Informationspflichten bei Zweckänderung – DS News KW 14/2025

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, deinem wöchentlichen Update zum Datenschutz.
Heute an die Mikros sind Lothar Somanowski und meine liebe Kollegin Laura Droschinski.
Hallo.
Hi, grüß dich Laura. Wir haben Freitag, den 4. April 2025.
Unser Redaktionsschluss war wie immer um 10 Uhr.
Nö. 9.30 Uhr, aber kein Problem.
Jetlag.
Nehmen wir auch.
Ja okay, dann 9.30 Uhr. Mir kam es vor wie 10. Und wie immer haben wir auf die
Meldung in dieser Woche zurückgeblickt.
Laura, welche Themen hast du an diesem superschönen sonnigen Freitag dabei?
Sonnige Datenschutz-Thema habe ich dabei und zwar einmal ein Update zum Thema WhatsApp.
Gar kein Update, das ist eigentlich falsch gesagt, aber mal wieder WhatsApp.
Ich glaube, das ist die bessere Formulierung dafür.
Dann habe ich ein ganz interessantes Urteil mitgebracht. Sie sind ja immer interessant,
aber eins vom Arbeitsgericht Düsseldorf zum Thema immaterieller Schadensersatz.
Und zu guter Letzt noch was aus der Welt der Kuriositäten.
Und ich glaube, du auch, oder? Wir haben heute mal entschieden,
wir machen mal so eine kleine Ecke auf dafür.
Ja, genau. Ja, unter anderem habe ich dabei einen Beschluss des Landgerichts
Hannover zu Informationspflichten bei Zweckänderung und ebenfalls aus der Rubrik
Kurioses ein Bußgeld der französischen Aufsichtsbehörde und der Wettbewerbsbehörde gegen Apple.
Und dazu noch kommen wir zu Veranstaltungstipps, Lesehinweisen und so weiter.
Also schon wieder ein sehr bunter Strauß an guten Datenschutzthemen. Lass uns loslegen.
Genau, ich starte mal mit dem WhatsApp-Thema, denn die Landesbeauftragte für
Datenschutz und die Informationsfreiheit in Nordrhein-Westfalen,
Bettina Geig, hat die Polizei dazu aufgefordert, WhatsApp nicht mehr für ihre
dienstliche Kommunikation zu nutzen.
Das geht aus ihrer Pressemitteilung vom 2.
April hervor und die LDI untersagte der Polizei die Nutzung von WhatsApp nach
mehreren Beschwerden aus dem eigenen Umfeld,
also von den Polizisten dort und zwar auch ausdrücklich für organisatorische
Themen wie Dienstpläne oder Krankmeldungen.
Auch hat sie wohl das Innenministerium über die Missstände informiert.
In ihrer Pressemitteilung hat sie nun hervorgehoben, dass insbesondere eine
Einwilligung in die WhatsApp-Nutzung durch Polizeibeamte nicht als freiwillig
beachtet werden kann, wenn dadurch ein Gruppenzwang entsteht.
Fand ich ein ganz interessanter Hinweis, insbesondere im Beschäftigtenumfeld,
sollte man das ja auch nicht immer außer Acht lassen.
Und außerdem gilt nach ihren Worten eben, dass Behörden die Messenger-Dienste
für dienstliche Zwecke einsetzen,
dass diese damit auch automatisch Verantwortliche im Sinne des GVO werden und
dann auch von allen Inhalten wie Chats, Sprachnachrichten oder Videocalls und
abgerundet dann natürlich auch verantwortlich sind für die datenschutzrechtlichen Voreinstellungen.
Auch das aus unserer Sicht, oder Lothar?
Wenig überraschend, aber trotzdem finde ich immer nochmal ganz schön,
darauf hinzuweisen, wie kritisch das Thema doch ist.
