Moderation:
Was ist in der KW 51 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Veröffentlichungen & Veranstaltungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/edsa-leitlinien-zur-nutzung-von-ki-datenschutz-news-kw-51-2024/↗
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Was ist das denn? 82? Mist, hilf mir kurz. 82, 3? 82?
Da muss ich selber nachgucken.
Ich glaube, es ist falsch.
Dann lass doch einfach die Absatznummern weg, die sind doch irrelevant.
Danke, jetzt können wir es nicht mehr als Outback nehmen.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir starten heute mit euch ins vierte Adventswochenende. Es ist Freitag, der 20. Dezember 2024.
Unser Redaktionsschluss war wie gehabt um 10 Uhr. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Weihnachten wirft seine Schatten voraus, Laura. Auch hier bei uns,
bei der Migosense. Vielleicht an der Stelle schon mal ein kleiner Spoiler.
Wir haben die Sendung für Silvester, unsere Menschenbilder-Datenschutz 2024,
diese Woche aufgezeichnet.
Wie hast du es empfunden, Laura?
Ja, das war großartig. So wie die letzten zwei Jahre auch. Ich finde,
diese Folge steht den anderen in keinstem Sinne nach.
Und ja, wir konnten ja auch tolle Gäste begrüßen mit Simon Weidler von Meta, Dr.
Paul Vogt von Taylor Wessing und auch Thomas Fuchs war bei uns zu Gast,
was mich persönlich sehr gefreut hat, dass er sich die Zeit genommen hat von
der Aufsichtsbehörde in Hamburg. Finde ich, haben wir tolle Gespräche geführt und ja, 27.12.
Ist glaube ich der Tag, den unsere lieben Zuhörerinnen und Zuhörer sich fett
im Kalender anstreichen sollten, oder?
Ganz genau, also damit ist die Katze aus dem Sack. Einmal, wer unsere Gäste
waren und sind, also ihr könnt es dann alle hören.
Am 27.12. geht die Folge online und wir freuen uns natürlich über jeden,
der reinhört und uns auch Feedback gibt.
Oder reinschaut, müssen wir auch wieder betonen, auch an dieser Stelle.
Ganz genau.
Man kann uns diesmal auch wieder sehen.
Und tatsächlich eine Verbesserung zum letzten Jahr. Da hatten wir ja die Gespräche
mit unseren Gästen auch als Video.
Diesmal ist die gesamte Show als Video auch verfügbar.
Also man sieht auch uns bei unseren Teilen, wo man die Gäste nicht sieht.
Also ihr versteht, was wir meinen. Hoffentlich.
Ihr seht uns immer.
Ja, guckt einfach rein. Meine Güte. YouTube. Ihr wisst, wo ihr das findet. So.
Und damit, Laura, würde ich sagen, gucken wir mal, was wir heute dabei haben.
Genau, zwar eine Woche vor Weihnachten, aber ruhig ist es wirklich nicht.
Auf meinen Zettel hat es heute geschafft, ein Update zu Speicherfristen bei der Schufa.
Dann geht es weiter mit einer großen Phishing-Welle bei den Google-Kalendern.
Ein großes Bußgeld für Meta gab es die Woche.
Dann geht es weiter mit einem Urteil des Arbeitsgerichts Duisburg zu Schadensersatz
bei Veröffentlichung von Gesundheitsdaten.
Und zu guter Letzt habe ich noch eine Nachricht vom europäischen Datenschutzbeauftragten mitgebracht.
Ich hätte auch ein Bußgeld und zwar gegen Netflix.
Dann schauen wir auf die Leitlinien des Europäischen Landschutzausschusses zur
Nutzung von KI-Systemen.
Meta hätte ich auch dann einmal ein Urteil im Scraping-Fall.
Dann schauen wir nochmal auf ein Urteil des Oberlandesgerichts Düsseldorf zum
Thema DSGVO und Zession, bis dann ich zum Schluss auch noch eine Veröffentlichung
hätte, auf die ich gerne aufmerksam machen möchte.
Ich auch. Die habe ich gerade nicht gesagt. Wir haben endlich wieder eine Folge
mit einer Veröffentlichung oder zwei sogar.
Endlich wieder nach dieser Durststrecke, nach einer jahrelangen Dürre ohne überhaupt
irgendeine Veröffentlichung oder eine Veranstaltung.
Ich glaube es war eine Woche ohne, aber gut, es hat sich angefühlt wie Jahre.
So ist es. Soll ich mal starten?
Ja, los.
