Moderation:
Zu Gast:
Willkommen zur Silvestershow des Datenschutz-Talk-Podcasts, direkt aus der Datenschutzzentrale der migosens und den ehrwürdigen Hallen des Hauses der Wirtschaft in Mülheim an der Ruhr. In dieser besonderen Folge blicken wir auf das Jahr 2024 zurück und haben spannende Gäste eingeladen:
- Thomas Fuchs, hamburgischer Beauftragter für Datenschutz und Informationsfreiheit
- Simon Weidler, Manager EMEA Policy, Privacy and Data Regulation bei Meta
- Dr. Paul Voigt, Partner und Head of TMT Germany bei Taylor Wessing
Unsere Gastgeber, Laura Droschinski und Heiko Gossen, führen durch die Sendung und reflektieren über die wichtigsten Ereignisse und Entwicklungen im Datenschutz des vergangenen Jahres. Begleitet werden sie von den migotones, die musikalisch für Stimmung sorgen.
In dieser Folge erwarten euch:
- Ein Rückblick auf die Datenschutz-News und Themenfolgen des Jahres 2024
- Statistiken und Highlights aus dem Podcast-Jahr
- Beliebte Outtakes und unterhaltsame Momente
- Mit Thomas Fuchs sprechen wir unter anderem über die 900.000 € Bußgeld, die seine Behörde in diesem Jahr verhängt hat, über sein Positionspapier zur Frage personenbezogener Daten in Large Language Models sowie über den Wechsel seiner Aufsichtspraxis im Vergleich zu seinem Vorgänger Prof. Dr. Johannes Caspar.
- Simon Weidler äußert sich zu mehreren wichtigen Themen im Bereich des Datenschutzes. Er erläutert die Datenschutzstrategien von Meta und wie das Unternehmen auf die sich ständig ändernden Datenschutzgesetze in Europa reagiert. Außerdem betont er, wie wichtig es ist, den Datenschutz in die Unternehmenskultur zu integrieren und die Nutzer transparent über die Datenverarbeitungspraktiken zu informieren.
- Dr. Paul Voigt erläutert seine Sicht auf die zukünftige Relevanz der AI-Verordnung und wie sich die Datenschutzgesetzgebung in den USA unter dem neuen Präsidenten entwickeln könnte.
Wir danken unseren diesjährigen Gästen und besonders unserem gesamten Team, das das ganze Jahr über hinter den Kulissen gearbeitet hat, um den Datenschutz-Talk-Podcast möglich zu machen. Ein besonderer Dank geht an Lara, Sarah, Tim, Dieter, David, Gregor, Natalia und Lothar.
Schaltet ein und feiert mit uns das Ende eines ereignisreichen Jahres im Datenschutz! Übrigens findet ihr dieses Jahr die gesamte Show auch als Video: https://youtu.be/BHtZotv-sbg
Weitere Infos, Blog und Newsletter findet Ihr unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/menschen-bilder-datenschutz-die-grosse-datenschutz-silvestershow-2024/
#TeamDatenschutz #TeamInfoSec #DSTalk #Jahresrückblick Datenschutzstrategien #Meta #Datenschutzgesetze #Europa #Unternehmenskultur #Datenverarbeitung #DatenschutzCompliance #Datenschutzbehörden #podcast #datenschutz
Transkript zur Folge:
Direkt aus der Datenschutzzentrale der Migosens, aus dem Herzen der Datenschutzwelt
und den ehrwürdigen Hallen des Hauses der Wirtschaft in Mühlheim an der Ruhr.
Menschen, Bilder, Datenschutz.
Die Silvesterschau des Datenschutz-Talk-Podcasts. Als Gäste begrüßen wir den
hamburgischen Datenschutzbeauftragten Thomas Fuchs,
Simon Weidler von Meta und Rechtsanwalt Dr. Paul Vogt von Taylor-Wessek.
Begrüßen Sie nun die Gastgeber des heutigen Abends, die Frauke Ludowig und den
Guido Maria Kretschmer der Datenschutzszene.
Hier sind Laura Droschinski und Heiko Gossen.
Was für eine Begrüßung, würde ich sagen. Hallo Laura.
Hallo Heiko.
Ja, da sind wir wieder. Das Jahr ist so gut wie rum.
Es ist wieder viel passiert und wir blicken natürlich wieder zurück auf das
Jahr 2024 mit unserer Silvester-Show.
Genau, wir haben viel zu bereden. Wie du schon sagtest, viel ist passiert.
Es wird auch sicherlich heute nicht langweilig.
Das glaube ich auch und ihr habt es schon gehört, wir haben natürlich wieder
die Migo-Tones mit dabei, die zuverlässig wie jedes Jahr unsere Gäste begrüßen und verabschieden.
Und wir freuen uns natürlich nicht nur, dass die Migo-Tones da sind,
sondern natürlich auch wieder viele Gäste, beziehungsweise drei Gäste,
viele oder wenig, das sei jetzt mal hingestellt.
Aber nein, wir freuen uns natürlich sehr, auch hier wieder Vertreter aus Wirtschaft,
Recht und Aufsicht begrüßen zu dürfen.
Sei es beispielsweise Simon Weidler von Meta als Manager EMEA Policy,
Privacy and Data Regulation. Weiter geht es mit Dr.
Paul Vogt als Partner and Head of TMT Germany bei Taylor Wessing.
Und zu guter Letzt freuen wir
uns sehr auf Thomas Fuchs von der Datenschutzaufsichtsbehörde in Hamburg.
So ist es und tatsächlich, wir haben das ja in den letzten Jahren gemerkt,
dass wir doch mit den Gästen gerne ein bisschen länger quatschen,
als wir uns das vorher vorgenommen haben.
Und deswegen auch, glaube ich, unseren Zuhörern vielleicht nochmal die Erklärung
schuldig sind, warum wir dieses Jahr weniger haben, weil wir glauben, weniger ist mehr.
In dem Fall tatsächlich dann die Dauer der Sendung nicht überstrapazieren.
Weil man die nicht in mehreren Teilen hören muss.
Genau. Und damit begrüße ich natürlich auch euch ganz herzlich,
liebe Zuschauer, liebe Zuhörer.
Zuschauer sagt schon, wir sind natürlich dieses Jahr auch wieder auf YouTube
mit Video vertreten bei dieser Sendung.
Wir freuen uns, dass ihr wieder mit dabei seid, aber natürlich auch,
dass ihr das ganze Jahr über uns gefolgt seid und unsere Datenschutz-News gehört
habt oder auch vielleicht mal in die Themenfolgen reingehört habt.
Also von daher freuen wir uns, dass ihr heute auch wieder mit dabei seid.
Genau, und mit dabei ist auch ein ganz gutes Stichwort, denn wir haben natürlich
auch wieder mal ein bisschen Statistik von diesem Jahr mitgebracht,
aber natürlich auch unsere beliebten Outtakes und natürlich auch unseren Jahresrückblick.
Also was hat uns die letzten vier Monate im Datenschutz-Talk-Podcast bewegt?
Auch hier schauen wir gemeinsam mit euch drauf zurück.
Damit möchte ich natürlich den Dank noch nicht ganz abschließen,
außer dass ich dir natürlich ganz herzlich danke, dass du wieder an meiner Seite
bist und wir hier gemeinsam die Silvester-Show rocken dürfen.
Aber es ist natürlich nicht immer nur, wir sind ja nicht immer nur die Sprecher
hier, also jetzt auch natürlich heute nicht nur,
aber es ist natürlich auch im ganzen Jahr über ein ganzes Team,
was dafür sorgt, dass insbesondere die Datenschutz-News natürlich immer pünktlich
am Freitagnachmittag erscheinen.
Ein sehr straffer Prozess, der dahinter steht, das muss man auch dazu sagen,
also angefangen von der Recherche der News bis zum Freitagmorgen um 10 Uhr typischerweise,
dann die Sprecher, die sich die Themen ansehen, sortieren, aufbereiten und dann
natürlich auch die Podcast-Folge vorbereiten.
Dann haben wir natürlich im Hintergrund dann auch noch Leute,
die die Veröffentlichung vorbereiten.
Das ist zum Beispiel die Lara, die das sehr regelmäßig macht.
Die Sarah, die zum Beispiel sehr intensiv in der Vorbereitung mit unterstützt.
Bei der Recherche, der News, aber auch der Tim ist da natürlich regelmäßig mit dabei.
Dann haben wir den Dieter. Ganz herzlichen Dank auch an ihn,
der die Folgen regelmäßig schneidet, die dann am Nachmittag von der Lara wieder
veröffentlicht werden. Und natürlich dem ganzen Sprecherteam sei auch ganz herzlichen Dank.
Also David, Gregor, Natalia und Lothar und wie gesagt natürlich auch dir,
Laura. Du bist ja auch regelmäßig dabei.
Genau und wollen wir mal ein bisschen in die Statistik schauen,
denn das hier ist heute die 306. Folge des Datenschutz-Talk-Podcasts und wir
haben wieder verpasst, die 300.
Folge dieses Jahr zu feiern, wie es uns nie gelingt.
Genau, also da ist zumindest Konstanz drin. Ja, also wir schaffen es immer,
die Jubiläumsfolgen nicht zu feiern.
Genau, richtig. Aber nichtsdestotrotz freuen wir uns dann, wenn es uns auffällt.
Weiter geht es dann. In diesem Jahr haben wir es geschafft, 54 News-Folgen zu
produzieren und darüber hinaus eine Themenfolge.
Leider ein bisschen weniger als die letzten Jahre, aber wir sind trotzdem stolz
drauf, dass uns das gelungen ist. Die durchschnittliche Länge der Folgen ist
ein ganz klein wenig kürzer auch geworden.
Wir liegen aktuell bei 20,2 Minuten im Gegensatz zu dem Jahr davor,
wo jede News-Folge im Schnitt 24 Minuten hatte.
Aber ich glaube, das hat weniger an den Themen gelegen, weil wir haben jede
Woche so eine Vielzahl an Themen mittlerweile, aus denen wir auswählen dürfen,
dass uns das nicht immer so leicht fällt.
Aber vielleicht können wir da nochmal das eine oder andere Thema mehr mit aufnehmen
für das kommende Jahr. Und wer sich alle unsere Folgen anhören möchte,
der muss mal mittlerweile fünfeinhalb Tage einplanen. Das finde ich ist schon
eine stattliche Anzahl.
Ist eine Menge Holz, sehe ich auch so. Und ja, es wäre wahrscheinlich noch mehr,
wenn wir mehr Themenfolgen gemacht hätten dieses Jahr.
Aber tatsächlich war dieses Jahr sehr voll mit sehr vielen anderen Themen und
da mussten die Themenfolgen leider etwas zurückstehen. Das natürlich nicht daran
liegt, dass wir keine Themen hatten, sondern da gab es natürlich viele.
Viele sind, glaube ich, auch nach wie vor noch aktuell, sodass wir versuchen
und das ist unsere feste Absicht nächstes Jahr auf jeden Fall wieder mehr Themenfolgen
zu liefern, weil ich weiß, da warten natürlich auch viele und auch zu Recht drauf.
Wollen wir dann vielleicht auch mal ein bisschen auf Wachstum schauen.
Wir freuen uns immer sehr, wenn wir natürlich feststellen, dass wir mehr Zuhörer
jedes Mal erreichen und gewinnen.
Also von daher auch alle nochmal ganz herzlich willkommen, die dieses Jahr dazu
gekommen sind. Das Wachstum hat sich dieses Jahr vor allen Dingen auf Spotify
und YouTube abgespielt.
Wir haben bei Spotify insgesamt 17% mehr Zuhörer gewonnen, was ich auch schon
beachtlich finde und tatsächlich über 43% bei den Followern zugelegt.
Das ist auch sehr stattlich und finde ich persönlich etwas, wo wir auch ein
Stück weit stolz drauf sein dürfen.
Von den Folgen her, die Top-Folge war die Kalenderwoche 11.
Da ging es unter anderem um die Datenschutzverstöße bei M365,
Nutzung durch die EU-Kommission.
Gehört wurden wir in 27 Ländern.
Anscheinend leben auch im Ausland Menschen, die gut Deutsch verstehen.
Aber ich vermute, dass es vielleicht sogar auch häufiger war,
dass Menschen uns dann auch im Urlaub gehört haben.
Was mich natürlich auch enorm freut, weil ich meine, das muss man halt auch
erstmal machen, im Urlaub noch Lust auf Datenschutz haben.
Finde ich mega. Ja, und dann eine schöne Spotify-Statistik auch.
600 Fans, die den Datenschutz-Talk gehört haben, für die gehören wir zu den Top-10-Shows.
Für knapp 400 sogar zu den Top-5-Shows.
Und tatsächlich für 119 Fans, 119 Fans sind wir die Top-1-Show.
Mega.
Das ist nicht cool?
Ja, freut uns sehr. Und wir sind natürlich auch stolz auf unsere Bewertung,
Weil auch bei Apple Podcast halten wir weiterhin die fünf Sterne.
Liegt auch daran, dass wir dieses Jahr gar keine neue Bewertung bekommen haben.
Deshalb der Aufruf an euch.
Bitte, wir freuen uns sehr über jede Bewertung, die uns da erreicht.
Und hoffen wir, dass wir in der nächsten Silvester-Show von ein paar mehr Bewertungen erzählen dürfen.
Und weiterhin auch bei Spotify haben wir im Schnitt 4,6 Sterne.
Das ist auch was, was wir hoffen, dass unsere Leistung auch gebührend widerspiegelt.
Wie du schon sagtest, YouTube ist auch stark gestiegen im letzten Jahr,
verellfacht haben wir hier gegenüber der Zuschaueranzahl, gegenüber von 2023
auch eine sehr schöne Entwicklung, wie ich finde.
Definitiv, was sicherlich auch dazu beiträgt, dass wir da jetzt regelmäßig natürlich
auch die Folgen hochladen, allerdings da nur als Audio, wenn es um die Newsfolgen geht.
Die Themenfolge, die wir jetzt dieses Jahr gemacht haben, die war natürlich
auch als Video dort verfügbar und vielleicht noch ein Wort zu den Apple Podcast Bewertungen.
Denn es ist zumindest die sichtbare, also das heißt, die, die auch eine Kommentierung,
eine Rezension sozusagen erkennbar ist. Die ist über ein Jahr her.
Es kann natürlich sein, dass mehrere auch noch uns fünf Sterne vergeben haben im letzten Jahr.
Aber wir freuen uns natürlich über jeden, der halt auch ein paar warme Worte darlässt.
Oder auch, wie gesagt, kritische Stimmen, wo wir uns verbessern können,
sind natürlich immer gut, weil wir wollen ja besser werden.
Ich glaube, wir haben das ein oder andere auch schon aufgegriffen aus der Vergangenheit.
Also es ist keine vergebene Liebesmühe, wenn man uns Feedback gibt,
sei es halt, wie gesagt, auf der Plattform eurer Wahl, wo ihr uns bewerten könnt,
gerne aber natürlich auch per E-Mail datenschutztalk.migosense.de oder natürlich
auch über die Social-Media-Kanäle.
Ja und damit würde ich sagen, Laura, wechseln wir mal in den Rückblick,
das was ja eigentlich unser Auftrag in dieser Sendung ist.
Wir gucken einmal zurück auf das erste Quartal und welche Themen denn dort uns
vor allen Dingen immer als Top-Themen in der Woche beschäftigt haben.
Eine nun bekannt gewordene Schwachstelle im Mail-Übertragungsprotokoll SMTP
ermöglicht es, Sicherheitsmechanismen gegen Phishing- und Spam-Mails zu umgehen.
Ich habe mitgebracht ein Urteil des Amtsgerichts in Suhl, welches festgestellt
hat, dass die Übermittlung einer unverschlüsselten Auskunft gegen das Datenschutzrecht verstößt.
Ja, die Bundesregierung hat
den Entwurf des BDSG-Änderungsgesetzes verabschiedet und veröffentlicht.
Wir haben in dieser Woche tatsächlich den Abschluss erreicht,
die Verabschiedung der KI-Verordnung durch das Europäische Parlament.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen
hat die erste Zertifizierungsstelle für Auftragsverarbeiter genehmigt.
Der europäische Datenschutzbeauftragte hat Datenschutzverstöße bei der Nutzung
von Microsoft 365 durch die EU-Kommission festgestellt und setzt jetzt eine
Frist bis zum 9. Dezember.
Einem Bußgeld der französischen Aufsichtsbehörde, diese verhängt eine Millionenstrafe gegenüber Amazon.
Die Logistiksparte des US-Konzerns soll demnach 32 Millionen Euro Bußgeld zahlen.
Und zwar hat das Europäische Parlament und der Rat eine politische Einigung
darüber erzielt, dass jetzt der Europäische Raum für Gesundheitsdaten kommen soll.
Der Ablehn-Button im Cookie-Banner muss laut dem OLG Köln in Form,
Größe und Farbe gleichwertig mit dem Akzeptieren-Button sein.
Neub und 27 weitere Organisationen haben den EDPB zur Ablehnung des PORK-Modes von Meta aufgefordert.
Mehr in Medienberichten zufolge ist wohl das größte Datenleck aller Zeiten entdeckt worden.
Mother of all breaches, wir haben im Vorfeld schon gelacht.
Der Europäische Datenschutzausschuss, kurz ETSA, hat seine europaweite Aktion,
das sogenannte Coordinated Enforcement Framework, für 2024 gestartet.
Dieses Jahr soll das Thema die Umsetzung des Auskunftsrechts sein.
Bundesamt für Sicherheit in der Informationstechnik, kurz BSI,
hat auf eine große Menge von ungepatchten Exchange-Servern aufmerksam gemacht.
