Hallo und herzlich willkommen in der Auslegungssache heute mit Episode 139.

Mein Name ist Horger Bleich, ich bin Redaktor bei CT, dem Magazin für Computertechnik, dass auch diesen Podcast hier ermöglicht und produziert.

Wir zeichnen heute auf am 22.07.2025 und an meiner Seite befindet sich wie stets mein sehr verehrter Mithoast Jörg und in der Mangelung eines anderen Gasters werde ich Jörg einfach heute mal ein bisschen länger vorstellen, so wie er immer die Gäste vorstellt.

Du bist justizjahr bei Heise Medien, Heise Medien GmbH und Coca-G in Hannover, dem Heiseverlag.

Du bist dort auch Datenschutzbeauftragter für mehrere Webauftritte des Verlags, so viel ich weiß.

Du bist aber auch Fachanwalt für IT-Rechte in Hannover, betreibst als Partner die Kanzlei Heidrich Rechtsanwälte Partnerschaftsgesellschaft MbH mit.

Du bist zertifizierter KI-Manager, du bist zertifizierter Datenschutzauditor, du bist Vorsitzender des Beschwerdausschusses Datenschutz des deutschen presserates, ich wusste übrigens gar nicht, dass du Vorsitzender bist, du bist mit Autor des Buches Datenschutz und IT-Komplienz, das Handbuch für Admins und IT-Leiter und natürlich bist du Autor vielerfach Artikel und gerne für Vorträge auf Fachkonferenzen gebucht, soweit ich weiß, soweit ich das beurteilen kann.

Und du bist ein großer großer Fan von KI, aber das wissen alle, die hier schon länger zugehört haben.

Hallo Jörgs, freut mich sehr, dass du heute da bist.

Und KI und von Katzen, das hast du natürlich vergessen, falls es hier ein bisschen schnarcht, dass das hier ein Kater, der hier neben mir liegt, aber ich glaube, das wird ausgefilft hinterher.

Vielen Dank für die freundliche Begrüßung, ich freue mich sehr, hier zu sein.

Jörg, was hat dich denn zu IT gebracht?

Zulehung.

Das ist vielleicht tatsächlich eine ganz interessante Frage, was mich zum Daten- oder zum IT-Recht gebracht hat.

Das war meine Mutter.

Ist ja schon immer für Computer und so interessiert, das war so Ende der 90er, es ist schon ein Weichen her und dann hat sie in der Zeitung einen Artikel gelesen über diesen Rechtsanwalt in Düsseldorf, der damals gelebt, der so als einer, der erst einen IT-Recht gemacht hat.

Und dann meinte er sich so, das ist doch vielleicht doch was für dich.

Und dann habe ich den gesuchten, mich da beworben und er hat mich dann auch genommen und dann so habe ich angefangen, mich mit IT-Rechten zu beschäftigen.

Also eigentlich ein zimtiger Zufall, sonst wäre ich wahrscheinlich ein ganzes Strafverteidigung oder so was.

Meinst du, aber im Moment sagst du doch immer, straffrecht interessiere dich gar nicht so, ne?

Ja, das interessiert mich schon, also öffentliche Rechte interessiert mich recht gesagt nicht so sehr, aber ich weiß nicht, das war damals jedenfalls der Plan und dann kam mir dieses IT-Recht dazwischen.

Ist auch schon, will ich gar nicht sagen, 7, 27 Jahre her, der Zeit vergeht, wenn man Spaß hat.

Genau.

Genau.

Das ist ja auch unser Thema.

Genau.

Jetzt, womit starten wir heute?

Wir sind heute nur zu zweit.

Wir machen heute nur zu zweit.

Wir machen jetzt noch mal Pause, reiten mal ein bisschen durch die Themen, die unsere bewegt haben.

Die letzten zwei Wochen ist ja vielleicht auch mal ganz interessant, dass wir heute mal nicht ganz monothematisch unterwegs sind, aber wir starten natürlich mit dem obligaturschen Bußgeld der Woche.

Das können wir uns natürlich an dieser Stelle nicht entgehen lassen und unser Bußgeld der Woche kommt heute aus Italien und es hat getroffen die Autostrade per L'Italia SPA.

Es ist vermutlich irgendwas mit Autostraßen, kann aber auch kein Italienisch.

