DSB vs. Betriebsrat – Die Datenschutz-News KW 23/2023

Moderation:

Was ist in der KW 23 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Klarstellung zu letzter Woche
• Rechtswidrige Videoüberwachung im Passauer Klostergarten (VGH München, Urteil vom 30.05.2023 – 5 BV 20.2104)
• OLG Hamm: Datenschutzrecht ist Ermöglichungsrecht, kein Verhinderungsrecht (Oberlandesgericht Hamm, Urteil vom 26.4.2023 – 8 U 94/22)
• Datenschutz-Razzia in Italien: Bußgelder für illegale Telefonmarketing-Aktivitäten
• BAG urteilt: Betriebsratsvorsitz nicht mit der Position des Datenschutzbeauftragten vereinbar (BAG, Urteil vom 06.06.2023 – 9 AZR 383/19)
• Spionierendes Werbenetzwerk: Werbung für brisante Zielgruppen
• Vodafone informiert Kunden: Datenleck bei Vetriebspartner
• Man lernt nie aus – Schulministerium NRW zieht Lehren aus (Daten-)Panne
• Meta reagiert auf Bundeskartellamt: Einführung neuer Kontenübersicht geplant

Empfehlungen & Lesetipps:

• DSK setzt Bewertung von Microsoft 365 fort aufgrund EU Data Boundary fort
• Fragenkatalog an OpenAI veröffentlicht
• EU DSB veröffentlicht Blogbeitrag zu KI
• Große KI-Sprachmodelle- Chancen und Risiken für Industrie und Behörden
• BayLfD: Internationale Datentransfers – Orientierungshilfe
• EDPB: Leitlinien 04/2022 für die Berechnung von Bußgeldern nach der DSGVO
• Kostenloser Download des Skripts IT-Vertragsrecht (Hoeren, Pinelli)

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/dsb-vs-betriebsrat-die-datenschutz-news-kw-23-2023

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Ja, ich glaube Heiko, ich war bei meiner Meldung hier drin der nächsten. Deswegen muss ich hier, gut, dass du keine Rückfrage gestellt hast, aber ich äh wie siehst du das denn gerade? Ja hm. Siehst du das denn Gregor? Danke, die hatte ich ganz vergessen. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Mein Name ist Heiko Gossen. Und mein Name ist Gregor Wortberg. Wir starten wieder gemeinsam mit Ihnen ins Wochenende für einige von Ihnen vielleicht schon, äh dass Sie mittendrin sind, weil’s ein langes Wochenende war. Wir haben in einigen Bundesländern Feiertag gestern, für uns hier heute natürlich ein Arbeitstag, weil wir für Sie wieder die News aufbereitet haben. Es gibt einiges. Gregor, was hast du mit dabei? Ja, ich habe vier Themen mitgebracht, einmal ein interessantes Urteil aus München zum Thema Videoüberwachung. Eine Datenschutzrazziate in Italien stattgefunden, Spionage von sensiblen Daten durch die Werbebranche im Internet, soll ein weiteres Thema sein und zu guter Letzt habe ich noch ein Update mitgebracht zu Datenpanne im Schulministerium Nordrhein-Westfalen. Sehr gut Ich habe einmal ein Thema zum Mitgliederlisten im Verein und den E-Mail-Adressen. Ein sehr spannendes Thema Interessenskonflikt DSB versus Betriebsratsvorsitzender. Wir schauen auf ein aktuelles bei einem Mobilfunkanbieter beziehungsweise dessen Vertriebspartner, dann ein Erfolg des Bundeskartellamts bei Meta, Wir haben eine Entscheidung des EDPB über die Annahme von Leitlinien noch mit im Gepäck und natürlich ein Haufen Lesetipps diesmal. Der guten Vollständigkeithaber zwei Dinge noch vorneweg, einmal heute ist der neunte Juni zwanzig dreiundzwanzig und der Redaktionsschluss war wie immer um zehn Uhr. Und ich habe eine Klarstellung beziehungsweise eine Korrektur noch zu letzter Woche. Da habe ich etwas erzählt über den TLS Mindeststandard und dass der angehoben worden sei. Da muss ich mich leider korrigieren äh Dank eines äh aufmerksamen Zuhörers, der das auf unserer Webseite auch kommentiert hat. Muss ich das leider oder darf ich das korrigieren? Also vielen Dank auf jeden Fall an äh entsprechenden Zuhörer, der mich darauf aufmerksam gemacht hat, dass es sich hier nur um eine Versionsnummer des Positions BSI handelt, die angehoben wurde und die aktuellste TLS-Version aber immer noch die eins Punkt 3 ist. Von