Datenübermittlung in USA weiter unter Feuer – Datenschutz News KW 50/2023

Moderation:

Was ist in der KW 50 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• EuGH Urteil zu Schadensersatz nach Cyberangriff, Rechtssache C-340/21
• OLG Köln erachtet den EU-US Angemessenheitsbeschluss als nicht ausreichend (OLG Köln, Urteil vom 03.11.2023, Az. 6 U 58/23 (GRUR-RS 2023, 34611)
  • Dazu Dr. Bahr
• Urteil VG Köln zu rechtswidriger Pressemitteilung (BNetzA, Az.: 1 K 3664/21)
• Österreichisches Bundesverwaltungsgericht, (Spruch vom 18.10.2023 – W108 2257611-1)
• Bundestag beschließt das „Gesetz zur verbesserten Nutzung von Gesundheitsdaten“
• Erste EU-Verordnung für Künstliche Intelligenz

Empfehlungen & Lesetipps:

• Menschen, Bilder, Datenschutz – der Jahresrückblick des Datenschutz Talk Podcast
  • 29.12.2023, 12 Uhr

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/datenubermittlung-in-usa-weiter-unter-feuer-datenschutz-news-kw-50-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Sind schon fertig mit deiner Gymnastik. Das ist wichtig, muss ich ja locker bleiben. Locker bleiben. Gutes Stichwort. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Wir begrüßen Sie wieder zu einem vorweihnachtlichen Wochenrückblick auf die Datenschutz-News. Heute ist Freitag, der 15. Dezember 223 und mein Name ist Heiko Gossen. Und mein Name ist Laura Duschinski. Unser Redaktionsschluss war bereits am vierzehnten um sechzehn Uhr dreißig, also gestern Nachmittag aus Gründen. Es gibt nicht viele Gründe, warum wir am Vortag schon unseren Redaktionsschluss machen und auch unsere Aufnahme vorziehen. Wir fällen da eigentlich nur zwei ein Laurer, das ist einmal es könnte ein Feiertag sein oder unsere Weihnachtsfeier steht an. Yes, endlich, ich freue mich sehr. Aber wir wollen Sie natürlich nicht im Regen stehen lassen, deswegen gucken wir natürlich äh trotzdem zurück. Wie gesagt, ein bisschen früher, als äh Sie das von uns gewohnt sind. Nichtsdestotrotz glaube ich, haben mir viele spannende Sachen heute dabei. Auch ganz druckfrisches Urteil. Deswegen Laura, was sieht wie sieht’s bei dir aus? Was hast’n mitgebracht? Ja genau richtig. Also druckfrisch habe ich mitgebracht eine Entscheidung vom Europäischen Gerichtshof vom 14.12. zu den Folgen eines Cyberangriffs und dem Schadensersatz, der daraus folgen kann. Des Weiteren hat’s auf meinen Zettel geschafft eine, rechtswidrige Pressemitteilung der Bundesnetzagentur und zu guter Letzt möchte ich ein bisschen was zum Gesundheits-Datennutzungsgesetz erzählen, welches im Laufe der Woche beschlossen worden ist. Ich gucke auf eine spannende Entscheidung des OLG Köln zu unserem Titelthema zur Frage auch, der EU-US-Angemessenheitsbeschluss des Data Privacy Framework äh eventuell vielleicht schon auf der Kippe stehen könnte. Dann schauen wir auf ein Urteil in Österreich zum Briefumschlag, Mit Fenster, auch interessant. Dann hätte ich noch ein Update zur KI-Verordnung und last but not least einen Hörtipp. Briefumschlag mit Fenster. Ich glaube, das wird mein Favourite dieses Jahr anteaser. Soll’s geben. Soll’s geben. Dann lass uns einsteigen, ja. So soll’s geben. Ich starte. Wie gesagt, mit einer Entscheidung vom Europäischen Gerichtshof, äh die gestern, also am 4zehnten .12, veröffentlicht worden ist. Konkret geht’s um den Schadensersatzanspruch nach Datenmissbrauch und Folge eine Cyberangriffs. Oder halt auch eben nicht. Der Europäische Gerichtshof kam jetzt zu dem Ergebnis, dass gehackte Unternehmen oder auch Behörden Schadensersatzpflichtig sind werden können, besser gesagt und konkret ging’s auch hier in dem