Plant Trump die Untergrabung des Data Privacy Frameworks? – Datenschutz News KW 04/2025

Transkript zur Folge:

Dann würde ich aber auch nochmal auf einen aktuellen Hackerangriff, Hackerangriff.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutzrückblick.
Wir starten wieder mit euch gemeinsam ins Wochenende und blicken dabei natürlich
zurück auf die Woche des Datenschutzes. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Unser Redaktionsschluss war um 10 Uhr und heute ist Freitag, der 24. Januar 2025.
Laura, wir haben, ich glaube, in der Silvestershow das letzte Mal zusammen waren wir on air.
Von daher freut es mich, dass wir heute wieder zusammen dran sind.
Wie hast du es so die letzten Wochen wahrgenommen? Gab es noch Feedback auf die Silvester-Show?
Ich habe bisher nur Positives gehört, was mich persönlich natürlich sehr freut.
Und ich hoffe natürlich, dass so das ein oder andere positive Feedback sich da noch anschließt.
Weil auch, obwohl das Jahr jetzt schon ein paar Wochen fortgeschritten ist,
ich glaube, weniger aktuell ist die Folge nicht.
Ganz genau. Und von daher, jedem sei das noch mal als Herz gelegt,
wer noch nicht reingehört hat, mag das gerne tun.
Beziehungsweise reinschauen. Das ist auch vielleicht nochmal zur Erinnerung.
Wir sind ja auf YouTube besichtbar.
So und damit legen wir los. Was hast du dabei heute?
Zuallererst habe ich ein Update mitgebracht zur Wahl des europäischen Datenschutzbeauftragten.
Da habe ich ja schon letzte Woche kurz was zugesagt.
Dann ist natürlich auch bei uns das Thema nicht vorbeigegangen,
nämlich der Start von Donald Trump als neuer US-Präsident.
Da bezieht sich unser Top-Thema ja auch zu.
Dann geht es bei mir weiter mit einem Urteil des Oberlandesgerichts Stuttgart,
was die Rechte des Verantwortlichen stärkt oder von Verantwortlichen stärkt.
Und zu guter Letzt habe ich noch eine Sicherheitslücke mitgebracht aus dem Automotive-Bereich.
Und das war nicht die letzte Nachricht, denn natürlich hat es auch in guter
Tradition noch eine Leseempfehlung auf meine Liste geschafft.
Ja, ich schließe mich da an. Ich habe auch eine Veröffentlichung mitgebracht.
Dann würde ich aber auch nochmal auf einen aktuellen Cyberangriff auf D-Trust,
einem Antragsportal für Signatur- und Siegelkarten, berichten,
was sich da aktuell wohl ergibt.
Dann gucken wir einmal in den Norden, nämlich zum Landgericht Lübeck,
wo es um die Meta-Business-Tools irgendeine Entscheidung geht.
Und gleich, direkt nach deiner ersten Meldung, würde ich aber auch was zu Ermittlungen
gegen Versicherungsunternehmen sagen,
die Frau Geig, die Landesdatenschutzbeauftragte von NRW, gestartet hat.
Okay, sollen wir mal loslegen?
Yes, please.
Ja, wie ja gerade schon gesagt, in unserer letzten Folge hatten Natalia und
ich ja schon bereits zu den Neuwahlen des europäischen Datenschutzbeauftragten
berichtet und dass eben der entsprechende Ausschuss der EU-Kommission einen
gewünschten Kandidaten gewählt hatte,
der eben nicht mehr der aktuelle Datenschutzbeauftragte für die EU-Wolzeck Vivi Rowski sein soll.
Jetzt gibt es eben ein Update, denn im Laufe dieser Woche wurde aus Berichten
bekannt, dass die Wahl dessen zu keinem Ergebnis geführt hat.
Also hier geht es weiter, denn EU-Parlament und die Mitgliedstaaten konnten
sich eben nicht einigen, wer dieses Amt zukünftig innehaben soll.
Haben wir natürlich weiterhin ein Auge drauf und werden hier berichten,
sobald es was Neues dazu gibt.
Ich würde ja gerne ein Mäuschen spielen. Also ich habe mich mit dem Thema nicht
so ehrlicherweise so intensiv jetzt beschäftigt.
