Podcasts about datenschutzgrundverordnung dsgvo

Der KI-Verordnung der EU soll Künstliche Intelligenz und deren Einsatz umfassend regulieren. Doch wie passt dieses Gesetz zu den bestehenden Datenschutzregeln, insbesondere der Datenschutz-Grundverordnung (DSGVO)? In der aktuellen Folge des c't-Datenschutz-Podcasts diskutieren Holger und Joerg mit Prof. Dr. Rolf Schwartmann, dem Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit (GDD). Schwartmann weist zunächst die unterschiedlichen Ziele beider Regelwerke hin. Während die DSGVO klare Vorgaben für den Umgang mit personenbezogenen Daten macht, ist die KI-Verordnung eine Produktregulierung. Sie definiert, unter welchen Bedingungen Anbieter und Nutzer von KI-Systemen agieren dürfen. Beide Gesetze haben zwar den Schutz von Grundrechten im Blick, verfolgen aber gänzlich unterschiedliche Ansätze. Ein zentrales Problem sieht die Runde im Zusammenspiel der beiden Gesetze bei der generativen KI, also Systemen wie ChatGPT. Diese KI-Modelle sind grundsätzlich nicht zweckgebunden, sondern flexibel einsetzbar, was mit dem Grundsatz der Zweckbindung aus der DSGVO nur schwer vereinbar ist. Es bestehe die Gefahr, dass viele die KI rechtswidrig, aber sanktionslos einsetzen. Schwartmann betont, dass Nutzer generativer KI für Schäden durch falsche Ergebnisse haften könnten. Hinzu kommen Herausforderungen wie die automatisierte Entscheidungsfindung: Die DSGVO verbietet automatisierte Entscheidungen mit erheblichen rechtlichen Folgen oder wesentlichen Beeinträchtigungen, während die KI-Verordnung solche Systeme unter strengen Voraussetzungen durchaus erlaubt. Allerdings knüpft sie dies an umfangreiche Compliance-Pflichten. Die Diskussion offenbart, dass die KI-Verordnung nur wenige datenschutzrechtliche Ausnahmen enthält, beispielsweise bei der Nutzung sensibler Daten zur Korrektur von Verzerrungen in KI-Modellen oder in sogenannten Reallaboren, geschützten Testumgebungen für neue KI-Anwendungen. Heidrich kritisiert, dass der Gesetzgeber hier Chancen verpasst habe, grundlegende datenschutzrechtliche Konflikte bei der Nutzung moderner KI-Systeme zu regeln.

Im Follow-up freuen wir uns darüber, dass wir in Deutschland das Recht haben, auf der Straße zu demonstrieren. Dann beantworten wir eure Fragen: Ist es wirklich so schwer, einen Führerschein in Deutschland zu machen? Können wir gut einparken? Wie reagieren Eltern in Deutschland auf interkulturelle Partnerschaften? Wie kann man schnell alte Accounts löschen? Und ist Janusz der Kern der Beziehung zwischen Cari und Manuel?   Transkript und Vokabelhilfe Werde ein Easy German Mitglied und du bekommst unsere Vokabelhilfe, ein interaktives Transkript und Bonusmaterial zu jeder Episode: easygerman.org/membership   Sponsoren Hier findet ihr unsere Sponsoren und exklusive Angebote: easygerman.org/sponsors   Follow-up: Demonstrationen Überblick Demonstrationen Pro-Demokratie (Demokrateam)   Eure Fragen Tom aus Tschechien fragt: Wie schwierig ist es, einen Führerschein in Deutschland zu machen? Die Nordreportage: Die Hälfte fällt durch (ARD Mediathek) Emin aus Aserbaidschan fragt: Was denken deutsche Eltern über ausländische Partner*innen für ihre Kinder? Sophie fragt: Wie kann man alte Accounts lösen? Rahul aus Indien fragt: Ist Janusz der Kern eurer Beziehung, Cari und Manuel? Hast du eine Frage an uns? Auf easygerman.fm kannst du uns eine Sprachnachricht schicken.   Wichtige Vokabeln in dieser Episode die Brandmauer: Struktur die ein Gebäude vor Feuer zu schützt; in der Technologie: Firewall; in der Politik: "Firewall against the far-right in Germany" sich Gehör verschaffen: Handlung oder Vorgehen, um Aufmerksamkeit zu erlangen demonstrieren: öffentliche Handlung oder Versammlung, um Unterstützung für eine Sache zu zeigen oder gegen etwas zu protestieren die Fahrprüfung: Test, den man bestehen muss, um eine Fahrerlaubnis zu erhalten etwas generalisieren: eine spezielle Information oder Erfahrung auf eine breitere Gruppe oder Situation anwenden die Datenschutz-Grundverordnung (DSGVO): ein Gesetz der Europäischen Union, das den Schutz personenbezogener Daten von EU-Bürgern regelt der Kern: der zentrale oder wichtigste Teil von etwas die parasoziale Beziehung: eine einseitige Beziehung, in der eine Person eine starke emotionale Bindung zu einer Person hat, die sie nicht persönlich kennt, wie zum Beispiel ein Prominenter oder Podcaster   Support Easy German and get interactive transcripts, live vocabulary and bonus content: easygerman.org/membership

Die Macht von Daten wird oft erst dann sichtbar, wenn sie missbraucht wird. In Episode 125 des c't-Datenschutz-Podcasts werfen Holger, Joerg und der Datenschutzbeauftragte Markus Sailer einen Blick zurück auf historische Beispiele, in denen Staaten ihre Datensammlungen zur gezielten Verfolgung von Bevölkerungsgruppen genutzt haben. Ein besonders bekanntes Beispiel ist die Volkszählung von 1939 im nationalsozialistischen Deutschland. Mit Hilfe von Lochkarten und Hollerith-Tabelliermaschinen erfassten die Nazis damals die Religionszugehörigkeit der Bürger. In Ergänzungskarten wurden "Mischlinge" "Volljuden", "Geltungsjuden" und "Glaubensjuden" gemäß der Nürnberger Rassengesetze von 1935 systematisch erfasst. Die Daten bildeten später die Grundlage für die Deportation von Juden in Konzentrationslager. In anderen Staaten wie den Niederlanden fielen solche Datensammlungen den deutschen Besatzern in die Hände und wurden für Verfolgungsmaßnahmen missbraucht. Ein weiteres Beispiel ist die systematische Erfassung von Homosexuellen durch die Gestapo ab 1934. Auf Basis von polizeilichen "Rosa Listen" wurden zehntausende Männer in Karteien erfasst, überwacht und verfolgt. Insgesamt 50.000 Verurteilungen erfolgten nach dem berüchtigten Paragraphen 175, der in der Bundesrepublik erst 1994 endgültig abgeschafft wurde. Die Gesprächspartner sind sich einig: Auch wenn sich die Methoden geändert haben, besteht die Gefahr des Datenmissbrauchs durch staatliche Stellen weiterhin. Rasterfahndung, die wieder in Deutschland diskutierte Vorratsdatenspeicherung oder der "Cloud Act" in den USA sind aktuelle Beispiele für weitreichende Zugriffsbefugnisse. Zwar setzt die europäische Datenschutz-Grundverordnung (DSGVO) hier wichtige Grenzen. Doch die Diskutanten bezweifeln, ob sie ausreicht, um die Demokratie langfristig zu schützen. Ihr Wunsch an die Politik ist daher ein stärkeres Bewusstsein für die Missbrauchsgefahren von Datensammlungen. Statt Datenschutz vor allem als Hindernis zu sehen, sollte er auch als Schutzschild der freiheitlichen Gesellschaft begriffen werden. Denn historische Erfahrungen mahnen zur Wachsamkeit - in Zeiten von Big Data und Künstlicher Intelligenz mehr denn je.

Lange erwartet, nun viel diskutiert: Das Urteil des Bundesgerichtshofs (BGH) zum Schadensersatzanspruch aus Art. 82 der Datenschutz-Grundverordnung (DSGVO) beschäftigt nicht nur Juristen. Der BGH hatte sich mit der Frage beschäftigt, ob schon der bloße Kontrollverlust über eigene Daten einen immateriellen Schaden begründen kann. Anlass war ein Datenleak bei Facebook im Jahr 2019, bei dem Kriminelle über eine zu weit offene Schnittstelle an Nutzerdaten wie Namen, Telefonnummern und Adressen von über 500 Millionen Nutzern gelangten, darunter mutmaßlich sechs Millionen Deutsche. Der BGH hatte sich ein Berufungsurteil des Oberlandesgerichts Köln herausgepickt und die Revision zum sogenannten Leitentscheidungsverfahren erklärt. Diese Möglichkeit hat das oberste deutsche Gericht, seit am 31. Oktober das Leitentscheidungsgesetz in Kraft getreten ist: In Fällen, die grundlegende Rechtsfragen betreffen, soll eine Leitentscheidung des BGH als Richtschnur für niedere Instanzen in ähnlichen Fällen dienen. In seinem Urteil (Az. VI ZR 10/24) hat der BGH am 18. November die Hürden für immaterielle Schadensersatzansprüche nach Art. 82 DSGVO sehr niedrig gesetzt. Entgegen der Auffassung von Meta könne "auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein". Demnach müssen Betroffene nicht nachweisen, dass ihre Daten missbräuchlich verwendet worden seien. Auch Belege für Angst und Sorge vor einem Missbrauch sind dem Urteil zufolge nicht erforderlich. Besonders spannend: Nicht nur mündlich während der Urteilsverkündung, sondern auch in seiner schriftlichen Urteilbegründung gab der BGH den Instanzgerichten konkrete Hinweise zur Höhe der finanziellen Entschädigung für den erlittenen "Kontrollverlust". Für den konkreten Fall, bei dem keine Schäden nachgewiesen wurden, schlug er eine "Größenordnung von 100 Euro" vor. Falls der ein Fall gravierender ist, kann der Betrag laut BGH allerdings auch wesentlich höher sein. Im c't-Datenschutz-Podcast erläutert Dr. Lea Stegemann, Rechtsanwältin und Expertin für Schadensersatzansprüche aus DSGVO-Verstößen heraus, die Hintergründe und Auswirkungen des BGH-Urteils. Lea sieht in dem Urteil einerseits einen wichtigen Schritt für den Persönlichkeitsschutz der Betroffenen. Andererseits warnt sie vor Risiken für Unternehmen, wenn nun zusätzlich zu möglichen DSGVO-Bußgeldern noch Schadensersatzforderungen in Millionenhöhe kommen. Unklar bleibt fürs Erste, wie sich das Urteil auf die Praxis der Legal-Tech-Kanzleien auswirkt, die Betroffene zu Massenklagen animieren. Der Verbraucherzentrale Bundesverband (vzbv) hat jüngst eine Musterfeststellungsklage gegen den Facebook-Mutterkonzern Meta beim Hanseatischen Oberlandesgericht Hamburg eingereicht, der sich jeder Betroffene bald kostenlos anschließen kann. Lea sieht darin Chance, Ansprüche gesammelt anzumelden, ohne in dem einzelnen Fall ein Gerichtsverfahren und eine Beweisaufnahme durchführen zu müssen. Sie plädiert ohnehin für eine Pauschalierung und Bündelung von massenhaft vorhandenen, ähnlich gelagerten Schadensersatzansprüchen, um die Justiz zu entlasten. Der Gesetzgeber könne dafür die Rahmenbedingungen schaffen.

