Datenschutzerklärung gelesen und Reise gewonnen- DS News KW 05/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 30. Januar 2026 und unser Redaktionsschluss war heute um 10 Uhr.
Bei mir ist meine liebe Kollegin Laura Droschinski.
Hallo liebe Natalia.
Hi, liebe Laura. Und ja, mein Name ist Natalia Bosniak.
Wir freuen uns, heute den Podcast für euch aufzunehmen und haben wie immer ganz
viele tolle Themen mitgebracht. Laura, was hast du?
Ich habe heute mitgebracht erstmal ein bisschen Werbung in eigener Sache,
das muss ja auch mal sein.
Weiter geht es dann aber auch direkt schnell zur Sandbox Reculab,
die gestartet hat im Laufe der Woche.
Außerdem habe ich mitgebracht ein ganz interessantes Urteil zum Thema Auskunftsansprüche
vom Verwaltungsgericht Osnabrück und außerdem noch aus der Kategorie Kurioses
zum Thema Falschparker-App hat es auch etwas auf meinen Zettel geschafft.
Und zu guter Letzt habe ich noch einen Veranstaltungshinweis sowie eine Veröffentlichung
vom Europäischen Datenschutzausschuss in der Tasche.
Wow, das klingt ja richtig abwechslungsreich. Ich habe auch was mitgebracht,
wobei es bei mir mehr so ein bisschen Richtung Urteile und Entscheidungen geht.
Und ja, zum einen die österreichische Aufsichtsbehörde, die sich mit dem Thema
Microsoft 365 Education auseinandergesetzt hat.
Dann ein Urteil des BGH zur Offenlegung von E-Mail-Adressen von Vereinsmitgliedern.
Dann ein Urteil des OLG Saarbrücken zum Thema Schadensersatz und Kontrollverlust. Und
Auch etwas aus der Rubrik Kurioses, nämlich Datenschutz-Sensibilisierung mal
anders. Von daher, ich würde sagen, wir legen los.
Ich lege mal los, genau richtig. Und zwar, wie gesagt, ein bisschen Werbung
in einer Sache darf uns gestattet sein heute zu Beginn der Folge.
Denn aufmerksame Hörerinnen und Hörer haben, ihr habt sicherlich mitbekommen,
dass der Teil 2 unseres Jahresrückblicks veröffentlicht wurde.
Denn zu Gast bei Heiko war Professor Dr.
Rossnagel, also der hessische Beauftragte für Datenschutz und die Informationsfreiheit.
Und die beiden besprechen in einer sehr schönen Folge, finde ich,
die prägenden Datenschutzthemen des Jahres 2025 und widmen sich natürlich auch
diesem Jahr, also ihrem Ausblick.
Im Mittelpunkt des Gesprächs stehen aktuelle Entwicklungen rund um das Thema
Digitalzwang, aber auch Microsoft 365.
Die DSGVO-Reformpläne der EU, Aber natürlich auch das Thema Künstliche Intelligenz
darf in der Folge nicht fehlen.
Also eine absolute Hörempfehlung, wer es denn sich noch nicht angehört hat.
Außerdem möchte ich auch schon auf eine Veranstaltung hinweisen und zwar von
unserem lieben Kollegen Stefan Auge.
Ihr kennt ihn auch schon aus Themenfolgen.
Er ist ja unser Fachmann für das Thema Management Systeme, also auch Prokurist
und Teamleiter bei uns bei der Migosens genau in diesem Bereich.
Und der liebe Stefan ist am 19.02.
Bei einem Webinar-Thementag zu NIST 2.
Also NIST 2-Themenfolge hat es ja auch letztes Jahr im Mai bei uns gegeben,
auch mit Stefan natürlich.
Aber es liegt da ferner, als ihn direkt dafür mit ins Boot zu holen.
Also auch da, wer nochmal reinschauen möchte, reinhören möchte besser gesagt, sehr gerne.
Aber wie gesagt, kommen wir zurück zum Webinar am 19.02.,
Hält Stefan einen Vortrag zum Thema die fünf wichtigsten Maßnahmen bei der NIST-2-Umsetzung.
Also der Vortrag erklärt verständlich die aktuelle Cybersicherheitsgesetzgebung
eben mit Fokus auf NIST-2 und das neue verbindliche Regelwerk für rund 30.000
Unternehmen in Deutschland.
