Datenschutz-Verstöße bei M365-Nutzung durch EU-Kommission – Datenschutz News KW 11/2024

Moderation:

Was ist in der KW 11 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Europäisches Parlament verabschiedet die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU
• Datenschutz-Verstöße bei Nutzung von M365 durch die EU-Kommission
• Verbraucherzentrale warnt vor aktuellen Phishing-Maschen
• Vereinfachtes Bußgeldverfahren der CNIL im ersten Quartal
• Klarna: Berufungsgericht stockt angefochtenes Bußgeld wieder auf (Rechtssache: 2829-23)
• Kryptoprojekt Worldcoin zum Verbot in Spanien
• Papierakten und DSGVO (österr. BVwG, Urteil vom 1.2.2024 –  W287 2242238-1/13E)
• Einsicht in die Verwaltungsunterlagen zur Nebenkostenabrechnung verstößt nicht gegen die DSGVO (Az. 17 C 8/22)
• Es besteht kein Anspruch aus Art. 15 DSGVO auf Abschriften der Unterlagen bei Prämienanpassungen in der privaten Krankenversicherung

Empfehlungen & Lesetipps:

• Home Office – IT-Sicherheit für Zuhause
  

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/datenschutz-verstoße-bei-m365-nutzung-durch-eu-kommission-datenschutz-news-kw-11-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, Ihrem wöchentlichen Datenschutz ab, Heute ist Freitag, der 15 März zweitausendvierundzwanzig. Unser Redaktionsschluss war wie immer ähm heute Morgen, allerdings um 9 Uhr bereits. Mein Name ist Heiko Gossen und ich begrüße recht herzlich an meiner Seite. Lothar Simonowski. Ja Sie hören einen neuen Namen und eine neue Stimme. Wir hatten ja letzte Woche schon das Debüt von Natalia und auch heute haben wir einen Debütanten hier in unserem Datenschutz-Talk Podcast. Herzlich willkommen Lothar im Sprecherteam des Datenschutztalk Podcasts der magst du vielleicht Ein Satz noch kurz zu dir sagen, wer du bist und ähm warum du gut geeignet bist hier im Sprecherteam zu unterstützen. Ja herzlichen Dank, Heiko ähm für die Einladung ins äh Podcast-Team. Mein Name ist Lothar Simonowski. Ich bin jetzt schon das zweite Jahr bei der Migo Sense und freue mich sehr, hier ins Podcast-Team eingeladen zu sein und ja, Lass uns loslegen. Lass uns loslegen ist ein gutes Stichwort. Wir gucken ja immer am Anfang einmal, was wir heute an Themen so alles mit dabei haben. Ich fange einfach mal mit meinen Themen an. Wir haben einmal das Thema EU-Kommission und die Nutzung von Microsoft drei fünfundsechzig, ist ja auch unser Titelthema, Dann schauen wir zusammen auf ein vereinfachtes Bußgeldverfahren bei der französischen Aufsichtsbehörde. Dann hätte ich noch ein Update zum Thema World Coin Verbot in Spanien, wo wir letzte Woche drüber berichtet haben Dann ein Urteil habe ich mitgebracht aus Siegend zum Thema Einsicht in die Nebenkostenabrechnung von Mietern und würde ich dann noch einen Lesehinweis, bringen? Was ist es bei dir geworden Lothar? Ja von meiner Seite ist es geworden zum einen die verabschiedete KI-Verordnung des äh Europäischen Parlaments aus dieser Woche Es ist äh auch geworden ähm ja eine Aussage der Verbraucherzentrale NRW zu aktuellen Phishingmethoden, zur Phishing-Maschen. Des Weiteren gucken wir uns ein bestätigtes Bußgeld für den Bezahldienst Klarna an, Und ähm ja, Papierakten, DSGVO, ein Thema, was wir vom äh Bundesverwaltungsgericht äh aus Österreich bekommen haben. Abschließend möchte ich die Liste mit ja einem Urteil des Bundesgerichtshof zu Auskunftsansprüchen. Wunderbar. Dann lass uns direkt einsteigen. KI-Verordnung ist ja grade tatsächlich an vielen Stellen ein Thema. Was gibt’s Neues? Wir haben in dieser Woche tatsächlich den Abschluss erreicht, die Verabschiedung