Datenleck bei Jobrad – Datenschutz News KW 16/2023

Moderation:

Was ist in der KW 16 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Datenleck bei Fahrradleasing-Anbieter Jobrad
• Meta wehrt sich erfolgreich gegen Datenschutz in Kanada
• Ohne Nachweise kein Auslistungsanspruch gegenüber Google (LG Heideberg, Urteil vom 31. 03.2023, Az. 6 S 1/22)
• Juristischen Personen stehen keine datenschutzrechtlichen Ansprüche zu
• Österreich: Pauschaleinwilligung unzulässig
• Unkenntlichmachung mit schwarzem Filzstift keine Anonymisierung
• Presseberichterstattung mit möglichen Rückschlüssen auf Gesundheitszustand ist rechtswidrig (BGH, Urteil vom 14.03.2023 – VI ZR 338/21)

Empfehlungen & Lesetipps:

• 15.05.2023: Veranstaltung zum Thema „4-Tage-Woche“ mit Martin Gaedt
• Tätigkeitsbericht des EDPB für das Jahr 2022
• HBDI stellt aktuellen Tätigkeitsbericht 2022 vor
• Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg Dagmar Hartge veröffentlicht TB 2022

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/datenleck-bei-jobrad-datenschutz-news-kw-16-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Das wäre vielleicht die neue Geschäftsidee für dich, DSGVO, konforme Marker. Das ist eine super Idee, also ich ich erfinde den den äh Löschstift. Den Löschstift. Stifte. Herzlich willkommen zum Datenschutz-Talk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Freitag der einundzwanzigste April zwanzig vierundzwanzig und wie immer war unser Redaktionsschluss heute um zehn Uhr. Mein Name ist Markus Sechler und ich freue mich heute mit meinem Kollegen Gregor Worldbeck den Podcast aufnehmen zu können. Hallo Gregor. Hallo Markus. Bevor ich dich frage, welche Themen du auf deinem Zettel hast, möchte ich kurz noch eine kleine Hausmeisterei machen, Wir haben nämlich für den 15. Mai eine Veranstaltung organisiert, also wenn ich sage wir, dann meine ich den Bereich work smart bei uns, bei den Minus Sense gemeinsam mit der Zenit der IHK Essen und den Wirtschaftsjunioren in Essen, Veranstaltung zum Thema der vier Tage Woche geben, mit der ich ja zugegebenermaßen sehr vertraut bin und du hast, glaube ich, auch schon einige Experimente danach mitgemacht, Gregor. Ja. Falls die Zuhörenden jetzt sich auch einen Überblick dafür äh davon verschaffen wollen. Ähm es ist eine interessante Veranstaltung mit Martin, der Autor des Buches die vier Tage, Die Veranstaltung wird hybrid stattfinden und wir werden die Anmeldeinformation in die packen. Das heißt, wenn jemand am 15. Mai noch Lust hat, sich über das Thema der vier Tage Woche zu informieren, ist hiermit herzlich eingeladen und jetzt, Komme ich zu der Frage, was auf deinem Zettel steht? Ja auf meinem Zettelchen ein Paar-Team. Einmal haben wir natürlich wieder einen Datenlik mitgebracht. Das darf auch in dieser Woche nicht fehlen bei einem recht prominenten Anbieter. Dann ein Urteil von einem Landgericht zum Auslistungsanspruch gegenüber Google, Darüber hinaus noch Neuigkeiten zum Pur-Abo, also wenn ich ähm entweder mich checken lassen möchte oder ein Abo abschließe, und dann nicht mehr gecheckt werde und dann noch ein BGH-Urteil zur Presseberichterstattung über Prominente und wie weit die gehen darf, habe ich. Das freue ich mich schon drauf, darüber was zu hören. Ich habe was zum Thema Meta, Chemnitz Analytica und Kanada mitgebracht. Dann, möchte ich kurz was erzählen zum Anspruch von Schadenersatz äh von juristischen Personen. Ich möchte auf das Thema Anonymisierung eingehen im weitesten Sinne, irgendwas mit Filzstiften, und habe dann ähm noch einige Lesetipps mitgebracht, bevor wir die zu ihnen ins Wochenende entlassen oder in den Wochenstart. Magst du loslegen