Und sie hat auch nochmal ausgeführt, dass auch in den Fällen,
wo eben nur einzelne Vorgesetzte, da ist jetzt beispielsweise Dienstgruppenleiter,
WhatsApp für die dienstliche Kommunikation verlangen, dass auch das eben der
Behörde zugerechnet wird, wenn sie das eben in Rolle ihrer vorgesetzten Funktion tun.
Also hier kann man eben nicht auf die, in Anführungsstrichen,
privaten Belange abstellen.
Beschäftigte berichteten wohl regelmäßig eben in Vergangenheit,
dass sie verpflichtet worden wären, Krankmeldungen, Dienstplanänderungen oder
eben auch organisatorische Themen über WhatsApp zu klären.
Auch da wieder, auch wenn ich mich wiederhole, bin ich überraschend,
dass die LDI das hier als klar unzulässig einstuft, weil, ich glaube es wissen
fast alle, aber ich bin nicht müde es zu betonen, haben wir ja bei WhatsApp
eben die Herausforderung, dass Metadaten übermittelt werden,
Adressbuchdaten insbesondere verarbeitet werden, des Geräts,
was WhatsApp nutzt im herkömmlichen Format und eben dessen halt auch die Kontakte
unbeteiligter Dritter an WhatsApp gespielt werden, ohne deren Wissen und auch Einwilligung.
Und somit sind die Grundsätze, sei es Datenminimierung, aber auch Zweckbindung
und Transparenz eben wenig vereinbar.
Und die LDI betonte auch, dass es vielleicht nicht nur für die Polizei gilt,
sondern für alle Behörden, dass sie es an allen Stellen als sehr,
sehr kritisch betrachtet.
Ja, für alle Behörden, für alle Unternehmen in der Privatwirtschaft.
Also dieser Evergreen, der WhatsApp hat es mal wieder geschafft aktuell zu werden.
Ich finde es aber auch wirklich gut.
Man sitzt ja oftmals, wenn man Schulung, Sensibilisierung vorbereitet,
genau vor dieser Folie, welches Beispiel nimmst du für Messenger-Dienste.
Und dann überlegt man schon, ja WhatsApp, das machen wir schon seit Jahren,
darauf hinzuweisen, dass es datenschutzrechtlich problematisch sein kann mit der Durchführung.
Aber das zeigt das Beispiel hier. Es ist nach wie vor aktuell.
Auch was ich gut fand, dieser Zusammenhang mit der Freiwilligkeit von Mitarbeiterentscheidungen.
Also wenn mein Chef von mir verlangt, dass ich über WhatsApp was teilen muss,
wie freiwillig ist dann meine Entscheidung über meine Daten,
die nicht in die Staaten beispielsweise zu transportieren. Richtig.
Ich finde ganz interessant und ich weiß nicht, ob es dir auch so geht.
Für mich in der Praxis stellt sich oft die Herausforderung, dass eben argumentiert wird,
unsere Beschäftigten wollen das ja, für die ist WhatsApp im Umgang viel einfacher,
weil absolut ein großer Teil im Privaten ist das ja auch verbreitet.
Aber hier finde ich jetzt ganz konkret mal ein schönes Beispiel zu sagen,
nee, hier haben ja eben die Polizeibeamten gesagt, ich möchte das eigentlich
gar nicht und sich beschwert.
Also das sollte man vielleicht auch als Arbeitgeber immer wieder im Kopf auch
haben, zu sagen, okay, ich habe einfach auch Beschäftigte, die bei dem Thema
sensibel sind und die es eben nicht wollen und sich privat vielleicht auch schon
ganz bewusst gegen WhatsApp entschieden haben und dann plötzlich hier vor dieser
Herausforderung stehen.
Das stimmt. Die Wahrnehmung der Geschäftsführung kann manchmal auseinandergehen
und abweichen von dem, was die Mitarbeiter möchten.
Ja, sehr gut. Wir kommen zur Meldung des Landgerichts Hannover.
Es hat ein Bußgeldverfahren wegen angeblich fehlenden Informationspflichten,
nach Artikel 13 im Rahmen eines US-Monitorings eingestellt.
