Menschen, Bilder, Datenschutz 2023 – die Silvester Show des Datenschutz Talk Podcast

Transkript zur Folge:

Aus der Datenschutzzentrale der Migosens. Aus den Kellergewölben des Thyssen Gründerhauses. Aus Mühlheim an der Ruhr. Menschen, Bilder, Datenschutz.
Die Silvestershow des Datenschutz-Talk Podcast.
Willkommen zur Silvestershow 2023 des Datenschutztalk Podcasts der migosens.
Ja, wir haben's schon gehört, mein Name ist Heiko Gossen und ich  freue mich sehr, Laura, dass wir beide dieses Jahr wieder das Vergnügen haben, in die Silvestershow zu moderieren. Herzlich willkommen auch an dich.
Dankeschön, ich freue mich sehr. Die letzte Show war ja ein voller Erfolg und ich freue mich sehr drauf, dass wir daran anknüpfen können, hoffentlich, aber ich bin total zuversichtlich, dass der heutige Abend  ja super verlaufen wird.
Da bin ich auch sehr zuversichtlich und  erstmal natürlich einen Riesenapplaus und danke schön an unsere Migo-Tones, die wie immer hier einen schönen  ein schönes Intro für uns gespielt haben.
Ja, wir haben  verschiedene Gäste heute, haben wir schon in eine Moderation gehört. Laura, magst du uns noch mal ganz kurz sagen, wie er die einzelnen Personen genau sind und was sie machen?
Ja natürlich, ich denke, der ein oder andere Name dürfte den Datenschutzexperten, die uns sehen und hören, auch bekannt sein, denn zu Gast haben wir,
Dr. Maret Hansen, Leiterin des unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein, dann Professor Doktor Alexander Goland,  Professor für Wirtschaftsrecht und Rechtsanwalt.
Ebenso begrüßen wir hier heute Abend Doktor Carlo Pilz. Top-Anwalt im Bereich Datenschutzrecht aus Berlin und unter anderem Autor des bekannten Internet
Blogs Delegata. Außerdem freuen wir uns auch wie im vergangenen Jahr auf Themen ab.
Updates. Diesmal mit Stefan Hesse zu Microsoft 356 und auch Maximilian Herrmann begrüßen wir ein weiteres Mal bei uns im Datenschutz-Talk und wir schauen gemeinsam auf den aktuellen Stand der Gesetze zur EU,
Digitalstrategie. Natürlich abgerundet, wieder ein bisschen Statistik. Unsere lieben,
nicht unsere Lieben unter besten Outtakes und natürlich unsere persönlichen Datenschutzhighlights aus diesem Jahr.
Ja, außerdem haben wir eine Neuerung dieses Jahr. Wir hatten letztes Jahr nur so ein paar Schnipsel mal behind the scenes, was  das Videomaterial anging.
Dieses Jahr freuen wir uns, dass wir die Gäste auch alle aufgezeichnet haben, also alle auch zugestimmt haben Datenschutz,
eingewilligt haben in eine  Videoaufzeichnung, so dass wir die Videos auch mit den Gästen jeweils als Einzelvideos auf YouTube verfügbar machen werden. Also wer,
Dazu die Gäste auch sehen möchte oder wer vielleicht auch sehen möchte, wie bezaubernd  Laura heute aussieht.
Darf natürlich auch gerne mal in die Videos reinschauen.
Herr kann ich nur zurückgeben, ne? Ich glaube, wir haben uns dieses Jahr besonders viel Mühe gegeben.
Wir haben uns Mühe gegeben, aber und das ist natürlich ganz entscheidend. Wir wären natürlich nichts ohne unsere Zuhörer.
Deswegen ganz herzlichen Dank an alle, die uns regelmäßig hören oder aber auch dieses Jahr vielleicht erstmalig, weil wir,
Natürlich hoffen, dass auch mit dieser mit diesem großen Datenschutzjahresrückblick wir vielleicht noch mal den ein oder anderen
neuen Zuhörer erreichen und der dazu gehört natürlich auch ein ganz großer Dank an unsere österreichischen Zuhörer, die es in 2023 geschafft haben, uns auf,
eins der Business You  Business News,  den Apple Podcast Statistiken zu zu pushen und  dafür ganz herzlichen Dank nach Österreich und wir hoffen und ,
arbeiten natürlich dadran, dass wir das vielleicht in Deutschland auch schaffen. Von daher dieser ganz großen Dank an die österreichischen Zuhörer.
Ja, neben unseren Zuhörern ist natürlich das gesamte Team, was für die Datenschutz 
Wichtig ist auch ein großer Dank an dieser Stelle mal auszurichten
Neben den Sprechern, die unsere regelmäßigen Zuhörer sicherlich auch von den  Stimmen her schon gut kennen, sind David, Gregor und Markus.
Aber wir haben natürlich auch viele, die im Hintergrund mitarbeiten. Dazu gehören zum Beispiel Sarah, Genyl, Eugenie,
Wir haben Lara, Beatrix und den Dieter, die alle im Hintergrund fleißig mitwirken, insbesondere an den Freitagen dafür sorgen, dass wir halt immer pünktlich nachmittags unsere Datenschutz-News für die Woche veröffentlichen.
Sodass wir halt an der Stelle doch, glaube ich, mit einer sehr guten Kontinuität unsere News und Podcast Folgen hier veröffentlichen.
Ja, die machen alle im Hintergrund echt einen superklasse Job und  wir sind sehr froh, dass wir sie haben, weil ohne das wäre das einfach nicht möglich, dass wir jeden Freitag so abliefern können.
Ganz genauso ist es und es ist natürlich auch total toll, dass wir heute schon die 253. Folge des Datenschutztalk,
ausstrahlen und oder senden. Ich weiß gar nicht, wie es beim Podcast genau heißt. Davon haben wir 57 in diesem Jahr veröffentlicht, was
ein bisschen weniger ist als letztes Jahr. Wir hatten nicht ganz so viele Themen folgen dieses Jahr nur fünf Themen folgen.
Aber ich finde, wie gesagt, insgesamt schon 253 Folgen  zu produzieren und das jede Woche mindestens eine. Brauchen wir uns nicht verstecken, oder?
Richtig und wer jetzt aufgepasst hat und mitgezählt hat, weiß auch, wir haben dieses Jahr die 200. Folge gefeiert.  damals Markus und ich.
Ja, ich erinnere mich gut an die Tröte.
Genau richtig
Ich finde, das ist  eine tolle runde Zahl. Sonst haben wir da ja nicht so ein Talent drin. Rundungen zu feiern oder  dass es uns bewusst ist,  wie wie  bei welcher Zahl wir angekommen sind. Aber nehmen wir uns vielleicht vor, dass wir
die dreihundertste auch wieder zelebrieren werden.
Ich denke, dafür haben wir einen kleinen Applaus verdient.
Ja wir haben's dieses Jahr geschafft durch
Die Folgen unserer gesamtdurchschnittliche Laufzeit einer Folge etwas zu erhöhen von letztem Jahr 26 Minuten auf dieses Jahr 7undzwanzig Minuten,
Wenn man alle Folgen, die wir bisher produziert haben, also alle dreihundert  zweihundertdreiundfünfzig, dann ist man alleine damit 4,7 Tage beschäftigt, diese vollständig zu hören.
Und ich würde sagen, gefühlt davon ein Tag für die Silvester-Chance im letzten Jahr.
Sehr erfreulich. Wir konnten in 223 die Anzahl unserer Hörer auf Spotify um sage und schreibe 40 Prozent steigern, die uns dort regelmäßig folgen. Daher auch da noch mal ganz herzlichen Dank, finden wir natürlich auch großartig,
Dass wir das geschafft haben, da weiterhin unsere Zuhörerzahl zu erhöhen,
Insgesamt bei  Spotify, aber ich glaube, das ist halt relativ repräsentativ.  wir 7undachtzig Prozent der Hörer, die aus Deutschland kommen, 7 Komma5 Prozent folgen uns aus Österreich und 4,2Prozent aus der Schweiz. Von daher glaube ich, dass wir,
Doch relativ gut abgedeckt sind im deutschsprachigen Raum. Von daher auch noch mal,
Hier an natürlich Deutsch,  an Schweiz und Österreich mal einen großen Dank, dass wir's  da auch, obwohl wir halt aus den Ländern nicht vielleicht ganz so viele Themen immer in unseren News haben, trotzdem schaffen regelmäßig auch Leute zu erreichen.
Ja und dann vielleicht nochmal um die Klammer dann auch zu schließen zum Anfang des Jahres. Da haben wir die,
Silvestershow des letzten Jahres, obwohl sie halt noch kurz vorm Jahreswechsel ausgestrahlt wurde, ist sie aber doch die erfolgreichste Sendung im letzten Jahr gewesen. Sie wurde,
5,5 Mal häufiger gehört als alle anderen Folgen im Durchschnitt. Ich finde
Auch das ist beachtlich und dafür auch noch mal vielen Dank an alle, die da fleißig reingehört haben.
Ich würde vorschlagen, bevor wir jetzt hier zu sehr uns mit Statistik noch weiter aufhalten, steigen wir mal ein und begrüßen unseren ersten Gast. Was meinst du?
Superidee
Begrüßen Sie mit uns unseren ersten Gast. Er ist Lehrbeauftragter für Datenschutzrecht an der Universität Oldenburg, der Fern-Uni in Hagen und Professor für Wirtschaftsrecht in Aachen.
Ebenso ist er tätig als External Expert des europäischen Datenschutzausschusses und zählt zu den Top-Anwälten im Datenschutzrecht.
Seine Datenschutzexpertise wird abgerundet durch die Themenfelder Telemedien, Plattformen sowie IT-Sicherheitsrecht und auch als Autor einiger Publikation zum Datenschutzrecht und Schriftleiter der Fachzeitschrift Datenschutzberater ist er bekannt.
Nach Station in Bochum, Brüssel und Washington DC begrüßen wir Ihnen nun heute beim Datenschutztalk Podcast. Wir freuen uns sehr, dass er bei uns ist. Herzlich willkommen Professor Doktor Alexander Golland.
Noch mal, herzlich willkommen, Alexander. Wir freuen uns sehr, dass du da bist.
Ich freue mich, bei euch sein zu dürfen, freue mich, in diesem Podcast zu Gast sein zu dürfen und  ja, mitwirken zu dürfen, freue mich über interessanten Austausch, den wir jetzt gemeinsam angehen können und danke noch mal für die Einladung.
Sehr, sehr gerne. Ja, wie gesagt, du hast uns doch gefehlt und unserer Hunde und ja, ich freue mich auch persönlich sehr, dass du heute da bist.
Insbesondere auch, weil du ja zu unserer Fangemeinde gehörst und  und uns da schon im Vorgespräch verraten hast, dass du auch durchaus schon mal unseren Podcast dein Studenten empfiehlst. Wie  kommt es dazu? Also ich freue mich natürlich persönlich sehr und ich bin ganz sicher, Heiko auch.
Total, das ist immer  eine Ehre, wenn wir natürlich empfohlen werden und dann auch noch Studenten, umso umso ehrenvoller natürlich.
Genau, also  ich unterrichte Datenschutzrecht immer im Sommersemester an der FAachen und  ja es gibt halt inzwischen,
Ich muss mal so sagen, auch Studierende, die die nicht gerne unbedingt lesen, aber die trotzdem im Datenschutzrecht unterwegs sein wollen und das ist  ein ein,
Durchaus ein gewisser Konflikt, aber glücklicherweise gibt es ja euch und auch noch weitere Kollegen,  die das dann einfacher machen und ihr eine
Unterhaltsame Zugänglichkeit zum Datenschutz eigentlich zu diesem spannenden Rechtsgebiet sicherstellen und da empfehle ich natürlich euren Podcast, vor allem auch immer aktuell, das ist dann immer schön, wenn man dann auch die aktuellen Themen mit den Studierenden in der Vorlesung diskutieren kann.
Jetzt haben wir in der Vorstellung ja schon gehört, dass du eine Vielzahl an Rollen hast,
Lehrbeauftragte, du warst aber auch bei Berater bei  PWC, dann bist du, wenn wir das Devita richtig entnommen haben, auch für den EDP beratend tätig, also den europäischen Datenschutzausschuss bis Autor, Moderator, Datenschutzinfluencer,
Was macht ihr denn davon, die ganzen Rollen eigentlich am meisten Spaß?
Alles.
Also fangen wir fangen wir mal hinten an. Also ich gehöre zu diesem sogenannten  External Expert Pool des European Data Protection Board. Das sind,
Ein Haufen Leute, die dann aus verschiedensten Bereichen aus Wissenschaft und Wirtschaft zusammenkommen, wo allerdings muss man dazu sagen, noch kein allzu großer Austausch stattfindet. Also seit ich da aktiv bin, das ist jetzt seit
ungefähr einem Jahr gab es einmal eine größere Telefonkonferenz. Jetzt gibt es im Februar noch mal eine,
Oder Ende Januar, Anfang Februar gibt es eine größere Besprechung, wo man sich Austausch über ja,
Was beschäftigt uns aktuell im Datenschutzrecht? Was sind so Herausforderungen, mit denen man umgehen muss? Auch in Richtung, was kann man vielleicht besser machen, aber so viel Austausch findet da tatsächlich noch gar nicht statt.
Hm ansonsten.
Forschung und Lehre immer Spaß gemacht und  ja ich war jahrelang als Anwalt tätig bei Pricewaterhouse Coopers, bin dort immer noch als Off Council tätig, habe dann aber gesagt, okay, diese Möglichkeit,
auf der einen Seite Wirtschaftsberatung, auf der anderen Seite Professor  für Wirtschaftsrecht, das sind  Sachen, die sich gegenseitig ergänzen und ich glaube, vieles, was sich in der Wissenschaft,
Mitnehme in meiner Lehrtätigkeit,
Das kann man dann auch im Unternehmen gebrauchen und umgekehrt natürlich auch, das, was ich in meiner Beraterfunktion mache,
Dass ich das dann in die Leere mitbringen kann
Also beispielsweise ist ja Datenschutzrecht, das wisst ihr genauso wie ich, eine Querschnittsmaterie, es bringt es nicht, wenn man alles,
Akademisch gut weiß und dann im Elfenbeinturm sitzt, sondern man muss auch irgendwo den Datenschutz auf die Straße bringen. Das heißt, ich muss es auch technisch und organisatorisch abbilden können und das dann im Prinzip im
Unternehmen implementieren und das ist halt so sehe ich halt beide Seiten und  ich glaube, das ist eine gewinnbringende Sache für alle.
Das glaube ich gerne. Das kann ich mir genauso vorstellen. Grade in der Lehre, finde ich, ist halt der Praxisbezug dann unterm Strich ja doch sehr wertvoll auch für die Studierenden, dass man halt ja, das Ganze greifbar hat am Ende.
Mhm. Also auf jeden Fall das  auch  da weiß kann man dann direkt Fälle,
diskutieren,  die man dann in der Praxis mitnimmt oder auch Verfahren, die man dann in eurem Podcast hört, dann frisch mit den  Studierenden zu diskutieren und das macht dann macht dann Spaß und 
Ja, die Lehre ist halt ein Bestandteil des Professoren-Daseins,  dass der andere ist natürlich die Forschung und auch das macht mir,
Wie ihr ja schon erwähnt habt, Publikationstätigkeit, das macht natürlich Spaß.
Hast du denn irgendwas, wo du sagst, okay, das fehlt mir noch in meiner Liste? Das ist was,  das würde mich immer noch mal reizen und da ich hab's  bis dahin  fehlten mir noch Dinge oder die richtigen Kontakte, sowas gibt's ja auch.
 ich glaube, du hast mal in einem anderen Format gesagt, hat das auch viel  Fieber durch Zufall geprägt, dass du die richtigen hm
Personen zum richtigen Zeitpunkt kennengelernt hast, aber hast du irgendwelche Pläne noch für die Zukunft.
Pläne aktuell nicht, aber ich bin auch ja erst seit ja zwei Jahren Professor, das heißt, ich bin relativ frisch dabei.
Was fehlt mir in meinem in meiner Vita? Weiß ich gar nicht so genau. Vielleicht  das Parteibuch um Datenschutzbeauftragter zu werden. Also Landes oder Bundesdatenschutzbeauftragter  das ist ja ein politischer Bosten, aber ansonsten,
Ja, jetzt habe ich ein sensibles Datum verarbeit.
Upsi! Nein, aber  wäre das was, was es dich  durchaus reizen würde? Also Landesdatenschutzbeauftragter zu.
Ja also wäre perspektivisch schon eine Sache, die ich ganz interessant finde,
Also auch wenn man da, wenn man da  viel gestaltend sein kann, weil man da, glaube ich, viel Einfluss hat  in da auf das Gelebte Datenschutzrecht. Deswegen finde ich das schon eine interessante Sache, aber habe jetzt
Keine aktuellen Ambitionen.
Jetzt sind wir ja heute zusammengekommen, um auf das IH 2023 zurückzublicken und es war ein Jahr, wo wir auch verschiedene Urteile auf  höchster gerichtlicher Ebene der EU hatten beim Europäischen Gerichtshof. Es waren,
glaube ich, doch viele Entscheidungen, die  halt auch im Datenschutz vielleicht das ein oder andere noch mal klargestellt haben. Welche der Entscheidungen in diesem Jahr des EuGH,
dich am meisten überrascht und warum?
Überraschend. Überraschend ist eine gute Frage. Also  ich sage mal eine Entscheidung hat mich persönlich sehr sehr,
befasst.  das ist die Entscheidung  da ging's um Facebook Bundeskartellamt gegen Facebook,
War glaube ich C dreihundert war Schadensersatz C zweihundertzweiundfünfzig aus einundzwanzig müsste es gewesen sein und  da geht's dann,
Sind halt ganz zentrale Fragen. Wie funktioniert das eigentlich mit dem berechtigten Interesse? Auch wirtschaftlich relevante Fragen  personalisierte Werbung? Ist das über ein berechtigtes Interesse zu rechtfertigen oder,
Kann ich vielleicht eine Einwilligung, ich sage mal, in,
in den Vertrag hinein verschieben, um dadurch diese hohen Anforderungen an die Einwilligung zu umgehen. EuGH hat sich ja klar positioniert und gesagt, nein, das ist.
Nicht möglich und  ja jetzt sehen wir heutzutage dann bei Facebook, wir haben die Wahl zwischen einem bezahlten Zugang, einem einem Facebook-Abo
Das Gleiche bei Instagram und so weiter, also bei allen Diensten des Meta-Konzerns einerseits die Möglichkeit zu bezahlen,
Andererseits dann  die Möglichkeit personalisierter Werbung zuzustimmen. Und  das das Urteil finde ich in so vieler Hinsicht
so spannend, nicht weil ich meine, also ich habe meine Dissertation damals  zum Datenschutz in sozialen Netzwerken geschrieben. Deswegen bin ich ist das so meine Entscheidung des Jahres,
 aber auch weil die ganzen Fragen rundum das  Bezahlen mit Daten in Anführungszeichen zumindest angeklärt wurden. Ich
Vielleicht nicht abschließend, aber tja, da wird schon stecken eine ganze Menge Sprengstoff drin. Dann was sind sensible Daten, dass ich wenn allein der Aufruf einer Webseite, dass wenn diese
Bestimmten Bezug hat zu sensiblen Datenkategorien im Sinne des Artikel neun,  dass das bereits schon  eine Verarbeitung sensibler Daten sein soll.
Und ja das sind superspannende Fragen. Ich bin auch ein großer Fan dieser endgeltlichen Alternativzugänge.
Und  die sich dann halt auch in der wirtschaftlichen Praxis niederschlagen, wie man sieht.
Jetzt tatsächlich noch die Frage, inwieweit das halt wirklich auch als angemessenes Entgelt bewertet werden kann. Dazu hat er  Thomas Fuchs neulich noch mal auch gesagt, dass er das halt in enger Abstimmung hier im Bundeskartellamt macht, aber ich
Ich find's halt wirklich ist noch mal jetzt ein spannender Prozess, wie dann am Ende dieser Preis, vielleicht auch von den Aufsichtsbehörden gesehen wird dafür.
Ja also die DSK hat sich ja da auch  positioniert oder war es das EDP in einem Paper, wo es darum ging,  entgeltliche Alternativzugänge? Was ist das angemessene Entgelt und das,
Ja, das kann ich natürlich auch verschiedenste Weise versuchen zu berechnen, also es gibt dann Versuche, sich dem anzunähern, was würde man mit den Daten verdienen oder was,
Also beziehungsweise das mit der Datenverarbeitung verdienen, besser gesagt. Das Zahlen mit Daten ist ja mehr so eine Art Datennutzungslizenz.
Oder oder  nähert man sich dem über die Nutzungsintensität des Nutzers. Was ist jetzt der angemessene Preis? Oder  macht man dann einen Vergleich mit anderen Diensten? Also das ist wirklich,
Spannend und  da bin ich auch wirklich da wird sie sicherlich noch das ein oder andere Urteil auf uns zukommen.
Ganz sicher,
Hattest du denn  darüber hinaus, also jetzt, ja klar, ne, bezahlen mit Daten  Schwerpunkt im in zweitausenddreiundzwanzig, aber  was hat dich darüber hinaus noch bewegt in der Datenschutzwelt? Hast du noch Themen, die dir besonders in Erinnerung geblieben sind,
die auch deinen Alltag geprägt haben.