lieber. Ja gerne, ich freue mich jetzt schon auf die Filzstifte. Ein kleiner Teaser zu Beginn vielleicht für eine der späteren Meldungen äh beginnen möchte ich aber mit dem angekündigten Daten äh Leck und zwar hat es äh ist es zu einem Daten. Wehrangriffes beim Fahrrad-Leasing-Anbieter Jobrad bekommen, den sollte der ein oder andere unserer höheren und Hörer vielleicht auch kennen. Darüber hat das Freiburger Unternehmen alle seine Kunden jetzt nämlich informiert, Kunden Kreb betroffen von dem Sicherheitsvorfall, der übrigens nicht direkt bei Jobrad geschehen ist, sondern bei der einen Hausgruppe, einem Subdienstleister des Unternehmens. Sind Kundendaten, insbesondere Stammdaten, also Name, Anschrift, E-Mail-Adresse und Telefonnummer, aber auch Tragsdaten von den Nutzern der E-Bikes, also von den Beschäftigten, die sich da dann die E-Bikes über den Arbeitgeber dann geleast haben. Aber auch, und das ist natürlich auch mit einem gewissen Risiko behaftet, die Zugangsdaten der betrieblichen Ansprechpartner bei den Unternehmen und die Bankdaten von den Arbeitgebern. Daraus äh ergeben sich natürlich die das ein oder andere Schadensszenario, was wir daraus ableiten können, insbesondere da die Daten, wie es natürlich auch üblich ist, jetzt im Darknet auch käuflich erwerb sind und ähm da ist natürlich dann auch im Hinblick auf mögliche Phishing-Angriffe, besondere Vorsicht geboten, da die Daten sich natürlich besonders gut eignen eigentlich, um ja personalisierte Angriffe durchzuführen oder auch ähm betrügerische Lastschriften von den entsprechenden Konten der Unternehmen durchzuführen. Also, Ähm da sollten dann alle Betroffenen, ob jetzt Beschäftigte oder auch die Unternehmen in den nächsten äh Wochen und Monaten mal die Augen und Ohren offen halten und besonders wachsam sein. Fast ihre Daten betrifft. Ich finde interessant, dass äh tatsächlich die Beschäftigten von davon informiert worden sind, so wie ich das ähm mitgekriegt habe, also nicht nur in die Unternehmen, sondern die Beschäftigten auch direkt, Scheinen wohl nicht alle alle Jobradnutzer davon betroffen zu sein. Ein kleiner Discounter wir nutzen das selber, Jobrad im Rahmen der äh Mitarbeiterbindung und unsere Kolleginnen und Kollegen sind noch nicht darüber informiert worden, deswegen vermute ich, tatsächlich nicht nicht alle Daten über diesen einen Dienstleister verarbeitet worden sind, sondern man nicht alle Eier in einen Korb gelegt hat Operationen sich unterschiedlicher Dienstleister beniet hat, was offensichtlich eine gute Idee gewesen. Eine gute Idee ist, ja. Ja. Ich möchte über eine Geschichte äh vielleicht die unendliche Geschichte im Datenschutzbericht Camage Analytica ähm der ein oder andere mag sich daran erinnern. Hier ging’s ja darum, dass Daten äh von Chemnitz Analytica von damals noch Facebook genutzt worden sind, und die halt dann auch zur Manipulation, Scheine der der Wahl genutzt worden sind in in den USA. Daraufhin hatte in Kanada der Bundesdatenschutzbeauftragte, also das Office ähm of the privacy Commissioner. Mit Meter verständigt und einige Regeln auf äh aufgelegt, zum Beispiel den Zugang Dritter auf nicht benötigte Daten einzuschränken et cetera. Hat sich Meter erfolgreich dagegen gewehrt, gegen diese ähm laschen Maßnahmen. In Kanada und dann kanadisches Gericht, äh neben dem Hinweis, dass diese Empfehlungen aufgehoben worden sind, auch noch ein ähm ja entscheidender Satz zu den Verfahrenskosten zugesprochen in Höhe von rund 55.000 Euro. Ich denke, das braucht Meter auch unbedingt, so ein Verfahrenskosten. Angewiesen. Ähm interessant ist, dass dem Richter aus seiner Sicht gar nichts anderes übrig geblieben ist als so