Geheimes Tracking durch Meta – DS News KW 23/2025

Transkript zur Folge:

Hast du Hunger? Ich meine, heute kommt Peter, unser Koch. Also ich meine,
es gibt was Leckeres zu essen. Frisch gekocht, das ist doch geil.
Ja, natürlich. Ich freue mich da schon die ganze Woche drauf.
Dann geben wir Gas, damit es nicht kalt wird.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Heute ist Freitag, der 6. Juni 2025. Unser Redaktionsschluss war um 9.30 Uhr.
Und ja, wir haben natürlich wieder einen ganzen Sack voll Themen für euch mitgebracht.
Diese Woche war, ich würde sagen, schon ein wenig ereignisreich.
Es sind spannende Themen dabei. Von daher, Laura, was hast du heute mitgebracht für unsere Zuhörer?
Ja, ich finde auch, heute sind echt viele spannende Themen dabei.
Zuallererst habe ich ein Datenleck mitgebracht bei einem führenden Anbieter
für Mitarbeiterbenefits.
Weiter geht's mit einem ganz interessanten Urteil aus dem Saarland zum Thema
Vergleichsklausel und Artikel 15.
Außerdem habe ich mitgebracht eine anstehende Verbandsklage gegenüber TikTok.
Und ich glaube, kaum ein Datenschützer ist diese Woche dran vorbeigekommen.
Natürlich auch das Bußgeld gegen Vodafone.
Also ja, und guck mich an, ich weiß, was du meinst, was fehlt.
Veröffentlichung, haben es natürlich auch meinen Zettel geschafft.
Hervorragend, der habe ich nämlich auch welche dabei. Außerdem das Titelthema,
nämlich geheimes Tracking durch Meta, was konkurriert hat bei der Titelwahl
mit dem Vodafone Bußgeld, aber sich dann am Ende durchgesetzt hat.
Außerdem haben wir ein Urteil zum Thema Schadensersatz bei unvollständiger Auskunft
bei Bewerbern und eine Sammelklage gegen Griff, die in Vorbereitung ist,
würde ich auch noch kurz thematisieren wollen.
Damit, Laura, lass uns doch mal einsteigen.
Ja, da beginne ich mal. Und zwar ein Datenleck bei Corplife hatte rund 165.000
Nutzerkonten mit persönlichen Informationen offengelegt.
Anfang des Jahres wurde bei Corplife, einer der führenden Plattformen für Mitarbeiterbenefits,
ein grafierendes Datenleck entdeckt.
Trotz frühzeitiger Hinweise reagierte das Unternehmen zunächst nicht,
sodass der Chaos Computer Club eingeschaltet wurde. Bisher bekannt ist,
dass die offengelegten Daten bis Mitte Februar 2025 zugänglich waren.
Außerdem liegen keine Informationen darüber vor, ob Betroffene überhaupt informiert wurden.
Laut dem Chaos Computer Club ermöglichte die Sicherheitslücke den Zugriff auf
sensible Daten, darunter beispielsweise Name, E-Mail-Adresse,
Anschriften, Unternehmenszugehörigkeit, Passwort-Hashes und über Zehntausende Bestellungen.
Corp. Life erklärte laut den Medienberichten gegenüber der österreichischen
Datenschutzbehörde, weil dort hat es seinen Sitz, es habe sich um Testdaten gehandelt.
Nach Erhalt der Informationen habe das Unternehmen umgehend reagiert und die
Sicherheitslücke geschlossen und weitere Maßnahmen ergriffen,
wie beispielsweise veraltete und nicht unbedingt notwendige Files und Ordner
von dem Testserver vollständig entfernt.
Kritisch bei dem Thema ist aber, dass laut dem Chaos Computer Club Stichproben
darauf hindeuten, dass es sich trotzdem um echte Nutzerdaten handelt.
Der Chaos Computer Club fordert nun eben höhere technische Standards zum Schutz
personenbezogener Daten, da es auch hier sich um simple Programmierfehler handelte.
