Zum Inhalt springen

BSI deckt Schwächen bei Windows Hello auf – DS News KW 29-2026

    Moderation:
    avatar
    Heiko Gossen
    avatar
    Gregor Wortberg

    Was ist in der KW 29 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

    Veröffentlichung

     

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    X: https://x.com/ds_talk?lang=de

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/bsi-deckt-schwaechen-bei-windows-hello-auf-ds-news-kw-29-2026/

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Sorry, Heiko, wir haben ja gesagt, wir nehmen die schlechten Überleitungen raus, deswegen.
    Ja, komm, mach mal eine. Komm, mach mal eine schlechte Überleitung.
    Vielleicht die Überleitung.
    So feier das Tag. Einmal.
    Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der AmigoSense.
    Heute ist Freitag, der 17. Juli 2026 und wir starten wieder mit euch gemeinsam
    ins Wochenende. Mein Name ist Heiko Gossen.
    Und mein Name ist Gregor Wortberg.
    Wie immer am Ende der Woche schauen wir einmal zurück, was ist datenschutzrechtlich
    so alles Relevantes passiert? Was könnt ihr für die Praxis vielleicht gut gebrauchen an Wissen?
    Das sind unsere Kriterien, nach denen wir natürlich auch immer schauen.
    In diesem Sinne würde ich sagen, Gregor, was hast du für unsere Zuhörenden heute alle mitgebracht?
    Ich habe vier Themen mitgebracht und zwar eine Untersuchung des BSI zu Windows Hello.
    Dann hat das Sozialgericht Nürnberg sich mit einer Schadensersatzforderung infolge
    eines Hackerangriffs beschäftigt.
    Der Bundesrat plant eine Reform des Bundesdatenschutzgesetzes und Cloudflare
    bringt ein, ja zumindest datenschutzrechtlich
    interessantes Produkt zur Botbekämpfung auf den Markt.
    Das klingt schon mal spannend. Ich würde einmal,
    auf den Beschluss des Europäischen Datenschutzausschusses gegen die Belgische
    Datenschutzbehörde schauen, was die Bearbeitung der Neubeschwerde angeht.
    Dann habe ich ein Urteil des Europäischen Gerichtshofs dabei zur Frage,
    inwieweit Doping-sanktionierte Sportler namentlich im Internet veröffentlicht werden dürfen.
    Und ich hätte noch ein Urteil vom Verwaltungsgericht Berlin,
    wo es um die Frage der Einwilligung in die Weitergabe personenbezogener Daten an Dritte geht.
    Und ein, finde ich, sehr praxisrelevantes Fall. Und last but not least schauen
    wir auf eine Veröffentlichung.
    Wunderbar. Dann starte ich doch gerne einfach mal rein mit dem Bundesamt für
    Sicherheit und in der Informationstechnik, also dem BSI.
    Das hat Windows Hello for Business im Rahmen des Projektes Windows-siziert genauer untersucht.
    In dem Projekt werden tiefergreifende Analysen verschiedener sicherheitsbezogener
    Komponenten in Windows 10 und Windows 11 durchgeführt. Da ist es so die erste
    Veröffentlichung in dem Kontext, ist eben die zu Windows Hello.
    Wer sich da detaillierter einlesen möchte, 170 Seiten, starker IT-Bezug,
    aber auch sehr interessant, mal da verschiedene Hintergrundinformationen nochmal zu sehen.
    Windows Hello, nochmal kurz zum Kontext, ermöglicht ja die Anmeldung an Computern
    per PIN, Fingerabdruck oder auch Gesichtserkennung und dabei betrifft.
    Es ist so, dass es sich nicht nur um eine einzelne Funktion,
    sondern um das Zusammenspiel mehrerer Windows-Komponenten eben handelt.
    Und für die Anmeldung werden da in der Regel zwei Faktoren kombiniert.
    Im Besitz des Gerätes und dann halt entweder die PIN oder das biometrische Merkmal.
    Und dieses biometrische Merkmal, also dieses kryptografische Schlüsselmaterial,
    wie man so schön sagt, wird lokal auf dem Endgerät in einem Sicherheitschip,
    gespeichert und geschützt.
    Ein besonderer Schwachpunkt, der jetzt im Rahmen dieser Untersuchung festgestellt
    wurde, sind dabei lokale Administratorenrechte.
