META KI Training – letzte Chance zum Widerspruch – DS News KW 21/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 23.05.2025. Unser Redaktionsschluss war wie immer um 10 Uhr.
Und heute für Sie im Podcast-Studio sind Lothar Simonowski und meine liebe Kollegin
Natalia Wozniak. Grüß dich, Natalia.
Hi, Lothar.
Ja, wir lassen heute mal wieder die Datenschutzwoche-Revue passieren.
Und ja, wir haben es schon gemerkt in der Vorbereitung.
Es sind wieder zahlreiche spannende Themen dabei. Natalia, was hast du mitgebracht?
Ich habe heute etwas brandaktuelles, nämlich den letzten Aufruf zum Widerspruch
zum Meta-KI-Training, an den wir es noch nicht gemacht haben.
Dann habe ich ein Urteil des OVG Brandenburg zum Herausgabeanspruch von Überwachungsvideos
im öffentlichen Personennahverkehr. Ich habe eine Sammelklage gegen X,
ehemals Twitter, und einen kleinen Veranstaltungshinweis.
Ja, sehr gut. Hört sich spannend an. Vor allem das erste Thema.
Da bin ich gespannt. Ich habe insgesamt drei Punkte. Zum einen ein Urteil zu
manipulativen Cookie-Bannern.
Das zweite Thema dreht sich um ein Bußgeld der französischen Aufsichtsbehörde KNIL.
Und zu guter Letzt einen Lesehinweis zum Datenschutzbericht des hessischen Beauftragten
für den Datenschutz und Informationsfreiheit.
Okay, dann lass uns starten.
Alles klar, ich lege los. Und zwar mit unserem Titelthema, Meta-KI-Training.
Ich denke mal, ja, alle unsere Hörer werden schon mitbekommen haben,
Meta hatte nämlich angekündigt, Nutzerdaten von Facebook und Instagram ab dem 27.
Mai, nächste Woche schon, für das Training eigener KI-Anwendungen,
unter anderem für sein Sprachmodell, einzusetzen.
Betroffen sind dann die öffentlichen Aktivitäten aller volljährigen europäischen
Nutzer und Nutzerinnen von Facebook und Instagram und ja, diese sollen dann
für das Training der eigenen KI-Anwendungen von Meta eingesetzt werden.
Unabhängig davon, ob das Vorgehen von Meta datenschutzrechtlich zulässig ist,
haben wir auch schon dazu berichtet, hat Meta dafür ein Opt-out-Mechanismus vorgesehen.
Ohne einen solchen Opt-out oder beziehungsweise Widerspruch wird Meta die künftig
anfallenden Daten aus dem eigenen Profil als auch solche aus der Vergangenheit
verwenden, also die künftig anfallenden Daten und die bereits vorliegenden Daten.
Der Widerspruch gilt auch nur für die Daten im eigenen Profil.
Beiträge und Fotos in anderen Accounts oder auf Facebook Fanpages von Unternehmen
sind davon nicht betroffen, es
sei denn, dass die Betreiber diese Accounts ebenfalls widersprochen haben.
Daher, und jetzt kommen wir zu der aktuellen Meldung, nämlich wenden sich jetzt.
Quasi diese und letzte Woche, einige Aufsichtsbehörden In den letzten Tagen
der Widerspruchsfrist, nicht nur an Unternehmen, sondern auch an öffentlichen Stellen,
die vor allem Facebook-Pen-Pages für ihre Öffentlichkeitsarbeit nutzen.
Unter anderem die Brandenburger Datenschutzbeauftragte Frau Dagmar Hartke hat
nun öffentliche Stellen eindringlich empfohlen, dem KI-Training durch Meta mit
ihren Facebook- und Instagram-Daten unverzüglich zu widersprechen.
Ähnlich äußerten sich auch der Landesbeauftragte für den Datenschutz und die
Informationsfreiheit in Baden-Württemberg, Prof. Dr.
Keber, sowie die LDI NRW. Betroffene Unternehmen und öffentliche Stellen,
aber auch genauso private Personen selbst, sollten daher dringend vor dem Stichtag
nächste Woche, also vor dem 27.05.
Handeln und die Möglichkeit zum Widerspruch nutzen. Meta-KI wird nämlich ab dem 27.
Mai, ab nächsten Dienstag, mit Posts, Fotos und Kommentaren der Nutzer und Nutzerinnen
von Facebook und Instagram trainiert.
Was bedeutet das also konkret? Wir können Unternehmen nur empfehlen,
überprüft alle Facebook- und Instagram-Profile eures Unternehmens.
