Zum Inhalt springen

Schufa-Score vor dem Aus? – Datenschutz News KW 36/2023

    Der Datenschutztalk KW 36
    Moderation:
    avatar
    Heiko Gossen
    LinkedIn Icon Instagram Icon
    avatar
    Markus Zechel

    Was ist in der KW 36 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    • OLG Hamm: Leitentscheidung zu Facebook-Scraping (OLG Hamm, Urteil vom 15.08.2023 – 7 U 19/23)
    • OLG Hamm konkretisiert „elektronische Post“ (OLG Hamm, Beschluss vom 03.05.2023, Az.: 18 U 154/22)
    • Dekompilierung eines Passworts ist eine Straftat (LG Aachen, Urteil vom 27.07.2023 – 60 Qs 16/23)
    • Mozilla Foundation: Vernichtendes Urteil zum Datenschutz in Autos
    • Schufa: Score ist kein maßgebliches Kriterium für Vertragsverhältnisse
    • Meta: Widerspruch zur Datenverwendung bei KI-Training
    • Nutzerdaten von X sollen künftig für KI-Training genutzt werden
    • Registermodernisierung kommt mit Datenschutzcockpit
    • BVerwG erklärt Vorratsdatenspeicherung endgültig für rechtswidrig (BVerwG, Urteil vom 14.08.2023 – 6 C 6.22 und 7.22)
    • EuGH zur Verwendung von Vorratsdaten bei Dienstvergehen (EuGH, Urteil vom 07.09.2023 – C-162/22)

    Empfehlungen & Lesetipps

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/schufa-score-vor-dem-aus-datenschutz-news-kw-36-2023

    TeamDatenschutz #TeamInfoSec #DSTalk

    Transkript zur Folge: Online Zulassung einer OZG, Moment zu gucken. Äh Stopp, Stopp, Stopp, Stopp. Das spannend läuft weiter. Ich kann nicht stoppen. Fighter, nein, nein, nein, nein, nein. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Wir starten heute wieder gemeinsam mit Ihnen ins Wochenende und das wie Sie das von uns gewohnt sind, natürlich mit einem Blick auf die Datenschutzwoche. Heute ist der 8. September zweitausenddreiundzwanzig, unser Redaktionsschluss war, wie sie das von uns auch ebenfalls kennen, um zehn Uhr. Mein Name ist Heiko Gossen. Und mein Name ist Markus Sechel. Wir haben wieder einen bunten Strauß an Themen dabei, einige Urteile. Markus, was ist bei dir heute alles mit im Päckchen drin? Ähm ich habe zwei Entscheidungen vom OLG in Hamm mitgebracht. Dann hat sich Muzela beziehungsweise die Modzila Foundation mit Datenschutz in Autos beschäftigt. Dann möchte ich was zum Thema KI-Training in sozialen Netzwerken erzählen und habe noch das Thema Vorratsdatenspeicherung zwei Entscheidungen auf meinem Zettel. Das klingt schon mal vielversprechend. Ich hätte ein Urteil vom Landgericht Aachen zum Thema Dekollierung von Passwörtern und Strafbarkeit. Dann ein Update zum Verfahren beim EuGH zum Schufa-Score und, Beziehungsweise dem, was die Schufa draus macht. Dazu gleich noch mal mehr. Ist ja unser Titelthema heute und dann haben wir noch mal einen Blick werfen wir noch mal einen Blick auf das Thema Registermodernisierung und ich nenn’s mal digitales Rathaus. Und last but not least dann noch mal ein Update zum Thema EU US Dataprivacy Framework kurz äh ois DPF. Und damit würde ich sagen gehen wir direkt in das erste Thema rein. Lege ich los. Super, ja. Ähm wie gesagt, zwei Entscheidungen vom EuGH Hamm. Ich fange mal mit der ersten Entscheidung an, die sich auf das Thema Facebook scraping bezieht. Auch eine gefühlt unendliche Geschichte und ganz viele unterschiedliche Urteile, die dazu gefallen sind. Also das OLG hat jetzt entschieden, dass in dem Fall keinen Schadenersatz zu zahlen ist, weil, Auch das ist wenig überraschend, weil sich das hier auf eine Entscheidung des Europäischen Gerichtshofs bezieht hier kein, materielle immaterieller Schaden geltend gemacht worden ist. Also ein reiner Verstoß ging die Datenschutzgrundverordnung löst eben noch keinen Scheinersatzanspruch aus. Wir hatten in dem Zusammenhang ja, Ähm auch über die Entscheidung vom Landgericht in Ravensburg berichtet, wo der betroffenen Personen einen Schadenersatz zugesprochen worden ist. Hier hat die Person aber auch einen Schaden geltend gemacht, weil durch die Veröffentlichung ihrer Daten tatsächlich einen Schaden entstanden ist, Die Entscheidung, auf die sich das OLG in Hamm bezieht, ähm war vor Instanz sich vom Landgericht in Bielefeld entschieden