Heiko Gossen
Laura Droschinski
Was ist in der KW 48 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Arbeitsgericht Duisburg zur verspäteten Auskunft nach Art. 15 DSGVO
- LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft
- Test der Palantir-Software mit echten Personendaten
- Noyb legt Beschwerde gegen Meta ein
- Meta sperrt nicht die Accounts von Kindern
- OLG Stuttgart zu Schadensersatz im Zusammenhang mit einem Datenleck bei Facebook
Empfehlungen & Lesetipps:
- Internationale Cybersicherheitsbehörden veröffentlichen Leitfaden zur Entwicklung sicherer KI-Systeme
- Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 29. November 2023
- DSK fordert klare Maßstäbe im Umgang mit Gesundheitsdaten
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/negativ-auskunft-nach-19-tagen-zu-spat-datenschutz-news-kw-48-2023
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge: Ja, wie findest du jetzt die Brücke zu unseren Lesetipp. Gar nicht. Deswegen äh aber danke, dass du mir kurz auf die Sprünge geholfen hast. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Heute ist der erste Dezember zweitausenddreiundzwanzig. Wir gehen in großen Schritten auf Weihnachten zu. Und freuen uns sehr, Sie heute wieder bei unseren Datenschutz-News begrüßen zu dürfen. Mein Name ist Heiko Gossen. Und mein Name ist Laura Poschinski. Wie Sie das gewohnt sind, schauen wir auf die Woche des Datenschutzes zurück und haben natürlich dafür einige Themen mitgebracht. Laura, was sahst du bei dir alles so aufm Zettel? Hm. Ja, ich habe heute einmal mitgebracht, eine Entscheidung des Arbeitsgerichts was in der Datenschutzszene gerade ziemliche Wellen schlägt dann habe ich eine, Weitere Nachricht ähm eines alten Bekannten mitgebracht, nämlich diese Software. Hat’s ja auch schon bereits mehrfach in unseren News geschafft, auch heute wieder. Dann eine ähm Klage in den USA zu Meta, Darüber möchte ich heute sprechen und im weiteren habe ich noch zwei Lesetipps zum Thema künstliche Intelligenz. Wie sieht’s bei dir aus? Ja, ich schaue einmal auf eine Arbeitsgerichtsentscheidung des Landesarbeitsgericht zum Thema Auskunft Und dann hätte ich einmal auch das Thema Meta und zwar Max Schremps, der Beschwerde gegen das Bezahlmodell einlegt. Dann noch ein Urteil vom Oberlandesgericht in zum Thema Schadensersatz bei Meta. Und dann hätte ich aber am Schluss auch einen äh kleinen Tipp oder Hinweis auf eine DSK-Einschließung zum Thema Gesundheitsdaten. Und bevor wir aber einsteigen, möchte ich noch mal eine ein Hinweis geben und zwar hatten ja die Kollegen Markus Zeckel und David Schmidner schon mal aufgerufen wegen Fragen zum Thema Hinweisgeberschutz. Die Folge ist jetzt aufgenommen und geht Mitte nächster Woche online, also noch rechtzeitig bevor dann auch für Unternehmen ab 50 Mitarbeiter das Thema ein sehr relevantes wird, weil ja ab Mitte Dezember dann auch dort überall die Meldekanäle vorhanden sein müssen. Von daher sicherlich für den einen oder anderen nochmal interessant und ähm ja, die beiden gucken das Thema Datenschutz und Hinweisgeberschutz sich da nochmal ein bisschen genauer an. Ja, der Dezember wird nicht langweilig. Du hast schon gesagt, es geht mit großen Schritten auf das Jahresende zu und das heißt für uns. Silvester, Show, joll, wir haben mit den Vorbereitungen begonnen und ähm ja, wir werden gleich auch schon mal die erste Katze aus dem Sack lassen. Ähm ein ein paar Zusagen unserer Gäste haben wir schon und äh die nächsten Wochen werden wir, den ein oder anderen hier auch schon mal anteasern sowie gleich du einen schon mal, Aber damit würde ich sagen, startet einfach mit deiner Meldung. Ich glaube, da baut sich das nachher ganz gut ein. Spannungsbogen kannse auf jeden Fall. Behalte es dir bei bis zum Jahresende. Ich gebe mir Mühe. Ich möchte gerne direkt mit unserem Top-Thema beginnen und zwar geht es um ein Urteil des Arbeitsgerichts Duis das wurde bereits gesprochen am 3. November, aber wie