Der unterschätzte Art. 22 DSGVO – DS News KW 35/2025

Transkript zur Folge:

Ist die Bußgeldhöhe richtig?
Die Bußgeldhöhe ist richtig, ja. 42.000 Euro.
Ich habe 240 verstanden. Dann habe ich nichts gesagt.
42.000. Ich hoffe, ich habe da nicht zu sehr genuschelt. Also 42.000.
Ist ja auch Geld.
Ist eine Menge Geld.
Okay. Okay, legen wir los.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir begrüßen euch wieder zum Wochenrückblick auf die Datenschutz-News der Migosens.
Heute ist Freitag, der 29. August 2025.
Ich heiße Heiko Gossen.
Und mein Name ist Laura Duschinski.
Unser Redaktionsschluss war um 10 Uhr. Wir haben wieder etliche Themen in der Woche gehabt.
Laura, welche Themen hast du heute mitgebracht?
Ja, zuallererst bringe ich heute eine Nachricht zum Microsoft Co-Pilot mit.
Weiter geht es mit einer Veränderung in der Schweiz, nämlich,
dass wir hier ein Unternehmen haben, dass der Schweiz den Rücken zukehrt.
Weiter geht's mit Neuerungen bei WhatsApp, die zukünftig geplant sind.
Und natürlich möchte ich auch hier die Berufung zum Facebook Fanpage Verfahren
der BFDI thematisieren, bevor es dann auch bei mir zu Leseempfehlungen und auch
einem Veranstaltungstipp kommt.
Gute Themen. Ich würde einmal auf unser Titelthema schauen, nämlich inwieweit
der Artikel 22 auf Datenverarbeitungen anzuwenden ist, hier konkret im Falle
eines Abfallgebührenbescheides.
Dann schauen wir auf die Entwicklung der E-Mail-Sicherheit und eine Zwischenbilanz,
die das BSI gezogen hat und auf ein Bußgeld in Spanien über 42.000 Euro gegen einen Reiseanbieter.
Natürlich hätte ich dann noch ein, zwei Veröffentlichungen mit im Gepäck.
Ja, ich starte mal. Der KI-Assistent Copilot für Microsoft 365 ignorierte seine
eigenen Dokumentenzugriffe bei der Protokollierung.
Laut Medienberichten hat Microsoft bestätigt, dass es beim KI-Assistenten Copilot
in Microsoft 365 über Monate ein Problem mit den Zugriffsprotokollen gab.
Unter bestimmten Bedingungen wurden Zugriffe auf Dokumente durch den KI-Assistenten
nicht korrekt protokolliert.
Damit war eben für Unternehmen nicht in allen Fällen konstant nachvollziehbar,
wer auf sensible Inhalte zugegriffen hat.
Weil man kann ja eben den Co-Pilot fragen, zeig mir bitte XY-Dokumente an.
Und das ist natürlich ein Datenzugriff. Gerade eben für Organisationen mit hohen
Anforderungen an Compliance, Datenschutz und Informationssicherheit ist das
natürlich sehr kritisch.
Ja, vollständige und unverfälschte Protokolle sind eben eine Grundvoraussetzung,
um zum einen natürlich Sicherheitsvorfälle nachvollziehen zu können,
aber auch gesetzliche Nachweispflichten, entweder aus der DSVO,
aber auch anderen branchenspezifischen Regularien nachkommen zu können und diese zu erfüllen.
Microsoft hat nach eigenen Angaben die Lücke mittlerweile wohl behoben.
Allerdings zeigt eben auch der Vorfall, dass Unternehmen nicht ausschließlich
auf die Protokollierungsfunktion ihrer eingesetzten Dienste vertrauen sollten,
insbesondere wenn diese halt auch durch künstliche Intelligenz unterstützt werden.
Wir können jetzt also nur Verantwortlichen empfehlen, regelmäßig auch immer
mal wieder mit Audits zu überprüfen, aber auch Monitoring und Prozesse zu überprüfen
und damit sicherzustellen.
Dass eben geschäftskritische Daten ergänzenden Kontrollmechanismen ausgesetzt sind.