zu entscheiden, weil der Richter hat nämlich nicht mehr Kritik an dem kanadischen Datenschutzrecht gespart. Er hat nämlich gesagt, wenn der Gesetzgeber gut durchdachte und ausbalancierte Gesetz äh, für den Datenschutz, die durch digitales Teilen Personen zu einer Daten ausgestellten äh Herausforderungen, Definiert hätte, dann hätte er auch anders entscheiden können. Er sagt, dass, Gericht hätte nur bestehendes Recht anwenden können und das würde für soziale Netzwerke eben genauso gelten wie für lokale Autohändler, Wirklich nicht viele Möglichkeiten geblieben zu sein so zu entscheiden. Bin gespannt, ob man ähnliche Entscheidungen dann auch auf europäisches Recht anwenden kann, weil da könnte man ja auch sagen, da da findet auch keine differenzierte Betrachtung statt. Auch da gilt, dass für den lokalen Autohändler genauso wie für soziale Netzwerke. Mal gucken, ob die Kritik begründet scheint in Zukunft. Ja das wird sicherlich interessant zu beobachten sein gerade im im Kontext Wahlkampf und soziale Medien, da hatten wir auch zuletzt noch darüber berichtet, wird die Auswertung vom äh ZDF Neomagazin Royal, was glaube ich noch seiner Zeit, ähm dass das ja auch im deutschen Wahlkampf ein Thema ist, durchaus auch ohne Cambridge Analytica. Von daher dürfen wir da mal gespannt sein, wie’s dann weitergeht auf der Ebene und in dem Kontext. Ich möchte im weitesten Sinne zumindest bei Gerichtsurteil bleiben, wo wir wo du gerade so schön von einem kanadischen Richter äh gesprochen hast, äh blicken wir einmal zum Landgericht in Heidelberg. Das hat jetzt am 313. ein Urteil gesprochen. Konkret geht’s da um den Auslistungsanspruch gegenüber Google. Also wenn ich möchte, dass äh Google Treffer die meine Person betreffen, quasi nicht mehr angezeigt und somit dann ausgelistet werden. Den Anspruch hat jetzt auch versucht ein, einer Burschenschaft aus Heidelberg ähm geltend zu machen. Konkret geht’s darum, dass er, ja du weißt was rechtsradikales Gedankengut geäußert hat, um es mal so konkret zusammenzufassen, äh hat er äh sich am Telefon mit dem Hitlergruß gemeldet und ähm, dann auch bei Veranstaltungen sich äh ja in in die Richtung mehrfach dann geäußert. Ähm im Folge eines äh Überfalls von der Burschenschaft, auf ein linkes Zentrum beziehungsweise an dem diese dann auch beteiligt gewesen ist. Wurde dann ein Pressartikel geschrieben oder ein Portalartikel ähm und äh wenn man dann bei Google den Namen des Klagen, des Klägers äh eingegeben hat, kam dann direkt diese diese Stichworte, ne eben. Also ich melde mich am Telefon mit dem Hitlergruß und noch so ein paar weitere Äußerungen. Ist er gegen vorgegangen oder wollte gegen Vorgehen vielmehr beiden mich auch erfolglos, weil das Landgericht sich da auf ähm letzten Endes auf die Grundsätze des, Europäischen Gerichtshofs gestützt hat, der ja. Dezember letzten Jahres ein Urteil gesprochen hat und ähm da auch erstmal festgelegt hat, dass sich man natürlich auch Google nachweisen muss. Dass diese Aussagen letzten Endes falsch sind beziehungsweise sein, Somit liegen die inhaltlichen Voraussetzungen des äh Artikel siebzehn der DSGVO für die Löschung von Ergebnis links eine Suchmaschine dann nicht vor. Auch im Folgenden aufbauen auf das Urteil des Europäischen Gerichts. Das äh Landgericht hat auch noch abgewägt äh er hat auch noch die die wieder streitenden Interessen beider Parteien abgelegt, dann aber auch festgestellt, dass das Informationsinteresse der Allgemeinheit, das Recht des Klägers auf Schutz seiner Privatsphäre und seinen persönlichen Daten dann doch aber auch überwiegt und dementsprechend wird nicht gelöscht. Ich glaube, das ist so eindeutig, man hätte noch nicht