Kein Anspruch auf Ende-zu-Ende-Verschlüsselung  – DS News KW 11/2025

Moderation:

Was ist in der KW 11 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

• Datenabfrage für private Zwecke: 3.500 Euro Bußgeld
• Bundesfinanzhof zu Art. 15 DSGVO: Umfassendes Auskunftsbegehren nicht automatisch als exzessiv im Sinne der DSGVO
• Hanseatisches Oberlandesgericht bestätigt: Keine pauschale Pflicht für Gastzugänge bei Onlineshops
• VGH München: Kein Recht auf Einsichtnahme in Verträge zwischen Verantwortlichen und Auftragsverarbeitern
• Beschluss des OVG NRW: Kein Anspruch auf Ende-zu-Ende-Verschlüsselung

Empfehlungen:

• Studie des cyberintelligence.institute (CII) zur Cybersicherheit von Kommunen

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/kein-anspruch-auf-ende-zu-ende-verschlusselung-ds-news-kw-11-2025/↗

Transkript zur Folge: Da sind wir. Alle beide. Alle beide. Bist du bereit? Ich bin bereit. Habe ich ganz vergessen zu fragen. Nein, alles gut. Nicht, dass nachher noch einfällt, Schuhe musst du noch zubinden oder… Ach, machen wir das heute in Bewegung? Ja, kleine Tanztherapie dabei. Oh, schön. Ja, das machen wir wieder. Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Mein Name ist Heiko Gossen. Und mein Name ist Lothar Sumanowski. Und wir starten wieder mit euch gemeinsam ins Wochenende. Und das, wie unsere Tradition das hier verlangt, natürlich nicht, ohne vorher einmal auf die Woche des Datenschutzes zu blicken. Heute ist Freitag, der 14. März 2025. Unser Redaktionsschluss, wie gewohnt, um 10 Uhr. Ja, Heiko, wir sind ja alle wieder im Lande. Es ist Freitag. Wir kommen von einer Woche aus unseren Projekten, aus unseren Aufträgen zurück. Heiko, du warst aber auch unterwegs diese Woche, ne? Ja, tatsächlich. Ich war in München. Wir hatten vom Bitkom unsere Arbeitskreissitzung. Wir waren bei Accenture eingeladen. Auch sehr beeindruckend. Wir hatten eine kleine Führung noch durch deren AI-Studios. Aber auch inhaltlich haben wir doch sehr viele interessante Vorträge gehabt, aber wir hatten auch einen hohen Besuch dort. Michael Will war mit seiner Mitarbeiterin Karina, Karolin Loy, Entschuldigung, da, schöne Grüße an der Stelle. Und nee, aber wir haben auch viel inhaltlich doch erfahren. Also ich habe zum Beispiel mitgenommen, dass wir nicht alleine sind mit dem Missverständnis oder mit dem Unverständnis über die doch irgendwie sehr interessante Leitentscheidung des BGHs zum Facebook-Scraping im November letzten Jahres. Das haben wir ja auch schon in der Silvester-Show mit Simon Weidler von Meta thematisiert. Aber auch zum Thema AI-Eck gab es einiges. Also fand ich jetzt nochmal eine ganz wichtige Klarstellung unter anderem, dass wir halt ja in dem AI-Eck, in Artikel 4, die Verpflichtung zur Mitarbeiterkompetenz haben, was nicht zwingend heißt, dass ich Schulungen durchführen muss. Das ist so, dass was natürlich immer wieder schnell aufkommt und den Unternehmen auch gesagt wird, ihr müsst jetzt eure Mitarbeiter im Bereich AI schulen, aber es geht halt um Kompetenz, die muss vorhanden sein und die kann man auf sehr unterschiedliche Art und Weisen erlangen. Deswegen finde ich, das ist nochmal ein ganz wichtiger Hinweis gewesen. Und was ich auch sehr interessant fand, das hatte Frau Loy auch nochmal erwähnt oder erläutert, dass die Executive Order, die Präsident Biden ja erlassen hatte, um die Zugriffsberechtigungen von den Geheimdiensten auf Daten einzuschränken, also letztendlich eine wichtige Voraussetzung, damit das Data Privacy Framework überhaupt zustande kam, dass die nach aktuellem Stand