Neben verschiedenen aktuellen höchstrichterlichen Entscheidungen zu der Auslegung von Art. 6 Abs. 1 lit f der Datenschutz-Grundverordnung (DSGVO) und einigen spärlichen konkreten Aussagen zur Anwendbarkeit und Auslegung der Rechtsgrundlage durch die deutschen Aufsichtsbehörden (bspw. zur Anwendbarkeit der Rechtsgrundlage im Falle der Direktwerbung) veröffentlichte nun der Europäische Datenschutzausschuss (EDSA) am 9. Oktober 2024 seine neue Leitlinie […]

Die wirtschaftliche Lage in Deutschland und Europa setzt die Politik unter Druck, aber auch den Datenschutz. Das wurde zuletzt beim Digitalgipfel der Bundesregierung in Frankfurt deutlich. Bundeswirtschaftsminister Robert Habeck stellte dort die föderale Struktur der Datenschutzaufsicht in Frage. 16 Landesdatenschutzbehörden plus zwei in Bayern seien "ein bisschen viele". Er schlug vor, den Behörden thematische statt regionale Zuständigkeiten zuzuweisen. In der aktuelle Episode des c't-Datenschutz-Podcasts erörtert Holger zusammen mit dem freien Journalisten Falk Steiner die digitalpolitische Großwetterlage in Deutschland und Europa. Falk schildert die Stimmung auf dem Digitalgipfel. Ein Tenor war demzufolge, dass Deutschland als Wirtschafts- und KI-Standort hinterherhinkt. Datenschutz werde zunehmend als Bremsklotz der Digitalisierung dargestellt. Auch auf EU-Ebene deutet sich nach Falks Meinung ein Kurswechsel an. Die designierte neue EU-Kommission unter Ursula von der Leyen werde stark auf Wirtschaftswachstum und Bürokratieabbau setzen. Datenschütz dürfte mehr in den Hintergrund treten. Die für Digitales zuständige künftige Exekutiv-Vizepräsidentin Henna Virkkunen soll ein EU-Cloud- und KI-Entwicklungsgesetz vorantreiben. Eine Reform der Datenschutz-Grundverordnung (DSGVO) steht dagegen nicht auf ihrer Agenda. Die neue EU-Kommission werde insgesamt konservativer ausgerichtet sein als die bisherige. Prägende Figuren der Digitalpolitik wie Margrethe Vestager und Thierry Breton schieden aus. Zudem haben sich die Mehrheitsverhältnisse im EU-Parlament nach rechts verschoben. Das könnte Falk zufolge neue Regulierungen erschweren, aber auch bürgerrechtskritische Vorhaben wie die Vorratsdatenspeicherung bremsen, die der designierte Innenkommissar Magnus Brunner wieder aufgreifen soll.

Im neuen Podcast werfen Niko Härting und Stefan Brink in Querbeet (ab Minute 01:25) einen Blick auf die Cookie-Verordnung der Bundesregierung vom 4.9.24: Die „VO über Dienste der Einwilligungsverwaltung“ will das Banner-Unwesen beseitigen und durch die Speicherung der Präferenzen des Betroffenen hinsichtlich Cookies das lästige wiederholte Wegklicken des Banners beenden. Ob das eine gute Idee ist oder eine europäische Lösung vorzugswürdig gewesen wäre, wird erörtert. Sodann gilt ein kurzer Blick (ab Minute 11:20) der Neugierde deutscher Behörden: Kein EU-Land fragt mehr Nutzerdaten bei Anbietern wie Apple, Meta, Google und Microsoft ab als Deutschland, hinter den USA sind unsere offenbar durchaus digitalaffinen Strafverfolger, aber auch Finanz- und Verwaltungsbehörden sogar Vizeweltmeister (pro Kopf der Bevölkerung). Ein interessanter Bericht von https://www.heise.de/news/Ueberwachung-Deutschland-fragt-europaweit-die-meisten-Nutzerdaten-ab-9860933.html Einen kurzen Blick (ab Minute 14:44) lohnt auch der Bericht zur Wettbewerbsfähigkeit der EU (https://commission.europa.eu/topics/strengthening-european-competitiveness/eu-competitiveness-looking-ahead_en). Ex EZB Präsident Mario Draghi legte im Auftrag der Kommissionspräsidentin von der Leyen einen Bericht vor, der sich auch mit der Datenschutz-Grundverordnung (DSGVO) und dem AI Act befasst. Interessant: Die EU soll prüfen, ob kleine Unternehmen von ihren Digitalregulierungen ausgenommen werden können. Schließlich schauen Stefan und Niko (ab Minute 18:54) auf die Schlussanträge des Generalanwalts beim EuGH in der Sache C-394/23: Die französische CNIL lehnte es ab, die Abfrage nach der Anrede („Herr“ oder „Frau“) beim Erwerb von Bahnfahrkarten über die SNCF App als Datenschutzverstoß zu verfolgen. Auf Vorlage des Conseil d'Etat entscheidet nun der EuGH darüber. Im Mittelpunkt steht dann (ab Minute 26:28) eine Entscheidung des Verwaltungsgerichts Schleswig-Holstein (8 A 159/20 vom 7.8.2024): Die Aufsichtsbehörde verlangte vom Kläger, der Filme von Autofahrten erstellt und diese auf der Website youtube.com veröffentlicht (und das für Kunst hält) die Verpixelung von Fußgängern und Kfz-Kennzeichen, soweit sie „im Vordergrund“ stehen. Das VG fand den Bescheid weitgehend ok, die Verpixelung sei geboten und zumutbar, und stelle nur einen geringen Eingriff in Kunstfreiheit dar. Interessant auch die Verortung der Informationspflichten in Art. 13 Abs. 1 lit. d DS-GVO (und nicht in Art. 14), essentielle Informationen (Verantwortlicher, Kontaktdaten, Zweck) müssten ohne Medienbruch am Kfz erfolgen. Filmen im Freien also nur gemäß DS-GVO – and cut!

In dieser Episode des JusProfi-Podcasts begrüßen wir den renommierten Juristen Prof. Dr. Martin Selmayr. Ursprünglich aus Deutschland stammend, hat Prof. Selmayr seine beeindruckende Karriere in der Europäischen Union gemacht, wobei er stets der akademischen Welt verbunden blieb. Derzeit ist er am Institut für Innovation und Digitalisierung im Recht tätig.Prof. Dr. Selmayr erzählt von seinen Anfängen im Jurastudium, das er zunächst nicht besonders spannend fand. Erst ein Erasmus-Jahr am King's College in London öffnete ihm die Augen für die Bedeutung des Rechts. Hier lernte er die "Greenlight"- und "Redlight"-Theorie des Rechts kennen, die ihm half, die Rolle des Rechts im politischen und gesellschaftlichen Kontext zu verstehen.Ein zentraler Punkt des Gesprächs ist die Arbeit von Prof. Selmayr in der Europäischen Kommission, wo er an wichtigen Projekten wie der Abschaffung der EU-Roaming-Gebühren und der Entwicklung der Datenschutz-Grundverordnung (DSGVO) beteiligt war. Er betont die Bedeutung fairer Wettbewerbsbedingungen und bespricht unter anderem mit uns, wie die DSGVO zu einem internationalen Exportschlager wurde.Das Gespräch bietet zudem Einblicke in die Herausforderungen und Erfolge der europäischen Gesetzgebung, die interkulturelle Zusammenarbeit innerhalb der EU und die Bedeutung von Rechtsklarheit und -sicherheit in der digitalen Wirtschaft. Prof. Selmayr teilt seine Erfahrungen als Pressesprecher und betont die Notwendigkeit einer effektiven Kommunikation in der politischen Arbeit.Abschließend gibt Prof. Dr. Selmayr wertvolle Ratschläge für die nächste Generation von Juristen und betont die Wichtigkeit, Freude an der eigenen Arbeit zu finden und seinen eigenen Karriereweg zu gehen.Themenschwerpunkte:Karriere von Prof. Dr. Martin SelmayrBedeutung des Jurastudiums und interkulturelle ErfahrungenEU-Roaming-Gebühren und Datenschutz-GrundverordnungHerausforderungen und Erfolge der EU-GesetzgebungTipps für die nächste Generation von JuristenViel Vergnügen bei diesem JusProfi Interview.#Recht #Karriere #EU #Interview #Datenschutz #EuropäischeUnion #Jura #JusProfi ##Podcast #Jus #MartinSelmayr #Selmayr #Innovation #Digitalisierung #Datenschutzgrundverordnung #EURecht #Rechtswissenschaften #Jurist #Karriereweg #Wien #Völkerverständigung #Datensicherheit #Rechtsstaatlichkeit #Europarecht #DigitalesRecht #NachhaltigkeitsrechtDISCLAIMER:Bitte beachtet: Dieser Podcast dient ausschließlich Infotainment-Zwecken und stellt keine anwaltliche Beratung dar. Ich bin kein Anwalt und die Informationen und Meinungen, die in diesem Podcast geäußert werden, sind kein Ersatz für professionelle rechtliche Beratung und sollen es auch nicht sein. Bitte wendet euch immer an einen qualifizierten Anwalt, wenn ihr rechtliche Fragen habt.Übrigens, dieses Equipment verwende ich für die Videos und Podcasts:Kamera: https://amzn.to/3iq4McjMikrofon: https://amzn.to/3XcbFgoStativ: https://amzn.to/3ZnHwwjSchnitt: https://amzn.to/3QvnnQI(Disclaimer: Es handelt sich um Affiliate Links)--Besucht uns auf:https://www.jusprofi.athttps://www.facebook.com/jusprofi.athttps://www#ZUKUNFTSWIRKSAM der IT-Modernisierungs-TalkEntdecken Sie unsere Talk-Serie rund um IT-ModernisierungSupport the Show.

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

ChatGPT, Midjourney und Co. stellen die Datenschützer vor völlig neue Herausforderungen. Womit darf man generative KI trainieren? was sollte man beim Nutzen der Blackbox-Modelle beachten, um die Preisgabe personenbezogner Daten zu vermeiden, oder zumindest zu minimieren? Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an die Betreiber? Der Datenschutz muss sehr aufpassen, um nicht wieder als Bremser des Fortschritts dazustehen, meint Joerg. Zusammen mit Holger diskutiert er in der Podcast-Episode die möglichen Rechtsgrundlagen und schätzt die momentane Lage ein. Den beiden kompetent zur Seite steht Dr. Michael Koch. Michael ist Mitarbeiter von Joerg in der Rechtsabteilung des Verlags und vertiefte diese Themen zusammen mit ihm viele Male in Webinaren des Verlags. Außerdem ist er Datenschutzmentor für Start-Ups in Hannover und Referent und Fachautor zu den Themengebieten IT-Recht und Datenschutz. Die drei erörtern, wo beim Einsatz von generativer KI welche personenbezogenen Daten verarbeitet werden können - und wo Probleme entstehen. Ein Disput entsteht in der Diskussion, als es um das "Scraping" öffentlich zugänglicher Daten im Web zu Trainingszwecken geht, wie es beispielsweise OpenAI betreibt: Muss man damit rechnen, dass alle veröffentlichten Informationen potenziell als Trainingsmaterial für Sprach-KIs oder Bildgeneratoren fungieren? Michael erläutert, wie eine betriebliche Nutzung von Chatbots mit einer Richtlinie geregelt werden könnte, etwa mit Compliance-Vorschriften und gemeinsam genutzten Funktions-Accounts. Ausführlicher besprechen die Drei außerdem die "Checkliste zum Einsatz LLM-basierter Chatbots", die der Hamburgische Landesdatenschutzbeauftragte öffentlich bereitgestellt hat. Wer sich daran halte, habe schon sehr viel dafür getan, um auf der rechtssicheren Seite zu sein, ist sich Joerg sicher.

Erweitere dein Wissen über digitale Sicherheit mit Cybersecurity ist Chefsache. Im Gespräch mit Alexander Karls von der Pegasus GmbH reden wir über den IT-Grundschutz und beleuchten, welche Herausforderungen und Risiken digitalisierte Unternehmensstrukturen mit sich bringen. Alexander Karls teilt seine umfassenden Kenntnisse und erklärt, warum ein fundierter IT-Grundschutz nicht nur wünschenswert, sondern essenziell für jedes moderne Unternehmen ist. Des Weiteren sprechen wir über die Einführung der Datenschutz-Grundverordnung (DSGVO), die in der Geschäftswelt für Unsicherheit gesorgt hat und werfen die Frage auf, ob sie tatsächlich Innovationen bremst.

Erweitere dein Wissen über digitale Sicherheit mit Cybersecurity ist Chefsache. Im Gespräch mit Alexander Karls von der Pegasus GmbH reden wir über den IT-Grundschutz und beleuchten, welche Herausforderungen und Risiken digitalisierte Unternehmensstrukturen mit sich bringen. Alexander Karls teilt seine umfassenden Kenntnisse und erklärt, warum ein fundierter IT-Grundschutz nicht nur wünschenswert, sondern essenziell für jedes moderne Unternehmen ist. Des Weiteren sprechen wir über die Einführung der Datenschutz-Grundverordnung (DSGVO), die in der Geschäftswelt für Unsicherheit gesorgt hat und werfen die Frage auf, ob sie tatsächlich Innovationen bremst.

Erweitere dein Wissen über digitale Sicherheit mit Cybersecurity ist Chefsache. Im Gespräch mit Alexander Karls von der Pegasus GmbH reden wir über den IT-Grundschutz und beleuchten, welche Herausforderungen und Risiken digitalisierte Unternehmensstrukturen mit sich bringen. Alexander Karls teilt seine umfassenden Kenntnisse und erklärt, warum ein fundierter IT-Grundschutz nicht nur wünschenswert, sondern essenziell für jedes moderne Unternehmen ist. Des Weiteren sprechen wir über die Einführung der Datenschutz-Grundverordnung (DSGVO), die in der Geschäftswelt für Unsicherheit gesorgt hat und werfen die Frage auf, ob sie tatsächlich Innovationen bremst.