Fall um, Den immateriellen Schadensersatz, nämlich hier um die Sorge, ob denn Daten missbräuchlich verwendet werden könnten. Jetzt horcht vielleicht der ein oder andere auf, weil wir hatten ja auch schon eine Entscheidung ähm in der Sache österreichische Post vom Europäischen Gerichtshof, wo es ja eben darum ging, ähm oder auch der immaterielle Schadensersatz beleuchtet worden ist und wo auch festgelegt wurde, dass die betroffene Person dies nachweisen muss. Dies ist in dem vorliegenden Fall jetzt ebenso. Also ähm, Es ist möglich, dass immaterieller Schadensersatz geltend gemacht werden kann, aber halt eben nur mit entsprechendem Nachweis. Ebenso ähm sieht ähm der Gerichtshof eine Ausgleichszahlung als fällig an, wenn auch Daten im Darknet dann wirklich veröffentlicht werden. Abgewendet, kann dies von Unternehmen durchaus werden oder von Behörden, nämlich dann, wenn sie einen Nachweis darüber erbringen können, dass in keiner Hinsicht die Verantwortlichkeit für den Schaden bei ihnen liegt. Ebenso hat der Europäische Gerichtshof festgestellt, dass die Gerichte in die Pflicht genommen werden müssen, nicht allein auf Grundlage des Zugriffs auf die Daten oder auf die Offenlegung ihrer Entscheidung zu begründen, dass IT-Sicherheitsvorkehrungen nicht angemessen waren. Also die müssen sich das im Detail genau ansehen, ähm ob sie eben, Wie grad schon gesagt, angemessen waren und ob sie denn gewirkt haben oder denn auch versagt haben. Vorangegangen dieser Beantwortung. Was sind Vorlagefragen? Ähm äh es ging um ein Cyberangriff im Jahre 2019 bei einer Finanzbehörde in Bulgarien und infolgedessen wurden umfangreich Steuer- und Sozialversicherungsdaten im Internet bekannt gegeben von Millionen Betroffenen und ein ein Vielzahl derer haben geklagt eben auf mit Basis auf immateriellen Schadensersatz, da sie eben Missbrauch befürchtet In Bulgarien scheiterten die Klagen in erster Instanz, da dort die Gerichte noch der Meinung waren, dass eben, seitens der Kläger, der Nachweis über fehlerhafte Schutzmaßnahmen erbracht werden muss. Wie gesagt, der Europäische Gerichtshof hat ihm nun widersprochen und ähm ja und jetzt Wie gesagt, das liegt jetzt gerade alles beim äh bulgarischen, obersten Verwaltungsgericht. Wie äh dieses halt eben die Beantwortung der Vorlage fragen wertet und wie dann halt am Ende das finale Ergebnis aussieht. Also die Frage, ob die Maßnahmen am Ende halt angemessen waren, kann halt tatsächlich auch, wenn halt unter, Ausnutzung von vielleicht Schwachstellen dazu führen, dass man dort doch sagt, das Unternehmen hat angemessene Schutzmaßnahmen ergriffen und ist deswegen im Zweifelsfall dann auch nicht, schadensersatzpflichtig. Genau, genau richtig zusammengefasst. Ähm es gab ja durchaus auch schon die Meinung, dass allein der Zuruf, also das es möglich war, automatisch dazu führt, dass man davon ausgeht, dass die Maßnahmen nicht angemessen waren, aber das erzählt nun der Europäische Gerichtshof dem halt widersprochen. Finde ich gut, ist zwar mehr Arbeit für die Gerichte und wird sicherlich auch nochmal für Gutachter und äh Forensiker sicherlich die ein oder andere, Zusatzaufgabe sein, dann bei Verfahren entsprechend äh Positionen zu erarbeiten, das darzulegen, aber ich find’s in der Sache auf jeden Fall richtig, Dann kommen wir zu meiner ersten Meldung. Ich hab’s schon angesprochen, das Oberlandesgericht Köln hat in einer Entscheidung unter anderem auch die Rechtmäßigkeit der Datenübermittlung in den USA, bewertet und äh hierfür verschiedene Dinge einbezogen, aber kommen wir, fangen wir mal vorne an. Es äh es hat mich vorher eine