Datenleck bei Verivox und Check24 – Datenschutz News KW 38/2024

Moderation:

Was ist in der KW 38 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Mangelnde Datensicherung im Krankenhaus
• Chaos Computer Club (CCC) deckt massive Datenlecks bei der Kreditvermittlung von Check24 und Verivox auf
• Österr. Bundesverwaltungsgericht sieht bei Direktwerbung die nationalen Vorgaben beim Empfänger als maßgeblich (RIS – W282 2289350-1 – Bundesverwaltungsgericht (BVwG))
• EuGH Urteil vom 12.09.2024 – C-17/22, C-18/22
• VG Berlin, Urteil vom 1. August 2024 – VG 1 K 29/23: Zeugen Jehovas und Art. 91 DSGVO

Veröffentlichungen und Veranstaltungen

• Privacy Conference 2024 am 9. + 10.10.2024: https://www.privacy-conference.com/de

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/datenleck-bei-verivox-und-check24-datenschutz-news-kw-38-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Wir starten heute wieder gemeinsam ins Wochenende mit euch. Mein Name ist Heiko Gossen. Und mein Name ist Natalia Wosniak. Gemeinsam schauen wir wieder auf die Woche des Datenschutzes zurück. Hier bei der Migosense behalten wir ja die Neuigkeiten der Woche immer im Blick und fassen das Wichtigste dann für die Datenschutzpraxis und für euch hier zusammen. Heute ist Freitag, der 20. September 2024 und unser Redaktionsschluss wie immer um 10 Uhr. Und damit würde ich sagen, Natalia, starten wir mal. Was hast du alles dabei heute? Ich habe ein schönes Paket geschnürt. Ich habe einmal die ungarische Datenschutzbehörde, Und ein Bußgeld in Höhe von 190.000 Euro gegen ein Krankenhaus. Dann habe ich ein Bundesverwaltungsgericht in Österreich und das Thema Direktwerbung und die nationalen Vorgaben beim Empfänger. Und ich habe ein Urteil des VG Berlin, also des Verwaltungsgerichts Berlin zum Anwendungsvorrang der Datenschutzgesetze der Religions- und Glaubensgemeinschaften vor der DSGVO. Ja, ich hätte zum einen ein Datenleck bei zwei bekannten Anbietern, glaube ich, Verivox und Check24, über das wir einmal berichten. Dann schauen wir auf ein Urteil des Europäischen Gerichtshofs. Auch ich habe eins mitgebracht, da geht es um das Thema der Interessenabwägung im Wesentlichen. Und ich hätte noch einen Hinweis auf eine Veranstaltung für den Oktober. Das ist ein bunter Mix, glaube ich, heute. Und lass uns starten. Dann starten wir los mit dem Mixer. Okay, also die ungarische Datenschutzbehörde, wie ich gerade schon gesagt habe, hat ein Bußgeld in Höhe von 190.000 Euro gegen ein Krankenhaus verhängt. Dieses Krankenhaus verlor im Juli 2019, also schon ein paar Jahre her, unwiederbringlich eine nicht näher bezeichnete Anzahl von Daten seiner Probanden. Es handelt sich dabei um medizinische Bilder von radiologischen Untersuchungen und weitere grundlegende Identifikationsdaten. Das Krankenhaus hat allerdings gegenüber der Aufsichtsbehörde behauptet, dass es erst im September 2022 von diesem Verlust der Daten erfahren habe. Im Rahmen der Untersuchung konnte jedoch festgestellt werden, dass der leitende Radiologieingenieur bereits im Juli 2019 festgestellt hatte, dass auf den Server des Radiologiesystems, auf dem sich die Patientenbilddateien befinden oder befinden sollten, nicht mehr zugegriffen werden konnte. Auch der Auftragsverarbeiter habe dies damals wohl schon mitgeteilt. Das Krankenhaus hat diesen Sicherheitsvorfall jedoch nicht der Datenschutzbehörde gemeldet. Das Krankenhaus hat hier auf eine Sicherung seines Bildarchivs aus dem Radiologie-Informationssystem verzichtet und ist damit begründet, dass es einen höheren Ressourcen- und Investitionsaufwand in das Informationssystem erfordern würde. Allerdings hat hier die Behörde, und das ist nicht wirklich überraschend, festgestellt, dass sich das Krankenhaus eben nicht auf die Kosten für die