mal mehr Artikel 18 muss, um die Einschränkung der Verarbeitung gehen spielen können, weil wenn ich mich mit dem Hitlergruß am Telefon melde, dann ähm muss mir klar sein, dass ich dann ähm scheinbar irgendwie doch die eine oder andere Gesinnung vertrete und äh dann ist es glaube ich nicht mehr so, dass weder die Richtigkeit noch die Unrichtigkeit bestritten werden kann. Aber gut. Das ist halt ich muss immer überlegen, was ich tue, weil eventuell sieht das jemand. Übrigens auch ganz interessant, aber nicht so wirklich kennen der Nachricht der Burschenschaft hat’s auch nicht gefallen, äh dass er sich da immer wieder am Telefon so gemeldet hat und eine recht pragmatische Lösung für das Problem gefunden äh jedes Mal der Hitlergruß äh zu nutzen kostete ihn 50 Euro, einmal in die Burschenschaftskasse, die wohl recht klamm gewesen ist, bitte. Ein Schwein werfen oder so. Genau möchte ich’s auch gar nicht wissen. Ach ja. Eine Entscheidung mitgemacht, also vom Oberlandesgericht in Dresden. Auch ein sehr kurioser Fall, wenn wenn ich das mal so nennen möchte, hier ging’s darum, dass ein, Unternehmen scheinbar im E-Mails nicht äh veröffentlicht sehen wollte. Im Rahmen einer einer Verhandlung. Konkret geht’s um zwei E-Mail-Systemen ähm dann Krankheitstage draus hervorgehen, versucht als Klägerin die Beklagte dazu zu verpflichtenden Schadenersatzanspruch ähm zahlen zu müssen. Also man wollte sie in die Haftung nehmen. Das Gericht hat letztendlich entschieden, dass es gar nicht zum Tragen kommt, weil Datenschutzrechtliche Haftungsansprüche kann nur eine betroffene Person geltend machen und die Richter haben dann mal Schon die Vorinstanz offensichtlich ins Gesetz geguckt und festgestellt, ach betroffene Person ist die natürliche Person, Ein Unternehmen ist ja eine juristische Person, da scheint’s irgendwie ein Missverhältnis zu geben. Also das Gericht hat auch die zweite Instanz festgestellt, mehr geht gar nicht Scheinersatzansprüche nach dem Datenschutz geht er nur für natürliche Personen. Und diese Urlaubslisten, weil das war die eine Geschichte, DSGVO oder BDSG. Man hat halt beides versucht Angeln zu machen, und dann hat man noch das Geschäftsgeheimnis gesetzt mit mitgebracht, weil gesagt hat, diese Urlaubslisten oder die Urlaubsansprüche seien irgendwie Geschäftsgeheimnisse. Und das hat das Gericht auch verneint und hat gesagt, Urlaubslisten stellen keine Geschäftsgeheimnisse da. Interessant auf jeden Fall, ja. Auf auf äh ganzer Linie verloren, würde ich sagen, aber das ist wieder so, wie gesagt, für mich gehört es in die Kategorie Kurioses, eine juristische Person versucht äh Haftungsansprüche geltend zu machen, obwohl sie gar nicht äh betroffene Personen sein kann, finde ich interessant. Versuchen sie es wert, ne. Gerichte haben noch nicht genug zu tun, lass mal gucken. Man kann’s probieren. Das ist vielleicht, Auch so ein bisschen das Stichwort für mein nächstes Thema, um mal wieder eine grandiose Überleitung hinzubekommen. Ähm. Selbst der König der Überleitung, Ego. Schlechten Überleitungen auf jeden Fall. Schlecht. Na ja, die Krone kann ich mir wohl aufsetzen. Konkret geht’s um das Purabo. Der Begriff nimmt ja immer mehr zieht ja immer weitere Kreise. Letzten Endes versuchen ja viele Webseiten, Tracking auf den eigenen Webseiten ja auch noch umzusetzen, insofern, dass das die Nutzer und Besucher der Webseiten vor die Entscheidung äh gefällt, wenn entweder akzeptiere ich, dass ich gecheckt werde und bezahle quasi mit meinen Daten, wenn ich die Webseite besuche oder ich schließe ein kostenflüssiges Abonnement ähm ab. Dies sogenannte Purabo um dann ohne Checking, Meine Reise auf der Webseite fortführen