worden und da die betroffene Person eben nur vorgetragen, dass gegen die DSGVO verstoßen worden ist und, Den Nachweis, dass ein Schaden entstanden ist, tatsächlich nicht führen können. Von daher sieht der Sachverhalt hier etwas anders aus. Also wer wer da was machen möchte, immer gucken, dass man vorträgt, dass man auch wirklich einen Schaden hatte, Die zweite Entscheidung ist auch relativ offensichtlich. Hier hat sich das OLG Hamm noch mal mit der Frage beschäftigt, was ist eigentlich elektronische Post? Interessanter Sachverhalt, der auch hier zugrunde liegt interessant ist wieder Lieblingswort des Monats, habe ich den Eindruck. Direkt noch spannend. Na spannend, genau, Hier war’s so, dass ein Makler oder ein Unterstützer, ein Dienstleister für Makler auf Internetseiten, äh Telefonnummern, also, Anzeigen sich rausgesucht hat, wo keine Telefonnummern waren und dann die Personen kontaktieren sollte als Dienstleistung, um die. Telefonnummer in Erfahrung zu bringen, damit der Makler dann da Kontakt aufnehmen konnte und man hat sich jetzt darüber gestritten, ob die Leistung wirklich so erbracht worden ist, wie das vertraglich vereinbart ist und in dem Zusammenhang ist dann wohl auch die Frage rausgekommen, lagen eigentlich Einwilligungen vor, die man natürlich wettbewerbsrechtlich braucht in dem Zusammenhang und dann war auch die Frage zu klären, was ist eigentlich elektronische Post, Und ja, auch hier, wie gesagt, hatte das Gericht sich im im Prinzip auf Entscheidungen des Europäischen Gerichtshofs bezogen und die Frage der, elektronischen Post noch mal betrachtet. Wieso bin ich überraschend, dass die Richtlinie 2285 der Maßstab bietet dafür, Und auch der Europäische Gericht so festgestellt hat, dass der Gesetzgeber damit, Eben nicht nur E-Mail gemeint hat, sondern alle anderen Arten, um mit Verbrauchern letztendlich in Kontakt zu treten, also auch so soziale Netzwerke wie WhatsApp können mit dazugehören und das Ganze auch immer dem technologischen Wandel unterliegt, also Das, was wir uns heute noch nicht als, Möglichkeiten vorstellen, wird auch zukünftig mit einbezogen werden. Also zu sagen, nö, das war ja irgendwie keine E-Mail erreicht in dem Zusammenhang nicht aus. Ich glaube, dass es tatsächlich für die Praxis noch mal wichtig, ähm da wo halt viel ja auch über soziale Medien wie Xing oder LinkedIn vielleicht dann äh Ansprachen erfolgen, dass man das letztendlich sich auch unter einerseits den wettbewerbsrechtlichen Asp nochmal anguckt, aber halt auch immer dran denkt, dass wir natürlich im datenschutzrechtlichen Aspekt dann ja auch nicht auf andere Rechtsgrundlagen grundsätzlich zurückfallen können, wenn halt wettbewerbsrechtlich eine Einwilligung, Vorgesehen ist. Also glaube ich, ist für die Praxis wirklich noch mal ein Punkt, wo man hingucken sollte im Betrieb. Was auch noch relevant ist in, was aus der Entscheidung in Ordnung mit hervorgeht, nur weil man halt eine Telefonnummer angegeben hat, wenn man eine Immobilie verkaufen möchte, dann bedeutet das nicht, dass man auch zugestimmt hat, dass Makler einen kontaktieren können, um ihre Maklerdienste anzubieten. Was in dem Zusammenhang geht, dass Makler einen kontaktieren können, wenn es Kaufinteressenten gibt, Da dafür würde die Einwilligung dann angenommen werden, aber irgendwelche Dienste, die die Makler dann anbieten nach dem Motto, machen Sie das doch lieber mit mir, ist eben über diese Einwilligung auch wettbewerbsrechtlich nicht abgedeckt, also da Vorsicht geboten. Dann schauen wir einmal zum Landgericht Aachen. Das hat entschieden, dass das Auslesen des Passworts nach Dekompilierung des, kurz die Überwindung einer Zugangssicherung nach 202 A StGB darstellt. Das ähm Verurteil ist eine Revision vom Amtsgericht Jülich gewesen, Hintergrund ist eine Firma, die ein Warenwirtschaftssystem für Firmenkunden bereitstellt, über die die Firmenkunden dann auch wiederum ihre Endkunden verwalten können. Der Beklagte hatte jetzt äh versucht über den Quellkode, der hat’s auch geschafft ähm ein Passwort auszulesen, indem er den halt dekompiliert hat und somit halt Zugriff auf die dahinterliegende Datenbank äh erlangt