wohl immer noch in Kraft ist. Also die wurde von Trump nicht aufgehoben. Und dass auch die Neubesetzung dieses Privacy and Civil Liberties Oversight Board gar nicht so ungewöhnlich ist bei neuen Präsidenten und solange das halt auch nachbesetzt wird, dass man hier auch jetzt nicht unbedingt grundsätzlich das Abkommen halt als gefährdet sieht. Und natürlich haben die Aufsichtsbehörden Kritik, keine Frage. Und wie gesagt, das muss ja auch am Ende von der Kommission dann nochmal auch bewertet werden. Aber fand ich nochmal eine ganz gute Einsortierung auch von diesen Themen. Ja, sehr spannend. Also ich will jetzt nicht vom Damoklesschwert sprechen, aber man ist doch schon sehr, sehr aufmerksam, was da jetzt so in den nächsten Wochen und Tagen so los ist. Aber sehr spannende Themen. Hört sich so an, als ob so Themen sind, die es auch uns umtreibt, tatsächlich. Ja, definitiv. Und vielleicht noch ganz kurz ergänzend, auch nochmal, das hat Frau Leu bestätigt, was wir auch hier ja mal sagen, in dem Moment, wo das Privacy Framework natürlich aus welchen Gründen auch immer, ob es der EuGA heißt, ob es die Kommission ist, die ist aufkündigt, aber wenn es fällt, nicht nur die SECs natürlich, wenn sie schon abgeschlossen sind, dann sich darauf zurückziehen, sondern es muss dann auf jeden Fall eine neue TIA durchgeführt werden. Also das ist nochmal eine ganz wichtige Erinnerung an dieser Stelle. Aber damit genug dazu. Unsere Zuhörer sind ja da, um vor allen Dingen auch zu erfahren, was es halt ansonsten an News gab. Was hast du mitgebracht, Lothar? Ich habe insgesamt drei spannende Themen mitgebracht und zwar geht es um ein Bußgeld zu einer Datenabfrage für private Zwecke. Wir haben eine Bestätigung des Hanseatischen Oberlandesgerichtes zur Pflichteinrichtung von Gastzugängen und zu guter Letzt ein Beschluss des Oberverwaltungsgerichts NRW zum Thema der Ende-zu-Ende-Verschlüsselung. Ich würde einen Blick auf eine Entscheidung des Bundesfinanzhofes werfen zu Artikel 15 und wie weit das Auskunftsrecht geht. Dann blicken wir noch auf eine Entscheidung in Bayern vom Verwaltungsgericht dort über das Recht zur Einsichtnahme in Auftragsverarbeitungsverträge und ich hätte eine Veröffentlichung, zu der ich auch noch ein paar Worte sagen möchte. Damit würde ich sagen. Können wir loslegen. Lügen wir los. Ja, wie schon erwähnt, haben wir ein Bußgeld des Landesschutzbeauftragten Baden-Württemberg. Auf dem Tisch erahndet eine rechtswidrige Nutzung des Melderegisters durch einen Polizisten. Ein Polizeibeamter aus Baden-Württemberg wurde vom Landesbeauftragten mit einem Bußgeld von 3.500 Euro belegt. Denn dieser Beamte hatte ohne dienstlichen Anlass Daten einer Frau im Melderegister abgefragt, um ein Lichtbild der Frau einzusehen, die er wohl offensichtlich zuvor bei einer Verkehrskontrolle kennengelernt hatte. Auch ein schönes Wording, kennengelernt hatte. Dabei bewertete er die Frauen nach einer persönlichen Schönheitsskala, auch sehr interessant. Und wenn ein gewisser Wert erreicht wurde, hat er es wohl so für nötig gehalten, Lichtbilder im Melderegister abzufragen. Der Landesbeauftragte wertete diese unrechtmäßige Abfrage als einen Verstoß gegen die Datenschutzgrundverordnung und richtete die Höhe des Bußgeldes durch die herabwürdigende Objektifizierung der Frau für das systematische Vorgehen des Beamten. Der Landesbeauftragte betonte natürlich die Verantwortung von Polizeibeamten im Umgang mit sensiblen Daten und sanktioniert den Missbrauch dienstlicher Datenbanken Konsequenz. Übrigens, im Jahr 2024 wurden insgesamt in zwölf