DPC Ireland: Meta-Lobbyistin zukünftig in Leitungsfunktion – DS News KW 38/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir starten heute wieder mit euch gemeinsam ins Wochenende. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Wir hatten unseren Redaktionsschluss heute um 10 Uhr. Heute ist der 19.
September 2025 und wir schauen wieder gemeinsam zurück auf die Woche des Datenschutzes
und, Laura, auf eine großartige Feier, oder? Bist du schon wieder fit?
Nein, also es ist der Tag danach, wie man so schön sagt. Ja,
wir haben gestern Geburtstag gefeiert und das war großartig.
Ja, ich fand auch großartig. 20 Jahre Migosens, das feiert man nicht jeden Tag, klar.
Muss man 20 Jahre drauf warten. Aber ich finde, wir haben uns ganz gut die Korken knallen lassen, oder?
Absolut und natürlich nicht nur wir als Team, sondern es war toll,
wie viele Kunden, Geschäftspartner, aber Freunde und Gäste Teil dieser Feier
waren und ja, ich kann mir gut vorstellen,
dass wir auch in Zukunft oder in nächster Zeit ein bisschen was davon teilen
werden auf unseren Online-Präsenzen.
Genau, und da ja auch einige unserer Kunden und Partner unserem Podcast hören,
das sind auch nochmal schöne Grüße an der Stelle und ja, vielen Dank, dass ihr da wart.
Und damit würde ich sagen, Laura, gehen wir einmal vielleicht nochmal auf einen internen Hinweis ein,
nämlich wer bei der nächsten Party auch mit dabei sein möchte,
auf jeden Fall, der kann uns natürlich einerseits beauftragen,
klar, auf der anderen Seite aber auch gerne ins Team kommen und das Team verstärken.
Wir suchen weiterhin noch jemanden mit ein bisschen Berufserfahrung im Bereich
Datenschutz und der Lust auf Beratung hat und wie gesagt, idealerweise auch
Lust hat, mit uns zu feiern.
Also von daher, der Blick auf unsere Stellenanzeigen unter karriere.migosense.de,
der lohnt sich auf jeden Fall.
So ist es.
So, und damit aber einmal in unsere Themen.
Ja, können wir machen.
Was hast du dabei?
Ich habe heute dabei einmal Umfrageergebnisse, Mehrzahl, zum Thema Datenschutz,
also wie Unternehmen das aktuell empfinden. Weiter geht es mit einem kurzen
Bericht zu der Konferenz der DSK, die diese Woche getagt hat.
Dann weiter geht es mit einem in meinen Augen sehr interessanten Urteil zum
Thema Schadensersatz nach einer fehlenden Information gemäß Artikel 14 DSGVO.
Dann habe ich noch als Servicehinweis eine Sicherheitslücke mitgebracht und
zu guter Letzt zwei Veröffentlichungen.
Eine befasst sich mit dem Thema AVV und gemeinsame Verantwortlichkeit,
der Abgrenzung dazu und die neuen Leitlinien des ETSA zum Thema DSA und DSGVO.
Wunderbar. Ich fange mal hinten an. Ich habe eine Veröffentlichung mit dabei
vom BSI zur sicheren Konfiguration von Microsoft-Produkten.
Dann auch einen Servicehinweis zum Thema LinkedIn und Datennutzung.
Wir schauen auf einen Urteil vom OLG Düsseldorf zum Thema Löschen von Daten
bei Auftragsverarbeitern und natürlich unser Top-Thema auch die Meta-Lobbyistin,
die zukünftig die DPC mitleiten soll.
Aber bevor ich dazu dann gleich komme, schaue ich auch noch auf den Schlussantrag
des EuGH-Generalanwalts zum Thema Rechtsmissbräuchlichkeit von Auskunftsersuchen.
Ja, aber ordentlich was los die Woche.
Ja, ich finde auch. Das ist ja ganz gut. Müssen wir Gas geben.
Ja, dann lege ich mal los. Und zwar eine neue Umfrage des Digitalverbands Bitkom
zeigt, deutsche Unternehmen fühlen sich durch Datenschutzregeln zunehmend belastet.