Schön, klingt auf jeden Fall spannend.
Absolut.
Okay, dann würde ich mit unseren Themen starten, nämlich mit der österreichischen
Datenschutzbehörde. Diese hat entschieden, dass Microsoft Tracking von Schulkindern einstellen muss.
Konkret hat die österreichische Daten- und Aufsichtsbehörde festgestellt,
dass Microsoft personenbezogene Daten im Zusammenhang mit dem Einsatz von Cookies
beim Produkt Microsoft 365 Education ohne die erforderliche Einwilligung der
Betroffenen verarbeitet hat.
Dabei wurden mehrere eingesetzte Cookies durch die Aufsichtsbehörde als nicht
technisch erforderlich betrachtet und für deren Einsatz eben keine Einwilligung eingeholt.
Darin sieht die Aufsichtsbehörde einen Verstoß gegen den Grundsatz der Rechtmäßigkeit
der Verarbeitung und gegen den Grundsatz der Rechtmäßigkeit und Treu und Glauben.
Im konkreten Fall geht es um eine Schülerin in einer Schule in Österreich.
In dieser Schule kommt die Software Microsoft Education zum Einsatz.
Die Schülerin hat in dem Rahmen einen mit Microsoft verbundenen Schulaccount
mit zugehöriger E-Mail-Adresse.
Bei der Verwendung des Schulaccounts wurden mehrere Cookies auf dem Endgerät
der Schülerin installiert, ohne dass sie zuvor eine Einbildung dazu abgegeben hätte.
Die Schülerin bzw.
Beschwerdeführerin wurde bei dem Verfahren durch Neub, also None of Your Business,
vertreten und das Verfahren bzw.
Die Beschwerde richtet sich gegen die Microsoft Corporation als hier datenschutzrechtlich
verantwortliche Stelle.
Im Ergebnis, so die Aufsichtsbehörde, muss Microsoft Corporation innerhalb einer
Frist von vier Wochen den Einsatz der nicht notwendigen Cookies,
wenn dafür eben keine Einwilligung eingeholt wird,
unterlassen und hat zugleich vier Wochen Zeit, Rechtsmittel einzulegen.
Insofern ist das letzte Wort hier noch nicht gesprochen. Wir werden sehen,
wie Microsoft hier weitermacht.
Hier komme ich zu meiner ersten richtigen News-Meldung für heute,
denn die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
hat zum Jahresbeginn 2026 das neue Programm Regulab gestartet.
Dabei handelt es sich eben um eine datenschutzrechtliche Sandbox,
in der InnovatorInnen gemeinsam mit der Aufsichtsbehörde konkrete datenbasierte
Anwendungsfälle analysieren und rechtlich klären können.
Und das eben noch vor dem Markteintritt.
Konkret heißt das eben, man analysiert reale Anwendungsfälle gemeinsam mit der Aufsichtsbehörde.
Man kann frühzeitig abschließend vor allem offene datenschutzrechtliche Fragestellungen
oder Fragen klären. Dann geht es natürlich darum, um die Entwicklung praxisnah
und datenschutzkonformer Lösungswege.
Und zu guter Letzt sollen auch allgemeine Handlungsempfehlungen für den Markt
dann im Anschluss veröffentlicht werden.
Bereits nun im ersten Quartal soll wohl die erste kompetitive Ausschreibung
gestartet werden mit eben dem Schwerpunkt Gesundheitsdigitalisierung.
Mit dem Regulab verfolgt die BFDI einen kooperativen Ansatz,
der auch schon aus anderen Ländern bekannt ist.
Beispielsweise gibt es auch hier im britischen Bereich schon eine Regulatory
Sandbox der ICO und Ziel ist es eben,
typisch datenschutzrechtliche Unsicherheiten frühzeitig aufzulösen,
statt auch dann Innovation erst im Nachhinein oder
Die Gefahr besteht so, dass Innovationen eben auch durchaus im Nachhinein sanktioniert
werden und der soll eben vorgegriffen werden.
Finde ich persönlich ganz schön. Also für alle diejenigen, die datenbasierte
Produkte in der Richtung entwickeln, sollten meines Erachtens doch dieses Angebot
mal im Blick haben, um gegebenenfalls auch mal späteren Konflikten mit der Aussicht aus dem Weg zu gehen.