Jetzt hat das Landgericht Stuttgart zu einem Fall auf der Plattform X geurteilt.
Geklagt hatte eine Userin von X, weil auf der Plattform im Sommer 2021,
damals hieß sie noch Twitter,
eine offene Schnittstelle bestand, die es Hackern ermöglicht,
mithilfe einer E-Mail-Adresse oder einer Handynummer gesamte Profile zu scrapen.
Ich finde, einen ganz guten Ansatz hat auch der Hamburgische Beauftragte für
Datenschutz und die Informationsfreiheit bei dem Thema Abo-Modelle bei Online-Plattformen,
denn er hat nun ein Ersuchen an den Europäischen Datenschutzausschuss gestellt,
hier eben eine Stellungnahme umzusetzen.
Dann komme ich zu unserem Titelthema
für heute und zwar dem schon angesprochenen Bußgeld gegen Avast.
Dieser wurde in den USA durch die Federal Trade Commission verurteilt,
ein Bußgeld in Höhe von umgerechnet rund 15 Millionen Euro zu bezahlen.
Wir kommen zum Thema Google Street View. Der hessische Beauftragte für Datenschutz
hat darauf hingewiesen, dass Widersprüche gegen die Darstellung des eigenen
Hauses in Google Street View erneuert werden müssten.
Es waren tatsächlich enorm viele Themen, die mir manchmal, es geht mir aber
jedes Jahr so, natürlich gar nicht immer alle präsent waren,
geschweige denn, ich sie vielleicht alle zwingend in diesem Jahr verortet hätte.
Welches hat dich besonders interessiert oder welches hat für dich rausgestochen?
Also für mich war es schon das Urteil vom OLG Köln zum Cookie-Banner.
Ich glaube, das ist was, was uns natürlich in der Praxis immer wieder beschäftigt
und ja jeden beschäftigt, der unabhängig, ob er Datenschützer ist oder nicht,
ist konfrontiert mit dieser Art von Datenverarbeitung.
Und eben hier nochmal die Klarstellung, wie wichtig ist es, diesen Ablehn-Button
zum einwilligen Button auch gleichwertig zu halten.
Also da ging es ja darum, um einen Fall, wo die Verbraucherzentrale auch auch
zentrale Gegenwetter online geklagt hatte, weil die eben neben einem sehr hervorgehobenen
Einwilligungsbutton und einem ganz schwach dargestellten Einstellungsbutton
gar keine Möglichkeit hatten,
der Ablehnfunktion auf der ersten Ebene.
Selbst das Weckixen war nur mit Akzeptieren möglich. Also auch da ein ganz extremer Fall, glaube ich.
Aber auch im Laufe des Jahres hatten wir ja nochmal Urteile,
nicht nur auf nationaler Ebene, Auch aus Österreich haben wir ja auch berichtet,
wo auch hier das Bundesverwaltungsgericht in Österreich Ende Juli ein Urteil
dazu gesprochen hat und auch nochmal klargestellt hat, wie wichtig es ist,
dass wir hier die Gleichwertigkeit und Trennung von Zustimmung und Ablehnung
klar für die betroffenen Personen sichtbar sein muss.
Ja, ich hatte es ja eben schon angesprochen, die KW11 mit dem Verstoß der Kommission
gegen Datenschutzvorgaben bei der Nutzung von M365 fand ich,
wie gesagt, auch nochmal ganz interessant, weil die Frist, das hatten wir,
glaube ich, hier gar nicht mehr explizit in unseren News berichtet,
lief ja Anfang Dezember aus, 9.
Dezember. Der europäische Datenschutzbeauftragte hat ja mehrere Dinge bei der
Nutzung von M365 durch die EU-Kommission bemängelt.
Es ging unter anderem auch um das Thema Zweckbindung, aber Zeitpunkt der Untersuchung
war ja vor dem Data Privacy Framework und damit halt dann auch zu einem Zeitpunkt,
wo man gesagt hat, das Staatentransfer war nicht sauber gelöst.
Es ging aber auch halt zum Beispiel dann um die Datenströme und wie die letztendlich
halt genau sind bezüglich Unterauftragnehmer und so weiter. So jetzt,
lange Rede, kurzer Sinn.
Ja, 9. Dezember hatte die EU-Kommission Frist, um diese Datenströme auszusetzen
und auch die entsprechende Stellung zu nehmen.
Das hat sie tatsächlich auch pünktlich getan.
Am 6. Dezember hat die EU-Kommission dem Europäischen Datenschutzbeauftragten
also eine entsprechende Stellungnahme vorgelegt. Und ja, der EDSB ist jetzt
wohl an der Prüfung des Berichtes dran.
Das ist wohl etwas umfangreicher und er sagt auch, die Komplexität ist natürlich
so, dass man da jetzt sehr gründlich prüft.
Angesichts des laufenden Gerichtsverfahrens, so der EDSB, in denen ja seine
Entscheidungen auch angefochten werden, dazu hatten wir ja auch berichtet,
soll es halt wohl auch keine weiteren Stellungnahmen seitens des EDSB geben.
Also man will jetzt hier natürlich auch nicht irgendwelchen Gerichtsentscheidungen
noch irgendwo Futter liefern oder irgendwo sich selber wahrscheinlich Steine in den Weg legen.
Ja und damit kommen wir, glaube ich, zu unserem ersten Gast, Laura, oder?
Genau, so ist es. Und zwar, er ist wohl einer der Experten, wenn es um die Schnittstellen
von Datenschutz, Spitzentechnologien und nachhaltiger Entwicklung geht.
Mit einem beeindruckenden akademischen Hintergrund, der ihn von Salzburg über
Maastricht, Hannover bis nach London geführt hat, bringt er nicht nur fundiertes
Wissen, sondern auch eine globale Perspektive mit. Auch nicht verwunderlich
ist daher sein besonderes Sprachtalent.
Er spricht Deutsch, Englisch, Spanisch, Italienisch, Französisch und Niederländisch.
Seit 2021 ist er Teil des Datenschutzteams von Meta IMEA, wo er eine Schlüsselrolle übernimmt.
Er verantwortet die datenschutzrelevanten Aspekte von Metas Geschäftsmodellen
und Produkten in der EU und leitet zudem die datenschutzpolitischen Angelegenheiten
in der gesamten DACH-Region. Doch damit nicht genug.
Unser Gast war zuvor German Privacy Lead und EMEA Deputy Privacy Lead bei Cisco
und davor hat er bei der Europäischen Kommission als Policy and Legal Advisor
for Data Regulation an der europäischen Cloud-Strategie mitgearbeitet.
Freut euch also auf spannende Einsichten und einen Blick in die Zukunft unserer Datenschutzwelt.
Begrüßt mit uns bitte Simon Weidler.
Ja, vielen Dank für die Einladung und schön, dass ich heute dabei sein darf.
Ja, herzlich willkommen nochmal an dieser Stelle, lieber Simon.
Wir freuen uns auch sehr, dass du dieses Jahr Teil unserer Silvester-Show bist und der erste Gast.
Ja, ich habe ja schon gesagt zur Einleitung, wow, also du hast einen tollen
Weg hinter dir und gerade auch, glaube ich, eine sehr verantwortungsvolle Aufgabe bei Meta.
Vielleicht erzähl uns, erzähl unseren lieben Zuhörerinnen und Zuhörern doch ein bisschen was dazu.
Ja, ja, vielen Dank. Die Frage bekomme ich nämlich oft, was macht ein Datenschutzpolitik-Team?
Und ist auch eine berechtigte Frage, weil in vielen anderen Unternehmen ist
es wahrscheinlich ein Hut, den entweder die Rechtsabteilung mit aufhat oder
auch die Government Affairs-Abteilung.
Bei uns wurde speziell für den Thema ein eigenes Team gegründet. Was machen wir?
Im Grunde sind wir ein bisschen der Seismograph in der Region,
in den verschiedenen Märkten und auch EU-Mitgliedstaaten, in denen wir aktiv
sind, um zu erfassen, was passiert hier regulatorisch,
wohin geht die Reise hin und welche Entwicklungen sind natürlich für uns relevant,
jetzt nicht nur in der Planung oder Umsetzung unserer Produkte,
sondern natürlich auch in der Entwicklung der entsprechenden Leitfäden,
Richtlinien und auch unternehmensinterne Policies.
Im gleichen Zug bin ich natürlich auch ein gewisser Maßen der Sprachrohr nach außen.
Das heißt, ich bin derjenige, der dem Unternehmen in der Datenschutz- und datenschutzpolitischen
Debatte auch ein Gesicht und eine Stimme gibt und auch natürlich unsere Position nach außen trage.
Auch Sachverhalte erkläre und natürlich auch auf Frage und Antwort stehe,
wenn es Rückfragen gibt.
Deswegen würde ich sagen, ganz spannender Beruf.
Viele unterschiedliche Aspekte kommen da in die alltägliche Arbeit mit rein.
Und ich muss sagen, es erlaubt mir auch so meine vollumfängliche Erfahrung, die ich sammeln konnte,
sei es bei der Europäischen Kommission, aber auch als Datenschutzbeauftragte
oder auch in der Rechtsabteilung eines anderen US-Unternehmens hier wirklich
tagtäglich zum Einsatz zu bringen.
Sehr beeindruckend. Und ich glaube, das erklärt auch, weshalb wir dich eingeladen
haben, weil wir uns natürlich versprechen, dass du nochmal eine ganz andere
Sicht auf die Dinge hast.
Aber lieber Heiko, ich glaube, du möchtest mit ihm einmal mal zurückblicken, oder?
Genau, also ich glaube auch, das passt ganz hervorragend. Für,
ich glaube, uns Außenstehende sieht es so aus, als ob Meta doch ein aufregendes
Jahr im Bereich Datenschutz hinter sich hat.
Sei es die Entscheidung zum rechtswidrigen Verhalten bei Pay or Okay oder auch
91 Millionen Euro Bußgeld hatten wir hier schon bei uns in den News in diesem
Jahr. war natürlich das kürzlich auch ergangene WGH-Urteil zu dem Scraping-Fall.
Was hat davon so bei euch denn am meisten Wellen geschlagen und wie blickt ihr
und du auf dieses Datenschutzjahr zurück?
Ja, ich glaube, die Themen, die uns am meisten beschäftigt haben,
sind natürlich einige wesentliche Urteile,
die aus dem letzten Jahr auch noch, wie das WGH-Urteil im Bundeskartellamt-Fall,
dass sich ja eigentlich die Nachwählen man erst wirklich dieses Jahr zu spüren
bekommen hat, aber auch natürlich das angesprochene BGH-Urteil und davor natürlich
auch die entsprechenden EuGH-Urteile,
auch zu Verbandsklagen, die natürlich hier auch nochmal das Ganze gestärkt haben.
Und natürlich zwei große Themen, die uns natürlich schwer beschäftigen,
sind das Thema Online-Werbung,
personalisierte Werbung sowie auch Pay-Your-Consent-Modelle und auch natürlich
der Team-Blog-KI, der jetzt auch
gerade ganz spannend alle auf eine Ätzer-Entscheidung die Tage warten,
die hoffentlich aber wahrscheinlich eher nicht mehr Rechtssicherheit und Klarheit schaffen soll. Genau.
Jetzt haben wir das BGH-Urteil und mich hat es etwas überrascht zugegebenermaßen,
weil aus meinem Verständnis heraus der Europäische Gerichtshof ja eigentlich
gesagt hatte, man muss halt den Schaden nachweisen, der zu einem Schadensersatz führen soll.
Der BGH hat jetzt nach meinem Verständnis ein wenig anders entschieden und hat halt gesagt,
dass selbst der Kontrollverlust über die eigenen Daten schon ein Schaden ist,
der auch nicht weiter nachgewiesen werden muss, so mein Verständnis zumindest
und der damit halt vielleicht auch nicht viel,
aber doch zumindest schon mal auch einen kleinen Schadensersatz auslöst.
Wie hat das Urteil bei euch, wie habt ihr das wahrgenommen und wie blickt ihr
jetzt im Moment da drauf?
Ja, also ich meine, natürlich hat das auch bei uns zur Verwunderung geführt,
weil im Grunde, wie du schon richtig sagst, war es nicht zu erwarten auf Grundlage
des EuGH-Urteils, das ja ganz klar sagt, EuGH verlangt einen Nachweis für den
Kontrollverlust und lehnt jedoch eine Gleichsetzung von Verstoß und Schaden ab.
Das heißt, die Beweggründe des BGH hierfür sind nicht ganz klar,
muss ich leider so sagen.
Es bleibt jetzt auch ein bisschen abzuwarten, wie sich das weiterentwickelt.
Wir sind natürlich weiter dabei, das Ganze zu prüfen und auch zu überlegen,
welche weiteren Schritte wir einleiten.
Aber natürlich muss man ganz klar sagen, dass diese Entscheidung ja jetzt erstmal
natürlich ein Einzelfallentscheidung ist,
aber natürlich laufende zukünftige Prozesse beeinflussen wird und natürlich
auch zahlreiche ähnliche Klagen vor deutschen Gerichten auch in Bezug auf andere
Verantwortliche auch mit beeinflussen wird. Das heißt, das ist so ein Klassischer.
Ich nenne das Szenario immer, it’s a meta moment, but not a meta issue.
Und das ist wieder so ein Fallbeispiel, wo es natürlich wir die Ersten sind,
die jetzt erstmal mit dieser Rechtsunsicherheit umgehen müssen und natürlich
auch versuchen, als Unternehmensseite das Ganze richtig zu navigieren.
Aber eigentlich, dass es ja schon
mal für alle sehr relevant ist und wir natürlich hier auch im Fokus sind.
Und ich glaube, was wichtig ist, auch nochmal anhand dieses Urteils darzulegen,
ist, dass es ja eigentlich einer Serie von Urteilen folgt.
Und natürlich auch nochmal, vor allem in Bezug auf Artikel 82.1 der DSGVO.
Natürlich dann auch die Klagelandschaft in Deutschland nochmal wesentlich verändert.
Weil man hat ja gesehen, dass ja jetzt auch Verbandsurteile gestärkt worden sind,
was natürlich auch eine ganz wesentliche Rolle spielt, nachdem man auch zuletzt
mitbekommen hat, dass jetzt auch Neub von Max Schrems als qualifizierte Einrichtung
für Verbandsklagen anerkannt wurde.
Und natürlich kommt jetzt dazu, dass eben die Schwelle für Klagen für immaterielle
Schäden, für Kontrollverlust natürlich jetzt auch gesenkt wurde.
Und da muss man sich fragen, was bedeutet das jetzt nicht nur für Meta,
aber auch grundsätzlich für Unternehmen?
Weil erstens kann man mal die Frage einstellen, was bedeutet das für die Effektivität
von Artikel 82 insgesamt?
Natürlich ist er gedacht, um den Schutz besonderer Daten zu verbessern.
Aber es besteht natürlich jetzt die Sorge, dass es zu unverhältnismäßigen Belastungen
und Unsicherheiten für Verantwortliche führt.
Und natürlich ist auch die andere Frage, die man sich wirklich stellen muss,
wer profitiert wirklich?
Weil wenn Betroffene jetzt natürlich eine Möglichkeit haben,
Entschädigungen zu erhalten, scheint ja oft, dass der Rechteleister hier Hauptnutznießer sein kann.
Und natürlich die Verantwortlichen hingegen jetzt erhöhten Risiken und finanziellen
Belastungen ausgesetzt sind.
Und ich glaube, da muss man auch nochmal unterstreichen, dass ein Unternehmen
wie Meta vielleicht das notwendige Kleingeld hat, um damit umzugehen.
Aber natürlich ein Mittelständer oder auch ein kleines Unternehmen da natürlich
ganz anders positioniert ist.
Und da muss man auch nochmal, wenn man das jetzt mal ein bisschen abstrahiert und sagt,
okay, ein Mittelstand, ein kleines Unternehmen, das möglicherweise auch Unterauftragsverarbeiter
verwendet oder gewisse Plugins oder Cookies verwendet, kann ja möglicherweise
auch über ihre Webseite entsprechende Daten von Betroffenen erheben.
Und dann natürlich, wenn es zu einer entsprechenden Verletzung kommt und dann
der Sachverhalt konstruiert wird, ist natürlich das Risiko wesentlich.
Und da muss man sagen, dass man in Deutschland natürlich nochmal verfahrenstechnisch
und zivilrechtlich in einer anderen Kategorie, was jetzt den Schadensersatzsummen
angeht, aber schon in anderen europäischen Ländern sieht das schon wieder ganz anders aus.
Und da sind natürlich die Summen, die am Ende rauskommen, doch sehr wesentlich
und glaube ich auch existenzbedrohend für Unternehmen.
Und ich glaube, da muss man einfach die Frage stellen, ist das eigentlich das,
was der Gesetzgeber wollte?
Und verirren wir uns da jetzt nicht in eine Richtung, die möglicherweise nicht
mehr ganz das Gleichgewicht schafft?
Oder schafft das jetzt ein Gleichgewicht? Ich glaube, das muss man sich jetzt in den nächsten ein,
zwei Jahren ein bisschen ansehen, wie sich das weiterentwickelt,
aber grundsätzlich höchst problematisch und für mich weiterhin nicht nachvollziehbar,
wie der BGH das Ganze auf Grundlage des EuGH-Urteils begründet.
Jetzt sehe ich das genauso, dass man Max Schrems natürlich da ein relativ scharfes
Schwert in die Hand gegeben hat, mit diesem Recht auf Verbandsklagen zu betreiben europaweit.
Und du hast es auch angesprochen, dass natürlich damit jetzt auch andere Unternehmen
durchaus sich vorbereiten sollen.