Verfahren gegen polizeibeschäftigte Bußgelder in Höhe von knapp 15.000 Euro verhängt. Fazit. Bei rechtswidrigen Datenabrufen in polizeilichen Datensystemen zu privaten Zwecken handeln Polizeibeschäftigte eigenverantwortlich. Das heißt, eine Sanktionierung als Privatperson im Rahmen eines wirksamen und abschreckenden Bußgeldes gemäß Artikel 83 der DSGVO sind demnach auch durchaus möglich. Es gibt ja immer wieder Fälle von Polizeibeschäftigten, die dienstliche Datenbanken für private Zwecke nutzen. Wir haben auch schon mehrfach darüber berichtet. Die DSGVO sieht vor, dass in solchen Fällen individuell sanktioniert werden kann. Und dieser Fall zeigt auch eindeutig, dass Datenschutzverstöße innerhalb der Polizei nicht nur arbeitsrechtliche Konsequenzen haben, sondern auch persönliche Bußgelder nach sich ziehen können. Das reiht sich ja gut ein. Also ich meine einerseits klar, die Aufsichtsbehörden können gegen die Behörden selber keine Bußgelder verhängen, aber hier ist es ja auch ganz klar, wirklich dann der Beamte, der sozusagen auf eigene Faust, in eigener Verantwortung handelt, dann durchaus sanktionierbar. Also die sind halt nicht geschützt, aber wie du schon sagst, kein Einzelfall, leider, muss man ja auch sagen, dass es halt immer wieder vorkommt. Aber umso beruhigender, dass es dann halt auch nicht unter den Tisch gekehrt wird, sondern halt auch aufgearbeitet wird und entsprechend auch sanktioniert wird. Und dass offensichtlich es auch Meldeinstanzen gibt und Kontrollinstanzen, die so etwas aufdecken. Ob das jetzt beobachtet wurde oder ob es systemische Einstellungen gibt, das beruhigt dann schon. Ja, gut, aber ich stimme dir zu, die Formulierung in der Moral meiner Verkehrskontrolle kennengelernt zu haben. Es klingt halt so, als wäre es von beiden Seiten freiwillig gewesen, aber erfahrungsgemäß ist so eine Polizeikontrolle ja doch immer von einer Seite mehr gewollt als von der anderen. Gut, der Bundesfinanzhof hat entschieden, dass ein umfassendes Auskunftsbegehren nicht automatisch als exzessiv im Sinne der DSGVO gilt und auch hoher Aufwand kein Recht zur Einschränkung dieses Rechts ist. Der BfH stellt also klar, dass Verantwortliche den Auskunftsanspruch nach Artikel 15 DSGVO nicht mit dem Argument eines unverhältnismäßigen Aufwands ablehnen dürfen und betonte auch zudem, dass ein Auskunftsbegehren nicht allein deshalb als exzessiv gilt, weil es nicht sachlich oder zeitlich eingeschränkt ist. Es kam weiterhin zu dem Schluss, dass die Akteneinsicht, die hier in dem Fall auch entsprechend angeboten wurde vom Finanzamt, nicht zwingend als Anforderung des Artikel 15 DSGVO diese als erfüllt sieht, so muss man formulieren, da sie halt nicht immer eine strukturierte und verständliche Auskunft natürlich über die verarbeiteten personenbezogenen Daten gewährleistet. Das Finanzgericht Thüringen hatte hier zunächst anders entschieden und dem Finanzamt Recht gegeben. Der Bundesfinanzhof sah die Sache halt in der Revision nun anders und sagte auch nochmal, eine analoge Anwendung von Artikel 14 Absatz 5 auf das Auskunftsrecht kann hier nicht erfolgen, weil halt hier keine ungeplante Regelungslücke besteht, sondern dass halt zwei sehr unterschiedliche Rechte sind und deswegen das auch nicht übertragbar ist. Dieses Argument des unverhältnismäßigen Aufwandes. Ganz interessant finde ich an dem Urteil die Ausführungen des BfH, an denen er den Exzess abprüft. Also meines Erachtens kann man das auch ganz gut heranziehen, wenn man jetzt zum Beispiel selbst im Unternehmen gerade so einen Fall hat, wo man überlegt, kann