Podcasts about datenschutzaufsichtsbeh

„Datenschutz ist ein zentrales Fundament der Demokratie und Basis für freie Meinungsäußerungen und politische Teilhabe. Datennutzung und Datenschutz müssen Hand in Hand gehen“ so Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und 2025 Vorsitzende der Datenschutzkonferenz. In der aktuellen Podcast-Folge wird erneut sichtbar, was die aktuelle Entwicklung in Datenschutz und Datensicherheit dazu beiträgt. Datenschutzaufsichtsbehörden, die EU-Kommission und das BSI (Bundesamt für Sicherheit in der Informationstechnik) haben dazu Beiträge geleistet, die hier näher betrachtet werden.

Im neuen Podcast mit Niko Härting und Stefan Brink geht es um Falsches, das berichtigt werden soll: Zunächst (ab Minute 00:50) berichtet Niko in Querbeet von den Versuchen der Trump-Administration, Maßnahmen der Gleichstellung (am Exempel großer US Law Firms) als Diskriminierung hinzustellen. Sodann geht es (ab Minute 06:21) um die Stellungnahme der Landesdatenschutzbeauftragten (ohne die BfDI) zum Data Act Durchführungsgesetz: Die LfD sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet. Keinen Berichtigungsbedarf sah das BVerfG (ab Minute 12:49) - 2 BvE 4/25, Beschluss vom 13.3.2025 – anlässlich einer Organklage der fraktionslosen Abgeordneten des 20. Deutschen Bundestages Joana Cotar. Sie wendete sich ihren Anträgen auf Erlass einer einstweiligen Anordnung gegen die Anberaumung von Sondersitzungen des 20. Deutschen Bundestages - nach der bereits erfolgten Wahl zum 21. Deutschen Bundestag - in denen über die Schuldenbremse beraten werden sollte. Das BVerfG lehnte mit einer schlichten Folgenabwägung ab. Als berichtigungsbedürftig sieht die „Initiative für einen handlungsfähigen Staat“ (ab Minute 19:30) aus den vier Aktivisten Julia Jäkel (Managerin und Verlegerin, ehem. Vorstandsvorsitzende Gruner und Jahr), den ehemaligen Bundesministern Thomas de Maizière und Peer Steinbrück sowie Ex-BVerfG-Präsident Andreas Voßkuhle, die „Blockaden und Selbstblockaden staatlichen Handelns“, besonders beim Datenschutz: Die Datenschutzgrundverordnung werde in Deutschland strenger angewendet als in anderen EU-Staaten (soso), der Persönlichkeitsschutz sei gerade mit Hilfe digitaler Technologie leichter und besser umzusetzen (aha). Deswegen solle künftig Opt-Out statt Einwilligung herrschen, kleine und mittlere Unternehmen sollten über keinen Datenschutzbeauftragten mehr verfügen müssen. Und ach ja: Die Aufsicht über den nichtöffentlichen Bereich (Unternehmen), die heute durch die Datenschutzaufsichtsbehörden der Länder ausgeübt wird, sollte bei der Bundesbeauftragten erfolgen, um eine uneinheitliche Rechtsauslegung zu vermeiden. Nichts zu berichtigen hatte schließlich das BVerwG (10 VR 2.25 am 13. Februar 2025 – ab Minute 29:09) und lehnte den Antrag des Redakteurs einer Tageszeitung ab, der im Wege der einstweiligen Anordnung Auskünfte vom Bundesnachrichtendienst (BND) begehrte. Dieser wollte anlässlich der Münchner Sicherheitskonferenz vertrauliche Hintergrundgesprächen mit Journalisten führen – das BVerwG fand das nicht spannend genug und ließ offen, ob der BND richtig oder falsch damit liegt. Mit einem Anspruch auf Berichtigung nach Art. 16 DS-GVO befasste sich der EuGH (Urteil vom 13.3.25 C-247/23 – ab Minute 39:38). Ein transsexueller iranischer Geflüchteter bat die ungarische Ausländerbehörde um die Berichtigung von Daten betreffend seine Geschlechtsidentität in einem von dieser Behörde geführten öffentlichen Register. Die Behörde lehnte das ab, da er keinen Nachweis einer geschlechtsangleichenden Operation geführt hatte. Dem trat der EuGH auf Basis der DS-GVO (!) entgegen und befand, dass eine nationale Regelung, die es verhindert, dass eine transgeschlechtliche Person wegen fehlender Anerkennung ihrer neuen Geschlechtsidentität eine notwendige Voraussetzung erfüllen kann, um in den Genuss eines unionsrechtlich geschützten Anspruchs – wie im vorliegenden Fall des in Art. 16 DS-GVO konkretisierten Rechts – zu gelangen, grundsätzlich als mit dem Unionsrecht unvereinbar anzusehen sei. Wer hätte gedacht, dass die DS-GVO wirklich alles regelt … aber vielleicht bedürfte auch diese richterliche Auffassung der Berichtigung …

