Staatsmodernisierung zielt gegen DSBs – DS News KW 50/2025

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten heute wieder gemeinsam ins Wochenende.
Genau zu sein das dritte Adventswochenende 2025, denn heute ist der 12.12.
Jawohl, so ist es. Mein Name ist Heiko Gossen.
Und mein Name ist Laura Druszynski.
Unser Redaktionsschluss war um 10 Uhr und wir haben wieder ein bisschen was im Jepäck.
Laura, hat Hesse mitgebracht?
Als allererster hat mich gebracht die plötzliche NIS-2-Richtlinie.
Ich glaube, alle Betroffenen wissen, worum es geht.
Weiter geht es mit den Ergebnissen aus der Ministerkonferenz letzte Woche Freitag.
Auch spannend im datenschutzrechtlichen Kontext.
Außerdem ein Bußgeld gegen American Express, ein Gutachten mit Fokus auf PayPal
und zu guter Letzt noch ein Datenschutzknicke für Weihnachtspost. Finde ich ganz cool.
Sehr schön, ja. Ich gucke auf ein Gutachten der Uni Köln zum Thema US-Zugriffe auf Cloud-Daten.
Dann hätte ich ein Bußgeld im Gepäck, nämlich gegen ein Telekommunikationsunternehmen hier in NRW.
Dann schauen wir nochmal auf ein anderes Telekommunikationsunternehmen hier in NRW.
Da geht es um das Thema Überwachung von DNS-Anfragen.
Und ich hätte noch was zum Thema Pay or OK.
Und da gibt es auch ein Update.
Und last but not least natürlich dann auch noch was passend zur Weihnachtszeit,
nämlich zur Datenlöschung bei alten Geräten.
Dann lege ich mal los, oder?
Sehr gerne.
Die NS2-Richtlinie ist überraschend vom Bundespräsidenten unterzeichnet worden
und stellt Unternehmen so nun vor Herausforderungen, denn eine Frist bis zum
Inkrafttreten der Regelung existiert praktisch nicht.
Ja, das Gesetz zur Umsetzung der NS2-Richtlinie ist am 5.
Dezember in Kraft getreten und etabliert eben neue Cybersicherheitsanforderungen
in Deutschland für über 30.000 Unternehmen aus 18 Sektoren wie Energie,
Gesundheit und Transport. Ja.
Ich hatte das Thema ja bereits in der 46. Kalenderwoche mitgebracht.
Da gehe ich ein bisschen tiefer darauf ein, wie es da inhaltlich ausgestaltet ist.
Aber vielleicht hier nochmal zum kurzen Wrap-up. Also dieses Gesetz zielt ja
eben darauf ab, das Sicherheitsniveau zu erhöhen und die Widerstandsfähigkeit
kritischer und wichtiger Unternehmen zu stärken.
Und jetzt, wie gesagt, kommt der Haken. Die Regelungen wurden mehr oder weniger
am nächsten Tag, also am 6.
Dezember, Oder sind diese in Kraft getreten und das Gesetz ist ab dahin halt
eben anwendbar oder die besagte Richtlinie.
Betroffene Organisationen müssen eben nun ein strukturiertes Risikomanagement einführen,
sich beim BSI registrieren und Sicherheitsvorfälle melden, während die Geschäftsleitung
ausdrücklich für Cybersicherheitsmaßnahmen verantwortlich gemacht wird und eben
auch bei Verstößen haften kann.
Das eben jetzt sehr kurzfristige Inkrafttreten stellt eben den einen oder anderen
natürlich vor, zum einen natürlich organisatorischen Herausforderungen,
aber auch technischer Natur sind hier jetzt natürlich Regelungen zu treffen,
spätestens jetzt, wenn nicht schon passiert und eben auch sofortige Anpassungen
der IT-Sicherheitsstrukturen müssen jetzt eben hier erfolgen.
Von uns ein kleiner Servicehinweis, denn das BSI empfiehlt jetzt,
auch diese wurden überrascht, betroffene Unternehmen schon mal eben ein Account
bis zum Jahresende anzulegen,
um sich eben im zweiten Schritt Anfang 2026 eben mit dem Nutzerkonto in dem
neu entwickelten BSI-Portal registrieren zu können für eben diese NIST-2-Themen.
