Kein Auskunftsverweigerungsrecht für Unternehmen – DS News KW 07/2026

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migrosens.
Wir haben heute Freitag, den 13.
Februar 2026. Ich hoffe, der Tag steht trotzdem unter einem guten oben.
Unser Redaktionsschluss war wie gewohnt um 10 Uhr. Mein Name ist Laura Droschinski
und an meiner Seite begrüße ich Julia Kriwett. Hallo liebe Julia.
Hallo.
Ich freue mich so eine neue Stimme, ein neues Teammitglied bei uns in unserem Sprecherteam.
Danke, ich freue mich auch.
Ja Julia, start doch mal rein, was hast du denn heute mitgebracht?
Ich habe heute mitgebracht eine neue Funktion zur Anrufaufzeichnung bei Android-Handys.
Ein EuGH-Urteil zur WhatsApp-Klage gegen den ETSA-Beschluss und eine weitere
Entscheidung über Unzulässigkeit des Meta-Business-Tools.
Und was hast du mitgebracht?
Bei mir hat es die Veränderung bei Google Recapture auf den Zettel geschafft.
Außerdem das Top-Thema, nämlich
ein Urteil zum Auskunftsverweigerungsrecht für juristische Personen.
Weiter geht es mit dem neuen KI-Marktüberwachungs- und Innovationsförderungsgesetz.
Ich habe es das erste Mal richtig ausgesprochen. Und zu guter Letzt eine Microsoft-Studie,
bevor wir dann zu unseren Veröffentlichungen und Veranstaltungen kommen.
Aber ich glaube, Veröffentlichung ist genau das richtige Stichwort,
denn in dieser Woche ist ja auch eine neue Themenfolge online gegangen.
Ihr habt das sicherlich schon mitbekommen, beziehungsweise Heiko hat es ja auch
in der letzten Folge schon angeteasert.
Denn die neue Folge hat ja den Titel Datenschutz beim KI-Meeting-Transkript
und bei uns zu Gast war Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht.
Und Heiko spricht ja mit ihr in der Folge zu den Datenschutz- und strafrechtlichen
Risiken von KI-gestützter Transkription.
Aber auch, was halt eben zu beachten ist bei Zusammenfassung von Meetings im Nachgang.
Und ja, befassen Sie sich mit dem Thema Rechtsgrundlagen, Zwecke,
Erforderlichkeit, wie diese definiert werden müssen.
Aber natürlich auch, wie sich das Ganze zum Paragrafen 201 Strafgesetzbuch verhält.
Also ganzes Thema Aufnahme, Transkription ist ja derzeit sehr aktuell bei uns im Beratungsalter.
Aber dein erstes Thema passt ja auch so ein bisschen dazu, oder?
Ja, ich habe ein bisschen ein verwandtes Thema. Es geht zwar nicht um Transkription,
allerdings um die Funktion zur Anrufaufzeichnung in der Android-Beta-Version.
Und zwar hat Google in Deutschland eine Beta-Version gestartet,
mit der Telefonate direkt in der Android-App aufgezeichnet werden können.
Die Nutzer können die Aufzeichnung während eines laufenden Gesprächs über ein
Auswahlmenü starten oder sogar direkt in den Einstellungen festlegen,
dass Anrufe für einzelne Rufnummern automatisch aufgezeichnet werden.
Die Mitschnitte sind anschließend in der Anrufübersicht abrufbar und können geteilt werden.
Google hat dabei betont, dass beide Gesprächspartner beim Start der Aufnahme
hörbar informiert werden.
Auch das Ende der Aufzeichnung werde akustisch angekündigt.
Und dieser Hinweis ersetze allerdings keine Einwilligung. Vor der ersten Nutzung
weist die App zudem auch darauf hin, dass Nutzer die geltenden Gesetze einhalten müssen.
Denn ohne die Einwilligung ist die Aufnahme nach § 201 StGB strafbar.
