Gregor Wortberg
Lothar Symanofsky
Was ist in der KW 09 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
- Voreiliger Schufa-Eintrag kostet Mobilfunkanbieter 500 € (VI ZR 183/22)
- EuGH: Informationspflicht über Scoring-Verfahren und dessen Grundsätze
- LG Stuttgart: Meta – Speicherung von Off-Site Daten ohne Einwilligung unzulässig (27 O 190/23)
- Schutz von Geschäftsgeheimnissen und die Bedeutung angemessener Geheimhaltungsmaßnahmen (Volltext)
- Social-Media-Post zur Identitätsklärung kann bei konkludenter Einwilligung rechtmäßig sein (LG Frankenthal, Urteil vom 11.12.2024 – 6 O 165/24)
- Microsoft stärkt die digitale Souveränität mit abgeschlossener EU-Datengrenze
Empfehlungen:
- „KI ist eine der großen Herausforderungen der Zukunft“ – Veranstaltung der Datenschutzbeauftragte
- Londoner Bericht „Sovereign Cloud for Europe“ über die Notwendigkeit europäischer Datensouveränität
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/microsoft-starkt-digitale-souveranitat-innerhalb-eu-datengrenze-ds-news-kw-09-2025/↗
Transkript zur Folge: Denn eine bloße Übermittlung des Mathematik. Das ist die Faschingsendung. Das ist die Faschingsendung. Hey, lauter, Laaf, je nachdem, wo wir sind. Herzlich willkommen zum Datenschutz-Talk. Eurem wöchentlichen Datenschutz-Update. Musik Musik Musik, Heute ist Freitag, der 28. Februar und unser Redaktionsschluss war heute wie immer um 10 Uhr. Mein Name ist Gregor Wortbeck und heute im Podcast mit dabei ist Lothar Simonowski. Hallo Lothar. Hallo Gregor, ich grüße dich. Ja Lothar, wir haben auch in dieser Woche einige Themen für unsere Hörerinnen und Hörer vorbereitet. Ja. Welche hast du mitgebracht? Ich habe insgesamt drei Themen mitgebracht. Alles Urteile fällt mir gerade auf und zwar ein Urteil des BGH zu einem Schufa-Eintrag, der voreilig weitergegeben wurde. Das zweite ein Urteil des Landgerichts Stuttgart zur Speicherung von Meta-Offside-Daten und ein Urteil des Landgerichts Frankenthal zur konkludenten Einwilligung. Mit drei Urteilen kann ich nicht in zwei sind es bei mir. Immerhin zwei von drei. Einmal der Europäische Gerichtshof, der eine Informationspflicht zu Scoring-Verfahren und deren Grundsätzen sieht. Ein Urteil des obersten österreichischen Gerichtshofs bezüglich des Schutzes von Geschäftsgeheimnissen in Verbindung mit geeigneten technischen organisatorischen Maßnahmen. Und das Titelthema Microsoft stärkt die digitale Souveränität innerhalb der EU-Datengrenze. Spannend. Gregor, ich starte. Und zwar haben wir hier eine Meldung, dass wir auf dem Portal Stiftung Datenschutz gefunden haben. Und zwar zur datenschutzrechtlichen Unzulässigkeit eines Schufa-Antrags, wenn die zugrunde liegenden Forderungen streitig und nicht tituliert sind. Der Bundesgerichtshof hat entschieden, dass ein vorschneller Schufa-Eintrag durch einen Mobilfunkanbieter einen Datenschutzverstoß darstellt und zu Schadensersatz verpflichtet. Im Vorfeld hatte eine Kundin Abstand genommen von einem abgeschlossenen Handyvertrag, erhielt aber weiterhin vom Unternehmen Rechnungen. Obwohl die Forderungen strittig waren, meldete der Anbieter die Kundin bei der Schufa. Dies wurde herum führte zu erheblichen Konsequenzen für die Frau, unter anderem Beeinträchtigung ihrer Kreditwürdigkeit und Verzögerung bei der Kreditvergabe durch ihre Hausbank. In der ersten Instanz vor dem Landgericht Koblenz wurde die Kundin zur Zahlung der Rechnung verurteilt, aber in der zweiten Instanz vor dem Oberlandesgericht wurde die Klage des Unternehmens abgewiesen und das