ich ja schon zu Beginn gesagt habe, schlägt das grad ziemliche Wellen. Und zwar geht es um einen Schadensersatzanspruch eines Klägers in Bezug auf eine auf das Recht auf Auskunft und diese Auskunft oder diesem Auskunftsersuchen ist Nach 19 Tagen stattgegeben worden, ähm neunzehn Tage. Ich glaube, der ein oder andere Datenschützer stolpert jetzt über diese Zahl, weil zur Anzahl der Tagen, weil ähm in vielen ist ja eh in vielen Köpfen ist ja eben diese vier Wochen Frist manifestiert, Die ist äh ja möglich macht auf ein Auskunftsverlangen zu reagieren. Ähm aber in dem Fall war es etwas anders oder das Gericht hat sie etwas anders gesehen ähm was war passiert? Ähm, Jahre 2tausendsiebzehn hat der Kläger sich bei der beklagten beworben, also ein ganz klassisches Bewerbungsverfahren und hat im Rahmen dessen im Mai letzten Jahres, diesen Jahres, Entschuldigung, am 18. Mai diesen Jahres um Auskunftsersuchen gebeten oder sein Auskunftsersuchen gestellt. Die Beklagte hat Auskunft am 5. Juni erteilt, was wie gesagt eben 19 Tage lag ähm und die Gerichtsbegründung saß sah hier aber nun ein Verstoß. Gegen Artikel zwölf, Absatz drei, DSGVO, nämlich in mit Blick auf die Unverzüglichkeit der Beantwortung. Das Gericht ähm sah zwar oder begründete zwar, dass, Unverzüglich, nicht gleich sofort heißt, aber sie eben in dem vorliegenden Fall eine Höchstfrist von vier Wochen ab Antragseingang nicht gesehen haben und dass das auf keinen Fall in den Unternehmen routinemäßig ausgelegt werden sollte. Sie sehen das nur als ähm möglich an, diese vier Wochen, komplett zu nutzen bei schwierigen Fällen und der Verantwortliche muss, Im Rahmen ähm jetzt auch in dem Falle war es im Rahmen des äh Gerichtsverfahrens einen besonderen Bearbeitungsaufwand darlegen können, um diese vier Wochen bekunden zu können. Bei diesen ähm Auskunft gab es eben keine Gründe, die die Beklagte nachweisen konnte für diese Verlängerung. Ähm insbesondere was eine Negativauskunft war, also wir hatten hier äh den Fall, dass eben keine Daten mehr des Klägers beim Unternehmen äh vorgehalten worden sind und das Urteil sei hier maximal eine Woche als, rechtmäßig an. Also das hätten sie gesagt oder haben sie gesagt, dass wir eine einen Zeitraum gewesen. Der nachvollziehbar gewesen wäre. Ebenso sehen sie bei der verantwortlichen Stelle ähm eine korrekte Organisationsstruktur, um auch eben diesen Fristen nachkommen zu können. Es wurde nun dem Kläger ein immaterieller Schadensersatz in Höhe von 750 Euro zugesprochen mit der Begründung, dass es sich um einen temporären Kontrollverlust der Daten handelt und auch die Ungewissheit über die Datenverarbeitung schwerwiegt. Ähm in dem Zusammenhang jetzt äh Trommelwirbel möchte ich einmal gerne auf einen Blogbeitrag von unserem geschätzten Datenschutzkollegen und Rechtsanwalt Doktor Carlo Pilz. Hinweisen, der nämlich Teil unserer Silvestershow sein wird. Ich freue mich sehr. Und ähm er hat nämlich im Datenschutzblock ähm, Ähm da liegt Data äh online ähm sich zu diesem Urteil auch geäußert und sieht hier und ähm dann würde ich mich auch anschließen eben eine Kollision, zu der Meinung des Generalanwalts Collins beim Europäischen Gerichtshof, ähm die ja jüngst ähm, bekanntgegeben worden ist, nämlich dass eben Artikel 82 DSGVO keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadensersatz vorgibt und es eindeutig und präzise Beweise dafür bedarf, dass die betroffene Person einen solchen Schaden erlitten hat, also ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung ähm wurde eben beim EuGH ja nicht als ja belastbar entschieden. Und auch in dem Falle wird halt eben, weil die Entscheidung darauf basiert, dass es sich eben um den Kontrollverlust und die Unsicherheit bei der Datenverarbeitung geht. Ähm wird halt eben laut, dass ja eben auch, Die personenbezogenen Daten durch die betroffene Person selbst im Rahmen dieses Bewerbungsverfahrens an die verantwortliche Stelle weitergegeben wurde. Also Art und