Ford denkt über personalisierte Werbung im Auto nach – Datenschutz News KW 37/2024

Moderation:

Was ist in der KW 37 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Ablehnungsfunktion muss in die erste Ebene des Cookie-Banners (Volltext öBVerwG, Erkenntnis vom 31.07.2024 – W108 2284491-1) 
• Zwischenkonferenz der DSK: Beschlüsse zu Asset Deal, Patientenakten und Forschungsdaten
  • Entscheidung: Übermittlungen personenbezogener Daten im Rahmen eines Asset-Deals
• Auswertung der Transparenzberichte der vier Big-Tech-Konzerne zeigt: Deutschland fragt die meisten Daten ab
• KI-Training: Irische Datenschutzbehörde gegen Google
• Patentanmeldung: Ford plant personalisierte Werbung in seinen Autos

Veröffentlichungen und Veranstaltungen

• LfDI Baden-Württemberg lädt ein zur KI-Woche 2024
• Berliner Aufsicht mit Schulungsangeboten September-November: Start Up Schule für Kleinunternehmen und Vereine

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/Ford denkt über personalisierte Werbung im Auto nach – Datenschutz News KW 37/2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Punkt. Punkt. Punkt. Ich habe überlegt, ob ich was Kluges dazu sage, wie immer. Aber du hast alles, glaube ich, vollständig wiedergegeben. Und das schneiden wir raus. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Mein Name ist Heiko Gossen. Und mein Name ist Laura Doschinski. Und wir begrüßen euch wieder zu unserem wöchentlichen Datenschutz-Update. Heute ist Freitag, der 13. September. Meine Güte, was für ein Tag, Nein, es hat äh es hat es wird trotzdem gut, keine Frage. Unsere Redaktionsschuss war wie immer um zehn Uhr, Und wir gucken jetzt wieder, was so in der Woche passiert ist, das datenschutzrechtlich besonders relevant ist, auch für die für die Praxis. Und ähm gucken mal, was so auch unser Titelthema, verspricht Ford, denkt über personalisierte Werbung im Auto nach. Das klingt schon mal spannend, aber darauf fangen wir vorne an, welche Themen hast du alle dabei. Ja, wenn ich von vorne beginne, dann ähm habe ich eine weitere Meinung zum Thema Cookie-Banner mitgebracht, diesmal aus Österreich. Dann auf den Zettel heute schaffen es die Inhalte aus den Transparenzberichten der großen vier Big Tech-Konzernen und weiter geht’s dann zum Schluss mit dem Topthema, also das Thema Ford und die neue Idee zu personalisierten Werbung und zu guter Letzt habe ich noch einen Veranstaltungstipp mitgebracht. Wunderbar, den habe ich auch. Außerdem äh gucke ich einmal auf die Zwischenkonferenz der Datenschutzkonferenz, was dort beschlossen und entstanden ist. Außerdem würde ich dann einmal die irische Datenschutzaufsichtsbehörde DPC und ihre eingeleitete Untersuchung gegen Google erläutern. Und dann wie gesagt auch noch ein Veranstaltungstipp der für mich aus meiner Sicht durchaus sehr interessanter ist. In diesem Sinne Laura. Direkt starten. Starten wir. Nichts in eigener Sache heute. Na ja, wir könnten natürlich bei der Gelegenheit noch mal auf unsere ähm offene Stelle hinweisen. Also wir suchen weiterhin Verstärkung im Team Datenschutz, wo wir insbesondere natürlich viele spannende Kunden, und betreuen, also wer Interesse hat, mag sich gerne bewerben. Mir Punkt DE oder einfach auch auf Punkt DE Slash Karriere mal vorbeischauen. Freuen wir uns. So ist es. Dann starte ich mal. Super Ja, ich habe als Erstes heute eine Neuerkenntnis des Bundesverwaltungsgerichts Österreich vom 31. Juli mitgebracht und diese befasst sich mit der Gestaltung von seinen Tag Thema für jeden von uns und sie betonen noch mal in ihrer Veröffentlichung, das ist eben immer eine klare Trennung von Zustimmung und Ablehnung geben muss innerhalb des Banners. Also auf der ersten Ebene, dass diese Button halt eben gleich auffällig sind vom Design, auch ähnlich, dass es hier eben keine Hervorhebung für die Zustimmung gibt Ebenso auch wenig überraschend noch mal der Hinweis, dass eben die Einwilligung für Nichttechnisch notwendige Cookies vorliegen