Unternehmen zur Zahlung eines immateriellen Schadenersatzanspruchs in Höhe von 500 Euro verurteilt. Das Ganze ging dann nochmal in Revision vor dem Bundesgerichtshof, das allerdings das Ergebnis des Oberlandesgerichts bestätigte und zwar mit folgender Begründung, das Vorgehen des Unternehmens Verstoße gegen die Datenschutzgrundverordnung, konkret Artikel 5 und Artikel 6, da der Anbieter kein berechtigtes Interesse an der Datenmeldung hatte, solange die Forderung strittig und nicht gerichtlich bestätigt war. Hierbei betonte der Bundesgerichtshof, dass es bei der Bemessung des Schadenersatzes ausschließlich um die Ausgleichsfunktion geht und nicht um eine Abschreckung oder Bestrafung. Also die unterteilen das schon zwischen Penale oder Ausgleichsfunktion, was dann letztendlich zu Erkenntnissen führt, dass es tatsächlich strengere Anforderungen an die Schufa-Meldung geht. Also wir sollten bei Unternehmen darauf achten, dass wenn Schufa-Eintragungen gemacht werden, dass es unbestrittene und fällige Forderungen sind. Die an die Auskunftsteigen gemeldet werden und unbedingt vorher eine datenschutzrechtliche Prüfung stattfinden sollte. Also vor der Meldung sollte geprüft werden, ob die rechtliche Grundlage nach Artikel 6 vorliegt und das Ganze sollte auch noch letztendlich dokumentiert werden. Unberechtigte Schufa-Einträge können nicht nur finanziellen, sondern auch immateriellen Schaden für die Betroffenen bedeuten. Grundsätzlich, lass es uns im Hinterkopf haben, dass Gerichte bereits Schäden im Bereich von 500 Euro anerkennen, wenn die wirtschaftliche Teilhabe beeinträchtigt wurde. Unternehmen sollten beachten, dass Gerichte keine Strafzahlung verhängen, sondern nur den tatsächlich erlittenen Schaden ausgleichen. Wenn sich nachträglich herausstellt, und das ist auch noch ganz wichtig, dass eine Meldung unberechtigt war, sollte diese schnellstmöglich bei der Schufa gelöscht werden. Ansonsten Verzögerung bei der Löschung können zusätzliche Schadensansprüche nach sich ziehen. Ja, dazu passt eigentlich auch mein Urteil, was ich mitgebracht habe. Thema Schufa. Die ist jetzt eigentlich gar nicht so Gegenstand des Verfahrens gewesen. Das ist eine andere Wirtschaftsauskunftteil, nämlich dann in Red Street. Aber die Schufa hat sich auch dazu geäußert. Aber da komme ich dann auch nochmal zu. Das Urteil, was ich mitgebracht habe, kommt nämlich eigentlich vom Europäischen Gerichtshof. Der hat nämlich entschieden, dass betroffene Personen Anspruch auf aussagekräftige Informationen über die Logik automatisierter Bonitätsbewertungen haben. Da spielt ja auch die Schufa eine Rolle. Kern des Urteils ist die Auslegung der Regelung der DSGVO bezüglich des Rechtes auf Auskunft in Artikel 15 sowie dem Artikel 22 bezüglich automatisierter Entscheidungen im Einzelfall einschließlich Profiling. EuGH bekräftigt darin, dass eben ein Recht besteht, über aussagekräftige Informationen über die Logik diese zu erhalten. Das Ziel ist nämlich halt immer die Nachvollziehbarkeit der Funktionsweise, um halt auch gegebenenfalls weitere Rechte wahrnehmen zu können. Betont wurde auch in dem Urteil, und das ist nämlich eine Position, die dann in Bradstreet, die beklagte Wirtschaftsauskunftstei, mich eingenommen hatte, dass Geschäftsgeheimnisse von Unternehmen dieses Recht halt eben nicht einschränken dürfen. Weiter führt der EuGH auch noch Informationen aus zur Offenlegung, zur Logik. Es ist nämlich nicht gleichzusetzen mit der Erforderlichkeit der Offenlegung des gesamten Algorithmus oder Teile des