Und ja, derzeit aktuell ist ja sehr verbreitet, dass eben ungeschützte APIs
oder fehlende Authentifizierung oft als Angriffsziel von Cyberkriminellen ausgenutzt werden. Vielen Dank.
Der Vorfall zeigt, glaube ich, mal wieder, wie wichtig das ist,
grundlegende Prinzipien wie beispielsweise Datensparsamkeit,
aber die Sicherheitsvorkehrung im Blick zu halten und eben Unternehmen diese
Verpflichtung auch ernst nehmen sollten, personenbezogene Daten angemessen zu schützen.
Ich bin jetzt mal gespannt, ob die österreichische Datenschutzbehörde,
ich hatte mal heute reingeschaut, nichts gesehen, aber vielleicht auch hier
noch ein Bußgeld verhängen wird, weil hier steht es ja, glaube ich,
so ein bisschen Aussage gegen Aussage.
Ja, Bußgeld, das wird sicherlich was dauern. Die werden ja auch erstmal sich
den Sachverhalt genau angucken müssen.
Ich finde, es zeigt halt auch wieder sehr schön, also wir sind da ja immer sehr
kritisch, wenn es halt darum geht, mit echt Daten zu testen.
Das scheint ja dann hier offenbar der Fall gewesen zu sein, wenn es halt Testdaten gewesen sein sollen.
Einerseits ist halt datenschutzrechtlich eh schwierig, es zu legitimieren,
wenn es halt dann nicht wirklich gute, gute, gute Gründe dafür gibt.
Andererseits ist es halt aber auch genau das, was man ja dann immer das Problem
hat, Ja, Testsysteme werden gern vergessen, haben oft viel mehr Leute Zugriff
drauf und schwuppdiwupp hat man halt den Datenabfluss.
Und vergessen, gutes Stichwort, wenn man dann plötzlich in der Lage ist,
Daten zu löschen, die man ja eigentlich gar nicht mehr braucht,
sollte man glaube ich auch in Alarmbereitschaft stehen.
Genau.
Meta hat laut einer Forschergruppe Android-User mittels einer Schwachstelle
gegen ihren Willen getrackt.
Sicherheitsforscher haben laut einigen Online-Quellen entdeckt,
dass Meta Tracking-Pixel auf Webseiten einsetzte,
die über dann einen technischen Trick an die jeweilige Android-App auf dem Gerät
als auch an den Server der Unternehmen entsprechend Daten übermittelt hat.
Mit dieser Methode war es möglich, Nutzeraktivitäten zu verfolgen,
selbst wenn zum Beispiel der Inkognito-Modus oder auch VPNs verwendet wurden.
Eine direkte Stellungnahme von Meta liegt dazu noch nicht vor.
Die entdeckten Tracking-Methode verstößt eigentlich gegen grundlegende Datenschutzprinzip
insoweit die ersten Einschätzungen, da sie natürlich ohne ausdrückliche Zustimmung der Nutzer erfolgt.
Und die Privatsphäre, indem sie Browser-Daten mit App-Identitäten verknüpft
und somit Nutzerprofile ermöglicht, natürlich auch die Privatsphäre entsprechend
untergräbt, weil es halt eine Verarbeitung ist, die,
wenn man nur über den Browser arbeiten würde, halt so gar nicht die Identifizierung
der Nutzer ermöglichen würde.
Vielleicht kurz zum technischen Hintergrund.
Als Voraussetzung ist, dass man eine entsprechende App installiert hat,
zum Beispiel Instagram oder die Facebook-App von Meta.
Und diese App hat dann im Hintergrund einen Port geöffnet, der darauf lauscht,
also das ist relativ üblich für manche Dinge, wie zum Beispiel eine Telefonie-App oder so weiter.
Jetzt für Instagram wäre es halt eigentlich nicht notwendig.
Und wenn dann man mit dem Browser eine Webseite vom Android-Gerät aufgerufen
hat, die ein Metapixel enthält, dann wurde im Hintergrund eine Verbindung mit
diesem Port hergestellt.
Und so konnte dann die Nutzeridentität anhand der App, in der man ja typischerweise
eingeloggt ist, dann auch entsprechend abgefragt werden und so dann wiederum
gezieltere Werbung auf die jeweilige Person ausgespielt werden.