kleine Herausforderung gestellt, das Urteil in der Kürze der Zeit. Es ist sehr umfassend und betrachtet halt direkt mehrere Ebenen. Im dem Urteil der Verbraucherzentrale NRW gegen die Deutsche Telekom, unter anderem um das Cookie-Banner und darin auch ähm vorgenommene Einwilligungen, die die Telekom darin vorgesehen hat, Und äh ein Punkt ist die einen Unterlassungsantrag, der von der Verbraucherzentrale gestellt wurde, dass es unterlassen werden sollte, Positivdaten an die Wirtschaftsauskunft teilen einzumelden. Da hat das Gericht festgestellt, erst mal, dass dieser Pauschale. Antrag, ein allgemeines Verbot der Bemittlung, zu weitgehend ist und man halt nicht ausschließen kann, dass es halt Fälle und äh Gründe gibt, wo das halt zur Betrugsprävention. Auch im Bereich dem Interesse des Verantwortlichen liegen kann und deswegen halt nicht so pauschal gefordert werden kann. Dann hat man sie aber auch mit der Frage der, Anwendbarkeit oder beziehungsweise der AGB-Kontrolle für Datenschutz Hinweise beschäftigen Hier kommt das Gericht zu dem Ergebnis, dass Datenschutzhinweise, die erstmal der Erfüllung der Informationspflichten nach Artikel 13 und 14 DSGVO dienen. An sich erst mal, auch wenn es halt Standard Hinweise sind, nicht als allgemeine Geschäftsbedingungen gelten und deswegen habe ich nicht auch unter die AGB-Kontrolle fallen. Wenn sie halt nicht zum Gegenstand einer vorformulierten Einwilligungserklärung gemacht werden. Da kommen wir gleich noch mal zu, weil es dann nämlich auch im Weiteren in der Entscheidung unter anderem halt auch um Klauseln zu den Themen analytische Cookies und Marketing-Cookies, die in den Datenschutz hinweisen, aber auch in einer Vorformulierten Einwilligungserklärung auf dem Cookie-Banner einbezogen werden. Diese dann wiederum der Einholung einer Einwilligung von Besuchern der Webseite zum Sätzen bestimmter Cookies. Und der natürlich damit einhergehenden Datenverarbeitung und nehmen damit halt den Rechtscharakter einer vorformulierten Einwilligungserklärung ein, dann gelten sie als AGB und unterfallen dann natürlich auch der entsprechende AGB-Kontrolle. Jetzt geht’s aber noch weiter, Klauseln im Cookie-Banner, die eine Datenübermittlung von Daten nach Artikel 49 hier insbesondere Satz 1 Litt B. Darstellen sollen, die funktionieren laut BGW nicht, wenn es halt sich hier nicht um einen Erfüllen eines Vertrages mit dem Betroffenen handelt, was halt ja bei der ja Messung von Marketing und Analyse Decken nicht isst, weil es sind halt eigene Unternehmensinteressen, die hier verfolgt werden. Hier hat man aber wohl von Seitens der Telekom vorgetragen, dass es sich wohl um Fehler handelte und dass man hier eigentlich auf 49 Satz eins Lit A ab Abgezielt hat. Das hat das Gericht aber, Dahingehend ähm ja erstmal ignoriert, hat dann aber auch noch mal, wie gesagt, darauf hingewiesen, dass halt die, angeführte Argumentation, dass es sich hier halt um ein Bezahlen mit Daten handelt. Das wurde wohl auch seitens der Telekom angeführt als Begründung dafür, dass man hier entsprechend dann mit der Einwilligung, arbeite, Dass das halt nicht ausreichend dargelegt sei, weil das Bezahlen mit Daten als Hauptleistung müsste dann in den Datenschutzhinweisen auch schon irgendwie mehr gewürdigt werden, als das Getan wurde seitens der Telekom und ist auch für den Nutzer eigentlich nicht erwartbar sei, weil auf einer Webseite, wo man halt Mobilfunkverträge abschließt, müsse man jetzt auch nicht unbedingt erwarten, dass halt, Man dann für bestimmte Dinge noch mal mit seinen eigenen Daten auch bezahlt. Also von daher dahingehend auch sehr