Heiko Gossen
David Schmidt
Was ist in der KW 15 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
- LG Berlin zu Meta Business Tools (Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24)
- Entscheidung zum Spannungsfeld zwischen Informationsfreiheit und Datenschutz (EuGH, Urteil vom 03.04.2025 – C-710/23)
- Vorfall bei Europcar
- Angemessenheitsbeschluss mit UK
- vierte Generation des SCHUFA-Scores in Folge des EuGH-Urteils
- die Ergebnisse der Koalitionsverhandlungen
- Umgezogen! Neuer Sitz für Sächsische Datenschutz- und Transparenzbeauftragte (SDTB)
- EU Kommission plant Anpassungsvorschlag für DSGVO
Veröffentlichungen:
- Europol-Studie: Angreifbarkeit von biometrischen Identifizierungssystemen
- EDSA: praxisorientierte Methoden zur Identifikation und Minderung von Datenschutzrisiken in LLM-Systemen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren:https://migosens.de/einsatz-von-meta-business-tools-fuhrt-zu-schadensersatz-ds-news-kw-15-2025/
Transkript zur Folge: Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Wir begrüßen euch wieder zu unseren wöchentlichen Datenschutz-News und heute ist Freitag, Der 11. April 2025. Wir, das sind meine Wenigkeit Heiko Gossen und mein werter Kollege David Schmidt. Hallo David. Grüß dich Heiko. Wir gucken ja hier bei der Migosens immer jede Woche, was so passiert, behalten das für euch, aber auch für uns selber im Blick, weil natürlich auch unsere Kolleginnen und Kollegen immer sehr dankbar sind, hier eine Zusammenfassung der Woche zu bekommen. Und da lassen wir euch natürlich alle gerne daran teilhaben. In dem Sinne, David, was hast du denn heute alles mitgebracht? Bei mir steht auf dem Zettel, dass das Landgericht Berlin sich mit den Meta-Business-Tools befasst hat, es einen Cyberangriff auf Europecar gab, dass die Schufa ein neues Scoring-Verfahren einführen möchte und dass der ETSA sich mit möglichen DSGVO-Anpassungen befasst. Wie sieht es bei dir aus, Heiko? Ich würde auf ein europäisches Gerichtshofsurteil schauen, wo es unter anderem um berufliche Kontaktdaten geht oder Kontaktinformationen. Dann schauen wir, wie sieht es eigentlich aus mit dem Angemessenheitsbeschluss für Großbritannien. Dann schauen wir nochmal auf die Überlegungen der neuen Bundesregierung, was mit der Datenschutzaufsicht zu verändern. Ein, wie ich finde, sehr spannendes Thema. Ein kleiner Service-Hinweis zur sächsischen Datenschutzbeauftragten und natürlich auch eine Veröffentlichung hätte ich noch mit dabei. Ich glaube, es ist wieder schön viel Abwechslung drin und nichts Langweiliges. Eine Veröffentlichung habe ich auch noch mitgebracht. Will ich nicht unterschlagen. Okay, also dann legen wir los. Genau, wir beginnen heute mit dem Landgericht Berlin 2. Dieses musste sich mit den Business Tools von Meta auseinandersetzen und hat infolgedessen in sechs Fällen Meta zu einer Zahlung von je 2000 Euro Schadenersatz wegen unzulässiger Datenverarbeitung verurteilt. Dies geht aus einer Pressemeldung des Gerichts hervor. Meta betreibt nicht nur soziale Netzwerke und den Messenger-Dienst WhatsApp, sondern bietet auch Tools für Unternehmen an. Bei diesen Tools handelt es sich zum Beispiel um APIs und Pixel, die es ermöglichen, den Erfolg von unternehmenseigenen Webseiten und Apps zu messen und auszuwerten. Gleichzeitig werden die Daten aber auch an Meta selbst übermittelt und dies ermöglicht, dem Konzern wiederum Profile zu bilden und mit gegebenenfalls bestehenden Instagram- und Facebook-Profilen zu verknüpfen. Ähnlich