EU plant App für anonymen Altersnachweis – DS News KW 16/2026

Transkript zur Folge:

Frankfurt. Die bloße...
Ich schreibe mich doch nicht so auf.
Entschuldigung. Bonn hatten wir heute nicht im Angebot.
Ja, muss ja Frankfurt sein.
Muss halt Frankfurt sein.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Mit euch gemeinsam starten wir heute wieder ins Wochenende. Wie gewohnt schauen
wir einmal zurück auf die Woche des Datenschutzes, was so passiert ist.
Heute ist Freitag, der 17. April 2026.
Unser Redaktionsschluss, wie gewohnt, um 10 Uhr. Und ich würde sagen,
Laura, wir steigen direkt ein. Was hast du mitgebracht?
Genau, das Osterloch ist vorbei, was wir ja eigentlich noch letzte Woche hatten.
Aber diese Woche ging es wieder rund, denn ich habe mitgebracht einmal eine
neue App zum Thema Alterswirkung.
Ein ganz interessantes Urteil zum Thema Weitergabe von Gehaltsdaten trotz vorherigem Widerspruch.
Außerdem ein Millionen Bußgeld aus Italien wegen einem fehlenden Zugriffskonzept
und eine Sicherheitslücke innerhalb einer bekannten Anwaltssoftware.
Und zu guter Letzt schließe ich mit einem Lesehinweis für das Wochenende.
Ja, da habe ich auch zwei dabei, Lesehinweise. Außerdem würde ich einmal nach Düsseldorf blicken.
Da hat nämlich das VUG Düsseldorf was zum Verwaltungsrechtsweg versus Zivilgerichtsweg
entschieden in Fragen Sach-Schadensersatz.
Dann habe ich noch ein weiteres Urteil mitgebracht aus Hessen.
Da geht es um die Frage nach einem Schadensersatz, nach einem Hackerangriff.
Und ein Fall bei Meta, mal wieder ein Datenschutzvorfall.
Der ist allerdings schon ein Jahr zurück und es geht um private Nutzerbilder,
die ein Mitarbeiter heruntergeladen hat. So viel zu meinen Themen heute.
Dann lege ich mal los, oder?
Sehr gerne.
Die EU-Kommission hat eine neue App zur Altersverifikation angekündigt,
die kurz vor dem Rollout steht.
Das geht aus einer Pressemitteilung der Europäischen Kommission hervor.
Hierin haben die EU-Kommissionspräsidentin Ursula von der Leyen gemeinsam mit Henna Wickunen,
Executive-Vizepräsidentin für technologische Souveränität, Sicherheit und Demokratie,
die technische Fertigstellung der europäischen App zur Altersüberprüfung verkündet.
Die App soll das Ziel unterstützen, Kinder und Jugendliche besser im Netz zu
schützen, ohne dabei die Privatsphäre der Nutzerinnen zu beeinträchtigen.
Die App ermöglicht den Nachweis des Alters gegenüber Online-Plattformen und
dabei eben ohne Offenlegung der Identität.
Die Lösung setzt auf ein innovatives, datenschutzfreundliches Konzept.
NutzerInnen können dabei nachweisen, dass sie ein bestimmtes Alter erreicht
haben, ohne persönliche Daten preiszugeben.
Ermöglicht wird dies durch ein kryptographisches Prinzip, welches die Korrektheit
einer Information, in dem Fall der Anwendung, das Erreichen eines bestimmten
Alters, beweist, ohne die zugrundenliegenden Daten selbst zu offenbaren.
Das heißt, die Plattformen erhalten nur die Information alt genug und nichts weiter.
Außerdem verfolgt die App natürlich den Grundsatz der Datenminimierung und dem
Privacy by Design und soll laut der EU höchste Datenschutzstandards erfüllen.
Durch Open Source und geplante Integration in die europäische digitale Identität
soll laut der EU Vertrauen geschaffen und ein Flickenteppich nationaler Lösungen vermieden werden.
Beispielsweise schon Länder wie Frankreich, Italien und Irland planen damit,
die App in ihre nationalen digitalen Brieftaschen zu integrieren.
Die App ist Teil einer größeren Strategie. Also gemäß des DSA müssen Plattformen,
also bestimmte Plattformen ja eben künftig wirksame Alterskontrollen umsetzen
und ja, die EU nimmt damit auch eben dann jetzt auch gezielt Anbietern die Verantwortung,
die bislang unzureichenden Schutzmechanismen auszuräumen.