spannend und sicherlich auch nochmal für alle, die das interessiert. Lohnenswert in das Urteil selber noch mal reinzugucken. Es wird auch von den Verbraucherzentrale NRW wird’s auch verlinkt. Äh wir verlinken’s so wurde es veröffentlicht ähm und wir verlinken jetzt natürlich auch in den Show Notes. So, jetzt kommen wir aber noch mal zu dem Punkt der, angemessenheit und beziehungsweise der Frage auch des Angemessenheitsbeschlusses. Wie gesagt, es ist kein einfaches Urteil und es tut mir auch sehr leid, wenn das jetzt hier ein bisschen äh zu detailliert wird, aber ich glaube, es ist halt eins, wie gesagt, das lohnt sicherlich noch mal einen zweiten Blick, deswegen, Sehen Sie’s mir nach, wenn ich wenn ich heute ein bisschen länger dadrüber erzähle. Das Gericht geht auch auf den Angemessenheitsbeschluss ein. Und sagt halt, dass halt ähm natürlich unter Asbe unter Berücksichtigung der Rechtsprechung des EuGH im Shrimps zwei Urteil, aber auch unter der Betrachtung der vorgelegten Unterlagen der Telekom, mit Standardvertragsklauseln und den ergänzenden Maßnahmen, die seitens Google Die hier letztendlich ähm die Empfänger der Daten sind betrachtet das Ganze nicht ausreiche, auch nicht ausreiche, um eine Einwilligung nach Artikeln neunundvierzig, Satz eins Lit A einzuholen. Auch das ist, wie gesagt, ja zumindest jetzt bevor wir den angemessenen Schluss hatten, in vielen Cookie Banern ja auch der Fall gewesen, dass man hier hingegangen ist und diese Einwilligung für den Drittstaatentransfer sich auch eingeholt hat. Da wie gesagt ist das Gericht durchaus auch sehr skeptisch, kann allerdings und das ist halt das, was jetzt wie gesagt so ein bisschen noch offen ist für mich in meiner, in meinem Ergebnis. Ich kann nicht so richtig rauslesen aus dem Urteil, inwieweit jetzt sozusagen die etwas diffuse Gesamtlage der Unterlagen und die etwas, Nee, ich sage mal, nicht konsistente Argumentationen, äh worauf man jetzt was eigentlich genau stützt. Also es scheint so ein bisschen verfahren zu sein in den verschiedenen Rechtsgrundlagen und Beziehungen, die man hier irgendwie versucht hat, zusammenzu, letztendlich halt schwer rauszuhören, wo genau das Gericht ansetzt und was es noch für zulässig hält oder nicht in Betracht auf den Angemessenheitsbeschluss. Deswegen kann ich heute leider keinen abschließendes, wirkliches äh Ergebnis daraus ziehen. Es mag auch einfach an der, Kürze der Zeit liegen, dass ich’s einfach nicht so schnell durchdrungen habe. Wir verlinken auf jeden Fall noch mal auf äh in den Shownotes, auf eine Webseite von Doktor Bahr, der ja auch viel im Bereich Datenschutz unterwegs ist, der sich halt genau mit dieser Frage des Drittstaaten Transfers halt auch noch mal auseinandersetzt und der kommt halt im Ergebnis zu dem Schluss, dass halt die. Ähm das Urteil sozusagen durchaus noch mal kritisch auf dieses Detailbook schaut und das halt durchaus Potential hat, da jetzt wieder ein bisschen Unruhe. In den Karton zu bringen, was das ganze Thema angeht, weil wie gesagt, man jetzt hier schon nochmal drauf abzielt, dass halt diese, Angemessenheit durch den Beschluss, was Rechtsmittel für den Betroffenen, Transparenz für den Betroffenen angeht, nicht ausreichend geregelt ist und deswegen sagt Doktor Bahr. Das mit dem Urteil des OLG Köln 9 Zündstoff in diese Thematik US-Datentransfer reinbringt und dass halt man die Unternehmen bin ich jetzt wenige Monate aufatmen konnten, sich schon wieder mit der Frage der Zulässigkeit des Tatentransfers erneut beschäftigen müssen. Wie gesagt, ich kann’s nur empfehlen, sich vielleicht noch mal in Ruhe anzugucken. Wir