POPULARITY
In dieser Episode vertreten Sylvester Tremmel aus der c't-Redaktion und der freie Journalist Falk Steiner Joerg Heidrich an der Seite von Holger Bleich. Zum Auftakt berichtet Steiner aus Berlin von der Vorstellung des Tätigkeitsberichts der Bundesdatenschutzbeauftragten – und davon, wie wenige Journalistinnen und Journalisten überhaupt noch zu diesem Termin erschienen sind; für ihn ein bedenkliches Signal in Zeiten, in denen Vorhaben wie Vorratsdatenspeicherung oder Gesichtserkennung beim BKA auf der politischen Agenda stünden, der Datenschutz aber kaum noch Beachtung finde. Beim Bußgeld der Woche geht es um eine spanische Fondsgesellschaft, die einen mit Microsoft Teams aufgezeichneten internen Call später als offizielles Protokoll an externe Investoren weitergegeben hatte. Die spanische Datenschutzbehörde AEPD wertete die pauschale Einwilligung zur Aufzeichnung der Teilnehmenden als unzureichend und verhängte 3000 Euro Bußgeld. Die Diskutanten loben die Praxis der spanischen Behörde, auch kleinere Fälle konsequent zu verfolgen und damit Klarheit über die Auslegung der DSGVO zu schaffen. Breiten Raum nimmt der sogenannte Signal-"Hack" ein, bei dem hochrangige Politikerinnen und Politiker, darunter Bundestagspräsidentin Julia Klöckner, Ziel einer Phishing-Kampagne wurden. Tremmel stellt klar, dass es sich nicht um einen technischen Angriff auf den Messenger handelte: Die mutmaßlich aus Russland gesteuerten Angreifer gaben sich als Signal-Support aus und brachten ihre Opfer dazu, ihre PIN preiszugeben oder ein fremdes Gerät zu verknüpfen. Steiner schildert anschaulich, wie schwierig sichere Kommunikation in der politischen Realität ist, wo eine einzelne Person wie die Bundestagspräsidentin in zahlreichen Rollen unterwegs ist und über verschiedenste IT-Umgebungen hinweg kommunizieren muss. Die nun empfohlene Nutzung der Messenger-Plattform Wire löse das Grundproblem nicht, solange offene Messenger nötig blieben. Zuguterletzt stellt Tremmel eine Recherche von Correctiv, Computer Weekly und Solomon zum sogenannten "Pressure Cooker" bei Europol vor. In diesem Datensystem soll die EU-Polizeibehörde über Jahre hinweg mehr als zwei Petabyte an Daten angehäuft haben - ohne saubere Rechtsgrundlage, ohne funktionierendes Rechtemanagement und am europäischen Datenschutzbeauftragten vorbei. Steiner ordnet ein, warum gerade jetzt, da die EU-Kommission Europol mit mehr Personal und Befugnissen ausstatten will, ein genauer Blick auf diese Praxis besonders wichtig ist.
Was passiert eigentlich mit den Standortdaten, die Smartphone-Apps tagtäglich sammeln? Diese Frage haben sich Ingo Dachwitz und sein Kollege Sebastian Meineck von netzpolitik.org gestellt. Seit fast zwei Jahren sind sie gemeinsam mit dem Bayerischen Rundfunk und internationalen Partnern den sogenannten "Databroker Files" auf der Spur. Was sie dabei zutage förderten, ist erschreckend: Über die Plattform Datarade.ai bekamen die Journalisten von Datenhändlern kostenlose "Probedatensätze" mit inzwischen mehr als 13 Milliarden Standortdaten aus über 140 Ländern zugespielt. Allein in einem deutschen Datensatz fanden sich 3,6 Milliarden Standortpunkte, zugeordnet zu rund elf Millionen Smartphones. Im Gespräch mit Holger und Joerg erläutert Ingo, wie die Recherche funktionierte. Mit einem von BR-Datenjournalistin Katharina Brunner gebauten Tool ließen sich die Daten auf Karten visualisieren. Anhand der Mobile Advertising ID – einer eindeutigen Werbe-Kennung, die Android und iOS den Apps zur Verfügung stellen – konnten die Bewegungsmuster einzelner Personen über Wochen nachvollzogen werden. Mit einfachen Open-Source-Methoden, etwa dem Abgleich von Wohnadressen mit Klingelschildern und Telefonbüchern, gelang es dem Team, die vermeintlich anonymen Daten zahlreichen Personen zuzuordnen: hochrangigen Beamten, Mitarbeitern von Bundesnachrichtendienst und Verfassungsschutz, Soldaten auf US-Militärbasen wie dem Fliegerhorst Büchel und sogar einer mutmaßlichen NSA-Mitarbeiterin in Bad Aibling. Die Daten stammen aus zwei Quellen: zum einen aus Tracking-SDKs, die App-Entwickler gegen kleines Geld in ihre Anwendungen einbauen, zum anderen aus Echtzeit-Auktionssystemen für Online-Werbung (Real-Time Bidding). Besonders aufgefallen war den Journalisten die App Wetter Online. Die nordrhein-westfälische Datenschutzaufsicht stattete dem Anbieter daraufhin einen Besuch ab und stellte fest, dass tatsächlich präzise Standortdaten weitergegeben wurden. Auch die Hamburger Datenschutzbehörde wurde aufgrund der Recherche bei einer Dating-App fündig. Rechtlich, da sind sich die drei einig, ist das gesamte Geschäftsmodell kaum zu rechtfertigen. Eine Einwilligung kann die komplexen Datenflüsse mit hunderten beteiligten Firmen praktisch nicht abbilden, ein berechtigtes Interesse scheidet nach Auffassung der Datenschutzbehörden für Werbe-Tracking ohnehin aus. Hinzu kommt, dass sich Plattformen wie Datarade laut Ingo selbst nicht als Verantwortliche im Sinne der DSGVO sehen, sie vermittelten ja nur. Ingo fordert daher eine politische Debatte: Statt die Verantwortung allein auf Nutzer abzuwälzen, brauche es klare Verbote bestimmter Datengeschäfte. Wer sich schützen will, kann immerhin die Werbe-ID auf dem Smartphone zurücksetzen oder deaktivieren, Apps den Standortzugriff nur bei aktiver Nutzung erlauben und konsequent Tracking ablehnen. Ein Tool auf netzpolitik.org erlaubt es zudem, die eigene Werbe-ID gegen den deutschen Datensatz abzugleichen.
Im aktuellen Podcast mit Stefan Brink und Niko Härting geht es hauptsächlich um (nicht-deutsche) Bußgelder. Zunächst sprechen wir (01:34) über den von der französischen CNIL im Februar veröffentlichten Jahresrückblick zu Sanktionen und aufsichtsrechtlichen Maßnahmen für das Jahr 2025. Darin berichtet die Behörde, dass sie insgesamt 83 Sanktionen mit einem Gesamtbußgeld von 486,8 Mio. EUR verhängt hat. Insgesamt traf die CNIL 259 Entscheidungen, darunter 143 Anordnungen zur Herstellung der Datenschutz-Compliance und 31 Hinweise auf gesetzliche Anforderungen. Wow. Sodann sprechen Niko und Stefan (18:12) über ein 3,5 Mio. EUR Bußgeld der CNIL wegen der Weitergabe von Kundendaten an Social Media. Hier sanktionierte die CNIL gegenüber dem Sportwaren-Retailer Intersport im Dezember 2025 gezielte Werbung im Treueprogramm, das rund 10,5 Mio. Mitglieder allein in Frankreich hat. Sodann geht es (29:27) um eine Entscheidung der britischen Aufsichtsbehörde ICO: Die UK-Datenschutzbehörde hat Reddit mit einer Strafe iHv 14,47 Mio. GB Pfund belegt, da die Online-Plattform Daten von Kindern unter 13 Jahren aufgrund mangelnder Altersverifikation unrechtmäßig verarbeitete. Dem folgt (36:46) eine Entscheidung der niederländischen Datenschutzbehörde, sie hat gegen zehn niederländische Gemeinden (u. a. Delft und Eindhoven) mit Bescheiden vom Februar 2026 Bußgelder iHv jeweils 25.000 EUR erlassen, weil die Gemeinden ohne Wissen der Betroffenen sensible Daten über muslimische Einwohner verarbeitet haben. Schließlich geht es (42:56) um eine Entscheidung der spanischen Datenschutzbehörde, die ein Bußgeld iHv 500.000 EUR gegen den Fußballverein FC Barcelona verhängte. Grund dafür war u.a. die mangelhafte Datenschutz-Folgenabschätzung im Zusammenhang mit der Verarbeitung biometrischer Daten zur Aktualisierung des Mitgliederverzeichnisses. Lauter Bußgelder, an denen sich auch die deutschen Aufsichtsbehörden ein Beispiel nehmen können.
Wenn eine Datenschutzbehörde ein Millionenbußgeld verhängt und das betroffene Unternehmen dagegen Einspruch einlegt, passiert in Deutschland etwas Merkwürdiges: Die Behörde, die den Fall über Monate ermittelt und den Verstoß festgestellt hat, wird aus dem Verfahren gedrängt. Die Staatsanwaltschaft übernimmt, oft ohne tiefere Kenntnis der Materie. In Episode 157 des c't-Datenschutz-Podcasts beleuchten Holger und Joerg mit Denis Lehmkemper, dem Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, diesen eigentümlichen Verfahrensweg. Anlass ist der Fall notebooksbilliger.de. Die niedersächsische Datenschutzbehörde hatte 2020 ein Bußgeld von 10,4 Millionen Euro verhängt, weil das Unternehmen mit 81 Kameras Beschäftigte, Kunden und Dritte mit Videokameras überwacht hatte -- mit unzulässig hohen Speicherdauern von bis zu 60 Tagen. Das Landgericht Hannover reduzierte die Summe auf 700.000 Euro, das Oberlandesgericht Celle hob sie schließlich Ende 2025 in der Rechtsbeschwerde auf 900.000 Euro an. Die materiellen Verstöße bestätigten beide Instanzen, doch vom ursprünglichen Bußgeld blieb weniger als ein Zehntel übrig. Lehmkemper erklärt, wie ein solches Verfahren abläuft: Die Datenschutzbehörde ermittelt als Verwaltungsbehörde nach dem Ordnungswidrigkeitengesetz (OWiG), hört die Beteiligten an und erlässt einen Bußgeldbescheid. Legt das Unternehmen binnen 14 Tagen Einspruch ein und hält die Behörde an ihrer Einschätzung fest, übergibt sie den Fall an die Staatsanwaltschaft. Ab diesem Moment verliert die Datenschutzbehörde jede Steuerungsmöglichkeit. Die Staatsanwaltschaft vertritt den Fall vor Gericht, kann eigene Anträge stellen und sogar die Einstellung beantragen. In der Rechtsmittelinstanz übernimmt die Generalstaatsanwaltschaft, und kann wiederum ganz andere Summen beantragen als die Staatsanwaltschaft. Im Fall notebooksbilliger.de forderte die Staatsanwaltschaft mindestens fünf Millionen Euro, die Generalstaatsanwaltschaft beantragte 1,47 Millionen. Die Datenschutzbehörde durfte dazu nichts sagen und hatte zeitweise sogar Schwierigkeiten, die Gerichtsentscheidung überhaupt zu erhalten. Noch drastischer zeigte sich das Problem in einem Bußgeldverfahren gegen VW: Dort vergaß offenbar jemand in der Staatsanwaltschaft, einen fertigen Schriftsatz zu unterschreiben - die Rechtsbeschwerde scheiterte an einem Formfehler. Lehmkemper fordert deshalb, dass Landesdatenschutzbehörden künftig neben der Staatsanwaltschaft als Antragsbeteiligte vor Gericht auftreten dürfen, ähnlich wie es das Bundeskartellamt bereits kann. So könnten sie eigene Schriftsätze einreichen, dem Gericht die fachlichen Hintergründe ihrer Bußgeldbemessung erläutern und Fehler durch Doppelstrukturen vermeiden. Er will das Thema bei der Vorstellung seines Tätigkeitsberichts im Juni erneut auf die politische Agenda setzen. Neben dem Verfahrensweg diskutieren die drei auch die grundsätzliche Frage, ob der Datenschutz hohe Bußgelder braucht. Lehmkemper sieht das Signal, das von drastischen Reduktionen ausgeht, als problematisch: Unternehmen könnten lernen, dass sich Widerspruch gegen Bußgeldbescheide fast immer lohnt. Joerg bestätigt aus der Beratungspraxis, dass hohe Bußgelder das wirksamste Argument sind, um Unternehmen zur Einhaltung des Datenschutzes zu bewegen.