Erstellung von Sicherungskopien berufen kann, da es verpflichtet ist, die Sicherheit von Gesundheitsdaten zu gewährleisten und das Vorhandensein von Sicherungskopien nicht als unverhältnismäßiger Kostenfaktor im Hinblick auf das Risiko des Verlustes dieser Daten angesehen werden kann. Folglich wurden hier geeignete technische Maßnahmen zum Schutz des Informationssystems in Bezug auf die Bilddateien nicht getroffen, indem keine Sicherungskopien erstellt wurden. Dies stellt, so die Aufsichtsbehörde, einen Verstoß gegen die Bestimmung von Artikel 32 Absatz 1 Buchstabe d DSGVO dar. Und gerade dieser Verstoß führte auch zum irreversiblen Verlust personenbezogener Daten. Wir sehen hier also an diesem Fall, wie wichtig es ist, angemessene TOM zu etablieren, denn auch fehlende TOM können einen Datenschutzverstoß begründen und auch zu Bußgeldern und damit auch zum Imageverlust führen. Bei diesem Fall vielleicht auch noch interessant, dass anlässlich dieser Untersuchung auch weitere Verstöße durch das Krankenhaus festgestellt werden konnten, sodass auch weitere Bußgelder bis zu einem Gesamtbetrag von nicht mal dieser 190, die wir jetzt gerade dargelegt haben, sondern bis zum Gesamtbetrag von 270.000 Euro verhängt wurden. Insofern immer schön an die Tom denken. Genau, also ich finde es dahingehend spannend oder interessant, weil wir natürlich, klar, Bußgelder wegen fehlender Toms hatten wir schon mehrere. Aber jetzt hier das Thema Verfügbarkeit halt natürlich eines der Schutzziele ist, die vielleicht so in ganz vielen Fragen des Alltags vielleicht nicht immer die vordringlichste ist, aber trotzdem eine sehr relevante ist. Also es geht halt nicht nur um Vertraulichkeit und Integrität, sondern halt auch die Verfügbarkeit muss am Ende sichergestellt werden. So ist es. Der Chaos Computer Club hat erhebliche Datenlecks bei den Kreditvermittlungsportalen Check24 und Verivox aufgedeckt. Bei den beiden Plattformen konnten laut Heise wohl zeitweise sensible Kundendaten einschließlich Einkommensauskünfte und Kontoinformationen öffentlich abgerufen werden. Aber auch Details wie Adressen, Beschäftigungsverhältnisse, Einkünfte und auch Kreditverpflichtungen der Nutzer waren hier wohl einsehbar. Aber Verivox reagierte sofort und schloss die Sicherheitslücke nach dem Hinweis des CCC und sie stellten zudem außerdem wohl fest, dass kein unbefugter Zugriff außer durch den Hinweisgeber natürlich erfolgt sei. Sie äußerten sich zunächst nicht, ob sie den Fehler behoben haben, haben ihn aber wohl offensichtlich dann später auf jeden Fall behoben, so der CCC. Und die Sicherheitslücken und das ist halt das, was jetzt hieran auch so ein bisschen spektakulär, aber doch nochmal irgendwie zeigt, wie wichtig es halt ist. Die Sicherheitslücken waren wohl durch sehr einfache Tests aufgefallen und hätten selber auffallen können, so muss man sagen. Das heißt also der Umgang mit den Kundendaten bei den Portalen ist hier nach Ansicht des CCCs äußerst nachlässig. Man verwendete sogar den Begriff stümperhaft. Also kein Lob, im Gegenteil. Ich glaube, dass man hier, wie gesagt, durchaus nochmal das Learning daraus ziehen kann, dass man natürlich auch die eigenen Plattformen, insbesondere wenn sie natürlich auch noch übers Internet zugänglich sind, durchaus regelmäßig überprüfen sollte. Da gibt es ja mittlerweile auch sehr viele Tools, auch teilweise kostenfreie Tools, die man für sowas verwenden kann. Bei großen Portalen würde ich natürlich auch immer professionelle Services sehen, aber das gehört halt für mich bei solchen Plattformen natürlich auch dazu, dass man sowas regelmäßig überprüft. Es gab darüber hinaus bei Check24 aber auch noch eine weitere, eine etwas komplexere Sicherheitslücke, die man entdeckt hat, die ebenfalls sensiblen Kundendatenpreis