tun das auch noch mal intensiver und ja, wie gesagt, wenn sich dann da jetzt noch mal neue Erkenntnisse rausgegeben, werden wir’s natürlich auch hier wieder geraderücken oder beziehungsweise noch ergänzen. Hast du mir folgen können, Laura. Ja. Aber ich habe natürlich auch schon einen kleinen Blick reingeworfen. Ähm nichtsdestotrotz, wie du schon siehst, es ist jetzt hier Orient C Sehr komplexes Urteil und ähm ich finde, es zeigt mal wieder, wie wichtig dieses Thema der Webseiten, der Artikel dreizehn, 14 Informationen ist aber auch bezahlen mit Daten, also äh wie vorsichtig man da einfach sein muss ähm in der Umsetzung und äh das ist eben nicht immer so einfach zu beantworten ist. Ganz genau und vor allen Dingen muss man halt klar sein, in dem, wo man halt was drauf stützt und wir haben ja dazu auch an verschiedenen Stellen schon drüber diskutiert, auch die ganzen Einwilligungen auch, Das Thema Nudching ist natürlich ein wichtiges Thema, aber auch die Frage, wie kann ich Einwilligung überhaupt kombinieren? Wir sind uns alle einig. Es gibt verschiedene Einwilligungen, die ich in so einem Cookie-Banner im Zweifelsfall einhole, die fürsetzen der Cookies noch 25 TTSG, Telekommunikations, Teledienste, Datenschutzgesetz und dann wiederum die Einwilligung nach ähm Artikel sechs, DSGVO, um die Daten nachher aufarbeiten zu dürfen, bis hin zu Thema Drittstaaten, Transfers ist halt wirklich was, wo man sich sehr intensiv mit beschäftigen sollte, wenn man da nicht, zu leichtfertig einem Risiko. Wie gesagt, einer gerichtlichen Auseinandersetzung oder behördlichen Auseinandersetzung geraten möchte. Aber ich kann mich auch nicht erinnern, dass wir in Vergangenheit mal so ein umfangreiches Urteil hatten, also was in so viele Bereiche geschaut hat und diese dann auch im Detail auseinandergenommen hat. Ja, vielleicht ist es auch nicht das letzte, weil die Revision ist zugelassen zum Bundesgerichtshof. Also von daher könnte es halt durchaus sein, dass oder ich gehe fast davon aus, dass die Geschichte noch nicht zu Ende erzählt ist und ja spätestens, wenn’s da eine Entscheidung gibt Vielleicht auch wieder mit Vorlagefragen zum EuGH, wer weiß? Wir werden sehen, dann werden wir hier natürlich wieder berichten. Genau, warten wir ab. Ich bleibe in Köln. Ich gehe aber rüber zum Verwaltungsgericht und habe hier ein Urteil mitgebracht aus Mitte November, was die Bundesnetzagentur betrifft. Diese darf nämlich zukünftig in ihren Pressemitteilungen die Unternehmen nicht benennen, die einen Bußgeldbescheid bekommen haben. Klage, wurde eingereicht durch eine Telemarketingbetreiberin und halt nun erfolgreich, ähm denn das Gericht sieht hier bei der Nennung des Namens eine Verletzung der Berufsfreiheit. Konkret ging es um ein Ortswidrigkeitenverfahren, schwieriges Wort. Der Bundesnetzagentur, die eben im Rahmen von unerlaubter Telefonwerbung auf den Plan gerufen worden ist und hier zu dem Ergebnis kam, dass eben ein Bußgeldbescheid zugestellt werden muss. Im Rahmen dessen ist eine Pressemitteilung der Agentur erfolgt und die Klägerin wurde eben hierrin mehrfach namentlich benannt, was ihr natürlich nicht gefallen hat. Das Gericht sieht in der streitigen Pressemitteilung eben nicht nur bloß die Information über die Tätigkeit der Agentur, sondern ähm sieht in der Ausgestaltung eine anprangernde Wirkung, wie es schreibt und ähm sieht halt, Den Sanktionscharakter des BUFGs verstärkt und nicht sogar auch übertreffend im vorliegenden Fall. Die Bundesnetzagentur hat eben damit ähm argumentiert im Rahmen des Verfahrens, dass die Verbraucher vor unzulässiger Werbung