noyb verklagt deutsche Aufsichtsbehörden – DS News KW 25/2025

Transkript zur Folge:

Die Veranstaltung findet über das Konferenzsystem Blick-Bub...
Blick-Blick-Blick-Blick-Blick-Blue-Platten.
Der Blick-Bube.
Der Blick-Bube.
Heute habe ich es aber auch mit den Buchstaben, dass die immer an der falschen Stelle auftauchen.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Heute ist Freitag, der 20. Juni 2025. Unser Redaktionsschluss wie gewohnt um 10 Uhr.
Und natürlich halten wir hier bei der Migosens für euch die Datenschutzthemen
im Blick, um euch dann hier natürlich am Ende der Woche auch einen Überblick zu geben.
Weil wir alle wollen ja auf dem Laufenden bleiben als Datenschützer.
Deswegen, Laura, was sind deine Themen, um unsere Zuhörenden auf dem Laufenden zu halten?
Ja, ich habe zwei ganz spannende Gerichtsentscheidungen mitgebracht.
Einmal zum Thema Auskunft im Arbeitsverhältnis und eine Entscheidung zum Thema
Mithaftung bei Betrug im Folge von, wenn Cyberkriminelle erfolgreich gewesen sind.
Dann geht es weiter mit unserem Top-Thema, nämlich der Klage von Neub gegen
zwei nationale Aufsichtsbehörden.
Dann habe ich noch mitgebracht die Informationen rund um die neue Verordnung
zum Thema Durchsetzung im internationalen Kontext und natürlich eine Leseempfehlung.
Wunderbar. Ich schaue einmal auf eine Entscheidung aus Bamberg zum Thema Scoring
ohne menschliche Prüfung.
Dann hätte ich ein Update zum Thema Werbung in WhatsApp und dass es noch nicht
in der EU kommt, zumindest erstmal nicht.
Dann schauen wir auf eine Zertifizierungsstelle für Datenschutz,
die in Hessen zugelassen wurde und zu den Lesetipps gibt es natürlich auch einiges von mir.
Dann würde ich sagen, steigen wir ein, Laura.
Genau, zuallererst habe ich ein Urteil vom Arbeitsgericht Heilbronn mitgebracht,
denn das Arbeitsgericht Heilbronn hat entschieden,
dass ein pauschales Auskunftsverlangen nach Artikel 15 DSGVO bei langjährigen
Arbeitsverhältnissen von Beschäftigten zu konkretisieren sind.
Das Arbeitsgericht hat bereits am 27.
März entschieden, dass ein Auskunftsersuchen vor allem bei langjähriger Beschäftigung
präzisiert werden muss und eine pauschale Geltendmachung nicht ausreicht.
Je größer dabei die Menge an Daten und je unkonkreter das Auskunftsverlangen
ist, desto weniger ist dem Verantwortlichen die Erteilung einer allumfassenden Auskunft zuzumuten.
Und desto eher muss sich der Auskunftsberechtigte mit allgemeinen Angaben,
zum Beispiel Bereitstellung einer strukturierten Zusammenfassung der verarbeiteten
Daten oder mit leicht zugänglichen Informationen begnügen.
Wie kam es nun zu dieser Entscheidung?
Ein langjähriger Mitarbeiter verlangte Auskunft nach Artikel 15 DSGVO mutmaßlich
im Kontext eines Streits um nicht abgegoltene Überstunden.
Das Arbeitsverhältnis bestand über 23 Jahre. Die Beklagte stellte umfangreiche
Daten bereit, darunter eine tabellarische Übersicht mit 55.000 E-Mails.
Der Kläger behauptete dennoch, die Auskunft sei unvollständig und machte immateriellen
sowie materiellen Schaden geltend, sodass der Streitwert auf 735.000 Euro festgesetzt wurde.
Das Gericht sah nun in der Entscheidung weder einen DSGVO-Verstoß noch einen
kausalen Schaden als gegeben an.
Es hat den Auskunftsanspruch des Klägers nach Artikel 15 DSGVO im Wesentlichen
als erfüllt angesehen und mahnt, dass die Auskunft als Mittel zur Transparenz
dient und nicht zur Anspruchsbegründung.
