BfDI veröffentlicht Datenbarometer – DS News KW 41/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist der 10.10.2025. Unser Redaktionsschluss war heute schon eine halbe
Stunde früher als sonst, um 9.30 Uhr.
Und wie üblich wollen wir mit euch auf die aktuellen Entwicklungen in der Welt
des Datenschutzes zurückblicken.
Wir sind heute meine Wenigkeit, David Schmidt, und bei mir ist mein Kollege...
Gregor Wortberg. Hallo David.
Hallo Gregor, grüß dich. Erzähl, was hat es bei dir auf den Zettel geschafft?
Das Forschungsdatenzentrum Gesundheit hat es auf den Zettel gebracht.
Das geht jetzt so ein bisschen an den Start, wenn man so möchte.
Darüber spreche ich. Dann habe ich das Titelthema mitgebracht.
Das Datenbarometer wurde seitens des BFDI veröffentlicht.
Und eine neue EU-Verordnung bringt strengere Regelungen für politische Online-Werbung mit sich.
Darüber hinaus noch ein Lesetipp vom Europäischen Datenschutzausschuss.
Bei mir hat es heute ein Urteil zum Einsatz von Bodycams auf den Zettel geschafft.
Außerdem berichte ich aus Italien. Dort wurde eine sogenannte Deep-Nude-App
jetzt von der Datenschutzbehörde verboten.
Und ein paar Veranstaltungstipps habe ich auch noch im Petto.
Wunderbar, dann starten wir mal rein. Das Forschungsdatenzentrum Gesundheit
bietet nun nach jahrelanger Vorbereitung die Möglichkeit für Forscherinnen und
Forscher aus Wissenschaft und Wirtschaft Anträge auf Datenzugang zu stellen.
Die Datenbank umfasst Datensätze von 75 Millionen Versicherten im Zeitraum von
2009 bis 2023, bei denen es auch, anders als bei der elektronischen Patientenakte,
kein Widerspruchsrecht für die Betroffenen gab.
Es liegen dort alle Abrechnungsdaten der Versicherten vor.
Das sind ca. 600 Millionen Fälle mit 8 Milliarden Datensätzen,
die da übermittelt wurden.
Und sie stammen aus sämtlichen Bereichen des Gesundheitssystems.
Das Forschungsangebot sei laut Bundesgesundheitsministerin Nina Warken in enger
Abstimmung mit der Bundesdatenschutzbeauftragten und dem BSI entstanden.
Und von dieser neuen Datengrundlage versprechen sich Forschende,
insbesondere aber auch Krankenkasse und die Pharmaindustrie bessere Erkenntnisse zur Wirksamkeit,
zum Beispiel von Therapiekonzepten, Versorgung und Systemeffizienz,
aber auch Erkenntnisse zu Resistenzen, Risiken und Nebenwirkungen von Medikamenten.
Wie gesagt, künftig dann bei der elektronischen Patientenakte hat dann jeder
von uns ein Widerspruchsrecht, wenn er da diese Forschungsweitergabe nicht möchte.
Der Verwaltungsgerichtshof München musste eine Entscheidung zur Zulässigkeit
einer Bodycam treffen, die von einem privaten Sicherheitsdienst eingesetzt wurde.
Der zugrunde liegende Sachverhalt betrifft einen Konflikt zwischen dem Besucher
eines Einkaufszentrums und
einem Sicherheitsmitarbeiter, der zur Aktivierung einer Bodycam führte.
Der Besucher des Einkaufszentrums sah den Einsatz der Bodycam als unzulässig
an und legte deshalb Beschwerde bei der Datenschutzbehörde ein.
Die Behörde wies die Beschwerde aber mit der Begründung zurück,
dass kein Verstoß gegen das Datenschutzrecht ersichtlich sei.
Der Betroffene klagte deshalb vor dem Verwaltungsgericht gegen die Behörde auf
die Ergreifung aufsichtlicher Maßnahmen gegen den Betreiber des Einkaufszentrums.
Das Gericht musste deshalb die Zulässigkeit der Aktivierung dieser Bodycam bewerten.
Konkret war folgendes passiert. Der Kläger saß auf einer Bank innerhalb des
Einkaufszentrums und wollte dort einen Döner verzehren.
Bevor dies gelang, wurde er aber von einem Sicherheitsmitarbeiter verwiesen
mit der Begründung, dass das Verzehren von Speisen auf der Bank nicht erlaubt sei.
Der Kläger setzte sich dann auf eine andere Bank im Außenbereich des Einkaufszentrums
und begann dort seinen Döner zu verzehren.
Der Sicherheitsmitarbeiter sah dies und forderte den Kläger auf,
auch diese Bank und dann auch das Gelände des Einkaufszentrums zu verlassen.