daher, korrigiere ich mich wie gesagt zu letzter Woche, es besteht im Moment erstmal kein akuter Handlungsbedarf in Unternehmen. Wer da schon losgelaufen ist, hoffe ich, ist zur gleichen Erkenntnis gekommen. Falls jemand da jetzt schon Arbeit investiert hat, ich entschuldige mich hiermit ganz formell und höflich und bitte um Nachsicht. Es ist mir, wie gesagt, in der Kürze der Zeit letzter Woche leider nicht so richtig klar geworden, deswegen. Und damit wäre ich mit dem Entschuldigen durch, Gräber. Schuldigen. Mit der Korrektur und wir starten. Dann legen wir mal los. Genau, ich hatte es eigentlich schon gesagt, ich habe ein interessantes Urteil zum Thema Videoüberwachung mitgebracht und das hat es durch den bayrischen Verwaltungsgerichtshof in München gegeben. Wenn’s unterm Strich flet zusammenfassend äh wurde der Stadt Passau, die Videoüberwachung des Klostergartens untersagt. Der Klostergarten ist jetzt nicht ein Garten an der Kirche oder eines Klosters, sondern einfach ein öffentlich zentralgelegener Platz. In der Nähe, in der Universität. Von allen Seiten begehbar, äh wenig begrünt und mehr so ein größerer Schotterplatz würde ich mal sagen. Ist auch noch ein Kinderspielplatz vorhanden und der wird für Wochenmärkte genutzt War aber auch einfach nur für Pendler, die den Platz morgenlich oder täglich halt passieren wollen. Im Jahr 2tausendsie um der ganzen Sache jetzt mal ein bisschen Kontext zu geben, ähm wurde der Platz durch die Polizei als äh polizeilicher Brennpunkt benannt. Hintergrund waren ähm insbesondere Körperverletzungsdelikte unter Drogenhandel und äh dementsprechend ähm wurde das dann auch an die Stadt herangetragen und im Jahr 2tausendachtzehn. Beschluss des Stadtrates wurden dann zehn Videokameras installiert, von denen waren auch zwei Schwenk- und Zoombar, also so Domkameras, ne, haben sie dann aufgestellt und die Videoüberwachung fand dann 19 Stunden am Tag statt. Also schon recht umfassende Geschichte. Die Nachtzeit äh war dabei ausgeschlossen, da der die Problematik, Hauptsache tagsüber gesehen wurde. Ein ortsansässiger, der zugleich auch im äh Passauer Stadtrat sitzt, hat dann gegen äh diese Videoüberwachung geklagt und auf Unterlassung geklagt. Das äh VG Regensburg hat die Klage erst mal abgewiesen Und dann wurde durch den Kläger beim Verwaltungsgerichtshof in München Revision eingelegt. Zum Hintergrund. Die Stadt hat die Videoüberwachung insbesondere auf das bayrische Datenschutz äh Recht gestützt auf den Artikel 24 im Absatz eins ist da halt die Videoüberwachung zur Erfüllung von öffentlichen Aufgaben, unter anderem möglich, Falls sie es erforderlich ist ähm um die öffentliche Sicherheit quasi zu gewährleisten und öffentliche Einrichtungen, Kulturgüter, et cetera. Letzten Endes zu stützen. Das VGH hat die ähm wie eingangs gesagt Videoüberwachung, denn ähm als rechtswidrig eingestuft und die Stadt verpflichtet, die Videoüberwachung äh des Klägers zu unterlassen. Da der Kläger und viele weitere natürlich auch, insbesondere äh in dem Grundrecht auf informationale Selbstbestimmung verletzt wurden. Warum ist das Ganze jetzt so der Fall? Ähm die Videoüberwachung ist letzten Endes zur Reichung des Zwecks, also, Prävention von Verbrechen gar nicht geeignet oder auch gar nicht erforderlich, weil die konnte in dem Zeitraum, in dem die Videowochen durchgeführt wurde, gar nicht nachweisen, äh dass sie ja überhaupt einen positiven Effekt also es wurde weiterhin mit Drogen gehandelt und es wurde weiterhin kam es dann zu den zu den öffentlichen Delikten oder Körperverletzungsdelikten und somit, Basis dieser Gefahrenlage ähm überwürgen dann äh laut Gericht die schutzwürdigen Interessen der betroffenen Person. Gerade bei der Ausübung von Freizeitaktivitäten, da der Platz, wie gesagt, ähm halt auch für Märkte genutzt wird, im Sommer zur Erholung. Ein Kinderspielplatz ist vorhanden und. Dark, stand