    Ohne eine sogenannte erweiterte Sicherheitsfunktion laufen diese ganzen biometrischen
    Verarbeitungen nämlich in der normalen Windows-Umgebung.
    Und wer dort eben lokale Administratorenrechte besitzt oder halt auch die Schadsoftware erlangt,
    hat weitreichende Zugriffsmöglichkeiten auf das System und die könnten halt
    auch auf diese biometrische Datenbank und die dort gespeicherten Referenzdaten
    zugreifen und diese halt manipulieren.
    Dabei werden jetzt natürlich nicht Fotos gespeichert oder ähnliches.
    Das sind mathematisch erzeugte Daten.
    Aber auch dann, wenn sie ausgelesen werden oder verändert werden,
    werden dadurch natürlich nochmal Angriffe ermöglicht.
    Und besonders kritisch, Angriffe können natürlich dann auf fremde biometrische
    Daten einspielen, um dann halt Zugang zu den Systemen zu erlangen.
    Das BSI empfiehlt deshalb, lokale Administratorenrechte konsequent zu beschränken
    und die erweiterte Anmeldesicherheit, ESS heißt die, zu aktivieren.
    Und diese verlagert die biometrische Verarbeitung in einem besonders geschützten,
    von der normalen Windows-System isolierten Bereich.
    Dadurch kann man halt auch selbst mit lokalen Administratorenrechten oder Schadsoftware
    keine direkten Zugriffe auf diese Daten dann eben erhalten.
    Ist ganz nicht ganz einfach. Man braucht eine geeignete Hardware dafür.
    Das muss man dann natürlich dann schon prüfen.
    Also und deswegen empfiehlt das BSI, falls das alles gar nicht möglich ist,
    sollte dann zumindest auf jeden Fall sichergestellt sein, dass nur eine Person
    pro Gerät registriert wird und sich anmelden kann,
    und halt weitere Maßnahmen wie eine Sperrung bei wiederholten Anmeldeversuchen,
    und eine Verschlüsselung der Festplatte umgesetzt werden sollten.
    Zusammengefasst kann man natürlich sagen, ist ein System, was die Sicherheit
    erhöhen soll, was auch vielleicht die Anmeldung auch nochmal komfortabler gestalten soll.
    Aber auch gerade vor dem Hintergrund der biometrischen Anmeldung kein Selbstläufer.
    Also muss man schon nochmal in die Konfiguration reingehen und solche Sachen
    natürlich dann auch beachten, wenn man da dann die Hardware für die Kolleginnen
    und Kollegen dann einrichtet.
    Ja, ich finde gut, dass es da ein paar konkrete Tipps gibt, was man halt tun
    kann, um dieses Risiko einfach schon ein bisschen zu minimieren.
    Was jetzt, muss man aber auch dazu sagen, für viele Betriebe jetzt wahrscheinlich
    auch kein riesen, riesen, riesen Risiko ist.
    Also es ist jetzt nicht eine total einfach auszunutzbare Sicherheitslücke,
    sondern es ist halt etwas, wo man schon ein bisschen elaborierter rangehen muss.
    Aber wie gesagt, wir haben das ja neulich auch, hatte ich ja die Meldung hier
    auch zu dem Thema Bitlocker und dass diese Bitlocker-Schlüssel zum Beispiel
    auch nicht 100% sicher sind aufgrund von möglichen Angriffsszenarien,
    die immer natürlich ein Stück weit einhergehen mit der Architektur von solchen Systemen.
    Und dementsprechend, glaube ich, wie gesagt, sollte man das insbesondere die
    einfach umzusetzenden Maßnahmen umsetzen und dann, glaube ich,
    ist das Risiko in sich wahrscheinlich auch für die allermeisten Unternehmen
    durchaus sehr gut akzeptabel.
    Der Europäische Datenschutzausschuss, kurz ETSA, hat die belgische Datenschutzbehörde
    verpflichtet, die Beschwerde von Neub gegen den belgischen Rundfunkanbieter
    VRT inhaltlich zu prüfen.
    Neub, Non-of-your-Business, die Datenschutzorganisation von Max Schrems in Österreich,
    hat die Beschwerde im Namen einer betroffenen Person im August 2021 bei der
    österreichischen Datenschutzbehörde eingereicht.
    Das tun die ja durchaus häufiger und die hat sich gegen den Cookie-Banner auf
    der Webseite des öffentlich-rechtlichen Rundfunkunternehmens VRT entsprechend gerichtet.