Die Auskunft dient also der Kontrolle der Verarbeitung und nicht der Vorbereitung
arbeitsrechtlicher Klagen. Das Gericht stützt sich hierbei unter anderem bei
seiner Entscheidung auf folgende Punkte.
Was ich ganz freundlich fand, nämlich die Beklagte konnte ausführlich vortragen,
welche Auskünfte dem Kläger in welchem Umfang erteilt worden sind.
Für das Gericht war nachvollziehbar, dass bei einem Arbeitsverhältnis von über
23 Jahren erhebliche Datenmengen gesichtet werden mussten und eine Auswahl zu
treffen war, welche Daten dem Kläger konkret zur Verfügung gestellt werden.
Die Beklagte konnte dabei nachweisen, dass sie die Anforderungen der DSGVO erfüllt
hat und den Umstand betrachtet hat, dass durch die Auskunft die Rechte und Freiheiten
anderer Personen nicht beeinträchtigt wurden.
Außerdem begründet das Gericht seine Entscheidung auch mit dem Erwägungsgrund
63 der DSGVO, der ja eben besagt, dass bei großen Datenmengen der Verantwortliche
eine Präzisierung verlangen darf.
Außerdem sieht es strukturierte oder systemgestützte Auskünfte als zulässig
an, wenn Datenvolumen groß sind, etwa in Tabellenform oder aber auch über Datenbankzugänge.
Als Beispiel nannte es eben hier den Zugang zu einer Datenbank,
in der mittels Suche nach dem Namen der betroffenen Person alle elektronischen
Dateien, die das Suchwort umfassen, erfasst sind.
Zum Schadensersatz nach Attickel 82 DSGVO begründete das Gericht,
dass der alleinige Verstoß in ihren Augen eben nicht ausreicht,
sondern es einen kausalen Schaden braucht.
Spekulation oder rein subjektive Gefühle waren hier für sie eben nicht ausreichend.
Außerdem müssen auch für einen immateriellen Schaden Ängste sachlich begründet
sein, was hier auch in dem Fall durch den Kläger nicht nachgewiesen werden konnte.
Was können wir jetzt eben daraus ableiten?
Ich glaube schon mal zuallererst, wie wichtig es für Unternehmen ist,
denn auch bei Auskunftsansprüchen alles kleinlich zu dokumentieren und auch
insbesondere die Entscheidungsfindung zu dokumentieren.
Also wieso, weshalb, warum ich vielleicht irgendwo Abstriche mache.
Aber natürlich auch nochmal, hier haben wir auch wieder das Thema Zweckentfremdung von Auskunftsrecht.
Also wenn es missbräutig verwendet werden kann, auch hier sollte man genauer hinsehen.
Nach dem alten Motto, wer schreibt, der bleibt.
Also Dokumentation ist tatsächlich gerade an solchen Stellen,
finde ich auch ganz, ganz wichtig, weil man damit sich in der Regel,
wenn man sich auch vernünftige Gedanken gemacht hat, doch eine gute Position
bei Gericht verschaffen kann oder auch gegenüber Aufsichtsbehörden.
Ja und ich finde jetzt auch hier nochmal die Rolle auch von Verantwortlichen
durchaus auch nochmal zu stärken, zu sagen, ja ihr dürft auch nachfragen.
Also bei 23 Jahren können wir uns vorstellen, wie viele Datenmengen hier sich
ansammeln, also auch da als Unternehmen nicht in Schockstarre verfallen,
ist glaube ich auch noch ein ganz wichtiger Ratschlag.
Das Landgericht Bamberg hat entschieden, dass das reine Scoring ohne menschliche
Prüfung gegen Artikel 22 der DSGVO verstößt.
Auch bei einer Auskunft hei. Der Fall wurde bereits Ende März entschieden,
ist uns aber jetzt erst bekannt geworden.
Und der zentrale Punkt im vorliegenden Fall ist, dass Auskunft heien keine Score-Werte
mehr ausschließlich automatisiert berechnen und dann weitergeben dürfen.