Beispielsweise könnten jetzt zuhören auch, wie gesagt, Monitoring-Lösungen oder
unabhängige Protokollierungen, um eben die Integrität der Zugriffsüberwachung nachzukommen bzw.
Diese sicherzustellen. Ich denke, das kann durchaus ein Weg sein,
um das Risiko bei einer etwaigen Nicht-Einhaltung von Compliance-Anforderungen entgegenzuwirken.
Eigene Protokollierung ist natürlich, wenn die Daten jetzt in der Cloud liegen,
also in dem Fall SharePoint oder OneDrive ist es natürlich schwierig,
aber bei eigenen Datenhaltungen sollte man das auf jeden Fall tun.
Ja, ein automatisiert erstellter Abfallgebührenbescheid ist eine unzulässige
Einzelentscheidung im Sinne von Artikel 22 DSGVO, wenn keine menschliche Kontrolle vorgesehen ist.
Genau das hat nämlich das Verwaltungsgericht Bremen Mitte Juli diesen Jahres entschieden.
Die Abrechnung war eine Entscheidung mit rechtlicher Wirkung und sie war ausschließlich
automatisiert, da keine menschliche Kontrolle vorgesehen war.
Damit handelt es sich laut Gericht um eine automatisierte Einzelentscheidung
im Sinne des Artikels 22 DSGVO.
Und weil es dafür auch keine ausdrückliche gesetzliche Grundlage gab,
war der Bescheid damit, also der Gebührenbescheid, formell rechtswidrig.
Das Spannende, der spätere Widerrufsbescheid oder Widerspruchsbescheid,
so wurde dann von einem Menschen bearbeitet und das hat laut Gericht an diesen
Datenschutzverstoß aber wiederum geheilt.
Der Kläger bekam also in diesem Fall nur teilweise recht.
Die automatisierte Entscheidung war also unzulässig, aber durch das menschliche
Eingreifen im Widerspruchsverfahren wurde der Fehler ausgeglichen.
Ja, was war der Hintergrund?
Stadt Bremen hatte für das Jahr 2022 Abfallgebührenbescheide verschickt und
zwar vollautomatisiert.
Die Entscheidung, wie hoch die Abgabe ist, wurde also von einer Software berechnet
und Einbürger hatte dann entsprechend Widerspruch eingelegt mit dem Argument,
dass es sich eben um diese automatisierte Einzelentscheidung im Sinne von 2022 DSGVO handele,
die seiner Auffassung halt nach nicht zulässig sei. So, was machen wir damit?
Also ich persönlich muss sagen, ich finde die Einschätzung schwierig.
Was würde das bedeuten, wenn wir das auf Unternehmen übertragen,
die im Massengeschäft tätig sind, jeder Online-Dienst, der automatisiert Rechnungen
erstellt, Telekommunikation, Energieversorgung und überall, wo, wie gesagt,
automatisiert diese Rechnungen erstellt werden, hätte das, wenn man dieser Auslegung
folgt, glaube ich, massive Implikationen, Beziehungsweise man müsste halt genau
schauen, worauf würde man das halt stützen.
Jetzt könnte man natürlich argumentieren zu sagen, okay, Artikel 22 Absatz 1
sagt ja, es ist zulässig, wenn sie für den Vertrag erforderlich ist.
Das halte ich aber, also kann man tun, ja, könnte man sagen,
ist vielleicht hier für die Vertragserfüllung erforderlich.
Bei einem privatwirtschaftlichen Vertrag halte ich aber auch eher für nicht
erforderlich, denn wenn man, und das glaube ich, hat das Gericht vielleicht nicht getan,
nämlich in der Wägungsgrund 71 zu schauen, der DSGVO, da steht ja nochmal explizit drin,
dass es hier vor allen Dingen um eine Entscheidung zur Bewertung von persönlichen
Aspekten geht, die ausschließlich auf eine automatisierte Verarbeitung beruht.
Und rechtliche Wirkung für den Betroffenen entfaltet.
Also ehrlich gesagt, bei dem Gebührenbescheid frage ich mich,
wo so viel persönliche Aspekte drinstecken. Aber...