Ihr müsst dem KI-Training tatsächlich aktiv widersprechen.
Am besten vor dem nächsten Dienstag, vor dem 27. Mai.
Klärt dazu intern, wer das umsetzt und stellt sicher, dass es auch wirklich passiert.
Die weitere Empfehlung, eure Datenschutz-Erklärung für Social Media,
die sollte auch um einen Hinweis auf diese neue Datenverarbeitung Verarbeitung
durch Meta und das Widerspruchsrecht ergänzt werden.
Informiert auch eure Mitarbeiter darüber, dass ihre öffentlichen Aktivitäten
auf den Meta-Plattformen auch im beruflichen Kontext oder auf Unternehmenseiten
für KI-Zwecke genutzt werden könnten.
Erklärt euren Mitarbeitern, wie sie für ihre privaten Profile widersprechen können.
Das ist tatsächlich besonders wichtig, weil Mitarbeiter auch in öffentlichen
Unternehmensgruppen aktiv sein können oder das Unternehmen anderweitig auf Meta-Plattformen
repräsentieren, möglicherweise.
Dann gibt es natürlich noch ein paar strategische Überlegungen,
die wir nur empfehlen können.
Und zwar für einige Unternehmen, insbesondere solche mit einem hohen Schutzbedarf
bei den Daten ihrer Zielgruppe
oder für öffentliche Stellen, könnte diese Entwicklung vielleicht auch ein Anlass
sein, die Nutzung von Meta-Plattformen grundsätzlich neu zu bewerten,
falls die Risiken dann doch zu hoch eingeschätzt werden.
Und zuletzt Dokumentation. Ganz wichtig.
Haltet euren Widerspruch sowie alle damit verbundenen Überlegungen und getroffenen
Maßnahmen gut dokumentiert fest.
Das heißt, wenn ihr auf den Widerspruch hin diese E-Mail bekommt,
Bestätigungs-E-Mail bekommt, ablegen und eben auch die getroffenen Maßnahmen dokumentieren.
Das ist unerlässlich für eure Rechenschaftspflicht nach der DSGVO.
Wer sich da jetzt noch ein bisschen einlesen möchte, an der Stelle vielleicht noch ein Lesehinweis,
denn der Hamburger Datenschutzbeauftragte Thomas Fuchs hat auf seiner Webseite
auch zahlreiche weitere Informationen zusammengestellt und aufgelistet,
wie Nutzener sich informieren und Widerspruch gegen das KI-Training einlegen können.
Wir verlinken dafür auch in den Shownotes. Von daher sehr aktuell,
sehr spannend und ich glaube, jeder ist davon betroffen.
Tatsächlich. Also ich habe es gemacht. Facebook, da habe ich keinen Account,
aber bei Instagram, da hatte ich das tatsächlich genutzt.
Und ja, aus der Hamburger Datenschutzaufsicht, die sind sehr,
sehr wertvoll, die Hinweise.
Aber auch und da nochmal vielen Dank an die Kollegen von der Verbraucherschutzzentrale NRW.
Also es war auch sehr, sehr strukturiert und gut gemacht. Und es ist auch gut,
dass es solche Anleitungen gibt, weil intuitiv war es jetzt mal nicht mit dem
Widerspruch. Es hat sehr, sehr gut geholfen.
Ja, tatsächlich. Wir haben gestern noch mit Lothar uns dazu ausgetauscht,
weil wir es beide auch gemacht haben.
Und es war tatsächlich nicht so einfach, das Formular zu finden,
wo man den Widerspruch auch wirklich einreichen konnte.
Von daher, es ist nicht ohne.
So sieht es aus. Hier kommen wir zu meiner ersten Meldung und zwar zum Urteil
des Verwaltungsgerichtes Hannover.
Das hat am 19. März diesen Jahres entschieden, Webseiten, die einen Alle-Akzeptieren-Button
für Cookies anbieten, müssen auch eine gleichwertige Alles-Ablehnen-Schaltfläche anbieten.
Und zwar direkt sichtbar auf der ersten Ebene des Cookie-Banners.
Das bedeutet keine zusätzlichen Klicks, kein Scrollen, kein Suchen.
Das Gericht folgt damit der Einschätzung des Landesdatenschutzbeauftragten des Landes Niedersachsen.
Der hatte nämlich ein Medienunternehmen aus dem Bundesland angemahnt,
weil es Nutzerinnen und Nutzer keine echte Wahl ließ. Was war das ursächliche Problem?