Ja, also ganz sicher hat das Data Protection Frame Data Privacy Framework, Data Protect Framework, ich weiß es gerade gar nicht so genau,  also das TedbyF, transatlantic, Data, Protection Framework,
Das wiederum hat mich sehr befasst,  einfach weil's weil ich,
Das interessant finde, was mit der Executive Order  einher ging in den USA an Änderungen, aber auch weil ich glaube, dass uns das nachhaltig noch beschäftigen wird und weil's natürlich für die Wirtschaft mega relevant ist,
Bis hin zu ganz praktischen Fragen. Wenn ich jetzt ein Daten exportieren möchte an ein Unternehmen und das ist jetzt vielleicht noch nicht,
Zertifiziert nach dem  Framework ja wie gehe ich damit um in der Praxis und ,
Dass man dann vielleicht aufschiebend bedingt  SCCs, also Standard-Datenschutzklauseln abschließt das ist, finde ich, eine sehr spannende Sache und ich glaube auch, dass dieses  dass dieses Data Privacy Framework uns noch,
In der Rechtsprechung befassen wird. Mal vorsichtig.
Was ist so deine also erstmal ich glaube zu dem Thema wie geht man in der Praxis am besten damit um,
Das empfehlen wir unseren Kunden halt auch, dass wir ergänzend immer die  Steuervertragsklausel sowieso als auch
Vollbeck-Lösungen abschließen und deshalb kann natürlich auch dann behilflich sein, wenn halt das Unternehmen noch gar nicht sich hat zertifizieren lassen.
Aber wie ist so deine Einschätzung, wenn du sagst, es beschäftigt uns noch? Hast du eine
persönliche Prognose, ob das Bestandhalten wird beim nächsten Mal, wenn's vorm EuGH liegt.
Mhm, also der EuGH hatte ja damals  bei der dann bei einer Shrimps zwei Entscheidung hatte er sich so ein bisschen an dieser,
Nicht zielgerichteten Datenerfassung gestört vor allem. Also die sogenannte, das, was wir im US-Recht
Bike Collection nennen. Das ist weiterhin erlaubt. Also das ist erst mal das das der eine große Aspekt, also diese nicht zielgerichtete Datenerfassung ist weiterhin erlaubt. Nur steht unter.
Zusätzlichen Voraussetzungen nur für bestimmte Zwecke beispielsweise, aber diese Zwecke, die können auch durch den  durch den Präsidenten der USA
jederzeit geändert werden, das heißt diese Liste an Zwecken ist erweiterbar dann,
Von der von der Executive Order, die findet keine Anwendung auf Daten, die durch andere Rechtsakte erlangt wurden, zum Beispiel ein Cloudact oder durch kommerziellen Erwerb erlangt wurden.
Und ich glaube der das größte, der größte Schwachpunkt, sage ich mal, ist das Verfahren zu dem  Data Protection Review Cord.
Also ich weiß nicht, ob ihr euch schon mal damit befasst habt, wie so dieses Verfahren abläuft im Detail.
Aber es ist so, wir haben den Civil Limities Protection Officer. Das ist  im Prinzip eine interne Stelle beim  Director of National Intelligence und der soll im Prinzip erstmal anhand der Aktenlage den .
Die sind das Vorbringen des Beschwerdeführers prüfen und erst, wenn dieser sozusagen sein Go gibt, erst dann ist das zwei die zweite Stufe, also dieses Verfahren beim Review Quart eröffnet.
Das Problem ist, dieser Data Protection Revicord, der bestellt dann automatisch einen Anwalt für den  Betroffenen, der dann das Verfahren rein auf Basis der Aktenlage führt und der hat dann keinen direkten Draht.
Zum Betroffenen, der unterliegt keinen Unabhängigkeitsvoraussetzungen, ja
Und das ist eigentlich nichts, was wir nach unserem Kontinental-europäischen Verständnis als ein rechtsstaatliches Verfahren,
ansehen würden.
Ich glaube, das ist auch einer der Kritikpunkte, die man in ja auch regelmäßig hört, dass es halt kein wirkliches Gericht ist, sondern halt nur Gericht heißt, aber halt diese Unabhängigkeit am Ende ja auch fehlt.
Genau, genau. Also meistens wird beim bei dieser Diskussion die Unabhängigkeit der Richter in in Betracht gezogen beziehungsweise die mangelnde Unabhängigkeit.
Da gibt's bestimmte Voraussetzungen im  US-Recht, die das dann die die diese Lektion der Richter regeln, aber insbesondere dieser Special Advocat, der da ,
Dem Betroffenen zur Seite gestellt wird, in Anführungszeichen, der unterliegt keinerlei Unabhängigkeitsvoraussetzungen.
Wir können jetzt schon so ein bisschen  Blick in die Zukunft wagen und das machen wir natürlich hier auch mit unseren Gästen  und das möchten wir natürlich auch mit dir tun. Alexander, deshalb ich habe jetzt die Frage, was meinst du denn, wie lange das die PF halten kann?
Ja, es gab ja schon  eine eine Klage gegen das  Detailwork,
Da wurde im Island  Verfahren wurde es abgelehnt. Also das wurde das Eilverfahren ist sozusagen gescheitert. Aber ich glaube, dass es,
Dass  im nächsten Jahr vielleicht schon spätestens im übernächsten Jahr wird sich der EuGH damit befassen müssen, wird sich da positionieren müssen.
Wir haben gesehen zwischen zwischen Shrimps eins und Shrimps zwei, 2015 bis 2020 lagen fünf Jahre,
Dann die nächste Entscheidung wäre dann 2025 erst dran. Ich glaube, es könnte vielleicht sogar schneller gehen. Ich glaube, es könnte 2024 gehen.
Und  eine Schremsentscheidung werden wir auch 2tausend4undzwanzig so oder so bekommen, als nämlich noch das Verfahren,
C vierhundertsechsundvierzig gibt  aus einundzwanzig. Das wiederum von Shrimps geführt wird, wieder gegen Facebook. Betrifft allerdings ja in erster Linie  die Rechtsgrundlagen, also auch wieder dieses Zahlen mit Daten.
Und besondere Kategorien personenbezogener Daten, also da ist noch nicht  Thema das  Data Privacy Framework.
Das ist jetzt da so ein bisschen absehbar, was da kommt.  hast du denn irgendein Urteil oder eine Entscheidung vom EuGH, wo du sagst, boah, das würde ich mir wünschen, dass das nächstes Jahr mal endlich angepackt wird, dass wir da endlich Klarheit haben.
Ja, ich würde tatsächlich sagen, das ist dieses  diese Frage mit dem Zahlen mit Daten und auch die  da ist nämlich steht noch zur Debatte, ob
jetzt eine Äußerung über die eigene sexuelle Orientierung bei einer Podiumsdiskussion, das erlaubt
 sich dann auf sechs, ach sorry, auf Artikel 92 E zu stützen als soziales Netzwerk. Das ist eine ganz spannende Kiste, also die Reichweite des,
Begriffs der sensiblen Daten, beziehungsweise besonderen Kategorien der personenbezogenen Daten, die vom EuGH sehr, sehr weit in den vergangenen Entscheidungen
Interpretiert wurde, das wird spannend, wie der EuGH das wieder einfängt, denn ansonsten ist alles sensibel, was wir verarbeiten und,
die gleiche Entscheidung wie gesagt
dass Zahlen mit Daten. Ist das jetzt etwas, wo ich was ich nach sechs eins A, also der Einwilligung beurteilen muss oder nach 61 B ist es die Vertragserfüllung.
Ich persönlich hoffe, dass es zivilrechtlich ein vertragliches Synagma ist, also eine zivilrechtliche Pflicht
Besteht aber diese Pflicht gerichtet ist, auf die Abgabe einer Datenschutzeinwilligung. Das heißt, die Rechtsgrundlage 6 eins A, auch wenn die,
Pflicht. Erst mal eine vertragliche Pflicht ist,
Da muss man differenzieren an Zivilrecht und dem Datenschutz.
Der ist schon spannend, ne, weil ich meine, alleine jetzt, wenn man  Laura sich ansieht,  trägt eine Brille, also ich meine, im Grunde genommen ist das ja auch dann schon eine besondere Art Kategorie personenbezogener Daten.
Eine daraus sich ableitende Sehschwäche wäre jetzt sozusagen ja schon das, was man dann in Frage stellen müsste, ob das dann schon erhöhte Anforderungen hat.
Ja genau, also,
Es ist es ist ja auch irrelevant, ob diese Daten jetzt richtig sind oder nicht. Also es gibt ja durchaus Leute, die dann eine Brille einfach nur zu optischen Zwecken tragen, aber wenn ich alleine die Vermutung habe, dass eine Sehschwäche jetzt dort vorliegen könnte,
Und das wird ja schon ausreichen. Also der EuGH zieht die,
 zieht die Grenzen von Artikel neun, Absatz eins sehr sehr weit und das ist eigentlich ein großes Problem im Datenschutzrecht, im europäischen Datenschutzrecht. Das hatte schon
Semitis in der Festschrift 1997 kritisiert und seitdem sagt die ganze Literatur,
Okay, wir brauchen dann eine theologische Reduktion. Wir können das diese mittelbar sensiblen Daten, das ist einfach uferlos.
Und  die sämtliche sämtliche Literatur hat sich  dann Semitis angeschlossen und die da heißt es dann, okay, man muss sich angucken, zu welchem Zweck, in welchem Kontext werden die Daten verarbeitet?
Dem EuGH, scheint es egal zu sein.
Gut, wir werden das natürlich nicht auflösen, ob es sich bei Laura um Fensterglas handelt oder um geschliffene Gläser.
Du hast,  wir haben das in der Einleitung gehört, ja, in Washington DC gearbeitet. Du bist also hm auch durch deine Erläuterungen ja zum Framework  ein bisschen unser USA-Experte heute.
Deswegen,
wir beobachten ja seit einigen Jahren Kalifornien, war ja sehr weit vorne mit dem  kalifornischen Consumer Privacy Act und andere Bundesstaaten in den USA ziehen ja auch nach.
Haben jetzt auch entsprechende Initiativen, Mississippi, New York und so weiter. Also es sind etliche,
Bundesstaaten ja dabei entsprechende Gesetze zu verabschieden. Siehst du
In den USA so ein bisschen Paradigmenwechsel, was das Thema Datenschutz angeht können wir uns da vielleicht,
drauf einstellen, dass das ganze Thema in USA perspektivisch vielleicht auch ein bisschen
anders gesehen wird, sieht man sich so ein bisschen mit den Grundwerten der EU damit auch vielleicht etwas nähert.
Also ich glaube schon, dass es in einigen Bundesstaaten dahingehende,
Sensibilisierung gibt und ich glaube auch, dass es eine allgemeine  Sensibilisierung gibt für Datenschutz in unserem kontinental-europäischen Verständnis.
Wenn man früher mit  Amerikanern geredet hat, also US-Amerikanern geredet hat, dann sprachen die immer von PI, also Personal Identification information.
Die haben darunter dann im Wesentlichen verstanden, so was wie ja, Name, Geburtstag und so weiter und so fort. Also das, was man so wirklich.
Jedes Kind sagen würde, okay, das sind personenbezogene Daten. Da haben die Amerikaner dann aber häufig aufgehört. Und wenn man sagt, okay, hier,
Wir protokollieren beispielsweise Zugriffe auf unsere Website oder sowas. Dann haben die anderen sagen,
 das ist doch das ist doch nicht PI. Also was was wollt ihr eigentlich? Oder umgekehrt sieht man auch, dass die Amerikaner bei Finanzdaten, da wundern die sich dann, dass das für uns keine sensiblen Daten im Sinne des Artikel 9 Absatz 1 sind.
Und ich glaube aber, dass es insgesamt ja ein größeres Verständnis inzwischen gibt für  Datenschutz in unserem.
In unserem Sinne, also im europäischen Sinne,
Ich glaube aber auch, dass wir von einem Bundesgesetz weit entfernt sind. Also  da gibt es dann doch  schon einen großen,
US-amerikanischen Flickenteppich des Datenschutzes und  darin kommen dann auch ganz unterschiedliche  Aspekte zum Ausdruck, also was will ich überhaupt schützen und welche Branchen,
branchenspezifische Regelungen, welche welche Branchen müssen sich überhaupt, um welche Vorkehrungen kümmern hinsichtlich Datenschutz? Also da gibt es dann immer noch,
ein ein,
Verständnis, was dann sehr industriegetrieben ist und deswegen glaube ich, dass das nicht in ein nicht in absehbarer Zeit in ein Bundesgesetz,
münden wird. Aber was in fünf Jahren ist, vielleicht sind wir da stehen wir dann schon wieder woanders.
Ja vielen Dank für diese Einschätzung und damit kommen wir zu unserem kleinen,
Teil, also zum Unterhaltungsteil sozusagen, wie gesagt, zu einer guten Show gehört ja auch dann noch ein bisschen was dazu, was halt vielleicht auch belustigend ist.
Wir freuen uns  oder wir hoffen natürlich, dich nochmal persönlich auch ein bisschen besser kennenzulernen dadurch und damit übergebe ich
An  Laura, die ein paar Fragen mitgebracht hat.
Genau wie aus dem letzten Jahr auch, wir stellen ein paar Oda-Fragen, wo du einfach mal ad hoc antwortest. Da freuen wir uns natürlich am meisten drüber, was dir sofort in den Sinn kommt. Und ich starte mal mit der ersten Frage, Alexander und zwar Ruhrpott oder Rheinland?
Robot, definitiv.
Hast du aber lange überlegt. Ja ich hab's gehört.
Nein, ich komme aus Oberhausen, ursprünglich und ,
ist es natürlich eine große Ruhrpottverbundenheit, auch wenn ich jetzt hier in Düsseldorf bin und 
Ja und  da ist für mich ein strategisch sinnvoller Punkt und in Düsseldorf zu wohnen, einfach weil's  sehr zentral ist  zwischen Ruhrpott und Aachen gelegen, aber das Herz,
ist im Pott.
Sehr sympathisch. Auto oder Bahn?
Bahn, ich muss arbeiten.
Gutes Argument.  Sushi oder Pizza? Vodka oder Martini?
Es wird immer schwieriger. ,
Tendenz Wodka.
Bar bezahlen oder mit Karte.
Auf jeden Fall mit Karte bezahlen, auch wenn ich Bargeld für eine wichtige Institution halte.
Liest du lieber eine Zeitschrift in Papierform oder den Online-Blog-Artikel?
Papier auf jeden Fall.
Jetzt finde ich ganz spannend die Frage, ehe man Seelmeier oder Gola Heckmann als Kommentar.
Boah ,
Also aber, wo man beim dazu sagen muss, wenn ich das so sagen darf, der  Ehemann Selmeier, der hat natürlich auch seine  seine Qualitäten, wenn's darum geht, insbesondere was ist der geschichtliche Hintergrund? Wie kamen jetzt
bestimmte Regelungen zustande. Da schaue ich immer noch ganz gerne in den Ehemann Seemeier.
Dann noch eine abschließende Frage, mit welcher berühmten Persönlichkeit würdest du gerne mal zu Abend essen und vielleicht auch warum?
Boah. Hm.
Also vielleicht mit meinem  Lieblingsautoren, das ist  der tschechische Schriftsteller Milan Cudera, weil ich  finde, er hat,
Unglaublich viele gesellschaftsübergreifende Wahrheiten in seinen Romanen, teilweise versteckt, teilweise sehr mhm,
Plakativ dargestellt und  ich kann mir vorstellen, dass das  eine unglaublich spannende Persönlichkeit ist, mit der ich gerne mal einen Abend verbringen würde.
Guck mal, die Lesetipps schaffen's ja auch immer in unsere Folge. Danke dafür. Mal Lesetipp der anderen Art. Ja. Ja, Alexander, wir sind am Ende angekommen. Wir bedanken uns recht herzlich für deinen Besuch.
Und für deine Zeit und  dass du auch deinen Beitrag zu der diesjährigen Silvestershow geleistet hast.
Ja, danke euch, danke für die Einladung. Hat mir viel Spaß gemacht und  ich wünsche natürlich auch allen Hörerinnen und Hörern. Viel Spaß beim Hören dieser Folge. Danke.
Ja und damit ein Applaus für Alexander Golland, vielen Dank.
Ja ein toller erster Gast, wie ich finde und wir gucken nun im  nächsten Programmpunkt,
Auf das erste Quartal zurück. Was hatten wir an Themen alles mit dabei? Und wer unsere Folge im letzten Jahr gehört hat, weiß natürlich, wir haben da auch was vorbereitet und wir hören einmal rein in die to
Themen des ersten Quartals in 00 Sekunden.
Meta soll wegen eines Datenschutz oder wegen Datenschutzverstößen 390 Millionen Euro Strafe zahlen. Das  betrifft sowohl Facebook als auch Instagram. Ich habe als nächstes
Bußgeld mitgebracht und zwar  für das Netzwerk TikTok. Und zwar ist der Internetseite der Knüller, also der französischen Aufsichtsbehörde, zu entnehmen
Was sie Ende letzten Jahres noch ein Bußgeld in Höhe von 5 Millionen Euro
dem Unternehmen auferlegt hat. Die irische Aufsichtsbehörde, die PC hat ein weiteres Bußgeld gegen WhatsApp verhängt. Empfänger ist also die WhatsApp
Irland limited und die soll 5,5 Millionen Euro zahlen.  mein Bußgeld ist nicht ganz so hoch. In Magdeburg  ist das verhängt worden gegen das Uni oder die Uniklinik.
Das Booksheld ist mit 9000 Euro, finde ich relativ niedrig ausgefallen. Ich habe als nächstes eine,
Druckfrische Entscheidung des Europäischen Gerichtshofs mitgebracht. Diese hat sich mit der Abberufung von betrieblichen Datenschutzbeauftragten befasst und diese darf,
vom Deutschen Gesetzgeber an strengere Voraussetzungen geknüpft werden als im EU-Recht vorgesehen. Der BFD hat dem Bundespresseamt den Betrieb seiner Facebook
Fanpage untersagt. Die Bundesregierung muss also den Betrieb ihrer Facebook Fanpage Wolfgang Büchner,
der sieht nämlich keine Veranlassung dem Betrieb der Fanpage der Bundesregierung innerhalb der gesetzten vier Wochenfrist einzustellen.
Im französischen Parlament wurde nun ein Gesetzentwurf gebilligt, der einen breiten Einsatz von Kameras zur intelligenten Videoüberwachung in Echtzeit W
während der Olympischen Spiele 2024 in Paris vorsieht.
Was aber sehr unangenehm ist, finde ich für Chad GPT und auch für die Nutzer ist, dass es tatsächlich schon ein Leck gegeben hat. Da am 20. März sollen nämlich sensible Informationen  von Nutzern in anderen Chats aufgetaucht sein.
Ja doch  wieder eine Vielzahl an Themen, die wir offensichtlich hatten und das waren ja nur die Topthemen. Also man ist doch immer wieder beeindruckt finde ich, wie viele News wir jede Woche hier haben. Was war denn so für dich Laura, das was dich am meisten bewegt hat?
Also im ersten Quartal war's meiner Meinung nach schon die Entscheidung vom Europäischen Gerichtshof  zum Thema Abrufung eines Datenschutzbeauftragten und eben hier, dass durchaus die strengeren Vorgaben aus der nationalen,
 auch durchaus greifen,
Konkret ging's ja damals um einen Betriebsratsmitglied oder jemand, der in den  Betriebsrat  abgerufen wurde, ob er noch weiterhin Atemschutzbeauftragter sein darf und eben, dass hier der Europäische Gerichtshof eben
Dazu kam, dass eben eine Abberufung aus wichtigem Grund
Durchaus  sein darf, auch nicht nur,  wenn's um den Verlust der Qualifikation oder eine rechtswidrigen Amtsführung geht.  außerdem fand ich noch in der Entscheidung, das ist mir noch gut in Erinnerung geblieben, ganz interessant,  dass auch eine Aussage zum Artikel
Achtunddreißig, Absatz sechs DSGVO zum Interessenkonflikt von Datenschutzbeauftragten getätigt wurde und das halt eben noch mal betont wurde, dass doch, wenn ein DSB an bei der Festlegung von Zwecken und Mitteln bei der Verarbeitung von personenbezogenen Daten beteiligt ist.
Oder eben die Aufgabe übertragen wird, dass es hier sich dann eben um einen Interessenkonflikt handelt. Ich begrüße ja immer Konkretisierung, muss ich sagen.
Definitiv und  von daher kann ich es gut nachvollziehen. Ist ja durchaus immer mal wieder auch ein Thema in der Praxis, also zumindest dann, wenn wir Dienstleister Outitz machen, auch immer mal wieder kritisch drauf zu gucken, ob der Datenschutzbeauftrag
Auch wirklich Interessenskonflikt frei, seine Aufgabe übernimmt.
Ja, ich fand tatsächlich dieses  Facebook-Fanpage-Thema nochmal eins, was halt,
natürlich nach wie vor für mich zumindest nicht abschließend geklärt ist, wenn man die  Facebook Fanpage der Bundesregierung aufruft, die ist
Auch da  zwar ja so, dass die Bundesregierung halt auf Anbeordnung des BFTIs diese eigentlich abschalten sollte. Man hatte halt seitens des
untersagt, weil man gesehen hat, dass die Rechenschaftspflicht
nach Artikel fünf, Absatz zwei  nicht eingehalten werden kann seitens der Bundesregierung oder beziehungsweise des Bundespresseamtes.
Diese Anordnung auch  erlassen, wie wir's eben schon in der Zusammenfassung gehört haben, innerhalb von 4 Wochen abzuschalten.