Laut Google bleiben die Aufnahmen ausschließlich lokal auf dem Gerät gespeichert
und eine externe Sicherung erfolge nicht.
Nutzer können außerdem einstellen, dass Aufnahmen nach 7, 14 oder 30 Tagen automatisch
gelöscht werden. Aus datenschutzrechtlicher Sicht ist vor allem relevant,
dass Google die Speicherung auf das Endgerät beschränkt hat.
Gleichzeitig bleibt das Risiko,
dass Gesprächsinhalte ohne wirksame Einwilligung aufgezeichnet werden.
Für Unternehmen stellt sich damit vor allem die Frage, wie sie mit dienstlichen
Gesprächen umgehen und ob gegebenenfalls interne Richtlinien angepasst werden müssen.
Und jede Organisation muss klar regeln, wann Gesprächsaufzeichnungen erlaubt sind und wann nicht.
Für die Praxis ist, wie auch bei der Transkription, wie immer zu berücksichtigen,
technische Verfügbarkeit ersetzt keine rechtliche Zulässigkeit.
So ist es. Aber ich glaube, ich finde jetzt bei dem Thema ja total interessant,
dass akustisch darauf hingewiesen wird, dass schon mal eine Aufnahme erfolgt.
Wir haben das jetzt ja auch schon mal in unserem Beraterteam ja schon mal besprochen
in den letzten Tagen, uns intensiver damit befasst mit dem Thema.
Und das ist ja auch gar nicht immer so einfach. Also jetzt in so einem Telefongespräch
ja nochmal viel schwieriger. Aber ja auch, wenn man als Team zusammensitzt und
ein Meeting aufzeichnet, wie stellt man beispielsweise auch sicher,
dass die Personen, die nachträglich in ein Meeting dazukommen,
überhaupt ausreichend informiert sind?
Das stimmt. Das wäre natürlich auch hier die Frage, falls jemand zugeschaltet
werden könnte in dem Falle, ob dann diese Meldung erneut erfolgt.
Ja, aber wir beobachten das weiter.
Es bleibt weiterhin spannend.
Genau. Meine erste Nachricht für heute befasst sich mit Google,
denn Google hat angekündigt, den Bot-Schutzdienst Recapture zum 2.
April 2026 datenschutzfreundlicher umzubauen.
Lange war ja der Einsatz von Google Recapture für europäische Webseitenbetreiber
ein datenschutzrechtlicher Drahtseilakt.
Zwar schützt der Dienst effektiv vor Bots und Spam, gleichzeitig war aber problematisch,
dass Google bei der Datenanalyse als eigener Verantwortlicher agiert.
Das bedeutete, Google entschied selbst über Zwecke und Mittel der Verarbeitung,
mit der Folge, dass Nutzerdaten potenziell in die größeren Datenökosysteme einfließen konnten.
Damit soll jetzt aber wohl Schluss sein, denn wie Heise diese Woche berichtet,
stellt Google ab dem zweiten April Recapture weltweit auf ein neues Betriebsmodell um.
Der Dienst wird künftig als Auftragsverarbeitung betrieben, also Webseitenbetreiber
werden damit klar zum Verantwortlichen.
Google agiert nur noch als Auftragsverarbeiter und verarbeitet Daten wohl ausschließlich
auf dokumentierte Weise.
Technisch bleibt dabei aber wohl alles beim Alten, also die Keys behalten ihre
Gültigkeit, es kommt zu keiner Serviceunterbrechung und wohl auch alles weitere
Bestehende so soll weiter funktionieren.
Bislang agierte Google selbst als Verantwortlicher, ja wie gesagt,
und das hatte in der EU immer wieder zu datenschutzrechtlichen Bedenken geführt,
weil eben Recapture-Daten in Profiling-Systemen des Konzerns hätten einfließen können.