Automatisierte Scores ohne jede menschliche Prüfung und Kontrolle verstoße laut
Gericht gegen Artikel 22 Absatz 1 der DSGVO und gelte auch,
wenn der Scorewert nicht alleiniges Entscheidungskriterium über beispielsweise
eine Kreditvergabe bei einer Bank sei.
Das Gericht hat Artikel 22 als Schutzgesetz eingeordnet, das sowohl zivilrechtliche
Unterlassungs- als auch Schadensersatzansprüche nach dem BGB begründen kann.
Und der Hintergrund ist hier in dem Fall, der Kläger hatte gegen eine große
Auskunft Tai auf Unterlassung und Schadensersatz geklagt, weil sie seine Bonitätsscores
erstellt hatten und an Banken auch weitergegeben hatten.
Von daher finde ich das Urteil eigentlich ganz interessant, insbesondere weil
dies ja durchaus auch für die Praxis große Auswirkungen mit sich bringen kann.
Jetzt nicht nur für die Schufa selber, sondern natürlich auch für die Unternehmen,
die die Schufa abfragen.
Wir hatten ja kürzlich erst hier berichtet, dass Neub auch eine Sammelklage
in Österreich gegen Griff plant, wegen der Vorausberechnung von Scores.
Das heißt also, sollte das erfolgreich sein und würde sich dann eine Auskunftsanfrage
an die Schufa zukünftig wohl, vermute ich mal, deutlich verzögern,
wenn vor der Übermittlung der erst berechnet werden darf und dann auch noch
durch den Menschen geprüft werden muss.
Also ich bin auf die Praxisauswirkungen dieser Entscheidung wirklich gespannt.
Definitiv, es wäre sehr weitreichend.
In meinem nächsten Fall, in dem ein Hacker durch manipulierte E-Mails eine Zahlung
auf ein falsches Konto umleitete,
hier hat das Landgericht Koblenz entschieden und sagt hier, nicht nur der getäuschte
Auftraggeber, sondern auch das betroffene Unternehmen trägt Verantwortung wegen
eines Datenschutzverstoßes.
Ja, jetzt treue Zuhörer und Zuhörerinnen unseres Podcasts denken sich,
ach, den Fall hatten wir doch schon mal. Nein, es ist diesmal ein anderer Fall.
Die Entscheidung ist vom 26.
März 2025. Ich glaube, der erste, den wir genau zu so einem Thema hatten,
müsste Anfang des Jahres gewesen sein, im Laufe des Februars.
Hier aber jetzt zum Hintergrund.
Ein Unternehmer hatte für einen Pauschalpreis von 11.000 Euro einen Zaun errichtet
und der Auftraggeber überwies den Betrag jedoch nicht auf das echte Firmenkonto,
sondern an eine falsche Kontoverbindung, die ihm per gefälschter E-Mail vom
vermeintlichen Absender des Unternehmens übermittelt wurde.
Der Betrag landete bei einer dritten Person, also mutmaßlich dem Betrüger.
Das Gericht sah hierbei einen Verstoß gegen die Datenschutzgrundverordnung durch
den Unternehmer, jedoch hat es grundsätzlich weiterhin Anspruch auf den ausstehenden
Werklohn. Also der Unternehmer hat weiterhin Anspruch.
Der Unternehmer hatte es unterlassen, personenbezogene Daten des Auftraggebers,
insbesondere die E-Mail-Adresse und Zahlungsinformation ausreichend zu schützen.
Diese unzureichende Absicherung machte es möglich, dass der E-Mail-Verkehr durch
einen Dritten kompromittiert und für den Betrug genutzt wurde.
Der Verstoß begründet laut Landgericht einen Schadensersatzanspruch nach Artikel 82 DSGVO.
Jeder, der infolge eines Datenschutzverstoßmateriellen Schaden erleidet,
hat eben Anspruch auf Ersatz gegen den Verantwortlichen. Was nun interessant
ist, der Unternehmer wurde jedoch
vom Gericht im Gesamtkontext nicht als Hauptverantwortlicher angesehen.