Das Bundespresseamt hatte ja dann auch in der Woche drauf war es dann bei uns auch wieder direkt das Thema ungeachtet dieser Kritik, aber halt keine Anstalten gemacht, es abzuschalten. Wie gesagt
bis heute anscheinend immer noch nicht.
Ja und man hatte halt gesagt, dass halt die  Information und die Kommunikation mit der Bevölkerung halt  wichtig sei und man das halt schon halt deswegen auch vor Gericht entsprechend austragen möchte. Man hat
Am siebzehnten März noch, also wirklich dann innerhalb von einer Woche wohl die Klage beim,
Köln eingereicht. Ich bin aber auch ehrlich, ich habe seitdem nichts mehr davon gehört und auch eine kurze Recherche hat jetzt nichts zu Tage gefördert, dass es dort eine Entscheidung gab. Also von daher gehe ich mal davon aus, dass dieses Verfahren noch anhängig ist.
Das wird wahrscheinlich so sein.
Ja, ich würde sagen, das  ist das schon mal ein ganz  guter erster Rückblick gewesen und wir gucken jetzt mal, wen wir als nächstes auf unserer Gästeliste stehen haben.
So machen wir das. Wir begrüßen nun einen weiteren Gast in unserer Show. Erzählt laut Handelsblatt zu Deutschlands
Anwälten im Bereich Datenschutzrecht und ITrecht. Er berät Mandanten auf internationaler Ebene und ist als externer Datenschutzbeauftragter tätig. Aus der Datenschutzszene ist er nicht wegzudenken und seine Meinung ist geschätz
Als Sachverständiger im Rahmen der Neufassung des Bundesdatenschutzgesetzes und Berliner Landesdatenschutzgesetz wurde er in die Parlamente geladen.
Aufgrund seiner Praxisnähe sind seine Beiträge auf diversen Datenschutzveranstaltungen gern gesehen. Aber auch Lesebegeisterte kommen bei ihm voll auf ihre Kosten. Die Liste der Publikation ist lang. Er ist Teil der Schriftleitung der Fachzeitschrift Price.
Privacy in Germany und Chefredakteur der Zeitschrift Datenschutzberater. Auch der bekannte Internetblog Deligedata stammt aus seiner Feder.
Herzlich willkommen, Doktor Carlo Pilz.
Lieber Carlo, herzlich willkommen. Wir freuen uns sehr, dass du da bist.
Ja, vielen Dank für die Einladung und vielen Dank für die tollen Worte. Da führe ich jetzt gewissen Druck, aber bekommen wir hin.
Du musst jetzt schon abliefern, so viel ist klar.
Ja, die Latte liegt natürlich  hoch, aber ich glaube, da machen wir uns wenig Sorgen, dass du die reißen wirst, von daher ganz, ganz entspannt.
Dein  Besuch heute hier in unserer Silvestershow des Datenschutztalk reiht sich ja in eine Vielzahl von Veranstaltungen ein, welche wir ja jetzt auch unterjährig immer wieder dich  beobachten konnten auf verschiedensten Formaten.
Welche der ganzen Veranstaltungen, wo du dieses Jahr unterwegs, was hat dir denn eigentlich am besten gefallen.
Gut, das ist ja eine schwierige Frage, ne? Bei manchen Veranstaltungen bin ich ja auch direkt involviert. Also natürlich ist die Datenschutzkonferenz in Düsseldorf immer ein Highlight des Jahres.
 das macht schon immer sehr viel Spaß. Es einerseits groß, man trifft viele Leute
ja und wir versuchen da auch sehr divers die Themen reinzustreuen, da ist für jeden was dabei ist.
Genauso machen wir aber auch Veranstaltungen wie unsere regelmäßigen Treffen, zum Beispiel beim Bitcom, ja oder Privacy Conference beim Bitcom machen mir auch sehr viel Spaß.
Ich find's immer spannend, wenn man das klang ja schon auch in der Anmoderation an,  wenn man nicht sich nicht zu sehr von der Praxis entfernt, auch in der Veranstaltung.
Ja, also ich glaube, natürlich haben auch wissenschaftliche Veranstaltungen definitiv ihre Berechtigung, gerade auch im Datenschutzrecht, aber für uns,
aus der Praxis kommt für die Praxis arbeitend sind natürlich die Veranstaltungen wo es wirklich um um Themen aus der Praxis geht, immer immer wertvoll und besonders interessant.
Vor allem wenn man's da auch  auf eine breite Masse an Empfänger streuen kann, ne. Also ich sage mal, jeder hat ja so einen anderen Background,  der so eine Veranstaltung besucht.  ich finde immer, dass das eigentlich dann mal ganz schön ist, wenn's so viele viele verschiedene Themen in so eine Veranstaltung schaffen.
Auf jeden Fall und  neben dem ganzen Inhaltlichen ist das Drumherum natürlich auch immer noch wichtig. Ne, also ich fahre gerne auf Veranstaltungen, wo's halt schön ist und wo nette Leute sind.
Ja und da gibt's  ne also Datenschutzkonferenz oder GDD auch sehr schön Sommerworkshops an der Küste. Es ist
Sehr vielfältig. Ein  Privileg für uns, der wir in diesem Bereich unterwegs sind. Gibt tolle Veranstaltungen übers Jahr, ja.
Ja und du bist ja auch jemand, der dann auch das nutzt, mit den Menschen halt zu sprechen und zu netzwerken und das ist halt das, was ich ja auch nach Corona jetzt  sehr dankbar bin, dass es halt wieder zugenommen hat, wir halt wieder mehr wirklich auch persönlichen Kontakt mit den Menschen haben.
Ja, das ist  also meine Erfahrung auch aus den sind Vortragstätigkeiten und Seminaren. Es es ist
Es ist einfach ein Unterschied, ob ich online vortrage oder auch als Teilnehmer. Ich bin ja auch ganz oft Teilnehmer selber die Hemmschwelle,
mal was reinzuwerfen, eine Diskussion zu starten, eine Frage zu stellen, ist, denke ich, vor Ort  niedriger und vor Ort hat man halt die Möglichkeit, auch noch in den,
Pausen einfach mal sich zusammenzustellen, Thema anzusprechen, was halt online immer nicht so einfach ist, ja.
Heiko hat ja schon vorhin kurz angekündigt, dass wir auch ein bisschen in deine Vita schauen wollen.  abgerundet durch die ja Anmoderation, die wir gerade hatten. Wir hatten heute auch schon Alexander Golland zu Gast, den du ja auch  gut kennst.
Was hat denn der gesagt, welche Veranstaltung die beste ist.
Wir fragen doch jeden was anderes.
Ach so, okay.
Auf jeden Fall haben wir aber mit ihm über  ja soziale Medien und insbesondere bezahlen mit Daten gesprochen und  ich habe gesehen, du hast ja auch deine Doktorarbeit zum Thema soziale Medien geschrieben. 
Ein paar Jahre sind seitdem vergangen. Wie siehst du das Thema heute? Hat sich da für dich was geändert?
Ja, das also das sind ja Welten, ne, damals, als ich die die Situation geschrieben habe zu sozialen Netzwerken, online da gab's noch StudiVZ und
mein VZ, da war ich ja auch mal eine Zeit lang dann intern und   also ich sage mittlerweile, wenn mich jemand auf die Dissertation anspricht, das ist quasi rechtshistorisch schon
Mittlerweile, was ich da verfasst habe, damals nicht, damals war es neu im SGVO und was da alles kommen sollte und ,
was man, glaube ich, schon ehrlicherweise sagen darf. Es sind jetzt nicht alle Themen passe.
Ja, also zumindest als grobe Themen wie zum Beispiel so Fragen mit  Einwilligung in diesem Kontext sind die transparent, kann ich Einwilligungen überhaupt freiwillig erteilen als Rechtsgrundlage, bringt mir das was.
Wir sind bei anderen Themen aber natürlich und Gott sei Dank,
viel, viel weiter auch schon in der Diskussion jetzt zum Beispiel darum geht, was können wir denn soziales Netzwerk auf Vertragsgrundlage stützen? Ja, also
Daten  Austausch, Zugriff auf Datennutzung von Daten durch Unternehmen auf einer vertraglichen Grundlage. Das war ja damals,
Kinderschuhe, Babyschuhe, wenn man so will. Ja und da sind wir mittlerweile vielleicht zumindest mal an der Grundschule angekommen bei der Diskussion.
Ja, das war jetzt der der Blick ein paar Jahre zurück. Die  ja heutige Show geht ja vor allen Dingen um den Rückblick noch mal auf das  jetzt vergangene Jahr 20023 und auch da ist ja doch einiges passiert.
Was war jetzt aus deiner persönlichen Perspektive heraus?
Das, was das Jahr 2023 im Datenschutz geprägt hat,
Und vielleicht neben der rein persönlichen Sicht auch, was hat dich dann auch beruflich vielleicht so mit Mandanten oder auch Veranstaltungen auch besonders beschäftigt?
Mhm also  was mich also Trennung persönlich beruflich ist sowieso schwer im Datenschutzrecht, ne? Also 
abschalten, kann man kann man, finde ich, nie. Wobei ich nicht derjenige bin, der persönlich anfängt, irgendwelche Cookie-Bunner sich durchzulesen. Das, wenn ich privat surfe, das mache ich nicht.
Aber bist du Thriller mit welcher Nachfrage? Bist du einer, der dann immer auf alle akzeptieren oder auf alle Ablehnen klickt?
Ich mache mal dieser sanonische Antwort, wenn's denn alle Ablehnbutton gibt, dann mache ich Ablehnen, ja? Wenn's akzeptieren gibt und nix anderes, dann mache ich halt akzeptieren. Ich bin eher der Typ, ich ich will schnell dahin, wo ich hin will.
Wie die meisten, glaube ich.
 ja ja und sonst an Themen was uns glaube ich alle beschäftigt hat war diese Flut
an  Rechtssprechung, die wir einfach 223 hatten.  sei es  auf europäischer Ebene, was ja schon gereicht hätte.
Ja, also allein die ganzen Entscheidungen und Urteile, die kamen vom europäischen Gerichtshof und wir sind noch nicht am Ende. Ich habe jetzt heute gesehen, morgen kommt ja noch ein Urteil vom EuGH im Datenschutzrecht, also,
würde mich hätte mich nicht gewundern, wenn die Weihnachten auch noch da einen raushauen,
Also das hat uns, glaube ich, schon in der beruflichen Praxis sehr, sehr beschäftigt, weil man ja auch als Berater immer schauen muss, als intern oder extern,
ich muss ja wissen, was da gesagt wird. Ich muss ja wissen, wie das  die die Daten verarbeitenden Stellen beeinflusst. Auftragsverarbeiter oder Verantwortlicher ist mir egal. Und die Kunden verlangen ja auch zu Recht eine entsprechende Beratung und da up to date zu bleiben.
Und das ist nur europäische Ebene, das finde ich schon, das ist eine Herausforderung.
Und da sprechen wir noch gar nicht über die ganzen Klagen zu Facebook, Schadensersatz zu Auskunftsansprüchen durch die Arbeitsgerichte. Also das das nehme ich zunehmend auch als herausfordernd wahr.
Ja, also dass man da überhaupt up to date bleibt. Das das  erfordert schon Disziplin und auch Aufwand. Was aber andererseits auch gut ist, weil wir haben uns ja immer alle,
Rechtsklarheit gewünscht und und dass mal jemand sagt, okay, wie ist das denn jetzt bei der Auslegung mit der DSGVO? Und damit müssen wir aber dann auch umgehen, ne? Also wenn wir's uns wünschen,
Dann wird der Wunsch erfüllt vom EuGH, vielleicht nicht immer, wie man das inhaltlich sich erhofft hat, aber man muss halt damit umgehen und das wird uns sicherlich auch noch die nächsten Jahre befassen. Wir sind ja jetzt nicht am Ende, ne, mit mit der Auslegung und Anwendung der DSGVO,
Und  ja also rückblickend ganz ganz,
allgemein gesprochen, glaube ich, diese stetige Entwicklung im Datenschutzrecht. Ja und immer Neuigkeiten, auch Behördenansichten, was aber auch den Reiz ausmacht, wenn ihr in andere rechts bereite  Rechtsbereiche guckt,
Wo hast du das, das im Grunde alle zwei oder drei Wochen was Neues.
Das hat ja mit der DSGVO auch wirklich einfach Fahrt aufgenommen. Das hat mir halt  unter der alten Rechtslage natürlich gar nicht in dieser Intensität und erst recht nicht  auf dieser  gerichtlichen Ebene.
Aber auch ein Grund, warum wir ja und Justice angesprochen, dass
bleiben halt als enorm wichtiger achten auch einer der Gründe, warum wir gesagt haben, wir machen halt diese wöchentlichen Newsformate in unserem Podcast, weil es halt ja für die Zuhörer natürlich und  für die ganz vielen Datenschützer in dieser Welt natürlich  relevant, aber vor allen Dingen auch für uns selber, für unser eigenes Team,
Podcast ein Stück weit entstanden oder gesagt haben, wir wir schaffen halt erst mal, damit eine Basis, mit der wir halt alle mal auf einen aktuellen Standort,
Jetzt hast du ja in in  vielen Themen ja auch Schwerpunkte, du machst viel auch einen Betroffenen  Anfragen, Betroffenenrechte ,
Unterwegs. Dann hatten wir aber etliche Bußgelder. Gibt's irgendwas, was jetzt so inhaltlich dir besonders in Erinnerung geblieben ist in diesem Jahr, wo du sagst, ja das das ist jetzt schon was,  das hat doch einen ganz wichtigen Effekt
dieses Jahr.
Also,
Wenn wir auf die betroffenen Rechte gucken, würde ich sagen natürlich alles um Auskunftsrecht, ne. Artikel 5zehn, sei es vom Umfang her. Was ist herauszugeben, personenbezogene Daten? Wie umfangreich ist das? Was bedeutet Kopie?
Aber dann auch Rechtsmissbrauch, wann kann ich vielleicht  sagen, ich gebe Daten nicht heraus oder ich muss keine Daten herausgeben. Das ging ja stetig über das Jahr,
ging das ja durch die verschiedenen Themen. Artikel 15 und wir alle wissen, Artikel 15 ist halt dann spiegelbildlich in der Praxis auch das das Recht. Ja und deswegen das ging für mich wie so ein roter Faden durch das Jahr durch. Ja, Artikel 15 gab's immer.
Irgendwie was, was gleichzeitig für die Praxis auch relevant,
hat ja und neben den betroffenen Rechten war sicherlich Schadenersatz 82 für mich  mit eins der spannendsten, weil auch in der Beratung relevantesten Themen,
Weil wir natürlich auch alle merken, die die die Welle baut sich so langsam auf, ja? Also es es kommt immer mehr und es wird Schadensatz verlangt bei Verstößen oder potenziellen Verstößen gegen die DSGVO und
das hat man finde ich auch übers Jahr gemerkt. Das kommt immer immer mehr.
Ja, die Fluteentscheidung hast du angesprochen.  hast du denn irgendeine Entscheidung optimalerweise vielleicht sogar auf internationaler Ebene oder vom EuGH, die dich absolut überrascht hat im vergangenen Jahr?
Och Gott, also meistens ist es ja beim EuGH,
Eigentlich könnte man sagen, man ist oft überrascht, wenn man insgeheim hofft, dass es dann doch nicht so schlimm wird, aus der Daten verarbeitenden Sicht, ja, aber eigentlich darf man deswegen wiederum auch nicht überrascht sein, weil man ja weiß, wie der EuGH-Datenschutzrechtlich tickt.
Glaube jetzt nicht im Sinne von Riesenknaller,
100 Prozent Überraschung. In Details ist man vielleicht manchmal überrascht, ja? Also dass der EuGH dann hier und da wenn er zum Beispiel sagt
Na ja,  reicht auf Auskunft müssen wir aber sehen, ist jetzt kein Datenschutz, kein absolutes Recht, sondern muss mit anderen Grundrechten abgewogen werden.
Dass man sagt, ah okay, das sieht er schon noch positiv überrascht in dem Sinne, wenn man so will, ja. ,
und und solche kleinen Überraschungen gab's hier und da immer wieder natürlich insbesondere bei uns in Deutschland, also auf nationaler Ebene, hat man schon Überraschungen.
Sehr hart gesprochen im Sinne von aus meiner Sicht dann 
Zum Beispiel Fehlurteilen, ja, also wenn man sagt, da sind jetzt, was weiß ich, so und so viel hundert oder 1000 Euro Schadensersatz ausgesprochen worden
für  ein Verstoß gegen irgendeine DSGVO-Pflicht, wo man sich fragen kann, wo ist da der Schaden, warum  sind überhaupt die Voraussetzungen erfüllt?
Also ich glaube, die Ausreißer haben überrascht. Klar. Ja. Positiv oder negativ.
Ich werde hier wirklich konkret ein Thema ein.
Na ja, also ich fand das, was jetzt zum,
Ende hinten in der Diskussion war, also  innerhalb der Monatsfrist bleiben und Auskunft erteilen und dann aber doch einen Schadenersatz zugesprochen bekommen als Betroffener.
Ja, das da fand ich schon überraschend.  gleichzeitig muss man aber auch sagen, dass das halt eine Ansicht, ne, dann hatten wir ja andere Urteile, die es genau anders sehen. Aber das war fand ich schon,
hart, hart überraschend, ja als Beispiel, ja.
Mhm. Wir schauen natürlich mit unseren Gästen nicht nur auf das letzte Jahr, sondern wagen auch einen kleinen Ausblick. Was erwartest du denn für von zweitausendvierundzwanzig, insbesondere bei den Rechtssprechungen?
Na ja, wir wissen ja schon ein bisschen, was beim EuGH hängt. Also es wird auf jeden Fall noch was zu  Artikel 82 auch kommen.
Ja, also zum Schadenersatz, da werden wir noch ein bisschen was sehen. Was sehr spannend wird, da ja doch, ich freue mich drauf auf jeden Fall. Wird die Entscheidung im Ganzen.
Cookie-Online-Advertising-Bereich  aus Belgien sein mit Verantwortlichkeiten. Das ist ja auch ein Thema, was uns andauernd beschäftigt.
Wer bin ich und wenn ja, wie viele im Datenschutzrecht, ne, also wenn die Auftragsverarbeiter verantwortlicher, gemeinsamer Verantwortlicher  und das wird sicherlich auch weiterhin ein Thema bleiben.
Ja und da kommen die Rechtssprechung wahrscheinlich nicht immer 100 Prozent Klarheit, aber ein bisschen Leitlinien und Leitplanken eingeschlagen vom EuGH.
Also da freue ich mich auch drauf und 82 wird uns auch auf nationaler Ebene nicht nicht loslassen, da bin ich fest von überzeugt, weil,
das Thema IT-Sicherheit auch weiter an an Wichtigkeit zurecht gewinnt und es auch immer wieder zur,
Datenschutzvorfällen, Cyberattacken, wie auch immer, kommen wird, die ja dann der Auslöser,
für Schadensersatzklagen sind und Verfahren. Ja und  je häufiger du einen großen Dalta Bridge hast, über den berichtet wird, desto eher kommt's auf andere Seite dann zu den Schadensersatzklagen, auch massenweise.
Und das wird auch nicht weggehen. Das wird eher zunehmen glaube ich mit dem mit dem gerade jetzt auch mit der Rechtssprechung aus   letzter Woche vom europäischen Gerichtshof zu diesem Thema.
Bei dem ganzen Thema Schadensersatz, ich meine, das ist ja auch eine, zumindest ja dann doch wieder ganz  positive Entscheidungen gewesen zu sagen, es muss halt doch auch irgendeinen Nachweis geben, also der Schaden, auch der immaterielle Schaden muss halt irgendwie belegt werden.
Wie siehst du das mit Blick auf diese Massenverfahren? Ist das nicht gleichzeitig auch dann doch eine Schwierigkeit, so was,
gerade im Massenverfahren automatisiert, wiederum auch abzubilden für für die Kanzleien, die so was betreiben.
Ja, also da bin ich ja auch ehrlich, ich bin auf
Der anderen Seite auf der verteidigenden Seite und  versucht dann die Ansprüche, wenn sie ihn eben nicht berechtigt sind, abzuwehren und auch jetzt mit der neuen Rechtsprechung des EuGH, so wie ich sie lese,
Nachweis brauchen wir und wir brauchen auch quasi aus Sicht des einzelnen Betroffenen,
Begründung, warum denn bei ihm jetzt ein Schaden entstanden sein soll wegen der Verletzung
die eingetreten ist und nicht allgemein, es könnte einen Schaden entstanden sein, weil grundsätzlich jemand schlecht schläft, wenn Daten wegkommen, sondern wir brauchen bei der Person den Nachweis dafür, warum bei ihr welcher Schaden entstanden ist. Und das ist, wie du sagst,
seine Anforderung an die Kläger, das nachzuweisen,
Das ist, würde ich vermuten, durchaus herausfordernd in in massenhaften Verfahren, weil's eben nicht mehr Copy Paste geht. Ja  der eine schläft sechs Stunden die Nacht, der andere sieben Stunden, das heißt, ich muss schon unterscheiden, wenn ich weniger schlafe. ,
bei der Stundenanzahl, ja? Kann nicht gleich sein. Und sowas wird dann sicherlich Thema sein, auf jeden Fall.