der KI-Verordnung durch das, Europäische Parlament. Ähm die Verordnung, die ähm ja lang ausgesprochen, die Verordnung zur Festlegung, harmonisierter Vorschriften für die künstliche Intelligenz in der EU ähm aussagt. Ja das Ganze ist ähm am äh3zehnten tatsächlich verabschiedet worden und äh beschreibt tatsächlich, viele Dinge, die einhergehen mit der KI, ne, die beschreiben, wie die Aufsicht äh passieren soll bei ähm KI-gestützten äh Systemen ähm bei äh KI gestützten Informationen Dazu gab’s auch schon eine Resonanz ähm unseres äh Bundesdatenschutzbeauftragten Professor Ulrich Kelber. Er hat sich äh im Grunde sehr positiv zu dieser Einigung ähm geäußert, vor allem, dass die Aufsichtsbehörden bei Hochrisiko. KI-Systemen fungieren soll, hat aber auch ein paar Potenziale noch aufgezeigt, zum Beispiel bei dem strikten Verbot von biometrischen Früherkennungssystemen, ne, also da hätte er sich was strikteres gewünscht. Fordert auch gleichzeitig den deutschen Gesetzgeber auf, von der Öffnungsklausel Gebrauch zu machen und striktere nationale Verbote zu nutzen. Dazu möchte ich noch einen kleinen Hinweis geben und zwar in der letzten Silvesterfolge wurde das Thema ja ausgiebigen diskutiert mit Maximilian Herrmann. Es lohnt sich, da mal reinzuhören, um da mal einen äh Status zu bekommen, was äh letztendlich in der KI-Verordnung alles enthalten ist. Glaube auch, dass das Thema KI natürlich erst mal auch losgelöst von den Datenschutzthemen ein wichtiges Thema ist, sich da also noch mal auch mit den Inhalten zu beschäftigen. Ist ein guter Tipp, nochmal in die Silvesterfolge reinzuhören, was sowieso immer eine gute Idee ist, davon mal abgesehen, Aber natürlich, äh sehen wir auch und das ist ja auch das, was an vielen Stellen grade äh dann die die Frage ist auch mit Blick auf die Meldung von Herrn Kälber, der sich ja auch noch mal dazu geäußert hatte bezüglich der Aufsicht, dass er das begrüßt, dass hier die Diskussion auch in die Richtung gehen, dass halt die Datenschutzaufsichtsbehörden zuständige Aufsichtsbehörden, werden und gleichzeitig natürlich die Frage, die man dann sich auch im Unternehmen durchaus, glaube ich, stellen sollte, inwieweit äh dann zukünftig, Und äh Governance Anforderungen in dem Umfeld bei KI Entwicklungen oder auch Nutzung natürlich im Zweifelsfall auch nah beim Datenschutzbeauftragten vielleicht angesiedelt werden. Dazu sei dann auch noch mal auf die Themenfolge mit Maximilian Herrmann hingewiesen. Da haben wir auch nochmal ein bisschen über das ganze Thema Governance gesprochen und warum es halt auch naheliegend ist, hier den Datenschutzbeauftragten oder das Datenschutzteam. Mit einzubeziehen, weil wir natürlich bestimmte Mechanismen haben, die dort verlangt werden, die wir halt ausm Datenschutz schon kennen und ich glaube, da macht es halt wirklich. Ja sehr viel Sinn sich das wirklich mal im Detail anzugucken und zu überlegen, wie da man Synergien fürs Unternehmen natürlich auch nutzen kann und das muss man halt auch sehen, natürlich als Datenschutz dann auch wieder vielleicht davon profitieren kann, weil man halt dann auch quasi direkt ähm sicherstellt, dass man mit eingebunden wird. Wenn das sowieso an einer Stelle nachher liegt. Absolut, kann ich nur unterstützen. Wir sind’s ja gewohnt, wir sind ja geübt darin, Risikoentscheidungen und Risikobetrachtungen aus Sicht von betroffenen Personen durchzuführen und äh am Ende des Tages aus dieser Warte heraus. Potentiale fürs Unternehmen aufzuzeigen und da ist es letztendlich für den Datenschutzbeauftragten, wie du schon richtigerweise sagt, der frühzeitig eingebunden