muss und eben auch die Anforderungen aus Artikel vier, Nummer elf und Artikel sieben, der DSGVO berücksichtigen müssen. Der Widerruf muss laut des Bundesverwaltungsgerichts in Österreich so einfach sein wie die Erteilung und das Gericht sieht hier klar einen ersichtlichen Hinweis im Banner direkt. Also auch hier ähm muss Zu finden sein, wie und wo widerrufen werden kann für die betroffene Person und äh diese muss halt über einen sichtbaren Link zu den Cookie-Einstellungen und zum Widerruf sichtbar gemacht werden. Ich finde ganz spannend, dass das Gericht nochmal äh aufgefasst hat, dass sie der Meinung sind, dass es nicht nur um Cookie Bananen ersichtlich sein muss, sondern auch immer am Seitenende der Webseite. Also Sie sehen hier immer wieder die Verlinkung für die betroffene Person als notwendig an, um jederzeit Zugriff auf alle möglichen Einstellungen und den Widerruf zu haben. Die Entscheidung im Volltext packen wir hier natürlich in die Shownotes. Ähm ja Heiko Also wenig überraschend glaube ich die Ausführung, aber immer wieder schön, finde ich, wenn wir Begründungen haben, wenn wir vielleicht auch mit unseren Mandanten sprechen, wie denn so ein Cookiebanner ausgestaltet werden soll, oder? Ja vor allen Dingen, dass es halt jetzt, wir kennen das ja die Auffassung der DSK und ja auch die Rechtsprechung mittlerweile hier in Deutschland dazu. Das ist natürlich auch in anderen europäischen Ländern genauso gesehen wird, ist natürlich auch unter Wettbewerbs, finde ich grundsätzlich auch einen ganz ganz gute ganz gutes Ergebnis oder eine ganz gute Entwicklung. Dann apropos DSK Die DSK hat auf ihrer Zwischenkonferenz am Mittwoch insgesamt drei Beschlüsse verfasst und veröffentlicht Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden, des Bundes und der Länder, also kurz DSK, hat am 11. September getagt und laut ihrer Pressemitteilung eine Vielzahl an Themen behandelt. In einer Entschließung fordert die DSK den Bundesgesetzgeber und die Heilberufe kann man auf, die Regelungen zur Kostenpflicht für die Erstkopie der Patientenakte zu ändern und berufen sich hier auf das Europäische Gericht Europäischen Gerichtshof. Der hatte entschieden, dass nach EU-Recht alle Patienten Anspruch auf eine kostenlose erste Kopie ihrer Akte haben. Weiterhin betont die DSK in einem Beschluss die Notwendigkeit eines einheitlichen Verständnisses des Begriffs wissenschaftliche Forschungszwecke Für diese Zwecke ja bestimmte Datenschutzrechte eingeschränkt werden können und dürfen, sieht die DSK die Erforderlichkeit, dass die Forschung, methodisch unabhängig und im Gemeinwohl-Interesse erfolgen muss, dann das ist aus meiner Sicht der für die Praxis vor allen Dingen relevanteste Beschluss hat die DSK ihren Beschluss zum Acid Deal aktualisiert, um Unternehmen klare Richtlinien zu geben. Im Gegensatz zum Share Deal, wo ein Unternehmen nur in Anführungszeichen Anteile eines anderen Unternehmens übernimmt, ist es beim Assed Deal ja so, dass Werte und vielleicht auch Kundendaten zum Beispiel Bestandteil eines Übergangs in ein anderes Unternehmen sind. Und der Beschluss legt fest, unter welchen Bedingungen Daten bei einem Unternehmenskauf an den Nachfolger halt übertragen werden dürfen. Dazu werden die im Dokument, das werden wir auch in den Shownotes natürlich verlinken, verschiedene Phasen und und Fallgruppen erläutert. Ich habe das oder ich halte das Dokument eigentlich für hilfreich, vor allen Dingen Dingen, wenn man nicht schon sowieso regelmäßig mit Acid Deals und allem, was datenschutzrechtlich da dranhängt, zu tun hat in vielen Unternehmen, äh kommt das vielleicht auch nur einmal oder sehr selten vor und für solche Konstellationen glaube ich ist es halt wirklich gut und hilfreich, womit man auch durchaus natürlich äh für die an die Leute herantreten kann, die für so was im Unternehmen dann verantwortlich sind, Also von daher, zu Vorbereitungen solchen Deals unter Datenschutzgesichtspunkten empfehlenswert. Ich