Also aus datenschutzrechtlicher Sicht ist diese App sicherlich zu begrüßen,
insbesondere auch mit dem Hintergrund, dass Datenschutz und effektiver Jugendschutz
nicht immer ein Widerspruch sein müssen, was ja doch von Kritikern doch öfter mal angemerkt wird.
Und ja, mit der App könnte durchaus natürlich ein europaweiter Standard entstehen,
Grundrechte zu schützen, aber auch damit die Plattformen halt entsprechend besser
reguliert werden können.
In Deutschland ist es wohl so, laut dem Artikel von Heise, dass es wohl aber
wohl erstmal nur ein Expertengremium geben soll, welches Empfehlungen für die
Sicherheit von Kindern im Netz erarbeiten soll.
Aufsichtsbehörden beschäftigen sich ja schon ein bisschen länger mit dem Thema Altersverifikation.
Wir haben uns ja an den Vortrag letztes Jahr von Luisa Specht-Riemenschneider
zu dem Thema, die ja aufgrund Fraktionssitzungen zum Thema sich auch schon geäußert hatte.
Und sie hatte ja letztes Jahr auch ihre fünf Thesen zu technischen und rechtlichen
Umsetzungsmöglichkeiten veröffentlicht.
Aber wir haben ja auch schon von lokalen Aufsichtsbehörden gehört,
dass Sie sich dieses Thema ja für dieses Jahr ganz besonders auf die Fahne schreiben
wollen, das auch voranzubringen und Unternehmen dabei zu unterstützen.
Ja, die Relevanz, glaube ich, wird größer.
Die Frage, die datenschutzrechtlichen Fragen, die da dranhängen,
wie viel personenbezogene Daten darf, muss ich verarbeiten, um eine Altersverifikation
durchzuführen, glaube ich, wird eine sein, die nicht nur die Aufsichtsbehörden,
sondern natürlich auch die Unternehmen beschäftigen wird dieses Jahr.
Dann gehen wir weiter. Das Verwaltungsgericht Düsseldorf hat klargestellt,
dass für Schadensersatzansprüche nach Artikel 82 DSGVO gegen eine Behörde nicht
der Verwaltungsrechtsweg, sondern der ordentliche Rechtsweg zuständig ist.
Wo muss ein Betroffener klagen, wenn er wegen eines Datenschutzverstoßes immateriellen
Schadensersatz nach 82 gegen eine öffentliche Stelle verlangt?
Und das war die Frage und das VG Düsseldorf sah klar, nicht bei uns,
sondern vor den ordentlichen Gerichten.
Dem Beschluss lag zugrunde, dass ein Kläger gegen eine Anstalt des öffentlichen
Rechts immateriellen Schadensersatz nach 82 geltend gemacht hatte und das VG
Düsseldorf nun diese Frage aber inhaltlich gar nicht entscheiden musste,
sondern erst mal sich darum gekümmert hat, ob es denn überhaupt zuständig ist.
Und deswegen hat es das vorab geklärt und es lehnte nun aber diesen Fall ab
und auch die Vorstellung, dass die DSGVO verlange.
Dass Unterlassungsauskunfts- oder sonstige Datenschutzklagen im selben nationalen
Gerichtszweig gebündelt werden müssten.
Denn nach dem Beschluss ist eine innerstaatliche Rechtswegaufspaltung,
auch ein schönes Wort, zulässig.
Die DSGVO sichere laut Verwaltungsgericht nur, dass Primär- und Sekundärrechtsschutz
im selben Mitgliedsstaat stattfinden, aber nicht zwingend im gleichen Gerichtsweg.
Merkenswert fand ich bei dem Studium von der Entscheidung die Argumentation
auch mit den Sprachfassungen der DSGVO.
Das VG Düsseldorf stützt sich nämlich ausdrücklich auch auf die englische und
französische Fassung von 82 Absatz 6 DSGVO, um zu zeigen, dass sich der Verweis
auf den Mitgliedstaat und nicht auf ein bestimmtes innerstaatliches Gericht bezieht.
Eine Entscheidung, die jetzt vielleicht für Unternehmen nicht so hochrelevant
sind, aber gerade für unsere Zuhörenden aus Behörden, denke ich, durchaus relevant.