Vielleicht noch ganz wichtig als Abgrenzung dazu, das Regulab ist kein KI-Reallabor
nach der KI-Verordnung, das sei dazu gesagt.
Also dieses wird separat gemeinsam mit der Bundesnetzagentur und dem hessischen
Digitalministerium vorbereitet.
Im Regulab geht es eben primär um den Datenschutz nach DSGVO bei datenbasierten Innovationen.
Okay, dem habe ich nichts mehr hinzuzufügen.
Dann geht es los zum ersten Urteil für heute.
Dann geht es los. In einem aktuellen Urteil hat nämlich der BGH,
also der Bundesgerichtshof, entschieden,
dass ein Vereinsmitglied grundsätzlich das Recht hat, die E-Mail-Adressen anderer
Mitglieder einzufordern, um zum Beispiel eine Opposition gegen geplante Vorhaben zu organisieren.
Der BGH führt aus, dass ein Vereinsmitglied grundsätzlich ein berechtigtes Interesse daran habe.
E-Mail-Adressen der anderen Mitglieder zu erhalten, wenn es diese vor einer
Mitgliederversammlung kontaktieren wolle, um auf deren Abstimmungsverhalten Einfluss zu nehmen.
Ein etwaiges Interesse der restlichen Vereinsmitglieder, nicht von anderen Mitgliedern
belästigt zu werden, trete dann dahinter zurück.
Interessanterweise sieht der BGH hier datenschutzrechtlich auch noch eine weitere Rechtsgrundlage,
nämlich für die Herausgabe der E-Mail-Adressen sei auch nach Artikel 6 Absatz
1 unter Absatz 1 Lit B der Vertrag als Rechtsgrundlage heranzuziehen.
Denn der Vertragsbegriff umfasse auch einen Vereinsbeitritt.
Insofern sei die Herausgabe der Daten zur Vertragserfüllung erforderlich gewesen,
wenn sie wie hier zugleich erforderlich
ist, um die eigenen Mitgliedschaftsrechte wahrnehmen zu können.
Dabei schränken weder die Satzung noch individuelle Vertraulichkeitszusagen
des Vereins diese fundamentalen Informationsrechte ein.
Es kommt also nicht darauf an, wenn entfeige Ausschlüsse zum Beispiel in der
Satzung enthalten sind.
Mildere Mittel, wie zum Beispiel die Weiterleitung der Anfrage durch den Verein
an die Mitglieder, kommt hier nicht zum Tragen, da es, so der BGH,
dem Mitglied selbst überlassen werden muss, auf welchem Weg er sich an die anderen
Mitglieder wenden möchte.
Insofern glaube ich für unsere Zuhörer, die zugleich Vereine sind,
Vereinsmitglieder sind, ganz interessant.
Aber wir haben hier noch einen Schmankel zusätzlich.
Denn in diesem Urteil legte BGH den Vertragsbegriff anders aus als der ETSA
in seinen Leitlinien von Februar 2019.
Denn während der ETSA darin von einem Vertrag ausgeht, der nach dem nationalen
Vertragsrecht gültig sein muss, Also hier...
Müsste es ein Vertrag nach dem BGB, nach dem bürgerlichen Gesetzbuch sein?
Sieht es der BGH in seinem aktuellen Urteil anders?
Für den BGH ist der Begriff des Vertrages nicht zivilrechtlich auszulegen,
sondern datenschutzrechtlich und unionsautonom.
Insofern wird es in der Praxis spannend, wie sich diese Auslegung des BGH auswirken wird.
Es kann möglicherweise mit einem erweiterten Anwendungsbereich des Artikel 6
Absatz 1 Lit B DSGVO gerechnet werden.
Von daher mal schauen, was sich hier noch so tut, was der BGH uns jetzt hier
nochmal für die Zukunft Schönes mitgegeben hat.
Ja, auf jeden Fall spannend, inwieweit sich da Veränderungen ergeben könnten.
Ich habe als nächstes mitgebracht eine Entscheidung oder ein Urteil vom Verwaltungsgericht
Osnabrück, denn dieses konkretisiert die Auskunftsansprüche nach Artikel 15 DSGVO.
Und ich glaube in heutiger Zeit umso wichtiger, dass hier die Unternehmen Klarheit
haben, denn wir haben ja schon in den letzten Folgen berichtet,
wie stark doch die betroffenen Anfragen in ganz unterschiedlichem Ausmaß doch
auf die Unternehmen gerade zu prasseln oder einprasseln, besser gesagt.