ich das eventuell ablehnen unter der Begründung des Exzesses. Da finde ich, wie gesagt, macht das Urteil auf jeden Fall Sinn heranzuziehen und diese ganzen Punkte sich anzuschauen, die das Gericht hier entsprechend auch angeführt hat, um den Access abzuprüfen. Also von daher auf jeden Fall eine Empfehlung und dementsprechend verlinken wir natürlich auch den Volltext dann in den Shownotes. Unsere nächste Meldung führt uns zu einem alten Bekannten. Wir hatten im vergangenen Jahr, also in der Podcast-Folge 33 2024. Davon berichtet, dass die Anlage eines Kundenkontos durchaus im Online-Geschäft verpflichtend sein kann, wenn bestimmte Voraussetzungen erfüllt sind und wenn ein bestimmter Geschäftsvorgang vorliegt. Und zwar hat jetzt dazu das Oberlandesgericht Stuttgart bestätigt, dass ein Marktplatzanbieter, man kann es ruhig hier sagen, das ist Otto.de, Kundinnen zur Kontoerstellung verpflichten kann, wenn die Konten auch automatisch gelöscht werden. Das OLG Stuttgart hat tatsächlich in zweiter Instanz jetzt bestätigt, dass Online-Marktplätze unter bestimmten Bedingungen keinen Gastzugang anbieten müssen, denn der Versandhändler nicht nur Eigenware, sondern auch Dritthändler auf seiner Plattform integriert hat. Und demnach kann es gerechtfertigt sein, dass eine Anmeldung erforderlich ist, solange sichergestellt ist, dass die Kundenkonten nach einer gewissen Inaktivitätsperiode automatisch gelöscht werden und nur für die Vertragsabwicklung notwendigen Daten erhoben werden. Der Datenschutzkonflikt um verpflichtende Kundeninformationen und Kundenkonten in Online-Shops, der schwelt seit Jahren. Die Datenschutzkonferenz DSK hatte bereits 2021 gefordert, dass Unternehmen keine verpflichtende Registrierung verlangen dürfen und viele Shops haben in der Zwischenzeit dieses umgesetzt. Allerdings, einige Anbieter berufen sich aber auf Besonderheiten im Geschäftsmodell, so etwa, wenn sie als Plattform für Drittanbieter agieren. In dem nun entschiedenen Fall hat otto.de den Landesdatenschutzbeauftragten überzeugt, dass eine Anmeldung aus Gründen der Datenminimierung und zentralisierten Verwaltung von Retouren zulässig ist. Das Oberlandesgericht Stuttgart hat das Urteil in der ersten Instanz bestätigt und die Position des hamburgischen Datenschutzbeauftragten gestärkt. Ja, was können wir festhalten? Marktplätze dürfen Kunden und Kundinnen zur Registrierung verpflichten, wenn dies für die zentrale Abwicklung mit Dritthändlern natürlich erforderlich ist. Klar, wenn ich Gewährleistung und Garantieansprüche klären muss, dann muss ich natürlich auch feststellen, wer das bestellt hat und welche Sachen letztendlich dahinterstehen. welcher Händler dahinter steckt. Deswegen kann ich es super nachvollziehen, dass da auch die Daten weiterhin gespeichert werden über den Geschäftsvorfall hinaus. Und ja, was auch in dem Gericht und auch in der ersten Instanz hat man darüber berichtet, dass der Online-Händler auch sehr, sehr stark mit dem hamburgischen Datenschutzbeauftragten kooperiert hat, sich das auch angeschaut hat, auch entsprechende Maßnahmen definiert hat, dass die automatische Kontolöschung eine durchaus datenschutzfreundliche Alternative zum Gastzugang sein kann. Die Datenschutzbehörden, das ist aber auch weiterhin erwartbar, werden weiterhin prüfen, ob Händler ohne Marktplatzmodellen fälschlicherweise Gastzugänge verweigern. Man kann jetzt nicht digital entscheiden, ist das verboten oder ist es erlaubt, das Ganze über Kundenkonten abzuwickeln. Da wird eine weitere Prüfung erforderlich sein. Ja, das passt ja auch ganz schön