In diesem Beschluss liegt der Fokus auf einem aktuellen Verfahren,
bei der der Landesdatenschutzbeauftragte Niedersachsen gegen ein Unternehmen
im Rahmen des Dieselkomplexes ein Bußgeld verhängt hatte.
Ein externer US-Monitor, Controller, der aufgrund eines Vergleichs mit US-Behörden
eingesetzt wurde, hatte Einblick in interne Prozesse und Unterlagen des Unternehmens.
Dabei kam es zu mehreren datenschutzrechtlich sensiblen Datenweitergaben über
Beschäftigte, das sowohl mit Klarnamen als auch pseudonymisiert wurde.
Die Aufsichtsbehörde war seinerzeit der Meinung, dass das Unternehmen gegen
die Informationspflicht nach Artikel 13 der DSGVO verstoßen habe,
aber das Landgericht Hannover sieht es da anders.
Es stellt fest, dass in diesem Fall die Pseudonymisierung einer Anonymisierung
sehr nahe kam, denn der im Ausland befindliche Controller,
der Monitor, stand außerhalb des Betriebes und konnte die übermittelten Personalnummern
nicht bestimmten Personen zuordnen.
Ferner noch, das finde ich auch sehr interessant, die Aussage vom Landgericht,
die Annahme des Landesdatenschutzbeauftragten Niedersachsen, dass dies,
jetzt kommt das Zitat, aufgrund von Datenerhebung und Datenverknüpfung und geführten
Gesprächen durchaus in bestimmten Fällen möglich gewesen sein dürfte,
so der Datenschutzbeauftragte, wurde vom Gericht als spekulativ betrachtet.
Der Monitor hätte keine Veranlassung gehabt, die Klarnamen zu verlangen,
da er nach den vertraglichen Vereinbarungen dazu berechtigt gewesen wäre.
Solange er dies nicht getan hat und sich mit den Personalnummern begnügte,
blieben die dahinterstehenden Personen für ihn quasi anonym.
Ja, was ist der Kern dieses Beschlusses? Wie wurde es begründet?
Ich glaube, im Zentrum steht die Frage, ob und wann Unternehmen ihre Beschäftigten
über eine Zweckänderung bei der
Verarbeitung von personenbezogenen Daten individuell informieren müssen.
Insbesondere bei der Weitergabe pseudonymisierter oder anonymisierter Daten
an externe Stellen wie diesen US-Compliance-Monitor.
Das Gericht verneinte hier eine Verletzung der Informationspflicht nach Artikel
13 Absatz 3, weil die Betroffenen bereits durch allgemeine und spezifische Informationsmaterialien
ausreichend unterrichtet wurden.
Ja, dabei hat das Gericht auch festgestellt, dass es ja auch gar keine Zweckänderung
gab, weil es ging ja nicht darum zu sanktionieren, Bußgelder auszusprechen,
sondern es ging darum, die Kontrollrechte des Unternehmens durchzuführen.
Ja, was lässt sich jetzt ganz speziell aus diesem Urteil für die Praxis in einem
Unternehmen ableiten? Ich glaube, Laura, dahinter steckt einiges schon drin.
Erstmal die Transparenz durch der zentrale Informationsangebote.
Und das ist, ich glaube, wichtig, darauf hinzuweisen, dass eine gut gepflegte
und regelmäßig aktualisierte Datenschutzerklärung eigentlich das Nonplusultra ist.
Absolut. Nur nicht, wenn man im Nachgang irgendwas ergänzt.
Oh ja, genau.
Auch schon gesehen. Genau, genau.
Ja und also sehr, sehr konkret sollte die DSH sein und dass die Informationen
auch präzise genug sind, damit ich als betroffene Person den Umfang,
Zweck, Empfänger und so weiter nachvollziehen kann.
Richtig.
Ja, und was ich auch sehr bemerkenswert fand, dass hier die Pseudonymisierung
ausreichend sein kann, wenn externe Empfänger die Daten nicht ohne weiteres
identifizieren können.