also wie Google Analytics so, von der Funktionsweise und in den hier zugrunde liegenden Fällen hatten sich die betroffenen Personen direkt an Meta gewendet und unter anderem um Auskunft und Löschung dieser Daten gebeten. Dem war Meta nicht nachgekommen, mit der Begründung, dass ausschließlich die Unternehmen, die diese Business Tools einsetzen, für die Datenverarbeitung verantwortlich seien und damit auch für die Übermittlung an Meta sowie die Erfüllung der betroffenen Rechte. Das sah das Landgericht Berlin 2 anders. Welche Konstellation hier genau angenommen wurde, also ob eine gemeinsame Verantwortlichkeit oder eine getrennte Verantwortlichkeit, ist aus der Meldung leider nicht zu entnehmen. Der Volltext ist noch nicht veröffentlicht. Aber jedenfalls sah das Gericht die Erforderlichkeit einer eigens an Meta erteilten Einwilligung, die Meta nicht vorweisen konnte als erforderlich an. Ja, eine Einwilligung ist hier wohl auch die einzig denkbare Rechtsgrundlage, weil. Wie gesagt, zum einen werden Profile gebildet und zum anderen sind laut Argumentation der Betroffenen ist es Meta sogar möglich, in diesen Profilen erfasste sensible Daten wie etwa ihre politischen und religiösen Einstellungen, ihre sexuelle Orientierung oder Erkrankungen zu erfassen. So könnten zum Beispiel Informationen über Bestellungen bei Apotheken, Angaben zu problematischen Suchtverhalten oder Eingaben beim Wahl-O-Mat ausgelesen werden. Jedenfalls resultieren aus dieser Verarbeitung ohne Rechtsgrundlage die besagten Schadenersatzansprüche und auch die betroffenen Rechte muss Meta jetzt nachträglich erfüllen. Also das heißt insbesondere Auskunft nach Artikel 15 sowie die Löschung nach Artikel 17 DSGVO. Und die Urteile sind noch nicht rechtskräftig, das muss man auch dazu sagen. Deswegen sind die Volltexte auch noch nicht veröffentlicht worden. Meta kann noch Berufung einlegen. Mich persönlich würde es aber wundern, wenn ein Berufungsgericht auf Basis dieser Faktenlage in der Sache zu einem anderen Ergebnis gelangt. Ich denke einzig über den entstandenen Schaden und die Höhe des Schadenersatzes kann man hier noch diskutieren. Wie siehst du das? Also wenn man bei Meta jetzt sagt, das ist nicht unsere Baustelle, müsste man ja davon ausgehen, dass sie da mit einer Auftragsverarbeitung argumentieren würden. Halte ich aber jetzt halt auch unter der bisherigen Rechtsprechung des EuGHs auch zu den weiten Auslegungen zur gemeinsamen Verantwortlichkeit halt auch für schwierig. Und dann wird es natürlich auch schwierig zu sagen, okay, da mache ich gar nichts mit zu tun. Würde mich jetzt auch wundern, bin aber auch durchaus interessiert, wie das dann halt natürlich im Detail vom Gericht auch bewertet wurde. Was mich, ja also letztendlich das, was halt gesammelt wird an Informationen, gerade halt so die ganzen Eingaben, Valomat und so weiter, dass es so tief geht, dass man die Eingaben sogar darüber nachverfolgen kann, war mir bisher jetzt auch nicht bewusst, aber ist natürlich erschreckend. Was mich natürlich auch sehr interessieren würde, ist dann nachher, wie sind hier die Schäden nachgewiesen worden, weil die Schadensersatzhöhe ist ja jetzt nicht gerade klein. Wir denken halt so dieser reine Kontrollverlust, BGH, Leitentscheidung 100 Euro, okay. Aber da muss ja offensichtlich dann irgendwie schon nochmal ein bisschen mehr nachgewiesen worden sein wahrscheinlich, weil ich kann mir jetzt nicht vorstellen, dass es nur alleine aus der Datenkategorie heraus, weil es sich