Und zwar hat in dieser Woche der hessische Datenschutzbeauftragte berichtet,
dass die Schufa auf sein Hinwirken hin Einträge zu ausgeglichenen Forderungen
nur noch 18 statt 36 Monate speichert.
Ab dem 1. Januar 2025 verkürzt die Schufa Holding AG die Speicherfristen für
rund 120.000 bereits ausgeglichene Forderungen.
Solche Daten bleiben künftig nur noch 18 Monate, statt wie bisher 36 Monate
gespeichert, wenn bestimmte Voraussetzungen erfüllt sind.
Zudem werden etwa 56.000 Forderungen direkt gelöscht, da sie die neue Frist
von 18 Monaten bereits überschritten haben.
Die neue Regelungen sind Teil der überarbeiteten Verhaltensregeln für Wirtschaftsauskunftteilen.
Die eben auf Druck des hessischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr.
Alexander Rossnagel, eingeführt wurden. Demnach wird die verkürzte Frist angewendet,
wenn eine Forderung innerhalb von 100 Tagen nach Übermittlung an die Schufa beglichen wurde,
in den folgenden 18 Monaten keine weiteren Negativmerkmale gemeldet wurden und
keine Einträge aus dem Schuldnerverzeichnis oder Insolvenzverfahren vorliegen.
Professor Dr. Rossnagel äußerte eben seine Zufriedenheit diese Woche und betonte,
dass es ihm sehr wichtig war, dass säumige Zahler, die ihre Forderung aber schnell
begleichen, schneller ihre Bonität verbessern können.
Also die Halbierung der Speicherfrist wurde bereits im Mai 2024 auch von der
DSK zustimmend zur Kenntnis genommen und soll eben für mehr Verhältnismäßigkeit
im Umgang mit den personenbezogenen Daten oder dieshalb gewährleisten.
Wenn ich aus datenschutzrechtlicher Sicht natürlich eine sehr schöne Entwicklung,
wie auch an anderer Stelle, Speicherbegrenzung, sollte man immer wieder im Kopf
haben und in den Fällen glaube ich mehr als nachvollziehbar,
was das eben für Folgen für die betroffenen Personen hat, wenn es eben nicht
oder wenn es in Anführungszeichen unangemessen lange Frist doch vorherrscht.
Das und ich finde es ganz schön. Professor Rossnagel haben jetzt diese Woche
die zweite Meldung in Folge, wo er Erfolge vermeldet.
Letzte Woche ja noch mit der Deutschen Bahn, jetzt heute mit der Schufa.
Also erscheint er doch ganz gut mit den Unternehmen im Dialog zu stehen.
Netflix muss 4,75 Millionen Euro Strafe zahlen wegen unzureichender Informationen.
Knapp fünf Jahre nach einer Beschwerde des Datenschutzvereins Neub aus Österreich
wurde von der niederländischen Aufsichtsbehörde nun eine Geldstrafe gegen den
Streaming-Anbieter verhängt.
Neub hatte 2019 bereits kritisiert, dass Netflix seine Nutzer nicht ausreichend
über die Verwendung ihrer Daten informiert habe.
Netflix hat nun Einspruch gegen diese Strafe eingelegt, stellt die Entscheidung
aber wohl grundsätzlich nicht in Frage.
Die ursprüngliche Beschwerde von Neub richtete sich allerdings auch gegen andere
Streaming-Dienste wie Amazon Prime, Apple Music oder auch Spotify.
Hier ist jedoch noch unklar, wie weit diese Verfahren fortgeschritten sind.
Netflix hatte unter anderem seinen Kunden unvollständig und unklarer Auskünfte
auch nach Artikel 15 DSGVO bereitgestellt.
Besonders kritisiert wurden von der Aufsichtsbehörden hier die unklaren Zwecke
und die Rechtsgrundlagen für die Nutzung personenbezogener Daten.
Aber auch die Weitergabe z.B. persönlicher Daten an andere Parteien sowie die
Dauer der Speicherung wurden bemängelt.
Neub prüft nun laut einem internen Datenschutzjuristen, ob alle kritisierten
Punkte ausreichend behandelt wurden.
Und Netflix, wie gesagt, hat zumindest mal gegen die Höhe dieser Buße eine Beschwerde
eingelegt. Von daher scheint mir das Thema noch nicht ganz zu Ende.
Ich hoffe, wir bekommen es mit und werden natürlich hier auch nochmal berichten,
wie es dann schlussendlich ausgegangen ist.
Genau, interessant an den Fällen ist ja auch immer, wie sich so Bußgelder zusammensetzen.
Und dann ist es natürlich auch für das betroffene Unternehmen nachvollziehbar,
dass sie nochmal nachhaken.
