Datenleck bei ChatGPT – Datenschutz News KW 13/2023

Moderation:

Was ist in der KW 13 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Neue Themenfolge: Europäische Datenstrategie
• Österreichische Auskunftei verarbeitet Daten ohne Rechtsgrundlage
• Reaktion der Crif auf ÖDSB
• Neues Löschkonzept bei der Schufa
• ChatGPT: Datenleck ermöglichte Offenlegung von Nutzerdaten
• Kein Auskunftsanspruch bzgl. auslösender Faktoren einer Beitragserhöhung (OLG Karlsruhe, Urteil vom 17.03.2023, Az. 25 U 227/22 )
• VG Wiesbaden und EuGH zweifeln an Rechtmäßigkeit zur Datenverarbeitung im Beschäftigungsverhältnis
• Vorschlag der EU-Kommission zum Umgang mit Cookiebannern

Empfehlungen & Lesetipps

• HmbBfDI stellt seinen Tätigkeitsbericht 2022 vor
• 5. Jahresbericht der Datenschutzaufsicht Bremen

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/datenleck-bei-chatgpt-datenschutz-news-kw-13-2023

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Starten wieder gemeinsam mit ihnen ins Wochenende mit einem Rückblick auf die Woche des Datenschutzes. Heute ist Freitag, der 31. März 2023. Mein Name ist Heiko Gossen. Mein Name ist Markus Sechel. Hallo Markus. Hallo Heiko, ich hatte gehofft, ich kann nicht in den April schicken, aber da müssten wir noch einen Tag mit der Aufnahme warten. Das machen wir dann lieber nicht. Nee, auch wenn sicherlich der ein oder andere Morgen in die Folge hören wird, aber der Aprilscherz werden wir heute aussparen, oder? Ich habe keinen vorbereitet. So, das war der Aprilscherz. Natürlich ist einer dabei. Nein, ich glaube, wir haben heute nur nur ernst gemeinte Meldungen und äh bevor wir mit den Meldungen Daten würde ich da mal einen kurzen Hinweis geben wollen. Wir haben nämlich diese Woche eine neue Themenfolge veröffentlicht und zwar habe ich äh das Vergnügen gehabt Maximilian Herrmann von ENBW zu sprechen und wir haben über die gesamte EU-Datenstrategie gesprochen. Also die europäische Datenstrategie mit ganz vielen Ecken die jetzt ja teilweise schon veröffentlicht sind, teilweise aber noch in der Arbeit sind wie der Data-Act oder der AI-Act und wer da noch nicht reingehört hat, ich glaube, das ist noch mal ein Stück weit erklärend, erhellend sozusagen, wo die Reise dahin gehen könnte. Ich habe da schon reingehört und ich fand es auch wieder einen spannenden Beitrag, um so einen Überblick zu bekommen tatsächlich über die Gesetzgebung und was mit Daten alles möglich sein kann oder möglich werden soll und Abgrenzung dann der unterschiedlichen Rechtsvorschriften. Finde ich total spannend und wird für die Praxis eine große Herausforderung werden, denke ich. Ja gerade die Abgrenzung ist natürlich etwas, was hatten wir auch in unserer Silvesterfolge schon auch mit Ulrich Kälber und auch mit den Kollegen von Auslegungssache ja diskutiert, wie nachher diese Abgrenzungsfragen in der Praxis sich realisieren, werden und vor welcher Herausforderung sie stellen wird, Von daher, ja hoffen wir natürlich damit ein wenig Licht ins Dunkel bringen zu können für alle, die jetzt gerade da vielleicht ein bisschen ins Schwimmen kommen, wenn’s um diese ganzen Acts geht, aber kommen wir zum heutigen Inhalt, Markus, was hasten an Themen dabei? Ah ich habe was mitgebracht aus Österreich, eine Auskunft, eine Wirtschaftsauskunft Teil. Dann habe ich ein Datenleck mitgebracht bei einer künstlichen Intelligenz. Ich habe äh eine Entscheidung vom Europäischen Gerichtshof mitgemacht zum Thema Beschäftigtendatenschutz und äh zwei Lesetipps. Sehr gut. Ich hätte