Moderation:
Was ist in der KW 11 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Wegen Verletzung des Auskunftsanspruchs 10.000€ Schadenersatz: ArbG Oldenburg, Urteil vom 09.02.2023 – 3 Ca 150/21
- Über rechtliche Umwege zur Handyentsperrung LG Ravensburg, 14.02.2023, Az.: 2 Qs 9/23 jug.
- Fingerabdruckpflicht bei Personalausweisen in Hamburg ausgesetzt , Beschluss vom 13.03.2023 – 20 E 377/23
- EDSA startet koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten
- Österreichische Datenschutzbehörde entscheidet über Rechtswidrigkeit von Meta-Tracking-Tools
- Nach Kritik verzichtet Schweizer Bahn auf biometrische Überwachung der Bahnhöfe
- Hochriskante Lücken in Zoom geschlossen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/dsb-meta-tracking-tools-rechtswidrig–datenschutz-news-kw-11-2023
TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Ja oder man nimmt halt den dicken Zeh oder so, ne, nicht direkt den Daumen, dann ist es auch etwas schwieriger für die Polizei wieder draufzukommen, welcher denn richtiger Abdruck ist.
Voll Idee.
Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit,
wieder gemeinsam mit Ihnen ins Wochenende. Heute ist Freitag, der siebzehnte März zweitausenddreiundzwanzig. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Broschinski.
Hallo Laura, schön dich zu sehen.
Ebenso.
Unser Redaktionsschuss war wie immer um zehn Uhr und ja, was gibt’s Neues, Laura?
Bei mir gibt’s gar nicht so viel Neues. Ich hatte eine aufregende Woche hinter mir, aber ich glaube, deine war noch aufm Regen da. Erzähl doch mal.
Ja in der Tat, das äh war sehr aufregend, weil wir waren in Hamburg zur Preisverleihung für den Preis Arbeitgeber der Zukunft,
Mit dem Minus ins ausgezeichnet wurde, da geht’s vor allen Dingen um das Thema Digitalisierung und Nachhaltigkeit, was wir doch, glaube ich, auch äh zurecht,
stolz sagen können, dass wir da viel tun in diesem Bereich. Von daher hat mich das sehr,
sehr gefreut und eine andere freudige Nachricht äh kann ich auch noch verkünden, weil in unserer Silvesterfolge hatten wir ja die Bitte oder beziehungsweise den Vorschlag, dass wir mal eine Podcast-Folge, eine Themenfolge machen zum.
Europäische Datenstrategie und ähm ich hatte gestern das Vergnügen, diese aufzuzeichnen mit einem Gast, der da in dem Thema sehr gut drin ist und
da kann ich schon so viel anteasern übernächste Woche dürfen sich alle freuen auf diese Folge, wo wir alles nochmal ein bisschen einsortieren. Ich glaube, das das ist auch ganz gut geworden.
Sehr cool, ich freue mich drauf.
Ich mich auch, aber jetzt lass uns mal auf die aktuellen Themen vielleicht schauen. Was hast du mitgebracht?
Ja, die Woche ist wieder viel passiert. Ich habe einmal mitgebracht äh die Schlussanträge vom Generalanwalt zum Thema Schufa.
Da warten wir ja ein bisschen drauf. Das läuft ja schon eine gewisse Zeit. Dann habe ich mitgebracht ein Urteil zum Thema Fingerabdrucknahme durch die Polizei.
Dann des weiteren Informationen zu der neuen koordinierten Prüfung des europäischen
Datenschutzausschusses, ein Update zur Aufzeichnung biometischer Daten an schweizer Bahnhöfen, ja auch ein Thema aus der achten Kalenderwoche in diesem Jahr und dann noch zwei Leseempfehlungen für das Wochenende.
Und bei dir?
Hervorragend, ja wir schauen auf ein Update zum Thema Drittstaaten, Transfer bei,
deutschen Töchter von US-Unternehmen, dann gucken wir einmal auf ein Urteil zu einem Schadensersatz bei Auskunftsanspruch oder beziehungsweise nicht erfolgtem Auskunftsanspruch, der sehr bemerkenswert ist.
Haben noch ein Update auch zum Thema Biometrie und zwar Biometrie im Personalausweis, auch sehr spannend und natürlich unser Titelthema.
Rechtswidrigere
rechtswidrige Meta-Tracking-Tools, äh sicherlich auch etwas, was viele interessieren dürfte und last but not least hätte ich noch etwas zum Thema Zoom, Sicherheitslücken in der Videokonferenzlösung Zoom.
Ja dann haben wir doch einiges wieder hier heute zusammengetragen und dann lassen’s auch nicht lange lange schnacken. Wir legen los, oder?