Laut den Forschern nutzte Meta dieses Verfahren seit September 2024 und justamente,
nachdem diese Ergebnisse veröffentlicht wurden,
stellte man dann halt fest, dass wohl es keine Aktivitäten mehr auf diesem Port gab.
Also man hat dann wohl entweder zufällig oder aber auch sehr schnell bei Meta
darauf reagiert. Jetzt gilt es natürlich abzuverhalten, ob die Aufsichtsbehörden
darauf reagieren. Ich finde es krass.
Also ganz ehrlich, wenn sich das alles so als wahr herausstellen sollte,
schon ziemlich krass, weil halt natürlich alles, was halt Cookie-Banner und
so weiter angeht, einfach völlig ignoriert wurde. Die Webseitenbetreiber,
geht man davon aus, die Metapixel eingesetzt haben, wussten davon natürlich auch nichts.
Aber Stichwort gemeinsame Verantwortlichkeit, muss man natürlich auch gucken,
inwieweit die hier nicht auch mit am Fliegenfänger hängen.
Aber grundsätzlich, wie gesagt, wenn das so wahr ist, das ist schon echt massiv,
finde ich richtig krass, hier wirklich Leute, muss man sagen,
wirklich auszuspionieren.
Also da ist nichts mehr mit Einwilligung oder so gewesen.
Nachvollziehbar. Deshalb auch nachvollziehbar, weshalb es unser Top-Thema ist. genau,
Ich gehe mal weiter. Und zwar das Oberverwaltungsgericht Saarlouis bestätigte
den Ausschluss datenschutzrechtlicher Ansprüche durch eine umfassende Ausgleichsklausel.
Das Gericht hat am 13. Mai entschieden, dass ein Arbeitnehmer im Rahmen eines
arbeitsgerichtlichen Vergleichs wirksam auf sein Recht auf Auskunft nach Artikel
15 DSGVO verzichten kann.
Die Voraussetzung hierfür ist, die Vergleichsklausel muss klar und weit genug
formuliert sein, um auch datenschutzrechtliche Ansprüche zu umfassen.
Was sind die Hintergründe für dieses Urteil? Und zwar hatte der Kläger gegen
seinen ehemaligen Arbeitgeber ein Auskunftsersuchen gestellt,
das nicht beantwortet wurde.
Zu einem späteren Zeitpunkt, also während des Beschwerdeverfahrens,
kam es zu einem arbeitsgerichtlichen Vergleich und eben mit einer entsprechenden
umfassenden Ausgleichsklausel.
Die Datenschutzaufsicht stellte daraufhin ihr Beschwerdeverfahren ein,
der Kläger wollte das jedoch nicht akzeptieren und klagte auf Fortführung.
Nachdem das Verwaltungsgericht Saarland im letzten Jahr bereits seine Klage
abwies, landete die Sache nun schließlich beim OVG Saarlouis und nun halt eben
ohne Erfolg für den Kläger.
Das Oberverwaltungsgericht sah folgende Punkte hierbei als entscheidend an.
Für sie war die Vergleichsklausel klar formuliert. Also die Klausel umfasste,
das ist jetzt das Zitat, alle Ansprüche aus dem Arbeitsverhältnis und dessen
Bedingungen, gleich ob bekannt oder unbekannt, gleich aus welcher Rechtsgrundlage.
Nach Ansicht des Gerichts reicht das aus, um eben auch datenschutzrechtliche
Ansprüche mit einzuschließen.
Das Bewusstsein des Klägers war ebenso für das OVG entscheidend.
Denn der Kläger hatte bereits vor Abschluss des Vergleichs das Auskunftsersuchen
selber gestellt Und ihm war also bewusst, dass auch die datenschutzrechtlichen
Ansprüche gegen seinen alten Arbeitgeber in dieser Klausel mit inbegriffen sind.
