Zum Inhalt springen

Luftbilder, KI und die Privatsphäre – DS News KW 28-2026

    migosens Podcast
    Moderation:
    avatar
    Heiko Gossen
    avatar
    Julia Kriwett

    Was ist in der KW 28 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

      Veröffentlichungen & Veranstaltungen

     Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    X: https://x.com/ds_talk?lang=de

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren:https://migosens.de/luftbilder-ki-und-die-privatsphaere-ds-news-kw-28-2026

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
    Mein Name ist Heiko Gossen.
    Und ich bin Julia Kriwert.
    Und wir begrüßen euch wieder zu unserem Wochenrückblick auf die Woche der Datenschutz-News.
    Unser Redaktionsschluss war heute um 10 Uhr. Heute ist übrigens Freitag, der 10. Juli 2026.
    Und wie gesagt, wir schauen zurück auf die Woche. Was gab es Relevantes?
    Deswegen direkt die Frage an dich, Julia.
    Was hast du Relevantes heute dabei?
    Ich habe heute dabei ein potenzielles Datenleck bei Nextcloud,
    eine Entscheidung des österreichischen Bundesverwaltungsgerichts über die datenschutzrechtliche
    Verantwortlichkeit und unser Top-Thema, ein Urteil des Oberverwaltungsgerichts
    Münster über die Zulässigkeit der Verarbeitung von Luftbilddaten.
    Und dann habe ich auch noch zwei Lese- und Veranstaltungstipps dabei.
    Was hast du denn dabei, Heiko?
    Ja, der habe ich auch welche im Gepäck. Ich lese Hinweise, Veröffentlichungshinweise
    und ich habe ein Update zu Brillenrottler. Das Amtsgericht Arnsberg hat dort
    nämlich nun entschieden.
    Und ein weiteres Urteil habe ich dabei aus Rheinland-Pfalz, wo es um die Disponierung
    des Auskunftsrechts geht im Rahmen eines Vergleichs.
    Und last but not least ein Urteil aus Köln.
    Das Oberlandesgericht Köln hat dort zur Aufzeichnung von Tonaufnahmen aus einem
    Livestream entschieden. Also auch da heute eine sehr urteilslastige Folge, würde ich mal sagen.
    Ja, aber trotzdem eine spannende Auswahl.
    Ja, definitiv. Aber wir haben es ja in der Vorbereitung schon gemerkt,
    dass Urteile sind natürlich auch immer zeitintensiv.
    Das stimmt auf jeden Fall.
    Aber für euch tun wir das natürlich gerne. Von daher würde ich sagen, Julia, wir legen los.
    Gerne.
    So, fangen wir an mit Nextcloud. Bei Nextcloud war die interne Datenbank Elasticsearch
    zeitweise öffentlich über das Internet erreichbar.
    Betroffen waren rund 367.000 Datensätze, darunter Rechnungen,
    Verträge, E-Mails und Informationen zu Kundenbeziehungen.
    Teilweise sollen auch technische Skripte mit fest hinterlegten Zugangsdaten erhalten gewesen sein.
    Nach Bekanntgabe des Vorfalls wurde der öffentliche Zugriff geschlossen.
    Nextcloud erklärte, Ursache sei eine Fehlkonfiguration der eigenen Hosting-Infrastruktur gewesen.
    Die Fehlkonfiguration habe sich ausschließlich auf die Systeme des Unternehmens beschränkt.
    Die Open-Source-Software von Nextcloud, selbst gehostete Installationen und
    deren Nutzer seien nicht betroffen gewesen.
    Außerdem gab es auch keine Hinweise darauf, dass die offengelegten Daten tatsächlich
    missbraucht wurden. Also dazu haben wir bislang keine Informationen.
    Ich finde hier nochmal einen wichtigen Hinweis, weil Nextcloud setzen ja wirklich
    viele ein zum Datenaustausch.
    Deswegen also jeder, der es selbst hostet oder irgendwo anders hostet,
    außer bei Nextcloud selber, kann da erstmal beruhigt sein.
    Und ja, so Fehlkonfigurationen in so Elastic-Cloud-Umgebungen,
    das ist auch nicht das erste Mal, dass das Ursache für ein Datenleck ist.