Sei es drum, es ist, wie es ist. Ist jetzt Verwaltungsgericht Bremen,
also mal gucken, wie weit diese Einschätzung und Bewertung vielleicht auch noch
andere Gerichte beschäftigen darf.
Genau, keine höchstwichterliche Instanz, aber ich bin der Meinung,
eben auch gar nicht mal so verkehrt nochmal an den Artikel 22 zu erinnern.
Und ich glaube, darum geht es ja auch an der einen oder anderen Stelle im Unternehmen,
auch das zu dokumentieren, zu sagen, okay, habe ich es denn bei meiner Datenverarbeitung
denn überhaupt betrachtet?
Und steht es irgendwo und wenn ich dann natürlich zu dem, wie du jetzt sagst,
in der normalen Unternehmenswelt, in Anführungsstrichen natürlich gesagt,
komme ich zu dem Ergebnis, nee, es ist eben aus den und den Gründen,
betrifft es diesen Artikel nicht, ist man ja glaube ich auch als Unternehmen
schon mal einen ganz großen Schritt weiter.
Genau, das, was wir immer sagen, aufschreiben, dokumentieren,
sich Gedanken machen, ist die halbe Miete.
So ist es. Proton investiert in die EU-Infrastruktur und verlegt erste Dienste
aus der Schweiz. Auslöser sind hierfür die geplanten Gesetzesänderungen.
Der Anbieter Proton, bekannt für seine datenschutzorientierten Dienste wie ProtonMail
und VPN, verlagert große Teile seiner physischen Infrastruktur von der Schweiz
in die Europäische Union.
Hintergrund sind die geplanten Änderungen der Verordnung über die Überwachung
des Post- und Fernmeldeverkehrs in der Schweiz.
Die Reform sieht unter anderem vor, dass Online-Dienste mit mehr als 5000 Nutzern
künftig Metadaten wie IP-Adressen sechs Monate speichern,
Nutzer verpflichtend identifizieren und Sicherheitsbehörden beim Entschlüssel
von Inhalten unterstützen müssen.
Proton warnt, dass eben damit staatliche Überwachungsbefugnisse geschaffen würden,
die eben die eigenen Datenschutzversprechen untergraben.
Als erstes Produkt zieht der neue KI-Assistent LUMO in die EU-Infrastruktur
um, und zwar mit einem Serverstandort in Deutschland.
Grundsätzlich plant Proton Investitionen von über 100 Millionen Euro,
um damit eben auch die digitale Souveränität Europas zu stärken nach ihren Aussagen.
Ein kompletter Rückzug aus der Schweiz sei jedoch nicht geplant.
Laut den Aussagen baut das Unternehmen eben zusätzliche Standorte aus,
beispielsweise auch in Norwegen, um flexibel reagieren zu können.
Also ich finde, das ist mal wieder ein Schritt, der eben verdeutlicht,
dass Anbieter durchaus reagieren, also mittlerweile reagieren und hier auch
eben sehr sensibel auf Rechtsunsicherheiten im Bereich der Überwachung und wie
jetzt auch hier im Bereich der Verschlüsselung.
Und klar, ich glaube, das gilt auch für jeden Verantwortlichen sonst.
Immer wieder die rechtlichen Rahmenbedingungen auch insbesondere in einem Drittland,
wie auch der Schweiz, auch wenn es hier einen Angemessenheitsbeschluss gibt,
stellt einen natürlich nicht frei, auch hier die rechtlichen Situationen ganz genau zu beobachten.
Und ja, man ist eben immer gut beraten, insbesondere beim Drittstaatentransfer
zu schauen, wo gehen die Daten hin, wo werden sie tatsächlich am Ende des Tages
verarbeitet und wie sehen die rechtlichen Zugriffsmöglichkeiten dort aus.
Unter dem Strich kann es natürlich auch nie verkehrt sein, strategisch zu entscheiden,
dass man Anbieter grundsätzlich bevorzugt, die eben transparent in europäische
Infrastruktur investieren und sich klar zu hohen Datenschutzstandards bekennen.
Aber das funktioniert natürlich auch nicht immer.
Ich würde sagen, wir halten natürlich weiter ein Auge in die Schweiz.
