das Bundespresseamt.
Denn das Verwaltungsgericht Köln hat nun entschieden am vergangenen Freitag,
dass das Bundespresseamt seine Facebook-Fanpage weiter betreiben darf.
Die Entscheidung des Gerichts erging wie gesagt am 17.
Juli 2025 und basiert auf Klagen des Bundes und des Social Media Anbieters Meta
gegen einen Unterlassungsbescheid der BFDI aus dem Jahr 2023.
Zu dem Zeitpunkt wurde der Betrieb der Fanpage seitens der BFDI ja sogar untersagt.
Vielleicht dazu zu sagen ist halt eben, dass das Bundespresseamt eine Fanpage
bei Facebook von Meta betreibt und Besucher oder Follower dieser Fanpage sich
hier über aktuelle politische Tätigkeiten der Bundesregierung informieren können.
Und ja, was halt eben der Schmerzpunkt war, müssen dabei eben auch Cookies auf
ihren Endgeräten akzeptieren.
Die BFDI hatte 2023 argumentiert, dass der in den Augen der Aufsicht nicht datenschutzkonforme
Cookie-Banner von Meta zur unwirksamen Einwilligung führe und auch der Seitenbetreiber,
hier das Bundespresseamt eben,
datenschutzrechtlich mitverantwortlich sei.
Die rechtliche Grundlage bildet eben das sehr bekannte Urteil des Europäischen
Gerichtshofs von 2018, das eben damals erstmals eine gemeinsame Verantwortlichkeit
von Facebook und eben den Seitenbetreibern annahm.
Das Verwaltungsgericht Köln weicht nun deutlich ab und schränkt diese Auslegung ein.
Das Gericht entschied, dass nicht das Bundespresseamt, sondern alleine Meta
für die Einholung der Einwilligung zur Cookie-Nutzung verantwortlich ist.
Zwar werden beim Besuch der Fanpage-Cookies gesetzt, doch laut Gericht besteht
kein ursächlicher Zusammenhang zwischen dem Betrieb der Seite und der Datenverarbeitung.
Diese Cookies würden ebenso beim Besuch jeder beliebigen Facebook-Seite platziert,
unabhängig vom Seitenbetreiber.
Das Gericht stellte ebenso klar, dass das Bundespresseamt keine Kontrolle über
die Parameter der Datenverarbeitung durch Meta hat und auch keine eigene Entscheidung
über Zweck oder Mittel trifft.
Somit sind eben die Akteure nicht gemeinsam verantwortlich im Sinne von Artikel
26 der Datenschutz-Grundverordnung.
Die Entscheidung des Verwaltungsgerichts Köln ist jetzt, finde ich persönlich,
schon ein sehr starkes Signal,
insbesondere natürlich an die öffentlichen Stellen, die jetzt halt in Vergangenheit
sehr in Wartepositionen waren, aber natürlich auch an Unternehmen oder andere
Webseiten oder Fanpage-Betreiber.
Eben, dass jetzt davon ausgegangen werden kann, dass eben nicht immer automatisch
eine gemeinsame Verantwortlichkeit anzunehmen ist. Und entscheidend also ist
eben die faktische Rolle.
Wer keine Möglichkeit hat, über den Einsatz von Cookies oder Tracking-Tools
zu bestimmen, trägt eben dafür auch nun keine rechtliche Verantwortung.
Jetzt muss man aber auch dazu sagen, dass das Verfahren noch nicht rechtskräftig ist.
Also die BFDI hat auch in ihrer Pressemitteilung bekannt gegeben,
dass sie prüft, ob sie in Berufung geht beim Oberverwaltungsgericht in Münster.
Und ja, was ich auch nochmal sagen will, ist, wie man hier jetzt doch merkt,
wie oft doch Datenschutz, nicht wie oft, aber dass es mal wieder ein Beispiel
dafür ist, dass eben Datenschutz, Aufsichtsbehörde und Gericht nicht unbedingt
im gleichen Ton sprechen.