    Deswegen, vielleicht nimmt das jeder nochmal als Anlass für sich,
    auch nochmal die Admins zu bitten, da regelmäßig mal drauf zu schauen oder vielleicht
    auch Prüfroutinen drauf laufen zu lassen, wenn man sowas einsetzt.
    Dann gehen wir weiter. Das Amtsgericht Ahrensberg hat die Vorgaben des Europäischen
    Gerichtshofs im Verfahren Brillenrottler jetzt erstmals angewendet und ein rechts
    missbräuchliches Auskunftsersuchen zurückgewiesen.
    Dennoch hat der Kläger wohl Vorberufung einzulegen. Im März diesen Jahres hatte
    der EuGH ja die Vorlagefrage des AG Arnsberg im Fall Brillenrottler entschieden.
    Da haben wir hier ja auch ausführlich zu berichtet.
    Und die Richter in Luxemburg stellten dabei ja den wichtigen Grundsatz auf,
    dass auch ein erstes Auskunftsersuchen nach Artikel 15 DSGVO schon rechtsmissbräuchlich sein kann.
    Allerdings natürlich nur in besonderen Ausnahmefällen. Wäre sonst ein bisschen
    doof für die Betroffenen. Aber wenn objektive Umstände zeigen,
    dass das Auskunftsrecht gar nicht seinem eigentlichen Zweck dient,
    dann kann ein Rechtsmissbrauch hier vorliegen.
    Deswegen hat jetzt natürlich das Amtsgericht Arnsberg, nachdem es diese Frage
    dem EuGH gestellt hatte und dann ja auch diese Entscheidung bekommen hat,
    jetzt natürlich die Aufgabe, das im konkreten Fall anzuwenden und umzusetzen.
    Und ja, vielleicht nochmal ganz kurz zum Hintergrund, worum es ging.
    Für alle, die die meisten kennen zwar den Fall, aber der eine oder andere hat
    ihn vielleicht doch nicht so präsent.
    Es geht hier um den Newsletter des Optikers Brillenrottler.
    Da hatte sich der Kläger seinerzeit angemeldet, gab dabei sogar freiwillig mehr
    personenbezogene Daten an, als überhaupt erforderlich gewesen wäre,
    nämlich Name, Vorname und verlangte dann bereits neun Tage später Auskunft nach Artikel 15.
    Und nachdem Brillenrottler dieses Auskunftsersuchen wegen Rechtsmissbrauchs
    zurückgewiesen hatte, forderte der Kläger dann Schadensersatz.
    Jetzt muss das Amtsgericht Arnsberg die Vorgaben umsetzen und hat das dann auch getan.
    Mit dem Ergebnis, das Auskunftsersuchen war laut Richterin am Amtsgericht rechtsmissbräuchlich.
    Deshalb durfte Brillenrottler die Auskunft verweigern und musste entsprechend
    natürlich auch keinen Schadensersatz zahlen.
    Entscheidend für die Richterin war nicht nur ein einzelner Umstand,
    sondern am Ende die Gesamtschau. Nämlich einerseits der Kläger hatte mehr Daten
    angegeben als notwendig.
    Dann zwischen Anmeldung und Auskunftsersuchen lagen auch nur wenige Tage und
    obwohl er in Wien lebt, hat er sich für einen regionalen Newsletter aus Nordrhein-Westfalen
    angemeldet. Auch das ergab für die Richterinnen insgesamt eher ein widersprüchliches Verhalten.
    Und ich finde, das ist auch nicht ganz unwichtig, wer sich auf einen besonders
    sorgfältigen Umgang mit personenbezogenen Datenberufe, so die Richterin,
    müsse sich nach ihrer Auffassung auch selbst entsprechend verhalten.
    Also dahingehend ist schon dadurch, dass er selber, wie gesagt,
    mehr Daten angegeben hat und dann auch bei dem Auskunftsersuchen viel mehr Daten
    mitgegeben hat, als man eigentlich bräuchte, hat er sich widersprüchlich verhalten
    und sie sieht halt, bei datensensiblen Menschen könne man auch erwarten,
    dass diese natürlich persönliche Daten nicht ohne Notpreis geben.
    Und deswegen passt es aus ihrer Sicht nicht zusammen und sprach hier auch dann
    gegen ein echtes Interesse der Kontrolle an der Datenverarbeitung.