Ja, ich habe da so ein bisschen den Artikel 4 im Hinterkopf, die Definition.
Für mich war immer ein personenbezogenes Datum, was direkt identifiziert oder
identifizieren lässt. Und jetzt gerade in dieser Konstellation,
was wäre es auch wirtschaftlich vertretbar und auch möglich mit geringem Aufwand
auch Personen herauszubekommen.
Also von da struggle ich da so ein bisschen mit dem Urteil. Ich weiß nicht, wie du das siehst.
Ich würde mich da dir anschließen, definitiv. Also auch eher abweichend der
aktuellen Auffassung oder der Auffassung, die ich bisher hatte zu dem Thema.
Ja, genau.
Ja, Dokumentation hilft. Also das Urteil zeigt, wie wichtig es ist,
datenschutzrechtliche Prüfung, Entscheidung, Hinweise, Einzelfallabwägung und
so weiter nachvollziehbar zu dokumentieren für den Fall der Fälle.
Es kann irgendwann mal wichtig werden.
Volles Programm. Aber uns macht es ja auch Spaß.
Absolut. Das ist unser Leben.
Richtig. Ich gehe weiter. Und zwar, ein Arbeitgeber, der eine Auskunft gemäß
DSGVO nicht fristgerecht erteilt und in der Zwischenzeit die Daten löscht,
hat dem Bewerber immateriellen Schadensersatz zu zahlen.
So entschied bereits am 4. Dezember das Arbeitsgericht in Düsseldorf.
Das Arbeitsgericht in Südorf hat entschieden, dass eine verspätete oder gar
nicht erteilte Auskunft nach Artikel 15 DSGVO in Verbindung mit der vorschnellen
Löschung der personenbezogenen Daten des Betroffenen einen immateriellen Schaden
begründet und das auch ohne Nachweis eines konkreten Datenmissbrauchs.
Entscheidend war für das Gericht
hier der daraus resultierende Kontrollverlust über die eigenen Daten.
Das Gericht schätzte den Schaden auf 750 Euro, da die Ungewissheit über den
Umgang mit den Daten und die verspätete Reaktion der Beklagten eine Beeinträchtigung darstellte.
Weitere psychische Belastungen oder gesellschaftliche Nachteile wurden aber auch nicht dargelegt.
Der Kläger hatte sich auf eine Stelle beworben und unmittelbar nach der Absage
eine Auskunft angefordert.
Die Beklagte reagierte nicht fristgerecht und löschte die Bewerbungsdaten zwischenzeitlich.
Erst nach über einem Monat wurde eine knappe, inhaltlich unzureichende Antwort
durch den externen Datenschutzbeauftragten verschickt.
Spannend dabei ist, finde ich, dass die Beklagte vermutete, dass hinter der
Bewerbung eine datenschutzrechtliche Falle stand und warf dem Kläger Rechtsmissbrauch
vor und betonte, dass kein echter Schaden entstanden sei.
Das Gericht wies eben nun die Argumentation zurück und stellte klar,
auch beharrlicher Rechtsgebrauch ist zulässig und kein Missbrauch.
Da lögst du hinter deinem Mikro hervor. Ja, das Gericht hat sich hierbei klar
auf die jüngere EuGH und ja auch Bundesarbeitsgerichtsrechtsprechung zur Auslegung von Artikel 32,
ich sage schon 82 DSGVO gestützt.
Und demnach sind eben drei Voraussetzungen für Schadensersatz kumulativ notwendig,
nämlich ja eben der Verstoß gegen ein Artikel der DSGVO, dass es einen Schaden
gibt und eine Kausalität.
Eine besondere Erheblichkeit des Schadens wird da eben nicht verlangt.
Im vorliegenden Fall lag der Verstoß in der Nichterteilung der Auskunft sowie
der Löschung der Daten trotz des noch offenen Auskunftsersuchens.