Das Bußgeld ist relativ frisch, mal Ende Mai 25 und das geht um Artikel 5, Grundsatz für die Verarbeitung und Artikel 6, Rechtmäßigkeit der Verarbeitung.

Was war passiert?

Die italienische Aufsichtsbehörde, die Garante, folgte der Beschwerde einer Mitarbeiterin, die die Verwendung von Inhalten aus ihrem Facebook-Pofil und privaten Chats auf Messenger und WhatsApp durch das Unternehmen, also diese Autostrade, gemeldet hatte und diese Inhalte waren von dem Unternehmen verwendet worden, um ein Disziplinarverfahren gegen diese Beschwerdeführerin zu rechthörtigen und die Beschwerde hat außerdem Hinweise auf Inhalte enthalten, die, also insbesondere aus dem WhatsApp-Profil geteilt wurden, dann wahrscheinlich von anderen Mitarbeitern und die Bägerin oder die Beschwerdeführerin wirft dem Unternehmen eine unrechtmäßige Verarbeitung ihrer Daten vor und insbesondere eine unzulässige Verwendung personenbezogener Daten aus Nachrichten und WhatsApp-Messenger konnten sowie aus ihrem Facebook-Profil und das sieht die Garante ganz ähnlich und weist darauf hin, dass das Unternehmen von der Verwendung dieser Daten hätte absehen müssen und zwar spätestens dann, soweit der private Charakter der Gespräche und Kommentare offensichtlich wurde und das war hier wohl der Fall.

Wir haben leider nicht, auch wenn die Unterlagen uns im Italienischen, also ich hab TPT auf die Unterlagen im Italienischen schauen lassen, da ist dann leider auch nicht genau drin, worum es hier geht, aber welche Inhalte das waren, aber es waren natürlich, wenn es Sachen aus WhatsApp und Messenger waren, definitiv nicht private Inhalte und Inhalte auf Facebook, das ist das, was wir aussetzen können.

Und die Garante sagt diese Verwendung, diese Information verstieß gegen die DSGVO und zwar in Form der festgewehten Grundsitz der Rechtmäßigkeit, des Zwecks und der Datenminimierung und das finden wir besonders interessant, haben wir im Vorgespräch drüber gesprochen heute und ich, die Behörde, wie es daraufhin, dass personenbezogene Daten, die in sozialen Netzwerken vorhanden oder auf andere Art und Weise online zugänglich sind, nicht frei und für jeden Zweck verwendet werden können, nur weil sie für ein mehr oder weniger breites Publikum sichtbar sind.

Find ich interessant, kann man drüber diskutieren, würde ich sagen.

Ansonsten wurde hier dann nochmal auf den Zweckbindungsgrundsatz abgehoben und man sagt eben dieses sei für private Zwecke, Wartekommunikationskanal, Kanäle.

Und das Ergebnis war ein Bußgeld in Höhe von hier 120.000 Euro, also ziemlich weit oben, so finde ich jetzt nicht so wenig.

Autostrada, irgendetwas ist vermutlich mal nicht so ganz klein, wenn das das ist, was wir denken.

Aber nichtsdestotrotz, ein relativ hohes Bußgeld.

Wir haben Zweifel, oder?

Also ich habe keine Zweifel, dass das nicht irgendwelche Sachen aus privaten Chats veröffentlicht werden oder verwendet werden dürfen.

Wenn die sich aber, und das muss es hier gewesen sein, zum Beispiel auf Facebook, über das Unternehmen äußert, die wird sich da ja nicht über Fußball oder so geäußert haben, dann finde ich das schon relevant und dann würde ich auch nicht sagen, dass das gegen den Zweckbindungsgrundsatz verstößt, das im Rahmen von Disziplinarverfahren zu verwenden.

Es muss ja nicht mal sein, dass sich über das Unternehmen, wenn es ein Disziplinarverfahren war, könnte ja auch sein, dass es sich politisch anstößig geäußert hat oder keine Ahnung, was da alles, was da, kann ja auch Fußball-Ultra sein und sich unflädig oder rassistisch geäußert haben.

Ich habe keine Ahnung.

Nur, also wenn in dem Moment finde ich, wo es wirklich öffentlich verfügbare Postings sind, und ich so verstehe ich diese Mitteilung hier, dann finde ich das mit der Zweckbindung aber äußerst schwierig.