Also der Hauptanteil der Schuld liegt in ihren Augen beim Auftraggeber.
Da er sich auf die neue Kontoverbindung verlassen hatte, ohne Rückfragen beim Unternehmen zu halten.
Die Mail, in der auf einmal eine neue Kontoverbindung zugunsten eines fremden
Dritten mitgeteilt wurde, hätten zwingend Anlass zu kritischen Prüfungen geben
müssen, so das Landgericht.
Infolgedessen traf das Gericht die Entscheidung, dass 75 Prozent des Werklohns
vom Auftraggeber nachgezahlt werden muss.
Die restlichen 25 Prozent durfte der Auftraggeber mit seinem DSGVO-basierten
Schadensersatzanspruch verrechnen.
Wir merken, es ist eine Abweichung zum Urteil Anfang des Jahres.
Hier wurde dem vollständiger Schaden zugesprochen.
Richtig und es wurde ja auch nochmal festgehalten, hatten wir uns hier glaube
ich auch ein bisschen darüber unterhalten, dass die Ende-zu-Ende-Verschlüsselung
quasi als einziges wirksames Mittel dagegen angesehen wurde.
Was jetzt hier in dem Fall, glaube ich, gar nicht großes Thema war.
Also es wurde schon gesagt, dass eben der Auftraggeber halt technische und organisatorische
Maßnahmen, also das Unternehmen, Entschuldigung, diese entsprechenden Toms auch
eben einführen muss, um die personenbezogenen Daten zu schützen.
Also das war am Ende auch das, was eben aus dem Schadensersatzanspruch sich ergab.
Das ist ja auch zweifelsohne richtig. Ich hielt es damals bei dem Urteil allerdings
für schwierig zu sagen, es muss eine Ende-zu-Ende-Verschlüsselung sein,
weil ich glaube, man kann den Schutzzweck oder das hier auch auf anderen Wegen erreichen.
Deswegen aber interessant. Ich finde es interessant, weil sie hat immer die Aufteilung.
Und ehrlicherweise die Prüfung einer Kontoverbindung setzt ja auch voraus,
dass ich halt immer wieder die alten nochmal daneben halte.
Also die Pflicht, in die man hier den Auftragnehmer genommen hat,
täte ich mich jetzt auch schwer so als komplett gerecht zu empfinden.
Machen wir weiter. WhatsApp hatte Werbeeinblendungen angekündigt.
Doch in der EU kommt das Modell nicht vor 2026.
Meta will ja Werbung in WhatsApp integrieren, konkret im Statusbereich und Heise
berichtet nun, dass das neue Modell in der EU nicht vor 2026 eingeführt würde.
Das hat WhatsApp definiert.
Irischen Datenschutzkommission der DPC inzwischen auch bestätigt und die DPC
kündigte ihrerseits dann an, sich mit WhatsApp zu weiteren Gesprächen zu treffen.
Datenschützer unter anderem auch von Neub sehen das besonders problematisch
an, dass Meta Werbepräferenzen und Informationen insbesondere aus Facebook und
Instagram-Konten nutzen möchte,
wenn Nutzer ihre Konten mit WhatsApp auch verknüpft haben.
Auch wenn Meta betont, dass dies nur mit Einwilligung geschehe,
bleibt die Skepsis, Denn man sieht halt hier schon auch Verstöße mit der Marktmacht
DMA, Digital Markets Act und DSGVO.
Also die Lage ist da wohl nicht ganz eindeutig. Laut Meta soll die Werbefunktion
so datenschutzorientiert wie möglich
sein, Zitat, was natürlich auch viel Interpretationsspielraum lässt.
Also so datenschutzorientiert wie möglich, finde ich, ist eine interessante Formulierung.
Die irische DPC hatte ja in der Vergangenheit schon mehrfach Metapläne verzögert,
Das war auch beim Rollout von Meta.ai, das ja zwei Jahre später in Europa erst
startete als in den USA zum Beispiel.
Auch beim WhatsApp-Werbemodell deutet sich nun eine intensive Abstimmung auch
mit anderen Datenschutzaufsichtsbehörden in Europa an.