Dann,
 würde ich einmal überleiten zu unserem Unterhaltungsteil. Wir hatten das eingangs schon angekündigt, eine Unterhaltungssendung muss natürlich auch noch ein bisschen was lockereres haben als nur Datenschutz, auch wenn uns natürlich datenschutz
begeistert und wir an sich damit schon viel Spaß haben, aber wie unsere Zuhörer sicherlich auch, aber ich glaube, es ist trotzdem ganz schön, wenn wir noch mal ein bisschen was über Carlo Pilz auch persönlich erfahren.
Genau, wir haben ein paar oder Fragen vorbereitet und ich würde einfach mal starten. Carlo, Berlin oder Göttingen?
A Berlin.
Facebook oder Instagram?
Zwei Wochen aufs Handy oder ein Jahr auf dein Lieblingsessen verzichten?
Lieber ein Jahr aufs Lieblingsessen.
Wow  Siri oder Alexa?
Lieber eine Zeitschrift lesen oder online einen Blogartikel?
Online.
Podiumsdiskussion oder Podcast? Jetzt sag nix Falsches.
Eine Podiumsdiskussion in einem Podcast.
Ja gute gute Antwort. Ja jetzt wird's noch mal ein bisschen schwieriger in the big Bang Theory. WG würdest du lieber mit Sheldon leben oder dann doch alternativ mit Bilbo Beutling im Hobbit-Haus.
Uh, lieber mit Sheldon.
Okay. Jetzt noch eine offene Frage, welches öffentliche Amt würdest du gerne mal innehaben?
 Landesdatenschutzbeauftragter,
Karl, das das wäre mir nicht so wichtig. Der wird   ich würd's mal gerne einfach mal austesten wie das so ist. Auch nicht ne, nur so Praktikum.
Wollte schon sagen, dass du wo Stöckchen ziehen mit Alexander.
 ja, nee, also es wäre sicherlich nicht meine  meine Lebensaufgabe, aber ich fänd's ich glaube, man ist immer interessiert daran, andere Seiten zu sehen, ja?  und deswegen wird als Beispiel.
Vielen lieben Dank, lieber Carlo apropos andere Seite, danke, dass du uns halt auch ein bisschen in den privaten Kalo hast blicken lassen.  ja, wir sind jetzt am Ende angekommen und  wir hoffen, du hattest sehr viel Spaß mit uns.
Ja, vielen Dank auf jeden Fall und war doch sehr schön und haben wir gut hinbekommen und vielen Dank euch auch noch mal für die für die Einladung und ganz viel Spaß auch bei den anderen Aufzeichnungen mit den anderen Kolleginnen und Kollegen.
Vielen lieben Dank und ja, bis bald.
Bis bald, vielen Dank Carlo.
Danke euch, tschüss.
Ja und  nach diesem
doch finde ich auch sehr interessanten Einblick, den uns Carlo gegeben hat, kommen wir zum Rückblick für das zweite Quartal in zwanzigdreiundzwanzig. Auch da,
Hatten wir natürlich wieder eine Vielzahl an Themen in unseren News und da würde ich sagen, hören wir dann auch mal rein, was unsere Kollegen und wir so alles produziert haben.
Und zwar hat die italienische Datenschutzbehörde am 31. März mit sofortiger Wirkung die vorläufige Einschränkung der Verarbeitung der Daten italienische Nutzer gegen,
Über Open AI angeordnet, so dass der Dienstanbieter nun eine Sperre umgesetzt hat. Die Bundesregierung möchte nämlich Beschäftigte zukünftig besser vor Überwachung schützen und Unternehmen klare Regelungen an die Hand geben.
Dazu gibt es jetzt Vorschläge und beziehungsweise ein Eckpunktpapier vom Bundesministerium für Arbeit und vom  Bundesministerium des Inneren in Kombination  ist es zu einem Daten
in Folge eines Rundumwareangriffes beim Fahrrad-Leasinganbieter Jobrad bekommen. Aber der EuGH sieht gleichzeitig auch
dass es in bestimmten Konstellationen notwendig sein kann, dass den Betroffenen doch etwas mehr Kontext zur Verfügung gestellt werden muss.
Und dazu gesteht das Gericht ein, benötigt der Betroffene in einigen Fällen mehr Kontext, der durch,
Zur Verfügungstellung von Dokumenten oder Datenbankkopien hergestellt werden muss.
AI hat sich so ein bisschen der ja vielleicht auch der Kritik der letzten Wochen angenommen. Jetzt gibt es einen Privatmodus  bei. Ich
Geh einmal zum europäischen Gericht. Das ist die erste Instanz  dort. Die hatte nämlich entschieden in einem Verfahren und zwar zur Frage des relativen
Personenbezugs. Google hat auf seinem Blog angekündigt, dass Publisher die Googles Werbesysteme in Europa und Großbritannien einsetzen wollen, noch
Ab diesem Jahr einen Content-Banner anwenden müssen, das von Google zertifiziert ist. Ja, spannend ging's auch die Woche zu, sicherlich bei Meta
denn die haben ja ein Rekordbußgeld bekommen in Höhe von 1,2 Milliarden Euro durch die irische Datenschutzaufsichtsbehörde und demnach darf Telefonika Deutschland keine Positivdaten mehr an die Schufa weitergeben.
Das Arbeitsgericht hat entschieden, dass ein Betriebsratsvorsitzender nicht zugleich Datenschutzbeauftragter sein darf. In einem Kündigungsschutzprozess hat das Landesarbeitsgericht Baden-Württemberg festgestellt.
Kein ausdrückliches Verbot zu Privatnutzung der betrieblichen IT dazu führt, dass die Beschäftigten von einer Erlaubnis zu Privatnutzung ausgehen können.
Die französische Aufsichtsbehörde Knil hat jetzt ein Bußgeld in Höhe von 40 Millionen Euro gegen den Retargeting Anbieter Kriteo verhängt, die seit dem,
Jahr 2021 bestehende EU-weit bestehende Verpflichtung hierzu in jedem neuen Personalausweis Fingerabdrücke aufzunehmen, ist laut Generalanwältin,  Leyla Medina, nämlich rechtens.
Ja es waren auch wieder eine Vielzahl an Themen und bei dem ein oder anderen Thema denkt man so, ah ja stimmt und  das war ja in diesem Jahr alles. Es war wieder voll. Was war so für dich im zweiten Quartal das herausstechende Laura?
Für mich war,
zwar wenig überraschend, aber ganz schön, die Meinung vom Europäischen Gerichtshof in der Kalenderwoche achtzehn zum Thema  Schadensersatz, also die haben sich dann geäußert zum Artikel zweiundachtzig, DSGVO, also zu der Auslegung,  wann eben Schadensersatz
begründet ist für eine betroffene Person und sie haben halt eben in ihrem Urteil nochmal festgelegt, dass  ein Schaden,
schon nachgewiesen sein muss. Also  und das ist ein kausalen Zusammenhang zwischen Verstoß und Schaden
geben muss. Außerdem eben die Aussage, dass es keine Bagatellgrenze gibt für Schäden, also dass  egal wie kleiner ist,  er durchaus auch von Betroffenen eingefordert werden kann.
 was ich im Nachgang, also in der Vorbereitung auf den heutigen Abend, rein.  ich hatte natürlich in die Nachricht nochmal reingehört, die wir in der Kalenderwoche 18 hatten und 
Unser Kollege David hat damals die Einschätzung gehabt, ach das Urteil sei ja vom europäischen Gerichtshof so eindeutig, das wird ja wohl jetzt das Letzte sein zum Schadensersatz und es wird ruhiger in unseren News. Ich glaube, wir können sagen, nach den letzten Monaten, nö.
Da kam ja noch das ein oder andere zum Thema Schadensersatz. Es war also nicht das Letzte.
Nee und  ich glaube, da werden wir auch noch einiges sehen. Das Thema ist noch nicht ausgeurteilt. Ja.
Ja, ich hatte  durchaus auch verschiedene Highlights im im zweiten Quartal. Ich  habe aber mich entschieden, jetzt doch noch mal kurz auf das Thema Beschäftigten Datenschutz zu
Gucken.
Die  Kollegen, Kolleginnen und Zuhörern, die schon länger im Datenschutz tätig sind,  wissen das natürlich auch, dass es schon viele Anläufe in Deutschland gab für Beschäftigten, Datenschutzgesetze und keines hat's halt wirklich so richtig geschafft, einen,
ich sage mal Ausgefeiltes hat's bisher nicht geschafft.
Jetzt hatten wir ja im Frühjahr das  Eckpunktepapier, wie wir gerade eben im Überblick gehört haben. Das.
Die Idee dahinter, glaube ich, ist löblich und  auch grundsätzlich der Ansatz, Dinge eher einfacher zu machen.
Dass man Interessenabwägungen, Handhaber machen möchte, dass man auch klare Regelungen für die Einwilligung zum Beispiel haben möchte, um die Freiwilligkeit sicherzustellen, mehr Rechtssicherheit für die Datenverarbeitung im Konzern zu schaffen, sind alles,
Gute Dinge. Also ich glaube, wenn das halt sich nachher dann für die Praxis auch handhabbar darstellt, hilft es sicherlich.
Aber und das ist halt das, was wir vielleicht auch jetzt zum Jahresende doch noch mal feststellen müssen.
Da ist halt nicht mehr viel passiert. Also es gibt halt durchaus  Stimmen, die sagen, ja, es ist halt in Arbeit, aber zwischen,
Dem BMI und dem BMRS. Die beiden,
Ministerien, die hier halt das zusammen auf den Weg bringen wollen, die sind halt doch an den ein oder anderen Stellen sich nicht ganz einig, wo die Reise hingehen soll, deswegen dauert der Referentenentwurf halt sehr lange und ja ich habe kürzlich nochmal eine Stimme aus dem BMI dazu gehört,
Der hat auch gesagt, na ja es wird halt wohl nach ein längerer intensiver Prozess, so dass wir halt hier wahrscheinlich auch erst im Laufe des nächsten Jahres irgendwann,
Mitte des Jahres wahrscheinlich überhaupt noch bei Referentenentwurf rechnen können. Von daher es bleibt weiterhin offen, ob das nachher was taugt oder nicht. Wie gesagt, die Ansätze sicherlich löblich,
Ob's das wird und funktioniert. Wie gesagt, da muss man bei der Politik ja auch immer drauf gespannt sein, ob's nachher funktioniert.
Ja und damit würde ich sagen gehen wir weiter.
Ein Thema, was im Jahre 2023 ja sehr präsent war, ist das Thema künstliche Intelligenz, sei es und weiteres war aus dem Alltag und den Medien eines Datenschützers nicht wegzudenken.
 du hast ja auch eine Themenfolge in diesem Jahr mit Tobias Kieber aufgenommen. Doktor Professor
Tobias Keber, so viel Zeit muss sein und kannst du den Zuhörern und Zuschauern vielleicht ein bisschen was dazu erzählen, wenn sie denn die Folge noch nicht gehört haben. Ich glaube zwar schon, dass der ein oder andere reingehört. Aber vielleicht magst du noch mal ein bisschen was dazu erzählen.
Ja, sehr gerne. Also wir haben ja im Herbst
diesen Jahres die Themenfolge veröffentlicht und ich hatte mit Tobias Kieber so ein bisschen über die Möglichkeiten auch der Legitimation und der anderen Datenschutzrechtlichen Anforderungen für den Einsatz von künstlicher Intelligenz gesprochen und da sind wir weit über,
Den  ja, ich sage mal, wie du's eben schon gesagt hast, das was aus den Medien nicht wegzudenken war, hinausgegangen. Haben also auch auf andere Lösungen geschaut und andere Anwendungsfälle, weil KI ist ja
In vielen Unternehmen mittlerweile halt an ganz vielen Stellen im Einsatz  auf dem Verborgenen. Manchmal aber halt auch Boost und da haben wir drüber gesprochen. Ich fand sie halt,
sehr gut dahingehend, weil Herr Keber halt auch lösungsorientiert das ganze Thema angehen möchte und jetzt nicht nur wie man das von anderen Aufsichtsbehörden vielleicht auch schon mal so,
Gefühlt wahrnimmt,  nicht nur gegen alles wettert, sondern halt, wie gesagt, versucht mit den Unternehmen gemeinsam die datenschutzrechtlichen Anforderungen dann auch mit einem KI-System
Entsprechend adäquat umzusetzen.
Ja, wir kommen nun auch zum ersten Themen
Update und freuen uns auf Maximilian Herrmann. Er ist unter anderem Lehrbeauftragter im Datenschutzrecht an der Technischen Hochschule in Köln und hat sich in der letzten Monaten intensiv mit den aktuellen Gesetzesvorhaben im Rahmen der
Digitalstrategie der EU beschäftigt und Heiko, du hast ja auch,
Letztes Jahr mit ihm eine Themenfolge aufgenommen  zur europäischen Datenstrategie. Ende März haben wir diese veröffentlicht und deshalb haben wir uns heute gedacht, darf er hier doch nicht fehlen.
So ist es. Damals waren der,
Und auch der Data-Act noch in der Diskussion. Wir hatten da schon mal auch über noch ein paar andere Acts gesprochen in der Themenfolge.
Mittlerweile sind jetzt die beiden  Gesetze, die ich gerade genannt habe, aber durch das Trilogverfahren und damit begrüße ich recht herzlich im Max Hermann. Hallo Max, schön, dass du da bist.
Hallo, grüßt euch. Freue mich, hier sein zu dürfen.
Max, lass uns unseren Zuhörenden, die vielleicht,
die Themenfolge nicht mehr ganz so präsent haben. Ich gehe davon aus, dass jeder sie gehört hat. So viel  setzen wir hierher natürlich immer voraus. Bei unseren regelmäßigen Zuhörern,
Da wir, wie gesagt, das Thema AI-Act jetzt natürlich durch die ganzen Themen, die wir jetzt während des Jahres auch rund um Chadge und andere hatten
 immer mal wieder ja auch  so ein bisschen im Hinterohr im Hinterkopf hatten, dass da was kommt,
Wie ist da jetzt aus deiner Perspektive der Stand des Verfahrens beziehungsweise was errechnest du, ab wann ist der AI Act oder die KI-Verordnung, wie es auf Deutsch heißt, verpflichtend anwendbar.
 kann ich gern zur Ausführung, also grundsätzlich ist es tatsächlich so, die politische Einigung  ist erfolgt. Allerdings ein finaler Gesetzestext liegt noch nicht vor.
Will ich tatsächlich auch explizit drauf hinweisen, weil alles, was man heute schon so liest, glaube ich, sind gewisse Mutmaßungen, wie die Regelungen im Detail aussehen, wird man dann erst noch sehen.
Grundsätzlich wird man sagen können,
Da ist grad noch viel Arbeit  zu machen, insbesondere auch am Schluss  in die ganzen EU-Amtsparen das Ganze zu übersetzen,
Ich würde sagen, bis wir endgültig die Vorschriften da haben, werden noch so fünf bis sechs Monate vergehen. Das ist, glaube ich, realistisch an der Stelle und dann 20 Tage später nach Veröffentlichung  tritt der Eck dann in Kraft.
Also voraussichtlich Sommer 24 und wird dann gestaffelt anwendungspflichtig. Also für manche Anforderungen gibt's eine Umsetzung von einem Jahr.
Insbesondere zum Beispiel für die 
 Anforderungen rund um verbotene KI-Systeme, also wirklich die Verbote. Die sollen schon schnell in Kraft treten nach sechs Monaten, also Ende vierundzwanzig.
Und ich würde jetzt mal sagen, bis alle anderen Bestimmungen wirklich in der Welt sind und wir den vollumfänglich,
bei uns dann haben, wird man sagen können, Sommer 2026 wird wahrscheinlich dann ja der endgültige Stand erreicht sein.
Okay, das ist schon mal gut. Muss keiner in wilden Aktionismus verfallen. Es ist noch ein bisschen Zeit, sich darauf vorzubereiten, wobei wir aus den Zeiten der DSGVO ja auch wissen, dass es dann für viele doch unterm Strich nachher überraschend kommt.
Aber wir sind da sehr zuversichtlich, dass unsere Zuhörer da natürlich etwas dann früher vorbereitet sind. Wir haben
über ja ein paar Anforderungen gesprochen im Frühjahr in unserer Themenfolge. Was ist aus deiner Sicht so die wichtigste Änderung in den damaligen Entwürfen zu dem, was jetzt die politische Einigung ergeben hat?
Ich glaube was einfach auch ganz spannend war in diesem Jahr zu sehen  dass die tatsächlichen Sachverhalte nämlich  alles rundum oder large Language Models
Den Gesetzgeber nochmal extrem umgetrieben haben im Hinblick auf die Frage, wie ist denn das eigentlich zu regulieren?
Und das war eigentlich auch der Grund, warum es dann auch im Trilog  ziemlich hin und her ging und warum dann auch Extrempositionen nochmal entstanden sind.
Deswegen auch eine finale Bewertung
Was hat jetzt eine grundlegende Veränderung erfahren ohne Gesetzestext schwierig möglich?  würde ich sagen aber das grundsätzliche Framing, das ist glaube ich wichtig,
wird kommen, nämlich  diese Risikoklassifizierung,
Betrachtung  von KI Systemen in dieser Art und Weise. Das sind so für mich die Hauptaspekte, die man, die man jetzt schon mitnehmen kann und mitnehmen sollte.
In der Themenfolge, die ich eben angesprochen hatte mit  Professor Keber haben wir auch darüber gesprochen, dass der Act auch Ermächtigungsnormen zur Verarbeitung von personenbezogenen Daten beinhalten kann.
Was ist aus deiner Sicht das Wichtigste für Datenschützer, was sie unbedingt wissen sollten bei den jetzt  ja getroffenen Regelungen und Entscheidungen, wie der Ereig nachher aussehen soll? Kannst du dazu schon was sagen?
 also ich glaube, da kann man tatsächlich schon was zu sagen, weil aus aus Datenschutzrechtlersicht  insbesondere im Hinblick darauf finden sich vielleicht Rechtsgrundlagen im AI Act das war tatsächlich etwas zu Beginn.
Wurde da noch gar nicht drüber diskutiert. Das kam dann tatsächlich im politischen Prozess mit rein, so dass ich zum Beispiel in den Entwürfen dann  und das ist auch was, was es dann wahrscheinlich ins ins endgültige Dokument geschafft hat. Eine Rechtsgrundlage dafür findet,
oder sogar eine Verpflichtung dazu da ist, dass man zur Erkennung und Korrektur von negativen Verzerrungen im Zusammenhang mit Hochrisiko-KI-System,
besondere Kategorien personenbezogener Daten verarbeiten darf in Ausnahmefällen. Also im Prinzip ist das der Mechanismus,  der dann
ermöglicht auch in diesem Zusammenhang die Daten verarbeiten zu können. Und noch spannender finde ich,  dass der AI-Eck die Thematik der Reallabore aufschnappt. Also,
Ich versuche das mir immer so vorzustellen, Reallabor ist irgendwie ein Raum, in dem ich alles machen darf, auch wenn's vielleicht sogar gesetzlich verboten ist, weil's einfach ein geschützter Raum ist.
Und da wird tatsächlich festgehalten in einem KI-Re  Reallabor dürfen Daten auch einfach mal zu anderen Zwecken verarbeitet werden, personenbezogene Daten, um einfach Innovation zu fördern. Wie diese KI real Labore aussehen werden,
wie die gesteuert werden und wie man vielleicht auch Zugang zu diesen tollen  Räumlichkeiten bekommt. Das ist glaube ich noch ein bisschen  fraglich. Wie gesagt auch da ohne den
Gesetzestext zu haben. Wer das wer das mutmaßend, aber das sind so für mich zwei wichtige Aspekte, die drin sind.
Der Hauptaspekt finde ich aber für den Datenschutzrechtler ist, dass das, was im  AI-Act hier gerade passiert.
Dem Mechanismus der Datenschutzgrundverordnung nicht fremd ist
Also jeder, der sich mit dem Datenschutzrecht beschäftigt, weiß,  damit ich die Anforderungen der DSGVO in ein Unternehmen bringen kann, brauche ich ein Datenschutzmanagementsystem.
Ich muss mir Gedanken darüber machen, wie mache ich das eigentlich und genau diese Herangehensweise braucht's auch beim AI-Act,
bringt mich wieder zu dem Punkt, ich glaube, Unternehmen,
sind gut daran beraten, dass sie die Kolleginnen und Kollegen, die heute intern oder extern sich mit dem Thema Datenschutz  beschäftigen und auch den Betrieb von Datenschutzmanagementsystem hier frühzeitig
mit einbinden, wenn's um das Thema Umsetzung AI Act geht.
Dann lass uns noch einen kurzen Blick auf den Data Act werfen, der ja auch jetzt schon wieder ein gutes Stück weiter voran geschritten ist. Wie ist da der Stand des Verfahrens?
Da sind wir tatsächlich schon einen Tick weiter.  auch da gab's eine eine politische Einigung,
veröffentlicht ist der Text noch nicht. Das soll in Q1 vierundzwanzig erfolgen. Wir haben aber schon einen Text,  den wir vorliegen haben. Das heißt, den kann man auch tatsächlich schon bewerten.
Und auch da wird so sein, ,
Verordnung wird dann  im Amtsblatt, im Q1 veröffentlicht. 20 Tage später gilt sie dann und die Verordnung gilt aber auch nicht sofort, sondern erst nach 20 Monaten wird sie anwendungspflichtig
Bis auf einen Punkt ,
es gibt eine Verpflichtung im im Data-Act,  dass einfach vernetzte Produkte dieser Anforderungen direkt erfüllen können müssen, dass Daten aus ihnen zur Verfügung gestellt werden, um das mal untechnisch auszudrücken.
 dafür haben die Anbieter noch ein bisschen länger Zeit. Also die Vorschrift wird
auch nur für Produkte gelten die 32 Monate.