Der immaterielle Schaden wurde aus dem Kontrollverlust über die eigenen Daten
und der begründeten Sorge vor einem möglichen Datenmissbrauch abgeleitet.
Wichtig vielleicht dabei ist noch eben zu sagen, dass die Kammer betonte,
dass es nicht ausreiche,
sich auf Betriebsaufläufe oder eine Überlastung des Datenschutzbeauftragten
zu berufen und dass eine verspätete oder unbeantwortete Anfrage nicht einfach
durch nachträgliche Löschung geheilt werden könnte.
Ist auch eine ganz pfiffige Idee, wie ich finde.
Zusammengefasst, also hätte die Beklagte auf das Aufkunftsersuchen des Klägers
pflichtgemäß reagiert,
wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten
geblieben und er hätte eben keine begründete Befürchtung im Hinblick auf eine
missbräuchliche Verwendung haben müssen.
Es ist ja erstmal löblich, dass man nach Zweckentfall Daten löscht.
Das ist ja schon mal gut. Allerdings gerade so im Kontext Bewerbung.
Man hat ja da auch gewisse Rechenschaftspflichten oder Möglichkeiten auch zu beachten.
Also die Empfehlung lautet ja sechs Monate die Bewerbung noch aufrecht zu erhalten,
nicht zu löschen, weil da Ansprüche kommen können aus dem AGG oder aus sonstigen Gesetzesprechungen.
Also löschen ja, aber immer unter Berücksichtigung der sinnvollen und gesetzlichen
Aufbewahrungspflichten.
Ja, absolut. Also gut, jetzt weiß man natürlich nicht, vielleicht hat der Bewerber
sich auch schon mehrfach versucht, bei dem Unternehmen zu platzieren,
wie sie jetzt halt auf die Idee des Rechtsmissbrauchs kamen.
Das haben wir an anderer Stelle auch schon mal gesehen, wo man eben sagt,
okay, werden da Unternehmen bombardiert, dass man sich da versucht vielleicht zu wehren.
Aber hier, das ist jetzt glaube ich ein ganz gutes Beispiel dafür,
dass das vielleicht nicht der eleganteste Weg sein muss für das Unternehmen.
Ja und das ist tatsächlich, das Löschen, was du gerade sagtest,
ist ja auch eine pfiffige Idee, einfach mal löschen.
Ich werde es mal probieren. Ich werde irgendwo was bestellen und dann direkt
auch Artikel 17 in Anspruch nehmen.
Mal gucken, ob meine Rechnung dann auch gelöscht wird.
Okay, Laura hat es schon angekündigt. Wir eröffnen die Rubrik Kurioses.
Wir haben da einige nette und interessante Berichterstattung gefunden,
unter anderem diese hier.
Apple wurde wegen wettbewerbswidriger Umsetzung von Datenschutzmaßnahmen in
Frankreich sanktioniert und zwar in einer Höhe von 150 Millionen Euro.
Der Grund für das Bußgeld war das von Apple implementierte App-Tracking-Transparency-System,
ATT, dass Apple nach Meinung der Behörden eine Marktvorherrschaft im Bereich
der App-Verbreitung für iOS und iPadOS verschafft hätte.
Zum Hintergrund, seit vier Jahren, seit 2021, verlangt Apple von Drittanbietern
eine ausdrückliche Einwilligung zur Nutzerverfolgung, aber bei den eigenen Diensten
jedoch nicht im gleichen Maße, so hatten es die Behörden festgestellt.
Die französische Wettbewerbsbehörde sieht darin eine strategische Marktverzerrung
und wurde bei der datenschutzrechtlichen Bewertung durch die KNIL,
also die französische Datenschutzaufsicht, unterstützt.
Bereits 2020 hatte die KNIL einen Antrag auf einstweilige Maßnahmen abgelehnt
und führte stattdessen nun eine Sachuntersuchung durch. Also so eine Art Amtshilfe.