um Artikel 9 Daten handelt, man deswegen direkt auch ohne weiteren Nachweis so hohe Schadensersatzforderungen durchgehen lässt. Ja, ich denke auch da liegt dann noch die Krux. Zum einen beim Nachweis des entstandenen Schadens und der Kausalität, aber so vom Grundsatz her, glaube ich, kommt Meta nicht da drumherum, hier eine Einwilligung einzuholen. Ja, gut. Dann kommen wir zu einem Gericht, wo es wahrscheinlich keine Revision mehr möglich ist oder Berufung. Der Europäische Gerichtshof hat klargestellt, dass auch berufliche Kontaktdaten von Unternehmensvertretern personenbezogene Daten im Sinne der DSGVO sind und ein nationaler Konsultationsmechanismus vor Datenoffenlegung mit der DSGVO vereinbar ist, wenn er denn nicht unverhältnismäßig ist. So, klingt ein bisschen kompliziert, ich versuche es mal aufzulösen. Also im vorliegenden Fall ging es um die Frage, ob, aber auch unter welchen Umständen personenbezogenen Daten von Unternehmensvertretern in amtlichen Dokumenten veröffentlicht werden dürfen oder zum Beispiel im Rahmen von Informationsfreiheitsanfragen offengelegt werden dürfen und ob die betroffene Person vorher konsultiert werden muss. Das Gericht stellte klar, Informationen, also es war Teil der Vorlagefragen, ob es sich dann überhaupt um personenbezogene Daten handelt, insbesondere wenn die Daten, beruflichen Kontaktdaten von Unternehmensvertretern im Ausland ansässig sind, also hier in dem Fall Großbritannien und China. Der Gerichtshof stellte klar, nein, Informationen wie Name, Unterschrift oder auch berufliche Kontaktdaten von natürlichen Personen, die eine juristische Person vertreten, sind personenbezogene Daten im Sinne der DSGVO. Ist jetzt insoweit für uns nicht überraschend. Ich hoffe für unsere Zuhörer auch nicht. Aber interessanter wird es halt, wie gesagt, im zweiten Teil, bei der zweiten Vorlagefrage und da gehe ich nochmal ganz kurz auf den Hintergrund des Falls ein. In dem Fall hier war es ein Journalist, der beim tschechischen Gesundheitsministerium einsicht in Verträge und Zertifikate über den Kauf von Covid-19-Tests beantragt hatte. Und darin enthalten waren unter anderem Namen und Kontaktdaten von Vertretern der beteiligten Unternehmen. Und das Ministerium verweigerte aber die Herausgabe dieser personenbezogenen Daten mit der Begründung, dass die betroffenen Personen vorher nicht konsultiert worden seien. Nämlich genau das sieht eine nationale Regelung in Tschechien vor, dass halt im Rahmen solcher Anfragen dann die Personen vorher konsultiert werden müssen. Wie gesagt, die saßen jedoch in Großbritannien und China und man hat ja hier wohl auch keine weiteren Kontaktdaten. Daher schwärzte die Behörde diese personenbezogenen Daten kurzerhand. Datenschutzrechtlich ja jetzt erstmal zu begrüßen, zu sagen, okay, können wir nicht erfüllen, deswegen schwärzen wir die. Aber der Antragsteller hat sich halt damit nicht zufrieden gegeben, sondern wollte halt diese Informationen auch haben. hat deswegen geklagt, ging dann durch die verschiedenen Gerichte. EuGH hat nun drei zentrale Punkte herausgearbeitet. Also erstens, weite Auslegung personenbezogener Daten, wie gerade schon gesagt, auch berufliche Kontaktdaten. Zweitens, Erlaubnis nationaler Datenschutzmechanismen, die die DSGVO erweitern. Also hier in dem Fall zum Beispiel diese Pflicht einer vorherigen Konsultationspflicht ist grundsätzlich möglich, weil es möglich ist, Der Transparenz letztendlich ja auch dient und der Wahrung auch von den Rechten der Betroffenen. Aber