Das betroffene Unternehmen hatte seine Cookie-Banner so gestaltet,
dass das Akzeptieren von Cookies einfach und schnell möglich war.
Allerdings das Ablehnen dagegen kompliziert war.
Es war versteckt oder überhaupt gar nicht vorgesehen. In diesem Zusammenhang
stellte das Gericht mehrere Verstöße fest.
Hier die wichtigsten. Zum einen war die Ablehnung technisch und optisch deutlich erschwert.
Zum zweiten wurden die Nutzer durch wiederholte Banner zur Zustimmung gedrängt.
Das haben wir auch sehr, sehr häufig in der Beobachtung. Und drittens,
wichtige Informationen zu Drittanbietern oder zur Datenverarbeitung waren schwer
auffindbar oder unvollständig.
Ja, das Urteil macht die Grundsätze eindeutig klar. Eine Einwilligung in die
Verarbeitung personenbezogener Daten muss freiwillig, informiert und eindeutig erfolgen.
Alles andere stellt einen Verstoß dar gegen die Datenschutzgrundverordnung und
auch gegen das C3DG, also das Telekommunikation Digitale Dienste Datenschutzgesetz.
Was bedeutet das jetzt für unsere Praxis?
Also für alle, die eine Webseite betreiben und auch personenbezogene Daten damit
verarbeiten, ist dieses Urteil nochmal ein sehr guter Anlass.
Die eigenen Cookie-Banner zu prüfen und auch gegebenenfalls zu überarbeiten.
Eigentlich in drei Perspektiven.
Zum einen zur gleichwertigen Auswahlmöglichkeit. Also wenn es einen Alles-Akzeptieren-Button
gibt, muss es auch einen Alles-Ablehnenden-Button geben.
Und zwar auf derselben Ebene. Das sollte gleich sichtbar sein und auch gleich gestaltet sein.
Es sollten zum Zweiten keine manipulativen Designs, also Dark Patterns, verwendet werden.
Das Ablehnen darf nicht komplizierter sein als das Akzeptieren.
Und Begriffe wie optimales Nutzungserlebnis oder akzeptieren und schließen auf
dem Schließen-Button sind irreführend und unzulässig.
Und auch das wiederholte Banner, das wiederholte Anzeigen von Banner,
die zur Zustimmung drängen, sind nicht erlaubt. Und, na klar,
in Richtung Transparenz und Information.
Also die Nutzer müssen klar erkennen können, worin sie einwilligen.
Dazu gehört erstmal der Begriff Einwilligung.
Das muss deutlich und explizit genannt werden.
Dann darüber hinaus die Anzahl und Namen von Drittanbietern müssen sichtbar
sein und auch die Hinweise zu Datenverarbeitung außerhalb der EU,
also außerhalb der DSGVO auf das Widerrufsrecht.
Das muss sofort zugänglich sein und nicht erst, nachdem man scrollt oder klickt.
Also, ja, dieses Urteil betrifft nicht nur große Unternehmen,
große Medienhäuser, sondern wirklich alle, die eine Webseite betreiben und die Daten verarbeiten.
Es geht hier, ich denke mal in erster Linie um Fairness und Transparenz gegenüber
den betroffenen Personen.
Ich finde es gut, dass wir das Urteil jetzt haben, auch wenn das an sich irgendwo
auch schon ein alter Hut ist.
Weil wenn ich überlege, das ist, ich glaube seit 2021 mit der Orientierungshilfe,
ich glaube das war Baden-Württemberg, bin mir aber gar nicht mehr sicher,
ist eigentlich klargestellt worden, wie ein Cookie-Banner gestaltet werden soll.
Und dass wir das jetzt vier Jahre später noch brauchen, ist einerseits traurig,
andererseits aber finde ich sehr wichtig, weil die Praxis zeigt ja,
dass es dadurch viele Unsicherheiten gibt und viele Cookie-Banner immer noch
so ein verstecktes Ablehnen in sich haben.
Und ich glaube auch zugleich die Klarstellung, dass die Buttons gleichwertig
sein müssen, nicht gleichgestaltet.
Die müssen also nicht beide die gleiche Farbe haben, aber sie müssen gleichwertig
sein, sie müssen gleich erreichbar sein.
Ich glaube auch das ist eine sehr wichtige Klarstellung, die tatsächlich auch
für die Praxis eine weitere Hilfestellung sein kann. Von daher finde ich gut.
Okay, dann komme ich zu einem weiteren Urteil, nämlich vom OVG Brandenburg zum
Herausgabeanspruch von Überwachungsvideos im öffentlichen Personennahverkehr.