Ja, ich fange direkt mal an mit,
zum Thema Drittstaaten, Transfer. Wir haben ja hier letztes Jahr schon mehrfach darüber berichtet. Es gab mal äh eine Vergabekammerentscheidung in Baden-Württemberg zum Thema. Wie ist das denn
ein US-Tochter Unternehmen hier in Deutschland an einer äh Vergabe partizipiert und darf man hier sozusagen,
dann davon ausgehen, dass diese Daten rechtswidrig auch in die USA übermittelt werden oder nicht, selbst wenn’s nicht vorgesehen ist. Da hat jetzt die zweite Vergabekammer des Bundes es äh ähnlich dem ULG Kassel,
und auch äh dem ULG Karlsruhe entschieden, dass man hier nicht per se davon ausgehen muss, dass so eine Übermittlung stattfindet
Hintergrund ist eine Ausschreibung einer Krankenkasse und der hier im Anbieterverfahren unterlegene Anbieter hat nachher reklamiert, dass äh er durch das halt den Umstand ein
deutsche GmbH als Tochter eines US-Konzerns,
gewonnen hat, dass hier aber dann grundsätzlich ein Verstoß gegen Paragraph achtzig Absatz zwei SGB zehn Evident sei, weil man davon ausgehen müsse, dass halt die US-amerikanische Muttergesellschaft ja
verpflichtet werden könne, die Daten aus der deutschen Tochter heraus äh anzufordern und die dann entsprechend übermitteln müsse. Du merkst schon, Laura, sehr viel Konjunktiv.
Hätte, könnte, sollte.
Genau und äh dementsprechend hat dann auch
die Vergabekammer des Bundes entschieden, dass hier das nicht automatisch anzunehmen sei, sondern man davon erstmal, solange es keinen Anlass gäbe, davon äh der darauf hindeutet, dass es nicht so sei, davon ausgehen könnte, dass die Gesellschaft hier
ihren rechtlichen Zusagen auch einhalten würde oder nachkommen würde und dass man halt von einem,
eigenmächtigen Zwangsweisen Datenzugriff amerikanischer Behörden halt ungeachtet dessen, dass es vielleicht in der Praxis überhaupt gar nicht relevant sein könnte.
Erstmal nicht davon ausgehen dürfe, dass das halt erfolgt, weil die US-amerikanischen Staatsgewalten ja hier in Deutschland entsprechend nicht durchgreifen können. Von daher
Haben Sie da zugunsten letztendlich dann der deutschen Tochter des amerikanischen Unternehmens entschieden?
Was in dem Fall vielleicht auch nochmal ganz gut ist, finde ich zumindest. Wir haben ja auch von der,
DSK, also für den Konferenz der äh Landes- und Datenschutzbeauftragten ja eine ähm Entscheidung im,
nicht lügen. Vor kurzem.
Und zwar zum Thema exterritoriale Zugriffe und die haben ja auch nochmal auf dieses Thema geschaut und haben gesagt, ja da ist vielleicht nicht automatisch der Übermittlungen die Übermittlung anzunehmen.
Aber man müsse halt diesen Umstand schon letztendlich auch bei einer Bewertung der Zuverlässigkeit nach achtundzwanzig, DSGVO mit in die Waagschale werfen und so ein bisschen von hinten durch die Brust quasi gesagt
dass das vielleicht trotzdem problematisch sein könne. Ich glaube, dass man hier mit diesem Urteil oder diese Entscheidung der Vergabe kann man durchaus nochmal argumentieren kann, dass man halt
solange es keine Anhaltspunkte für eine solche Übermittlung rechtswidrige Übermittlung gibt, auch erstmal jetzt diese Zuverlässigkeit gemäß dieser,
Beschlusses der DSK nicht unbedingt in Frage stellen muss.
Ja ich find auch eine ganz schöne Entscheidung zugunsten der Unternehmen und am Ende vielleicht auch nochmal die Empfehlung wer schreibt der bleibt,
das halt eben auch entsprechend zu dokumentieren, dass man sich halt eben mit dem Thema befasst hat und ähm wie man denn dann zu dem Entschluss gekommen ist eben entsprechenden äh entsprechendes Unternehmen mit anzubinden, aber dann dürfte ja der Weg auch frei sein.
Wichtiger Hinweis, vielen Dank. Schreiben ist äh also dokumentieren, ne? Rechenschaftspflichten nach fünf, DSGVO ganz ganz wichtig, kann ich auch immer nur wieder betonen.
Aufschreiben, dokumentieren, dann hat man echt schon die halbe Miete, wenn’s mal in der Auseinandersetzung mit der Aufsichtsbehörde geht oder im Zweifelsfall sogar vor
vor Gericht. Was wir machen werden ist, wir werden den ähm natürlich den Beschluss der Vergabekammer in den Shownotes verlinken,
aber auch den äh Beschluss der DSK zum Thema Exterritoriale Zugriffe, den werde ich auch nochmal verlinken, kann man sich auch noch mal reinlesen und sich dann, wie gesagt, auch ganz gut, glaube ich, wappnen mit dieser Argumentationskette.
