DeepL stellt auf AWS um – DS News KW 21/2026

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten heute wieder mit euch gemeinsam ins Wochenende. Mein Name ist Heiko Gossen und.
Mein Name ist Gregor Wortberg.
Heute ist Freitag, der 22. Mai 2026, unser Redaktionsschluss wie immer um 10 Uhr.
Und wir schauen wieder gemeinsam, was so die wichtigsten Themen diese Woche
waren, im Bezug natürlich auf Datenschutz.
Und ja, Gregor, was hast du mitgebracht?
Ich habe zwei Themen diese Woche mitgebracht. Einmal gab es vermutlich einen
Cyberangriff auf die Stadt Stuttgart.
Und darüber hinaus habe ich noch ein Millionen Bußgeld aus den Niederlanden
gegen den Betreiber einer Taxi-App dabei.
Darüber hinaus, die darf ich ja nicht vergessen, was ich sonst schon mal tue,
Veröffentlichungshinweise und einen Veranstaltungshinweis im Kontext der Videoüberwachung.
Ja wunderbar. Veranstaltungshinweis habe ich auch im Gepäck.
Und außerdem schauen wir nach Berlin, wo es ein Urteil gegen die AfD gab,
mit der Datenschutzaufsichtsbehörde besser zusammenzuarbeiten,
um es mal kurz zusammenzufassen.
Außerdem unser Top-Thema, die Verlagerung von DeepL, beziehungsweise die Einbindung
von DeepL von Amazon Web Services bezeichnet.
Bevor wir aber einsteigen, Gregor, gestatte mir und liebe Zuhörer,
gestattet mir einen kleinen Hinweis in eigener Sache, nämlich auf ein Seminar,
was wir durchführen werden und anbieten am 9.
Juli. Am 9. Juli findet das statt. Es richtet sich speziell an Datenschutzkoordinatoren.
Ich glaube, unsere Zuhörer sind viele, deswegen wollte ich es heute gerne hier nochmal erwähnen. 9.7.
Hier bei uns in Mühlheim, 10 bis 17 Uhr.
Und es geht nochmal natürlich auch ein bisschen um datenschutzrechtliche Grundlagen,
aber auch Rollen und Verantwortlichkeiten.
Was sind eigentlich so typische Aufgaben eines Datenschutzkoordinators?
Was muss der alles wissen?
Und wir gucken aber auch auf ein Spezialthema, zum Beispiel auf das Thema Interessenabwägung,
aber auch Informationspflichten.
Also es ist voll gespickt mit, glaube ich, sehr viel wissenswerten und lohnenswerten Dingen.
Es gibt am Ende natürlich auch ein schickes Teilnehmerzertifikat.
Also wer im Unternehmen Datenschutzkoordinator ist oder diese Rolle vielleicht
zukünftig übernehmen darf, der, glaube ich, ist da absolut richtig bei uns.
Und vielleicht ist der eine oder andere ja auch neugierig, mal hier die Räume
der MikroSense kennenzulernen. Gute Gelegenheit dafür.
Den Flyer mit allen Details, was es kostet und so weiter, packen wir natürlich in die Shownotes.
Und damit, Gregor, würde ich sagen, the floor is yours.
Wunderbar, dann nutze ich mal meine Bühne für die Stadt Stuttgart.
Und die ist nämlich offenbar, muss man noch dazu sagen, Opfer eines Cyberangriffs
geworden. Dies berichtet Heise in dieser Woche.
Zumindest behauptet das die Cybergang Resider. Ich hoffe, ich habe sie richtig ausgesprochen.
Die ist in der Vergangenheit schon aufgefallen mit Angriffen auf die British
Library und die Deutsche Welthungerhilfe. und die Eingreifer seien in die Systeme
der Stadt eingedrungen und hätten sensible Daten kopiert.
Im Darknet werden diese dann auf dem Auftritt der Cybergang zum Kauf angeboten.
Zudem läuft dort ein siebentägiger Countdown. Der Kaufpreis liegt bei 5 Bitcoin,
umgerechnet aktuell ca.
330.000 Euro und man erhalte dafür exklusive Nutzungsrechte alleinige und die
Daten würden auch nicht verunders weiterverkauft werden.
Wie gütig. Belegen lässt sich der Cyberangriff allerdings noch nicht.
Auf der Darknet-Webseite sind wohl nur wenige eindeutig, jetzt aber auch nicht
wirklich lesbare Aufnahmen von Dokumenten, wie zum Beispiel Rechnungen zu sehen.