zum einen ein neues Löschkonzept bei der Schufa. Außerdem freuen wir uns über ein Urteil über eine Auskunftsanfrage bei Versicherung, wir wundern uns ein wenig über ein Landesarbeitsgericht Urteil auch zum Thema Auskunftsverfahren und äh last but not least hoffen wir ein wenig auf den Kampf gegen die Cookie-Banner. Vielleicht hast du ja dann doch den Aprilscherz mit eingebaut, wenn ich die Rechtsprechung zum Thema Auskunftsersuchen mir angucke. Wer weiß, vielleicht war das so einer. Mal schauen. Ich fürchte aber es ist tatsächlich ernst gemeint. Ich ich lege mal los, In Österreich hat eine Entscheidung gegeben der österreichischen Datenschutzaussichtsbehörde. Also eigentlich hat es zwei Entscheidungen gegeben, wobei die eine Entscheidung schon ein bisschen länger zurückliegt. Konkret geht’s hier jetzt um das ehemalige Unternehmen Delta Vista, das jetzt Triff abgekürzt wird, CRIF. Die dürfen tatsächlich personenbezogene Daten, die sie von AZ direkt Österreich bekommen. Alina Bertelsmann-Tochter nicht mehr so verwenden, wenig überraschend ist. Schön ist aber nochmal wenn man sich die beiden ähm Unterlagen anguckt der Datenschutzaufsichtsbehörde, wie sie insbesondere in dem Verfahren gegen die AC direkt, Legitimierung der Verarbeitung der personenbezogenen Daten auseinandergenommen hat mit dem Ergebnis, dass die Verarbeitung unzulässig gewesen ist. Österreicher haben sich darauf gestützt, dass es in der Gewerbeordnung sowas wie eine Privillegierung für Adresshandel gibt, Das ist aber ganz spannend, weil der Generalanwalt schon gesagt hat, äh das sei keine Rechtsgrundlage, die man im Kontext der Datenschutzgrundverordnung berücksichtigen kann. Damit war die durch die A Z direkt beziehungsweise die Verarbeitung durch die AZ direkt schon nicht legitim und jetzt ist wenig überraschend, die Datenschutzaufsichtsbehörde halt festgestellt hat, dass auch die Nutzung dieser unrechtmäßig verarbeiteten Daten durch ähm den Empfänger der Daten auch unrechtmäßig ist. Also wie gesagt, wenig überraschend, In dem Zusammenhang überrascht, was auch Neub überrascht hat, die dieses Verfahren angeregt haben, ist, dass die Verarbeitung jetzt nicht sofort untersagt worden ist. Dafür bedarf es scheinbar noch eine gesonderten Verfahrens. Also eine ganz spannende ähm Geschichte, wie dann oder wie lange die Daten noch zur Ermittlung dieses Bonitätswertes oder dieses Score-Wertes verwendet werden dürfen und verwendet worden sind. Ich knüpfe direkt mal an äh zur SCHUFA und wir haben ja hier auch hier in Deutschland die Schufa als Auskunft Tai, die umfangreich über Bürger und Bürgerinnen verarbeitet. Wir haben auch in der Vergangenheit schon öfters drüber berichtet, über verschiedene Verfahren. Jetzt haben wir nochmal ein und zwar geht’s um die Löschfrist bei der Insolvenz. Vor dem Hintergrund der aktuell laufenden Verfahren verkürzt die Schufa jetzt ab sofort die Speicherdauer für Einträge zu geschlossenen Privatinsolvenzen von drei Jahren auf mit 6 Monate. Denn äh das Unternehmen wolle jetzt wohl damit äh so nach eigener Auskunft Klarheit und Sicherheit für die Verbraucherinnen und Verbraucher schaffen, Nachdem der BGH äh jetzt vor einigen Tagen noch ein Verfahren ausgesetzt hat, weil sie halt auf einen entsprechendes Urteil aus vom EuGH warten, was ja in der Sache auch entscheiden soll. Deswegen hat man jetzt seitens der Schufa wohl äh der einfach den Entschluss gefasst. Man verzichtet auf die drei Jahre, obwohl man natürlich da in der Vergangenheit sehr viel Investiert hatte an