Es gibt bereits viele Diskussion über den Umgang mit persönlichen Daten und den Schutz der Privatsphäre bei der Verwendung von ChatGPT und anderen KI. Datenschutz und Sicherheit sind von zentraler Bedeutung, wenn es um den Einsatz von ChatGPT und ähnlichen KI-Technologien geht. Hier betrachten wir die Herausforderungen und Überlegungen im Umgang mit persönlichen Daten und den Schutz der Privatsphäre: ChatGPT erfordert den Zugang zu umfangreichen Datenbanken und Wissensquellen, um relevante Informationen bereitzustellen. Dies bedeutet, dass Nutzerdaten und -interaktionen in der Regel erfasst und gespeichert werden. Unternehmen und Entwickler:innen müssen transparent sein und klare Richtlinien zur Datenerfassung und -speicherung entwickeln. Es ist wichtig sicherzustellen, dass persönliche Informationen und Gespräche vertraulich behandelt werden. In einigen Fällen kann ChatGPT im Gesundheitswesen oder in der Rechtsberatung sensible Informationen behandeln, die streng vertraulich sind. Diese gilt es zu schützen. Die gesammelten Daten können missbraucht werden, wenn sie in die falschen Hände geraten. Dazu gehören Identitätsdiebstahl, Betrug und unerwünschte Werbung. Es ist daher entscheidend, geeignete Sicherheitsmaßnahmen zu ergreifen, um Datenverlust und -missbrauch zu verhindern. ChatGPT kann unbeabsichtigt Vorurteile und Diskriminierung reproduzieren, wenn die Trainingsdaten entsprechende Verzerrungen aufweisen. Dies ist ein ernsthaftes ethisches Problem, das angegangen werden muss, um sicherzustellen, dass die Technologie fair und inklusiv ist. Eine Möglichkeit, Datenschutz und Sicherheit zu gewährleisten, besteht darin, die Daten zu anonymisieren, um persönliche Identifizierung zu verhindern. Dies erfordert jedoch strenge Protokolle und Technologien, um sicherzustellen, dass selbst anonymisierte Daten nicht rückverfolgt werden können. Die Einhaltung der Datenschutzregulierungen wie der Europäischen Datenschutz-Grundverordnung (DSGVO) ist für Organisationen von entscheidender Bedeutung. Diese Gesetze legen strenge Anforderungen an die Verarbeitung personenbezogener Daten fest und erfordern die Zustimmung der Nutzer. Unternehmen und Entwickler:innen müssen transparente Datenschutzrichtlinien erstellen und sicherstellen, dass Nutzende verstehen, wie ihre Daten verwendet werden. Es ist wichtig, klare Informationen über die Datensammlung, -speicherung und -nutzung bereitzustellen. Die Integration von Datenschutz- und Sicherheitsaspekten sollte in die Entwicklung von ChatGPT-Systemen von Anfang an einfließen. Dies bedeutet, von Grund auf sichere und datenschutzfreundliche Lösungen zu entwickeln. Die Technologie zur Sicherung von Daten und zur Gewährleistung der Privatsphäre entwickelt sich ständig weiter. Organisationen sollten in die Forschung und Entwicklung von Datenschutztechnologien investieren, um den Schutz der Privatsphäre zu verstärken. In der Welt von ChatGPT ist Datenschutz und Sicherheit ein kontinuierlicher Prozess und erfordert eine gemeinsame Anstrengung von Entwickler:innen, Unternehmen und Datenschutzexpert:innen. Es ist möglich, die Vorteile von ChatGPT zu nutzen, ohne die Privatsphäre und Sicherheit der Nutzer zu gefährden, solange klare Regeln, Richtlinien und Technologien entwickelt und eingehalten werden. Datenschutz und Sicherheit sollten bei der Nutzung von ChatGPT immer an erster Stelle stehen, um das Vertrauen der Nutzenden zu wahren und deren persönliche Informationen zu schützen. Britta Linde, Tutorin der Deutschen Akademie für Management Hier finden Sie alle Podcasts der Reihe GChatGPT

Die Entwicklung in Technik und Recht, im Bereich der Cyberbedrohungen und Datenrisiken ist so dynamisch und schnell, dass es für Datenschutzbeauftragte nicht leicht ist, sich auf dem Laufenden zu halten. Doch die Datenschutz-Grundverordnung (DSGVO) verlangt genau das. Im Interview erklärt Dr. Eugen Ehmann, wie Datenschutzbeauftragte die Übersicht behalten können und wie zum Beispiel Konferenzbesuche dabei helfen können.

Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.

Die neue Datenschutz-Vertretung von Google in der Schweiz nimmt Andreas zum Anlass, Martin mit Fragen zur Datenschutz-Vertretung gemäss schweizerischem Datenschutzgesetz (DSG) und europäischer Datenschutz-Grundverordnung (DSGVO) zu löchern.

Im Mai 2023 wurde die Datenschutzgrundverordnung (DSGVO) fünf Jahre alt. Viele sehen die DSGVO als eine Erfolgsgeschichte, da sie unter anderem das Bewusstsein für Sicherheit und Datenschutz geschärft hat. Doch wie geht es weiter? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Karsten Bartels, Rechtsanwalt und Partner bei der Kanzlei HK2 sowie stellvertretender Vorstandvorsitzender im Bundesverband IT-Sicherheit e.V. (TeleTrust).

Na klar, jeder weiß es: Wer kostenlose Plattformen wie Facebook nutzt, bezahlt zwar kein Geld, dafür willigt er oft stillschweigend ein, dass seinen dort hinterlassenen Daten analysiert und genutzt werden. Der Deal lautet: Plattformzugang gegen das Ausspielen personalisierter Werbung. Er findet sich allerorten, beispielsweise auch auf den kostenfreien Angeboten deutscher Verlagshäuser. Was viele nicht wissen: Das Gegenschäft "Leistung gegen Daten" existiert keineswegs nur informell, sondern findet seit Beginn 2022 auch Niederschlag im Bürgerlichen Gesetzbuch (BGB, § 312 Abs. 1a und § 327 Abs. 3). De facto gelten seitdem im digitalen Bereich beim Bezahlen mit Daten dieselben Regeln wie bei Geldzahlungen. Und das hat Folgen, denn Verbraucher haben nun dieselben Rechte. Und Unternehmen treffen dieselben Informations- und Gewährleistungspflichten wie beim Deal "Leistung/Ware gegen Geld". Doch wann genau kommt ein solcher Vertrag zustande? Und wo beißt sich das neue deutsche Recht mit der Prinzipien der Datenschutz-Grundverordnung (DSGVO), etwa der Zweckbindung und dem Kopplungsverbot? Um diese und viele weitere Fragen geht es in Episode 90 des c't-Datenschutz-Podcasts. Holger und Joerg sprechen dazu mit Prof. Dr. Anna K. Bernzen. Die promovierte Juristin verfasst derzeit als Akademische Rätin an der Rheinischen-Friedrich-Wilhelms-Universität Bonn ihre Habilitationsschrift zum Verbraucherschutz in der Plattformökonomie. Seit Oktober 2022 ist sie außerdem Juniorprofessorin für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Im Podcast erläutert Anna die Grundlagen des neuen digitalen Vertragsrechts im BGB, weist auf Konfliktpotenzial hin und gibt Tipps für die Praxis.

Verena Krawarik, Leiterin der Stabsstelle Innovation und des APA-medialab, im Interview zur besonderen Verantwortung der Austria Presse Agentur (APA) beim eigenen Einsatz von Künstlicher Intelligenz (KI). Seit April 2022 hat die APA eine Richtlinie für den ethischen Einsatz von KI eingeführt. Dadurch werden bereits freiwillig digitalhumanistische Prinzipien des kommenden AI Acts der Europäischen Union angewendet: Achtung der menschlichen Autonomie Schadensverhütung Fairness Erklärbarkeit  Als Medienunternehmen trägt die APA eine besondere Verantwortung und sieht es als ethische Pflicht an, dass ihre KI-Systeme im Bereich Produkte und Services im Einklang mit den Grundrechten stehen.Ein weiterer Grund, sich bereits heute mit den Prinzipien des AI Acts zu beschäftigen und vorbereitet zu sein, sind die Erfahrungen, die das Unternehmen mit der Umstellung im Zuge der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 gemacht hat. Alle Organisationen sollten bereits jetzt die eigenen (neuen) Digitalsysteme an die Anforderungen des AI Acts ausrichten, um bei Inkrafttreten der Verordnung (geplant im Jahr 2025) keine Probleme zu haben. Weiters sollten alle Unternehmen ihre Mitarbeiter:innen schulen, um Chancen und Risiken des KI-Einsatzes betriebswirtschaftlich aussteuern zu können. Aber was bedeuten menschliche Aufsicht oder Human-in-the Loop wirklich? Verena Krawarik erklärt aus der Praxis: "Wenn menschliche Aufsicht über die KI gefordert wird, bedeutet dies nicht nur, dass die Maschine die Arbeit erledigt und ein Mensch diese dann freigibt. Die Automatisierung durch KI erfordert vielmehr ein tiefes Verständnis und Einblick in die Algorithmen sowie kontinuierliche Tests vor und während des Betriebs der KI."   LEITLINIE ZUM UMGANG MIT KÜNSTLICHER INTELLIGENZ: https://apa.at/wp-content/uploads/2022/05/APA_KI_Leitlinie_BASIC_ES.pdf   Genanntes KI-Produkt: Text-Converter: https://apa.at/produkt/pr-desk-otc-original-text-converter/

Im Rahmen ihrer Datenstrategie vollzog die EU-Kommission ab 2020 eine Kehrtwende in der rechtlichen Behandlung von personenbezogenen Daten: Während die geltende Datenschutz-Grundverordnung (DSGVO) einen sehr restriktiven Ansatz verfolgt, stellen alle derzeit in diesem Bereich geplanten Verordnungen die Wertschöpfung und die Förderung der Datenwirtschaft in den Vordergrund. Weil die DSGVO dennoch nicht angetastet werden soll, sind Widersprüche vorprogrammiert. Holger und Joerg exerzieren diese Ungereimtheiten anhand des Data Acts, also des auf deutsch so bezeichneten "Datengesetzes", einmal durch. Dazu haben sie eine absolute Expertin eingeladen: Stephanie Richter beschäftigt sich als Rechtsanwältin und Associate in der Kanzlei TaylorWessing seit längerem mit der Genese des Data Acts, und hat dabei auch die Konflikte des Entwurfs mit den bestehenden DSGVO-Regelungen seziert. Den ersten Entwurf zum Data Act hat die EU-Kommission im Februar 2022 vorgelegt. Mittlerweile haben sich Rat und EU-Parlament auf Positionen zu dem Vorschlag festgelegt, und das Gesetzeswerk durchläuft die Kompromissfindung im Trilogverfahren. Eventuell wird dieser Kompromiss noch in diesem Monat stehen, sodass der Data Act bald verabschiedet werden könnte. Vermutlich bleiben dann Unternehmen gerade einmal 12 Monate, um alle Forderungen technisch und organisatorisch umzusetzen. Und die haben es in sich: Der Data Act soll dafür sorgen, dass Daten, die von Geräten gesammelt werden, nicht in Silos (Clouds) der Hersteller verbleiben, sondern auf Wunsch der Dateninhaber über Vermittlungsdienste gehandelt werden können. Dabei kann es um Fahrzeuge genau wie um IoT-Geräte oder Sprachassistenten gehen. Betroffen sind Verbraucher als Nutzende genauso wie Unternehmen. Es geht um "Accessability by Design", also um Interoperabilität und Schnittstellen. Stephanie weist darauf hin, dass Datenpools meist aus einem unsortierten Bestand von personenbezogenen und anonymen Daten bestehen, sogenannten "Mischdaten". Die mit dem Data Act einhergehende Pflicht für Hersteller, diese Daten zugänglich zu machen, kollidiere mit dem Gebot zur Datenminimierung in der DSGVO. Würden Mischbestände weit ausgelegt, drohe eine Schwächung des Datenschutzes. Umgekehrt könnten Unternehmen den Datensschutz vor sich hertragen, um den Forderungen des Data Acts zu entgehen. Die Rechtsanwältin schildert im Podcast weitere Kollisionen und weist außerdem auf die Problematik hin, dass Daten auch Geschäftsgeheimnisse enthalten. Im Fazit prognostiziert sie neue Rechtsunsicherheiten sowohl für Verbraucher als auch für Unternehmen. Es bedürfte wohl jahrelanger Gerichtsverfahren und einiger EuGH-Entscheidungen, bis klar sei, ob der Data Act die von der EU-Kommission gesteckten hohen Ziele erreichen könne.