Da kann man sicherlich schon, wenn man da mal Schadensersatzforderungen bekommt
und ich gehe davon aus, dass die auch in Behörden auftauchen,
weil wir sehen sie bei unseren Kunden ja auch zunehmend,
dass man da versucht, über einen Schadensersatz noch irgendwas rauszuholen,
da wahrscheinlich schon das eine oder andere vielleicht dann auch mit abbügeln.
Wie hieß das Wort nochmal?
Gerichtswegaufspaltung oder Rechtswegaufspaltung.
Perfekt für Galgenmännchen. Muss man sich mehr. Kommt keiner drauf.
Als nächstes habe ich ein Urteil des Landgerichts Köln mitgebracht vom 13.
November letzten Jahres, das für die Praxis der Personalvermittlung durchaus relevant sein könnte.
Wie ihr schon gehört habt, es handelt sich hierbei nicht um eine ganz neue Entscheidung,
sondern eben um ein Urteil aus dem letzten Jahr.
Das aber nun in dem Blockdelegidata nochmal praxisnah eingeordnet wurde und
natürlich das möchten wir auch zum Anlass nehmen, das hier nochmal mitzubringen
aufgrund der praxisrechtlichen Relevanz.
Worum ging es? Die Übermittlung von Gehaltsdaten ist trotz DSGVO-Widerspruch
erlaubt, so das Landgericht.
Und bei dem Urteil ging es konkret um die Frage, darf ein Unternehmen das Gehalt
eines neu eingestellten Mitarbeiters an einen Personalvermittler weitergeben,
obwohl der Mitarbeiter dem widerspricht?
Das Gericht sagt ja. Unter bestimmten Voraussetzungen ist das zulässig.
Der Personalvermittler hat einen Anspruch auf die Gehaltsdaten,
wenn er diese zur Berechnung seines Honorars benötigt.
Das Landgleich Köln stützte seine Entscheidung auf das berechtigte Interesse,
Artikel 6 Absatz 1 Litf des GVO und führt eben eine klassische Interessenabwägung durch.
Hat sich die berechtigten Interessen des Personalvermittlers angeschaut und
da kam sie zu dem Ergebnis, dass eben ohne Kenntnis des Gehalts er seinen vertraglichen
Honoraranspruch eben nicht berechnen und somit auch nicht durchsetzen kann.
Außerdem haben sie die Erforderlichkeit der Datenweitergabe betrachtet und sie
sahen hier, dass eben die Weitergabe zwingend notwendig ist,
da der Personalvermittler diese Daten eben gar nicht hat.
Die Interessen des Mitarbeiters hat es wie folgt ausgeführt,
also ein bloßes allgemeines Geheimhaltungsadresse reicht halt eben nicht aus,
um die Verarbeitung zu verhindern, auch wenn der Mitarbeiter eben der Weitergabe
der Gehaltsdaten nicht gewünscht hat.
Besonders relevant dabei war aber auch für das Gericht, dass der Mitarbeiter
selbst zuvor Gehaltsvorstellung genannt hatte und dass er wohl aufgrund der
Branchenüblichkeit damit rechnen musste, dass diese Daten benötigt werden.
Mit in die Waagschale wurde ebenso geworfen, dass der Angestellte die Sorge
vor behördlichen Maßnahmen oder vor Streitigkeit mit Arbeitskollegen selbst
im Verfahren verneint hatte, ebenso auch die Befürchtung, dass sein Gehalt öffentlich werden könnte.
Und daher kam jetzt nun eben das Gericht zu dem Ergebnis, dass eben die Interessen
des Personalvermittlers überwiegen, auch gegenüber dem Widerspruch des Mitarbeiters.
Also was heißt das Urteil jetzt für uns? Finde ich ganz interessant,
also nochmal zu sehen, dass natürlich auch DSGVO nicht immer wirtschaftlichen
Abläufen grundsätzlich entgegensteht und dass hierbei wirklich entscheidend
die saubere Interessenabwägung war und die Frage eben auch,
was für den Beteiligten realistisch erwartbar war.
Und das sehen wir ja immer wieder in der Praxis, wie wichtig ist es auch ziemlich
klein dekliniert, sich alles Mögliche anzuschauen.
Interessen, aber auch die Interessen des Verantwortlichen, also des Betroffenen
und des Verantwortlichen und das auch entsprechend zu dokumentieren und dann
kann es natürlich auch mal durchaus positiv ausfallen.