er sagt halt auch, drittens, die Verhältnismäßigkeit ist entscheidend. Also die Umsetzung solcher nationalen Regelungen darf nicht zu einer faktischen Blockade der Informationsfreiheit führen. Also eine pauschale Verweigerung, nur weil man halt keine Kontaktdaten hat. Das ist halt auch nicht möglich. Also von daher ist es am Ende so, es muss halt abgewogen werden, ob denn halt diese Daten dann beauskunftelt werden dürfen oder nicht. Also was hier überwiegt, Informationsfreiheit versus Persönlichkeitsrecht und Datenschutz. Was können wir jetzt aus der Praxis dafür mitnehmen, weil ja die wenigsten von uns jetzt eine Informationsfreiheitsbehörde betreiben, die dies tun. Schöne Grüße an der Stelle, für die ist es wahrscheinlich sowieso schon klar. Aber ich glaube auch für die berufliche Praxis kann man da im Unternehmen was mitnehmen, weil ich glaube, dass diese Frage sind denn die Daten von Geschäftsführern, die zum Beispiel im Handelsregister veröffentlicht werden, personenbezogene Daten. Für uns, wie gesagt, ist ja eigentlich immer klar, aber hier haben wir nochmal eine Bestätigung auf dem EuGH. Es ist außer Frage, es sind personenbezogene Daten. Und auf der anderen Seite, das, wie gesagt, glaube ich, ist halt nochmal wichtig für auch sehr viele Fachfragen, die man vielleicht so im Alltag hat, wenn es darum geht, wo werden solche Daten veröffentlicht und darf man die nutzen und so weiter. Transparenz ist halt im Zweifelsfall das Stichwort, also von daher sollte man halt auch bei Auskunftsanfragen über halt Unternehmensvertreter und so weiter im Zweifelsfall immer die Transparenz wahren und gucken, dass halt auch die Betroffenen darüber Bescheid wissen und sei es halt nur, dass man halt auch mit einem Geschäftsführer vorher, bevor er ins Handelsregister eingetragen wird, mal einen Datenschutzhinweis an die Hand gibt, wo drin steht, hier lieber Geschäftsführer, deine Daten werden im Handelsregister veröffentlicht und werden halt auf der Webseite veröffentlicht. Also das wird immer vorauszusetzen, auch bei solchen exponierten Positionen muss ja nicht sein. Gebe ich dir recht, ist da natürlich immer eine Einzelfallentscheidung, wie man das abwägt. Das muss ja auch nicht auf einem Gesetz beruhen, auf einem Informationsfreiheitsgesetz, sondern kann eben auch, wie bei deinem Beispiel, auf Transparenzgesetzen wie dem Handelsregister beruhen, aber auch aus berechtigten Interessen kann ich mir das durchaus vorstellen. Denn wie du sagst, wichtig ist eben, dass man dann diese Interessenabwägung im Einzelfall durchführt. Und auch wenn es für uns trivial ist, ich finde es trotzdem nochmal ganz gut, dass der EuGH auch klargestellt hat, dass der Datenschutz auch für natürliche Personen, die nicht in der EU leben, gilt. Definitiv. Auch da, glaube ich, hilft es, wenn man vor so einer Herausforderung steht. Nach einem Cyberangriff auf den Autovermieter Europecar wurden angeblich 1,6 Millionen Kundendatensätze im Darknet veröffentlicht. Das behaupten zumindest die Angreifer, die die Daten erbeutet haben wollen. Europa selbst hat zwar einen unberechtigten Datenabfluss bestätigt, die Datenschutzbehörde ist auch informiert und man ist auch dabei, die Betroffenen zu informieren. Es wird allerdings noch analysiert, welcher Ausmaße genau dieses Leck hatte. Der oder die Angreifer haben jedenfalls laut eigenen Aussagen nicht nur personenbezogene Daten in Form von Kundenstammdaten, sondern auch Quellcodes abgreifen können. Ob und wie viel davon jetzt stimmt, ist