Außerdem gab es, Leitaussage des Gerichts, kein strukturelles Ungleichgewicht,
was man ja eben bei Arbeitgeber, Arbeitnehmer grundsätzlich ja schon betrachten muss,
denn eben laut dem OVG bestand Nachbeendigung des Arbeitsverhältnisses kein
strukturelles Machtungleichgewicht mehr, das eben einen besonderen Schutzbedarf
des Klägers begründet hätte.
Außerdem sahen sie auch das Transparenzgebot nicht verletzt.
Sie stellten klar, dass eben das Transparenzgebot der DSGVO sich auf die Datenverarbeitung,
nicht aber auf den Inhalt arbeitsrechtlicher Vergleichsklauseln bezieht.
Ja, was lässt sich jetzt für uns, für die Unternehmenspraxis ableiten, für uns Datenschützer?
Also wichtig ist natürlich, bei Beratung zu beachten für die Unternehmen,
dass eben diese Vergleichsklauseln sorgfältig formuliert sind.
Also wenn ein Unternehmen möchte, dass eben auch datenschutzrechtliche Ansprüche
abgegolten sind, muss dies eben ausdrücklich umfassend formuliert sein.
Dann klar durch das Urteil, dass eben DSGVO-Rechte nicht oder dass diese dispositiv
sind. Also es gibt kein kategorisches Verbot, auf Artikel 15 DSGVO zu verzichten.
Zumindest eben nicht in diesem arbeitsrechtlichen Kontext nach Beendigung eines
Arbeitsverhältnisses.
Dann weiter geht es wieder mit dem Bewusstsein des Betroffenen.
Also Unternehmen sollten oder sind angeraten zu dokumentieren,
ob und wann Betroffene eben datenschutzrechtliche Ansprüche geltend gemacht haben.
Und was halt eben umso wichtiger ist, wenn es spätere gerichtliche Auseinandersetzungen gibt.
Und immer zu prüfen ist halt auch eben dieses Verhältnis auf Augenhöhe.
Ich gehe mal ganz stark davon aus, dass eben bei einem bestehenden Arbeitsverhältnis
durchaus vielleicht auch die Bewertung anders ausgefallen wäre.
Ich finde das Urteil auf jeden Fall sehr spannend. Ich persönlich hatte mich
in Vergangenheit noch nicht mit diesem Verzicht auf Artikel 15 befasst.
Deshalb habe ich es sehr mit Interesse gelesen. Was löst es in dir aus?
Ja, also als ich das erste Mal davon gehört habe, habe ich gesagt,
ein bisschen Stirnrunzeln, aber wenn man das jetzt auch mit den Einschränkungen
liest, dann ist es durchaus nachvollziehbar, finde ich, auch mit den Begründungen.
Aber wie gesagt, man sollte tunlichst vermeiden zu versuchen,
Datenschutzrechte der Betroffenen irgendwie kategorisch auszuschließen,
weil das wird halt nicht funktionieren.
Das wird dann auch vor keinem Gericht wahrscheinlich standhalten.
Das sind ja eher unabdingbare Rechte, Grundrechte deswegen. Also das wird nicht funktionieren.
Aber du hast jetzt auch noch ein Urteil zum Artikel 15 mitgebracht.
So ist es. Danke für die Überleitung. Auch eine verspätete oder unvollständige
Auskunft nach Artikel 15 kann zu einem Schadensersatz führen.
Das Arbeitsgericht Düsseldorf in diesem Fall hat klargestellt,
dass eine unvollständige, verspätete oder unzutreffende Auskunft einen immateriellen
Schadensersatz nach Artikel 82 begründen kann, auch ohne messbare materielle Nachteile.
Ferner stellte es dabei ausdrücklich fest, dass Absagegründe im Bewerbungsverfahren
personenbezogene Daten sind und auch mit einem pauschalen Verweis auf Geschäftsgeheimnisse
nicht verweigert werden dürfen.
Kurz zum Hintergrund, ein Bewerber hatte sich auf eine Stelle bei einem Unternehmen
beworben und nach der Absage eine umfassende DSGVO-Auskunft gefordert,
erhielt aber zunächst nur eine unvollständige und auch teils falsche Antwort.
Erst nach mehrfacher Nachfrage korrigierte dann das Unternehmen die Angaben
und nannte auch ausländische Empfänger der Daten.