Argumentation, warum das denn so wichtig sei für die Kreditwirtschaft, dass man diese drei Jahre habe aus berechtigten Interessen, da ist man jetzt wohl, wie gesagt den einfacheren Weg gegangen und hat gesagt, wir greifen halt dem Gericht vor und verkürzen auf sechs Monate. Minimierung und Speicherbegrenzung sind echt äh ganz ganz interessante Features, die die Datenschutzgrundverordnung so mitbringt, Ich ich hatte ja gehofft und an der Vorbereitung, an dich hatte ich zu dir gesagt, lass uns mal eine Folge machen, ohne dass wir Cha GPT sagen, ähm aber das funktioniert leider nicht. Spätestens in der Redaktionssitzung bin ich damit konfrontiert von zwei Meldungen in dem Zusammenhang. Das eine ist, dass ähm seit Ende letzter Woche, halt auch angebunden werden kann an Apps, also an Entwickler können eigene Apps anbinden. Natürlich für die künstliche Intelligenz super ist, weil sie nicht auf die alten Daten aus 2021 zugreifen kann, sondern jetzt auch Live-Daten hat, uns alle bestimmt total freuen wird, wenn ich mir vorstelle, worauf die KI dann zukünftig über diese Schnittstellen, zugreifen können wir, vielleicht wäre das was für Wirtschaftsauskunft teilen oder so, das äh. Ja Vielleicht kann kann man die Daten, die jetzt in Österreich ja nicht mehr verwendet werden dürfen, nutzen, um die die äh KI zu trainieren, weil, Änderungsgrundsatz scheint da in Österreich nicht so ganz wichtig gewesen zu sein. Man muss es nur auf Kno übermitteln. Irgendwann weiß man nicht mehr, wo die Daten herkommen und dann ist es zulässig. Sehr unangenehm ist, finde ich für GPT und auch für die Nutzer ist, dass es tatsächlich schon einen Leck gegeben hat. Da am 20. März sollen nämlich sensible Informationen äh von JetchipiT-Nutzern in anderen Chats aufgetaucht sein, unter anderem sind es so Informationen gewesen, wie äh der Name, E-Mail-Adressen, Zahlungsdaten, die letzten vier ziffernde Kreditkartennummer und das Ablaufdatum der Kreditkarte, also, nach Aussagen von Shitschibility die vollständigen Kreditkartennummern waren’s nicht, Ich find’s natürlich schon spannend, wenn ein System, was so so viel genutzt wird im Moment und auf so sensitive Daten zugreifen kann, dann auch äh offensichtlich ähm Informationen weitergibt Es sind nicht so viele gewesen, nur 1 Komma 2 Prozent der Chad GPT-Plus-Abonnenten, also nicht nicht ganz so viel, aber wenn ich mir überlege, wer das im Moment alles zu Nutzen scheint, äh wahrscheinlich doch am Ende eine ganze Menge an an da, niedergelegt worden sind, Also da muss man noch gucken, scheinbar sind auch die die guten Produkte, wo man richtig viel Geld reinbuttert, nicht frei von ähm Schadkot oder so, wo dann tatsächlich Dinge passieren, die man nicht beabsichtigt hat. Und es ist ja auch noch mal ganz wichtig, ne, sich dran zu erinnern, das sagen wir ja auch immer, unseren Kunden, dass natürlich alles, was man da reingibt protokolliert und gespeichert wird, also dass man halt dann im Zweifelsfall genau mit sowas auch rechnen muss, wenn man Sachen personenbezogene Daten, Geschäftsgeheimnisse dort reingibt oder abfragt, dann auch immer genau mit diesem Risiko leben muss. Deswegen sollte man, sehr genau drauf achten, womit man füttert, mit welchen Fragen, mit welchen Aufgaben, weil natürlich das verlockend in der Praxis, Es kann schon viel Arbeit, glaube ich, erleichtern, aber wie gesagt, man sollte schon drauf achten, was man reingibt. Ich stelle mir das halt vor, wenn die falschen Daten dann nachher im im äh richtigen Chat auftauchen oder im falschen