Was wäre so eine Empfehlung, ein Tipp,
den du anderen Unternehmen geben würdest, wie sie sich halt da gut aufstellen
oder was ist ein Learning, wo du sagst, das ist auf jeden Fall etwas,
was man beherzigen sollte mit Blick auf das, was da vielleicht an Klage drohen
kann, wenn man halt mal einen Vorfall hat, wenn halt mal irgendwas passiert ist?
Ja, das ist eine sehr schwere Frage. Also ich glaube, erste Antwort wahrscheinlich, einen guten Anwalt.
Und dann heißt es natürlich im zweiten Aspekt sicherstellen,
dass man alles ordentlich und ordnungsgemäß umsetzt.
Insofern hat es ja schon die positive Wirkung, dass man dem Datenschutz ein
bisschen mehr Zähne gibt.
Aber nichtsdestotrotz ist es ja auch wirklich die Gefahr da,
dass es jetzt instrumentalisiert und ein bisschen auch als, ich nenne es mal,
datenpolitische Waffe verwendet wird.
Und das hat man ja in der Vergangenheit gesehen, dass das dann gezielt auch
verwendet wird gegen besondere Geschäftsmodelle oder auch Unternehmen,
um da auch vermehrt wirklich eine gewisse Rechtsauslegung durchzuboxen,
aber auch gewisse Geschäftsmodelle dann wirklich mit einem Stigmata oder einem
falschen Verständnis der Rechtskonformität zu behaften.
Weil ich glaube, das, und da kommen wir vielleicht nochmal ganz kurz dazu,
auch im Rahmen der Pay-OK-Entscheidung, was man schon gesehen hat,
dass es ja oft zuletzt auch nicht wirklich die Möglichkeit gibt,
für Unternehmen das Ganze anzufechten, insofern die Außenwirkung ja ganz stark ist.
Also wenn ich so eine Klage mal am Laufen habe, dann ist ja die Erstannahme
der, ich sage es mal, der weiteren Bevölkerung, wenn man das in der Zeitung
liest, dieses Unternehmen ist nicht rechtskonform.
Und was am Ende dann beim Urteil rauskommt, ist dann den meisten entweder egal
oder man hat gar nicht Zugang zu dieser Information.
Und das führt natürlich zum großen Problem, weil zum Beispiel auch in den vielen
Verfahren, die wir führen, wo eben auch auf Schadensersatz geklagt wird,
muss man auch ehrlich sagen, dass wir in den meisten Fällen dann gewinnen.
Und wir reden hier von um die 80, 85 Prozent der Fälle, die wir gewinnen.
Und das steht dann aber nicht in der Zeitung, dass in den meisten Fällen dann
wirklich auch der Schaden nicht festgestellt wurde bzw.
Die Verletzung auch nicht bestätigt wurde. Und ich glaube, das ist nochmal ganz
wichtig zu unterstreichen.
Das heißt, ich glaube, guter Anwalt und wahrscheinlich auch eine gut ausgestattete
PE-Abteilung können beides sehr helfen.
Ja, kann ich verstehen und würde ich wahrscheinlich auch genauso sehen.
Ich würde vorschlagen, wir haben jetzt schon mal zurückgeblickt.
Laura, wollen wir mal in die Zukunft blicken mit Simon zusammen?
Auf jeden Fall. Ja, du hast gerade schon die Entscheidung kurz angesprochen,
die erwartet wird vom Europäischen Datenschutzausschuss zum Thema KI.
Was erwartest du da oder anders formuliert, was wäre denn da sein Wunsch?
Naja, also mein Wunsch wäre in erster Linie mal, dass man in Zukunft auf Erzebene
sich nicht für die Artikel 64-2-Entscheidung oder diesen Weg nicht mehr geht,
weil es einfach ein ungeeignetes Instrument ist.
Das hat man schon im Rahmen der Pay-OK-Entscheidung gesehen.
Dass 14 Wochen einfach zu sportlich sind für gewisse Themen mit einer unglaublichen Komplexität.
Und man hat leider den Fehler jetzt nochmal gemacht und entsprechend sich eigentlich
eine Riesenbürde auferlegt, hier einen hochkomplexen Sachverhalt zu beantworten.
Und ich glaube, im Kern muss man sagen, da geht es ja nicht nur im engen Sinne
um das Training von großen Sprachmodellen, sondern grundsätzlich das Training
von Sprachmodellen und dann auch von KI-Systemen.
Und natürlich ist es sehr umfänglich und betrifft nicht nur die großen Unternehmen,
sondern bis hin das kleinste Unternehmen, das dann einfach nochmal sein Modell
eingebettet hat in eine unternehmensinterne Anwendung und es dann vielleicht
nochmal mit spezifischen Daten füttert.
Und ich glaube, drei Kernfragen wurden ja grundsätzlich diskutiert im Rahmen
dieser Entscheidung und werden hoffentlich jetzt auch im Rahmen der Entscheidung
in einer zufriedenstellenden Manier beantwortet.
Das ist ja einmal die Frage, natürlich Personenbezug im LLM,
also auch das Hamburger Thesenpapier, das der, finde ich, einen sehr pragmatischen
Ansatz an den Tag legt, der leider nicht von vielen anderen geteilt wird.
Diese Frage wird hoffentlich beantwortet.
Ich vermute aber, dass keine Klarheit geschaffen wird und es am Ende wieder
bei den Unternehmen und Verantwortlichen liegt, das Ganze nachzuweisen.
Die zweite große Frage ist natürlich die Frage der Rechtsgrundlage.
Hier hoffe ich auch oder wünsche ich mir vom Christkind, dass 6.1.F.,
also das prächtigte Interesse,
jetzt klar als angemessene Rechtsgrundlage Bestand hat und vielleicht ein bisschen
Klarheit geschaffen wird, wie das Ganze auszusehen hat.
Und dass man hoffentlich das
Ganze auch nicht nur auf den Verantwortlichen abwälzt, macht man ja gerne.
Und ich glaube, die dritte Frage, die ein bisschen so wie ein Gespenst im Raum stand und doch sehr…
Was ich nenne, sagen wir mal problematisch war, ist natürlich die Frage des
infektiösen Effekts, wie man ihn nannte.
Das heißt, inwiefern kann ein unrechtmäßiges Training eines großen Sprachmodells
die Rechtsmäßigkeit der Folgeverarbeitung oder Verwendung dieses Sprachmodells beeinflussen?
Und ich hoffe, dass diese Frage vom Tisch ist, weil es hat einfach keine Rechtsgrundlage,
wie man das Ganze konstruiert.
Und natürlich hätte das sehr weitgehende Folgen für die Digitalwirtschaft in
Deutschland und in Europa.
Aber im Grunde, glaube ich, was nochmal ganz wichtig ist, ist,
dass natürlich diese Fragen jeder Einzelne für sich, aber auch in Summe dermaßen
explosiv sind und weitgehende wirtschaftliche und auch gesellschaftliche Folgen
haben können, je nachdem, wie sie geantwortet werden,
dass man einfach sagen muss, 14 Wochen ist viel zu kurz.
Für die KI-Verordnung hat man drei Jahre gebraucht, um sie mehr oder weniger
zu verhandeln und dann die entsprechende Vorbereitung und ist am Ende dennoch nicht zufrieden.
Und jetzt hat man eine Ätzerentscheidung, die auch sehr umfänglich ist und hat
sich das Ganze für 14 Wochen vorgenommen.
Also ich glaube, dass es nicht wie gute Regulierung auszusehen hat.
Und ich wünsche mir da wirklich fürs nächste Jahr, dass da auch die Wirtschaft
in Zukunft besser eingebunden wird.
Aber nicht nur Wirtschaft, auch Zivilbevölkerung oder Zivilgesellschaft,
aber einfach ein umfangreicherer Prozess in den Weg geleitet wird,
um da Klarheit zu schaffen.
Und ich glaube ganz wesentlich auch zwei weitere Aspekte, die ich glaube wichtiger
sind, ist, dass man ein bisschen mehr die Abwägung mit anderen Interessen und
anderen Grundrechten auch für die unternehmische Freiheit mit berücksichtigt
auf Seite der Datenschutzaufsicht.
Das hat man leider jetzt ein bisschen zu wenig gesehen, dass da auch das Ganze
in deren Prüfungen mit überlegt wird.
Das wäre auch nochmal ein Wunsch, um wirklich eine innovationsfreundliche oder
ich sage mal vielleicht nicht freundliche, aber offene Auslegung der DSGVO zu ermöglichen.
Das, glaube ich, würde alle Unternehmen freuen, wenn man dann am Ende ein bisschen
mehr Rechtssicherheit hat und nicht, wie es leider bei der Pay-OK-Entscheidung
war, vor der Entscheidung mehr Rechtssicherheit hatte als danach.
Absolut. Hört sich spannend an. Absolut nachvollziehbar, was du sagst.
Und fangen wir mal an, den Wunschzettel an das Christkind zu schreiben.
Ja, wir haben ja jetzt viel über Aktionen gesprochen, nach Urteilen oder nach Entscheidungen.
Hast du dir, hat dein Team sich denn für das nächste Jahr irgendwas Besonderes
noch vorgenommen darüber hinaus?
Ja, also natürlich war ein Thema, das jetzt gerade aufschlägt und immer prominenter diskutiert wird.
Und ich war auch gerade letzte Woche bei einer Konferenz in Wien,
organisiert durch die Wiener Universität,
wo man nochmal grundsätzlich die DSGVO und dessen Eignung im Rahmen von KI diskutiert
hat und auch natürlich den Aspekt der Wettbewerbsfähigkeit da auch nochmal ins Visier genommen hat.
Und es ist ganz spannend, in welche Richtung diese Diskussion gehen,
Weil man sieht einen klaren Konflikt zwischen den Aufsichtsbehörden und dem Gesetzgeber.
Der Gesetzgeber unterstellt den Aufsichtsbehörden, dass sie nicht ihre Arbeit
ordentlich machen und nicht die Auslegungsspielräume ordentlich nutzen.
Die Aufsichtsbehörde unterstellt dem Gesetzgeber, dass das Gesetz nicht ausreichend
ist und angepasst werden muss.
Und ich glaube, das Ganze wird im Rahmen auch des Trageberichts diskutiert,
der natürlich nochmal klare Fakten und Zahlen auf den Tisch gelegt hat,
warum der Datenschutz im Moment problematisch ist und wie er gelebt wird in
Europa gerade zu Fragmentierung und Komplexität führt und auch Unrechtssicherheit.
Und ich glaube, da werden wir nächstes Jahr, und das ist auch etwas,
was wir sehr, sehr genau beobachten, viele Diskussionen zu, wie kann ich einen
zukunftssicheren Datenschutz, eine Datenschutzaufsicht und Auslegung schaffen, führen werden.
Mit Politik, mit der Wirtschaft und natürlich auch mit den Aufsichtsbehörden.
Ja, das glaube ich wird nochmal eine spannende Phase werden,
wenn die Diskussionen ein bisschen intensiver werden, die DSGVO nochmal aufzumachen
und wenn sie dann aufgemacht werden sollte,
dann glaube ich kommt nochmal wirklich richtig ein bisschen Stimmung in das Thema rein.
Und damit sind wir auch beim nächsten Thema, Stimmung.
Wir haben ja jetzt sehr viel über Datenschutz und auch über Meta gesprochen.
Jetzt wollen wir natürlich nochmal ein bisschen über dich, lieber Simon,
sprechen und dich noch ein bisschen besser kennenlernen.
Deswegen haben wir ein paar einfache Oder-Fragen.
Also das heißt, du darfst ganz spontan, ohne lange nachzudenken,
deine persönliche Präferenz nennen.
Und ich fange mal mit etwas ganz einfachem, profanem an. Kaffee oder Tee?
Kaffee, eindeutig. schwarz und ohne Zucker.
Maastricht oder London?
Maastricht.
Facebook oder Instagram?
Ich bin noch alte Schule, Facebook.
Und Siri oder Alexa?
Keines von beiden.
Glück antwortet.
Zwei Wochen aufs Handy oder ein Jahr auf dein Lieblingsessen verzichten?
Zwei Wochen Handy.
Oh, okay. Sehr gut. Und lieber ein gedruckter Kommentar oder BackOnline?
BackOnline.
Podiumsdiskussion oder lieber einen Vortrag halten?
Diskussion.
Dann haben wir zu guter Letzt auch noch drei kleine offene Fragen für dich und
zwar Simon, was würdest du gerne besser können?
Entspannen.
Abschalten.
Genau. Entschleunigen.
Entschleunigen, ja. Ich glaube, das geht uns vielen so. Und wenn du für einen
Tag berühmt sein dürftest, welche Art von Persönlichkeit wärst du und warum?
Künstler, weil man einfach Nahenfreiheit hat.
Arbeiten ohne Grenzen. Und wenn du deinem Jüngeren selbst einen Rat geben würdest,
was würdest du ihm raten?
Kauf ganz viele Bitcoins.
Sehr klug, sehr klug.
Ja, das war es auch schon. Vielen herzlichen Dank, Simon.
Es hat sehr viel Spaß gemacht. Danke für deinen Rückblick und deinen Ausblick
in das nächste Jahr. Ich hoffe, dir hat es auch Freude gemacht.
Ja, vielen lieben Dank, dass ich dabei sein durfte und auf ein hoffentlich ein
bisschen entspannteres, aber nicht weniger aufregendes 2.25.
Genau, das wünschen wir uns, das wünschen wir unseren Zuhörern und ja,
nochmal einen großen Applaus für Simon Weidler.
Damit kommen wir zu Q2, auf das wir natürlich auch einmal wieder zurückblicken
und schauen, welche Meldungen waren dort besonders herausstechend.
Und zwar ist beim Berliner Sportanbieter Urban Sports Club.
Dort soll es, wie Heise berichtet, eine massive Datenpanne gegeben haben.
Das Landgericht Düsseldorf hat sich mit dem Verhältnis zwischen Artikel 15 DSGVO,
also dem datenschutzrechtlichen Auskunftsrecht und dem Wettbewerbsrecht befasst.
Der Europäische Gerichtshof hat jetzt in einer jüngsten Entscheidung nochmal
zum Thema immaterieller Schadensersatz und Haftung des Verantwortlichen entschieden.
Das Bundesverwaltungsgericht Republik Österreich sieht eine Datenschutzverletzung
beim Überwachungsmodus von Tesla, wenn
diese aktiviert ist und keine Datenschutzinformation bereitgestellt wurde.
Der EuGH-Generalanwalt Santos sieht die Nutzung von veröffentlichten Daten zu
anderen Zwecken als eingeschränkt nutzbar, allerdings die sexuelle Orientierung
zu Werbezwecken hingegen nicht.
Der Bundesgerichtshof hat am 5. März ein sehr spannendes Urteil gesprochen.
Und zwar geht es um das Thema der Kopien von personenbezogenen Daten im Kontext
von Anfragen gemäß Artikel 15 DSGVO.
Mit diesem Urteil hat er die Kopien von personenbezogenen Daten.
Hat der EuGH die Möglichkeiten der Mitgliedstaaten für das anlasslose Protokollieren
von IP-Adressen zur Verfolgung von Straftaten deutlich ausgeweitet.
Was man sich auch anschauen könnte, was sinnvoll ist, ist die DSFA zum Einsatz
von Microsoft 365, die durch die EU-Kommission veröffentlicht wurde.
Wir bleiben mit der nächsten Meldung ebenfalls bei der Datenschutzkonferenz.
Und zwar gibt es eine Orientierungshilfe der DSK für KI-Anwendungen.
Und zwar hat laut eines Berichts des Bayerischen Rundfunk das BKA,
also das Bundeskriminalamt, bereits im Jahr 2019 Bilder von ca.
3 Millionen Personen zum Test der eigenen Gesichtserkennungssoftware genutzt.
Das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG,
heißt nämlich seit dieser Woche Telekommunikation-Digitale-Dienste-Datenschutzgesetz, kurz TDDDG.
Der BFDI versucht per Klage vor dem Bundesverfassungsgericht einsichtigen Unterlagen
des BND zu bekommen, um seine Kontrollaufgabe gerecht werden zu können.
Ich komme zu unserem Titelthema heute und zwar sind im Laufe der Woche brisante
Fälle von Fehlidentifizierung durch Gesichtserkennungssoftware in Großbritannien bekannt geworden.
Meta plant Nutzerdaten von seinen Plattformen für KI-Training einzusetzen,
ohne dafür die Zustimmung der Betroffenen einzuholen.
Die sächsische Datenschutz- und Transparenzbeauftragte Dr.
Juliane Hundert und ihr Team im Mai 30.000 Webseiten geprüft und im Anschluss
daran 2300 Verantwortliche auf Verstöße hingewiesen.
Einige Urteile gibt es auch schon zu Beweisverwertungsverboten von Videoaufnahmen
und damit hat sich aber der Bundesgerichtshof jetzt auch nochmal beschäftigt.
In dem verhandelten Fall hatte eine Berliner Wohnungsgesellschaft ihre Mieter
verdächtigt, unerlaubt unterzuvermieten.
Was war im zweiten Quartal, Laura, deine Topmeldung?
Ich kann mich schwer entscheiden, deshalb sage ich zwei.
Und zwar war es zum einen aus der Kalenderwoche 14 das Urteil vom Landgericht
Düsseldorf, was sich ja mit dem Auskunftsrecht bzw.
Datenschutzrecht und Wettbewerbsrecht im Verhältnis dazu mit Blick auf das Thema Auskunft befasst hat.
Und eben daraus ableitend war, dass es durchaus, wenn man halt eben nicht fristgerecht
antwortet als Unternehmen, man zukünftig sicherlich darauf einstellen könnte,
drei Angriffsflanken zu haben.
Sei es zum einen natürlich ein mögliches Bußgeld, aber natürlich auch mögliche
Schadensersatzforderungen von Betroffenen.