97 Prozent der befragten Unternehmen gaben an, dass die Umsetzung der Vorgaben
mit hohem oder sehr hohem Aufwand verbunden ist.
Vor einem Jahr waren es noch 94 Prozent.
Mehr als die Hälfte berichtet von einem steigenden Aufwand, 16 Prozent sogar
von einem starken Anstieg.
Erleichterung sieht dagegen niemand. Vor allem wohl kleinere Unternehmen scheinen
mehr belastet zu sein, denn fast 45 Prozent der Firmen mit 20 bis 99 Beschäftigten
beklagen eben einen hohen Aufwand,
während es bei großen Unternehmen mit mehr als 500 Mitarbeitern nur 38 Prozent sind.
Also da gibt es schon ein sehr großes Gap dazwischen.
Und ja, Bitcoin-Präsident Ralf Wintergerst kritisiert in dem Zusammenhang eben
die Komplexität der Vorgaben mit vielen Aufsichtsbehörden und unterschiedlichen
Auslegungen und fordert im Rahmen der Umfragen Ergebnisse eben weniger Dokumentation
und Berichtspflichten für Unternehmen.
Auch auf EU-Ebene ist Bewegung in die Debatte gekommen,
denn die Kommission hat im Mai eben ja einen Entwurf vorgelegt,
der eine Verschlankung der DSGVO vorsieht und hier soll es ja eben Firmen mit
bis zu 749 Beschäftigten künftig weitgehend von Dokumentationspflichten befreit werden.
Also ich glaube, die Diskussion ist ja sehr groß, aktuell und auch in der Datenschutz-Bubble
gerade nicht wegzudenken.
Wir müssen aber auch sagen, das Gefühl des Belastens muss ja eigentlich auch
nicht sein, wenn man uns hat.
Richtig, genau. Also klar, wir versuchen sowieso immer so einen pragmatischen
Ansatz zu wählen und fahren da eigentlich auch ganz gut mit bei unseren Kunden.
Die sind da in der Regel, glaube ich, gefühlt nicht ganz so hoch belastet,
wie das jetzt hier in dieser Umfrage sich widerspiegelt.
Und wir waren ja vorige Woche auf der Privacy-Konferenz,
da ging es ja auch um diese Themen, auch unter anderem diese Anpassung der DSGVO,
die aber auch einhelliger Meinung ja eher so Makulatur ist, also eher so ein
bisschen Feigenblatt-Politik sein soll, weil am Ende,
ich glaube, die Erleichterungen bei dem Verarbeitungsverzeichnis jetzt auch
nicht wirklich die nennenswerten Erleichterungen darstellen.
Ich finde es aber halt, wie gesagt, spannend, dieses Gap der Wahrnehmung und
da sehe ich halt einerseits natürlich, wie gesagt,
in der Umsetzung selber, dass eine Chance ist, halt auch vielleicht ein bisschen
einfacher zu halten, aber vor allen Dingen auch unsere Aufgabe als Datenschützer,
dass wir da gemeinsam daran arbeiten, dass hier nicht Themen vermischt werden
mit anderen Digitalrechtsakten und vor allen Dingen, dass wir halt versuchen,
glaube ich, gemeinsam auch an dieser Wahrnehmung zu arbeiten.
Ja, da hat auch den Mehrwert zu schaffen für unsere Kunden, was du schon gesagt hast, das Thema,
Verarbeitungsverzeichnis, also in wie viele Dinge das doch auch positiv reinspielen
kann, dass es eben nicht einfach nur ein Dokumentationszwang ist,
den am Ende keinen mehr interessiert, sondern der eine sehr wertvolle Basis
für so viele Themen sein kann.
Absolut. Ich bin ein großer Fan davon, das Verarbeitungsverzeichnis immer als
zentrales Adrie- und Angelpunktinstrument zu sehen, von dem halt auch sehr viel sich ableiten lässt.