Auch etwas, wozu du mal plädierst, Heiko, richtig?
Ja, also die Aufsichtsbehörden haben sicherlich eine gewichtige Meinung,
aber sie entscheiden am Ende nicht, was recht ist und nicht,
sondern das tut das Gericht.
Und dass hier Meinungen auseinanderlaufen können, ist ja gut,
wenn wir dann ein Gericht haben, was da auch sehr differenziert drauf schaut.
Denn im Gegensatz zu dem Urteil 2018, wo es ja um so Dinge ging wie Parametrisierung
von auch Werbung über eine Fanpage und so weiter,
ist ja jetzt hier der Sachverhalt ganz konkret auf das Einholen der Einwilligungen
und des Cookie-Banners, also
das heißt schon ein etwas anderer Teil der Datenverarbeitung ausgerichtet.
Und von daher aus meiner Sicht erstmal auch nachvollziehbar zu sagen,
okay, dafür gilt vielleicht diese gemeinsame Verantwortlichkeit auch nicht,
sondern dann vielleicht nur für den inhaltlichen Betrieb der Fanpage,
aber nicht für das Einholen der Einwilligung beziehungsweise dann auch der entsprechenden
Verarbeitung, die sich durch das Cookie setzen, direkt oder indirekt ergibt.
Also ein Stück weit nachvollziehbar, ohne es jetzt alles komplett selber gelesen zu haben.
Aber das, was du erläutert hast, klingt jetzt nicht total...
Ja, man muss aber ja schon sagen, dass ja in weiten Kreisen es sehr verbreitet
war, automatisch von einer gemeinsamen Verantwortlichkeit auszugehen,
wenn man eben eine Facebook-Fanpage betreibt.
Und ich glaube, es ist ja nicht nur bei Facebook so. Ja, auch an anderen Stellen
sei halt auch wieder an der Stelle dazu geraten, eben die Datenverarbeitungsschritte
sich kleinteilig anzusehen.
Und in wie vielen Fällen haben wir das eben, dass wir unterschiedlichste verantwortlichen
Konstellationen, sage ich jetzt mal, auch einfach annehmen können und auch dürfen?
Ganz genau. Also ich glaube, das ist halt immer wichtig dabei,
zu gucken, was ist und nicht einen Sachverhalt oder eine Konstellation komplett
nur unter einem Sachverhalt zu verstehen,
sondern das, was wir ja auch zum Beispiel bei Dienstleistern oft haben,
sind halt eigentlich zwei verschiedene Sachverhalte, wenn es um die Datenverarbeitung
geht und die gegeneinander abzugrenzen und zu sagen, was ist denn zum Beispiel
Teil einer Auftragsverarbeitung, was ist Teil einer gemeinsamen Verantwortlichkeit
oder wie jetzt hier gegebenenfalls auch Teil einer eigenen Verantwortlichkeit.
Ich glaube, das ist halt wichtig, sich wirklich das anzuschauen und die Sachverhalte
nicht versuchen, alle mit einer Lösung zu erschlagen, sondern ein bisschen abzuschichten
und zu sagen, okay, vielleicht sind es halt auch zwei oder drei Sachverhalte in einem. Richtig.
Dann gehen wir weiter und zwar nach Baden-Württemberg.
Das Landesarbeitsgericht Baden-Württemberg hat entschieden, dass eine krankheitsbedingte
Kündigung unwirksam war, weil dem Arbeitnehmer keine ausreichende datenschutzrechtliche
Aufklärung im betrieblichen Eingliederungsmanagementsverfahren zuteil wurde.
Wenn ein Unternehmen ein betriebliches Eingliederungsmanagement in zwei Schritte
unterteilt, also zuerst ein Informationsgespräch und danach das eigentliche
betriebliche Eingliederungsmanagement,
reicht das laut Gericht allein noch nicht aus, um von einer ordnungsgemäßen
Durchführung zu sprechen.