ist natürlich einen Mehrwert. Ne, dass man da jetzt keine Sachen verhindert, ne, sondern früh genug mitgestaltet. Kommen wir zur nächsten Meldung. Der europäische Datenschutzbeauftragte hat Datenschutzverstöße bei der Nutzung von Microsoft 365 durch die EU-Kommission festgestellt und setzt jetzt eine Frist bis zum 9. Dezember. Der europäische Datenschutzbeauftragte hat folgende Verstöße festgestellt. Zum einen ging’s um das Thema Zweckbindung. Da hat es Kommission wohl versäumt, die Arten personenbezogener Daten hinreichend zu bestimmen bei den, Systemen und Verarbeitungen, wo sie selber als Kommission. Microsoft 365 arbeitet und dieses nutzt. Außerdem wurden wohl die Zecke aus nicht ausdrücklich und genau angegeben. Es wurde außerdem versäumt, ähm ausreichend zu prüfen, ob die Weisungen, die hier im Rahmen der Auftragsverarbeitung typischerweise ja benötigt werden, dann auch ausreichend äh konkret und dokumentiert sind. Und es wurde auch die Übermittlung von personenbezogenen Daten an Microsoft und seine Unterauftragsverarbeiter für einen nicht bestimmten Zweck im öffentlichen Interesse kenntlich und ausreichend dokumentiert. Das ist wirklich erforderlich und verhältnismäßig ist. Dann gab es aber auch noch Hinweise und ja an dem Thema Drittlandsübermittlungen. Die Kommission habe es versäumt, angemessene Garantien vorzusehen, die sicherstellen, dass ein gleichwertiges Schutzniveau gewährleistet wird und man hat hier auch unklare Regelungen zur Weitergabe von Daten, Festgestellt, die EU-Kommission hat nicht ausreichend sichergestellt, dass Daten, die im EWR verarbeitet werden. Auch nur das Recht der EU und der Mitgliedsstaaten äh quasi herangezogen werden darf, wenn es um die Frage geht, ob die Daten ohne Weisung der EU-Kommission auch weitergegeben werden dürfen, Die EU-Kommission hat nun Zeit, alle Daten Ströme auszusetzen, die sich aus der Nutzung von M 3 65 an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter ergeben. Die in Drittländer ansässig sind und nicht einem angemessenheitsbeschluss nach Artikel 47 Absatz 1 der Verordnung zweitausend, Strich siebzehn fünfundzwanzig fallen. Außerdem sind alle Verarbeitungen, die äh die EU-Kommission in dem Zusammenhang halt betreibt dann auch entsprechend in Einklang mit der grade genannten Verordnung zu bringen und es muss nachgewiesen werden. Also ein paar Hausaufgaben, die die EU-Kommission hier zu erledigen hat. Dazu muss man halt wissen, die datenschutzrechtlichen Anforderungen an die EU-Kommission richten, sich nach dieser Verordnung 2tausendachtzehn, Strich siebzehn fünfundzwanzig, also nicht nach der Datenschutzgrundverordnung. Inhaltlich muss man aber auch dazu sagen, gibt’s da halt schon eine sehr hohe Deckung. Der EU-Dantus-Beauftragte hatte nach der Shrimps-Zwei-Entscheidung im Mai 21 eine Untersuchung eingeleitet und ihr Ziel war es halt, zu überprüfen, ob die Kommission, zuvor vom europäischen Datenschutzbeauftragten herausgegebenen Empfehlungen zur Nutzung von Microsoft Produkten und Diensten durch die Organen und Einrichtungen der EU einhält. Das ist halt finde ich, wenn man sich das halt anguckt durchaus ganz spannend. Die Themen, die hier adressiert werden, betreffen, viel weniger Microsoft 365 selber als zumindest doch viele Themen, die intern bei der Kommission offensichtlich nicht vernünftig umgesetzt wurden und äh das ist natürlich, wenn man sich das halt so anschaut. Vielleicht nützt nicht gerade ein gutes Zeugnis für die EU-Kommission, wenn man die eigenen Regeln schon nicht so richtig ernst nimmt, dann wird’s natürlich auch für Aufsichtsbehörden