noyb verklagt HambBfDI – DS News KW 18/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der MIGO-SENS.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Duschinski.
Gemeinsam mit euch starten wir
heute ins lange Wochenende, denn heute ist Donnerstag, der 30. April 2026.
Redaktionsschluss wie immer um 10 Uhr. Aber das Datum bedeutet auch,
der 1. Mai liegt vor uns, dieses Jahr auf einem Freitag.
Deswegen heute bei uns am Donnerstag schon den Datenschutz-Talk-Podcast.
Ich hoffe, damit keinen aus dem Konzept zu bringen.
Aber wie gesagt, keine Woche ohne Datenschutz-Talk, oder Laura?
Richtig, auch wenn es eine kurze Woche war, haben wir doch, finde ich,
ein paar ganz interessante Themen mitgebracht.
So sieht es aus. Was hast du denn dabei?
Ja, zuallererst hat es bei mir auf den Zettel geschafft ein Millionen Bußgeld,
eigentlich sind es zwei, aus Italien.
Dann geht es bei mir weiter mit zwei Pressemitteilungen, eine aus Baden-Württemberg,
eine aus Nordrhein-Westfalen mit den Themen Datenschutzvorfallsmanagement in Kliniken.
Und das zweite Thema ist die Datenverarbeitung bei Betriebsratswahlen.
Und zu guter Letzt habe ich zwei Veröffentlichungen noch mitgebracht. Witzig, 2-2-2.
Werke ich jetzt erst.
Ja, man hätte zunächst gesagt, hätten wir nachher das als Konzept verkaufen können.
Ich habe dabei eine Sicherheitslücke im Linux-Körnel, die nicht ganz ohne ist.
Dann schauen wir auf unser Titelthema,
nämlich Neub, die die Hamburger Datenschutzaufsichtsbehörde verklagt.
Dann hätte ich allerdings auch noch zwei Veröffentlichungen mit dabei.
Damit würde ich sagen, schöner Themenmix, Laura. Lass uns starten.
Das mache ich sehr gerne. Mit meiner ersten Nachricht, denn die italienische
Datenschutzbehörde verhängt 2 Millionen Bußgelder, und zwar wegen der unrechtmäßigen
Datenverarbeitung innerhalb von Apps.
Hierbei geht es um GPS-Standortdaten und den Kamerazugriff.
Die italienische Datenschutzaufsichtsbehörde hat gegen die Poste Italiane und
Poste Pay Bußgelder in Höhe von insgesamt 12,5 Millionen Euro verhängt.
Der Grund hierbei war, dass die Apps BancoPoster und Postepay personenbezogene
Daten von Millionen Nutzerinnen und Nutzern unrechtmäßig verarbeitet haben.
Konkret mussten die Nutzer für die Nutzung der Apps zustimmen,
dass umfangreiche Daten von ihren Smartphones übertragen werden.
Die Aufsichtsbehörde bewertet diese Praxis als unverhältnismäßigen Eingriff
in die Privatsphäre und besonders kritisch war hierbei, dass eben die Einwilligung
faktisch Zwangsvoraussetzung für die Nutzung der App war.
Also die Freiwilligkeit war hierbei überhaupt nicht gegeben.
Die Unternehmen begründeten die Einstellung mit der Betrugsprävention,
jedoch lässt das die Behörde nicht in dieser Art gelten.
Also diese umfassende Überwachung von Gerätedaten sah sie hier als unverhältnismäßig an.
Neben den Verstößen der Grundsätze der Datenminimierung und Zweckbindung wurde
die unzureichende Transparenz gegenüber den Nutzerinnen und Nutzern der App bemängelt.
Außerdem fehlten wohl die Datenschutzfolgenabschätzungen oder waren eben auch
mangelhaft, sowie ausreichende Sicherheitsmaßnahmen.
Es konnten durch die Behörde Defizite bei den Speicher- und Löschkonzepten nachgewiesen werden.
Außerdem gab es auch Fehler bei der Einbindung von Auftragsverarbeitern.
Ja, eine bunte Blumenstrau, sage ich jetzt mal, an Verstößen und deshalb glaube
ich wenig, ja, nicht wenig, sondern es ist sehr nachvollziehbar,
dass es hier natürlich auch zu so einem hohen Bußgeld kommt.