Wunderbar, es ist Wasser auf meine Mühlen, auf mein Sprüchlein,
dass die Interessenabwägung halt sehr wichtig ist,
ausführlich und auch sauber zu dokumentieren, also gerade diese Abwägung und
ich finde, es zeigt auch nochmal sehr schön, also klar,
wir müssen uns immer darauf einstellen, wenn wir auf berechtigtes Interesse
gehen, bei der Rechtsgrundlage besteht grundsätzlich dieses Widerspruchsrecht nach 21.1.
Aber, und das ist ja auch wichtig, dieses Widerspruchsrecht ist ja nicht wie
bei Direktwerbung ohne Begründung, sondern es muss ja sozusagen dargelegt werden
von Betroffenen, warum er insbesondere in seiner Person jetzt hier überwiegende Interessen hat.
Und es heißt nicht automatisch, dass es damit unzulässig wird,
sondern es verlangt ja in Anführungszeichen nur, dass man sich damit nochmal
dann intensiver beschäftigt und die Abwägung für den einzelnen Betroffenen nochmal macht.
Und gerade wenn man jetzt hier nochmal nachfragt und sagt, was sind denn deine
Sorgen und das alles verneint, dann finde ich, hat man auch da natürlich gute
Grundlage, so zu entscheiden.
Also sowohl als Unternehmen, als aber auch natürlich dann als Gericht. Sehr schönes Urteil.
Frankfurt. Die bloße... Entschuldigung.
Erschreck mich doch nicht so.
Entschuldigung. Bonn hatten wir heute nicht im Angebot.
Ja, muss ja Frankfurt sein.
Muss halt Frankfurt sein.
Toll.
Entschuldigung.
Erfolgreich rausgebracht.
Erfolgreich rausgebracht, genau. Die bloße Betroffenheit von einem Hackerangriff
begründet keinen Schadensersatzanspruch, Schadensersatzanspruch,
wenn es an Verstoß, Schaden und Kausalität fehlt.
Das hat das Hessische Landesarbeitsgericht mit Urteil vom 10.
Februar 26 entschieden.
Die Berufung eines ehemaligen Arbeitnehmers blieb nämlich erfolglos.
Ein Anspruch auf Schadensersatz nach Artikel 82 wurde hier klar verneint.
Das Gericht stellte dabei nochmal die bekannte Leitlinie des EuGH in den Mittelpunkt.
Für einen Anspruch braucht es immer drei Dinge.
Ein DSGVO-Verstoß, einen konkreten Schaden und einen ursächlichen Zusammenhang zwischen beiden.
Und genau daran fehlte es hier,
Laut Gericht vollständig, denn weder konnte der Kläger konkret darlegen,
welche Daten betroffen waren, noch konnte er einen realen Schaden oder ein nachvollziehbares
Missbrauchsrisiko aufzeigen.
Kurz zum Hintergrund, das Unternehmen war Opfer eines Hackerangriffs,
bei dem große Datenmengen kopiert worden waren und die wurden dann von den Hackern
nicht direkt veröffentlicht,
sondern im Darknet tauchten lediglich Dateinamen auf, aber nicht die Inhalte selbst.
Der Kläger berief sich dann auf einen Kontrollverlust und Ängste vor Datenmissbrauch,
das erkennen wir ja schon auch aus vielen anderen Fällen,
konnte aber weder konkret Betroffene Daten benennen noch ein tatsächliches Risiko
belegen und ist daher mit seiner Berufung gescheitert.
Ein nicht ausreichendes Zugriffskonzept kostet eine italienische Bank 31,8 Millionen Euro Bußgeld.
Die italienische Datenschutzaufsicht hat gegen die Bank in Tesa San Paolo ein
Bußgeld in Höhe von 31,8 Millionen Euro verhängt.
Und Hintergrund sind hierbei massive Mängel bei den technischen und organisatorischen
Maßnahmen zum Schutz der personenbezogenen Daten.
Auslöser war ein im Juli 2024 gemeldeter Datenschutzvorfall.
Im Rahmen der Untersuchung nun stellte die Aufsicht fest, dass ein Mitarbeiter
über einen Zeitraum von mehr als zwei Jahren unbefugt auf Bankdaten von 3573
Kundinnen und Kunden zugegriffen hatte.