Chat die richtigen Daten auftauchen. Das kann natürlich ganz spannende Konsequenzen haben. Die Ideen, die man haben kann, sind ja ähm grenzenlose Bewerberunterlagen einzustellen und um dann den geeigneten Kandidaten auszuwählen, wenn nur eine Idee, die mir einfallen würde. Suchen wir bitte aus den 15 Bewerbungen in den geeignetsten für meine für meine Stelle raus, Wenn so Sachen geleakt werden, insbesondere mit mit Religionszugehörigkeiten und so dann eventuell noch dabei. Das das wird schon spannend. Ja, aber wer weiß, wenn dann der nächste beim nächsten Unternehmen den gleichen Bewerber eingibt, dann schlägt der ZGBT vielleicht auch wieder andere Kandidaten vor, ne? Andere, Kunden, die diesen Bewerber recherchiert haben, haben diese Bewerber auch angeschaut oder haben diese Bewerber eingestellt. Könnte vielleicht auch nochmal ein Geschäftsmodell sein. Schlage mir die beste Verteidigungsstrategie beim äh vor Gericht vor. Vielleicht geht das ja dann auch. Ich wette, es kommt was raus, ob es gut ist, wir werden sehen. Wir ähm sammeln gerne Erfahrungsberichte von Rechtsanwälten ein, die das dann verprobt haben. Wir schauen einmal zum OLG Karlsruhe, da gab’s ein Urteil Mitte März, siebzehnter Dritter und zwar ging’s um den Auskunftsanspruch bezüglich auslösender Faktoren einer Beitragserhöhung. Da ist es am Rande, wie gesagt, festgestellt worden vom Gericht, dass auch Artikel 5zehn, Absatz eins, DSGVO und auch aus äh zwei zweiundvierzig BGB heraus kein Auskunftsanspruch über die auslosenden Faktoren einer Beitragsanpassung. Privaten Krankenversicherung bestehe. Meines Erachtens, weil es in der Regel wenig personenbezogene Daten ja sind, sondern es eher so äh Risikofaktoren sind und Kosten, die da mit reinspielen. Wenig überraschend. Das andere Urteil, was ich mitgebracht habe, finde ich aber daher sehr viel interessanter. Es ist das Landesarbeitsgericht Nürnberg, was entschieden hat. Und zwar schon im Januar, aber das Urteil ist uns jetzt äh untergekommen. Es ging um die Berufung eines Verfahrens des Arbeitsgerichts Bamberg aus dem Mai letzten Jahres, Und hier ist das Gericht zu der Entscheidung gekommen, dass Sie sagen, es gibt keinen Schadensersatzanspruch auf Basisartikel zweiundachtzig, Absatz eins DSGVO bei Nichterfolgter oder unvollständiger Auskunft. Sie äh legen den Erwägungsgrund 146 dahingehend sehr weit aus oder legen ihn so aus, dass sie sagen, Der Verantwortliche oder der Auftragsverarbeiter sollten Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Und Sie sagen halt, dass es da vor allen Dingen nach Ihrer Auffassung um unzulässige Datenverarbeitung geht, vor der uns die DSGV schützen solle und deswegen kommen sie dann zum Schluss, dass das natürlich dann nur einen Schadensersatz entstehen kann oder ein Schaden entstehen kann, wenn Daten unzulässig verarbeitet wurden Was aber bei Verletzungen der Auskunftspflicht nicht sei, weil die Daten werden ja nicht unzulässig verarbeitet. Deswegen glauben Sie, dass dann auch kein Schadenssatzanspruch besteht. Finde ich eine sehr interessante, weite Auslegung von. Kratze mich gerade virtuell am Kopf, Ich finde die, ziemlich merkwürdig, die die Auslegung, weil äh zu den Betroffenen Rechten in in Artikel zwölf gehört ja nun mal auch die die Information innerhalb äh eines Monats zur Verfügung zu stellen und wenn ich mich nicht an diese Vorschrift halte, könnte ich in dem Licht, was du gerade berichtet hast, ja davon ausgehen, dass ein Verstoß gegen die Verordnung wäre, denke ich mal so gerade laut, keine