VW kann Geldbuße gerichtlich abwehren – DS News KW 24/2025

Transkript zur Folge:

Aus den Kellerräumen des Thyssen-Grün... Ach ne, das war die falsche Sendung. Sekunde.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 13. Juni 2025. Mein Name ist Heiko Gossen.
Mein Name ist David Schmidt.
Unser Redaktionsschluss war heute um 10 Uhr. Und obwohl Freitag,
der 13. ist, senden wir natürlich.
Das ist für uns kein schlechtes Omen. Im Gegenteil, heute ist unser Team Freitag
hier. Also von daher, glaube ich, wird ein guter Tag heute, oder?
Bisher ist nichts passiert.
Gehen wir davon aus, dass es so bleibt. Was hast du mitgebracht, David?
Ich möchte nochmal ein Urteil aufgreifen, über das wir schon vor ein paar Wochen
berichtet haben, in dem es um die Gestaltung von Cookie-Bannern geht.
Und dann habe ich noch eine Umfrage des TÜV-Verbands und des BSI im Gepäck,
in der es um die Cybersicherheit in Deutschland geht. Was hast du dabei?
Ich schaue einmal auf unser Titelthema und das Ende eines mehrjährigen Verfahrens
bei Volkswagen um eine Strafzahlung von 4,3 Millionen Euro und ich hätte eine
Sicherheitslücke in Copilot,
Microsoft Copilot, über die ich berichte und last but not least eine Veranstaltung,
einen Veranstaltungshinweis hätte ich da noch mit dabei.
Dann haben wir ein paar Themen heute dabei und ich würde sagen,
starte mal mit dem Cookie-Urteil. Ich bin gespannt.
Genau, damit legen wir los. In der Kalenderwoche 21 haben unsere Kollegen Natalia
und Lothar über das Urteil des Verwaltungsgerichts Hannover zur Gleichwertigkeit
von Cookie-Bannern berichtet.
In dem zugrunde liegenden Fall ging es um den Cookie-Banner auf einer Webseite
eines Medienhauses aus Niedersachsen und dieser Banner enthielt auf der ersten
Ebene einen Alles-Akzeptieren-Button und einen Einstellungen-Button,
mit dem man auf eine zweite Ebene gelangt und dort alle oder bestimmte Cookies ablehnen konnte.
Das Gericht kam zu dem Urteil, dass die
Einwilligung per Klick auf den Alles-Akzeptieren-Button nicht wirksam war.
Und wieso ich jetzt nochmal darauf zurückkomme, ist, inzwischen wurde der Volltext veröffentlicht.
Der lag damals noch nicht vor und unser Datenschutzkollege Carlo Pilz hat diese
in einem sehr lesenswerten Blogbeitrag analysiert.
Ganz wesentlich ist, dass das Gericht eine sehr detaillierte Einzelfallbetrachtung durchgeführt hat,
die sich ebenfalls sehr lohnt, nochmal durchzulesen und sich die Frage der grundsätzlichen
Erforderlichkeit eines Alles-Ablehnen-Buttons auf der ersten Ebene nicht pauschal
aus der DSGVO ableiten lässt.
Was ganz interessant ist, ist, dass dies genau nicht dem entspricht,
was die Aufsichtsbehörde nach dem Urteil in ihrer Pressemitteilung kommuniziert hat.
Dort wurde nämlich gesagt, dass das Gericht entschieden hätte,
dass auf erster Ebene grundsätzlich eine alles ablehnen Schaltfläche vorhanden sein müsse.
Das ist aber nach wie vor nicht höchst richterlich entschieden und eine sehr
umstrittene Angelegenheit.
Deswegen finde ich, kann man gut und gerne, wenn der Banner im Übrigen transparent
gestaltet ist und alle erforderlichen Informationen enthält,
weiterhin auch einen Ablehnbutton erst auf der zweiten Ebene des Banners einbinden und das gut begründen.
Also man muss dazu sagen, es ist halt natürlich nicht ganz risikofrei,
wenn man das halt macht und dann sich dagegen halt auch jemand wehrt und es
halt gerichtlich dann vielleicht auch weit treibt.