    Die österreichische Behörde hat dann den Fall an die belgische Datenschutzbehörde
    als federführende Aufsichtsbehörde weitergeleitet, so weit so gut.
    Die hat aber die Beschwerde wegen eines angeblichen Rechtsmissbrauchs zurückweisen wollen.
    Sie hat hier unter anderem auf das standardisierte Vorgehen von Neub und die
    strategische Auswahl von Websites verwiesen.
    Und naja, die österreichische Datenschutzbehörde fand das dann aber nicht so
    gut und hat diesem Beschlussentwurf entsprechend auch widersprochen.
    Der Etzer hat diesen Eindruck nun als maßgeblich und auch begründet bewertet,
    denn nach seiner Auffassung haben
    die Voraussetzungen für einen Rechtsmissbrauch eben nicht vorgelegen.
    Dafür hätten sowohl objektive Umstände als auch eine missbräuchliche Absicht
    nachgewiesen werden müssen von der belgischen Aufsichtsbehörde.
    Die dürfen nun also prüfen, ob die Cookie-Banner von VRT gegen Datenturzrecht
    verstoßen haben oder nicht.
    Anschließend muss sie dann natürlich den beteiligten Aufsichtsbehörden einen
    neuen Beschlussentwurf vorlegen.
    Und dann schauen wir weiter, bis da natürlich rauskommt. Der Beschluss des Ätzer
    nun, jetzt aktuell, der enthält nämlich noch keine Aussagen dazu,
    ob jetzt VRT tatsächlich gegen Datenschutzrecht verstoßen hat oder nicht.
    Da ging es in diesem Entschluss tatsächlich gar nicht drum.
    Das heißt also, diese Frage ist weiterhin offen.
    Kurz nochmal zur Einsortierung. Der Ätzer hat gegenüber den nationalen Aufsichtsbehörden
    durchaus verbindliche Befugnisse, wenn diese in einem grenzüberschreitenden
    Verfahren sich nicht einigen.
    Voraussetzung ist also ein maßgeblicher und begründeter Einspruch gegen den
    Beschlussentwurf der federführenden Aufsichtsbehörde, denn dann kann der Ätzer
    verbindlich über die streitigen Fragen entscheiden.
    Der Ätzer kann auch prüfen, ob eine Aufsichtsbehörde eine Beschwerde zurückweisen
    oder bestimmte Maßnahmen ergreifen darf.
    Also auch auf der Ebene ist nicht immer alles grün.
    Das Sozialgericht Nürnberg hat sich mit einer Schadensersatzforderung nach dem
    großen Move-It-Hackerangriff aus dem Jahr 2023 beschäftigt.
    Die Move-It-Sicherheitslücke war ja so relativ medial auch präsent,
    war eine Schwachstelle einer Datenübermittlungssoftware, Move-It-Transfer,
    und die wird halt regelmäßig von Unternehmen genutzt, um eben Datenmengen,
    sensible Daten untereinander auszutauschen, einen sicheren Übertragungsweg zu nutzen.
    Betroffen von dieser Sicherheitslücke war seinerzeit eine minderjährige Versicherter
    einer Krankenkasse, die an einem Bonusprogramm teilgenommen hat.
    Und in diesem Kontext des Eingriffs wurden bei dem IT-Dienstleister unter anderem
    die Namen, ihre Krankenversicherungsnummer, Prämienbeträge und die Bankverbindung
    der Mutter abgegriffen.
    Gesundheitsleiten waren davon nicht betroffen. Die Klägerin verlangte 3000 Euro
    immateriellen Schadensersatz und außerdem sollten die Krankenkasse und der Auftragsverarbeiter
    für mögliche zukünftige Schädenhaften und weitere unbefugten Datenweitergaben unterlassen.
    Das Gericht wies die Klage jedoch vollständig ab.
    In der Begründung geht das Gericht insbesondere auf die Regelung des Artikel
    32 DSGVO sowie ein Urteil des Europäischen Gerichtshofs in diesem Kontext ein.
    Und Artikel 32 Absatz 1 DSGVO sehe eben vor, dass verhandliche und auch Auftragsverarbeiter
    geeignete technisch-organisatorische Maßnahmen treffen, dem ein risikoangemessenes
    Schutzniveau zu gewährleisten.