diese Bedrohung, die bestehende Bedrohung gar nicht im Verhältnis dazu, zu dieser Maßnahme, die getroffen wurde. Das lässt sich natürlich auch wunderbar irgendwie auf die betriebliche Praxis übertragen, weil auch hier besteht natürlich regelmäßig der Wunsch, sein Gelände oder dem Betrieb Video zu überwachen und, Hier sollte natürlich auch auf die Verhältnismäßigkeit und auch auf die Begründbarkeit einer Maßnahme geachtet werden, weil wir da ganz schnell in dem Punkt sind, dass wir damit Kanonen auf Spatzen schießen und, es vielleicht auch mildere Mittel zur Erreichung dieses Zwecks gibt, die dann auch in ihrer Umsetzung geprüft werden sollten. Die also ist ja ein schönes Beispiel dafür, dass diese abschreckende Wirkung, die man den Videokameras ja gerne zurechnet und äh zuspricht. Tatsächlich ja dann nicht greifen kann, wenn halt nichts passiert. Ja, also von daher, Punkt gut, nochmal drauf hinzuweisen, dass man genau das natürlich auch für die betriebliche Praxis sich noch mal heranzieht und guckt, dass man wenn man Video und äh Überwachung im Unternehmen einsetzt, dann auch immer wieder schaut, ob die halt ja auch ihren Zweck erfüllt und ob dann halt auch die Sachen, die damit verfolgt werden, letztendlich sich auch als verbessert erweisen und dann auch mal den Mut besitzt zu sagen, na ja Ist halt zwar schön gedacht gewesen, aber vielleicht hat sie dann doch nicht den Effekt und damit ist dann die Zweck beziehungsweise die Rechtmäßigkeit natürlich durchaus in Frage zu stellen. Völlig richtige ja völlig richtiges äh Handeln dann an der Stelle auch. Ich habe auch ein Urteil dabei, Ein Vereinsmitglied hat die Herausgabe aller E-Mail-Adressen der Mitglieder gerichtlich erzwungen und zwar das OLG Hamm Ende April entschieden. Hintergrund ist ein Vereinsmitglied und das wollte eine Opposition zum Vorgehen des Vorstandes über die Weiterentwicklung und Themen äh äh bilden und hat deswegen die Herausgabe von E-Mail-Adressen der Vereinsmitglieder angefragt. Das wurde vom Vorstand, gelehnt aufgrund von datenschutzrechtlichen Bedenken. Der, Vorstand hatte dann auf ein Mitgliederportal verwiesen, wo es die Möglichkeit gab, entsprechend mit den Mitgliedern in Kontakt zu treten. Das reichte diesem Mitglied aber nicht, hat dann erstmal beim Landgericht geklagt. Das hat die Klage allerdings abgewiesen, hat hier dem, Vereinsvorstand Recht gegeben. Die Berufung beim OLG haben wir jetzt allerdings erfolgreich. Das hat aber festgestellt, datenschutzrecht ist ein Ermöglichungsrecht und kein Verhinderungsrecht. Das finde ich noch mal ganz schön leid oder Merksatz an der Stelle und hat halt nochmal klargestellt, dass Artikel sechs, Absatz eins litt B, Privatautonome Gestaltung ermöglichen und nicht beschränken soll. Haben im Ergebnis dann auch basierend auf einer Interessenabwägung, also ähm Absatz äh Artikel sechs, Absatz eins Lied F. Äh gesagt, dass es halt hier keine überwiegenden Geheimhaltungsinteressen der anderen Mitglieder gäbe dass es berechtigtes Interesse an dem Erhalt der Mitgliederliste auch gegeben sei, wenn halt eine Kontaktaufnahme mit den anderen Vereinsmitgliedern beabsichtigt ist um halt diese eben erwähnte Opposition gegen den Vorstand zu bilden. Also dargelegt, berechtigtes Interesse, gewogen und letztendlich entschieden, dass hier der Kläger Recht bekommt. Die haben sich auch noch mal mit der Frage des UWGs beschäftigt, weil das wurde von der Beklagten, die hier vorgebracht, ähm dass man natürlich ja hier schon letztendlich diese E-Mail-Kontaktaufnahme als unzumutbare Belästigung sehe und das hat das Gericht aber auch verneint und gesagt, na ja, jedes Vereinsmitglied habe ja die Möglichkeit, sich vor dem äh Erhalt unerwünschter E-Mails auch zu schützen. Also Ergebnis, die Übermittlung von Mitgliederlisten ist mit dem Datenschutz vereinbar und kann hier durch den Erlaubnistatbestand des Artikel sechs