Und zu guter Letzt hat ja das Landgericht Düsseldorf die Möglichkeit eröffnet,
eben auch Verbraucherzentralen Abmahnungen auszusprechen oder Abmahnungen nachzugehen,
wenn eben hier nicht fristgerecht gehandelt wird.
Weil das Landgericht zum Ergebnis gekommen ist, dass eben, wie mit dem Thema
Auskunft umgegangen wird in einem Unternehmen, eben doch eine Entscheidung von
einer betroffenen Person sein kann im Rahmen ihrer Kaufentscheidung.
Also ganz bewusst sich Unternehmen anzugucken, okay, wer ist denn da gut aufgestellt
beim Thema Datenschutz?
Und ja, das ist eben das Ergebnis daraus. Deshalb, das fand ich persönlich ganz interessant.
Hatte mich auch sonst so in der Praxis, in der Beraterpraxis noch gar nicht
so betroffen. Aber ich glaube, es ist halt für sehr, sehr viele Kursen.
Relevanter als einem lieb ist. Möchtest du dazu was sagen?
Es ist natürlich schön, dem was wir eben von Simon ja gehört haben,
dieses Verbandsklagerecht, also mit Blick auch auf das Risiko für Unternehmen,
hat da schon, wie gesagt, eine ganz große Relevanz, glaube ich.
Genau, richtig. Und das Zweite, was mich in dem Quartal schon beschäftigt hatte,
war auch das BGH-Urteil aus Kalenderwoche 17 hatten wir ja zuberichtet,
zum Thema Kopie von personenbezogenen Daten.
Also hier eben was den Umfang angeht, dass nicht immer viel hilft viel,
sondern dass das Gericht auch hier nochmal betont hat, dass die Forderung nach
Kopie einer betroffenen Person eben überhaupt nicht unverhältnismäßig sein darf.
Also im vorliegenden Fall damals ging es ja um einen Streitfall einer betroffenen
Person mit einem Finanzdienstleister, mit der Zusammenarbeit,
die einfach alles haben wollte, also Protokolle, Gesprächsnotizen etc.,
wo auch hier der Bundesgerichtshof einen Riegel vorgeschoben hat und gesagt
hat, nee, dafür ist das Auskunftsrecht eben nicht da.
Ganz genau. Etwas, was uns ja auch tatsächlich in der Praxis immer wieder beschäftigt.
Wie sehen halt letztendlich dann die Informationen aus, die ein Betroffener zu erlangen hat.
Ich persönlich finde es gut, dass wir da halt doch einiges an klarstellender
Rechtsprechung auch nochmal in die andere Richtung hatten.
Wir hatten ja sehr viele Urteile in der Vergangenheit, die immer gesagt haben,
es muss halt alles beauskunftet werden.
Aber genau auch da nochmal die Linie zu ziehen, solange es halt letztendlich
halt auch dann dem Zweck, der hinter dem Auskunftsrecht steht,
auch dient. Nämlich halt, dass ich beurteilen kann, welche Daten werden über
mich verarbeitet und ist es halt rechtmäßig, um meine Rechte wahrzunehmen.
So ist es.
Ich würde auch nochmal ganz kurz so ein bisschen die Brücke schlagen zum Gespräch mit Simon.
Wir haben ja über das BGH-Urteil gegen Facebook gesprochen und wir hatten jetzt
in der KW15 ja auch nochmal den EuGH zur Bemessung des Schadensersatz und da
ging es ja einerseits auch nochmal über den immateriellen Schaden,
den wir halt wie gesagt auch in der BGH-Rechtsprechung hatten.
Auch nochmal um das Thema Haftung des Verantwortlichen, da finde ich persönlich
halt nochmal wichtig auch für die Praxis immer dran zu denken,
dass es halt wichtig ist in dem Moment, wir hatten das jetzt kürzlich auch nochmal
in einer der Newsfolgen,
in dem Moment, wo halt ein Mitarbeiter im Unternehmen, im Sinne des Unternehmens
handelt oder beziehungsweise für das Unternehmen handelt und nicht auf eigene Rechnung,
ist der Arbeitgeber trotzdem oder das Unternehmen trotzdem verantwortlich und
muss auch für Bußgelder und Schadensersatz eintreten.
Das kann er also nicht einfach auf den Mitarbeiter abwälzen,
weil er sagt, der hat halt einfach gegen die Weisung verstoßen.
Das reicht halt an der Stelle nicht.
Ja und wie gesagt, ist halt eines der Urteile, was ich mir halt auch nochmal
jetzt natürlich nach dem BGH-Urteil nochmal ein bisschen genauer angeguckt habe
und halt auch nochmal geguckt habe, wo kommt denn das eigentlich her,
dass der BGH entschieden hat mit auch Referenz auf den EuGH,
dass trotzdem halt pauschal 100 Euro angemessen sein können für den Kontrollverlust.
Und ja, auch hier, wie gesagt, in dem Urteil steht halt drin,
es muss nachgewiesen werden.
Also von daher, es bleibt spannend.
Die BGH-Entscheidung ist ja mittlerweile auch veröffentlicht.
Da fand ich persönlich, wie gesagt, das habe ich nochmal versucht gegeneinander abzugleichen.
Und wenn man da halt reinguckt, man sieht halt, der BGH hat halt eigentlich
zwei Dinge umgedreht zu dem EuGH-Urteil.
Der EuGH sagt halt, klar, kann halt der Kontrollverlust ein Schaden sein,
sagt aber halt auch, er muss halt nachgewiesen werden.
Und der BGH hat in seiner Begründung, wenn ich das jetzt richtig gesehen habe,
ist halt umgedreht und hat gesagt, ein Schaden muss nachgewiesen werden, sagt der EuGH.
Aber er sagt halt auch, der Kontrollverlust ist halt schon ein Schaden.
Und damit scheint da irgendwo meines Verständnisses nach dann auch die Lösung
im Verständnis für das BGH-Urteil zu liegen.
Dass man sagt, naja, in dem Moment, wo das ein Schaden ist, laut EuGH,
in dem Moment ist er ja auch, wenn er halt dann dokumentiert ist, auch nachgewiesen.
Und damit dann offenbar halt auch die Grundlage dafür, eine entsprechende Zumessung
eines Schadensersatzes.
Also es ist ein spannendes Thema und ich glaube, wir müssen das im nächsten
Jahr nochmal vertiefen.
Das glaube ich auch, das wird Pflichtprogramm sein, weil ich glaube,
das irritiert wirklich den einen und anderen.
Begrüßen wir einen ganz besonderen weiteren Gast bei uns.
Seit über einem Jahrzehnt glänzt er mit seiner Expertise als Fachanwalt des
IT- und Datenschutzrechts sowie E-Commerce bei der renommierten Kanzlei Taylor Wessing.
Dabei berät er Start-ups, mittelständische Unternehmen und globale Konzerne
gleichermaßen und zwar immer auf höchstem Niveau.
Mit dem Praktikerhandbuch zur DSGVO, den Rechtshandbüchern zum Konzerndatenschutz
und zuletzt zum AI-Act haben es seine Publikation in die Bibliothek von so manchen
Datenschutzexperten geschafft.
Stolz sein darf er nicht nur auf die Auszeichnung zum Legal All-Star 2021 im
Datenschutzrecht der Wirtschaftswoche, sondern auch, dass er Teil von Taylor Wessing ist,
die jüngst zur Kanzlei des Jahres 2024 im Datenschutzrecht gekürt wurde.
Er ist gefragter Speaker auf unzähligen Datenschutzkonferenzen und kennt durch
seine Betreuung von Tech-Mandanten aus den USA die Herausforderungen der digitalen
Welt wie kaum ein anderer.
Wir freuen uns sehr, ihn heute bei uns begrüßen zu dürfen. Dr. Paul Vogt,
Hallo Paul, schön, dass du da bist.
Hallo und vielen Dank. Danke für die nette Begrüßung. Ich freue mich, dabei zu sein.
Ja, erstmal herzlichen Glückwunsch zu dieser Auszeichnung in diesem Jahr unter deiner Leitung.
Du leitest ja die Praxisgruppe Technology, Media and Telecoms bei Taylor Wessing.
Und wie ich lesen konnte, ist das bei euch auch die größte Praxisgruppe mit
50 Anwältinnen und Anwälten?
Das ist, also ich glaube, es ist die zweitgrößte. Wir sind inzwischen aber,
wenn ich richtig zähle, so 60 bis 65 Anwälte sogar.
Aber ja, unsere Corporates sind noch größer.
Wie gestaltet sich eure Arbeit? Vielleicht kannst du ganz kurz in zwei,
drei Sätzen beschreiben, was deine Aufgabe ist und wie ihr und was ihr so tut.
Ja, wir sind, wie gesagt, ein relativ großes Team, verteilt über fünf Standorte.
Und wir bemühen uns, dass jeder eine gewisse Spezialexpertise hat,
dass wir diese enorm vielfältigen Fragen des Digitalrechts vernünftig abgedeckt bekommen.
Denn du gehst ja schlafen, stehst auf und es gibt ein neues EU-Digitalgesetz.
Das ist ja wirklich verrückt in letzter Zeit. Und das ist gar nicht so einfach,
selbst bei so einer großen Gruppe da den Überblick zu behalten.
Die ganzen EuGH-Entscheidungen, Stellungnahmen von Aufsichtsbehörden etc.
Nachzuverfolgen und das auch irgendwie ineinander in Einklang zu bringen.
Denn auch neue Digitalgesetze, die zum Beispiel auf den ersten Blick gar nichts
mit dem Datenschutz zu tun haben, haben Datenschutzrelevanz.
Das ist alles so ein bisschen verknüpft und ja, da versuchen wir eben sozusagen
mit dieser Gruppenstärke gute Expertise leisten zu können.
Sehr schön. Ja, du sagst es, ihr seid ein großes Team und wir sind hier heute beim Jahresrückblick.
Deshalb interessiert uns natürlich nicht nur deine persönliche Perspektive natürlich
auch, aber was hat denn dich und dein Team im letzten Jahr so am meisten beschäftigt
aus datenschutzrechtlicher Sicht?
Gibt es da so ein, zwei Top-Themen, die über allem schweben?
Oder war es wirklich, wie du gerade gesagt hast, so die breite Masse?
Also ich glaube, dass…
Das überall liegende Thema ist wirklich die Schlagzahl, die sich da erhöht hat. Das ist enorm.
Also früher, als ich angefangen habe mit Datenschutzrecht, wenn es da mal ein
EuGH-Urteil gab, da hat man sich, das wusste man Monate im Voraus,
jetzt kommt ein datenschutzrechtliches EuGH-Urteil, hat sich fast darauf gefreut,
jedenfalls darauf vorbereitet.
Und jetzt gibt es teilweise drei, vier datenschutzrechtliche Urteile an einem Tag.
Die Aufsichtsbehörden veröffentlichen in einer enormen Schnelligkeit Stellungnahmen.
Die Bußgelder sind, wenn jetzt in Holland oder Spanien oder Frankreich oder
Luxemburg ein Bußgeld verhängt wird, dann ist das auch für unsere Beratung in Deutschland relevant,
weil das so harmonisiert ist auf europäischer Ebene, dass man im Prinzip auch
das im Blick behalten muss.
Und dazu kommt natürlich die, ich hatte es eben schon kurz angekündigt,
die diversen neuen Gesetze, die es so gibt.
Die sind gar nicht primär Datenschutzgesetze, ja, häufig, sondern einfach Digitalgesetze,
spielen aber eine große Rolle auch bei der Datenschutzberatung.
Du hast von mir aus den Digital Services Act, der ja Plattformregulierung zum
Ziel hat, aber eben auch Vorgaben zum Beispiel zum Profiling von Kindern vorsieht oder der DMA,
der für sogenannte Gatekeeper bestimmte kartellrechtliche Voraussetzungen vorsieht,
hat auch datenschutzrechtliche Implikationen.
Es passiert viel auf der IT-Sicherheitsebene.
NIST 2, DORA, CRA, jetzt vor kurzem beschlossen.
AI Act, natürlich riesengroßes Thema.
Also diese Masse an Themen, das ist eigentlich das, was sozusagen den größten Impact hat.
Würde ich sagen. Du hast schon den AI Act jetzt gerade schon angesprochen und
in der Anmoderation hatten wir ja schon gehört, du hast mit einem Kommentar mit verfasst dazu.
Was hat dich dazu am meisten beschäftigt? Also was war so für dich das herausragendste?
Das Herausragendste, das kann ich gar nicht so genau sagen.
Vielleicht der Grund, warum ich das Buch geschrieben habe, ich bilde mich fort,
indem ich solche Bücher schreibe, weil dann muss man sich richtig tief reinknien,
um sozusagen links und rechts reinzugucken, wenn man sich dazu entsprechend
so tiefgehend mit befasst.
Das hilft, das ist sozusagen meine Art der Fortbildung. Ich fand es inhaltlich interessant.
Auch wenn es eigentlich kein Datenschutzthema
ist, gibt es doch viele Verknüpfungen zum Datenschutzrecht.
Ja, die ganze Art, wie ich an Governance rangehe. Da sind viele Sachen,
die sind einem bekannt aus dem Datenschutzrecht.
Es landet deswegen auch viel auf den Tischen der Datenschutzrechtler.
Was beim AI Act und bei der Beratung von KI sicherlich insgesamt auch eine Challenge
ist, aber durchaus auch etwas, was es interessant macht, ist,
dass man auch versuchen muss, die dahinterliegende Technik zu verstehen.
Ja, und das ist im IT-Recht und im Digitalrecht insgesamt eigentlich sowieso immer der Fall.
Ich muss das Business-Modell vom Mandanten verstehen, damit ich das sinnvoll beraten kann.
Und als IT-Rechtler hat man immer schon versucht, die technischen Zusammenhänge
zu verstehen und sich entsprechend erklären zu lassen vom Mandanten oder selbst
da so ein bisschen technisch fortbilden zu lassen.
Ich finde, dass das bei dem AI-Act oder überhaupt bei der Beratung von KI noch
mal stärker der Fall ist, dass man dann noch mal ein bisschen tiefer einsteigen muss.
Und das ist durchaus herausfordernd, aber auch spannend und mal was Neues wieder.
Absolut. Für uns alle, glaube ich, Datenschützer, gerade aktuell,
sich hier reinzufuchsen. Aber eine spannende Art und Weise, sich einem Thema neu zu nähern.
Und auch schön, wenn man dann ein Output hat davon.
Meinst du denn, dass der AI-Act irgendwann Unternehmen genauso beschäftigen
wird wie die DSGVO oder für die Zukunft eher eine untergeordnete Rolle spielen wird?
Ist alles so ein bisschen Glaskugel natürlich, wie viel Einfluss der AI-Act
im Ergebnis tatsächlich haben wird.
Was wir sehen, ist, dass er auf jeden Fall gewissen Bass erzeugt.
Viele reden drüber, viele beschäftigen sich sehr, sehr, sehr frühzeitig mit
dem Thema, versuchen da so ein bisschen reinzugucken.
Ich glaube trotzdem, dass die Relevanz des AI-Acts bei weitem nicht die haben
wird, bei der DSGVO, Der EU-Datenschutz-Grundverordnung,
die von den Amerikanern scherzhaft Global Data Protection Regulation genannt
worden ist, weil der Einfluss so groß war und dieser Brussels-Effekt so enorm
war, also die Auswirkungen der europäischen Digitalregulierung auch auf andere Länder.
Ich glaube, dass das ein Teilen vielleicht auch beim AI-Act so sein wird,
aber der AI-Act hat ja einen deutlich eingeschränkteren Anwendungsbereich.
Die DSGVO galt für alle, für jedes Unternehmen, egal ob klein,
ob groß, egal ob ich in einem datengetriebenen Business war oder nicht.
Da konnte ich vielleicht risikopasiert so ein bisschen unterschiedliche Schwerpunkte
setzen. Aber alle Unternehmen in Europa und sehr, sehr, sehr viele auch international
waren direkt erfasst vom Anwendungsbereich und mussten entsprechend Maßnahmen ergreifen.
Beim AI-Act ist das ein deutlich eingeschränkter der Fall.
Natürlich gibt es hier und da so kleinere Voraussetzungen, die für sehr,
sehr, sehr viele Unternehmen greifen werden.
Die richtig harten Vorgaben treffen aber insbesondere die Provider von Hochrisiko-KI-Systemen
und eingeschränkt auch von den GPAI-Models.
Und natürlich auch die Anwender sind entsprechend durch die KI-Verordnung reguliert.
Aber der Anwendungsbereich ist doch deutlich eingeschränkter,
sodass ich glaube, dass das mehr als ein Nischengesetz ist.
Ich glaube, das ist schon eins von den Digitalgesetzen in der EU,
die momentan am meisten Aufmerksamkeit erfahren.
Aber ganz auf dem Level der DSGVO spielt das, glaube ich, nicht.
Ja, und ich glaube, wichtig ist halt, es eben nicht zu unterschätzen.
Also, dass es trotzdem daran gut beraten ist, sich den mal angeguckt zu haben.
Auf jeden Fall. Auch es gibt bestimmte Abgrenzungen. Ich habe gerade eben gesagt,
die wichtigsten Verpflichtungen, die gelten für die Provider,
also die Hersteller von den KI-Systemen.
Die sind extrem reguliert und die Betreiber, die Nutzer zum deutlich geringeren Maße.
Aber die KI-Verordnung ist im Ergebnis Produktsicherheitsrecht.
Und im Produktsicherheitsrecht gibt es immer die Möglichkeit,
dass ich bei den Rollen switche, wie bei der DSGVO auch.