gab. Wie lange jetzt diese Lücke bestand und wie viele Nutzer hier betroffen waren, das ist allerdings wohl noch nicht klar. Ich mache mal weiter mit meinem Bundesverwaltungsgericht. Das österreichische Bundesverwaltungsgericht hat die Beschwerde wegen der Zusendung elektronischer Post zu Werbezwecken ohne vorige Zustimmung als unbegründet abgewiesen. Konkreter gesagt, der Beschwerdeführer hat eine E-Mail mit einem Angebot zur Beratung bei seinem E-Mail-Marketing-Kampagnen an ein österreichisches Unternehmen versandt. Dieses Unternehmen hat daraufhin Anzeige beim österreichischen Fernmeldebüro erstattet. Nach Einschaltung des österreichischen Fernmeldebüros und Übernahme des Vorgangs eben durch das Fernmeldebüro und auf deren Anfrage beim Beschwerdeführer, hat sich der Beschwerdeführer darauf berufen, dass er davon ausgegangen sei, dass eine Anscheinseinwilligung nach § 7 des deutschen UWG für die Zusendung ausreiche und somit eine mutmaßliche Einwilligung vorliege. Es habe sich insofern also wohl um ein Irrtum gehandelt. Das heißt, wir haben hier ein Unternehmen in Österreich, was Werbung erhalten hat von einem deutschen Unternehmen. Das österreichische Fernmeldeamt hat den Beschwerdeführer daraufhin wegen des Verstoßes gegen das österreichische TKG eine Geldstrafe in Höhe von 400 Euro verhängt. Ist jetzt nicht so wirklich viel, aber natürlich für eine E-Mail kann man darüber streiten. Jedenfalls wendet sich der Beschwerdeführer genau gegen diese Geldstrafe wegen der Strafhöhe, also nicht wegen des Grundes, sondern wegen der Strafhöhe alleine. Bei der Überprüfung durch das österreichische Bundesverwaltungsgericht hat sich das Gericht auch mit der Begründung auseinandergesetzt und ausgeführt, dass hier die Verletzung des österreichischen TKG die maßgebliche Norm ist und deswegen der Verstoß zu bejahen ist. Insofern ist es unerheblich, dass der Beschwerdeführer hier davon ausgegangen ist, dass die Einhaltung von deutschen oder hier von nationalen Vorschriften ausreiche. Es ist immer noch darauf zu achten, wie die Normen im Empfängerland gestaltet sind. Das heißt, Unternehmen sind gut beraten, auch die nationalen Normen zur Direktwerbung zu berücksichtigen und sich bei Versand von Newslettern an Unternehmen im Ausland nicht allein auf die Zulässigkeit, wie hier in dem Fall nach dem deutschen UWG, zu verlassen. Ja vor allen Dingen für unsere österreichischen Zuhörer glaube ich nochmal an der Stelle auch ein interessantes Urteil. Schöne Grüße an dieser Stelle nochmal in die Region Österreich und Schweiz, wo uns ja doch einige Zuhörer regelmäßig auch zuhören. Das freut uns natürlich immer sehr. Damit komme ich zu dem Europäischen Gerichtshof. Der EuGH hat entschieden, dass die Weitergabe personenbezogener Daten von Gesellschaftern eines Investmentfonds über eine Treuhandgesellschaft nur unter strengen datensrechtlichen Bedingungen erlaubt werden könnte. Der Ausgangsfall, der betraf eine Investmentgesellschaft, bei denen ein Gesellschafter über eine Treuhandgesellschaft indirekt über einen Fonds beteiligt war. Der Gesellschafter, der wollte Kontakt aber zu anderen mittelbar Beteiligten an der Gesellschaft aufnehmen, um Anteile zu erwerben, was von den treuhänderischen Beteiligungsgesellschaften jedoch abgelehnt wurde. Der EuGH bzw. Das Amtsgericht München hat jetzt diese Frage halt oder ein paar Vorlagefragen an den Europäischen Gerichtshof gestellt und insbesondere ging es halt um die Frage, inwieweit halt die Datenweitergabe gemäß Artikel 6 Absatz 1 Lit F, also der Interessenabwägung der DSGVO hier gerechtfertigt werden könnte. Und der Europäische Gerichtshof hat aber jetzt halt festgestellt, dass die Weitergabe natürlich, oder beziehungsweise das nochmal wiederholt und nochmal konkretisiert, nach 