    Deswegen hat sie das Zurückweisungsschreiben von Brillenrottler auch als ausreichend
    erachtet. Einen Datenschutzverstoß konnte sie auch nicht erkennen und hat deswegen
    letztendlich die Klage dann abgewiesen bzw. das festgestellt.
    Aber, wie gesagt, abgeschlossen scheint der Fall damit noch nicht zu sein,
    denn der Anwalt des Klägers hat bereits Berufung beim Landgericht Arnsberg angekündigt
    und seiner Auffassung nach hat das Amtsgericht wesentlichen Vortrag seines Mandanten
    unberücksichtigt gelassen,
    und die Maßstäbe des EuGH falsch angewendet. Ja, ja.
    Gegenseite sieht das natürlich naturgemäß ein bisschen anders.
    Die sehen das als konsequente Umsetzung der EuGH-Entscheidung.
    Aber wie auch immer das Landgericht jetzt am Ende entscheiden wird,
    ich glaube, es bleibt doch sehr stark vom Einzelfall abhängig,
    ob man hier einen Rechtsmissbrauch wird feststellen können oder nicht.
    Und schlussendlich auch so DSGVO-Hopper, wie man die ja glaube ich mittlerweile
    nennt, werden wahrscheinlich ihre Learnings daraus ziehen, oder?
    Hoffentlich. Schön wär's.
    Naja, ich habe so ein bisschen Sorge, dass sie eher positive Learnings ausziehen,
    dass sie dann zukünftig nicht mehr sich widersprüchlich verhalten,
    aber das Verhalten als solches nicht aufkämen.
    Ein paar Tipps daraus mitnehmen, wie man es besser machen kann.
    Ja, genau. Naja, wir müssen damit leben.
    Wir werden sehen. Das österreichische Bundesverwaltungsgericht hat in seiner Entscheidung vom 1.
    Juni 2026 klargestellt, dass für die datenschutzrechtliche Verantwortlichkeit
    nicht die Bezeichnung in einer Datenschutzerklärung maßgeblich ist,
    sondern die tatsächliche Entscheidungsgewalt über Zweck und Mittel der Verarbeitung.
    In dem Fall ging es um Corona-Teststraßen und die Frage, ob das Gesundheitsministerium
    für die Erhebung personenbezogener Daten bei der Registrierung verantwortlich war.
    Der Beschwerdeführer hatte geltend gemacht, bei mehreren Corona-Tests nicht
    ausreichend über die Datenverarbeitung informiert worden zu sein.
    Das Gericht musste daher zunächst prüfen, ob sich die Beschwerde überhaupt gegen
    die richtige Stelle richtete.
    Dabei stellte das Bundesverwaltungsgericht klar, nur weil eine Organisation
    in einer Datenschutzerklärung als Verantwortlicher genannt wird,
    ist sie das noch nicht automatisch.
    Eine solche Angabe hat keine konstitutive Wirkung.
    Entscheidend ist vielmehr, wer tatsächlich festlegt, zu welchen Zwecken Daten
    verarbeitet werden und wie die Verarbeitung ausgestaltet wird.
    Nach Ansicht des Gerichts hatte das Gesundheitsministerium keinen ausreichenden
    Einfluss auf die konkrete Datenerhebung in den Teststraßen,
    und auch die spätere Übermittlung der Testergebnisse an ein staatliches Informationssystem
    reichte nicht aus, um das Ministerium für alle vorherigen Verarbeitungsschritte
    verantwortlich zu machen.
    Damit folgt das Gericht der Linie des Europäischen Gerichtshofs,
    dass die tatsächliche Kontrolle über den Verarbeitungsprozess maßgeblich ist.
    Vertragliche Regelungen, Datenschutzhinweise oder andere formale Bezeichnungen
    treten dahinter zurück.
    Also grundsätzlich nichts Neues, aber dennoch nicht weniger relevant.
    Für Unternehmen ist die Entscheidung natürlich besonders bei komplexen und arbeitsteiligen
    Datenverarbeitung relevant.
    Die Rollenverteilung darf nicht einfach aus einer Datenschutzerklärung oder
    einem Vertrag beispielsweise übernommen werden.