Was ist denn dann mit, dürfen dann, der ewigstrittige Fall, dürfen dann Personaler bei Bewerbungen vorher sich im Bild machen auf in öffentlich zugänglichen Quellen und Profilerstellen, über einen Bewerber, was er so online schreibt, zum Beispiel?

Da hat die Herrscher Mannung, nein.

Gut, aber das würde ja dann dieser Linie entsprechen, weil das eine Zweckentfremdung wäre.

Also es entspricht halt nicht der Absicht, die der Nutzer hatte, also das Posting abgesetzt hat, dass es so verwendet wird.

Kann man vielleicht zu sehen, aber finde ich schon sehr eng.

Also ich bin ja immer so ein bisschen der Meinung, wer sich in sozialen Netzwerken rumtreibt und ich meine, da kannst du weitergehen, kannst du sagen, kannst du Influencer posten, ihre Postings nur zum Zweck des Influencing, wenn es zu irgendwelchen anderen Zwecken benutzt wird oder keine Ahnung, dann wird es auch schwierig und so.

Also wer sich in die Öffentlichkeit begibt mit dem Posting, finde ich, der muss aber auch damit rechnen, dass ein Posting rezipiert und in vielleicht auch einem anderen Zusammenhang genutzt wird oder also ich weiß nicht, da bin ich ein bisschen, finde ich ein bisschen zu eng gesehen.

Ja, also ich glaube eigentlich sind für uns Zeckding und Grundsatz passt hier für die privaten Kommunikationskanäle.

Ja, also das ist ja was komplett anderes klar.

Also wenn du zum Nehmen wir mal an, das ist eine geschlossene Facebook Messengergruppe oder eine WhatsApp-Gruppe, dann gelten da völlig andere Bedingungen, finde ich, als wenn du dann kannst du nicht damit rechnen, dass das zu so einem Zwang oder zu so einem Zweck wie nach späteren Disziplinarmaßnahme rausgetragen wird und eine Personalabteilung gerät oder so, finde ich.

Ja, trotzdem auch mir mal Advokates Diaboli zu spielen, wenn der Dat oder die da Unternehmensdetails verrät, vielleicht Unternehmensgeheimnisse, Beleidigung, andere Mitarbeiter.

Also Unternehmensgeheimnisse wäre das dann Datenschutz?

Also nee, das kommen wir da nicht in einen ganz anderen Bereich.

Ja, wenn ich da sozusagen mal, kann man ja auch in Richtung Datenschutz, das geht ja nicht um den Inhalt um Datenschutz, was sie gesagt hat, sondern es geht die Tatsache auch, wie man die Äußerungen verwenden kann, die ja dann auf jeden Fall personenbezogen sind.

Personenbezogen, die die Person sich selber geäußert hat.

Ja, ich glaube, das sind wir schon eigentlich.

Ja, also ich weiß nicht, wahrscheinlich müsste man dann wirklich den Beschluss nochmal komplett im Volltext auseinandernehmen und analysieren zu gucken, um deren Argumentation komplett zu verstehen.

Vielleicht haben wir auch nicht alles irgendwie erfasst.

Aber so wie sie es jetzt hier darstellt, aus deren Pressemitteilung und aus deiner Jetcheap in die Analyse, hätte ich da groß, also finde ich es ein bisschen, habe ich ein Störgefühl, sagen wir es mal sagen.

Ja, also ich habe es mir sogar besetzen lassen, aber ich habe nichts da im Detail gefunden, weil ich fand, das ist ja schon ganz spannend, die Idee entspannend.

Und 420.000 ist in Ordnung, man kennt den Umsatz nicht.

Ich meine, man muss immer dazusagen, dass der geschädigte, die mal nicht geschädigte, davon jetzt erstmal nichts hat.

Das geht ja dann zur Behörde, das Bußgeld, bzw.

ich weiß nicht, wie es in Italien ist, ich glaube dann auch an den Start.

Aber natürlich könnte ich mir vorstellen, Jörg, dass wenn man dann nach, dann eventuell eine Chansersatzlage anstrengt oder so, dass man dann wahrscheinlich mit so einer Entscheidung rücken, der Landschutzbehörde, bessere Karten hätte vorgerichtet.