Absatz eins entsprechend auch gedeckt sein. Ja, mit meiner nächsten äh Meldung möchte ich einmal nach Italien blicken. Es liest sich erst mal recht, Datenschutz Razzia, wie ich das im Eingang schon äh eingangs schon gesagt hatte. Und zwar hat eine Untersuchung, ein der ähm neben der italienischen Datenschutzbehörde auch eine Sondereinheit für Datenschutz und Technologiebetrieb aus Rom. Ähm sowie ähm die gerade ja die Finanzjahr aus Corona beteiligt waren. Nun mit einer Beschlagnahmung. Mehrere Datenbanken und Empfängen ihrer Bußgelder ihren Abschluss gefunden, im Rahmen einer Razzia hatten die Ermittler ein Netzwerk aus mehreren Unternehmen entdeckt, welches personenbezogene Daten für Direktmarketing den Zweckgehalt missbraucht hat. Ähm Und diese Daten wurden halt teils widerrichtig von diversen Datenbranchen gekauft und weitergegeben. Eine Information der betroffenen Person über die Daten weitergearbeitet natürlich ebenso nicht stattgefunden wen wundert’s? Und. Insgesamt wurden hier vier Unternehmen ähm, gegen vier Unternehmen Bußgelder verhängt. Einen wird vorgeworfen äh Kundenakquise für Energieunternehmen durchgeführt zu haben, ohne dazu überhaupt benannt worden zu sein, Weiteres Unternehmen hat dann auf diese Listen zugegriffen und die Person bezungen Daten ohne entsprechende Einwilligung halt auch genutzt, und ähm so wurden halt Opfer im Rahmen von Telefonaten dazu gebracht, Verträge bei diversen Energieanbietern zu unterzeichnen, um mal so ein kleines Gefühl für das Ausmaß zu bekommen, allein in 2018 wurden 7.000 Kontaktdaten, verarbeitet und über 50.00 Verträge abgeschlossen, ohne dass eine gültige äh Rechtsgrundlage für die Verarbeitung überhaupt vorgelegen hätte. Unterm Strich stehen gegen die vier Unternehmen Bußgelder in Höhe von achthundert, dreihundert, 200 beziehungsweise 500.000 Euro zu Buche, summiert sich dann ganz gut und dann schließt sich da auch dieser Kreis des Betrugsringes. Also sieht man mal ähm scheint sich dann zu lohnen die Vermittlung von, oder Energieverträgen. Nun nicht für den Datenschutz leider und deswegen ist es umso besser, dass dass es diese Untersuchung noch gegeben hat. Genau, wir wollen hier keinem so ein Verhalten nahe liegen. Den Blick habe ich gesehen, die dachte ich äh mach noch mal einen Strich drunter. Sehr gut, vielen Dank, Ja, ich komme zu unserer Titelmeldung. Äh das Bundesarbeitsgericht hat entschieden, dass ein Betriebsratsvorsitzender nicht zugleich Datenschutzbeauftragter sein darf. Der Vorsitzende des Betriebsrats kann halt nicht gleichzeitig der sein, weil wenn der Vorsitzende des Betriebsrats auch DSB ist, dann kann es halt zu Interessenskonflikten kommen. Deshalb darf der Arbeitgeber in der Regel den Datenschutzbeauftragten abberufen. Das hatte hier die Vorinstanz anders gesehen. Hintergrund der Kläger Vorsitzender des Betriebsrats in den betroffenen Unternehmen, wurde teilweise freigestellt, nachdem er 2015 zum Datenschutzbeauftragten zweitausendsiebzehn dann den Betriebsratsvorsitz ähm zum Betriebsratsvorsitzenden gewählt worden war Daraufhin hatte die Thüringer äh der Thüringer Landesbeauftragte für Datenschutzinformationsfreiheit die Wiederrufung der der DSB-Benennung veranlasst, weil er hier eine, und Kompatibilität der Ämter gesehen hat, Der Arbeitgeber hatte dann 20018 mit wirksam werden der DSGVO vorsorglich nochmal mit einem Schreiben, den Betroffenen oder dem Datenschutzbeauftragten formal abberufen. Daraufhin hat diese dann entsprechend geklagt die Vorinstanzen sahen die beiden Ämter eher als miteinander vereinbar an. Die Revision aber hatte auch hier Erfolg. Der. Äh das Gericht kam zu dem Ergebnis, dass der Betriebsrat über Gremienbeschlüsse halt darüber entscheidet, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgabe, welche personenbezogenen Daten vom Arbeitgeber fordere und in welcher Weise er diese anschließend auch verarbeite. Damit