Das OVG Brandenburg hat dazu eine Pressemitteilung vom 13.
Mai diesen Jahres veröffentlicht. Das Urteil ist noch nicht veröffentlicht.
Nach dieser Pressemitteilung besteht kein Rechtsanspruch auf Herausgabe von
Videoaufnahmen in der S-Bahn.
Oder genauer gesagt, das OVG Berlin hat eine entsprechende Entscheidung des
Verwaltungsgerichts Berlin aus Oktober 2023 im Ergebnis jetzt bestätigt und entschieden,
dass die Betreiberin des öffentlichen S-Bahn-Netzes hier in Berlin nach der
DSGVO nicht verpflichtet ist, Fahrgästen eine Kopie der Videoaufnahmen über
ihre eigene Fahrt in der S-Bahn herauszugeben.
Ein Fahrgast hatte sich auf das Auskunftsrechner Artikel 15 berufen und eine
Kopie der Überwachungsvideos zu seiner Fahrt in der S-Bahn verlangt.
Mein erster Impuls, als ich das gelesen habe, den schiebe ich hier mal rein, war die Überlegung,
ob das abgelehnt wurde im Hinblick auf zu viel Aufwand, weil dann müssten ja
an sich alle anderen Fahrgäste auf dieser Fahrt, die die einsteigen,
zusteigen, in der S-Bahn drin sind, ja geschwärzt werden, damit sie nicht erkennbar sind.
Aber tatsächlich war der Grund hier ein anderer.
Die S-Bahn Berlin GmbH lehnte die Bereitstellung der Kopien nämlich ab und verwies
auf ihr mit der Berliner Datenschutzbeauftragten abgestimmtes Datenschutzkonzept.
Laut diesem Datenschutzkonzept durften Videoaufnahmen nur bei Auskunftsanfragen
der Strafverfolgungsbehörden an diese herausgegeben werden.
Ansonsten werden die Aufnahmen nach 48 Stunden automatisch gelöscht.
Eine Herausgabe an die Betroffenen war daher nicht vorgesehen in dem Konzept.
Das Gericht erkannte zwar an, dass es sich bei den Aufnahmen um personenbezogene
Daten handelt, dennoch wurde die Verweigerung der Herausgabe als rechtmäßig
bewertet, da das Datenschutzkonzept Persönlichkeitsrechte der Fahrgäste und
die Vorgaben der DSGVO bestmöglich schützt.
Das individuelle Interesse der Klägerin, hier also des Fahrgastes,
musste daher zurückstehen, zumal die Klägerin bereits über die Art und Dauer
der Datenspeicherung informiert worden war.
Dennoch wurde die Revision zum Bundesverwaltungsgericht zugelassen.
Insofern mal schauen, das letzte Wort ist noch nicht gesprochen.
Ich finde, es ist aber ein sehr interessanter Fall.
Der zeigt nämlich, wie wichtig ein gutes Datenschutzkonzept ist.
Und zwar eines, das nicht nur die Löschfristen konkret regelt,
sondern auch den Umgang mit den Daten im Falle eines Vorfalls oder bei Anfragen von Behörden.
Interessant ist aber auch die Möglichkeit, auf Basis des Löschkonzeptes Konzeptes
die weitere Auskunft und Bereitstellung von Kopien verweigern zu können,
nachdem die Art und Weise und Speicherung der Daten beauskunftet wurde.
Insofern glaube ich, dass das Urteil auch noch Auswirkungen auf die Praxis haben
wird. Ich bin gespannt auf den Volltext.
Ja, also beeindruckend. Wir hatten tatsächlich eine Vorbereitung darüber gesprochen,
ob die Ablehnung passiert ist, weil es zu aufwendig war, das auszuarbeiten.
Aber ich finde es gut, dass auch das Datenschutzkonzept so eingehalten wird,
dass da nichts herausgegeben wird, weil man das explizit und ausschließlich
nur für die Strafverfolgungsbehörden hat. Und einen Punkt, den würde ich auch
nochmal gerne herausheben, das ist die Kooperation mit der Datenschutzaufsicht.
Also es lohnt sich tatsächlich, auch als verantwortliche Stelle im Vorfeld mal drüber zu sprechen.
Wir kommen gleich nochmal zu der Nachricht dazu, des hessischen Datenschutzbeauftragten,
der seinen Jahresbericht veröffentlicht hat.
Also diese Kooperation von Wirtschaft hin zu der Aufsichtsbehörde.
Ich finde es gut und ich glaube, das scheint sich zu lohnen.