Im neuen Podcast mit Stefan Brink und Niko Härting dreht sich alles um Allianzen im Datenschutz: Zunächst (ab Minute 00:40) geht es in Querbeet um die Frage, ob der unberechenbare US-Präsident Trump das EU-US Data Privacy Framework zu Fall bringen könnte – aus dem Jahr 2023, als die Allianz zwischen EU und USA noch stand. Stefan erklärte in einem Beitrag für das „Handelsblatt“, warum es sich jetzt rächen könnte, dass der Angemessenheitsbeschluss der EU-Kommission nur mit einer Executive Order des Präsidenten Biden und nicht wie von Datenschützern verlangt durch ein Parlamentsgesetz umgesetzt und abgesichert wurde: Jeder Präsident der USA hat es nun selbst in der Hand, das Abkommen wieder scheitern zu lassen. Sodann geht es (ab Minute 13:21) beim Referentenentwurf zum Data Act-Durchführungsgesetz und die bröckelnde Allianz der Datenschutz-Aufsichtsbehörden der Länder und des Bundes: Der EU-DA, der eine faire Verteilung des Datenwertes vernetzter Produkte anstrebt, bekommt in Deutschland mit der Bundesnetzagentur eine zentrale Aufsichtsbehörde für die Durchsetzung und Überwachung der Verordnung (EU) 2023/2854. Ergänzend wird eine Sonderzuständigkeit für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geschaffen – interessanterweise an den Aufsichtsbehörden der Länder vorbei. Aufgrund seiner Gesetzgebungskompetenz aus Artikel 74 Absatz 1 Nummer 11 Grundgesetz (Recht der Wirtschaft) begründet der Bund diese Sonderzuständigkeit der BfDI mit Artikel 87 Absatz 3 Satz 1 Grundgesetz. Die BfDI verfüge über das für eine zügige Identifizierung und Bewertung von Datenschutzfragen sowie die Aufbereitung von Sachverhalten notwendige Fachwissen und könne somit erheblich zu einer raschen Beurteilung der datenschutzrechtlichen Fragestellungen beitragen. Brechen da alte Allianzen zwischen der deutschen Datenschutzaufsichtsbehörden von Bund und Ländern? Haben wir es hier mit der Blaupause für Zentralisierung der Aufsicht über private Unternehmen beim Bund (BfDI) zu tun? Schließlich (ab Minute 29:02) gibt es offenbar eine denkwürdige Allianz zwischen Axel Voss (MdEP der EVP-Fraktion) und Max Schrems von der Datenschutz-Organisation NOYB. Voss präsentiert seinen Plan zur Revision der DS-GVO, er will in einem 3-Schichten-Modell eine Differenzierung der Pflichten der DS-GVO abhängig von der nach Unternehmensgröße (vgl. DSA zu very large online platforms VLOP) vornehmen. Schrems stimmt insoweit zu, das „one size fits all“ der DS-GVO sei schon immer verrückt gewesen. Allerdings korreliert ein an der Unternehmensgröße ausgerichteter asymmetrischer Ansatz keineswegs mit dem risikobasierten Ansatz der DS-GVO: Risiken ergeben sich aus Datenmenge, Datenarten (Art. 9-Daten) und TOMs als risikomindernden Maßnahmen – nicht zwingend aus der Unternehmensgröße. Ehemalige, bröckelnde und denkwürdige Allianzen im Datenschutz also…

„Angesichts der dynamischen Entwicklungen im rechtlichen und technischen Bereich ist es unerlässlich, dass wir als Datenschutzaufsichtsbehörde Schwerpunkte setzen“, erklärte der Landesbeauftragte von Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, anlässlich der Veröffentlichung des Aktionsplans 2025 seiner Datenschutzaufsichtsbehörde. Auch betriebliche und behördliche Datenschutzbeauftragte sollten sich Schwerpunkte setzen. Bei der dafür notwendigen Orientierung möchte dieser Datenschutz-Podcast helfen.

Mit der Einwilligungsverordnung (EinwV) wurde der Rechtsrahmen für ein alternatives Einwilligungsverfahren zu Cookie-Bannern geschaffen. Doch die Datenschutzaufsichtsbehörden sehen dieses alternative Verfahren kritisch. Was sollten Datenschutzbeauftragte dazu wissen, um in den Unternehmen und Behörden entsprechend beraten zu können?

Videokameras erfreuen sich immer größerer Beliebtheit, weil sie kostengünstig und einfach zu installieren sind. Aber gerade Videoüberwachung bieten sehr schnell Angriffspunkte für Beschwerden im Datenschutz. Immer öfter erhalten wir Hilferufe von kleinen Unternehmen, die eine Beschwerde einer Datenschutzaufsichtsbehörde erhalten haben. Was am besten bereits bei der Planung von Kameraüberwachung zu beachten ist und was die Aufsichtsbehörden dann wissen wollen, erläutern wir in dieser Podcastfolge. Shownotes:

Aus den Datenschutzaufsichtsbehörden und aus der IT-Sicherheit gibt es wieder viele wichtige Meldungen und Veröffentlichungen, die Datenschutzbeauftragte in ihrer täglichen Arbeit kennen und nutzen sollten. Wir geben in der neuen Folge einen kompakten Überblick mit Tipps für die Praxis.

Meta hatte Mitte Juni 2024 angekündigt, seine KI (Künstliche Intelligenz) mit den Daten der Nutzerinnen und Nutzer von Facebook und Instagram zu trainieren. Wer das nicht wollte, musste widersprechen. Nach Intervention der Datenschutzaufsichtsbehörden verzichtet Meta in Europa vorerst auf das KI-Training. Wir haben Thomas Fuchs, den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, dazu befragt.