Und vielleicht von einer Sache möchte ich mich auch ein bisschen distanzieren,
weil als Vorsitzender des Arbeitskreises Datenschutz im Bitkom weiß ich natürlich
auch, Auch das ist mit dieser Meinungsvielfalt der Aufsichtsbehörden in den
letzten Jahren wirklich besser geworden.
Auch das haben wir auf der Privacy-Konferenz gemerkt.
Die sind da selber sehr daran interessiert, das zu verbessern im Rahmen auch der Arbeit in der DSK.
Und auch die Gesprächsbereitschaft haben wir auch auf der Privacy-Konferenz
wieder mal bestätigt bekommen. Die ist enorm gestiegen.
Also ich finde, wie gesagt, da geht Herr Wintergerst, schlägt so eine Kerbe
rein, wo ich nicht mit reinschlagen möchte. Deswegen, da distanzieren wir uns von.
So ist es, dem schließe ich mich an.
Dann gehen wir weiter. Der Generalanwalt legt den Schlussantrag zur Frage der
Rechtsmissbräuchlichkeit von Auskunftsersuchen vor.
In einem Verfahren eines Optikers hier in Deutschland gegen einen Betroffenen
aus Österreich hat der Generalanwalt am Europäischen Gerichtshof nun,
wie gesagt, seine Schlussanträge vorgelegt.
Und ja, das ist ja auch nicht selten die Richtung, in die dann auch die Richter
nachher entscheiden. Von daher etwas, mit dem wir uns dann schon auch mal beschäftigen,
vor allen Dingen in einer so nicht ganz unwichtigen Frage.
Er hat sich also zu der Frage geäußert, wann ein Auskunftsersuchender Artikel
15 der DSGVO als rechtsmissbräuchlich abgelehnt werden darf.
Und er erkennt zwar grundsätzlich an, dass ein Auskunftserlager im Ausnahmefall
auch rechtsmissbräuchlich sein kann, aber er sieht hier strenge Voraussetzungen,
die erfüllt sein müssen.
Denn erstens muss das Auskunftsersuchen aus seiner Sicht objektiv auffällig
sein, etwa ungewöhnlich häufig gestellt werden oder besonders umfangreich sein.
Und zweitens muss auch subjektiv erkennbar sein, dass der Antrag nicht der Wahrnehmung
von Datenschutzrechten dient, sondern allein Druck oder finanzielle Bereicherung
auf diese Dinge abzielt.
Jetzt kommt natürlich der entscheidende Punkt für die Praxis,
also das, was er halt auch in seinem Antrag nochmal klarstellt,
der bloße Verweis auf Medienberichte oder frühere Fälle, in denen dieselbe Person
schon DSGVO-Schadensersatz geltend gemacht hat,
das reicht halt aus seiner Sicht nicht aus.
Es kann allenfalls als Indiz gelten, aber es ist kein ausreichender Nachweis für einen Missbrauch.
Also nur weil jemand an anderer Stelle das vielleicht schon häufiger gemacht
hat, heißt nicht, dass er es nur rechtsmissbräuchlich tut.
Von daher, der Verantwortliche ist hier in der Beweislast, wenn er denn ein
Auskunftsersuchen ablehnen will auf dieser Begründung und sieht halt deswegen
auch eine pauschale Ablehnung gerade beim ersten Antrag für eher schwierig und nicht zulässig an.
Vielleicht noch kurz zum Ausgangsfall. Die betroffene Person hatte sich also
bei einem Newsletter bei dem Optiker angemeldet und 14 Tage später dann schon
eine entsprechende Auskunft über seine Daten verlangt.
Wie gesagt, der Optiker hatte dann nachgeschaut und gesehen,
dass diese Person das wohl sehr häufig so macht und daraus dann abgeleitet,
dass es hier nur um die Verfolgung von Schadensersatzansprüchen geht und deswegen
das als rechtsmissbräuchlich abgelehnt.
Boah, ich finde das ist ja so ein gemeines Thema.
Also ich kann die Argumentation natürlich nachvollziehen und nur auf Hören sagen, bedingt das zu tun.
Aber ich finde jetzt in diesem speziellen Fall, wo eine so kurze Zeit zwischen
der Anmeldung und dem Auskunftsersuchen einhergegangen ist, das finde ich persönlich schon schwierig.