Ich habe heute als Erstes die erste Einschätzung des Generalanwalts PKW vom Europäischen Gerichtshof mitgebracht und zwar kommt
kam diese am Donnerstag in Bezug auf das allseits bekannte Schufa-Storing.
Dieses verstößt nun laut der Schlussanträge des EU-Generalanwalts in seiner vollautomatisierten Form unter daraus resultierenden Profilbildung gegen die DSGVO.
Das bestehende Recht der betroffenen Person nicht einer ausschließlich auf automatisierter Verarbeitung,
beruhenden Entscheidung unterworfen zu werden, sieht er eben hier in seinen Schlussanträgen missachtet und vorangegangen ist ja ein Rechtsstreit vom Verwaltungsgericht Wiesbaden,
Wir hatten.
Glaube, ich hatte mal geschaut. Ich glaube, das war schon 2021 darüber berichtet, dass hier eben eine in dem Stressverfahren eine Antragstellerin erfolglos versucht hatte, bei der Schufa-Auskunft über die geläufigen Verfahren zu erhalten
und ein Löschbegehren umzusetzen. Mit der Frage, ob nun eben dieses genannte Scoring,
des unkommentierten Transfers an Dritte unter Artikel zweiundzwanzig, DSGVO-Feld hatte das Verwaltungsgericht Wiesbaden nun an den ähm oder
Hatte sich das Verwaltungsgericht an den Europäischen Gerichtshof gewandt.
Der Generalanwalt sieht seitens der Schufa es nun als erforderlich an, der Klägerinnen und den weiteren betroffenen Personen ebenso detaillierte Erläuterungen zur Methode für die Berechnung des Chorwertes und zu den Kunden, die zu einem bestimmten Ergebnis geführt haben,
Auskunft zu erteilen und ebenso auch Auskunft über das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling, über die involvierten Logiken sowie die Tragweite und die angestrebte Auswertung, einer derartigen,
Datenverarbeitung zu geben, also auch hier ähm die Rechte, die aus der DSGVO heraus entstehen.
Dies sind alles für ihn entscheidende Informationen, damit eben die Betroffenen auch von ihrem
Recht im Sinne der DSGVO Gebrauch machen könnten automatisiertes Profiling basierend ihre Entscheidung auch anzufechten.
In einem weiteren Fall hat sich der Generalanwalt auch noch mal mit Aufbewahrungsfristen von Restschuldbefreiung befasst, auch eben so bei der Schufa.
Auch diese Frage kam hier vom Verwaltungsgericht Wiesbaden.
Und hier gab’s nämlich im Vergleich zu den Aufbewahrungsfristen bei den Insolvenzgerichten eine erhebliche Abweichung. Die Gerichte halten nämlich beispielsweise die Daten ein halbes Jahr lang vor
Schufa aber jedoch drei Jahre, was eben zu erheblichen Nachteilen für die Betroffenen führt. Und äh wie gesagt, letzteres, die mich diese drei Jahre Aufbewahrung wurden, auch hier vom General
Anwalt als rechtswidrig eingestuft.
Er sieht eine Löschung der Daten als erforderlich an, um eben dem ursprünglichen Ziel der Restschuldbefreiung, nämlich dass die Betroffenen wieder am Wirtschaftsleben beteiligt werden, nachzukommen.
Selbst hat er angeregt, die Rechtmäßigkeit der Speicherung für dieses eine halbe Jahr auch durch die Wiesbadener Richter kritisch prüfen zu lassen und eben zu schauen, ob die angeführten Interessen mit den Auswirkungen für die betroffenen Personen überhaupt ähm gegeneinander,
aufzuwecken sind. Also sie sind gegeneinander aufzuwiegen und zu schauen, ob eben diese betroffenen Personen denn da auch nicht in im höheren Maße benachteiligt werden.
Und er sie er möchte halt, dass ein besonderes Augenmerk auch noch mal auf die parallele Speicherung äh gelegt wird. Nämlich ist es denn
unbedingt notwendig, dass eben die privaten Wirtschaft Auskunft teilen, diese Information ebenso bei sich speichern.
Wichtig vielleicht zu sagen ist, dass jetzt diese Schlussanträge erst mal ein erster Schritt sind für die Entscheidungsbindung und auch für den Europäischen Gerichtshof gar nicht bindend und,
Aus der Erfahrung kann man schon sagen, dass meistens den Empfehlungen der Generalanwälte nachgekommen wird, aber die endgültige Entscheidung des EuGHs zu dem Thema ist wohl auch wirklich erst in den nächsten Monaten zu erwarten. Müssen wir uns noch ein bisschen gedulden.