Umfang durchaus, absehbar für die betroffene Person und ähm wird ja diese Kontrolle eben selbst abgegeben. Also das ist schon, finde ich, ein sehr Ja, verunsicherndes Urteil, glaube ich, für den ein oder anderen Datenschützer. Auf jeden Fall passt aber so ein bisschen auch dazu beziehungsweise ist genau das Gegenteil, auch von der Begründung her, da gebe ich gleich noch mal was zu. Äh zu meiner nächsten Meldung, nämlich das Landesarbeitsgericht Düsseldorf, hat eine Schadensersatzforderung aufgrund verspäteter unvollständiger Auskunft. Gelehnt. Das Arbeitsgericht hatte hier auch einen Schadensersatz über 10.000 Euro zugesprochen. Das hat das Landesarbeitsgericht nun aufgehoben und festgestellt, dass zwar die Auskunft die der Betroffene hier in dem Fall bekommen hatte zunächst Unvollständige und verspätet war, aber dass halt der Anwendungsbereich des Artikel zweiundachtzig, unter dem ja dann der Schadensersatz letztendlich geltend gemacht wird. Ähm gar nicht letztendlich in den Anwendungsbereich äh fällt von Artikel 5zehn, DSGVO und das halt auch in dem Fall den jetzt hier das Landesarbeitsgericht Düsseldorf ähm ähm zu entscheiden hatte, Da ging es um Bewerber auch bei einem Inkasso-Unternehmen. Also etwas anderer gelagerter Fall. Also ähnlich gelagerter Fall, aber halt äh wie gesagt, das andere Instanz und ähm das hier halt auch keine immaträder Schaden nachgewiesen wurde. Und jetzt nochmal auf deine Meldung äh zurück Zu kommen, weil da finde ich jetzt ist halt so so ein bisschen der Kern in der in der Sichtweise, nämlich das Landesarbeitsgericht hat halt festgestellt, dass Artikel 82 Haftungsbegründen, eine gegen die DSGVO verstoßene Datenverarbeitung voraussetzt, Und daran fiel es halt bei einer bloßen Verletzung der Auskunft sich nach Artikel fünfzehn, DSGVO, also Egal, ob diese jetzt verzögert oder vielleicht auch anfangs unvollständig erfüllt werde, ist halt letztendlich erstmal keine unzulässige Datenverarbeitung daraus abzuleiten. Das finde ich halt, wie gesagt, grundsätzlich auch nachvollziehbar und ähm passt für mich auch insoweit erst mal dazu, dass man halt daraus äh keinen Schaden direkt begründen kann. Sicherlich Bußgeldrelevant, da würde das sicherlich äh sicherlich dann anders aussehen, aber auch reine für Schadensersatzforderungen. Macht das erstmal aus meiner Sicht heraus ergibt das halt sehr viel Sinn. Nichtsdestotrotz das Landesarbeitsgericht hat hier auch die Revision zugelassen. Also von daher kann es sein, dass äh wir da dann auch mehr zu bekommen von vielleicht höheren Instanzen. Wäre zu begrüßen. Auch wenn man ja dachte, dass vielleicht die Meinung vom EuGH oder von den Generalanwälten dort bisschen belastbarer ausgelegt werden, aber. Ja gut, das ist natürlich immer die Frage des des äh Nachweises des immateriellen Schadens, ne, das ist halt wird natürlich der eine, die eine Voraussetzung, aber die andere halt die ihr Ziel sonst Arbeitsgerichte noch mal betont hat zu sagen, es ist halt einfach die verspätete, unvollständige Auskunft, keine, unzulässige Datenverarbeitung und dadurch ist sozusagen schon eigentlich gar nicht die Voraussetzung für eine Schadensersatzforderung gegeben. Die ist natürlich noch mal sehr wichtig, weil dann komme ich im Zweifelsfall bei dem Thema, Verspätete, unvollständige Auskunft nie mehr in die Frage des Schadensersatzes und bin dann natürlich wie gesagt, Bei Aufsichtsbehörden nicht gefeit, dass sie mir ein Bußgeld verhängen, aber zumindest gegenüber Betroffenen etwas vielleicht entspannter. Das, wie gesagt, hm finde ich schon noch spannend, was wie sich das entwickeln wird und bis zu welcher Instanz es vielleicht auch geht. Ich würde mal mit meiner nächsten Nachricht weitermachen, Ähm und zwar hatte ich ja auch schon angekündigt, dass wir ja seit einiger Zeit mal wieder eine Nachricht zu haben und zwar ähm geht es mal wieder um ähm diese die Software Big Data Software zu Recherche und Analyse, ähm die ja durch einen