Das Arbeitsgericht Düsseldorf erkannte darin dann einen DSGVO-Verstoß und trach
dem Kläger dann auch 1000 Euro
immateriellen Schadensersatz wegen Kontrollverlust über seine Daten zu.
Da wir ja auch schon anderslautende Urteile hier hatten, die eine verspätete
Auskunft gerade nicht als Schaden gesehen haben, muss man natürlich hier wieder
auch die Details berücksichtigen.
Nämlich, dass halt gerade bezüglich
der Datenempfänger hier zunächst eine falsche Antwort gegeben wurde.
Das erklärt natürlich schon viel eher,
dass man hier dann auch von einem Kontrollverlust eher sprechen kann,
weil die Daten halt auch dann an andere Unternehmen weitergegeben wurden und
das halt dann im ersten Schritt aber dem Betroffenen offenbar nicht mitgeteilt
wurde und auch nicht klar war.
Also von daher nicht automatisch ableiten. Verspätung heißt Schadensersatz,
aber Richtigkeit, Vollständigkeit der Auskunft, insbesondere auch Ablehnungsgründe
des Bewerbers sind halt so Beauskunften.
Besser ist.
Besser ist.
TikTok steht vor einer Verbandsklage in Deutschland.
Das Bundesamt für Justiz hat am Mittwoch berichtet, dass die niederländische
Verbraucherschutzorganisation SOMI, vertreten durch eine deutsche Rechtsanwaltsgesellschaft,
beim Kammergericht Berlin eine Verbandsklage gegen TikTok eingerichtet hat.
SOMI wirft TikTok vor, höchstpersönliche Daten rechtswidrig zu sammeln,
zu analysieren, sowie im Verborgenen umfassende Verhaltens- und Persönlichkeitsprofile
für kommerzielle Zwecke zu erstellen.
Besonders kritisch wird die Gestaltung des Algorithmus gesehen,
der insbesondere bei Kindern und Jugendlichen ein System der Manipulation und
Abhängigkeit schaffen soll.
Außerdem wird als besonders schwerwiegend gewertet, dass eine systematische
Übermittlung sensibler Nutzerdaten in unsichere Drittstaaten,
in denen Datenschutz- und Sicherheitsstandards nicht gewährleistet seien, erfolgt.
Die Klage fordert einen gestaffelten Schadensersatz. 2000 Euro für Nutzer unter
16 Jahren, 1000 Euro für 16-21-Jährige und 500 Euro für Nutzer über 21 Jahre.
Sumi ist eine niederländische Verbraucherschutzorganisation,
die sich auf Datenschutz-Sammelklagen spezialisiert hat.
Bereits im Mai hatte Sumi eine ähnliche Klage gegen die Plattform X,
ehemals Twitter, eingereicht und die Klage basiert eben auf dem Verbraucherrechtdurchsetzungsgesetz,
welches ja ermöglicht Verbandsklagen gegen Unternehmen wegen Datenschutzverstößen
hier in Deutschland zu führen.
Ich denke, bei Erfolg könnte dies durchaus auch ein Präzedenzfall sein für zukünftige
Datenschutzklagen, wie wir es ja auch im letzten Jahr schon bei Facebook festgestellt haben.
Und ja, betroffene Verbraucher und kleine Unternehmen in Deutschland können
sich nun kostenfrei und ohne Prozesskostenrisiko beim Bundesamt für Justiz in
das Klageregister eintragen lassen.
Hierzu stellt das Bundesamt im Internet ein Anmeldeformular zur Verfügung.
Laut den Medienberichten hat sich TikTok wohl noch nicht dazu geäußert,
Aber die können sich wohl warm anziehen.
Interessant ist ja, warum eine niederländische Organisation hier in Deutschland klagt.
Wer da was weiß, wir sind da für Hinweise dankbar.
Ich könnte mir halt vorstellen, dass es halt in Deutschland natürlich einfach
mehr User gibt und damit dann vielleicht größere Menge an Betroffenen zusammenkommt.