6.1f zwingend erforderlich sein muss. Also er verwendet hier diesen Begriff zwingend erforderlich und natürlich es darf die Rechte der betroffenen Gesellschaft nicht übermäßig beeinträchtigen. Er stellte nochmal klar, dass die Datenweitergabe nur dann gerechtfertigt ist, wenn keine weniger eingreifenden Alternativen bestehen. Die sieht er hier zum Beispiel wie die Weiterleitung der Anfrage über den Fonds selber, dass die Betroffenen dann selber entscheiden können, ob sie hier mit dem anderen Gesellschafter Kontakt aufnehmen möchten oder nicht. Die finale Entscheidung wird natürlich dem AG München überlassen. Der EuGH hat aber dem Amtsgericht noch ein paar Hinweise zur Prüfung mitgegeben. Wahrscheinlich, wie gesagt, weil sie nicht entscheiden können, aber natürlich trotzdem da glaube ich nochmal die Flanken und Leitplanken mitgeben wollen. Das ist das, was für die Praxis, glaube ich, man halt nicht vergessen sollte oder vielleicht auch nochmal heranziehen kann, wenn man vor der Frage einer Interessenabwägung steht. In Rand Nummer 49 geht der Europäische Gerichtshof nochmal auf die drei Schritte ein. Wie gesagt, für denjenigen in der Praxis, der das vielleicht regelmäßig tut, nichts sehr Überraschendes. Trotzdem, wie gesagt, glaube ich, ist es gut, sich das immer wieder in Erinnerung zu rufen, dass man halt diese drei Schritte auch wirklich abarbeitet bei einer Interessenabwägung. Nämlich halt natürlich erstens, die Verarbeitung muss halt einem berechtigten Interesse folgen, was ja laut DSGVO relativ offen gehalten ist, was da alles reinfällt. Zweitens muss die Verarbeitung wirklich zur Verwirklichung auch des berechtigten Interesses erforderlich sein, was ich gerade sagte, also die Erforderlichkeit ist halt hier zwingend und drittens dürfen halt die Interessen der Grundrechte und Grundfreiheit der Personen, deren Daten geschützt werden sollen halt nicht überwiegen. Also das heißt hier ist ein sozusagen ausgewogenes Verhältnis, also auf gleicher Höhe sozusagen ja durchaus dann auch ausreichend, es muss also nicht so sein, dass das berechtigte Interesse überwiegt. Ich glaube bei dem Punkt erforderlich spielt eben auch der Gedanke, gibt es ein milderes Mittel eine Rolle, das was du auch schon gesagt hattest. Kann man die Daten auch wirklich über einen anderen Weg über die Betroffenen auch demjenigen weitergeben, der sie jetzt eigentlich haben möchte. Das heißt, haben wir ein milderes Mittel, was eben diese Verarbeitung entfallen ließe. Genau und das ist halt der Punkt, den wir auch häufig diskutieren, wenn es jetzt zum Beispiel um die Frage der Nutzung von KI zur Verarbeitung von personenbezogenen Daten geht, dann kommen wir ja häufig an diese Frage der Erforderlichkeiten. Und dabei ist es jetzt eigentlich unerheblich, ob wir uns auf 6.1.f stützen möchten oder ob das vielleicht noch unter 6.1.b fällt, weil wir im Rahmen der Erforderlichkeitsprüfung wie gesagt gleiche Maßstäbe ja eigentlich anlegen müssen. Und genau da ist halt immer glaube ich auch dann der Knackpunkt. Welches mildere Mittel gibt es und ist es halt am Ende gleichwertig, vertretbar, angemessen, zumutbar? Diese Frage, die glaube ich kann man auch nie pauschal beantworten. Da wird man immer auch auf den Einzelfall schauen müssen. Wir sehen aber tatsächlich in der Praxis immer wieder, dass die Interessensabwägung als Rechtsgrundlage doch hier und da recht stiefmütterlich behandelt wird. Insofern ist es schön, dass wir jetzt wirklich vom EuGH ein Urteil haben, wo das Thema nochmal aufgegriffen wird und auch einfach die Relevanz der Interessensabwägung und wie sie durchgeführt werden sollte im Idealfall auch nochmal aufgegriffen wird. Absolut, da gebe ich dir recht, dass in der Praxis oft sehr missefair gesagt wird, ja es ist halt ein Bereich