Wenn ich ein Auftragsverarbeiter bin und nicht im Einklang mit meinem Auftragsverarbeitungsvertrag
verhalte, dann werde ich plötzlich ein Verantwortlicher mit einem breiteren Spektrum an Pflichten.
Und so kann einem das bei der KI-Verordnung auch gehen. Da nutze ich ein KI-System
und das nutze ich vielleicht für einen Zweck, für den das nicht vorgesehen war.
Und allein durch diese zweckentfremdete Nutzung habe ich plötzlich vielleicht
einen viel, viel, viel breiteren Anwendungsbereich von Pflichten,
das ich vorher gar nicht so wahrgenommen hatte und Pflichtenkanon,
den ich so auch gar nicht ohne weiteres erfüllen kann.
Bei der Datenschutzgrundverordnung wurde ja sehr oft immer bemängelt,
dass die Anforderungen wie zum Beispiel Privacy by Design ja am Ende die Unternehmen,
die die Datenverarbeitung betreiben,
einhalten müssen und gerade nicht die Hersteller adressiert waren.
Jetzt hat man, du hast es schon gesagt, bei der KI-Verordnung ja den Schwerpunkt
eher bei den Entwicklern und den Verkehrbringern.
Glaubst du, dass man hier das bei der EU-Kommission einfach erkannt hat und besser machen wollte?
Oder ist es halt eher ein Stück weit Zufall, weil man halt, wie du schon gesagt
hast, es halt jetzt eher aus einer Produktperspektive einfach auch betrachten muss?
Ja, gute Frage. Meine Vermutung ist, es war eher ein bisschen Zufall,
weil das eben die Blickrichtung, die man hier gewählt hat, einfach eine andere
ist, als das bei der DSGVO der Fall war.
Und die führt de facto dazu, dass hier die Hersteller deutlich stärker in der
Pflicht sind, als das eben unter der DSGVO der Fall war.
Warum ich glaube, dass das Zufall ist, das sieht man auch daran,
dass einige der Pflichten gar nicht so richtig passen.
Ja, also man hat im Prinzip die
Standardart und Weise, wie man sich mit Produktsicherheitsrecht befasst,
genommen und auf KI übergestülpt und das funktioniert besser bei,
wenn ich ein Produkt habe, wenn ich eine Hardware habe, wo KI-Systeme drin sind,
ja, dann kann ich das ganz gut machen.
Dann kann ich ein Händler das ganze Rollenverständnis gut anwenden.
Ein Einführer, der ein Produkt zum Beispiel aus den USA nach Europa einführt
oder ein Händler, der das vertreibt.
Bei reiner Software, und das ist ja KI häufig,
passen diese Rollen gar nicht so richtig, weil die Software wird nicht eingeführt,
gerade wenn ich Cloud-Software habe beispielsweise, dann wird die einfach mir
vom Hersteller direkt aus den USA angeboten und dann muss ich gucken,
wie das mit diesem Rollenverständnis sich überhaupt verhält.
Aber dieses Rollenverständnis ist eben ganz, ganz klar dem klassischen Produktsicherheitsrecht entlehnt.
Und deswegen glaube ich nicht, dass da irgendein Mastermind die Lehren aus der
DSGVO gezogen hat, sondern dass das eben einfach…
Dass Produktsicherheitsrecht 2.0 ist.
Ja, spannender Punkt. Jetzt haben wir ein bisschen mal zurückgeguckt.
Jetzt würde ich mal versuchen mit dir gemeinsam einen Blick in die Zukunft zu
wagen und du hattest auch gerade schon angesprochen die USA und tatsächlich,
dass es dort Global Data Protection Regulation genannt wird,
war mir noch gar nicht so bewusst, also von daher auch das etwas Neues.
Jetzt haben wir aber ja gerade die Präsidentschaftswahlen hinter uns.
Es wird also eine Veränderung in der Administration in den USA geben.
Wie schätzt du das ein? Was haben wir zu erwarten in den USA?
Wir haben ja in verschiedenen Staaten in den USA auch schon Datenschutzgesetze
jetzt in der letzten Zeit gesehen. Einige sind glaube ich auch noch in Arbeit.
Es gab auch schon mal einen Entwurf für ein Bundesdatenschutzrecht in den USA.
Wie siehst du da die Chancen? Wie siehst du auch grundsätzlich jetzt die Veränderungen
auf uns zukommen, wenn es jetzt mit einer neuen Administration weitergeht im neuen Jahr?
Also es gibt, glaube ich, verschiedene mögliche Änderungen, die einen Einfluss auf uns haben können.
Vielleicht das Evidenteste zuerst. Wir haben ja einen Angemessenheitsbeschluss
für die USA, jedenfalls für solche Unternehmen, die sich nach dem sogenannten
Data Privacy Framework selbst zertifiziert haben.
Dieser Angemessenheitsbeschluss beinhaltet auch, dass wir die Rechtslage in
den USA als hinreichend mit unseren europäischen Standards im Einklang liegend ansehen,
weil die Zugriffsrechte der
Geheimdienste auf Daten von europäischen Betroffenen eingeschränkt sind.
Ist nicht auszuschließen, dass Präsident Trump da vielleicht eine Rolle rückwärts
macht und die Einschränkungen, die man jetzt implementiert hat,
vielleicht wieder aufhebt. Wenn dem so wäre…
Könnte das natürlich einen Einfluss haben auf den Angemessenheitsbeschluss,
der dann möglicherweise revidiert werden müsste.
Ob das passiert und dann auch wie schnell dieser Angemessenheitsbeschluss tatsächlich
revidiert würde, das ist eine andere Frage.
Das braucht ja meistens Zeit und ist ja auch meistens ein Prozess,
der schleichend verläuft.
Ja, President Trump kommt wahrscheinlich nicht und sagt, ich mache das bewusst
und publikumswirksam komplett weg, sondern vielleicht räumt er nach und nach da auf.
Das ist sicherlich was, was man sich ansehen muss.
Anderes ist, du hast es gerade schon gesagt, die Regulierung in den USA und
die hat für uns nur mittelbar Relevanz, ja, weil wenn die Amerikaner ihr Datenschutzrecht
ändern, könnte man ja aus Europäer sagen,
who cares, aber ganz so einfach ist es wahrscheinlich dann doch nicht,
denn wie die Amerikaner gesagt haben, Global Data Protection Regulation würde
für uns natürlich eine Änderung der Datenschutzpraxis in den USA einen Riesenunterschied
machen, weil alles, was Tech ist, kommt ja zu einem großen Teil aus den USA
und die würden sich diesen Vorgaben natürlich unterwerfen müssen.
Das heißt, das hätte schon eine Relevanz. In der Tat sehen wir,
ich glaube, es gab irgendwie sieben neue Datenschutzgesetze,
sieben Staaten neue Datenschutzgesetze dieses Jahr.
Du sagtest es schon, es gab einen Vorschlag für ein Bundesdatenschutzgesetz,
das jetzt wohl nicht kommt.
Präsident Trump steht ja eher für Deregulierung, also eher unwahrscheinlich,
dass man ein Datenschutzgesetz unter ihm jetzt sieht. Auf der anderen Seite…
Steht ja zwar prinzipiell für Deregulierung, aber er wird vielleicht auch eigene
Schwerpunkte bei der Regulierung setzen.
Also wenn ihm bestimmte Tech-Unternehmen nicht gefallen beispielsweise,
geht er gegen bestimmte Angebote möglicherweise härter vor, als man das gedacht hätte.
Sodass ich gar nicht weiß, ob es wirklich nur bei einer Deregulierung bleiben würde.
Ja, die Frage mit dem Data Privacy Framework ist natürlich auch eine ganz relevante,
die uns ja dann, glaube ich, auch hier in Europa wieder massiv beschäftigen wird.
Weil, ich meine, wir machen das zwar bei unseren Kunden in der Regel,
zumindest da, wo es halt möglich ist, dass wir natürlich immer auch zusätzlich
noch die Standardvertragsklausel mit abschließen, selbst wenn halt der Dienstleister
sich hat zertifizieren lassen.
Aber eine Garantie ist es natürlich trotzdem nicht, weil wir kennen das Thema
Transfer Impact Assessment, wenn wir Standardvertragsklauseln abschließen.
Die fallen heute natürlich so aus, wie sie ausfallen.
Aber gerade wenn sich halt an der Situation in den USA was ändert,
müssen wir die halt auch alle wieder erneuern.
Das ist absolut so. Unter der jetzigen Rechtslage hat man das Glück,
dass die Transfer Impact Assessments, die man für die USA durchführt,
eigentlich alle relativ positiv aussehen dürften, weil man vor dem Hintergrund
des Data Privacy Framework wohl davon ausgehen können wird,
dass da unsere Maßstäbe eingehalten werden.
Aber klar ist, ja, diese Tiers, die müsste ich überarbeiten,
wenn das Data Privacy Framework fallen sollte und das hätte dann auch einen
Einfluss auf die bereits abgeschlossenen Standardvertragsklauseln.
Das ist definitiv der Fall. Ansonsten, for the time being, würde ich das machen,
wie von euch vorgeschlagen, ja, gerne eine Zertifizierung nach dem Data Privacy
Framework mitnehmen und im Idealfall vielleicht sogar vertraglich verankern.
Dann nehmen aber die Standardvertragsklauseln, wenn die Anbieter das dann mitmachen,
damit ich da entsprechend abgesichert bin.
Wenn du für nächstes Jahr einen Wunsch frei hättest, also beruflich im Datenschutzrecht
idealerweise, was wäre das?
Würdest du dir ein besonderes Urteil wünschen, eine besondere Entscheidung,
irgendwas von den Aufsichtsbehörden?
Was steht auf deinem Wunschzettel für nächstes Jahr?
Ich weiß gar nicht, ob ich so einen richtigen Wunschzettel habe.
Ich bin gerade dabei, mir die Programme der Parteien anzugucken.
Unsere neue Bundesregierung, die wir Anfang nächsten Jahres wählen werden,
da würde ich mir auf jeden Fall wünschen, dass man sich inhaltlich tatsächlich
mit der Materie befasst und nicht nur ganz laut nach Entbürokratisierung schreit,
aber gar nicht so richtig versteht, was die dahinterliegenden Prozesse sind.
Und Entbürokratisierung ist, glaube ich, immer sinnvoll und gut.
Aber ich weiß nicht, ob an allen Stellen alle Dinge so gut durchsagt sind.
Ansonsten beruflich wünsche ich mir eigentlich nur, dass es nicht langweilig
wird. Aber ich bin da eigentlich ganz guter Dinge.
Da schließe ich mich an, da habe ich wenig Sorge, dass wir bei unserer Tätigkeit
Langeweile bekommen könnten.
Genau, eine geringere Schlagzahl wünschen wir uns da, glaube ich,
alle für nächstes Jahr. Ja, aber ganz langweilig.
Das ist, glaube ich, garantiert, dass es nicht der Fall ist.
Wir haben jetzt genug zum Thema Datenschutz gesprochen, aber lieber Paul,
wir wollen dich natürlich auch noch ein bisschen besser kennenlernen.
Und der guten Tradition nach haben wir auch für dich ein paar Fragen vorbereitet.
Ein paar Oder-Fragen, gerne das, was dir sofort in den Kopf kommt.
Lass uns daran teilhaben. Und zu guter Letzt, Heiko hat auch noch ein,
zwei offene Fragen, aber ich starte einfach mal. Kaffee oder Tee?
Kaffee.
Kino oder Netflix?
Kino.
Nimmst du lieber die Bahn oder das Auto?
Ich habe gar kein Auto, deswegen die Bahn.
Zwei Wochen aufs Handy oder ein Jahr auf dein Lieblingsessen verzichten?
Es ist wahrscheinlich schwer, es in der Praxis durchzuhalten,
aber eigentlich würde mir zwei Wochen Handyverzicht ganz gut tun.
Siri oder Alexa?
Nutze ich beides nicht.
Lieber eine Zeitschrift lesen oder einen Blogartikel online?
Also auch hier Unterschied zwischen Wunsch und Wirklichkeit.
Ich lese sehr gerne in Zeitschrift, aber häufig ist es dann doch der Blogartikel.
Eman Seemeyer oder Gola Heckmann als Kommentar?
Ich glaube Eman Seemeyer.
Podiumsdiskussion oder Podcast?
Das ist jetzt schwierig zu beantworten in dieser Lage.
Podcast natürlich.
Du darfst ruhig ehrlich antworten. Wir nehmen das nicht persönlich.
Podiumsdiskussion mag ich auch ganz gerne.
Wie definierst du persönlich Erfolg und hat sich diese Definition im Laufe der Jahre verändert?
Also Erfolge, das ist eine sehr philosophische Frage. Also ich würde sagen,
sie hat sich nicht verändert im Laufe der Jahre.
Wichtig war mir immer, etwas aufzubauen, zu etwas beizutragen und das Ganze
langfristig anzugehen.
Also ein kurzfristiger Erfolg hat mich nie interessiert, sondern es war immer
irgendwie Interesse von mir, langfristig irgendwie eine stabile Basis aufzubauen.
Das kann man vielleicht so sagen.
Ich hoffe, du hast damit nicht die zweite Frage auch schon beantwortet.
Was motiviert dich jeden Tag aufzustehen und das zu tun, was du tust?
Ja, auch eine gute Frage. Ich kann es gar nicht genau sagen.
Mir machen die Sachen, die ich mache, Spaß. Ich arbeite mit einem tollen Team zusammen.
Ich kann spannende Sachen machen für wirklich tolle Mandanten.
Ich habe nie oder komme so gut wie nie vor, dass ich morgens aufstehe und denke,
ich will nicht zur Arbeit gehen.
Das macht mir Spaß und ich mache meinen Job gerne. Das motiviert mich natürlich.
Perfekt, würde ich sagen.
Mit Sternchen.
Mit Sternchen. Danach kann nichts mehr kommen. Paul, wir danken dir ganz herzlich,
dass du dir die Zeit genommen hast.
Wünschen dir natürlich, wie allen anderen auch, einen guten Start ins neue Jahr
und hoffen, dass wir dich im nächsten Jahr hier und da auch wiedersehen werden. Vielen Dank.
Vielen Dank.
Willkommen zu unserem nächsten Quartalsrückblick. Wir sind angekommen im dritten
Quartal des Jahres 2024 und deshalb würde ich sagen, macht’s ab.
Wir bleiben im Kontext der Webseite der nächsten Nachricht. Und zwar ist in
dieser Woche durch eine Folge eines Berichts von Heise eine Sicherheitslücke
in einem WordPress-Plugin bekannt geworden, wodurch der Upload beliebige Dateien auf der Webseite,
ermöglicht wird. Die Aufsichtsbehörde NRW sieht Arbeitgeber nicht mehr an das
Fernmeldegeheimnis gebunden, wenn sie die private Nutzung von E-Mail und Internet gestatten.
Die EU-Kommission und Microsoft verklagen den europäischen Datenschutzbeauftragten.
Ja, ein Update der Sicherheitssoftware CrowdStrike bringt Windows-Computer zum
Absturz, auch im Kritis-Bereich.
Ja, Bettina Geig war auch diese Woche nicht untätig. Ich habe jetzt als nächstes
eine veröffentlichte Pressemitteilung von ihr mitgebracht,
in der die Landesbeauftragte darüber informiert, dass der Europäische Datenschutzausschuss
die europäischen Kriterien für die Zertifizierung von Auftragsverarbeitern nun genehmigt hat.
Das Verwaltungsgericht Luxemburg hat eine Geldstrafe bestätigt,
weil der Datenschutzbeauftragte vom Unternehmen nicht ausreichend eingebunden
und mit genügend Ressourcen ausgestattet worden war.
Wie Heise in dieser Woche berichtet, ist es Cyberkriminellen gelungen,
mehr als 14 Millionen Spam-E-Mails durchaus zu einer Sicherheitslücke bei Proofpoint,
einem Anbieter für IT-Sicherheitslösungen, zu versenden.
Ich sagte ja schon bereits, es geht um den Pay-or-OK-Button.
Und zwar der Konflikt über die Vorgehensweise in deutschen Online-Medien zwischen
der Bürgerrechtsorganisation Neub und den Datenschutzbehörden nimmt weiter zu.
Nämlich den Angriff auf Microsoft und die Störung, die es diese Woche eben weltweit gab.
Eine weltweite Netzwerkstörung am 30. Juli.
Ja, ich komme zu unserem Top-Thema, denn in dieser Woche wurde bekannt,
dass Irlands Datenschutzbehörde die DPC gegen die Twitter International Unlimited
Company vor Gericht zieht.
Das Landgericht Hamburg hat entschieden, dass Online-Händler unter bestimmten
Bedingungen keinen Gastzugang anbieten müssen.
Ich habe als erstes eine wichtige Entscheidung des Bundesrats aus der Schweiz mitgebracht.
Dieser hat nämlich am 14. August beschlossen, dass der Datenaustausch zwischen
der Schweiz und den USA zukünftig auf das neue Swiss-US-Data-Privacy-Framework gestützt werden kann.
Kommen wir zum nächsten Thema und zwar zu einem Urteil des Verwaltungsgerichtes Ansbach.
Das hat nämlich die Bayerische Landesdatenschutzaufsicht zur Handlung verpflichtet.
Gegen das US-amerikanische Fahrdienstunternehmen Uber wurde durch die niederländische
Datenschutzaufsichtsbehörde ein Bußgeld über 290 Millionen Euro ausgesprochen.
Nach einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die
Informationsfreiheit Rheinland-Pfalz wurde im August eine Informationskampagne
gestartet und mit Informationsschreiben auf die Bereitstellung von Gastzugängen
für den Bestellvorgang hingewiesen.
Die niederländische Aufsichtsbehörde hat hier ein Bußgeld in Höhe von 30.500.000
Euro gegen Clearview verhängt.