Aber ich glaube, die Analyse ist nochmal wichtig, da ins Detail reinzugucken.
Ich würde vorschlagen, wir verlinken auch den Blogbeitrag von Carlo hier an
der Stelle nochmal in den Shownotes. Wie du sagst, ist lesenswert und Carlo
hatten wir ja auch schon hier in unserer Silvester-Show zu Gast.
Von daher gehe ich davon aus, er ist auch mit einverstanden,
wenn wir den hier verlinken.
Eine Panne bei der Staatsanwaltschaft besiegelt offenbar die Bußgeldfreiheit
für Volkswagen und eine 4,3 Millionen Euro Strafzahlung ist damit offenbar vom Tisch.
Die Volkswagen AG hat kürzlich jetzt zwei langwierige Gerichtsverfahren gegen
den Landesbeauftragte für Datenschutz Niedersachsen wohl erfolgreich beendet.
Das Landgericht Hannover sprach nämlich den Konzern von allen Vorwürfen von
mancher Datenschutzverstöße frei und erteilte der Rechtsauffassung des LFD eine klare Absage.
Es gab ein weiteres Verfahren und das Verwaltungsgericht Hannover sah es nämlich ähnlich.
Es hob zumindest zwei der insgesamt fünf vom LFD ausgesprochenen Verwarnungen auf.
Damit endet halt nun ein komplexer und auch mehrjähriger Rechtsstreit um diese,
ja um einige zentrale datenschutzrechtliche Fragen und die Auslegungen natürlich
auch wiederum von der DSGVO, was Volkswagen hier als deutlichen Erfolg für sich verzeichnet.
Worum ging es? Der Landesdatschutzbeauftragte war Volkswagen vor personenbezogene
Daten unzureichend geschützt zu haben, insbesondere in drei Punkten.
Erstens ging es um die Weitergabe einer Namensliste von 22 Mitarbeitenden an einen US-Monitor.
Zweitens mangelte es wohl an Informationen über diese Übermittlung weiterer
personenbezogener Daten.
Und drittens die Verwendung einer nur transportverschlüsselten E-Mail-Kommunikation wurde bemängelt.
Volkswagen wehrte sich gegen diese Vorwürfe vor dem Verwaltungsgericht und dann
halt mit teilweiseem Erfolg.
Denn das Gericht bestätigte nur zwei dieser Verwarnungen, einerseits wegen unzureichender
Informationen der Beschäftigten und eine weitere noch wegen fehlender Dokumentation gegenüber dem Prüfer.
In zwei Punkten bekam Volkswagen hingegen Recht, nämlich die Offenlegung der
Namen sei durch ein berechtigtes Interesse gedeckt gewesen und auch die eingesetzte
E-Mail-Verschlüsselung sei datenschutzrechtlich ausreichend gewesen.
Gerade dieser Punkt der Offenlegung der Namen ist natürlich ein Punkt,
der jetzt auch in der Pressemitteilung zumindest oder in den Artikeln dazu nochmal auch adressiert wird,
dahingehend, dass es halt auch nachgewiesen wurde durch eine entsprechende Interessenabwägung
und knüpft natürlich auch sehr schön an an unsere Meldung von letzter Woche, die wir hier hatten.
Wo wir ja auch nochmal auf das Etzerpapier verwiesen haben, zur Übermittlung
von personenbezogenen Daten an Behörden in Drittstaaten.
Also da ist sozusagen eine schöne Brücke und da kann man natürlich auch nochmal
reingucken, wer vor dieser Herausforderung steht.
Vielleicht nochmal kurz zum Hintergrund. Also die Volkswagen AG hatte nach dem
Dieselskandal seinerzeit wohl Vergleiche mit US-Behörden geschlossen,
um laufende Verfahren beizulegen.
Und Teil dieser Vereinbarungen war auch die Einsetzung eines unabhängigen Monitors
und eines Auditors, der in den Jahren 2017 bis 2022 tätig war und deren Aufgabe war es,
die Compliance-Strukturen im Konzern zu überwachen.
Im Zuge dieser Überwachung legte Volkswagen dann insgesamt 64.000 Dokumente
offen, die auch personenbezogene Daten von Beschäftigten enthielten.