Müssen wir uns gedulden, aber es könnte dann vielleicht irgendwann mal der Schlusspunkt von der doch äh sehr häufigen Schufa äh Meldungen sein, die wir hier bei uns auch in den News hatten in den letzten Jahren.
Von daher ist dann vielleicht dann mal Ruhe im Karton.
Warten wir ab.
Wir warten ab, genau. Ja ich habe auch ein also ich habe ein Urteil, so du,
bist ja noch äh hast ja schon Aussicht gestellt, dass es noch ein bisschen dauern könnte mit dem Urteil beim EuGH. Hier, das ist aber schon gefallen.
Beim Arbeitsgericht Oldenburg. Das hat entschieden, dass es 1.000 Euro Schadensersatz für den Betroffenen gibt aufgrund einer Verletzung des DSGVO Auskunftsanspruchs.
Hintergrund,
ist, dass der Auskunftsanspruch, den hier ein ehemaliger Geschäftsführer und Vertriebsleiter gegenüber einem äh seinem ehemaligen Arbeitgeber gemacht hat, nicht nachgekommen wurde.
Also das Unternehmen hat diese Auskunft verweigert und erst 20 Monate später im Verfahren,
vor Gericht oder im Prozess hat es dann einzelne Unterlagen vorgelegt und das Gericht hat jetzt ähm oder beziehungsweise dann der Betroffene hat hier einen immateriellen Schadensersatz in Höhe von
monatlich 500 Euro für den gesamten Zeitraum der Nichterfüllung geltend gemacht, dem,
das Gericht nachgekommen, finde ich ganz spannend, dass man hier halt über diese monatliche Verzögerung sozusagen geht und äh die Berechnung darauf stützt.
Der das Gericht hat auch hier entsprechend Bezug genommen auf das äh Bundesarbeitsgericht,
die ja damals in dem Verfahren tausend Euro für angemessen erachtet hatten, aber hier hat das Arbeitsgericht gesagt, es gibt hier einen deutlich höheres Auskunftsinteresse des Klägers und letztendlich auch dieser lange Zeitraum der Nichterfüllung
führen dann dazu, dass man 1.000 Euro halt auch
für angemessen hält. Also von daher sei hier nochmal Obacht für alle Unternehmen, die das mit dem Auskunftsinteresse nicht so ernst nehmen möchten, angezeigt, weil, wie gesagt, zehntausend Euro,
ist halt schon eine eine Menge Holz, vor allen Dingen hier ging’s um Feuerwerkskörperhersteller, die,
wahrscheinlich jetzt im Moment vielleicht auch nicht gerade so die rosigsten Zeiten hinter sich.
Schon drauf gucken, dass man vielleicht nicht unnötiges Geld noch zum Fenster rauswirft, weil so ein Verfahren und alles drumherum kostet in der Regel auch nochmal ein Haufen Geld. Da ist man sicherlich schnell beim drei- bis vierfachen Gesamtbetrag angekommen.
Ja und das ist ja hier auch von einem ehemaligen Beschäftigten ähm angesprochen worden ist sozusagen oder oder eben äh das Recht in Anspruch genommen worden ist. Muss man da ja auch sagen, also ehemalige Beschäftigte hat ja jedes Unternehmen auch einige,
das Risiko auch dementsprechend höher.
Genau und der Anspruch, Auskunftsanspruch fällt ja nicht weg, nur wenn man das Unternehmen verlassen hat.
Genau, richtig. Ich habe auch ein Urteil mitgebracht.
Ah, sehr schön.
Diesmal zum Thema ja biometrische Daten auf Smartphones. Ich glaube, fast jeder nutzt es,
die Fingerabdruck ähm Möglichkeit oder auch diese Gesichtserkennung bei seinem eigenen Smartphone, um dieses eben zu entsperren, dass das vielleicht nicht ganz der sicherste Weg ist, glaube ich, wissen wir alle, weil am Ende kann man immer dazu gezwungen werden
eben entsprechend sein Gesicht in die Kamera zu halten oder seinen Finger aufzulegen. Wäre das aber offiziell nicht darf, ist die Polizei. Die haben jetzt aber einen anderen Weg gefunden und,
für diesen eleganten Umweg kam das Landgericht Ravensburg nun zu zweit in der zweiten Instanz zu dem Urteil, dass ähm ja es rechtmäßig ist
Der Kläger und Beschuldigte eine Straftat hatte sich bei der Polizei geweigert, sein Handy zu entsperren und so wurde auf Umweg über eine erkennungsdienstliche Behandlung.
Diese Fingerabdrücke in dem bekannten Verfahren abgenommen und wie gesagt, das Gericht kam jetzt zu dem Ergebnis, dass dies wirklich
verhältnismäßig sei, denn Grundlage hierfür war eine Anordnung des Ermittlungsrichters nach Paragraf einundachtzig B, Absatz eins der Strafprozessordnung. Und die Anordnung zur Abnahme von Fingerabdrücken des Beschäftigten.