Holger und Joerg verzichten ausnahmsweise auf einen Gast und arbeiten sich zu zweit durch gleich mehrere aktuelle Datenschutzthemen. Den Anfang macht ein Bußgeld aus Großbritannien: Die britische Datenschutzbehörde ICO verhängte gegen Reddit eine Strafe von 14,4 Millionen Pfund (rund 17,3 Millionen Euro), weil die Plattform über Jahre hinweg keine wirksame Altersüberprüfung einsetzte und so Daten von Kindern unter 13 Jahren ohne Rechtsgrundlage verarbeitete. Reddit kündigte Widerspruch an. Vom Bußgeld leiten die beiden über zum Thema Altersverifikation und sprechen über den Identitätsprüfer Persona. Das US-Unternehmen, an dem unter anderem Palantir-Mitgründer Peter Thiel beteiligt ist, wird von Plattformen wie Reddit, Discord und LinkedIn eingesetzt. Eine Recherche förderte zutage, dass Persona bei der Identitätsprüfung bis zu 269 Prüfschritte durchläuft, Daten mit US-Fahndungslisten und Terrorismus-Datenbanken abgleicht und 17 weitere Unternehmen einbindet. Holger warnt davor, dass solche Dienste weit mehr Daten sammeln und weitergeben könnten, als Nutzer ahnen – und dass über die Hintertür Altersverifikation eine Art Klarnamenpflicht im Netz entstehen könnte. Anschließend widmen sich die beiden dem Jugendschutzkonzept der SPD. Die Partei fordert ein vollständiges Social-Media-Verbot für unter 14-Jährige und eine eingeschränkte Jugendversion für 14- bis 16-Jährige, in der Empfehlungsalgorithmen, personalisierte Werbung und suchtfördernde Elemente wie Endlos-Scrollen abgeschaltet sein sollen. Die Altersüberprüfung soll über das europäische EUDI-Wallet laufen, das im Frühjahr 2027 starten soll. Holger erkennt darin zwar den datensparsamsten Ansatz unter den bisherigen Vorschlägen, sieht aber zahlreiche Probleme: Das Wallet existiert noch nicht, steht erst ab 16 Jahren zur Verfügung und schließt Menschen ohne Smartphone und Nicht-EU-Bürger aus. Zudem habe Deutschland nach Einschätzung des Wissenschaftlichen Dienstes des Bundestags durch den Digital Services Act seine Regelungskompetenz im Bereich Jugendschutz auf Plattformen an die EU abgegeben. Ein weiteres Thema ist ein Urteil des OLG Jena gegen Meta. Das Gericht stellte fest, dass Meta mit seinen Business-Tools eine weitreichende Überwachung der Internetnutzung betreibt, die auch nicht eingeloggte Personen erfasst und sogar sensible Gesundheitsdaten einschließen kann. Das Gericht sprach dem Kläger 3000 Euro Schadenersatz zu und ließ die Revision zum Bundesgerichtshof zu. Beide Podcaster berichten auch von ihren eigenen Erfahrungen als Kläger in Massenverfahren gegen Meta. Beim Thema Chatkontrolle berichten sie von einer überraschenden Entwicklung im EU-Parlament: Im LIBE-Ausschuss fand sich bei einer Abstimmung keine Mehrheit für die Verlängerung der sogenannten freiwilligen Chatkontrolle, die Anfang April ausläuft. Ohne Verlängerung dürften Plattformen wie Microsoft oder Facebook nicht mehr automatisiert nach Darstellungen von Kindesmissbrauch scannen. Gleichzeitig stehen die Trilog-Verhandlungen zur eigentlichen Chatkontrolle-Verordnung an, deren Ausgang völlig offen ist. Zum Schluss werfen Holger und Joerg einen Blick auf das Omnibus-Paket zur DSGVO-Reform. Die geplanten Änderungen – darunter eine Neudefinition personenbezogener Daten, Einschränkungen es Auskunftsrechts und Sonderregeln für KI-Training – stoßen auf mehr Widerstand als erwartet. Die zypriotische Ratspräsidentschaft lehnt zentrale Vorschläge ab, auch das Parlament und die Datenschutzbehörden äußern Kritik. Das ehrgeizige Ziel, die Reform noch 2026 abzuschließen, sehen beide damit in Frage gestellt.
In Episode 153 der Auslegungssache sprechen Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Maria Christina Rost, seit 2024 Landesbeauftragte für den Datenschutz in Sachsen-Anhalt, über die wachsenden Risiken für Minderjährige im Netz. Rost hat das Thema Kinderdatenschutz zu einem ihrer inhaltichen Schwerpunkte gemacht. Im Zentrum der Diskussion in der Episode steht die rechtliche und praktische Schutzlücke bei Umgang mit Minderjährigen. Zwar sieht die Datenschutz-Grundverordnung (DSGVO) in Deutschland vor, dass Kinder erst ab 16 Jahren wirksam selbst in die Verarbeitung ihrer Daten einwilligen können. Große Social-Media-Plattformen erlauben die Anmeldung jedoch oft schon ab 13 Jahren, basierend auf der Gesetzeslage in den USA. Diese Diskrepanz führt dazu, dass unzählige Kinder und Jugendliche die Dienste nutzen, ohne dass die in Deutschland geforderte Zustimmung der Eltern eingeholt wird – ein Zustand, den die Aufsichtsbehörden bisher kaum ahnden. Ein weiterer Schwerpunkt des Gesprächs sind die technischen Lösungen zur Altersverifikation. Die EU arbeitet an einer digitalen Brieftasche (Wallet), die eine datensparsame Altersbestätigung ermöglichen soll, allerdings nur für streng reglementierte Angebote wie Glücksspiel, harte Pornografie und Alkoholverkauf. Zur Altersaverfikation von Social-Media-Plattformen genügen nach Ansicht der EU-Kommission Methoden, die auf biometrischen KI-Analysen von Webcam-Gesichtsaufnahmen beruhen. Rost äußert sich dazu eher skeptisch, da diese neue Datenschutzrisiken schaffen. Bleich betont, dass technischer Jugendschutz allein ohnehin nicht reicht. Er verweist auf die EU-Kommission, die TikTok in einem vorläufigen Bericht suchtfördernde Mechanismen wie Endlos-Scrollen und Autoplay attestiert hat. Die Plattformen sammelten riesige Datenmengen von Minderjährigen, profilierten und verwerteten sie weitgehend unbehelligt. Hier müsse härter reguliert und vor allem schneller durchgesetzt werden, fordert er. Rost setzt eher auf Prävention und Medienkompetenz. In Sachsen-Anhalt hat sie gemeinsam mit dem Lehrerfortbildungsinstitut einen ersten Datenschutz-Tag für Lehrkräfte und Schulämter organisiert. Ihr Ziel: ein "Datenführerschein" für Grundschulkinder, vergleichbar mit dem Fahrradführerschein der Verkehrswacht. Ziel sei es, Datenschutz als selbstverständlichen Teil der digitalen Bildung zu etablieren. Am Ende formuliert Rost ihren Wunsch an die Datenschutzfee: eine gemeinsame Plattform von Datenschutzbehörden und Medienanstalten, die vorhandene Angebote bündelt und einen praxistauglichen Führerschein für den digitalen Alltag entwickelt. Gleichzeitig müsse die Aufsicht über die Plattformen spürbar verschärft werden. Das Fazit der Runde: Medienkompetenz, technischer Schutz und konsequente Regulierung müssen zusammenwirken – einzeln reicht keiner dieser Ansätze aus.
Datenschutz im OHR - DSGVO Erste Hilfe für Solo-Selbstständige und Kleinunternehmen leicht gemacht
Vielleicht denkst du bei Datenschutz sofort an Server, Passwörter oder verschlüsselte Systeme. Doch die größten Verstöße passieren oft viel sichtbarer - von Jedem – im ganz normalen Alltag. Beim Gang durch eine Fußgängerzone oder ein Bürogebäude sehe ich regelmäßig, wie Daten quasi „auf dem Präsentierteller“ liegen. Und das kann jeder Besucher, Unbeteiligte oder Interessant zur Anzeige bei der Datenschutzbehörde bringen. Lauter kleine Szenen, die schnell vergessen lassen, dass Datenschutz nicht nur digital, sondern auch analog gilt. In dieser Folge zeige ich dir, welche typischen Alltagsfallen du unbedingt vermeiden solltest – und warum es oft schon mit einfachen Maßnahmen gelingt, dich und deine Mitarbeiter vor großen Risiken zu schützen. Denn Datenschutz beginnt nicht bei der IT, sondern bei dir und deinem täglichen Verhalten.