Und ja, das Verwaltungsgericht Osnabrück hat eben mit dem Urteil vom 13.
Januar diesen Jahres eine wichtige Klarstellung zu dem Thema getroffen.
Im Fokus standen im Rahmen des Urteils der Beginn der Monatsfrist,
der Umgang mit anwaltlicher Vertretung sowie der zeitliche Umfang der Auskunft.
Das Urteil ist besonders praxisrelevant für Unternehmen und Behörden,
die eben regelmäßig damit konfrontiert sind.
Das Gericht bestätigt zunächst den Grundsatz aus Artikel 12 Absatz 3 DSGVO,
nämlich die Auskunft ist unverzüglich, spätestens aber innerhalb eines Monats
nach Eingang des Antrags zu erteilen.
Die zentrale Klarstellung des Gerichts ist eben nun beispielsweise zum Thema
Fristbeginn, denn maßgeblich ist allein der Eingang des Auskunftsantrags beim Verantwortlichen.
Die Monatsfrist beginnt also eben mit diesem Datum, berechnet nach EU-Recht,
nicht nach nationalen Fristenregelungen.
Außerdem sagt es aus, dass wenn Zweifel an der Identität bestehen der anfragenden
Person, dass eben der Verantwortliche zusätzliche Informationen verlangen kann.
Das ist ja soweit nicht neu, aber vielleicht nochmal ganz wichtig,
die Klarstellung im Rahmen des Urteils, nämlich solange die Identität nicht
geklärt ist, läuft die Frist auch noch nicht.
Außerdem hat es sich geäußert zum Thema anwaltliche Vertretung,
denn wird der Betroffene anwaltlich vertreten, darf und sollte der Verantwortliche
eine Vollmacht verlangen.
Nach Auffassung des Gerichts beginnt auch hier die Monatsfrist erst mit Vorlage
der Originalvollmacht. Dann, wie gesagt, ging es noch um den zeitlichen Umfang
der Auskunft, denn Betroffene müssen keinen Stichtag nennen, so das Gericht.
Ein normaler Auskunftsantrag ist so zu verstehen, dass er alle Datenverarbeitung
bis zum Eingang des Antrags umfasst.
Gleichzeitig kann der Betroffene den Auskunftsanspruch freiwillig zeitlich eingrenzen,
wenn sich sein Interesse eben nur auf einen bestimmten Zeitraum bezieht.
Was nehmen wir also mit aus der Praxis?
Erstmal schön, wenn es nochmal schwarz auf weiß irgendwo steht,
man sich als Unternehmen daran orientieren kann.
Und ja, verantwortlich sollten eben immer den Eingang von Auskunftsanträgen
sauber dokumentieren, um hier auch eben Klarheit zu haben, was das Thema Frist angeht.
Wie viel Zeit habe ich denn dafür? dann natürlich immer bei Zweifeln an der
Identität oder bei anwaltlicher Vertretung konsequent nachfordern,
um eben Rechtssicherheit zu schaffen,
aber auch Auskunftsanträge wohlwollend, aber strukturiert auslegen,
also ohne vorschnelle Einschränkungen.
Das sei geraten. Sonst können wir, glaube ich, auch aus der Praxis sagen,
gerne die Datenschutzbeauftragten und Datenschutzbeauftragte frühzeitig mit einbinden.
Und hier eben gegebenenfalls sogar intern Bearbeitungszeiten reduzieren.
Das haben wir auch schon mal mitbekommen.
Das eine oder andere, wenn man noch groß diskutieren muss oder gegebenenfalls
auch Prozesse nicht ganz rund im Unternehmen laufen, glaube ich,
der Datenschutzbeauftragte ist ja immer ein ganz guter Ansprechpartner,
um hier Optimierungen im Alltag umsetzen zu können.
Auf jeden Fall, weil auch wenn jetzt tatsächlich die Betroffenen oder die Bürger
immer besser in Datenschutzbelangen werden und immer häufiger gerne zu den Mitteln
der Geltendmachung der Auskunftsrechte greifen,
ist bei den Unternehmen trotzdem noch hier und da eine gewisse Unsicherheit
zu sehen, weil es eben nicht das Tagesgeschäft ist, Auskunftsersuchen zu beantworten.