"Seit März 2024 prüft die Datenschutzaufsichtsbehörde in Bayern KI-gestützt automatisiert Webseiten auf DSGVO-Konformität. Und sicherlich bleibt es nicht bei den Bayern. Andere Länder werden diesem Beispiel folgen oder tun es schon, und es ist nur nicht öffentlich. Was sie genau prüfen und was Du auf Deiner Webseite in diesem Zusammenhang kontrollieren solltest, dass erfährst Du in dieser neuen Podcastfolge. " Shownotes:

Neuer Podcast, alte Bekannte: Niko Härting und Stefan Brink pflügen zunächst (ab Minute 02:40) Querbeet: Die Datenschutzkonferenz hat einen Leitfaden zur Nutzung von KI in Behörden und Unternehmen veröffentlicht (Mai 2024). Die Orientierungshilfe richtet sich in erster Linie an die Verantwortlichen, die KI‐Anwendungen einsetzen möchten. Zudem hat sich das Bundesverwaltungsgericht hat sich mit der Frage befasst, ob gegen eine (drohende) Verletzung der DS-GVO mit einem Unterlassungsanspruch reagiert werden kann. Es kam zum Schluss: Art. 79 Abs. 1 DS-GVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus. Abschließend noch ein kurzer Hinweis auf die „Feiertage“ zur Informationsfreiheit, den mittlerweile 5. IFG-DAYS des LfDI Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/5-ifg-days/) – alle Beiträge demnächst im Netz. Ab Minute 13:47 geht es dann um den EuGH (Rechtssache 662 ff/2022 vom 30.5.2024, Vorabentscheidungsverfahren): Online-Dienste-Anbieter wie Google, aber auch Amazon, Expedia u.a. klagten gegen das italienische Transparenz-Gesetz „zur Umsetzung“ der EU-VO 2019 zur Förderung von Transparenz und Fairness für gewerbliche Nutzer von Online-Vermittlungsdiensten. Die Kläger haben ihren Sitz in Irland bzw. Luxemburg und beklagten einen erhöhten Verwaltungsaufwand in Italien als Verstoß gegen Dienstleistungsfreiheit innerhalb der EU (Art 56 AEUV). Der EuGH sprach sich klar gegen nationale Erhöhungen der Schutzstandards aus, selbst bei „nützlichen“ Verschärfungen im Sinne einer EU-VO: „Somit darf Italien in anderen Mitgliedstaaten niedergelassenen Anbietern dieser Dienste keine zusätzlichen Verpflichtungen auferlegen, die für die Erbringung der fraglichen Dienste nicht im Niederlassungsmitgliedstaat, wohl aber in Italien vorgesehen sind.“ Mit den Grenzen der Informationstätigkeit von Datenschutz-Aufsichtsbehörden befasst sich ein Aufsatz von Christine Dieterle, Ministerialrätin und Referatsleiterin im Bayerischen Staatsministerium der Justiz in München (ZD 2024, 241) – und Stefan und Niko mit diesem Aufsatz (ab Minute 20:32): Genügt Art. 58 Abs. 3 lit. b DS-GVO, der es den Datenschutzaufsichtsbehörden gestattet, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung sowie an die Öffentlichkeit zu richten, für Eingriffe in die Gewerbefreiheit? Denn namentliche Nennungen von Beteiligten an Bußgeldverfahren in Pressemitteilungen oder Tätigkeitsberichten greifen sicherlich in deren Rechte ein. Naming – Blaming – Shaming durch Datenschutzbehörden - ein kontroverses und hoch aktuelles Thema!

Prof. Dr. Kugelmann, Landesbeauftragter für den Datenschutz und Informationsfreiheit in Rheinland-Pfalz gibt im Gespräch wesentliche Einblicke in den AI-Act, das Verhältnis zwischen AI-Act und DSGVO sowie die Rolle der Datenschutzaufsichtsbehörden. Das weitgreifende Komplettangebot inklusive Formulare zu DSGVO/TTDSG/BDSG im Beratermodul Datenschutzrecht. 4 Wochen gratis nutzen! ttosc.hm/dsgvo

Was ist in der KW 48 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Wir geben einen kurzen Überblick der aktuellen Themen: - Arbeitsgericht Duisburg zur verspäteten Auskunft nach Art. 15 DSGVO : https://www.justiz.nrw/nrwe/arbgs/duesseldorf/arbg_duisburg/j2023/5_Ca_877_23_Urteil_20231103.html -- https://www.delegedata.de/2023/11/750-eur-dsgvo-schadenersatz-wegen-auskunft-erst-nach-19-tagen-ich-meine-nein/ - LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft -- https://www.justiz.nrw/JM/Presse/presse_weitere/PresseLArbGs/Nr_29_23/index.php - Test der Palantir-Software mit echten Personendaten - Noyb legt Beschwerde gegen Meta ein -- https://noyb.eu/de/noyb-files-gdpr-complaint-against-meta-over-pay-or-okay - Meta sperrt nicht die Accounts von Kindern -- https://t3n.de/news/meta-millionen-accounts-13-jaehrigen-daten-1592566/ - OLG Stuttgart zu Schadensersatz im Zusammenhang mit einem Datenleck bei Facebook -- https://oberlandesgericht-stuttgart.justiz-bw.de/pb/,Lde/Startseite/Medien/OLG+Stuttgart+entscheidet+ueber+Schadensersatz+fuer+Datenleck+bei+Facebook/?LISTPAGE=8975136 Empfehlungen & Lesetipps: - Internationale Cybersicherheitsbehörden veröffentlichen Leitfaden zur Entwicklung sicherer KI-Systeme -- https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2023/231127_Leitfaden-sicher-KI-Systeme.html - Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 29. November 2023 -- https://datenschutzkonferenz-online.de/media/pm/23-11-29_DSK-Pressemitteilung_KI-Regulierung.pdf DSK fordert klare Maßstäbe im Umgang mit Gesundheitsdaten -- https://www.datenschutzkonferenz-online.de/media/en/2023-11-23_DSK-Entschliessung_DS.pdf Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/negativ-auskunft-nach-19-tagen-zu-spat-datenschutz-news-kw-48-2023 #TeamDatenschutz #TeamInfoSec #DSTalk