Ja und auch das etwas, was uns ja auch die Aufsichtsbehörden spiegeln,
die haben ja die gleichen Herausforderungen.
Sehr viel Beschwerden, die oft nur indirekt wirklich um Datenschutz geht,
sondern es in der Regel um primär irgendwelche anderen Dinge geht, die verfolgt werden.
Hier finde ich es halt besonders perfide, wenn es dann halt wirklich nur darum
geht, den Auskunftsanspruch zum Schadensersatz umzuformen.
Also ja, finde ich nicht gut und ich finde, da braucht es halt auch irgendwie
noch mehr Instrumente und Möglichkeiten, wie man da die Spreu vom Weizen trennen kann.
Die Datenschutzkonferenz, also das Gremium der unabhängigen Datenschutzaufsichtsbehörden
von Bund und Ländern, hat auf ihrer Zwischenkonferenz in dieser Woche nämlich am 17.
September mehrere wichtige Beschlüsse gefasst.
Ein Schwerpunkt war die verfassungskonforme Ausgestaltung automatisierter Datenanalysen
durch Polizeibehörden.
Die DSK fordert geschlossen klare gesetzliche Grundlagen, enge Grenzen nach
den Vorgaben des Bundesverfassungsgerichts und eine transparente,
beherrschbare Technik.
Besonders sensibel sei der Einsatz, wenn eben Verfahren auf KI-Mechanismen beruhen.
Hier müsste nachweisbar sein, dass die Analysen Erkenntnisse liefern,
die anders nicht zu gewinnen wären.
Ein weiteres Thema der Konferenz war die Datenübermittlung in der Gesundheitsforschung.
Also angesichts der wachsenden internationalen Kooperationen stellt die DSK
klar, auch bei der Verarbeitung in Drittländer müssen die Anforderungen der
DSGVO eingehalten werden.
Und dafür hat sie eine Orientierungshilfe veröffentlicht, die eben Forscherinnen
und Forschern konkrete Empfehlungen an die Hand geben.
Zudem befasste sich die Konferenz auch mit der aktuellen Reformdebatte der DSGVO,
was wir gerade ja schon hatten.
Und sie kündigten eben im Rahmen dessen an, dass die Diskussionen eng begleitet
werden und eben auch hier weiterhin natürlich die Grundprinzipien des Datenschutzes
als Leitplanken weiter immer im Fokus sein sollten.
Und das möchten sie auch gerne verteidigen.
Und schließlich entschied auch die DSK über die Vertretung im Beirat der Stiftung
Datenschutz und vorgeschlagen wurde die sächsische Datenschutz- und Transparenzbeauftragte Dr.
Juliane Hundert, die dann zukünftig hierfür wahrscheinlich aktiv wird.
Wir machen direkt weiter. Die irische Regierung hat Nayem Sweeney,
eine ehemalige Lobbyistin von Meta, zur Datenschutzbeauftragten ernannt und
damit außerhalb des Landes auch Kritik ausgelöst.
Die Behörde ist ja in Irland für die Aufsicht über die großen US-Technologiekonzerne
wie Meta, Google und Microsoft zuständig und hat Sweeney nun zu einer von drei
Leiterinnen der Behörde ernannt.
Das Pikante an der Sache, Sweeney hat zuvor mehr als sechs Jahre für Meta gearbeitet,
unter anderem als Public-Policy-Chefin bei Facebook Ireland und bei WhatsApp.
Tja, daher wenig überraschend. Die Ernennung hat also europaweit Irritationen
ausgelöst und allen vor allem natürlich Kritiker wie Max Schrems haben sich
hier auch über einen offenen Interessenskonflikt geäußert,
da die Datenschutzkommission derzeit noch Verfahren gegen Meta führt und unter
anderem wegen illegalen Datenübermittlungen
in die USA sowie mangelhafter Einwilligungen der Nutzer.