Ich bin gespannt, was da noch passiert, ob überhaupt was passiert.
Das steht ja auch noch in den Sternen, weil man merkt auch, der Druck aus der
Bevölkerung steigt wohl auch mit der einen oder anderen Petition, die dort gestartet hat.
Aber ja, ihr lieben Zuhörer, wir bleiben da aktuell für euch dran.
Und man sieht, DSGVO kann nach wie vor auch Wettbewerbsvorteil sein.
Nicht nur DSGVO, es ist natürlich auch viele andere Vorschriften,
die hier mit reinspielen.
Gerade wenn man Dienste anbietet, die Vertraulichkeit, Verschlüsselung und so
weiter natürlich dann auch als zentrales Verkaufsargument haben.
Ja, wir bleiben beim Thema Sicherheit.
Das Bundesamt für Sicherheit in der Informationstechnik, das BSI,
hat im August in Berlin erste Fortschritte seiner freiwilligen Initiative zur
E-Mail-Sicherheit gemeldet, sieht aber weiterhin große Defizite bei wichtigen Schutzstandards.
150 E-Mail-Erbieter und Hoster haben sich der Aktion, über die wir hier auch
berichtet haben, angeschlossen.
Viele Maßnahmen wie DNSSEC oder
DANE waren bisher nur beim Bruchteil der Unternehmen korrekt umgesetzt.
Im Rahmen der Aktion hat das BSI viele Unternehmen gezielt angesprochen.
Die haben ihre Quoten bis Juni wohl deutlich gesteigert.
Das BSI veröffentlicht jetzt eine Liste, die jeden Anbieter nach sieben Prüfkriterien bewertet.
Hier fallen laut Heise aber einige Anbieter auch auf, also zum Beispiel Gmail,
Outlook oder auch MSN, denn die erfüllen aktuell nur fünf von sieben Kriterien.
Was laut einer Pressekonferenz von BSI, ECO und Bitkom klar ist,
dass die Maßnahmen einer Ende-zu-Ende-Verschlüsselung natürlich hier nicht ersetzt werden können.
Und die Anwender ist, glaube ich, auch relativ klar, natürlich weiterhin der
Pflicht sind sich auch Gedanken darum zu machen.
Aus meiner Sicht sollten Unternehmen, die eigene E-Mail-Server betreiben,
sich aber mit den Kriterien auch auseinandersetzen.
Denn ich sehe halt da natürlich auch oft Potenzial, die Sicherheit zu erhöhen.
Oder wenn man ihn halt nicht selber betreibt, dann den eigenen E-Mail-Provider
vielleicht nochmal fragen, wenn er nicht sowieso Bestandteil dieser Aktion ist.
Oder vielleicht auch mal aktiv prüfen, was er davon umgesetzt hat.
Das ist schön, wenn ein positives Fazit gezogen wurde.
Ja, aber wie gesagt, trotzdem auch mit erhobenen Zeigefinger.
Den erhobenen Zeigefinger gab es auch bei WhatsApp, denn eine neue WhatsApp-Funktion
zur KI-Textunterstützung setzt auf Private Processing und dies erfordert aber
weiterhin Vertrauen in die Infrastruktur.
WhatsApp führt eben eine neue Funktion ein, die sich Writing Help nennt,
also eine KI-gestützte Schreibhilfe für Kurznachrichten.
Zunächst startet der Dienst in den USA, weitere Länder und Sprachen sollen aber kurzfristig folgen.
Besonders relevant ist auch eben hier die Frage, wie lässt sich eben so ein
KI-Service mit Ende-zu-Ende verschlüsselten Chats vereinbaren?
Und Metas Antwort heißt dabei Private Processing, eine Architektur,
die Nachrichten anonymisiert, isoliert verarbeitet und dann auch direkt wieder löscht.
Zwei unabhängig veröffentlichte Sicherheitsprüfungen zeigen allerdings.
Dass das System zu Beginn sehr verwundbar war.