Aber ich meine, wir haben ja die Meldungen hier gehabt und dass ja auch der
Landkreisbeauftragte Wiewowski ja gegen die Kommission auch mit M365 und so weiter was gemacht hat.
Also es wäre natürlich sehr, sehr traurig, wenn er jetzt quasi nur deswegen
ausgetauscht werden soll, weil er halt gegen die Kommission auch entsprechende Verfahren führt.
Ich weiß es nicht. Vielleicht, wie gesagt, wenn da irgendeiner unserer Zuhörer
tiefer im Thema drin ist und uns was zu den Backgrounds sagen kann oder vielleicht
sogar irgendwo mit dabei war und uns mal hier so ein paar Insights unter der
Hand geben kann. Wir sind da sehr dankbar für.
Also zögert nicht, uns da mal was zuzuspielen, wo das vielleicht ein bisschen
transparenter wird, was da alles hinter steckt.
Ja, ich wäre ja auch gerne für
eine Gossip-Kategorie hier. Der neueste Datenschutz-Gossip heute bei uns.
Das würde vielleicht noch ein anderer Zuhörer bringen. Überlegst du, Heiko.
Ja, wir denken mal drüber nach. Wir brauchen aber Quellen. Wir brauchen Quellen.
Also meldet euch gerne, wenn ihr uns entsprechenden Gossip dann auch hier erstmal
einen Prozess für machen.
Den Gossip-Prozess. Okay, ich mache mal weiter.
Die Landesdandschutzbeauftragte Nordrhein-Westfalen hat Ermittlungen gegen mehrere
Versicherungsunternehmen wegen unerlaubten Datenaustauschs eingeleitet.
Die Unternehmen werden verdächtig, personenbezogenen Daten von Kundinnen und
Kunden in der Auslandsreise Krankenversicherung wohl unerlaubt untereinander geteilt zu haben.
Dieser Datenaustausch erfolgte angeblich über geschlossene E-Mail-Verteiler
und umfasste laut der Pressemitteilung von Frau Geig wohl auch sensible Gesundheitsdaten
sowie Informationen von Minderjährigen.
Es fehlten wohl in diesem E-Mail-Verteiler angemessene Schutzvorkehrungen und
die Betroffenen wurden, wie man es fast erwarten kann, auch gar nicht über den
Datenaustausch informiert.
Bemerkenswert ist an der Stelle, dass es halt ja seit Jahren bereits mit den
Datenschutzaufsichtsbehörden auch ein abgestimmtes Hinweis- und Informationssystem
gibt, das eigentlich für solche Zwecke genutzt werden könnte.
Mit diesem sogenannten HISS-System war damals ein, zumindest nach Auffassung
der Aufsichtsbehörden, ein zuverlässiges System etabliert und Frau Geig vermutet nun,
dass die Versicherer sich zunächst eher abstrakt und vielleicht unabhängig von
konkreten Fällen über Betrugsmuster ausgetauscht haben und nun geht sie davon aus,
dass es über die Jahre hinweg vielleicht dann sich doch irgendwie verselbstständigt
hat und die Unternehmen dann den Verteiler zunehmend halt auch für dann konkrete Fälle genutzt haben.
Finde ich ganz interessant, dass Frau Geig hier an der Stelle quasi die Entschuldigung
schon und die Ausrede mitliefert.
Von daher hoffe ich mal, dass das jetzt natürlich nicht einfach so dabei bleibt,
weil ich finde es halt schon datenschutzrechtlich durchaus gar nicht ohne.
Laut Frau Geig sieht sie die Prüfung aus datenschutzrechtlicher Sicht die Verstöße
allerdings auch noch nicht als abgeschlossen an.
Also von daher bin ich mal gespannt, ob wir da eventuell auch noch über Bußgeldverfahren
zu je in der Zeit berichten werden.
Aber es ist ja schön, dass sie im Vorfeld so transparent über die Untersuchung
berichtet, weil dann ist ja auch eben zu erwarten, dass wir auch über die Ergebnisse
informiert werden können.
Ich hoffe so.
Kommen wir zu unserem Top-Thema, denn die neue US-Regierung greift in das Privacy
and Civil Liberties Oversight Board ein und wirft dadurch erhebliche Fragen
hinsichtlich der Zukunft von Datentransfers zwischen der EU und den USA auf.