Am 16.05. diesen Jahres wurde sie gewählt und am 3.09.
Übernimmt sie ihr Amt. Herzlichen Glückwunsch, Frau Prof. Dr.
Luisa Specht-Riebenschneider zu ihrem Amt als neue Bundesbeauftragte für den
Datenschutz und die Informationsfreiheit.
Der Chaos Computer Club hat erhebliche Datenlecks bei den Kreditvermittlungsportalen
Check24 und Verivox aufgedeckt.
Ja, wie gerade in der Zusammenfassung schon angekündigt, habe ich ein ganz neues
Urteil vom Europäischen Gerichtshof mitgebracht.
Er kam gestern zum Ergebnis, dass Aufsichtsbehörden nicht verpflichtet sind,
Datenschutzverstöße immer zu ahnden, beispielsweise mit einem Bußgeld.
Ja, wieder eine Tüte Buntes zum dritten Quartal.
Willst du schön sagen? Heiko, was war dein Top-Thema? Top-Top-Thema.
Top-Top-Top-Thema? Ja, ich glaube, der weltweite IT-Ausfall,
den wir in den KW29 berichtet haben, der hat ja doch, glaube ich,
also den haben wir alle mitbekommen.
Das war ja nicht nur bei uns in den News oder in einschlägigen News,
sondern das war ja auch in allen News, die man so gesehen hat.
Vielleicht nochmal kurz zum Hintergrund. Es war ja CrowdStrike,
die ein fehlerhaftes Update für ihre Sicherheitssoftware Falcon veröffentlicht haben.
Und darin halt ein entsprechender Bug dazu geführt hat, dass sehr viele Windows-Systeme abgestürzt sind.
Jetzt habe ich nochmal nachgeschaut, wie sieht es denn jetzt in dem Verfahren aus.
Weil natürlich damals schon die Fragen im Raum standen, wer haftet eigentlich.
Also wir erinnern uns, ganz viele Flugzeuge sind auf dem Boden geblieben.
OPs konnten in Krankenhäusern nicht durchgeführt werden, Behörden waren offline.
Also es war glaube ich schon ein sehr erheblicher Schaden, der da entstanden ist.
Und jetzt habe ich gefunden, also Delta Airlines reichte im Oktober Clark in
Georgia in den USA ein gegen CrowdStrike und fordert 500 Millionen US-Dollar Schadensersatz.
Also glaube ich wahrscheinlich sehr realistisch, dass dieser Schaden auch tatsächlich
entstanden ist, wirft halt dem IT-Sicherheitsanbieter hier grobe Fahrlässigkeit vor.
Wenig überraschend, CrowdStrike weist natürlich die Schuld zurück und betont,
dass Delta veraltete Systeme im Einsatz hatte und deswegen die Wiederherstellung
halt verzögert wurde und dass man ja seitens CrowdStrike halt sehr schnell reagiert habe,
um hier die Ausfälle und Verzögerungszeiten halt möglichst gering zu halten.
Ich glaube, die Frage wirft halt einmal mehr auf, wie geht man eigentlich halt
mit kritischer Software um?
Ja, wir haben ja hier auch schon gesagt, es sind natürlich viele Kritisbereiche
auch betroffen gewesen. Also was bedeutet das für die Praxis?
Da hat sich hoffentlich schon das eine oder andere getan. Also wir bei unseren
Kunden achten da natürlich jetzt auch nochmal verstärkt drauf,
auch in den Audits, die wir typischerweise durchführen.
Ich glaube aber halt auch, dass natürlich diese Haftungsfrage weiterhin offen
ist und da sicherlich auch noch einiges passieren wird.
Wenn hier eine komplette Haftung später festgestellt wird in vielen Ländern,
ich glaube es könnte auch die Preise für Software nochmal erhöhen,
wenn dann entsprechende Versicherungen zukünftig abgeschlossen werden müssen.
Das wäre naheliegend, absolut. Ja, mein Thema aus dem Quartal war die Klarstellung
zum Thema Fernmeldegeheimnis und eben,
dass Arbeitgeber nicht automatisch ans Fernmeldegeheimnis gebunden sind,
wenn sie denn die Nutzung von E-Mail und Co.
Zu privaten Zwecken von den Arbeitnehmern freigeben. Das kam ja aus dem 29.
Tätigkeitsbericht der Landesdatenschutzbeauftragten aus Nordrhein-Westfalen.
Haben wir ja auch sehr wohlwollend zur Kenntnis genommen, weil das ja was war,
was ja immer wieder in Vergangenheit ja auch zur Diskussion geführt hat.
Eben jetzt auch nochmal nach der Umformulierung zum Thema geschäftsmäßige Bereitstellung
oder halt eben jetzt halt gegen Entgelt über Telekommunikationsnetze erbrachte Dienste.
Vielleicht in dem Zusammenhang nochmal unseren lieben Zuhörern und Zuhörern auch ans Herz gelegt.
Der Blogbeitrag und auch der Artikel im Datenschutzberater von unserem lieben
Podcast-Kollegen, auch Gregor Wortberg,
der sich dem Thema ja etwas ausführlicher gewidmet hat,
auch hier natürlich nochmal angeknüpft hat an Ideen für die Praxis oder Empfehlungen
für die Praxis, besser gesagt, dass es eben hier darum gilt,
auch entsprechend trotzdem die Nutzung auf sichere Füße zu stellen,
datenschutzrechtlich sichere Füße zu stellen im Unternehmen.
Heiko, was hat dich bei dem Thema am meisten bewegt?
Bei dem Thema Fernmeldegeheimnis, ich finde es gut. Wir haben ja in der Vergangenheit
da sehr kontrovers darüber diskutiert.
Ich glaube auch, dass sehr viel in der Vergangenheit dafür sprach,
dass man hier das Fernmeldegeheimnis anwendet, wenn man rein letztendlich nach
den Buchstaben des Gesetzes ging.
Umso schöner jetzt, dass es halt für die Unternehmen zumindest etwas erleichternd wird.
Aber wir haben ja auch mehrfach darauf hingewiesen, das sollte an der Stelle
vielleicht auch nochmal erfolgen.
Es heißt nicht, dass deswegen kein Datenschutz mehr anwendbar ist,
sondern wir brauchen natürlich trotzdem an der Stelle gute Regeln,
unter welchen Voraussetzungen personenbezogene Daten halt zugegriffen werden darf und so weiter.
Also auch bei privater Nutzung, finde ich, sollte man da nicht nachlässig werden
und die Regelungen, die da sind, deswegen nicht außer Kraft setzen.
So ist es.
Ja, ich würde vorschlagen, wir machen direkt weiter mit Q4, wenn wir einmal
im Flow sind, genau. Und auch da hören wir einmal rein.
Der Eugea hat bestätigt, dass eine Entschuldigung als Ersatz für immateriellen
Schaden ausreichen kann, wenn kein größerer Schaden nachgewiesen wird.
Die Meta-Plattforms Irland Limited hatte der Datenschutzaufsicht im März 2019 schon mitgeteilt,
dass es unbeabsichtlicht bestimmte Passwörter von Nutzern sozialer Medien im
Klartext auf sein internes System gespeichert hatte.
Im Ergebnis hat die Aufsichtsbehörde mit einem Bußgeld von insgesamt 91 Millionen Euro bewährt.
Der Europäische Datenschutzausschuss veröffentlicht Leitlinien zur Verarbeitung
von personenbezogenen Daten auf Grundlage des berechtigten Interesses.
Das Scraping öffentlich einsehbarer Informationen durch Facebook wird nämlich
Gegenstand des ersten Leitentscheidungsverfahren des BGH sein.
Das BMAS und das BMI haben einen
abgestimmten Referentenentwurf für ein Beschäftigtendatengesetz vorgelegt.
Wir starten in Frankfurt. Das Oberlandesgericht hat mit Beschluss vom 2.
Juli tatsächlich schon entschieden, dass Unternehmen das Auskunftsrecht nach
Artikel 15 durch ein Self-Service-Tool erfüllen können.
Sechs Bundesländer wollen Microsoft M365 in ihre Verwaltungen einführen,
um den IT-Betrieb zu modernisieren.
Die hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat zuletzt
eine Schwerpunktprüfung in der Branche des Forderungsmanagements durchgeführt
und in diesem Rahmen ein Bußgeld in Höhe von 900.000 Euro ausgesprochen.
Die sächsische Datenschutz- und Transparenzbeauftragte hat im Mai diesen Jahres
30.000 Websites in Sachsen überprüft und Datenschutzmängel festgestellt.
Denn ab dem kommenden Sonntag, den 1. Dezember, dürfen Kinder aus Hanau,
die in einer Kindertagesstätte der Stadt betreut werden, nicht mehr getrackt werden.
Das Gericht betont, dass ein Klagtusunternehmen sich nicht darauf berufen kann,
dass es marktüblich und unproblematisch sei, dass Verträge innerhalb eines Konzerns
von der Muttergesellschaft abgeschlossen werden.
Es ist mein persönlicher Aufreger
der Woche, als ich diese Woche die Nachrichten im WDR geschaut habe.
Und dort titelte der WDR, Datenschutz ist schuld.
Keine Stutenkerle für ältere Menschen. Ein Forschungsprojekt der Uni Bayreuth
schafft eine Datenschutz-Sandbox für sichere Technologieentwicklungen.
Das österreichische Bundesverwaltungsgericht hat entschieden,
dass Webseitenbetreiber die volle Verantwortung für Datenschutzverstöße durch
implementierte Dienste wie Google Recapture tragen, auch ohne direkten Zugriff
auf die technische Gestaltung.
Die Verbraucherzentrale Bundesverband hat eine Musterfeststellungsklage gegen
Facebook auf Schadensersatz beim OLG Hamburg eingereicht.
Das Sparpreisticket der Deutschen Bahn ist bald ohne persönliche Daten erhältlich,
berichtet der hessische Beauftragte
für den Datenschutz und die Informationsfreiheit in dieser Woche.
Ich musste gerade so lachen bei dem Thema Stutenkerle. Ich weiß nur an dem Tag,
wie du dich aufgeregt hast.
Das hatte ich auch tatsächlich, also weniger wegen den Stutenkern,
sondern wegen dieser doch sehr aufmerksamkeitshaschenden Formulierung Datenschutz ist schuld,
was ich ja immer wieder versuche dagegen zu arbeiten und zu sagen,
nein, in der Regel ist der Datenschutz nicht schuld, sondern wir können da sehr
viel machen. Man muss halt auch wollen.
Was war denn sonst bei dir so das Top-Thema in dem Quartal?
Ich habe mich am meisten gefreut über die Leitlinien zum berechtigten Interesse
vom Europäischen Datenschutzausschuss, muss ich schon sagen,
weil das natürlich was ist, so ein Thema Interessenabwägung,
nicht so trivial, wie so mancher vielleicht denkt.
Und dass man hier nochmal einen kleinen Fahrplan an die Hand bekommen hat,
wann es halt eben geht und wann es halt eben nicht geht.
Also ebenso auch, wie groß es doch eben, wie schwer es wiegt.
So, das wollte ich sagen. Dass man halt immer wieder betrachten muss,
ob es nicht wirklich doch andere Mittel gibt, die den gleichen Zweck erreichen,
die eben weniger in die Grundrechte und Grundfreiheiten diese einschränken dürfen
oder darauf Einfluss haben.
Oder auch, dass der Buchstabe F eben nicht dafür genommen werden sollte,
weil es vielleicht vermeidlich die weniger einschränkende Rechtsgrundlage ist
und es dem Verantwortlichen leichter macht in der Datenverarbeitung.
Also das war für mich schon Papier, was für die Praxis doch sehr hilfreich war.
Auch wenig überraschend jetzt vom Inhalt, nicht, dass es falsche Stand wird,
aber wo man doch nochmal Argumentationsgrundlagen hat für den einen oder anderen,
wo man sagt, okay, da ist jetzt vielleicht was nicht ausreichend ausformuliert
worden oder betrachtet worden am Ende des Tages.
Ganz genau, also es ist inhaltlich jetzt tatsächlich sehr vieles nochmal,
was wir sowieso wissen, vielleicht, weil wir uns intensiver damit beschäftigen,
relativ präsent, aber wir hatten das in einer der letzten News-Folgen ja auch schon festgehalten.
Es gibt sehr viel im Moment rund um das berechtigte Interesse,
deswegen sollte man die Gelegenheit nutzen, um nochmal nachzugucken,
wie gut man denn seine Interessenabwägungen auch dokumentiert hat,
damit man vorbereitet ist.
Ja, mein Thema waren nicht die Stutenkerle, sondern was ich sehr schön fand
nochmal, dass der EuGH bestätigt hat, dass eine Entschuldigung als Ersatz für
immateriellen Schaden durchaus ausreichen kann, wenn kein größerer Schaden nachgewiesen wird.
Und die Beweggründe des Datenverarbeiters beeinflussen die Höhe des Schadensersatzes nicht.
Auch das fand ich nochmal eine ganz wichtige Klarstellung, sodass sich halt
der Ausgleich ausschließlich nach dem tatsächlichen Schaden richten soll.
Das haben wir ja an verschiedenen Stellen auch in der Rechtsprechung nochmal
gehabt beim EuGH, dass natürlich auch keine Bußgeldähnlichen Kriterien hier
heranzuziehen sind, weil es soll ja nicht der Sanktionierung dienen,
sondern es soll der Kompensation eines Schadens dienen.
Finde ich persönlich sehr gut, dass das halt nochmal an verschiedenen Stellen
bei der Rechtsprechung halt klargezogen wurde.
Vielleicht Praxistipp nochmal, vielen Dank auch an Carlo Pilz,
den hatten wir ja letztes Jahr auch nochmal hier in unserer Silvester-Show,
der fand ich ganz gut diesen Tipp, nämlich standardmäßig einfach,
wenn man einen Vorfall hatte und die Betroffenen auch informiert,
dann einfach auch standardmäßig sich dafür zu entschuldigen.
Ich glaube, das ist halt schon mal die halbe Miete, dass man halt darüber natürlich
auch immer darstellen kann, dass bestimmte Schäden vielleicht damit schon mal
etwas geringer ausfallen, bei den immateriellen Schäden zumindest.
Unser nächster Gast ist eine prägende Persönlichkeit im Spannungsfeld zwischen
Datenschutz, Informationsfreiheit und digitaler Innovation.
Als hamburgischer Beauftragter für Datenschutz und die Informationsfreiheit
seit 2021 hat er sich nicht nur als kritischer Wächter über die digitalen Grundrichter
etabliert, sondern auch als jemand,
der aktiv die digitale Gesellschaft mitgestaltet.
Ein Architekt der Zukunft, wie er selbst treffend beschreibt.
Seine Karriere ist so vielseitig wie beeindruckend.
Doch was ihn besonders auszeichnet, ist seine Vision.
Er sieht sich weniger als Jäger von Tech-Giganten wie Google und Meta,
sondern vielmehr als Architekt oder Statiker einer digitalen Gesellschaft,
die auf sicheren und verantwortungsvollen Grundlagen gebaut sein sollte.
Sein Ziel? Nicht nur kritisieren, sondern von Anfang an mitgestalten,
gerade beim Ausbau der digitalen Infrastruktur unserer Gesellschaft.
Freut euch auf einen Gast, der nicht nur versteht, was hinter den Kulissen der
digitalen Welt passiert, sondern auch, wie wir sie nachhaltig und gerecht formen können.
Wir begrüßen sehr herzlich bei uns Thomas Fuchs.
Ja, schön, dass Sie da sind, Herr Pux. Wir freuen uns sehr, dass Sie sich am
Ende dieses stressigen Jahres, wahrscheinlich auch für Sie wie für uns,
die Zeit genommen haben, um das erste Mal bei uns beim Datenschutz-Talk-Podcast zu sein.
Sehr gerne. Herzlichen Dank für die Einladung und für das sehr nette Intro.
Ich fühle mich sehr gut beschrieben.
Ja, auch von mir herzlich willkommen und ich würde direkt zur ersten Frage an Sie kommen.
Sie waren ja zuvor auch Direktor der Landesmedieninstalt, ebenfalls eine Aufsichtsbehörde.
Wie unterscheidet sich eigentlich die Arbeit zwischen den Behörden und wo sind
die größeren Herausforderungen als Leiter einer Aufsichtsbehörde eigentlich?
Erstmal würde ich vielleicht die Gemeinsamkeiten betonen, weil die ganz interessant sind.
Sowohl die Medienanstalten als auch die Datenschutzbehörden sind föderal aufgestellt.
Das heißt, es gibt eben 14 bis 17 davon. Es gibt nicht die eine starke große
Bundesbehörde, das ist auch in der Medienaufsicht so.
Das heißt, es ist sehr wichtig, ist die Zusammenarbeit über das eigene Tätigkeitsfeld hinaus.
Und insofern war ich, glaube ich, auch auf die Zusammenarbeit mit den anderen
Datenschutzkollegen aus der alten Tätigkeit ganz gut vorbereitet.
Die Herausforderungen sind auch ein Stück weit ähnlich, weil der Mediensektor
durch Digitalisierung besonders intensiv betroffen war.
Auch da war es wichtig, dass eben die Medienaufsicht Schritt hält mit der digitalen
Entwicklung und nicht zum Beispiel bei Werbeformaten Regulierung aus der analogen
Zeit einfach nur überstülpt.
Also insofern gibt es eigentlich in der Struktur erstaunlich viele Ähnlichkeiten
zwischen diesen zwei Aufsichtssystemen.
Jetzt haben Sie ja von Herrn Kaspers die Position übernommen.
Der galt ja unter den deutschen Aufsichtsbehörden auch eher vielleicht so ein
bisschen als Hardliner.