Überrascht, wie gesagt, war wohl das BSI, weil es war bekannt,
dass sie halt eben entsprechende Meldestelle sind, aber ihr BSI-Portal ist erst ab dem 6.
Januar freigeschaltet, also wir haben ein paar Wochen Luft und ja eben meldepflichtige
Einrichtungen, die nun von NIST 2 betroffen sind und eben vor der Registrierung
nun im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden,
müssen diesen eben über ein gesondertes Online-Formular melden.
Also ich hoffe natürlich, dass keiner so ganz unvorbereitet ist,
der regelmäßig unseren Podcast hört, weil wir das Thema ja schon mehrfach hatten.
Wir haben ja auch in diesem Jahr eine Themenfolge mit Stefan,
unserem Experten, für das Thema ja gemacht.
Deswegen hoffe ich natürlich, dass unsere Zuhörer da schon ein bisschen besser vorbereitet waren.
Aber du hast schon recht, es waren alle eher so ein bisschen auf eingestellt,
dass es Anfang des Jahres dann veröffentlicht und in Kraft tritt.
Aber manchmal ist die Politik dann doch ein bisschen schneller,
als wir, was uns manchmal lieb ist.
Ein Gutachten der Uni Köln hat bestätigt, dass US-Geheimdienste trotz europäischer
Rechenzentren umfassend auf Cloud-Daten zugreifen können.
Entscheidend ist demnach nicht der physikalische Speicherort der Informationen,
sondern die Kontrolle durch die US-Muttergesellschaft über den Cloud-Anbieter,
was natürlich bedeutet, dass selbst Daten in europäischen Rechenzentren betroffen sein können.
Die Untersuchung, die zu diesem Gutachten geführt hat, ist im Auftrag des Bundesinnenministeriums
erstellt worden und nun durch eine Anfrage nach dem Informationsfreiheitsgesetz öffentlich geworden.
Soweit bestätigt das Gutachten, was wir in Teilen natürlich auch schon uns bewusst
war und auch spätestens seit der Aussage des französischen Chefjustizials vor
dem französischen Senat eigentlich wussten.
Damit aber nicht genug. Unter Umständen können nämlich diese Befugnisse der
US-Behörden sogar auf rein europäische Unternehmen mit Geschäftsbeziehungen
in den USA ausgeweitet werden.
Und für mich auch neu, dass Anbieter, also US-Anbieter, die sich selber strafbar
machen können dadurch, dass sie zum Beispiel durch Verschlüsselung der Daten
sich selbst vom Zugriff auf die Daten ausschließen.
Also da ist natürlich eine gewisse Krux drin, weil Anbieter damit natürlich
auch eine gewisse, ja entweder Backdoor brauchen oder gar nicht die Motivation
haben, dann die Daten so gut zu verschlüsseln, dass sie selber gar nicht mehr drankommen.
In der Zeitschrift Kommunikation und Recht haben aber auch Stefan Hessel und
seine Kollegen dazu schon eine Analyse veröffentlicht, in der sie trotzdem zu dem Schluss kommen,
dass ein datenschutzkonformer Einsatz der cloudbasierten Lösung M365 beispielsweise
grundsätzlich weiterhin möglich sei.
Das ist natürlich, wie gesagt, auch jetzt dieses Gutachten, nicht ganz so viele
neue Erkenntnisse wirklich drin.
Deswegen warne ich da jetzt auch vor Panikmache, aber man sollte sich natürlich
schon immer wieder mit diesem Thema beschäftigen und durchleuchten.
Und deswegen würde ich auch den Artikel, den Stefan veröffentlicht hat mit seinen Kollegen,
auf jeden Fall empfehlen, sich den auch nochmal zu Gemüte zu führen und dann
natürlich auch nochmal zu gucken, ist meine Risikobetrachtung,
die ich seinerzeit vielleicht mal gemacht habe, vielleicht auch meine DSFA,
ist die noch aktuell und korrekt, weil ich glaube, da, wie gesagt,
sollte man immer wieder monitoren und reviewen.
Deswegen packen wir den Link zu dem Artikel natürlich in die Shownotes,
genauso den Artikel zu dem Gutachten.
Das machen wir. Was wir auch in die Shownotes packen, kommen wir nämlich zum
Beschluss des Bundeskanzlers und den Regierungschefs der Länder.