Berichten von Neub zufolge hat die neue US-Regierung um Donald Trump in ihren
ersten Amtshandlungen die demokratischen Mitglieder des Privacy and Civil Liberties
Oversight Board, kurz PCLOB.
Zum Rücktritt aufgefordert.
Das PCLOB spielt als US-Aufsichtsbehörde eine entscheidende Rolle bei der Überwachung
von US-Überwachungsgesetzen und ist ein zentrales Element im Transatlantic Data Privacy Framework,
auf das sich ja eben die EU stützt, um den Datentransfer in die USA zu legitimieren.
Durch die Aufforderung zum Rücktritt ist nun anzunehmen, dass die Funktionsfähigkeit
dieses Gremiums beeinträchtigt wird,
was wiederum die Unabhängigkeit der Aufsichtsbehörde infrage stellt und somit
eben indirekte Auswirkungen auf das von uns genutzte Data Privacy Framework hat.
Wie wir ja bereits wissen, basiert eben, dass die PF auf der Annahme,
dass die USA einen angemessenen Schutz personenbezogener Daten gewährleisten
müssen und diese benannte Aufsichtsbehörde ist hierbei eben ein zentrales Element.
Seit den Snowden-Enthüllungen wissen wir ja eben, dass auch über US-Überwachungsgesetze
umfangreiche Zugriffe auf personenbezogene Daten ermöglichen und der Europäische
Gerichtshof hat daher ja auch bereits zweimal entschieden,
dass das US-Datenschutzniveau nicht dem der EU entspricht.
Dennoch wurde eben mit dem Data-Privacy-Framework ein neuer Rahmen geschaffen,
der sich unter anderem auf die Arbeit dieses PCLOB stützt.
Die aktuellen Ereignisse in den USA zeigen einmal mehr, wie fragil eben diese
Entscheidungen sind, auch der EU-Kommission.
Auch hier ist eben die Gefahr da, dass die EU-Kommission den Angemessenheitsbeschluss
widerrufen könnte und wir halt in den Datenverarbeitungsvorgängen wieder auf
die Standardvertragsklauseln zurückfallen müssen mit den entsprechenden weiteren Schutzmechanismen,
wie beispielsweise dem Transfer Impact Assessment.
Aber ich sage mal so, wir haben es euch ja gesagt.
Nein, aber es ist ja schon eine Meinung, die wir auch hier im Podcast ja auch
in Vergangenheit vertreten haben, sich nicht zu sehr auf das CPF zu verlassen
und auch die damit zusammenhängenden Zertifizierungen von Unternehmen dort.
Denn ja, es kann schneller gehen, als uns lieb ist. Und ich sage mal,
wenn es dann sein muss, dann den Fall zu haben, wieder mit sehr viel Aufwand
eben alle bezogenen Datenverarbeitungsvorgänge auf die entsprechenden anderen Garantien zu stützen,
wissen wir auch, dass das für das andere Unternehmen einfach von der Arbeitsliste
her auch sehr herausfordernd sein kann.
Genau, also ich glaube, größere Unternehmen sind da wahrscheinlich auch ähnlich aufgestellt.
Aber, und der Hinweis an der Stelle aber auch erlaubt, schon mal vorausschauend,
falls es wirklich gekippt werden sollte, wie gesagt, von wem auch immer,
Ja, ob wir noch auf Max Schrems warten oder ob die Kommission selber jetzt zum Ergebnis kommt.
Die TIAs müssen dann aber auch wieder geprüft werden.
Ja, weil wie gesagt, sobald sich ja die Rechtslage in den USA verändert und
wie gesagt, das sind ja jetzt, hat ja angeblich über 100 Dekrete unterschrieben.
Also ich glaube US-Experten, die sich damit jetzt auskennen,
haben auch wahrscheinlich jetzt wieder gut zu tun und dürften einmal prüfen,
was sich jetzt halt alles ändert und wie weit dann halt auch,
wie die TIA nachher wieder ausfallen muss.
So ist es ja.
Das Landgericht Lübeck hat die effektive Durchsetzung der DSGVO mittels Unterlassungsklage
gestärkt und stellt klar, dass Anbieter wie Meta für die Konfiguration und Nutzung
ihrer Tools mitverantwortlich sind.