US-Unternehmen bereitgestellt wird und die derzeit ähm vom Landeskriminalamt in Bayern genutzt wird, Und äh hier kam jetzt nun der Landesdatenschützer Thomas Petry auf dem Plan und der bekanntgegeben hat im Laufe der Woche, dass er rechtliche Unstimmigkeiten bereits bei dem jetzt laufenden Probe Betrieb sieht und aus diesem Grunde auch Prüfung aufnimmt. Das Pilotprojekt ähm beim Landeskriminalamt in Bayern soll wohl angeblich bereits mit Realdaten, arbeiten und hier ist eben das Problem, dass es halt im denkbar wäre laut dem Landesdatenschützer, dass äh er auch schon diesem Pilotprojekt strafbare Rechtsverstöße, Erkannt werden könnten Und äh dann infolgedessen das Legalitätsprinzip der Polizei greifen würde und sie aus diesen Gründen auch diesen Hinweisen nachgehen müssten. Laut seiner Aussage fehlt’s jedoch an einer gesetzlichen Basis für einen allgemeinen Einsatz, der Data Software zu Strafverfolgung und ähm zieht auch noch mal den Bezug auf die Entscheidung des Bundesverfassungsgerichts aus Februar diesen Jahres, die ja eben schon bereits die automatisierte Datenanalyse ähm bei den, Polizeidienststellen in Hessen und Hamburg als verfassungswidrig eingestuft hatten. Damals ging’s auch im weiteren Sinne um eine Software von Palante nämlich auch Gossem. Und ähm genau, spannend finde ich, finde ich, ist auch noch mal zu sagen, dass ja der Bund grundsätzlich sich dagegen entschieden hatte, also bei Sicherheitsbehörden kommt diese Plattform ganz bewusst nicht zum Einsatz, ähm weil sich hier entschieden wurden, ist eine übergreifende Variante selbst zu entwickeln. Ähm. Bundesland Bayern hat aber in dem Fall anders entschieden und äh laut äh Aussagen deren Innenressorts auch bereits rund ähm dreizehn Komma vier Millionen Euro für die Palantier Software ausgegeben. Also ich glaube kann man gut nachvollziehen, dass sie sie auch erstmal im Pilotprojekt nutzen wollen. Ähm das Innenministerium dort ähm sieht aber den Probelauf nicht allzu kritisch an wie der Landesdatenschützer. Sie sagen, dass die testweise Datenverarbeitung nicht für polizeiliche Zwecke genutzt wird. Wird und ähm das dies lediglich der internen Prüfung der Anwendung gilt. Glaube ich auch mal äh wieder spannend zu sehen, wie sich das entwickelt, ob hier ähm oder zu welchem Ergebnis doch dann auch Thomas Petry mit seinem Team am Ende des Tages kommt, ähm ob das Landeskriminalamt die hohe Geldsumme umsonst ausgegeben hat oder nicht. Wichtig, glaube ich, ist noch mal zu betonen, dass es jetzt hier natürlich nicht gegen Palent hier geht, sondern halt gegen die Polizei, die äh letztendlich diesen Entschluss ja getroffen hat mit personenbezogenen Daten zu testen. Da kann der Hersteller ja erstmal nichts für. Und äh ich glaube, das ist halt noch mal wichtig zu abzugrenzen. Also es ist nicht die Software als solches im Zweifelsfall unzulässig, sondern so wie sie halt dann vielleicht verwendet wird. Das wird hier geprüft. Aber ja, ist natürlich grade ähm ein beliebtes Argument, auch ein Unternehmen, das kennen wir, ne. Zum Testen, da passiert ja nix mit, da hat er im Zweifelsfall ähm der Betroffene direkt keine Konsequenzen daraus zu befürchten, aber es macht’s halt dadurch nicht automatisch zulässig, sondern da sind wir natürlich an einer Stelle, wo wir ja immer wieder genau hingucken müssen, ob die Rechtmäßigkeit trotzdem dafür gegeben ist oder ob’s halt, Auch mit anonymisierten Daten zum Beispiel ginge oder mit pseudonymisierten Daten zumindest. Aber das wird überlassen wir dann dem bayrischen Landesdatenschutzbeauftragten zur Prüfung. Ich komme zu meiner nächsten Meldung und zwar Max hat Beschwerde gegen den Preis des neuen Bezahlmodells von Meta bei der österreichischen Aufsichtsbehörde eingelegt, also nicht Max schreiben’s persönlich, sondern in seiner Organisation, ne Business kennen wir ja alle, haben wir ja auch schon öfters durch äh drüber berichtet Und wie ihr auch hier schon häufiger und ich glaube auch unsere Zuhörer