Und ob das Modell jetzt am Ende dann mit DSGVO und DMA vereinbar ist,
glaube ich, steht ein bisschen noch in den Sternen.
Wir werden sehen und natürlich hier auch berichten.
So ist es. Neub kommt auch in meiner nächsten Nachricht vor,
denn sie verklagen die Datenschutzbehörden wegen Untätigkeit bei PORK-Beschwerden.
Die Datenschutzorganisation Neub hat Klage gegen die Datenschutzbehörden von
Nordrhein-Westfalen und Hessen eingereicht.
Hintergrund sind hier zwei Beschwerden aus dem Jahre 2021 gegen sogenannte PORK-Systeme
auf den Nachrichtenseiten der Frankfurter Allgemeinen Zeitung und bei T-Online.
Webseiten-Besucher mussten sich dort entscheiden, entweder ein kostenpflichtiges
Abo abzuschließen oder eben der Verarbeitung und Weitergabe ihrer personenbezogenen
Daten zu Werbezwecken zuzustimmen.
Nach Auffassung von Neub widerspricht dieses Modell dem Grundsatz der freiwilligen
Einwilligung, wie ihn die Datenschutz-Grundverordnung fordert.
Obwohl nur ein kleiner Teil der Webseitenbesucher tatsächlich personalisierter
Werbung zustimmen möchte, liegt die gemessene Zustimmungsrate bei über 99 Prozent.
Für Neub ist das ein klares Zeichen, dass eben keine echte Wahlmöglichkeit bestanden hat.
Der Vorwurf nun im Rahmen der Klage, trotz des frühen Beschwerdezeitpunkts im
August 2021, haben die betroffenen Datenschutzbehörden bis heute keine inhaltliche
Entscheidung getroffen.
Die hessische Behörde verweist auf die Komplexität des Falls sowie potenzielle
neue Richtlinien in der Zukunft.
Neub sieht darüber hinaus eine Verzögerung und ein strukturelles Problem und
kritisiert eben das Vorgehen nun scharf.
Neub verspricht sich also von den zwei Klagen, die bei den Verwaltungsgerichten
in Wiesbaden und Düsseldorf eingereicht wurden,
dass die zuständigen Behörden dazu verpflichtet werden, die ursprünglichen Beschwerden
inhaltlich zu bearbeiten und eine rechtliche Bewertung der Pay-or-OK-Systeme vorzunehmen.
Schwieriges Thema, glaube ich. Grundsätzlich die Bearbeitungszeit,
kommen wir später nochmal zu, an einer anderen Stelle.
Aber dann natürlich auch schwierig, das über Klagen durchzusetzen. Oder wie siehst du das?
Also die Aufsichtsbehörden sind natürlich bei der Masse an Beschwerden,
die bei denen eingehen, gefordert.
Das, glaube ich, überfordert auch einige. Das ist keine Frage.
Und dann sind natürlich solche komplexen Fragestellungen natürlich auch welche,
die dann noch schwieriger es machen.
Auf der anderen Seite hat das natürlich so eine hohe Aufmerksamkeit.
Da ist es natürlich als Aufsichtsbehörde, da wäre man glaube ich auch gut beraten,
das dann auch nicht zu lange liegen zu lassen.
Von daher könnte ich mir schon vorstellen, dass es hier dann entsprechend Druck gibt.
Sie müssen es bearbeiten. Das heißt aber noch lange nicht, dass sie natürlich
auch zum Ergebnis kommen, dass Pay or OK datenschutzrechtlich nicht in Ordnung sei.
Das ist dann quasi der nächste Schritt für neu, wahrscheinlich dann dagegen vorzugehen.
Aber da werden wir jetzt erstmal die erste abwarten müssen.
Wir bleiben in Hessen. Hessen hat seine erste Zertifizierungsstelle nach Artikel 42 DSGVO akkreditiert.
Und zwar am 10. Juni diesen Jahres wurde PwC Certification Services GmbH vom
hessischen Beauftragten für Datenschutz und Informationsfreiheit, kurz HBDI,
die Befugnis zur Durchführung von Datenschutzzertifizierungen gemäß Artikel 42 der DSGVO erteilt.