    Stattdessen muss natürlich jeder Verarbeitungsschritt einzeln betrachtet werden.
    Und zu prüfen ist insbesondere, wer den Zweck, den Umfang der Daten,
    die Empfänger, die Speicherdauer und die wesentlichen technischen und organisatorischen Mittel entscheidet.
    Eine fehlerhafte Bezeichnung in den Datenschutzhinweisen macht eine Organisation,
    zwar nicht automatisch zum Verantwortlichen, umgekehrt kann sich eine Stelle
    ihrer Verantwortung aber auch nicht dadurch entziehen, dass sie dort nicht oder
    falsch bezeichnet wird.
    Ja, es ist eine Entscheidung, die wir auch in ähnlichen Konstellationen ja schon
    mal hatten, wo dann das Thema gemeinsame Verantwortlichkeit versus Auftragsverarbeitung,
    nicht so dargestellt wurde, wie es dann faktisch eigentlich ist.
    Und in der Praxis ist es ja auch mal wieder feststellbar, dass es da sehr unterschiedliche
    Auffassungen gibt, wo eine Auftragsverarbeitung wirklich anwendbar ist und wo nicht.
    Und deswegen ist es aus meiner Sicht nachvollziehbar und auch in der Linie.
    Von daher gut, dass es da nochmal ein bisschen was in diese Richtung auch gibt,
    was die Rechtsmeinung, die herrschende Meinung, glaube ich, auch bestärkt.
    Betroffene können über einen entstandenen Auskunftsanspruch nach Artikel 15
    DSGVO grundsätzlich rechtswirksam disponieren und sich dann später nicht auf
    einen unzureichenden Vergleich berufen.
    Das hat das Landesarbeitsgericht Rheinland-Pfalz nun entschieden.
    Danach ist ein bereits entstandener Auskunftsanspruch nach Artikel 15,
    wie gesagt, disponibel und Betroffene müssen das dann auch sozusagen akzeptieren,
    wenn sie davor in einem Vergleich da rechtswirksam darauf verzichtet haben.
    Wichtig ist, dass der Vergleich erkennen lässt, dass genau dieser Anspruch auch
    abschließend geregelt werden soll.
    Der Fall hatte ein ehemaliger Arbeitnehmer nach der Beendigung des Arbeitsverhältnisses
    dann bei seinem früheren Arbeitgeber eine umfassende Auskunft nach Artikel 15
    verlangt und zusätzlich Schadensersatz wegen behaupteter Datenschutzverletzungen.
    Während dann eines arbeitsgerichtlichen Verfahrens schlossen die Parteien einen
    Vergleich und darin verpflichtete sich der Arbeitnehmer unter anderem zur Entfernung
    von Foto und Namen des Arbeitnehmers von der Unternehmensseite,
    zahlte sogar eine Entschädigung,
    und vereinbarte mit dem Arbeitnehmer eine umfassende Erledigung sämtlicher Ansprüche
    aus dem Arbeitsverhältnis.
    Und trotz dieses Vergleichs verlangte der Arbeitnehmer später dann erneut die
    bereits begehrte DSGVO-Auskunft und nochmal 5000 Euro Schadensersatz wegen der
    aus seiner Sicht dann weiterhin unterbliebenen Auskunft.
    Der Kläger vertrat die Auffassung, dass der gesetzliche Auskunftsanspruch hier
    durch den Vergleich nicht erfasst worden sei und deswegen wird damit natürlich
    dann auch seinen Auskunftsanspruch begründete.
    Das Landesarbeitsgericht folgte dieser Argumentation schlussendlich jetzt aber
    nicht, denn nach seiner Auffassung erfasste der gerichtliche Vergleich bereits
    auch den geltend gemachten Auskunftsanspruch in Artikel 15.
    Entscheidend sei, dass der Anspruch bereits Gegenstand des früheren Verfahrens
    gewesen sei und der Vergleich natürlich auch eine umfassende Erledigung der
    datenschutzrechtlichen Streitpunkte sowie eine weit gefasste Abgeltungsklausel enthalte.
    Das Gericht hat somit sozusagen nochmal auch klargestellt, dass Betroffene grundsätzlich
    über einen Auskunftsanspruch disponieren können.