Durch die neue Struktur nun dürfen eben die erhobenen Informationen künftig
nur noch zur Bereitstellung, Wartung und Sicherheit des Dienstes verwendet werden, laut Google.
Zudem sollen Hinweise auf Googles allgemeine Datenschutzbestimmungen im Widget entfallen.
Google ordnet ReCapture damit unter die gleichen Compliance-Regeln ein,
die für andere Google-Cloud-Dienste gelten.
Es ist also jetzt anzunehmen, dass Google auf den starken regulatorischen Druck
reagiert und stärkt damit ja doch schon sehr die DSGVO-Konformität für das Produkt.
Und vor allem finde ich in meinen Augen gar nicht so ganz unwichtig.
Das soll wohl das meistgenutzte Sicherheitstool im Web sein.
Also wenn es wirklich so ist, so oft zum Einsatz kommt, dann ist das natürlich
sehr erfreulich auf unserer Sicht.
Also für viele Unternehmen in der Theorie eine Entlastung, aber man darf natürlich
jetzt nicht vergessen, dass jetzt natürlich auch die alleinige Verantwortlichkeit bei Ihnen liegt.
Also was können wir euch mitgeben jetzt für die Praxis?
Auf jeden Fall solltet ihr die Vertragsunterlagen prüfen. Also stellt sicher,
dass das Cloud Data Privacy Addendum wirksam einbezogen ist.
Schaut, ob eure Datenschutzerklärungen zukünftig dann ab April auch passen.
Also die Beschreibung von Recapture an die neue Räumenverteilung müsste dann
natürlich erforderlich sein.
Gegebenenfalls auch das Entfernen von Verweisen auf die Google Privacy Policy
mit diesem Kontext müsstet ihr natürlich auch berücksichtigen.
Wenn ihr eine Interessenabwägung gemacht haben solltet, auch hier natürlich
entfällt die Dokumentation nicht zukünftig, sondern die veränderte Rechtsgrundlage
müsste hier natürlich mit einbezogen werden in die Argumentation.
Und zu guter Letzt, natürlich haben wir den Drittlandstransfer,
das vielleicht an der Stelle auch nochmal gesagt, das entfällt natürlich nicht,
sondern die Auftragsverarbeitung zukünftig löst nicht automatisch alle Transferfragen.
Also da können wir euch nur ins Herz legen, da weiter ein Auge drauf zu haben.
Ich habe jetzt noch ein EuGH-Urteil zu WhatsApp.
Der Gerichtshof der Europäischen Union hat klargestellt, dass ein verbindlicher
Beschluss des Europäischen Datenschutzausschusses eine anfechtbare Handlung
im Sinne der EU-Gerichtbarkeitsordnung ist und daher vor den Unionsgerichten
angegriffen werden kann.
WhatsApp Irland hatte gegen einen solchen Beschluss der ETSA geklagt.
Hintergrund war, dass die irische Datenschutzaufsichtsbehörde nach Beschwerden
zur Datenverarbeitung von WhatsApp eine
Untersuchung über Transparenz- und Informationspflichten gestartet hatte.
Ein Entwurf ihres Beschlusses wurde dem ETSA vorgelegt, weil die anderen beteiligten
Behörden uneinig waren.
Der ETSA erließ daraufhin einen Beschluss, in dem er Verstöße gegen die DSGVO
feststellte und Änderungen inklusive Bußgeldmaßnahmen entfahl.
Die irische Behörde verhängte auf dessen Grundlage Bußgelder gegen WhatsApp.
Der EuGH hat daraufhin entschieden, dass WhatsApp Irland durch den Etzer-Beschluss
unmittelbar betroffen war.
Der Beschluss habe rechtliche Wirkung gegen den Unternehmen entfaltet und sei
daher als anfechtbare Handlung zu qualifizieren.
Damit ist die Nichtigkeitsklage von WhatsApp zulässig. Das Gericht hat den früheren
Beschluss des Gerichts aufgehoben und die Sache zu inhaltlichen Entscheidungen zurückverwiesen.