des Interesses, das können wir schon argumentiert und dann wird aber nichts mehr dokumentiert und dann fragt dann doch irgendwann mal die Aufsichtsbehörde nach und dann stellt man fest, man ist da blank. Also Praxistipp, wirklich Interessenabwägungen immer schön sauber ausarbeiten und ausformulieren und vor allen Dingen diese Abwägung am Ende auch nicht vergessen. Das ist das, was wir auch in der Praxis ja immer wieder auch mal sehen bei Audits, dass halt zwar man sich vielleicht mal Gedanken gemacht hat über die berechtigten Interessen, aber dann fehlen sozusagen auch die Beleuchtung der schutzwürdigen Belange oder wie gesagt am Ende nochmal auch wirklich abzuwägen, was bedeutet es denn im Vergleich. Okay, ich komme zu meinem nächsten Thema, zu den Zeugen Jehovas und dem Urteil des Verwaltungsgerichts Berlin. Hier hat das Verwaltungsgericht Berlin die Klage gegen die Glaubensgemeinschaft der Zeugen Jehovas als jedenfalls unbegründet abgewiesen. Eine inhaltliche Überprüfung der Anträge des Klägers konnte durch das Gericht hier weder anhand der DSGVO noch anhand des Datenschutzgesetzes der Zeugen Jehovas durchgeführt werden. Zum Sachverhalt. Der Kläger ist hier Mitglied dieser Glaubensgemeinschaft, also der Glaubensgemeinschaft der Zeugen Jehovas und die Glaubensgemeinschaft ist die Beklagte. Der Kläger beantragt mit seiner Klage eine Auskunft über die Verarbeitung seiner personenbezogenen Daten durch die Beklagte und die Feststellung, dass seine personenbezogenen Daten rechtswidrig an Dritte weitergegeben wurden durch die Glaubensgemeinschaft. Auch wendet sich der Kläger gegen einen Bescheid der Datenschutzaufsicht der Beklagten, mit dem dieser das Beschwerdeverfahren eingestellt hatte. Das Verwaltungsgericht begründet seine Entscheidung damit, dass der Kläger sich nicht erfolgreich auf einer Verletzung seines Rechts auf informationelle Selbstbestimmung Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 Grundgesetz berufen kann, Denn er hat sich mit der Mitgliedschaft in der Religionsgemeinschaft der Beklagten auch deren religiösem Datenschutzrecht, dem Datenschutzgesetz Jehovas Zeugen und dessen Anwendungsvorrang vor der DSGVO unterworfen. Diesen Anwendungsvorrang finden wir in Artikel 91 DSGVO wieder. Soweit sich der Kläger hier alternativ zur Begründung seiner Klage auf das Datenschutzgesetz der Zeugen Jehovas beruft, scheidet eine gerichtliche Überprüfung durch das staatliche Verwaltungsgericht ebenfalls aus, denn dieses ist nicht zur Prüfung von Ansprüchen aus Verstößen gegen das Datenschutzgesetz der Zeugen Jehovas befugt. Die Religionsgesellschaft habe diese Möglichkeit in dem eigenen Gesetz eben nicht eröffnet. Interessant ist allerdings die Aussage des Gerichts, dass es dem Kläger natürlich freistehe, jederzeit aus der Religionsgemeinschaft auszutreten und infolgedessen auch ausschließlich dem staatlichen Datenschutzrecht zu unterfallen, sodass dann wieder die staatlichen Gerichte überprüfbar wären. Allerdings ist das auch nur konsistent und folgerichtig. Von daher, ich finde es ist ein spannender Fall, der einfach den Anwendungsbereich des Artikel 91 DSGVO wirklich in der Praxis aufzeigt und zeigt, dass eben auch andere Gesetze Vorrang vor der DSGVO haben können. Ja, das finde ich tatsächlich auch sehr interessant, dass man halt in dem Moment, wo man eintritt oder dem Verein beitritt, sich dann sozusagen deren Datenschutzrecht mit komplett aussieht, weil das halt sobald man das halt nicht ist, dann natürlich das staatliche Recht gilt. Ich hatte mich gefragt, wir hatten ja 2019 schon mal ein EuGH-Urteil zu den Zeugen Jehovas und der Anwendbarkeit auch der DSGVO, aber das hast du, das haben wir im Vorfeld ja auch schon kurz identifiziert, hast du glaube ich auch gesagt, dass wir da noch ein