    Und dass auch aus dem datenschutzrechtlichen Selbstbestimmungsrecht folgt,
    dass eine betroffene Person einen Anspruch natürlich dann im Rahmen eines Vergleichs
    auch wirksam aufgeben kann.
    Es ist meines Erachtens halt etwas, was jetzt in der DSGVO erst sozusagen auch
    entstanden ist. Ich erinnere mich an die alte BDSG-Fassung, da stand bei den
    Betroffenenrechten meines Erachtens noch sowas drin, wie dass die unabdingbar sind.
    Und dementsprechend wäre es wahrscheinlich vor 2018 vielleicht etwas schwieriger
    geworden, aber da gab es ja auch diesen umfassenden Auskunftsanspruch in der Form so noch nicht.
    Deswegen sicherlich etwas, was wir insgesamt hier bewerten müssen.
    Und ja, ich finde es auf jeden Fall ganz interessant, weil die Frage ist ja
    dann, in welchen Konstellationen kann sowas vielleicht auch noch funktionieren
    und hat das vielleicht, wie gesagt, findet das vielleicht noch irgendwo Nachahmer.
    Das gilt jetzt mal abzuwarten.
    So, dann kommen wir zu unserem heutigen Top-Thema. Das OVG Nordrhein-Westfalen
    hat entschieden, dass die bloße Möglichkeit einer späteren KI-Auswertung eine
    aktuell rechtmäßige Bildverarbeitung nicht automatisch unzulässig macht.
    Das Oberverwaltungsgericht Nordrhein-Westfalen hat sich mit Luftbildern beschäftigt,
    die eine Kommune zur Berechnung von Niederschlagwassergebühren genutzt hat.
    Auf den Aufnahmen waren Grundstücke, Dächer, Terrassen und andere versiegelte Flächen zu erkennen.
    Personen waren nicht identifizierbar. Auch Einblicke in Wohnräume waren nicht möglich.
    Die betroffene Grundstückseigentümerin befürchtete allerdings,
    dass die Bilder später mithilfe künstlicher Intelligenz geschärft oder mit anderen
    Daten verknüpft werden könnten.
    Dadurch könnten wesentlich genauere Informationen über das Grundstück und möglicherweise
    auch über die private Lebensführung entstehen.
    Dem Gericht reichte diese abstrakte Möglichkeit allerdings nicht aus.
    Entscheidend war, was mit den Bildern
    tatsächlich gemacht wurde und welche Verarbeitung konkret geplant war.
    Für eine KI-gestützte Bildschärfung oder eine Verknüpfung mit weiteren Daten
    gab es keine konkreten Anhaltspunkte.
    Datenschutzrechtlich wichtig ist dabei, dass auch wenn auf einem Luftbild keine
    Person zu erkennen ist, es sich natürlich trotzdem um personenbezogene Daten handeln kann.
    Das ist dann der Fall, wenn sich die Aufnahme einem bestimmten Grundstück und
    damit einem bestimmten Eigentümer zuordnen lässt.
    Das Gericht hielt die Verarbeitung dennoch für zulässig. Die Kommune nutzte
    die Bilder, um versiegelte Flächen zu ermitteln und Niederschlagwassergebühren
    zu berechnen, sodass die Verarbeitung einer kommunalen Aufgabe diente.
    Besonders wichtig war für das Gericht die geringe Aussagekraft der Aufnahmen.
    Die Bilder hatten nur eine niedrige Auflösung, private Details nicht erkennbar,
    und deshalb bewertete das Gericht den Eingriff in die Rechte der Betroffenen als gering.
    Auch die theoretische Möglichkeit eines Datendiebstahls oder eine spätere technische
    Aufbereitung genügt hierbei nicht.
    Solche Risiken müssen konkret dargelegt werden und allgemeine Hinweise darauf,
    was technisch irgendwann möglich sein könnte, reichen für ein gerichtliches Verbot nicht aus.
    Für Unternehmen zeigt der Beschluss zunächst, wie wichtig konkrete Risikobewertung
    ist, also dass nicht nur maßgeblich ist, was mit den Daten theoretisch möglich
    wäre, sondern entscheidend ist, welche Technik tatsächlich eingesetzt wird,
    welcher Zweck verfolgt wird,
    und welche zusätzlichen Verarbeitungsschritte realistisch geplant sind.