Dies macht Sie zur ersten Zertifizierungsstelle in Hessen, die diese Befugnis
erhalten hat. Wir gratulieren.
Die Akkreditierung gilt für den
Auditor-Kriterien-Katalog, also Auditor ausschließlich in Großbuchstaben.
Dieser Katalog richtet sich nämlich speziell an Cloud-Dienstleister und wurde
entwickelt vom Kompetenznetzwerk Trusted Cloud e.V.
Und zu den Mitwirkenden gehörte unter anderem Prof. Dr.
Alexander Rossnagel in seiner Person HBDI. Vielleicht kein Zufall, wir wissen es nicht.
Mit den Zertifizierungen versprechen sich natürlich die Beteiligten mehr Transparenz
sowie Orientierungshilfe bei der Bewertung der Datenschutzkonformität von Cloud-Diensten
für Bürgerinnen und Bürger.
Und das ist zeitlich ganz interessant. Die Akkreditierung erfolgt nämlich einen
Tag vor dem internationalen Treffen zur Weiterentwicklung der Datenschutzzertifizierung
nach Artikel 42 und 43 DSGVO, die vom 11.
Bis 13. Juni in Berlin stattfand.
Eingeladen hatten hier nämlich neben dem Europäischen Datenschutzausschuss auch
die Datenschutzaufsichtsbehörden des Bundes Schleswig-Holsteins und Nordrhein-Westfalens.
Im Zentrum stand hier wohl der offene Dialog zwischen den Datenschutzaufsichtsbehörden
und Unternehmen mit dem Ziel, die gemeinsamen Standards für die DSGVO-Zertifizierung
weiterzuentwickeln. und praxisnah anzuwenden.
Finde ich ganz interessant. Die Aufsichtsbehörden werben ja einerseits immer
für die Zertifizierungsstandards, sind in meiner Wahrnehmung aber auch Teil
des Problems bei der Akkreditierung dieser Standards.
Zumindest hat es ja nach der Veröffentlichung der DSGVO viele Jahre gedauert,
bis wir überhaupt die ersten Zertifizierungsstellen in Deutschland hatten oder zugelassen wurden.
Und hier wurde halt sehr häufig auch von der DAX auf die Aufsichtsbehörden verwiesen,
die ja da zusammenarbeiten müssen. Und gerade diese vielen Aufsichtsbehörden
in Deutschland haben das wohl in dem gesamten Prozess nicht gerade einfacher gemacht.
Von daher ist es ja schön, dass diese Hürden offenbar mittlerweile genommen wurden.
Aber ob jetzt die Zertifizierungen der große Durchbruch sein werden im Datenschutz,
ich habe da so ein bisschen Zweifel.
Wir werden sehen.
Wir werden sehen.
EU-Institutionen haben sich darauf geeinigt, die Verfahren zu grenzüberschreitenden
Durchsetzungen der Datenschutz-Grundverordnung effizienter zu gestalten.
Der Europäische Rat und das Europäische Parlament haben eine vorläufige Einigung
darüber erzielt, wie bei grenzüberschreitenden DSGVO-Beschwerden die Zusammenarbeit
zwischen den nationalen Datenschutzbehörden verbessert werden kann.
Ziel der neuen Verordnung ist, Beschwerden zügiger zu bearbeiten,
Verfahren zu vereinheitlichen und sowohl betroffene als auch betroffene Unternehmen
verlässlicher einzubinden. Konkret wurden hierzu klare Fristen eingeführt.
Grundsätzlich soll zukünftig innerhalb von 15 Monaten zum Handel aufgerufen
sein, jedoch kann diese Frist auch bei komplexen Fällen verlängert werden.
Außerdem sollen Beschwerden überall in der Europäischen Union nach denselben
Kriterien geprüft werden, unabhängig vom Wohnort des Betroffenen oder Sitz des Unternehmens.
Des Weiteren soll ein neuer Mechanismus es ermöglichen, Fälle beizulegen,
bevor überhaupt das reguläre grenzüberschreitende Verfahren greift,
wenn beide Seiten denn einverstanden sind.