gewarnt werden sollten, aber das galt für das Gericht nicht, beziehungsweise war das für sie keine keine Basis als Grundlage ähm hier eben dieses ähm ja diese Information so weit zu verbreiten. Das Verwaltungsgericht betonte auch nochmal, dass eben die Informationspraxis, Der äh die Kartellbehörden angeschlossen sind, eben nicht gilt. Diese haben nämlich eine Gesetzesgrundlage dafür, dass sie eben die namentliche Nennung der sanktionierten Unternehmen, durchführen dürfen, also dass sie hierfür ermächtigt sind. Aber diese Rechtsgrundlage besteht eben für die Bundesnetzagentur nicht. Ähm was ich ganz spannend finde, ist eben, dass ähm aufgrund der grundsätzlichen Bedeutung der Sache für die Behördenpraxis ähm der Bundesnetzagentur nun das Gericht auch ähm ja Berufung zugelassen hat und auch die Sprungrevision. Also ähm ich glaube auch hier ist es nicht das letzte Wort gesprochen, aber auch ja für die ein oder andere Behörde ja auch interessant. Das hatten wir ja auch schon das Thema bei dem Thema Bußgeld Bescheide im Datenschutzkontext. Genau. Die Aufsichtsböden berufen sich immer so ein bisschen darauf, dass es natürlich laut DSGVO abschreckend sein soll das Urteil und sehen halt mit der Veröffentlichung dann auch genau diesen abschreckenden Charakter erfüllt, aber ich glaube, dass es nicht, konkret genug ist, um sich da halt ähnlich wie das äh Bundeskartellamt am Ende halt drauf stützen zu können. Aber wir werden sehen, oft von einigen Aufsichtsböden weiß ich auch, dass die das dann in dem Bußgeldverfahren mit den Unternehmen abstimmen und sozusagen ein bisschen dann zur Reduzierung des Bußgeldes mit einbeziehen, also man. Einmal Namen nennen, tausend Euro weniger. Bis ins Konto. Nein, aber ähm ja ist sicherlich hat dafür sicherlich auch noch Relevanz. Ich glaube, die Aufsichtsbehörden im Datenschutz werden sich das schon ganz genau ansehen, das Urteil, Ja, wir kommen zum letzten Urteil für heute. Das kommt aus Österreich. Das Bundesverwaltungsgericht dort hat entschieden und zwar die Verwendung eines Briefumschlags mit einem Fenster, in dem neben Name und Adresse auch der Zusatz ihre Liegenschaft bla, bla, bla, bla, bla, äh sichtbar ist, verstößt gegen die DSGVO. Hintergrund ist ein Werbeschreiben einer Immobilienvermittlungsfirma, die aus dem Kataster sich entsprechende Daten besorgt hat, damit Personen angeschrieben hat und je nachdem wie der Umschlag, beziehungsweise wie der Brief darin gefaltet war, Konnte man halt den Betreff lesen und der hat halt ähm wie gesagt wiedergegeben, dass es hier entsprechende Immobilien gibt Und äh das hat den Betroffenen halt gestört, den dem Umstand, dass er halt ungefragt Werbung bekommen hat und das ähm wie gesagt, hat er dann zu Gericht gebracht. Ich glaube, dass halt ohne jetzt die Details dafür, die sind besonders relevant für für die sozusagen den Hinweis, den wir an der Stelle einfach den Aufruf, den wir an der Stelle vielleicht noch mal geben wollen, für alle, die natürlich auch regelmäßig immer noch Briefsendungen verschicken, also Unternehmen, die das regelmäßig tun, ist man, glaube ich, immer wieder drauf ähm bedacht. Da sollte man immer wieder mal hinschauen als Datenschutzbeauftrag dass halt nicht zu viele Informationen dann aus dem Brief Kopf entsprechend oder durch so ein Fenster sichtbar werden. Ich habe selber auch schon bei dem ein oder anderen Brief schon mal gedacht, so ja da kann man schon relativ viel noch lesen über den Inhalt. Ähm von daher Glaube ich, ist es einfach ein guter Dass man in der Praxis noch mal drauf achtet, weil auch wenn’s in Österreich ist, wir haben ja