zur Pressemitteilung des hamburgischen Datenschutzbeauftragten die Woche, der auch nochmal da zusammengefasst hat, dass sie halt weiter prüfen und dass sie auch einige Prüfungen schon durchgeführt haben und auch Unternehmen konkret angeordnet haben, halt Gastzugänge einzurichten, weil sie es halt nicht alle schon hatten. Andere hat er sich aber auch löblich geäußert, dass die das auch schon vor der Entscheidung der DSK angeboten haben. Wunderbar. Die Datenschutz-Grundverordnung gewährt Betroffenen kein Recht auf Einsichtnahme in Verträge zwischen Verantwortlichen und Auftragsverarbeitern. Im vorliegenden Fall, der in Bayern zur Verhandlung stand, stellte das Gericht klar, dass weder die DSGVO noch der Rundfunkbeitragsstaatsvertrag den Betroffenen ein Recht auf Einsicht in solche Verträge einräumen. Das Gericht führte aus, dass die DSGVO den Betroffenen zwar umfangreiche Auskunftsrechte gewährt, diese jedoch halt nicht auf das Recht umfassen, interne Verträge zwischen dem Verantwortlichen und einem Auftragsverarbeiter einzusehen. Auch § 11 Absatz 8 des eben genannten Rundfunkbeitragsstaatsvertrages, der die Auskunftspflicht der Rundfunkanstalten regelt, beinhaltet keinen solchen Anspruch. Das Gericht betonte, die Transparenzpflicht gegenüber dem Betroffenen sei halt nicht so weitgehend, dass die internen Vertragsdokumente offengelegt werden müssen. Aus meiner persönlichen Meinung jetzt heraus, wenig überraschend die Entscheidung, also zumindest für uns, die sich im Datenschutzrecht ja auskennen. Wie gesagt, würde man jetzt auch genau das erwarten. Aber da ja doch viele Verbraucher immer mal wieder auf sehr interessante Ideen kommen, wie weit das Auskunftsrecht gehen kann, vielleicht für den einen oder anderen ja doch nochmal ganz gut, dieses Urteil auch im Hinterkopf zu haben, wenn man sich halt mit solchen Ideen dann in der eigenen Praxis konfrontiert sieht, hat man doch eine ganz gute Argumentationshilfe. Deswegen auch hier würden wir den Link mal direkt in die Shownotes packen. Kreative Bürger. Es ist ja tatsächlich sehr interessant, was da rauskommt. Die Woche hatten wir einen Vorgang, wo ein Bürger das Recht zur Löschung geltend gemacht haben wollte. Allerdings waren noch einige Rechnungen offen bei dem Unternehmen. Also es wäre auch ein Geschäftsmodell. Geschäfte machen und dann Artikel 17 die Löschung machen. Und dann hat sich das erledigt. Ja, ich versuche das auch immer wieder, aber irgendwie. Meine letzte Meldung, die ist ganz interessant im Hinblick auf das Urteil des Oberlandesgerichts Schleswig. Wir hatten Ende letzten Jahres darüber berichtet und zwar ging es dabei um die Frage, Versand von E-Mails, in denen angehängte Rechnungen sind, ob eine Ende-to-Ende-Verschlüsselung erforderlich ist oder nicht. In einem aktuellen Beschluss des Oberverwaltungsgerichtes Nordrhein-Westfalen, das Aktenzeichen wie immer verlinken wir auch in den Shownotes, vom 20. Februar 2025 wurde die Beschwerde eines Antragstellers zurückgewiesen, der verlangte, dass eine Behörde seine personenbezogenen Daten nur und ausschließlich mit Ende-zu-Ende-Verschlüsselung übermittelt. Das Gericht entschied, dass ein solcher Anspruch nicht besteht, wenn die Behörde bereits angemessene Sicherheitsmaßnahmen wie zum Beispiel die TLS-Verschlüsselung implementiert hat. Des Weiteren führte das Gericht aus in seinen Entscheidungen, dass Artikel 18 Absatz 1, also die Einschränkung der Verarbeitung, keinen Anspruch auf spezifische technische Maßnahmen wie die Ende-zu-Ende-Verschlüsselung begründet. Zudem betonte es, dass die Behörde gemäß