Algorithmus, der angewendet wird im Bereich des Scorings. Denn eine bloße Übermittlung des mathematischen Algorithmus bzw. Eine Beschreibung eines jeden Verarbeitungsschrittes im Scoring stellt keine präzise und verständliche Erläuterung der Verarbeitung dar, so der EuGH. Ja, es besteht vielmehr ein Recht darauf, auf einer Erläuterung des Verfahrens, um dessen Grundsätze zu verstehen. Also sollten die personenbezogenen Daten der Betroffenen personenbeauskünftet werden, die zur Anwendung kamen, um auf Grundlage dieser Daten zu einem bestimmten Ergebnis, wie etwa einem Bonitätsprofil, zu gelangen. Hintergrund dieses Farbentscheidungsversuchens ist eine Klage, um das nochmal kurz aufzubröseln, einer österreichischen Verbraucherin gegen eben dann in Bradstreet, Austria, infolge einer negativen Bonitätsauskunft, durch welcher ein Mobilfunkvertrag nicht abgeschlossen werden konnte. Damit schließt sich der Kreis wieder zu dir, Lothar. Die beauskunftsflichten Daten beschrieben jedoch eigentlich eine positive Bonität, weswegen es dann ein negatives Ergebnis gab. Das wollte Donald Bradstreet eben nicht beauskunfteln. Die Schufa hat sich auch schon geäußert und begrüßt in einer veröffentlichten Pressemitteilung das Urteil und sieht sich in der im Jahr 2021 gestarteten Transparenzoffensive gestärkt. Ja, was bedeutet das Urteil für Unternehmen? Wenn man automatisierte Entscheidungsfindungen betreibt, dann sollte man natürlich sicherstellen, dass diese auch beauskunftet werden können, dass man dieser Pflicht dann natürlich auch nachkommt. Und dann auch so, dass man es versteht. Und das trifft dann auch den Kern des Datenschutzgrundsatzes, dass bevor irgendeine Verarbeitung stattfindet, dass man darüber informiert ist. Was passiert? Welche Daten werden verarbeitet? Was kann passieren? Da reicht es glaube ich nicht und das würde es auch nur verwässern, wenn man irgendeinen Algorithmus kriegt. Ich meine, wer kann denn schon dahinter steigen, was da jetzt genau auf Bit und Bytebene passiert? Wichtig ist, dass man das Verfahren versteht. Darum geht es. Ein nächstes Urteil und zwar vom Landgericht Stuttgart. Es geht um den Meta-Konzern und zwar um die Speicherung von Offsite-Daten ohne Einwilligung. Wie Heise berichtet, liegt ein noch nicht rechtskräftiges Urteil des Landgerichts Stuttgart vor, wobei die Nutzung von Meta-Business-Tools zur Erhebung von Offsite-Daten die vorherige Einwilligung der betroffenen Personen erfordern. Das Landgericht Stuttgart hat entschieden, dass Meta über seine Tools erlangten Offsite-Daten von Nutzern nur mit deren ausdrücklicher Zustimmung speichern darf. Dies gilt unabhängig davon, ob der Nutzer auf den Webseiten bei Drittanbietern in die Datenweitergabe eingewilligt hat. Kurz mal so für uns, was sind Offsite-Daten bei Meta? Die beziehen sich auf Daten, die außerhalb der Plattform gesammelt werden, wie zum Beispiel andere Webseiten oder Apps, wie zum Beispiel Metapixel oder Conversion-APIs. Diese Daten umfassen Informationen über unser Verhalten, wie zum Beispiel, welche Webseiten wurden besucht, welche Käufer haben wir getätigt oder auch andere Interaktionen, die dann gezielt für Werbungen und Analysen genutzt werden. Der Kläger in diesem Fall hatte seine Einwilligung zur Verknüpfung von Offside-Daten mit seinem Facebook-Konto nicht erteilt. Das Gericht stellte fest, dass Meta nicht die erforderlichen Einwilligungen für die Speicherung eingeholt hat. Die Verantwortung sieht das Gericht nicht bei den Drittanbietern, sondern bei Meta selbst. Das Gericht