käme er letztendlich in die Situation, dass er Zwecke und Mittel der Verarbeitung personenbezogener Daten festlege, dass letztendlich dann auch den Interessenskonflikt bewirke. Er hat offen gelassen, ob diese Entscheidung für alle, Mitglieder eines Betriebsrats gilt oder nur für den äh jeweiligen Vorsitzenden. Er hat auf jeden Fall gesagt, der Vorsitzende hat natürlich eine entsprechende Vertretungsrolle des gesamten Betriebsrats vor dem Arbeitgeber und deswegen wirke diese Interessenskonflikt bei ihm auf jeden Fall. Zuverlässigkeit, das ist ja der Anknüpfungspunkt in der ähm damaligen Bundesdatenschutzgesetz auf äh das er sich hier berufen hat der DSB, aber natürlich auch sinngleich in der DSGVO mit der gleichen Überlegung, diese Entscheidung natürlich auch wirksam ist und äh funktioniert. Von daher glaube ich, ist es halt wichtig, da natürlich in Unternehmen auch nochmal draufzuschauen, wo hier Interessenkonflikte bestehen können in der Zuverlässigkeit, wie gesagt, in dem Moment, wo ich halt eventuell Interessenskonflikte habe, muss ich natürlich diese wirksam ähkeit der Benennung eines DSBs, überprüfen und wie gesagt bei Betriebsräten ergibt sich meines Erachtens hieraus jetzt nochmal ein sehr konkreter, Prüfungspunkt für Unternehmen hinzuschauen, ob hier eventuell Interessenskonflikte bestehen können, die eine wirksame Benennung eines Datenschutzbeauftragten eventuell unwirksam werden lassen. Könnten. Ja eine eine Meldung, die sich vielleicht äh die äh Werbebranche gerne erspart hätte, ist meine nächste und äh sicherlich auch nicht beabsichtigt, was da passiert ist. Eine fast 25 Megabyte ausmachen und über 650.000 Zeilen umfassen Excel-Datei, lag nämlich auf einem öffentlich zugegänglichen Webserver und die gibt uns nun ein äh ja Tiefen, aber auch ziemlich äh zugleich erschreckenden Eindruck, wie intensiv Daten von Webnutzern global zu Werbezwecken ähm gehandelt und überhaupt auch erhoben werden. Äh die Liste stammt vom US-Werbenetzwerk Xendel. Hoffe, ich hab’s richtig ausgesprochen. Das äh wurde wohl doch 2022 für angeblich eine Milliarde US-Dollar von Microsoft gekauft, und entdeckt wurde diese Liste, wollen wir auch noch kurz erwähnen ähm vom unabhängigen Wiener Forschungsinstitut Crack Labs äh durch Crystal und die wurde dann dem Portal Netz, Politik Punkt org und dem US-Magazin The Makeup zur Verfügung gestellt. Tausende von Zeilen äh befinden sich in Dokument und die weisen nämlich dann auch auf brisante Zielgruppenbeschreibung hin. Also nach welcher Zielgruppe ich bewusst auch äh meine Werbung dann halt das selektieren und den dann auch zur Verfügung stellen oder diese halt bewerben kann und ähm in diesen Zielgruppen sind auch direkt quasi alle Kategorien enthalten, die auch nach der Datenschutzgrundverordnung sensibel gelten, Also alles Informationen über medizinisch und gesundheitsproduzente Themen, ethnische Zugehörigkeit, politische Überzeugung et cetera PP, Und das sind wirklich 100.000 Segmente, die dann auch noch mal separate Listen ähm aufgesplittet sind mit digitalen Identifikationscodes. Den dann auch noch mal bestimmte Eigenschaften zugeschrieben werden und Ist es halt wirklich möglich, die Listen zu selektieren nach demografischen Merkmalen, Interessenkonsumverhalten. Sexuelle Orientierung und man kann dadurch wirklich auch gezielt ähm die Ansprache von Minderjährigen ermöglichen, oder halt auch gezielt Personen ansprechen, die oft äh Kids für Schwangerschaftstest kaufen, nach Gehirntumoren äh suchen, anfällig für Depressionen sind, bestimmte Götterserros, aber suchen et cetera PP. Da gehört schon einiges dazu. Man sieht, wie sensibel die Daten dann sind und es gibt sogar äh Anweisungen. Wie lange die Daten denn noch zu verwenden sein? Es gibt ja wohl auch Zieldaten und in etwa in welchen US-Daten mit mit restriktivem Datenschutzgesetzen, die Daten dann noch bei eventuell