Artikel 32 verpflichtet ist, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Da der Antragsteller kein besonderes Risiko nachweisen konnte und die Behörde bereits TLS-Verschlüsselung einsetzt, sah das Gericht keinen weiteren Handlungsbedarf. Ja, was sind die Hintergründe dazu? Der Antragsteller hatte im Wege eines einstweiligen Rechtsschutzes gefordert, dass die Antragsgegnerin seine personenbezogenen Daten nur mit Ende-zu-Ende-Verschlüsselung übermittelt. Hilfsweise verlangte er eine dem Stand der Technik entsprechende Verschlüsselung. In erster Instanz hatte das Verwaltungsgericht Köln den Antrag abgelehnt, worauf der Antragsteller Beschwerde einlegte und das Oberverwaltungsgericht bestätigte die Entscheidung der Vorinstanz. Ja, Unternehmen sollten sowie Behörden einfach sicherstellen, dass sie gemäß Artikel 32 geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Und das bedeutet allerdings nicht zwangsläufig die Implementierung von Ende-zu-Ende-Verschlüsselung. Wichtig ist vielmehr, dass die gewählte Sicherheitsmaßnahme dem Stand der Technik entspricht und dem Risiko angemessen ist. Das finde ich ja richtig im Ergebnis. Jetzt hatten wir aber ja auch vor einigen Wochen, ich glaube in der KW6 war es, Natalia glaube ich hatte darüber berichtet, ein Urteil vom USOLG Schleswig, was ja gesagt hat zum Beispiel, also wir erinnern uns vielleicht, da ging es um eine Rechnung von einem Handwerker, die zwischen Versand beim Handwerker und Ankunft beim Empfänger offensichtlich manipuliert worden war und deswegen das Geld an eine andere Bankverbindung gegangen ist, an die des Betrügers. der die Rechnung manipuliert hatte. Und da kam ja das OLG Schleswig zu dem Ergebnis, dass solche Informationen immer Ende zu Ende verschlüsselt werden müssten. Also die sind ja nicht ganz im Einklang, diese beiden Entscheidungen. Also ich habe mich bei diesem OLG Schleswig-Urteil sowieso ein bisschen aufgeregt, weil es halt irgendwie sehr einseitig davon ausgeht, dass Ende zu Ende Verschlüsselung die einzige Variante ist, um das Problem zu lösen. Deswegen begrüße ich jetzt diese Entscheidung hier vom Oberverwaltungsgericht NRW. Aber macht halt wieder für die Praxis, zeigt halt wieder so schön, dass es halt selbst bei einem Oberlandesgericht oder Oberverwaltungsgericht halt irgendwie nicht einheitliche Rechtsprechung gibt und wer dann halt doch irgendwie immer die höheren Instanzen noch braucht. Es ist sowieso verwunderlich, dass ganz konkret technische Maßnahmen empfohlen und auch zugrunde gelegt werden, wie so eine Ende-zu-Ende-Verschlüsselung. Das ist das Erste. Und das Zweite, ist es denn wirklich das Einfallstor Nummer eins, dieser Angriff auf dem Transportwege, auf dem Verschlüsselungswege oder nicht vielmehr die Kompromittierung von E-Mail-Konten und dass dann dort die Änderungen passieren und die Einfallstore sind? Fand ich ebenfalls sehr bemerkenswert, aber ich glaube, das ist ein Thema, was wir auch noch ein wenig länger begleiten dürfen. Ja, wir haben ja die Urteile auch bei uns intern diskutiert. Deswegen, wer da Lust hat, mit uns zusammen sowas zu diskutieren, an der Stelle mal der kleine interne Hinweis, dass wir unser Team vergrößern und deswegen auch gerne noch Kolleginnen und Kollegen suchen, die gerne mit uns halt auch intern an solchen Themen diskutieren und das natürlich auch zum Kunden tragen. Also ganz klar, wir suchen Berater, Beraterinnen. Also es ist nicht nur mit dem internen Diskutieren getan. Es muss auch ein bisschen Geld verdient werden draußen. Das wollen wir nicht verheimlichen. Aber ich