Ja, und ich glaube, wie entspannt muss man als Unternehmen dann tatsächlich
sein, wenn man sagt, gut, ich habe hier ein Datenkonzept, ein Datenschutzkonzept
und es ist mit der Aufsichtsbehörde abgestimmt.
Da kann eigentlich auch nichts mehr passieren. Man kann sich zurücklehnen und entspannen.
Genau. Die nächste Meldung geht nach Frankreich, schließt so ein bisschen an
das Thema Cookie, Cookie-Banner, Einwilligung und ähnliches.
Und zwar hat die KNIL, die französische Datenschutzaufsichtsbehörde,
ein Bußgeld verhängt in Höhe von 900.000 Euro. Am 15.
Mai 2025 hat die KNIL diese 900.000 Euro gegen das Unternehmen SoLocal Marketing
Services verhängt und zwar mit dem Vorwurf,
das Unternehmen hat Millionen Menschen ohne deren Zustimmung per SMS und E-Mail
kontaktiert und ihre Daten ohne rechtliche Grundlage an Werbepartner weitergegeben.
Ja, das ist nicht nur ein klarer Verstoß gegen die Datenschutz-Grundverordnung,
sondern auch ein Beispiel dafür, wie Unternehmen versuchen, mit fragwürdigen
Methoden an persönliche Daten zu kommen, um der schnöde Mammon damit Geld zu verdienen.
Wie kam es dazu? So Local hatte sich die Daten nicht selbst erhoben,
sondern sie von sogenannten Datenbrokern gekauft.
Und diese wiederum sammelten Informationen über Nutzerinnen und Nutzer,
oft über Online-Gewinnspiele, Produkttests oder offensichtlich andere scheinbar harmlose Angebote.
Und wir wissen das auch hier mit den Cookie-Bannern, der dort mitmacht,
wenn Nutzer von Webseiten Cookie-Banner sehen, wie oft klickt man da drauf oder
wie oft wird draufgeklickt, um einzuwilligen, um zuzustimmen.
Diese Daten am Ende des Tages nutzte SoLocal dann, um im Auftrag der Werbekunden
gezielte Kampagnen auszuspielen.
Das Problem, die Betroffenen wussten davon nichts und hatten nicht wirksam eingewilligt,
dass ihre Daten für Werbung verwendet werden dürfen.
Die Knill stellte in diesem Zusammenhang fest, dass die Formulare,
mit denen angeblich die Einwilligung eingeholt wurde, irreführend waren.
Dass die Zustimmung nicht freiwillig, nicht eindeutig und nicht nachvollziehbar war.
Und darüber hinaus, die SoLocal konnte nicht belegen, dass die betroffenen Personen
überhaupt zugestimmt haben.
Ja, was sind die Konsequenzen daraus? Neben der Geldstrafe hat die Knill eine
klare Anordnung erlassen, dass SoLocal keine elektronische Werbung mehr verschicken
darf, wenn keine gültige Einwilligung vorliegt.
Und zwar soll das Ganze so lange gehen, wenn das Unternehmen dagegen verstößt.
Droht ein Zwangsgeld von 10.000 Euro pro Tag.
Warum ist die Strafe so hoch? 900.000 und 10.000 Euro pro Tag.
Es ist sehr interessant mal zu sehen, wie die Knülle dort kalkuliert hat.
Es sind mehrere Aspekte berücksichtigt worden. Zum einen die Menge.
Also es wurden mehrere Millionen Menschen in Mitleidenschaft gezogen.
Also wir sprechen hier nicht von Einzelfällen. Und ja, das Unternehmen hat durch
diese Kampagne sich finanziell bereichert, also finanziell davon profitiert.
Und offensichtlich hat SoLocal auch eine relevante Marktstellung,
zumindest im französischen Markt.
Aber gleichzeitig wurde auch respektiert und anerkannt, dass das Unternehmen
bereits erste Maßnahmen zur Verbesserung eingeleitet hat, was die Strafe laut
der Knill etwas reduziert hat.
Also es kann gut sein, dass wir da auch schon über einer Million gelegen haben.
Ja, Natalia, das Urteil ist, ich glaube, ein eindeutiges Signal.
Nicht nur an SoLocal, sondern an alle Unternehmen, die mit personenbezogenen
Daten arbeiten und die auch von Datenbrokern kaufen.
Also man muss da gewährleisten können, dass die Einwilligungen tatsächlich da
sind und dass die echt sind und dass die Einwilligung freiwillig informiert
und nachweisbar erfolgt ist.