nicht verwendet werden sollten. Aufgeführt äh sind 93 Datenlieferanten, unter anderem auch Orical, die in mehr als 200.000 Segmenten auftauchen. Er braucht Deutschland äh ist da dabei, die Online-Werbefirma. Und die ProSieben SAT eins Tochter Theatics sind da vertreten und berichten zufolge und arbeiten unter anderem Axel Springer und Burda dann auch Mixander zusammen. Hat also auch aufmerksam äh Auswirkungen dann für uns, wenn man so möchte und das zeigt einmal mehr eigentlich auch, wie wie Gläsern man im Internet und auch unterwegs ist und wie sehr sich es lohnt, vielleicht auch seine Privatsphäre im Internet zu schützen, Zugleich, finde ich, wird aber auch deutlich, äh dass es dann mit den, ethischen Grundsätzen äh wieder Nichtnutzung von sensiblen Daten zu Werbezwecken bei den Werbetreibenden, dann doch nicht so sonderlich gut steht und äh da dann für für den Profit würde ich jetzt einfach mal unterm Strich sagen. Viel getan wird. Sechshundertfünfzigtausend Zahlen ist natürlich eine Menge, ich hast du zu Ende bis zum Ende gescrollt? Ja genau, war ich selbst, habe ich in der Vorbereitung gemacht, mhm. Durchgezählt. Gut. Bin froh, dass ich mich zwischendurch nicht verzählt habe. Sehr gut, Ich komme zu dem nächsten Thema Vodafone informiert derzeit viele Kunden, dass Cyberkriminelle bei einem Vertriebspartner eingebrochen seien und sensible Daten kopiert hätten Die Reise berichtet werden Vodafone-Kunden derzeit aufgefordert, ihr Passwort zu ändern, also einige, nachdem es bei einem Cyber-Vorfall beim Vodafone Vertriebspartner Vertriebswerk zu einem Datenleck gekommen ist. Betroffene Daten sind wohl Name, Geburtstag, E-Mail-Adresse, Mobilfunknummer, Adresse, Bankverbindung und Kundenkennwort. Daher hat Vodafone für siebeneinhalbtausend Benutzer die das Passwort gesperrt und eine Anleitung zur Änderung bereitgestellt. Unternehmen hat den Vorfall auch schon im BFI, den Bundesbeauftragten für Datenschutz und Informationsfreiheit gemeldet und auch Strafanzeige gestellt. Bisher allerdings keine Missbräuche festgestellt oder es gibt auch keine Anzeichen dafür. Allerdings sollten Kunden natürlich ihre Kontobewegungen und Vodafone-Konten auch weiterhin überwachen und auch auf Phishing-Versuche achten. Wenn jemand eine E-Mail von Vodafone bekommt mit dem Hinweis auf so ein Vorfall, dann ist das halt diesmal leider kein Phishing, sondern echt. Vodafone hat die Webseiten aktivieren Punkt Vodafone DE und Vorteilstarife Punkt net äh allerdings auch vorsorglich deaktiviert. Wie gesagt im Moment keinen Hinweis auf Missbrauch. Trotzdem vorsorglich, wie gesagt, Kennwörter ändern und man arbeitet jetzt natürlich auch da dran, die Vertriebsplattform so bald wie möglich wieder vollständig reaktivieren zu können. Also, wie gesagt, kleiner Hinweis, lieber mal das Kennwort da auch ändern und ich meine, das gilt natürlich eh immer Ja, aber ich erwähn’s nochmal, weil auch das merke ich immer wieder auch so, muss ich ganz ehrlich sagen, im im privaten Umfeld immer mal wieder, dass Leute doch dazu neigen, die gleichen Kennwörter an mehreren Stellen zu verwenden. Das ist wirklich sehr gefährlich, weil man damit, wie gesagt, wenn’s einmal kompromittiert ist, sehr schnell auch aus dem Blick verliert, wo man halt überall jetzt seine Kennwörter gegebenenfalls ändern sollte. Passwortmanager sind immer noch eine gute Idee. Äh positionalisierst du deine Passwörter nicht, also Heiko eins, zwei, drei oder wie auch immer. Nee, ich habe ich schreibe immer Passwort für Facebook Punkt eins, zwei, drei zum Beispiel. Ach so, das ist natürlich auch praktisch, okay. Ja gut. Ja, also meine nächste Meldung ist vielleicht auch ein Update, das ich da mitbringen möchte zur Sicherheitsspanne im Schulministerium Nordrhein-Westfalen. Äh da haben wir in unserer Folge in KW siebzehn drüber berichtet. In, Hier waren circa dreieinhalbtausend Daten noch Zugangsdaten