Ganz genau. Und wir werden ja auch in der Silvesterfolge mit Thomas Fuchs auch
über dieses Thema nochmal kurz sprechen.
So ist es. Ja, in dieser Woche wurde bekannt, dass Cyberkriminelle Google-Kalender
für Phishing-Attacken nutzen.
Wie Heise diese Woche berichtet, warnen Sicherheitsforscher vor einer neuen
Welle von Phishing-Attacken, bei denen Google-Kalender Einladungen missbraucht
werden, um Nutzer auf gefälschte Webseiten zu locken.
In einem Zeitraum von vier Wochen registrierten sie rund 4000 solcher Einladungen,
die an Mitarbeiter von etwa 300 Unternehmen verschickt wurden.
Angesichts der 500 Millionen aktiven Google-Kalender-Nutzer weltweit ist die
Zahl der potenziellen Opfer hierbei enorm.
Die Angreifer verschleiern die wahre Herkunft der Einladung,
indem sie die E-Mail-Header manipulieren, sodass die Nachrichten scheinbar von
bekannten Absendern stammen.
Über eine typische ICS-Kalender-Datei gelangen die Opfer zu einem Phishing-Link,
der als Support-Button oder Recapture getarnt ist.
Wer darauf klickt, landet auf betrügerischen Webseiten, die persönliche Daten
und Zahlungsinformationen abgreifen. Um sich zu schützen, rät nun Google,
die Einstellungen, bekannte Absender zu aktivieren. So können Einladungen von
unbekannten Absendern erkannt werden.
Die Sicherheitsforscher empfehlen außerdem, verdächtige Anforderungen wie das
Lösen eines Recaptures kritisch zu hinterfragen, Links nicht unbeachtet anzuklicken
und stattdessen URLs selbst im Browser einzugeben.
Ein weiterer sehr empfehlenswerter Schutzmechanismus ist die Nutzung von Zwei-Faktor-Identifizierung.
Dieser kann eben verhindern, dass Cyberkriminelle auf sensible Daten und Konten
zugreifen, selbst wenn Passwörter kompromittiert wurden.
Was am Ende jetzt halt immer wieder zu betonen ist, Achtsamkeit und Sicherheitsmaßnahmen
bleiben entscheidend, um Phishing-Versuche erfolgreich entgegenzuwirken.
Nicht nur bei sich persönlich, sondern bei seinem Umfeld natürlich auch immer
wieder zu sensibilisieren und insbesondere nicht müde werden,
auch in den Unternehmen zu sensibilisieren.
Ja und ich finde halt Zwei-Faktor-Authentifizierung ist zweifelsohne total wichtig
und überall wo es geht, sollte man das aktivieren.
Aber auch hier ist natürlich trotzdem immer noch Aufmerksamkeit gefordert,
weil auch da haben wir ja erste Berichte gesehen in den letzten Monaten,
dass halt auch die Zwei-Faktor-Authentifizierung abgegriffen wird.
Also das heißt, dass über Phishing-Seiten auch der zweite Faktor abgefragt wird
und im Hintergrund dann das genutzt wird, um sich bei dem echten Dienst wieder
einzuloggen durch die Angreifer.
Also von daher auch hier sei trotz Zwei-Faktor-Authentifizierung natürlich immer Obacht geboten.
Der ETSA hat seine Leitlinien zur Nutzung von KI-Systemen veröffentlicht und
das berechtigte Interesse als Grundlage für die KI-Nutzung anerkannt.
Der Europäische Datenschutzausschuss, kurz ETSA, hat sich auf eine gemeinsame
Linie für den Umgang mit KI-Entwicklung und Datenschutz verständigt.
Er sieht das berechtigte Interesse als mögliche Rechtsgrundlage für die Verarbeitung
personenbezogener Daten durch
KI-Modelle vor und sieht aber natürlich auch die strengen Bedingungen,
die in einem Drei-Stufen-Test geprüft werden müssen, hier als zwingend.
Haben wir aber auch schon im Rahmen zum Beispiel des ETSA-Leitlinienpapiers
zum berechtigten Interesse darüber berichtet.
Also da sei drauf verwiesen.
Ja, es geht natürlich darum, die Risiken für Bürgerrechte, der Kontext der Datenverarbeitung
und die Art der genutzten Daten genau zu analysieren.
Als Beispiel nennt der ETSA zum Beispiel Sprachassistenten, die die Cybersicherheit verbessern.
Hier könnte wohl ein berechtigtes Interesse gelten, wenn natürlich alle Rechte gewahrt bleiben.