hat. Im Mai hat das Amtsgericht Jülich dann entschieden, dass auf äh den Antrag der Staatsanwaltschaft hier, Kein Strafbefehl erlassen werden soll, weil es halt die rechtlichen Gründe hier für eine Strafbarkeit nicht gesehen hat, Es hatte den 2hundert2 A StGB als nicht erfüllt gesehen, weil es hat halt gesagt, der Schutzbereich des Straftatbestandes dem unterliegen halt nur Daten, gegen die halt eine ein unberechtigter Zugang auch besonders gesichert sei, Und dass die Maßnahmen hier ein Kennwort und letztendlich dann auch die Verwendung dieses Kennwortes im Quellcode, das wohl offensichtlich halt nicht darstellen würde, Also ein Passwortschutz genüge nicht einer besonderen Sicherung im Sinne des 2hundert2 A StGBs. Landgericht hat das halt etwas anders gesehen. Sieht hier durchaus den hinreichenden Tatverdacht für eine Strafbarkeit als gegeben und sieht halt auch letztendlich den Tatbestand des Ausspähens von Daten nach 202 A StGB, Entsprechend dargestellt. Es äh kommt zum Ergebnis, dass der Angeschuldigte halt den Quellcode, indem er dem halt dekombiliert Das hinterlegte Passwort entnahmen und dass das Dekorieren an sich halt schon unzulässig sei und natürlich auch einen Schutz darstelle, aber dass halt auch letztendlich die. Ja Sicherung von Daten durch Passwort als Zugangssicherung durchaus halt auch entsprechend dann eine Sicherung ist, die halt als ausreichend gesehen werden kann. Also von daher eigentlich aus meiner Sicht wenig überraschend. Ähm die Revision dieses Amtsgericht Jülich das ist dann eher vielleicht schon ein bisschen befremdlich zu sagen. Dass hier, letztendlich diese Straftatbestand nicht erfüllt sei. Nichtsdestotrotz alle, die halt in der Softwareentwicklung tätig sind, glaube ich, sollten sich trotzdem natürlich immer auch angucken, wie kann man halt Kennwörter auch im Quellcode oder wie kann man Zugänge über den Quellcode äh schützen, weil so ein Dekorieren ist natürlich auch etwas, was halt äh viele beherrschen und wo man sich jetzt nicht drauf verlassen sollte, dass dann auch alle Diese Grenzen sozusagen einhalten. Also ich denke, weitere Schutzmaßnahmen sind hier durchaus möglich und auch sinnvoll. Das Amtsgericht dann gesagt, was nach ihrem Verständnis besondere Zugangssicherung ähm im Sinne des Monats zwo A sind. Ja ich äh meine, Sie hatten dazu was gesagt, aber ich hab’s ehrlich gesagt nicht im Kopf. Ich bin auf diese Frage Nachfrage nicht vorbereitet. Sie merken, es ist hier. Gar keine Fangfrage. Alles alles sehr spontan. Okay. Ich finde die die die die grundsätzliche Auffassung, das zu sagen, das sei eben keine Maßnahme, weil weil es halt immer noch State of the Art ist, Passwortschutz um um Daten gegen unbefugten ähm zu Zugriff zu verhindern, also haben zu sagen, nee, das das reicht nicht aus. Finde ich schon eine interessante Rechtsauffassung, Ich habe eine Nachricht mitgebracht, wie gesagt, von der Morzella Mozila Foundation. Die haben einen bieten einen Service an, ein ein Einkaufsberater, Wo regelmäßig unter dem Einkaufsleitfaden Datenschutz nicht inbegriffen verschiedene Anbieter, ausgesucht werden und man sich deren Datenschutzbestimmungen anguckt. Wenn man zum Beispiel Fitnesstracker mit dabei und jetzt haben sich die Godzilla Foundation eben mit Automobilherstellern beschäftigt, also Datenschutz in Autos, Und die haben sich wohl die Mühe gemacht, die Datenschutzbestimmungen der Fahrzeuge und der jeweiligen Apps auch anzugucken und haben uns bei 25 großen Herstellern gemacht und sind da durchaus auf interessante Sachverhalte gestoßen. Nissan hat wohl äh den Vogel abgeschossen, was was so die die, Datenschutzbestimmungen angeht und das Sammeln von Daten angeht. Also für einen nicht nur Daten aus den Fahrzeugen direkt erhoben durch zum Beispiel Lenkverhalten et cetera. Es werden auch natürlich Daten dann über die Sprachassistenten mitgenutzt. Wir haben das ja uns schon andern ähm Zusammenhängen diese Sprachassistenten müssen natürlich die ganze Zeit mithören und sie werden dann auch Informationen natürlich über Fahrer und Beifahrer mit erfasst, Ähm es werden dann aber auch noch Drittdienste mitgenutzt, ähm irgendwelche Navigations