Und das hat halt der Landesdachlanschutzbeauftragte in Niedersachsen dann entsprechend
kritisiert und diese fünf Verwarnungen dann auch ausgesprochen.
Wie der NDR und auch weitere Medien wohl aktuell berichten, ist das Urteil inzwischen
auch rechtskräftig, weil, und jetzt wird es ein bisschen unangenehm vielleicht
für den einen oder anderen bei der Staatsanwaltschaft,
die eingelegte Rechtsbeschwerde der Staatsanwaltschaft war nämlich nicht unterschrieben
und deswegen ist das Urteil jetzt rechtskräftig.
Ich würde sagen unangenehm für denjenigen. Das ist unangenehm.
Eine neue Umfrage des TÜV-Verbands und des BSI zeigt eine besorgniserregende
Lage bei der Cybersicherheit in deutschen Unternehmen.
Einerseits ist die Bedrohungslage durch Hackerangriffe gestiegen,
andererseits unterschätzen viele Firmen die Risiken und überschätzen ihre eigene
Widerstandsfähigkeit.
Und obwohl die Bedrohung wächst, bewerten
9 von 10 der Unternehmen ihre Cybersicherheit als gut oder sehr gut.
Und gleichzeitig gibt aber jedes vierte Unternehmen an, dass IT-Sicherheit für
sie eine geringe oder gar keine Rolle spielt.
Also da ist schon ein gewisser Widerspruch zu erkennen. Auch alarmierend ist,
dass nur etwa die Hälfte der befragten Unternehmen die neue EU-Richtlinie zur
Cybersicherheit NIST-2 überhaupt kennt und auf dem Schirm hat.
Gleichzeitig fordert etwas mehr als die Hälfte der Unternehmen eine gesetzliche
Pflicht für angemessene Sicherheitsmaßnahmen.
Und sowohl der TÜV als auch das BSI schließen sich dem an und fordern daher
eine zügige nationale Umsetzung der NIST-2-Richtlinie.
Daraus ergibt sich, dass Unternehmen sich den tatsächlichen Risiken unbedingt
bewusst sein sollten und im Zweifel die Sicherheitsmaßnahmen vielleicht etwas
höher ansetzen sollten,
als sich die Bedrohungslage bei ihnen anfühlt.
Und dass sich Unternehmen natürlich mit der NIST-2-Richtlinie am besten jetzt
schon auseinandersetzen sollten, um dann, wenn sie in nationales Recht umgesetzt wird,
bereit zu sein und alle Pflichten rechtzeitig umsetzen zu können.
Ich vermute, die Umfrage wurde gemacht, bevor wir unsere Themenfolge zu NIST
2 veröffentlicht haben. Das sind ja jetzt schon die Ergebnisse.
Also da gab es wahrscheinlich eine Überlappung. Sonst wäre das natürlich völlig
anders ausgefallen, was die Bekanntheit der NIST 2 Richtlinie angeht.
Nein, Scherz beiseite. Unsere Zuhörer kennen die natürlich.
Aber wie du schon sagst, da ist natürlich viel Unwissenheit.
Und es ist ja auch jetzt das schon damit beschäftigen sogar sinnvoll.
Deswegen, vielleicht können unsere Zuhörer, könnt ihr da draußen ja noch ein
bisschen Werbung für unsere Themenfolge bei den Unternehmen machen.
Weil wir gucken ja da relativ abstrakt und kurz drauf, ohne dass wir jetzt jedes
Detail durchgehen müssen.
Aber ich glaube, zum ersten Einstieg ist es eine gute Quelle.
Und von daher gebt den Link gerne zur Themenfolge weiter an eure Kunden und Arbeitgeber.
Kommen wir zu einer Sicherheitslücke. Microsoft hatte eine kritische Zero-Click-Sicherheitslücke
in Copilot geschlossen, die sensible Daten ohne Nutzerinteraktion preisgeben konnte.
Die neu entdeckte Schwachstelle Ecoleak in Microsoft 365 Copilot ermöglichte
es nämlich Angreifern durch das Versenden einer speziell formulierten E-Mail
und, und das ist das Dramatische sozusagen,
ohne jegliche Interaktion des Nutzers sensible Unternehmensdaten zu exfiltrieren.