Was ist in der KW 45 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Wir geben einen kurzen Überblick der aktuellen Themen: Themfolge: KI und Datenschutz - Prof. Dr. Tobias Keber VG Hannover zur Videoüberwachung im Wettbüro (Urteil vom 10.10.2023 - 10 A 3472/20) YouTubes Adblocker-Erkennung potenziell rechtswidrig Regulierung politischer Werbung Mehr Privatsphäre bei Nutzung von WhatsApp Tesla schränkt den Fernzugriff auf das Fahrzeug ein EuGH Urteil zu FIN c319/22 Cyber-Angriff auf Berliner Kaufhaus Datendiebstahl bei Shimano LinkedIn-Datenleck: Daten wurden künstlich aufgebläht Empfehlungen & Lesetipps: EDSA-Studien zur Rechtslage in Brasilien, Mexiko und der Türkei Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 6. November 2023 Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/eilentscvideouberwachung-im-wettburo-datenschutz-news-kw-45-2023 #TeamDatenschutz #TeamInfoSec #DSTalk

Seit dem 10. Juli dieses Jahres gilt das EU-US Data Privacy Framework. Die Vereinbarung erlaubt es Unternehmen, unter gewissen Voraussetzungen Daten in die USA zu transferieren. Die Erlaubnis beruht auf einem erneuten Angemessenheitsbeschluss der EU-Kommission, nach dem die Vorherigen vom Europäischen Gerichtshof einkassiert worden waren. Was genau dieses DPF ist und was Unternehmen beachten müssen, hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anfang September in ausführlichen Anwendungshinweisen gut verständlich erläutert. Anders als vergleichbare Beschlüsse mit weiteren Staaten erlaubt die Neuregelung nicht grundsätzlich eine Weitergabe über den Atlantik, wie die DSK betont. Das DPF wirkt sektoral und erfasst nur Datenübermittlungen an solche US-Unternehmen und -Organisationen, die aktiv an diesem Programm teilnehmen und sich in eine entsprechende Liste eintragen lassen. In Episode 93 des c't-Datenschutz-Podcasts erläutern Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich, was sich mit dem DPF für Unternehmen, aber auch für Bürgerinnen und Bürger ändert. Ihnen kompetent zur Seite steht dabei Carola Sieling. die Fachanwältin für IT-Recht berät in ihrer Kanzlei Unternehmen in Datenschutz-Belangen und fungiert als Datenschutzbeauftragte. Zusammen lesen sich die Drei kommentierend durch das DSK-Papier. Neben dem DPF diskutieren sie außerdem ein hohes Bußgeld, das die irische Datenschutzbehörde gegen die TikTok Technology Limited, also den europäischen Ableger von TikTok/Bytedance, ausgesprochen hat. Das Unternehmen soll 345 Millionen Euro zahlen, weil es im Beobachtungszeitraum 2020 diverse Verstöße im Umgang mit den Daten Minderjähriger begangen hat.

Was ist in der KW 26 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Wir geben einen kurzen Überblick der aktuellen Themen: Bußgeld für Benetton-Gruppe: Unrechtmäßige Verarbeitung von Kundendaten Bußgeld für Medienunternehmen Bonnier News wegen unzulässigem Profiling VG Hannover: Keine Ausschreibung von Landesbeauftragten für Datenschutz (VG Hannover, Beschluss vom 22.06.2023 - 13 B 3358/23) Sachsen-Anhalt ohne Datenschutzbeauftragten Irische Datenschutzaufsicht plant Gesetzänderung zur Transparenz Überwachungsvideo trotz Datenschutzbedenken als Beweis zulässig (BAG, Urteil vom 29.06.2023 - 2 AZR 296/22) USA: Klage gegen OpenIA und Microsoft wegen Diebstahl EuGH Schlussanträge: Personalausweise mit Fingerabdrücken erlaubt (EuGH, Schlussanträge vom 29.06.2023 - C-61/22) Empfehlungen und Lesetipps: BfDI: Arbeitspapier zu Authentifikation im Telekommunikationsbereich LfD Niedersachsen veröffentlicht neue Handreichung zum Datenschutz im Verein Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2023 Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/schlussantrag-zu-fingerabdruckpflicht-datenschutz-news-kw-26-2023 TeamDatenschutz #TeamInfoSec #DSTalk

Der EuG hat sich in seinem Urteil vom 26.04.2023 (Rs. T-557/20) mit dem Personenbezug im Anschluss an die Entscheidung des EuGH vom 19.10.2023 (Rs. C-582/14) befasst. Der EuG erörtert aber nicht nur die Frageder Identifizierbarkeit, Pseudonymität und Anonymisierung im Anschluss an diese Entscheidung. Er befasst sich auch damit, dass die Informationen eine Aussage „über“ die Person enthalten muss, und greift dazu die Entscheidung des EuGH vom 20.12.2017 (Rs. C-434/16) auf. Letztlich macht er auch deutlich, dass eine Datenschutzaufsichtsbehörde beide Fragestellungen nach dieser Maßgabe konkret prüfen muss und nicht unterstellen kann. Eine leicht zu übersehende, aber doch relevante Entscheidung zum Datenschutzrecht! Das weitgreifende Komplettangebot inklusive Formulare zu DSGVO/TTDSG/BDSG im Beratermodul Datenschutzrecht. 4 Wochen gratis nutzen! ottosc.hm/dsgvo