Das können wir jetzt für uns, für die Praxis mitnehmen. Ich glaube,
wie an so vielen Stellen halt eben auch, das, was ich vorhin gesagt habe,
das Thema Einwilligung.
Also wie wichtig es ist, immer den Grundsatz der Freiwilligkeit auch hierbei
mit zu betrachten, insbesondere bei zentralen Diensten, aber auch bei technischen
Maßnahmen immer die Erforderlichkeit überprüfen.
Ich denke mal, das ist ja auch ein erster Schritt, der auch durchaus bei der
Datenschutzfolgenabschätzung mit im Blick sein sollte. Hier auch eben bei neuen
Technologien und umfangreichen Datenzugriffen, dass man hier natürlich auch
diesen Vorgang intern noch im Blick hat.
Aber natürlich auch die Sicherheitsmaßnahmen dürfen nicht fehlen,
insbesondere bei übermäßiger Datenerhebung.
Ja, die sollte es ja auch eigentlich nicht geben, aber dass wenn man doch eine
große Menge von Daten erhebt, dass hier doch eben auch entsprechende Sicherheitsmaßnahmen greifen.
Ja, und zu guter Letzt, Transparenz, auch das für die Betroffenen sicherlich
nachvollziehbar und ja auch eben ein Grundsatz aus der Datenschutz-Grundverordnung,
dass die Nutzerinnen und Nutzer auch eben verstehen müssen, welche Daten warum verarbeitet werden.
Und da stellen wir auch immer öfter fest, Heiko, in der Praxis,
dass auch so richtig gute Datenschutzhinweise gar nicht immer so einfach sind.
Nein, das ist ja auch immer die Kunst, es nicht zu ausufern zu machen,
weil es gibt natürlich viele, die übertreiben es dann auch mit den Datenschutzhinweisen.
Ich glaube, da ist am Ende ja auch keine mitgedient.
Auf der anderen Seite wird ein bisschen was, muss ja auch gesetzlich drinstehen.
Deswegen ist das natürlich auch ein schwieriger Grad, auf dem man da als Unternehmen
oder Datenschützer wandelt.
Ich finde aber das Thema gerade Standortdaten oder überhaupt,
ich bin überrascht, manche Apps, die mich dann auch fragen, ob sie denn auf
den Standort zugreifen dürfen, was für mich halt bei manchen Apps nicht nachvollziehbar
ist, warum sie das benötigen.
Also von daher finde ich das schon ganz gut, wenn man da auch nochmal kritischer hinguckt.
IT-Forscher haben eine Sicherheitslücke im Linux-Körnel entdeckt,
die alle großen Distributionen betrifft und Hutzugriffe ermöglicht.
Die Forscher haben die Schwachstelle im Umgang mit dem Speicher im Körnel gefunden
und es geht dabei um eine fehlerhafte Verarbeitung von Daten im sogenannten Page Cache.
Die Lücke wurde bei Sicherheitsanalysen entdeckt und wurde laut Heisewohl offenbar
mit dem KI-Werkzeug XINT-Code aufgespürt. spürt.
Die Forscher haben sie dann Copy-Fail genannt und das Risiko aber auch als hoch eingestuft.
Deswegen bringe ich es heute hier auch mal mit.
Denn ausgenutzt werden kann die Lücke schon mit einem sehr kleinen Programm.
Hier ist nur ein Python-Skript mit gerade mal 730 Byte ausreichend.
Also das ist echt nicht viel in der heutigen Zeit.
Und es wird dann eine Datei mit besonderen Rechten manipuliert und so erlangen
die Angreifer dann Root-Rechte auf das System.
Es ist so, dass es Voraussetzungen ein lokaler Zugriff auf das System ist,
also kein physischer, aber man muss halt einen lokalen Benutzer haben und die
Lücke ist vor allem in Mehrbenutzersystemen daher natürlich relevant,
aber auch Angreifer, die zum Beispiel natürlich eine Schwachstelle in einem
anderen Service ausnutzen und somit dann erstmal einen lokalen Zugriff auch
erlangen, haben mit der Lücke natürlich ein leichtes Spiel dann auch Rootrechte zu erlangen.