Denn ja eben die geplante Staatsmodernisierung der Bundesminister beinhaltet
weitreichende Reformen der Datenschutzaufsicht und soll auch aktuell geltende
DSB-Pflicht abschaffen.
Also unser Top-Thema heute, wie gesagt, der Bundeskanzler und die Regierungschefinnen
und Chefin haben halt eben getagt und haben auch direkt im Anschluss eben ihren
Beschluss dazu veröffentlicht und sie haben eben viel vor.
Unser Land soll modernisiert werden, um schneller, digitaler und handlungsfähiger
zu sein, natürlich zum Wohle aller, insbesondere auch Wirtschaft und Verwaltung.
Und das betrifft eben auch das Thema Datenschutz. Die Bundesregierung erwägt
eben im Zuge dieser sogenannten Staatsmodernisierung,
dass die Datenschutzaufsicht und Aufgabenverteilung im Föderalstaat für den
nicht öffentlichen Bereich neu justiert wird.
Das soll spätestens bis zum 31.12.2027 erfolgen im Rahmen einer Reform.
Der Fokus liegt...
Wieder einmal, also das ist ja auch kein neues Thema, auf der Bündelung von
Kompetenzen bei der BFDI oder Aufsichtsbehörden der Länder, beispielsweise durch
Zuständigkeitskonzentration und oder auch One-Stop-Shop-Regelung.
Ebenso soll es eine bessere Einbindung der DSK geben, also diese angestrebt
werden und oder, wenn man wieder in den Beschluss schaut,
die Einführung eines Kohärenzverfahrens unter Nutzung der Möglichkeit des Artikel
87 Absatz 3 Grundgesetz auf Bundesebene, dass dieses eben zukünftig ermöglicht wird.
Außerdem erfolgt die Prüfung der Aufhebung der Pflicht zur Bestellung eines
Landesdatenschutzbeauftragten.
Ziel dieser Zentralisierungsbestrebung ist es eben, eine höhere Effizienz und
einheitlichere Rechtsauslegung bei der Aufsicht über den nicht öffentlichen Sektor zu erreichen.
Neben diesen Änderungen stehen beispielsweise auch noch Schaffungen von neuen
Rechtsgrundlagen in Fachgesetzen im Raum, insbesondere für die Datenverarbeitung
im Kontext der Digitalisierung.
Aber auch öffentliche Stellen sollen wohl zum Zwecke des Trainings und Einsatzes
von KI zukünftig Erlaubnisse erhalten, personenbezogene Daten zu anonymisieren
oder zu pseudonymisieren.
Kommen wir jetzt aber zum spannendsten Thema, also ich glaube für uns oder viele
von uns Datenschützern sehr wichtig,
nämlich der Bund wird bis zum 31.12.2026, also schon Ende nächsten Jahres,
eine Aufhebung des Paragrafen 38 Absatz 1 BDSG einbringen, Und damit eben die
Pflicht zur Bestellung von Datenschutzbeauftragten im nicht öffentlichen Bereich
auf die Regelung in Antikel 37 DSGVO beschränken.
Also, es betrifft ja eben die Regelung, dass ein Datenschutzbeauftragter zu
bestellen ist, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigt sind.
Datenschützer aus verschiedenen Ecken kritisieren das jetzt natürlich scharf,
denn ja, natürlich ist es das eine zu sagen, wir wollen irgendwo Positionen
abbauen, aber das sorgt natürlich auch eben dafür, dass praxistaugliche Datenschutzcompliance
durchaus zurückgebaut wird.
Und auch hier, dass wenig Vorteile doch damit verbunden sein dürften in der
Praxis, denn die Pflichten im Datenschutzrecht bleiben ja weiterhin bestehen.
Also in dem Falle würde sich ja nur eine Verlagerung durchaus in manchen Fällen
auch hier auf die Geschäftsführung geben. Wie siehst du das, Heiko?
Ja, absolut. Schwierig. Absolut. Ich meine, wir haben die Diskussion ja immer
schon wieder in der Vergangenheit gehabt mit der Anhebung dieser Grenze von 20 Personen.
Deswegen, die Argumente bleiben mir die gleiche, nur dass es jetzt dann wahrscheinlich
noch viel, viel mehr Unternehmen betreffen wird.