Ahnung, wie man auf die Idee kommen kann, das so nicht zu verstehen. Sie gehen halt sehr stark auf die Zielrichtungen von der DSGVO aus und da sehen sie halt offensichtlich nur die Zielrichtung der Zulässigkeit der Datenverarbeitung und nicht so Sachen wie Transparenz, was ja auch bei den Grundsätzen in Artikel 5 durchaus vorkommt. Ja auch die Erwägungsgründe sagen ja ganz klar, dass die betroffene Person ein Recht haben muss, zu zu wissen, welche Daten verarbeitet werden und wie gesagt, die Frist, die die dazugehört, gehört für mich mit in den Kontext nach nach Artikel zwölf, oder? Das ist Landesarbeitsgericht schon. Ich bin gespannt, ob das dann nachher beim Bundesarbeitsgericht landet und wie da die Entscheidung ausfällt, Ich drücke ja die Daumen, dass wir bis dahin die Entscheidung des EuGH zum zum Thema Schadenersatzanspruch haben und was da tatsächlich dann reinfällt. Ja, wobei ich da wiederum zweifle habe, ob die sich mit dieser Frage wirklich beschäftigen, weil’s ja da geht’s ja eher um die Frage, wann entsteht ein Schaden? Es könnte natürlich sein, dass sie das mit beantworten. Aber ich meine, ja, es ist halt sehr unternehmensfreundlich jetzt gedacht und argumentiert. Ich bin aber auch äh habe auch große Zweifel, dass das auch bei höheren Instanzen dann nachher auch weiter trägt und hält. Ich ich find’s spannend, weil’s halt gegen die Rechtssprechung ist, die wir bis jetzt berichtet haben in den letzten Wochen, wo wir ja immer die Schadenersatzansprüche hatten, eben gerade wegen wegen der nicht äh vollständigen oder verspäteten Auskunft. Deswegen vielleicht ist es so alt, was ja gesagt, das ist schon aus Januar, also vielleicht hat sich das schon überholt. Meinst du die Richter da wären heute auch andere Meinungen. Ich hoffe, ich hoffe. Wir schauen. Wir werden sehen, wir halten Sie auf dem Laufenden. Das tun wir, Ich habe den ja schon erwähnt und nochmal viele Grüße ähm an die Kollegen, die wie immer geschafft haben am Donnerstag ein ein Urteil zu veröffentlichen, damit wir das rechtzeitig in unserem Post-Podcast-Folge mit aufnehmen können. Da steckt eine Menge äh drin, finde ich in der Entscheidung. Hintergrund ist hier eine Vorlageentscheidung des Verwaltungsgerichts in Wiesbaden. Ein ähm Personalrat an der Schule hat dagegen geklagt, dass bei den Videokonferenz-System, die im Unterricht eingesetzt werden, die Lehrer nicht einwilligen mussten. Hier ist man dann in Hessen hingegangen und hat verwiesen auf das sächsische Datenschutzgesetz und hat gesagt, nö, die müssen ja gar nicht äh einwilligen, weil es ja äh eben für die, Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlich ist an diesem Videokonferenzsystem teilzunehmen, Wenn man sich das anguckt, ist es hier äh in erster Linie das hessische Datenschutzgesetz, was beanstandet worden ist und was dann auch die Vorlageentscheidung mit gefüttert hat, Interessant ist aber, wie der Europäische Gerichtshof eben mit dieser Fragestellung umgegangen ist. Zum einen ist es einschlägig und da hat er gesagt, ja klar, hier fällt die DSGVO. War halt auch die die Frage, ob überhaupt der Beschäftigten Datenschutz, so wie wir den in in Hessen halt haben und analog natürlich im Bundesdatenschutzgesetz auch überhaupt äh europarechtskonform umgesetzt ist im im Kontext des Artikel achtundachtzig. Aufn Punkt zu bringen. Der EuGH hat gesagt, doch unter mit Unterstützung des Generalanwalts. Wenn man einfach nur hingeht äh und das dem bestehenden Inhalt nur nochmal wiederholt, dann ist es keine Umsetzung, der