Soweit so klar. Die Leitlinien stellen aber auch klar, dass KI-Modelle,
die mit personenbezogenen Daten trainiert wurden, dem Datenschutzrecht unterliegen.
Und sie betonen, die Datenschützer, die europäischen, dass damit natürlich rechtswidrig
erlangte Daten zur Entwicklung von KI-Tools deren Einsatz jedoch dann auch wieder
verbieten können, außer die Daten wurden halt ordnungsgemäß anonymisiert.
Die Hetzer-Vorsitzende Anu Talus unterstreicht hier nochmal,
dass Innovationen im KI-Bereich natürlich ethisch und sicher sein müssen,
damit sie halt allen nützen.
Und von daher glaube ich ist das erstmal natürlich klar, dass wir natürlich
alle datenschutzkonforme und ethisch und sichere KI-Systeme haben wollen.
Was jetzt diese Konsequenz angeht, was wir bezüglich der Einstufung von mit
personenbezogenen Daten trainierten KI-Modellen angeht und dann auch diese noch
unter datenschutzrechtlichen Aspekten betrachten müssen,
ist natürlich ein Aspekt, der
auch in der Vergangenheit schon für den Aufsichtsbehörden vertreten wurde.
Wir haben ja einzig, glaube ich, vom Hamburgischen Datenschutzbeauftragten dazu
ja auch das Diskussionspapier gesehen, was das ein bisschen in Frage stellt
und ja, ich glaube, da werden wir auch mit Thomas Fuchs nochmal drüber sprechen.
Vielleicht aber auch noch ein kleiner Disclaimer an der Stelle.
Bei der Aufzeichnung unserer Silvester-Show lag uns halt die Stellungnahme noch nicht vor vom ETSA,
sodass wir da natürlich auch noch nicht konkret drauf eingegangen sind und die
dann auch in unserem Gespräch mit den Gästen halt natürlich noch nicht referenzieren konnten.
Genau. Es wurde nur schon heiß ersehnt, das Papier.
Richtig.
So viel sei gesagt.
Das ist sozusagen der kleine Nachteil, wenn man vorproduziert.
Können sich noch Dinge verändern?
Ja, ich habe ein weiteres hohes Bußgeld mitgebracht und zwar die irische Datenschutzkommission
verhängt insgesamt 251 Millionen Euro Bußgeld gegen Meta.
Die irische Datenschutzkommission, kurz DPC, hat ihre endgültige Entscheidung
zu zwei Untersuchungen gegen die Meta-Plattforms Ireland Limited veröffentlicht.
Die Untersuchungen beziehen sich in erster Linie auf das bekannte Leck,
das Meta im September 2018 meldete.
Zur Erinnerung nochmal, auch wenn es fast an keinem mehr vorbeigegangen sein
dürfte in den letzten Monaten, aber bei diesem Vorfall waren ja etwa 29 Millionen
Facebook-Konten weltweit betroffen, davon etwa drei Millionen innerhalb der EU.
Und zu den betroffenen Daten gehörten damals persönliche Informationen wie Name,
E-Mail, Adresse, Telefonnummer, Geburtsdatum, religiöse Zugehörigkeit,
Geschlecht und auch die Beiträge.
Das Leck entstand durch die Ausnutzung von Benutzertoken, durch unbefugte Dritte
und Meta-Plattforms Ireland Limited und die Muttergesellschaft in den USA behoben
das Problem nach der Entdeckung rasch.
Jedoch nahm die DPC den Fall trotzdem genauer unter die Lupe und stellte eben
nun mit ihrem Bußgeldbescheid mehrere Verstöße gegen die Datenschutzgrundverordnung
fest und verhängte ebenso diese hohe Geldstrafe.
Ich hatte es vorhin an anderer Stelle schon mal kurz gesagt,
in dem Fall super interessant, weil die PC auch veröffentlicht hat.
Wie sich dieses Bußgeld zusammensetzt.
Und zwar gab es 8 Millionen Euro für die unvollständige Meldung des Datenlecks,
3 Millionen Euro für die mangelhafte Dokumentation des Vorfalls.
Weiter geht es mit 130 Millionen Euro, die höchste Summe für Versäumnisse,
Datenschutzprinzipien in der Gestaltung von Verarbeitungssystemen zu integrieren
und 110 Millionen für das Versäumnis, nur notwendige Daten zu verarbeiten.
Die DPC betonte, dass die unzureichende Integration von Datenschutzanforderungen
in die Entwicklung von Systemen zu erheblichen Risiken für die Rechte und Freiheiten
der Nutzer führten, insbesondere eben bei diesen sensiblen persönlichen Daten,
was den Ausschlag gegeben hat.