hier abrufbar, infolge der Downloadpanne. Der Abiturprüfung, die ähm hat das ja auch dieses Datenleck gegeben, weil im Medialrecht vertreten das Thema seiner Zeit. Und das Schulministerium hat nun noch ein paar Konsequenzen gezogen und darüber möchten wir natürlich dann auch informieren. Momentan läuft da wohl eine IT-Schwachstellenanalyse durch Ernst in, teilt es an das Ministerium mit und Ziel sei es dann natürlich dann auch sein, dass nach Möglichkeit es gar keine Schwachstellen in der Zukunft, IT-Infrastruktur mehr entstehen. Das erstmal so die Basis, wie jetzt aktuell auch noch, im Gange ist und um das in Zukunft auch besser zu steuern will das Schulministerium ein Kompetenzzentrum einrichten mit einem zentralen Ansprechpartner für die Webanwendung, die im Schulsystem dann halt auch eingesetzt werden. Ab dem nächsten Schuljahr ähm soll’s noch eine kleine Änderung geben, was äh den Download betrifft. Also da werden dann äh künftig drei Tage vor Prüfungsterminen die Aufgaben herunterladbar sein. Bisher war es ein Tag vorher, um einfach ein bisschen mehr Zeit zu haben vor der technischer Störung und. Ein neuer Dienstleister soll auch äh das technische Verfahren ähm wird neu ausgeschrieben, da der Vertrag und den bisherigen Dienstleister im Sommer ausläuft und die Entscheidung soll aber auch schon zeitnah Mitte August fallen, damit’s dann auch dann weitergeht. Sehr schön. Dann schauen wir einmal auf Meter. Das Bundeskartellamt hat einen Erfolg bei seinem Vorgehen-Mieter vermeldet. Der Konzern will Daten jetzt zukünftig und nicht mehr ungefragt plattformübergreifend zusammenführen. Bekanntermaßen der US-Konzern hinter Facebook, Instagram und WhatsApp wird seinen Nutzern wohl erstmals die Möglichkeit geben, frei zu entscheiden, ob sie die Dienste isoliert oder miteinander verknüpft nutzen möchten. Bundeskartellamt hatte dem Unternehmen im Februar 20019 bereits untersagt Daten ohne Einwilligung der Nutzer aus verschiedenen Quellen zusammenzuführen. Woraufhin Meter jetzt gerichtlich dagegen vorgegangen ist, Und obwohl der Fall bis zum Europäischen Gerichtshof gelangte, hat Meta nun eingelenkt und wird eine neue Kontenübersicht einführen, die transparenter und verständlicher sein soll, Die deutschen Wettbewerbshüter hatten die Anforderungen an eine freiwillige und informierte Einwilligung im Kern erfüllt gesehen jetzt mit diesem Vorschlag, sehen aber natürlich nach wie vor auch noch ein bisschen Optimierungspotential. Mieter möchte in diesem Zuge den Nutzern auch noch mal klarer und verständlicher machen, dass diese, Daten auch für Tracking, Profilerstellungen und personalisierte Werbung genutzt werden können. Und ähm ja, jetzt ist es natürlich, wie gesagt, noch ein bisschen offen, weil der Fall, wie gesagt, vor dem EuGH liegt. Die Entscheidung des EuGH wird am 4. Juli erwartet. Wann Meter jetzt diese Änderungen allerdings implementieren wird, das äh ließ das Kartellamt in seiner Pressemeldung noch offen. Ich find’s trotzdem gut auf jeden Fall schon mal wieder ein Stück mehr Datenschutz, wenn jetzt der Benutzer tatsächlich selber entscheiden kann, wie die Daten zusammengeführt werden oder nicht und ich find’s halt gerade bei WhatsApp, was ja doch ein sehr stark zur Kommunikation genutzt wird und nicht immer nur öffentliche Informationen enthält. Auch sehr gut, wenn die halt nicht gleichzeitig dann für Werbung auf Facebook oder so genutzt werden, das ist schon finde ich echt echt kritisch. Das ist ein guter Schritt in die richtige Richtung, auf jeden Fall. Von meiner Seite aus war’s mit meinen Themen das schon. Ich habe jetzt mitgebracht. Heiko, hast du noch. Ja ich hätte noch eine kurze Meldung und zwar der EDPB hat die Leitlinien vier zwanzig zweiundzwanzig und da geht’s um die Berechnung von der TSGVO nun angenommen. Die wurden ja letztes Jahr öffentlichen Konsultation nochmal, also die Wunsch schon mal