Zumindest war das so unsere Wahrnehmung. Sie haben sich da deutlich konstruktiver positioniert.
Wie sind Ihre Erfahrungen so mit der geänderten Gangart in Hamburg?
Bekommen Sie dazu Feedback? Wie fühlt sich das auch so im Alltag an?
Also zunächst finde ich, dass das sehr gut aufeinander aufbaut.
Ich glaube, in der Zeit, in der Johannes Kasper tätig war, war das wichtig,
laut zu sagen, hallo, hier sind wir, es gibt den Datenschutz,
wir können Bußgelder verhängen.
Und das war gerade in der Zeit, ich sage mal, 2018 bis 2021 sehr wichtig.
Und jetzt kommt aber so ein bisschen eine andere Etappe, nämlich eher,
wenn man so will, eine gestaltendere Digitalisierung.
Und ich glaube, dass es insbesondere im Zusammenhang mit dem öffentlichen Sektor
und insbesondere vor dem Hintergrund der schleppenden Digitalisierung der öffentlichen
Infrastruktur sehr wichtig ist,
dass wir da jetzt sehr viel stärker in Beratung und Kooperation gegangen sind
und vielleicht ein bisschen stiller sind,
aber sehr wirkungsvoll im Erreichen von guten Produkten und guten Ergebnissen.
Jetzt haben Sie bei Ihrer Vorstellung des Jahresberichts 2023 vermerkt,
dass es einen Anstieg der Beschwerden gab, hier insbesondere auch auf Google
Street View daran das festgemacht.
Was hat Ihre Behörde in diesem Jahr am meisten beschäftigt?
Ich glaube, das wichtigste Vorhaben war, dass wir insgesamt ein bisschen wegkommen
wollten von den Beschwerden, im Sinne von auch anlasslos zu prüfen,
selber uns zu überlegen, wo sind Wirtschaftsbereiche, die einen etwas genaueren Blick vertragen.
Und so haben wir zum Beispiel in 2024 den ganzen Bereich des Forderungsmanagements
uns etwas genauer angeguckt.
Da gibt es relativ viele auch große Firmen in Hamburg und haben da auch sehr
tiefgehend in die Systeme geguckt.
Am Ende des Jahres auch ein großes Bußgeld erlassen in Höhe von 900.000 Euro
wegen eines komplett fehlenden Löschkonzeptes.
Und das ist, glaube ich, ein Schritt, den wir öfter gehen wollen,
dass wir nicht nur in Anführungsstrichen Beschwerden bearbeiten,
sondern auch gucken, wo ist ein wichtiger Wirtschaftsbereich,
der sehr digitalisiert ist und da dann auch anlasslos reingehen und intensiv prüfen.
Und das war sehr intensive Arbeit auch für die Kolleginnen und Kollegen,
aber sehr erkenntnisreich und sehr ergebnisorientiert.
Sie haben das Bußgeld gerade angesprochen, 100.000, ist natürlich schon auch
eine stolze Summe für ein Unternehmen.
Was war am schwersten bei der Bemessung dieses Bußgeldes?
Das ist ja ein längerer Prozess. Es gibt ja auch die Etzer-Guidelines zur Festlegung
von Bußgeldern. Also man guckt erstmal, was ist der Umsatz.
Dann versucht man, die Schwere des Verstoßes einzusortieren in diese Logiken.
Dann guckt man, was spricht für oder gegen den Verantwortlichen in diesem Fall.
Und insbesondere hat er den Missstand abgestellt, hat er kooperiert,
hat er Unterlagen rausgegeben und sehr verkürzt gesagt, startet man mit einer
hohen Summe. Und dann gibt es sozusagen Abschläge und Bonuspunkte für jeden
Schritt, den ich gerade erwähnt habe.
Und so landet man dann immer noch bei einem relativ hohen Betrag.
Aber es hat natürlich auch was damit zu tun, dass eben in digitalen Unternehmen es viele Fälle sind.
In diesem Fall reden wir über hohe sechsstellige Zahlen von Daten,
die eben noch vorhanden waren, obwohl sie hätten gelöscht werden müssen.
Also insofern ist allein der Umfang der falschen Datenverarbeitung natürlich
auch ein wichtiges Kriterium für die Höhe des Bußgeldes.
Der ETSA hatte ja im April seine Stellungnahme zu den Pay-or-Consent-Modellen
auf Large Online-Plattformen veröffentlicht.
Und aus der Presse konnte man entnehmen, dass sie ihr nicht unbedingt die gleiche
Auffassung vertreten haben.
Was hat sie am meisten gestört an der Auffassung des ETSA?
Also wir haben ja in Hamburg mit daran geschrieben, dass die DSK im Frühjahr
2023 einen Beschluss gefasst hat zu Pay-or-Consent-Modellen,
wo sinngemäß gesagt wurde, die können,
wenn die Gestaltung transparent ist, es ausreichend granular ist und der Preis
fair ist, sind das eigentlich mögliche Modelle.
Und der ETSA hat…
Im Grunde hat eine Figur aus dem Digital Market Act übernommen und hat gesagt,
die Einwilligung in diese Modelle kann nur dann zulässig sein,
wenn es auch eine dritte Option gibt, also eine Datenverarbeitung,
eine weniger datenverarbeitende Möglichkeit, das Angebot zu nutzen,
eben zum Beispiel durch Werbung, die nicht personalisiert ist.
Und dieser letzte Schritt, den fand ich persönlich oder fanden wir in Hamburg
schwer aus der DSGVO ableitbar.
Und ich glaube, wir müssen sehr aufpassen beim Datenschutz, dass wir nicht zu
stark in die Geschäftsmodelle rein regulieren.
Also wir können sagen, ihr müsst vernünftig mit personenbezogenen Daten umgehen,
ihr müsst die Nutzer transparent informieren.
Aber dass wir jetzt anfangen, Werbeformen vorzuschreiben, das finde ich einen schwierigen Ansatz.
Und das war, glaube ich, der Hauptkonflikt in diesem Fall gewesen.
Das kann ich gut nachvollziehen, finde ich tatsächlich auch etwas,
wo man bei manchen Aufsichtsbehörden, ihre natürlich ausgenommen,
aber durchaus schon mal auch das Gefühl hat, dass es halt sehr weitgehend ist
und gar nicht mehr nur rein um die Auslegung und Anwendbarkeit der Datenschutzgesetze.
Von daher ist das, fand ich nochmal, eine gute Klarstellung.
Wir hatten heute auch schon Simon Weidler zu Gast,
den kennen Sie ja auch von Meta und Sie haben im Frühsommer Ihre Bedenken zum
Facebook-Konzern Meta zur geplanten Nutzung der auch persönlichen Profildaten
bei der Entwicklung von KI-Modellen geäußert.
Hat sich Ihre Meinung seitdem geändert
und wenn nicht, was sind so die Hauptschmerzpunkte, die Sie da haben?
Das ist ja ein sehr komplexes Thema, was wir jetzt in diesem Format behandeln
wollen. Ich versuche mal, meinen Blick darauf gerne zu schildern.
Also erstmal muss man sagen, immerhin hat Meta vorher angekündigt,
dass es vorhat, die personenbezogenen Daten, die es hat,
aus der Nutzung seiner Produkte und sozialen Netzwerke für KI-Modelle zu nutzen
und weiter zu verarbeiten und hat auf diese Widerspruchsmöglichkeit hingewiesen.
Das muss man sagen, ist ja sehr viel mehr, als andere große Modellersteller vorher gemacht haben.
Das ist erstmal positiv. Dann gründet aber Meta diese Art der Datenverarbeitung
auf dem berechtigten Interesse und wenn ich das berechtigte Interesse mir angucke,
dann ist ein wichtiges Prüfkriterium,
konnte das Individuum voraussehen bei der ersten Datenerhebung,
dass seine personenbezogenen Daten für diesen neuen Zweck weiterverwendet werden.
Und wenn ich das jetzt auf den Fall übertrage, würde das bedeuten,
wusste ich, als ich vor fünf Jahren einen Post bei Facebook abgesetzt habe,
dass fünf Jahre später ein General-Purpose-AI-Modell wie Lama mit diesem Datum
und meinen ganzen anderen Profildaten trainiert wird.
Und das ist, glaube ich, ein Sprung, der ist zu groß.
Und deswegen wäre meine Empfehlung gewesen von Facebook, dass sie das sozusagen
nicht rückwirkend machen, sondern mit Blick nach vorne diese Datenverarbeitung einführen.
Und ich muss ein bisschen komplexer antworten. Ich glaube, es ist auch ein großer
Unterschied, ob ich sage, ich nutze die personenbezogenen Daten des Netzwerkes für ein KI-Training,
was Facebook und Instagram verbessert, oder ich nutze diese Daten für ein großes
General-Purpose-Sprachmodell.
Auch das ist nochmal eine wichtige Differenzierung.
Und so differenziert ist eben
Meta nicht vorgegangen und deswegen war die Kritik, glaube ich, richtig.
Die irischen Kollegen haben sich sozusagen dem auch mehr oder weniger angeschlossen,
und jetzt müssen wir mal in 25 gucken, wie wir das im Detail vernünftig hinkriegen,
denn ein gewisses prächtiges Interesse hat natürlich auch Meta daran,
Daten sinnvoll weiterzuverwenden.
Ja, jetzt Thema KI ist natürlich, wie Sie schon sagen, ein großes Thema.
Wollen wir auch in diesem Format vielleicht gar nicht komplett zerlegen,
werden wir auch gar nicht schaffen, ist auch gar nicht die Erwartung.
Sie haben im Sommer diesen Jahres ein Diskussionspapier zu der Frage veröffentlicht,
ob in einem Large-Language-Model personenbezogene Daten gespeichert sind.
Die Reaktionen darauf in Gesprächen, so wie wir es mitbekommen haben,
waren ja sehr unterschiedlich.
Was hat das bei den anderen Aufsichtsbehörden ausgelöst und konnten Sie da auch
schon eine Tendenz entdecken, dass man sich Ihrer Auffassung anschließen möchte?
Was mir damals wichtig war, war, dass wir die Diskussion im Gang bringen.
Ich hatte das Gefühl im Frühjahr diesen Jahres, dass alle ganz viel über KI
reden und über KI und Datenschutz, aber dass wir diese wirklich zentrale Frage,
ist das überhaupt eine Speicherung von personenbezogenen Daten,
die in einem solchen Modell nach der Verarbeitung in Form von Tokens und Embettings
geschieht, dass wir um diese Frage so ein bisschen rumgeschlichen sind.
Und deswegen haben wir gedacht, wir müssen jetzt einen Diskussionsimpuls setzen mit diesem Papier.
Und ich glaube sehr, dass das geholfen hat, dass gewisse Ersetzungen,
die dieses Papier gemacht hat,
also zum Beispiel die Trennung zwischen dem KI-Modell und dem KI-System,
ein Verständnis dafür, dass die Form des Personenbezugs über Wahrscheinlichkeiten
funktioniert und nicht über eine bloße Eins-zu-eins-Speicherung.
Die Trennung zwischen Input, dem Modell selber und dem Output aus dem Modell,
also diese etwas differenzierte Betrachtung des Themas,
dazu haben, glaube ich, die Thesen sehr beigetragen, dass ich jetzt eine Mehrheit
überzeugen konnte, dass sozusagen in allen Zuspitzungen dieses Papiers mir alle folgen.
Das werde ich, glaube ich, nicht zu Ende des Jahres behaupten können.
Aber ich glaube, es hat die Diskussion sehr stark verbessert und auch dazu beigetragen,
dass wir differenziert auf diese Modelle gucken und nicht sehr pauschal die
DSGVO versuchen, auf Anwendungen überzustülpen, auf die sie eben nicht eins zu eins passt.
Bleiben wir beim Thema KI-Verordnung auch für das kommende Jahr.
Also wir gleiten über in den Ausblick sozusagen mit Ihnen gemeinsam.
Was ja auch immer ein Kernthema ist, was wir so mitbekommen als Außenstehende,
ist ja auch eben das Thema Überwachung der Anwendung.
Ich hatte auch ein vergangenes Interview von Ihnen gesehen, wo Sie auch schon
mal dazu was geäußert haben, aber vielleicht nochmal auch in diesem Format.
Was würden Sie sich denn konkret wünschen für die Zukunft?
Wie sieht für Sie die optimale Überwachung aus in diesem Bereich?
Also die KI-Verordnung ist ja ein produktorientiertes Regelwerk,
was eine sogenannte Marktüberwachungsbehörde installiert.
Das ist ja ein ganz anderes Denken, als wir es vom Datenschutz erkennen.
Das heißt, es gibt sozusagen das KI-Produkt und das KI-Produkt muss in seiner
Herstellung und in seiner Anwendung durch eine Behörde kontrolliert werden.
Und die Anwendung eines KI-Produkts bedeutet ja nichts anderes,
als dass ein Unternehmen, was zum Beispiel personenbezogene Daten verarbeitet,
in seiner IT auch KI-Anwendungen einbaut.
Und ich bin sehr überzeugt davon, dass es ja nicht so ist, dass links ist die
IT und rechts ist das KI-Produkt, sondern ich werde in IT-Systemen eine Mischung
aus KI-Elementen und klassischen algorithmischen Elementen haben.
Und die Frage ist eben, wer guckt sich diese Systeme an?
Und da gibt es im Grunde zwei Modelle. Die eine ist, wir gucken drauf unter
dem Datenschutzgesichtspunkt weiterhin. Die SGVO bleibt unberührt.
Und dann gibt es eine neue KI-Behörde, die geht in dasselbe Unternehmen,
guckt in dasselbe System und sagt, oh, aber unter dem Besitzpunkt der KI-VO
habe ich da ein paar Fragen.
Und da würde ich es auch aus einer wirtschaftlichen Sicht sagen,
ist für das Unternehmen das ein Nachteil, weil es jetzt zwei Aufsichtsbehörden
hat, die einen im Grunde sehr vergleichbaren Sachverhalt beurteilen.
Und ist es da nicht besser, dass die Anwendung von KI-Produkten in der Fläche,
in der Wirtschaft auch von den Datenschutzaufsichtsbehörden beaufsichtigt wird?
Das ist sozusagen unsere Forderung. Ich halte die nach wie vor für richtig.
Ich weiß, dass die politische Entwicklung in eine andere Richtung geht,
mit einer Stärkung der Bundesnetzagentur in dem Bereich.
Aber nach wie vor scheint mir das letzte Wort nicht gesprochen.
Das hat auch viel mit Föderalismus zu tun, mit der Frage, was sind Senderkompetenzen in dem Kontext.
Aber der Kern ist eigentlich die Frage, reicht nicht eine Behörde aus,
die die Systeme der Unternehmen sich näher anguckt?
Glauben Sie, dass da durch die Veränderung jetzt in der Bundesregierung,
durch die Neuwahlen auch nochmal eine Veränderung in dieser Diskussion entstehen kann?
Kann ich nicht wirklich beurteilen. Also das konkrete Papier ist dann in der
Tat durch das Ende der Regierung jetzt erstmal nicht in der Umsetzungsnähe.
Andererseits soll es einen Referentenentwurf jetzt trotzdem geben,
auch in dieser Übergangszeit, dass es nochmal ausbuchstabiert.
Ich glaube, die entscheidende Frage ist gar nicht so sehr, was die Bundesregierung
macht, sondern die entscheidende Frage ist, was machen die Länder?
Sind die Länder damit einverstanden, dass das Unternehmen, das in Hamburg sitzt
oder vielleicht sogar die Landesbehörde, die in Hamburg sitzt,
einer Aufsicht einer Bundesbehörde sich unterwirft?
Oder müsste nicht ein wirtschaftsstarkes Bundesland wie Hamburg oder Baden-Württemberg
sagen, nee, also die Aufsicht über unsere Unternehmen, die wollen wir bitte,
wie vom Grundgesetz vorgesehen, auch in unserem Bundesland lassen.
Insofern interessiert mich, ein bisschen salopp gesagt, die Entwicklung im Bund
fast weniger, sondern viel wichtiger ist, wie sich die Länder dazu aufstellen.
Wie sehen Sie das mit Hinblick auf
die Kapazitäten? Also das sind ja immer wieder, werden ja Stimmen laut.
Von wegen personelle Kapazitäten, da kommen die Aufsichtsbehörden an ihre Grenzen.
Aber das sehen Sie schon als realistisch an für die Zukunft,
dass sowas durchaus trotzdem platziert werden könnte als weiterer Tätigkeitsschwerpunkt.
Naja, ehrlich gesagt, eine neue Bundesnetzagentur, KI-Abteilung,
müsste ja auch Personen einstellen.
Und die Bundesnetzagentur ist jetzt für den DSA als National Co-Addenator verantwortlich.
Ich habe jetzt die Ausschreibung für die Führungsposition gesehen,
ein halbes Jahr nach Start dieser Aufgabe.
Also ich will damit sagen, wir reden ja um Neugründung quasi einer bundesweiten
Aufsicht versus Aufstockung von vorhandenen Behördenkapazitäten wie unserer.
Und ich glaube, dass jetzt mal ganz praktisch gesprochen, also alles,
was wir als Ressource schon haben, also Technik, Justiziariat,
ITler, das ist ja alles da und dann brauche ich vielleicht noch ein paar Leute
zusätzlich, die diese spezifische KI-Aufgabe haben.
Also ich glaube, es wäre sehr viele Ressourcen schonender auf bestehende Behörden
aufzusetzen, als eine komplett neue aufzubauen.
Wir haben ja in der Aufsicht für die Datenschutzthemen immer wieder die Herausforderung,
dass wir unterschiedliche Auffassungen von unterschiedlichen Aufsichtsbehörden haben.