Wie gesagt, ich persönlich finde es schön, wenn man nochmal im Detail sehen
kann, worauf sich denn hier auch die Aufsichtsbehörden dann beziehen.
Ja, ich finde ganz schön, jetzt nochmal die Zahlen von dir gehört zu haben.
Also drei Millionen Betroffene innerhalb der EU.
Wenn man jetzt mal das BGA-Urteil nimmt, 100 Euro Schadensersatz pauschal,
bei drei Millionen sind wir schon bei 300 Millionen.
Angenommen jeder der Betroffenen macht diese 100 Euro pauschal erstmal geltend,
dann liegt das schon über dem Bußgeld. Und damit realisiert sich ja so ein bisschen
auch das, was Tim Wibitul hier schon vor zwei, drei Jahren in unserem Podcast gesagt hat.
Wir müssen halt aufpassen, dass halt die Bußgelder am Ende gar nicht mehr vielleicht
das scharfe Schwert sind oder das, was die Unternehmen fürchten müssen,
sondern je nach Größenordnung eines Datenschutzvorfalls sind es am Ende vielleicht
sogar die Schadensersatzforderungen.
Richtig. Aber du hast ja jetzt auch noch ein Urteil zu diesem Fall mitgebracht.
Ganz genau. Wir haben jetzt das erste Urteil dazu.
Das OLG Dresden hat dem Kläger nach der BGH-Leitentscheidung zum Facebook-Scraping
nun Schadensersatz zugesprochen und die Hauptlast der Verfahrenskosten.
Das OLG Dresden hat ja entschieden, dass ein Datenschutzverstoß bereits dann
einen immateriellen Schaden begründen kann, wenn ein Kontrollverlust über persönliche
Daten vorliegt, selbst ohne nachweisbaren Missbrauch. Soweit,
so klar, so auch der BGH in seiner Leitentscheidung.
Grundlage war halt auch hier natürlich schon der mehrfach behandelte Fall,
von daher brauche ich den nicht nochmal erklären.
Das Gericht hat der Klägerin wie erwartet 100 Euro Schadensersatz zugesprochen,
weil die Plattform nicht datenschutzfreundliche Standardeinstellungen genutzt hatte.
Weiterhin stellte das Gericht nochmal fest, dass zukünftige materielle Schäden
durch die Beklagte ebenfalls ersetzt werden müssten, falls sich diese aus dem Vorfall ergeben.
Das Gericht betonte, dass technische Voreinstellungen gemäß Artikel 25 DSGVO
so gestaltet sein müssen, dass sie standardmäßig den höchsten Schutz für Nutzerdaten gewährleisten.
Eine höhere Entschädigung wurde jedoch abgelehnt, da die Klägerin keine psychischen
Beeinträchtigungen durch den Vorfall nachweisen konnte.
Auch der Unterlassungsanspruch der Klägerin wurde zurückgewiesen,
da die Beklagte die Sicherheitslücken bereits geschlossen hatte und das Gericht
hier keine Wiederholungsgefahr sah.
Also insgesamt trägt die Klägerin die Hauptlast der Kosten, nämlich 93 Prozent
der Verfahrenskosten, da der Großteil ihrer Forderung abgewiesen wurde.
Also wenn wir das jetzt mal uns angucken, also nochmal genau ins Urteil reingucken,
dann bekommt die Klägerin 100 Euro Schadensersatz,
193 Euro Ersatz für die Verfahrenskosten vom Beklagten, der Beklagten und alles
andere muss sie selber zahlen.
Von daher glaube ich unterm Strich geht das nicht positiv auf.
Also da muss man sich dann halt auch nochmal überlegen, inwieweit halt dann
die Klage sich unterm Strich natürlich lohnt.
Ich glaube, das sieht aber halt anders aus, wenn man sich halt auch auf diesen
Schadensersatz wahrscheinlich konzentriert und andere Dinge,
die jetzt vielleicht auch zulasten der Klägerin entschieden wurden,
dann natürlich auch nicht mit versucht, wieder einzuklagen, weil,
wie gesagt, da muss man halt aufpassen, sonst hat man nachher, wie gesagt,
unterm Strich ein Minus gemacht und das will wahrscheinlich keiner.
Ich habe als nächstes auch ein ganz spannendes Urteil zum immateriellen Schadensersatz mitgebracht.
Und zwar nach unzulässiger Veröffentlichung von Gesundheitsdaten spricht das
Arbeitsgericht Duisburg einem Arbeitnehmer einen Schadensersatz in Höhe von 10.000 Euro zu.