Dabei führte Copilot die Anweisungen in der E-Mail selbstständig beim Lesen der Nachricht aus.
Diese Zero-Click-Sicherheitslücke, neuer Begriff, kannte ich auch noch nicht,
aber trifft es natürlich ganz gut, wurde von AIM Labs entdeckt und an Microsoft
gemeldet, die sie dann jetzt im Mai 25 serverseitig behoben haben.
Also es muss hier jetzt in den Unternehmen nichts abgedatet werden für.
Wie Heise berichtet, wurde die Lücke bereits im Januar entdeckt und Microsoft
hat wohl fünf Monate für die Behebung benötigt, was mir schon sehr lange erscheint.
Vermutet wird daher, dass es sich um eine neuartige Sicherheitslücke gehandelt
hat und es daher Zeit gebraucht hat, wenn ich zitiere, um die korrekten Teams
und Mitarbeiter für die Gegenmaßnahmen zu finden und zu instruieren.
Meine persönliche Anmerkung dazu, das spricht jetzt auch nicht gerade für eine
sehr gute Entwicklungsabteilung, aber gut, die Schwachstelle zeigt zumindest,
dass KI-Agenten wie M365 Co-Pilot, die halt auf großen Sprachmodellen basieren,
durchaus auch anfällig für neuartige Angriffsmethoden sind, halt insbesondere
für sogenannte LLM Scope Violations und ich glaube, das ist halt auch der Knackpunkt.
Wir müssen uns da auf neue Szenarien, auf neue Angriffsvektoren einstellen und
müssen damit rechnen, dass wir halt da auch regelmäßig aufmerksam sein müssen
und gegebenenfalls auch reagieren müssen.
Ja, da bin ich bei dir. Ich glaube, da kommt noch einiges auf uns zu.
Zum einen, was eben KI als Schwachstelle angeht, aber auch was KI angeht,
um neue Angriffsmethodiken zu entwickeln.
So ist es. Und damit kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen,
die heute nur eine Veranstaltung beinhaltet.
Die Stiftung Datenschutz lädt am 18.
Juni, also nächste Woche, Mittwoch glaube ich ist das, um 16 Uhr zu einer Online-Diskussion
mit prominenter Besetzung ein. Neben Prof.
Dr. Christiane Wendehorst vom Institut für Innovation und Digitalisierung an
der Universität Wien wird auch Maximilian Schrems bekannt, glaube ich hier,
Vorstandsvorsitzender von Neub.
Gemeinsam mit Frederik Richter, auch bekannt, Vorstand der Stiftung Datenschutz
und unseren Zuhörern, zumindest auch unserer ersten Silvestershow sicherlich
bekannt, über die Reform der DSGVO diskutieren.
Die Frage ist, Reform oder Reformchen?
Die EU-Kommission schlägt ja im Rahmen ihres Bürokratie-Abbau-Pakets eine punktuelle Änderung vor.
Da sind ja Diskussionen im Raum, den Artikel 30 etwas zu entschlacken,
beziehungsweise zumindest mal die Pflichten daraus für kleinere Unternehmen
rauszunehmen und klarzustellen.
Und auf der anderen Seite gibt es einen Gesetzentwurf von Frau Wendehorst,
die eine Ergänzungsverordnung quasi entworfen hat, zwischen DSGVO und KI-Verordnung
sozusagen die Brücke zu schlagen und da auch bestimmte Erleichterungen drin vorgeschlagen hat.
Und Max Schrems hat ja auch konkrete Vorstellungen zu den Chancen und Risiken
dann einer DSGVO-Reform, hat dazu ja auch schon was veröffentlicht.
Also von daher könnte spannend werden.
Das Ganze wird im Livestream übertragen.
Anmeldung ist nicht notwendig. Von daher einfach sich selber vielleicht den
Reminder in den Kalender setzen.
Mittwoch, 16 Uhr, Link findet ihr in den Shownotes.
Damit ist, glaube ich, für heute alles Wichtige gesagt, oder David?
Jawohl, schönes Wochenende.
Schönes Wochenende. Bleibt uns gewogen und auf bald.
Auf bald.