Die Themen dieser Folge: 1. TU München mit Vorschlägen zu DS-GVO-Reform (01:17) ine Arbeitsgruppe bei der Technischen Universität München (TUM), der Stefan Brink und Niko Härting angehören, hat vier konkrete Maßnahmenempfehlungen zu zentralen Herausforderungen der DSGVO und ihrer Weiterentwicklung erarbeitet. - (Weiter-)Entwicklung eines risikobasierten Ansatzes für die DSGVO - Vereinfachung der B2B Compliance - Mehr Rechtssicherheit durch Erlaubnis- und Verbotslisten (Ampelsystem) - Reformmöglichkeiten im Bereich der Einwilligung und „Do Not Track“. 2. Immer mit der Ruhe: Übertriebener Beitrag zur Ende-zu-Ende-Verschlüsselung von Anwaltsmails in der FAZ (12:24) Wie ein streitlustiger Anwalt und eine leicht überforderte Datenschutzbehörde einen überflüssigen Prozess provozieren. 3. BGH versteht Kanzleipflicht streng (21:34) Nach Ansicht des BGH brauchen Anwälte auch Ende 2025 noch dauerhaft einen eigenen Kanzleiraum. Dabei ging es am Montag nicht mal um eine virtuelle Kanzlei, sondern um ein Bürocenter, das Post und Anrufe entgegennimmt und stets Besprechungsräume vorhält. 4. Der Fall Netanyahu und die weltweite Macht der US-Konzerne (27:18) US-Regierung setzt Tech-Firmen als Waffe ein: Richter des internationalen Strafgerichtshofs Den Haag, die Haftbefehl für israelischen Regierungschef Netanyahu ausgestellt haben wegen des Verdachts von Kriegsverbrechen und Verbrechen gegen die Menschlichkeit im Rahmen des israelischen Militäreinsatzes im Gazastreifen, werden von US-Dienstleistern ausgeschlossen. 5. 150.000 EUR Bußgeld für italienische RAI (34:01) Mit Entscheidung v. 23.10.2025 verhängte die italienische Datenschutzbehörde (Garante per la protezione dei dati personali – GPDP) ein Bußgeld iHv 150.000 EUR gegen den italienischen öffentlich-rechtlichen Rundfunkanbieter Rai (Radiotelevisione Italiana S. p. A.). Anlass war die Veröffentlichung einer WhatsApp-Sprachnachricht zwischen einem Politiker und seiner Ehefrau ohne deren Einwilligungen, was laut Behörde nicht den Grundsätzen der Erforderlichkeit und Rechtmäßigkeit der Datenverarbeitung nach der DSGVO entsprach.
Was ist in der KW 45 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant? Datenschutz trifft KI-Compliance – Synergien nutzen statt Doppelarbeit – Max Hermann im Datenschutz Talk https://migosens.de/datenschutz-trifft-ki-compliance-synergien-nutzen-statt-doppelarbeit-max-hermann-im-datenschutz-talk/ BfDI erkennt ersten Cookie‑Manager gemäß EinwV an – Mehrheit will mehr Kontrolle über Cookies Österreichische Datenschutzbehörde verhängt Bußgeld wegen unterlassener Meldung einer Datenpanne https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=e5788adc-3897-46bb-aaee-46e3f86c1dc0&Position=1&SkipToDocumentPage=True&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.1990&BisDatum=04.11.2025&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=DSBT_20250904_2025_0_699_550_00 Datenschutz versus Falschparker-Meldung OLG Dresden, Urteil vom 09.09.2025 - 4 U 464/25 https://rsw.beck.de/aktuell/daily/meldung/detail/olg-dresden-falschparker-meldung-datenschutzversto%C3%9F-schadensersatz-beifahrer EDSA billigt Entwurf eines Angemessenheitsbeschlusses für Brasilien BSI warnt vor KI‑Helfern: Zugriffsrechte sparsam vergeben https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Wegweiser_Checklisten_Flyer/Brosch_A6_Kuenstliche_Intelligenz.pdf?__blob=publicationFile&v=16 BSI wird Marktüberwachungsbehörde für den Cyber Resilience Act Veröffentlichungen & Veranstaltungen EDPB startet Konsultation zu Standardvorlagen für die DSGVO‑Praxis https://www.edpb.europa.eu/news/news/2025/help-make-gdpr-compliance-easy-organisations-what-templates-would-be-helpful-you_de#:~:text=Brussels%2C%205%20November%20,meet%20their%20data%20protection%20obligations BSI startet Videoreihe „Zwischen Reels und Regeln“ für Eltern https://www.bsi.bund.de/SiteGlobals/Forms/Suche/Mediathek_Formular.html?nn=520690 Update des Online-Tools ONKIDA (Orientierungshilfen Navigator KI & Datenschutz) des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg. https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0 Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ X: https://x.com/ds_talk?lang=de Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/) Instagram: https://www.instagram.com/datenschutztalk_podcast/ Folge hier kommentieren: https://migosens.de/erster-cookie-manager-von-bfdi-anerkannt-ds-news-kw-45-2025/↗
In dieser Episode geht es um einen Aspekt, das viele KMU bewegt: Datenschutz in der Praxis. Die Fachgruppe IT der zt: Kammer unterstützt Unternehmen dabei, die Anforderungen der DSGVO verständlich, effizient und praxisnah umzusetzen. Thema der Folge Mit dem kostenlosen Leitfaden „Standards für Technische und Organisatorische Maßnahmen (TOMs) zur Umsetzung der DSGVO“ steht ein einfach anwendbares Werkzeug bereit, das zeigt, wie Datenschutz vom Pflichtprogramm zum gelebten Standard wird. Dank & Eröffnungsworte Vizepräsident Peter Bauer und Dr. Matthias Schmidl, Leiter der Datenschutzbehörde, betonen die Bedeutung eines realistischen Zugangs zu Datenschutzfragen für KMU. Stimmen aus der Praxis Peter Gelber, Wolfgang Fiala, Wolfgang Prentner (Moderation) und Heinz Tuma (VÖSI) beleuchten anhand konkreter Beispiele Herausforderungen und Lösungen für wirksamen Datenschutz im Unternehmensalltag.
Corona-Enquetekommission im Bundestag: Die Täter kontrollieren die Aufklärung + Aufgedeckt in EU-Parlament: Behörden vertuschten Herzschäden bei Kindern + Und: Nach brisanten Enthüllungen: Datenschutzbehörde nimmt Investigativ-Plattform ins Visier
Die Sommerflaute nutzen die beiden Hosts für einen bunten Ritt durch die Datenschutzwelt. Holger und Joerg Heidrich präsentieren in Episode 139 ihre persönliche Auswahl aktueller Fälle und Entwicklungen. Den Auftakt macht das obligatorische "Bußgeld der Woche", diesmal aus Italien: Die Autostrade per l'Italia muss 420.000 Euro zahlen, weil sie private Facebook-Posts und WhatsApp-Nachrichten einer Mitarbeiterin für ein Disziplinarverfahren verwendet hatte. Die italienische Datenschutzbehörde Garante betont, dass online verfügbare Daten nicht automatisch für jeden Zweck genutzt werden dürfen. Die Behörde sah darin einen Verstoß gegen die Zweckbindung personenbezogener Daten. Holger und Joerg diskutieren, ob zumindest öffentliche Social-Media-Posts tatsächlich nicht für andere Zwecke verwendet werden dürfen. Einiges Rumoren in der Datenschutz-Community erzeugt ein Urteil des Landgerichts (LG) Leipzig: 5000 Euro Schadensersatz sprach es einem Nutzer zu, der sich von den Meta-Business-Tools im Web überwacht fühlt. Viele Website-Betreiber nutzen diese Tools, etwa in form von Social-Plug-ins. Meta könne damit allerdings "jeden Nutzer zu jeder Zeit individuell erkennbar [machen], sobald er sich auf Drittwebseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Instagram- oder Facebook-Account angemeldet hat", so das Gericht. Die Höhe des Schmerzensgeldes nach Art. 82 DSGVO müsse demnach über die in der nationalen Rechtsprechungspraxis etablierten Beträge hinausgehen. Das Gericht sieht eine systematische Überwachung und spricht von einem Signal gegen Meta. Die Hosts zeigen sich überrascht von der Höhe des Schadensersatzes, der ohne konkrete Schadensdarlegung allein auf Basis eines "Überwachungsgefühls" zugesprochen wurde. Dies könne für Meta tatsächlich gravierende Folgen haben, wenn sich die Ansicht des LG Leipzig an anderen Gerichten durchsetzen sollte. Derweil gerät Microsoft in Erklärungsnot: Nachdem der Konzern vollmundig eine undurchlässige "EU Data Boundary" für der Kundschaft in der EU versprochen hatte, räumte der französische Chefjustiziar nun ein, dass US-Behörden über den Cloud Act weiterhin auf europäische Kundendaten zugreifen können. Holger zeigt sich wenig überrascht, aber verärgert über die irreführenden Versprechen. Ein weiteres Mal stehe die Glaubwürdigkeit von Datenschutzversprechen großer US-Tech-Konzerne in Frage. Die Hosts widmen sich außerdem einem viralen Privacy-Desaster: Bei einem Konzert der Popband Coldplay wurden zwei Personen von der "Kiss Cam" in einer intimen Situation erfasst. Als die beiden sich selbst auf der Leinwand im Saal erkannten, schlug die Frau die Hände vors Gesicht, der Mann ging in die Hocke und versteckte sich. Das Video verbreitete sich rasant im Netz, die Betroffenen wurden identifiziert und öffentlich bloßgestellt, mit schwerwiegenden persönlichen Konsequenzen. Unbeteiligte mit ähnlichen Namen gerieten ins Visier des Internet-Mobs. Bleich findet das "eklig" und kritisiert die Post-Privacy-Gesellschaft scharf. Joerg erläutert anhand des Beispiels überdies die rechtlichen Aspekte solcher Aufnahmen bei Großveranstaltungen. Als Ferienlektüre empfiehlt Holger zuguterletzt den aktuellen Tätigkeitsbericht des Katholischen Datenschutzzentrums (siehe Shownotes) - mit skurrilen Fällen wie falsch etikettierten Plazenten und datenschutzrechtlichen Fragen bei Teufelsaustreibungen.