Dafür sind die Unternehmen daher immer gut beraten, den DSB hinzuzuziehen.
So ist es.
So, ich komme zu meinem nächsten Urteil. Das OLG Saarbrücken hat entschieden,
dass ein Schadensersatzanspruch ausscheidet, wenn der Anspruchsteller zuvor
die Kontrolle über seine Daten aufgegeben hatte und der Vorfall bereits fünf Jahre zurückliegt.
Konkret stellt das OLG fest, dass ein Kontrollverlust bei Daten ausscheidet,
wenn der Geschädigte zum Zeitpunkt des schädigenden Ereignisses die Kontrolle
über seine Daten nicht mehr hatte,
weil er diese bereits zuvor durch seinen eigenen Entschluss,
sie mit dem Risiko ihrer unkontrollierten Verbreitung zu vergleichbaren Zwecken
im Internet weiterzugeben,
freiwillig aufgegeben hatte.
Mit anderen Worten, hat der Betroffene die Kontrolle über seine Daten bereits
verloren, weil er sie aufgegeben hat,
kann er einen Kontrollverlust nicht mehr gelten machen und dementsprechend keinen
Schadensersatzanspruch wegen dem Kontrollverlust erhalten.
Das OLG begründet dies auch dementsprechend.
Zum einen entfällt die Ersatzpflicht dann, wenn der Schaden,
wie im vorliegenden Fall, gänzlich fern liegt.
Also sind das die fünf Jahre, aber wenn es einfach schon eine sehr lange Zeit her ist,
wo der Schaden eingetreten sein soll und zum anderen wird vom BGH hier überhaupt
ein ursächlicher kausaler Zusammenhang zwischen dem Kontrollverlust und dem
schadensauslösenden Vorfall bzw.
Dem Scraping-Vorfall nicht gesehen, wenn die Kontrolle über die betroffenen
Daten bereits vorher freiwillig aufgegeben wurde und gar nicht mehr bestand.
Sodass ein Kontrollverlust auch gar nicht mehr eintreten konnte.
Insofern haben wir hier eine Einschränkung des Schadensersatzanspruchs,
aus Artikel 82, der ja bisher gegriffen hat oder nach vielen Urteilen,
über die wir auch berichtet hatten, immer dann auch gegriffen hat,
wenn ein Kontrollverlust einherging.
Allerdings, hier wieder unter der Einschränkung, nicht, wenn die Kontrolle schon
vorher freiwillig aufgegeben wurde.
Von daher glaube ich eine Konkretisierung der bisherigen Rechtsprechung, die,
nicht in jedem Fall, aber gegebenenfalls in besonderen Fällen zum Tragen kommen dürfte.
Verlassen wir den Bereich der Urteile, gehen wir rüber zum Themenblock Kuriosus.
Da haben wir ja heute zwei Nachrichten mitgebracht.
Und ja, in dieser Woche ist bekannt geworden, dass sich das Bayerische Landesamt
für Datenschutzaufsicht in einem Falschparkerstreit positioniert hat.
Wer jetzt denkt, das kommt mir doch bekannt vor. Wir haben auch bereits von
einem Urteil diesbezüglich berichtet und das ist noch gar nicht so lange her. Das war in der 45.
Kalenderwoche im letzten Jahr.
Dort hatte damals ein Nutzer einer Falschparker-App ein Foto eines falsch geparkten
Fahrzeugs eingereicht, auf dem der Beifahrer frontal sichtbar war.
Und das ORG Dresden verurteilte damals den Nutzer eben auch zur Zahlung von
Schadensersatz in Höhe von 100 Euro.
Und das Gericht hat damals eben die Anzeige von Ordnungswidrigkeiten zwar ein
berechtigtes Interesse, betonte jedoch, dass private Melder Dritter insbesondere
auf Fotos anonymisieren müssen.
Also auch sich hier an geltendes Datenschutzrecht halten müssen.
Und in die Kerbe schlägt jetzt auch meine heutige Meldung. Denn was ist denn
nun passiert im Rahmen des Falschparkerstreits?
Ein Münchner Vater meldet regelmäßig Falschparker vor der Grundschule seiner
Kinder, dokumentiert das eben mit seinem Smartphone und übermittelt über eine
bestimmte App dies an die Polizei.
Doch nach einer Beschwerde eines gemeldeten Autofahrers erhielt ausgerechnet
der Melderpost vom Bayerischen Landesamt für Datenschutzaufsicht.