    Ergänzend wurde dann nochmal auf die Argumentation des EuGH abgestellt,
    dass der Artikel 32 eben auch nicht regelt, dass ein Risiko von Verletzungen
    des Schutzes personenbeziehungsweise beseitigt werde oder ausgeschlossen werde.
    Und man könne so das Sozialgerechten in der digitalen und auch in der analogen
    Welt nicht von einem absoluten Schutz ausgehen.
    Wesentlich ist im Kontext des Urteils aber auch, dass der Verantwortliche eben
    geeignete technisch-organisatorische und organisatorische Maßnahmen nachweisen konnte.
    Also personalisierte Nutzerkonten, Anmeldeverfahren, Passwortvorgaben und so weiter und so fort.
    Konkrete Hinweise auf diese Sicherheitslücke seien vorher eben auch nicht erkennbar,
    gewesen, so das Gericht.
    In diesem Zusammenhang dann auch nochmal die Betonung des Gerichts,
    dass Heckangriffe aber auch nicht per se von der Haftung entlasten.
    Also insbesondere dann eben nicht, wenn Verantwortliche oder dessen Auftragsverarbeiter
    eben unzureichend Schutzmaßnahmen treffen. Also da ist man dann auch nicht raus.
    Das wird dann auch nochmal wirklich betont.
    Ein ersatzfähigen immateriellen Schaden, erkannte das Gericht auch nicht an.
    Zwar kann die begründete Angst vor dem Datenmissbrauch ja schon einen Schaden
    irgendwo auch begründen, vielleicht auch einen Schadensersatz dann begründen
    und Schaden darstellen.
    Eine rein theoretische Befürchtung reicht ja nicht aus. In dem Kontext muss
    man aber auch wirklich sagen, ein bisschen interessant, diese minderjährige
    Person war drei Jahre alt und der Vater musste dann auch,
    vor Gericht sagen, dass die Tochter von dem Datenvorfall gar nichts wusste.
    Also das ist natürlich dann schwierig, da auf der Basis dann auch noch mal was zu erreichen.
    Also unter dem Strich zeigt es zweierlei, wir müssen als Unternehmen natürlich,
    die IT-Sicherheitsmaßnahmen im Blick behalten, Dienstleister kontrollieren und
    das natürlich auch nachweisen können.
    Beides, also einerseits die Kontrolle der Tom, aber auch von den Dienstleistern.
    Und Betroffene müssen für einen Schadensersatzanspruch da aber auch konkret
    darlegen, was denn überhaupt der Schaden ist und welche persönlichen negativen
    Folgen der tatsächlich dann auch für sie hatte.
    Ich finde den Hinweis auch nochmal wichtig, dass 32 wieder keine absolute Sicherheit
    garantieren kann und dass Unternehmen dazu auch nicht verpflichtet sind.
    Und dann schließt sich natürlich wieder ein bisschen der Kreis zu dem,
    was wir ja sonst auch immer sagen.
    Man muss natürlich schon sich seine Risiken angucken, man muss sie bewerten
    und vor allen Dingen auch vernünftig dokumentieren, welche Maßnahmen hat man dann ergriffen.
    Und dann ist man aber auch an der Stelle schon relativ safe,
    wenn man da keine groben Fehler gemacht hat.
    Und das, glaube ich, ist nochmal eine ganz wichtige Facette,
    finde ich, in diesem Urteil, die man auf jeden Fall nutzen sollte nochmal,
    um, wie gesagt, für sich selber auch zu schauen, ist man ausreichend gut dokumentiert.
    Gut, machen wir weiter. Der Europäische Gerichtshof hat bestätigt,
    dass der Kampf gegen Doping ein öffentliches Informationsinteresse begründen
    kann, ein automatischer, dauerhafter Online-Pranger aber nicht zulässig ist.
    Ausgangspunkt waren Verfahren mehrerer österreichischer Profisportler,
    gegen die Verstöße gegen Anti-Doping-Regeln sperrenverhängt worden waren.
    Und nach den nationalen Vorschriften sollten unter anderem ihre Namen,
    die Sportart, der Verstoß sowie Beginn und Ende der Sanktionen im Internet und
    natürlich auch in Pressemitteilungen veröffentlicht werden.
    Das österreichische Bundesverwaltungsgericht wollte vom EuGH unter anderem nun
    wissen, ob die DSGVO auf diese Veröffentlichungen anwendbar ist,
    und ob Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen verarbeitet
    werden und ob Betroffene bereits gegen eine bevorstehende,
    Veröffentlichung auch Beschwerde einlegen können.