Voraussetzung ist, dass der Arbeitgeber den Mitarbeitenden vorab klar und verständlich
über die Ziele des betrieblichen Eingliederungsmanagements sowie über Art,
Umfang und Zweck der Datenerhebung informiert.
Und zwar konkret, es muss deutlich werden, welche Gesundheitsdaten erhoben werden,
wie sie gespeichert werden, wer Zugriff hat und vor allem, wozu das Ganze dient.
Denn nur, wenn diese datenschutzrechtlichen Informationen vollständig und nachvollziehbar
gegeben wurden, kann man überhaupt von
einem ernsthaften betrieblichen Eingliederungsmanagementversuch sprechen.
Und wenn ein Beschäftigter das BEM ablehnt, ohne dass ihm diese Informationen
vorab klar mitgeteilt wurden, kann das Unternehmen daraus ihm keinen Strick drehen.
Es reicht also nicht, wenn sich der Mitarbeiter im Gespräch freiwillig zu Krankheiten
äußert, schon gar nicht, wenn er sich noch im vorgeschalteten Informationsgespräch wähnt.
Zum Hintergrund. Was war passiert?
Während des Eingliederungsmanagements Gesprächs wurden verschiedene Themen behandelt,
darunter die gesundheitliche Situation des Klägers und mögliche Anpassungen
seines Arbeitsplatzes.
Der Kläger äußerte, dass er
mit seinem Arbeitsplatz aber zufrieden sei und keine Einschränkungen habe.
Das Gespräch wurde dann dokumentiert, der Kläger unterschrieb ein Protokoll,
in dem festgehalten wurde, dass ein BEM nicht gestartet werde,
da der Kläger keine Einschränkungen habe und mit seinem Arbeitsplatz zufrieden
sei. Was folgte? Die Kündigung.
Der Beklagte kündigte das Arbeitsverhältnis mit dem Kläger ordentlich aufgrund
der krankheitsbedingten Fehlzeiten.
Und daraufhin jetzt dann die
Kündigung Schutzklage und der Beantragte dann eine Weiterbeschäftigung.
Das Landesarbeitsgericht entschied nun in der Berufung unter anderem dann aufgrund
der vorhin ausgeführten datenschutzrechtlichen Überlegungen.
Dass das BEM und damit auch die Kündigung unwirksam gewesen sei.
Da wir aus eigener Erfahrung ja wissen, Laura, dass in vielen Unternehmen das
BEM datenschutzrechtlich oft nicht eingehend begleitet wird,
sei hier vielleicht nochmal allen der Rat mit auf den Weg gegeben,
sich die Umsetzung der Informationspflichten nochmal genauer anzusehen und auf
ein datenschutzkonformes Verfahren vor allen Dingen Acht zu geben,
dann auch im Sinne des Arbeitgebers, wenn der später vielleicht auch mal eine
Kündigung aussprechen muss oder andere arbeitsrechtliche Maßnahmen einleiten muss.
Super spannend. Ist glaube ich halt auch vielen nicht bewusst,
dass das am Ende das Problem sein kann.
Ganz genau, ja.
Die Europäische Kommission stärkt den Datenschutz bei der grenzüberschreitenden
Zusammenarbeit und vergibt erstmals einen Angemessenheitsbeschluss für eine
internationale Organisation.
Mit dem Angemessenheitsbeschluss vom 15. Juli hat die EU-Kommission einen datenschutzrechtlichen
Meilenstein gesetzt, denn zum ersten Mal wurde ein Angemessenheitsbeschluss nicht für ein Drittel.
Sondern für eine internationale Organisation erlassen.
Konkret für die Europäische Patentorganisation.
Damit können öffentliche Stellen, Forschungseinrichtungen oder auch weitere
Unternehmen in der Europäischen Union personenbezogene Daten ohne zusätzliche
Garantien an die EPO übermitteln.