Der Vorwurf bei der Fotodokumentation von Kennzeichen verarbeite er personenbezogene
Daten und müsse deshalb die Pflichten der DSGVO erfüllen, inklusive Informationspflichten,
Datensicherheit und möglichem Widerspruchsrecht.
Der Fall sorgt nun bundesweit für Aufmerksamkeit, nicht zuletzt,
weil die Deutsche Umwelthilfe den Vater unterstützt und der Datenschutzbehörde
überzogene Anforderungen vorwirft.
Also der Fall zeigt nun eben die Spannung zwischen berechtigten Bürgerengagement
und formaler Anwendung der DSGVO.
Denn in dem Streitpunkt geht es ja jetzt eben klar, dass das LDA,
also die Aufsicht, eben nicht das Fotografieren an sich infrage stellt,
sondern betont, wenn eben eine Datenverarbeitung unter DSGVO fällt,
gelten auch eben hier die Betroffenenrechte, wie beispielsweise Information,
Auskunft und Widerspruch.
Unter Verweis auf ein aktuelles EuGH-Urteil geht die Behörde von einer Direkterhebung
von Daten aus mit den entsprechenden Pflichten.
Und ja, für den einen oder anderen mag es jetzt praxisfern erscheinen,
aber das LDA hat auch einen Vorschlag, denn der Vater soll Falschparkern Kärtchen
mit QR-Codes aushändigen, die eben auf seine Datenschutzhinweise verlinken.
Die Deutsche Umwelthilfe hält dies für realitätsfern und warnt eben vor einer
faktischen Unmöglichkeit, so private Anzeigen.
Naja, long story short, ich glaube wir nehmen mit, auch für Privatpersonen gilt die DSGVO.
Man muss eben schauen, inwieweit man denn da agiert und ja, wie sagt man,
Unwissenheit schützt vor Strafe nicht wahrscheinlich im Nachgang.
Aber ich finde jetzt ganz persönlich durchaus, finde ich, nachvollziehbar,
dass da auch die Aufsicht auf den Plan gerufen wird, insbesondere im Nachgang ein Beschwerde.
Und wir haben es ja nicht nur bei Falschparkern, da hatten wir ja auch schon
an anderer Stelle vielleicht die lieben Kolleginnen und Kollegen,
die auch mal Tesla-Autos fahren,
die entsprechende PTO-Überwachung nicht deaktivieren können oder wollen.
Haben wir immer wieder an anderer Stelle auch schon gesehen.
Das Thema Informationspflichten könnte mal sehr spannend ausgelegt werden.
Wobei ich muss sagen, ich finde das gar nicht so realitätsfern.
Ich meine, die Aufsichtsbeute sagt ja nicht, dahin darfst du nicht.
Die Aufsichtsbeute sagt ja nur,
Und es gibt sogar einen konkreten Vorschlag, wie man das machen kann,
wie man die Informationspflichten umsetzen könnte, nämlich durch Visitenkärtchen mit dem QR-Code.
Und wenn ich jetzt ein Auto fotografiere und sage, oh, das parkt hier falsch
und dann hinter die Windschutzscheibe, hinter den Scheibenwischer so ein Kärtchen
hinterlege, dann ist der Aufwand irgendwo vertretbar, würde ich fast vermuten.
Und damit hat dann der Vater in dem Fall seine Pflichten erfüllt.
Also ich finde das eigentlich eine sehr praktikable Lösung.
Absolut. Im Gegenzug müsste man ja mal die Deutsche Umweltschiffe fragen,
welche Idee sie denn hat, um die Informationspflichten einzuhalten. Aber nun gut.
Okay, ich habe auch etwas aus der gleichen Rubrik, nämlich Kurioses,
Spannendes, Interessantes mitgebracht, nämlich einen Mobilfunkanbieter, Cape Mobile.
Dieser hat ein ungewöhnliches Experiment durchgeführt und ein Gewinnspiel in
seiner Datenschutzerklärung versteckt. Damit wollte das Unternehmen das Leseverhalten
seiner Kunden bei Datenschutzbestimmung testen.
Inmitten dieser Datenschutzerklärung wurde also ein hochwertiges Gewinnspiel
für eine Schweizer Reise platziert, das über zwei Wochen lang unentdeckt blieb.