Das Arbeitsgericht Duisburg hat bereits am 26.
September diesen Jahres entschieden, dass die unerlaubte Weitergabe von Informationen
über eine Krankmeldung eines Arbeitnehmers an Dritte einen Schadensersatz nach
Artikel 82 DSGVO in Höhe von 10.000 Euro rechtfertigt.
Im konkreten Fall hatte die Präsidentin eines Verbands in einer Rundmail an
rund 10.000 Mitglieder des Vereins ohne Einwilligung des Klägers dessen Krankheitsstand
sowie massive interne Konflikte öffentlich gemacht.
Der Kläger, der sich im Krankenstand befand, sah durch diese unrechtmäßige Verarbeitung
seiner Gesundheitsdaten seine Reputation und seinen Ruf erheblich beeinträchtigt
und klagte eben daraufhin.
Das Gericht kam zu dem Schluss, dass die Verarbeitung der sensiblen Daten weder
rechtmäßig noch durch Ausnahmen der DSGVO gedeckt waren.
Die Richter betonten, dass Gesundheitsdaten eben gemäß Artikel 9 DSGVO besonders geschützt sind.
Zur Höhe des Schadensersatz führte das Gericht aus, dass Artikel 82 DSGVO eine
Ausgleichsfunktion erfüllt,
um den tatsächlich entstandenen immateriellen Schaden vollständig zu kompensieren,
die jedoch keine abschreckende oder strafende Funktion hat und zitiert hierbei
auch die Entscheidung des Europäischen Gerichtshofs, die uns ja auch bereits bekannt ist.
Angesichts des Umfangs der Datenweitergabe an 10.000 Personen sei daher eine
Entschädigung in Höhe von 10.000 Euro angemessen und ausreichend.
Ebenso begründete das Gericht, dass es zwar ja durchaus denkbar ist,
dass der Verantwortliche gemäß seiner Haftung befreit ist, wenn er nachweisen
kann, dass er für die Folgen nicht verantwortlich ist.
Jedoch konnte dieser Nachweis von der Beklagten nicht geführt werden.
Der Kläger konnte in den Augen des Gerichts aber jedoch einen immateriellen Schaden nachweisen.
Es sieht es darin begründet, dass sämtliche knapp 10.000 Mitglieder des Verbands
von seiner Erkrankung, der Dauer seiner Erkrankung, sowie auch vermeintlichen
Vortäuschens einer Erkrankung Kenntnis erlangt haben.
Das ergab sich halt eben aus diesen internen Disputen innerhalb des Verbands
und ihn sogar in seiner Freizeit auf die Vorgänge ansprachen.
Dadurch wurde seine Reputation beschädigt und sein Ruf geschwächt.
Hier haben wir halt wieder ein, finde ich, sehr nachvollziehbares Urteil,
oder, zum Thema immaterieller Schadensersatz. In manchen Fällen ist es ja nicht so.
Richtig. Ja, auch eben hier, ganz klar, es erfolgt aufgrund einer Rechtsverletzung, der Schaden.
Und dann, würde ich sagen, kann man das auch durchaus nachvollziehen.
Ja, und man muss ja auch ganz ehrlich sagen, warum tut man das?
Also das ist doch dumm, sowas in eine E-Mail an seine Mitglieder zu schreiben.
Das ist doch sehr natürlich, dass man sowas nicht publik macht,
oder? Also was ist das? Ich verstehe das nicht.
Was ist es? Ja, verletzter Stolz am Ende des Tages.
Irgend so was wird es wahrscheinlich sein, aber schwer nachvollziehbar,
warum man sowas überhaupt tut. Wir bleiben in der Region.
Das Oberlandesgericht Düsseldorf hat entschieden, dass datenschutzrechtliche
Auskunftsansprüche gemäß Artikel 15 DSGVO ein höchstpersönliches Recht darstellen
und daher nicht abgetreten werden können.
Die Klägerin im Fall konnte im Fall nicht nachweisen,
dass die betroffenen Versicherungsnehmer die relevanten Unterlagen unverschuldet
verloren haben und deswegen auch kein Anspruch aus 242 BGB, Treu und Glauben, besteht.
Das Gericht stellte weiterhin klar, dass Artikel 15 nicht dazu verwendet werden
darf, um wirtschaftlich verwertbare Informationen für die Durchsetzung möglicher,
zum Beispiel Rückforderungsansprüche, zu gewinnen.
Daher hat es die Auskunftsansprüche als rechtsmissbräuchlich eingestuft,
da sie in diesem Fall halt nicht dem Schutz der personenbezogenen Daten dienten,
sondern halt ein rein wirtschaftliches Ziel verfolgten.