Was ist in der KW 14 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Wir geben einen kurzen Überblick der aktuellen Themen: Metas "schutzwürdige berechtigte Interessen" sollen Datenweitergabe legitimieren Geschäftsführerdaten bleiben im Handelsregister einsehbar (OLG Celle, Urteil v. 24.2.2023 - 9 W 16/23) Rückgriff auf §8c UWG bei Feststellung einer rechtsmissbräuchlichen Verfolgung datenschutzrechtlicher Ansprüche (AG Ludwigsburg, Urteil vom 28.02.2023, Az. 8 C 1361/22) Italienische Datenschutzbehörde schränkt Verarbeitung italienischer Nutzerdaten bei ChatGPT ein und fordert Verbesserungen Cybersicherheitswarnung zu VOIP-Clients 3CX Desktop App des BSI Kritische Schwachstelle in Nextcloud Cisco: Hochriskante Schwachstellen UK: 14,5 Mio. € Bußgeld gegen TikTok Empfehlungen & Lesetipps: Prüfung allgemeiner datenschutzrechtlicher Pflichten des Verantwortlichen und rechtlicher Fragestellungen zum Akteneinsichtsrecht bei 50 niedersächsischen Kommunen Prüfbericht Februar 2023 Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder EDPB verabschiedet Schreiben an die EU-Institutionen zum Datenaustausch für AML/CFT-Zwecke Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/italien-stoppt-chatgpt-datenschutz-news-kw-14-2023

In Folge 36 von HÄRTING.fm sprechen wir über Cyberattacken. Martin Schirmbacher und Lasse Konrad diskutieren mit Nicole Beranek Zanon von HÄRTING Schweiz anhand konkreter Beispiele aus der Praxis, welche rechtliche (und tatsächliche) Fragen sich bei Ransomware-Attacken stellen. Es geht um die Zusammenarbeit mit aktuellem und möglichen neuen IT-Dienstleistern. Nicole erläutert, warum es in der Schweiz ratsam sein kann, intensiv mit der Polizei zusammen zu arbeiten. Außerdem geht es um verpflichtende Meldungen an die Datenschutzaufsichtsbehörden und darum, wann die 72-Stunden-Frist wohl beginnt. Ans Eingemachte geht es, wenn wir diskutieren, welche Ziele bei den Verhandlungen mit den Erpressern verfolgt werden und ob man überhaupt Zahlungen leisten darf (§ 129 Abs. 1 S. 2 StGB) und sollte. Auch hier kommen aus der Schweiz andere Töne als aus Berlin. Wir streifen kurz den Bereich der Kommunikation nach innen und außen und erläutern, dass es wichtig ist, konsistent zu kommunizieren. Schließlich sprechen wir über Vorsorgemaßnahmen, Readyness und Resilienz. In den News berichtet Nicole über ihren Schreibtisch, auf dem unter anderem ein Process-Outsourcing-Vertrag, ein Work for Equity-Vertrag und ein gescheiteres Softwareprojekt liegen. Wir sprechen kurz über ESG als Thema in Lieferantenverträgen. Lasse berichtet über Auseinandersetzungen mit einer Datenschutzbehörde und eine aktuelle Äußerung des Generalanwalts beim EuGH zum Scoring.

Welche Ratschläge, Tipps und Hinweise haben die Datenschutzaufsichtsbehörden zum Einsatz von Künstlicher Intelligenz? Im Interview mit Monika Grethel erfahren wir, was die Aufsichtsbehörden hierzu beobachten, wie sie beraten und welche Fehler man bezüglich KI nicht machen sollte.

Im Dezember 2022 haben die deutschen Datenschutzaufsichtsbehörde die Version 1.1 der Orientierungshilfe Telemedien 2021 veröffentlicht. Der textliche Umfang ist größer und die Eingabe im Rahmen der Konsultation zur Orientierungshilfe Telemedien 2021 vom Dezember 2021 sind ausgewertet worden. Abgesehen von den erkennbar neu eingeführten Randnummern und den Kapiteln V und VI spricht die Orientierungshilfe Telemedien 2021 in der Version 1.1 jedoch nicht explizit die Neuerungen bzw. Veränderungen im Vergleich zur Vorgängerversion an. Diese Neuerungen bzw. Veränderungen werden daher im Podcast angesprochen und auch – in der gebotenen Kürze – bewertet! Die perfekte Online-Ausstattung im IT-Recht (DSGVO/BDSG/TTDSG) mit den aktuellen Inhalten gibt es für Sie im Beratermodul IT-Recht. Nutzen Sie das Modul 4 Wochen gratis! https://ottosc.hm/bmitr

Das Office-Paket Microsoft 365 kann von Unternehmen, Behörden und Schulen nicht so eingesetzt werden, dass alle Anforderungen an den Datenschutz erfüllt werden. Das haben die Datenschutzaufsichtsbehörden des Bundes und der Länder mitgeteilt. Was bedeutet das genau und welche Konsequenzen hat das? Christine Langer im Gespräch mit Prof. Dieter Kugelmann, Landesbeauftragter für den Datenschutz in Rheinland-Pfalz.