schwer, sowas ähm im Zweifelsfall natürlich dann zu argumentieren, wo man das von den Unternehmen aber verlangt. Deswegen finde ich es unterm Strich Natürlich auch völlig richtig, dass der Europäische Datenschutzbeauftragte hier dann seine Untersuchungen auch mit so einer Konsequenz am Ende, ableitet und ähm ausspricht, auch veröffentlicht. Es hat jetzt wie gesagt keine direkten Auswirkungen auf die Unternehmen in der EU. Allerdings sollte man natürlich diese Themen trotzdem auch noch mal vielleicht im eigenen Unternehmen prüfen. Weil auch das wird ist natürlich naheliegend, dass auch andere Aufsichtsbehörden äh hier nochmal hingucken und da haben wir auch in der Silvesterfolge drüber gesprochen, Ähm mit Stefan Hesse, das halt natürlich grade diese Themen sehr viel häufiger von den Aufsichtsbehörden adressiert und kritisiert werden, als nachher die DPAs mit Microsoft. Ja, sehr spannend. Und die ersten Ausführungen von dir, Heiko ähm bezüglich Zweckbindung, Drittlandsübermittlung und so weiter. Das begegnet uns in unserer Praxis ja auch häufiger, ne? Und äh unsere Empfehlung, äh wenn wir die aussprechen würden an der Stelle würde auch in Richtung VVT gehen, ne, weil das sieht so aus, als ob da das Verzeichnis der Verarbeitungstätigkeit auf für eine geplante oder schon implementierte Verarbeitung nicht sauber dokumentiert wurde. Also da hätte man das eine oder andere schon erledigen können. Ich glaube auch, vielleicht schicken wir mal Angebot rüber. Wir machen das, ja. Genau. Ja ähm, Komme zu einem weiteren Thema und zwar ähm die Verbraucherzentrale NRW warnt ähm ganz aktuell ähm vor neun Phishing-Methoden und zwar in ihrem Phishing Radar. Das ist ein Portal, eine Informations äh Portal der äh der Verbraucherzentrale, in dem über Phishing, Methoden, Phishing-At berichtet wird äh mit entsprechenden äh Handlungsempfehlungen, Ähm ganz aktuell sind im Moment äh Phishing-Aktivitäten der Sparkasse, die vermeintlichen Sparkassenabsender verweisen auf eine ja abgelaufene oder, Abzulaufen, drohende Pushtan-Verbindung mit der dringenden Empfehlung einer Verlängerung, ähm ein entsprechender Link wird zur Verfügung gestellt. Ähm des Weiteren auch ähm, von der DKB Bank mit dem Hinweis, dass es äh Probleme mit dem Server gibt oder äh Amazon Prime Nutzer erhalten äh Fishing, E-Mails mit der Aufforderung, Kundendaten abzugleichen. Das Portal an sich hat jetzt schon in dieser Woche eigentlich täglich berichtet darüber. Das scheint wohl so, dass, Phishing-Attacken nach wie vor en vogue sind und äh offensichtlich auch ähm ja sehr erfolgreich sind. Es lohnt sich immer mal reinzuschauen, auch ähm wenn man, äh seine eigene ähm in seinem eigenen äh E-Mail-Postfach äh Phishing ähm E-Mails vermutet. Dort kann man schnell mal abgleichen und. Was ich gesehen habe, eine sehr schöne Funktion. Wenn man Phishing E-Mails bekommen hat, kann man die auch sehr sehr gerne weiterleiten ähm an die ähm Mailadresse Phishing at Verbraucherzentrale Punkt NRW, lohnt sich auf jeden Fall da mal reinzuschauen. Guter Hinweis. Schauen wir nach Frankreich. Die Knil, die französische Aufsichtsbehörde, verhängte im Rahmen ihres Sanktionsverfahrens, eines äh vereinfachten Sanktionsverfahren. 