Wir haben natürlich, wenn wir das im europäischen Vergleich gucken,
nur sehr wenige Länder, wo es eine Nutzung dieser Öffnungsklausel in der DSGVO
gibt und dadurch auch eine erweiterte Bestellpflicht besteht.
Ich glaube aber auf der anderen Seite, wie gesagt auch in vielen anderen Ländern,
ist man dann am Ende in den Unternehmen ja irgendwie organisiert und irgendwie
muss das Thema ja auch adressiert werden.
Ob das jetzt dann formal an der Rolle des Datenschutzbeauftragten hängt oder
nicht, das ist ja eigentlich gar nicht so entscheidend.
Und viel kritischer ist ja die Botschaft, die dadurch entsteht und die mitunter auch in der Presse,
in den Medien daraus gemacht wird, dass das Thema Datenschutz jetzt nicht mehr
so wichtig ist und für viele Unternehmer ja dann wahrscheinlich auch das in
der Schlussfolgerung abgeleitet wird,
zu sagen, naja, jetzt brauchen wir keinen DSB mehr und deswegen sparen wir jetzt
nicht nur Geld, sondern auch Aufwand und so weiter.
Und das, glaube ich, ist einfach zu kurz gedacht. Die Landesbeauftragte für
Datenschutz NRW hat 1N Telekom wegen Missachtung von Auskunfts- und Löschrechten
mit einem Bußgeld von 300.000 Euro belegt.
Das Unternehmen hat besonders dreiste Geschäftspraktiken an den Tag gelegt,
bei denen nämlich Werbeschreiben mit vorausgefüllten Auftragsformularen für
den Abschluss neuer Verträge versandt wurden.
Das führte natürlich zu einigen Beschwerden, auch gab es hier wohl in der Abwicklung
dann von Widerrufen nochmal Herausforderungen.
Lange Rede, kurzer Sinn, das Unternehmen zeigte sich wohl wenig kooperativ und
verweigerte auch die Auskünfte, woher denn die Adressdaten der Betroffenen überhaupt
stammten, Weil die meistens bisher mit diesem Unternehmen noch gar nichts zu tun hatten.
Also die Daten mussten irgendwo beschafft worden sein.
Bettina Geig, unsere LDI hier in NRW, sprach gegenüber Heise wohl auch sogar
von einem besonders hartnäckigen Fall, den sie so auch noch nicht erlebt hatte.
Wie gesagt, nicht besonders kooperativ.
Von daher, ich kenne 1N Telekom.
Ich weiß gar nicht, wie man es ausspricht.
Einsen.
Einsen. Vielleicht auch so. Jetzt nicht, wie groß die wirklich sind,
aber mir scheint, dass 300.000 Euro, da sind sie wahrscheinlich sogar noch recht
günstig weggekommen, behaupte ich mal.
Wahrscheinlich. Ich habe auch ein Bußgeld mitgebracht und zwar die französische
Datenschutzaufsicht Knill hat am 27.
November bereits gegen American Express Card France, die französische Tochter
des US-Konzerns American Express, ein Bußgeld von 1,5 Millionen Euro verhängt.
Grund sind Verstöße gegen die Cookie- und Trackerregeln nach Artikel 82 des
französischen Datenschutzgesetzes.
Im Januar 2023 führte die Knill mehrere Kontrollen durch, sowohl auf der Webseite
der französischen Tochter von American Express, als auch in den Geschäftsräumen des Unternehmens.
Dabei stellte sie fest, dass das Unternehmen wiederholt gegen die Anforderungen
eine wirksame Einwilligung für Cookies und vergleichbare Tracking-Alternativen verstoßen hatte.
Die festgestellten Verstöße waren zum Teil eben, wie gesagt,
einmal ein Tracking ohne Einwilligung.
Also bereits beim ersten Aufruf der Webseite wurden noch vor einer Entscheidung
der Nutzerinnen und Nutzer mehrere Tracker gesetzt, darunter solche eben auch zu Werbezwecken.
Dann wurden auch nach einem ausdrücklich erklärten Widerspruch durch die Nutzer
weiterhin Werbetracker auf den Endgeräten platziert.
Und auch ein Auslesen nach dem Widerruf ist erfolgt, also auch nachdem es wirklich
ein aktiver Widerruf der Nutzer erfolgte, wurde auch hier weiterhin mit den Daten gearbeitet.