Also insgesamt bestanden wohl 49 Schwachstellen, diese wurden jedenfalls von
den Sicherheitsforschern gefunden und von Risiken bei der Deanonymisierung bis
hin zu fehlenden Mechanismen,
die die Aktualität der Sicherheitsumgebung überprüfen sollen,
war halt wohl einiges dabei.
Meta betont aber zwischenzeitlich, dass eben die kritischen Probleme behoben seien.
Zusammengefasst ist sich aber eben feststellen, dass trotz ambitionierter Technik
eben das Vertrauen eine Grundvoraussetzung bleibt.
Also die Nutzer von WhatsApp müssen darauf vertrauen, dass Meta und seine Infrastrukturpartner
keine verdeckten Möglichkeiten zur De-Anonymisierung haben oder auch eben Zugriff auf Daten nutzen.
Für Unternehmen wiederum bedeutet das ja eben auch, selbst wenn Technik vielversprechend klingt.
Dass man halt immer vorsichtig sein muss, was die andere Aussage angeht und
halt genau geprüft werden muss und ob und wie KI-Funktionen insbesondere in
Kommunikationsdiensten datenschutzkonform eingesetzt werden.
Also hier, wir waren ja immer wieder davor, eigentlich ohne internen Richtlinien
oder auch andere Regelungen zum sensiblen Austausch in solchen Umgebungen,
dass das besser ausgeschlossen werden sollte und so weiter, aber grundsätzlich
halt vorsichtig zu sein.
Ich finde aber den Ansatz sehr gut zu sagen, wir lassen das extern überprüfen
und gehen damit auch offen um.
Das schafft natürlich auf der anderen Seite auch wieder Vertrauen.
Von daher schauen wir. Die spanische Datenschutzaufsichtsbehörde hat das Sanktionsverfahren
gegen den Reiseanbieter World2Meet mit Entscheidung vom 18.
Juli beendet, nachdem das Unternehmen seine Verantwortung anerkannt und die
reduzierte Geldbuße in Höhe von 42.000 Euro freiwillig gezahlt hat.
Gregor und David hatten ja hier in der KW 32 schon von der Warnung der spanischen
Aufsichtsbehörde berichtet, keine Ausweiskopien von Hotelgästen anzufertigen.
Die AIPD, die Aufsichtsbehörde, sah darin einen Verstoß gegen das Datenminimierungsprinzip
aus Artikel 5 der DSGVO und hatte ursprünglich jetzt dann gegen dieses Unternehmen
eine Strafe in Höhe von 70.000 Euro vorgesehen.
Die haben die Strafe anerkannt und auch Verantwortung übernommen,
haben aber dadurch auch das Bußgeld um 40 Prozent verringern können.
Die haben jetzt noch quasi einen Monat Frist, gegen diese Entscheidung vorzugehen,
aber das sieht eigentlich soweit, denke ich, ganz gut aus, wenn die das Bußgeld
schon freiwillig bezahlt haben.
Basierend auf dem veröffentlichten Bescheid konnten wir jetzt auch nachvollziehen,
dass die Beschwerde, die das Verfahren ausgelöst hat, aus dem Juni letzten Jahres war.
Die Rechtslage zu den Facebook-Fanpages bleibt weiterhin offen,
denn die BFDI zieht vor das OVG Münster und gibt Behörden Praxishinweise.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat Berufung
gegen das Urteil des Verwaltungsgerichts Köln vom Juli 2025 eingelegt.
Das ist letzten Freitag passiert, Heiko, nachdem wir aufgenommen hatten.
Ich hatte es auch gesehen und gedacht, es ist gemein.
Ich finde, da hätte man die BfB drauf achten können, dass unser Redaktionsschluss
um 10 Uhr ist. Aber nun gut.
Also damit wir nun das Oberverwaltungsgericht Münster über die Rechtmäßigkeit
des Betriebs von Facebook-Fanpages durch öffentliche Stellen in der nächsten Instanz entscheiden.
Hintergrund ist ja eben die anhaltende Diskussion, ob Behörden datenschutzrechtlich
verantwortlich für die Verarbeitung personenbezogener Daten auf Plattformen
wie Facebook sind und ob sich dies überhaupt im Einklang mit der DSGVO gestalten lässt.