15 Bußgelder zwischen Januar und März diesen Jahres in einer Gesamthöhe von knapp 1hunderttausend Euro. Die Bußgelder werden über ein vereinfachtes Verfahren wie gesagt erteilt und können eine maximale Höhe von jeweils 20.000 Euro haben und hier hat man in Frankreich halt jetzt die ersten Erfahrungen gesammelt mit diesem vereinfachten Verfahren. Die insbesondere dann zur Anwendung kommen, wenn es in einem Sachverhalt bereits eine gefestigte Rechtssprechung gibt oder wenn es schon vorherige Entscheidungen gab, die das quasi einen ähnlichen Sachverhalt hatten oder einen gleichen Sachverhalt hatten Oder wenn halt die Einfachheit in Sachen Rechtsfragen äh gegeben ist aufgrund der der Umstände und des Sachverhaltes. Hier jetzt in den konkreten Fällen gab’s zum Beispiel halt Fälle, wo einfach eine fehlende Kontaktmöglichkeit zum Datenschutzbeauftragten ähm ja Grund waren. Es aber auch teilweise zum Beispiel dann ein Verstoß auf äh hinsichtlich der Aufgaben und Ressourcenbeauftragten, mangelnde Zusammenarbeit mit der Aufsichtsbehörde, also eine Vielzahl an ja wirklich, Zweifelsfall würde ich sagen, kleineren äh Delikten vielleicht, aber und das ist glaube ich dann auch das, was man vielleicht jetzt hier für Deutschland noch mal ähm sich vor Augen führen sollte. Ist halt, dass die Aufsichtsbehörden ja insgesamt versuchen auch das äh die Durchsetzung der DSGVO zu verbessern und zu beschleunigen. Wir. Hatten gestern zum Beispiel auch im Bitcom den Arbeitskreis Datenschutz, der getagt hat, Da war auch Sergej Lagodinski zu Gast, der stellvertretende Vorsitzende des und Mitglied des Europaparlaments. Der halt auch da sehr stark dran äh arbeitet, dass halt zum Beispiel das und die dazugehörige Verordnung sich jetzt auch auf den Weg begibt und nochmal deutlich verschärft wird. Also das, was dir glaube ich in Deutschland uns vor Augen führen müssen oder in allen Mitgliedsstaaten ist halt, dass das Durchsetzen der Anforderungen und das Fängt von Bußgeldern zukünftig, Sicherlich noch ein wenig straffer wird und im Zweifelsfall, wie gesagt, wenn man sich die den Bericht des Liebeausschusses ansieht, auch deutlich beschleunigt wird. Also sowohl im im Sinne der Betroffenen. Dass die natürlich schneller Entscheidungen haben und die Aufsichtsbehörden natürlich hier auch ein bisschen ähm ja unter Druck gesetzt werden einerseits, aber auf der anderen Seite sicherlich dann auch priorisieren müssen. Und ich glaube, das ist nicht immer nicht immer nur positiv für die Unternehmen. Ja, das kann ich nachvollziehen und wir sind auch tatsächlich bei der nächsten Meldung äh zum einen äh weiterhin im ähm Bereich der Bußgelder. Zum anderen führen wir unsere Europareise fort, indem wir jetzt nach Schweden gehen. Wir haben einen Heisebericht zufolge ähm eine Bestätigung eines Zwangsgeldes für den Bezahldienst Klarna. Klarna ist ja äh in der, Herausforderung, ein Zwangsgeld in Höhe von 7,5 Millionen Schwedischen Kronen äh bezahlen zu müssen. Das sind umgerechnet sechshundertsieb Euro. Das wurde am 11.3. also auch ganz frisch in dieser Woche erneut festgestellt. Zum Hintergrund, Es geht um die Webseite, die in 220 untersucht wurde und nicht den Transparenteninformationsanforderungen der, Datenschutzgrundverordnung ähm entsprochen hat. Es wurde beispielsweise nicht erklärt, äh für welche Zwecke und auf welche Rechtsgrundlage Datenverarbeitung äh stattfinden. Darüber hinaus wurden irreführende Angaben zu, Weiterleitung festgestellt. Ähm seinerzeit wurde schon durch die Datenschutzaufsicht, dass ähm Bußgeld in Höhe von sieben Komma fünf, Millionen festgestellt, was zwischenzeitlich abgesenkt wurde auf 6 Millionen Kronen, jetzt aber wiederum bestätigt wurde auf 7,5 Millionen. Schwedische Kronen, ne? Was zum einen zeigt, dass letztendlich ähm die Webseiten ein ähm ja sehr großen Impact haben in der Stellung der Datenschutzgrundsätze, zum anderen aber auch wie Heiko gerade in seiner vorhergehenden äh Nachricht ähm schon ja deutlich bei den Bußgeldern ähm