Die EPO hat 39 Mitgliedstaaten und wurde gegründet, um einheitliche Patenterteilungsverfahren
für Europa zu ermöglichen.
Patente, die über die EPO beantragt werden,
müssen in den Mitgliedstaaten national validiert werden und der Angemessenheitsbeschluss
erleichtert ebenso jetzt vielen Akteuren die Arbeit, denn der Drittstaatentransfer
ist hierbei fast in der Tagesordnung.
Sei es beispielsweise bei der Zusammenarbeit mit nationalen Patentbehörden,
aber auch unter der Beratung von Forscherinnen und Forschern sei das wohl eher
ein schwerwiegender Punkt.
Laut der aktuellen Pressemitteilung der Landesdatenschutzaufsicht in Nordrhein-Westfalen
wird diese Vorgehensweise sehr begrüßt, denn es vereinfacht eben den internationalen
Datentransfer über europäische Grenzen hinaus.
Und es ist halt sehr schön, dass eben der Datenempfänger direkt selbst auch
durchaus von der EU-Kommission an erkanntes, angemessenes Datenschutzniveau hat.
Ab sofort können also Verantwortliche in der EU ihre Datenübermittlung an die
Patentorganisation auf den Kommissionsbeschluss stützen.
Natürlich, sofern die sonstigen Bestimmungen der Datenschutzgrundverordnung
eingehalten sind, aber sonst die personenbezwungene Daten eben ohne weitere
Genehmigung übermitteln.
Ja, ich persönlich bin gespannt, ob das jetzt der Startschuss ist,
ob da noch einiges nachkommt.
Aber ist ja mal eine ganz andere Art und Weise des Angemessenheitsbeschlusses.
Absolut, wird aber ich glaube jetzt für Unternehmen oder so wahrscheinlich keine
Option sein, weil ja das Land, in dem man sitzt, dann am Ende auch immer noch wichtig ist.
Das sehen wir ja, wie gesagt, bei den USA zum Beispiel.
Ich würde sagen, Microsoft wird es wohl nicht sein.
Genau. Von daher, ja, aber interessant, finde ich wirklich spannend und bin
gespannt, ob das jetzt für, wie du schon sagst, ein bisschen auch vielleicht
für andere Organisationen noch ein Startschuss sein kann.
Kommen wir zu deiner beliebten Rubrik Veröffentlichungen und Veranstaltungen.
Mittlerweile ja wirklich, muss man sagen, ich hoffe, du nimmst es auch so wahr,
immer am Schluss die Hinweise.
Ja, also da haben wir sie nicht mehr geschafft in den letzten Monaten,
sie zwischendurch reinzumogeln.
Die französische Datenschutzbehörde KNIL hat ein Leitfaden- bzw.
Selbstbewertungstool zur datenschutzfreundlichen Messung von Reichweiten veröffentlicht.
Der Leitfahn erläutert, unter welchen Umständen Analyse-Cookies auch ohne vorherige
Zustimmung der Nutzer verwendet werden dürfen.
Denn laut Knill ist dies zulässig, wenn unter anderem die Cookies ausschließlich
für die anonyme Analyse der Reichweite im Interessen des Webseiten- und App-Betreibers
genutzt werden, keine Daten an Dritten weitergegeben werden,
kein Profiling oder Cross-Sites-Tracking stattfindet und die Speicherdauer begrenzt
ist und natürlich auch die Nutzer in der Datenschutzerklärung transparent informiert werden.
Das klingt jetzt natürlich sehr verlockend und auch wenn die zugrunde liegende
EU-Richtlinie die gleiche ist, wie wir sie in Deutschland natürlich anzuwenden haben,
wäre ich jetzt mit einer 1 zu 1 Übernahme dieser Einschätzungen der KNIL hier
in Deutschland vielleicht eher vorsichtig,
da sie sich zumindest meiner Auffassung nach nicht mit der DSK-Orientierungshilfe
ganz verträgt, die da noch etwas restriktiver ist. Aber wir werden sehen.