Nach Inkraft treten, in Verkehr gebracht wurden. Also auch hier ein bisschen gestaffeltes, zeitliches Vorgehen,  was, glaube ich, noch mal ein bisschen Luft verschafft.
Jetzt geht's ja beim Data-Act auch insbesondere um den Zugang zu Daten. Die Herausforderungen, die sich datenschutzrechtlich damit ergeben, sie wird sicherlich ja an vielen Stellen die Abgrenzung immer sein.
Siehst du oder was was siehst du als die größte Herausforderung in der Praxi
mit Bezug auf die Wechselwirkung zwischen Data-Act und DSGVO.
Also ist tatsächlich der Punkt,  den den du gerade ansprichst, Heiko. ,
es ist so, der Data Act sagt sehr lapidar,  alles, was personenbezogene Daten betrifft. Dafür gilt die DSGVO. Und wenn wir uns
Jetzt aber mal angucken,  wie grenzt man denn eigentlich personenbezogene Daten von nicht personenbezogenen Daten ab? Dann kann man da, glaube ich, immer wieder trefflich drüber streiten, je nachdem,
welcher Player man in diesem Spielchen ist, wird man auch zu anderen Ergebnissen kommen. Ich finde zu vertretbaren Ergebnissen, aber  da können sich ja auch andere zu äußern. Und grad diese Abgrenzung, die wir tatsächlich einfach eine Herausforderung,
an der Stelle dieses Nebeneinander bei der Regelung und da wird glaube ich auch sehr spannend sein,
Was in der, was in der Datenschutz-Rechtssprechung grade so passiert. Also ich glaube, das sollte man sehr gut beachten, um und im Blick behalten, um daraus auch ordentlich Honig saugen zu können.
Ja das und ich
Geh mal davon aus, also da bin ich erst mal ganz, glaube ich, nicht sehr mutig, um das vorherzusagen.  da wird sicherlich dann auch in ferner Zukunft dann auch entsprechende Urteile geben, die sich wahrscheinlich damit sehr intensiv wieder beschäftigen.
Was die Anforderungen aus dem  Data Act ergeben und wo dann die DSGVO gegebenenfalls auch letztendlich als Schranke wiederum  zu sehen ist
Danke dir ganz herzlich, Max, für dieses Update, dass sicherlich für unsere Zuhörer nochmal wichtig ist, um auch jetzt zum Jahreswechsel dann noch mal aufm aktuellen Stand zu sein und auch zu wissen, was jetzt dann das nächste Jahr genau bringen wird.
Wir werden natürlich auf die Themenfolge, die wir aufgenommen haben, auch noch mal verlinken, weil wir ja auch über, wie gesagt, auch unter anderem den Digital Services eck
haben den Digital Markets-Act, also auch Acts, die schon eine Weile ja jetzt verabschiedet und  veröffentlicht sind, also,
Die lohnt sich, glaube ich, immer noch, auch reinzuhören, weil wir auch über die Praxisfragen gesprochen haben, wie man nachher so was dann im Unternehmen etabliert und wo natürlich dann auch wieder die Anknüpfungspunkte sind. Du hast es eben schon gesagt zum Thema Daten
Management zum Beispiel. Also von daher ganz herzlichen Dank Maximilian Herrmann.
Vielen Dank, tolle Gastgeber.
Weiter geht's mit unserem nächsten Programmpunkt.  ich glaube heißt ersehnt ist der Rückblick des dritten Quartals. Und hier haben wir natürlich auch einen Schnelldurchlauf vorbereitet. Bitte.
Am Montag hat  dann  auch die EU-Kommission den Angemessenheitsbeschluss für das EU
US-Startup-Privacy Framework veröffentlicht. Die norwegische Aufsichtsbehörde hat Facebook und Instagram jetzt vorläufig die Verhaltensbasierte Werbung untersagt  und zwar in Nordirland. Da ist es tatsächlich zu einer noch immenseren Datenpanne
gekommen,  denn dort wurden im Zusammenhang mit einer Informationsfreiheitsanfrage in dieser Woche versehentlich Daten zu allen Polizistinnen und Polizisten des Landes veröffentlicht.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maike Kamp hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro wegen unrechtmäßiger Verarbeitung von beschäftigten Daten verhängt
Was auch in den Kontext von Kriminalität geht. Also online hat berichtet, dass es für wohl verstärkt Angriffe auf LinkedIn-Konten gibt.
Das US Heimatschutzministerium hat dafür bereits
oder seit einigen Jahren bereits eine private Firma beauftragt, Five Cars, die halt eben so eine künstliche Intelligenz bereits einsetzt.
Hintergrund ist, dass gegen eine Privatperson ein Bußgeld in Spanien verhängt worden ist in Höhe von zehntausend Euro. Ich wiederhole zehntausend Euro. Und die Schufa versucht nun die Bedeutung ihres Scores herunterzuspielen.
Diese Abgeordnete hat jedenfalls angekündigt gegen das Detail Framework vor dem EuGH klagen zu wollen.
Die Kolleginnen und Kollegen von Microsoft KI Team haben offensichtlich bei Guitab ein  Re.
Positori eingestellt  und dabei leider  offensichtlich einen falschen Link
dazu gepackt, dass eben insbesondere die Weitergabe von Positiv-Daten dazu führen kann, dass es eben Auswertung und Profilbildung gibt, dass dies aber beispielsweise nur auf Grundlage einer Einwilligung als rechtmäßig angesehen wird.
Es war wieder ordentlich was los, auch im dritten Quartal und ich habe schon fast eine Vermutung, Heiko, was dein Topthema war.
Ja, wenn du das Detail Privacy
Frame Walk vermutest, dann ist es in der Tat so. Wir haben ja uns alle sehr gefreut, glaube ich, das kann man schon sagen, dass es halt erst mal wieder  ein wenig entspannter wird, insbesondere,
Für Unternehmen, die natürlich erstmal unter diesem,
Abkommen, sich zertifizieren lassen beziehungsweise die halt auch schon vorher unter dem zertifiziert waren. Das  galt ja weiter ganz wesentlicher Aspekt, sind aber ja die Änderungen, die durch die Executive-Order verabschiedet wurden in den USA,
das ist ja ein Thema was wir auch schon mal vorhin gehört haben und deswegen ist natürlich auch durchaus die  Frage,
ne, Alexander hat's ja schon gesagt. Inwieweit jetzt natürlich dieses Abkommen beziehungsweise letztendlich halt auch wie weit nachher wirklich die,
Maßnahmen, die beiden durch die verabschiedet hat, tragen und vor dem EuGH standhalten,
Nichtsdestotrotz, für die Praxis sehe ich's halt schon als große Erleichterung einfach, selbst wenn man halt die Standardvertragsklausel noch nimmt, ist aber, dass Transfer Impact-Assement, was ja daran hängt.
Deutlich einfacher geworden. Also das ist
Halt glaube ich das, wo man halt sehr viel schneller jetzt auch zu einem positiven Ergebnis kommen kann, was halt die Frage der Angemessenheit, des Datenschutz in den USA selber angeht.
Auf jeden Fall ja ein in Q3. Ich glaube danach kommt lange nichts an Top
Meldung. Ich habe mir aber natürlich auch eine ausgesucht und  für mich war das in dem Quartal dann auch unter anderem die drohende Klagewelle für die Mobilfunkanbieter  aufgrund der Datenweitergabe an die Wirtschaft aus
 hier ging's ja eben konkret um  ja den großen Umfang der Positivdaten, die zwecks Profilbildung weitergegeben werden.
Und  da gab's ja schon Aussagen von den ersten Rechtsbeiständen, dass ja über 100.000 Personen bereits sich Hilfe gesucht haben, um hier gegebenenfalls Schadensersatz geltend zu machen.
Also ich glaube, da wird uns auch noch das eine oder andere erwarten an Entscheidungen, die da kommen werden.
Ja und  wo sich natürlich auch was getan hat im letzten Jahr, ist beim Thema Microsoft und  Microsoft dreihundertfünfundsechzig. Das heißt also, wo wir heute auch nochmal wie angekündigt ein Themen-Up
geben möchten.
Ja und  damit darf ich recht herzlich  Stefan Hessel begrüßen. Stefan Hessel ist Rechtsanwalt und Master of Laws für Informationstechnologie und Recht.
Head of Business, Digital Business, Entschuldigung bei Räucher und berät halt auch Unternehmen und auch die öffentliche Hand und  natürlich auch unter anderem
Zu dem Thema  Microsoft in Verbindung dann mit Aufsichtsbehörden und auch wahrscheinlich dann der Kritik, die von Aufsichtsbehörden kommen an dieser Stelle.
Der ist  auch Lehrbeauftragter in der deutschen Universität für Verwaltungswissenschaften in Speyer und für viele, die im Datenschutz tätig sind, sicherlich auch
bekannt aus Veröffentlichungen in Fachzeitschriften, Kommentaren, aber auch aus sicherlich dem ein oder anderen Vortrag, weil er ist halt auf der einen oder anderen Bühne
Häufiger zu sehen. In diesem Sinne, herzlich willkommen, Stefan Hessel, hallo Stefan.
Hallo,  vielen Dank für die Einladung, freut mich hier zu sein.
Wir wollen heute mal anknüpfen an  das, was wir auch im letzten Jahr schon mal hier als Themenupdate hatten. Es ist ja ein Jahr, was halt auch, was natürlich das ganze Thema Drittstaaten Transfer angeht in Bewegung war.
Aber das Thema Transfer natürlich auch insbesondere für viele Unternehmen ein sehr relevantes ist, weil sie halt Microsoft
einsetzen. Microsoft 365 ist aus den meisten Unternehmen nicht mehr wegzudenken heutzutage.
Und wir haben letztes Jahr hier gehört von Friedhelm Peplowski das Microsoft Anfang des diesen Jahres angefangen hat, die Unternehmen alle auf  Server hier in der EU umzuziehen und das umzusetzen.
Gleichzeitig, ich hab's grad schon erwähnt, haben wir natürlich auch das Detail Privacy Framework bekommen.
Und damit natürlich dann auch  was das ganze Thema Drittstaaten Transfer angeht, noch mal andere Voraussetzungen.
Deswegen die Frage an dich. Wie blickst du mit  deinem Wissen, deinen Erfahrungen auf das ganze Thema ewboundery, Databoundery von Microsoft? Welchen Effekt
Hat das auch insbesondere jetzt unter dem Aspekt der des.
Ja das  hat letzten Endes einen relativ  großen Einfluss natürlich auf die Strategie rund um den Einsatz von Microsoft  dreihundertfünfundsechzig,
Wir sehen  da letzten Endes eine Bekundung von Microsoft eben die Dienste auch rein aus Europa zu betreiben. Das ist erstmal ein sehr positives Signal.
Blick auf das  Delta Privacy Framework hat es natürlich so ein bisschen an Bedeutung verloren, gerade in der aktuellen Diskussion, wenn wir einen neuen, angemessenheitsbeschluss haben, den Microsoft eben auch aufgenommen hat in  das Vertragswerk,
Jetzt  Mitte November, das heißt aktuell ist  die Drittlandsübermittlung eben aus datenschutzrechtlicher Sicht nicht zu beanstanden,
Nichtsdestotrotz  werden wir ja unter Umständen auch eine Zeit nach diesem Angemessenheitsbeschluss haben, wenn's eine schlimmste drei Entscheidungen geben sollte, die negativ ist und ganz unabhängig davon gibt's natürlich auch weitere Gründe, die eben dafür sprechen können, dass man Dienste aus Europa,
betreiben will oder europäische Dienste nutzen will. Das ist zum Beispiel durchaus was, was bei öffentlichen Stellen auch losgelöst vom  Datenschutzrecht eine Rolle spielen kann.
Jetzt haben wir natürlich auch von den Aufsichtsbehörden in diesem Jahr noch ein bisschen was gehört zu diesem ganzen Themenkomplex. Es gab ja eine sehr umfassende Prüfung bereits im letzten Jahr. In diesem Jahr hat man sich auch noch mal ein
zumindest die neuen Verträge auch wieder angesehen. Es gibt aber doch immer noch, also es gibt zwar auch eine DSK-Position, aber ich habe
das Gefühl, es gibt aber immer noch keine Einigkeit unter den Aufsichtsbehörden. Wie ist da deine Wahrnehmung und vor allen Dingen, wie stellt sich das auch in der Praxis nachher für die Unternehmen in verschiedenen Bundesländern eigentlich dar?
Ja, also aus meiner Sicht ist da tatsächlich dieses Jahr  leider relativ wenig passiert.  es gab zwar Aktivitäten bei den Datenschutzaufsichtsbehörden, die aber letzten Endes sehr, sehr stark eben auf dieser Festlegung aus dem letzten November,
basieren und fokussieren. Wenn wir jetzt ganz aktuell  aus dem Protokoll der dritten Zwischenkonferenz noch mal die Information, dass diese neu begonnene Bewertung,
obwohl vorgenommen wurde, der Abschlussbericht ist aber auch noch nicht innerhalb der Arbeitsgruppe abgestimmt oder war zumindestens noch nicht abgestimmt,
Ich habe auch bei Informationsfreiheitsgesetz  bin  beim OLD in Schleswig-Holstein nachgefragt. Das hat ja im Moment den Vorsitz über die DSK. Dort liegt auch noch kein Abschlussbericht vor. Das heißt, es stand jetzt tatsächlich auch noch work and pro press.
Das heißt, wir wissen eigentlich gar nicht so genau, was jetzt die Datenschutzaufsichtsbehörden über
Dass und auch die vertraglichen Anpassungen denken, es gibt so einen ersten Indikator, dass die Prüfung wohl nicht wahnsinnig positiv ist. So kann man's zumindestens aus dem Protokoll zur 3ten Zwischenkonferenz ablesen.
Im Übrigen ist aber tatsächlich relativ wenig passiert.
Wir haben jetzt, wie gesagt, du hast schon zitiert oder gesagt, es gibt jetzt diesen Zwischenbericht dazu aus der DSK.
Es gibt aber halt, finde ich, auch sehr irritierende Äußerungen, unter anderem aus Thüringen auch, die,
so ein bisschen dahingehend  sagen, trotz Angemessenheitsbeschluss und EU-Databondery sieht man halt das Thema unter den Drittstaaten Transfer immer noch als besonders  bedenklich an.
Ist dir da irgendwie machst du da recherchiert, ist dir da ein bisschen was Näheres bekannt, wie man zu dieser Auffassung kommt oder worauf die auch konkret gestützt wird
Und was man auch in der Praxis ja das betrifft ja Unternehmen, auch in den Bundesländern wie die damit umgehen sollten.
Ja also  tatsächlich kann ich diese Positionen aus Thüringen nicht ganz nachvollziehen. Es gibt auch immer wieder andere Verlautbarungen von Datenschutzaufsichtsbehörden, die sich sehr schwer nachvollziehen lassen. Gilt im Übrigen auch für das Protokoll  zur dritten Zwischenkonferenz. So
Das ist natürlich auch nur ein Protokoll, das ist ja nicht gedacht als Handlungsempfehlung für,
das heißt entsprechend wenig kann man eigentlich daraus ableiten entsprechend schlecht, lässt sich auch die Argumentation nachvollziehen. Was  den
Drittlandstransfer angeht, ist zumindestens meine Wahrnehmung, dass die meisten Datenschutzaufsichtsbehörden, wenn's zu konkreten Diskussionen kommt,  eigentlich davon ausgehen, dass das solange der Angemessenheitsverschluss besteht, jedenfalls nicht zu beanstanden ist.
Wie das aussieht, wenn der Angemessenheitsverschluss aufgehoben wird und ob dann das EU-Deltabande tatsächlich ausreicht, das dürfte noch mal
größere Diskussion sein, die wird sicherlich auch sehr, sehr stark auf Details ankommen. Da habe ich  auch ist ja tatsächlich auch so, dass selbst nach Abschluss des  Data Boundry gewisse Daten nach wie vor,
international verarbeitet werden von Microsoft insbesondere wenn's um die Cybersicherheit geht, haben wir natürlich auch
globale Bedrohungslage, diese globale Reaktion erfordert. Das heißt, gewisse Daten werden weiterhin global verarbeitet werden. Das  stellt Microsoft noch transparent dar
Und wie zum Beispiel die Bewertung der Datenschutzaufsichtsbehörden nahezu ist es aus meiner Sicht vollkommen unklar.  es gibt ja eine Positionierung auch der Datenschutzaufsichtsbehörden, dass jedenfalls so ein Modell, wie das Delta Boundry, also.
Betrieb durch eine europäische Tochtergesellschaft und klare Regelungen zur Datenverarbeitung in der EU jedenfalls keine Drittlandsübermittlung darstellen sollen, aber dann eine flankierende Diskussion,
Ob der Verantwortliche, der eben einen entsprechenden Auftragsverarbeiter einsetzt,  nicht auch,
Evaluationen und Maßnahmen ergreifen muss im Hinblick darauf, dass möglicherweise ein Mutterkonzern über so ein neues Cloud Act,
in Europa zugreifen könnte, möglicherweise rechtswidrig und unter Verstoß gegen den Auftragsverarbeitungsvertrag,
Das scheint mir aber tatsächlich auch in der Aufsichtsbehördlichen Position noch nicht zu Ende,
diskutiert und auch nicht zu Ende gedacht.  letzten Endes müsste man dann ja sagen, Stand jetzt wär's besser, man würde die Daten auf Basis des Angemessenheitsbeschlusses in die USA übermitteln, erzählt in Europa von einem  Unternehmen  verarbeiten zu lassen, das möglicherweise eine Muttergesellschaft
In den USA hat, wenn man in einem Fall eine klare  Regelung hat in der DSGVO und im anderen Fall als Verantwortlicher eben prüfen müsste.
Habe ich jetzt ausreichende Maßnahmen getroffen, kann mir der Anbieter das alle schlüssig nachweisen? Ja oder nein? Also
auch im Hinblick darauf scheint mir das noch nicht ganz so stringent zu sein. Da sieht man aus meiner Sicht vor allem es ist ein sehr sehr bewegliches Ziel, auch sehr sehr stark im Fluss in der Diskussion mit den Aufsichtsbehörden.
Ja die die  Rechtssicherheit haben wir natürlich tatsächlich immer noch nicht für für Unternehmen auch hierzulande nicht. Wir haben,
An anderer Stelle neulich ja auch schon mal über das Thema Pseudonymisierung
und du hast gerade eben angesprochen, Microsoft übermittelt bestimmte Informationen zur Sicherheit, zur Cybersicherheit zum Beispiel ja immer noch in die USA, weil sie dort zentral,
analysiert und ausgewertet werden, die meines Kenntnisstandes nach aber immer pseudonymisiert sind. Also das heißt, da werden jetzt keine Klarnamen oder Ähnliches übertragen, so dass halt
Nach Aussage Microsoft diese Informationen in den USA eigentlich als anonym zu gelten sind oder zu werten sind.
Siehst du da mit Blick auch auf die Entscheidungen, die wir sowohl vom vom europäischen Gericht haben zu dem Thema Pseudonymisierung oder auch der jüngsten Entscheidung des EuGHs zu der Finnen auch noch mal, ich sage mal ein bisschen,
Unterstützung in der Argumentation dahingehend, dass wir, wenn halt es um diese Daten geht, die noch in die USA gehen, im Zweifelsfall auch ein bisschen mehr noch Futter haben, um es gegen eventuelle Kritik von Aufsichtsbehörden zu wehren.
Das kann man sicherlich annehmen, insbesondere bei der Frage, ob das pseudonymisierte Daten sind, ja oder nein. Wobei  man da natürlich auch berücksichtigen muss, der Hauptkritikpunkt,
Der Datenschutzaufsichtsbehörden ist bei diesem sogenannten Telemetrie- und Diagnosedaten ja weniger, dass  diese Daten einen Personenbezug haben oder absodonymisiert sind, sondern der Hauptkritik
Ist ja, dass Microsoft diese Daten in eigener Verantwortlichkeit neben der Auftragsverarbeitung verarbeitet.
Datenschutzaufsichtsbehörden eben der Auffassung sind, dass das möglicherweise A mit der Auftragsverarbeitung kollidiert oder eben keine reineigene Verantwortlichkeit,
Von Microsoft ist, sondern möglicherweise auch eine gemeinsame Verantwortlichkeit oder dass man, wenn man, selbst wenn man von der eigenen Verantwortlichkeit,
Von Microsoft ausgeht, eben eine Rechtsgrundlage für eine Offenlegung,
Microsoft bräuchte, was dann bedeuten würde, dass sich öffentliche Stellen zum Beispiel nicht auf das berechtigte Interesse  berufen konnten,
Da wird's dann tatsächlich und das ist aus meiner Sicht auch gepaart mit der weiten Auslegung der Rechenschaftspflicht, die die Datenschutzaufsichtsbehörden in den letzten Jahren  immer weiter vertreten.
Da ist tatsächlich noch ein sehr sehr großer  Diskussions- und Kritikpunkt  in den auch in den Gesprächen
Aufsichtsbehörden und einem, sage ich mal, die Kritik, die einen die uns da auch begegnet, ist eben  der verantwortliche kann seiner Rechenschaftspflicht nicht nachkommen.
Bis ins Betze Detail nicht nachvollziehen kann, was Microsoft mit den Daten zu eigenen Zwecken macht,
Das ist glaube ich so der  große Elefant  im Raum, wenn man über den Datenschutz bei Microsoft 365 spricht.