Geschwindigkeits äh äh aufwarten müssen. Ja und da seid ihr auch noch mal drauf hingewiesen. Das hatten wir auch neulich noch, Dass äh zum Beispiel die bayerische Aufsichtsbehörde ja jetzt auch angekündigt hat, noch mehr automatisiert Webseiten zu prüfen. Ich finde, das ist halt, sozusagen nicht nur das Einfachste zum Prüfen, sondern letztendlich damit auch das Dringlichste, was man halt als Unternehmen äh sauber haben sollte. Weil da, wie gesagt, ist die Angriffsfläche sehr exponiert und sehr einfach auszunutzen in Anführungszeichen auszunutzen, aber ja, das ist ja offensichtlich, wenn man da halt nicht gut aufgestellt ist. Ja unsere Europareise geht weiter nach äh Spanien, aber mit deutschem Bezug. Die Betreiberfirma von World Coin wehrt sich gegen die Anordnung der spanischen Datenschutzaufsichtsbehörde und erhebt Klage dagegen. Letzte Woche hatten wir ja schon über die Untersagung der weiteren Verarbeitung von personenbezogenen Daten äh von dem Projekt beziehungsweise durch die Firma berichtet. Hier werden ja die Autorisierungen und die Identifizierung äh der. Äh Guthaben über einen Iriscan realisiert, was natürlich biometrische Informationen über Betroffene sind und, Die spanische Aussichtsbehörde hatte hier letztendlich jetzt Woche dann entsprechend das untersagt. Dagegen geht das Unternehmen nun gerichtlich vor. Das Unternehmen Tools for Humanity, kurz TFA sieht die DSGVO verletzt, da sie die spanische Aufsichtsbehörde für nicht zuständig hält. Das Unternehmen mit Sitz in Erlangen hatte bei der Entwicklung mit dem bayrischen Landesamt für Datenschutzaufsicht, kurz bei LDA ja zusammengearbeitet und das sieht sich laut einer DPA-Meldung auch als federführende Aufsicht hier. Gegenüber also online hatte TFA der Aufsichtsbehörde in Spanien vorgeworfen, Wohl ungenaue und irreführende Behauptungen über World Coin zu verbreiten und man hatte dann daraufhin der Aufsichtsbehörde auch angeboten, sich halt detaillierter mit der Technik auseinanderzusetzen und dort die sich anzusehen und auch zu erläutern, was wohl aber dort nicht angenommen wurde. Vom Bayerischen Landesamt heißt es dazu, man habe halt im Rahmen der Produktentwicklung bis Sommer 23 eine Basisprüfung eingeleitet und mit der Einführung des World Coin habe man dann auch noch eine intensivere Kontrolle begonnen und ja Die Ergebnisse stehen noch nicht öffentlich zur Verfügung, aber dass bei LDA hat gesagt, dass man die Ergebnisse der Schwerpunktprüfung in den nächsten Wochen kommunizieren könne. Also von daher werden wir da natürlich geduldig äh sein. Ich weiß auch nicht, ob’s öffentlich kommuniziert wird oder an das Unternehmen. Das werden wir dann sehen. Von daher schauen wir jetzt mal, wie sich das weiter entwickelt. Ich kann aber den Unmut durchaus verstehen, dass wir natürlich, wenn wir eine zuständige Aufsichtsbehörde, eine federführende haben, dass man äh dann natürlich sich als Unternehmen auch ein Stück weit drauf verlassen möchte, dass dann so was auch mit der zustehenden Aufsichtsbehörde quasi zu klären ist. Ganz kurz nochmal zum Hintergrund, weil dem äh IRESCAN werden halt ansonsten eigentlich keine weiteren persönlichen Daten, wie Name, Geburtstag oder Adresse erhoben. Es heißt World Coin sieht hier, wie das alle rechtlichen Anforderungen eigentlich alles erfüllt an. Aber das Ganze stößt halt wie gesagt aufgrund des IRESCAN schon auf großes Misstrauen in Politik und auch bei Behörden. Von daher überrascht es vielleicht auch nicht so sehr, dass die Deutsche Banken auf sich barfin, wohl das Projekt auch untersucht. Das ist eine spannende ähm ein spannender