Und vor allen Dingen sie ist auch in sogenannten Container-Umgebungen kritisch,
also dort, wo Anwendungen und Systeme dann sich eine Hardware teilen,
weil durch diese Lücke kann auch die Trennung zwischen Containern und Hosts umgangen werden.
Daher ist hier aus meiner Sicht schon ein erhöhtes Risiko natürlich für Unternehmen vorhanden,
wenn Systeme natürlich gerade sensible Daten verarbeiten und somit ja Angreifer
dann doch wahrscheinlich einen
vollständigen Zugriff auch auf personenbezogene Daten erhalten können.
Beziehungsweise natürlich auch gerade bei Web-Servern, die ja sehr häufig auf
Linux laufen, natürlich auch Risiken dann entstehen, dass man die Server für
andere Zwecke missbraucht oder von den Systemen dann zum Beispiel auch auf andere
Systeme sich weiterverbinden kann.
Als Gegenmaßnahme stehen wohl schon erste Sicherheitsupdates für den Kernel
bereit und von daher ist natürlich die dringende Empfehlung,
Systeme auch wirklich zeitnah zu aktualisieren.
Denn klar, wie gesagt, gerade bei Servern, die von mehreren Nutzern genutzt
werden oder die dann auch wirklich im Netz direkt mit bestimmten Services zur
Verfügung stehen, da sehe ich wirklich die größten Risiken.
Und alternativ, wenn man jetzt nicht direkt patchen kann, dann kann man natürlich
auch gucken, bestimmte Kernelfunktionen vielleicht zu deaktivieren.
Da würde ich aber vorschlagen, geht auf eure Admins zu und die sollen sich das
dann nochmal ein bisschen genauer angucken.
Genau, am besten noch vor dem langen Wochenende. Ich glaube,
die Nachricht ist ja auch erst heute Morgen bei Heise veröffentlicht worden.
Also sind wir schon sehr früh dran damit.
Wie gehen eigentlich Gesundheitseinrichtungen mit Datenschutzvorfällen um?
Das hat sich die Landesbeauftragte für den Datenschutz und die Informationsfreiheit
in Nordrhein-Westfalen angesehen.
Die LDI NRW hat sich, wie gesagt, das Datenpannenmanagement von 33 größeren
Kliniken in Nordrhein-Westfalen im Rahmen einer Befragung angesehen und geprüft.
Darunter waren eben Unikliniken und Krankenhäuser. Gerade Kliniken verarbeiten
ja eben besonders sensible Gesundheitsdaten und deshalb ist hier ein besonders
gutes Management beim Thema Datenschutzverletzungen sehr wichtig.
Das Ergebnis der Umfrage, viele Kliniken und Krankenhäuser verfügen über hohe
Standards, insbesondere bei der IT-Sicherheit.
Gleichzeitig gibt es aber Hinweise auf Defizite, insbesondere bei der internen
Erkennung und Dokumentation von Datenpannen.
Besonders auffällig war laut der Pressemitteilung der Landesbehörde,
dass zwölf Kliniken angaben, in den Jahren 2023 und 2024 keine einzige Datenpanne verzeichnet zu haben.
Das hält das LDI NRW für äußerst unwahrscheinlich.
Ich auch.
Ich glaube, da schließen wir uns an. Die LDI NRW machte anhand der Ergebnisse deutlich,
dass zwar Datenpannen auch bei hohen Sicherheitsstandards passieren können und
nicht zwangsläufig jede der Aufsicht gemeldet werden muss, aber dass mindestens
jede Datenpanne intern dokumentiert werden muss und das auch bei geringem Risiko.
Häufige Fallgruppen waren eben nicht Cyberangriffe, sondern Fehlversendungen
und unbefugte Weitergaben bei den anderen Kliniken.
Also das sind ja wirklich ganz normale menschliche Fehler, die einfach in der Arbeit passieren.
Wenn eben jetzt über zwei Jahre hinweg gar keine Datenpanne bekannt wird,
spricht das doch eher dafür, dass Vorfälle nicht erkannt, nicht weitergeleitet
oder eben nicht korrekt dokumentiert wurden.
Also Kliniken und andere Organisationen sollten dies jetzt eben nochmal zum
Anlass nehmen, ihre internen Meldewege besonders zu überprüfen.