Vielleicht nehmen die deutschen Aufsichtsbehörden hier ja noch Stellung zu.
Wir verlinken das auf jeden Fall und ich glaube gerade für Unternehmen,
die vielleicht auch über Deutschland hinaus tätig sind, eine sehr relevante
Grundlage vielleicht für die eigene Bewertung.
Ja, ich hatte ja zu Anfang gesagt, ich habe was mitgebracht,
was ich gar nicht so richtig einsortieren kann. Ob es eine Veröffentlichung
oder eine Veranstaltung ist, ist es beides.
Denn ja, wir möchten hier darauf aufmerksam machen, dass es eine gemeinsame
Initiative des Bundesamts für Sicherheit in der Informationstechnik, dem BSI, gibt.
Zusammen mit dem ECO, also dem Verband der Internetwirtschaft und des Bitkom.
Und zwar ist es das E-Mail-Sicherheitsjahr 2025. Und Ziel der Initiative ist
es eben, die E-Mail-Sicherheit in Deutschland zu verbessern und die Kommunikation sicherer zu gestalten.
Zielgruppe der Initiative sind alle Unternehmen und Organisationen in Deutschland,
die eine eigene E-Mail-Infrastruktur betreiben oder eine solche Kundenanbieten.
Im Rahmen dieser Initiative gibt es Veröffentlichungen, aber auch das BSI,
ein vielfältiges Angebot, beispielsweise Webinare, Podcasts,
aber auch Kooperationsprogramme.
Dann finden darüber hinaus ja auch wie jedes Jahr die Internet Security Days
statt im September in Köln und ergänzt wird alles durch eine große Sensibilisierungskampagne
im September für Verbraucherinnen und Verbraucher,
um eben das Bewusstsein für E-Mail-Sicherheit zu erhöhen.
Interessierte Unternehmen können sich anmelden beim BSI dafür.
Wir packen das auch hier gerne in die Shownotes.
Und als kleiner Anreiz, alle Unternehmen und Anbieter von E-Mail-Diensten,
die sich für die Sicherheit ihrer digitalen Kommunikation einsetzen,
werden in eine Hall of Fame aufgenommen.
Cool.
Da kommst du jetzt aber ins Grümeln, Heiko, ne?
Ja, ich denke die ganze Zeit noch dran. Also wir sind ja Mitte des Jahres und
jetzt das E-Mail-Sicherheitsjahr 2025 auszurufen. ohne das jetzt innerlich,
also das ist super, finde ich eine gute Maßnahme.
Mitte des Jahres ist natürlich auch, ich weiß nicht, haben wir was verpasst
oder startet das? Ach, Schuljahr, okay.
Ich wollte gerade schon sagen, es sind ja eher so ein paar Wochen,
dann sind es ja so die Los-Woche aus der E-Mail-Sicherheit.
Auch schön.
Komm, lass uns doch Los-Wochen-Enders gehen.
Genau, lass uns Los-Wochen-Enders gehen und ja, ich will es auch,
wie gesagt, ist eine super Sache und ich glaube, da ist halt wirklich noch viel,
Sensibilisierungsarbeit zu leisten.
Wir sehen das ja auch im privaten, aber auch gerade im unternehmerischen Umfeld,
dass immer wie viele E-Mail-Postfächer auch nach wie vor gehackt werden und
Phishing-Opfer werden.
Also von daher, da ist noch viel Arbeit zu leisten und ich finde es gut.
Von daher, vielen Dank für diesen Hinweis.
Und damit auch danke für deine Mitarbeit und deinen Input heute.
Es war mir wieder eine Freude und wir hoffen euch natürlich auch.
Genießt das Wochenende, bleibt uns gewogen und auf bald.
Bis bald.