Und so lässt sich tatsächlich nicht bestätigen, wie sensibel die kopierten Daten wohl auch sind.
Und dementsprechend ist der Umfang des Angriffs auch noch etwas unklar.
So erscheinen die Systeme der Stadt wohl nicht wirklich kompromittiert zu sein,
also gesperrt zu sein zumindest. Also die Stadt ist auch erreichbar.
Somit hat so eine klassische Verschlüsselung der Systeme, wie es in der Vergangenheit
auch schon regelmäßig erfolgt ist, wohl dann nicht gegeben.
Die Stadt hält sich bedeckt, verweist auf aktuelle Prüfungen,
jedoch gäbe es keine Hinweise auf einen Cybervorfall.
Also alles auch noch ein bisschen widersprüchlich.
Von daher, wenn es da Neuigkeiten gibt, berichten wir gerne darüber.
Also 5 Bitcoins klingt ja erstmal, 5 Bitcoins klingt ja echt preiswert,
wenn man das so als einzelne Zahlen sieht.
Ich denke ja mal an den, der irgendwie vor 10 Jahren mal eine Pizza bezahlt
hat mit ein paar Bitcoins, der wird sich heute auch noch freuen, ja.
Gut, der deutsche KI-Anbieter Diepel setzt jetzt auf Amazon Web Services und
verschiebt damit den Fokus etwas von europäischer Datensouveränität hin zu technischer Skalierung.
Hintergrund ist ein Bericht von Heise über geänderte Nutzungsbedingungen bei
dem Kölner Übersetzungsdienst Diepel, Denn dieser erweitert nun seine technische
Infrastruktur und nutzt damit,
und das schon wohl seit Anfang des Jahres auch teilweise,
verstärkt die Cloud-Kapazitäten von AWS.
Und dieser strategische Wechsel weg von den rein eigenen Servern in Deutschland
und Island soll also die weltweite Skalierbarkeit und auch Zuverlässigkeit des
Dienstes langfristig sicherstellen.
Die Änderungen gelten bereits für Kunden des Übersetzungsdienstes,
sofern diese nicht widersprochen haben, wohl seit dem 20.
Mai. Damit wird die Datenverarbeitung für die meisten Nutzer wohl zukünftig
international in Regionen wie USA oder auch Japan erfolgen.
Diepel versichert dazu, dass
wohl weiterhin hohe Datenschutz- und Sicherheitsstandards gelten sollten.
Auch die C5-Zertifizierung soll aufrechterhalten bleiben.
Datenschutzrechtlich ist natürlich trotzdem die Umstellung nicht ganz ohne,
weil wir ja jetzt einen Drittstaatenbezug hier drin haben.
Das heißt, aus meiner Sicht sollte sich jeder jetzt die Details nochmal ansehen,
die im Unternehmen DeepL einsetzen und prüfen, inwieweit natürlich auch Datenschutzhinweise
wegen der Drittstaatentransfers eventuell angepasst werden müssen.
Kunden, die den neuen Bedingungen widersprechen oder widersprochen haben,
können den Dienst laut Heise perspektivisch dann auch nicht weiter nutzen.
Wohl nur bis Ende des Jahres gibt es dann eine Möglichkeit, dann maximal das
auf europäischen Server noch zu nutzen.
Enterprise-Kunden erhalten unter bestimmten Bedingungen Möglichkeiten,
die Kontrolle über den genauen Standort der Datenverarbeitung auszuwählen,
also zum Beispiel europäischen Server auszuwählen bei AWS und damit wählt DeepL
aber auch einen ähnlichen Weg wie viele andere Dienste,
dass man das natürlich nur bei entsprechenden großen Accounts macht und ja,
die Infrastruktur, glaube, das ist dann auch so ein bisschen die Erkenntnis,
kommt heutzutage an vielen Stellen einfach nicht mehr ohne die großen Hyperscaler aus.
Das ist wohl faktische Marktmacht, glaube ich.
Das bleibt nicht in Europa.
Die niederländische Datenschutzaufsichtsbehörde hat ein Bußgeld in Höhe von
100 Millionen Euro gegen das Unternehmen MLUBV, dem Betreiber,
der Taxi-App Jango verhängt.
In Deutschland eher unbekannt, also ich kann es jetzt auch nicht,
wird die App zumeist in Finnland und Norwegen für das Buch von Taxifahrten genutzt.
Die Untersuchung gegen das Unternehmen erfolgte dann folglich auch in Zusammenarbeit
mit den Aufsichtsbehörden der beiden Länder.