finde, wir brauchen uns nicht verstecken mit dem Niveau, auf dem wir hier intern auch die Themen dann auseinandernehmen, diskutieren und zu Ergebnissen kommen. Also, wer Interesse hat, meldet sich gerne bei mir, entweder über LinkedIn oder geht auf unsere Karriereseite migosens.de. Da findet ihr nochmal ein paar Details natürlich auch zu der Stelle und zu dem, was wir suchen, aber auch was wir bieten. Ganz viel. Und das ist nicht wenig. Ja. Also, fühlt euch eingeladen, euch die Seite anzugucken, uns zu kontaktieren. Wir freuen uns. Und damit komme ich zum letzten Punkt, Veröffentlichungen und Veranstaltungen. Heute ist es nur eine Veröffentlichung geworden. Und zwar geht es um eine Studie, die belegt, Cyber-Angriffe treffen immer häufiger auch Städte und Gemeinden, nicht nur Wirtschaftsunternehmen. Die neue Studie des Cyber-Intelligence-Institutes beleuchtet die Widerstandsfähigkeit deutscher Kommunen und kommt zum Ergebnis, die sind offenbar schlecht gegen Bedrohungen gewappnet. Kleiner Hinweis, genau. Ich war nicht so überrascht. Man kriegt es ja aus den Meldungen irgendwie mal mit. Wobei jetzt in den letzten Monaten, glaube ich, waren weniger Kommunen in den öffentlichen, also in den breiten Medien zumindest. Aber wenn man sich die Studie halt anguckt und deswegen kann man natürlich auch nochmal reingucken, weil ich glaube, viele der Punkte kann man halt sehr gut auch auf Unternehmen übertragen, wenn man sich halt anschaut, was sind halt die Gründe. Und das ist halt sehr häufig Mangel an Fachpersonal oder veraltete IT-Systeme, Die sind vielleicht in Kommunen sogar noch häufiger als in Wirtschaftsunternehmen. Aber auch unzureichendes Risikobewusstsein, also nicht nur Schulen und sensibilisierende Mitarbeiter ist halt wichtig, sondern halt letztendlich dann natürlich auch auf Geschäftsführungsebene oder auf Leitungsebene dieses Risikobewusstsein zu schaffen und dann halt auch zum Beispiel dem Punkt fehlende finanzielle Mittel entgegenwirken, weil wir können erst dann was tun, wenn wir halt noch Mittel haben und dazu gehört halt auch Sensibilisierung auf Leitungsebene. Und einen Punkt fand ich auch noch ganz interessant, Probleme mit der IT-Dienstleistersteuerung. Also auch hier ist es wohl bei den, zumindest jetzt wie gesagt Städten und Gemeinden wohl häufig so, dass externe IT-Dienstleister oft unzureichend überwacht werden oder es vielleicht auch sogar keine klaren vertraglichen Regelungen zur Sicherheit gibt. Also das ist natürlich auch etwas, wie gesagt, nicht nur für Kommunen, sondern halt auch für Unternehmen ein ganz wichtiger Punkt, den man auf dem Schirm haben sollte. Das dazu, Link wie gewohnt in den Shownotes, die lohnen sich sowieso immer einen Blick, weil wir packen ja auch immer in die Shownotes den Link zur Folgenseite auf unserer Webseite und da darf man auch Kommentare hinterlassen und wir freuen uns tatsächlich immer über Austausch, also von daher nutzt die Gelegenheit auch da gerne und wenn ihr schon auf der Seite seid, dann könnt ihr auch direkt auf die Karriereseite kommen. So wird ein Schuh draus. Okay, damit sind wir durch. Wir sind durch, ja. Lothar, ganz herzlichen Dank. Ich danke dir, Heiko. Hat Spaß gemacht. Mir auch, wie immer. Und damit wünschen wir euch einen guten Start ins Wochenende. Jetzt könnt ihr die Woche des Datenschutzes hinter euch lassen. Jetzt seid ihr über das Wichtigste informiert. Startet entspannt, genießt das Wochenende. Wir hören uns dann in Kürze wieder, nämlich nächste Woche. Und bis dahin, bleibt uns gewogen und auf bald. Bleibt gesund, bis nächste Woche.