Anforderung aus dem Artikel achtundachtzig, Der Generalamt hat verwiesen darauf, dass dass der Inhalt ja schon im Artikel 6 Absatz eins Buchstabe B so enthalten ist, wo es ja um um den Vertrag oder Vertragserfüllung im Wesentlichen gilt, wenn man halt spezifische Regelungen trifft, die sich auch an dem Artikel 88 Absatz 2 orientieren müssen und da geht’s halt ähm insbesondere darum, die die Daten halt, intensiver die betroffene Person schützen als das eben die die Bestimmungen sein sollen, die sich aus dem 61 B ergeben. Der Europäische Gerichtshof hat das Landesverwaltungsgericht zurückgegeben und die sollen jetzt prüfen tatsächlich, ob die, Regelungen, die wir dann in in Deutschland haben zum Beschäftigten Datenschutz, tatsächlich ausreichend sind, um einen eigenen äh Verarbeitungstatbestand zu rechtfertigen, also eigene eine eigene Rechtsgrundlage zu schaffen, Ich bin gespannt, wie das wie das ausgeht. Also auch da halten wir Sie natürlich aufm Laufenden. Äh vielleicht müssten wir dann unsere Verarbeitungsverzeichnisse oder die Verzeichnisse von Verarbeitungstätigkeiten, wie ich das auch immer gerne ne, ne? Anpassen. Ansonsten sehe ich da tatsächlich noch nicht so viel Handlungsbedarf dann im Detail, selbst wenn wir sagen, okay 26 Feldweg BDSG. Wir machen das dann über 61 B zu. Weil ein bisschen irritiert mich das schon, weil der 88 ist doch meines Erachtens eine Kann-Regel und selbst wenn man jetzt sagt, na ja, das ist mehr oder weniger wiederholt, was um sechs eins F oder B oder was auch immer drin steht. Ist doch nicht schädlich, also. Du musst aber eine spezifischere Regel machen. Das ist die Idee ausm achtundachtzig. Es muss eine spezifische Regel sein und ähm nur die Regel zu wiederholen, innerlich zu wiederholen, wie sie schon da steht. Lässt halt keine keine Öffnung zu. Und wie du schon gesagt hast ist eine Kann-Regel, Wenn ich die dann aber nutze, dann muss ich sie so nutzen, wie sie eigentlich gedacht ist. Sie muss halt spezifische Regelungen haben, die auch die die Rechte und die Freiheit der betroffenen Person mehr schützen in Richtung Transparenz, in Richtung, organisatorische Maßnahmen in Richtung auf die 800 Menschenwürde. Das sind so Dinge, die, konkreter sein müssen und nicht einfach zu sagen, wir machen das genauso wie da, nur weil wir traditionell immer so ein Dingen schon hatten im im 32 damals oder noch viel früher hatten wir das ja noch gar nicht als zwounddreißiger ist ja dann auch im Prinzip nur eine Spezifizierung gewesen, ist halt ein achtundzwanziger BDSG. Ja man hört ja aus Berlin, das ist in Arbeit ist, ein neues Beschäftigten Datenschutzgesetz. Wir sind da natürlich jetzt äh sehr hellhörig, wenn das jetzt auch in Frage steht, ob der 26 BDSG überhaupt ausreicht, dann könnte das natürlich nochmal ein wenig, Wasser auf die Mühlen vom Bundesarbeitsministerium sein, da vielleicht nochmal Gas zu geben. Vielleicht kriegen wir ja dann doch so was wie wir damals in den Entwürfen hatten bei der Novellierung des Bundesdatenschutzgesetzes. Ich glaube, es war 2008 oder so, wo ja dann auch so spezifische Regelungen für die Beschäftigten mit drin gewesen ist, irgendwie Buchstabe, bis, L oder so waren dann spezifische Regelungen. Das könnte man dann versuchen, ja. Wobei wenn es zu spezifisch wird, dann hat man natürlich wieder das Problem, dass es dann Regelungstaatbestände gibt, die nicht Bestandteil äh sind und wie gehen wir dann damit um? Richtig und am Ende werden dann alle stöhnen, weil’s halt im Zweifelsfall den einen zu eng und