wissen, dass ähm in der EU ja doch mit der durch die mittlerweile klar ist, dass wir halt eine ähm Einwilligung für personalisierte Werbung brauchen, Im Onlinebereich und die sind natürlich auch freiwillig erfolgen muss. Das ist hier aber auch der Aufhänger gleichzeitig für die Beschwerde, weil man halt der Meinung ist, bei Neub beziehungsweise Mark Schrenz, dass diese Einwilligung wie Meta sie jetzt halt gemacht hat mit dem Bezahlmodell nicht freiwillig sei, da der Preis zu hoch ist. Die monatliche Abogebühr von 1299 alleine für Facebook sei laut neuer Bund verhältnismäßig, weil Meta laut eigener Aussage wohl einen durchschnittlichen Umsatz pro Nutzer in Europa, Zwischen dem dritten Quartal zwanzig zweiundzwanzig und dreiundzwanzig bei 16 Dollar 79 wohl angegeben hat, was dann halt einem Jahresumsatz von etwa knapp 63 Euro je User entspräche. Also das heißt, da ist natürlich deutlich weniger als 1299 pro Monat und neu berechnet jetzt und wie gesagt, da kann man jetzt äh. Überlegen, ob man das halt mitgehen möchte oder nicht, aber, wir verlinken hier auch nochmal die Pressemitteilung von Neub, aber sie kommen halt ähm in der Hochrechnung auf 35.000 Euro pro Familie, wenn dieses Modell halt nachgeahmt wird von allen möglichen ähm, App-Anbietern und äh man äh geht ein bisschen davon aus und man befürchtet, dass jetzt die Grundrechte demnächst wieder nur den Reichen vorbehalten sei, weil Datenschutz einfach, zu teuer würde. Laut Neub sind drei bis zehn Prozent ähm, der User online typischerweise wohl nur an personalisierte Werbung wirklich interessiert, Allerdings stimmen nach 99,9 Prozent dann doch am Ende der ähm der Datenverarbeitung zur personalisierten Werbung zu, wenn sie halt auf der anderen Seite nur dafür die Bezahloption. Haben. Also ich Bin natürlich auch persönlich ähm nicht anders getrimmt in dem Moment, wo ich halt äh vor die Wahl gestellt werde, 13 Euro zu bezahlen oder einzuwilligen, dann nehme ich dann doch im Zweifelsfall auch genau, Dass in Kauf, aber es ist halt meine auch Entscheidung und äh ich weiß halt auch, ich muss Facebook nicht nutzen und ähm tue es auch sehr wenig, aber nichtsdestotrotz, wie gesagt, das hat natürlich jeder individuell, in seiner eigenen Entscheidung. Vielleicht noch ein äh eine Ergänzung zu dem Preis. Ich hatte neulich auch das ähm Vergnügen nochmal Thomas Fuchs zuzuhören im Landes äh oder dem Hamburger ähm Landesdatenschutzbeauftragten. Der darüber auch Hatte und auch mal drauf hingewiesen hat, dass es jetzt natürlich etwas ist, was seine Behörde in enger Abstimmung mit dem Bundeskartellamt prüft, also die Frage der Angemessenheit dieses Preises für das Modell, Purmodell. Das liegt halt beim Bundeskartellamt, macht aber halt in enger Abstimmung dann mit seiner Behörde, weil natürlich diese Frage der Freiwilligkeit wiederum, schon auch etwas ist, was natürlich datenschutzrechtlich relevant ist. Von daher bin ich mal gespannt, wie das jetzt in Österreich sich dann auch von der Datenschutzaufsichtsbehörde dort ähm gesehen wird, ob das halt eine Frage ist, diese Angemessenheit, ob die wirklich eine Datenschutzfrage ist oder ob’s halt nicht eine Wettbewerbsrechtlich ist, also, auch nochmal interessant, wie dann die Österreicher da sich äh in dieser Frage auch letztendlich kartellrechtlich dann vielleicht positionieren. Interessante Abgrenzung, das stimmt, Ich habe ja auch als nächstes eine Nachricht äh von Meta mitgebracht ähm der Facebook-Mutter. Diesmal geht’s aber um eine Klagewelle in den USA, die dem Unternehmen droht, denn im Laufe der Woche hat die New York Times berichtet oder hat über eine Klageschrift aus 33 US Bundesstaaten berichtet, die die unrechtmäßige Datenverarbeitung von Minderjährigen, dem US-Konzern vorwirft. Normalerweise ist es so, dass die Nutzung von Facebook Für Minderjährige unter 13 Jahren nicht gestattet ist und Meter bietet die Möglichkeit an solche Accounts zu sperren, wenn man den Verdacht hatte, dass heben