natürlich auch viele Zuhörer in Österreich an die an der Stelle noch mal einen ganz lieben Gruß. Aber wie gesagt, es ist ja in Deutschland wird’s wahrscheinlich ähnlich entschieden werden, wenn’s da vor Gericht käme. Das denke ich auch. Wie du schon sagtest, das war das letzte Urteil und ich gehe jetzt rüber in den Bundestag, denn dieser hat im Laufe der Woche das Gesundheitsdatennutzungsgesetz beschlossen, also im Rahmen der Digitalisierung des Gesundheitswesens ähm ist es eins von zwei, nämlich ähm als weiteres wurde auch noch das Digitalgesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens ebenso beschlossen. Ähm langes Wort Es werden wieder spannende Abkürzungen zukünftig. Ähm aber ich möchte ihr lieber einen Blick oder nicht lieber, sondern ich möchte hier im Rahmen ähm unserer Folge einen Blick auf das Gesundheitsdatennutzungsgesetz. Werfen, denn dies beinhaltet nun Regelungen für die erleichterte Nutzbarkeit von Gesundheitsdaten für Gemeinwohl orientierte Zwecke. Gespeist wird halt eben dieser Bereich der Forschung von den Daten, die ja im Rahmen der elektronischen Patientenaktis ähm zugriffsfähig sind, aber auch beispielsweise E-Rezepte die ihr auch im Laufe des nächsten Jahres kommen und ähm im Rahmen dieses Gesetzes fand ich halt eben ganz spannend, dass eine ähm dezentrale, Gesundheitsdateninfrastruktur geplant ist und ähm diese soll halt eben zentral den Datenzugang steuern und halt auch eben alles rund um die Nutzung der Gesundheitsdaten koordinieren. Ebenso soll Hears zukünftig Informations- und Beratungsmöglichkeiten für Betroffene geben, also wo liegen meine Daten, unter welchen Bedingungen stehen sie welchen Bereichen zur Verfügung, aber auch ähm soll sich eben diese dezentrale Stelle, mit der Vereinfachung von Anträgen zu Forschungsvorhaben befassen. Die Bereitstellung für die Forschung der Daten erfolgt automatisch. Das finde ich ganz spannend. Also aktuell ist es so, dass es ähm ein Opt-in-Verfahren ist und dass wir zukünftig gewechselt, also man muss schon aktiv. Datenverarbeitung widersprechen. Das kann man selber über die elektronische Patientenakte tun und äh ja erklären und verwalten, wer das nicht tun möchte, kann auch seinen Widerruf oder sie widerspruch, Entschuldigung, seinen Widerspruch natürlich bei den Unbuds Stellen der Krankenkassen aussprechen, also hier gibt’s halt Möglichkeiten, dass nicht auf digitalem Wege zu tun, aber ich sage immer Man muss es halt auch wissen, dass es überhaupt möglich ist. Datenschutzmaßnahmen gibt’s im Rahmen dessen natürlich auch. Diese ja ähm technischen organisatorischen Maßnahmen wurden wohl eng in der Zusammenarbeit mit dem ähm Bundesbeauftragten für den Datenschutz und die Informationssicherheit abgestimmt, aber auch mit dem Bundesamt für Sicherheit in der Informationstechnik im BSI entwickelt. Und, Was ist es auch noch in die Pressemitteilung geschafft hat, dass eben diese Problematik der 18 Aufsichtsbehörden, die wir auch an anderen Stellen haben im Bereich des Datenschutzes auch aufgegriffen wurde und sie sehen eben im Rahmen diesem neuen Gesetz auch zukünftig eine Federführende Datenschutzaufsicht als notwendig an, die eben länderübergreifend, die Die Forschungsvorhaben weiterentwickelt und auch überwacht. Ähm also dass das eben weil Die Problematik schon gesehen wird, dass ich durchaus wahrscheinlich 18 Aufsichtsbehörden nicht immer einig werden. Und ähm um hier auch eine Beschleunigung der Verfahren ähm durchzuführen. Wer sich noch weiter mit den Details befassen möchte. Ich finde das Gesundheitsministerium hat ein ähm sehr schönes FAQ, veröffentlicht, was