    Der EuGH entschied, dass die DSGVO uneingeschränkt gilt und nationale Spezialregelungen
    ihre Anforderungen auch nicht verdrängen können.
    Die Angaben zu einem Dopingverstoß sind aber nicht automatisch Gesundheitsdaten,
    können aber natürlich dazu werden.
    Beispielsweise, wenn etwa der verwendete Stoff Rückschlüsse auf den Gesundheitszustand zulässt.
    Dann noch, Dopingverstöße sind zudem nicht alleine wegen ihres sanktionsähnlichen
    Charakters Daten über strafrechtliche Verurteilungen im Sinne von Artikel 10 DSGVO.
    So finde ich auch nochmal ein ganz wichtiger Aspekt, dass wir auch da natürlich
    daraus mitnehmen können, dass wir Artikel 10 auch nicht zu weit auslegen sollten,
    wenn es halt um nicht strafrechtliche Sanktionen geht.
    Dann hat der EuGH aber auch noch entschieden, eine namentliche Veröffentlichung
    kann grundsätzlich auf einer gesetzlichen Verpflichtung oder einer Aufgabe im
    öffentlichen Interesse beruhen.
    Sie bleibt aber nur zulässig, wenn sie geeignet, erforderlich und im Einzelfall
    auch verhältnismäßig ist. Also diesen Dreiklang kennen wir ja auch zu Genüge.
    Dabei ist natürlich insbesondere die Beschwere des Verstoßes,
    die Folgen für das Privatleben, mögliche
    mildere Mittel und die Dauer der Veröffentlichung zur Berücksichtigung.
    Deswegen also gerade die Veröffentlichung von im frei zugänglichen Internet
    wiegt laut EuGH schwer, weil die Informationen natürlich weltweit abrufbar,
    auffindbar und auch leicht weiterverarbeitbar sind.
    Ich denke, das ist ein Aspekt, der bleibt auch für allgemeine Veröffentlichungen
    von Unternehmen beispielsweise im Internet immer bestehen und am Ende auch die
    Frage, wie lange ist die Veröffentlichung einer personenbezogenen Information wirklich angemessen.
    Das sollte man natürlich für die eigene Webseite auch immer im Blick behalten.
    Der Bundesrat hat beschlossen, einen Gesetzesentwurf zur Reform des Bundesdatenschutzgesetzes
    in den Bundestag einzubringen.
    Hintergrund ist, dass es bislang sein kann, insbesondere bei bundesweit tätigen
    Unternehmen, Konzerne oder auch länderübergreifenden Forschungsprojekten,
    dass mehrere Datenschutzaufsichtsbehörden dieselben Systeme prüfen oder auch
    rechtlich unterschiedlich bewerten.
    Und zum einen soll im Rahmen dieses Gesetzesentwurfs die Datenschutzkonferenz,
    also das gemeinsame Gremium der Datenschutzaufsichtsbehörden von Bund und Ländern,
    gesetzlich verankert und institutionalisiert werden.
    Jedes Land und der Bund sollen da jeweils eine Stimme enthalten.
    Und das heißt, wenn bei Datenschutzverfahren mal keine Einigung zustande kommt,
    soll die Datenschutzkonferenz dann mit einfacher Mehrheit entscheiden können.
    Und die Beschlüsse haben dann bindende Wirkung für die beteiligten Aufsichtsbehörden.
    Allerdings keine einklagbaren Rechte für Unternehmen und betroffene Personen
    sollen dadurch geschaffen werden.
    Geplant ist auch ein Einer-für-alle-Prinzip. Also ist es nur noch eine Behörde
    für ein beispielsweise länderbegreifendes Unternehmen zuständig,
    relevant ist hierfür der Hauptsitz des Unternehmens.
    Hat diese Datenschutzbehörde dann ein Verfahren oder ein IT-System geprüft,
    soll diese Bewertung dann auch für andere Behörden gelten, vorausgesetzt das
    System wird dort ohne wesentliche Veränderung dann eingesetzt.
    Also da schon mal eine Verschlankung.
    Darüber hinaus gibt es noch weitere Anpassungen mit Blick auf die Zuständigkeiten
    und Entscheidungswege der Aufsichtsbehörden, die da geplant sind.
    Muss man ja auch nochmal betonen, es handelt sich ja jetzt noch nicht um geltendes Recht.