hier der Nutzer dieses Alter nicht erreicht hat, noch nicht erreicht hat. Lautet der Klageschrift das aber wohl in der Praxis oder wird das in der Praxis nicht umgesetzt und funktioniert wohl nicht. Der Vorwurf gegen das Unternehmen lautet nun konkret, dass sie nicht nur wissen, dass Kinder unter 13 Jahren die sozialen Netzwerke des Anbieters nutzen, sondern äh Kinder seit Jahren sogar. Wohl angeblich ähm auf Instagram gezielt angesprochen und digital verfolgt werden. Laut der Klageschrift soll von 2019 bis diesen Jahres, also zweitausenddreiundzwanzig ähm Angeblich 1,1 Millionen Meldungen über Nutzer unter 13 Jahren auf Instagram an Meter ähm weitergeleitet worden sein und als Reaktion darauf sein, aber wohl angeblich nur ein Bruchteil dieser Kunden deaktiviert worden. Ähm Sie sehen hier also die auch eben so eine routinemäßige, Haltung von Kindern ohne weitere elterliche Zustimmung, obwohl wir diese, wie gesagt, auch ähm dann auch erst über 13 Jahren möglich ist, bis sie dann volljährig sind. Laut Kleidschrift handelt sich hierbei um ein Verbot ähm gegen das Childrence-Online-Privacy, von achtundneunzig, ähm was seitdem in den USA halt eben gilt und was eben verbietet, Kinder aktiv anzusprechen oder Daten ohne elterliche Zustimmung von Minderjährigen zu sammeln. Meter hat sich dazu auch schon geäußert und sieht sich Ja, ich sage jetzt mal, ungerecht behandelt, denn sie ähm betonen immer wieder, dass sie durchaus das ähm die Meinung der Generalstaatsanwältin auch ähm, grundsätzlich oder das Engagement sich Jugendlichen zuzuwenden und Minderjährige zu schützen ähm auch durchaus dem Anschließen. Deswegen äh fanden sie jetzt die Klage nicht so schön, hätten also da lieber ähm, auf anderen Wegen eine Kontaktaufnahme natürlich bevorzugt. Ähm wie das halt bei Unternehmen so ist. Ähm aber da wird’s natürlich spannend, wie es mit der Klage halt weitergeht, insbesondere in diesem riesen Umfang und in den USA kann’s da wahrscheinlich teuer werden. Wenn denn dem Unternehmen dies nachgewiesen werden kann, ähm vielleicht noch mal auch ganz äh spannend, ähm dass halt bereits Anfang November nochmal in einem Block Beitrag veröffentlicht hatte und ein äh Forderung an die US-Bundesgesetzgebung gestellt hatte, dass Eltern mehr Verantwortung für das herunterladen von Apps durch Kindern gegeben werden sollte, also das ist grundsätzlich ähm eine ja fixere Genehmigung für Downloads äh für Kinder, unter 16 Jahren bei Apps geben muss, ähm weiß man jetzt natürlich nicht erst im Rahmen dieser Klagewelle ähm sie hier schon so ein bisschen versuchen, gegenzuarbeiten. Werden wir das mal beobachten, sofern das halt sich wirklich nochmal hier auch in irgendeiner Art und Weise niederschlägt bei uns in den News. Richtig. Onkel, du hast auch noch mal was zu Facebook mitgebracht. Ich habe auch noch was zu Facebook mitgebracht. Das Oberlandesgericht Stuttgart hat in zwei Urteilen Ansprüche im Zusammenhang mit einem Datenleck bei Facebook abgelehnt. Es geht um den Scraping-Fall, über den wir hier auch schon berichtet haben, 2018 wurden ja sehr viele Daten ähm gescrapt, also letztendlich halt ähm. Von den Facebookprofilen und dann 2021 weltweit ungefähr 533 Millionen Datensätze im Darknet veröffentlicht. Hier gibt’s jetzt ähm relativ viele, Fälle, das fand ich sehr beeindruckend, ähm dass halt jetzt alleine hier bei diesem Senat beim Oberlandesgericht etwa 100 Fälle anhängig sind. Bundesweit sollen es wohl mehr als sechs tausend Verfahren sein und da kann man sich jetzt an einer Hand äh oder an einer Vielzahl Hände abzählen, wie viel das wahrscheinlich europaweit sein werden und vielleicht weltweit in anderen Ländern auch noch. Also ich glaube, da hat Facebook doch einiges tun und wird, Vermutlich für volle Taschen in vielen Anwaltskanzleien sorgen müssen. Aber ähm darum soll’s gar nicht gehen jetzt, sondern äh hier noch mal vielleicht ganz kurz zum äh Urteil selber, weil wie gesagt, das Oberlandesgericht hat