Beschäftigten sage ich schon. Das Beschuldigten auch gegen seinen Willen und ähm erforderlichenfalls im Wege der zwangsweisen Durchsetzung sowie die Anordnung zur Nutzung des resultierenden biometrischen Daten für Zwecke der Entsperrung des
Telefons waren hier eben rechtmäßig und wie gesagt dieser Paragraph bildete hier nun eben die Grundlage laut dem Gericht.
Fingerabdrücken, wenig überraschend entsperrte dann die Polizei das Handy und kam an die äh begehrten Daten dann auch eben dran. Soweit so gut. Ich glaube, fühlt sich
in in Gänze, selbst wenn’s rechtmäßig ist, ein bisschen eigenartig an. Muss jetzt auch dazu sagen, dass jetzt natürlich so die ein oder anderen Rechtsanwälte auch im Netz da ihre
ihre Meinung zu äußern ähm und eben halt auch sagen, das ursprünglich diese Vorschrift, die halt für die Polizei gilt, nie dafür gedacht war, eben biometrische Sperren zu umgehen im
ist halt historisch gewachsen damals äh lief ja doch
100 Prozent analog als diese Vorschrift in Kraft getreten ist und man kann’s ja eigentlich nicht mit beispielsweise äh Fingerabdrücken zum Vergleich an Tatortspuren oder Identifizierung von Personen.
So wirklich vergleichen, aber so ist nun mal die aktuelle Rechtslage.
Spannend fand ich jetzt halt eben, dass beispielsweise Rechtsanwalt Udo Vetter empfohlen hat, vorausschauend zu denken und eben Fingerabdrucksperren eben zu deaktivieren, denn ähm entgegen dieser Herausgabe jetzt der Daten auf diesem Weg,
beispielsweise in Deutschland eben ein Passwort noch nicht herausgegeben werden oder man kann auch nicht gezwungen werden eben entsprechende Entsperrmuster zu zeichnen, was ja auch durchaus schon mal gang gäbe ist, um sein Handy zu entsperren.
Wenn man halt was zu befürchtet, Heiko, ja, wenn du mal in die Situation kommst, dass die Polizei in dein Handy will, weißt du jetzt Bescheid.
Oder man nimmt halt den dicken Zeh oder so, ne, nicht direkt den Daumen, dann ist es auch etwas schwieriger für die Polizei wieder draufzukommen, welcher denn richtiger Abdruck ist.
Nee, ganz pragmatisch, oder?
Ja. Du hast aber auch was zum Thema Fingerabdrücke als nächstes mitgebracht.
So ist es und zwar geht’s um das Thema Personalausweis. Es gibt ja nun seit äh geraumer Zeit eine EU-Verordnung und die verpflichtet halt auch die Mitgliedsstaaten
in Personalausweisen die Fingerabdrücke der beiden Zeigefinger mit aufzunehmen und die werden dann auf dem Chip gespeichert,
Das Verwaltungsgericht Hamburg hat die Ausstellung eines Personalausweises mit gespeicherten Fingerabdrücken aber nun gestoppt.
Hintergrund ist hier ein ähm ja ein ein Betroffener, der dagegen geklagt hat im Eilverfahren und sich der Kritikpunkte des Vereins Digitalcourage,
letztendlich bedient hat, die haben ja äh seinerzeit schon mal dagegen vor dem,
vor dem Verwaltungsgericht Wiesbaden eine Klage eingereicht. Diese ist auch vom Verwaltungsgericht Wiesbaden entsprechend an den EuGH weitergereicht worden. Das heißt, da ist noch die Entscheidung ausstehend, aber wie gesagt, Hamburg hat jetzt erstmal dieses Verfahren,
äh gestoppt und jetzt ist natürlich noch unklar, ob die zuständige Behörde gegen diesen Beschluss Beschwerde einigt oder nicht. Also grundsätzlich kann sie das tun.
Der EuGIAT vom 14. März, also jetzt vor wenigen Tagen, einen ersten Verhandlungstermin zu dem Verfahren, was eben angesprochen habe,
gehalten. Dabei ging es unter anderem um die 90 Tage Frist zwischen der Erhebung der Fingerabdruckdaten in den Behörden und in der vorgeschriebenen Löschung.
Und da hat der Richter wohl schon geäußert, dass er hier Kritikpunkte sieht, insbesondere was die Sicherheit der Ausweise angeht, nämlich er hat gesagt, dass man hier wohl offensichtlich auf die Gesetzgeberseite eher eine Sicherheitslücke geschaffen hat
statt mehr Sicherheit und dass die getroffenen Sicherheitsbestimmungen für diesen Zeitraum sehr schwach seien. Von daher,
ist es natürlich durchaus interessant, wie dann der äh an äh wie der EuGH entscheiden wird.