    Der Bundesrat hat den Entwurf erstmal am 10. Juli beschlossen und bringt ihn
    jetzt nun zum weiteren Gesetzgebungsverfahren im Bundestag ein.
    Ja, ein Thema, was noch spannend bleibt, glaube ich, weil auch da natürlich
    auf Bundesregierungsebene, glaube ich, viel gefragt wurde.
    Alle Beteiligten, ich glaube, da liegen verschiedenste Ideen vor,
    ob es jetzt die vom Bundesrat am Ende wird oder doch vielleicht nochmal was anderes.
    Ich bin da echt sehr gespannt.
    Wir bleiben in Berlin. Das Verwaltungsgericht Berlin hat nämlich entschieden,
    dass eine Einwilligung in die Weitergabe personenbezogener Daten an regionale
    Partnerbetriebe unwirksam ist, wenn die möglichen Empfänger vorab nicht hinreichend
    konkret eingegrenzt werden.
    Ehrlicherweise ganz überraschend ist die Entscheidung natürlich nicht,
    denn schon die bisherige Rechtsprechung zur Transparenz bei Datenübermittlungen,
    zeigt eigentlich, dass Unternehmen konkrete Empfänger grundsätzlich benennen
    müssen, wenn diese bereits feststehen.
    In dem Fall wurde eine Einwilligung beanstandet, mit der der Interessent einer
    Weitergabe seiner Kontaktdaten an sogenannte geprüfte Partner zustimmen sollte,
    und in einem ergänzenden Hinweis war außerdem noch von regionalen Installationsbetrieben die Rede.
    Welche Unternehmen aber konkret in Frage kamen, das konnte der Interessent vor
    seiner Zustimmung aber nicht erkennen.
    Auch eine näher eingegrenzte Gruppe möglicher Empfänger war für ihn nicht ersichtlich
    und das Unternehmen hatte dann im Verfahren argumentiert,
    dass der passende Betrieb erst anhand von Kriterien wie Postleitzahl oder Dachbeschaffenheit
    ausgewählt werden könne.
    Deswegen sei eine vorherige namentliche Benennung also nicht möglich.
    Das Gericht ließ dieses Argument im Ergebnis allerdings nicht ausreichen,
    denn die Einwilligung sei nicht
    für den bestimmten Fall und in ausreichend informiert erteilt worden.
    Die spätere Übermittlung von Name, E-Mail-Adresse, Telefonnummer und Anschrift
    an den ausgewählten Partnerbetrieb habe daher also nicht Artikel 6 Absatz 1
    Buchstabe a DSGVO gestützt werden können, so das Gericht erklärt.
    Ich glaube, es ist relativ gut erkennbar, ja,
    der zentrale Gedanke des Gerichts, also die konkrete Gestalt der Datenverarbeitung,
    muss natürlich bereits vor der Einwilligung erkennbar sein und darf nicht erst
    später durch eine Entscheidung des Verantwortlichen entstehen.
    Die betroffene Person, ich glaube, das ist auch ein bekannter Grundsatz,
    muss sich natürlich vor ihrer Zustimmung ein Bild davon machen können,
    welche Tragweite die Einwilligung hat und welche Risiken auch mit der Datenweite,
    Weitergabe natürlich verbunden sind.
    Und dabei verlangt das VG Berlin aber in dem Fall auch nicht zwingend in jedem
    Fall eine vollständige Namensliste aller möglichen Empfänger.
    Das ist, wie gesagt, wiederum die gute Botschaft, die gute Nachricht.
    Die Empfänger müssen aber so weit wie möglich vorab benannt oder aber zumindest eingegrenzt werden.
    Also stehen die konkreten Empfänger bereits fest, darf das Unternehmen grundsätzlich
    nicht auf eine bloße Kategorie beschränken.
    Stehen sie noch nicht fest, muss die Kategorie aber ausreichend konkret beschrieben werden.
    Als mögliche Kriterien für eine solche Eingrenzung nennt das Gericht insbesondere,
    die Art der Tätigkeit des Empfängers, beispielsweise den Wirtschaftszweig und
    auch den Niederlassungsort.
    Im konkreten Fall hätte das Unternehmen also zumindest näher erläutern müssen,
    welche regionalen Installationsbetriebe aufgrund des Wohnorts des Interessenten
    überhaupt in Frage kamen.