gehe weiter zu einem, wie ich finde, auch recht spannenden Thema oder ähm was was von meinem Gefühl her eigentlich ein anderes ist, nämlich sind wohl laut Heise deutsche Behörden Spitzenreiter, wenn es darum geht, Bestands von Nutzern abzurufen. Dies geht wohl nun aus den Transparenzberichten der vier großen Big-Tech-Konzern hervor. In einem Zeitraum von zehn Jahren forderten wohl deutsche Behörden Nutzerinformationen von über 700.000 Konten von Apple, Meta, Google und Microsoft an. Die Anfragen beziehen sich eben hierbei häufig auf strafrechtliche Ermittlungen oder aber auch Klärungen mit Blick auf die Nutzerdaten zu Zivil oder verwaltungsrechtlichen Fällen. Was ich persönlich ganz spannend finde, ist, dass im Verhältnis zu Bevölkerungsanzahl Deutschland damit auf Platz 1 in Europa steht und im welt weiten Vergleich sogar auf Platz 2 hinter den USA. Das finde ich persönlich sehr überraschend, weil ja eigentlich Ende deutschen Medien insbesondere recht häufig ja auch eher ein anderer Eindruck vermittelt wird, dass oft eben die deutschen Strafverfolgungsbehörden wenig. Auf Daten zugreifen, insbesondere aufgrund des Datenschutzes. Vergleicht man das jetzt nur mit dem weltweiten Durchschnitt beantragen deutsche Behörden mehr als sieben Mal so viele Auskünfte zu Nutzerkonten pro Einwohner wie halt eben andere Länder. Was sich in dem Zusammenhang ganz interessant fand, war ebenso, dass die vier Tech-Konzerne Anfragen für die Preisgabe der Daten eben nicht immer ganz ähm und oft eben nur teilweise beantworten Und in Deutschland war es beispielsweise so, dass die Behörden nur in 65 Prozent ihrer Ersuchen eben eine äh Auskunft erhielten Ausgewertet wurden diese Transparenzberichte laut. Von dem VPN-Anbieter Surf-Chark unter Einbeziehung von 190 Ländern und sein Fazit, ich glaube, das können wir beide ganz gut mittragen, ist, dass er sich auch ähm mit Blick auf diese Zahlen ebenso besorgt sieht, was staatliche Zugriffe auf äh Kommunikationsdaten von Nutzern angeht, doch durchaus bei der geplanten EU-Verordnung zu Chatkontrolle, wenn diese halt erweitert werden soll, bleiben soll. Und ich glaube, einem wird dann erst mal bewusst, von wie viel Zugriffen wir denn auch hier dann auch besprechen werden. Also ich find’s dann interessant, weil natürlich die Diskussion rund um das Thema Vorratsdatenspeicherung, damit auch wenn’s jetzt vielleicht hier äh anders gerichtete Fragen sind, ja, also an die Big Konzern, das sind jetzt erstmal keine TK-Dienste, deswegen haben wir das Speicherungsthema da natürlich eigentlich nicht, aber ich könnte mir vorstellen, dass es trotzdem auch da wieder natürlich äh Wasser auf die Mühlen ist, wenn in Anführungszeichen nur 65 Prozent der Anfragen auch wirklich vollständig beantwortet werden können von den Unternehmen und wahrscheinlich damit dann auch wieder argumentiert wird, warum mehr Daten gespeichert werden müssen, damit diese Anfragen dann beantwortet werden und die Sicherheitsbehörden und Ermittlungsbehörden dann auch äh besser und erfolgreich ermitteln können, spannend. Gut, werden wir werden wir natürlich äh sehen, was was da noch kommt beim Thema, was ja immer wieder eigentlich als, unserer Sicht geklärt und abgeschlossen betrachtet wird und man dann doch immer wieder die politischen Diskussionen mitbekommt, aber wie gesagt, irgendwann wird auch wahrscheinlich der EuGHA sagen, Leute, jetzt haben wir aber alles entschieden, jetzt ist aber gut Okay. Gehen wir weiter, die irische Datenschutzaufsichtsbehörde DPC hat eine Untersuchung wegen der Google KI Palm 2 eingeleitet. Wie heiße berichtet hat die irische DPC, ein Verfahren gegen Google eingeleitet wegen möglicher Verstöße beim Training des KI-Sprachmodells Pathways Language Model two, also kurz Palm zwo, schön einzudeutschen. Google könnte also wohl äh nach aktueller Kenntnislage vor dem Training keine ausreichenden Datenschutzprüfung in Form einer Datenschutzfolgenabschätzung durchgeführt haben, die die PC