halt zur öffentlichen Konsultation angenommen. Jetzt haben wir die endgültige Fassung, die ist auch veröffentlicht worden. Erinnerungen mit äh Professor Doktor Kugelmann, da ja auch letztes Jahr drüber gesprochen, da hatten wir eine Themenfolge zu veröffentlicht. Die verlinken wir hier auch nochmal in den Shownotes. Und ich muss aber gestehen, ich habe jetzt noch nicht im Detail reingeguckt, was die Änderungen sind, leider, das Change Log in dem Dokument da nicht sehr viel drüber hergegeben, ob man jetzt innerlich nochmal Änderungen vorgenommen hat zur Ursprungsversion, eins Punkt null jetzt ist es die zwei Punkt null oder ob man die 1 zu 1 übernommen hat. Ich weiß, es ist sehr viel Eingaben gab dazu. Das hatte ich zwischenzeitlich schon mal mitbekommen von den Aufsichtsbehörden, aber ob das jetzt wirklich zu Veränderungen geführt hat, Wir müssen reinschauen. Ich ähm versuche das aber in der nächsten Zeit zu tun und sobald ich es getan habe natürlich mich dazu auch nochmal zu melden. Damit Gregor würde ich sagen, eröffne du gerne unsere Empfehlungen und Lesetipps. Genau, den ersten Lesetipp haben wir auch noch mal verlinkt in unseren Shownotes und zwar ist wieder ein bisschen Bewegung drin. Zum Thema Datenschutz von Microsoft 365 und zwar setzt da die Datenschutzaufsicht äh die Bewertung fort. Die EU Databoundry ist da nochmal im Fokus ähm und eine gute Einordnung haben wir in den zum Stefan Hessel auch nochmal verlinkt. Die hat er durchgeführt und zwar ist nämlich, dass vor kurzem das Protokoll dazwischen kommt, 1ten Zwischenkonferenz 2023 der DSK veröffentlicht worden und darin steht nämlich auch, äh dass eine Neubewertung von Microsoft 365 durchgeführt werden soll. Einordnung von Stefan Hessel, wie gesagt, auch nochmal verlinkt in den. Wunderbar. Wir hätten dann auch noch äh was zum Thema KI oder ich hätte da was zum Thema KI in verschiedenen ähm Beiträgen, die man sich natürlich in Ruhe noch mal angucken kann Zum einen den Fragenkatalog der Schleswig-Holsteinischen äh Datenschutzaufsichtsbehörde, die hat nämlich an Open AI nun einen Fragenkatalog geschickt den man natürlich auch fürs eigene Unternehmen noch mal heranziehen kann, wenn man KI im Unternehmen einsetzt, Dann gibt es vom europäischen Datenschutzbeauftragten einen Block zum äh Thema KI, den werde ich mir natürlich auch verlinken und vom BSI gibt es auch ein Dokument, was veröffentlicht wurde, um hier auch Unternehmen äh Behörden und auch die Industrie natürlich nochmal zu sensibilisieren und zu sehen, wo sie Chancen und Risiken beim Einsatz von KI Sprachmodellen. Drei Dokumente, die, glaube ich, für Menschen und für Unternehmen, die sich aktuell mit KI auseinandersetzen, durchaus interessant und hilfreich sein dürften. Dann als äh nächsten Lesetipp habe ich noch eine Orientierungshilfe mitgebracht. Das bei LFD war aktiv und hat eine Orientierungshilfe zur Thema Internationale Darktransfest veröffentlicht, ist auch ebenfalls verlinkt und äh ein kleiner Hinweis auf der letzten Seite findet sich dann auch noch ein Prüfungsschema für internationale Datentransfers in der Orientierungshilfe. Und, um Delizyps rund zu machen. Ein kleiner Hinweis, auch es gibt eine neue Version des Skripts zum IT-Vertragsrecht von höheren und, Stefan Pinneli äh wurde wieder veröffentlicht auf der Webseite von äh den beiden und es steht auch zum Download bereit. Sehr gut, auch durchaus eine Empfehlung, eine persönliche von mir, dieses IT-Skript von Professor Hörn seit vielen Jahren existent und immer wieder jedes Jahr ein-, zweimal upgedatet, immer wieder auch ganz hilfreich für die ein oder andere Praxisfrage. Von daher sehr gut. Damit sind wir durch für heute. Wir wünschen Ihnen natürlich ein schönes Wochenende, genießen Sie Temperaturen jenseits der dreißig Grad mancherorts hoffentlich und wir hören uns dann, in Bälde wieder, bleiben sie uns gewogen und auf bald.