urteilte dann, es liege weder eine Einwilligung des Klägers in die Datenspeicherung vor, also Artikel 6 Absatz 1 Buchstabe A, noch sei die Speicherung durch eine andere im Artikel 6 dargestellte Tatbestand gerechtfertigt. Verweigere ein Facebook-Nutzer die Einwilligung, Offside-Daten für personalisierte Werbung zu nutzen, so liege der einzig rechtmäßige Umgang und jetzt wird es eindeutig mit aufgrund der Metabusiness-Tools der beklagten übermittelten Daten dieses Nutzers darin, jetzt kommt es, die Daten zu löschen. Also nach dem Motto, ja, du darfst die Daten haargenau noch einmal verarbeiten und zwar zur Löschung. Die Speicherung dieser Daten führte laut dem Gericht zu einem Kontrollverlust über die eigenen Informationen, was letztendlich einen immateriellen Schaden darstellt. Der Kläger wurde einem Schadenersatz in Höhe von 300 Euro zugesprochen. Zudem müssen alle gesammelten Offside-Daten gelöscht werden. Der zuerkannte Betrag lag allerdings da deutlich unter dem klägergeforderten Betrag von 5000 Euro und er muss dazu noch 90 Prozent der Prozesskosten tragen, was dann letztendlich, also genaue Zahlen sind da nicht bekannt, aber wäre man spannend zu erfahren, ob es tatsächlich dann einen positiven Betrag gab, der ausgezahlt wurde. Da möchte ich Zweifel anmelden. Ich glaube auch, ja, tatsächlich, tatsächlich. Was noch wichtig ist dabei, dass das Gericht betonte, dass die Verarbeitung der personenbezogenen Daten ohne ausdrückliche Einwilligung des Betroffenen einen Verstoß darstellt. Insbesondere, dass die bloße Mitgliedschaft in diesem Falle bei Facebook nicht ausreicht, um die Verarbeitung von Offside-Daten zu rechtfertigen. Da nochmal unterstrichen, die Einwilligung muss spezifisch, informiert und freiwillig erteilt werden. Das ist auch etwas, was in unserer täglichen Praxis eigentlich sehr häufig vorkommt, das Einwilligungsthema. Ob das jetzt zu Verarbeitungen sind im Hause oder ob das jetzt Verarbeitungen auf der Homepage sind, gerade im Content-Banner, im Content-Management. Die Einwilligung der betroffenen Person ist ein sehr essenzieller und wichtiger Punkt, um seine Rechenschaftsfähigkeit darzustellen. Ich muss es beweisen können, dass ich eine Einwilligung habe und die Einwilligung, die muss letztendlich auch informiert stattfinden und ich muss auch ein Einwilligungsmanagement vorhalten. Bei Einwilligung können diese auch jederzeit widersprochen werden mit Wirkung für die Zukunft und als Unternehmen muss man darauf halt reagieren. Kommt häufig vor, ist aber auch ein sehr, sehr wichtiger Punkt, um das ganz, ganz klar und eindeutig in den Prozessen darzustellen. Ja, für mich als Unternehmen ist es natürlich aber auch sehr schwierig sicherzustellen, dass Facebook die Einwilligung eingeholt hat. Von den Informationen, die mir dann in meinen Metatools wiederum angezeigt werden, im eigenen Webseitenbereich, den kenne ich. Aber was darüber hinaus kommt, wird es natürlich sehr, sehr kritisch. Genau. Wie gesagt, das Urteil ist noch nicht rechtskräftig. Das scheint so ein ständiges Thema zu werden. Wir sind mal gespannt, wie es dort weitergeht. Ganz genau. In meiner nächsten Meldung beschäftigen wir uns mit einem Urteil des österreichischen Obersten Gerichtshofes. In diesem stellt er klar, dass Unternehmen proaktive Maßnahmen ergreifen müssen, um den Zugriff auf vertrauliche Informationen zu kontrollieren. Das ist ein Urteil, was wir mal in die Kategorie Sensibilisierung verorten möchten. Kern des Verfahrens war nämlich eigentlich eine Klage des Unternehmens