zu können. Das ist ja eine laufende Diskussion. Wir hatten ja jetzt auch ähm zuletzt auch über die Stellungnahme beziehungsweise vielmehr den Beschluss der DSK berichtet, die sich da im März diesen Jahres auch noch mal zugeäußert haben. In Österreich gibt’s jetzt auch nochmal ein bisschen neue Entwicklung. Die Neu ist natürlich, da auch aktiv und hat natürlich auch mitbekommen, dass da die DSK in Deutschland etwas zu veröffentlicht hat. Die DSB in Österreich, hat wohl auch nochmal eine Aussage dazu getroffen. Ähm die Zulässigkeit weiterhin auch generell bejaht, nur jedoch auch verlangt, dass Nutzerinnen und Nutzer zu jeder Datenverarbeitung spezifisch mit ja oder nein auch antworten können, was die DSG ja auch vorsieht, also eine spezifische Einwilligung. Wie das dann jetzt konkret so mit der Abo-Pflicht zusammen ähm. Soll, das unklar sagt der Stellungnahme. Von daher mal sehen, wie’s da wie’s da weitergeht. Ähm die deutsche Datenschutzkonferenz hatte da ja auch schon bedingt geäußert, letzten Endes. Äh dann aber auch davon gesprochen, dass, dem Abo-Modell auf jeden Fall notwendig ist, dass es ein Markt üblicher, beziehungsweise ein marktübliches Entgelt gezahlt werden kann für dieses Abo. Jetzt ist die Frage natürlich, wie hoch ist das, Sachverhalt wird wahrscheinlich vor Gericht entschieden, ne? Also das Bundesverwaltungsgericht in Österreich ist weiterhin dran, wenn die keine Entscheidung treffen, wird äh neu, hat’s schon angedeutet auch dann vor den EuGH gehen, mal gucken wie’s da weitergeht. Das wieder so eine Geschichte. Ich könnte mich da immer nur wiederholen, einfach nicht tracken. Einfach nicht tracken. Ich glaube, das ist die einfachste Variante. Falls jemand mal für mich ein paar Zahlen hat, wie wie effektiv und effizient eigentlich Online-Tracking ist und wie viel zusätzlichen Umsatz man damit generieren kann als Werbetreibender kann mir gerne eine Nachricht schicken. Ich freue mich, dass vielleicht in meiner Argumentation da mal zu berücksichtigen, ja auch um und wird großer Fan von von Trackingmechanismen im Internet ansonsten. Habe ich meine Zweifel, dass es überhaupt so viel bringt, wie es kostet, aber gut, vielleicht kann mich auch der ein oder andere Marketingkollege davon überzeugen. Keine schlechte Überleitung machen. Mach einfach eine Gregor. Ich mache irgendwas mit Filzstiften. Ähm ich wollte eigentlich äh die den Folgentitel so wählen, aber konnte mich nicht durchsetzen. Es kommt tatsächlich aus der Kategorie Kurioses, weil hier hat die italienische Datenschutzaufsichtsbehörde festgestellt, dass Schwerzen mit einem Filzstift nicht äh dem Anspruch der Anonymisierung, äh genügt. Hier ging es darum, dass eine italienische Gesundheitsbehörde über einen Zeitraum von sechs Jahren Informationen über den Gesundheitszustand von Hundertern, von Betroffenen. Feedback-Bereich, ihre institutionellen Webseite veröffentlicht hat und die Informationen waren halt nur mit einem schwarzen Marker unkenntlich gemacht worden. Daraufhin hat die Behörde festgestellt, dass hier wohl ein Datenschutzverstoß vorliegt gleichzeitig festgestellt, dass ähm die manuelle Löschung mit einem Filzstift nicht als Verfahren zur Anonymisierung von personenbezogenen Daten ähm ausreicht, Mich ehrlich gesagt ein bisschen gewundert, was die Aufsichtsbehörde so sagt. Also grundsätzlich ist natürlich klar, der Filzstift darf nicht lesbar bleiben. Also man das muss schon so sein, dass es wirklich unkenntlich gemacht wird. Nach meiner Information gibt’s halt keine Definition von von löschen und nur anonymisieren in der Datenschutzgrundverordnung und wird dann immer mein altes Wissen rauskram und die, Definition von