halt hier abgelehnt. Diese diese Anforderungen, weil die Kläger hatten zwar immateriellen Schadensersatz verlangt, auch die Feststellung einer künftigen Ersatzpflicht und Unterlassung, Der zugänglich machen von Daten äh ohne weitere Sicherheitsmaßnahmen sowie die Unterlassung der Verarbeitung der Telefonnummer und weiterer, Auskunft über die abgegriffenen Daten. Das wurde, halt weitestgehend ähm abgelehnt bis auf den Beantrag bis auf die Beantragte Feststellung einer weitergehenden Ersatzpflicht Die hatte zumindest in einem der zwei Verfahren Erfolg. Insbesondere wurden hier Verstöße gegen Artikel fünf, Absatz eins litt F Nämlich die Wahrung von Integrität und Vertraulichkeit sowie gegen Artikel 25 Absatz 2, nämlich die fehlenden datenschutzfreundlichen Voreinstellungen festgestellt. Hier hat man halt insbesondere ähm vom Gericht her auch zugestanden, dass die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im sogenannten, import Tool gegen Artikel 5 entsprechend verstoßen und dass die Voreinstellung einer Zugriffsmöglichkeit, die halt Von Usern aktiv abgewählt werden müsse, halt gegen das Verbot eines Modells, also Artikel fünfundzwanzig, entsprechend, Verstöße. Finde ich halt dahingehend gut, weil man jetzt auch noch mal ein bisschen was halt zu den allgemeinen Grundsätzen in Artikel 5 hat, die ähm finde ich in in Gerichten, in der Argumentation oft ähm ja auch wahrscheinlich aufgrund der, Doch recht ähm generischen Anforderungen vielleicht ein bisschen zu wenig berücksichtigt werden, aber wie gesagt hier hat man sich noch mal explizit auf äh 5 und auch 25 bezogen, auch nicht ganz unwichtig. Ja, zum Verfahrensvorgang. Es gibt hier halt Abweichungen zum Urteil des OLG Hamm aus dem August diesen Jahres und auch dem Vorlagebeschluss des Bundes äh Gerichtshofs, an den Europäischen Gerichtshof will man wohl auch noch eine Möglichkeit geben, diesen zu würdigen. Deswegen hat der Senat in den einen Fall, der jetzt hier teilweise erfolgreich war, zumindest ihre Vision zugelassen, also ganz abgeschlossen ist es halt damit noch nicht und wird bei 6000 Verfahren müssen wir uns darauf einstellen, dass es noch eine Vielzahl von Urteilen geben wird, die vielleicht auch nicht alle gleich lauten, wir können sie aber beruhigen, wir werden nicht über alle 6000 bericht. Da sind wir ein bisschen beschäftigt. Machen wir ein eigenes äh eigene Podcast-Reihe nur mit diesen. Nur mit diesen nur mit diesen Urteilen, ja. Mach mal eine eine äh eine Dauerurteilsendung so. Keine Dauerwerbesendung, eine Dauer Facebook Urteilssendung. Wie findest du jetzt die Brücke zu unseren Lese. Gar nicht Deswegen äh aber danke, dass du mir kurz auf die Sprünge geholfen hast. Ich war noch in der Welt der verschiedenen Arten unseres Formaten unseres Podcasts gefangen. Ähm ich habe als nächstes ähm wie du ja schon richtig gesagt hast zwei Lesetipps mitgebracht. Beide befassen sich mit dem Thema künstliche Intelligenz und im Beginn möchte ich mit einem Leitfaden zu Entwicklung sicherer KI-Systeme, die durch ähm mehrere internationale Sicherheit Cybersicherheitsbehörden bereitgestellt werden. Bereitgestellt wird der Leitfaden der Guidelines for secure AI System Development heißt durch äh die Cybersicherheitsbehörden ähm federführend ähm, ähm Dem Vereinigten Königreich und den USA an dem Leitfaden selbst hat aber auch ähm das deutsche BSI mitgewirkt und der Leitfaden wird von 23 internationalen Cybersicherheitsbehörden aus 18 Ländern auch unterstützt. Also das war ein großes Ding dieses Dokument und ähm die Guidelines sollen eben nun auf internationaler Ebene auch Betreibern helfen. KI-Systeme zu entwickeln Und die wichtigsten gesetzlichen Anforderungen erfüllen, sei es beispielsweise der Bedarf an Verfügbarkeit, aber auch die erwartungsgemäßen, zuverlässige ähm Verarbeitung von Daten, Und dass eben wie der Umgang mit sensiblen Daten halt eben empfohlen wird. Passend dazu, deshalb äh schließe ich da direkt an, ist eine