Das Urteil richtet sich gegen die datenschutzrechtliche Praxis von Meta,
das über seine Business-Tools Daten von Webseitenbesuchern erhebt,
speichert und verarbeitet und zumindest im verhandelten Fall auch ohne deren Einwilligung.
Besonders im Fokus steht die Verarbeitung technischer Standarddaten,
zumindest hat man die so benannt, innerhalb des Verfahrens wie Name,
Geburtsdatum, aber auch technische Informationen wie IP-Adressen oder Referral-URL,
die eine nahezu sichere Identifikation der betroffenen Personen ermöglichen.
Und hier ging es halt sowohl um Webseiten als auch um Apps.
Das Gericht verurteilte nun Meta zur Unterlassung dieser Praxis und stellte
fest, dass diese Datenverarbeitungen nicht ohne Einwilligung zulässig sind.
Ich glaube, das ist soweit auch wenig überraschend, ist auch meines Erachtens eher Konsens.
Es hat aber den Hintergrund, dass diese Business-Tools von Meta zwar angeboten
werden, sie verpflichtet aber Webseitenbetreiber zur Einholung einer Einwilligung,
die sie aber wiederum nicht überprüft.
Meiner Erinnerung nach ist das halt ein kleiner Unterschied zum Beispiel zu
Google, die das halt auch zumindest damals, als es mit der DSGVO losging,
auch sehr aktiv überprüft hat.
Lange Rede, kurzer Sinn. Das Gericht sieht Meta also auch verantwortlich im
Sinne der DSGVO, da sie halt die Business-Tools zur Verfügung stellen und die
übermittelten Daten auch halt zum eigenen wirtschaftlichen Vorteil nutzen.
Sie haben Meta daher verurteilt, es zu unterlassen, die URLs von Erklägerinnen
der besuchten Webseiten samt ihrer Unterseiten, den Namen der genutzten Apps
und den Zeitpunkt des Besuchs der jeweiligen Webseite bzw.
App zu erfassen und an die eigenen Server weiterzuleiten. Neben dieser inhaltlichen
Geschichte ist es aber natürlich auch ganz interessant, das Urteil nämlich hinsichtlich der Unterlassung.
Aus dem generellen Regelungsziel der DSGVO sieht das Gericht,
dass die Rechtsordnung für betroffene Personen grundsätzlich eine Möglichkeit
bieten muss, gegen rechtswidrige Datenverarbeitungsvorgänge per Unterlassungsklage vorzugehen.
Also im Ergebnis kann jeder Betroffene theoretisch auch Unterlassungsklagen
gegen Verantwortliche einbringen und auf Unterlassung klagen.
Wieder was gelernt heute.
Wieder was gelernt.
Vielleicht lernen wir auch im nächsten Urteil was, denn laut Hinweisbeschluss
des OLG Stuttgart haften Verantwortliche nicht für Exzesse von Auftragsverarbeitern.
Das Oberlandesgericht Stuttgart hat in einem Hinweisbeschluss vom 15.
Oktober letzten Jahres die Haftungsgrenzen von Verantwortlichen bei Datenschutzverstößen
von Auftragsverarbeitern präzisiert.
Und schließt an das Urteil, was wir letztes Jahr ja auch hatten,
wo es ja darum geht, dass Verantwortliche eben nachweisen müssen oder aktiv
nachfragen müssen bei Auftragsverarbeitern, ob denn Daten nach Verarbeitungszweck
gelöscht worden sind oder nicht,
wie es halt der Auftragsverarbeitung oder die Vereinbarung zur Auftragsverarbeitung auch vorsieht.
Laut dem aktuellen Hinweisbeschluss können sich Verantwortliche auf einen sogenannten
Aufgabenexzess des Auftragsverarbeiters berufen,
wenn dieser eben personenbezogene Daten nach Vertragsende entgegen der Zusicherung
vertragswidrig weiterverarbeitet oder speichert.
Grundlage hierfür sieht das Gericht im Artikel 28 Absatz 10 DSGVO,
der regelt, dass der Auftragsverarbeiter in solchen Fällen selbst als Verantwortlicher gilt.