Dienste wie wie Google Maps zum Beispiel oder vermutlich auch andere Services. Also da fällt schon eine ganze Menge an, Interessant sind das dann über sexuelle Aktivitäten auch Daten erhoben werden, die Daten dann auch an äh Daten Händler weitergegeben werden können nach den datenschutzrechtlichen Bestimmungen. Also das scheint der wilde Westen noch zu herrschen bei den Automobilherstellern, wenn es um die Verarbeitung von personenbezogenen Daten geht. Spannend dabei auch ist, äh spannend und interessant an an dieser Stelle, dass man natürlich auch als Fahrzeughalter und ähm als derjenige, der diesen Dienst, Hauptsächlich nutzt verpflichtet wir den in der Schutzbestimmungen auch die anderen Fahrgäste über die Datenverarbeitung zu informieren. Also man ist gut beraten heutzutage, Ähm die zu lesen, weil man am Ende eventuell verantwortlich ist für für Datenschutzverstöße war man ja dann als gemeinsam verantwortlicher eventuell auch zu betrachten ist und sich eventuell einen Scheinersatzansprüche geltend macht. Es gibt so so interessante Sachen, auch Geo-Fancing, ähm wo man festlegen kann, in welchem Bereich sich das Fahrzeug bewegen kann und man bekommt dann automatisch eine Mitteilung, wenn sich das Fahrzeug außerhalb befindet. Eine gruselige Idee finde ich die Argumentation ist wohl, dass es irgendwie im Kontext von Eltern, Kindern zum zur Anwendung kommt, aber, man könnte natürlich auch böse denken, dass man eventuell damit auch seinen seinen Partner, seiner Partnerin überwachen kann, Und im im Bereich von von Arbeitgebern wäre das, glaube ich, auch eine interessante Nutzung, oder? Ja, es gibt äh schon viele Szenarien, die man sich da vorstellen kann, im Positiven wie auch im missbräuchlichen Sinne, ja. Aber mich wundert, dass Nissan, wenn du sagst, Nissan hat den Vogel abgeschossen, war, Tesla dann irgendwie gar nicht mit mit in der Betrachtung oder ist es dann tatsächlich da noch, Noch äh geht noch weiter sozusagen, als das, was wir schon über Tesla auch hier berichtet haben. Also BMW Volkswagen Mercedes Toyota Tesla Ford, um nur ein paar Namen zu die waren alle mit dabei, sage ich nicht, dass irgendjemand auf die Idee kommt, ich hätte da eine Präferenz oder einen Beies oder so einen, Also 25 und da sind die namhaften Automobilhersteller mit dabei und, Wie gesagt, ich glaube, das ist auch um die Sachen geht, die die halt ähm eher überraschender Natur sind. Bei Tesla weiß man’s halt, ähm aber das das, wie gesagt, sexuelle Aktivitäten damit erfasst werden können und ausgewertet werden können, auch Daten werden halt dann genutzt, um ähm Vorhersagen über deine Intelligenz zu machen, um um dann auch Marketingmaßnahmen zu schaffen. Also auch dein Podcast-Verhalten und deine Playlist werden ausgewertet. Das heißt, vielleicht bist du intelligenter, wenn du klassische Musik hörst, Oder irgendwelche anderen Präferenzen hast. Das könnten alles Aspekte sein, die da eine Rolle spielen. Okay, ich meine, da brauchen wir uns bei unseren Zuhörern Gott sei Dank keinen Kopf zu machen. Die sind ja intelligent, weil sie schon die natürlich die Nutzungsbedingungen vorher lesen werden und dann wahrscheinlich dieser Datenverarbeitung auch widersprechen. Richtig. Dann schauen wir einmal zur Schufa nach Wiesbaden. Wir haben hier auch schon, Berichtet über das Verfahren vor dem EuGH, da hatten wir im März auch berichtet über die, Den Schlussantrag des europäischen Generalanwaltes und die Schufa versucht nun, die Bedeutung ihres, herunterzuspielen und zwar ist die Schufa hingegangen und hat ihre Geschäftskunden angeschrieben, Und die sollen doch bitte schriftlich bestätigen, dass ihr äh generierter Bonitätswert, den sie von der Schufa bekommen, für die Verträge mit Verbrauchern kein KO-Kriterium sei. Hintergrund ist halt der Schlussantrag des EuGH Generalanwaltes, der zu dem Ergebnis hergekommen ist, dass der Score, den die Schufa ermittelt hat, ein Profiling ist und er das halt auch der DSGVO als nicht vereinbar sieht. Und äh insbesondere halt unter dem Aspekt auch, weil es halt sehr große Auswirkungen für die Verbraucher hat, wenn Unternehmen halt mit diesem Score arbeiten und