gegen eine ehemalige Beschäftigte wegen möglicher Verstoße gegen Geschäftsgeheimnisse. Die Beschäftigte hatte nämlich noch Monate nach Ende des Beschäftigungsverhältnisses Zugang zu Geschäftsinformationen, da ihre Zugänge nach Ausscheiden aus dem Unternehmen nicht gesperrt wurden. Genau darin sah das Unternehmen interessanterweise einen Verstoß gegen die Geheimhaltungspflicht von Geschäftsinformationen. Also die ist zur Konkurrenz gewechselt, was man so lesen konnte. Wahrscheinlich waren sie da noch ein bisschen böse drum. Naja, allerdings kann man da dann wirklich von einem klassischen umgangssprachlich Bumerang sprechen, da das Gericht, der nämlich genau aufgrund dieser Nachlässigkeit des Unternehmens, die Zugänge eben nicht zu sperren, keine Grundlage für die angestrebte einstweilige Verfügung zur Beweissicherung sehe. Vielmehr ist es Unternehmen unterm Strich eigentlich selber schuld, wenn man das zusammenfassen möchte, auf ganz, ganz obergeordneter Ebene. Dementsprechend kommen wir auch zur Sensibilisierung. Was ist für Unternehmen mitzunehmen aus dem Urteil? Ein geregelter Offboarding-Prozess, dokumentiertes Berechtigungskonzept und natürlich auch die Sicherstellung, dass eben bei Verlassen des Unternehmens von Mitarbeitern die sämtliche Zugänge eben halt auch gesperrt werden, um die Datensicherheit auch sicherzustellen bzw. zu gewährleisten. Absolut. Onboarding, Offboarding, das gehört zusammen. Auch wenn man das nicht gerne hat, dass die Mitarbeiter, das Kollegen, das Unternehmen verlassen. Aber den Prozess muss man haben. Und genauso wie man das Onboarding hat, man dreht es einfach um und hat dann das Offboarding. Dass man genau die Schritte dann auch wieder nachvollzieht, was man hat. Erlebt man ja auch tagtäglich, dass dann im Laufe der Zeit und wenn ich langjährige Mitarbeiter habe, die auch eine gewisse Karrierestruktur hinter sich haben, die gewinnen natürlich im Laufe der Zeit auch an Berechtigung dazu. Es wird mal ein Schlüssel ausgegeben, es gibt zusätzliche Systeme, zusätzliche Hardware, Software. Im weiteren Verlauf oder im Verlauf der Zusammenarbeit muss das alles natürlich dokumentiert werden und der Offboarding-Prozess ist extrem wichtig dabei, bis hin zur Löschung von Daten, die bei dem jeweiligen liegen, kann ich nur unterstreichen. Sehr gut, ich komme zu meiner letzten Meldung und zwar geht es um das Thema der Rechtmäßigkeit einer konkludenten Einwilligung. Und zwar haben wir bei Beck aktuell eine sehr spannende Berichterstattung gefunden, wonach eine konkludente Einwilligung zu einer rechtmäßigen Verarbeitung von personenbezogenen Daten führen kann. Was ist im Vorfeld passiert? Und zwar ging es da um einen Streit zweier Hundebesitzer bzw. Der Streit entbrannte bei den Hunden erst selber. Die haben sich wohl offensichtlich erst gebissen. Dann wollte der eine Besitzer seine Personalien nicht rausgeben. Der andere Besitzer hat gedroht, ein Foto in den sozialen Netzwerken zu veröffentlichen, worauf der erste, so wie es hieß, lässig reagierte. Wahrscheinlich sagte er dann, ja, dann mach das doch. Das Landgericht Frankenthal hat dies als Einwilligung in die Veröffentlichung seines Bildes gewertet. Ja, was bedeutet das? Das LG Frankenthal hat entschieden, dass eine spontane und möglicherweise sarkastisch gemeinte Aussage als Einwilligung zu einer Bildveröffentlichung gewertet werden kann. Das zeigt auch, dass Äußerungen in stressigen oder unerwarteten Situationen auch natürlich datenschutzrechtliche Konsequenzen haben können. Grundsätzlich