Laut Angabe des Sicherheitsmitarbeiters reagierte der Kläger darauf dann aggressiv
und beleidigend, sodass die Aktivierung der mitgeführten Bodycam geboten war.
Das Gericht kam zur selben Auffassung.
Die Aktivierung der Bodycam und das Filmen des Klägers sei im Rahmen des berechtigten
Interesses des Einkaufszentrums erforderlich gewesen.
Konkret stellte das Gericht auf das Hausrecht ab.
Interessant ist dabei, dass hinsichtlich des aggressiven Verhaltens des Klägers
Aussage gegen Aussage bestand und damit im Zweifel eine Erforderlichkeit der
Maßnahme angenommen wurde.
Das ist nach meiner Auffassung durchaus eine angreifbare Argumentation,
denn die Beweislast liegt nach der Datenschutzgrundverordnung ja beim Verantwortlichen,
also beim Einkaufszentrum.
Allerdings war es ja hier auch so, dass der Kläger gegen die Behörde geklagt
hat und diese ist nur bei feststehenden Verstößen zur Ergreifung von Maßnahmen verpflichtet.
Alles in allem lässt sich also festhalten, dass auch private Sicherheitsdienste
sich dem Mittel der Bodycam grundsätzlich bedienen dürfen.
Allerdings muss ein berechtigtes Interesse bestehen und der Einsatz muss im
konkreten Fall erforderlich sein.
Hinzu kommt natürlich die Beachtung der Informations- und Löschpflichten und
das alles sollte am besten durch den Verantwortlichen bereits in einem Konzept geregelt sein,
um sich gegen Beschwerden von Betroffenen bei den Behörden oder gegen zivilrechtliche
Klagen schützen zu können.
Die Bundesbeauftragte für den Datenschutz
und Informationsfreiheit hat das Datenbarometer veröffentlicht.
Dabei handelt es sich um ein Instrument, das künftig regelmäßig die Einstellung
und Erwartung der Bevölkerung zum Thema Datenschutz erfassen soll.
Die BFDI hat bereits eine erste repräsentative Befragung durchgeführt und die
Ergebnisse veröffentlicht.
Das Hauptziel sei es, die gesellschaftlichen Perspektiven auf den Datenschutz
sichtbar zu machen, um die politische und fachliche Diskussion stärker evidenzbasiert zu gestalten.
Die Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof.
Dr. Specht-Riemenschneider, möchte eben genau auf Evidenzen statt auf gefühlte
Wahrheiten vertrauen und mit
dem Barometer eine belastbare, öffentlich zugängliche Datenmasse schaffen.
Die erste, eben nun veröffentlichte, repräsentative Umfrage zeigt zum Beispiel
die sehr unterschiedlichen Erwartungen in Verbindung mit dem Datenschutz.
22 Prozent der Befragten stellten spontan positive Verbindungen zum Datenschutz
her, während sich 35 Prozent neutral äußern.
Und ganze 37 Prozent den Datenschutz als zum Beispiel übertrieben,
bürokratisch oder gar illusorisch empfinden.
Dies sei eine alarmierende Zahl, so die BFDI, und nimmt alle Datenschützer in
die Verantwortung, bei der bevorstehenden Reform der DSGVO das Vertrauen der
Menschen zurückzugewinnen,
um eben einen Datenschutz zu schaffen, der den Menschen nütze,
ohne beispielsweise eine Überforderung durch überbordende Informationspflichten zu schaffen.
Zukünftig sollen zentrale Debattenthemen wie der Einsatz von Cookie-Einwilligungsmanagern
oder die elektronische Patientenakte durch Meinungsumfragen beleuchtet werden.
Die italienische Datenschutzaufsichtsbehörde Garante geht gegen die KI-geschützte
Deep-Nude-Anwendung Close-Off vor.
Diese Weise laut der Behörde gravierende Datenschutzmängel auf und wurde deshalb vom Markt genommen.
Konkret handelt es sich um eine AI-Anwendung, die mithilfe von AI aus Bildern
bekleideter Personen Bilder der gleichen Person ohne Kleidung generiert.
Die Betreiber hatten keine wirksame Vorkehrung zur Einwilligungsprüfung der
Betroffenen und zum Minderjährigen Schutz implementiert und Ermittlungen gegen
andere vergleichbare Dienste dauern noch an.
Insgesamt stellen diese Dienste nach Auffassung der Behörde jedoch erhebliche
Risiken für die Würde, Privatsphäre und Datensicherheit dar und dem können wir
uns, denke ich, uneingeschränkt anschließen.