Dabei kam es zu mehr als 6.600 unzulässigen Abrufen.
Besonders gravierend hierbei, die internen Kontrollsysteme der Bank erkannten diese Zugriffe nicht.
Der Fall ist ein besonders deutliches Beispiel dafür, dass Datenschutzverstöße
nicht eben nur durch technische Sicherheitsmängel oder externe Hackerangriffe
entstehen, sondern eben auch durch unzureichend kontrollierte interne Zugriffsrechte.
Die Aufsichtsbehörde in Italien beanstandete insbesondere natürlich den Verstoß
gegen Integrität und Vertraulichkeit.
Also die Kundendaten konnten ohne hinreichende Kontrolle intern eingesehen werden.
Dann gab es einen Verstoß gegen das Rechenschaftsprinzip.
Also die Bank konnte kein insgesamt wirksames Kontroll- und Schutzkonzept vorweisen.
Das operative Modell erlaubte offenbar sehr weite Zugriffe auf den gesamten
Kundenbestand, ohne dass dies durch wirksame Überwachungsmechanismen ausgeglichen wurde.
Ebenso gab es auch Verstöße bei Meldung an die Aufsicht und die Information
der Betroffenen, teils unvollständig und halt auch verspätet.
Besonders sensibel war zudem, dass auch Daten von Kundinnen und Kunden mit erhöhtem
Risiko, darunter Personen mit öffentlicher Bedeutung, betroffen waren.
Hier wären besonders strenge Schützenmaßnahmen zu erwarten gewesen,
so die Aufsichtsbehörde.
Also auch hier nochmal, interne Kontrollen sollte man immer wieder mal im Blick
haben, ob man die nicht noch besser einrichten sollte und eben das auch, ja,
es nicht bei der Firewall endet, sondern eben man grundsätzlich sich auch im
Unternehmen immer Rollenkontroll- und Meldekonzepte ansehen muss.
Hierbei auch ganz interessant war natürlich die Unterscheidung zu den hochsensiblen
Personengruppen, Kundengruppen.
Ist ja sicherlich nicht nur bei Banken so, auch in anderen Bereichen ja durchaus
denkbar, dass man hier Unterscheidung machen muss.
Also da, ich fand trotzdem die Höhe des Bußgelds, fand ich schon extrem.
Ist ordentlich, ich habe das mal kurz durchgerechnet. 31,8 Millionen bei 6.600
unzulässigen Abrufen macht knapp 5.000 Euro pro unzulässigem Abruf, also,
Wer das jetzt für sich vielleicht schon mal ausrechnen möchte,
falls er da so einen Fall hat bei sich im Unternehmen.
Ich bin ja grundsätzlich immer sehr zurückhaltend, wenn es darum geht,
lesende Zugriffe zu protokollieren im Unternehmen.
Es gibt Unternehmen, die gehen da sehr umfänglich an Protokollierung ran.
Ich finde, da muss man natürlich auch immer mit Augenmaß rangehen,
wie sensibel sind die Daten und ist es gerechtfertigt.
Weil wir Banken, glaube ich, gerade im Bereich der Konten und der Zugriff auf
Konten, da ist es nicht nur üblich, da ist es, glaube ich, auch gut,
das ist auch gerechtfertigt und der Fall zeigt natürlich auch beides.
Also einerseits man muss es monitoren, man muss es protokollieren,
aber man muss es auch monitoren und dann entsprechende Alarmierungen auch haben,
wenn da halt irgendwas nicht richtig läuft.
Da, glaube ich, ist auch heutzutage die Technik ohne weiteres in der Lage zu eigentlich.
Und jetzt ist auch das nachgelagerte Risiko natürlich nicht ganz unbetrachtlich
bei dreieinhalbtausend betroffenen Kunden, wer dann auch alles schadensersatzfähig werden könnte.
Das kommt noch dazu, ganz genau.
Ja, Schadensersatz ist ein gutes Stichwort. Ein interner Mitarbeiter bei Meta
hat unbemerkt Zugriffe auf 30.000 private Nutzerbilder erhalten und diese heruntergeladen.
Wie Heise berichtet, hat ein Mitarbeiter von Meta in London bereits vor über
einem Jahr unerlaubt diese 30.000 privaten Fotos von Facebook-Nutzern zugegriffen,
indem er interne Sicherheitsmechanismen mit einem eigenen Programm umgangen hat.