zur Zeit noch unklar. Dann gehen wir direkt weiter. Die EU-Kommission hat vorgeschlagen, die Angemessenheitsentscheidung von 2021 mit dem Vereinigten Königreich um sechs Monate zu verlängern. Damit wäre dann der freie Datenfluss bis zum Ende diesen Jahres, bis zum 27. September 2025, gewährleistet. Die Verlängerung gibt dann dem Vereinigten Königreich Zeit, den Gesetzgebungsprozess, in dem sie sich gerade befinden, zum Thema Datenschutz entsprechend abzuschließen. Das heißt also die Datenschutzregelungen von 2021 würden dann erstmal jetzt auch für die europäischen Unternehmen weitergelten. Der Vorschlag wurde nun dem Europäischen Datenschutzausschuss zur Stellungnahme vorgelegt. Die haben ja in der Regel das Recht da sich auch zu zu äußern. Wird die Verlängerung nicht verabschiedet und veröffentlicht, würde der aktuelle Angemessenheitsbeschluss nämlich am 27. Juni diesen Jahres bereits auslaufen und das ist gar nicht mehr so lange hin. Der Plan ist, dass nach Abschluss des Gesetzgebungsprozesses in Großbritannien zur Datenschutzreform die Kommission diesen neu bewertet, ob das Vereinigte Königreich dann weiterhin das angemessene Datenschutzniveau bietet und man dann halt auch den Angemessenheitsbeschluss erneuern kann grundsätzlich, Vielleicht unbefristet, vielleicht auch wieder eine Befristung. Weiß ich nicht, wie da genau die Erfolgsaussichten aussehen, dass es unbefristet wird. Und so lange sollten die Unternehmen natürlich darauf vorbereitet sein, dass es vielleicht keinen neuen Angemessenheitsbeschluss gibt. Also meine Empfehlung wäre halt vorsorglich SCCs immer unter dem Vorbehalt abzuschließen, dass der Angemessenheitsbeschluss entfällt oder wer nicht so weit gehen will und die Arbeit machen will, der sollte meines Erachtens aber zumindest mal eine Liste in der Schublade haben und vielleicht sogar einen Plan, wie er vorgeht, wenn dann es plötzlich heißt, der Angemessenheitsbeschluss wird nicht erneuert. Ja, finde ich gut, dass du es nochmal mitgebracht hast, weil das Thema fliegt meinem Gefühl nach ein bisschen unterm Radar. Ja, ganz genau. Also deswegen war ich auch ganz froh, als neulich mal ein Kollege die Frage aufgebracht hat, zu sagen, wie sieht es denn eigentlich aus? Ja, und das haben die Recherchen jetzt ergeben. Die Schufa testet zurzeit ihren neuen Score, der für mehr Transparenz und Verständlichkeit auf Seiten der Verbraucher sorgen soll. Das hat die Schufa in einer eigenen Pressemitteilung kommuniziert und das Ganze passiert jetzt infolge einer Vorlageentscheidung des EuGH. Die dürfte eigentlich an keinem vorbeigegangen sein, ist jetzt schon knapp ein Jahr her. Und daraus wurde für die Schufa die Verpflichtung abgeleitet, im Rahmen des Artikel 15 DSGVO auch die Funktionsweise ihres Scorings gegenüber den Betroffenen transparenter zu machen. Laut Schufa soll diese neue Methode jetzt die Nachvollziehbarkeit des Scores und die Kontrolle ihrer Daten für Verbraucher entsprechend diese Anforderungen verbessern. Und nach Angaben der Schufa wurde die neue Berechnungsmethode auch schon dem hessischen Beauftragten für Datenschutz und Informationsfreiheit vorgestellt und sie haben ein positives Feedback dazu erhalten. Weise, denke ich, vorher das mal vorzulegen und Feedback einzuholen. Und von daher ist es doch gut. Also klingt ja so, als wären sie damit vielleicht auf einem guten Weg. Nicht mehr und nicht weniger. Richtig. Die neue Bundesregierung plant die Bündelung der Datenschutzaufsicht bei der Bundesbeauftragten