das tun natürlich, Sehr viele Unternehmen. Es wird sowohl im Bereich Der Wohnungssuche eingesetzt. Es wird sehr viel in Massengeschäft von Telekommunikationsunternehmen, aber natürlich auch von vielen anderen Unternehmen eingesetzt auch bei Banken et cetera PP Und natürlich hat nicht jedes Unternehmen immer eigene Daten über die Kunden. Deswegen hat der in der Praxis meines Erachtens schon für viele Unternehmen eine sehr hohe Relevanz. Nichtsdestotrotz versucht jetzt die Schufa jetzt natürlich damit Die Relevanz einfach runterzuspielen und ihren Score natürlich damit irgendwie auch, Ja, zu retten, weil das ist so ein bisschen die Gefahr, die man wahrscheinlich sieht, dass der jetzt halt vor dem Ausstehen könnte, Wenn der EuGH sich der Linie des Generalanwaltes hier entsprechend, anschließt. Die äh Tagesschau hat berichtet, dass allerdings die Unternehmen da jetzt auch die angeschrieben wurden, ein wenig irritiert reagieren und mehrere Geschäftskunden wohl auch erklärt haben, dass sie das eher ja von für eine Absurdität halten und man das von der Schufa vorgelegte Papier nicht unterschreiben möchte. Es äh darf also jetzt äh beobachtet werden, ob das tatsächlich noch irgendeine Auswirkung hat, ob das vor dem EuGH natürlich nachher noch irgendeine Rolle spielt, Habe da meine Zweifel, ehrlich gesagt, aber klar, auch verständlich, dass die Schufa natürlich versucht, hier äh letztendlich ihr ja doch zentral, glaube ich, sehr zentrales Geschäftsmodell natürlich auch ähm zu retten und alles dafür zu tun, dass es halt irgendwie, dadurch nachher am Ende wirklich gekippt wird. Aber ja, wir werden sehen. Ja ich find’s tatsächlich auch absurd sozusagen ähm unterschreibt mal, dass hiermit keine keine ähm rechtswicksame Wirkung entfaltet wird durch den den, Wir sagen dir die Nummer, aber du triffst letztendlich ja die Entscheidung völlig unabhängig davon. Ja, ich ich glaube, das da fällt keiner drauf rein, oder? Zumindest nicht beim europäischen Gerichtshof. Also ich glaube auch nicht. Aber wie gesagt, soll sich jeder natürlich gerne mal ein eigenes Bild machen. Wir verlinken die Mitteilungen auch noch mal vom EuGH Generalanwalt mit äh aus dem März noch mal in den Shownotes. Kann jeder gerne noch mal einen Blick reinwerfen. Ich hatte ja schon schon angekündigt bei der Themenübersicht, dass ich mich mit dem Thema äh künstliche Intelligenz beschäftigen möchte in sozialen Netzwerken und da sind’s zwei Nachrichten. Zum einen ist eine von Meta hat jetzt wohl eine Widerspruchsmöglichkeit, angeboten, dass man der Datenverwendung beim KI-Training widersprechen kann, Allerdings bezieht sich das halt tatsächlich ähm nur auf die Daten, die von Drit kommen, also nicht durch die auf die Daten, Die Meter selber durch die Nutzung erhält und eine weitere Einschränkung ist wohl, dass man, Dann angeben muss, aus welchem Land man kommt und Meter dann immer noch eine Prüfung vornimmt, ob es überhaupt die Möglichkeit gibt, denn der Nutzung zu widersprechen. Wir haben das ja auch, also Ja, natürlich, Artikel einundzwanzig, die Wiener Spruchsmöglichkeit, aber das müssen dann besondere Umstände auch sein, die den Widerspruch rechtfertigen und ob das nach Auffassung von Metern dann dann zutrifft, Das entscheidet wahrscheinlich Meter. Ich bin gespannt, ob man da noch eine Mitteilung bekommt, ob der Verantwortliche eben nicht tätig wird auf, was der Meinung ähm Verständnis ja eigentlich sein müsste nach Artikel zwölf. Wenn ich eben irgendwas nicht tue, muss ich natürlich die betroffenen Personen informieren und, Darüber informieren, dass Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Also ich denke, dass man beim Mieter mit Sicherheit so transparent ist sonst würde man ja sowas gar nicht anbieten wollen. Ich gehe davon aus, du kannst das nachher irgendwo herunterladen. Es wird irgendwo ein den Tiefen des Menüs eine Möglichkeit geben, diese Entscheidung abzurufen. Bestimmt, ja, genau. Die andere Nachricht kommt von von XX Formly None ist Twitter, Hier ähm wird es so sein, dass am 29. September eine neue Datenschutzrichtlinie in Kraft tritt und in dieser neuen Datenschutzrichtlinie wird wohl