Also wissen Beschäftigte, wann eine Datenpanne vorliegt und an wen sie diese
überhaupt melden müssen,
finden Schulungen regelmäßig statt, um genau hier eben auf die typischen Alltagsfehler
wie Fehlversand, Falsche Empfänger oder auch versehentliche Offenlegungen hinzuweisen
oder das Personalheben entsprechend auch zu schulen.
Aber eben auch kleinere Vorfälle sollten dokumentiert werden,
um eben auch Muster zu erkennen und Prozesse zukünftig verbessern zu können.
Im Rahmen der Pressemitteilung hebt die LE NRW nochmal besonders hervor,
dass wohl Kliniken Betroffene teilweise auch dann informiert haben,
wenn rechtlich gar keine Benachrichtigungspflicht bestand.
Das ist, wie gesagt, ist nicht verpflichtend, aber kann natürlich durchaus dabei
helfen, mögliche Folgen für Betroffene frühzeitig abzumildern,
auch wenn die vielleicht nur in einem geringen Rahmen stattfinden.
Also auch da wieder unsere Praxusempfehlung, glaube ich, lautet auch da,
es ist so wichtig, dass Vorfälle erkannt werden, bewertet werden,
dokumentiert werden, aber auch, da schließen wir uns der LTI NRW ja auch an,
eben Verbesserungen daraus abgeleitet werden zu schauen.
Wie kann ich Prozesse optimieren, dass es meinen Beschäftigten auch leicht gemacht wird,
eben hier Datenpannen, Datenschutzverletzungen zu melden und ich glaube auch
diese Hemmschwelle abzubauen, weil es bedeutet einfach ja ein viel,
viel größeres Risiko für das Unternehmen,
wenn Datenschutzvorfälle nicht gemeldet werden.
Auch diese Pflicht, dass man natürlich Datenschutzverletzungen intern dokumentieren
muss, auch wenn sie nicht gemeldet sind.
Ich glaube, das ist etwas, was in vielen Unternehmen untergeht.
Also viele sich einfach dieser Verpflichtung nicht so bewusst sind.
Von daher sei da jeder auch nochmal daran erinnert, das zu gucken,
wo er denn solche Dinge wirklich am besten strukturiert ablegt.
Weil wir sehen es ja hier, dann kommt mal eine Aufsichtsbehörde,
fragt danach und wenn man da nichts aufgeschrieben hat, ist halt doof.
Eine Klage von Neub soll die Hamburger Datenschutzbehörde zwingen,
Maßnahmen gegen PimEyes mit wechselnden Firmensitzen wie den Seychellen zu ergreifen.
PimEyes sammelt, ähnlich unseres langjährigen Dauergastes hier in den News,
Clearview AI, automatisiert Milliarden Bilder aus dem Internet.
Das Unternehmen hat dann daraus eine Datenbank mit biometrischen Daten aufgebaut
und Nutzer können und konnten zumindest Fotos hochladen und damit dann auch
weitere Bilder derselben Person finden.
Die Suche hat also auf Gesichtserkennung basiert und natürlich damit biometrische,
also besonders sensible Daten verarbeitet.
Auslöser war dann eine Beschwerde eines Betroffenen im Juli 2020 und die hat
sich dann gegen die Verarbeitung der Daten durch PIM-EIS gerichtet,
damals dann an die Hamburger Datenschutzaufsichtsbehörde gerichtet.
Diese hat nun leider fünf Jahre gebraucht, um jetzt zu einer Entscheidung zu
kommen, die PIM-EIS zwar als rechtswidrig einstuft und auch festgestellt hat,
dass Auskunfts- und Löschansprüche hätten erfüllt werden müssen.
Konkrete Maßnahmen zur Durchsetzung hat die Behörde aber nicht ergriffen und
hat dies damit begründet, dass das Unternehmen im Ausland sitze und nicht reagiere.
Stattdessen hat sie nur ein Informationsschreiben versendet.
Interessant finde ich, dabei hat die Behörde selber in ihrem Tätigkeitsbericht
2020 festgehalten, dass ein Firmensitz außerhalb der EU Maßnahmen nicht ausschließt.