Generalanwältin soll laut Digitalcourage ihren Schlussantrag,
Ende Juni diesen Jahres veröffentlichen, allerdings ist der Termin für die Urteilsverkündung noch offen, also da ist noch nicht klar, ob wir da zu dieses Jahr noch eine Entscheidung,
wer nicht, hoffe es aber mal,
Es bleibt spannend, auch in diesem Fall, wer halt wie gesagt da nicht so viel Wert drauf legt, der kann sich jetzt natürlich mit dieser Entscheidung aus Hamburg vielleicht auch bei seiner zuständigen Ausweisbehörde
Gehör verschaffen und das erstmal abbiegen, aber ich glaube, der wird sicherlich auch nur der Klageweg für Reichen und nicht nur Beschwerde,
beim Amtsleiter.
Das wird so sein.
Aber mal versuchen. Versuch macht klug, wie man so schön sagt.
Weiter geht’s.
Hier ist.
Und zwar hat der europäische Datenschutzausschuss seine nächste koordinierte Durchsetzungsaktion gestartet, nämlich nun für 2023 im letzten Jahr ist das ja auch schon mal passiert. Damals war das Thema ja die Wahl,
Der Cloud-Dienste durch den öffentlichen Sektor und in diesem Jahr geht es um das uns, glaube ich, einerseits beliebte Thema,
Benennung und Position von Datenschutzbeauftragten. Teilnehmen werden im Laufe des Jahres 26 Datenschutzbehörden im gesamten EWR-Gebiet und,
Als Ergebnis soll halt eben beurteilt werden, ob die
Datenschutzbeauftragten in ihren Organisationen die geforderte Stellung haben ähm ob eben Artikel 37 bis 39 DSGVO Anwendung findet, ob die notwendigen Ressourcen zur Erfüllung ihrer Aufgabe verfügen
sind,
Hierzu werden die behördlichen Datenschutzbeauftragten Fragebögen erhalten, zum Thema halt Unterstützung der Sachverhaltsermittlung, aber auch Feststellung und förmliche Untersuchungen werden hier wahrscheinlich auch durchgeführt werden,
und dann auch eben Folgemaßnahmen oder soll halt eben Blick auf die Folgemaßnahmen geworfen werden.
Die Ergebnisse der gemeinsamen Initiative werden dann in koordinierter Weise analysiert und die Datenschutzbehörden werden dann im Anschluss dessen über mögliche weitere nationale Aufsichts und Durchsetzungsmaßnahmen entscheiden.
Europäische Datenausschuss. Mein Gott, was habe ich denn heute für ein Problem mit diesem Wort? Der europäische Datenschutzausschuss, so wird natürlich auch ein Bericht dazu verfassen und ich bin gespannt, was dabei rauskommt,
Aber warum soll’s den öffentlichen Behörden wahrscheinlich schlechter gehen als allen anderen Datenschutzbeauftragten oder wie siehst du das?
Also ich bin mal gespannt, was dabei rauskommt. Das ähm aber ja am Ende ist es ja nicht so schwer, einen Datenschutzbeauftragten zu benennen und zu positionieren, aber gut, wir werden sehen. Was die so rausfinden.
Richtig.
Apropos Datenschutzbeauftragter, wir schauen auf den österreichischen Datenschutzbeauftragten und die österreichische Datenschutzbehörde. Die hat nämlich jetzt eine Entscheidung getroffen und zwar aufgrund einer Beschwerde von Neub,
der Organisation von Max Schrems. Wir erinnern uns, die haben 220 101 Beschwerden eingereicht. Auch an die äh Datenschutzaufsichtsbehörde in Österreich und es ging um das Thema Meta-Tracking-Tools.
Sachverhalt ist aus 2020 und der äh nach einem sehr ähm ja sehr umfangreichen Verfahren würde ich mal fast sagen, also es hat so ein bisschen was schon von einem Gerichtsverfahren, wenn man sich den Beschluss anschaut. Es ging also sehr viel hin und her,
den Betroffenen Parteien und Stellungnahmen et cetera PP
sind jetzt zum Ergebnis gekommen, dass die Datenübermittlung im August zwanzig 20, die hier gegenständlich war, entsprechend,
rechtswidrig war, weil halt Meter hier Daten in die USA übermittelt hat und ähnlich wie bei der Google Analytics Entscheidung. Man hier grundsätzlich jetzt davon ausgegangen ist, dass ihr die Steuervertragsklausen halt nicht ausreichend sind.
Wenig überraschend, kurz nach dem Urteil. Also wir erinnern uns, schreiben’s zwei, war im Sommer 2020, also im im Ende Juli meine ich oder Mitte Juli.
Wir sprechen jetzt hier über August zwanzig 20, also dass da jetzt vielleicht noch nicht so viel passiert ist, kann man sich natürlich äh vielleicht auch schon überlegen. Deswegen, ich kann’s mit
Sicherheit nicht sagen, inwieweit diese Entscheidungen auf die heutigen Sachverhalte 1zu1 übertragen sind. Ich glaube, da muss sich jeder nochmal selber auch ein paar Gedanken machen.