Das Gericht der Erstinstanz hatte die Klage von WhatsApp zunächst als unzulässig
abgewiesen, weil es dem Etzerbeschluss als nicht anfechtbar und als bloße Zwischenmaßnahme angesehen hatte.
Der EuGH hat das nun korrigiert. Ein verbindlicher Etzerbeschluss sei nicht
nur eine Zwischenmaßnahme, sondern wirke unmittelbar auf die Rechtslage des Betroffenen.
Daher könne WhatsApp diesen Beschluss direkt angreifen. Ja, und da die Sache
an das Gericht zurückverwiesen worden ist, steht dann noch die inhaltliche Entscheidung
darüber aus, ob und in welchem Umfang WhatsApp gegen die DSGVO verstoßen hat.
Und für die tägliche Arbeit bedeutet das im Endeffekt, dass die Abstimmung im
europäischen Kohärenzverfahren kein rein formaler Schritt ist und ein Verfahren
auch schnell eine europäische Dimension annehmen kann.
Und die rechtliche Erklärung nicht zwingend unmittelbar auf EU-Ebene erfolgen
muss, sondern den Umweg über die nationalen Gerichte gehen kann.
Die Relevanz, könnte man sagen, entsteht weniger im operativen Datenschutzmanagement,
sondern eher in der Risiko- und Verfahrensstrategie bei vor allem grenzüberschreitenden Sachverhalten.
Ich kann mich ehrlich gesagt auch noch nicht so daran erinnern,
dass das mal wirklich so zurückgewiesen wurde, also auf der Ebene.
Aber auch da, wir bleiben da weiter für euch dran.
Das Verwaltungsgericht Berlin stärkt die Auskunftsbefugnisse der Aufsichtsbehörden.
Das Verwaltungsgericht Berlin hat mit Urteil vom 9. Oktober letzten Jahres folgende
relevante Entscheidung getroffen.
Juristische Personen können sich gegenüber einem Auskunftsersuchen der Datenschutzaufsicht
nicht auf ein Auskunftsverweigerungsrecht berufen.
Was war passiert? Eine Datenschutzaufsicht verlangte dabei von einem Unternehmen
Auskunft über den Umfang von Kundendatenübermittlung an Werbepartner im Rahmen
eines sogenannten Lettershop-Verfahrens.
Unternehmen verweigerte die Beantwortung bestimmter Fragen unter Berufung auf
§ 40 Absatz 4 BDSG, also auf das Recht, Auskünfte zu verweigern,
wenn man sich dadurch selbst belasten würde.
Das Verwaltungsgericht stellt klar, dieses Auskunftsverweigerungsrecht steht
nur natürlichen Personen, nicht aber juristischen Personen zu.
Welche Kernaussagen des Gerichts gehen jetzt damit einher? Also das Gericht
sieht eine Rechtsgrundlage gemäß Artikel 58 Absatz 1 Lit A DSGVO an.
Das heißt also, die Aufsichtsbehörde darf alle Informationen verlangen,
die sie eben zur Erfüllung ihrer Aufgaben benötigt.
Ein konkreter Datenschutzverstoß ist eben keine Voraussetzung.
Also die Behörde darf auch zur allgemeinen Aufklärung oder Risikoanalyse Auskünfte
einholen. Außerdem stellt das Gericht klar, dass die Selbstbelastungsfreiheit
nur für natürliche Personen gilt.
Also der Schutz vor Selbstbezichtigung ist verfassungsrechtlich im allgemeinen
Persönlichkeitsrecht verankert und damit eben personenbezogen.
Juristische Personen können sich nicht strafbar machen, also sie handeln nur durch Organe.
Auch die Verhängung einer Geldbuße nach Artikel 83 DSGVO enthält,
und das ist entscheidend, weder einen strafrechtlichen Schuldvorwurf noch eine
ethische Missbilligung, wie sie für den Schutz vor Selbstbelastung wesentlich wäre.