    Gerade bei Bildern und anderen umfangreichen Datensätzen sollten Unternehmen
    ausdrücklich dokumentieren, ob eine spätere KI-Auswertung vorgesehen ist und
    ebenso ist es sinnvoll, bestimmte Nutzungen vertraglich auszuschließen.
    Dazu gehören etwa dann nachträgliche Bildschärfung, das Training von KI-Modellen
    oder die Verknüpfung mit externen Datenquellen.
    Wichtig ist natürlich auch zu berücksichtigen, der Beschluss ist natürlich kein
    Freibrief für spätere KI-Auswertung.
    Werden Daten nachträglich geschärft, angereichert oder für neue Zwecke verwendet,
    muss die Verarbeitung natürlich neu bewertet werden.
    Dann können eine neue Rechtsgrundlage, zusätzliche Informationspflichten oder
    auch eine Datenschutzfolgenabschätzung erforderlich werden.
    Frag mich bei sowas ja immer, was haben die Leute eigentlich im Garten,
    was so viel Aufschluss über die Privatsphäre gibt.
    Ja, da wird man eigentlich noch neugieriger, wenn man sowas hört.
    Genau. Wer weiß, vielleicht lag gerade die Leiche, da sie noch im Garten vergraben
    wollte oder so. Das kann natürlich dann durchaus vielleicht problematisch werden.
    Gut, machen wir weiter, bevor das hier zu spekulativ wird.
    Das Oberlandesgericht Köln hat entschieden, dass die Veröffentlichung heimlich
    aufgezeichneter Tonaufnahmen aus einem privaten Livestream ohne Einwilligung
    das Persönlichkeitsrecht verletzt.
    Kurz zum Hintergrund, der Antragsteller nahm an einem nicht öffentlichen Livestream
    teil und während der Übertragung wurden dann seine Wortbeiträge von einem anderen
    Teilnehmer wiederum aufgezeichnet.
    Dieser veröffentlichte dann später wiederum diese Tonaufnahmen in einem öffentlich
    zugänglichen Livestream.
    Und dabei war dann der jetzige Antragsteller, also der, der sich zu Wort gemeldet
    hatte in dem vorherigen ersten Livestream, aufgrund seiner Stimme sowie der
    Nennung seines Vornamens und seines Plattformnamens identifizierbar.
    Der Betroffene verlangte jetzt deswegen im Rahmen einer einstweiligen Verfügung,
    dass die Aufnahmen künftig nicht mehr veröffentlicht werden dürften.
    Und das Oberlandesgericht gab der Beschwerde nun statt und erließ die begehrte
    einstweilige Verfügung.
    Dem Antragsgegner wurde entsprechend untersagt, diese heimlich aufgezeichneten
    Tonaufnahmen erneut zu veröffentlichen, wiederzugeben und natürlich zu verbreiten.
    Und das Gericht stellte außerdem auch nochmal klar, dass der Unterlassungsanspruch
    nicht durch die DSGVO ausgeschlossen wird.
    Vielmehr können Betroffene neben den Ansprüchen aus der DSGVO auch auf nationale
    zivilrechtliche Unterlassungsansprüche zurückgreifen.
    Nach Auffassung des Gerichts verletzt natürlich die Veröffentlichung der Tonaufnahmen
    das allgemeine Persönlichkeitsrecht des Antragstellers, insbesondere das Recht am gesprochenen Wort.
    Gucken da gerne natürlich in das Strafgesetzbuch 201 StGB und die schützt jeden
    davor, dass Äußerungen natürlich ohne Zustimmung aufgezeichnet und anschließend
    veröffentlicht werden.
    Wobei 201 schon die Aufzeichnung als solches natürlich unter Strafe stellt und
    nicht erst die anschließende Veröffentlichung. Das ist ein wichtiger Hinweis.
    Ja, und wie gesagt, auch Livestreams sind, wie gesagt, nicht automatisch öffentlich geäußerte Worte.
    Deswegen, wenn es wie in dem Fall hier ein privater Livestream ist,
    dann zählt das natürlich oder fällt das natürlich auch mit ins Gewicht.
    Also geschlossene Benutzergruppe zum Beispiel ist da ein ganz wichtiger Indikator.