Wir hatten im Vorfeld schon mal drüber gesprochen, ist glaube ich auch ein ganz
guter Tipp, sich bei der Beschaffung von Daten, von Adressbrokern jetzt nicht
nur die Bestätigung zu holen.
Im Zweifel steht man mit diesem Blatt Papier dann vor Gericht alleine da.
Also es wäre ganz gut, wenn man da auch mal ein bisschen tiefer gräbt und auch
mal sich die Einwilligungsformulare mal anschaut und sich zeigen lässt und auch
mal Evidenzen geben lässt, wie dann die Einwilligungen erfolgt sind.
Für uns als Nutzer heißt es aber auch, und da sind wir wieder bei dem Thema Cookie-Banner,
wir sollten genau hinschauen, wo wir unsere Daten eingeben und auch,
wenn wir schon bei Gewinnspielen oder Produkttests mitmachen,
lieber zweimal überlegen, ob wir das wirklich machen wollen und ob wir die Daten
letztendlich preisgeben.
In dem Zusammenhang, wie oft haben wir den Satz schon gehört,
ich habe ja nichts zu verbergen.
Ja, das stimmt. Aber ich gucke jetzt nochmal durch die Unternehmensbrille auf das Ganze.
Das ist tatsächlich immer mit einem gewissen Risiko verbunden,
Daten einzukaufen, wenn man zugleich auch nur die Bestätigung bekommt.
Natürlich haben wir die Einwillung eingeholt, wenn man die Daten dann auch für
werbliche Zwecke nutzen möchte.
Insofern nur die Bestätigung alleine, so wie du gesagt hast.
Man kann dann vielleicht überlegen, wenn es wirklich schief laufen sollte,
ob man sich dann ja das Bußgeld, was man dann ja selber irgendwann auferlegt
bekommen könnte, ob man das im Rahmen eines Schadensersatzes dann gegenüber
dem Datenbroker nochmal gelten machen kann.
Aber sicherer will man natürlich, wenn man sich wirklich die Formulare oder
die Dokumente, zumindest die Vorlagen, mit denen die Einwägung eingeholt wurden,
einmal vorlegen lässt, um da einfach zu prüfen, wäre eine solche Einwägung überhaupt
wirksam? Ist das denn transparent genug?
Ist denn beschrieben, was mit den Daten gemacht werden darf?
Ist vielleicht auch sogar die Nutzung, die ich als Unternehmen selber plane
und vorhabe, von der Einwilligung abgedeckt und vielleicht auch mal so ein paar
Einwilligungen als Stichproben auch nochmal geben lassen?
Und ich denke, ein zuverlässiger Datenbroker sollte damit eigentlich kein Problem haben. Genau.
Vertrieb ist teuer. Jeder Datensatz ist teuer. Und diese Marketingkampagne,
die letztendlich zu Geschäft führen sollen, die müssen eingetaktet werden.
Und da sollte der Aufwand auch betrieben werden, um dem auch gerecht zu werden.
Ja. Und vor allem Verantwortung ist nicht delegierbar. Die verantwortliche Stelle
am Ende, die muss dann sicherstellen, dass die Daten auch rechtmäßig erhoben
wurden und auch genutzt werden dürfen.
So, ich komme dann zu unserem fünften Thema für heute. Ich glaube,
das ist unser letztes Thema für heute.
Genau, genau.
Nämlich der Sammelklage gegen X, ehemals Twitter.
Und zwar hat hier die niederländische Verbraucherschutzorganisation SOMI beim
Kammergericht Berlin eine Sammelklage gegen das soziale Netzwerk X eingereicht.
Wir haben beide heute bei der Vorbereitung überlegt, warum das,
warum eine niederländische Organisation beim Kammergericht Berlin eine Klage einreicht.
Und zwar auf die Schnelle bei der Vorbereitung konnte ich das jetzt nicht ganz
durchdringen, aber jedenfalls gibt das Verbraucherrechte-Durchsetzungsgesetz,
Verbänden in Deutschland das Recht gegen Missstände bei Online-Plattformen zu klagen.
Die Klage richtet sich konkret oder aktuell gegen schwerwiegende Datenschutzverstöße.
Laut SOMI soll X unter anderem gravierende Datendecks weder gemeldet haben noch
die Person informiert haben.
Ferner ohne rechtliche Grundlage sind sie Benutzerdaten gezielt auswerten und
für Empfehlungsalgorithmen verwenden und auch Daten ohne wirksame Einwilligung
für Werbezwecke, Thema, was wir gerade hatten, nutzen.