Glaube ich, ist es schon natürlich immer wieder mit Vorsicht zu genießen, die von Google einzusetzen, zumindest wenn man da halt keine A saubere Einwilligung natürlich hat in die Nutzung selber und B idealerweise vielleicht sich sogar auch noch eine Einwilligung eingeholt hat
die Übermittlung der Daten in die USA, falls man dort zumindest mal noch irgendwie,
Sicherheit haben möchte, aber auch da der Disclaimer, die Aufsichtsbehörden sehen auch das als sehr kritisch an, sich eine Einwilligung einzuholen für die Bemittlung in den Drittstaat im Rahmen von zum Beispiel, also auch das sollte nicht als,
Sicherheit grundsätzlich,
gesehen werden. Ich kann nur raten, sich das genau anzugucken und wenn man es einsetzen will für den Fall veröffentlichen wir oder beziehungsweise verlinken wir auch noch mal in den Shownotes den Beschluss.
Dem österreichischen Datenschutzbeauftragten kann sich Ihnen mal jeder ansehen, weil
davon ist natürlich auszugehen, das andere Aufsichtsbehörden da jetzt nicht unbedingt eine komplett andere Entscheidung wahrscheinlich treffen würden.
Wahrscheinlich nicht. Eine andere Entscheidung hat jetzt die schweizer Bundes
Bahn getroffen und zwar da haben wir ja in der achten Kalenderwoche bereits darüber berichtet, dass ja eine ja weitreichende biometrische Erfassung von Reisenden und Passanten an den Bahnhöfen geplant war und dies wurde jetzt aber wirklich
abgesagt,
Nach erheblichem öffentlichen Druck und auch durch Einwände der Politik modifizierte nun ähm das Unternehmen, die angeforderten Möglichkeiten in den Ausschreibungsplänen und sieht auch ganz klar ähm,
die Fehler auf ihrer Seite, also sie formulieren nochmal aus, dass eben die Ausschreibung viel zu technisch formuliert gewesen sei und auch stellenweise schlicht missverständlich war.
Ja
Niemand beabsichtigt eine Mauer zu bauen, ja.
Genau richtig.
Und genau, jetzt ist eben davon abgerückt worden, die Kundensegmentierung durchzuführen, nämlich was Alter, Geschlecht und Größe ja,
angeht. Das war ja ursprünglich geplant und äh ja, die Konzernleitung hat halt eben hier jetzt nun entschieden, dass ähm auf die Kundenkategorie.
Kundenkategorisierung verzichtet werden soll. Natürlich wird es trotzdem mehr Überwachung geben, einfach zum Zwecke der Sicherheit,
Natürlich der Reisenden und der Passanten. Aber was ich jetzt eigentlich ganz positiv werte, ist halt eben, dass nochmal bestätigt wurde jetzt im Nachgang, dass eben eingehende Angebote im Rahmen der Ausschreibung,
grundsätzlich eine Datenschutzfolgenabschätzung bekommen sollen und dass grundsätzlich erst nach Prüfung des eidgenössischen Datenschutzbeauftragten sich das Unternehmen auch für ein Angebot entscheiden wird. Also da vielleicht schon wieder ein schönes Beispiel,
dass es zwar im Nachgang aber jetzt im Vorfeld an die an die Vergabe des Auftrages halt eben hier auch der nationale Datenschutzbeauftragte halt mit ins Boot geholt wird.
Datenschutzaufsichtsbehörde, dein Freund und Helfer, ist doch schön.
Kostet nicht extra so viel ich weiß.
Ja, ich meine, wir würden natürlich auch unsere Unterstützung anbieten, aber die wir halt nicht für umsonst.
Auch nicht kostenfrei. Wir haben noch ein kleines Update zum Thema Zoom. Zoom ist ja eine belieb
äh Konferenz Videokonferenzlösungen, die sicherlich seit Corona auch viele kennen und einsetzen.
Da gab’s jetzt ein Update des Zoom Clients.
Es sind ja viele, die ihn auch installiert haben und nicht nur bei Bedarf sozusagen sich das dann äh ausführen. Deswegen da sei noch mal der Hinweis, dass alle nochmal schauen, ob sie die Version fünf
13 Punkt elf nutzen, weil es wurden jetzt einige Sicherheitslücken, die teilweise auch als kritisch eingestuft wurden, geschlossen,
gibt’s verschiedene Angriffsvektoren bei diesen Lücken, unter anderem halt auch bei der Bereitstellung von Aufzeichnungen von Konferenzen, aber auch bei den Admin-Tools zum Roll Roll-Out, der Kleinanwendungen, aber halt auch in den Kleinanwendungen selber. Von daher wie gesagt
allemal updaten, das geht in der Regel auch ohne Adminrechte, wenn man ihn selber installiert hat, kann ich nur dringend zu raten.