    Deswegen dürfte der Antragsteller hier auch darauf vertrauen,
    dass seine Beiträge nur dem begrenzten Teilnehmerkreis zugänglich bleiben und
    die spätere Verbreitung dann durch andere Teilnehmer deswegen hier auch dann
    Rechtsverstoß darstellen.
    Für uns natürlich wichtig, daran zu denken.
    Wie gesagt, wenn wir das jetzt natürlich in unseren Alltag schauen.
    Immer häufiger finden wir Meetings, die aufgezeichnet werden,
    weil es natürlich mittels KI heutzutage sehr einfach möglich ist.
    Und dementsprechend sind wir natürlich auch genau in diesem Anwendungsbereich.
    Deswegen vielleicht an der Stelle
    auch nochmal der Hinweis auf die Privacy-Konferenz dieses Jahr am 28.
    Und 29. September in Berlin. Und da werden wir als Migrosense ja auch einen
    Workshop zur Nutzung des berechtigten Interessens als Rechtsgrundlage bei Transkription
    und KI-Zusammenfassungen machen. Also von daher meldet euch da gerne an.
    Wie gesagt, in Berlin live vor Ort.
    Gute Möglichkeit, uns auch mal persönlich kennenzulernen. Den Workshop werden,
    Laura und ich machen vor Ort.
    Also von daher kommt gerne vorbei. meldet euch an, wir freuen uns und gleichzeitig
    können wir das Thema Interessenabwägung bei Transkription und KI-Zusammenfassung einmal durchgehen.
    So, dann habe ich noch eine letzte Information. Frederik Richter wird sein Amt
    als Vorstand der Stiftung Datenschutz Ende Juli 2026 niederlegen.
    Somit endet nach mehr als 13 Jahren die Amtszeit des Gründungsvorstands,
    während Kirsten Bock die Leitung zunächst übergangsweise übernimmt.
    Ja, man munkelt. Er geht zu einer
    Aufsichtsbehörde, aber er wird nicht Aufsichtsdatenschutzbeauftragter.
    Aber wie gesagt, wir werden ihn wahrscheinlich in der Datenschutzwelt noch vielleicht wiedersehen.
    Ja, ich bin gespannt. Genau, es ist ja schon ein bekannter Mensch in der Datenschutzwelt,
    die Stiftung Datenschutz an sich sowieso.
    Und wir hatten ihn ja auch schon zu Gast hier in, ich glaube sogar,
    unserer ersten Silvester-Show. Deswegen, ja, glaube ich, ist es eine Meldung wert hier bei uns.
    Auf jeden Fall.
    Kommen wir zu unseren Veröffentlichungen und Veranstaltungen.
    Wobei ich glaube, wir haben heute nur Veröffentlichungen dabei.
    Aber vielleicht eine erste, die ist quasi Bezug zu letzter Woche.
    Letzte Woche hatten Gregor und David ja über die DSFA-Listen gesprochen und
    dass die niederländische Aufsichtsbehörde dort jetzt auch was veröffentlicht hat.
    Daraufhin hat sich eine Hörerin auch bei uns gemeldet. Vielen Dank dafür auch
    nochmal und darauf hingewiesen, dass es auch eine solche Liste in Österreich bereits gibt.
    Gerade weil wir ja auch viele Zuhörer in Österreich haben, habe ich gedacht,
    das ist vielleicht nochmal schön, wenn wir da auch nochmal drauf hinweisen.
    Die Liste gibt es dort schon seit 2018 und ist dort auch in einer entsprechenden,
    Verordnung der österreichischen Datenschutzaufsichtsbehörde niedergelegt.
    Und wir verlinken die auch nochmal hier in den Shownotes.
    Gerade für die österreichischen Zuhörer, glaube ich, eine gute Sache.
    Ich bleibe aber auch dabei, was Gregor und David letzte Woche gesagt haben.
    Da wäre es natürlich schön, auch auf europäischer Ebene vielleicht mal etwas zu haben.
    Der Europäische Datenschutzausschuss hat Leitlinien zur Anonymisierung und Web-Scrapping
    im Bereich generativer künstlicher Intelligenz sowie zur Verarbeitung personenbezogener
    Daten durch Blockchain-Technologien verabschiedet.