Ansonsten vielleicht aber auch das Recht. Vielleicht ist das Niederlande noch
nicht so klar, dass dort Verbände auch klagen können.
Wir werden sehen. Aber wo wir schon bei Verbänden und ähnlichen Organisationen,
Grundrechtsorganisationen sind,
Neub wirft der Auskunftsteiggriff vor, unzulässig Scorewerte für fast alle Erwachsenen
in Österreich zu berechnen.
Die Datenschutz-NGO None of Your Business, dürfte unseren Zuhörern mittlerweile
ja auch geläufig sein, prüft derzeit wohl eine mögliche Sammelklage gegen die
Wirtschaftsauskunft Teil GRIFF.
Hintergrund ist der Vorwurf, dass GRIFF-Score-Werte für nahezu alle Erwachsenen
in Österreich berechnet, auch ohne konkreten Anlass und ohne Anfrage durch ein Unternehmen.
Diese Scorewerte sagen aus, wie wahrscheinlich eine Person sich in Zukunft zum
Beispiel beim Bezahlen verhalten wird.
Also das, was ja auch zum Beispiel hinter so einem Schufa-Score typischerweise steckt.
Nach Ansicht von Neub ist das Profiling im Sinne der DSGVO und sei damit halt
nur unter engen Voraussetzungen erlaubt.
Und sie kritisieren, dass Griff auch dann personenbezogene Daten verarbeite,
wenn die betroffene Person nie direkt mit dem Unternehmen in Kontakt standen.
Also laut Neub fehlt es in diesen Fällen damit auch an einer gültigen Rechtsgrundlage.
Also bei Griff, falls ihr uns zuhört, ihr seid wahrscheinlich schon vorbereitet,
aber falls nicht, dann habt ihr es jetzt von uns gehört.
Bestimmt haben sie zugehört.
Ich denke auch.
Ja, dann kommen wir zu dem Top-Thema 2 der Woche. Nämlich die Bundesbeauftragte
für den Datenschutz und die Informationsfreiheit hat Vodafone wegen unkontrollierter
Partneragenturen und gravierender Autifizierungslücken.
Mit 45 Millionen Euro Bußgeld sanktioniert. Die BFDI-Professor Dr.
Luisa Specht-Riemenschneider hat gegen die Vodafone GmbH zwei Geldbußen in Höhe
von insgesamt 45 Millionen Euro verhängt und betonte dabei,
dass wie wichtig doch der Datenschutz als Vertrauensfaktor gilt und auch Voraussetzung
für digitale Verantwortung ist.
15 Millionen Euro wurden fällig, weil Vodafone die datenschutzrechtliche Kontrolle
von Partneragenturen vernachlässig hatte, die im Auftrag Verträge mit Kunden
und Kundinnen vermittelten.
Dort kam es dann durch böswillig handelnde Mitarbeitende zu Betrugsfällen mit
fingierten Verträgen und Vertragsänderungen.
Außerdem gab es weitere 30 Millionen Euro wegen Sicherheitsmängeln im Authentifizierungsprozess
bei der kombinierten Nutzung von Mylon Vodafone, also der Online-Plattform und der Hotline.
Die Schwachstellen ermöglichten den unbefugten Abruf beispielsweise von eSIM-Profilen.
Vodafone hat wohl laut dem Berichten alle Bußgelder akzeptiert,
gezahlt und seine Systeme und Prozesse mittlerweile umfassend überarbeitet.
Vodafone hat darüber hinaus seine Partneragenturen ausgetauscht und investiert
mittlerweile verstärkt in Datenschutz und IT-Sicherheit.
Die BFDI kündigte zwar Folgekontrollen an,
lobte jedoch auch in ihrer Pressemitteilung die Kooperationsbereitschaft von
Vodafone und erinnerte eben daran, dass Datenschutz kein Hindernis sein soll,
sondern halt auch eben Wettbewerbsvorschein sein kann. Sie hat wohl auch unseren Podcast gehört.
Ja, ich erinnere mich ja auch an den Afterwork-Talk, den wir beim Bitkom mit
ihr hatten und sie auch nochmal betont hat, dass wir halt auch im Datenschutz
sehr viel natürlich am Image arbeiten müssen.