kann zwar die Veröffentlichung eines oder meines Bildes ohne Einwilligung die Persönlichkeitsrechtsverletzung nach dem Kunsturheberrecht und anderen Vorschriften des BGB darstellen, aber eine mündlich oder konkludent erteilte Einwilligung kann jedoch eine Rechtfertigung für die Bildveröffentlichung sein. In dem Fall lag die Beweislast bei dem Kläger, der das Vorbringen der Beklagten nicht ausreichend bestritten hat. Ja, was sind die Hintergründe dazu? Einwilligungen sollten immer klar und nachweisbar eingeholt werden und idealerweise auch schriftlich vorliegen. Hier ist noch ein Aspekt mit reingekommen, das ist, ich finde, ein sehr, sehr wichtiges Thema, dass man auch seine eigenen Mitarbeiter im Unternehmen diesbezüglich auch sensibilisiert, wie schnell eine konkludente Einwilligung angenommen werden kann. Also man sollte da auch vorsichtig sein, wenn es dabei um Bilder von Kunden oder Mitarbeitern geht, insbesondere beim Betrieb von Social-Media-Kanälen und Social-Media-Aktivitäten. Auch wichtig, wenn ich nicht möchte, dass das Bild veröffentlicht wird, ich möchte die Verarbeitung verhindern, sollte auch klar widersprochen werden. Also auch da, Konkludenz auch in dem Falle möglich. Bitte sensibilisieren Sie Ihre Mitarbeiter diesbezüglich. Kommen wir zur Titelmeldung. Microsoft hat die bereits zum Jahreswechsel 2022-2023 angekündigte europäische Datengrenze für seine Cloud-Dienste nach eigenen Informationen nun fertiggestellt. Dies berichtet Heise mit Blick auf Informationen, welche Microsoft auf seiner Webseite veröffentlichte. Damit, wie der Titel es sagt, festigt das Unternehmen die Souveränität seiner Cloud-Dienste in Europa, denn nach den letzten Umsetzungsschritten sei nun auch sichergestellt, dass auch Protokoll- und Supportdaten in Europa nicht nur gespeichert werden, sondern auch dort verbleiben und eben keine Übermittlung in Drittstaaten erfolgt. Kurze Erinnerung vielleicht, Dienste innerhalb der Datengrenze sind die Cloud-Dienste Microsoft 365, Dynamics 365, die Power-Plattform und auch eben Teile von Microsoft Azure. Es lohnt sich jedoch, das Kleingedrückte zu lesen, Lothar. Es sind nämlich nur Teile von Azure. Auf der Webseite von Microsoft ist nämlich nachzulesen, dass einzelne nicht-regionale Azure-Dienste nicht in der EU-Boundary eingeschlossen sind, unter anderem Azure DevOps, also auch schon ein recht bekannter Teil. Für die EU-Boundary ist da in dem Zusammenhang das Abschließen eines diesbezüglichen Abkommens mit Microsoft nochmal gesondert erforderlich. Die vollständige Liste ist auf der Microsoft-Webseite einzusehen. Das wäre jetzt natürlich etwas umfangreich, wenn wir sie darauf aufzählen würden. Es lohnt sich ja nämlich auf jeden Fall, da mal reinzuschauen. Darüber hinaus, neben den Azure-Diensten, behält sich Microsoft auch das Recht vor, bei Untersuchungen zur Cybersicherheit die Daten in beliebige weltweite Rechenzentren zu übermitteln. Also natürlich ein weit gefasster Begriff, wann das erforderlich ist. Also das ist dann auf der Ebene dann auch nicht ausgeschlossen. Grundsätzlich stellt die EU-Boundary von Microsoft dann auch eine Stärkung des Datenschutzniveaus natürlich dar, da Drittstaatenübermittlungen und dazugehörige Bedenken natürlich dann auch reduziert werden. Die Datensicherheit wird gestreckt. Allerdings entbindet es Unternehmen halt auch nicht von der Pflicht, mal etwas genauer hinzuschauen, die eigenen Datenverarbeitung und genutzten Dienste zu prüfen. Da eben eine pauschale Speicherung in Europa nicht erfolgt, auch