    Die Leitlinien bieten klare Definitionen für anonyme Daten und enthalten einen
    kontextuellen sowie vereinfachten Ansatz zur Bewertung der Anonymisierung.
    Auch beim Web-Scrapping für KI-Training hat der Ausschuss die Anforderungen konkretisiert.
    Im Mittelpunkt stehen dabei grundsätzlich die Rechtsgrundlage,
    die Zweckbindung, die Transparenz und die Datenminimierung.
    Die Leitlinien zur Anonymisierung und Webscrapping können noch bis zum 30.
    Oktober 2026 öffentlich konsultiert werden.
    Der Beitrag ist daher ein Lesetipp für alle, die gegebenenfalls KI-Projekte
    datenschutzrechtlich bewerten oder den Einsatz gescrappter Trainingsdaten begleiten,
    oder natürlich auch für alle anderen Interessierten.
    Ja, also auf den haben wir ja jetzt lange gewartet, auch die Leitlinien zur Anonymisierung.
    Ich habe selber noch keinen Blick reinwerfen können, aber ich glaube,
    das hat nochmal einen sehr hohen praxisrelevanten Anteil. Deswegen nimmt die
    Konsultationen, glaube ich, gut, wenn man die auch nutzt.
    Wobei, das wissen wir spätestens seit der Themenfolge mit Herrn Professor Kugelmann,
    die sind jetzt schon gültig.
    Also das heißt, in dem Moment, wo die veröffentlicht sind, auch wenn sie noch
    zur Konsultation stehen, sind sie aber schon durch die Landesaufsichtsbehörden
    dann auch natürlich anwendbar.
    Die französische Datenschutzaufsicht KNIL hat eine neue Empfehlung zum datenschutzkonformen
    Umgang mit Standortdaten vernetzter Fahrzeuge veröffentlicht und damit auch
    ihre Leitlinie aus dem Jahr 2010 ersetzt.
    Und in dem Papier beschreiben sie praxisnah, wie Hersteller,
    Flottenbetreiber und Telematikanbieter die Anforderungen der DSGVO bei der Verarbeitung
    von Fahrzeugstandortdaten umsetzen können.
    Mittelpunkt stehen dann wiederum Vorgaben zur Datenminimierung,
    Transparenz, Speicherfristen, Datensicherheit, aber auch Datenschutz durch Technikgestaltung.
    Das Ganze wurde jetzt am 30. Juni im französischen Amtsblatt veröffentlicht
    und soll natürlich als Orientierung für den datenschutzkonformen Einsatz dann
    in Connected-K-Diensten herangezogen werden.
    Das Dokument ist meines Wissens bisher nur auf Französisch verfügbar,
    aber ich traue allen zu, heutig moderne Tools zum Übersetzen zu nutzen.
    Also von daher, wer in dem Bereich tätig ist, glaube ich, der kann da sicherlich
    auch das eine oder andere vielleicht noch sich mal draus ziehen.
    Mein letzter Tipp führt nach Brüssel. Dort hat am 9. Juli 2026 eine Fachkonferenz
    zum Einsatz künstlicher Intelligenz in modernen Personalprozessen stattgefunden.
    Besonders betrachtet wird dabei der öffentliche Sektor der Europäischen Union.
    Dabei geht es um die Frage, wie Grundrechte auch in einer zunehmend digitalisierten
    Arbeitswelt wirksam geschützt werden können.
    Die Aufzeichnung ist daher bestimmt interessant für alle, die sich mit KI im
    Personalwesen, automatisierten Ausfallfahren und den datenschutzrechtlichen
    Grenzen solcher Systeme befassen.
    Wunderbar, dann sind wir durch für heute. Vielen Dank, liebe Julia.
    Vielen Dank dir.
    Euch auch vielen Dank fürs Zuhören. Nutzt gerne weiterhin Möglichkeiten zur
    Kommentierung auf der Folgenseite. Den Link findet ihr in den Shownotes.
    Nutzt auch gerne die Gelegenheit, uns Reviews zu hinterlassen.
    Unter fünf Sternen geht natürlich nichts. Nein, seid ehrlich,
    aber wir freuen uns natürlich über jede Positive und in dem Sinne,
    bleibt uns gewogen und auf bald.
    Bis dann.