Solange kein letztinstanzliches Urteil vorliegt, bleibt eben die Rechtslage unsicher.
Um dennoch Orientierung zu bieten, hat die BFDI in ihrer Pressemitteilung darauf
hingewiesen, dass sie auch eine Handreichung dazu veröffentlicht.
Diese soll eben Bundesbehörden dabei unterstützen, soziale Netzwerke bis auf
Weiteres möglichst rechtskonform zu nutzen.
Ziel sei es eben, die digitale Kommunikation mit Bürgerinnen und Bürgern zu
ermöglichen, ohne eben die ungelösten Fragen zu ignorieren.
Öffentliche Stellen sollten eben die Handreichung der BFDI prüfen und eben ihre
Social-Media-Nutzung darauf abstimmen.
Für private Unternehmen oder Bürger ändert sich durch das Verfahren aktuell
aber erstmal nichts. Generell gilt eben, Verantwortliche sollten grundsätzlich
eben die Entwicklung des Fanpage-Verfahrens auch hier eng verfolgen.
Da wir auch schon eben davon ausgehen, dass das Urteil doch durchaus wegweisend
für die grundsätzliche Nutzung der sozialen Netzwerke in Deutschland für Verantwortliche sein kann.
Aber auch da sehen wir uns auch einen Auftrag drin, das für euch zu tun.
Genau. Und wir sind ja dankbar, dass die BFD das Verfahren gegen eine Regierungsstelle
führt und nicht gegen privatwirtschaftliche Unternehmen so ein Statusempel statuieren möchte.
Nein, ich glaube, da ist richterliche Klärung, gesetzliche, höchstrichterliche
Klärung auf jeden Fall begrüßenswert, um da für alle Rechtssicherheit zu schaffen.
Kommen wir zu unseren Veröffentlichungen und Veranstaltungen.
Behörden aus zwölf Staaten, darunter unter anderem Australien,
Kanada, Deutschland und die USA, haben am 28.
August einen gemeinsamen Leitfaden veröffentlicht und Telekommunikationsanbieter
weltweit vor Cyberangriffen chinesischer Gruppen wie Soul Typhoon gewarnt.
Der Leitfaden hat das Vorgehen der Angräfer beschrieben oder beschreibt das,
aber auch Indikatoren zur Entdeckung genannt und konkrete Gegenmaßnahmen empfohlen.
Beteiligt auf deutscher Seite waren unter anderem das Bundesamt für Sicherheit
in der Informationstechnik, also das BSI, der Bundesnachrichtendienst und der
Verfassungsschutz. Im Dokument geht es dann auch um diese verschiedene Gruppen.
Diese Gruppen haben wohl vor allen Dingen ungepatchte Router-Schwachstellen
auch häufig ausgenutzt und monatelang so Kommunikations- und Standortdaten abgegriffen.
Die Behörden haben hier auch auf sehr tiefes Fachwissen der Angreifer verwiesen
und vor möglichen Attacken auch auf weitere Branchen wie Gastgewerbe oder Transport gewarnt.
Empfehlungen also daher insbesondere natürlich jetzt an unsere Zuhörer aus dem
Telekommunikationsumfeld.
Aber wie gesagt, auch andere Branchen sollten hier sich das vielleicht nochmal
ansehen, wenn sie entsprechend exponiert sind und schauen, was sie da an Indikatoren
und Gegenmaßnahmen ableiten können.
Ja, der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg
hat sein Online-Tool Onkida oder auch lang den Orientierungshilfen-Navigator
KI und Datenschutz in einer neuen Version veröffentlicht in dieser Woche.
Und ja, das Online-Tool dient Behörden und Unternehmen eben als Arbeitshilfe
beim datenschutzkonformen Einsatz von künstlicher Intelligenz und gibt eben
klar strukturierte Übersicht über zentrale Fragen und benennt rechtliche Grundlagen
und verlinkt auch auf aktuelle Handreichung und Stellungnahmen europäischer Aufsichtsbehörden.
Was ist in der neuen Version jetzt enthalten oder unter anderem enthalten?
Das ist zum einen das aktualisierte Diskussionspapier Rechtsgrundlagen im Datenschutz
beim Einsatz von KI der Aufsichtsbehörde in Baden-Württemberg.