Der Begriff Stand der Technik geistert seit der Datenschutzgrundverordnung (DSGVO) durch die IT-Landschaft. Auch mit der neuen Gesetzgebung im Rahmen der NIS2-Richtlinie kommt der Begriff wieder in den Fokus. Bereits in einer vorherigen Folge haben wir den Stand der Technik aus juristischer Sicht beleuchtet. In der heutigen Folge wollen wir aber einen Schritt weitergehen und über konkrete Maßnahmen sprechen, um einen Stand der Technik in der IT-Sicherheit einzuhalten. Christian Lueg spricht hierzu mit Michael Schröder, Manager of Security Business Strategy DACH bei ESET.

Max Schrems sagt von sich, er sei so eine Art "Datenschutz-Micky-Maus": Seit Jahren gibt er dem Kampf für den Schutz privater Daten im Netz ein Gesicht und legt sich dafür immer wieder mit Konzernen und Institutionen an. Nun ist der Jurist und Aktivist in der neuen Folge des Wirtschaftspodcasts "Ist das eine Blase?" zu Gast und spricht darüber, was ihn antreibt, wer ihn und seine Organisation None of Your Business unterstützt und wie er mit Kritik umgeht. Anlass für das Gespräch ist die Rekordstrafe, die die irische Datenschutzbehörde ziemlich genau fünf Jahre nach Inkrafttreten der Datenschutzgrundverordnung gegen Meta verhängt hat und die auf eine Beschwerde Schrems' zurückgeht. 1,2 Milliarden Euro muss der Facebook-Mutterkonzern zahlen, weil er Daten seiner europäischen Nutzer in die USA transferiert hat; außerdem hat die Behörde dem Konzern fünf Monate Zeit gegeben, die Praxis zu beenden. Meta hält die Entscheidung für ungerechtfertigt und will sie anfechten. Im Podcast erneuert Schrems seine Kritik: Seit der Einführung der Datenschutzgrundverordnung (DSGVO) ignoriere Facebook sie "kunstvoll", die Plattform habe außerdem eine "sehr, sehr, sehr aggressive Art", auf Beschwerden zu reagieren. Die DSGVO sei zwar "im Prinzip nicht schlecht", sagt der Aktivist, "aber wir haben ein riesiges Durchsetzungsproblem". Zudem versuchten die Techkonzerne immer wieder, die Verantwortung für Datenschutzprobleme umzukehren und den Menschen zuzuschieben. Das sei "extrem zynisch", findet Schrems. "Wenn ich in einen Supermarkt gehe und nachher Brechdurchfall kriege, war das auch nicht meine Schuld, in den Supermarkt zu gehen und keine Abstriche des Apfels zu nehmen, sondern man geht davon aus, dass in der Produktion irgendwas danebengegangen ist und wird die Schuldigkeit dort suchen." Schrems hat mit seinen Beschwerden und Klagen schon zwei Abkommen zu Fall gebracht, die den Datenaustausch zwischen Europa und den USA regelten. Im Podcast kündigt er an, auch gegen das Nachfolgeabkommen vorgehen zu wollen, auf das sich die EU und die USA im Grundsatz bereits verständigt haben und das bald in Kraft treten könnte. "Das neue Abkommen wird ziemlich sicher beim Europäischen Gerichtshof landen", sagt Schrems. "Wir werden auch probieren, es möglichst schnell dorthin zu bekommen, einfach auch um Rechtssicherheit zu bekommen." In der 42. Folge des Wirtschaftspodcasts ist außerdem Meike Laaff zu Gast, Redakteurin im Digitalressort von ZEIT ONLINE. Im Gespräch mit den Hosts Ann-Kathrin Nezik und Jens Tönnesmann erläutert sie die Basics, was die DSGVO eigentlich ist und wie die Verordnung funktioniert.

Viel ist bereits geschrieben und gesagt worden zum fünfjährigen Geburtstag der Datenschutz-Grundverordnung (DSGVO). Dieser Geburtstag ging natürlich auch am c't-Datenschutz-Podcast nicht spurlos vorüber, in dem sich Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Episoden mit den praktischen Folgen der Verordnung erklärend auseinandersetzen. Es wurde Zeit für ein Resümee, ein kleines Zwischenfazit. Zum Auftakt der Privacy-Ring-Konferenz in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde um ihre Expertise zur Entwicklung der DSGVO: Die Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät Unternehmen bereits seit 2002 im IT- und Datenschutzrecht und ist vielfältig in diesen Bereichen aktiv. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die satzungsgemäß als "unabhängige Informations- und Diskussionsplattform" fungiert. Nachdem die muntere Runde sich zunächst mit dem "Bußgeld der Woche" - diesmal der 1,2-Milliarden-Strafe für Facebook - beschäftigte, kam sie auf die Befürchtungen zu sprechen, die 2018 mit der DSGVO einhergingen. Während Massenabmahnungen ausgeblieben waren, hatte der "One size fits all"-Ansatz zu viel Unsicherheit geführt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich darüber verärgert, dass Aufsichtsbehörden zum Start der DSGVO "kaum Hilfestellung oder Handreichnungen" parat hatten und damit zur Unsicherheit beigetragen hätten. Und wenn es mal Handreicungen gebe, enthielten sie eher Verbote als Anleitungen zum rechtmäßigen Vorgehen. Die Runde war sich allerdings auch einig, dass die DSGVO dem Datenschutz ziemlich schnell zu mehr Aufmerksamkeit verhalf: "Es gab hier auch schon ein Datenschutzgesetz, das ähnlich der DSGVO war, nur eben keine ernstzunehmende Sanktionierung. Vieles war vorher auch schon verboten, es hat sich nur niemand dafür interessiert", konstatierte Auer-Reinsdorff. Die gesteigerte "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutz-Niveau geführt, da zeigten sich die Gesprächspartner einig. Dies könne man als positiven Effekt der DSGVO verbuchen. Konsens herrschte auch dazu, dass unter den Aufsichtsbehörden zu wenig Konsens herrscht. Frederick Richter hält dies zumindest auf internationaler Ebene für unausweichlich: "Die unterschiedlichen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben eine jeweils andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch ibnnerhalb deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter meinte: "Hohe Bußgelder helfen aber in der Breite nicht, abschreckend wäre, wenn es sehr viele kleine Bußgelder gäbe, dafür aber fehlt die Kapazität."

Die europäische Datenschutz-Grundverordnung (DSGVO) muss seit dem 25. Mai 2018 umgesetzt werden. Andreas Von Gunten und Martin Steiger diskutieren, ob 5 Jahre DSGVO ein Grund zum Feiern sind. In der Episode zu Wort kommen auch Prof. Thomas Hoeren und Max Schrems.

Mit der europäischen Datenschutzgrundverordnung (DSGVO) sollen personenbezogene Daten von Menschen in der EU besser geschützt werden – vor allem vor großen Tech-Unternehmen. Nach fünf Jahren fällt die Bewertung der DSGVO unterschiedlich aus.Steiner, Falkwww.deutschlandfunk.de, HintergrundDirekter Link zur Audiodatei

Am Wochenende haben der Chef der Wagner-Gruppe, Jewgeni Prigoschin, und das russische Verteidigungsministerium die Einnahme der schwer umkämpften Stadt Bachmut verkündet. Die Ukraine dementiert dies und kämpft am Rande der Stadt weiter. Maxim Kireev, Redakteur für internationale Politik bei ZEIT ONLINE, erklärt, wieso die Einnahme Bachmuts, die von Russland als Erfolg gefeiert wird, den Angreifern im Krieg kaum einen Vorteil verschafft. Der hessische Grünenpolitiker Philipp Nimmermann wird neuer Energie-Staatssekretär im Bundeswirtschaftsministerium von Robert Habeck (Grüne) und damit Nachfolger von Patrick Graichen. Graichen wurde aufgrund von Vetternwirtschaft am vergangenen Mittwoch in den einstweiligen Ruhestand versetzt. Der Facebook-Konzern Meta hat nach Einschätzung der irischen Datenschutzbehörde DPC gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen und muss deshalb eine Rekordstrafe von 1,2 Milliarden Euro zahlen. Hintergrund ist der seit Jahren laufende Streit um die Übertragung von personenbezogenen Daten europäischer Facebook-User in die USA. Was noch? In der südostasiatischen Mekong-Region wurden Hunderte neue Tier- und Pflanzenarten entdeckt – doch auch sie sind vom Aussterben bedroht. Moderation und Produktion: Pia Rauschenberger Redaktion: Constanze Kainz Mitarbeit: Paulina Kraft Fragen, Kritik, Anregungen? Sie erreichen uns unter wasjetzt@zeit.de. Weitere Links zur Folge: - Bachmut: Prigoschins letzter Triumph? (https://www.zeit.de/politik/ausland/2023-05/bachmut-russland-ukraine-krieg-gegenoffensive-gruppe-wagner/komplettansicht) - Bachmut: News und Infos (https://www.zeit.de/thema/bachmut) - Graichen-Nachfolge: Philipp Nimmermann wird neuer Wirtschaftsstaatssekretär (https://www.zeit.de/politik/deutschland/2023-05/philipp-nimmermann-wirtschaftsstaatssekretaer-patrick-graichen) - Patrick Graichen: Jetzt könnten alle mal was lernen (https://www.zeit.de/kultur/2023-05/patrick-graichen-entlassung-robert-habeck-enttaeuschung) - Facebook-Konzern: Milliardenstrafe gegen Meta wegen Verstößen gegen Datenschutzregeln (https://www.zeit.de/digital/datenschutz/2023-05/milliarden-strafe-gegen-meta-wegen-verstoessen-gegen-datenschutzregeln)

Der Facebook-Mutterkonzern Meta muss eine Strafe von 1,2 Milliarden Euro zahlen - weil er gegen die europäische Datenschutzgrundverordnung DSGVO verstoßen haben soll. Das hat die irische Datenschutzbehörde DPC in Dublin mitgeteilt.

Seit nunmehr fünf Jahren entfaltet die europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor. Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Joerg und Holger erläutern und diskutieren die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der an der Aachen University of Applied Sciences. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Im Urteil "Österreichische Post AG" (Az.: C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben. In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine "Kopie" der personenbezogener Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Auszüge der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird. Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Datenverarbeitung insgesamt unrechtmäßig erfolgt ist - mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

Gibt es in Deutschland einen "Datenschutztourismus"? Suchen sich Unternehmen gezielt Standorte in Bundesländern, deren Aufsichtsbehörden die Datenschutz-Grundverordnung (DSGVO) eher lax auslegen? Diese Frage bewegt die einschlägige Community, und deshalb auch den c't-Datenschutz-Podcast Auslegungssache. Holger und Joerg sprechen darüber kontrovers mit Dr. Stefan Brink. Der ehemalige Datenschutzbeauftragte Baden-Württembergs ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt, wida, in Berlin. Brink nimmt in der Podcast-Episode kein Blatt vor den Mund und zieht Bilanz seiner Amtszeit (2016 bis Ende 2022). Brink gibt sich als Verfechter des föderalen Systems bei der Datenschutzaufsicht. Probleme kann er nicht erkennen. Man bekomme "als Unternehmen Rechtssicherheit von der Datenschutzbehörde, wenn man sie befragt". Man müsse nur darauf bestehen, Auskünfte zu bekommen. "Der Rest ist dann Mimimi in der Form: Ich kenne aber eine andere Aufsichtsbehörde, die sieht das freundlicher." Es gehe dann nicht mehr um Rechssicherheit, sondern um "Wünsch dir was". Harsche Kritik übt Brink am gemeinsamen Gremium der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK): "Die DSK ist für alle Teilnehmer eine Zumutung. Es gibt wenig, was mich in den vergangenen Jahre so betrübt hat, wie die Zusammenarbeit in der DSK. Als ich mich entschlossen habe, den Amtshut abzulegen, war das kein Faktor, der mich hat zögern lassen." Immherin habe sich "die DSK hat in den letzten Jahren gut zusammengerauft. Wir sollten daran arbeiten, dass die DSK-Entscheidungen verbindlicher werden, das Gremium weiter institutionalisieren". Brink plädiert dafür, die DSK "als übergeordnete Instanz zu stärken". Die Frage werde sein: "Bestehen wir auf einstimmigen Beschlüssen der DSK, oder lassen wir Mehrheitsbeschlüsse zu, an die sich alle Aufsichten halten müssen. Das wird spannend, weil dann auch die durch die DSGVO garantierte Unabhängigkeit der Behörden berührt würde. Es ist der richtige Ansatz, dies durch Bundesgesetzgebung zu unterstützen."