Obwohl hunderte Nutzer, konkret 655, angehaben, die Bedingungen gelesen zu haben,
meldete sich zunächst niemand, was das weitverbreitete Ignorieren von Kleingedruckten verdeutlicht.
Erst nach 14 Tagen entdeckte eine technologieaffine Frau das Angebot und sicherte
sich damit den Hauptpreis, also die Reise in die Schweiz.
Das Unternehmen wollte mit dieser Aktion auf humorvolle Weise zeigen,
wie wenig Aufmerksamkeit der
privaten Datensicherheit im digitalen Alltag tatsächlich geschenkt wird.
Die Ergebnisse unterscheiden bzw.
Unterstreichen die Diskrepanz zwischen,
offiziellen Bestätigung zur Kenntnisnahme, also dieses Anklicken des Kästchen,
ich habe die Datenschutzhinweise zur Kenntnis genommen, und dem tatsächlichen
Informationsstand der Verbraucher, also ob sie es wirklich gelesen haben.
Von daher, ich finde ein sehr ungewöhnliches, aber auch wirklich ein tolles
Experiment sollte es, glaube ich, öfter geben.
Ich finde es auch richtig gut. Ich habe eine richtig gute Idee.
Ja, kommen wir zu unserer Rubrik Veröffentlichung und Veranstaltung.
Ich sagte es jetzt schon zu Beginn. Ich habe zwei mitgebracht vom Europäischen
Datenschutzausschuss.
Zum einen hat er sein FAQ-Rund um das EU-US Data Privacy Framework überarbeitet
und nun auch veröffentlicht.
Findet ihr bei uns natürlich in den Shownotes.
Ebenso veröffentlicht wurde die Geschäftsordnung für das informelle Gremium
der EU-Datenschutzbehörden gemäß dem EU-US Datenschutzrahmenwerk. Schwierige Wörter.
Also das informelle Gremium der EU-Datenschutzbehörden ist ja eben speziell
für Beschwerden im Rahmen des DDPF zuständig.
Also wenn Bürger Unregelmäßigkeiten bei der Verarbeitung ihrer in die USA übermittelten
Daten melden, prüft eben dieses Gremium den Sachverhalt und erteilt den beteiligten
Unternehmen unter anderem verbindliche Ratschläge.
Und wie eben dort gearbeitet wird, das findet ihr genau in diesem Dokument.
Ebenso für Spezialisten von euch im politischen Bereich gibt es eine ganz interessante
Veranstaltung vom Europäischen Datenschutzausschuss, nämlich am 27.
März. Da gibt es eine digitale Veranstaltung, um Fachwissen zur Handhabung personenbezogener
Daten im Bereich der politischen Werbung einzuholen.
Ziel des Treffens ist es, Rückmeldungen von Experten und Organisationen zu sammeln,
die in die Erstellung neuer Leitlinien zur Transparenz und gezielten Ansprachen
von Wählern einfließen sollen.
Diese Initiative ist Teil des aktuellen Arbeitsprogramms, welches die demokratische
Integrität durch klare Regeln für Werbemaßnahmen stärken möchte.
Also interessierte Fachleute sind dazu aufgerufen, Engagement zu zeigen und
den Ausschuss bei der Ausarbeitung dieser wichtigen Regulierungsvorgaben zu unterstützen.
Wir sind jetzt fast am Ende. Kein Spezialistenwissen, wie gesagt,
braucht ihr für die neue Themenfolge mit Heiko und Professor Dr.
Rossnagel und die Veranstaltung für Stefan zum Thema NIST 2.
Ich habe es gerade vergessen zu erwähnen. Es hat mir gerade nur eingefallen.
Wo findet ihr denn die Anmeldung zu dem Thementagnis 2?
Und zwar ist das auf it-sicherheit-online.com unter dem Bereich Webinare.
Aber auch das packen wir euch selbstverständlich gerne in die Shownotes.
Das machen wir. Und damit sind wir auch schon am Ende unserer heutigen Folge.
Wir hoffen, dass es euch wie immer gefallen hat und wünschen euch schon mal
ein schönes Wochenende, wenn ihr das heute noch hört oder morgen.
Oder einen guten Start in die neue Woche, wenn ihr das demnächst in der neuen Woche hört.
Von daher, wir sagen Tschüss und bis zum nächsten Mal.
Bis zum nächsten Mal.