In ihrer Pressemitteilung betont die Wettbewerbsbehörde, dass es das Ziel des
Systems ist, personenbezogene Daten besser zu schützen. Das sei nicht zu kritisieren.
Das finde ich schon mal löblich. Allerdings sei bei der Umsetzung der Funktion
problematisch, dass bei der Eröffnung einer installierten Drittanbieter-App
wohl separate Einwilligungserforderungen erscheinen,
die zur Datenverarbeitung angezeigt werden und die behandelt werden müssen.
Das schränkt offensichtlich vor allem kleinere Publisher ein in ihren Handlungsfreiheiten.
Auch Nutzer könnten sich dazu auch gestört fühlen, da die Anzahl der bei der
App-Installation zu öffnen Fenster vervielfacht wird, was die Nutzung von Drittanbieter-Apps
unnötig umständlich macht.
Die Geldstrafe interessanterweise hätte nach Aussage der Aufsichtsbehörde und
der Knill durch geringfügige Anpassungen am ATT-System verhindert werden können.
Wahrscheinlich hätte man da auch die Hürden etwas höher gelegt und auch entsprechend
Einwilligungen weitergereicht.
Die von der Behörde vorgeschlagenen Änderungen hätten die so entstandenen doppelten
Aufforderungen verhindert.
Zwar verfolgt Apple mit ATT ein legitimes Datenschutzinteresse,
jedoch hat das Unternehmen laut den Behörden gleichzeitig das eigene Wertesystem
und Werbesystem bevorzugt und damit seine Marktmacht missbraucht.
Das zeigt, Datenschutzmaßnahmen müssen technisch und rechtlich fair gegenüber
allen Marktteilnehmern umgesetzt werden. Ich finde es kurios.
Ich finde es kurios an dieser Meldung, dass es jetzt zu einem Bußgeld gekommen
ist, obwohl datenschutzrechtliche Maßnahmen umgesetzt wurden.
Vielleicht übertrieben wurde in die eine Richtung, aber sie wurden umgesetzt.
Die Aufsichtsbehörde KNIL hat in diesem Verfahren ja mindestens an der Sachuntersuchung unterstützt.
Also ich finde es sehr bemerkenswert, zumal bei den Datenschutzvoreinstellungen
von Apple selber wohl offensichtlich nichts zu mäkeln war. Es ging ja wirklich
nur um diese Verzerrung.
Ich finde es auch, habe ich in der Vorbereitung auch schon gesagt,
ich finde es echt ein bisschen traurig. Ja.
Also aus datenschutzrechtlicher Sicht. Ja, also insbesondere,
weil wir ja auch der Auffassung sind, dass ja auch der Datenschutz durchaus
einen Wettbewerbsvorteil darstellt.
Und dass es ja auch wichtig ist, auch hier betroffenen Personen ja auch eben die Auswahl zu lassen.
Und zu sagen, ja, ich habe ein besonderes Datenschutzniveau und sich dann auch
aktiv für mich dafür zu entscheiden.
Also ist das ja ein bisschen schade.
Ist auch. Ist auch tatsächlich. Also mein Wettbewerbsvorteil kann ja zum Beispiel
auch sein, dass du unterstreichst, dass du mit den Mitarbeitenden Daten sehr, sehr gut umgehst.
Und wenn du jetzt Maßnahmen dazu triffst, ist es dann auch eine Marktverzerrung
dann, dass die Mitarbeiter dann bei dir und die Bewerber sich bei dir dann bewerben.
Ja, schwierig. Ich finde es auch nicht so.
Diese Franzosen.
Von Frankreich gehe ich nach Schweden. Schön, dass wir die Kuriositäten nicht
aus unseren eigenen ländlichen Reihen haben.
Ist aber auch ein Qualitätsmerkmal. In unserem Wirkungskreis passiert da nichts.
Ein bisschen WhatsApp bei der Polizei. Na gut, macht das schon.
Nein, wollen wir wieder ernst werden.