Außerdem empfiehlt eben das Gericht, Mitarbeitende und Leitungspersonen differenziert
zu betrachten. also diese können sich nur dann auf ein Auskunftsverweigerungsrecht
berufen, wenn ihnen persönlich strafrechtliche Verfolgung oder ein Bußgeld drohen.
Das Auskunftsersuchen muss sich also konkret auf individuelles Verhalten beziehen,
das möglicherweise eine Straftat oder Ordnungswidrigkeit darstellt.
Die bloße Gefahr eines Unternehmensbußgeldes reicht dafür eben ausdrücklich nicht aus.
Also was können wir jetzt mitnehmen? Die Entscheidung stärkt eben durchaus die
Ermittlungsbefugnisse der Datenschutzaufsichtsbehörden und zusammengefasst Unternehmen
können eben Auskunftsersuchen künftig nicht mehr mit dem Argument abwehren.
Was sollten sie nicht mehr?
Sie müssten sich nicht selbst belasten.
Also gerade bei komplexen Geschäftsmodellen mit mehreren Beteiligten,
etwa im Marketing- oder Attack-Bereich, können Behörden weitreichende Informationen
verlangen, auch zur Einordnung von Verantwortlichkeiten und zur Priorisierung von Maßnahmen.
Aus der Praxis können wir nur sagen, Auskunftsersuchen grundsätzlich immer ernst
zu nehmen und eine pauschale Berufung aus Selbstbelastungsfreiheit bei juristischen
Personen eben auch dann nicht möglich ist.
Immer schauen, an wen denn das Ersuchen gerichtet ist.
Also ist das Unternehmenadressat, besteht grundsätzlich volle Auskunftspflicht,
betrifft es aber eben individuelles Verhalten von Leitungspersonen,
kann eben eine gesonderte Prüfung erforderlich sein.
Aber auch, wie wichtig es ist, glaube ich, klare Prozesse im Unternehmen zu
haben, damit man da nicht vor überraschenden Aufgaben steht,
wenn das soweit ist. Das haben wir ja auch schon mitbekommen bei uns.
Bei unseren Mandanten und Kunden, dass das durchaus natürlich,
also schon selbst wenn man nur einen Prozess hat, durchaus schon mal mit viel Arbeit verbunden ist.
Aber ich glaube, wenn man erstmal diese suchen muss, wird es schon schwieriger.
Und am Ende auch natürlich ist es einem Unternehmen auch gestattet,
strategisch durchaus zu denken, also beim Thema Prüfung von Umfang,
Bestimmtheit und Verhältnismäßigkeit,
dass man hier natürlich jedes Ersuchen nochmal im Detail sich anschaut, ist glaube ich klar.
Aber am Ende, sprechende Menschen kann geholfen werden. Das ist,
glaube ich, zusammenfassend gesagt.
Wenn ihr das Urteil im Volltext sucht, sagt es uns, wenn ihr es gefunden habt.
Wir hatten es nämlich nicht.
Wir haben es netterweise durch einen Hinweis von der Stiftung Datenschutz.
Deshalb sind wir darauf aufmerksam geworden.
Aber wie gesagt, ergänzende Info dazu, den Volltext, der liegt uns leider nicht
vor. Aber sollte der mal da sein, werfe ich da auf jeden Fall einen Blick rein.
Ich habe eine weitere Entscheidung über die Unzulässigkeit des Meta-Business-Tools.
Letzte Woche hatten wir bereits über das Urteil des Oberlandesgerichts Dresden
berichtet, welches Meta zu 1.500 Euro Schadensersatz pro Fall verurteilt und
eine Revision zum Bundesgericht ausgeschlossen hatte.
Und nun wächst der Druck auf die Meta-Plattform weiter an.