Im zugrunde liegenden Fall hatte eben ein externer Dienstleister nach Beendigung
eines Auftragsverarbeitungsvertrags personenbezogene Daten vertragswidrig gespeichert,
obwohl die Löschung der Daten zunächst schriftlich bestätigt worden war.
Später kam es zu einem Datenleck. Der Kläger forderte Schadensersatz von der
Beklagten, der Verantwortlichen und warf ihr vor, ihre Überwachungspflichten
gegenüber dem Dienstleister verletzt zu haben.
Das OLG Stuttgart stellte jedoch klar, für Verantwortliche besteht kein Anlass,
die Einhaltung des Auftragsverarbeitungsvertrages über das Vertragsende hinaus
zu kontrollieren, wenn der Auftragsverarbeiter die Löschung der Daten zugesichert
und diese bestätigt hat.
Die Beklagte konnte daher darauf vertrauen, dass die Daten gelöscht wurden.
Gemäß Artikel 28 Absatz 10 des GVO wird laut OLG der Auftragsverarbeiter in
Fällen, in denen er eben personenbezogene Daten für eigene Zwecke oder entgegen
der Weisung des Verantwortlichen verarbeitet, selbst zum Verantwortlichen.
Und das OLG Stuttgart folgte dabei der Rechtsprechung des Europäischen Gerichtshofs,
der bereits Ende 2023 einen Urteil gesprochen hatte und darum betonte,
dass eine Haftung des ursprünglichen Verantwortlichen ausgeschlossen ist,
wenn der Auftragsverarbeiter eben außerhalb des vereinbarten Rahmens handelt.
Das Gericht erkannte nun, dass der Datenschutzverstoß allein auf das vertragswidrige
Verhalten des Auftragsverarbeiters zurückzuführen war und die Beklagte hatte ihre Pflichten,
insbesondere die Auswahl und Überwachung des Dienstleisters während der Vertragslaufzeit
ordnungsgemäß aus ihrer Sicht erfüllt.
Gut, nach Vertragsende, also nochmal zusammengefasst, war sie aus deren Sicht
eben nicht verpflichtet, weitere Kontrollmaßnahmen durchzuführen.
Finde ich, ist ein ganz schönes Urteil, denn eben der Hinweisbeschluss jetzt
nochmal die Rechtssicherheit für Verantwortliche stärkt.
Also eben zusammenzufassen ist, klar, es ist gut daran geraten,
sich eben die Löschbestätigung einzuholen, aber dann nicht immer und immer wieder
kontrollieren zu müssen und nachzufragen, hast du das denn wirklich getan?
Ja, ich kann mir auch nicht vorstellen, dass es am Ende in der Praxis machbar wäre.
Je nachdem, wie viel Dienstleistung ich habe. Und wie oft will ich fragen.
Ich glaube dir aber nicht.
Wir machen weiter mit dem Hackerangriff auf das D-Trust-Antragsportal.
Nach einem Cyberangriff auf das D-Trust-Antragsportal hat sich der CCC gemeldet.
Angeblich hat ein Whitehead-Hacker auf eine API zugegriffen.
Am 13. Januar entdeckte die D-Trust GmbH einen unbefugten Zugriff auf ihren
Antragsportal für Signatur- und Siegelkarten.
Dabei wurden möglicherweise personenbezogene Daten von Antragstellern wie Name,
E-Mail-Adresse und Geburtsdatum sowie in einigen Fällen Adresse- und Ausweisdaten entwendet.
Zugangsdaten, Passwörter und Zahlungsinformationen sollen allerdings unberührt
geblieben sein und auch die Funktion und Sicherheit der ausgegebenen Karten
sei nicht beeinträchtigt gewesen, so D-Trust.
Sie haben auch Maßnahmen ergriffen, die Aufsichtsbehörden informiert,
Strafanzeige erstellt, Betroffene wurden benachrichtigt.
Letzteres können wir sogar aufgrund der Erfahrung bei unseren Kunden bestätigen,
dass das wohl geklappt hat.
Jetzt ist aber wohl laut Heise nach neuesten Erkenntnissen, die darauf hinweisen,
so dass hinter dem Angriff möglicherweise, wie gesagt, ein Whitehead-Hacker
steckt, der auf Sicherheitslücken hinweisen wollte.