Und zwar verklagt Neub die schwedische Steuerbehörde wegen des Verkaufs personenbezogener Daten.
Da mussten wir aber mal kurz Halt machen, weil sich das doch sehr komisch las in meinen Augen.
Und die österreichische Datenschutzorganisation, Non-of-your-Business,
wir kennen es ja hier schon zuhoch, hier bei uns im Podcast gewesen,
hat eben rechtliche Schritte gegen die schwedische Steuerbehörde eingeleitet,
weil diese wohl personenbezogene Daten von Bürgern an Datenbroker verkauft,
die sie anschließend im Internet veröffentlichen.
Das geht aus einer gestrigen Pressemitteilung hervor und eben laut dieser verkauft
die schwedische Steuerbehörde die Daten wie Einkommen, Wohnort und Sozialversicherungsnummer,
Grundbesitzwerte und weiteres an private Unternehmen, die diese Informationen
öffentlich zugänglich machen.
Ursprünglich erhoben wurden die Daten natürlich für die Steuererhebung.
Laut Neub verstößt diese Praxis gegen die DSGVO, da die betroffenen Personen
eben keine Kontrolle über die Verbreitung ihrer Daten hätten und keine Zustimmung
zur Weitergabe laut ihren Aussagen gegeben haben.
Die Grundsätze der Datenverarbeitung gemäß Artikel 5 DSGVO wird wohl ebenso nicht entsprochen.
Gerade die Zweckbindung wird nicht eingehalten.
Auslöser der Klage war Folgendes. Ein Betroffener beantragte bei der schwedischen
Steuerbehörde die Einschränkung der Weitergabe seiner personenbezogenen Daten,
eben wegen mutmaßlicher rechtswidriger Verarbeitung.
Die Behörde lehnte ab und berief sich auf ihre gesetzlichen Aufgaben.
Diese, laut ihren Aussagen, übt sie eben öffentliche Befugnisse aus,
indem sie die persönlichen Daten an Unternehmen weitergibt.
Jetzt muss man hierzu wissen, dass eben die Steuerbehörde in Schweden das staatliche
Adressregister, in dem die persönlichen Daten aller in Schweden lebenden Menschen
gespeichert sind, vorhält. Sowas gibt es, glaube ich, bei uns nicht.
Und nach nationalem Recht können Unternehmen auf die Daten in dieser Datenbank
zugreifen, um, Zitat, persönliche Informationen zu aktualisieren,
zu ergänzen und zu überprüfen oder Namen und Adressen für Direktmarketing,
öffentliche Bekanntmachung oder andere vergleichbare Aktivitäten auszuwählen. Mhm.
Der oberste Gerichtshof in Schweden hat bereits kürzlich entschieden,
dass hierbei immer das Recht auf Informationsfreiheit
gegen das Recht auf Privatsphäre abgewogen werden muss.
Also dass alleinige Begründungen in der Transparenz liegen, sieht der oberste
Gerichtshof auch hier nicht.
Und eben dieser kam auch zum Schluss, dass diese konkurrierenden Rechte immer
gegeneinander abgewogen werden müssen.
Wenn es wahrscheinlich ist, dass die Verarbeitung von Daten gegen die DSGVO
verstößt, müssen sie in diesen Fällen als Vertrauensverhältnis vertraulich gekennzeichnet werden.
Und diese Vertraulichkeit, also diese Markierung soll es Datenbrokern dann verbieten,
an persönliche Daten von Menschen in Schweden zu gelangen, also auf dieser Detailtiefe.
Das sieht eben Neub nicht und trotz diesem Urteils, was es halt gibt,
setzt eben laut Neub die Steuerbehörde den Verkauf der personenbezogenen Daten
fort und will das eben nun gerichtlich stoppen lassen.
Zu Recht. Zu Recht hat es diese Meldung in die Rubrik Kuriosus geschafft.
Also das sind einige Fragezeichen.