Der KI-Chatbot kann Anschreiben entwerfen, an Codes basteln und sogar einem Furby Leben einhauchen.https://futurism.com/the-byte/finance-professor-claims-chatgpt-can-predict-stock-performance Die spanische Datenschutzbehörde AEPD ist dem Beispiel Italiens gefolgt und hat eine vorläufige Untersuchung des ChatGPT-Herstellers OpenAI wegen mutmaßlicher Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union angekündigt.https://techcrunch.com/2023/04/13/chatgpt-spain-gdpr/ Zu den Aufgaben könnten das Verschieben von Fracht und die Durchführung von Wartungsarbeiten an der Raumstation Tiangong gehören. https://www.impactlab.com/2023/04/11/meet-taikobot-the-humanoid-robot-set-to-help-chinese-astronauts/#more-162470 In einer Diskussion über Bedrohungen durch KI-Systeme hat Sam Altman, CEO und Mitbegründer von OpenAI, bestätigt, dass das Unternehmen GPT-5 derzeit nicht trainiert.https://www.theverge.com/2023/4/14/23683084/openai-gpt-5-rumors-training-sam-altman Visit www.integratedaisolutions.com

DGA, DMA, DSA, DA, AIA, EHDS: Im Rahmen ihrer Datenstrategie überschlägt sich die Europäische Kommission mit neuen Verordnungen, die den Umgang mit Daten innerhalb der Europäischen Union (EU) regulieren sollen. Einige davon sind noch im Planungsstatus, andere bereits in Kraft und bald wirksam. Auf Bürger und Unternehmen kommt da ein Vorschriftengestrüpp zu, das den klaren Blick aufs große Ganze erst einmal verhindern dürfte. Dr. Winfried Veil, in der neuen Episode 83 zu Gast im c't-Datenschutz-Podcast, gilt als harter Kritiker der hektischen Regulierung. Der Jurist begleitete als Referent im Bundesinnenministerium beispielsweise als Experte in der zuständigen EU-Projektgruppe die Ratsverhandlungen zur Datenschutz-Grundverordnung (DSGVO). Er spricht von einem "legislativen Tsunami", der zurzeit über die EU schwappt. In alle den Datengesetzen finde sich stets sinngemäß der Passus "Die DSGVO bleibt unberührt". Doch diese Behauptung lasse sich bei einem näheren Blick in die Gesetzentwürfe nicht halten. Am Beispiel des bereits in Kraft getretenen Digital Services Acts (DSA) besprechen Joerg und Holger mit Winfried, wo das neue Plattform-Gesetz eben doch datenschutzrechtliche Fragen aufwirft. Insbesondere erläutert Winfried, dass die im DSA definierten Mechanismen zu Meldewegen für rechtswidrige Inhalte de facto zu einer Vorratsdatenspeicherung bei den Plattformen führen könnte. Plakativ spricht er von "Pöbler-, Denunzianten- und Querulantendatenbanken". Und dies sei nur einer von mehreren Aspekten, bei dem sich der DSA und die DSGVO in die Quere kommen.

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wirksam wurde, witterten Einige das große Geschäft mit Datenschutz-Labeln. Denn die DSGVO ermöglichte in ihren Artikel 42 und 43 erstmals europaweit harmonisierte Zertifizierungsprozesse: Produkte und Dienstleistungen sollen auf DSGVO-Konfomität überprüft werden können. Doch bevor Zertifizierungsanbieter starten, müssen sie sich gemäß DSGVO von einer offiziellen Stelle akkreditieren lassen. Und genau an einer solchen Stelle fehlte es lange Zeit in Deutschland. 2021 hat die Deutsche Akkreditierungsstelle (DAkkS) ihre Arbeit aufgenommen. In Episode 82 des c't-Datenschutz-Podcast geht es um den Zustand des deutsche DSGVO-Zertifizierungswesens. Holger und Joerg sprechen dazu mit Rechtsanwalt Dr. Sebastian Kraska. Der Datenschutz-Spezialist beschäftigt sich seit Jahren mit allen Untiefen der Zertifizierung und plaudert in der Episode ein wenig aus dem Nähkästchen. Zusammen mit Sebastian gehen Holger und Joerg alle möglichen Formen durch, beginnend mit Möglichkeiten zur Zertifizierung von Personen, etwa zum Datenschutzbeauftragten oder Auditor. Anschließend erläutert Sebastian die Unterschiede zwischen Produkt- und Management-Zertifizierungen. Er schildert, wie eine Zertifizierung abläuft und wo man sie beantragen kann. Außerdem geht es um alternative Produkte, die beispielsweise auf der recht neuen ISO-Norm 27701 beruhen, aber keine DSGVO-Konformität bescheinigen.

Wer sich mit IT-Sicherheit oder Datenschutz beschäftigt, wird früher oder später mit dem ominösen Terminus "Stand der Technik" konfrontiert. Der Begriff spielt beispielsweise in der Datenschutz-Grundverordnung (DSGVO) eine wichtige Rolle: Nach Artikel 32 DSGVO müssen Datenverarbeitende "geeignete technische und organisatorische Maßnahmen" treffen, um "ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Und dabei soll sollen sie eben den "Stand der Technik" berücksichtigen. Doch was ist technisch und juristisch hinter dieser schwammigen Forderung zu verstehen? Genau dies wollen Joerg und Holger ergründen. Als kompetenten Gesprächspartner haben sie dazu den Rechtsanwalt Karsten Bartels an ihrer Seite. Der gelernte Rechtsinformatiker ist stellvertretender Vorstandsvorsitzender des Bundesverband IT-Sicherheit e. V., auch als TeleTrusT bekannt. Dort hat er auch den "Arbeitskreis Stand der Technik" mit gegründet. TeleTrusT veröffentlicht auch die "Handreichung zum 'Stand der Technik'", in der Experten aus der Wirtschaft (oft aktualisiert) konkrete Hinweise zu geeigneten technischen Maßnahmen und Prozessen in allen möglichen Bereichen der IT zusammentragen, beispielsweise zur sicheren Website-Verschlüsselung oder zur Multifaktor-Authentifizierung. Im Podcast erläutert Karsten, was es mit dem "Stand der Technik" auf sich hat. Dieser Stand bewege sich irgendwo zwischen "anerkannten Regeln der Technik", etwa den DIN-Normen, und dem neuesten "Stand von Wissenschaft und Technik". Zusammen mit Joerg geht er Satz für Satz durch Artikel 32 DSGVO und erklärt, was der europäische Gesetzgeber hier fordert. Außerdem ordnet Karsten den Begriff in den Kontext anderer Vorschriften ein, etwa des IT-Sicherheisgesetzes und bevorstehender EU-Regulierung. Hier werde sich mit dem im September von der EU-Kommission vorgeschlagenen "Cyber Resilience Act" bald einiges ändern, prophezeit er.

Die europäische Datenschutz-Grundverordnung (DSGVO) gewährt Personen, deren Daten erhoben und verarbeitet werden, viele eigene Rechte. Diese sogenannten "Betroffenenrechte" finden sich in den Artikeln 12 bis 20 der DSGVO. Beispielsweise gibt die DSGVO vor, welche Informationen Verantwortliche den Betroffenen in welcher Form geben müssen (Art. 12). Art. 15 regelt den Auskunftsanspruch, außerdem geht es noch um das Recht auf Löschung der Daten sowie um Übertragbarkeit von einem Dienst zum anderen. Gänzlich neu im Vergleich zu älteren Gesetzen wie dem Bundesdatenschutzgesetz (BDSG-alt), billigt Art. 82 DSGVO Betroffenen einen immateriellen Schadenersatzanspruch zu. Genau diese Regelung führt derzeit zu Massenabmahnungen aus Bagatellverstößen heraus. Im c't-Datenschutz-Podcast sprechen Joerg und Holger über die gesetzlichen Grundlagen und die aktuellen Entwicklungen dazu in der Praxis. Ihnen kompetent zur Seite steht in der aktuellen Episode 72 Diana Ettig. Die promovierte Rechtsanwältin vertritt für die Kanzlei Spirit Legal freischaffend ("off counsel") unter anderem Mandanten in Datenschutz-Sachen vor Gericht. Diana berichtet im Podcast von ihren Erfahrungen in Prozessen und erläutert die aktuelle Rechtssprechung anhand konkreter Urteile. Ihrer Beobachtung nach hat sich in einigen Bereichen bereits eine gefestigte Rechtssprechung ("Case Law") herausgebildet. Vieles sei aber noch im Fluss, beispielsweise bei der Bewertung von Schadenersatzansprüchen aus DSGVO-Verstößen heraus.

In Folge 57 des Podcasts „Bei Anruf Wettbewerb“ sprechen Rupprecht Podszun und Justus Haucap – beide Professoren an der HHU Düsseldorf — über delikate Fragen, die das OLG Düsseldorf im Facebook-Verfahren dem EuGH gestellt hat. Darf das Bundeskartellamt als Wettbewerbsbehörde auch die Datenschutzgrundverordnung (DSGVO) für prüfen? Wo fängt Wettbewerbsschutz an, wo hört er auf? Außerdem berichten die beiden vom Arbeitskreis Kartellrecht des Bundeskartellamts, wo es letzte Woche um die Fusionskontrolle in der digitalen Wirtschaft ging: Sollten die Kartellbehörden mehr Fälle verlieren? Weitere Hinweise Heyers, Johannes, „Kartellschadensersatzprozesse laufen in Deutschland zu lang!“ D-Kart Blog Hintergrundpapier zur Sitzung des Arbeitskreises Kartellrecht am 29. September 2022 Schlussanträge des Generalbundesanwalts Atanasios Rantos vom 20. September 2022

Nicht nur große Unternehmen überwachen ihr Gelände gerne mit Kameras, sondern auch Privatleute ihren Haus- oder Wohnungseingang. Kameras sind allgegenwärtig, und allzu oft verstößt deren Einsatz gegen Datenschutzrecht, wie die große Zahl von Beschwerden und Bußgeldern belegt. Genug Anlass für den c't-Datenschutz-Podcast, sich ausführlich mit den rechtlichen Grundlagen und vor allem mit den Pflichten zu beschäftigen, die es beim Betrieb von Überwachungskameras im beruflichen wie privaten Bereich zu beachten gilt. Holger und Joerg haben dazu Nils Christian Haag eingeladen. Der promovierte Rechtsanwalt ist Vorstand der intersoft consulting AG, die unter anderem das Infoportal Dr. Datenschutz betreibt. Weil die Datenschutz-Grundverordnung (DSGVO) das Themenfeld Videoüberwachung nicht explizit regelt, erläutert Nils zunächst, welche Vorschriften anzuwenden sind. Eine Rechtsgrundlage kann sich aus Art. 6 ("berechtigtes Interesse") ergeben. Zusätzlich müssen Kamerabetreiber Transparenzpflichten (Art. 13 DSGVO) erfüllen, meist in Form von gut sichtbar ausgehängten Hinweisschildern. Diese können sogar an Autos erforderlich sein, wie sich auch aus dem "Bußgeld der Woche" ergibt. Die drei erklären, wie solche Schilder aussehen müssen und wo man sie am besten anbringt. Rechtliche Probleme gibt es in diesem Zusammenhang auch beim Einsatz von digitalen Videokameraklingeln wie Ring von Amazon. Diese müssen zwingend so ausgerichtet werden, dass bei ihrer Nutzung nicht auch noch die Haustüre des Nachbarn überwacht wird. Eine besondere Warnung spricht Nils für die Nutzung von Kameras mit Tonaufzeichnung aus. Hier kann sogar eine Strafbarkeit in Form der Verletzung der Vertraulichkeit des Wortes nach Paragraf 201 StGB lauern, etwa wenn man ein Gespräch der Nachbarn aufzeichnet.