In dieser Folge veröffentlichen wir den lebendigen Impulsvortrag von Tino Melzer, gehalten im Rahmen der Wikimedia-NLQ-Tagung „Offene KI in der Schule“. Er ist Landesbeauftragter für Datenschutz und Informationsfreiheit in Thüringen (TLfDI). Innerhalb des Verbunds der Datenschutzbehörden ist er für Bildungsfragen zuständig. Im Vortrag erklärt er die Bezüge zur Datenschutz-Grundverordnung und die Schnittmengen zur KI-Verordnung. Zudem zeigt er auf, welche Bedeutung diese Vorgaben für digitale Bildungsprogramme haben. Abschließend stellt er Leitplanken für den Einsatz von KI in Schulen auf. Bundesweite Tagung, 16.+17.06.25 in Lehrte bei Hannover https://www.wikimedia.de/veranstaltungen/offene-ki-in-der-schule/ Über SMM https://n-report.de/2024/01/14/podcast-smm-schule-macht-medien-medien-machen-schule/
In dieser Folge veröffentlichen wir den lebendigen Impulsvortrag von Tino Melzer, gehalten im Rahmen der Wikimedia-NLQ-Tagung „Offene KI in der Schule“. Er ist Landesbeauftragter für Datenschutz und Informationsfreiheit in Thüringen (TLfDI). Innerhalb des Verbunds der Datenschutzbehörden ist er für Bildungsfragen zuständig.Im Vortrag erklärt er die Bezüge zur Datenschutz-Grundverordnung und die Schnittmengen zur KI-Verordnung. Zudem zeigt er auf, welche Bedeutung diese Vorgaben für digitale Bildungsprogramme haben. Abschließend stellt er Leitplanken für den Einsatz von KI in Schulen auf.Bundesweite Tagung, 16.+17.06.25 in Lehrte bei Hannover https://www.wikimedia.de/veranstaltungen/offene-ki-in-der-schule/Über SMMhttps://n-report.de/2024/01/14/podcast-smm-schule-macht-medien-medien-machen-schule/
Sommer, Hitze, kürzere Podcast-Episode – doch die Themen sind alles andere als heiter: In Folge 137 des c't-Datenschutz-Podcasts sprechen Holger und Joerg über aktuelle Fälle und Urteile. Ein Fall aus Niedersachsen führt direkt zu akustischem Kopfschütteln: Eine öffentlich zugängliche, schwenkbare Webcam filmte einen FKK-Strand und übertrug die Bilder live ins Netz – ohne Hinweis für die Besucher. Die niedersächsische Datenschutzbehörde griff ein, ließ die Bilder verpixeln und prüft ein Bußgeld. Ebenfalls aus Niedersachsen stammt das "Nicht-Bußgeld der Woche": Weil ein Staatsanwalt in Hannover vergaß, eine Beschwerde gegen ein Gerichtsurteil zu unterschreiben, verfällt ein gegen den Volkswagen-Konzern erhobenes DSGVO-Bußgeld von satten 4,3 Millionen Euro. Diese Summe entgeht nun der Landeskasse, Ein Sprecher der Staatsanwaltschaft Hannover spricht von einer "Verkettung unglücklicher Umstände". Im Zentrum der Podcast-Folge steht ein nun schriftlich veröffentlichtes Urteil des Oberlandesgerichts (OLG) Köln: Meta darf öffentliche Facebook- und Instagram-Postings für das Training seiner Sprach-KI verwenden. Die Verbraucherzentrale NRW hatte versucht, das mit einer einstweiligen Verfügung zu verhindern, ist aber gescheitert. Das Gericht sieht ein berechtigtes Interesse von Meta am KI-Training und argumentiert, dass die Daten ohnehin öffentlich sind. Außerdem habe Meta Maßnahmen zum Schutz der Nutzer ergriffen und eine – wenn auch schwer auffindbare – Widerspruchsmöglichkeit angeboten. Doch die Entscheidung bleibt umstritten. Eine Syndikusanwältin der Verbraucherzentrale kritisierte in einem Kommentar an die Auslegungssache, dass das Gericht den Digital Markets Act (DMA) der EU nicht ausreichend berücksichtigt habe. Nach deren Lesart hätte Meta für die Zusammenführung von Daten aus verschiedenen Plattformen eine ausdrückliche Einwilligung der Nutzer gebraucht. Das OLG Köln sieht das anders und meint, beim KI-Training würden keine personenbezogenen Daten gezielt zusammengeführt, sondern Daten lediglich in einen großen Trainingspool geworfen. Die Moderatoren sehen dies als Anzeichen dafür, dass die Rechtslage rund um KI und Datenschutz weiterhin völlig offen ist. Sie diskutieren, ob Nutzer wirklich ausreichend informiert wurden und ob frühere Facebook-Postings für neue Zwecke wie KI-Training genutzt werden dürfen. Einig sind sie sich: Diese Fragen werden Gerichte, Gesetzgeber und Datenschützer noch lange beschäftigen, weil KI-Training nicht recht in die bestehende EU-Gesetzgebung passt.
Folge 123 von Follow the Rechtsstaat ist eine Spezialfolge. Anlässlich eines Beitrags in der PinG mit dem Titel ,,Die Bremsklötze der DSGVO-Durchsetzung“ werden die Verfasserinnen Dr. Nina Herbort und Dr. Giuliana Schreck von Dr. Stefan Brink und Carl Nowak interviewt. Die Rechtsanwältinnen berichten anhand ihrer Erfahrungen als ehemalige Mitarbeiterinnen einer Datenschutzbehörde über die Hürden der DSGVO-Durchsetzung. Zunächst geht es vertieft um die Probleme. Thematisiert wird der riesige Kreis der zu überwachenden Verantwortlichen. Anschließend (17:55) wird genauer auf das Aufkommen an massenhaften Beschwerden von Betroffenen eingegangen. Inwiefern hindern Beschwerden die Aufsichtstätigkeit? Welche ,,Schwellen“ sollten für Beschwerden gelten? Auch die Bearbeitung von grenzüberschreitenden Fällen, anhand des sogenannten One-Stop-Shop-Verfahrens (26:52), führt zu einer erheblichen Arbeitslast. Dr. Herbort und Dr. Schreck erläutern die Hürden der europäischen Koordination. Schließlich (45:09) wird ein Lösungsansatz diskutiert: Ist die Zentralisierung der Datenschutzaufsicht in Deutschland eine Lösung?
Der Europäische Datenschutzausschuss (EDSA) hat seine Aktion „Koordinierter Durchsetzungsrahmen“ (CEF) für 2025 gestartet. Nach einer einjährigen koordinierten Aktion zum Auskunftsrecht im Jahr 2024 hat sich der Schwerpunkt des CEF in diesem Jahr auf die Umsetzung eines anderen Datenschutzrechts verlagert, nämlich des Rechts auf Löschung bzw. des „Rechts auf Vergessenwerden“ (Art. 17 DSGVO). Im Jahr 2025 nehmen 30 Datenschutzbehörden in ganz Europa sowie der Europäische Datenschutzbeauftragte (EDSB) an dieser Initiative teil. Die Datenschutzaufsichtsbehörde in NRW ist an dieser Initiative direkt beteiligt. Bettina Gayk ist seit Juni 2021 die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen.
Kein Rechtsschutz für Pornhub und Youporn – Das Berliner Verwaltungsgericht bezeichnet das Verhalten der Pornoanbieter in einer geharnischten Pressemeldung als „verwerflich“ und verweigert jeglichen Rechtsschutz (VG Berlin vom 24.4.2025 - VG 32 L 25/25 und VG 32 L 26/25). 00:04:29 Datentransfer in „Schurkenstaaten“: Die Biden-Regierung hat den Transfer sensibler Daten in einige Länder untersagt. Die neue Regierung setzt das Verbot außer Vollzug. 00:09:09 Immer wieder Bußgelder gegen Caixa: Die spanische Datenschutzbehörde ist mit Bußgeldern in Millionenhöhe nicht zimperlich. Jetzt hat es zum wiederholten Male die drittgrößte spanische Bank getroffen. 00:17:35 BGH schafft Rechtssicherheit beim immateriellen Schaden: Erneut stellt der BGH klare und handhabbare Kriterien für die Anwendung des Art. 82 DSGVO bei einem „Kontrollverlust“ auf (BGH vom 11.2.2025 – VI ZR 365/22) 00:27:17 Kununu muss keine Namen nennen: Erneut scheitert ein Arbeitgeber am TDDDG bei dem Versuch, die Identität eines Arbeitnehmers herauszufinden, der sich bei Kununu über den Arbeitgeber negativ ausgelassen hat (BGH vom 11.3.2025 - VI ZB 79/23)
Die Techwoche von eicker.TV mit allen Kurzvideos der Woche an einem Stück und als wöchentlicher YouTube Podcast:
Im Rückblick auf den Monat März nimmt Dich Host Thomas Besmer mit auf eine Reise durch die bedeutendsten Entwicklungen und Erkenntnisse des Monats. Diese Folge bietet wertvolle Einblicke in drei zentrale Themen: die Einführung von Meta-AI in Europa, Highlights von der All-Social-Marketing-Conference und eine nostalgische Reise durch alte Präsentationen. **Meta-AI Rollout in Europa** Die Meta-AI wird bis Ende März 2025 in Europa ausgerollt. Diese Funktionalitäten werden zunächst in WhatsApp, Facebook und Instagram integriert. Ein Schwerpunkt liegt auf den textbasierten Chat-Funktionen, wobei Bildgenerierung und -erkennung noch nicht verfügbar sind. Die Integration erfolgt unter starker Beobachtung der europäischen Datenschutzbehörden, um den regulatorischen Anforderungen gerecht zu werden. Thomas und sein Team sind gespannt auf die Auswirkungen dieses Rollouts auf den europäischen Markt. Währenddessen bleibt ein Teil der Fachkräfte skeptisch, da die AI weiterhin auf Daten aus den USA trainiert wird. Dennoch sind die erwarteten Vorteile und neuen Möglichkeiten enorm. **Rückblick auf die All-Social-Marketing-Konferenz** Diese Konferenz ist bereits seit 13 Jahren eine feste Grösse im Kalender der (digitalen) Marketingexpert*innen. Die letzte Ausgabe brachte einige interessante Vorträge und Diskussionen mit sich, obwohl die Teilnehmerzahlen im Vergleich zu früheren Jahren gesunken sind. Thomas berichtet von Vorträgen, die sich um die Geschwindigkeit von Videoinhalten und deren Wirkung auf unterschiedliche Altersgruppen drehten. Eine besonders eingängige Aussage war, dass junge Menschen Videos in doppelter Geschwindigkeit konsumieren, während ältere Zielgruppen sich mit langsameren Geschwindigkeiten wohler fühlen. Daniel Levitan von AdsLab präsentierte sein Vortrag „No Budget, No Problem“ und ging dabei auf die Bedeutung von organischen Reichweiten in der Zeit minimaler Budgets ein. Jens Wiese, der Gründer der All-Facebook-Marketing-Konferenz, sprach über die Wichtigkeit schriftlicher Social-Media-Strategien und der dokumentierten Verankerung strategischer Massnahmen. Claude Sprenger betonte die Wichtigkeit des Nutzereinverständnisses beim Tracking und warnte vor der Verwendung von Workarounds ohne entsprechende Zustimmung. **Eine Reise in die Vergangenheit der AllSocial Marketing Conference** Thomas unternimmt eine nostalgische Reise und taucht in alte Präsentationen der All-Social-Marketing-Konferenz ein. Besonders spannend ist der Vergleich alter Präsentationen zum Thema Mobile-Werbung und wie viele dieser Konzepte heute noch relevant sind. Die Retrospektive zeigt, dass sich grundlegende Marketingprinzipien oft nicht ändern, sondern sich nur an neue Plattformen und Technologien anpassen.
Die Datenschutz-Grundverordnung (DSGVO) könnte bald erstmals seit ihrer Einführung 2018 grundlegend überarbeitet werden. Anlass sind zunehmende Klagen über übermäßige Bürokratie, vor allem für kleine und mittlere Unternehmen sowie Vereine. Axel Voss, rechtspolitischer Sprecher der konservativen EVP-Fraktion im Europaparlament, hat dazu in einem LinkedIn-Posting ein dreistufiges Modell vorgeschlagen: eine abgespeckte "Mini-DSGVO" für kleinere Organisationen, eine normale DSGVO für mittlere Unternehmen und eine strengere "DSGVO Plus" für Unternehmen, deren Geschäftsmodell wesentlich auf der Verarbeitung personenbezogener Daten beruht. Überraschend: Der Datenschutzaktivist Max Schrems unterstützt diese Idee grundsätzlich. In der neuen Episode des c't-Datenschutz-Podcasts "Auslegungssache" sprechen Redakteur Holger Bleich und Justiziar Joerg Heidrich mit Prof. Dr. Rolf Schwartmann über die Vorschläge. Schwartmann ist Professor an der Technischen Hochschule Köln, Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) und außerdem Host des Podcasts "DataAgenda". Alle drei Diskutanten begrüßen eine mögliche Entlastung kleiner Unternehmen und Vereine ausdrücklich. Gleichzeitig warnen sie jedoch davor, die Datenschutzpflichten allein an der Größe festzumachen. Gerade bei sensiblen Daten müssten auch kleinere Organisationen weiterhin hohe Standards erfüllen, so Schwartmann. Die genaue Ausgestaltung könnte komplex werden. Es gelte, Erleichterungen zu schaffen, ohne das Schutzniveau insgesamt abzusenken. Ein weiteres Problem sieht Heidrich in der mangelnden Einheitlichkeit der europäischen Datenschutzaufsicht. Die nationalen Behörden wenden die DSGVO sehr unterschiedlich an, was zu Rechtsunsicherheit führt. Eine stärkere Harmonisierung erscheint nötig, aber die Idee, Aufsichtskompetenz etwa an die EU-Kommission zu übertragen, stößt in der Episode auf Skepsis. Die Experten bevorzugen weiterhin unabhängige Datenschutzbehörden, mahnen aber eine bessere Abstimmung an. Auch in Deutschland wird über Änderungen diskutiert. So geht aus dem Sondierungspapier zur möglichen koalitionsbildung von CDU/CSU und SPD hervor, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten bei kleinen Unternehmen entfallen beziehungsweise der Schwellwert dafür deutlich angehoben werden könnte. Schwartmann kritisiert das deutlich: Ein Datenschutzbeauftragter entlaste Unternehmen eher, statt sie zu belasten. Ein Wegfall würde bestehende Datenschutzpflichten nicht beseitigen, sondern den Unternehmen sogar direkte Risiken aufbürden. Zum Abschluss wagen Schwartmann und die Podcast-Hosts eine Prognose: Ja, die DSGVO werde wohl aufgemacht. Doch dass daraus eine umfangreiche Reform entsteht, halten sie für unwahrscheinlich. Zu groß sei die Gefahr, dass sich die unterschiedlichen Interessengruppen in komplizierten Verhandlungen verfangen – und am Ende nur kleine Anpassungen übrig bleiben.