Punkt äh genauso wie die Wahl der Aufsichtsbehörden, aber auch ähm und da bin ich auch sehr, sehr gespannt, aus technischer Sicht, wie sicher ist denn ähm der Iris Scan? Was haben wir denn da noch zu erwarten? Aus Sicht der technischen und organisatorischen Maßnahmen. Wir sind auf unserer Europareise jetzt in Österreich und zwar haben wir ein Urteil des Bundesverwaltungsgerichtes in Österreich ähm auf dem Tisch und zwar geht es hier um das Auskunftsrecht in Bezug auf Papier Wir haben einen äh petenten, der bei der Datenschutzaufsicht beschwert hat, ähm keine vollständige Auskunft seiner personenbezogenen Daten, sowie keine Kopien ähm bekommen zu haben und zwar von den Bau Ämtern in Österreich, die letztendlich beauskünftet haben, dass die Auskunft sehr wohl äh komplett wäre, Und auch in der ähm entsprechenden Güte bereitgestellt wurde mit Ausnahme der Bauakten, die in Papierform vorliegen ähm und demnach ähm ja mit einem erhöhten, manuellen Aufwand äh verbunden wären, wenn diese ähm als Kopie Auskunftet werden sollen. Äh das Ganze hat äh das Bundesverwaltungsgericht in letzter Instanz auch bestätigt Das ist bei Papierakten nicht ähm, um äh ja Daten Datenbanken, Datensysteme handelt, die automatisch ähm nach personenbezogenen Daten gefiltert werden können und müssen nicht bei Auskunftet werden, wenn es ein, entsprechenden ähm ja ungerechtfertigten Aufwand bedeutet. Für die Praxis ein sehr hilfreicher, Hilfreiche Entscheidungen und äh wir verlinken natürlich auch den Link zur Entscheidung in die Shownotes, weil da wird sicherlich bei Bedarf auch noch mal ein detaillierterer Blick notwendig sein, wenn man sich dann darauf berufen möchte. Ja, wir landen jetzt in Deutschland wieder im Siegerland, um genau zu sein. Amtsgericht Siegen hat entschieden, dass die Einsicht von Mietern in Verwaltungsunterlagen zur Nebenkostenabrechnung nicht gegen die DSGVO verstößt. Hier ist die Einsicht laut Gericht durch ehemalige und gegenwärtige Mieter nicht widersprüchlich gegen die Vorgaben der DSGVO, auch wenn sie ein zwingendes äh anwendbares Recht natürlich ist. Die Einsicht Tier entsprechend auch nach der beherrschenden Meinung die Anwendung der Rechtsprechung des BGH zum Mietrecht erfüllt und sagt halt in mehr Parteienhäusern ist auch die Darlegung eines besonderen Interesses, des Mieters an der Belegeinsicht nicht erforderlich. Das heißt also ein allgemeines Kontrollinteresse des Mieters ist wohl ausreichend und es genügt hier halt auch schon ein, allgemeines Interesse des Berechtigten, die Tätigkeit des Abrechnungspflichtigen zu kontrollieren. Hintergrund war, dass eine Wohnungseigentümergemeinschaft einen externen Verwalter, Auftakt hatte und der Vermieter hatte dem Mieter gegenüber äh oder hatte der Verwaltung gegenüber dem Mieter ermächtigt, die Einsicht vorzunehmen. Der Verwalter lehnte das erst mal Datenschutzgründen ab und verlangte außerdem noch 75 Euro nachher, pro Stunde für Kopier arbeiten und äh dem hat das Amtsgericht Siegen letztendlich dadurch natürlich ein Strich durch die Rechnung gemacht und den Verwalter verpflichtet hier dann auch entsprechend Auskunft zu erteilen. Mit meiner und unseren letzten Meldung sind wir ähm oder wir bleiben in Deutschland und zwar ähm geht es hier um ein Urteil des äh Bundesgerichtshofs. Wir haben ein Urteil vom sechsten zwoten vierundzwanzig, vorliegen, wonach es um die Ansprüche oder. Nicht Ansprüche aus Artikel 15 bezüglich der Abschriften aus äh Versicherungsverhältnissen ähm anbelangt und zwar geht es ganz konkret um Unterlagen bei Prämienanpassungen in der privaten Krankenversicherung. Wir