auch, eingeräumt, dass man die Daten bei Twitter, eben für das Training von KI nutzen möchte. Ähm ich habe mir die grade selber noch mal angeguckt und konkret die Stelle nicht gefunden. Es wird von Forschung geredet im im Allgemeinen. Wahrscheinlich ist es darunter subsumiert. Es gibt ähm einen Tweet von von Ihnen Musk dazu, der sagt, dass es sich natürlich nicht auf ähm privaten äh Nachrichten bezieht und Nachrichten in in Direct Messengers, aber, In den Datenschutzbestimmungen gibt’s wohl keine Einschränkungen dazu. Laut Exing will man auch künftig biometrische Informationen sammeln und das wird natürlich dann auch spannend, inwieweit die dann nachher mit mit einbezogen werden. Also ähm hat der Heiko gelächelt, als er diese Nachricht gelesen hat. Dass wir vielleicht für die künstliche Intelligenz ganz spannend, Also da ist interessant zu sehen, die einen sind das schon ein bisschen weiter und räumende Widerspruchsmöglichkeit, zumindest ähm formal ein und die anderen fangen jetzt gerade an, damit zu am Arbeiten Und es ist schon interessant, wenn man sich wirklich die die Datenschutzbestimmungen noch mal durchliest, welche Daten erhoben werden und dass auch Trittanbieter tatsächlich mit liefern über Cookies et cetera. Also, Wenn das zum Training mit einbezogen wird, dann glaube ich, dass wir bald sehr intelligente, künstliche Intelligenzen haben, weil die natürlich dann über eine Menge von Informationen verfügen. Andererseits finde ich’s aber auch ganz gut, wenn es jetzt tatsächlich transparenter wird, weil ich, Würde mal behaupten, dass in der Vergangenheit sehr viel KIs ähm wahrscheinlich auch schon trainiert wurden, ohne dass halt die Betroffenen dafür immer in Kenntnis gesetzt wurden. Deswegen bin das jetzt hier auch gemacht wird und man dann auch sich angucken kann was passiert, ist ja erst mal fair. Zumindest ist es schon mal ein ähm Weg in die Richtung informationelle Selbstbestimmung, dass man überhaupt die Transparenz herstellt. Dann ist die Frage halt so wie bei Meta, ob man da noch wirklich wirksame Mechanismen hat, um zu sagen, ich Bin mit dieser Verarbeitung meiner Person mit so einer Daten nicht einverstanden, insbesondere weil er grundsätzlich eine Zweckänderung im im Grunde damit verfolgt ist ähm und die wahrscheinlich dann nicht mehr über den originären Zweck gedeckt ist. Gut für neue Daten, wenn’s jetzt in den Datenschutzhinweisen drinsteht kann man’s natürlich als auch Erhebungszweckdefinieren und dann haben wir das Thema Zweckänderung zumindest für die neu erhobenen Daten. Strenggenommen ja nicht mehr. Müsste man nach der Rechtsgrundlage gucken und inwieweit dann überhaupt die Interessenabwägung ähm ausreichen würde. Aber das ist was für eine Themenfolge vielleicht. Ja, gute Idee. Also wir wir laden gerne Herrn Zuckerberg und Herrn Musk ein, das mit uns im Datenschutztalk zu diskutieren. Ja, wir freuen uns. Ähm Sie erreichen uns, lieber Herr Musk und lieber Herr Zuckerberg, unter Datenschutztalk at Minustenz Punkt DE. Das Gute ist ja, dass es wahrscheinlich jetzt auch schon ausgewertet wird, wenn die Folge dann online ist über die entsprechenden Dienste und natürlich die beiden das auch als Nachricht in ihrer ähm Timeline gespielt bekommen. Ich wäre enttäuscht, wenn’s nicht so wäre. Wir schauen auf das äh Register Modernisierungsgesetz. Es gibt eine, ja, einen Fortschreiten der Registermodernisierung, die Steuer-ID soll nun als übergreifende Personenkennziffer, dienen, die Daten, die zukünftig halt erhoben werden sollen, halt auch zentral abrufbar sein. Die Entwicklung des digitalen Rathauses, wie heiße Titel oder schreibt, schreitet voran. Am Donnerstag diese Woche sind äh dazu weitere Vorschriften bezüglich der digitalen Verwaltung und zur Registermodernisierung in Kraft getreten. Das unter anderem zum Beispiel die Fahrzeugzulassung. Das war auch in den Medien in den letzten Tagen ja auch öfters Thema, dass das Thema, Zulassung online nun äh funktioniert und auch die Beantragung des Bürgergeldes oder der Rentenversicherung sollen wohl darüber zukünftig besser funktionieren. Hintergrund ist halt, dass man ja Daten, die halt einmalig erhoben wurden, dann