Denn mit dem Oberlandesgerichts Naumburg hat nun das dritte deutsche Oberlandesgericht
entschieden, dass Metas Datensammlung über sogenannte Business-Tools auf fremden
Webseiten und Apps gegen die DSGVO verstößt.
Kern der Verfahren sind die Meta-Business-Tools. Das sind unsichtbare Pixel-
und Schnittstellen, die Webseiten und App-Betreiber kostenlos einbinden können.
Das Problem dabei ist, Meta erhält dadurch umfangreiche personenbezogene Daten,
darunter auch teilweise sensible Informationen,
zum Beispiel Gesundheitsdaten, sexuelle Orientierung oder Daten über die Weltanschauung
und auch von Personen, die gar nicht bei Facebook oder Instagram eingeloggt sind.
Und diese Daten verarbeitet Meta dann zu Profilbildungs- und Werbezwecken.
Nach Auffassung des OLG Naumburg geschah dies ohne wirksame Einwilligung und
ohne tragfähige Rechtsgrundlage.
Die Kernaussagen des OLG Naumburg waren dabei, dass die Datensammlung insbesondere
gegen den Grundsatz der Datenminimierung verstöße,
keine ausreichende Rechtsgrundlage vorliege, also weder eine Einwilligung noch
andere Rechtfertigungsbestände tragen die Verarbeitung,
dass Tracking ohne Login genügt, also selbst Nutzer ohne aktives Metakonto oder
Login waren betroffen und dass die Verarbeitung über den ursprünglichen Nutzungszweck
der besuchten Webseite oder App hinausging.
In Sachsen-Anhalt wurden 1200 bzw. 1250 Euro zugesprochen, in Dresden sogar
1500 Euro pro Person Schadensersatz und die Münchner Entscheidungen lagen noch
im dreistelligen Bereich.
Besonders brisant ist, dass das OLG Naumburg wie zuvor das OLG Dresden die Revision
zum Bundesgerichtshof ausgeschlossen hat.
Die Urteile sind damit rechtskräftig.
Dabei waren rund 10.000 Klagen bundesweit anhängig und in Österreich hat der
OGH Metas Praxis bereits ebenfalls für unzulässig erklärt.
In Deutschland wird zudem eine
Verbandsklage vorbereitet. Für Meta geht es dabei natürlich um viel Geld.
Die Zusammenführung von Nutzerdaten über tausende Drittseiten ist zentral für
das personalisierte Werbegeschäft mit Einnahmen in Milliardenhöhe.
Für die datenschutzrechtliche Einordnung ist dabei besonders relevant ein Punkt,
den bereits das OLG Dresden betont hatte.
Dass schon der Abgleich von Drittseitendaten mit Metas eigenem Nutzerverzeichnis
eine eigenständige Datenverarbeitung darstellt, im Sinne von Artikel 4 Nummer
2 DSGVO, und somit eine Rechtsgrundlage benötigt.
Das bedeutet, selbst wenn Daten später reduziert genutzt werden,
ist bereits der Matching-Vorgang rechtlich relevant.
Auch das seit November 2023 angebotene kostenpflichtige Abo,
was dann als werbefrei beworben wird, ändert nichts an der Datensammlung auf Drittseiten.
Ja, für Webseiten und App-Betreiber bedeutet das,
dass der Einsatz von Metapixeln und Business-Tools auf jeden Fall kritisch zu prüfen ist,
die Einwilligungsmechanismen bestenfalls auch neu zu bewerten wären und ganz
wichtig natürlich auch die Rechtsgrundlage für die Datenverarbeitung sauber
zu dokumentieren und ebenfalls die Entwicklung der Verbandsklagen weiterhin zu beobachten.
Denn angesichts der klaren OLG-Linie steigt das Risiko erheblich,
dass sich diese Rechtsprechung weiter festigt.
Ganz offensichtlich nach drei Urteilen dazu.