haben einen äh Kläger, eine Petenten, der eine Beitragserhöhung äh für unrechtmäßig hält. Und ähm hat diesbezüglich das Versicherungsunternehmen, aufgefordert ähm entsprechend ähm sämtliche Unterlagen zu dieser Preisanpassung, zu dieser Prämienanpassung zu beauskünften Inklusive der ähm des Mehlverkehrs inklusive der Kommunikation. Das Ganze war schon im Jahr 2tausend16. Wonach letztendlich ähm ja das Bundesgerichtshof ähm geurteilt hat, dass es keinen Anspruch aus Artikel 15 bezüglich der Abschriften der Unterlagen äh besteht. Begründet wurde das Ganze, dass diese ähm Kommunikation beziehungsweise das Anschreiben zwar äh personenbezogene in Teilen enthält, allerdings in ihrer Gesamtheit ähm mit mit Kalkulation, mit äh Berechnungen, wohl keine personenbezogenen Daten des äh Klägers darstellen, ne. Von daher, ja wurde das äh Urteil gesprochen, ähm dass es keinen Anspruch auf die Abschriften der Unterlagen, Prämienanpassung anbelangt. Auch hierzu wir verlinken das äh Aktenzeichen in unseren. Ja wunderbar, vielen Dank Lothar. Das Beste haben wir uns natürlich zum Schluss aufgehoben. Das ist ein Lese Wir haben bei uns auf der Webseite im Blog einen ja neuen Beitrag veröffentlicht zum Thema, WLAN im Homeoffice, IT-Sicherheit für zu Hause. Da gehen wir noch mal oder der Kollege Stefan Auge geht da noch mal auf das Einmaleins des sicheren WLAN ein, wie auch die ohne große Kenntnisse über die Details der IT-Sicherheiten Basislevel an Sicherheit im eigenen Heim einrichten können und das natürlich nicht nur Unternehmen hilft, sondern im besten Fall äh natürlich auch dem Mitarbeiter selber, weil er Dadurch einfach so die eigenen äh für die eigene IT natürlich auch ein besseres Sicherheitsniveau erreicht. Also auch das verlinken wir in den Shownotes. Und empfehlen da natürlich noch mal einen Blick reinzuwerfen beziehungsweise das natürlich insbesondere Kollegen, Kolleginnen und Mitarbeitenden vielleicht noch mal an die Hand zu geben, weil wie gesagt, wir Alle, die hier regelmäßig zuhören, gehe ich davon aus, dass schon ganz gut im Blick und im Griff haben. Aber, wie gesagt, wir sind ja alle auch immer wieder, Die ähm ähm wie heißt das, wie heißt das, Botschafter? Die Botschaft dafür, für Datenschutz und Informationssicherheit. Von daher legen wir das ans Herz. Lothar, wie war’s beim ersten Mal? Die Aufregung hat sich im Verlauf gelegt. Also ich fand’s äh fand’s sehr gut. Ich hoffe, dass es auch ähm ja entsprechend geworden ist, ne? Also sehr spannend. Ähm sehr professionell, dass sie das erste Mal, dass ich dann auch live hinter die Kulissen schauen darf, hinter den Vorhang luten darf. Ähm es ist schon sehr, sehr professionell. Vielen Dank. Ähm ja, ich freue mich auf die nächsten, auf weitere Termine, auf weitere äh Podcast-Gestaltung und äh ja, bin jetzt happy, ne. Wunderbar, ich auch. Wir haben ja noch ein paar Aufnahmen geplant dieses Jahr. Von daher freuen wir uns natürlich, wenn’s Ihnen auch gefallen hat und auch Sie uns äh Feedback geben. Es gibt dafür viele Möglichkeiten wir haben ja schon oft genannt, hier äh schreiben Sie uns einfach eine E-Mail, Datenschutz, Torget Minuszins Punkt DE oder auf den gängigen Social Media Plattformen beziehungsweise äh gerne natürlich dann auch äh auf Twitter oder auf ihrer, Lieblings-Podcast App Plattform dürfen sie auch gerne Rezensionen hinterlassen, freuen wir uns natürlich auch immer. Und wenn Sie uns weiterempfehlen sowieso, In diesem Sinne ganz herzlichen Dank Ihnen fürs Zuhören. Starten Sie gut ins Wochenende mit unseren News und dann würde ich sagen, bleiben Sie uns gewogen und Auf bald.