Und im Ergebnis wurde festgestellt, dass die App umfangreiche personenbezogene
Daten sowohl von Fahrgästen als auch von Taxifahrern an Server in Russland übermittelt
und auch dort speichert.
Betroffene Daten sind neben Anschriften und Kontaktinformationen auch sensible
Daten wie Sozialversicherungsnummern, präzise Standortdaten und Kopien von Führerscheinen.
Also schon nicht ganz ohne. Begründet wird das Bußgeld leider nicht so ganz
ausführlich, aber dann insbesondere damit, dass in Russland kein vergleichbares
angemessenes Schutzniveau für personenbezogenen Vorlieger und Zugriffsmöglichkeiten
durch die russische Regierung bestünden.
Laut Aussage des Vorsitzenden der niederländischen Aufsichtsbehörde hätten die
Daten insbesondere aufgrund dessen schon angemessen geschützt werden müssen.
Also ein bisschen zwischen den Zeilen scheint es da nicht nur in den Artikel
44 folgende zu gehen. Ich hatte ein bisschen gehofft, dass man da vielleicht
auch noch Aussagen findet bezüglich europäischen Standardvertragsklauseln,
TIA, TOM und so weiter und so fort.
Das kann man jetzt nur mutmaßen, wird aber sehr wahrscheinlich auch dahinter
stecken. Die Berechnungsgrundlage für das Bußgeld auch nicht ganz uninteressant.
Die MLU ist Tochter der Yandex-Gruppe und die hat halt in 2024 einen weltweiten
Jahresumsatz von gut 12 Milliarden Euro gehabt.
Und so kommen dann auch schon mal 100 Millionen Euro Bußgeld zusammen.
Das Risiko, was man in Konzernen heute hat, faktisch. Ja, spannend.
Wir gehen nach Berlin. Das Verwaltungsgericht Berlin hat entschieden,
dass Datenschutzaufsichtsbehörden auch ohne konkreten Datenschutzvorfall umfassende
Auskünfte zu Datenverarbeitungen verlangen dürfen.
Damit haben Datenschutzaufsichten nach Auffassung des Gerichts weitreichende
Ermittlungsbefugnisse auch für präventive Prüfungen ohne konkreten Anfangsverdacht.
Hintergrund war eine Beschwerde über personalisierte politische Werbung auf
Facebook im Bundestagswahlkampf 2021.
Also hat schon einen langen Weg hinter sich dieses Verfahren.
Ein Nutzer hatte sich damals darüber beschwert, dass ihm ein Wahlwerbespot anhand
bestimmter Merkmale wie Geschlecht, Alter, Wohnort und politischem Interesse
ausgespielt worden sei.
Er hatte sich dann natürlich beschwert bei der Berliner Datenschutzbeauftragten
und die nahm das dann zum Anlass, die Werbepraxis mehrerer Parteien auf Social
Media wohl mal näher zu untersuchen.
Und verlangte dafür unter anderem Informationen über weitere Anzeigenkampagnen,
Reichweiten, Zielgruppenmerkmale sowie Auswertungen von Facebook bzw.
Meta. Die AfD verweigerte die vollständige Auskunft und klagte gegen den Bescheid
der Datenschutzaufsicht und argumentierte unter anderem, die Behörde betreibe
eine unzulässige Ausforschung.
Man sei außerdem davon ausgegangen, dass diese zusätzlichen Informationen für
die konkrete Beschwerde gar nicht erforderlich seien.
Daneben berief sich die Partei auf die Parteienfreiheit aus Artikel 21 Grundgesetz
und klagte dann gegen die Berliner Aufsicht.
Das Verwaltungsgericht Berlin folgte dieser Argumentation jedoch nicht und stellte
klar, dass Datenschutzaufsichtsbehörden ihre Befugnisse nach 58 DSGVO auch präventiv ausüben dürfen.
Die Aufsicht müsste gerade auch solche Datenverarbeitungen untersuchen können,
bei denen noch nicht feststehe, ob tatsächlich ein Datenschutzverstoß vorliegt.
Und besonders bei datengetriebener Werbung und Targeting-Technologien sei auch
eine umfassende Prüfung notwendig, weil Reichweite und Auswirkungen der Verarbeitung
zunächst natürlich oft nicht vollständig erkennbar seien.
Last but not least auch die Parteienfreiheit schütze nicht davor,
datenschutzrechtliche Vorgaben einhalten zu müssen, so das Gericht.
Wir sehen also und glaube, es ist auch grundsätzlich natürlich immer richtig
zu hinterfragen, ob eine Behörde einen Auskunftsanspruch hat oder nicht.