In der Mittagsfolge sprechen wir heute exklusiv mit Kilian Schmidt, Co-Founder von Kertos. Das Datenschutz-Automatisierungs-Startup hat eine Kapitalerhöhung in einer Pre-Seed Finanzierungsrunde unter Führung von 10x Founders erhalten. Kertos wurde im November 2021 von Kilian Schmidt, Johannes Hussak und Alexander Prams gegründet. Das Startup aus München strukturiert, managed und automatisiert unternehmensinterne Datenschutzprozesse. So will das Startup Unternehmen helfen, personenbezogene und damit sensible Daten konform zur Datenschutzgrundverordnung (DSGVO) zu verarbeiten. Arbeitsabläufe sollen so vereinfacht, Mitarbeiterinnen und Mitarbeiter entlastet und Ressourcen freigemacht werden. 10x Founders führt die Finanzierungsrunde an. Auch die VCs XDeck und Superlyst sowie einige bekannte Gründer wie Fabian Wesemann (Wefox), Ronny Shibley (Gorillas) und Sebastian Schaal (Luminovo) beteiligten sich. Zudem investierten die europäischen Legal-Tech- und Datenschutz-Experten Lisa Gradow (Usercentrics), Phillip Eischet und Benedikt Quarch (Rightnow). Mit dem frischen Kapital hat Kertos nach eigenen Angaben sein Team innerhalb weniger Wochen auf mehr als 15 Mitarbeiterinnen und Mitarbeieter aufgestockt.