für den Datenschutz und Informationsfreiheit. Wie die meisten vielleicht schon mitbekommen haben diese Woche, hat sich die schwarz-rote Koalition diese Woche ja auf einen Koalitionsvertrag verständigt. Enthalten ist auch die Absicht, die Datenschutzaufsicht für die Privatwirtschaft bei der BFDI zu bündeln. Außerdem vorgesehen ist, dass die Behörde umbenannt wird in Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit. Von Professor Luisa Specht-Riemenschneider gab es auch schon in der Info, dass man sich für diese Aufgabe bereit erklärt, sie auch zu übernehmen und das auch gerne tut und eine Chance drin sieht. Einige Landesdatenschutzbeauftragte haben aber schon verlautbaren lassen, dass sie das für eine schlechte Idee halten aus diversen Gründen. Ist aber natürlich auch nachvollziehbar, weil das würde natürlich wahrscheinlich bedeuten, dass die Behörden kleiner würden und sie Personal wahrscheinlich dann auch abgeben müssten. Ob das jetzt wirklich ein Nachteil ist für die Unternehmen, sei mal dahingestellt, die Auffassungen der Aufsichtsbehörden im privatwirtschaftlichen Bereich würden ja dadurch automatisch einheitlich werden. Die Abstimmungsaufwände, die Datenschutzkonferenz, glaube ich, würde auch sinken. Also von daher wäre es auf jeden Fall für die Aufsichtsbehörden ja eigentlich eine Entlastung. Aber wir werden sehen. Also wir haben ja auch im Bitkom schon mit einigen Aufsichtsbehörden dazu diskutiert. Die haben sich natürlich alle dazu immer eher verhalten geäußert. Ja, der Meinungspluralismus da ist natürlich nicht so fördernd. Auf der anderen Seite kann es ja auch helfen, zu zufriedenstellenden Ergebnissen zu kommen für alle. Aber ich würde es auch begrüßen, wenn das gebündelt werden würde. Ja, und der Meinungspluralismus, der ist ja auch wirklich besser geworden. Also das muss man wirklich der Fairness halber sagen, wenn man sich das anguckt. Die sind schon deutlich geschlossener, als das vor ein paar Jahren der Fall war. Und ich kann mir aber vorstellen, dass da auch sehr viel Energie reingeht, das zu erreichen. Wo wir schon bei den Aufsichtsbehörden sind, noch ein kleiner Servicehinweis. Die sächsische Datenschutz- und Transparenzbeauftragte ist umgezogen. Klar, Unternehmen sollten jetzt prüfen, ob eventuell die Kontaktdaten, die sie zu der Behörde haben, also es ist natürlich die Behörde umgezogen, nicht die Beauftragte selber. Das sollten wir natürlich jetzt einmal prüfen, ob da eventuell was anzupassen ist. Die Postfachadresse bleibt wohl unverändert, aber wie gesagt, je nachdem, was man in den Datenschutzhinweisen drinstehen hat, da lohnt nochmal der Check. Ob die wohl auch nur zwei Wochen Zeit haben, sich umzumelden? Ja. Ja, die müssen bestimmt auch eine Meldebescheinigung vorlegen beim Vermieter. Die Datenschutzwoche berichtet, dass die EU-Kommission plant, in den kommenden Wochen einen Vorschlag zur Vereinfachung der Datenschutzgrundverordnung vorzulegen. Ziel soll es sein, insbesondere kleine und mittlere Unternehmen bei der Einhaltung der Datenschutzvorgaben zu entlasten. Da sind wir natürlich sehr gespannt und auch das ist grundsätzlich eine begrüßenswerte Initiative, wie ich finde. Ich kann mir aber vorstellen, dass, wenn man den Schritt gehen wird, die handwerkliche Umsetzung schwierig werden könnte. Ja, sicherlich herausfordernd. Auf der anderen Seite und auch da werden in den letzten Monaten sehr viel Diskussionen zugeführt beim Bitkom-Arbeitskreis. Der Bedarf ist da. Also man sieht halt ja manche Regelungen, wo