Bei der Bemessung des Bußgelds berücksichtigte die Knill, dass es sich um seit
langem bekannte und klar kommunizierte Regeln handelt und zugleich wirkte sich
aber wohl auch meldernd aus,
dass das Unternehmen die beanstandeten Praktiken im Laufe des Verfahrens angepasst
hatte und sich wohl in dem Rahmen dann auch konform verhalten hatte.
Und nichtsdestotrotz, wie gesagt, 1,5 Millionen Euro für falsche Cookies ist,
glaube ich, schon ein Brett, auch wenn natürlich American Express ein großes Unternehmen ist.
Aber auch hier werden wir ja eben nicht müde, immer wieder daran zu erinnern,
auch die eigenen Webseiten immer wieder im Blick zu haben, insbesondere wenn
es halt, dass die Steuerung der Webseiten nicht aus einer Hand erfolgt,
sondern vielleicht aus mehreren Fachbereichen gesteuert wird.
Auch hier immer mal wieder ein Auge drauf zu haben, ob denn datenschutzrechtlich
alles auch im Rahmen des Content Management Systems korrekt angebunden ist.
Genau, und viele laufen ja auch über Agenturen. Auch da muss man immer mal wieder
hingucken, weil da sicherlich auch nicht immer alles perfekt läuft.
Kommen wir zu einem anderen Telekommunikationsunternehmen in Nordrhein-Westfalen.
Das Bundesverfassungsgericht stärkt das Fernmeldegeheimnis und stoppt massenhafte
Überwachung von DNS-Anfragen.
Das Gericht hat jetzt Ende November im Eilverfahren eine anlasslose DNS-Überwachung
begrenzt und per einstweiliger Anordnung untersagt, Telekommunikationsanbieter
zur Auswertung aller DNS-Serveranfragen zu verpflichten.
Das Amtsgericht Oldenburg hatte nämlich Vodafone angewiesen,
alle DNS-Serveranfragen zu einem bestimmten, mutmaßlich kriminellen Server zu
überwachen und auszuwerten und zudem sollte dann auch noch die Identifizierung
der Anschlussinhaber und der erforderlichen Kundendaten erfolgen und die Daten
dann auch übermittelt werden.
Vodafone hat dann gegen diesen Beschluss entsprechend geklagt und das Bundesverfassungsgericht
hat die Maßnahme auch als potenziell verfassungswidrig eingestuft.
Es hat nämlich den Schutz des Fernmeldegeheimnisses höher gewichtet als das
staatliche Staatsverfolgungsinteresse.
Und die Richterinnen und Richter betonten auch nochmal, dass nicht ersichtlich
ist, warum die massenhafte DNS-Abfrage für die Aufklärung der konkreten Straftaten
alternativlos oder besonders vielversprechend sein soll. DNS.
Ich meine, die meisten wissen es vielleicht, aber das ist ja das,
was sozusagen unsere sprechende Domain, migosens.de,
zum Beispiel in eine IP-Adresse übersetzt, die dann aufgerufen werden kann vom
Browser und wo dann die entsprechende Webseite drüber ausgeliefert wird.
Also es ist eine ganz zentrale Funktion, ein ganz zentraler Service für die
Navigation im Internet.
Das heißt also, wenn ich alle DNS-Anfragen aller User überwache,
habe ich natürlich ein sehr genaues Bild, welche Webseiten welche User aufrufen.
Weiter geht es bei mir mit einem aktuellen Gutachten, denn das Netzwerk Datenschutzexpertise
erhebt schwere Vorwürfe gegen den Zahlungsdienstleister PayPal eben in einem besagten Gutachten.
Die Autoren kommen zu dem Ergebnis, dass PayPal in mehreren Punkten gegen die
DSGVO und das Zahlungsdienstaufsichtsgesetz verstoßen haben könnte.
Im Mittelpunkt der Kritik steht insbesondere
die Nutzung von Zahlungs- und Transaktionsdaten für Werbezwecke.
Konkret beanstanden die Gutachter das neue Werbemodell Offsite-Ads,
bei dem PayPal nach ihrer Einschätzung
Kauf- und Transaktionsdaten aus dem eigenen Netzwerk auswertet,
um zielgerichtete Werbung auf externen Webseiten und in Apps auszuspielen.