vermutet, dass sie das nicht oder nicht vollständig getan haben. Palm zwo, das wurde im Mai 23 schon vorgestellt, wird in vielen Google-Anwendungen eingesetzt, darunter wohl auch Gmail und ist auch in der Google Cloud verfügbar soll halt besonders gute Fähigkeiten äh mitbringen, vor allen Dingen im Bereich der Sprachen. Also es hat wohl in sehr vielen Sprachen ist es trainiert worden. Laut der DPC sieht sie die Erforderlichkeit aber halt zur Durchführung einer DSFA und äh in dem vorliegenden Fall wohl nicht ordnungsgemäß wie gesagt eben schon gesagt gegeben. Deswegen hatte die bis jetzt in der Nacht zum Donnerstag bekannt gegeben, dass sie ein förmliches Verfahren einleitet. Wir werden sehen, Bin gespannt, aber wie gesagt, mehr haben wir im Moment noch nicht dazu. Aber die Iren scheinen Gas zu geben. Haben wir schon in der Vorbereitung gesagt. Ja, also da muss man, glaube ich, so aus den Beobachtungen der letzten Monate feststellen. Da hat sich ein bisschen was verändert. Vielleicht, seit dem hellen Dixen nicht mehr da ist und seinen neuen Datenschutzbeauftragten in Irland gibt es im Namen ja ehrlicherweise gerade entfallen ist. Aber vielleicht hat er da noch mal ein bisschen bringt er ein bisschen mehr Schwung rein. Wird ja auch Zeit. Ich kann zu unserem Shop Thema und zwar der Autobauer vor Ort. Spielt mit dem Gedanken personalisierte Werbung innerhalb seiner Autos auszuspielen. Ende August wurde ein Patentantrag für diese Überlegung aus Febru öffentlich, berichtete auch in dieser Woche heisse und ja als Basis für die maßgeschneiderten Werbeanzeigen auf dem Bildschirm im Armaturenbrett sollen Gespräche zwischen den Fahrzeuginsassen sein. Oder die Sardinen, ähm aber auch der Standort des Fahrzeugs, dessen Verlauf soll mit einbezogen werden, wie Geschwindigkeit Art der Straße, sowie aktuelle Routenplanung. Ich musste das Thema einfach mitnehmen, weil ich’s einfach in der Welt äh Kuriositäten im Datenschutz äh einordnen würde. Ähm wie der Datenschutz hierbei aussehen könnte, ist noch nicht bekannt, also wie gesagt, das ist ein Patentantrag, was natürlich am Ende da umgesetzt wird, ist natürlich nicht bekannt. Ähm wird ja oft genutzt, um einfach die Ideen von Entwicklern zu schützen. Auch vor Ort hat auf Anfrage, bereits ein Sprecher verlaub waren lassen, dass man natürlich bei weiteren Entwicklungen den Kunden bei Entwicklung und Vermarktung stets an erster Stelle setzen würde. Also hier ist vielleicht implizit auch mit ausgesprochen worden, dass man natürlich auch Datenschutz berücksichtigt. Aber Heiko, wie siehst du das? Also ich find’s ja super creepy, oder? Wenn man äh äh das mal weiterdenkt. Na ja, also es ist natürlich die Gespräche aus dem Innenraum äh dafür zu nutzen, ist natürlich schon schon eine krasse Geschichte. Auf der anderen Seite muss man auch sagen, ich bin da jetzt nicht von überzeugt, aber es gibt natürlich auch Leute, die vertreten auch die Auffassung, dass natürlich die KI oder beziehungsweise die Sprachassistenten wie Alexa oder andere, die es halt im Haushalt gibt, das vielleicht auch schon täten, ich habe dafür keinen Beleg und bin da auch nicht ganz von überzeugt, aber es gibt natürlich auch solche Meinungen und von daher ist es vielleicht auch nur nur der logische nächste Schritt. Am Ende müssen wir aber auch, also nach deutschem oder nach DSGVO, EU-Recht wird’s ja keine Alternative zur Einwilligung geben, Also das ist ist auch klar, alleine wenn man halt das gesprochene Wort dazu heranziehen will. Strafrechtlich ist es sogar halt geschützt. Also von daher glaube da da führt halt kein Weg dran vorbei. Die Frage ist da wie immer Ja und bei allen Einwilligungen, egal ob Cookie-Banner oder keine Ahnung, Veröffentlichung von von äh Sachen im Internet und so weiter. Immer die informiertheit und und Transparenz. Ja, also ist halt dem Durchschnittsverbrauch am Ende wirklich klar, in was er einwilligt, welche Auswirkungen, Tragweite das haben kann, da wird’s halt