man sich schon noch fragt, sind die wirklich notwendig oder haben die sich nicht letztendlich auch ein bisschen als Rohrkrepierer erwiesen. Ich denke dann so Regelungen wie Datenportabilität zum Beispiel. Es gibt aber auch sicherlich Herausforderungen für kleine, mittelständische Unternehmen. Ich denke immer so, wahrscheinlich geht es dann am Ende, aber das ist ja jetzt kein DSGVO-Thema, sondern eher wieder eins, was vielleicht auch unsere neue Regierung dann wieder verfolgt. Ist die Frage, ab welcher Schwelle ist denn ein Datenschutzbeauftragter notwendig oder nicht? Wo ich ja immer der Meinung bin, der macht ja eigentlich jetzt nicht den Riesenaufwand, er hilft ja eigentlich. Aber da könnte ich mir natürlich auch vorstellen. Aber ich denke, wie gesagt, viele Dokumentationspflichten, wenn es da Entlastungen gibt für KMUs, sicherlich auch nicht verkehrt. Vielleicht fällt einem nach außen hin auch noch eine bessere Lösung ein, um so diesen Informations-Bias zu verhindern, dieses Überladen mit Informationen, weil wir ja jetzt nicht nur Informationspflichten im Zusammenhang mit dem Datenschutz haben, sondern mit AI-Act, Verbraucherschutz etc. Pp. Also man kriegt ja einen immer dickeren Katalog in die Hand gedrückt. Das ist es. Gut, kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen, die aber heute ohne Veranstaltungen auskommen müssen. Dafür aber zwei Veröffentlichungen. Die eine ist eine Europol-Studie, die Schwachstellen biometrischer Identifizierungssysteme aufzeigt und sie warnt vor der Manipulierbarkeit biometrischer Erkennung durch Deepfakes und Morphing. Die Studie unterstreicht die Notwendigkeit Schwachstellen biometrischer Systeme zu kennen, denn der Bericht der Europol Innovation Lab, wenn dann spreche ich es auch richtig hoffentlich aus, analysiert nämlich die Schwachstellen von biometrischen Systemen wie zum Beispiel Fingerabdruck, Gesichtsiris oder auch Spracherkennungssystemen. Ich glaube, das ist vor allen Dingen natürlich für Entwickler solcher Systeme hochgradig interessant, aber auch für Unternehmen, die solche Systeme einsetzen oder vielleicht den Einsatz planen, durchaus relevant und sicherlich ein Blick wert, um zu verstehen, worauf beim Einsatz man halt achten sollte und vor allen Dingen, um sich auch der Risiken und Grenzen solcher Systeme bewusst zu werden. Von daher den Link packen wir wie immer in die Shownotes. Und ich bleibe noch beim ETSA. Dieser hat jetzt eine Leitlinie zu den Datenschutzrisiken und möglichen Maßnahmen beim Einsatz von großen Sprachmodellen, den sogenannten Large Language Models, veröffentlicht. Ja, ein Thema, das uns alle jetzt schon längere Zeit begleitet und glaube ich auch noch begleiten wird. Ich denke, da lohnt es sich auf jeden Fall mal durchzublättern. Wunderbar, damit sind wir durch für diese Woche vielleicht nochmal der Hinweis wir packen in die Shownotes ja auch immer einen Link zur Folgenseite wo ihr gerne auch Kommentare hinterlassen dürft, freuen wir uns immer haben wir in der Vergangenheit natürlich auch und ich hoffe, dass wir da auch immer zeitgemäß also zeitgerecht so antworten, zeitgemäß auch wir verwenden moderne deutsche Sprache in der Regel, Nein, aber wir freuen uns, wie gesagt, auch wenn ihr uns natürlich auf eurer Podcast-Plattform eurer Wahl eine Bewertung hinterlasst, vielleicht auch empfehlt. Auch anderen Datenschützern freuen wir uns immer und von daher Dankeschön dafür schon mal im Voraus. In diesem Sinne, bleibt uns gewogen und auf bald. Auf bald.