Dies stelle eine unzulässige Zweckänderung dar, da eben Zahlungsdaten nach dem
ZDG grundsätzlich nur zur Erbringung der Zahlungsdienste verarbeitet werden
dürfen und darüber hinaus nur mit ausdrücklicher, wirksamer Einwilligung verarbeitet werden dürfen.
Nach dem Gutachten fehlt es eben genau daran.
Die Einwilligungen seien vielfach voreingestellt, unzureichend erklärt und damit
nicht informiert im Sinne der DSGVO.
Das widerspreche eben auch insbesondere dem Grundsatz Privacy by Default.
Und auch die Transparenzpflichten sieht das Gutachten als verletzt an.
Nutzer könnten eben kaum nachvollziehen, welche Daten an welche Empfänger weitergegeben werden.
Kritisiert wird ebenso unter anderem eine Liste mit rund 600 potenziellen Datenempfängern,
die nur auf Englisch verfügbar ist und hinter einer irreführenden Überschrift verborgen sein.
PayPal selbst erklärte auf Anfrage, man sei sich des Gutachtens bewusst und
prüfe die Vorwürfe derzeit.
Die Einhaltung der europäischen Datenschutzanforderungen habe für das Unternehmen hohe Priorität.
Ja, warten wir glaube ich mal ab, was da passiert, ob sich vielleicht noch die
eine oder andere Aufsicht hier auf den Plan gerufen fühlt.
Aber ich sage mal so für die Außenwirkung eher ein negatives Signal.
Ich finde es ja noch ganz spannend zu wissen, wer hat das Gutachten denn überhaupt
beauftragt also es klingt ja jetzt so, als wenn Paypal das nicht selber getan
hätte sonst hätten sie es wahrscheinlich ja auch nicht veröffentlicht,
Vielleicht waren es ja andere Banken oder so, ich weiß es nicht.
Oder andere Zahlungsanbieter.
Vielleicht hat ja eine unserer Zuhörenden da Insights und kann uns da mal einen
Hint geben. Wir behandeln ihn auch vertraulich.
Absolut. Ja, wäre schon ein bisschen shady, aber von der anderen Seite auch
nachvollziehbar. Naja.
Naja.
Der Europäische Datenschutzausschuss bekommt über Umwege nun doch die dritte
Option im Pay-or-OK-Modell. Zumindest bei Meta.
Meta macht nun doch Zugeständnis bei personalisierter Werbung,
denn nach langen Verhandlungen mit der EU-Kommission will der Konzern künftig
mehr Auswahl geben, wie die Daten der Nutzer für Werbung genutzt werden.
Die EU-Kommission bewertete Metas Zusagen dahingehend auch als Schritt in die
richtige Richtung des Digital Markets Acts.
Das ist nämlich die Grundlage, auf der das Ganze jetzt kommen soll.
Das Gesetz sieht ja für sogenannte Gatekeeper wie Meta eine stärkere Regulierung
vor und das, wie gesagt, war jetzt Gegenstand der Verhandlungen und konkret heißt es also,
ab Januar 26 sollen Facebook- und Instagram-Nutzer in der EU mehrere Optionen
bekommen, wenn es darum geht,
getrackt zu werden und dann auf den Profilen, die daraus gebildet werden,
entsprechende Werbung ausgespielt zu bekommen.
Neu ist also eine Variante, bei der weniger personenbezogene Daten genutzt werden,
Und das Targeting eingeschränkt ist, die Werbung weniger individuell,
aber wie gesagt, es geht nicht wohl ganz ohne personenbezogene Daten,
auch wenn jetzt hier noch nicht wirklich große Details dann veröffentlicht wurden.
Wie gesagt, für die EU ist das ein Signal, dass Meta hier die neuen Spielregeln
zumindest formal akzeptiert.
Ist jetzt vielleicht auch weniger überraschend, weil sie ja im April schon mal
eine Geldbuße von 200 Millionen Euro von der EU-Kommission auferlegt bekamen.
Und auch hier war natürlich die Nicht-Einhaltung des Digital Market Access DMA die Grundlage.
Von daher, wie gesagt, für den Datenschutz jetzt nicht direkt originär die Quelle,
aber es hat ja zumindest mal eine Auswirkung.