relativ junges kirchliches Recht haben dann bei den Zeugen Jehovas. Ja, also ich habe jetzt das konkrete Jahr jetzt nicht verifizieren können, wann das in Kraft getreten ist, aber ich habe, ich glaube es war danach, aber das kann ich jetzt nicht mit Sicherheit sagen. Gut, aber da es ja darum die Missionsarbeit der Zeugen Jehovas ging und auch damit für mich immer noch im Einklang mit der Entscheidung, die du gerade berichtet hast, dass es halt ja insbesondere die Daten von Nichtmitgliedern dort betraf und somit natürlich auch unter den Anwendungsbereich der DSGVO fällt, selbst wenn man halt dann schon länger ein eigenes Recht hat. Verstehe. Gut, dann kommen wir zu unseren Veröffentlichungen und Veranstaltungen. Eine Veranstaltung, die war diese Woche, die Digital X in Köln. Da hatte ich das Vergnügen einen Vortrag halten zu dürfen auf der Bühne von Samsung zum Thema KI. Jetzt kommen wir aber zu einer Veranstaltung, die in der Zukunft liegt und für die man auch Karten kaufen bzw. Sogar kostenfrei bekommen kann und zwar die Privacy-Konferenz. Die Privacy-Konferenz 2024 von Bitkom veranstaltet. Ich werde da auch einen Vortrag halten zum Thema Reifegrade bei den technischen und organisatorischen Maßnahmen. Wie kann man ein Reifegradmodell hier verwenden, um die Arbeit zwischen Verantwortlichen und Auftragsverarbeitern zu erleichtern, wenn es darum geht, die TOM festzulegen und zu bewerten. Die Konferenz findet am 9. und 10. Oktober statt. Sie wird vor allen Dingen virtuell stattfinden, das ist der Schwerpunkt. Am 9. kann man auch vor Ort dabei sein, am 10. ausschließlich virtuell. Und die Teilnahme wie in den letzten Jahren auch schon kostenlos. Der erste Tag, der neunte, zehnte hat einen deutschen Schwerpunkt. Dementsprechend sind auch die Vorträge alle auf Deutsch. Der zweite ist international ausgerichtet und da wird es dann auch die Beiträge alle auf Englisch geben. Es werden führende Datenschutzexperten dabei sein, wie der EU-Kommissar für Justiz, Didier Reinders, aber es wird auch zum Beispiel unsere neue Bundesbeauftragte für den Datenschutz, Prof. Dr. Luisa Specht-Riemenschneider mit dabei sein, aber auch zum Beispiel ein Datenschutzexperte von Google, Sebastian Kranz und von anderen Unternehmen weitere spannende Persönlichkeiten und ich glaube auch spannende Vorträge wird es geben. Von daher, den Link packen wir in die Shownotes. Wer sich anmelden möchte, wie gesagt, für die Online-Teilnahme ist es auf jeden Fall kostenfrei. Damit wäre ich durch für heute, Natalia. Hast du noch was gefunden? Ich habe nichts mehr mitgebracht. Ich habe allerdings jetzt auch nochmal auf die Schnelle gegoogelt. Die Aussage zu den Zeugen Jehovas kann ich jetzt gerade nochmal konkretisieren. Das Datenschutzgesetz ist am 24. Mai 2018 in Kraft getreten und damit ziemlich zeitgleich mit der DSGVO und ich glaube vor dem Urteil des EuGH. Ganz kurz davor. Aber der Punkt, den du gerade gesagt hast, dass es sich eben bei dem Urteil des EuGH um Nichtmitglieder handelt, der passt damit auch in das aktuelle Urteil, was wir jetzt auch haben. Ja, perfekt, wunderbar. Haben wir das abgerundet. Damit in diesem Sinne, vielen Dank fürs Zuhören und vielleicht ein kleiner technischer Hinweis, wir werden am kommenden Mittwochabend unsere Webseite einmal kurz offline nehmen müssen. Das heißt also, für alle, die gerade in dieser Zeit versuchen, unseren Podcast abzurufen, könnte es zu einem Fehler kommen. Aber ich hoffe, es wird nicht lange dauern und am Donnerstagmorgen ist dann wieder alles verfügbar. Wer also jetzt verzweifelt versucht hatte, die Folge noch abzurufen und sie jetzt hört, der hat jetzt zumindest noch die Erklärung dafür. Und damit allen ein schönes Wochenende. Bleibt uns gewogen und auf bald. Auf bald, bis zum nächsten Mal.