Die Bundesregierung hat am 11. Februar 2026 den Entwurf für ein nationales KI-Gesetz
zur Umsetzung des Europäischen AI-Act auf den Weg gebracht.
Das Bundeskabinett hat den nationalen Gesetzesentwurf zur Umsetzung der Europäischen
KI-Verordnung beschlossen.
Eben das sogenannte, ich schaffe es noch ein zweites Mal, KI-Marktüberwachungs-
und Innovationsförderungsgesetz. Nicht schlecht.
Der AI-Act ist ja eine europäische Verordnung, die schon seit 2024 verabschiedet
ist und die Mitgliedstaaten verpflichtet, bis 2025 Aufsichtsstrukturen zu schaffen.
Ziel der Regulierung ist eben ein einheitlicher Rechtsrahmen für KI-Systeme
in der EU, der Risiken für Gesundheit, Sicherheit und Grundrechte adressiert
und zugleich Innovation ermöglichen soll.
Das deutsche Umsetzungsgesetz regelt nun insbesondere die nationale Aufsichtsstruktur,
die Zuständigkeit der Behörden, die Marktüberwachung und die Koordinierung mit europäischen Stellen.
Die Zentrale Aufsichtsbehörde für Künstliche Intelligenz wird laut Entwurf die
Bundesnetzagentur, die damit eben ihre Rolle ausbaut.
Neben den bisherigen Themen der Telekommunikation, Energie, Bahn und Digital
Services Act übernimmt sie eben nun auch Marktüberwachung, Koordination und
Kontrolle von KI-Systemen.
Andere Behörden wie das Bundeskartellamt, das BSI oder die BaFin sollen bei
Bedarf mit eingebunden werden, um eben Doppelstrukturen zu vermeiden.
Kritik aus der Wirtschaft lässt natürlich auch da nicht lange auf sich warten,
denn die konkrete Ausgestaltung des Umsetzungsgesetzes wird darüber entscheiden,
ob der I-Act zu zusätzlichen Bürokratie oder zu einem innovationsfreundlichen Rechtsrahmen führt.
Verbände mahnen derzeit eben dabei effiziente und schlanke Prozesse an,
damit die Regulierung für Unternehmen praktikabel bleibt.
Der Entwurf muss nun aber noch durch den Bundestag und den Bundesrat und also
bevor dieser in Kraft treten kann.
Was gibt es für die Praxis mitzunehmen? Also wir sollten auf jeden Fall die
behördliche Praxis der Bundesnetzagentur beobachten.
Also konkrete Auslegungen oder Anforderungen werden eben maßgeblich dann auch
die Aufsichtspraxis geprägen.
Weiter geht es natürlich für Bereiche, beispielsweise industrielle oder medizinische Bereiche,
wo es vielleicht auch sektorale Doppelregulierung gibt, dass man hier natürlich
für solche Geschäftsfelder auch ein Auge mit drauf hat und gegebenenfalls differenzierte
Compliance-Strategien auch braucht.
Und weiterhin ist man natürlich gut beraten, eine KI-Bestandsaufnahme zu machen,
wenn man es nicht schon getan hat.
Denn um zu schauen, ob man denn überhaupt davon betroffen ist,
von diesen ganzen Regulierungen.
Also sich die Frage zu stellen, welche KI-Systeme entwickeln oder entwickelt
man oder werden genutzt und welche Risikokategorien aus dem iAct greifen dann auch.
Und wie wichtig das ist, ich mache direkt mal weiter mit der nächsten Nacht,
zeigt auch eine aktuelle Microsoft-Studie.
Denn Microsoft hat in seinem aktuellen Sicherheitsbericht gewarnt,
dass KI-Tools in über 80 Prozent der größten Unternehmen im Einsatz sind,
oft aber ohne klare Struktur, Steuerung oder Sicherheitskontrolle.