Auch die von der Klägerin vorgelegten Abtretungsverträge begründen keinen Anspruch,
da diese das höchstpersönliche Recht auf Auskunft nicht übertragen werden könnten.
Also nach Ansicht des Gerichts verliert der datenschutzrechtliche Auskunftsanspruch
durch eine Abtretung seinen ideellen Charakter als Transparenzrecht und wird
dementsprechend zweckentfremdet.
Zudem stellte das Gericht auch fest, dass es keinen datenschutzrechtlichen Anspruch
auf wiederholte und unnötige Informationen gibt, wenn diese der betroffenen
Personen bereits vorliegen oder diese bereits darüber informiert wurden.
Das heißt, hier sieht das Gericht den unionsrechtlichen Grundsatz verletzt,
das Verbot des Rechtsmissbrauchs, das weist nochmal darauf hin,
dass dieser halt auch auf datenschutzrechtliche Ansprüche anzuwenden ist.
Ich sehe das halt schon grundsätzlich positiv für die Praxis,
dass halt hier nochmal auch wieder in die andere Richtung abgegrenzt wird,
dass wir halt natürlich auch die Rechtsmissbräuchlichkeit Ausbräuchlichkeit
des Auskunftsanspruchs durchaus vorliegen haben können und denke,
diese Entscheidung dürfte die Grenzen der datenschutzrechtlichen Auskunftsansprüche
durchaus nochmal stärken und vielleicht auch dazu beitragen,
dass diese Rechte halt nicht für wirtschaftliche Zwecke instrumentalisiert werden,
wie wir das ja zum Beispiel durchaus auch in so Kündigungsschutzverfahren häufiger
sehen und von daher ein Urteil, was ich durchaus begrüße.
Würde ich mich anschließen. Die EU-Kommission erhält einen Verweis wegen eines
DSGVO-Verstoßes bei einer PR-Kampagne.
Der Europäische Datenschutzbeauftragte hat der EU-Kommission wegen Verstößen
gegen die DSGVO einen offiziellen Verweis erteilt.
Das wurde diese Woche über mehrere Medien zufolge öffentlich.
Im Fokus steht eine PR-Kampagne der Generaldirektion Migration und Inneres auf
der Plattform X, ehemals Twitter, die im September 2023 lief.
Die Kampagne bewarb die umstrittene Chat-Kontrolle und richtete sich gezielt
an ein bestimmtes politisches Milieu in den Niederlanden.
Dabei wurden bestimmte Schlüsselbegriffe genutzt, um Nutzer ausschließlich,
die beispielsweise EU-kritische oder rechtspopulistische Ansichten vertreten.
Laut des Europäischen Datenschutzbeauftragten verarbeitete die Kommission personenbezogene
Daten, die Rückschlüsse auf politische Präferenzen zulassen,
die eine ausdrückliche Zustimmung der Betroffenen hätte erforderlich gemacht.
Die Bürgerrechtsorganisation Neub hatte im November 2023 im Namen eines Betroffenen
Beschwerde eingelegt und Neub kritisierte damals die gezielte Adressierung identifizierbarer
Ex-Konten anhand politischer Präferenzen als illegal.
Die EU-Kommission rechtfertigte ihr Vorgehen mit der Maximierung der Kampagnenwirkung
bei begrenztem Budget und berief sich auf den Vertrag über die Europäische Union,
der sie zur Verbreitung politischer Informationen im öffentlichen Interesse ermächtigt.
Der Datenschutzbeauftragte wies diese Argumentation jedoch zurück.
Die weit gefasste Ermächtigung des EU-Vertrags sei keine gültige Rechtsgrundlage
für politisches Microtargeting.
Mit dem Verweis endete der Fall jetzt nun vorerst. Das wirft aber jedoch auch
eben Schattenzeiten auf den Umgang der EU-Kommission mit sensiblen Nutzerdaten.
Also das zum einen, aber zum anderen wieder die Brücke in die Praxis.
Auch hier Einwilligung immer wieder hinterfragen oder beziehungsweise erstmal
daran denken, dass sie auch hier erfolgen müssen.
Ja und ja auch, wie gesagt, eines der früheren EuGH-Urteile im Datenschutz halte
ich immer gemeinsame Verantwortlichkeit.
Also wenn ich halt auf Social Media Plattformen Werbung mache und dafür entsprechende
Kriterien definiere und selbst wenn ich halt die Personen einzeln nicht kenne,
die dort angesprochen werden, bin ich aber halt im Rahmen der gemeinsamen Verantwortlichkeit
auch dafür mitverantwortlich und damit dann auch zurecht mit letztendlich dann
dabei, wenn es zum Beispiel um Verteilung von Bußgeldern geht.