Aus Max-Schrems-Sicht wird also in Irland seit Jahren das EU-Recht nicht wirksam
durchgesetzt, seit die irische Datenschutzkommission in der Vergangenheit zwar
milliardenschwerer Strafen ausgesprochen hat, aber ein Großteil der Summen nie bezahlt wurde bisher.
Also laut Max-Schrems liegen wir hier im einstelligen Prozentbereich von dem, was gezahlt wurde.
Das ist schon ein wenig irritierend, finde ich. Ja, Beobachter sehen jetzt natürlich
ein Signal darin, dass US-Konzerne in Europa weiterhin weitgehend ungestört
operieren können sollen.
Ein anderer lauter DPC-Kritiker in Irland, so heise Johnny Ryan vom Irish Council
for Civil Liberties, hält sich allerdings diplomatisch zurück,
wie sie online berichten.
Er formulierte wohl auf LinkedIn eher nur seine hohen Erwartungen,
die man jetzt an Sweeney habe.
Wir werden sehen. Ich denke, am Ende muss die Praxis sein, ob sie objektiv ihre
Arbeit verrichtet. Aber du hast eine Meinung dazu, Laura.
Das siehst du mir schon an.
Ich höre es an deinem Atmen, an deinem Luftruhlen.
Ja, wir haben ja auch schon gestern kurz drüber gesprochen, als das bekannt geworden ist und,
Ja, ist ja auch ein bisschen gemein, wenn man ihr da jetzt was Negatives unterstellt, finde ich.
Es kann ja auch vielleicht nützlich sein, wenn jemand so viel Insider-Wissen
hat, wie es in diesen Unternehmen abläuft.
Vielleicht ist sie ja auch total frustriert deswegen und möchte es jetzt halt da besser machen.
Also, wir wissen es nicht. Wir wissen es nicht.
Richtig.
Wie du schon gesagt hast, wird die Praxis zeigen. Ich hoffe nur natürlich sehr,
weil ich glaube, ab Oktober, wie ich das jetzt richtig in Erinnerung habe, soll sie ja starten.
Dass natürlich jetzt die Gegenstimmen da nicht so groß werden,
dass das vielleicht sogar ins Wanken gerät.
Gut, wir sehen es ja auch an den Bundesrichterwahlen hier bei uns,
dass manchmal auch politische Ziele nur verfolgt werden.
Ja, wie du schon sagst, es kann so und so sein. Wir werden sehen.
Wir müssen es abwarten. Vielleicht wird jetzt alles besser.
Wir glauben an das Gute in den Menschen.
Richtig.
Ich komme zu meinem ersten Urteil für heute und das dürfte vielleicht dem einen
oder anderen schon bekannt vorkommen, aber es ist am 19.08.
Gesprochen worden und wir hatten es hier noch nicht in den News.
Aber es gibt ein nächstes Urteil zum Thema Googeln von Bewerbern,
denn das Arbeitsgericht Düsseldorf hat das Googeln eines Bewerbers im Prozess
zwar für zulässig gehalten,
die unterlassene Information nach Artikel 14 DSGVO führte aber auch in ihren
Augen zu Schadensersatz.
Das Gericht stellte in seinem Urteil vom 19.8.
Klar, dass eine Internetrecherche über eine Person, selbst wenn sie im Rahmen
eines laufenden Gerichtsverfahrens und zu Verteidigungszwecken erfolgt,
eine Verarbeitung personenbezogener Daten darstellt und somit den Pflichten der DSGVO unterliegt.
Besonders relevant war auch hier, dass eben die Informationspflicht nach Artikel
14 auch dann erfüllt werden muss, wenn eben die Daten aus öffentlich zugänglichen Quellen stammen.
Und ja, für diesen Verstoß sprach eben das Gericht 250 Euro Schadensersatz dem Bewerber zu.
Basis des Verfahrens war eben eine Bewerbung, die zunächst abgelehnt wurde.
Später verklagte der Bewerber das Unternehmen auf Schadensersatz wegen der Datenschutzverstöße
und im Rahmen der gerichtlichen Auseinandersetzung hatte die beklagte Information
über den Kläger im Internet recherchiert und diese dem Gericht vorgelegt,
ohne ihn aber eben vorab darüber zu informieren.