Er ist nach seinem Auffliegen auch direkt entlassen worden und Meta hat auch
die Polizei eingeschaltet und die ermittelt auch seitdem.
Der Mitarbeiter hat laut Berichten wieder ein eigenentwickeltes Programm eingesetzt
und so dann den Zugriff erhalten.
Meta selber hatte wohl hier auch nicht ausreichend Sicherheitsmechanismen implementiert,
könnte man zumindest mal annehmen, denn sie haben auch angegeben,
dass sie danach die Sicherheitsmaßnahmen weiter verbessert haben.
Außerdem hat man die betroffenen Mutter, Benutzer seinerzeit auch informiert.
Ja, die Behörden ermitteln weiterhin wegen einem möglichen Verstoß hier gegen
die Datenschutzgesetze auch in Großbritannien.
Allerdings sei der Beschuldigte wohl derzeit unter Auflagen auf freiem Fuß.
Stichwort Schadensersatz. Ob das jetzt nun auch wieder in Sammelklagen gegen
Meta endet, wie wir das ja auch aus vielen anderen Fällen ja kennen,
das bleibt jetzt sicherlich abzuwarten.
Erwartbar.
Erwartbar. Darf ich glatt nachschieben.
Aber wir schauen mal.
Also größere Summen würde ich auch nicht dagegen wetten.
Ich habe jetzt eine Sicherheitslücke mitgebracht und zwar die massive Sicherheitslücke
tritt auf bei der Kanzlei Software R.A.
Micro Essentials in der Cloud. Ich hoffe, ich habe es richtig ausgesprochen.
Wenn nicht, möge man es mir verzeihen.
Hierbei hat der Chaos Computer Club erneut wohl eine gravierende Sicherheitslücke
und gravierende Sicherheitsmängel eben bei diesem Legal Tech Anbieter aufgedeckt.
Sicherheitsforschende konnten unter anderem auf Backups, Ermittlungsakten,
Mandantendaten, E-Mails und Zugangsdaten zugreifen, teilweise direkt aus dem Internet.
Die Schwachstelle wurde wohl bereits 2025 gemeldet, zeigen aber in der aktuellen
Veröffentlichung erneut, wie kritisch die Lage im Bereich der Cloud-basierten Kanzlei-Software ist.
Der Fall ist natürlich aus datenschutzrechtlicher Sicht hochbrisant,
insbesondere wegen der Sensibilität der anwaltlichen Daten.
Und was eben der Chaos-Computer-Club hier sieht, ist halt eben natürlich zum
einen der Verstoß gegen Artikel 32 DSGVO, also Sicherheit der Verarbeitung,
der eben eine unzureichende Verschlüsselung aufgedeckt hat,
unverschlüsselte und frei zugängliche Backups und auch die Speicherung von Passwörtern
im Klartext sei wohl vorhanden.
Wie gerade schon gesagt, die Sensibilität der Daten trifft hier natürlich besonders stark zu,
denn die Betroffenen sind halt eben, Betroffenen Daten sind zu entnehmen aus
Strafakten, Mandantendaten, aber auch natürlich die Kommunikation in diesem
Kontext dürfte doch einem sehr hohen Schutzbedarf eigentlich unterliegen.
Und wo hier natürlich jetzt die massiven Systemschwächen extrem zuschlagen.
Also für alle die, die diese Software im Einsatz haben, sollten das auf jeden
Fall weiter beobachten.
Also ich bin ein wenig entsetzt bei diesen Schwachstellen.
Also fast wird da im Klartext veraltet, das kryptografische Verfahren und so weiter.
Das ist ja schon tatsächlich fast grob fahrlässig.
Auf der anderen Seite dann, wie gesagt, haben wir den 203 StGB für die Anwälte, die das nutzen,
wie jetzt hier am Ende die Haftung verteilt wird,
wie dann auch gegebenenfalls Schadensersatz gegen wen Geld gemacht werden kann,
ist natürlich auch eine Frage, weil auch da ist natürlich immer die Frage,
welche Verträge habe ich und wie genau und wie hoch sind die Anforderungen darin
beschrieben an den Dienstleister,
was technische und organisatorische Maßnahmen angeht.
Erfahrungsgemäß halten die sich da ja auch immer auch ein Stück weit sehr vage.