Ja, auf jeden Fall, klar.

Da erweit mir viel bessere Karten und da kommt dann auch, glaube ich, genannte Null dran.

Und egal von Null dran reden, schöner Übergang.

Es gab diese Woche ein oder in diesen Wochen ein interessantes Urteil, das glaube ich die ganze Datenschutz-Community zumindest mal hatte ein bisschen aufschreien lassen.

Nee, aber zumindest genau hinzuschauen.

Wir haben ja ganz viele Urteile und auch ganz viele Urteile von Ohrengerichten inzwischen in Sachen Facebook.

Da ging es viel um die Facebook-League, Hauptsache ging es um die Facebook-League und jetzt gibt es hier einen Urteil, da gab es aber auch schon vorher welche, wo es um die Facebook-Business-Tools geht.

Jörg, kannst du mal erklären, was die Facebook-Business-Tools sind oder was die hier runter zumindest verstanden haben?

Das sind zum Beispiel Social Plugins oder kleine Webpixels, was auch immer, das sind zumindest Werkzeuge, mit denen du als Website-Betreiber deinen Erfolg bei Facebook auf deiner eigenen Website messen kannst.

Das heißt du kannst den Traffic von und zu Facebook zum Beispiel messen, also wie viele Leute kommen gehen von deiner Webseite zu Facebook und umgekehrt.

Das Entscheidende ist, Facebook kriegt also mit, wer auf deiner Seite zu Besuch ist und woher er kommt und wohin er geht.

Das heißt Facebook hat ein Tracking-Werkzeug für außerhalb von Facebook oder entsprechend Instagram hat ein Tracking-Werkzeug für außerhalb von Instagram, weil da funktioniert es ganz genauso.

Das führt dazu, dass viele dann schon von so, von einem erheblichen Ausmaß das Überwachungskapitalismus sprechen, weil normalerweise ist es ja so, wenn du auf Plattformen bist, wirst du überwacht, ist klar, vor allem wenn du eingelockt bist, wirst du nochmal doppelt überwacht, wenn du aber außerhalb bist und nicht eingelockt bist und trotzdem überwacht wirst, außerhalb ist der Plattform selbst, dann ist es natürlich schon sehr, sehr raumgreifend und da hat Facebook natürlich mehr Instrumente, die weit über die eigenen Plattformen ausgehen und die werden auch genutzt, um Nutzer zu checken, um Profile zu erstellen und in Ziegerechte der Werbung auszuspielen, wenn sie auf der Plattform sind.

Genau, und für die Unternehmen, die das verwenden, hat das den Vorteil, dass sie zum Beispiel sehen, ob ihre Werbung, die sie auf Facebook schalten, konvertiert.

Konvertiert?

Ganz genau.

Konvertiert?

Konvertiert.

Konvertiert.

Konvertiert.

Nicht konvertiert.

Konvertiert.

Konvertiert.

Ja.

Gut, darum ging es hier, also konkret auf Facebook Pixel insbesondere, Social Plaggerns und das ganze, das habe ich gar nicht gesagt, war vor dem Landgericht Leipzig, beklagte, Klecker war ein Facebook-Nutzer, beklagte war Meta Irland als Betreiberin und das Gericht hat hier ein Zeichen gesetzt, ich glaube anders kann man das nicht interpretieren und hat dem Läger mal eben 5.000 Euro Schadensersatz zugesprochen.

Was hat er denn für einen Schaden gelten gemacht?

Das ist wirklich viel, wenn man sich die sonstigen DSGVO Schadensersätze anschaut, auch für verharte Dinge, so irgendwie deine komplette Gesundheitshistorie wird versehentlich an irgendwer verschickt oder so, da kommst du meistens nicht mal auf 5.000 Euro, also das ist wirklich, wirklich viel.

Was waren die Entscheidungsgründe?

Das Gericht sah in dieser von Facebook durchgeführten systematischen Erhebung und Nutzung der personenbezogenen Daten einen schwerwiegenden Verstoß gegen die DSGVO, jeder Facebook-Nutzer sei für Meta jederzeit individuell erkennbar und er werde deswegen praktisch rund um die Uhr überwacht.