D-Trust prüft derzeit diese Hinweise und arbeitet weiterhin an der vollständigen
Aufklärung des Vorfalls, so die Pressemitteilung von D-Trust.
White Hat Hacker, wie sie ja im CCC, im Chaos Computer Club glaube ich so ein
Stück weit zum Selbstverständnis gehören, also,
letztendlich halt die Überprüfung von Tools, von Systemen, von Anbietern,
aber nicht mit dem Ziel, die Daten zu missbrauchen, sondern halt sie offen zu
legen und dann den Verantwortlichen die Möglichkeit zu geben,
sie zu beheben, ist ja meines Erachtens ein durchaus guter Ansatz.
Wenn man sich darauf verlassen kann, das ist natürlich in so zum Metier dann
ein Stück Vertrauenssache.
Ja, ich glaube, ähnlich gelagert ist auch mein nächster Fall,
denn hier waren auch Sicherheitsforscher am Werk, die halt Sicherheitslücken
aufgedeckt haben, damit das Unternehmen es eben besser tut.
Denn ja, es wurde eine Sicherheitslücke bei Subaru festgestellt und Fahrzeuge
konnten wohl aus der Ferne übernommen werden.
Wie Heise diese Woche berichtet, entdeckten Sicherheitsforscher Schwachstellen
im Webportal beim Autohersteller Subaru und konkret soll es beim Modell Impreza
aus dem Jahr 2023 über JavaScript-basierte Angriffe möglich gewesen sein,
Funktionen wie das Entriegeln der Türen, Hupen, Motorstarten oder das Verfolgen
des Standortes zu manipulieren.
Besonders besorgniserregend dabei war eben, dass Bewegungsdaten des Fahrzeugs
aus einem gesamten Jahr durch die Sicherheitsforscher eingesehen werden konnten.
Die Frage bleibt auch hierbei offen, was denn Subaru mit den Daten überhaupt vorhatte.
Ebenso war es wohl zusätzlich möglich, weitere Daten wie zum Beispiel Notfallkontakte,
Rechnungsinformationen, physische Adressen, weitere Nutzer von Fahrzeugen und
viele mehr in Erfahrung zu bringen.
Die Schwachstelle betrifft Millionenfahrzeuge mit der Starlink-Digitalfunktion
in den USA, Kanada und auch in Japan.
Nach Bekanntwerden der Lücken reagierte aber wohl der Autobauer Subaru schnell
und schloss die Sicherheitsprobleme.
Nichtsdestotrotz wirft der Fall natürlich auch jetzt wieder neue Fragen auf
zum Thema Datensicherheit und Privatsphäre moderner Fahrzeuge.
Ja, ist ja nicht das erste Mal, dass diese Angriffsmöglichkeiten aufgedeckt,
in Teilen ja sogar auch schon ausgenutzt wurden.
Aber bei dem Umfang der Daten, Heiko, muss man ja auch sagen,
nicht ganz, ja, nicht nachvollziehbar, dass sich ja auch eben Kriminelle hierauf
stürzen und Begehrlichkeiten an diesen Daten geweckt werden.
Das sehe ich genauso. Das ist immer so. Wenn Daten da sind, sind auch Begehrlichkeiten
da, sei es von Hackern, sei es von anderen Firmen oder sei es vom Staat.
Deswegen ist ja das Prinzip der Datensparsamkeit nicht ganz ohne Grund hier
in Europa in den Datenschutzgesetzen.
Jetzt ist natürlich hier vor allen Dingen eher USA, Kanada und Japan,
wie du sagst, betroffen.
Aber die Fragen sind natürlich am Ende, wie wurde hier in Europa gegebenenfalls
auch mit diesen Daten, also wurden diese Daten hier vielleicht auch erhoben.
Das hast du aber wahrscheinlich jetzt hier nicht rausbekommen in der Kürze der Zeit.
Aber das finde ich wieder ganz schön, dass man da von Sicherheitsforschern spricht
und nicht von Whitehead-Hackern.
Das klingt deutlich vertrauenserweckender Sicherheitsforscher, finde ich.
Sollten wir uns vielleicht hier für Deutschland auch mal angewöhnen.
Kommen wir zu der von dir sehr geschätzten Rubrik Veröffentlichungen und Veranstaltungen.
Der Europäische Datenschutzausschuss, der ETSA, hat am 16.