Aber ich glaube gerade hier bei Datenschutzaufsichtsbehörden fängt er schon sehr früh an.
Also da zu kooperieren, glaube ich, ist in sehr vielen Fällen durchaus förderlich.
Mit meinem Veröffentlichungshinweis und meinem Veranstaltungstipp bleibe ich
auch im Kontext der Aufsichtsbehörden, um das mal aufzugreifen.
Die Landesdatenschutzbeauftragte Nordrhein-Westfalen Bettina Geig hat eine Aufklärungsaktion
zur privaten Videoüberwachung gestartet und dazu ein FAQ veröffentlicht,
die über datenschutzrechtliche Vorgaben für die Installation und Ausrichtung
von Kameras informiert.
Also Klassiker muss ich darüber informieren. Ist die DSGVO überhaupt gültig
im privaten Raum? welche Kamerasysteme darf ich benutzen und so weiter und so fort.
Die Initiative zielt darauf ab, die unzulässige Überwachung im öffentlichen
Raum dann auch zu vermeiden und datenschutzgerechte Lösungen zu fördern.
Und der Hintergrund ist da halt auch, dass die Behörde sich da einer steigenden
Anzahl von Anfragen natürlich auch konfrontiert sieht und einen erhöhten Beratungsbedarf dann auch hat.
Verlinkt sind in dem Kontext auch weitere Orientierungshilfen zu Dashcams,
der Kfz-Kennzeichenerkennung und
Erfassung auf Parkplätzen. sowie der Videoüberwachung in der Gastronomie.
Also lohnt sich da auch nochmal ein bisschen nach links und rechts zu schauen.
Im Kontext der Videoüberwachung möchten wir auch noch auf eine Veranstaltung
aus Baden-Württemberg, also der baden-württembergischen Datenschutzaufsichtsbehörde hinweisen.
Die findet bereits am 26. Mai statt. Und zwar findet dort die Sprechstunde der
Aufsichtsbehörde statt zum Thema Videoüberwachung, insbesondere mit Blick auf
den Paragrafen 18 des kürzlich novellierten Landesdatenschutzgesetzes.
Dieser regelt nämlich dann die Videoüberwachung in öffentlich zugänglichen Räumen.
Also die Teilnahme scheint übrigens ohne vorherige Anmeldung möglich,
also auch kurzfristig noch machbar.
Für spontan Entschlossene, wunderbar. Ja und zum Schluss noch zwei Veranstaltungshinweise
der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus der kostenfreien
Schulungsreihe Starthilfe Datenschutz 26.
Das Angebot richtet sich speziell an Vereine, Startups und aber auch Kleinunternehmen
und vermittelt praxisnah die Grundlagen des Datenschutzrechts ganz ohne Vorkenntnisse.
Also weniger für jetzt vielleicht unsere Zuhörenden direkt, aber sicherlich
für bekannte Freunde, potenzielle Kunden.
Also ihr dürft es gerne weitertragen.
2. Juni findet online von 10 bis 12 der Workshop Transparenz für alle,
Datenschutzerklärung und Verarbeitungsverzeichnis statt.
Dann haben wir am 16. Juni noch einen weiteren Themenblock rund um Auskunftsersuchen
und internationale Datenübermittlungen. Die Workshops können einzeln besucht werden.
Der Einstieg ist kostenlos und die Links findet ihr natürlich wie immer in den Shownotes.
Es gibt da auch noch weitere Veranstaltungen im Herbst und September und folgende Monate.
Also von daher lohnt da sicherlich mal einen Blick hinein.
Und damit, Gregor, sind wir für heute schon wieder durch. Ging ja schon wieder ratzfatz hier.
Ja, der Mai.
Ja, mit den ganzen Feiertagen. Da ist wenig los. Auch Richter wahrscheinlich auf den Urlaub.
Alle weg, alle im Urlaub.
Alle weg, genau. Ja, wie gesagt, die wichtigste Veranstaltung hatten wir ja
schon ganz am Anfang drauf hingewiesen.
Unser Seminar für Datenschutzkoordinatoren. Schaut, wie gesagt,
gerne mal in den Flyer rein, ob das was für euch ist. und meldet euch dann gerne kurzfristig.
Es sind noch wenige Plätze frei, von daher gebt Gas. In diesem Sinne.
Schönes Pfingstwochenende, euch allen. Dir vielen Dank, lieber Gregor.
Danke dir.
Und ja, ich würde sagen, bleibt uns gewogen und auf bald.
Schöne Pfingsten.