Dann die DSK-Orientierungshilfe zu den technischen und organisatorischen Maßnahmen.
Auch die Empfehlung der französischen Aufsichtsbehörde der KNIL zur KI-Entwicklung hat es reingeschafft.
Sowie auch die Stellungnahmen des Europäischen Datenschutzausschusses.
Sowie auch weitere aktuelle Dokumente und Risikoanalysen zu Large Language Models.
Also auch das findet ihr in den Shownotes.
Kann ich wirklich sehr empfehlen, diese Referenz. Die hilft durchaus bei einigen
Betrachtungen da nochmal auf die aktuellen Dokumente immer zugreifen zu können.
Ich persönlich finde es halt manchmal schwierig, sich an alle Veröffentlichungen
zu erinnern zu bestimmten Themen.
Von daher, wenn es noch andere Aufsichtsbehörden gibt, die ähnliche Papiere
haben und veröffentlichen möchten zu anderen Themen, ich glaube,
ist jeder Praktiker dankbar für. Ich habe noch einen Veröffentlichungshinweis
für unsere zuhörenden Lehrer oder auch Schul-DSBs.
Die Landesbeauftragte für Datenschutz in NRW, Frau Geig, hat zum Schulbeginn
Hinweise zur Nutzung von iPads im Unterricht gegeben.
Sie weist darauf hin, dass in den Vertragsunterlagen von Apple ja festgelegt
sei, dass Nutzungsdaten über die iCloud auch in den USA und möglicherweise weiteren
Drittländern übertragen werden können.
Und da Schulen keine Daten für unternehmenseigene Zwecke bereitstellen dürfen,
stellt dies eine Herausforderung laut Frau Geig für den datenschutzgerechten Einsatz der Geräte dar.
Deswegen verweist sie zu weiteren Informationen auf ihren Tätigkeitsbericht
und wir verlinke natürlich die Pressemitteilung in den Shownotes.
Und last but not least möchte ich gerne eine Herzensempfehlung aussprechen zu
einem Webinar unserer lieben Kollegin Elisa aus dem Team WorkSmart der Megosens.
Denn ja, nicht nur uns, sondern auch Organisationen hilft das Team dabei,
ihre Arbeitswelt so zu gestalten, dass Menschen ihr Potenzial entfalten,
gesund bleiben und wirklich gern zur Arbeit kommen.
Elisa ist Inka-Coach und nun auch Teil einer Webinarreihe im Rahmen der Inka-Aktionswochen,
auf die wir eben hier auch super gerne aufmerksam machen wollen.
Konkret geht es um das Thema, wie KMU Fachkräfte wirksam integrieren,
die Arbeitsfähigkeit von Teams nachhaltig gestärkt und wie auch Förderungen
wahrgenommen werden können.
Anmeldungen für die Webinare, die ab dem 15. September starten,
sind ab heute Nachmittag möglich und besonders schön auch kostenfrei für euch.
Alles weitere findet ihr auch wie gewohnt in den Shownotes.
Also gebt auch die Infos gerne im Unternehmen weiter, wenn ihr da entsprechende
Kollegen, Kolleginnen habt, für die das Thema vielleicht relevant sein könnte.
Ja, ich habe noch einen kleinen Hinweis am Schluss.
Ich habe nämlich diese Woche eine Themenfolge aufgenommen, die wir in Bälde
veröffentlichten. Ich kann es doch nicht genau sagen, wann.
Du hast fast Kürze gesagt.
Nein, in Bälde. Nächste Woche wird es noch nicht. Ich versuche sie jetzt aber bald zu schneiden.
Und, das will ich schon verraten, es geht um datenschutzfreundliche Alternativen
zu gängigen Tools auf Website.
Datenschutzfreundliche Varianten davon. Also, freut euch. Werden wir aber nochmal
nächste Woche sicherlich genauer sagen können, wann es dann online geht.
In diesem Sinne, ganz herzlichen Dank, liebe Laura.
Danke auch dir.
Und euch natürlich auch. Bleibt uns gewogen und auf bald.
Bis bald.