zukünftig halt auch anderen Behörden damit zugänglich machen kann. Das Ganze halt bestützt oder beziehungsweise letztendlich dient auch EU-Bemühungen, Zur Verwaltungsreform, um halt die Digitalisierung in der Verwaltung und den Behörden einfach voranzubringen. Bürger sollen dann auch einer ja bei der Beantragung einer Onlinezugangs äh Gesetzverwaltungsleistung, kurz OZG-Verwaltungsleistung, in jedem Einzelfall entscheiden können, sodass wir im I, Ob man halt auf diese Daten zugreifen darf, regelt, sei das äh im Identifikationsnummerngesetz. Und das Ganze dann halt zukünftig auch über einen Datenschutz-Cock Pitch, was man äh dann einsehen kann, nachvollziehbar sein. Das Ganze wird aktuell in Bremen entwickelt und äh soll dann halt natürlich aber auch wenn’s jetzt in Bremen entwickelt wird, bundesweit für alle Bundesländer zur Verfügung stehen. Also es geht voran mit der Digitalisierung. Ich ganz persönlich finde das ähm aus Bürgerperspektive grundsätzlich natürlich erst mal gut, wenn viel Papierkram zukünftig vielleicht entfällt und vertraue auch ein Stück weit natürlich da drauf, dass die Landesdatenschutzbeauftragten und der Bundeshandelsbeauftragte auch auf die Einhaltung der gesetzlichen Anforderungen und Verwendbarkeit von Daten natürlich dann auch hoffentlich gut Acht geben. Ich bin gespannt, ob sich nicht nachher ähm das Bundesverfassungsgericht damit beschäftigen darf, weil so eine Verwendung der eindeutigen Bürgerkennzeichnungen ist, glaube ich, immer noch eine Sache, die die durchaus heikel zu betrachten ist und ein eindeutigen Identifir, der dann Für verschiedenste Zwecke gilt, ähm bin ich gespannt. Ja, wobei das Ganze geht ja auf Gesetzgebung von ähm aus 21 zurück noch unter der äh Rot-Schwarzen-Regierung, aber jetzt auch die Ampelkoalition trägt das äh letztendlich weiter und führt es auch weiter. Von daher, hoffe ich mal, Auch mit Blick auf die verwendeten Steuergelder, dass da nicht zu viel in Sand gesetzt wird, was nachher von obersten Gerichten vielleicht wieder gekippt wird. Ja ich ich habe die Überleitung natürlich nicht umsonst gemeint. Also wie gesagt, ähm es gab schon äh ähm dazu auch einen Big Brother Award, weil die Steuernummer halt auch verwendet worden ist ähm zweitausendundsieben und ähm der das Bundesfinanz der Bundesfinanzhof hatte sich mit zu fragen, auch schon mal auseinanderzusetzen. Also von daher würde es mich nicht wundern ähm und dass es ein Gesetz gibt, heißt ja nicht, dass es auch Entweder Verfassungskonform ist oder sogar europarechtskonform ist und meine. Ein Beispiel. Ah, das ist ja, ich hätte eins bei äh einem Beispiel. Die vorletzte Anspeichern können ich als Beispiel anführen. Ja, tatsächlich. Die vor Ärzte ansprechen. Ein ganz neues Thema. Du wirst überrascht sein, dass Bundesverwaltungsgericht hat jetzt gesagt, dass die Vorratsdatenspeicherung rechtswidrig ist, so wie ja. Spaß beiseite. Tatsächlich ist das jetzt die finale Entscheidung ähm des Bundesverwaltungsgericht hatte sich ja mit mit der Frage beschäftigt ähm und hatte dann, Den Europäischen Gerichtshof gebeten, da abschließend äh Entscheidungen zu fällen und das ist jetzt im Prinzip die die nationale Umsetzung, weil es sind ja Vorlageentscheidungen und der der Europäische Gerichtshof sagt ja dann immer nur, dass ähm vortragende Gericht hätte dann das und das zu tun und das hat das Bundesverwaltungsgericht jetzt getan, Und wenig überraschend gesagt, dass die Vorratsdatenspeicherung rechtswidrig ist, so wie sie geplant war. Wir hatten dazu ja auch schon berichtet, ähm die die Idee des quick, Freeze-Verfahrens, was der EuGH ja in in vielen Entscheidungen, in vielen europäischen Ländern schon mal vorgeschlagen hat, ist ja wohl im Moment das, wo man auch in in Deutschland, Dann mitgeht. Also wie gesagt, wenig überraschen, aber äh ich denke, weil wir da so oft drüber berichtet haben, ne, eine abschließende Nachricht zu dem Thema, Bis jemand auf die Idee kommt, wahrscheinlich ein neues Gesetz äh in in Kraft zu setzen, was sich darauf bezieht. Europäischer Gerichtshof und Vorratsdaten ist ein zweites Thema, was ich noch habe, Am hier ist der Hintergrund wohl, dass