Diese Sammelklage fordert die Verbraucherschutzorganisation mindestens 750 Euro
Schadensersatz für registrierte Nutzer von X sowie zusätzlich mindestens 250
Euro für Nutzer, die von einem Datenleck betroffen sind.
Nutzer können sich dieser Klage anschließen.
Hierzu wurde das Klageregister beim Bundesamt für Justiz geöffnet und auf der
Internetseite des Bundesamtes öffentlich bekannt gemacht.
Damit besteht für die Nutzer kein Prozesskostenrisiko. Im Erfolgsfall erhalten
die registrierten Betroffenen die ihnen zustehenden Entschädigungen direkt,
ohne selbst klagen zu müssen.
Das bedeutet, eine Entscheidung wie die im Fall dieser Sammelklage gegen X kann
die Zukunft von Datenschutzklagen in mehrfacher Hinsicht prägen.
Mit dem Verbraucherrechte-Durchsetzungsgesetz können klageberechtigte Stellen,
das heißt qualifizierte Verbraucherverbände und andere qualifizierte Einrichtungen,
Verbandsklagen, konkret Abhilfeklagen oder Musterfeststellungsklagen gegen Unternehmen erheben.
Wird die Klage erfolgreich?
Und ich denke möglicherweise auch dann, wenn sie in der Sache selbst nicht begründet
sein sollte, könnte die Klage dennoch als Muster für künftige Verfahren dienen
und damit eine Art Präzedenzwirkung entfalten.
Gleichzeitig kann die Entscheidung die Position von Nutzern gegenüber großen
Online-Plattformen, aber nicht nur, also auch gegenüber anderen Unternehmen, erheblich stärken.
Sie demonstriert, dass Datenschutzverletzungen nicht folgendlos bleiben und
dass Betroffene tatsächlich Schadensersatzansprüche auch durchsetzen können.
Bei einem erfolgreichen Urteil
kann mit einer deutlichen Zunahme von Datenschutzklagen gerechnet werden.
Ich denke auch bei einem Urteil, was in der Sache selber vielleicht,
wie gesagt, nicht begründet sein sollte, aber einfach, dass bereits ein Urteil
als Sammelklage nach dem Verbraucherrechte-Durchsetzungsgesetz eingereicht wurde,
dürfte davon ausreichen.
Das Klagen wird also dadurch deutlich vereinfacht und für die einzelnen Betroffenen
durch die Nichtbeteiligung an den Kosten nahezu risikoarm.
Daher kann Unternehmen spätestens jetzt dringend empfohlen werden,
ihre Datenschutzpraktiken zu prüfen, zu überdenken und bei Bedarf auch anzupassen,
um künftige Klagen und hohe Schadensersatzzahlungen zu vermeiden.
Gerade die Aussicht auf Schadensersatz und die Möglichkeit, sich unkompliziert
Sammelklagen anschließen zu können, könnte hier auch das Geschäftsmodell der
Datenschutzklage weiter etablieren.
Es ist ja denkbar, wenn ich eine klageberechtigte Organisation bin und ich merke,
es sind viele Betroffene, die tatsächlich hier ihre Rechte gelten machen könnten
oder einen Schaden gelten machen könnten,
dann kann über das Klageregister natürlich die Anzahl der Kläger sehr hoch werden.
Und dementsprechend auch die Summe der Schadensersatzzahlungen auch deutlich in die Höhe stellen.
All das erhöht, denke ich, den Druck auf Unternehmen, das Thema Datenschutz
ernst zu nehmen und die gesetzlichen Vorgaben konsequent umzusetzen.
Denn auch wenn das Verbraucherrechte-Durchsetzungsgesetz seit Oktober 2023 in
Kraft ist, glaube ich, dass es jetzt mit dieser Klage langsam losgehen könnte.
Von daher, wir werden das beobachten. Und wir können nur empfehlen,
seid darauf vorbereitet.
Das entwickelt sich zum Schwert, zum ganz scharfen Schwert, so in alle Richtungen.
Ja, definitiv.
Ja, wir sind mit den Meldungen durch, sind tatsächlich jetzt angelangt in der
Rubrik unserer Lesehinweise.
Mein erster Lesehinweis geht nach Hessen.
Der hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr.
Alexander Rossnagel, Er hat am 20. Mai seinen Tätigkeitsbericht zum Datenschutz
und zur Informationsfreiheit für 2024 vorgestellt und sie an die Präsidentin
des Landtags, Astrid Wallmann, übergeben.
Ja, insgesamt, ich bin noch nicht komplett durch den Bericht,
aber insgesamt zieht Herr Rossnagel schon ein sehr positives Fazit für 2024.