    Dass eine solche Eingrenzung nicht möglich gewesen wäre, hatte das Unternehmen
    nach Auffassungsgerichts also nicht nachvollziehbar dargelegt.
    Für Unternehmen ist deshalb wichtig, auf so Formulierungen wie ausgewählte Partner,
    regionale Dienstleister oder Unternehmen aus unserem Partnernetzwerk eher zu
    verzichten, weil die reichen nicht aus,
    und natürlich immer daran zu orientieren, je größer und offener der Kreis möglicher
    Empfänger ist, desto genauer muss beschrieben werden, welche Unternehmen nach
    welchen Kriterien in Frage kommen.
    Ich finde das in der Praxis ist es halt manchmal nicht so einfach.
    Genau, also die Herausforderung ist, glaube ich, da in der Praxis das wirklich
    umzusetzen. Auch an der Vielzahl der Stellen, wo man vielleicht auch eine Einwilligung dann auch einholt.
    Ich meine, wir versuchen das ja in der Praxis auch. Also immer,
    wo wir die Empfänger genau benennen können, benennen wir sie.
    Es ist natürlich auch immer die Frage, wenn du mit Partnern zusammenarbeitest
    und diese Partner ändern sich mal,
    ja, also du hast jetzt einen anderen Partner, der das gleiche macht wie der
    vorher und du hast ihn vorher natürlich genau benannt, dann ist natürlich die
    Schwierigkeit, dass deine Einwilligung auch nicht mehr wirksam ist.
    So, und je nachdem, was dein Geschäftsmodell oder wofür du die Einwilligung
    gebraucht hast, auch wieder schwierig, weil du alle Einwilligungen neu einholen
    musst. Also da ist so ein bisschen, ist schon in der Praxis,
    finde ich, was Musik drin.
    Ja, stellen sich einige Herausforderungen durch, wirklich.
    Heiko, wir haben ja gesagt, wir nehmen die schlechten Überleitungen raus, deswegen.
    Ja, komm, mach mal eine. Komm, mach mal eine schlechte Überleitung.
    Vielleicht zur Feier des Tages.
    Stichwort Herausforderung. Herausforderung haben ja auch viele Webseitenanbieter mit Bots. Und die...
    So schlecht fand ich die jetzt gar nicht.
    Wunderbar, ja, gut.
    Der Anbieter Cloudflare hatte in diesem Zusammenhang mit den Bots eben ein neues
    System zur Bot-Erkennung und Bekämpfung auf Webseiten eingeführt.
    Im Hintergrund ist eben, dass diese Bots mittlerweile dazu in der Lage sind,
    JavaScript auszufüllen, Browser zu benutzen und auch,
    weitere aktuelle Sicherheitsmaßnahmen zu umgehen.
    Und das neue System, was die da jetzt eingeführt haben oder auch in Einführung
    befindet, heißt Precursor.
    Und das setzt anders als auf einen kleinen Test, also zum Beispiel durch ein
    Bilderrätsel, auf eine dauerhafte Analyse des Nutzers während der gesamten Sitzung.
    Also nicht nur während des Webseitenbesuchs, während der gesamten Sitzung.
    Precursor betrachtet, wie sich jemand auf der Webseite verhält,
    also ausgewertet und erfasst während der Sitzung werden unter anderem Mausbewegung,
    Tastaturaktivität, Fokuswechsel, also das,
    Wechsel von einem Tab-Sein zum Beispiel und auch Sichtbarkeitsänderungen an der Seite.
    Zudem besteht wohl für Administratoren die Möglichkeit, übersitzungsbezogene
    Ansichten komplette Nutzerfahre analysieren zu können.
    Die Daten werden in dem Zusammenhang auch fortlaufend an Cloudflare übertragen.
    Die konkret eingeblenden Texte, zum Beispiel Formulare oder ähnliches,
    werden nach Angehung von Cloudflare nicht erfasst.
    Stattdessen geht es etwa um die zeitlichen Abstände zwischen den Tasteneingaben.
    Also entscheidend ist da wohl nicht das einzelne Ergebnis, Ereignis,
    sondern halt die Gesamtheit der Interaktion innerhalb dieser ganzen Sitzung.
    Und dieses sitzungsbasierte Arbeiten soll ein Bot seine Bewertung auch nicht
    durch ein einfaches Neuladen der Webseite halt irgendwie zurücksetzen können.