man Daten, die im Rahmen der Vorratsdatenspeicherung zur Bekämpfung von schwerer Kriminalität äh ähm erhoben hat, dann ähm zweckentfremdet hat, nämlich äh ging es hier um Korruptionsbekämpfung im Amt, Auch da musste der Europäische Gerichtshof sich mit der Frage beschäftigen und hat hier gesagt, dass es halt unzulässig ist. Da hatten, Die eben für die Bekämpfung schwerer Kriminalität und für schwere Bedrohungen der öffentlichen Sicherheit erhoben worden sind, für andere Zwecke zu nutzen. Konkret heißt es in der Entscheidung, Die Bekämpfung von Dienstvergehen im Zusammenhang mit Korruption zu erreichen, die in der Hierarchie den Gemeinwohl, dienenden Ziele von geringerer Bedeutung sind als die Bekämpfung schwerer kriminalität und die Verhütung schwerer Bedrohungen der öffentlichen Sicherheit. Das ist, wie gesagt, der Maßstab, wenn es um die Verwendung der Daten im Rahmen der Vorortsdatenspeicherung geht und nicht nur, In Anführungszeichen so und so Pillepalle-Dinge wie Korruption im Amt. Also auch das ist wie gesagt wenig überraschend nachdem man sich äh die die Historie der der Gesetzgebung zu dem Thema anschaut. Ich durfte ja mal einen Artikel dazu schreiben und habe das mal schön zusammengetragen und war baff baff erstaunt, wie viele Länder in der Europäischen Union, Sich mit mit der Frage beschäftigt haben und dann immer beim Europäischen Gerichtshof gelandet sind. Vielleicht sollte man das konsolidieren. Also wer Interesse hat, Wir können das hier gerne als Dienstleistung anbieten. Ähm die Gesetzgeber in Europa zu beraten, welche Dinge schon mal gescheitert sind vorm Original. Das spart uns allen eine Menge Zeit und Arbeit. Ja, das äh fragt man sich bei manchen Vorhaben und Entscheidungen auch, die Leute nicht vorher mal geguckt haben, wie andere Gerichte oder überhaupt Gerichte dazu schon entschieden haben. Gut, ich würde zum Schluss dann noch zu unseren Empfehlungen und den Lesetipps kommen und da hätte ich zwei Papiere, die aufeinander aufbauen, um’s mal äh, ja in in irgendwie eine Relation zu setzen und zwar geht’s um einen Anwendungshinweis oder Anwendungshinweise zur Übermittlung personenbezogener Daten aus Europa in die USA basierend auf dem EU, US-Detata Privacy Framework, dazu gibt’s jetzt von der Die SK der Konferenz der Datenschutzbeauftragten der Länder und des Bundes ein Papier, was sie verabschiedet haben, wo nochmal halt wie gesagt so ein paar Themen eingegangen wird. Wir hatten als das äh Abkommen verabschiedet wurde, hier auch schon mal kurz drüber berichtet, dass es in Thüringen da sehr kritische Stimmen zugibt, äh etwas aus der Reihe tanzend. Mal salopp zu sagen und deswegen hat man dort auch noch mal ein eigenes als Replik auf diesen DSK-Beschluss veröffentlicht, wo man sich halt auch noch mal ja, sehr den Auffassungen und Positionen von Max Schrems anschließt. Deswegen seitens der Vollständigkeit halber dazu erwähnt. Persönlich bin aber der Auffassung, dass Dieses Papier, wie gesagt, äh sehr politisch eher motiviert ist und weniger mit dem zu tun hat, was jetzt äh einfach rechtlich belastbar für die Unternehmen gilt und deswegen sei das halt auch, wie gesagt, nur der Vollständigkeit halber erwähnt für die Unternehmen, insbesondere natürlich in Thüringen, die sich darauf dann einstellen müssen, wenn sie jetzt halt sich halt mit dem US-Datentransfer äh beschäftigen und das halt auf das Abkommen stützen, eventuell von ihrer Aufsichtsbehörde, vielleicht auch ein bisschen Gegenwind zu bekommen, aber Jetzt soll sich jeder noch mal angucken. Wir verlinken’s natürlich in den Shownote. Ja, es lebe die Föderation. Okay, damit sind wir für heute durch. Dir ganz herzlichen Dank, Markus. Wie immer gerne Heiko. Und Ihnen wünschen wir natürlich ein erholsames Wochenende. Bleiben Sie uns gewogen und auf bald.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Das könnte Sie auch interessieren

    TCF verstößt gegen die DSGVO – DS News KW 20/2025

    migosens DS-Talk

    530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

    Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

    NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025