Kaum eine Woche vergeht auf heise online ohne Meldungen über neue Datenlecks. Zuletzt traf es einen großen Verbund von Rehakliniken, bei dem hochsensible Patientendaten offen im Netz einsehbar waren. Durch einen Hinweisgeber wurde aufgedeckt, dass Termindaten und sogar Befunddaten unverschlüsselt übertragen wurden und über das Internet abrufbar waren. Im aktuellen c't-Datenschutz-Podcast berichten die Newsroom-Redakteurin Marie-Claire Koch und c't-Redakteur Ronald Eikenberg davon, wie sie von dem Problem erfahren haben und was genau passiert ist. heisec-Redakteur Christopher Kunz kann überdies brandaktuelle Informationen zu zum Datenleak bei einem sogenannten Legaltech-Unternehmen beisteuern, auf das ihn ein Sicherheitsforscher vom Chaos Computer Club (CCC) hingewiesen hat. Wegen unzureichend gesicherter Webservices standen massenhaft Mandanteninformationen nahezu offen für jeden im Internet zum Abruf bereit. Zusammen mit heise-Justiziar Joerg Heidrich diskutiert die Runde, wie Unternehmen solchen Vorfällen vorbeugen können und wie sie sich verhalten sollten, wenn es dennoch dazu kommt. Wann besteht die Pflicht, Vorfälle umgehend bei der zuständigen Datenschutzbehörde zu melden? Wie sollte man sich gegenüber Mitarbeitern und Kunden verhalten, derden Daten eventuell in fremde Hände geraten sind? Nach Christophers Meinung ist es erschreckend, dass Patientendaten aufgrund grober Fehler wie fehlender Verschlüsselung und falscher Serverkonfiguration frei zugänglich waren. "Es geht hier um grundlegende Sicherheitsmaßnahmen, die im Jahr 2025 eigentlich selbstverständlich sein sollten", kritisiert er. Doch stattdessen würden immer wieder die gleichen Anfängerfehler gemacht. Auch die Kommunikation der betroffenen Unternehmen lasse oft zu wünschen übrig. Standardformulierungen wie "kein Hinweis auf Datenabflüsse" seien wenig vertrauenserweckend. Zudem würden Datenschutzbehörden und Kunden häufig gar nicht oder nur zögerlich informiert. Hier fordern die Experten unisono deutlich mehr Transparenz. Für Ronald liegt die Wurzel des Problems im mangelnden Risikobewusstsein: "Datenschutz muss als ernstes unternehmerisches Risiko wahrgenommen werden, genauso wie Arbeitsunfälle oder Produkthaftung." Nötig seien regelmäßige Sicherheitsaudits und die Einbindung externer Experten, um Lücken frühzeitig zu erkennen und zu schließen. Unternehmen sollten zudem offener mit Sicherheitsforschern zusammenarbeiten, die Schwachstellen aufdecken. Christopher rät Firmen, lieber einmal mehr als zu wenig zu melden, um sich nicht dem Vorwurf der Vertuschung auszusetzen. Auch Betroffene wünschten sich sicherlich mehr Informationen darüber, ob und wie ihre Daten in falsche Hände geraten sind. Insgesamt zeigt die Diskussion: Beim Schutz sensibler Daten gibt es noch viel Luft nach oben. Unternehmen müssen ihrer Verantwortung besser gerecht werden - im Interesse ihrer Kunden und auch zu ihrem eigenen Schutz. Denn Datenpannen führen mitunter nicht nur zu saftigen Bußgeldern, sondern können auch immense Imageschäden nach sich ziehen.
In Frankreich gibt es weiter kein verabschiedetes Budget. Die letzte Regierung scheiterte im Dezember daran, nun versucht es Premierminister François Bayrou erneut – ohne Parlamentsmehrheit. Wie er das schaffen will, erklärt Auslandredaktor Philipp Scholkmann. Die weiteren Themen: ⦁ In Deutschland demonstrieren Zehntausende gegen einen möglichen Rechtsruck, allein in Berlin waren es rund 160'000 Menschen. Die Presseschau zum Thema. ⦁ Das KI-Tool DeepSeek konkurriert mit ChatGPT, benötigt aber angeblich weniger Geld und Rechenleistung. Experte David Rosenthal erklärt im Gespräch, ob die Vorbehalte der Datenschutzbehörden berechtigt sind. ⦁ Weltweit entstehen immer mehr Planstädte – von Nusantara in Indonesien bis zur neuen Hauptstadt Ägyptens. Nun plant auch der Iran eine neue Hauptstadt, näher am Meer als Teheran. Stadtforscher David Kostenwein von der ETH Zürich ordnet die Entwicklungen ein.
In diesem Podcast sprechen Stefan Brink und Niko Härting zunächst (ab Minute 00:59) über das Gutachten des Netzwerks Datenschutzexpertise zur Frage: Unter welchen Voraussetzungen besteht ein Anspruch auf eine analoge Alternative zum digitalen Service? Bei immer mehr Dienstleistungen von Staat und Wirtschaft werden solche Alternativen nicht mehr angeboten. So z. B. wenn der Kauf günstiger Bahnfahrkarten, die Abholung von Postpaketen oder der Eintritt zu Kultur- oder Sportveranstaltungen ohne Smartphone nicht mehr möglich ist. Auch die öffentliche Verwaltung setzt immer öfter auf „digital only“. Dadurch werden Menschen regelmäßig ausgeschlossen und diskriminiert, weil sie sich die benötigten Digitalgeräte und Anschlüsse nicht leisten können, weil sie nicht über die nötige Medienkompetenz verfügen oder weil sie wegen einer Beeinträchtigung einen Dienst faktisch nicht nutzen können. Viele Menschen versuchen auch, digitale Angebote – insbesondere im Internet – zu vermeiden, weil sie befürchten, dass ihre dadurch erlangten Daten missbraucht werden. Ein Anspruch auf alternativen analogen Zugang lässt sich möglicherweise aus der Verfassung herleiten, gerade gegen öffentliche Stellen. Das Gutachten mündet in die Forderung, ein Verbot digitaler Diskriminierung verfassungsrechtlich zu fixieren. Sodann wird (ab Minute 10:16) das Urteil des Bundesverfassungsgerichts zur Erhebung einer Gebühr für den polizeilichen Mehraufwand bei „Hochrisikospielen“ der Fußball-Bundesliga besprochen (Urteil vom 14.1.2025 1 BvR 548/22). Die Verfassungsbeschwerde der DFL Deutsche Fußball Liga GmbH blieb erfolglos, das BVerfG prüft mustergültig den gesetzlichen Eingriff in die Berufsausübungsfreiheit des Art. 12 GG und beurteilt diesen als formell und materiell verfassungskonform. Zweifel bestehen allenfalls an der Trennschärfe der angelegten gesetzlichen Kriterien für eine Kostenbeteiligung (polizeilicher Mehraufwand bei gewinnorientierten, erfahrungsgemäß gewaltgeneigten Großveranstaltungen mit mehr als 5.000 Personen). Schließlich wird (ab Minute 21:34) ein Urteil des Europäischen Gerichtshofs vom 9.1.2025 (Rechtssache C-416/23) analysiert: Es geht um die Pflicht der Aufsichtsbehörde zur Bescheidung exzessiver Anträge nach Art. 57 Abs. 4 DS-GVO. Ganze 77 Mal beschwerte sich ein Österreicher bei der örtlichen Datenschutzbehörde über mögliche Verstöße gegen die Datenschutz-Grundverordnung, etwa die Verletzung von Art. 15 DS-GVO - in weniger als zwei Jahren. Die österreichische Behörde weigerte sich, die Beschwerden noch zu bearbeiten. Der Bürger habe exzessiv Beschwerden eingereicht und es damit übertrieben. Der EuGH macht den Aufsichtsbehörden das Leben nicht leichter: Anfragen seien nicht allein aufgrund ihrer Zahl während eines bestimmten Zeitraums als „exzessiv“ im Sinne dieser Bestimmung einzustufen, die Aufsichtsbehörde müsse zusätzlich das Vorliegen einer Missbrauchsabsicht der anfragenden Person nachweisen. Das Wahlrecht der Aufsichtsbehörde (Nicht-Behandlung der exzessiven Anfrage oder Erhebung einer Gebühr) müsse zudem verhältnismäßig ausgeübt werden. Aufsichtsbehörde zu sein macht auch nicht immer Spaß …
Niko Härting und Stefan Brink werten zunächst die Grundgesetzänderung zum Schutz des Bundesverfassungsgerichts aus. Die Struktur und Zusammensetzung sowie die Bindungswirkung der Entscheidungen des Bundesverfassungsgerichts sind nun im Grundgesetz festgeschrieben. Somit wurden einige Regelungen aus dem einfachen Gesetz (Bundesverfassungsgerichtsgesetz), welche jederzeit mit einfacher Mehrheit geändert werden können, durch die Hürde der 2/3-Mehrheit zur Veränderung des Grundgesetz geschützt. Transparenzregelungen in Bezug auf die Wahl der Richter des Bundesverfassungsgerichts, welche das Vertrauen in unsere Verfassungshüter stärken würden, wurden bedauerlicherweise nicht beschlossen. Ab Minute 13:47 werden zwei Entscheidungen zum Datenschutz, insbesondere zum Thema der Datenminimierung besprochen. In Polen konnten Erziehungsberechtigte der Verarbeitung eines Fingerabdrucks zwecks Identitätsfeststellung bei der Essensausgabe einwilligen. Andernfalls musste die Identität der Schülerin analog über eine Liste in einer separaten Schlange festgestellt werden. Die polnische Datenschutzbehörde bezweifelte die Wirksamkeit der Einwilligung mangels Freiwilligkeit. Das Verwaltungsgericht in Polen widersprach der Behörde. Trägt die Entscheidung den besonderen Anforderungen für biometrische Daten des Art. 9 DSGVO hinreichend Rechnung? Ab Minute 27:52 geht es um die EuGH-Entscheidung vom 9.1.2025 (Az. C-394/23) in der das Gericht entschied, dass die Erhebung der Geschlechtsangabe für die französische Bahngesellschaft SNCF nicht erforderlich sei. Härting und Brink beschäftigen sich genauer mit der Auslegung des Art. 6 Abs. 1 lit. a bis f DSGVO (Rechtsgrundlagen für die Datenverarbeitung), insbesondere wird die Anwendung des EuGH der Datenverarbeitung zwecks der Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) kritisiert. Last but not least setzt der EuGH im Rahmen des Art. 6 Abs. 1 lit. f DSGVO einen strengen Maßstab fest: Aus dem Erforderlichkeitsgrundsatz wird das Erfordernis einer ,,unbedingten Notwendigkeit“.