Und dieser Zwei auch teilt in den Pay-or-OK-Betrachtungen des Edsars,
dass man sich so eine dritte Variante da wünscht.
Wie gesagt, ist jetzt nur bei Gatekeepern oder bei Meta, das heißt also für
kleinere Verlage und solche, die das hier in Deutschland anbieten,
hat das natürlich keine Relevanz.
Stimmt, vielleicht Neubau auch ein bisschen wilder.
Vielleicht.
Kommen wir zu der Rubrik Veröffentlichung und Veranstaltung.
Ich hatte es ja schon zu Beginn gesagt, ich habe einen Datenschutzknicke mitgebracht,
denn Weihnachten steht fast vor der Tür.
In zwei Wochen ist alles vorbei, aber es heißt auch, wir haben noch zwei Wochen
Zeit für Weihnachtspost und mit dem Thema hat sich der Hamburgische Beauftragte
für Datenschutz und Informationsfreiheit befasst und wie gesagt einen sogenannten
Datenschutzknicke für Weihnachts- und Neujahrspost veröffentlicht.
Wer also da reinschauen möchte, kann das gerne tun. Wir verlinken das hier natürlich
für euch in die Shownotes und er beschreibt halt eben darin,
auf welchen Rechtsgrundlagen beispielsweise die Post an Kunden erfolgen kann,
aber was es auch natürlich bei der Post an Beschäftigte zu beachten gilt.
Das ist ganz hervorragend. Ich kann jedes Jahr natürlich immer wieder daran
erinnert werden, weil es, ich glaube, auch da bei vielen noch nicht wirklich
bewusst ist, dass auch da vielleicht ein Hinweis auf das Widerspruchsrecht in
so eine Weihnachtskarte streng genommen gehört.
Mein Veröffentlichungshinweis kommt aus Thüringen. Eine Pressemitteilung des
Thüringer Landesdatenschutzbeauftragten,
für den Datenschutz und Informationsfreiheit warnt eindringlich davor,
vor der Weitergabe alter elektrischer Geräte die persönlichen Daten vorher natürlich zu löschen.
Natürlich jetzt zur Weihnachtszeit haben wir eine hohe Anzahl von Neukäufen.
Deswegen kann man auch davon ausgehen, dass viele Altgeräte vielleicht auch
entsorgt werden und hier sensible Informationen, Fotos, E-Mails und so weiter,
darauf sind, die vorher vielleicht sicher gelöscht werden sollten.
Deswegen verweisen Sie auch auf eine Webseite des BSI und hier nochmal auch
mit Schritt-an-Schritt-Anleitungen.
Ich glaube, unsere Zuhörer wissen das alles, aber auch da die Erinnerung,
wir haben ja alle Familie, wir haben alle Freunde und Bekannte,
die vielleicht nicht so begeistert vom Datenschutz sind wie wir und sich damit
tagtäglich auseinandersetzen.
Deswegen auf jeden Fall hier nochmal der Tipp, das auch anderen zugänglich zu
machen und da nochmal weiterzuleiten.
Den Link packen wir natürlich in die Shownotes.
Die nächste Veröffentlichung, die ich mitgebracht habe, ist ein bisschen spezieller.
Befasst sich nämlich mit der medizinischen Forschung, denn auch hier hat der
hessische Beauftragte für Datenschutz,
Informationsfreiheit in Kombination mit der Deutschen Gesellschaft für Innere
Medizin einen wichtigen Leitfaden veröffentlicht, um Forschende bei den komplexen
Anforderungen an den Datenschutz in der medizinischen Forschung zu unterstützen.
Geht ja hier eben um sensible Gesundheitsdaten und dieser Leitfaden soll eben
praktische Hilfestellung leisten durch die Darstellung von vier konkreten Fallwahlspielen,
die Probleme im Zusammenhang mit dem Einsatz von künstlicher Intelligenz und
der Abgrenzung von Qualitätssicherung und Forschung thematisieren.
Wunderbar, dann sind wir für heute durch. Vielen Dank dir, Laura.
Danke ebenso.
Euch wünschen wir einen schönen dritten Advent und ja, noch eine besinnliche Adventszeit.
Wir verabschieden uns für heute. Bleibt uns gewogen und auf bald.
Bis bald.