Januar diesen Jahres einen Bericht über die Umsetzung des Auskunftsrechts durch
Verantwortliche veröffentlicht.
Der Bericht fasst die Ergebnisse koordinierter Untersuchungen zusammen,
die im Jahr 2024 von 30 Datenschutzbehörden in ganz Europa durchgeführt wurden.
Insgesamt nahmen über 1.000 Verantwortliche aus verschiedenen Branchen und öffentlichen
Einrichtungen an der Untersuchung teil.
Es zeigte sich wohl, dass unter anderem viele Verantwortliche mit den ETSA-Leitlinien
01-22 zum Auskunftsrecht nicht ausreichend vertraut sind.
Das ist allerdings auch nur eine von vielen Erkenntnissen daraus.
Der Bericht enthält für jede der identifizierten Herausforderungen eine Liste
von Empfehlungen, die den Verantwortlichen und Datenschutzbehörden berücksichtigt
werden sollten oder können, um die Umsetzung des Auskunftsrechts zu verbessern.
Auf Basis der Ergebnisse soll es aber auch weitere Auswertungen geben und dann
auch weitere Orientierungshilfen zur Konkretisierung der Vorgaben erstellt werden.
Wir verlinken das Dokument natürlich wie gewohnt in unseren Shownotes.
Was ich mich ja nur frage und wie gesagt, so tief bin ich jetzt nicht eingestiegen,
muss ich nochmal reingucken,
wenn ein Kernpunkt schon ist, dass die Verantwortlichen die EZE-Leitlinie von
1.22 zum Auskunftsrecht nicht ausreichend kennen, ob jetzt das am Ende wirklich
hilft, bin mal gespannt, ich habe so meine Zweifel.
Seid doch nicht so voreingenommen.
Wie gesagt, ich gucke es mir nochmal an. Ich habe wieder nur Zweifel.
Ich gucke aber da nochmal rein.
Ja, der europäische Datenschutzausschuss war letzte Woche sehr fleißig,
denn ich habe noch ein weiteres Dokument mitgebracht, nämlich die Leitlinie
zu Pseudonymisierung. Diese wurde nämlich am 17.01.
Veröffentlicht und schafft es hier natürlich auch in die Shownotes.
Die Leitlinien sollen bei der Pseudonymisierung auf rechtssichere und datenschutzkonforme
Weise Vorgaben schaffen und im ersten Teil der Leitlinie werden die rechtlichen
Anforderungen erörtert,
während sich der zweite Teil mit der Umsetzung auf technischer Basis beschäftigt.
Einen Anhang zu Leitlinien gibt es jetzt auch und der zeigt eben Beispiele aus
der Praxis und die Vorteile, die TOM, also die technischen und organisatorischen
Maßnahmen, wie diese denn aussehen können.
Mitgewirkt an dieser Leitlinie hat auch Maike Kamp, die Berliner Beauftragte
für den Datenschutz, die ja aktuell ja auch, das hatten wir ja auch schon berichtet,
den Vorsitz der Datenschutzkonferenz innehat.
Und sie hatte sich ja auch eben dieses Thema, nämlich Pseudonymisierung und
Anonymisierung als Schwerpunktthema für ihre Amtszeit vorgenommen.
Und ja, finde ich dann persönlich auch schön zu lesen, dass das hier auch schon
auf fruchtbaren Boden gefallen ist und sie hier schon mitgearbeitet hat.
Vielleicht noch dazu als kleine Ergänzung.
Es wurde jetzt ein öffentliches Konsultationsverfahren gestartet,
bei dem eben Teilnahmen bis zum 28.
Februar diesen Jahres möglich sind.
Wichtige Ergänzung für alle, die da natürlich noch Feedback geben wollen.
Genau.
Ganz herzlichen Dank. War wieder spannende Themen dabei.
Viel Input für unsere Zuhörer und ein bisschen auch was für mich.
Danke auch.
Vielen Dank. Ja, euch wünschen wir einen guten Start ins Wochenende.
Das, wie gesagt, wird, glaube ich, 2025 nicht langweilig. Das zeigen die ersten
Newsfolgen dieses Jahres schon.
Aber wie gesagt, wir bleiben dran. Bleibt uns gewogen und auf bald.
Bis bald.