Eva Marten erklärt, aus welchen Bausteinen elevida besteht und wie dadurch die Fatigue bei MS-Patienten verbessert werden kann.   Hier geht es zum Blogbeitrag: https://ms-perspektive.de/interview-zu-elevida-zur-behandlung-von-fatigue   In Folge 136 beantwortet Eva Marten meine Fragen zu elevida, dem Online-Angebot zur Behandlung von Fatigue bei MS. Der Beitrag gehört zur Themenwoche digitale Unterstützungsangebote für MS-Patienten. Du erfährst, was elevida ist, wie das Programm aufgebaut ist, was überhaupt eine digitale Gesundheitsanwendung (DiGA) ist und welche Verbesserung der chronischen Müdigkeit damit möglich sind.   Inhaltsverzeichnis Vorstellung elevida – Online-Angebot zur Verringerung der Fatigue bei MS elevida im Einsatz Abschluss Vorstellung Wichtigste berufliche Stationen und Ausbildung Psychologie Studium und ausgebildete Psychologische Psychotherapeutin und Kinder- und Jugendlichenpsychotherapeutin (VT = Verhaltenstherapie) Nach dem Diplom-Studium nach Lübeck und dort im jetzigen ZIP (Zentrum für Integrative Psychiatrie) therapeutisch und forschend tätig gewesen Parallel Weiterbildung zur Verhaltenstherapeutin für Erwachsene und Kinder am IVAH in Hamburg begonnen Später ambulante Reha-Maßnahmen begleitet und in Kinder- und Jugendpsychiatrie gearbeitet Seit 2015 bei GAIA: bis 2021 in Integrierter Versorgung, dann als Klinische Expertin im DiGA-Team Außerdem behandle ich in der Psychologischen Praxis einer Kollegin auch eigene Patient:innen Persönliche Motivation für den Beruf Ich hatte Psychologie schon als Schulfach und fand es total spannend. Nach dem Abitur habe ich ein einjähriges Praktikum in einem Kinder- und Jugendheim gemacht, um herauszufinden, ob die Arbeit in einem helfenden Beruf etwas für mich ist. Obwohl ich am Anfang vor allem mit Kindern arbeiten wollte, habe ich damals gemerkt, dass auch die Erwachsenen – Eltern und Erzieher:innen zum Beispiel – dringend Hilfe benötigen. Ich habe mein Studium also mit dem Wunsch begonnen, Therapeutin zu werden und habe ihn mir erfüllt. Der Job bei GAIA hat mich gereizt, weil ich während meiner Therapieausbildung die Erfahrung gemacht habe, dass das enge organisatorische Korsett der klassischen ambulanten Psychotherapie weder für mich noch für meine Patient:innen immer das passende ist. Deshalb hat mich das Thema Online-Programme, schon lange bevor es DiGA (Digitale Gesundheitsanwendungen) gab, angesprochen und ich freue mich, aktiver Teil dieser Entwicklung zu sein. Privates Ich wollte nach dem Studium unbedingt in den Norden ziehen, um möglichst nah am Meer zu sein und finde Hamburg einfach eine traumhaft schöne Stadt zum leben und arbeiten. Ich verbringe so viel Zeit wie möglich draußen und auf dem Wasser, zum Beispiel beim Stand Up Paddeln. Ich bin glückliche Mama zweier lebhafter Söhne. elevida – Online-Angebot zur Verringerung der Fatigue bei MS Wie würden Sie elevida kurz und knapp beschreiben? elevida ist eine Digitale Gesundheitsanwendung, also ein Online-Programm, für Fatigue bei Multipler Sklerose, das die Symptome von Fatigue bei MS nachweislich verringert. Es ist ein zugelassenes Medizinprodukt, das man von zu Hause aus jederzeit nutzen kann und das für jeden sehr leicht zu bedienen ist. Da es sich bei elevida nicht um eine App handelt, können Patient:innen das Programm über einen Internetbrowser online sowohl über ihren Computer als auch über ihr Smartphone nutzen. Patient:innen lernen mit dem Programm besser mit ihrer Erkrankung umzugehen, in dem es ihnen hilft, mit neuen Denk- und Verhaltensmustern auf ihre Symptome zu reagieren. elevida besteht aus verschiedenen Modulen zu unterschiedlichen Themenfeldern, durch die die Patient:innen geleitet werden. Aufgebaut ist das Programm als virtueller Dialog. Das heißt, dass elevida kurze therapeutische Informationen anbietet und Nutzer:innen aus unterschiedlichen Antwortmöglichkeiten diejenige auswählen können, die am besten zu ihrer Situation passt. Das Programm geht dann auf diese Antwort empathisch ein und liefert weitere Informationen, Tipps oder Übungen. Nachdem man elevida verschrieben bekommen und sich registriert hat, kann man sofort mit dem Programm loslegen – ganz ohne Wartezeit. Für Patient:innen ist elevida zuzahlungsfrei, weil die Kosten von allen gesetzlichen Krankenkassen und von vielen privaten Kassen übernommen werden. Was war die Motivation zum Entwickeln von elevida? Wir entwickeln schon seit mehr als 20 Jahren Selbsthilfeprogramme für Patient:innen und Patientinnen und haben damit schon vielen tausend Menschen helfen können. Wenn wir digitale Therapien entwickeln, stellen wir immer die Patient:innen in den Mittelpunkt. Deshalb fragen wir uns zu Beginn jedes Prozesses, wie wir ihnen helfen und dazu beitragen können, ihr Problem zu lösen. Darauf basiert unser gesamter Prozess, in den Experten aus unterschiedlichen Bereichen involviert sind. So haben wir festgestellt, dass es für Fatigue bei MS Defizite in der üblichen medizinischen Versorgung gibt. Bis dato gab und gibt es keine wirksame medikamentöse Behandlung. Das war ein Ansatzpunkt für uns. Denn diese Lücke wollten wir schließen. Um Versorgungslücken zu identifizieren und mehr darüber zu erfahren, ziehen wir außerdem externe Experten zu Rate und sprechen mit Wissenschaftlern und Forschern im universitären Umfeld. Unsere Firma hat besondere Kompetenzen im Bereich der digitalen Therapien, die auf kognitiver Verhaltenstherapie (KVT) basieren. Deshalb fokussieren wir uns bei Indikationen, für die wir eine Behandlung entwickeln vor allem auf solche, die mit Hilfe kognitiv-verhaltenstherapeutischer Techniken behandelt werden können. Bei Fatigue bei Multipler Sklerose ist das der Fall – deshalb wird KVT auch in den aktuellen Leitlinien als eine der wenigen Behandlungsoptionen empfohlen. Wer war alles an der Entwicklung von elevida beteiligt? An der Entwicklung von elevida waren viele forschende und praktizierende Experten aus der Neurologie und Psychotherapie beteiligt. Nachdem wir beschlossen hatten, eine digitale Therapie für Patient:innen mit Multipler Sklerose und Fatigue anzubieten, haben medizinische Experten wie Ärzt:innen und Psychotherapeut:innen einen Behandlungsplan erstellt und die Inhalte von elevida entwickelt. Der Entwurf, der so entstanden ist, musste natürlich gründlich validiert und getestet werden. Nachdem das geschehen war, haben sich unsere Design- und Entwicklungsteams an die Arbeit gemacht und sich darum gekümmert, dass elevida auf die spezifischen Bedürfnisse der Patientinnen und Patienten zugeschnitten wird. Da wir alle Online-Programme, die bei uns im Haus entwickelt werden, auch auf ihre Wirksamkeit prüfen, hat unser internes Team für klinische Studien in Zusammenarbeit mit universitären Partnern, wie dem Universitätsklinikum in Hamburg Eppendorf, eine sogenannte randomisiert kontrollierte Studie (RCT) konzipiert. Denn nur indem wir umfassende Studien durchführen, erreichen wir unser Ziel: Patient:innen, die dringend Zugang zu evidenzbasierten, wirksamen digitalen Therapien benötigen, diesen auch zu verschaffen. Es nützt ja nichts, ein nur vermeintlich gutes Programm zu entwickeln, wenn es am Ende gar nicht wirkt. Die Studie zu elevida hat aber gezeigt: es wirkt. Denn die Fatigue konnte bei den Teilnehmer:innen der Studie durch elevida signifikant, also bedeutsam, reduziert werden. Weil die Studienergebnisse schon vorlagen, als die ersten Online-Programme als DiGA zugelassen werden konnten, hat elevida vom Bundesgesundheitsministerium die Genehmigung bekommen, als verschreibungsfähiges Medizinprodukt dauerhaft eingesetzt zu werden. Welche Verbesserung der chronischen Fatigue konnten Sie im Durchschnitt messen? In der klinischen Studie Studie (Pöttgen J, et al. J Neurol Neurosurg Psychiatry 2018;0:1–7. doi:10.1136/jnnp-2017-317463), die wir gemeinsam mit Expert:innen des Universitätsklinikums Hamburg-Eppendorf durchgeführt haben, zeigte sich, dass bei Patient:innen, die zusätzlich zu einer sonst üblichen Behandlung elevida genutzt haben, die Fatigue deutlich stärker abgenommen hatte als bei Patient:innen, die nur die sonst übliche Behandlung erhielten. Nach 12 Wochen elevida haben sich die Beschwerden, die durch die Fatigue verursacht werden, signifikant reduziert. Da Fatigue-Symptome objektiv nicht zu messen sind, wurde die Beurteilung mittels einer Selbsteinschätzung der Patient:innen vorgenommen. Die Mittelwerte der elevida- und der Kontrollgruppe unterschieden sich um 2,74 Punkte zugunsten von elevida. Weitere eingesetzte Fragebogen zur Erfassung der Fatigue-Symptomatik bestätigten dieses Ergebnisse. Der Effekt war stabil mit recht ähnlichen Werten in einer Follow-up-Messung nach 24 Wochen. elevida im Einsatz Welche Faktoren führen zu einer chronischen Müdigkeit und welche davon können mit Hilfe von elevida positiv beeinflusst werden? Es sind ganz unterschiedliche Faktoren, die zur Fatigue führen können. Nicht alle können wir aktiv beeinflussen oder bewusst wahrnehmen. Einige aber schon. Nämlich unsere Verhaltensweisen, Gedanken und Gefühle und sogar unsere Physiologie. Diese vier Faktoren beeinflussen sich auch gegenseitig und können wiederum ebenfalls durch Umwelteinflüsse verstärkt werden. Auf diese Aspekte stützt sich auch die Arbeit mit elevida. Deshalb beantworten die Patient:innen im Programm am Anfang Fragen zu ihren Gedanken, Gefühlen, ihrem Verhalten und ihren Körperempfindungen, die mit Fatigue in Zusammenhang stehen. Auf Basis der Antworten erstellt elevida mit dem Nutzer oder der Nutzerin ein individuelles Fatigue-Modell, das all diese Faktoren berücksichtigt und macht Vorschläge, wie man an diesen Punkten ansetzen kann, um die Fatigue zu verbessern. Für wen ist das Angebot geeignet und für wen nicht? Alle, die älter als 18 Jahre sind, MS haben und außerdem Fatigue-Symptome, können elevida nutzen. Es gibt dabei auch eine große Anzahl an älteren Patient:innen, die elevida gerne und erfolgreich verwenden. Wir haben das Programm extra so konzipiert, dass es sehr unkompliziert zu benutzen ist und sich u.a. vom Zeitaufwand auf die nutzende Person einstellt. Man braucht nur ein internetfähiges Gerät und kann dann ganz einfach online das Programm bedienen. Nicht verwenden sollten das Programm Menschen, die eine Schizophrenie, akute vorübergehende psychotische Störungen, schizoaffektive Störungen oder bipolare affektive Störungen haben. Wieso haben Sie sich für eine Gesprächsführung durch die elevida Anwendung entschieden? Rund 80 Prozent (https://www.nationalmssociety.org/Symptoms-Diagnosis/MS-Symptoms/Fatigue (zuletzt abgerufen am 28.03.22)) der Menschen mit MS sind im Laufe ihrer Erkrankung auch von Fatigue betroffen. Trotzdem ist Fatigue ein Symptom, das oft nicht behandelt wird. Das hat mehrere Gründe. Zum einen gibt es bisher keine medikamentöse Therapie gegen Fatigue. Zum anderen sind andere Therapien wie psychotherapeutische Behandlungsmöglichkeiten nur schwer zugänglich für viele Menschen mit Fatigue. Laut aktueller Leitlinien ist die kognitive Verhaltenstherapie (KVT) eine wirksame Behandlungsoption bei MS Fatigue. Leider ist das klassische psychotherapeutische Setting aber für viele Menschen mit MS nicht ideal – weil sie beispielsweise während eines Schubes das Haus nicht verlassen oder sich aufgrund der Fatigue nicht lange genug konzentrieren können. Außerdem gibt es nur wenige Therapeut:innen, die sich gut mit diesem Thema auskennen. Deshalb haben wir elevida entwickelt, um MS-Patient:innen mit Fatigue eine wirksame verhaltenstherapeutische Behandlung an die Hand zu geben, die sicher, effektiv sowie leicht zugänglich ist und zudem flexibel genutzt werden kann. Um die Wirksamkeit dieser Behandlung zu maximieren, konzentrieren wir uns auf die Kernfunktion: Die Gesprächsführung in elevida simuliert den Dialog mit einem echten Gegenüber. So vermittelt elevida wichtige Informationen zur Fatigue und hilfreiche Übungen im Umgang damit – eben wie ein echter Therapeut oder eine Therapeutin es tun würde. Auf zusätzlichen Schnickschnack verzichten wir ganz bewusst, damit man sich ganz auf dieses virtuelle Gespräch konzentriert und darauf einlassen kann. Welche Bausteine gibt es noch neben den Fragen? elevida besteht, wie schon erwähnt, aus einem dynamischen Dialog, den die Nutzer:innen mit dem Programm führen. Darin bekommen sie viele Informationen und Tipps, die auf Menschen mit MS-Fatigue zugeschnitten sind, können Audios anhören und werden durch therapeutische Übungen geführt. Daneben verfügt elevida noch über eine Reihe anderer Funktionen. Die Nutzer:innen erhalten beispielsweise zusätzliche Inhalte und Unterstützung per E-Mail oder SMS. Diese sollen sie zur weiteren Nutzung von elevida motivieren. Denn es ist erwiesen, dass die Wirksamkeit internetgestützter Therapien erhöht wird, wenn zusätzliche Kommunikationsmethoden zum Einsatz kommen (Webb, Thomas L., Judith Joseph, Lucy Yardley, und Susan Michie. „Using the Internet to Promote Health Behavior Change: A Systematic Review and Meta-Analysis of the Impact of Theoretical Basis, Use of Behavior Change Techniques, and Mode of Delivery on Efficacy“. Journal of Medical Internet Research 12, Nr. 1 (17. Februar 2010): e4. https://doi.org/10.2196/jmir.1376.). Außerdem haben die Patient:innen die Möglichkeit, sich selbst zu überprüfen im Hinblick auf ihr Fitnesslevel sowie die eigene Aufmerksamkeit gegenüber der Fatigue und ob beziehungsweise wie sich ihr Umgang mit Fatigue verändert hat. Diese Entwicklung und seine eigenen Fortschritte im Blick zu behalten, kann ebenfalls unheimlich motivierend sein. Natürlich kann das Programm jederzeit unterbrochen werden. Es fährt dann an genau der Stelle wieder fort, an der man zuletzt gewesen ist. So muss man sich nicht merken, wo man aufgehört hat. Zusätzlich dazu werden die Nutzer:innen auch regelmäßig daran erinnert, Pausen einzulegen. Damit möchten wir gewährleisten, dass Menschen mit Fatigue sich mit der Arbeit im Programm nicht überfordern und sie das Erlernte auch zwischendurch einfach einmal sacken lassen können. Wie viel aktive Teilnahme ist von MS-Patienten nötig, um einen Erfolg zu erzielen? Wir empfehlen, dass elevida ein bis zwei Mal wöchentlich für mindestens 30 Minuten genutzt wird, um spürbare Verbesserungen zu erzielen. Dabei sollte man sich tatsächlich die Zeit nehmen, sich eine Umgebung aussuchen, in der man ungestört mit dem Programm arbeiten und es intensiv nutzen kann. Im Endeffekt bleibt es aber natürlich jedem und jeder selbst überlassen, wie intensiv und wie oft er oder sie mit elevida arbeiten möchte. Es gibt auch Patient:innen, die täglich mit dem Programm arbeiten, weil sie es als eine wertvolle Unterstützung im Alltag empfinden und elevida sie motiviert, an ihrer Symptomatik zu arbeiten. Welches Feedback erhalten Sie von den Nutzern der Anwendung? Insgesamt bekommen wir sehr viel positives Feedback zu elevida. Wir freuen uns immer, wenn uns Nutzer und Nutzerinnen E-Mails schicken und schildern, wie die Tipps und Übungen in elevida ihnen geholfen haben. Natürlich gibt es auch Menschen, gerade langjährig Erkrankte, die nicht mehr ganz so viel Neues daraus mitnehmen und für die vieles Wiederholung ist. Was nicht heißt, dass sie nicht auch von elevida profitieren können. Besonders hilfreich ist elevida für Menschen, die vielleicht erst vor Kurzem die Diagnose MS bekommen haben oder aktuell ganz akut unter Fatigue-Symptomen leiden. Warum ist eine Verschreibung auf 90 Tage angelegt? Und für wen macht es Sinn, eine zweite Verschreibung für weitere 90 Tage zu beantragen? Von Seiten des Bundesgesundheitsministeriums wurde für alle DiGA, unabhängig davon, welche Nutzungsdauer empfohlen wird, eine Verordnungsdauer von jeweils 90 Tagen festgelegt – äquivalent zur Verordnung von Medikamenten. Während der Verordnungsdauer und ab dem Zeitpunkt, ab dem sich Nutzer:innen zum ersten Mal für elevida registrieren, kann das Programm also für 90 Tage genutzt werden. Für diejenigen, die davon profitieren und um Effekte zu stabilisieren, empfehlen wir eine Nutzungsdauer von 180 Tagen, d.h. das Programm muss zwei Mal verordnet werden. Diese Nutzungsdauer haben wir übrigens auch in der Wirksamkeitsstudie untersucht. Können Sie etwas zu den langfristigen Auswirkungen sagen? In der gerade erwähnten Studie konnte bereits nachgewiesen werden, dass die Fatigue-Symptome durch elevida nach 12 Wochen signifikant reduziert werden und auch nach noch 24 Wochen stabile Effekte sichtbar sind. Aktuell läuft eine Anwendungsstudie in großen neurologischen Praxen, die sich den Verlauf “in der echten Welt” über zwei Jahre anschaut. Dann können wir mehr dazu sagen. In jedem Fall ist es so: elevida basiert auf den Methoden der kognitiven Verhaltenstherapie. Dabei sollen die Nutzer:innen lernen, sich selbst zu beobachten, Probleme und negative Denkmuster zu identifizieren und alternative Lösungsansätze zu entwickeln. Ziel dieser Therapieform ist es nicht, kurzfristig Besserung zu erreichen, sondern sein Leben langfristig so zu gestalten, dass mit auftauchenden Problemen und Anforderungen besser umgegangen werden kann. Wenn jemand von elevida gut profitiert, wendet er die neu erlernten Denk- und Verhaltensstrategien nicht nur während der Nutzungsdauer an, sondern kann sie idealerweise für immer fest in seinen Alltag integrieren. Wie werden persönliche Daten gesichert? Wir wissen natürlich, dass die Datensicherheit grundsätzlich, aber vor allem bei Medizinprodukten, besonders wichtig ist. Denn immerhin geht es hier um sensible Gesundheitsdaten. Deshalb müssen dauerhaft gelistete DiGA und damit natürlich auch elevida der europäischen Datenschutz-Grundverordnung (DSGVO) entsprechen und strenge gesetzliche Vorschriften erfüllen – auch in Bezug auf Datensicherheit. Deshalb nutzen wir auch Server, die sich in einem ISO 27001-zertifizierten Rechenzentrum in Deutschland befinden. Über den Datenschutz haben wir uns bei der Entwicklung von elevida natürlich ausführlich Gedanken gemacht. Das ist der Grund, weshalb elevida ausschließlich als browserbasierte Anwendung und nicht über App-Stores verfügbar ist. Dadurch wird verhindert, dass Anbieter der App-Stores über Nutzerdaten Rückschlüsse auf Erkrankungen ziehen können, indem sie erfassen, ob und wie elevida verwendet wird. Wir wollen, dass alle, die elevida nutzen, dabei ein gutes Gefühl haben. Deshalb fragen wir so wenige Daten wie möglich ab. So können sich Nutzer:innen anonym anmelden. Dafür brauchen sie nur eine E-Mail Adresse. Im Programm selbst müssen sie nicht ihren Klarnamen nutzen, sondern können auch ein Pseudonym verwenden. Was müssen interessierte MS-Patienten tun, wenn sie an elevida interessiert sind? Die gesetzlichen Krankenkassen übernehmen die Kosten für elevida. Deshalb steht an erster Stelle das Rezept, das interessierte Nutzer:innen von ihrem Arzt, ihrer Ärztin oder Psychotherapeut:in erhalten. Auf elevida.de kann ein Informationsblatt für Behandler:innen heruntergeladen werden, das man zum nächsten Termin mitnehmen kann. Das Rezept müssen die Patient:innen dann an ihre Krankenkasse weiterleiten. Das funktioniert entweder postalisch oder auf elektronischem Weg. Daraufhin sendet die Krankenkasse ihrem Mitglied einen 16-stelligen Freischaltcode, der auf der Webseite eingegeben werden kann. Nach der Registrierung kann elevida dann 90 Tage genutzt werden. Um das Programm insgesamt 180 Tage nutzen zu können, muss man es sich ein zweites Mal verschreiben lassen. Die Module, die bis dahin bereits absolviert wurden, bleiben natürlich erhalten, sodass man nicht noch einmal von vorne beginnen muss. Auch Privatpatient:innen haben die Möglichkeit, elevida zu nutzen. Dafür müssen Menschen, die Interesse an elevida haben, einen Kostenvoranschlag bei ihrer Krankenkasse einreichen, die dann darüber entscheidet, ob sie die Kosten übernimmt. Wenn das der Fall ist, können uns die Nutzer:innen die Bestätigung der Kostenübernahme zukommen lassen und wir senden ihnen einen Zugangslink zum Programm per E-Mail. Abschluss Welchen Durchbruch für die Behandlung der MS wünschen Sie sich in den kommenden 5 Jahren? Ich hoffe auf mehr supportive Programme speziell für MS-Betroffene, für die eine klassische ambulante Psychotherapie eben oft nicht passend ist. Wir haben zum Beispiel neben elevida noch ein weiteres Programm entwickelt, das auf Menschen mit MS zugeschnitten ist, die zusätzlich an einer Depression leiden. Ich bin sicher, es wird zukünftig noch viel mehr in dieser Richtung geben und halte das für einen wichtigen Baustein im Behandlungspaket für MS-Betroffene. Ich bin außerdem davon überzeugt, dass die Digitalisierung das Gesundheitswesen nicht nur für MS-Patient:innen, sondern generell weiter verändern wird. Digitale Gesundheitslösungen werden sich etablieren und das Leben von Patient:inn als Alltagshelfer erleichtern. Online-Programme haben das Potenzial, Behandlungen zukünftig noch stärker zu unterstützen und zu verbessern. Ich wünsche mir, dass DiGA ein ganz normaler Teil der medizinischen Versorgung und so selbstverständlich werden wie ein Arztbesuch. Ich glaube, wenn medizinische und andere therapeutische Behandlungsansätze – auch neue, digitale – Hand in Hand gehen, können wir wirklich viel erreichen! Möchten Sie den Hörerinnen und Hörern noch etwas mit auf dem Weg geben? Ja, tatsächlich noch etwas Persönliches. Ich weiß, dass man das nicht vergleichen kann mit einer chronischen Erkrankung wie Fatigue bei MS, aber ich habe mich vor Kurzem mit Covid infiziert und erstmals in meinem Leben Symptome einer übermäßigen Erschöpfung erlebt, wie ich es bisher nur von Patient:innen kannte. Egal, wie viel ich geschlafen habe, ich war völlig kaputt, zum Beispiel nach dem Gang vom Bett zur Küche. Als das über mehrere Tage anhielt, wurde ich fast panisch, weil ich Angst hatte, es würde nie wieder besser werden. Ich zog mich stark zurück und traute mir immer weniger zu. Und woran habe ich gedacht in meinem Elend? An elevida! Mir fiel wieder ein, was sich wie ein roter Faden durch das Programm zieht, nämlich wie wichtig die richtige Balance aus Belastung und Ruhe ist. Und welchen Einfluss positives Denken haben kann. Also habe ich beschlossen, auf das Beste zu hoffen (Ich bekomme kein Long Covid – basta!) und angefangen, mich wieder kleineren Belastungen, wie etwas Hausarbeit und täglichen Spaziergängen auszusetzen, wann immer es halbwegs möglich war. Sobald ich müde wurde, habe ich mich wieder ausgeruht, teilweise für Stunden. Schritt für Schritt konnte ich so über mehrere Wochen fast wieder in meinen gewohnten Alltag zurückkehren. Damit möchte ich allen MS-Betroffenen Mut machen! Fatigue ist ein heftiges Symptom und kann das Leben radikal einschränken, keine Frage. Es gibt aber wirklich viele Tipps und Möglichkeiten, mit dieser Müdigkeit so umzugehen, dass die schönen Momente wieder deutlich häufiger werden. Genau diese Tipps stecken in elevida.   Vielen Dank an Eva Marten für das geführte Interview. Ich wünsche Dir bestmögliche Gesundheit, Nele Mehr Informationen rund um das Thema MS erhältst du in meinem kostenlosen MS-Letter. Hier findest Du eine Übersicht über alle bisherigen Podcastfolgen.