Wer hätte gedacht, dass der Datenschutz dem BGH Anlass gibt, seine erste Leitentscheidung zu treffen? Seit dem 18.11.2024 wissen wir, dass „der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten“ bereits ein Schaden sein kann, der einen Schadensersatzanspruch begründen kann. Dies allerdings nur „in einer Größenordnung von 100 EUR“ (BGH vom 18.11.2024, Az. VI ZR 10/24). Stefan Brink und Niko Härting sprechen über die BGH-Entscheidung und über deren Folgen für Tausende Facebook-Scraping-Verfahren, die noch an Gerichten in der ganzen Republik anhängig sind. Ob es sich für Betroffene und deren Anwälte noch lohnt, Prozesse zu führen, wenn es nur noch um symbolische „Größenordnungen“ geht? 33:45 Die Leitentscheidung des BGH wird auch für andere Fälle Bedeutung haben, in denen es um Schadensersatz nach der DSGVO geht. Brink und Härting erörtern dies anhand einer sehr ausführlichen, frischen Entscheidung des OLG Dresden zum Fall Deezer (Urteil vom 15.10.2024, Az. 4 U 940/24). Die Zurückhaltung des OLG beim Schadensersatz wegen „Kontrollverlusts“ wird nach der BGH-Entscheidung nicht mehr haltbar sein. Spannend bleibt allerdings die weitere Entwicklung des Erfüllungseinwands bei der datenschutzrechtlichen Auskunft (Art. 15 DSGVO). Zivilrechtlich kann eine unrichtige Auskunft den Auskunftsanspruch nach § 362 BGB erfüllen. Einen Anspruch auf eine „richtige“ Auskunft gibt es im Zivilprozess nicht, dies hat das OLG Dresden sehr ausführlich und schlüssig begründet. Aber könnte der Betroffene jetzt bei der Datenschutzbehörde auf dem Beschwerdeweg eine vollständige und richtige Auskunft erwirken? Oder müsste es auch dort heißen: „Njet, 362 BGB“?
Im heutigen Interview spricht Markus Reitshammer mit dem Rechtsanwalt und Datenschutzexperten Fabian Bösch über die Herausforderungen und Lösungsansätze im Bereich des Data Breach Managements
THEMENFOLGE Was haben eine fehlende Datenschutzerklärung auf einer Website und ungefragte Werbemails mit einander zu tun. Richtig, dazu gibt es von europäischen Datenschutzbehörden schon Urteile und Strafen.
Im heutigen Interview spricht Markus Reitshammer mit dem Rechtsanwalt und Datenschutzexperten Fabian Bösch über die Herausforderungen und Lösungsansätze im Bereich des Data Breach Managements
Im heutigen Interview spricht Markus Reitshammer mit dem Rechtsanwalt und Datenschutzexperten Fabian Bösch über die Herausforderungen und Lösungsansätze im Bereich des Data Breach Managements
Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum überschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern. Europäische Datenschutzbehörden arbeiten sich seit Jahren an den Datenschutzerklärungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersächsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zuständigen Datenschutzbehörde befürchten zu müssen. I, Episode 118 beschäftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. Dafür haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten für genau diese Thematik hinzugezogen. Jurist Olaf berät mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten. Zunächst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgeführten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abfließen, die Verwendung von Telemetriedaten ungenügend geklärt ist, die IT-Sicherheit nicht ausführlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschließend darstellt. Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklärt außerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstünden allerdings gerade mit der allmählichen Einführung der KI-Copiloten in die Produkte.
Interne oder externe Datenschutzbeauftragte? Darüber sprechen wir mit unserem Gast, Julian Lang, der als Berater für Datenschutz und Informationssicherheit bei Althammer & Kill in Hannover tätig ist. Julian erzählt uns über seinen Alltag als externer Datenschutzbeauftragter, der für verschiedene Unternehmen tätig ist. Wir, das ist in dieser Folge neben Joerg als Gastmoderator Niklas Mühleis, der bereits bei uns zu Gast war und als Co-Host unseres neuen Heise-Podcasts "Vorsicht, Kunde!" zu verbraucherrechtlichen Fragen Stellung nimmt. Niklas vertritt Holger, der in dieser Woche seinen wohlverdienten Urlaub in südlichen Gefilden verbringt. Gemeinsam wird im Rahmen unserer Rubrik "Bußgeld der Woche" das Vorgehen der Datenschutzbehörden bei Datenklau-Fällen besprochen. Das sind solche Fälle, in denen sich Polizisten oder auch Ladendetektive die Daten meist von Frauen abrufen, um diese zu kontaktieren. Dazu herrschte allgemeines Erstaunen darüber, dass hier meist nur sehr geringe Bußgelder festgelegt werden. Im Hauptteil der Episode ging es dann um die Rollen und Aufgaben von externen Datenschutzbeauftragten. Lang ist seit vielen Jahren in diesem Bereich tätig und erzählt über seinen Werdegang, die Herausforderungen im Umgang mit den Unternehmen und nicht zuletzt über skurrile Erlebnisse in seinem Job. Die Folge endet mit einem Vergleich zwischen den Vor- und Nachteilen der Berufung eines externen Datenschutzbeauftragten gegenüber einer internen Beauftragung. Zum Abschluss haben die Gäste die Möglichkeit, einen Wunsch an die gute Datenschutzfee zu formulieren.
Dass eine Landesdatenschutzbehörde weitgehend geräuschlos von einer kompetenten Hand in die nächste übergeben wird, ist mitterweile keine Normalität mehr. In Baden-Württemberg hat das funktioniert: Vor rund einem Jahr, am 1. Juli 2023, trat Prof. Tobias Keber die Nachfolge von Stefan Brink als Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württembergs an. In Episode 112 des c't-Datenschutz-Podcasts plaudert Keber über sein erstes Amtsjahr und erläutert, wie er seine Behörde sieht. Der studierte Jurist war zuvor von 2012 bis 2023 Professor für Medienrecht und Medienpolitik an der Hochschule der Medien Stuttgart. Keber ist außerdem seit seit 2015 Vorsitzender des wissenschaftlichen Beirats der Gesellschaft für Datenschutz und Datensicherheit (GDD). Eine Schwerpunkt der Tätigkeit seiner Behörde legte er im ersten Jahr auf die Betrachtung von Künstlicher Intelligenz (KI) aus datenschutzrechtlicher Perspektive. In der Episode spricht sich Keber wie viele seiner Kolleginnen und Kollegen dafür aus, dass hierzulande die deutschen Datenschutzbehörden als Aufsicht für die bald in Kraft tretende KI-Verordnung fungieren. Der Behördenleiter fordert einen pragmatischen Blick auf generative KI und erzählt, dass er schon heute dutzende KI-Projekte öffentlicher Stellen im Ländle datenschutzrechtlich beurteilen muss.
Niko Härting und Max Adamek sprechen mit Prof. Ulrich Kelber, dem scheidenden Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Kelber lobt die Juristen, die sich an das sehr technische Gebiet des Datenschutzes heranwagen. Dies unterscheide die Juristinnen und Juristen von Informatikern, die im Datenschutz „wie ein Fisch im Wasser schwimmen“. Kelber betont die besonders schnelle Entwicklung des Datenschutzrechts während der fünf Jahre seiner Amtszeit. Er moniert, dass die Digitalisierung von Verwaltungsprozessen viel zu langsam vorangeht, wofür er unter anderem fehlenden politischen Entscheidungswillen verantwortlich macht und die eine Scheu von Behörden vor neuen Technologien. Gefragt nach Bereichen, in denen die Digitalisierung stockt, nennt Kelber eine Vielzahl an öffentlichen und privaten Stellen. Eine Art „Digitalisierungsagentur“ hält er für genauso sinnvoll wie Vorschriften, die interne Abläufe digitalisieren. Spannendes berichtet Kelber von seiner Kontrollzuständigkeit gegenüber Bundesbehörden. Nicht nur mit der Bundespresseamt hat er sich angelegt, sondern auch mit dem Bundesinnenministerium (BMI) und jüngst mit dem Bundesnachrichtendienst (BND). Die Befugnisse des BfDI gegenüber den Nachrichtendiensten sind kaum bekannt – der BfDI ist insoweit eine „unterschätzte Aufsichtsbehörde“. Trotz des gelegentlich streitbaren Auftretens stellt Kelber klar, dass es Hauptaufgabe des BfDI ist, für Datenverarbeitung verantwortliche Stellen zu beraten. Anders als seine Nachfolgerin kam Kelber als Politiker ins Amt. Seine politische Erfahrung und seine Erfahrung mit Führungsaufgaben – zuletzt als Parlamentarischer Staatssekretär im Bundesministerium für Justiz und Verbraucherschutz (BMJV) kam Kelber nach eigener Einschätzung bei der Führung des Amts des BfDI zugute. Die beste Zuständigkeit für die Durchführung des AI Acts sieht Kelber ganz deutlich bei den Datenschutzbehörden. Anderenfalls entstünde ein zu vermeidender Flickenteppich bei der KI-Aufsicht. Kelber wartet – wie wir alle – auf das im Koalitionsvertrag der „Ampel“ versprochene Transparenzgesetz Der Bund brauche dringend ein „Update“ des Informationsfreiheitsgesetzes (IFG). Die Gebühren müssen hinterfragt werden, es brauche weniger Versagungsgründe, eine anonyme Antragstellung und eine Pflicht zur „präaktiven Veröffentlichung“ in Transparenzportalen.