wir hier natürlich auch in die Shownotes packen. Das Thema mit der Aufsicht, insbesondere bei auch ja nochmal unterbrücken den ganzen Ländergesetze hatten wir ja kürzlich auch noch hier mal thematisiert, von daher absolut valider Punkt. Ja, einen anderen Gesetzesvorschlag aus 2021 und das auf europäischer Ebene von der EU-Kommission seinerzeit vorgestellt. Der sogenannte AI, den hat’s jetzt quasi auch durch den Trilog geschafft. Der steht quasi mehr oder minder jetzt kurz vor der Veröffentlichung im Amtsblatt, Beziehungsweise noch vor der formalen äh Bestätigung auch durch die entsprechenden äh Parlamente, Weil letzte Woche Freitagabend hat man sich wohl nach noch auch den letzten Verhandlungen und äh langem Hin und Her auf der Unterhändlerebene dann zwischen Europaparlament und EU-Staaten, Verständigt und nun geht’s wohl relativ zügig denke ich mal weiter, Wie gesagt, die formalen äh Zustimmungen müssten noch erfolgen, aber das gilt halt letztendlich auch nur noch als äh formale Sache. Dann wird’s natürlich bald eine Übergangsphase geben nach der Veröffentlichung im Amts und die EU-Kommission plant aber wohl zur Überbrückung, bis es dann letztendlich auch in Kraft tritt, noch ein äh KI, da möchte man VulkaI Entwickler aus Europa und der ganzen Welt zusammenbringen, die sich dann hoffentlich freiwillig dazu verpflichten, die wesentlichen Bestimmungen, des Gesetzes bereits vor dem gesetzlichen ähm Wirksamwerden letztendlich umzusetzen. Wir werden natürlich, weil wir zu dem Thema ja unter anderem, wir hatten ja regelmäßigen Zuhörer erinnern sich in Anfang diesen Jahres ja auch eine Themenfolge mit Maximilian Herrmann dazu gemacht, der das ganze Thema EU-Datenstrategie hier mit uns gemeinsam äh besprochen hat, auch über das Thema. Es hat auch ähm kürzlich noch mal in der Themenfolge mit Professor Keber ja auch Anklang gefunden, dass er hier auch fürs Datenschutz äh Thema durchaus ein Ermächtigungsgrundlagen zum Beispiel drin sind, Deswegen werden wir in Kürze ein Themen-Update dazu machen. Und in Kürze, das bringt mich natürlich gleich zu unserem Hörtipp, den ich am Anfang schon angekündigt habe. In zwei Wochen, am 29. Dezember ist es soweit, 29. Dezember 13 Uhr, merken Sie sich das gut. Da Wird nämlich unser Jahresrückblick online gehen. Menschenbilder, Datenschutz, der Jahresrückblick des Datenschutztalk Podcast und darin werden wir dann unter anderem auch mit Maximilian Herrmann Auf das Thema AI Act noch mal kurz blicken und ein kleines Themenupdate machen. Aber es gibt noch weitere Gäste, die wir heute, wo wir heute auch noch wieder die Katze aus dem Sack lassen wollten, Laura, oder? Richtig, wir haben ja gesagt, wir veröffentlichen mal In jeder Folge mal so ein Gast und ähm ich möchte berichten, dass Professor Doktor Alexander Golland auch bei uns sein wird. Ähm ja Professor für ähm Recht der Digitalisierung unter anderem und Wirtschaftsrecht, aber auch ähm ist er ja seit 2022 als Sachverständiger für den europäischen Datenschutzausschuss unterwegs. Also freue ich mich da sehr drauf, ihn In unserer Show begrüßen zu dürfen. Ja, ich kann’s kaum erwarten. Ja, ich glaube, das würde auch würde auch interessant. Von daher freue ich mich ebenfalls sehr und wir haben ja noch einen Gast, den wir nächste Woche dann verraten werden, der, glaube ich, auch noch mal interessant sein wird für viele unserer Zuhörenden. Aber dazu nächste Woche mehr. Deswegen, es lohnt sich, auch nächste Woche wieder einzuschalten. Für heute sei es das gewesen. Danke dir, Laura. Ihnen wünschen wir einen schönen dritten Advent. Bleiben Sie uns gewogen und auf bald.