Logfiles und Datenbanken enthalten fast immer auch personenbezogene Daten. Um sie ausreichend zu schützen, müssen Unternehmen und Privatpersonen „geeignete technische und organisatorische Maßnahmen treffen“. Das reicht von regelmäßigen Software-Updates und Infrastruktur auf „dem Stand der Technik“ über Verschlüsselung und Pseudonymisierung bis hin zu regelmäßigen Backups. Über das Zusammenspiel zwischen IT-Sicherheit und Datenschutz sprechen Joerg Heidrich und Achim Barczok in der c't-Auslegungssache mit Adrian Schneider. Er ist Anwalt bei Osborne Clarke und Mitgründer des IT-Recht-Blogs Telemedicus. Seiner Erfahrung nach werden beide Begriffe häufig in einen Topf geworfen, doch ihre Zielsetzung ist unterschiedlich: Datenschutz schützt personenbezogene Daten, IT-Sicherheit schaut vor allem auf die Systeme und Infrastrukturen. Deshalb können sie sich auch in die Quere kommen: etwa wenn Security-Maßnahmen ein möglichst langes Aufbewahren von IP-Adressen erfordern oder der Virenscanner Dateien zum Check in die Cloud lädt. Auf was man bei der IT-Sicherheit für den Datenschutz achten muss, regelt die Datenschutzgrundverordnung (DSGVO) im Artikel 32. Doch der ist an vielen Stellen vage. Da heißt es etwa, man müsse den „Stand der Technik“ berücksichtigen. Doch wer definiert diesen Stand eigentlich? Und reicht es, wenn ich zur „regelmäßigen Überprüfung“ alle paar Monate eine Checkliste durchgehe, oder muss ich meine Technik zertifizieren lassen? Wann muss ich einen Hackerangriff melden? Bei solchen Detailfragen kommt es auch darauf an, in welchem Bundesland man sitzt – denn die deutschen Datenschutzbehörden haben mitunter verschiedene Ansichten zum Umgang mit technischen Fragen. Adrian Schneider Tipp an Unternehmen: Sie sollten sich schon im Vorfeld darüber klar werden, was die Risiken sind und was Sie tun müssen, um sie vernünftig zu adressieren. Welche Folgen Murks bei der IT-Sicherheit haben kann, zeigt unser Bußgeld der Woche, das die italienische Datenschutzbehörde an ein Gesundheitsamt verhängt hat. Über eine App konnten Corona-Getestete ihre Daten per Einlesen eines QR-Codes abrufen. Da diese QR-Codes aber fortlaufende Nummern als IDs enthielten, konnten Nutzer auch die Gesundheitsdaten anderer Getesteten abrufen. Das fand die dortige Datenschutzbehörde nicht komisch und sprach ein Bußgeld für dieses Versäumnis.

Verstößt der Einsatz von Google Analytics gegen die DSGVO? Zumindest nach Ansicht der österreichischen Datenschutzbehörde (DSB) ist der Einsatz von Google Analytics auf Webseiten in der EU nicht mit der Datenschutz-Grundverordnung (DSGVO) vereinbar. Wir klären für Sie in diesem Rechtstipp, was es mit dem kürzlich veröffentlichten Teilbescheid der österreichischen DSB auf sich hat und ob die Lage tatsächlich so aussichtslos ist, wie einige Meldungen behaupten.

Im Job sind wir meist auf Projekte und Ergebnisse fixiert. Doch sollten wir auch immer wieder etwas für unsere Reputation tun. Klar, sind gute Leistungen wichtig, um erfolgreich zu sein. Aber auch dein Selbstmarketing trägt entscheidend dazu bei. Wenn Du im richtigen Moment Präsenz zeigst, dann bleibst du in Erinnerung. Mit unseren Tipps bist du gut aufgestellt für deinen Schritt ins Rampenlicht und kannst dich stimmig in Szene setzen.Links zum Beitrag: Buch „Upgrade yourself!“: https://shop.haufe.de/prod/upgrade-yourself-inkl-augmented-reality-app Podcast „Upgrade yourself“ von Anouk Ellen Susan: https://www.anoukellensusan.de/upgradeInfos zur Datenschutzgrundverordnung (DSGVO): https://www.haufe.de/thema/datenschutz-grundverordnung Wer keine Folge verpassen möchte:https://www.instagram.com/karriereboost/https://www.linkedin.com/showcase/karriere-boosthttps://www.facebook.com/KarriereBoost/ Infos zum Podcast unter https://karriereboost.de/ See acast.com/privacy for privacy and opt-out information.

Gast im Podcast von Technology Review ist diesmal Jan Philip Albrecht. Der Minister in Schleswig-Holstein gilt durch seine Zeit als Grünen Politiker im EU-Parlament als Vater der Datenschutzgrundverordnung (DSGVO).

Stefan Hessel, Datenschutzexperte und Rechtsanwalt erklärt, wie die europäische Datenschutzgrundverordnung (DSGVO) in Deutschland und in anderen EU-Mitgliedsstaaten interpretiert wird. Darüber hinaus betrachtet er auch die Umsetzung der DSGVO durch die Datenschutzaufsichtsbehörden in Deutschland.

Die Anforderungen an die Transparenz für die Verarbeitung von personenbezogenen Daten sind in der Datenschutzgrundverordnung (DSGVO) sehr deutlich herausgestellt worden. Dies gilt insbesondere für die Verarbeitungsvorgänge von personenbezogenen Daten und für die Informationspflichten, sofern die Daten bei der betroffenen Person oder bei Dritten erhoben werden. Heiko Gossen und Markus Zechel nehmen sich diesem Thema an und beleuchten die Anforderungen an die Ausgestaltung der Informationspflichten und die zur Verfügungstellung an die betroffene Person. Dabei geben Sie Hinweise zu den Anforderungen der präzisen, transparenten, verständlichen und leicht zugänglichen Form und was klare und einfache Sprache bedeutet. Wie können die Betroffenen erreicht werden und wann kann ggf. von einer Information abgesehen werden? Welche Fallstricke lauern und warum ist das Fehlen von Informationen ein Risiko für den Verantwortlichen? Was ist ein Medienbruch und was gilt es dabei zu beachten? Am Ende gibt es noch Dos and Don'ts zu den Informationspflichten zu den Art. 13 und Art. 14 DSGVO.

Beinahe in jeder Episode diskutieren Joerg und Holger über einzelne Artikel der europäischen Datenschutz-Grundverordnung (DSGVO). Seit fünf Jahren ist das Gesetz nun in Kraft, seit drei Jahren wird es angewendet. Anlass genug, einmal auf die Entstehung zurückzublicken. Dazu ist Ralf Bendrath aus Brüssel zugeschaltet. Bendrath hat als wissenschaftlicher Mitarbeiter des (mittlerweile ehemaligen) grünen EU-Abgeordneten Jan-Philipp Albrecht (damals Berichterstatter des Parlaments zur DSGVO) maßgeblich am Gesetzestext mitgewirkt. Bendrath erläutert, wie Albrecht zu der Aufgabe kam, und wie die verschiedenen EU-Institutionen am Prozeß beteiligt waren: 2012 hatte zunächst die Kommission einen Vorschlag gemacht, der dann von Rat und Parlament diskutiert wurde. Albrecht musste fast 4000 (!) Änderungsanträge der Parlamentsfraktionen in seine Überarbeitung des Vorschlags einbeziehen. Außerdem empfingen er und Bendrath fast täglich Lobbyisten, die für Lockerungen so mancher DSGVO-Paradigmen warben. Das geschah ganz profan im Büro des Abgeordneten, "mit viel Club Mate", wie Bendrath erzählt. Spannend ist der Blick hinter die Kulissen des Brüsseler Alltags: Beispielsweise erläutert Bendrath, wie er sich abends gezielt in den Kneipen beim Bier zu Mitarbeitern des Rats gesellte um herauszufinden, wie dort der Stand ist, und um ihnen klarzumachen, wo die roten Linien des Parlaments verlaufen. Ein Beispiel sei die Zweckbindung bei der Verarbeitung personenbezogener Daten gewesen, die der Rat eigentlich kippen wollte. In diesem Prozess wurde der sogenannte Trilog vorbereitet, also die Verhandlung um eine finale Version des Gesetzestextes zwischen Parlament, Rat und Kommission, die Ende 2015 schließlich erfolgreich abgeschlossen wurde.

Seit drei Jahren gibt es die Datenschutzgrundverordnung (DSGVO). Angelegt als großer Wurf ohne Ausnahmen & Kompromisse, ist davon drei Jahre später nicht mehr viel zu sehen. Während Kaninchenvereine Probleme mit der Umsetzung haben, sind Facebook & Co. fein raus, sagt Joerg Heidrich, Datenschutzexperte von heise online. Moderation: Nico van Capelle detektor.fm/was-wichtig-wird Podcast: detektor.fm/feeds/was-wichtig-wird Apple Podcasts: itun.es/de/9cztbb.c Google Podcasts: goo.gl/cmJioL Spotify: open.spotify.com/show/0UnRK019ItaDoWBQdCaLOt

Direkt anschließend an unsere letzte Folge beschäftigen wir uns diesmal mit Datenschutz und Datensicherheit. Im Internet hinterlassen wir sehr viele persönliche Informationen. Das Recht auf informationelle Selbstbestimmung soll unsere Daten schützen. Die europäische Datenschutzgrundverordnung DSGVO soll unsere Daten schützen. Doch … Der Beitrag

Seit 25. Mai 2018 ist die „neue“ Datenschutz-Grundverordnung (DSGVO) in Kraft. Hotels müssen (so wie alle anderen Unternehmer) seitdem detailliert darlegen, welche personenbezogenen Daten von ihnen verarbeitet werden, wo diese liegen und wohin sie weitergegeben werden. Spätestens seitdem muss dokumentiert werden, dass alle geeigneten Maßnahmen ergriffen wurden, um personenbezogene Daten rechtskonform zu bearbeiten. Der Betrieb muss also beweisen, dass er alles richtig gemacht hat. Viele Hotels haben sich in Folge der neuen Verordnung darum gekümmert, die eigenen Prozesse möglichst datenschutz-konform aufzustellen. Da es bisher aber auch für DSGVO-Verweigerer größtenteils an Sanktionen gemangelt hat, hat sich die erste Aufregung rund um die neuen Pflichten bald wieder gelegt. Eine große Anzahl an Hotelbetrieben hat auch heute noch keine oder nur unzureichende Maßnahmen getroffen.