Neben den üblichen datenschutzrechtlichen Herausforderungen beim Einsatz generativer
KI sind entsprechende Anwendungen meines Erachtens wohl selbst mit einer wirksamen
Einwilligung des Betroffenen kaum mit dem Grundsatz der Verarbeitung nach Treu und Glauben vereinbar.
Also Leute, lasst den Mist sein.
Ab dem 10. Oktober gelten EU-weit strengere Transparenz- und Datenschutzregeln
für politische Online-Werbung.
Personalisiertes Targeting ist zukünftig nur noch mit ausdrücklicher Einwilligung erlaubt.
Die Verordnung über die Transparenz und das Targeting politischer Werbung, kurz TTPWVO.
Welch griffiger Titel.
Neue Buchstabenfolge zum Auswendiglernen. Ja, super.
Dieser sieht spezifische Verbote sowie Dokumentations- und Informationspflichten
für die Verarbeitung personenbezogener Daten eben in diesem Zusammenhang vor.
Teilweise sind das dann dort sehr strenge Anforderungen, die gesetzt werden.
So ist die personalisierte politische Werbung zukünftig nur zulässig,
wenn kumulativ folgende Bedingungen erfüllt sind. Und einerseits muss der Verantwortliche
die Daten beim Betroffenen selbst erhoben haben. Die ausdrückliche Einwilligung muss vorliegen.
Und Profiling ist auch verboten, dass eben kein Profiling auf Basis besonders
schützenswerter Daten wie zum Beispiel eben politische Interessen oder auch
Gesundheitsdaten erfolgen darf.
Ausnahmen gibt es zum Beispiel für Parteien, die Werbung an ihre Mitglieder
oder Newsletter-Abonnenten schicken möchten.
Zudem bestehen verstärkte Dokumentations- und Transparenzpflichten,
wie zum Beispiel eine eindeutige Kennzeichnung der Inhalte. Die Regeln betreffen
natürlich insbesondere politische Akteure, wie etwa Parteien,
PolitikerInnen oder auch Werbedienstleistende.
Die Verordnung regelt dabei aber auch insbesondere personalisierte Wahlkampagnen
auf Social-Media-Plattformen, per Newsletter oder eben auch politische Anzeigen auf Webseiten.
Die Datenschutzbehörden sind übrigens für die Aufsicht über die Regelung der Verordnung zuständig.
Dann gehen wir über in die angekündigten Veranstaltungstipps.
Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit bietet
ab Mitte Oktober regelmäßig sogenannte Datenschutz-Sprechstunden an.
Dabei soll es sich um ein niedrigschwelliges Beratungsangebot für Bürgerinnen
sowie Verantwortliche aus Vereinen und Bildungseinrichtungen handeln.
Zum einen können dazu individuelle Beratungstermine vereinbart werden und zum
anderen gibt es zwei Online-Seminare zu den Themen Digitale Gesundheitsakte
und Fotografieren in der Kita.
Die Teilnahme ist kostenfrei. Eine Anmeldung erfolgt über die Webseite der Behörde.
Ich habe auch noch eine Veröffentlichung mitgebracht. Der Europäische Datenschutzausschuss
und die Europäische Kommission haben gemeinsame Leitlinien zum Zusammenspiel
zwischen dem Gesetz über digitale Märkte, also dem Digital Markets Act und der DSGVO verabschiedet.
Ziel ist eine rechtssichere Anwendung beider Rechtsakte, insbesondere für die
großen Player am Markt, also die sogenannten Gatekeeper Plattformen.
Die Leitlinien enthalten Ausführungen zu Recht und Pflichten,
Implementierungshinweise für eben jene Gatekeeper.
Ferner werden aber auch andere Bestimmungen, zum Beispiel zu Vertrieb von Apps und Stores.
Dritter, die Datenübertragbarkeit und die Interoperabilität von Nachrichtendiensten behandelt.
Es wurde auch eine öffentliche Konsultation eingeleitet und die läuft noch bis
zum 4. Dezember diesen Jahres.
Und damit sind wir schon fertig für diese Woche. Es sei denn,
dir ist noch was eingefallen, Gregor?
Ein kleiner Hinweis vielleicht noch für die Interessierten heute Abend in Bielefeld.
Wir hatten letzte Woche darüber berichtet, der Big Brother Award wird verliehen.
Da werden wir aber sicherlich in der nächsten Woche auch nochmal über die Gewinnerinnen
und Gewinner informieren.
Das denke ich auch, aber falls man noch nichts vorhat, kann man das ja auf jeden
Fall sich mal anschauen. Und ja, ansonsten bedanken wir uns wieder fürs Zuhören.
Falls ihr uns heute schon zugehört habt, dann wünschen wir euch ein schönes Wochenende.
Und falls ihr uns erst am Montag anhört, dann natürlich einen guten Start in
die neue Woche. Bis bald.
Bis bald.