Das Thema,
Gemeinsame Verantwortlichkeit versus Auftragsverarbeitung oder halt gegebenenfalls sogar eigene Verantwortlichkeiten nebeneinander stehend, sind natürlich Themen, die wir ja in typischerweise ja in einem in einem  Vereinbarung mit einem
Auftragsverarbeiter oder mit dem Dienstleister sage ich mal
regeln würden. Microsoft hat ein sehr umfangreiches DPA, ist aber auch
nach meinem Verständnis ja nach wie vor eine reine Auftragsverarbeitung und nicht darauf ausgelegt, auch eine gemeinsame Verantwortlichkeit in irgendeiner Art und Weise zu regeln.
Siehst du das ähnlich wie  geht ihr auch in der Praxis dann damit um, auch gegenüber den Aufsichtsbehörden, was wie kann man im Zweifelsfall sich
positionieren, wenn man sagt, naja, wir müssen natürlich mit dem leben, was Microsoft uns im Zweifelsfall anbietet, weil,
Nicht jeder ist kleine Unternehmen, was halt das  die Tools einsetzt, kann halt  wirklich eine Verhandlungsposition gegenüber Microsoft einnehmen.
Ja die Strategie muss da tatsächlich aus meiner Sicht sein, dass man sich eben eine Argumentation zurechtlegt, die abweichend von der Position,
Der Datenschutzaufsichtsbehörden ist, dafür lassen sich gute Argumente finden. Auch  dafür, dass das  dass der Auftragsverarbeitungsvertrag und das ist ja letzten Endes auch die Position von Microsoft
Die datenschutzrechtliche Anforderungen erfüllt,
Das  führt auf jeden Fall dazu, dass man  auch in Gesprächen mit Datenschutzaufsichtsbehörden sage ich mal eine Phase einleiten kann, in der die Aufsichtsbehörde vielleicht eher die vorgetragene Kritik oder die
die Gegenposition dann zum Anlass nimmt auch solche Punkte nochmal innerhalb der weiteren Diskussion auch zwischen den Aufsichtsbehörden abzustimmen,
sehr, sehr gutes Instrument, dass da auch eine Datenschutzfolgenabschätzung, mit der man dann auch zeigen kann, wir haben nicht nur den Vertrag von Microsoft gelesen und danach die Füße hochgelegt und
das sagt Microsoft. Es gibt ja neben dem DPA in der datenschutzrechtlichen, bei den datenschutzrechtlichen Anforderungen noch ganz, ganz viel zu tun.
Und da hängt natürlich auch sehr, sehr viel von Konfigurationen ab. Da hilft's hängt sehr, sehr viel auch davon ab, welche Einstellungsmöglichkeiten  habe ich vor und das wäre tatsächlich so ein bisschen auch meine Kritik am Vorgehen
Der Aufsichtsbehörden, also den das  DPA,
wendet man jetzt seit einigen Jahren von rechts auf Links und findet immer mal wieder noch einen Kritikpunkt. Jetzt gibt's sogar Handlungsempfehlungen dazu, was man als einzelner Verantwortlicher an Microsoft herantragen soll, was  irgendwie Vertragsanpassungen angeht, was.
Das muss den Aufsichtsbehörden auch klar sein, eher utopisch ist,  dass man jetzt hier einzeln Verträge mit Microsoft verhandelt, was aus meiner Sicht aber total fehlt, sind eben wirklich
Konkrete Handlungsempfehlungen. Was kann man tun, um Dinge zu konfigurieren, um Dinge einfach auf dieser praktischen Ebene besser zu machen, datenschutzfreundlicher zu machen,
Da gibt's  durchaus Möglichkeiten und da wär's eben tatsächlich auch wichtig, eine Empfehlung zu bekommen. Also wenn gelegentlich zum Beispiel gefordert wird, dass  man pseudonymisierte Konten in Microsoft 365 anlegen soll, so dass dann der Nutzer
Eins mit dem Nutzer 002 spricht, ist das vielleicht erstmal auf der ersten Ebene natürlich ein Pseudonym auf der zweiten Ebene natürlich aber auch mit einem  sage ich mal gewissen
Risiko im Hinblick auf die IT-Sicherheit verbunden oder auch im Hinblick auf einen Fehlversand, weil ich dann nicht mehr klar zuordnen kann, welcher Nutzer macht hier eigentlich was und an wen gehen welche E-Mails?
Und grade in so einer Situation wäre aus meiner Sicht wirklich eine Handlungsempfehlung  auf der Aufsichtsbehörden sehr, sehr hilfreich und die wäre natürlich auch für den verantwortlichen Glauben setzbar. Das ist das, was sich so ein bisschen  vermisse, auch im Bereich ,
Der betroffenen Rechtler auch im Bereich Schulung, was sind da Anforderungen? .
Da wünsche ich mir tatsächlich noch ein bisschen mehr an Empfehlungen wünschen und dann natürlich auch eine wirklich eine offenere Auseinandersetzung zu den zugrunde liegenden Rechtsfragen, also ist ja tatsächlich auch so und das,
aus meiner Sicht die Diskussion über Microsoft auch immer so ein bisschen die zugrunde liegenden Probleme zwischen Auftragsverarbeitung und gemeinsamer Verantwortlichkeit zum Beispiel,
Die habe ich bei jedem Cloud-Service im Grunde genommen. Es gibt sicherlich Anbieter, die das weniger offen in ihre Auftragsverarbeitungsverträge schreiben, als das bei Microsoft der Fall ist. Aber der Betrieb von so einer komplexen Infrastruktur,
Ohne diese Verarbeitung kaum möglich. Das ist auch klarer Kundenwunsch. Die Systeme sollen skalierbar sein. Die Systeme sollen cybersicher sein, die sollen funktionsfähig sein
Barrierefrei, die sollen weiterentwickelt werden und da muss es doch auch irgendeine Möglichkeit geben, das sinnvoll das sinnvoll abzubilden und sich da dann immer auf den Punkt zurückzuziehen. 
dass der Verantwortliche das im Rahmen seiner Rechenschaftspflicht alles mit sich selbst ausmachen muss, ist natürlich   Welt,  in der wir aktuell leben, in der die Datenschutzaufsichtsbehörden noch sehr, sehr viel Gewicht haben, natürlich auch sehr, sehr stark,
eine Handreichung wirklich annimmt
für viele Betroffene darstellen, gerade diejenigen, die eben  vielleicht nicht so ein  so aus Mittelstand kommen und eben nicht so viele Ressourcen haben, das wäre schon das wäre schon sehr, sehr hilfreich.
Ey du
sprich's schon an  eben auch. Den einen Punkt ist natürlich immer, den wir auch unseren Kunden natürlich sehr ans Herz legen. Ist halt erst mal bei der Konfiguration anzufangen und sich natürlich damit sehr intensiv auseinanderzusetzen, eine möglichst datenschutzfreundliche Konfiguration zu wählen und,
Ja, ich glaube,  bin ich auch völlig bei dir, ist natürlich wir müssen aufsichtsbehördlich versuchen, eher unterstützend zu wirken.
Erhoffen uns das natürlich immer so ein bisschen, dass halt solche Handreichungen und Hilfestellungen gerade für  KMU ist natürlich deutlich wertvoller als nur Angst und Schrecken zu verbreiten. Was mich halt
Natürlich auch zu dem Punkt bringt und  ihr beratet ja auch nur Unternehmen in der Auseinandersetzung mit Aufsichtsbehörden an vielen Stellen.
Worauf müssen Unternehmen sich da risikomäßig aufstellen? Es ist so, dass die Aufsichtsbehörden das jetzt so ein bisschen auf dem Rücken der der kleineren Unternehmen austragen, weil sie mit Microsoft keinen echten Hebel haben oder es ist halt in der Praxis auch so, dass
Die Risiken für die Unternehmen überschaubar sind.
Man muss tatsächlich sagen, die Risiken für die Unternehmen sind aus meiner Sicht überschaubar.  zumindestens bisher. Es gibt sicherlich Ausnahmefälle.
Vor allem dort, wo es Beschwerden von Betroffenen gibt, die dann aber eben auch nicht daraus resultieren, dass es  dass der Auftragsverarbeitungsvertrag von Microsoft in der Kritik steht, sondern dass es irgendjemand völlig versäumt hat, Einstellungen vorzunehmen,
Zum Beispiel um Betroffenenrechte umzusetzen oder überhaupt die Datenschutzinformationen vergessen wurde, dann sind das natürlich Punkte, die zu Benutzerbeschwerden führen,
Wo's auch völlig digital ist, dass die Datenschutzaufsichtsbehörden das dann kritisieren oder das auch zum Anlass für eine Prüfung nehmen. Da muss man dann natürlich nachschärfen. Das heißt, das ist auch immer das, was ich sage.
.
Man braucht eine abweichende Position zu den rechtlichen  Inhalten oder zur rechtlichen Bewertung der Datenschutzkonferenz. Aber man muss eben auch wirklich seine datenschutzrechtlichen Hausaufgaben machen und eben dann auch,
Betroffenen Rechte informieren, Daten löschen, dass alles so konfigurieren, dass man nicht aus Versehen sämtliche Daten, die im Sharepoint abgelegt sind, entweder im ganzen Unternehmen offenlegt oder noch schlimmer  auf dem ganzen Internet  auf den Weg. Das heißt, da gibt's natürlich Dinge zu,
Und das ist eigentlich in einem in der Großteil der Fälle die wir haben eigentlich dann der Diskussionspunkt mit den Aufsichtsbehörden. Also es gibt sage ich mal ein ,
Abgleich der Positionen hinsichtlich des Auftragsverarbeitungsvertrags und  dann in der Regel vertagen sich dann beide Seiten darauf,
Dass  man letzten Endes angesichts der offenen Fragen und der laufenden Abstimmungsprozesse dazu keine finale Aussage treffen kann,
Und dann geht's ans Eingemachte bei der Frage, wie ist jetzt was umzusetzen, wie ist was konfiguriert und
Grade so was wie  auch der Einsatz von Microsoft Copilot oder auch  anderen Technologien, die vielleicht jetzt mal über den Standardanwendungsfall von Microsoft 365 hinausgehen. Also ich betreibe ein soziales Netzwerk  mit
German Viva Engage. Das sind alles Konstellationen, in denen man dann natürlich noch mal einen deutlich höheren Rechtfertigungsaufwand oder auch Dokumentationsaufwand hat
Wenn man solche Tools,  wenn man solche Tools dann zusätzlich noch einsetzt.
Ja, glaube ich, nochmal ein sehr wichtiger Punkt. Danke dafür, weil das ist natürlich das, was dann oft einfach vergessen wird. Diese ganzen Grundlagen auch zu schaffen, die wir halt
bei jedem anderen Tool, bei jeder anderen Verarbeitung natürlich auch einhalten müssen, Datenschutzhinweise, der technische und organisatorische Maßnahmen treffen, Konfigurationen überprüfen und so weiter,
Bei aller
Komplexität, die mit M dreihundertfünfundsechzig einhergeht und  sicherlich nicht, wie gesagt, mit zwei Klicks erledigt sind, ist es natürlich eine ganz wichtige Verantwortung, die halt jedes Unternehmen, egal welche Größe am Ende, aber dann auch.
Vornehmen und sich mit beschäftigen muss und glaube ich halt gut beraten ist, sich da nicht nur auf die Default-Einstellungen einfach zu verlassen, die so eine Anwendung dann halt mit
bringt.
Ja wunderbar, Stefan, ich danke dir ganz herzlich. Ich fand es sehr interessant und wie gesagt, deine Einschätzung glaube ich auch  durch die Grund der Erfahrung natürlich sehr wertvoll für unsere Zuhörenden und damit,
Bedanke ich mich nochmal an der Stelle, auch im Namen unserer Zuhörenden ganz herzlich, wünsche dir einen guten Start ins neue Jahr und freue mich, wenn wir uns vielleicht im nächsten Jahr dazu auch noch mal wieder hören können.
Ja, sehr gerne und gleichfalls.
Und schon sind wir im vierten Quartal angekommen unseres  Datenschutzjahresrückblickes und  auch hier auch ein Schnelldurchlauf. Viel Spaß.
Ja, Meta plant das Pur-Abo-Prinzip für Instagram und Facebook als Alternative zur Einwilligung. Ein sehr
langes Auskunftsbegehren bei DAZN, bei dem Streaming-Anbieter und zwar hat es jetzt fast 5 Jahre gedauert, bis die Rechte der betroffenen Person erfüllt worden sind. EU-Abgeordneter
Da ein  Dringlichkeitsbeschluss erwirken wollte gegen das sogenannte DPF
Webservices hat den Aufbau einer getrennten Cloud für Europa angekündigt
Der europäische Datenschutzausschuss erhöht den Druck gegenüber Meter und verhängt ein EU-weites Verbot für personalisierte Werbung. Beim Verwaltungsgericht Hannover dies hat entschieden, dass eine Videoüberwachung von Sitzbereichen in einem Wettbüro.
Weder gesetzlich erforderlich ist noch das eine berechtigtes Interesse hieran besteht.
Und  so besteht nämlich laut diesem Berichten und das wird dann aber auch durch Systemhinweise bestätigt. Das Risiko, dass Microsoft, die iMap und SMTP Zugangsdaten zu den Mailkonten sowie sämtliche E-Mails auf Microsoft Server übermittelt
Und zwar geht es um einen Schadensersatzanspruch eines Klägers in Bezug auf eine,
auf das Recht auf Auskunft und diese Auskunft oder diesem Auskunftsersuchen ist
Nach 19 Tagen stattgegeben worden. Einmal die Entscheidung, die sich mit der Frage beschäftigt, ob das, was die Schufa macht, überhaupt Profiling ist.
 und damit in den Anwendungsbereich des  Artikel 22 fällt und da hat der EuGH relativ eindeutig gesagt, ja das Oberlandesgericht Köln hat in einer Entscheidung unter anderem auch die Rechtmäßigkeit der Datenüberwindung in den USA bewertet.
Da war's wieder, das Detail Privacy Framework, aber.
Da war's wieder mal in dem letzten Quartal war ja auch ordentlich was los.  was hat's denn was ist denn dein Topthema Heiko.
Ja bei mir hat's das  Pur-Abo-Modell doch  irgendwie auf die Liste geschafft,
Wir haben immerhin den KW 40 gehört, dass  die EU-Kommission halt ,
Kontaktiert wurde von von Meta, um das Pur-Abo-Modell sich erst mal genehmigen zu lassen, was ja,
Ich sage mal, nicht nur ein reines datenschutzrechtliches Thema ist, sondern natürlich auch ein wettbewerbsrechtliches Thema.
Und wir hatten halt den LKW 40 dann auch noch mal die Information, dass halt der also der europäische Datenschutzausschuss den Druck gegenüber Meta erhöht.
 erinnern uns an das Verfahren, was in Norwegen gestartet ist und Norwegen dann sozusagen in den  Etzer gebracht hat und die haben letztendlich halt diese EU-weite Verbot verhängt,
was jetzt ja, wie wir alle wissen, dazu geführt hat, dass man jetzt entscheiden kann, ob man halt,
Die Werbung akzeptiert oder ob man halt einen gewissen Obolus bezahlt für entweder Instagram oder Facebook oder halt etwas vergünstigt dann für beide
Beide zusammen, aber was war bei dir so im letzten Quartal das Highlight?
 ich habe zwei Entscheidungen,  die ich am wichtigsten fand im Laufe des letzten Quartals. Und zwar einmal ist es die,
mit der Entscheidung vom Europäischen Gerichtshof zum Thema immaterieller Schadensersatz nach Cyberangriff. Also hier konkret das durchaus betroffene Personen immateriellen Schadensersatz geltend machen können, wenn sie den dann nachweisen können. Das Thema hatten wir ja auch schon kurz mit
Kalo angeschnitten und,
Darüber hinaus fand ich auch noch die Entscheidung,  die nationale Entscheidung ganz interessant  bei dem Thema  Dauereinnahmeauskunft oder beziehungsweise dass eine Negativauskunft eben nicht vier Wochen dauern darf.
 das  war, glaube ich, auch erschreckend für die Praxis zu sehen, dass es hier Gerichte gibt, die sagen,  neunzehn Tage führen eine Negativauskunft. Das ist leider zu lang, liebes Unternehmen.
Ich darf nun unseren letzten Gast für dieses Jahr im Datenschutztalk
Podcast ankündigen. Sie ist Informatikerin und ihre Arbeitsschwerpunkte sind unter anderem Privacy Enhacing Technologys, sowie Privacy by Design und Privacy buddy fold.
Womit sie bereits im März 21 hier bei uns in einer Themenfolge auch zu Gast war.
Von der Europäischen Kommission wurde sie 2007 als Expertin in die Arbeitsgruppe Privacy Technology der ENISA berufen. Sie gibt Vorlesungen unter anderem an der Universität sowie der Fachhochschule Kiel,
Im unabhängigen Landessamtzentrum für Datenschutz war sie für eine Reihe von Förderprojekten verantwortlich, bevor sie im Juli 2015 als Nachfolgerin von Thilo Weicher zur Leiterin des ULD ernannt und 2020 auch wiedergewählt wurde.
Sie ist Mitglied der Datenethik Kommission der Bundesregierung und im Beirat zum Beschäftigten Datenschutz des Bundesministeriums für Arbeit und Soziales. Im April 2020 wurde sie für ihre Verdienste in datenschutzfreundliche Systemgestaltung,
Die Ehrendoktorwürde ausgezeichnet. Im letzten Jahr wurde sie der Adhoc Working Gruppe im  On,
Working Group on Data Protection Engineering wir ENISA berufen und in diesem Jahr hatte sie den Vorsitz der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länderehne. Begrüßen Sie mit uns recht herzlich Doktor Marit Hansen.
Sehr schön. Ja moin moin aus Kiel.
Schön, dass Sie bei uns sind. Schön, dass Sie zu uns gefunden haben hier in unsere kleine Silvestershow und hätten noch mal ganz großartiges herzlich willkommen.
Wir haben ja gerade in der Anmoderation gehört
Dass sie beeindruckend viele Aufgaben haben und parallel auch wahrnehmen. Können sie uns den Trick verraten, wie sie neben  wie sie alle diese Aufgaben meistern, neben doch ihrer verantwortungsvollen Rolle als Leiterin des ULDE?
Ja, man darf nicht schlafen, dann geht alles,
Nein, also tatsächlich ist es  so, dass nicht alles gleichzeitig  immer passiert. Mir kommt es manchmal so vor, aber  dieses Jahr war schon besonders anspruchsvoll. Das muss ich auch zugeben.
Und wir sind froh über die Festtage. Ich hoffe, ein wenig durchatmen zu können. Heute ein bisschen im Vorlauf  ist das alles noch nicht so ganz absehbar. Also kann sein, dass wir bis zum
Einunddreißigsten, dreiundzwanzig Uhr neunundfünfzig noch im Dienst sein müssen.
Ich  wir wünschen Ihnen, dass es  vielleicht ein wenig eher endet, dass ja auch
beruflich für Sie und Sie noch ein paar Tage ausspannen können, für unsere Zuhörer vielleicht an der Stelle, wir zeichnen ein paar Tage vor Weihnachten auf, deswegen glaube ich, ist es auch nachvollziehbar, dass wir Ihnen nachher noch mal auch frohe Feiertage wünschen.
In der Anmoderation haben wir auch gehört, dass sie eine Ehrendoktorwürde erhalten haben. Was bedeutet das für Sie?
Als ich das überreicht bekomen habe, dass es von der Callstar University in in Schweden, also die Karlstadt Universität, das ist
Etwa zweieinhalb Stunden, Stunden nördlich von  Güteburg, egal ob man mitm Zug oder mit dem Auto fährt.  da das das war einer der,
Wichtigsten, der rührendsten, bewegendsten Tage in meinem ganzen Leben.  die Schweden, die mir sehr ernst und machen das auch sehr feierlich und tatsächlich,
habe ich  mit Schweden schon immer  Kontakte gehabt. Ich bin auch eine Achtelschwiedin
habe hier jetzt gerade mit dieser Universität auch bestimmte Vorlesungen gemacht, Projekte zusammen durchgeführt,
Und  bei der Überreichung, das war wegen Corona dann ein bisschen später  da ,
Hatte ich mich ja schon bisschen dran gewöhnen können, aber als ich den Anruf bekam, ob ich denn eine Ehrendoktorwürde annehmen könnte überhaupt,
War ich völlig  von den Socken, was das wie sie jetzt auf mich gekommen waren. Es war nachträglich auch klar. Sie haben mich also gestalkt über die letzten Jahre.
Und versucht auch mein Team hier auszufragen, die neuesten Publikationen immer  gesichtet, abgegriffen, zusammengestellt, warum das eben tatsächlich für eine Ehrendoktorwürde da super in Frage kam für
Meine Kollegen in  aber.
Auch weil es eben etwas ist, was eine besondere Rolle spielt. Es gibt nicht so viele, die sich für  datenschutzfreundliche Systemgestaltung über so lange Zeit mit so viel Perspektiven,
eingesetzt haben. Das stimmt dann auch schon, dass das etwas ist, was für mich wahrscheinlich sehr besonders ist,
Und vor allen Dingen auch diesen Brückenschlag, also von der Informatik und vielleicht mehr theoretischen Herangehensweise in die Praxis zu kommen und zu merken, dass ein kleiner Grand Canyon zwischen,
der Theorie und der Praxis, aber jetzt mit Artikel 25 und DSGVO, das wirklich in die Praxis zu bringen. Das ist jetzt ein Stück weit vielleicht geschafft.