Was ist in der KW 48 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Wir geben einen kurzen Überblick der aktuellen Themen: Riesiger Datensatz mit rund 487 Millionen Telefonnummern vermutlich bei WhatsApp geleaked USA und Großbritannien verbannen chinesische Technik, Deutschland ist noch nicht ganz so weit CNIL stellt Aktionsplan in drei Etappen zur Einhaltung datenschutzrechtlicher Vorgaben bei Neue Regeln für Zugang zu digitalen Daten (e-Evidence) Ergebnisse einer berufsbezogenen Prüfung ist ein personenbezogenes Datum BVerwG, Urt. v. 30.11.2022, Az. 6 C 10.21 Microsoft bezieht öffentlich Stellung zu dem Arbeitspapier der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Selbständige Evangelisch-Lutherische Kirche im Anwendungsbereich der DSGVO VG Hannover, Urteil vom 30.11.2022, Az. 10 A 1195/21 Hive aufgrund massiver Sicherheitslücken vorrübergehend offline Lesetipps Hambuger Datenschutzaufsichtsbehörde: Datenschutz in den USA - aktuelle Lage Wie können Remote Work und Datenschutz Hand in Hand gehen? Zunehmende Gefahr durch IT-Angriffe und fehlende Awareness Alte Social-Media-Konten löschen Interne Untersuchungen und Hinweisgebersysteme nur mit Datenschutz Datenschutzfolgeabschätzung für Facebook-Fanpages DSK Beschluss zu Verbrauchervorschriften über digitale Produkte auf das Datenschutzrecht

Die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit hat eine Checkliste zur Prüfung von Vereinbarungen über die Auftragsverarbeitung veröffentlicht. Diese wurde in Zusammenarbeit mit weiteren Datenschutzaufsichtsbehörden erstellt. Gleichzeitig wurde eine Überprüfung der entsprechenden Vereinbarungen von Hosting-Anbietern angekündigt. Das wirft Fragen zur Ausgestaltung und zur Prüfung von Vereinbarungen über die Auftragsverarbeitung auf. Die perfekte Online-Ausstattung im IT-Recht (DSGVO/BDSG) gibt es für Sie im Beratermodul IT-Recht. Nutzen Sie das Modul 4 Wochen gratis! https://ottosc.hm/bmitr

Vorangekreuzte Checkboxen, Schaltflächen, „Registrieren“-Buttons, Gastbestellungen und Kundenkonten. Die Gestaltungen, denen Neukunden in Online-Shops begegnen, sind vielfältig. Häufiger Einstieg: Neukundenregistrierung und dann Einkaufen. Wir schauen heute einmal genauer hin. Ist die Möglichkeit, als Gast zu bestellen, Pflicht in Online-Shops? Und wenn ja, warum? Gibt es bei der Erstellung eines Kundenkontos etwas zu beachten? Die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat sich mit diesen Fragen befasst und am 24.03.2022 Hinweise zum datenschutzkonformen Online-Handel mittels Gastzugang veröffentlicht. Was die Datenschutzkonferenz zu Gastzugängen sagt und was daran kritisiert wird, zeigen wir Ihnen in unserem Tipp der Woche.

Bei Auskunfts- und Informationsverlangen der Datenschutzaufsichtsbehörde stellt sich regelmäßig die Frage, wo die Grenze zur Selbstbelastungsfreiheit verläuft. Mit Ausnahmen von allgemeinen Fragenbogenaktionen steht typischwerweise mehr oder weniger klar ein möglicher DSGVO-Verstoß im Raum. Warum sollte die Aufsichtsbehörde sich sonst auch mit einer Nachfrage melden? Darf dann in „Bausch und Bogen“ die Auskunft verweigert werden? Auf welche Fragen darf die Auskunft verweigert werden? Kann das Recht auch erst später gegen Zwangsmaßnahme geltend gemacht werden? Diesen Fragen geht der Podcast anhand der Entscheidung des OVG für das Land Schleswig-Holstein vom 28.05.2021 (Az. 4 MB 14/21) nach. Die perfekte Online-Ausstattung im Datenschutzrecht (DSGVO/BDSG) für Sie im Beratermodul Datenschutzrecht. Nutzen Sie das Modul 4 Wochen gratis! ottosc.hm/dsgvo

Die österreichische Datenschutzaufsichtsbehörde hat sich mit Entscheidung vom 22.12.2021 (vermeintlich) bahnbrechend mit der Nutzung von Google Analytics befasst – jedenfalls mit einem damit verbundenen Drittlandtransfer. Der Podcast hinterfragt, ob die Ausführungen hierzu im Lichte der EuGH-Rechtsprechung wirklich so bahnbrechend sind oder nicht vielmehr andere Ausführungen der Entscheidung für die Nutzung von Analyse-Tools viel weiterreichend sind. Die perfekte Online-Ausstattung im Datenschutzrecht (DSGVO/BDSG) für Sie im Beratermodul Datenschutzrecht. Nutzen Sie das Modul 4 Wochen gratis! ottosc.hm/dsgvo

Das Verwaltungsgericht Köln hat in seinem Beschluss vom 10.11.2021, 13 L 1707/21, festgestellt, dass die Datenschutzaufsichtsbehörde nicht die Abberufung eines benannten Datenschutzbeauftragten anordnen kann. Der Podcast beleuchtet die Situation der Entscheidung und den Inhalt. Die perfekte Online-Ausstattung im Datenschutzrecht (DSGVO/BDSG) für Sie im Beratermodul Datenschutzrecht. Nutzen Sie das Modul 4 Wochen gratis! ottosc.hm/dsgvo

Die Datenschutzaufsichtsbehörden führen immer wieder Prüfungen mittels standardisierten Prüfungsbögen bei ausgewählten Unternehmen durch. Am 30.06.2021 haben die teilnehmenden Datenschutzaufsichtsbehörden mit Pressemitteilungen über den Abschluss einer solchen Prüfung („Länderübergreifende Datenschutz-Prüfung von Medien-Webseiten“) berichtet und zeitlich überschneidend eine weitere gestartet („Koordinierte Prüfung internationaler Datentransfer“). Im Interview mit Barbara Thiel geht es um die Bedeutung und die Wirkung sowie mögliche Konsequenzen solcher Prüfungen. Einen umfassenden Einblick bekommen Sie mit der perfekten Online-Ausstattung im Datenschutzrecht (DSGVO/BDSG) im Beratermodul Datenschutzrecht. Nutzen Sie das Modul 4 Wochen gratis unter https://ottosc.hm/dsgvo!