Es ist also ausdrücklich eine Warnung vor Schatten-KI. Also wir kannten es ja
auch schon bei anderen, in anderen Bereichen, dass auch Schattenprogramme im Hintergrund laufen.
Nämlich immer dann, wenn es einen ungenehmigten Einsatz von solchen Anwendungen
gibt durch Mitarbeitenden im Unternehmen.
Und ja, wir wissen ja, IT und Sicherheitsabteilungen sollten grundsätzlich bei
sowas mit eingebunden werden.
Damit eben die erheblichen Sicherheits- und Compliance-Risiken nicht zum Tragen kommen.
Also laut diesem Bericht von Microsoft verfügen weniger als die Hälfte der Unternehmen
über spezifische Sicherheitskontrollen für generative KI und etwa 29 Prozent
der Angestellten nutzen bereits KI-Agenten, die offiziell nicht genehmigt wurden.
Also auch da, ich glaube, wir haben es auch hier in der Runde schon mal gesagt,
es ist halt so unglaublich wichtig, dass Unternehmen sich damit befassen und
den Angestellten auch Leitplanken mit an die Hand geben, Richtlinien an die
Hand geben, was darf man, was darf man nicht.
Das ganz klar auch streng zu begrenzen, aber auch beispielsweise zentrale Register
zu führen, um eben da auch KI-Agenten aufzuführen, um klarzumachen,
wo denn eben die rechtmäßige Nutzung auch durchaus im Arbeitsalltag eine Erleichterung finden kann.
Und dann sind wir schon bei unserem letzten Kapitel angekommen,
nämlich Veröffentlichung und Veranstaltung. Julia, was hast du mitgebracht?
Ich habe den Girls' Day 23.04.2026. Die BFDI bietet Plätze beim Girls' Day an, wobei Mädchen...
Ab der siebten Klasse sich am 23. April 2026 einen Blick in die technischen
Bereiche und Aufgaben der Behörde verschaffen können.
Also für alle, für die es interessant ist, alle Infos dazu findet ihr in den Shownotes.
So ist es. Und in den Shownotes findet ihr auch die neue Stellungnahme des Europäischen
Datenschutzausschusses zum Digital-Omnibus.
An dieser Stellungnahme, die gemeinsam mit dem Europäischen Datenschutzbeauftragten
erstellt wurde, haben auch unsere deutschen Datenschutzaufsichtsbehörden mitgewirkt.
Das geht aus verschiedensten Pressemitteilungen hervor.
Also in dem Positionspapier bewerten die Aufsichtsbehörden, ob die geplanten
Änderungen im Digitalpaket der EU echte Vereinfachungen bringen,
mehr Rechtssicherheit schaffen und die Grundrechte der Bürgerinnen und Bürger
schützen oder gefährden.
Also das ist auch eine Leseempfehlung für das Wochenende.
Genauso wie auch, wenn es interessiert, das Arbeitsprogramm für dieses und nächstes
Jahr des Europäischen Datenschutzausschusses.
Schwerpunkt sind wohl für diese zwei Jahre einheitliche Leitlinien zu Anonymisierung,
Pseudonymisierung, legitimes Interesse, Kinderdatenschutz, Forschung und internationale Datentransfers.
Und zudem plant der Ausschuss Muster für Datenschutzfolgenabschätzung,
Data Breach-Meldung und Verarbeitungsverzeichnisse zu entwickeln.
Hört sich doch ganz gut an.
Ja, dann sind wir am Ende angekommen. Nochmal für euch natürlich die dicke Empfehlung
für die Themenfolge aus dieser Woche zum Thema Transkription.
Auch den Link packen wir euch hier natürlich gerne in die Shownotes.
Wir danken euch sehr für euer Ohr, dass ihr auch diese Folge wieder gehört habt.
Und Julia, danke auch dir. Hast du gut gemacht.
Danke dir.
Ja, wir wünschen euch ein schönes Wochenende und sagen bis zum nächsten Mal.
Schönes Wochenende.