den anderen wieder zu weit gefasst ist. Jawohl, Ich schaue noch mal kurz äh auch zur EU und diesmal aber zur EU-Kommission. Laut Heise sucht die EU-Kommission schon seit längerem nach Mitteln gegen den zunehmenden äh Banner Wust und die damit einhergehende Cookie Müdigkeit von You Bab Usern nun hat man sich wohl überlegt, über eine Verpflichtungserklärung, eine Selbstverpflichtung vielleicht zu lösen und zwar konkretes Amt für Verbraucherschutz der EU Kommission will mit äh einer freiwilligen Initiative starten und hier dann, versuchen letztendlich sowohl die äh Verbrauchergruppen, Verleger, aber auch Werbetreibende und Technologieunternehmen. An runde Tische zu bekommen und das dann zu besprechen mit einer Selbstverpflichtung. Gehen sie hier ins Rennen nach den Osterferien will man damit starten in einem, wie gesagt, Format der runden Tische und hofft damit, dann über so eine freiwillige Übereinkunft, dass später in eine Gesetzesregel überführen zu können. Die Idee dahinter ist es halt teilweise über die Brause zu lösen, wobei wir ja heute eigentlich schon diese Donut-Track-Funktion da in der Regel drin haben. Sie finden halt nur in der Praxis nur bei wenigen Webseiten Betreibern nachher auch Berücksichtigung. Weil hier gibt’s halt auch große Widerstände, weil man den Browserherstellern und Entwicklern damit ja eigentlich zu viel Macht wiederum ähm gibt, die man halt als Werbetreibender den vielleicht nicht zugestehen möchte, weil man’s natürlich gerne selber in der Hand haben will, sind halt äh verschiedenste Interessenlagen, die hier natürlich aufeinander prallen und, Glaube, die halt deswegen auch das Ganze in meiner Wahrnehmung auch jetzt nicht unbedingt sehr erfolgs äh sehr große Erfolgsaussichten versprechen. Hierzulande noch in Diskussion, ist aber auch sehr ruhig geworden in meiner Wahrnehmung da drum, um diesen Entwurf für die. Wir haben ja im TTDSG diese Regelungen drin, dass halt über eine Verordnung und entsprechende ja ich nenn’s mal vertrauenswürdige Anbieter, die natürlich solche Einwilligungen auch verwalten können sollen zukünftig, dass man darüber vielleicht noch eine Lösung findet, aber auch da, Es ist sehr ruhig geworden. Ich bin da auch nach wie vor sehr skeptisch, dass da jetzt die ganz große Lösung kommt. Von daher werden wir wohl weiterhin, Meine persönliche Einschätzung auf die Verordnung wohl hoffen und setzen müssen. Stimmt, die gibt’s ja auch noch. Noch nicht, aber vielleicht. Zumindest in in Arbeit gibt’s die noch, ja. Ähm mal schauen. Also ich bin tatsächlich auch cookie-müde. Ähm ich stelle das immer wieder fest und ehrlich gesagt würde ich einfach, darum bitten, dass man aufhört mich zu tracken, dass wäre das Einfachste, da müssten wir uns auch gar nicht irgendwelche Acts überlegen oder so, sondern einfach einfach aufhören, einfach nicht machen, einfach lassen. Das Wetter wird glaube ich nicht so gut. Äh was immer ein guter Möglichkeit ist, auf die Lesetipps hinzuweisen, wenn du erlaubst, Heiko. Er war sicher doch bitte. Äh Aufsichtsbehörden haben ihre Tätigkeitsberichte veröffentlicht, ähm vielleicht einen kleinen Hinweis äh nach Bremen. Unser Redaktionsschuss ist am Freitag um zehn Uhr, also alles, was nicht bis dahin bei uns vorliegt, muss in die nächste Woche kommen. Schon fast eine Woche alt, der Tätigkeitsbericht, zumindest die Pressemitteilung zum Tätigkeitsbericht in Bremen. Frau äh Doktor, Imke Sommer hat den veröffentlicht und ich fand eine Nachricht daraus total spannend, die sich mit der Frage beschäftigt