Sie hat in dem Bericht erklärt, dass die DSGVO natürlich auch für Anbieter gilt,
die ihre Dienste in der EU anbieten und Unklarheiten bei den Zuständigkeiten
dürften kein rechtliches Vakuum schaffen,
in dem biometrische Geschäftsmodelle ohne Kontrolle blieben.
So der Hamburger Datenschutzbeauftragte 2020.
Von daher hat jetzt Neub, also die Datenschutzrechtsorganisation von Max Schrems,
Non of Your Business, gefordert, dass die Behörde wirksame Schritte einleitet.
Genannt wurden beispielhafte Maßnahmen wie Eingriffe bei EU-Dienstleistern oder
finanzielle Sanktionen innerhalb Europas bis hin zu Maßnahmen gegen die verantwortliche
Personen seien ja möglich.
Und daher hat die Klage den Gegenstand,
die Untätigkeit der Behörde trotz festgestellter Verstöße zu beheben.
Und das Gericht soll nun klären, ob die Behörde zu konkreten Durchsetzungsmaßnahmen
verpflichtet ist oder nicht.
Dann muss die Behörde natürlich im Erfolgsfall erneut entscheiden,
was sie dann konkret tut.
Ich kann das verstehen aus einer aufsichtsbehördlichen Perspektive,
dass man da natürlich begrenzte Mittel nur hat und die Zuständigkeit ist da
im Zweifelsfall natürlich auch mehr als fraglich,
aber auf der anderen Seite braucht es vielleicht auch mal so einen Präzedenzfall,
was Behörden in so einem Fall tun können und dürfen und müssen.
Das denke ich auch. Aber auch seitens des Unternehmens ganz schön pfiffig,
sich einfach totzustellen.
Richtig. Interessant ist, dass das Unternehmen tatsächlich mal seinen Sitz auch in Polen hatte.
Also es hat wohl ständig wechselnde Sitze und das ist auch ein Vorwurf von Neub,
dass man bei der Hamburger Aufsicht wohl nicht wirklich geprüft hat,
ob die Firma wirklich auf den Seychellen sitzt oder ob es vielleicht auch noch
in der EU irgendwelche agierenden Personen gibt.
Also von daher, es ist natürlich auch anscheinend eine bewusste Taktik,
sich irgendwie der Datenschutzkontrolle in Europa zu entziehen, hat man das Gefühl.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg
hat sich mit der Frage beschäftigt, wann Geburtsdaten bei Betriebsratswahlen
in Listen und Vorschlägen veröffentlicht werden dürfen.
Das Ergebnis gab er nun diese Woche in einer Pressemitteilung bekannt.
Im Zuge der aktuellen Betriebsratswahlen, also jetzt 2026, haben sich wohl vermehrt
Beschwerden und Anfragen bei der Datenschutzaufsichtsbehörde angehäuft,
weshalb eben jetzt auch vielleicht dieser Pressemitteilung notwendig wurde.
Die Antwort auf die Frage ist dabei differenziert.
Es gibt ja beispielsweise die Vorschlagslisten, also die Kandidatenlisten und
hier wird die Nennung des Geburtsdatums als zulässig gewertet.
Die Verarbeitung richtet sich hierbei nach der Wahlordnung zum Betriebsverfassungsgesetz
und damit eben auf Artikel 6 Absatz 1 Lit C DSGVO, also die gesetzliche Verpflichtung.
Hier ist die Veröffentlichung von Name, Vornamen und Geburtsdatum gesetzlich vorgesehen.
Anders ist dies aber bei den Wählerlisten, laut § 2 der Wahlverordnung.
Diese enthält intern zwar auch Geburtsdaten und wird im Betrieb ausgelegt,
aber in der öffentlichen Version, also in der veröffentlichten Version,
sollen keine Geburtsdaten enthalten sein, so die Behörde.
Hier fehlt es wohl eben an einer Rechtsgrundlage.
Warum diese Entscheidung von der Aufsichtsbehörde wird auch erklärt,
denn die liegt darin begründet in der Freiwilligkeit. Bei der Wählerliste ist
es so, dass Beschäftigte automatisch aufgenommen werden.
Sie haben also dadurch keinerlei Einfluss auf den Umfang der Datenverarbeitung.