zukünftige Änderungen sollten verfolgt werden, um auch sicherzustellen, dass Daten tatsächlich in der EU verbleiben. Eine Übersicht, wie gesagt, welche Dienste nicht in der EU-Boundary drin sind, ist auf der Webseite von Microsoft einsehbar. Gerade DevOps, also das ist ja früher unter dem Begriff Visual Studio gelaufen. Das heißt also, wir sind da im Bereich der Softwareentwicklung. Und selbst wenn ich auf Daten, die verarbeitet werden, beispielsweise von Kundeninteressenten, wenn ich in diesen Bereichen entwickle, schon abgedeckt habe, dass die eben im New Boundary sind, habe ich dann durch diese DevOps natürlich Mitarbeiterdaten außerhalb. Und Mitarbeiter sind genauso gleichgestellte betroffene Personen wie Kundeninteressenten auch. Also von daher die dringende Empfehlung auch auf die Mitarbeiterdaten in der Entwicklung dort zu achten. Und es lohnt sich tatsächlich, Gregor, da gebe ich dir recht, auch wirklich mal nicht nur ins Kleingedruckte, sondern auch wirklich in das Kleinteilige, in den Lösungen zu schauen, dass man die Zwecke, die Datenkategorien, die Daten an sich auch mal beleuchtet. In welchen Use Cases laufen die, was für Anwendungen sind denn damit geplant und wo liegen die dann letztendlich. Und am Ende des Tages macht man daraus dann halt eine entsprechende Risikoabwägung. Sehr guter Hinweis. Auf der einen Seite, ich finde es gut, dass Microsoft die weiteren Rechte stärkt und auch die Eigenständigkeit Europa stärkt und auch offensichtlich die DSGVO sehr, sehr ernst nimmt. Auf der anderen Seite, wie gesagt, sehr kleinteilig muss man da schon wieder gehen. Das war auch meine letzte Nachricht für heute, Lothar. Wir haben aber noch Lesetipps mitgebracht. Richtig, genau. Und zwar haben wir noch Unterlagen als Lesehinweis vom LDI NRW. Und zwar ist eine Veranstaltung jetzt auch dokumentiert, ist schon etwas her, 19.02. Da hatte unsere LDI in NRW Bettina Geig auf einer Veranstaltung zum Thema KI ist eine der größten Herausforderungen der Zukunft ein paar Vorträge gesammelt. Die Dokumente, die Vortragsdokumente sind zum Download schon bereit. Der Livestream, der mitgeführt wurde, wird nachgereicht, aber die Dokumente sind schon da. Die Adresse zu dem Portal, wo man sich die Unterlagen herunterladen kann, wie immer in den Shownotes. Ich habe auch noch einen Lesetipp mitgebracht auf einen Bericht und vielmehr eine Analyse mit dem Titel Sovereign Cloud for Europe über die Notwendigkeit einer europäischen Datensouveränität der Queen Mary University of London. Gute 20 Seiten mit dem Kern, dass Europa digital souverän und strategisch unabhängiger von US-Diensten werden muss. Für alle diejenigen, die noch eine Parallelveranstaltung zu irgendwelchen Prunksitzungen oder Ähnliches suchen, kann man sich das natürlich am Wochenende jetzt mal zu Gemüte führen. Ganz genau. Herr Lothar, ich danke dir. Ja, ich danke dir. Für die heutige Folge. Es hat wieder sehr viel Spaß bereitet. Ja, das war wirklich sehr schön. Auch der Tag so nach Aschermittwoch, der hat doch einiges an spannenden Informationen zum Thema Datenschutz geliefert. Ich fand es gut. War lustig. Ist Aschermittwoch nicht erst nächste Woche? Habe ich Aschermittwoch gesagt? Ein Pfeiber. Ich bin meiner Zeit voraus. Gut. Liebe Hörerinnen und Hörer, wir wünschen euch, wenn ihr uns am Freitag hört, ein schönes Wochenende im Rheinland und an allen anderen Karnevalshochbogen. Wir haben es schon gesagt, dann schöne Feierlichkeiten. Wenn es zu Beginn der Woche ist, dann einen guten Wochenstart. Bis nächste Woche.