Zu guter Letzt soll es bei unstreitigen oder einfachen Fällen künftig ein einfaches
Kooperationsverfahren ohne umfangreiche Formalitäten geben.
Also auch hier, wir werden sehen, ob eben künftig bei grenzüberschreitenden
Fällen, vor allem jetzt ja hatten wir in der Vergangenheit oft ja das Thema
große Plattformen, die hier im Fokus standen, die verfahren eben nicht mehr mehrere Jahre dauern.
Und hoffen wir, dass eben jetzt die gleichen Maßstäbe an die DSGVO und die Ausarbeitung
im Rahmen dessen für mehr Rechtssicherheit sorgen.
Ich habe ja, also Hintergrund ist ja tatsächlich auch unter anderem die irische
Aufsichtsbehörde, dass man hier versucht halt mehr Einheitlichkeit reinzukriegen.
Ich weiß nicht, wer es gehört hat oder sie es angeschaut hat.
Wir hatten ja letzte Woche hier auch den Veranstaltungshinweis auf die Veranstaltung
der Diftung Datenschutz, wo ja auch Max Schrems zu Gast war,
um über das Thema Datenschutzreform oder DSGVO-Reform zu sprechen.
Ich habe mir das angehört und Max Schrems hat auch zu genau diesem,
zu dieser Regulierung was gesagt und hält das halt für tatsächlich überhaupt
nicht praxistauglich, die Regelungen, die da jetzt vereinbart wurden,
mit auch sehr kurzen Fristen und so weiter, was halt,
wenn man sich die Umfänge der Schriftsätze und Akten anschaut,
sagt er, total unrealistisch ist.
Von daher müssen wir mal sehen, ob das jetzt halt wirklich eine Veränderung
mit sich bringt oder nicht.
Ich kenne den Text noch nicht, ich habe noch nicht reingeschaut,
ob der jetzt für die Unternehmen überhaupt eine direkte Relevanz hat,
wenn sie nicht gerade Bestandteil eines Verfahrens mit einer Aufsichtsbehörde sind.
Da glaube ich sowieso nicht gegeben. Aber die, die es halt betrifft,
die werden sich sicherlich ansehen und dann muss man halt schauen,
was die Praxis bringt. Machen wir mal ein paar Fragezeichen.
Spielverderber, würde da jetzt wahrscheinlich alle Beteiligten sagen.
Nein, ich bin Beobachter. Ich will das Spiel nicht verderben.
Ich gucke von der Seitenlinie zu.
Kommen wir zu unseren Veröffentlichungen und Veranstaltungen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der
Länder, DSK, richtig, danke, war fleißig und hat einige Sachen veröffentlicht.
Zum einen einen Beschluss zur datenschutzkonformen Terminverwaltung in Heilberufspraxen.
Das ist ein Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern
für Online-Terminvereinbarungen und das Terminmanagement.
Tenor ist, das ist die gute Nachricht, die Einbindung eines Dienstleisters für
das Terminmanagement ist über eine Auftragsverarbeitung laut der Aufsichtsbehörden
möglich, aber es gilt einiges zu beachten.
Daher für alle Datenschützer in Praxen oder Berater solcher Praxen,
würde ich sagen, besonders relevant.
Wir verlinken es natürlich in den Shownotes.
Dann hat darüber hinaus die DSK einige Entschließungen getroffen,
unter anderem zur Frage Sicherheit versus Freiheit.
Und sie betonen nochmal, dass Datenschutz kein Selbstzweck, sondern Grundlage
von Freiheit, Demokratie und Sicherheit sei.
Grundrechte wie das Recht auf informationelle Selbstbestimmung seien daher zentrale
Elemente des Rechtsstaats und dürften nicht durch Sicherheitsgesetze untergraben
werden. Die DSK warnt auch vor voralligen Grundrechtseinschränkungen und fordert
eine Evaluierung bestehender Befugnisse.
Also wer da Interesse hat an dieser Position, den Link packen wir auch rein.
Dann gab es noch eine Entscheidung zu Confidential Cloud Computing, kurz CCC.