Aber ich sehe noch ganz viel vor uns. Der Weg ist also erst halb oder ein Zettel  begangen.
Es hat sich aber viel getan und es wird sich auch mehr tun noch in nächster Zeit und deswegen ist das also mehr so ein Zwischenstatus für mich war das sehr ja sehr feierlich, hat mich sehr gefreut
Und deswegen habe ich dann auch in diesem Jahr 2023 erstmalig gesagt, jetzt trete ich auch so auf, Doktor HC Maret Hansen als Leiterin der  Datenschutzkonferenz davor hatte ich das angenommen und mich sehr gefreut, aber eigentlich für mich
Und diesmal habe ich dann gesagt, so jetzt, jetzt machen wir es mal richtig.
Jetzt kommt er auch auf den Tisch.
Also wirklich schönes Highlight.  wir gucken ja immer auf die Highlights im wöchentlichen Rhythmus zurück mit unserem Podcast, mit den wöchentlichen News. Aber wir haben sie natürlich auch eingeladen, um mit ihnen gemeinsam mal auf die letzten zwölf Monate zu schauen.  wie sieht's bei
bei Ihnen aus? Wie ist Ihre Gefühlslage, wenn Sie aus datenschutzrechtlicher Sicht  auf das letzte Jahr schauen, was es Ihnen besonders in Erinnerung geblieben?
Ich gucke ja besonders als Leiterin der DSK, der Datenschutzkonferenz,
Und  da es mir besonders im Gedächtnis geblieben, wie gut wir zusammengearbeitet haben, dass ,
war jedenfalls vom Ergebnis nachher denn wirklich was, wo wir
'ne riesen Liste geschafft haben mit einer Stimme gesprochen haben, dass es auf dem Weg dahin nicht immer so einfach wie es manchmal aussieht, vielleicht wie so eine Balletttänzerin, das sieht alles ganz klasse aus, als wenn das eigentlich jeder kann
Und  da steckt harte Arbeit dazwischen und das,
ahnt man vielleicht auch ein bisschen  ja stolz bin ich auch, dass wir das so gut geschafft haben. Manchmal haben wir auch viele Runden gedreht bis ein Thema so richtig durchdrungen war.
Grade die Themen, die sowohl technisch als auch juristisch sind. Und ich bin ja da keine kein Neuling,
keine Anfängerin und kenne noch die alten Zeiten der Datenschutzkonferenz, wenn technische Themen auf den Tisch kamen
manchmal ganz früh gesagt, das kann denn mal der AK Technik machen, aber sonst wollen wir uns nicht damit beschäftigen oder sogar.
Wer weiß, dann kommt einer von der Presse und ich soll was dazu sagen. Ich weiß ja gar nicht, wie ich das erklären könnte  und deswegen wollen wir da lieber nicht viel zu besprechen. Diese Jahre sind vorbei,
Es ist immer noch so, dass nicht jede Person wirklich alles bis ins Letzte durchdringen kann, wenn das um sehr, ja, sehr wissenschaftliche vielleicht Forschung geht, vielleicht um sehr auch juristische Problematiken, die manchmal professoral diskutiert werden.
Aber wir haben doch jetzt glaube ich Klarheit,
Dass Jura und Technik und auch noch andere Disziplinen zusammengehören und wir als Leitung der Datenschutzaufsichtsbehörden auch in irgendeiner Form sprechfähig sein müssen,
Oder zumindest soweit erklären können müssen, wie's dann grad relevant ist. Und ein Beispiel dafür waren die souveränen Clouds.
Also Kriterien dafür zu zu geben.
Wie Souveränität aus Datenschutzsicht gelebt werden muss und das ist dann eigentlich nicht nur für Clouds, sondern für jedes Informationstechnische System. Das hat drei Runden gebraucht, bis wir fertig waren. Aber wir haben auch ganz viel gelernt dabei,
Man könnte sagen viel zu viel Aufwand. Ich denke, das ist schon genau richtig.
Wenn wir selbst was lernen und das auch so gut haben, dass nachher sehr viele vielleicht sogar alle das auch erklären können bis ins Detail. Also im Endeffekt denke ich  eine eine Gewinn  Situation, also haben Punkte auf dem Konto
wenn man zwischendurch frustriert gewesen wäre oder zu frustriert gewesen wäre,  hätte man vielleicht abgebrochen und dann hätten wir nichts dazu gehabt.
Da ich würde gerne eine Rückfrage stellen zu ihrer  Aufgabe als Vorsitz der DSK hat sich im Laufe des Jahres ihr Blick auf diese Runde geändert. Also ich kann mir vorstellen, wenn man so einmal mal den Hut dafür aufhat ,
ändert das ja schon mal den Blickwinkel, oder? Auf die gemeinsame Arbeit?
Interessanterweise hat's, glaube ich, vor allen Dingen den Blick auf auf Schleswig-Holstein, auf uns ein wenig verändert,
Weil wir jetzt in einer Position waren, wo unsere Aufgabe eben nicht war, nur,
Landesinteressen zum Beispiel irgendwie zu vertreten oder meine meine Hobbys, also mein Lieblingsthema, Privacy by Design Data Protection by Design, haben wir nicht doll gespielt dieses Jahr.
Das war Absicht. Ich wollte nicht mein Lieblingsthema voranbringen in diesem Jahr, wenn.
Eigentlich so viele andere Themen geerbt sind aufm Tisch liegen sowieso bearbeitet werden müssen, dann ist es viel wichtiger, das zu tun.
Keine Angst, nächstes Jahr  habe ich jetzt schon große Pläne, wie wir dann in dem  Punkt Artikel 25 weitermachen und das war auch dieses Jahr nicht unsichtbar
Aber es bedeutet, es ist eben keine Ego-Show für den, der in der Mitte steht oder so eine Art Klassensprecherin,
und deswegen jetzt auch die Frage wie haben wir uns hier weiterentwickelt in Schleswig-Holstein, weil ich so ein bisschen Angst hatte, ich vernachlässige hier vielleicht mein Team, weil ich weniger Zeit habe
Andersherum sind wir, glaube ich, insgesamt stärker geworden, auch mit der Witterung, welche Themen sind jetzt wichtig,
Wie muss man sie geschickt kommunizieren und auch  na ja Selbstbewusstsein insgesamt als Datenschutzkonferenz zu haben, denn ein  Großpunkt wird ja jetzt noch passieren. Der hat sich dieses Jahr
angedeutet. Die institutionalisierung der Datenschutzkonferenz. Also das was wir gerade sind, das gibt's eigentlich gar nicht. So ein unverbindlicher Club
Kann ja jeder sagen und jeder machen. Das soll ja demnächst im Gesetz stehen,
Und das ist nicht nur dann so ein so ein Federstrich, sondern das heißt, wir haben dann eine Zwangsmitgliedschaft.
Und dann zielt das möglicherweise auch mehr und was ich mir wünsche, ist eine Geschäftsstelle, die dann ganz viel an an Arbeiten mit mir zusammen oder dem jeweiligen Vorsitz koordiniert. Da da sind wir noch nicht ganz,
Aber das bedeutet, es gab doch jetzt dieses Jahr schon sehr viele Anfragen, da hat man gesagt, wir wollen gar nicht die Schleswig-Holsteinische oder wie auch immer niedersächsische, hessische Meinung haben. Wir wollen die DSK Meinung und dann haben wir die
Generiert, also relativ schnell häufig und alle wissen auch heutzutage, es muss schnell gehen.
Insoweit hat das, glaube ich, sehr schön geklappt und ich hoffe, dass genau dieser Schwung und diese Kooperationsbereitschaft auch auch weitergehen. Wir selbst werden,
Deswegen wie habe ich jetzt meinen, wie hat sich mein Blickwinkel geändert? Wir wissen glaube ich jetzt,
Wie wir miteinander vorankommen und welche Rolle ich auch dabei spielen kann. Und deswegen gibt's noch eine Neuerung,
 der Vorsitz ist jetzt nicht mehr völlig weg vom Fenster im Folgejahr, sondern man wird dann zum ersten stellvertretenden Vorsitz.
Also das bedeutet, ich bin die erste Unterstützerin der neuen Vorsitzenden Imke Sommer aus Bremen und so ein bisschen darf oder kann oder muss ich dann noch bestimmte Aufgaben wahrnehme, mache ich dann aber auch gerne.
Sie haben das Thema angesprochen, einheitliche Entscheidungen finden mehr Verbindlichkeit auch da rein, kriegen gleichzeitig aber das Thema Geschwindigkeit. Das
glaube ich, ist in der Praxis manchmal schon immer noch so, dass man das Gefühl hat, es
Könnte auch einen Zacken schneller vielleicht sein, weil halt doch die Themen manchmal den Unternehmen eher pressieren.
Andererseits haben wir natürlich trotzdem auch Wahrnehmungen. Ich erinnere mich an so Themen wie zum Beispiel bei Microsoft und M hundertdreihundertfünfundsechzig, dass halt dann auch wieder aus einzelnen Bundesländern auch wieder aber dann
Stimmen kommen, die eher dann in die andere Richtung gehen. Gibt's da noch eine Prognose? Also wie wie schätzen Sie das ein? Ist es halt
tatsächlich eine Verbesserung, die noch weitergeht oder haben wir jetzt einen Status der halt erstmal so ist, wie er ist und wir aber dann immer noch ein Stück weit
Sonderlocken in einzelnen Bundesländern auch mit  erwarten müssen.
Also die Sonderlocken, um von hinten anzufangen, kann man nicht ganz abschaffen, weil nämlich die Sonderlocken auch gerichtlich teilweise vorgegeben werden oder durch bestimmte Landesdatenschutzrechtliche Regelungen, wenn das soweit ist. Also
Attrappen vom Videoüberwachung sind in den Bundesländern zum Beispiel verschieden geregelt und schon  kommt man dann auch zu unterschiedlichen Ergebnissen oder die Gerichte,
Design sozusagen, sprechen mit verschiedenen Stimmen, bis wir dann zum EuGH kommen und dann gibt's natürlich nur noch einen und der entscheidet das. Übrigens gar nicht mal so überraschend in neunzig, fünfundneunzig Prozent,
Fälle aus meiner Sicht. Ich nehme das ja auch ein bisschen naiv war als Informatikerin und sage
Da steht's, so muss es wohl gemacht werden, so ähnlich, jetzt mal macht's der EuGH auch, der formuliert es ein bisschen besser
aber das war einer der Punkte wo viele glaub ich dachten das was da steht das ist gar nicht so gemeint. Das muss man kann man irgendwie anders machen und hat das dann,
fünf Jahre versucht anders zu tun und jetzt ist es in einigen Bereichen klarer
Ein paar Punkte, ich denke, dieses Jahr war eben kein Auseinanderlaufen der der DSK-Mitglieder da, weil wir aber auch wissen, wie wichtig das ist, mit einer Stimme zu sprechen, eben die nicht jeder Unterschied.
Kann damit und soll auch gar nicht nivelliert werden, aber gerade für die Wirtschaft  ist ja doch,
eben nicht ein Landesdatenschutzgesetz ausschlaggebend. Wir haben Unterschiede im öffentlichen Bereich, im Forschungsbereich gibt's Unterschiede und ein paar Dinge werden vielleicht auch durch besondere Konstellationen unterschiedlich gelebt
mit mit Dienstleistern, je nachdem  und auch da wird das neue BDSG möglicherweise ein paar weitere  Eckpfeiler dann reinsetzen können, mit denen ich dann auch  soweit ich sie kenne,  einverstanden bin.
Aber meines Erachtens darf es gerne noch kooperativer sein, noch schneller gehen  noch fundierter noch auch Technik näher, noch praxisnäher.
Das muss aber aufgebaut werden
Und das bedeutet auch einen Mechanismus der Kooperation ist glaube ich  etwas, was sich etabliert. Das ist dieses Jahr etabliert worden oder noch weiter fortgesetzt worden.
Das besteht aber der besteht im Augenblick auch daraus, dass wir uns wöchentlich treffen. Wir haben uns also 44 Mal zusätzlich zu den Datenschutzkonferenzen, die es dann auch gibt, fünf Stück und dann noch dazwischen Konferenzen,
44 Mal dazu, allein getroffen. Immer eine Stunde, jede Woche,
Um uns zu koordinieren, was passiert gerade und nicht eben aus Versehen zum Beispiel Themen, die ein paar Wochen oder Monate später woanders auch aufpoppen, dass die dann  dass man gar nicht voneinander weiß.
Und das passiert auf EU-Ebene, dann würde ich sagen weniger als in in Deutschland, dadurch, dass man sich weniger sieht,
Aber  das haben alle sehr ernst genommen und das 
immer nur eine Stunde, aber diese sehr konzentriert  hat sehr gut geklappt. Also ich sage voraus, das wird weiter in diese Richtung zusammen  gehen  und es muss es auch,
deswegen damit dann nicht überall dieselbe Lösung ist, aber dasselbe Level ist und auch immer Klarheit besteht, dass es nicht ganz verschieden ausgelegt werden kann.
In verschiedenen Kreisen letztes Jahr, wo ich unterwegs war oder jetzt dieses Jahr war's halt auch oft
ein Thema, die vereinheitlichung der Aufsicht im Sinne, dass man vielleicht für die Privatwirtschaft,
eher eine Aufsicht schafft oder dass man zumindest so Kompetenzzentren vielleicht überlegt, sind das Themen, die auch im Rahmen der DSK diskutiert wurden und gibt's da irgendwas,
Erkennbar an Tendenz.
Ich glaube, es hängt damit zusammen, dass wir beim BDSG mit dieser Institutionalisierung der Datenschutzkonferenz
so etwas kommen, wo mehr Verbindlichkeit dahinter stehen soll und man konnte es jetzt auch kürzlich noch von unserem Justizminister auf Bundesebene sehen, der das auch gerne mit mehr Verbindlichkeit ausstatten möchte.
Übrigens hat er argumentiert, dass man ja eine Verbindlichkeit auf EU-Ebene hätte. Das stimmt nicht ganz.
Also das Auseinanderlaufen ist im Prinzip auch europaweit  möglich in dem  europäischen Datenschutzausschuss. Ist es aber eben kein kein unbedingtes Interesse.
Kompetenzzentren  Kompetenzen und kleinen Teams, die was vorbereiten. Das ist inzwischen unser,
Tägliches  Brot, also was wir ständig machen, denn man arbeitet nie mit so vielen Personen am selben Thema zur gleichen Zeit, sondern hat entweder Redaktionsgruppen, Fachgruppen, Task Forces
Man hat auch schon immer die Arbeitskreise gehabt, also seit Jahren, Jahrzehnten, mit Leitungen, die in bestimmten Behörden ganz verteilt angesiedelt sind, wo man voneinander weiß,
wo die Leitung auch ihren Job jeweils ernst nehmen, um Taktgeber zu sein für Themen zu nehmen oder zu ahnen, wo man jetzt agieren muss
Also diese Dinge, die sozusagen das etablierte Arbeitskreis da sein, ist dann jetzt sekundiert worden seit einiger Zeit von den Task Forces
Und aber auch von noch zusätzlichen Gruppen  in meiner Arbeit hat sich das bewährt für bestimmte Themen, die wir nun   mond täglich, also wöchentlich
Identifiziert haben, gleich zu sagen, welche interessieren sich dafür besonders? Wer hat schon Fälle,
bei wem  gibt's auch schon Ausarbeitung, die ihr in ein Team zusammenzubinden und dann innerhalb von kürzester Zeit die Aufarbeitung zu haben
Wenn man aber argumentiert, wir wollen ein Kompetenzzentrum haben, wo nur noch ganz wenige mitreden dürften.
Oder wo das Thema darauf abonniert ist und das dürfen nicht andere noch mitmachen. Da sind aber vielleicht die Fälle und die sind auch vielleicht ganz anders,
Das wäre meines Erachtens  gar nicht so fort  Fortschritt bringend und deswegen sind mir die dynamischen Teams in der Erfahrung, die ich gemacht habe zumindest.
Sehr lieb. Andersrum, wie sieht es von außen aus?
Man kann ja, wieso will man mit dynamischen Teams umgehen, dann  wird mit wem muss man denn reden? Na ja, dafür ist der Vorsitz dieses Jahr da gewesen.
Und dafür hätte ich gerne die Geschäftsstelle und wir werden auch künftig, was wir jetzt dieses Jahr auch noch neu  gemacht haben, weiter  mit den typischen.
Datenschutzbeauftragtenvertretung, sage ich mal. Diejenigen, die als Verbände, Vereine dort auftreten, einen Dialog führen. Das war dieses Jahr neu, das habe ich also eingeführt, um zu sagen, ihr redet immer über uns,
Redet doch mal mit uns und wir hören auch zu. Wir wollen's wirklich mal wissen,
Knallt uns die Kritik an den Kopf oder sagt es auch nett, das mögen wir auch, aber wir wollen die Punkte doch wissen, die im täglichen Doing  Probleme machen
Und  das hat zuerst manchmal nur mit Samthandschuhen funktioniert. Manche waren da ein bisschen Forscher und haben wirklich  mehr Kritik geäußert, die mit den Samthandschuhen  haben nachher auch  was gebracht,
Und ich persönlich habe davon viel profitiert.  ich hatte teilweise auch schon Vorgespräche geführt und gewusst, da ist was. Nicht unbedingt was. Aber,
Der war unzufriedenheit und das geht auch darum,  wenn wir verschiedene Formulare zum Beispiel anbieten auf unseren Websites für eigentlich dieselben Tätigkeiten,
dann macht es den von außen Probleme. Das merkt man nur gar nicht als die die  Behörde, bei der das eingereicht wird, sondern erst derjenige, sagen wir einen Auftragsverarbeiter, der für seine,
Auftraggeber jetzt 'ne Datenmeldung vorbereiten muss
Dann will dir das möglichst bequem machen und packe das gleich in die richtigen Formulare. Warum ist das nicht standardisiert? Und prompt ist das also jetzt ein Arbeitsauftrag und wir werden den, glaube ich, bald erst mal klar geworden ist, was zu tun ist, auch gerne abarbeiten.
Ja, Sie hatten ja vorhin schon  Ihre Nachfolgerin angesprochen. Frau Doktor Sommer aus Bremen, die den Vorsitz der DSK übernehmen wird. Welchen konkreten Tipp würden Sie ihr denn mitgeben wollen?
Außer außer am Jahresende natürlich zu uns zu kommen, das ist klar.
Also das das sind teile ich das zuerst, wenn ich Sie das nächste Mal treffe. Erst mal sieht sie weiß ja auch jetzt schon, dass sie mich  alles fragen kann. Sie hat das ja schon mal gemacht,
2013 ins Norden Jahr, das war schon sehr spannend, weil dort dann ganz andere Themen auf einmal aufpoppten, als man vorhergesehen hat
Damals war es ein trotzdem vergleichsweise ruhiger Job, den DSK-Vorsitz zu machen und auch mit wenig Einflussmöglichkeit. Bei Snowdo hat sie im Sommer dann durchaus einiges da
gedreht und und  in den Vordergrund gespielt, was vielleicht sonst untergegangen wäre, also insoweit ganz gut. Aber,
Ich glaube, sie hat  jetzt natürlich auch schon viel mitbekommen. Das, was ich jetzt raten würde,  im Zweifelsfall cool sein, so auch mal erst mal abwarten. Auf der anderen Seite,
Bei allen Problemen den Dialog suchen, das macht sie sowieso schon
Also bedeutet auch,  manchmal sind's Probleme,  wo man gar nicht genau weiß, wo die herkommen. Dann kann man mal zum Telefonhörer greifen und das dann,
Und auch direkt mit direkt  Meetings sich  treffen,
oder eben auch überlegen, welche Player spielen noch eine Rolle, wie können wir als DSK zum Beispiel auch gesamt vielleicht sichtbarer in Brüssel werden oder in Luxemburg beim EuGH, dass man mal voneinander mehr weiß
Solche Punkte, die höre ich, stehen da auch auf der Tagesordnung.
Ich würde damit einmal dann den Blick nach vorne richten wollen mit Ihnen gemeinsam,
Und einmal schauen, welche Themen denn aus ihrer Sicht so auch für das nächste Jahr als Landes  Datenschutzbeauftragte dann in Schleswig-Holstein eigentlich so anstehen.
Plant ihre Behörde gegebenenfalls auch Schwerpunkte. Sie haben's eben schon mal gesagt, Privacy by Design soll natürlich auch wieder ein Thema werden. Aber gibt's darüber hinaus auch Themen, auf die sich die Unternehmen vielleicht auch einstellen sollten?
Grade heute haben wir dazu schon erste Besprechungen gehabt, welche Prüfpläne  wir dann vornehmen wollen und das wird dann jetzt erstmal mit den Teams besprochen, deswegen kann ich's auch nicht gleich veröffentlichen, bevor,
diejenigen selbst wissen, was sie demnächst vermutlich tun. Allerdings  der Mechanismus.
Dass unsere Erwartungen von uns kommuniziert werden, dass auch alle sich drauf einstellen können, dass sie zum Beispiel auf der Website
Nachher Kriterien finden, dass wir das sein, was vielleicht dann in der zweiten Jahreshälfte überprüft wird,  dass man sich schon angesprochen fühlt, sich vorbereiten kann und auch mal selbst  an Prüffragen sieht,
bin ich schon gut aufgestellt oder nicht? Also das sind so Punkte, die wir heute auch  besprochen haben, damit irgendwie klarer ist, wie wie geht das
Also wie wie erfüllt man das, was da gewollt ist
Außerdem wie machen wir's mit Kooperation? Wo laufen in anderen Bundesländern Dinge sehr gut, die wir  ja adoptieren können? Ich wollte jetzt nicht sagen, wir klauen deren Ideen, sondern im Gegenteil, wir,
Anders auch gemeinsam zu machen  in
Bayern vor einiger Zeit gab's schon eine Prüfung, die ich sehr attraktiv finde, also nicht an sich leider, aber es sind alle betroffen und welche  welche Kriterien sind es?