Bei der Vorschlagsliste ist es wiederum anders.
Hier müssen die Kandidierenden schriftlich zustimmen. Also es ist hier eine
ganz bewusste Entscheidung.
Also wer kandidiert, akzeptiert dabei auch die Veröffentlichung bestimmter Daten
inklusive des Geburtsdatums.
Also Wahlvorstände sollten eben jetzt genau differenzieren, also Wählerlisten
ohne Geburtsdaten veröffentlichen, Vorschlagslisten entsprechend den gesetzlichen Vorgaben erstellen.
Aber auch für den Betrieb ist es natürlich besonders wichtig für die Unternehmen,
die diese Wahlen auch durchführen, dass hier die Sensibilität dabei da ist.
Also auch bei den Datenschutzbeauftragten mit darauf achten,
dass eben hier die Sensibilisierung der Mitarbeiter passiert,
damit eben häufig entstehende Datenschutzverstöße aufgrund einfacher Unkenntnis
der Unterschiede vermieden werden.
Und natürlich auch wie an jeder anderen Stelle, wo wir haben Datenverarbeitung,
immer so ein bisschen das Thema Datenminimierung beachten.
Denn auch bei gesetzlicher Grundlage sollte eben nur das auch veröffentlicht
werden, was auch wirklich, wirklich erforderlich ist. Finde ich ganz interessant.
Wie gesagt, weil aktuell ja wirklich viele Wahlen laufen. Bekommen wir ja auch mit.
Auf jeden Fall. Und damit kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen.
In dem Fall, glaube ich, sind es in erster Linie Veröffentlichungen.
Die EU-Kommission macht zum Jugendschutz ernst und fordert die Mitgliedstaaten
auf, konkrete Lösungen zur Altersverifikation umzusetzen, statt nur freiwillige
Maßnahmen der Plattformen zu akzeptieren.
Dazu hat sie nun einen Leitfaden veröffentlicht. Kern ist eine europaweit einheitliche
datenschutzfreundliche Altersprüfung, bei der Nutzer ihre Alter nachweisen können,
ohne zusätzliche personenbezogene Daten dem Webseitenbetreiber gegenüber offenlegen zu müssen.
Das zugrunde liegende Dokument liefert jetzt dafür die technische und konzeptionelle
Blaupause, wie solche Systeme interoperabel und DSGVO-konform ausgestaltet werden sollten.
Für Plattformen wird das Thema ja zunehmend verpflichtet, da sie nach dem Digital
Services Act wirksame Maßnahmen zum Schutz Minderjähriger umsetzen müssen.
Und ich glaube für Datenschützer ist natürlich wie gesagt das Thema auch durchaus
interessant insbesondere natürlich wegen Privacy by Design Ansätzen und von
daher sollte, finde ich dieses Dokument, kann man sich durchaus sollte man sich, könnte man sich
eventuell ansehen, wenn man ja in einem Unternehmen für den Datenschutz zuständig
ist oder auch für das Thema Altersverifikation zuständig ist,
für einen Anbieter, der dazu verpflichtet ist.
Inwieweit ist jetzt, also ich gehe mal schwer davon aus, wir hatten ja jetzt
auch die Meldung in den letzten Wochen zu der App der EU-Kommission zur Altersverifikation,
einschließlich der Lücken.
Aber ich gehe natürlich mal davon aus, dass das hier ein ganz stimmiges Bild
wird und dass man damit wahrscheinlich auch die eigene App wahrscheinlich nochmal
ein bisschen pushen möchte.
Ich habe ja auch Veröffentlichungen mitgebracht. Und zwar zum einen ist es ein
Jahresrückblick, nee falsch, Jahrzehntsrückblick.
Nämlich anlässlich des 10. Jahrestags der Datenschutzgrundverordnung erinnert
der Europäische Datenschutzausschuss an die Einführung der Verordnung und die
Stärkung auch der Aufsichtsbehörden in diesem Zeitraum.
Also klar, ohne die Datenschutzgrundverordnung gäbe es den Europäischen Datenschutzausschuss in der Form nicht.
Behandelt also darin die Kooperation und aber auch, wie die Durchsetzung in
den letzten Jahren verbessert wurde.