Die DSK warnt vor undifferenzierten Werbeaussagen. Diese Technologien könnten
zwar die Sicherheit und Vertraulichkeit verbessern, bieten aber natürlich keine
absolute Geheimhaltung, insbesondere nicht gegenüber dem Cloud-Betreiber.
Sie geben nochmal eine technische Einordnung zum Confidential Cloud Computing,
dass es halt verschiedene Technologien gibt und umfasst und dass natürlich das
Schlüsselmanagement einer besonderen Bedeutung unterliegt,
sagen aber ganz klar, dass der Einsatz zwar empfohlen wird, aber nur auch bei
klar definiertem Angreifermodell und nachvollziehbarer Dokumentation der Risiken und Schutzmaßnahmen.
Also ich glaube, Tenor ist hier, es ist nicht die eierlegende Wollmilchsau,
die jetzt quasi alles löst beim Thema Cloud Computing, aber es kann natürlich
eine sinnvolle Maßnahme sein.
Von daher, wer sich mit Thema Cloud Computing gerade beschäftigt oder das im
Unternehmen vielleicht auch schon nutzt, aber noch Bedenken hat,
dass die Sicherheit nicht gegeben sein könnte, für den ist das Papier sicherlich
auch relevant und notwendig.
Empfehlen mir natürlich dann auch einen Blick reinzuwerfen.
So ist es. Ich habe aber auch noch ein Papier von der DSK mitgebracht und greife
damit auch nochmal das Thema Zusammenarbeit der Aufsichtsbehörden mit auf.
Aber diesmal nicht international, sondern national.
In der Hoffnung, hier klappt es auch ganz gut. Denn die DSK hat die Musterrichtlinien
für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden beschlossen.
Nämlich das Ziel der Richtlinien ist es, eine einheitliche behördliche Praxis
im Umgang mit dem Bußgeldverfahren im Datenschutzrecht zu schaffen,
sowohl innerhalb der einzelnen Aufsichtsbehörden als auch behördenübergreifend.
Die Richtlinien sollen von den jeweils zuständigen Behörden als Verwaltungsvorschriften
eingeführt und künftig verbindlich angewendet werden. Dann packen wir hier auch
in die Shownotes. Was findet man hier?
Einmal Verfahrensgrundsätze und Zuständigkeiten, die Einleitung und Durchführung
vom Bußgeldverfahren, was hierbei zu beachten ist.
Weiter auch, wie der Umgang mit Ermittlungsberichten, Verfügung und Bekanntgaben
ist und zu guter Letzt auch eben Vorgaben zur Zusammenarbeit mit der Staatsanwaltschaft
und zur Information Dritter.
Dann hätte ich zuletzt noch einen Termin und zwar die Datenschutz-Sprechstunde für Familien.
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit lädt ein am 23.
Juni von 17 bis 18 Uhr zu einer digitalen Sprechstunde zum Thema Datenschutz-Anfragen
im Familienalltag. Die Veranstaltung findet über das Konferenzsystem BigBlue-Button statt.
Eine formlose Anmeldung per E-Mail ist allerdings erforderlich.
Inhalte sind Vorstellungen des Projekts Digitale Vorbilder und die Fragerunde
mit Expertinnen zu konkreten Datenschutzfragen im Alltag von Familien.
Die Sprechstunde ist Teil des neuen Bildungsangebots des Hamburger Beauftragten
für Datenschutz und sie soll ein niederschwelliges Format sein und eine breite
Zielgruppe adressieren.
Sie soll regelmäßig digital und vor Ort angeboten werden.
Also 23. Juni, 17 bis 18 Uhr, Anmeldung per E-Mail, den Link packen wir in die Show Notes.
Geschafft.
Geschafft, damit sind wir durch für heute in NRW, Brückentag, also für uns.
Für viele andere nicht. Ich glaube, insgesamt sind es nur vier,
fünf Bundesländer, die gestern Feiertag hatten. Frohen Leichnam.
Nichtsdestotrotz, ich wünsche euch allen, wir wünschen euch allen ein schönes
Wochenende. Bleibt uns gewogen und auf bald.
Bis bald.