Wie kann man sich trotzdem aufstellen und an welchen Stellen muss man wie reagieren
da glaub ich können wir auch verstärken das was andere schon gut vorgelegt haben und vielleicht  dann aber sowieso im Diskurs sein
Ein Punkt mit dem wir auch mit Bayern oder auch anderen im Diskurs sind, nämlich je nachdem, wo das gerade ist,  passiert. Das ist die künstliche Intelligenz.
Selbstverständlich wird das ein Großpunkt sein im Doing und nicht nur mit.
Weiterführenden Prüfungen bei, sondern auch mit dem, was die Verwaltung grade macht oder was es bedeutet für Einsatz im Unternehmen, welche Regeln gegeben werden sollten.
Und da muss man ja sowieso am Ball bleiben.  Souveränitätsfragen, also,
Open Source auch Alternativen beispielsweise  werden bei uns auch weiter verstärkt in Schleswig-Holstein von der Verwaltung eingesetzt, wo auch  grundsätzlich,
Man davon ausgeht, wir können vieles on-Premis, also wirklich lokal  in Schleswig-Holstein oder eben
In dem Verbund in Deutschland  betreiben, wo es um Souveränitätsfragen geht und das auch.
Jedenfalls teilweise auf Augenhöhe mit den großen Anbietern verhandeln. Da machen wir gar nicht so viel als Datenschützer
Aber wir sprechen mit denen, die das dort  voranbringen und das ist leider überhaupt gar keine Selbstverständlichkeit im Gesamtkonzert Deutschlands oder Europas, wie man denn insgesamt auch  Abhängigkeiten
Von sehr großen Dienstleistern mit deren Datenabflüssen vermeiden kann. Also alles Punkte, die uns hier bewegen. Polizeibereich ist ja immer ein bisschen extra. Da gibt es viele  Pflichtprüfungen, die haben wir natürlich dann auch  im Blick
Und wieder, was hat sich geändert letztes Jahr im vergangenen Jahr?
Dahingehend, was wir wir gucken jetzt gleichzeitig auch, wie was bringen wir davon in die Datenschutzkonferenz ein? Also nicht nur die fragen unsere Abgeordneten, gerade wie  geregelt werden soll, ob die Bodycam so oder so betrieben wird, sondern,
Wie kann man das noch besser erkennen, was jetzt auch am Horizont passiert für die gesamte DSK? Wo wissen wir auch, dass die Bundesministerien grad etwas tun, Forschungsdaten, Nutzungsgesetze beispielsweise  bestimmte ,
Ich komme jetzt doch noch mal zu meinem Lieblingsthema, Datenschutz bei Design.  zum Beispiel Secure Multiparty, Computer Computation ist etwas, was uns viele.
Viele Möglichkeiten gibt, einen besseren Schutz zu erreichen,
Wer das aber naiv einführt, der kommt möglicherweise gleich in entweder was sehr komplexes mit Auftragsdatenverarbeitungsverträgen und sehr vielen auch noch,
Oder in eine gemeinsame Verantwortlichkeit, beides etwas eklig für diejenigen, die da jetzt bei null starten,
Ich stelle mir so vor, dass wir eine Art Packaging denken, also durchdiskutieren, welche juristischen,
Probleme mögen entstehen, die,
Eigentlich nur dadurch passieren, dass man jetzt mehrere Player hat, um einen einen höheren Schutz zu gewährleisten. Man macht was besser,
Man reduziert das Risiko und dann darf man ja nicht bestraft werden, indem man vielleicht dann noch schwierige juristische Fragen lösen muss. Ich möchte also, dass die schwierigen juristischen Fragen vorab gelöst werden und man gleich schon,
Die die best practice Beispiele als  Leuchttürme oder Dokumentenpakete zum Beispiel ausarbeitet. Also der, der's gut macht,
Oder sogar besser machen will, der soll's leichter haben. Und das ist das, was mir so insgesamt vorschwebt für die nächsten Jahre.
Juristische Fragen, das ist genau das Stichwort für den nächsten Punkt, denn wir haben natürlich mit unseren vorangegangenen Gästen auch ein bisschen in die Glaskugel geschaut, also was was erwartet uns in zweitausendvierundzwanzig, insbesondere bei den Rechtssprechungen?
Wie ist es denn bei Ihnen, wenn Sie sich so ein Urteil zu einer praktischen Frage im Datenschutz wünschen dürften
 zu welcher Frage wäre das?
Aber aber jetzt würde ich natürlich doch tatsächlich mir das wünschen, wie diese ganz neuen,
Techniken einsetzbar sind, die ich gerade erzählt habe. Das kann auch differenzual privacy sein,
nicht nur  bei der Daten ja Minimierung oder oder Anonymisierungsart, aber auch da sehen wir sowieso  gerade Urteile am Horizont.
Auch noch weitere Punkte, wo man bestimmte Reduktionen hat  in den Personenbezug und noch nicht ganz klar ist, wie das jeweils einzustufen ist. Es kommt noch was dazu, was noch relativ wenig diskutiert ist,
der Artikel 11 macht's vor, wenn man nicht weiß, wer die Person ist, über den Mandaten, über die man Daten verarbeitet
Und das auch nachweisen kann, dass man da nicht rankommt an die Information, dann.
Muss man die betroffenen Rechte jedenfalls Artikel 15 bis 20, also nicht ganz alle, 5zehn bis zwanzig, nicht umsetzen.
Es sei denn, diese Person bringt doch die Information bei, um nachzuweisen, wer sie ist. Also ein bisschen schwierig, diese Artikel 11 und auch relativ selten angewendet. Ich kenne glaube ich zwei Urteile dazu oder Entscheidungen, auch erst das
Aber  das Problem ist tatsächlich, gibt es jetzt Möglichkeiten, wo bestimmte Anbieter,
Sehr gut, was mit Verschlüsselung vorlegen können und sie kommen auch gar nicht an die Daten ran, aber damit die betroffenen Rechte tatsächlich leerlaufen
Und es gibt relativ wenig, die sich damit schon beschäftigt haben.  ich weiß auch noch nicht genau, was aus Datenschutzsicht dann wünschenswert ist,
Wenn denn doch ein Risiko besteht, aber keiner so richtig dann in der Pflicht ist zu informieren oder oder dass bestimmte Dinge eben nicht auf dem Level der betroffenen Rechte gelöst werden können
Da sind also zwei gute Forderungen. Datenminimierung und Betroffenenrechte, die vielleicht,
da kannibalisieren und wo schaut man da den Knoten durch, wo ist die Grenze, wenn der EuGH so weit wäre, das würde mich sehr freuen.
Wir haben  jetzt heute auch schon über das Thema künstliche Intelligenz gesprochen. Wir haben ja jetzt den durch den Trilog durch ist
Und da gibt's ja die Reallabore als Konzept auch. Wäre das was, was Sie sich als Aufsichtsbehörde auch für andere Themen vorstellen könnten, dass man halt,
Umfeld schafft, wo man halt mit Unternehmen gemeinsam als Aufsichtsbehörde auch bestimmte Dinge einfach mal,
testet und durchgeht und schaut, ob damit datenschutzrechtliche Anforderungen sich trotzdem am Ende realisieren lassen.
Ja zur zum ersten ist ja theoretisch  durchverhandelt und ich höre, dass man jetzt aber feststellt, dass die Erwägungsründe, die Recycles ja nicht mehr passen, wenn man ja den Text verhandelt hat
Und jetzt  passen sie aber so doll nicht, dass wenn man sie neu schreibt, jede Verhandlungsposition sagt, na ja, das war ja so gemeint und die andere sagt, nee, wenn du das so schreibst, das ist ja genau falsch,
Also es bedeutet, so ein bisschen ist der Streit noch da. Es wird sich nicht alles nachher nur durch,
Interpretation lösen lassen, sondern wie die Erwägungsgründe zu formulieren sind. Das ist jetzt noch eine große Magie. Ich hoffe, da dass das alles gelöst wird. So Reallabore wird eins der sehr spannenden Themen sein dabei, denn es ist eine,
ein höheres Risiko damit verbunden. Die soll das soll der ermöglichen,
Aber es sollen auch, man kann sich das vielleicht so ein bisschen als auch als Sandbox vorstellen. Es sollen ja besondere Sicherungsmechanismen da sein, zum Beispiel auch durch Beteiligung der Datenschutzbehörden.
In der Tat  kenne ich diese Regel schon bisschen länger  für datenschutzfördernde Techniken, auch Anonymisierung  vom  vom  UK-Act, also vom  vor ICO, unseren Kollegen in Großbritannien
war das so, dass jemand auch beantragen konnte, ich weiß nicht, ob das jetzt noch genauso aufrechterhalten ist
sich damit zu beschäftigen mit solchen Lösungen, auch aus dem Wissenschaftsforschungsbereich, auch Unternehmen und dann.
Dass quasi angemeldet hat und dann wurde das besonders betreut, weil das nachher ja auch besonders interessante,
der Lösung sein können, Anonymisierung ist insoweit ja darum ging's zum Beispiel  risikoträchtig, denn wenn dann wenn man denkt, dass es anonymisiert, es ist wirklich anonym und es ist nicht so,
Und man hat den Schutz der DSGVO verlassen, dann  ist ja die Frage, wie man wieder zurückkommt, eigentlich gar nicht, möglicherweise ist das Risiko schon hat sich das Risiko schon realisiert,
Also bei solchen Punkten hat man so ein bisschen eine ähnliche Form schon vorgedacht. Das ist, glaube ich, nicht genau kopiert jetzt, aber
die Realabore wären im Prinzip für andere Dinge ja auch denkbar. Jetzt ist aber die Frage wird damit wirklich das Risiko so runtergezont, wie es nötig ist.
Denn man könnte ja auch erst überlegen, wie kriegt man das Risiko runter und dann muss man gar nicht mehr so viel testen. Also warum braucht man eigentlich die Realabore.
Und deswegen da beißt sich so ein bisschen die die Argumentation in den Schwanz
man muss schon erstmal überlegen, wann das jeweils passt und ob auch nur sowas halt  funktioniert.  ich informiere die Aufsichtsbehörde, die vielleicht jetzt  von 1000 Fällen gleichzeitig informiert wird
dass da jetzt irgendwas Risikoträchtiges passiert. Also wir werden das in der Praxis sehr genau anschauen. Da lohnt sich auch miteinander und zwar europäisch.
Im Austausch zu sein, im Diskurs zu sein,  vielleicht kann man auch da wieder mit Kleingruppen, jetzt rede ich europäisch
agieren, die dann noch noch  schlagkräftiger bei solchen Betreuungen mithelfen, um auch gleichartige Dinge zu sehen oder nicht. Bei den Unternehmen stellen sich natürlich Fragen, was ist mit Geschäftsgeheimnissen
Wie viel wird dann wirklich offengelegt,
Oder wie geht man auch um damit, wenn dann nachher rauskommt, war ja nett,  die der letzte Monat mit den Tests, aber ihr dürft nie und nimmer das jetzt irgendwie mal echt machen. Da ist noch einiges, glaube ich, wo die praktischen Probleme noch nicht ganz  bei jedem angekommen sind.
Das ist wohl nachvollziehbar. Das werden wir dann noch erlernen wahrscheinlich.
Ja, erst mal an dieser Stelle vielen Dank für diesen spannenden Einblick in ihren Arbeitsalltag.  mir hat's sehr viel Spaß gemacht, aber mit jedem Gast möchten wir natürlich jetzt auch
bisschen was eine ganz klitzekleine von ihrer privaten Persönlichkeit kennenlernen und  deshalb haben wir eine kleine ein kleines Spiel  vorbereitet, was heißt Spiel, aber es ist oder Fragen und ja ich gebe einfach mal weiter
starten.
Man darf nicht, man darf nicht sagen, es kommt drauf an, habe ich verstand.
Ja nee, das wäre tatsächlich nicht ganz im Sinne des Erfinders, aber wir wir schauen mal, ich glaube, es ist aber wahrscheinlich auch nicht immer  notwendig. Fangen wir mit was Einfachem an, Kaffee oder Tee.
Wenn ich nicht krank bin, Kaffee.
Ja, das kommt mir bekannt vor.  Strand oder Berge? Zwei Wochen aufs Handy oder lieber ein Jahr auf ihr Lieblingsessen verzichten?
Ich verzichte ein Jahr auf das auf das Lieblingsessen.
Ja, das hatten wir auch schon  öfters, dass die Wahl so fällt. Kino.
Ich habe aber zum Glück mehrere Lieblingsessen, deswegen ich hoffe, dass das Zweitlieblingsessen dann noch erlaubt ist.
Okay, da können wir drüber, da können wir drüber verhandeln. Kino oder Netflix?
Ja ich mag lieber kinofaktisch wird's immer Netflix.
Kugelschreiber oder Füllfederhalter? Und bar bezahlen oder mit Karte?
Bar.
Und Apple oder Android?
Wenn Sie die Wahl hätten fliegen zu können oder unter Wasser atmen zu können. Was würden sie wählen?
Wir haben noch zwei offene Fragen vorbereitet und zwar die erste wäre, wenn sie eine berühmte Persönlichkeit ihrer Wahl wieder zum Leben erwecken könnten. Wer wäre das?
Muss sie allgemein persönlich  also allgemein bekannte Persönlichkeit sein oder eine, wo ich denke, sie sollte allgemein bekannt sein, geht das Zweite?
Natürlich, ja.
Ja dann  nehme ich dann nehme ich Andreas Fitzmann  einen Informatikprofessor, der,
21 gestorben ist und ohne den ich auf diesem ganzen Weg gar nicht wäre, denke ich mal. Also ich habe mich mit ihm damals beraten und  der hat mich auch ermutigt. Ich denke auch ohne ihn wäre das mit dem Ehrendoktor nix, aber,
Insoweit  hätte er auch weiter wichtige Dinge der Politik zu sagen gehabt. Und deswegen sind wir so ein bisschen alle die Erben und versuchen das dann selbst zu sagen.
Und die letzte Frage, die wir auch im letzten Jahr, Professor Ulrich Kälber, gestellt haben. Wie würde der Titel Ihrer Biografie lauten?
Immer positiv denken.
Das finde ich sehr schön,
Dass doch ein schönes Schlusswort, weil das versuchen wir natürlich auch und auch immer wieder unseren Zuhörern zu vermitteln, dass wir auf das Positive immer sehen, blicken sollten. Von daher,
Dann ganz herzlichen Dank an Sie, Frau Doktor Hansen. Weiterhin natürlich  viel Erfolg, auch dann als stellvertretende Vorsitzende der DSK, aber auch in ihrer Rolle als Landesdatenschutzbeauftragte.
Wir danken ganz herzlich für Ihre Teilnahme und wünschen Ihnen dann frohe Feiertage und guten Start ins neue Jahr.
Ja, guten Rutsch für alle, genau.
Was wäre unsere wöchentliche News-Folge ohne das Outtake ganz zu Beginn der Folge und  natürlich haben wir uns auch in dieser Silvestershow nicht nehmen lassen, die besten Outtakes einmal
für Sie, für euch zusammenzufassen. Viel Spaß dabei.
Stopp, Stopp, Stopp, Stopp. Das Spannende läuft weiter.
Und nach,
deren, ja, forensischen Untersuchungen ist wohl klar, dass es einen Angriff aus China war und einer Hacker,
Die sich auf Spionase, Spionase. Diese, diese weltbekannte nicht, die große Spionat komm, sorry, aber das merke ich mir. Das finde ich zu gut.
Nein, Frau Doschinski macht noch leichte auf.
Beides, ich bin eine Frau. Ach so, okay. Also eher kein Moveed mehr. Kein Move it mehr.
Was heute King Julian dazu sagen. Richtig. Ich weiß nicht, müssen wir das piepen?
Das entscheidet ihr. Okay. Bei Nutzung steht jetzt nichts mehr im Gehege.  mein Gott, im Gehege. Denn Nutzung steht nix mehr im Gehege.
Guter Witz. Sehr trocken vorgetragen, Herr Wolfberg. Entschuldigung. Alles gut, wir haben Zeit.
Ja. Bei mir steht während dem einunddreißigsten Juli 2tausend3undzwanzig und dem einunddreißigsten Dezember zweitausenddreiundzwanzig, das kann nicht sein. Ich habe gerade mal aufs Jahr geguckt. Hm.
Herzlich willkommen in der Glaskugel. Wir haben Podcast für die Datenschutzthemen der Zukunft.
Was weiß ich. Was ist das?
Um mir so Fragen zu stellen.
Du kriegst dafür, wenn du nicht vorbereitet bist.
Wir schauen jetzt aber auf die Ortsgemeinde  Walder, Achtung.
Nochmal.
Was bitte? Weil gesheim. Wer kennt es nicht?
Große Sorry-Anwaltesheim, ne? Im Namen von David wahrscheinlich. Genau.
Genau. Aber es ist schon auffällig, Laura. Ich habe ,
irgendwie gefühlt, du warst bei jedem Outtac doch irgendwie mit dabei. Also ich ich bin sehr froh, dass wir dich haben.
Danke.
Also  nicht nur deswegen aber auch deswegen.
Und  ja, ich würde sagen, du hast ihn dir redlich verdient, den Titel der Outtake-Königin und  deswegen kriegst du jetzt von mir auch ein virtuelles ein virtuelles Outtak Krönchen für Laura.
Danke schön. Ja, ich freue mich sehr. Ich werde mir auch im nächsten Jahr wieder große Mühe geben,  den Titel zu verteidigen.
Da bin ich sicher und bin mir auch ziemlich sicher, dass du das  gut machen wirst.
Kernkompetenz.
Ja und  damit liebe Zuhörer, liebe Zuschauer, sind wir langsam am Ende unserer kleinen Jahresrückblickshow.
Klein ist ja eigentlich nicht richtig. Wir nennen sie ja die große Datenschutztalk Silvestershow,
Wir hoffen natürlich,  Ihnen hat's Spaß gemacht und wir konnten vielleicht auch, wie gesagt, noch mal das ein oder andere Wissen auffrischen, beziehungsweise mit unseren Updates und Gästen auch noch mal das  ein bisschen für die Zukunft einsortieren.
Wie geht's dir Laura? Hat's Spaß gemacht?
Auf jeden Fall super viel Spaß gemacht. Ich bin so froh, dass,
Zum einen froh, dass wir es geschafft haben, aber natürlich auch froh über das Ergebnis.  ich finde wieder, wir hatten supertolle Gäste dabei, die total toll mitgemacht haben, die sich vor allem die Zeit genommen haben, also Ende des Jahres weiß, glaube ich, jeder  ist zeitknapp
Und Entspanntheit, also echt klasse.  ich freue mich schon wieder auf das nächste Jahr und  ja, wird bis dahin glaube ich nicht langweilig in der Datenschutzwelt, wie wir heute gehört haben.
Nee mit Sicherheit nicht, denke wir werden auch  wieder,
Spannende Themen haben. Ich glaube, wir können auch schon mal teasern, dass wir mit dem einen oder anderen Gast heute auch schon uns locker verabredet haben, nochmal Themen nächstes Jahr tiefer zu legen. Von daher denke ich, es lohnt sich natürlich auch, den,
zu abonnieren, wenn sie das noch nicht getan haben und wir freuen uns natürlich auch grundsätzlich über Feedback
Wenn Sie uns  schreiben möchten, Sie können uns per E-Mail schreiben an Datenschutz Mikrozins Punkt DE.
Können uns auf LinkedIn folgen und auch kommentieren, anschreiben. Sie können uns aber auch gerne auf
Twitter beziehungsweise X folgen und dort auch gerne kommentieren unter DS Unterstrich Talk finden sie dort unseren Kanal und natürlich auf Instagram.
Egal, ob sie das jetzt werbefrei gegen Entgelt oder ob sie das halt  unter Einwilligungen  machen. Sie können dort unter Datenschutztalk Unterstrich
Podcast auch
Unseren Kanal abonnieren, kriegen natürlich auch immer aktuelle Infos über die neuen Folgen, die wir veröffentlichen. Nichtsdestotrotz  wie gesagt freuen wir uns natürlich auch über jeden, der uns auf irgendwelchen Plattformen  rankt.
Sterne vergibt, glaube ich, heißt das, Sterne gibt, ist natürlich auch eine tolle Sache und  von daher auch Ihnen noch mal an der Stelle wirklich ganz, ganz großen Dank und,
Wenn Sie dranbleiben, wenn Sie uns abonnieren, dann kriegen Sie versprochen jede Woche wieder einen Wochenrückblick und natürlich nächstes Jahr im ein Jahresende auch wieder den Jahresrück.
Ja, damit noch mal ganz herzlichen Dank auch an alle, die mitgewirkt haben, an unsere Gäste und insbesondere natürlich auch hier  die liebe Sarah, die im Hintergrund  unterstützt hat bei der Silvestershow, von daher,
großen Dank und natürlich dem Publikum möchten wir auch nochmal ganz herzlich danken und verabschieden uns damit für dieses Jahr.
Bleiben Sie uns gewogen und.