immer schwierig und da wird sich nachher auch wahrscheinlich wieder der Streit dran erzönen zwischen Aufsichtsbehörden und den Unternehmen. Aber vielleicht ganz pragmatisch wird der nächste Städtetrip ein bisschen entspannter, wenn das Auto für einen vorplant, was man alles dort unternehmen kann. Richtig, das dann noch gekoppelt mit autonomen Fahren, ja und der bringt dich halt direkt in die richtige Pizzeria, die am meisten für die Werbung gezahlt hat. Ist doch super. Ja. Aber na ja gestern hat mir noch jemand gesagt, ähm ihm sei aufgefallen, dass auf Spotify irgendwie auch bezogene Informationen äh eventuell für Werbung verwendet, zumindest gab’s äh Auffälligkeiten. Ortsbezogene Auffälligkeiten. Auffälligkeiten, ja. Von daher, vielleicht sind wir da gar nicht so weit von. Wir schauen weiter drauf, wie immer. Dann kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen der Landesdatenschutzbeauftragte aus Baden-Württemberg, wie er seine KI-Woche diesmal unter der Leitfrage künstliche Intelligenz und Datenschutz. Wer trainiert die Zukunft? Professor Doktor Keba, also Landesamtschutzbeauftragter Baden-Württemberg hatte ja auch in der Themenfolge, die wir hier im Datenschutztag im letzten Herbst mit ihm zum Thema KI gemacht haben, auch schon über das Format berichtet und dieses Jahr findet die Veranstaltung vom 3. September bis zum 2. Oktober statt. Die Teilnahme ist vor Ort möglich. Die Vorträge werden aber auch wieder gestreamt Und ähm ja, die Anmeldung ist kostenfrei und ähm ja, ich hoffe natürlich aber sehr, dass die Vorträge wie bisher dann auch entsprechend anschließend Satzaufzeichnungen zur Verfügung stehen und man dann auch unabhängig jetzt von dem Termin sich dann natürlich diese Inhalte noch mal ansehen kann. Die Agenda sieht aber eigentlich gar nicht so schlecht aus. Also ich glaube, gibt’s ein paar gute Impulse. Stefan Brink ist äh übrigens auch dabei, ehemaliger Baden-Württemberg. Von daher ich könnte, könnte wieder in viel Input geben für das Thema, was ja nach wie vor an allen Ecken eigentlich im Moment äh wie gesagt präsent ist. So ist es. Ein bisschen kleiner im Datenschutz angesetzt, kleiner im Sinne von eine Veranstaltung, wofür keine Vorerfahrung notwendig ist, bietet die Berliner Aufsichtsbehörde an, ja schon seit längerer Zeit gibt’s hier die Start-up-Schule, also äh Fortbildungsangebote für kleine Start-ups, aber auch Vereine. Das Programm zielt halt eben auf diese Zielgruppe ab Und hiervo sind nun die neuen Termine veröffentlicht worden, also ab Ende September bis Ende November gibt’s wieder ein vielfältiges Angebot vor Ort in der Behörde. Können die entsprechenden Personen kostenlose Veranstaltungen besuchen, sei es zum Thema Auskunftspflicht, aber auch internationaler Datenverkehr wird hier leicht verständlich zusammengefasst und ja bis hin zu und organisatorischen Maßnahmen, was hierbei zu beachten sind, finde ich persönlich ein sehr schönes Angebot, insbesondere wie bei Vereinen oder auch kleineren Unternehmen ja immer wieder vor der Herausforderung stehen, wenn’s halt eben keinen DSB gibt. Aber trotzdem die DSGVO eingehalten werden muss, wie kann da eine gute Wissensvermittlung stattfinden? Und ich finde, das macht hier die Berliner Aufsichtsbehörde ganz schön. Also hier seien auch diese Veranstaltungen ans Herz gelegt. Vielleicht ist jetzt uns Zuhörerschaft nicht die Zielgruppe, aber nice to know, vielleicht kann man das an deiner Stelle noch empfehlen. Ist das ähm weißt du das richtet sich das ausschließlich an äh Berliner Start-ups oder ist das auch online für andere Startups interessant und konsumierbar? Nee, es ist wirklich nur vor Ort. Also das heißt, die örtliche Nähe muss das schon gegeben sein. Ja, vielen Dank wieder spannende Themen, finde ich, Und damit äh bleibt uns natürlich nur allen noch ein hoffentlich stolperfreien Freitag den 13. zu verbringen und einen guten Start ins Wochenende zu haben. Wir danken euch, bleibt uns gewogen und auf bald.