Und diese Datenverarbeitung erfolge zudem ohnehin reichende Transparenz, es gibt keine Rechtsgrundlage, insbesondere keine Einwilligung der Betroffenen und Bemerkenswert ist hier halt die Schadenshöhe, denn das Gericht hat diese Schadenshöhe eben gerade nicht an einem konkret nachweisbaren individuellen Schaden festgemacht, sondern hat stellvertretend auf den Durchschnittsnutzer abgestellt, also allgemeine Betroffenheit des aufmerksamen und verständigen Durchschnittsbetroffenen und es reichte, dass dieser ein Überwachungsgefühl hatte und dass er das Gefühl hatte, dass sein Privatleben überwacht und ausgewertet wird.

Und natürlich eine Mord-Signalwirkung, also die Kammer hat hier, ich glaube wollte mal so richtig auf den Tisch schauen und wollte eben deutliche Sanktionen machen, um auch ein klares Signal zu setzen.

Das haben wir ja auch noch gesagt.

Das ist schon gelungen, ja und noch einen Satz aus dem Urteil oder ein paar zwei Sätze aus dem Urteil, diese Daten sendet Metairland ausnahmslos weltweit in Drittstaaten ins Grunde in die USA, dort wertet sie die Daten für den Nutzer unbekannte Maß aus, das werde ich auch unterschreiben, das gesamte Privatleben des Nutzers wird überwacht, das wird jetzt nicht unterschreiben, würde ich auch nicht so unterschreiben, also es wissen, der Fall ist alt, der Fall ist bekannt und dass es diese Business-Tool gibt und dass es die Überwachung von Nutzern oder checking von Nutzern aus auf Facebook gibt, das ist nun wirklich auch nicht neu, also der Anwalt der das erstritten hat, hat seine Meldung dazu überschrieben mit Meta-LG Leipzig der Überwachungsskandal und dem kann ich nicht so ganz folgen, also das ist jetzt der neue große Überwachungsskandal ist, also wir berichten darüber seit zig Jahren, dass das genau so abläuft, natürlich ist es, wenn das Gericht sich jetzt neu damit beschäftigt hat, wird es wahrscheinlich überrascht gewesen sein, wenn es bis dato davon noch nichts gehört hat, aber ob das dann, ich meine das Gericht muss ja einkalkulieren in seine Entscheidung, dass davon so gute jeder Web-Nutzer in Deutschland betroffen ist und wenn sie das jetzt hochrechnen, diese 5000 Euro auf sagen wir mal 10 Millionen Klagen in Deutschland, dann wird es aber happig mit Meta, ich glaube schon das war ein Meta da so ticken, gut Meta ist gerade auf 8 Milliarden Schaden, der hat es in den USA verklagt, das sind dann nochmal andere Summen, aber da können sie ohne weiteres hier auch in den Bereich kommen, wenn die anderen Gerichte genauso entscheiden, wobei ich das nicht glaube, oder?

Also das ist ja schon ziemlich ausreißer und ich finde auch, ich finde, ich wäre persönlich zu hoch, muss ich ehrlich gesagt sagen, also natürlich können sein, dass es ein Großteil von deinem Online-Verhalten ist.

Also ich kann mir vorstellen, sagen wir mal so, in diesem Facebook Scraping-Fall, den du vorhin erwähnt hast, der von BGH gelandet ist und dort entschieden wurde, da der BGH ja gesagt, dass er da 100 Euro, hat ja diese konkrete Zahl genannt, 100 Euro für einen angemessenen Schadenersatz zum Erhält in dem Fall, wahrscheinlich sind die davon jetzt ausgegangen und haben gesagt, das hier ist ja ungleich härter als das beim Scraping-Fall, da ging es vielleicht mal darum, dass irgendwie aus Versehen durch eine falsche Einstellung eine Telefonnummer von Nutzern gelegt wurde oder sowas und dann in irgendwelchen dubiosen Quellen aufgetaucht ist, dass es wahrscheinlich, haben die nicht als so schwer bewertet, als dass Facebook willendlich und wissendlich irgendwie Nutzer über Webseiten hinweg treckt und um über sie Profile zu bilden, wahrscheinlich sehen sie da irgendwie, na ja gut, 50 mal höher, ne?

Schon ordentlich.

Ja, das andere, was mir ein bisschen aufstößt, ist diese, die Frage, was für einen Schaden der Betroffene darunter hatte, also natürlich reichten auch.