Also finde ich für die Praxis ein durchaus sehr relevantes Urteil.
Ich bin ein bisschen gestutzt, dass die EU-Kommission überhaupt irgendwie Werbung
für politische Positionen macht.
Das aber ist ein anderes Thema und hat nicht so viel mit Datenschutz zu tun.
Ihr Polit-Talk.
Genau.
Wir sind jetzt im Wechsel. Datenschutz-Talk und Polit-Talk. Nein,
keine Sorge. Wir bleiben beim Datenschutz. Wir bleiben bei unseren Leisten.
Kommen wir zur für dich ja, Laura, schmerzlich vermissten Rubrik Veröffentlichungen
und Veranstaltungen. Endlich ist es soweit.
Einmal im Jahr veranstaltet ja
der Landesbeauftragte für Datenschutz in Baden-Württemberg, Herr Prof. Dr.
Tobias Keber, schöne Grüße an der Stelle, eine KI-Woche, bei der Fachleute aus
verschiedenen Bereichen zusammenkommen, um aktuelle Themen rund um künstliche
Intelligenz zu diskutieren. Dieses Jahr ging es ja vom 30.
September bis zum 2. Oktober unter dem Motto Wer trainiert die Zukunft um Themen
wie Beschäftigten-Datenschutz, Gesundheitsdaten, Social Media und den Verbraucherschutz
natürlich rund um KI. Darauf haben wir hier auch vorher aufmerksam gemacht.
Wir haben aber auch versprochen, einen Blick darauf zu haben,
wann die Aufzeichnungen dazu veröffentlicht werden.
Was nun der Fall ist.
Also unter dem Link in den Shownotes gelangt ihr auf den Peertube-Server des
baden-württembergischen Landesdienstanschutzbeauftragten und könnt euch alle Videos dort ansehen.
Ich fand, wie gesagt, die Vortragsreihe Klang von den Themen und den Referenten
sehr interessant und werde auf jeden Fall versuchen, über Weihnachten auch mir
das eine oder andere mal anzusehen.
Du darfst das. Unsere Zuhörerinnen und Zuhörer müssen erst die Silvester-Show gucken.
Die kommt ja erst nach Weihnachten raus. Also die dürfen das auch über Weihnachten.
Dann sind sie nämlich nicht mehr abgelenkt, wenn die Silvester-Show am 27.
Dezember ja veröffentlicht wird. Okay, alles klar.
Ja, komme ich zu meiner Leseempfehlung für
heute. Und zwar geht es um die datenschutzpolitische Agenda für die 21.
Wahlperiode, die diese Woche unsere Bundesbeauftragte für den Datenschutz und
die Informationsfreiheit Prof.
Dr. Luisa Specht-Riemenschneider veröffentlicht hat. Also ein umfassendes Papier
ist hier bei uns natürlich einsehbar, nicht bei uns einsehbar,
aber wir packen das natürlich in die Shownotes.
Und sie fordert innerhalb dieses Papiers ein Digitalministerium,
unter anderem weiter geht es mit der europäischen Souveränität und klare KI-Regeln
sowie ein horizontales Forschungsdatengesetz.
Also finde ich jetzt mit Blick auf die Bundestagswahl nicht verkehrt,
sich hier auch mal mit schlau zu machen, was am Ende dann natürlich die Parteien
mit berücksichtigen, sei jetzt mal dahingestellt, aber wie gesagt,
das Papier für jeden Datenschützer hier in die Show Notes.
Wunderbar. Damit sind wir durch für heute.
Und es bleibt uns nur unseren Zuhörern ein frohes Weihnachtsfest schon mal zu wünschen.
Natürlich erstmal einen schönen vierten Advent, aber da wir uns vorher nicht
mehr hören, natürlich ein frohes Weihnachtsfest. Auch dir, Laura.
Schönen vierten Advent, schöne Weihnachtstage.
Ebenso.
Und neben Jingle Bells, Keksen und vielen anderen Dingen, die es an Weihnachten
sicherlich auszupacken gilt, Nicht vergessen, 27.
Dezember kommt der große Jahresrückblick des Datenschutz-Talks Menschen,
Bilder, Datenschutz 2024 mit spannenden Gästen.
Also von daher nicht verpassen, einschalten und dann natürlich freuen wir uns
im neuen Jahr, euch alle wiederzuhören hier.
In diesem Sinne, bleibt uns gewogen und auf bald!