Pressemitteilung der. Datenschutzaufsichtsbehörden, des Bundes und der Länder, der DSK am 29. November veröffentlicht wurden und die DSK fordert klare Verantwortlichkeit für die Hersteller und Betreiber von künstlicher Intelligenz und sieht erforderlich an, dass eine sachgerechte Zuweisung von Verantwortlichkeiten entlang der gesamten KI Wertschöpfungskette vorgenommen werden sollte, Sie sehen das als, ja, zwingend notwendig, an zum Schutz der Grundrechte der Betroffenen und ähm eben das Unternehmen klare Regeln brauchen, damit die Risiken von künstlicher Intelligenz auch beherrschbar bleiben. Die ähm KI-Verordnung, die ja schon bereits in mehreren Instanzen verhandelt wird, sollte laut der DSK für alle Beteiligten auch für Hersteller und Anbieter von Basismodellen ähm die Anforderungen festlegen, die auch eben diese Betreiber und Anbieter, Hersteller erfüllen müssen. Ja, wir haben ja schon mehrfach darüber berichtet, dass ja die Verhandlungen laufen und ähm nach dem Vorschlag Parlaments, jetzt genau mit Blick auf diese Verantwortlichkeit sollten die Anbieter von Basismodellen eben bestimmte Mindestanforderungen erfüllen, etwa mit Blick auf Datenqualität, Erklärbarkeit oder Cybersicherheit. Und ähm was das die DSK jetzt halt eben als kritisch ansieht, dass ja mittlerweile ein Positionspapier ähm aus Deutschland oder EU haben sich die EU-Mitgliedsstaaten Deutschland, Frankreich und Italien zusammengeschlossen und eben in einem Positionspapier sich jedoch gegen verbindliche Vorgaben für Basismodelle ausgesprochen und ähm eher für ein sanktionsloses Konzept der Selbstregulierung, plädiert. Also das glaube ich nochmal spannend, inwieweit das in der KI-Verordnung dann auch am Ende dann fixiert wird, ob es Auch maßgeblich ist am Ende des Tages oder ob’s wirklich ähm ja fixere Verantworterungen für die entsprechenden Anbieter der, Der Modelle auch wirklich geben wird. Bleibe bei der DSK, Die hat nämlich auch noch einen Entschluss gefasst und zwar geht’s um das Thema Gesundheitsdaten und den Umgang in der Forschung. Die DSK hat sich nun zu einer Forderung ausgesprochen, einheitliche und klare gesetzliche Regelungen für den Schutz sensibler Gesundheitsdaten. Und zwar insbesondere ähm geht’s darum, dass in den Ländergesetzen, insbesondere Krankenhausgesetzen, halt es sehr unterschiedliche Ermächtigungen und Regelungen gibt bundesweit und deswegen man hier gesagt hat, Bundesgesundheitsministerium mit dem Gesetzesentwurf zur Gesundheitsdatennutzungsgesetz, kurz GDNG. Ähm sieht zwar eine hm ja so verfolgt zwar eine vereinheitlichung, aber sie ist halt nicht ausreichend äh klar. Weil man sich wohl vermutlich nicht mit den Gesetzgebungskompetenzen der Länder für den Bereich der Krankenhäuser auseinandergesetzt hat, ausreichend. Und deswegen bestehen erhebliche Zweifel. Dass halt durch diesen Entwurf wirklich rechtssichere und tragfähige Neuregelungen erreicht werden. Das heißt, die DSK fordert hier in ihrem Entschluss nochmal. Dass auf einen äh das eine aufeinander abgestimmte zeitnahe rechtsklare und systematisch neustrukturierung der entsprechenden rechtlichen Regelungen, Hingewirkt wird. Also von daher grundsätzlich glaube ich begrüßenswert. Das ist ja für alle Beteiligten immer, einfacher, wenn man dann einheitliche gesetzliche Regelungen äh bundesweit hat für solche Themen, gerade weil halt Forschung oft ja landerübergreifend stattfindet. Ich glaube, das ist europaweit schon herausfordernd genug, aber wenn man im deutschsprachigen äh Raum oder zumindest mal in der Bundesrepublik so sondern sagen ist ja ein bisschen kleiner als der deutschsprachige Raum, aber äh dass man da zumindest schon mal die Regelung hat, glaube ich, das hilft schon, hilft schon enorm, von daher begrüßenswert. Damit sind wir durch für heute. Vielen Dank, Und äh ja, ihnen wünschen wir damit erstmal einen guten Start in die Adventszeit am Wochenende. Haben sie eine gute Zeit, bleiben sie uns gewogen und auf bald.