hat, wann muss ich einen Datenschutzbeauftragten bestellen? Da gibt’s wohl einige Anfragen bei der Aufsichtsbehörde. Und interessant ist, dass die Aufsicht in Bremen halt festgestellt hat, wenn eine Datenschutzfolgenabschätzung erforderlich ist, ist ein Datenschutzbeauftragter zu bestellen und die haben das bei Gastronomieunternehmen halt auch festgestellt. Videoüberwachung gibt, die öffentlich zugängliche Bereiche umfangreich überwachen, systematisch und umfangreich überwachen muss es einen Datenschutzbeauftragten geben an alle Restaurantbetreiber, die Videokameras haben, ich hätte noch freie Kapazitäten, Äh ich ich lasse mich auch in Naturalien bezahlen. Hat der Heiko nicht gehört, aber. Ich bin ehrlich, ich glaube, es passt nicht so ganz in unsere Kundenstruktur, aber äh ja. Vielleicht wie wär’s, Heiko, wenn ich bei dir eine Nebentätigkeit beantrage, das, Der andere Tätigkeitsbericht äh hat den Hans rechtzeitig erreicht. Vielen Dank äh nach Hamburg. Der äh Thomas Fuchs hat seinen Tätigkeitsbericht veröffentlicht am äh achtundzwanzigsten, März und da finde ich ein interessantes Beispiel, dass die Aufsicht in Hamburg für äh eine Dashcam einen mittleren, dreistelligen äh Betrag äh als Bußgeld verhängt hat, vielleicht für den einen oder anderen nochmal ganz wichtig, weil der Bundesgerichtshof die Nutzung von Dashcams ja ähm grundsätzlich verboten hat, aber immer noch die Geschichte in vielen Köpfen vorherrscht, dass man Dishcams doch betreiben könnte. Nicht zuletzt vorher die Computerbildjahr groß getitelter Dashcams jetzt endlich erlaubt. Direkt im Anschluss an die Entscheidungen des Bundesgerichtshof. Ja, der hat der Bundesgericht sofort gesagt, unter bestimmten Voraussetzungen könnte man eventuell vielleicht, wenn der Mond im dritten Haus steht oder so und die Aufzeichnung halt wirklich nur ganz, ganz kurz ist, aber, Wie gesagt, hat’s ein Bußgeld gegeben wegen dem einen wegen dem Einsatz einer Dashcam. Die sind dann auch gleich beschlagnahmt worden, die Aufnahmen von der Polizei und ähm ja. So kann’s gehen. Und für alle, die es vielleicht trotzdem betreiben wollen, zumindest dann nicht vergessen auch die Informationspflichten nach 13 entsprechend außen am Auto anzubringen, große Schilder. Ne, gibt Icons kann man ja vielleicht dann nutzen, dann hat man zumindest ein Stück weit vielleicht wieder Abhilfe geschaffen. Die müssen aber so groß sein, dass ich die auch oft im Fußgängerüberweg sehen kann oder die, ne. Na ja, ja und die müsste am besten vorne am Kühler auch sein, weil das Auto, also die Dashcomes sind in der Regel nach vorne auch oft gerichtet, also das heißt, ich muss sie ja sehen, wenn das Auto auf mich zukommt. Ich glaube zum frühst möglichen Zeitpunkt müssen die Informationen erfolgen. Also eigentlich nicht schon, wenn ich erfasst worden bin. Vielleicht muss man ein Auto vorausfahren lassen, auf. Berittenen Booten vorneweg schicken, ja. Schöne Idee. Es geht auf April zu, habe ich den Eindruck. Wir werden albern, ich glaube auch wir machen hier den Sack mal zu. Hast du noch was oder sind wir durch. Ich höre lieber auf. Okay, gut. Ich auch, von daher, dir ganz herzlichen Dank, Markus. Hat mir wieder viel Freude bereitet, Und ihnen wünschen wir einen schönen und guten Start ins Wochenende. Wir freuen uns natürlich, wenn Sie uns äh Feedback geben. Sie kennen die Kanäle. Sie finden in den Shownotes auch immer den Link zur Folgenseite, wo Sie auch gerne einen Kommentar hinterlassen dürfen und in diesem Sinne, bleiben Sie uns gewogen und auf bald.