Auch natürlich unter anderem daran, dass halt der Datenschutz keine Innovationsbremse
sein muss, sondern dass wir halt auch durchaus, wie gesagt, da mutiger sein dürfen.
Kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen.
Der Europäische Datenschutzausschuss hat die finale Fassung seiner Leitlinien
zu Datenübermittlungen an Behörden in Drittländern veröffentlicht.
Im Fokus steht dabei Artikel 48 der DSGVO und sie betonen nochmal,
da es behördliche Entscheidungen aus Nicht-EU-Staaten in Europa keine automatische
Wirkung entfalten, braucht es für eine rechtmäßige Datenübermittlung halt in
der Regel ein internationales Abkommen.
Das sowohl als Rechtsgrundlage als auch als Transferinstrument dient.
Daher sollten natürlich Unternehmen bei entsprechenden Fragen,
Anfragen aus dem Ausland vorsichtig sein und sorgfältig prüfen.
In den Leitlinien enthalten sind nun auch konkrete Hinweise für Auftragsverarbeiter,
die eine solche Anfrage zum Beispiel erhalten oder auch für Fälle,
in denen etwa eine Muttergesellschaft im Drittland über ihre europäische Tochter
Zugriff auf personenbezogene Daten verlangt.
Also gerade in Konzernen mit außereuropäischer Muttergesellschaft glaube ich
auch eine Pflichtlektüre.
Außerdem hat der EDPB im Juni-Plenum aus dem Support Pool of Experts zwei Themen
vorgestellt, mit dem Ziel,
Fachwissen auszubauen, insbesondere in den Bereichen künstliche Intelligenz und Datenschutz.
Das erste Projekt heißt Law and Compliance in AI Security and Data Protection
und richtet sich vor allem an Datenschutzbeauftragte und andere rechtlich orientierte Fachkräfte.
Und der zweite Titel, Fundamentals of Secure AI System with Personal Data,
ist dann auf technisch orientierte Rollen wie Entwickler, Cybersicherheitsexperten
und Betreiber von Hochrisiko-KI-Systemen ausgerichtet.
Beide Trainingsprojekte wurden von der griechischen Datenschutzbehörde initiiert
und sollen halt helfen, Kompetenzlücken zu schließen.
Das Ganze ist als PDF verfügbar, aber es soll jetzt auch noch eine einjährige
Pilotphase geben und das Ganze in einem offenen Git-Repository entsprechend
bereitgestellt werden,
sodass dann auch externe Fachleute das
entsprechend ergänzen können und Änderungsvorschläge einreichen können.
Finde ich eine ganz spannende Idee. Bin ich mal gespannt.
Was dabei rauskommt? Ja. Richtig. Nicht nur der Europäische Datenschutzausschuss
war aktiv, auch die DSK, also die Datenschutzkonferenz.
Und hier gibt es einen neuen Beschluss, der sich befasst mit der Zulässigkeit
der Übermittlung von MieterInnen-Daten an Stromgrundversorger.
Also hier gibt es ja eine Änderung ab dem 6.6.
Und hier entfällt eben die Sechs-Wochen-Frist für die Stromlieferantenauswahl
nach dem Umzug und die DSK erkannte laut ihrer Pressemitteilung,
dass sie eben eine Rechtsunsicherheit sieht bei der Zulässigkeit der Übermittlung
von den Daten von Mieterinnen und Mietern an die Grundversorger durch die Vermieter,
die eben ja hier auch aktiv werden müssen.
Diesen Beschluss packen wir hier auch mit in die Shownotes.
Dann sind wir durch für heute.
So ist es.
Wie gesagt, wie vorher angekündigt, eine Vielzahl an Themen,
die es auch lohnen, glaube ich, auch heute wieder die Folge zu hören.
Alle, die an dieser Stelle sind, haben das getan. Von daher vielen Dank fürs
Zuhören. Danke dir, Laura.
Danke ebenso.
Und damit allen ein erholsames Pfingstwochenende. Bleibt uns gewogen und auf bald.
Bis bald.