Ich komme zu zwei Leseempfehlungen,
und zwar zu Beginn einmal die Information, dass äh der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kälber am Mittwoch der Präsidentin des deutschen Bundestages ein Tätigkeitsbericht für das Jahr 2022 übergeben hat. Deshalb
ist natürlich dieses Dokument auch bei uns in die Shownotes.
Genau, daraus zu entnehmen ist halt eben, dass der BFTI im Berichtsjahr natürlich Vorsitzender der Konferenz der unabhängigen Datenschutzaufsichtsbehörden war und sich hier halt eben auch mit vielen Gesetzen und Projekten befasst hat. Es gab ja wieder mal über
zehntausend um genau zu sein, 1.614 Meldungen von Datenschutzverstößen. Ich finde immer die Zahl echt irre. Ähm und das waren auch 500 mehr als im Vorjahr.
Er hat sich natürlich neben Gesundheitsthemen wie dem äh elektronischen,
der elektronischen Patientenakte zugewandt, ähm den Umgang mit Forschungsdaten dann, ja, wie ihr schon gehört, Facebook-Fanpage war ja auch äh hatte ja auch einen großen Stellenwert in dem Jahr und ähm auch das Thema
Kontrolle. Wer das Dokument nicht lesen möchte, dem sei natürlich nochmal unsere Silvesterfolge ans Herz gelegt. Wir werden nicht müde
diese doch zu empfehlen. Ihr habt ja Ullrich Kälber sich ja mit uns beiden unterhalten und natürlich ja auch selbst nochmal eine persönliche Einschätzung zu den Themen aus dem Jahr 2022 gegeben. Und als kleiner Tipp, es beginnt ab
Minute fünfundzwanzig. Wer nicht die alle vier Stunden sehr hörenswertes Material durchgehen möchte.
Was genau ja schon bedauerlich wäre, wenn man das verpasst hat oder bisher noch nicht geschafft hat.
Aber wir haben jetzt ja schon den siebzehnten März, also manche Dinge geraten ja auch ein bisschen in Vergessenheit, deswegen wer da noch mal reinhören möchte. Ich fand, das war von
Eine ganz schöne Zusammenfassung in der Folge,
Als nächstes ebenfalls ein Tätigkeitsbericht in der Woche wurde veröffentlicht durch äh Doktor Marret Hansen, der Landesbeauftragten für Datenschutz,
und äh die Landesbeauftragte für Informationszugang in Schleswig-Holstein. Wie gesagt, äh für das letzte Jahr auch hier, auch hier wieder vielfältige Themen zum Thema Datenschutz und Informationsfreiheit sind im Bericht zu finden.
Viel befasst mit dem Thema Beschäftigten Datenschutz und Zertifizierung auch das Thema Beschwerden hat bei ihr auch wieder einen besonderen Stellenwert gehabt, insbesondere beim Thema Videoüberwachung gab’s äh fast 200 Beschwerdefälle, die jetzt persönlich auch sehr viel.
Genau, aber auch hier das Dokument finden Sie auch ebenfalls in den Shownotes.
Sehr gut. Ich hätte noch eine Veranstaltung als Empfehlung für interessierte rund um das Thema Bioethik.
Zwar am 22. März findet eine Veranstaltung des Deutschen Ethikrates statt. Es geht um das Thema Patienten orientierte Datennutzung und den konstruktiven Dialog, wie im Einklang mit dem Datenschutzgesundheitsdaten für die Forschung bereitgestellt werden
können,
auch ein Thema, was Herr Kälber in unserer Silvestershow kurz angerissen hat. Er ist hier auch Gast unter anderem bei der äh Veranstaltung, also von daher
sicherlich auch wie gesagt nochmal eine schöne Brücke zwischen unserer Silvestershow, der heutigen News-Folg und dann dieser Veranstaltung. Von daher Herr Kelber hat’s heute mal wieder sehr,
oft in unsere,
unsere Sendung geschafft, sehr schön. Ja, den Link packen wir natürlich in die Show Notes. Das ist einmal eine Präsenzveranstaltung, also wer in Berlin ist, kann da auch in Präsenz hingehen. Es gibt aber auch einen Livestream. Den Link packen wir natürlich auch in die Shownotes, da kann man
direkt dann dem Livestream folgen.
Das machen wir.
Sehr gut. Damit bin ich durch, Laura, wie sieht’s bei dir aus?
Dann würde ich sagen, bleibt nur noch Ihnen ein schönes Wochenende zu wünschen und dir, Laura natürlich ganz herzlich zu danken, vielen Dank,
Und damit verabschieden wir uns. Bleiben Sie uns gewogen und auf bald.