Der Kläger verlangte daraufhin immateriellen Schadensersatz wegen Verstoßes
gegen die Informationspflicht.
Bei der Begründung hat das Gericht die Internetrecherche über den Kläger auf
Artikel 6 Absatz 1 Lit FDSGVO, also auf das berechtigte Interesse der Beklagten
im Rahmen ihrer Rechtsverteidigung,
als zulässig angesehen.
Entscheidend war dabei, dass die recherchierten Informationen aus öffentlich
zugänglichen Quellen stammten.
Trotz dieser Zulässigkeit hätte die Beklagte den Kläger aber unmittelbar nach
der Recherche informieren müssen, so verlangt es ja auch eben Artikel 14 DSGVO.
Eine nachträgliche Mitteilung im Schriftsatz reicht aus Sicht des Gerichts nicht
aus, um eben dieser Informationspflicht gerecht zu werden.
Auch beim Thema Schadensersatz setzte das Urteil ein klares Zeichen,
denn zwar reicht ein bloßer Verstoß gegen die DSGVO noch nicht automatisch für einen Anspruch,
aber der Verlust der Kontrolle über die eigenen Daten wurde hier als immaterieller Schaden anerkannt.
Das Gericht stützt sich eben dabei auch auf die aktuellen EuGH-Rechtsprechungen,
nach der eben keine Erheblichkeitsschwelle erforderlich ist.
Die zugesprochenen 250 Euro begründet das Gericht damit, dass die Recherche
nur geringe Auswirkungen hatte und der Kläger bereits in mehreren vergleichbaren
Verfahren aktiv gewesen war.
Gleichzeitig macht das Gericht aber deutlich, dass auch euch unter solchen Umständen
ein Anspruch auf Schadensersatz bestehen kann.
Also es reiht sich, wie gesagt, in eine Reihe von nationalen Rechtsprechungen
aus zum Thema auch Bewerbungsverfahren.
Beispielsweise, wenn wir mal zurückgucken, im Juni gab es ja auch eine Entscheidung
vom Bundesarbeitsgericht, wo eben einem Bewerber 1000 Euro Schadensersatz zugesprochen worden war,
da es eben vorab Recherchen gab und er wurde nicht informiert und wurde dann
sogar mit den Informationen, nicht schönen Informationen, im Bewerbungsgespräch konfrontiert.
Das nehmen wir jetzt natürlich in die Praxis mit, also für die Unternehmen natürlich
immer wieder die Erinnerung, auch so eine Google-Recherche ist eine Datenverarbeitung
mit allen daraus resultierenden Pflichten, die einen dann trifft.
Und ja, ich sag mal...
Für Bewerber ja auch irgendwie nachvollziehbar und wahrscheinlich denken viele, ja, wird eh gemacht.
Aber am Ende geht es ja eben hier um die Information und dass die betroffenen
Personen auch hier gegebenenfalls auch wieder ihre Betroffenenrechte wahrnehmen können.
Deswegen glaube ich, wichtig ist auf jeden Fall schon mal in den Datenschutzhinweisen
für Bewerber darüber schon mal aufzuklären und dann aber auch zu prüfen,
wie bei dem Einzelfall dann auch nochmal eine explizite Benachrichtigung erfolgen muss.
Dann gehen wir weiter zum OLG Düsseldorf.
Verantwortliche müssen sicherstellen,
dass auch Auftragsverarbeiter nach Vertragsende Daten löschen.
Eine bloße Löschankündigung ohne Nachweis und ohne Kontrollen reicht nicht aus.
Auch das kein ganz neuer Sachverhalt, aber hier vielleicht trotzdem nochmal
auch in der Kombination interessant.
Der Verantwortliche haftet also nach dem Urteil nach Artikel 82 auch dann,
wenn ein Unterauftragsverarbeiter die Löschung personenbezogener Daten unterlässt
und diese infolge unzureichender Kontrollmaßnahmen des Verantwortlichen dann
bei einem Hackerangriff abgegriffen werden können.