Es gab keine schwerwiegenden Datenschutzverstöße.
Die Anzahl der Beschwerden ist allerdings von Bürgerinnen und Bürgern tatsächlich
gestiegen, was aber auch ein gutes Signal ist. offensichtlich sind da immer
mehr menschen die das gefühl entwickeln dass ihre daten nicht richtig behandelt werden und da
Das ist, glaube ich, auch ganz gut so. Was wir auch sehen in dem Bericht,
ja, Beratung statt Strafe, wie man dazu notiert, die Zahl der Beratungsanfragen
ist deutlich gestiegen.
Über 1100 Anträge von Unternehmen und Behörden sind eingegangen.
Dabei ganz besonders gefragt war das Thema der künstlichen Intelligenz.
Da scheint sehr viel Bewegung drin zu sein.
Auch bei Gesetzesänderung war der hessische Beauftragte involviert,
etwa beim Polizeirecht oder beim Verfassungsschutz.
In 15 Fällen hat er Empfehlungen abgegeben, die auch meist übernommen wurden.
Und dabei ging es hier um solche Themen wie Wirtschaftsauskunftsdateien.
Hier wurden neue Regeln beschlossen, nachdem man sich intensiv ausgetauscht hat.
Oder auch Gespräche mit der Digitalministerin zum Thema Microsoft Teams führten
dann zu Verhandlungen mit Microsoft.
Also sehr, sehr konstruktiv. Ja, und manchmal, wenn Beraten nicht hilft,
dann muss auch klare Zeichen gesetzt werden, klare Ansagen.
Es gab in Summe 55 Verwarnungen, 13 Anordnungen, 47 Bußgelder mit insgesamt
einer halben Million Euro an Volumen.
Ja, also alles in allem lohnt sich, da mal reinzuschauen, sich das mal anzusehen,
vielleicht fürs Wochenende.
Wir verlinken das Ganze natürlich wieder in den Shownotes.
Wunderbar. Ich habe keinen Lesetipp. Ich habe einen Veranstaltungshinweis und
zwar in etwas mehr als einer Woche.
Mit dem vierten Datenschutztag Hessen und Rheinland-Pfalz am 2.
Juli 2025 wollen der BVD und die Teams des hessischen Beauftragten für Datenschutz
und Informationsfreiheit sowie des Landesbeauftragten für den Datenschutz und
die Informationsfreiheit Rheinland-Pfalz eine Schneise durch den Informationsdschungel schlagen.
Dabei sollen mit Vorträgen und interaktiven Formaten Fachleute aus den Behörden
den Überblick über die großen Entwicklungen des Datenschutzes ermöglichen und
für Durchblick in wesentlichen Einzelfragen sorgen.
Es wird also spannend. Die Nähe zum praktischen Alltag der Datenschutzbeauftragten
soll dabei im Vordergrund stehen.
Von daher, für diejenigen unter euch, unter unseren lieben Zuhörern, die den 2.
Juli noch einrichten können, können wir, glaube ich, gut empfehlen.
Könnte ein interessanter Datenschutztag werden.
Ja, wir versuchen es hinzukommen.
Ja, bei mir wahrscheinlich nicht. Wird nicht klappen.
Ja, prima. Natalia, wir sind tatsächlich am Ende unseres Podcasts angekommen.
Wir hatten, ich glaube, wieder ganz spannende Themen in unterschiedlichste Richtungen.
Und vor allem, es hat mir wie immer sehr viel Spaß gemacht, das Ganze mit dir
vorzubereiten und auch mit dir einzusprechen. Herzlichen Dank dafür.
Ich danke dir, Lothar. Und zu den Themen, ich glaube, wir hatten heute wunderbare Themen.
Ich fand jedes Thema war einfach sehr interessant und ich glaube auch abwechslungsreich heute tatsächlich.
Von daher, ich glaube, wir haben es gut gemacht.
Ja, ich glaube auch. Vielen Dank nochmal ans Redaktionsteam,
was uns da die Auswahl tatsächlich schwer gemacht hat. Was nehmen wir da mit rein?
Wir konnten auch nur einen Teil von dem, was aufgefallen ist, mit reinnehmen.
Uns bleibt euch ein schönes Wochenende zu wünschen, falls ihr den Podcast heute
am Freitag hört oder einen schönen Wochenstart, wenn ihr das Anfang der kommenden Woche nachholt.
Auf jeden Fall bleibt bitte gesund und bis nächste Woche.
Bis zum nächsten Mal. Tschüss.