Neuer Podcast, alte Bekannte: Niko Härting und Stefan Brink pflügen zunächst (ab Minute 02:40) Querbeet: Die Datenschutzkonferenz hat einen Leitfaden zur Nutzung von KI in Behörden und Unternehmen veröffentlicht (Mai 2024). Die Orientierungshilfe richtet sich in erster Linie an die Verantwortlichen, die KI‐Anwendungen einsetzen möchten. Zudem hat sich das Bundesverwaltungsgericht hat sich mit der Frage befasst, ob gegen eine (drohende) Verletzung der DS-GVO mit einem Unterlassungsanspruch reagiert werden kann. Es kam zum Schluss: Art. 79 Abs. 1 DS-GVO schließt die Geltendmachung eines öffentlich-rechtlichen Unterlassungsanspruchs gegen die Datenverarbeitung im Bereich der kommunalen Gefahrenabwehr und Gefahrenvorsorge - hier durch Videoüberwachung einer als öffentliche Einrichtung gewidmeten Grünfläche - nicht aus. Abschließend noch ein kurzer Hinweis auf die „Feiertage“ zur Informationsfreiheit, den mittlerweile 5. IFG-DAYS des LfDI Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/5-ifg-days/) – alle Beiträge demnächst im Netz. Ab Minute 13:47 geht es dann um den EuGH (Rechtssache 662 ff/2022 vom 30.5.2024, Vorabentscheidungsverfahren): Online-Dienste-Anbieter wie Google, aber auch Amazon, Expedia u.a. klagten gegen das italienische Transparenz-Gesetz „zur Umsetzung“ der EU-VO 2019 zur Förderung von Transparenz und Fairness für gewerbliche Nutzer von Online-Vermittlungsdiensten. Die Kläger haben ihren Sitz in Irland bzw. Luxemburg und beklagten einen erhöhten Verwaltungsaufwand in Italien als Verstoß gegen Dienstleistungsfreiheit innerhalb der EU (Art 56 AEUV). Der EuGH sprach sich klar gegen nationale Erhöhungen der Schutzstandards aus, selbst bei „nützlichen“ Verschärfungen im Sinne einer EU-VO: „Somit darf Italien in anderen Mitgliedstaaten niedergelassenen Anbietern dieser Dienste keine zusätzlichen Verpflichtungen auferlegen, die für die Erbringung der fraglichen Dienste nicht im Niederlassungsmitgliedstaat, wohl aber in Italien vorgesehen sind.“ Mit den Grenzen der Informationstätigkeit von Datenschutz-Aufsichtsbehörden befasst sich ein Aufsatz von Christine Dieterle, Ministerialrätin und Referatsleiterin im Bayerischen Staatsministerium der Justiz in München (ZD 2024, 241) – und Stefan und Niko mit diesem Aufsatz (ab Minute 20:32): Genügt Art. 58 Abs. 3 lit. b DS-GVO, der es den Datenschutzaufsichtsbehörden gestattet, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung sowie an die Öffentlichkeit zu richten, für Eingriffe in die Gewerbefreiheit? Denn namentliche Nennungen von Beteiligten an Bußgeldverfahren in Pressemitteilungen oder Tätigkeitsberichten greifen sicherlich in deren Rechte ein. Naming – Blaming – Shaming durch Datenschutzbehörden - ein kontroverses und hoch aktuelles Thema!
Auslegungssache meets Passwort! In der aktuellen Episode trifft der c't-Datenschutz-Podcast auf sein neues Pendant aus der Security-Sparte von heise. Zu Gast sind nämlich Christopher Kunz und Sylvester Tremmel, die beiden Hosts des Podcasts "Passwort". Naturgemäß geht es deshalb diesmal weniger um Auslegungen der DSGVO als um handfeste IT-Sicherheitsprobleme, deretwegen bei Nutzern oder Unternehmen Datenabfluss droht. Christopher und Sylvester schätzen zunächst ein Bußgeld der Datenschutzbehörde Singapurs ein: Wegen eines schwachen Admin-Passworts kam es bei einer Lernplattform zu einem Einbruch und zum Abzug der Daten von über 500.000 Nutzern. Die beiden schätzen die beschriebene Schwachstelle ein und geben Tipps für gutes Passwort-Management sowie Policies in Unternehmen. Ihr Credo: Eine Policy allein genügt nicht, es braucht technische Maßnahmen, um die Mitarbeiter zu starken Passwörtern zu bringen. Im Hauptteil des der Episode erläutern Christopher und Sylvester, wie Nutzernamen-Passwort-Kombinationen gestohlen werden und was jeder einzelne dagegen tun kann. Sie schildern, auf welchen Kanälen derlei Daten gehandelt werden. Außerdem schätzen sie die Qualität und Wirkung von Leakcheckern wie "Have I Been Pwned" ein. Kann man ihnen trauen? Und wie sollte man sie nutzen, auch als Unternehmen?
Die Datenschutzkonferenz, also das gemeinsame Gremium der deutschen Datenschutzbehörden, hat endlich eine "Orientierungshilfe" zum Umgang mit generativer KI veröffentlicht. Doch was Unternehmen und Behörden helfen soll, bleibt schwammig und könnte sie an mancher Stelle sogar vor unlösbare Probleme stellen. In vielen Punkten bleibt die Orientierungshilfe im Allgemeinen und dürfte Verantwortlichen wenig dabei helfen, "DSGVO-Compliance" herstellen zu können. Vor allem aber zeigt dass Papier - wohl ungewollt - auf, wo die kaum auflösbaren Widersprüche zwischen den Anforderungen der DSGVO und den technischen Besonderheiten von KI-Sprachmodellen (Large Language Models, LLMs) liegen. Im c't-Datenschutzpodcast beschäftigen sich Holger und Joerg mit der Orientierungshilfe und beschreiben das nahezu unauflösbare Dilemma, vor dem die Datenschutzaufsicht steht. Zur Seite steht Ihnen Jo Bager. Der Informatiker arbeitet seit fast 30 Jahren in der c't-Redaktion und begleitet die KI-Evolution von Anfang an. Jo hilft, die juristischen Einschätzungen der DSK technisch einzuordnen. Besonders kontrovers: In Punkt 11.1. ihrer Orientierungshilfe fordert die DSK von Verantwortlichen, dass "betroffene Personen ihre Rechte auf Berichtigung gemäß Art. 16 DSGVO und Löschung gemäß Art. 17 DSGVO ausüben können" müssen. Die DSK pocht hier auf den datenschutzrechtlichen Grundsatz der Richtigkeit personenbezogener Daten. Doch das geht an der technischen Realität vorbei: Ein LLM ist nun einmal keine Datenbank, in der sich Informationen austauschen lassen. In dieselbe Kerbe schlug auch der österreichische Datenschutzaktivist Max Schrems mit seiner Non-Profit-Organisation noyb: Ende April hat noyb für eine betroffene Person Beschwerde gegen Open AI bei der österreichischen Datenschutzbehörde eingereicht. Obwohl das von ChatGPT angegebene Geburtsdatum des Beschwerdeführers falsch sei, habe OpenAI seinen Antrag auf Berichtigung oder Löschung abgelehnt, lautet die Begründung. Open AI habe angegeben, dass eine Korrektur der Daten nicht möglich ist. "Wenn ein System keine genauen und transparenten Ergebnisse liefern kann, darf es nicht zur Erstellung von Personendaten verwendet werden. Die Technologie muss den rechtlichen Anforderungen folgen, nicht umgekehrt“, erklärte Maartje de Graaf, Datenschutzjuristin bei noyb.
Breitband - Medien und digitale Kultur (ganze Sendung) - Deutschlandfunk Kultur
Wer die Kryptowährung Worldcoin von OpenAI-Chef Sam Altman nutzen will, braucht eine sogenannte World ID. Dafür ist ein Irisscan nötig. Nicht nur Datenschutzbehörden sehen das kritisch. Linß, Vera; Wiese, Tim; Lobe, Adrianwww.deutschlandfunkkultur.de, Breitband
Der Facebook Mutterkonzern Meta ist von der irischen Datenschutzbehörde DPC zu einer Rekordstrafe von 1,2 Milliarden Euro verurteilt worden. Wie ist es zu der Strafe gekommen und wieso kommt sie erst jetzt? Hier entlang geht's zu den Links unserer Werbepartner: https://detektor.fm/werbepartner/zurueck-zum-thema >> Artikel zum Nachlesen: https://detektor.fm/digital/zurueck-zum-thema-mega-strafe-fuer-meta
Der Facebook Mutterkonzern Meta ist von der irischen Datenschutzbehörde DPC zu einer Rekordstrafe von 1,2 Milliarden Euro verurteilt worden. Wie ist es zu der Strafe gekommen und wieso kommt sie erst jetzt? Hier entlang geht's zu den Links unserer Werbepartner: https://detektor.fm/werbepartner/zurueck-zum-thema >> Artikel zum Nachlesen: https://detektor.fm/digital/zurueck-zum-thema-mega-strafe-fuer-meta
Am Wochenende haben der Chef der Wagner-Gruppe, Jewgeni Prigoschin, und das russische Verteidigungsministerium die Einnahme der schwer umkämpften Stadt Bachmut verkündet. Die Ukraine dementiert dies und kämpft am Rande der Stadt weiter. Maxim Kireev, Redakteur für internationale Politik bei ZEIT ONLINE, erklärt, wieso die Einnahme Bachmuts, die von Russland als Erfolg gefeiert wird, den Angreifern im Krieg kaum einen Vorteil verschafft. Der hessische Grünenpolitiker Philipp Nimmermann wird neuer Energie-Staatssekretär im Bundeswirtschaftsministerium von Robert Habeck (Grüne) und damit Nachfolger von Patrick Graichen. Graichen wurde aufgrund von Vetternwirtschaft am vergangenen Mittwoch in den einstweiligen Ruhestand versetzt. Der Facebook-Konzern Meta hat nach Einschätzung der irischen Datenschutzbehörde DPC gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen und muss deshalb eine Rekordstrafe von 1,2 Milliarden Euro zahlen. Hintergrund ist der seit Jahren laufende Streit um die Übertragung von personenbezogenen Daten europäischer Facebook-User in die USA. Was noch? In der südostasiatischen Mekong-Region wurden Hunderte neue Tier- und Pflanzenarten entdeckt – doch auch sie sind vom Aussterben bedroht. Moderation und Produktion: Pia Rauschenberger Redaktion: Constanze Kainz Mitarbeit: Paulina Kraft Fragen, Kritik, Anregungen? Sie erreichen uns unter wasjetzt@zeit.de. Weitere Links zur Folge: - Bachmut: Prigoschins letzter Triumph? (https://www.zeit.de/politik/ausland/2023-05/bachmut-russland-ukraine-krieg-gegenoffensive-gruppe-wagner/komplettansicht) - Bachmut: News und Infos (https://www.zeit.de/thema/bachmut) - Graichen-Nachfolge: Philipp Nimmermann wird neuer Wirtschaftsstaatssekretär (https://www.zeit.de/politik/deutschland/2023-05/philipp-nimmermann-wirtschaftsstaatssekretaer-patrick-graichen) - Patrick Graichen: Jetzt könnten alle mal was lernen (https://www.zeit.de/kultur/2023-05/patrick-graichen-entlassung-robert-habeck-enttaeuschung) - Facebook-Konzern: Milliardenstrafe gegen Meta wegen Verstößen gegen Datenschutzregeln (https://www.zeit.de/digital/datenschutz/2023-05/milliarden-strafe-gegen-meta-wegen-verstoessen-gegen-datenschutzregeln)
Datenschutzskandal um ChatGPT? Deutschland prüft derzeit mögliche Verstöße der auf künstlicher Intelligenz (KI) beruhenden Anwendung gegen die deutsche Datenschutzgrundverordnung. Web: https://www.epochtimes.de Probeabo der Epoch Times Wochenzeitung: https://bit.ly/EpochProbeabo Twitter: https://twitter.com/EpochTimesDE YouTube: https://www.youtube.com/channel/UC81ACRSbWNgmnVSK6M1p_Ug Telegram: https://t.me/epochtimesde Gettr: https://gettr.com/user/epochtimesde Facebook: https://www.facebook.com/EpochTimesWelt/ Unseren Podcast finden Sie unter anderem auch hier: iTunes: https://podcasts.apple.com/at/podcast/etdpodcast/id1496589910 Spotify: https://open.spotify.com/show/277zmVduHgYooQyFIxPH97 Unterstützen Sie unabhängigen Journalismus: Per Paypal: http://bit.ly/SpendenEpochTimesDeutsch Per Banküberweisung (Epoch Times Europe GmbH, IBAN: DE 2110 0700 2405 2550 5400, BIC/SWIFT: DEUTDEDBBER, Verwendungszweck: Spenden) Vielen Dank! (c) 2023 Epoch Times
Seit November ist der Chatbot ChatGPT für die Öffentlichkeit freigeschaltet. Fest steht: ChatGPT wird die Arbeitswelt verändern, die Forschung und auch die Bildung. Doch jetzt ließ die italienische Datenschutzbehörde den Chatbot sperren - aus Datenschutzgründen. Auch deutsche Datenschützer prüfen den Fall. Ob Chatbot gegen die europäische Datenschutzgrundverordnung verstößt, erklärt Peter Welchering.