Zwei Punkte stecken hier also drin, wie gesagt, die wir in der Vergangenheit
auch schon in anderen Entscheidungen hatten, aber hier nochmal,
glaube ich, ganz gut verdeutlicht werden.
Verlangt man als Verantwortlicher keine Löschbestätigung vom Auftragsverarbeiter,
bleibt man in der Haftung.
Und werden Daten beim Auftragsverarbeiter entwendet, liegt ein Kontrollverlust
und damit auch ein Schaden vor.
Denn im vorliegenden Fall hatte ein Unternehmen...
Eben personenbezogenen Daten eines Nutzers beim Auftragsverarbeiter und Auftragsverarbeiter
nach Beendigung nicht gelöscht und wurde dann bei einem Hacking-Vorfall,
der anschließend bekannt wurde, auch entwendet.
Hier gab es dann einen Schadensersatzanspruch und ja, das OLG hat ihm den auch
zugewiesen und zugesprochen in Höhe von 200 Euro plus Zinsen.
Also auch hier wieder der Appell, wieder die Erinnerung, im Rahmen der Auftragsverarbeitung
wirklich eine Bestätigung geben lassen.
Samsung hat diese Woche bekannt gegeben, dass es aktuell zu einer akut ausgenutzten
Sicherheitslücke innerhalb Android-Smartphones kommt.
Betroffen sind wohl Geräte mit den Versionen Android 13 bis 16 und die Schwachstelle
betrifft eine bestimmte Bildverarbeitungsbibliothek. Bibliothek,
dies Angreifern ermöglicht, Schadcode einzuschleusen und diesen auszuführen.
Erste Attacken wurden bereits beobachtet, das genaue Ausmaß ist aber wohl noch unklar.
Entdeckt wurde die Lücke vom WhatsApp-Sicherheitsteam von Meta.
Samsung hat für ausgewählte Geräte bereits Sicherheitspatches veröffentlicht.
Nutzerinnen und Nutzer sollten diese unbedingt sofort installieren,
um ihr Gerät abzusichern.
Also heißt für jeden, der ein Android-Smartphone aktuell im Betrieb hat von Samsung,
Augen auf, ob es aktuelle Updates hier gibt und auch für Unternehmen gilt natürlich,
dass wenn hier Mitarbeitende diese Geräte nutzen,
dass halt eben diese auch sensibilisiert werden und geschaut wird,
dass eben diese dienstlich genutzten Geräte auch schnell auf den neuesten Stand kommen.
Ich mache direkt weiter mit meinem Servicehinweis, LinkedIn passt seine Nutzungsbedingungen zum 3.11.
An, denn ab diesem Datum möchte die Microsoft doch da sämtliche Nutzerdaten
für das Training generativer KI-Systeme einsetzen.
Das heißt, ähnlich wie wir das schon bei Meta gesehen haben,
man kann dieser Verwendung natürlich widersprechen.
Hier wird keine aktive Einwilligung abgefragt und von daher sind natürlich alle
LinkedIn-Nutzer aufgerufen, sich darüber aber Gedanken zu machen.
Beziehungsweise hier der Hinweis von uns, man kann es in den Einstellungen,
Datenseinstellungen des Kontos dann auch deaktivieren. Also sein Opt-out.
Wäre ja schwierig mit Opt-out, ne?
Ein Stöhnen.
Naja. Ich kann diese Argumentation schon viel abgewinnen. So rein datenschutzrechtlich
als Betroffener sieht man das natürlich immer anders.
Aber aus einer fachlichen Expertise heraus kann ich dem schon ein bisschen was abgewinnen.
Kann man es nachvollziehen, hast du recht. Der Europäische Datenschutzausschuss hat am 17.
September neue Leitlinien zum Zusammenspiel von DSGVO und Digital Services Act,
also dem DSA, veröffentlicht.
Und die neuen Leitlinien sollen Unternehmen dabei helfen, die teils überlappenden
Vorgaben beider Regelwerke praktisch umzusetzen.
Bis zum 31. Oktober läuft dazu eine öffentliche Konsultation,
an der sich eben auch Unternehmen und Bürger beteiligen können.