Stefan Hessel, Datenschutzexperte und Rechtsanwalt erklärt, wie die europäische Datenschutzgrundverordnung (DSGVO) in Deutschland und in anderen EU-Mitgliedsstaaten interpretiert wird. Darüber hinaus betrachtet er auch die Umsetzung der DSGVO durch die Datenschutzaufsichtsbehörden in Deutschland.

Das LG Berlin hat mit Beschluss vom 18.02.2021 den Bußgeldbescheid der Berliner Datenschutzbeauftragten aufgehoben. Anders als das LG Bonn folgt das LG Berlin nicht dem Ansatz des „funktionalen Unternehmensbegriffs des EU-Kartellrechts“. Überrascht das? Ist das eine „Klatsche“ für die Aufsichtsbehörde, oder hat diese nur konsequent die Linie der deutschen Datenschutzaufsichtsbehörden zugrunde gelegt? Und wie viel ist durch die Entscheidung für die Praxis gewonnen? Diese Fragen diskutiert Datenschutzexperte Dr. Jens Eckhardt in der neuesten Folge von Otto Schmidt live – der Podcast. Mehr zum Thema DSGVO/BDSG gibt es im Beratermodul Otto Schmidt Datenschutzrecht. Hier 4 Wochen gratis nutzen: https://ottosc.hm/bmdatenschutz

Rechtsträger- oder Funktionsträgerprinzip?: Unternehmensbegriff der DSGVO-Sanktionen Aufgrund Art. 83 i.V.m. ErwGr. 150 DSGVO einerseits und §§ 41 BDSG, 30 OWiG anderseits ist die Anwendung des Unternehmensbegriffs umstritten. Als erstes deutsches Gericht hat sich das LG Bonn in seinem Urteil vom 11.11.2020 (29 OWi 1/20 LG) hiermit im Rahmen einer Geldsanktion nach Art. 83 DSGVO auseinandergesetzt – und zwar grundlegend und instruktiv für die deutsche Praxis. Der Podcast zeichnet diese Argumentation nach. Vielleicht ist dieses Urteil dann trotz der Reduktion des Bußgelds eher ein Sieg als eine Niederlage aus der Sicht der deutschen Datenschutzaufsichtsbehörden. Zum „lauten Nachdenken“ zwingt dann auch der Ansatz, dass sanktionsreduzierend die Höhe des öffentlich bekannt gewordenen Bußgelds zur durch das Gericht für angemessen gehaltenen Sanktion wirke.

Das LG Bonn hat am 11.11.2020 (29 OWi 1/20 LG) ein Bußgeld des BfDI von 9,55 Mio. Euro auf 900.000,00 Euro reduziert. Die Signalwirkung dieser Entscheidung wurde direkt thematisiert, aber die Entscheidung muss keine „blutige Nase“ für die Aufsichtspraxis sein, wenn sie die Anwendung des funktionalen Unternehmensbegriffs bestätigt. Auch stellt sich die Frage nach Konsequenzen für das Bußgeldmodell der deutschen Datenschutzaufsichtsbehörden. Zum Nachdenken anregen darf aber der Ansatz zur Bewertung und Begründung des Verschuldens.

Die Datenschutzkonferenz zu Microsoft 365 – oder: Neue Wege zur Entscheidung Die Datenschutzkonferenz hat sich zu Microsoft 365 geäußert. Die Äußerung ist spektakulär, da sie so klingt, als könne Microsoft 365 nicht mehr rechtskonform genutzt werden. Eine nähere Betrachtung des Beschlusses lässt aber Zweifel aufkommen, ob das (noch) stimmt. Hierin mag auch die knappe Mehrheitsentscheidung der Datenschutzkonferenz zu diesem Thema sowie Pressemitteilung von 5 Datenschutzaufsichtsbehörden mit „dissenting vote“ ihren Grund haben. Und das ist aus Sicht von Dr. Jens Eckhardt viel spannender: (knappe) Mehrheitsentscheidungen und Veröffentlichung der Begründung abweichender Meinungen – wird das die Zukunft der Äußerung der Datenschutzkonferenz?

Gerade im Kontext von Tracking und Drittstaatentransfer keine akademische Frage! Der Podcast befasst sich mit der Frage, was Anonymisierung in der DSGVO bedeutet. Der Aufhänger sind Beschlüsse bzw. Orientierungshilfen der Datenschutzaufsichtsbehörden zum Online-Tracking sowie zum Drittstaatentransfer in die USA nach Wegfall des Privacy Shield. In beiden wird das Anonymisierung thematisiert, aber nicht definiert. Die DSGVO definiert diese ebenfalls nicht abschließend. Aber Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat sich hierzu positioniert. Der Podcast spricht Zusammenhänge an und kommt zum „lauten Nachdenken".