Es ist so naheliegend: Wer einen Falschparker anzeigen will, zückt das Handy und schickt das Foto der Polizei. Doch in Bayern bekamen zwei Männer deswegen Ärger mit der Datenschutzbehörde. Web: https://www.epochtimes.de Probeabo der Epoch Times Wochenzeitung: https://bit.ly/EpochProbeabo Twitter: https://twitter.com/EpochTimesDE YouTube: https://www.youtube.com/channel/UC81ACRSbWNgmnVSK6M1p_Ug Telegram: https://t.me/epochtimesde Gettr: https://gettr.com/user/epochtimesde Facebook: https://www.facebook.com/EpochTimesWelt/ Unseren Podcast finden Sie unter anderem auch hier: iTunes: https://podcasts.apple.com/at/podcast/etdpodcast/id1496589910 Spotify: https://open.spotify.com/show/277zmVduHgYooQyFIxPH97 Unterstützen Sie unabhängigen Journalismus: Per Paypal: http://bit.ly/SpendenEpochTimesDeutsch Per Banküberweisung (Epoch Times Europe GmbH, IBAN: DE 2110 0700 2405 2550 5400, BIC/SWIFT: DEUTDEDBBER, Verwendungszweck: Spenden) Vielen Dank! (c) 2022 Epoch Times
Wir übertrugen live den "Privacy Ring 2022" aus der Aula der Universität Wien. Thema ist der Datenschutz im Lichte des Transatlantik-Abkommens. EU-US Datenübermittlung im Fokus Es sprechen: Prof. Dr. Nikolaus Forgó (Universität Wien) Dr. Andrea Jelinek, (Leiterin der Österreichischen Datenschutzbehörde) RA. Dr. Philipp Mittelberger (Datenschutzexperte BWB Rechtsanwälte) Markus Plank (Präsident des Interactive Advertising Bureau Austria) Barbara Thiel (Leiterin der Datenschutzbehörde des Landes Niedersachsen) Moderation: Iris Phan (Leibniz Universität Hannover), Judith Leschanz (A1, Secur-Data), Katja Wyrobek (Secur-Data) Links: https://www.privacy-ring.uni-hannover.de/de/ https://twitter.com/privacyring
TikTok verneint Behauptungen um Datenleck Kinder auf Instagram waren schutzlos: Datenschutzbehörde verhängt empfindliche Strafe DoS-Angriff auf Yandex Taxi: Verkehrsstau in Moskau nach Fake-Bestellungen Google: Günstiges Chromecast-Modell wird eventuell ebenfalls im Oktober vorgestellt Huawei Mate 50 Passwortmanager Bitwarden: Investoren bringen 100 Mio. Dollar ein Heute Abend Special-Event von Apple
Die DSGVO sollte mehr Datenschutz bringen, aber Datensammelei und Tracking gehen munter weiter. Die Cookie-Banner und Consent-Systeme gehen vielen Usern auf die Nerven, statt mehr Privatsphäre im Netz sicherzustellen. Kleine Anbieter stöhnen über komplizierte Regeln, während großer Internetkonzerne dank ihrer Rechtsabteilungen versuchen, Schlupflöcher in den Regelungen auszunutzen. Dazu kommt, dass Datenschutzbehörden verschiedener Länder mit unterschiedlichem Eifer an der Durchsetzung arbeiten. Doch als Nutzer ist man nicht hilflos. Einerseits sind die schlimmsten Formen des Datenabgreifens nicht mehr statthaft, andererseits gibt es verschiedene technische Hilfsmittel, um den Datenabfluss zu verhindern. Im c't uplink erklärt c't-Redakteur Dušan Živadinović wie Tracking funktioniert, an welcher Stelle welche Daten abgegriffen und wie weiterverwendet werden. Der Heise Medien Hausjustiziar Joerg Heidrich ordnet die Rechtslage und datenschutzpolitische Verpflechtungen ein. Gemeinsam mit Moderator Keywan Tonekaboni diskutieren sie darüber, welche Maßnahmen gegen die Datensammelei helfen und verraten auch, wie sie sich persönlich schützen.
Die DSGVO sollte mehr Datenschutz bringen, aber Datensammelei und Tracking gehen munter weiter. Die Cookie-Banner und Consent-Systeme gehen vielen Usern auf die Nerven, statt mehr Privatsphäre im Netz sicherzustellen. Kleine Anbieter stöhnen über komplizierte Regeln, während großer Internetkonzerne dank ihrer Rechtsabteilungen versuchen, Schlupflöcher in den Regelungen auszunutzen. Dazu kommt, dass Datenschutzbehörden verschiedener Länder mit unterschiedlichem Eifer an der Durchsetzung arbeiten. Doch als Nutzer ist man nicht hilflos. Einerseits sind die schlimmsten Formen des Datenabgreifens nicht mehr statthaft, andererseits gibt es verschiedene technische Hilfsmittel, um den Datenabfluss zu verhindern. Im c't uplink erklärt c't-Redakteur Dušan Živadinović wie Tracking funktioniert, an welcher Stelle welche Daten abgegriffen und wie weiterverwendet werden. Der Heise Medien Hausjustiziar Joerg Heidrich ordnet die Rechtslage und datenschutzpolitische Verpflechtungen ein. Gemeinsam mit Moderator Keywan Tonekaboni diskutieren sie darüber, welche Maßnahmen gegen die Datensammelei helfen und verraten auch, wie sie sich persönlich schützen. Mit dabei: Dušan Živadinović, Joerg Heidrich und Keywan Tonekaboni
Die DSGVO sollte mehr Datenschutz bringen, aber Datensammelei und Tracking gehen munter weiter. Die Cookie-Banner und Consent-Systeme gehen vielen Usern auf die Nerven, statt mehr Privatsphäre im Netz sicherzustellen. Kleine Anbieter stöhnen über komplizierte Regeln, während großer Internetkonzerne dank ihrer Rechtsabteilungen versuchen, Schlupflöcher in den Regelungen auszunutzen. Dazu kommt, dass Datenschutzbehörden verschiedener Länder mit unterschiedlichem Eifer an der Durchsetzung arbeiten. Doch als Nutzer ist man nicht hilflos. Einerseits sind die schlimmsten Formen des Datenabgreifens nicht mehr statthaft, andererseits gibt es verschiedene technische Hilfsmittel, um den Datenabfluss zu verhindern. Im c't uplink erklärt c't-Redakteur Dušan Živadinović wie Tracking funktioniert, an welcher Stelle welche Daten abgegriffen und wie weiterverwendet werden. Der Heise Medien Hausjustiziar Joerg Heidrich ordnet die Rechtslage und datenschutzpolitische Verpflechtungen ein. Gemeinsam mit Moderator Keywan Tonekaboni diskutieren sie darüber, welche Maßnahmen gegen die Datensammelei helfen und verraten auch, wie sie sich persönlich schützen. Mit dabei: Dušan Živadinović, Joerg Heidrich und Keywan Tonekaboni
„kurz informiert by heise online“ mit Marie Koch: Der Internet-Konzern Google hat nun einer zentralen Forderung europäischer Datenschutzbehörden nachgegeben und vereinfacht seine Cookie-Banner. Neu hinzu kommt ein Button, mit dem man pauschal alle nicht-notwendigen Cookies verweigern kann. Damit wird das Werbetracking abgeschaltet, andere Cookies zur Statistik-Erhebung oder Betrugserkennung werden aber weiterhin gesetzt. Nach Angaben des Konzerns wurde die neue Version bereits in Frankreich veröffentlicht und soll im Laufe Monats auch in anderen europäischen Ländern verfügbar sein. Auch YouTube bekommt den neuen Button. Bisher war es so, dass das Ablehnen von Cookies um Einiges aufwändiger ist, als das Annehmen. Hierfür ist in der Regel bloß ein Klick erforderlich. Die 2015 gegründete Broker Trade Republic Bank GmbH mit Sitz in Berlin hat Partnerschaften mit der US-Großbank Citigroup Inc. und der Deutsche Bank angekündigt. Damit verwahren neben der Solarisbank auch die Citibank und die Deutsche Bank Gelder für Trade Republic. Da sowohl die Citi als auch die Deutsche Bank der EU-Richtlinie über die gesetzlichen Einlagensicherungssysteme unterliegen, soll die Einlagensicherung von 100.000 Euro je Kunde bestehen bleiben [--] sofern keine anderen Einlagen bei der Partnerbank bestünden. Nach einer dreieinhalbjährigen Pause wird mit dem Large Hadron Collider am Kernforschungszentrum CERN nun der weltgrößte Teilchenbeschleuniger wieder hochgefahren. Im dritten Lauf sollen einmal mehr Rekordenergien erreicht werden, um grundlegende Fragen der Teilchenphysik beantworten zu können. Waren zuvor Protonen-Protonen-Kollisionen bei bislang nicht erreichten Energien von 13 Tera-Elektronenvolt durchgeführt worden, ist dies nach vorgenommenen Updates sogar mit 13,6 Tera-Elektronenvolt möglich, teilte das CERN vorab mit. Erste Protonenstrahlen sollen in entgegengesetzter Richtung durch den unterirdischen Ring von 27 Kilometern Länge gejagt werden. Menschen in Katastrophengebieten unter Trümmern aufzufinden, ist für herkömmliche Roboter mit Beinen schwierig. Sie müssen sich dabei auf kleinstem Raum bewegen. Dabei sind Beine eher ein Hindernis. Für Nagetiere, wie Ratten, ist das kein Problem. Sie können sich mit ihren kurzen Beinen und ihrem flexiblen Körperbau durch kleinste Lücken und enge Verwinkelungen zwängen und dabei auch schmale Rohre durchkriechen. Chinesische Forscher des Beijing Institute of Technology haben sich die Natur zum Vorbild genommen und eine Roboter-Ratte entwickelt, die Vermisste auffinden oder zur Inspektion von Rohren eingesetzt werden soll. Diese und weitere aktuelle Nachrichten finden Sie ausführlich auf heise.de.