Das ist doch ein reingefühliges Ding hier, so wie ich das gerede.

Das ist ein total gefühliges Ding, ja, also die BGH-Sprechung empfinde ich da als total sich widersprechen, da steht dann irgendwie gesagt, ja, ich muss es nicht krank, okay, nachweisend muss es aber schon irgendwie verhandeln sein und das ist mir ein bisschen wenig.

Ja, und hier reicht das Gefühl und so, du hattest es, glaube ich, vorhin gesagt, ich weiß nicht ganz, ne, damit nicht mehr ganz genau, die haben ja auch gleich gesagt, sie haben darauf verzichtet, überhaupt den Geschädigten anzuhören, weil das hat das Gericht in der Pressemitteilung gesehen.

Ja, okay.

Genau, sie haben den, also sie haben den gar nicht angehört, weil sie gesagt haben, das ist ja klar.

So, und da werden wir, daraus werden, aus der Anhörung werden wir keine neuen Erkenntnisse bekommen.

Das heißt, sie wollten von ihnen überhaupt kein Nachweis haben, das Schadens.

Ja, also ich kenne die Materiellen schon gar nicht, aber auch die wollen den immateriellen Schaden auch nicht geschildert haben oder so.

Ja, also ich kenne das aus ganz vielen anderen Verhandlungen, wo dann halt die drauf noch vorgeladen werden und die Gerichte dann zum Teil ziemlich hart auch angehen, um halt zu sagen, na ja, wir sind in den konkreten Folgen, dann kommt so das übliche nicht, ich habe viel mehr Spam mehr zu bekommen, ich habe Telefonanrufe bekommen, ich kann da nicht mehr schlafen.

Was man halt so sagt, würde ich ja auch an der Stelle tun, aber na ja.

Sag mal, wirst du dir eigentlich schon was zur Rechtskraft?

Nee, ne?

Nee?

Ich kann mir ja nicht vorstellen, dass Facebook das so stehen lässt.

Nee.

Also ich bin mir 100% sicher, dass Facebook das nicht so stehen lässt, das wäre wirklich gefährlich auch für die.

Ich habe nur auch noch nichts dazu gelesen, also mal gucken.

Nee, weiß ich auch nicht.

Ich habe sogar auch selbst Internet gefragt, sollte man, ich mache es noch mal nächste Woche, ich frag den da.

Ja, die werden das nicht stehen, das kann ich mir nicht vorstellen.

Ja, also skurriles Urteil in der Höhe finde ich auch ein bisschen.

Sehr hoch ins Regal gegriffen, hoch ins Regal gegriffen hat Microsoft, in dem sie haben sagen lassen, dass es überhaupt keine amerikanische Überwachung auf in Europa gehosteten, auf in Europa gehostete Daten gibt und muss man so ein bisschen zurück rudern, was Dichhorga einigermaßen erzurent hat.

Na ja, es war nicht überraschend, aber ich hatte vor einiger Zeit mal ein CT in Artikel geschrieben, wo ich auch ein bisschen diese EU Boundary beschrieben habe, also Microsoft hat größte Anstrengungen genommen, auch aufgrund der ganzen Skepsis von europäischen Kunden, die ja auch angebracht ist, dass eben der amerikanische Staat Durchgriff auf zum Beispiel auf Geschäftsgeheimnisse oder private Sachen von europäischen Unternehmen haben könnte.

Und das haben sie gesagt, wir unternehmen alles, das zu verhindern.

Wir bauen eine Datengrenze, eine Data Boundary zwischen USA und Europa und da, die ist undurchlässig, da passiert nichts.

Also haben alle Daten nach Europa gezogen, die von europäischen Tendenz, also von europäischen Geschäftspartnern in der Azure Cloud gehostet werden.

Alles Exchange, Microsoft 365 ist alles, liegt alles in Europa angeblich ohne Zugriff des US-amerikanischen Staates, seiner Behörden, zum Beispiel Strafverfolgungsbehörden oder auch Geheimdienste oder sonst irgendwas, das sei schon alles gut.

Und das sei man komplett DSG/EVO-konform, weil man sich komplett auch diesem angemessenheitsbeschluss gebeugt hat und alle US, alle deutschen Unternehmen, europäischen Unternehmen können sich sicher sein.