Konkret zeigen die Leitlinien, wie Plattformen, soziale Netzwerke,
Marktplätze oder App-Stores personenbezogene Daten verarbeiten dürfen und wie
sich die Vorgaben des DSA mit der DSGVO überschneiden,
etwa beim Profiling oder bei besonderen Kategorien personenbezogener Daten.
Darüber hinaus enthalten sie praktische Hinweise für Aufsichtsbehörden,
um eine abgestimmte Durchsetzung der beiden Rechtsakte zu gewährleisten.
Ziel ist eben mehr Rechtssicherheit für Unternehmen und auch eingestärkter Schutz
der Grundrechte der Nutzerinnen und Nutzer.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat sich
im Laufe der Woche eben auch dazu geäußert und hebt in ihrer Pressemitteilung
hervor, dass eben die Durchsetzung verschiedener Rechtsakte entscheidend für
einen wirksamen Schutz der Nutzer ist,
also etwa vor rechtswidrigen Inhalten oder Desinformation.
Sie kündigte in ihrer Rolle auch an, dass eben betroffene Akteuren weitere praktische
Anwendungshilfen von ihrerseits bereitgestellt werden in Zukunft,
um auch eben hier weiterhin die Einhaltung der beiden Gesetze sicherzustellen.
Ja, wichtiges Schnittstellenthema, halte ich für hilfreich, sollte man sich
auf jeden Fall angucken.
Was man sich auch angucken kann oder auch sollte, und damit komme ich zu unserer
Rubrik Veröffentlichungen und Veranstaltungen, ist, dass die vom BSI veröffentlichten
Empfehlungen, die haben nämlich jetzt am 12.
September entsprechende Empfehlungen für Microsoft-Produkte unter Windows veröffentlicht,
um diese sicher zu konfigurieren.
Sie ergänzen damit die Empfehlungen zur Version 2024,
richten sich vor allen Dingen an mittelgroße und große Organisationen mit Active
Directory Umgebung, sollen aber natürlich auch versierten Einzeladministratoren
durchaus hilfreich sein.
Wie gesagt, gelten für Office-Anwendungen und das Ziel natürlich,
das IT-Sicherheitsniveau zu erhöhen.
Und da hier konkret die Gruppenrichtlinien auch einzelne Konfigurationen vorgegeben
werden, wie man das halt tun kann und wie man sie einstellen sollte,
finde ich es persönlich als eine sehr nützliche und auch praxistaugliche Hilfestellung.
Von daher, den Link gibt es natürlich in den Shownotes selbstredend.
Praxistaugliche Hilfestellung ist auch mein Stichwort, denn die GDD,
also die Gesellschaft für Datenschutz und Datensicherheit, hat ein neues Kurzpapier
zur Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach
der DSGVO veröffentlicht.
Und Ziel ist es eben auch hier verantwortlich, in eine praxisnahe Orientierung
zu geben, wie Dienstleister und Kooperationspartner rechtlich korrekt einzuordnen sind.
Und was ich im Rahmen dessen ganz schön fand, das würde ich auch eben mit unterschreiben,
dass eben diese Abgrenzung immer sorgfältig am konkreten Verarbeitungsszenario vorzunehmen ist.
Und ja, ich glaube, dieses Papier kann dabei ganz gut helfen,
um halt dann auch wieder eine rechtssichere Vertragsgestaltung bei einem selbst zu gewährleisten.
Auch das packen wir in die Shownotes.
Wunderbar. Vielen Dank, liebe Laura.
Danke ebenso.
Und damit sind wir durch für heute. Jetzt nochmal der kurze Reminder karriere.migosens.de.
Jetzt, wo die Folge durch ist, da nochmal kurz drauf gehen und am besten auch
eine Bewerbung einreichen.
Wir freuen uns da auf tatkräftige Unterstützung im Team, denn es gibt viel zu
tun und wie eingangs schon erwähnt, natürlich auch viel zu feiern.
In diesem Sinne ganz, ganz herzlichen Dank fürs Zuhören. Bleibt uns gewogen und auf bald.
Bis bald.