löschen, die wir im BDSG in der alten Fassung hatten, war halt unkenntlich machend von personenbezogenen Daten. Wenn ich’s halt schaffe wirklich auch mit einem Stift, der nicht durchsichtig ist, das so zu überschreiben, dass man eben, mehr auf die Person, natürliche Person schließen kann, würde ich sagen, erfüllt das meiner Auffassung nach den Anspruch von löschen und den Anspruch auch der Anonymisierung, aber. Das wäre vielleicht die neue Geschäftsidee für dich, DSGVO konforme Marker. Eine super Idee, also ich ich erfinde den den äh Löschstift. Den Löschstift. Stifte. Also wie gesagt, aus der Kategorie kurioses, natürlich sollte es nicht möglich sein zu lesen, was man versucht hat, dann zu schwärzen, aber ich glaube, wenn es ausreichend gut gelöscht ist, dann hat die italienische Datenschutzaufsichtsbehörde hier vielleicht ein bisschen übers Ziel hinausgeschossen mit der Definition von löschen, unkenntlich machen und anonymisieren. Ich bleibe bei meinen Urteilen. Das ist äh die habe ich hier diese Woche glaube ich irgendwie gezogen und äh möchte auf ein BGH-Urteil vom, März eingehen diesen Jahres und zwar geht’s da konkret um die Grenzen der Berichterstatt über Michael Schumacher oder vielleicht auch einen Grundsatz über Prominente. Diese kann nämlich rechtswidrig sein, wenn die damit verbundene Offenlegung zwar vermeintlich äh zur Nebensächlichkeit nur Nebensächlichkeiten betreffen, sich da dann aber daraus dann doch Rückschlüsse über den Gesundheitszustand des Betroffenen dann ziehen lassen. Konkret geht’s darum, dass 200 Portale äh mit ihrer Berichterstattung über den Gesundheitszustand von Michael Schumacher ähm gegen dessen allgemeines Persönlichkeitsrecht. Verstoßen und dieses dann halt verletzt haben. Äh das hat der BGH jetzt in Chemnitz im im März entschieden. Der Artikel gab Schilderung ins Bischof wieder, der im Jahr 2018 Schulmacher besucht hatte und da wurde dann halt nebenbei wurden dann halt auch Aussagen getroffen zu, zu möglichen beeinträchtigen letzten Endes ähm ist das halt kritisch in Kombination daraus, dass halt äh natürlich bekannt ist, dass es da einen Unfall gegeben hat, ist eine Person vom öffentlichen Interesse ist und man dann auch mit Angaben über den körperlichen Zustand, sei es Gesichtszüge oder Hauttemperatur, Hand, Händedruck, da natürlich schon, Informationen über den körperlichen Zustand und Genesungsfortschritte erhalten kann und das greife dann doch erheblich in die Persönlichkeitsrechte ein und sei in dem Fall dann auch nicht zulässig. Ich finde die Klaussteine noch mal gut und ähm auch noch mal deutlich zu machen, dass auch so Sachen, die in einem Interview geäußert werden, auch Gesundheitsdaten sind und wie du gerade schon gesagt hast, dass Temperatur natürlich sogar direkt medizinische Daten sind und die unterliegen nicht umsonst einem besonderen Verarbeitungsverbot äh in der DSGVO. Da gehört auch ein bisschen Sorgfalt auf der journalistischen Seite mit dazu, finde ich. Ich komme schon zu den Lesetipps, wenn du nicht mehr hast, Okay, wer sich schon immer mal interessiert, hat dafür was so eine äh Datenschutzaufsichtsbirne macht, kann jetzt in den Tätigkeitsbericht des europäischen Datenschutzausschusses oder EDPB reingucken, weil der hat den Tätigkeitsbericht für das Jahr 20022 veröffentlicht, Und was ich auch total spannend finde, Zwei Leitlinien angenommen, nämlich einmal die zum Thema Recht auf Auskunft und die zum äh Definition der federführenden Aufsichtsbehörde. Ich bin ja bekennender Fan des Rechts auf Auskunft. Also jeder, der äh schon mal gehört hat, weiß, dass Artikel 15 nahezu mein persönliches Steckenpferd ist und freue mich insbesondere über