Es hat sich etwas gebessert in den letzten Jahren durch die DSK-Abstimmung,
keine Frage, aber sie gibt es ja immer noch.
Sehen Sie da nicht auch eine Gefahr, dass natürlich durch Länderaufsicht wir
dann quasi da das nächste Thema schaffen mit sehr unterschiedlichen Auffassungen,
unterschiedlicher Aufsichtsbehörden?
Total berechtigte Frage. Erstmal freue ich mich von Ihnen zu hören,
dass Sie auch mein Gefühl teilen, dass es ein bisschen besser geworden ist in
den letzten Jahren, weil wir wirklich in der DSK sehr viel besser zusammenarbeiten,
als das vor drei, vier Jahren noch der Fall war.
Also Sie haben recht mit dem Punkt und deswegen können wir es auch nicht genauso
machen wie bei der DSGVO, sondern wir werden eine nationale Koordinierung brauchen,
die stärker ist als zurzeit.
Das sieht aber auch die KIVO so vor. Also es muss sozusagen eigentlich einen
Ansprechpartner zum Beispiel für das I-Office der EU geben.
Es muss einen geben, der die Aufsicht mehr zusammenfasst. Es wird auch eine
bundesweit einheitliche Aufsicht geben für das in den Markt bringen von Produkten.
Anders als die Aufsicht über das Nutzen, Deployment der Produkte.
Und deswegen glaube ich, dass es so funktionieren wird, dass wir eine dezentrale
föderale Marktaufsicht haben. aber eine stärkere Bundesbehörde,
die das zusammenbündelt.
Und das ist dann in der Tat ein Unterschied zur jetzigen DSGVO-Struktur.
Darüber hinaus, was sind so Ihre Pläne aus datenschutzrechtlicher Sicht für das nächste Jahr?
Sie haben ja vorhin schon erzählt, dieses Jahr war eben das Thema Kontrolle
im Bereich Forderungsmanagement.
Haben Sie auch sich für das kommende Jahr einen Schwerpunkt gesetzt?
Ja, wir werden uns ein bisschen genauer angucken, das Thema KI und Recruitment,
also die Frage Einsatz von neuen Technologien im Einstellungsprozess und im Personalmanagement.
Da gibt es sehr viele sehr spannende, sehr innovative Produkte,
die aber im Schattenbereich von emotionaler Auswertung und Analyse sicherlich
auch KI-Fragestellungen aufwerfen. Also da gehen wir, glaube ich,
ein bisschen tiefer rein.
Und da kann man auch bei vielen Unternehmen ein bisschen tiefer reingehen,
weil ja viele große Unternehmen Menschen einstellen.
Das ist, glaube ich, so von der klassischen Datenschutzsicht ein großes Thema.
Und das zweite große Thema ist der Data Act.
Den haben wir ja so ein bisschen vor lauter KI-Begeisterung vergessen.
Aber nächstes Jahr tritt der Data Act in Kraft und da gibt es zahlreiche Schnittstellen
zur DSGVO, die noch sehr ungeklärt sind.
Auch da ist noch sehr unklar, wie die Behördenaufsichtsstruktur sein wird.
Da sind, glaube ich, die Unternehmen auch noch ganz unscharf in ihrer Haltung,
wie sie mit ihren Daten umgehen wollen und mit den Datenteilen,
das da ein bisschen angelegt ist.
Also das scheint mir auf so einer politisch-strategischen Ebene das große Thema für 25 zu werden.
Ja, vielen Dank schon mal für Rückblick und Ausblick.
Jetzt wollen wir natürlich nochmal Sie als Person ein bisschen besser kennenlernen.
Deswegen haben wir ein paar Fragen vorbereitet oder Fragen und zum Schluss wird
Frau Droschinski auch noch ein, zwei offene Fragen für Sie haben.
Wir fangen mal ganz, ganz einfach an, glaube ich. Kaffee oder Tee?
Beides, aber öfter Tee.
Okay, doch nicht so einfach, wie ich dachte.
Strand oder Berge?
Berge.
Bremen oder Hamburg?
Hamburg.
Zwei Wochen aufs Handy verzichten oder lieber ein Jahr aufs Lieblingsessen?
Ah, zwei Wochen aufs Handy verzichten.
Gute Wahl. Kugelschreiber oder Füllfederhalter?
Eindeutig Kugelschreiber.
Apple oder Android?
Faktisch Apple.
Und lieber Bar zahlen oder mit Karte?
Karte.
WhatsApp oder Signal?
Signal, das ist natürlich auch die politisch korrekte Antwort,
aber wenn ich mit meinen Kindern in Kontakt bleiben will, muss es manchmal auch noch WhatsApp sein.
Was ist Ihnen wichtiger, Freiheit oder Sicherheit?
Eindeutig Freiheit, aber es muss natürlich abgewogen werden.
Wenn Sie an die Zukunft denken, was wäre Ihr größter Wunsch oder Traum,
die Sie gerne noch verwirklichen würden?
Für mich persönlich?
Gerne.
Ja, das ist, ich sehe mich jetzt stutzen. Ich habe darüber gar nicht so viel
nachgedacht, weil ich gerade wirklich sehr erfüllt bin von dem, was ich tue.
Und deswegen mache ich jetzt doch einen innerlichen Bogen, um auf die letzte
Oder-Frage auch nochmal zurückzugehen.
Ich glaube, dass wir 2025 die Frage Freiheit oder Sicherheit auch beantworten
werden und dass das gescheitete Sicherheitspaket der Appelregierung mit der
biometrischen Fernüberwachung und diesen ganzen Möglichkeiten der Polizei im Netz zu suchen,
jetzt auf Länderebene wiederkommt.
Und ich glaube, wir werden 25 sehr darüber diskutieren müssen,
auf wie viel Freiheit wir verzichten, um mehr Sicherheit zu bekommen.
Und mein Traum, um auf die Frage zu antworten, wäre, dass wir diese Debatte
fachlich klug führen und uns nicht da in polarisierende Debatten reintreiben lassen,
weil das wirklich ein sehr wichtiges, zukunftsweisendes Thema ist,
wie sehr wir den Staat im Internet uns nachforschen und durchsuchen lassen.
Tolle Antwort. Und zu guter Letzt würde uns interessieren, mit welcher berühmten
Persönlichkeit Sie gerne mal zu Abend essen würden und warum.
Also ich bin ja ein großer Freund der klassischen Musik und ich glaube,
ich würde gerne mich mit Daniel Barenboim einen Abend verbringen.
Erstens, weil ich ihn als Musiker sehr schätze. Zweitens könnte man dann schön
über Wagner-Opert und ähnliche Dinge reden.
Und drittens ist es sicherlich ein Mensch, mit dem man auch über gerade sehr
aktuelle politische Konflikte, insbesondere im Nahen Osten, sehr differenziert
und tief im Detail seins reden kann.
Insofern ist das, glaube ich, ein Gesprächspartner, der, wo ein Abendessen wahrscheinlich
kaum ausreicht, um alle interessanten Themen durchzugehen.
Sehr schön. Ja, Herr Vox, vielen herzlichen Dank, dass Sie sich die Zeit genommen
haben, hier bei uns zu Besuch zu sein und uns an Ihren Gedanken haben teilhaben lassen.
Mir persönlich hat es sehr viel Spaß gemacht und wir verabschieden Sie,
wünschen Ihnen ein frohes Fest bzw.
Einen schönen Übergang ins neue Jahr und hoffentlich bis bald.
Vielen Dank für die Einladung, hat Spaß gemacht.
Herzlichen Dank, Ihr Applaus.
Ja, damit haben wir unsere Gäste für dieses Jahr schon mal alle durch.
Es waren ja weniger, es war ja auch der Plan.
Jetzt haben wir natürlich traditionell, Laura, du weißt es, wir blicken ja auch
nochmal zurück auf unsere Outtakes.
Die habe ich jetzt übrigens vielleicht eine Schätzfrage auch an dich zum Schluss.
Wie viele Worte schätzt du, haben wir in so einem Podcast ja in unseren News gesprochen?
Boah, insgesamt?
Insgesamt. Alle.
Alle, alle. Das kann man, erstmal das kriegt man raus, okay. KI macht’s möglich.
KI macht’s möglich, ganz genau.
Ja, es wird wohl sechsstellig sein.
Ja, das ist schon gut.
Okay. Dann eine hohe sechsstellige Zahl?
Nee, nicht ganz. Also es sind 140.000 etwa, 140.000 Worte.
Was ich allerdings nicht mitgezählt habe oder die KI nicht mitgezählt hat, doch, stimmt gar nicht.
Ich habe nicht ganz die Wahl gesetzt. Hat sie mitgezählt? Unsere Outtakes.
Unsere Outtakes waren auch mit dabei.
Und ja, wie immer hatten wir natürlich auch den einen oder anderen,
wo ich heute immer noch drüber schmunzeln kann. Sollen wir nochmal reinhören?
Ja, super gerne.
Gerne, hören wir nochmal rein.
Fertig. Ich dachte mal wieder, Oder ich sage was Kluges dazu,
aber dem ist nichts hinzuzufügen.
Zu unserer Top-Meldung für heute. Titel, Meldung, Titel, Thema.
Also, du weißt, was ich meine? So wie unsere Folge heute heißt.
Heute ist Freitag, der 23. Februar 2022. Unser Redaktionsschluss war… Nein, wir haben 2024.
Stimmt, da waren wir es. Dankeschön. Gerne.
Mein Name ist Heiko Gossen.
Kannst du nicht von der Performance abweichen. Okay, nochmal.
Warte, muss ich jetzt auslassen?
Sagen wir noch was?
Sollen wir uns nicht verabschieden? Habe ich jetzt irgendwie vergessen. Ja.
Die Aufnahme läuft. Sehr schön. Ready?
Moment, Moment. Ich mache nochmal ein Outlook aus. Und mal Teams.
Eine kurze Service-Information wollen wir auch noch.
Ich habe gesiezt. Ich habe gesiezt. Nein, aber dir ist es aufgefallen. Raus.
Die Heizung. Die Heizung.
Hat es im Rahmen eines Prüfverfahrens von Parkraub, meine Güte,
Parkraub, wer kennt es nicht. Ich fange nochmal an.
Lass das Band laufen. Let the music play. Seit ABBA oder Madonna?
Ich weiß das gar nicht mehr. Schon so lange her. Oh Gott, ist du denn?
Ja, vor meiner Zeit. Guckst du dich so an?
Da kommt nichts mehr.
Aber fertig. Flasche leer. Ich habe überlegt, ob ich dazu noch irgendwas Kluges
sage. Mir fällt aber nichts ein.
Ja. Das kann man so stehen lassen.
Vielleicht sollten wir noch darauf hinweisen, dass die nachfolgenden Sendungen
sich um 20 Minuten verschieben.
Dann habe ich Swift oder Swiss gesagt. Du hast Swift gesagt.
Ich wollte gerade fragen, ob wir jetzt putzen müssen. Hat nichts mit dem Swiffer zu tun.
Wir starten heute wieder. Das Fenster ist noch offen.
Und zwar die dirische, die dirische, die dirische, die dirische bekennst du
nicht. Wenigstens hast du nicht die diebische gesagt.
Du machst mich aber auch unsicher, es ist doch, es ist doch der Fuchs.
Das ist doch der Fuchs. Das ist doch der Fuchs. Das ist doch der Fuchs.
Wenn ein DSGVO-konformer Vertrag, was ist denn da zu lassen?
Ich habe bei deiner Rechtsglundlage eben auch nicht gelacht.
Herrlich.
Letztes Jahr war es ja relativ eindeutig, da warst du ja unsere Outtake-Königin.
Ich glaube, dieses Jahr müssen wir uns das Outtake-Krönchen teilen, oder?
Ja, langsam läufst du mir den Rang ab. Oder jedenfalls, wenn wir zusammen aufnehmen,
weil es ist nicht so, dass mit den anderen Kollegen nicht weniger lustig sei.
Aber ja, die besseren Outtakes.
Naja, möge nächstes Jahr neu ausgezählt werden.
Aber ich hoffe, wir haben auch wieder lustige Outtakes dabei,
weil irgendwie ist es ja doch immer noch die Kirsche auf der Sahne.
Absolut.
Also jetzt sind wir ja, glaube ich, ziemlich durch mit dem Jahr.
Wie blickst du zurück? Was wünschst du dir vielleicht auch fürs nächste Jahr anders als dieses Jahr?
Ja, wir hatten es heute ja schon mit Dr. Paul Vogt angesprochen.
Dieses Jahr war die Schlagzahl extrem, was Entscheidungen, was Empfehlungen,
was am Ende auch Gerichtsurteile angeht.
Ich hoffe einfach, dass es nächstes Jahr ein kleines wenig ruhiger wird.
Ja, dem schließe ich mich an und ich hoffe dadurch, dass wir natürlich auch,
und das ist das, was ich mir für nächstes Jahr wünsche, tatsächlich ein bisschen
mehr wieder Zeit finden für Themenfolgen.
Ich hatte es eingangs schon gesagt, es ist natürlich dieses Jahr was wirklich
sehr dünn. Ja, auch dafür entschuldige ich mich nochmal.
Aber wir planen da für nächstes Jahr auf jeden Fall wieder besser zu werden,
weil ich finde halt gerade die Themenfolgen sind halt immer wieder gut,
um wirklich nochmal ein Thema auch in Ruhe zu reflektieren und zu beleuchten.
So ein bisschen wie Paul das auch gesagt hat, warum er Kommentare schreibt mit
den Themenfolgen bei uns, dass man natürlich sich einfach nochmal bewusst mit
einem Thema intensiver auseinandersetzt in der Vorbereitung auf so eine Folge.
Und ich finde, das hilft dann auch enorm, bei den Themen dran zu bleiben.
Ja, wir hoffen, euch hat es wieder Spaß gemacht.
Ihr habt wieder, wie wir auch, einen guten Eindruck davon, was dieses Jahr alles passiert ist.
Ich glaube, Laura, wir haben dieses Jahr etwas kürzer in der Zeit.
Das ist zumindest so ein bisschen mein Gefühl. Wir werden nachher sehen, wo wir rauskommen.
Ich hoffe, dir hat es auch Spaß gemacht.
Sehr, ja.
Dann danke dir nochmal an dieser Stelle.
Danke ebenso.
Und wir freuen uns natürlich sehr, wenn ich das nochmal wiederholen darf,
ihr uns Feedback gebt, wenn ihr uns entsprechende Hinweise hinterlasst,
wie wir besser werden können oder wenn es euch gefallen hat,
was euch gefallen hat und warum,
dann tut das gerne auf der Podcast-Plattform eurer Wahl oder schickt uns eine
E-Mail an datenschutztalk.migosins.de.
Ihr könnt aber auch gerne uns über Social Media kommentieren oder auch kontaktieren.
Ihr findet uns auf x unter ds-talk, gerne auch auf Instagram unter datenschutz-talk-podcast
und natürlich auch auf LinkedIn, da findet ihr uns auch persönlich,
also ihr dürft uns auch persönlich anschreiben.
Auch da sind wir ganz einfach gestrickt und in der Regel antworten wir da auch
mit nicht allzu großer Verzögerung.
So ist es.
Was aber nicht heißt, dass wir das nicht tun, sondern es liegt in der Regel
nur daran, dass wir da jetzt nicht jeden Tag unbedingt unterwegs sind und das immer sehen.
In diesem Sinne, dir einen guten Rutsch ins neue Jahr, Laura,
einen guten Start ins neue Jahr und natürlich für 2025 dir und uns ein erfolgreiches Datenschutzjahr.
Danke ebenso und genau das gleiche gilt natürlich unseren lieben Zuhörern und
Zuhörern und Zuschauern.
In diesem Sinne, bleibt uns gewogen und auf bald.
Applaus.
Es war wie in den letzten Jahren mal wieder ein großes Vergnügen.
Das neue Konzept mit weniger Speaker find ich gut, damit man auch eher etwas in die Tiefe kommt. Mehr Qualität als Masse tut den komplexen Themen immer doch gut. Vielen Dank
Grüße Ansgar und euch einen guten Rutsch.
Lieber Ansgar,
lieben Dank für das schöne Feedback und die Bestätigung unserer Entscheidung!
Dir auch einen guten Rutsch und viele Grüße.
Auf ein spannendes Datenschutzjahr 2025.
Heiko
Verehrte Frau Droschinski & Herr Gossen,
besten Dank für diesen und alle anderen spannenden Podcasts.
Ohne diese würde mir als alleinerziehender … ähmmm …. einzelkämpfender DSB 😉 deutlich etwas fehlen!
Als Idee für eine oder sogar mehrere Themenfolge(n) würden mir, da Ihr Euch auch mit der ISO 27001 beschäftigt folgender Compliance Komplex einfallen:
NIS2 als Ergänzung zum Datenschutz
NIS2: wenn die Umsetzung in nationales Recht in Kraft getreten ist, wird es vermutlich wie im Mai 2018 hektisch zugehen auf der Suche nach Beratung und Umsetzung
Und zur Umsetzung der NIS2 Richtlinie ist die ISO27001 ja bestens geeignet
Und im diesem Kontakt könnte man die Anforderungen der neuen Controls der ISO27001:2022 hinsichtlich dem Schutz pbD genauer beleuchten
Beste Grüße und einen tollen Start in 2025
FT
Lieber Herr Tepasse,
das freut uns sehr – ihr Feedback als auch dass wir mit unserer Arbeit Sie und ander bereichern können.
Die Vorschläge nehmen wir gerne mit. NIS2 steht als Oberthema schon auf der Liste, aber mit Ihren Vorschlägen lässt sich das schon sehr gut konkretisieren.
Vielen Dank dafür!
Auf ein erfolgreiches 2025!
Heiko Gossen