Spannender Fall. Würde mich ja doch interessieren, wie das weitergeht,
ob es da einerseits natürlich aufsichtsbehördliche Entscheidungen vielleicht
auch gegen Anwälte gibt, ob die vielleicht irgendwo auch Pflichten verletzt
haben oder ob man das komplett abwälzen kann auf den Dienstleister.
Ja, wer davon betroffen ist, wer da vielleicht auch mal aus dem Nähkästchen
plaudern mag im Weiteren, Wir freuen uns da.
Schreibt uns gerne datenschutztalk at migusens.de.
Das ist da eine gute vertrauliche Adresse und freuen uns natürlich da auch über
ein paar Details, die für unsere Zuhörer dann geeignet sind.
Damit gehen wir weiter zu unserer Rubrik Veröffentlichungen und Veranstaltungen.
Ich habe ein paar Veröffentlichungen vom EDPB dabei.
Der Europäische Datenschutzausschuss hat nämlich Leitlinien zur Verarbeitung
personenbezogener Daten für wissenschaftliche Forschung verabschiedet.
Die Leitlinien definieren unter anderem wissenschaftliche Forschung anhand von
sechs Faktoren, ermöglichen eine weitgehend gefasste Einwilligung für Forschungszwecke
und betonen Rechte wie Löschung und Widerspruch.
Gleichzeitig beschloss der EDPB, die Arbeiten an den Leitlinien zur Anonymisierung
zu beschleunigen, und die Euro-Privacy-Zertifizierung
als erstes EU-Datenschutz-Siegel zu genehmigen.
Also da ist ein bisschen was vielleicht noch zu erwarten.
Außerdem legt der EDPB ein standardisiertes Template und ein erklärendes Dokument
für eine Datenschutzfolgenabschätzung vor.
Die Vorlagen sollen verantwortlich natürlich helfen, Risiken systematisch zu
analysieren, sind aber natürlich auch nicht verpflichtend. Also wer hier eigene
hat, der kann die auch grundsätzlich weiter nutzen.
Das läuft auch über ein öffentliches Konsultationsverfahren bis zum 9.
Juni und danach wollen die Datenschutzbehörden entscheiden dann,
ob das Template verbindlich wird.
Und da bin ich mir aber gerade tatsächlich nicht ganz sicher,
ob das die DSGVO schon hergibt.
Also wir sind ja gerade in den Diskussionen um den Digitalomnibus.
Da weiß ich, da wird das ja drin thematisiert.
Da hat sich die Kommission ja zumindest auch vorgestellt, dass sie das vielleicht auch macht.
Da, glaube ich, ist auch die Verbindlichkeit vorgesehen. Aber heute in der DSGVO,
meine ich, wäre das nicht drin. Aber muss ich mal nachschauen.
Wäre mir auch neu. Hast du schon reingeguckt?
Ich habe auch was mitgebracht und zwar eine neue Orientierungshilfe und die
kommt aus Bayern, nämlich vom Bayerischen Landesbeauftragten für den Datenschutz.
Dieser hat sich mit den Datenschutzaspekten in KI-Projekten befasst,
allerdings, das muss man sozusagen innerhalb der bayerischen Verwaltung.
Wer also Interesse hat, sich eben das Papier, was Zielsetzungen öffentliche
Stellen in Bayern hat, anzusehen und sich halt eben die datenschutzrechtlichen
Gesichtspunkte beim Thema Einsatz von künstlicher Intelligenz ansehen möchte,
der kann hier gerne in das Dokument schauen.
Das packen wir natürlich in die Show Notes für euch.
Wunderbar. Dann sind wir für heute durch. Vielen Dank, liebe Laura.
Danke ebenso.
Und euch natürlich vielen Dank fürs Dranbleiben. Ich erinnere nochmal dran,
wie gesagt, unsere Folgen, glaube ich, sind immer viele Sterne wert.
Wenn ihr das auch so seht, dann hadert nicht und zögert nicht,
uns diese fünf Sterne auch zu geben auf der Plattform eurer Wahl oder uns auch
eine neue Rezension zu schreiben, freuen wir uns.
Oder auch direkt Feedback zu geben. Wie gesagt, datenschutztalk at migosens.de
ist da auch immer gerne genutzte Adresse für. Wir freuen uns.
In diesem Sinne wünschen wir euch ein schönes Wochenende.
Bleibt uns gewogen und auf bald.
Bis bald.