    Das klingt jetzt erstmal komfortabel für echte Nutzer, aber datenschutzrechtlich
    ist da natürlich ganz schön Musik drin, wie ich finde.
    Weil anstelle einer sichtbaren, punktuellen Prüfung, die wir alle irgendwie
    auch schätzen bei Google Recapture, wenn wir dann mal irgendwie ein Fahrrad suchen müssen wieder,
    tritt natürlich eine weitgehend unsichtbare und dauerhafte Verhaltensanalyse
    irgendwo dann auch auf den Plan, vor allem wenn es der Administrator dann auch,
    in der Einzelbetrachtung sogar auch nochmal auswerten kann.
    Und da müssen Webseitenbetreiber dann schon genau prüfen, wenn sie das einführen
    wollen, welche Daten da wirklich konkret erhoben werden und ob die auch wirklich
    für den Schutz für Bots auch erforderlich sind.
    Also die Interessenabwägung, gerade vor dem Blick der Transparenz,
    wird die natürlich dann umso wichtiger, die dann auch wirklich ausführlich und
    gewissenhafter noch durchzuführen.
    Das könnte spannend werden, auf jeden Fall.
    Also eine Frage ist ja, die sich jetzt stellt, hatten wir jetzt auch bei dem
    Capture-Thema bei Google,
    die sich umgestellt haben, ist jetzt eine Auftragsverarbeitung,
    wird im Rahmen von 28 angeboten, der Dienst, würde ich jetzt hier vermuten,
    müsste man wahrscheinlich ähnlich einsortieren,
    ohne jetzt im Detail mich damit beschäftigt zu haben.
    Die andere Frage, der Rechtsgrundlage, auch da wissen wir aus der Rechtsprechung
    bei Captures, die nicht als technisch erforderlich gelten,
    deswegen wird es hier wahrscheinlich auch schwierig, dass, je nachdem,
    wie das System, was für Daten ist, letztendlich halt auch vom System aus liest,
    weil man sowieso eine Einwilligung braucht.
    Aber ich glaube, das ist insgesamt die Verarbeitung.
    Definitiv. Ohne gesetzte Einwilligung hat man keinen Botschutz.
    Deswegen werden die wahrscheinlich versuchen, das, denke ich mal,
    über das berichtigte Interesse darzustellen, was halt wirklich einfach schwierig ist.
    Also, wer da sich schon mal intensiver mit beschäftigt hat und das schon mal
    vielleicht durchgeprüft hat, wir sind da gerne für Hinweise dankbar.
    Dann kommen wir zu unseren Veröffentlichungshinweisen. Veranstaltungen haben
    wir heute keine mit im Gepäck.
    Die EU-Kommission veröffentlicht nämlich jetzt unverbindliche Leitlinien zur
    Anwendung der Richtlinie für die Resilienz kritischer Einrichtungen.
    Diese Leitlinien konkretisieren, welche technischen, organisatorischen und sicherheitsbezogenen
    Maßnahmen kritische Einrichtungen ergreifen können.
    Also für Datenschutzbeauftragte dürften vor allem natürlich die Hinweise zur
    Videoüberwachung, biometrischen Zugangskontrolle, Besucherregistern,
    Zugriffsrechten und auch Zuverlässigkeitsüberprüfungen wohl besonders relevant sein.
    Interessant sind die Leitlinien natürlich insbesondere für Unternehmen aus den
    Kritisbereichen wie Energie, Verkehr, Gesundheit, Wasser, öffentliche Verwaltung,
    aber natürlich auch Lebensmittelversorgung.
    Ich gehe davon aus, dass aber auch andere Unternehmen daraus durchaus das eine
    oder andere ableiten können, wie sie physische Sicherheit, Berechtigungsmanagement,
    Aufbewahrungsfristen und
    natürlich insgesamt auch den schutzsensibler Informationen systematisch besser
    miteinander verbinden lassen und wird,
    auch deswegen hier ein kleiner Hinweis in unserer Silvester-Show,
    in unserer Silvester-Show sag ich schon.
    Ist noch ein bisschen ähnlich. Aber man muss ja früh anfangen.
    In unseren Datenschutz-News natürlich. Ja, das ist ja schon Weihnachten.
    Also, Link findet ihr in den Shownotes und Und daher würde ich sagen,
    sind wir für heute durch. Vielen Dank, Gregor.
    Danke, Heiko.
    Und euch allen ein schönes Wochenende. Bleibt uns gewogen und auf bald.