Aber auch natürlich, wie mit dem breiten digitalen Regulierungsrahmen jetzt
mit DSA, DMA oder den KI-Gesetzen gehandhabt wird, wie sich das so entwickelt hat.
Also das packen wir auch gerne in die Shownotes.
Wer sich jetzt fragt, wieso zehn Jahre? Das war doch 25. Mai 2018.
Kurz zur Erinnerung, kleine Geschichtsstunde, zwei Jahre vorher,
2016 ist sie ja schon final gewesen und veröffentlicht worden,
die zwei Jahre galt sie, aber war halt noch nicht anwendbar,
also von daher ist zehn Jahre schon richtig gerechnet.
Das BSI hat mit den Criteria for Cloud Computing Autonomy.
C3A abgekürzt, erstmals einen Kriterienkatalog veröffentlicht,
der messbar machen soll, wie souverän Cloud-Dienste tatsächlich sind.
Im Fokus steht die Idee der digitalen Souveränität, also das kennen wir ja auch
aus vielen Diskussionen.
Unternehmen und Behörden sollen ja die Kontrolle über ihre Daten,
Systeme und Abhängigkeiten von Cloud-Anbietern behalten, insbesondere mit Blick
auf neue Risiken wie Cyber-Dominanz.
Zielrichtung des Dokuments ist es, objektive und überprüfbare Maßstäbe zu schaffen,
mit denen sich Cloud-Angebote vergleichen und Risiken natürlich entsprechend
bewerten lassen und das natürlich ergänzend zu den bestehenden Sicherheitsstandards
wie unter anderem dem C5.
Ja, es richtet sich an Organisationen, die Cloud-Dienste nutzen oder beschaffen,
also Unternehmen, öffentliche Stellen, aber auch Kritisbetreiber,
auch Anbieter, die diese Anforderungen natürlich künftig selber erfüllen wollen
oder müssen und nachweisen müssen.
Ich finde es eine ziemlich gute Idee, dafür mal was Messbares zu machen.
Ich denke etwas, was wie gesagt auf jedes Unternehmen ja immer wieder eine wichtige
Frage ist. Wie souverän ist man denn eigentlich?
Dies übrigens gar nicht so einfach zu beantworten, denn Souveränität ist ja
auch immer ein Stück Frage der Definition.
Also von daher ein super spannendes Thema und wie gesagt, jeder,
der sich mit dem Thema Souveränität der eigenen im Unternehmen beschäftigen
möchte, glaube ich, ist da auch an einer guten Stelle, sich das mal anzusehen.
Und zu guter Letzt habe ich mitgebracht ein weiteres FAQ zum Thema Nutzung von
künstlicher Intelligenz.
Die Landsbeauftragte für den Datenschutz in Niedersachsen reiht sich da ein
in die, ja schon eine Reihe von Dokumenten, die es ja schon mittlerweile auf nationaler Ebene gibt.
Und ja, in ihrem FAQ richtet sie eben die Fragen darauf aus,
professionellen Nutzerinnen und Nutzern zu helfen.
Also wann ist das KI-Gesetz anwendbar und wie ist es eben mit bestehendem Datenschutzrecht
vereinbar und ja vielleicht noch
als Ergänzung, das soll auch eben künftig laufend aktualisiert werden.
Kann sicherlich für das ein oder andere Unternehmen, nicht nur in Niedersachsen, eine Hilfe sein.
Wunderbar. Da haben wir viele praxisrelevante Tipps und Informationen heute
dabei gehabt. Vielen Dank, Laura.
Danke auch.
Und damit auch euch vielen Dank. Vergesst nicht, uns bei Gelegenheit zu bewerten.
Gerne auch mit fünf Sternen, wenn ihr das so gut findet, dass ihr die für adäquat
haltet. Wir freuen uns darüber sehr.
Und ansonsten ein schönes, langes Wochenende. Kommt gut in den Mai.
Wie ist es bei dir, Laura? Tanzt du in den Mai heute Abend?
Nein, du?
Nein, ich habe auch noch ein paar andere Themen. Also von daher dann für alle,
die in den Mai tanzen, kommt gut rein und ansonsten bis nächste Woche.
Bleibt uns gewogen und auf bald.
Bis bald.