Um die Bußgelder im Bereich Datenschutz ranken sich die wildesten Gerüchte. Dabei gibt es seit Oktober 2019 eine Berechnungsgrundlage, erarbeitet von der Datenschutzkonferenz DSK, der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. In unserer ersten Folge der zweiten Staffel erläutern wir, wie diese Berechnungsgrundlage in der Praxis angewendet werden kann, welche Hebel und Faktoren es gibt, die die Höhe eines Bußgelds beeinflussen können und rechnen dir das auch an einem konkreten Beispiel vor. #datenschutz #bußgeld #berechnungsgrundlage --- Bußgelder vermeiden? https://www.datenschutzhelden.eu/kontakt/ --- Quellen und Infos: Pressemitteilung der DSK vom 16.10.2019 Konzept der unabhängigen Datenschutzaufsichtsbehörden desBundes und der Länder zur Bußgeldzumessungin Verfahren gegen Unternehmen --- Hier findest du uns: www.datenschutzhelden.eu facebook.com/datenschutzhelden --- Herausgeber: Fabian Scherer Werner Schmid GdbR Sudetendeutsche Str. 55 93057 Regensburg Ansprechpartner: Werner Schmid Sudetendeutsche Str. 55 93057 Regensburg ehrensache@datenschutzhelden.eu --- Title-Track: "Caffeine Hits", Diego Martinez

Aktuell wurde ein Bußgeldverfahren durch eine Verständigung zwischen Datenschutzaufsichtsbehörde und dem verstoßenden Unternehmen abgeschlossen. Obwohl § 257c StPO für das Strafverfahren die Beteiligung eines Gerichts für zwingend erklärt, erfolgt dies beim Bußgeldverfahren nicht. Auch kann eine solche Verständigung aus verschiedenen Perspektiven Kritik erfahren, muss aber dennoch nicht kritikwürdig sein. Über den rechtsstaatlichen Rahmen der Verständigung sowie die Vor- und Nachteile für beide Seiten hat Rechtsanwalt und Fachanwalt für IT-Recht Dr. Jens Eckhardt gemeinsam mit dem Rechtsanwalt und Fachanwalt für Strafrecht Konrad Menz, dmp Derra, Meyer & Rechtsanwälte PartGmbB, in diesem Podcast "laut nachgedacht".

Stefan Brink, Alvar Freude Wenn Ende Mai die EU-Datenschutz-Grundverordnung in Kraft tritt, ändert sich einiges für Bürger und Unternehmen - aber auch für die Datenschutzaufsichtsbehörden. Der Vortrag bietet einen Überblick über Ausrichtung und Arbeitsweisen der Aufsichtsbehörden, zeigt die bisherige Aufsichtspraxis und wagt einen Ausblick darauf, was sich mit der DSGVO in Zukunft ändert und betrachtet kritisch Möglichkeiten und Grenzen der Aufsicht. So kann ab Ende Mai die neue Bußgeldstelle beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg enorme Geldstrafen verhängen - und vielleicht sogar gegenüber außereuropäischen Playern durchsetzen. Sanktionierung von Datenschutzverstößen ist aber nur ein möglicher Weg. Ziel muss es sein, solche Verstöße schon im Vorfeld zu vermeiden. Daher verfolgt Baden-Württemberg einen alternativen Ansatz: Durch umfassende Beratung soll der Datenschutz allgemein gestärkt werden. Die Aufsichtsbehörde sieht sich dabei als Partner und Mitspieler von Betroffenen wie von datenverarbeitenden Unternehmen und Behörden. In einem Überblick werden bisherige wie neue Projekte vorgestellt, mit besonderem Schwerpunkt der Rolle und des Einsatzes der IT. So soll mit dem Aufbau eines Prüflabors die Kontrolle sowohl von Webseiten als auch von mobilen Apps und Desktop-Anwendungen vereinfacht werden. Für alle, die immer schon mal wissen wollten, wie eine Datenschutzbehörde wirklich tickt, gibt es außerdem noch ein paar überraschende Infos aus dem Innenleben einer deutschen Behörde.

Stefan Brink, Alvar Freude Wenn Ende Mai die EU-Datenschutz-Grundverordnung in Kraft tritt, ändert sich einiges für Bürger und Unternehmen - aber auch für die Datenschutzaufsichtsbehörden. Der Vortrag bietet einen Überblick über Ausrichtung und Arbeitsweisen der Aufsichtsbehörden, zeigt die bisherige Aufsichtspraxis und wagt einen Ausblick darauf, was sich mit der DSGVO in Zukunft ändert und betrachtet kritisch Möglichkeiten und Grenzen der Aufsicht. So kann ab Ende Mai die neue Bußgeldstelle beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg enorme Geldstrafen verhängen - und vielleicht sogar gegenüber außereuropäischen Playern durchsetzen. Sanktionierung von Datenschutzverstößen ist aber nur ein möglicher Weg. Ziel muss es sein, solche Verstöße schon im Vorfeld zu vermeiden. Daher verfolgt Baden-Württemberg einen alternativen Ansatz: Durch umfassende Beratung soll der Datenschutz allgemein gestärkt werden. Die Aufsichtsbehörde sieht sich dabei als Partner und Mitspieler von Betroffenen wie von datenverarbeitenden Unternehmen und Behörden. In einem Überblick werden bisherige wie neue Projekte vorgestellt, mit besonderem Schwerpunkt der Rolle und des Einsatzes der IT. So soll mit dem Aufbau eines Prüflabors die Kontrolle sowohl von Webseiten als auch von mobilen Apps und Desktop-Anwendungen vereinfacht werden. Für alle, die immer schon mal wissen wollten, wie eine Datenschutzbehörde wirklich tickt, gibt es außerdem noch ein paar überraschende Infos aus dem Innenleben einer deutschen Behörde.