die Klarstellung, in diesem Papier mit drin steht, Im Wesentlichen hat sich nach der öffentlichen Konsultation der europäischen Datenschutzausschuss der Stellungnahme des Generalanwalts äh angeschlossen, Haben sie’s mitbekommen, äh die österreichische Aufsicht hatte den Europäischen Gerichtshof gebeten, gebeten, zum Thema Kopie eine Entscheidung zu fällen und hier hat ja der Generalanwalt äh Petrozella, Dezember letzten Jahres sich äh schon geäußert hatte, einen Schlussantrag äh gestellt und aus dem geht halt hervor, dass, betroffenen Personen kein allgemeines Recht auf eine teilweise oder vollständige Kopie des Dokuments hat, und auch eben kein Auszug aus einer Datenbank bekommen muss und dieser Auffassung, wie gesagt, hat auch der europäische Daten äh Schutzausschuss nochmal klargestellt, Es geht hier um eine Zusammenstellung der Person mit Daten, die die betroffene Person in die Lage versetzt zu beurteilen, welche Daten zu welchem Zweck verarbeitet werden. Es geht ihm ausdrücklich nicht um eine, Wiedergabe der Information. Also das, was wir landläufig unter Kopie verstehen, ist halt nicht, zu verstehen als Kopie nach Artikel 15 Absatz 1 Satz eins. Zwei weitere Tätigkeitsberichte möchte ich kurz erwähnen. Einmal hat die hessische Aufsicht und die brandenburgische Aufsicht ihren vorgestellt und die Kollegen aus der Redaktion hat uns insbesondere auf den Brandenburger Bericht aufmerksam gemacht, In einer Sauna, bei Aufgüssen äh Videoüberwachung und die Aufsichtsbehörde in Brandenburg hat sich dann offensichtlich überrascht gezeigt, dass immer noch Videoüberwachung in oder Videoaufzeichnung muss ich viel mehr sagen, weil es ging wirklich darum, die großartigen Lichteffekte bei dem Saunaaufguss äh zu dokumentieren. Also die Aufsicht hat sich überrascht gezeigt, dass in solchen Bereichen Videoaufzeichnungen angefertigt werden. Mich überrascht das ehrlich gesagt auch ein kleines bisschen, Hast du noch was, Gregor? Ist dann die Konkludente Einwilligung, weil ich mich in die Sauna setze oder wie war da der Gedankengang, Ich habe noch eine Kleinigkeit mitgebracht und zwar hat äh die Bayerische, Der bayrische Landesbeauftragte für den Datenschutz eine äh Kurzinformation veröffentlicht, die Kurzinformation siebenundvierzig. Wir wollen’s auch genau benennen und zwar trägt sie den Titel Frühjahrsputz im Verarbeitungsverzeichnis. Ist eigentlich eine ganz schöne Zusammenfassung. Mein Recht und Pflichten im Verarbeitungsverzeichnis, sondern dass es äh und zwar, als es nicht nur angelegt, sondern noch regelmäßig gepflegt werden muss und äh ich glaube, dass der Frühjahrsputz dann doch spätestens äh ein ein ganz guter Anlass für und das wird dann da nochmal kompakt zusammengefasst und das verlinken wir natürlich auch gerne in den Shownotes. Sich da einen äh Reminder in den Kalender einzutragen, so als jährliches Ereignis, Frühjahrsputz fürs VVT oder so, ich habe nix mehr, Gregor. Ich weiß nicht, wie’s bei dir aussieht. Tatsächlich auch nicht mehr. Dann würde ich mit der Schlussformel versuchen, dem Podcast diese Podcastfolge zu beenden, also, Wir wünschen ihnen ein schönes Wochenende, wenn sie uns am Freitag hören, also auf der Fahrt nach Hause, heute ein schönes Wochenende, wenn sie uns am Montag hören, wünschen wir ihnen einen schönen Start in die Woche. Wenn Ihnen die Folge gefallen hat, dann bewerten Sie uns gerne mit äh so vielen Stellen wie es möglich ist. Bei dem Podcatcher Ihrer Wahl hinterlassen gerne noch einen positiven Kommentar, freuen uns über Feedback, immer auch gerne was Themenfolgen angeht, Wünsche, die sie da äußern und ja, dann würde ich sagen, machen wir Schluss für heute, Gregor. Bis bald.