Zum einen, wer die Daten verkauft. Zum anderen sind die nur zur Bereitstellung,
wo Unternehmen dann zugreifen.
Also das ist ein Fall. Ich stelle mir gerade mal das VVT vor,
das Verzeichnis der Verarbeitungstätigkeiten.
Welche Rechtsgrundlage packst
du dann in diese Verarbeitungstätigkeit Verkauf von Adressdaten rein?
Absolut. Ja, und vor allem halt auch, also öffentliche Register,
klar, gibt es das auch bei uns, aber halt ja nicht in dieser Detailtiefe.
Also, dass ich jetzt sage, okay, ich schaue mal mal Einkommen und Co.
An, das ist ja nochmal Next Level.
Ja, ja, Next Level.
Super, wir kommen direkt zu unseren Veranstaltungs- und Lesehinweisen und zwar Professor Dr.
Tobias Keber lädt ein aus Baden-Württemberg und zwar zu einer Diskussion zur
Klärung von Fragen zum Thema KI. Wie passt Datenschutz und künstliche Intelligenz zusammen?
Kann eine KI dabei helfen, dass Bürger, Bürgerinnen mehr und schneller amtliche
Informationen von Behörden erhalten und so weiter?
Also über diese und weitere Fragen spricht der Landesbeauftragte für den Datenschutz, Dr.
Keber, und zwar am 10.04. in der Zeit von 1930 bis 21 Uhr, und zwar an einer
Veranstaltung der Stadtbibliothek Stuttgart. Und Zusammenarbeit mit dem Chaos
Computer Club hört sich spannend an.
Weitere Informationen findet ihr auf der Homepage der Stadtbibliothek,
verlinken wir in den Shownotes.
Was wir auch in den Shownotes mit verlinken, ist eine neue IT-Sicherheitsrichtlinie
für vertragsärztliche Versorgung.
Diese wurde kürzlich veröffentlicht, also im Laufe der Woche.
Vielleicht ein Randthema, aber nicht weniger wichtig, denn diese legt eben neue
Standards für den Schutz sensibler Patientendaten in der vertragsärztlichen
Versorgung fest. Und ich habe so ein bisschen im Gefühl, dass vielleicht die
ein oder andere Praxis dann nochmal nachschärfen könnte.
Ziel ist es eben hier, die IT-Sicherheit in Arztpraxen zu erhöhen und somit
den Datenschutz ja auch zu stärken.
Angesichts der zunehmenden Cyberbedrohung im Gesundheitswesen hat das Bundesamt
für Sicherheit in der Informationstechnik, kurz BCI, die Notwendigkeit gesehen,
die bestehenden Sicherheitsrichtlinien zu überarbeiten.
Und die neuen Vorgaben sollen eben dazu beitragen, die Widerstandsfähigkeit
von Arztpraxen gegenüber digitalen Angriffen zu erhöhen und den Schutz der Patientendaten
zu gewährleisten. Finden wir es eine gute Idee, oder Lothar?
Absolut. Ganz, ganz wichtig. Ganz wichtig. Wenn man bei einigen Ärzten ist,
dann sieht man schon die Notwendigkeit, danach zu schärfen. Laura, wir sind durch.
Richtig.
Wir sind durch. Das hat wie immer sehr viel Spaß gemacht.
Vielen, vielen Dank. Danke auch.
War sehr gut, war sehr gut. Ja, wir wünschen euch an dem heutigen Freitag,
wir schauen aus dem Fenster, zumindest in unserer Region, Mülheim an der Ruhe,
ist es sehr, sehr sonnig, sehr warm, frühlingshaft, fast schon vorsommerlich warm in der Sonne.
Wir wünschen euch ein schönes Wochenende.
Wenn ihr das heute am Freitag hört, falls ihr den Podcast am Wochenende oder
Anfang kommender Woche hört, hoffen wir, dass ihr ein schönes Wochenende hattet
und euch eine gute Woche.
Bis zum nächsten Mal.
Bis zum nächsten Mal.