Ich hatte da schon große Zweifel, weil es gab auch schon Äußerungen von Technikern von Microsoft, die gesagt haben, na ja, in ganz bestimmten, unter ganz bestimmten Umständen kann es schon sein, dass Microsoft Redmond, weil da bestimmte Teile der IT liegen, doch durch Griffsmöglichkeiten hat, aber das müssten dann die Europäer extra genehmigen und so, aber das sind dann wieder Compliance Sachen, das sind keine technischen Sachen.

Also sie haben schon in der Vergangenheit zugegeben, es gibt schon noch technische Möglichkeiten auf diese europäischen, von europäischen Kundendaten zuzugreifen.

So, und jetzt gab es eine Anhörung am 10.

Juni in Frankreich, da hat der Französische Chefs Justizjahr von Microsoft vorgeladen worden und der hat man so nonschalant, dass es aus dem Protokoll dann ersichtlich geworden ist, hat erst später jemand ausgegraben, zu dem Tag war das noch gar nicht relevant diese Aussage, hat gesagt, na ja, also ehrlich gesagt, der Cloud Act, der US-amerikanische Cloud Act, der es amerikanische Strafverfolgungsbehörden mit richterlicher Anordnung erlaubt, auf europäische Kundendaten von Microsoft zuzugreifen, also auch von Kunden, die außerhalb der USA gehostet sind, also zum Beispiel genau das, was jetzt diesen Fall betrifft, der würde diesen Durchgriff nach wie vor ermöglichen und die würden, wenn die einen Antrag stellen, dann müsste Microsoft den Antrag prüfen und wenn es tatsächlich eine strafrechtliche Relevanz hat und die zum Beispiel das FBI braucht diese Daten, dann muss Microsoft die rausgehen, und zwar von europäischen Kunden.

Damit ist diese ganze EU-Boundary quasi wieder hinfällig, weil man ja großsprachig gesagt hat, na ja, na ja, na ja, die amerikanischen Überwachungsgesetze wie Cloud Act oder so, die haben dann jetzt hier keine Bedeutung mehr und das stimmt einfach nicht, es war eigentlich absehbar, also man hätte auch nicht wissen können, wie sie es machen wollen, weil sie können sich diesen amerikanischen Rechtsdurchsetzung nicht entziehen, das kann zum Beispiel Amazon auch nicht, also das Gleiche gilt natürlich auch für AWS, also für den Amazon Cloud Service und für den Google Cloud Service genauso überall da gibt es diese Durchgriffsrechte durch dieses Gesetz von 2018 aus der ersten Administration, den Cloud Act und damit hat der das aber mal so Amazon bestätigt und das hat schon ein bisschen Aufschrei gesorgt, wie ich finde auch zu Recht, weil Microsoft zumindest was anderes versprochen hat.

Ich bin mir nicht sicher, ob sie tatsächlich so weit gegangen sind, zu versprechen, dass der Cloud Act nicht gilt, echt?

Dann muss es schon fast alles nicht, weil das war eigentlich völlig absehbar, dass das nicht der Fall ist, also dafür ist der Cloud Act ja gerade gemacht worden.

Und gerade Microsoft, da muss man sich auch mal loben, hat ja auch ziemlich viel getan.

Daraus ist der Cloud Act überhaupt daraus erst entstanden, das war ja ein konkreter Fall, eine Strafverfolgung, da wollte glaube ich auch das FBI damals Daten von Microsoft von europäischen Kunden haben und dann haben die sich komplett quergestellt und haben diesen Antrag nicht entsprochen und diesen Auslieferung, diesen Quasi-Daten-Auslieferungsersuchen und dann ging das durch die Instanzen.

Und in der Folge hat dann Trump gesagt, diese Lage muss geklärt werden, dann machen wir den, die war nämlich vorher nicht ganz geklärt, dann machen wir den Cloud Act um das ganz klarzustellen, dieser Durchgriff gilt.

So und seit dem 2018 gilt er eben durch den Cloud Act.

Ja und sie haben sich danach dagegen gewährt, aber ich kann mich über den Cloud Act immer nicht so ganz aufregen, weil Cloud Act ist halt irgendwie, da kommt eine Strafverfolgungsbehörde und es gibt irgendwie, werden auch nur so eine Art nicht so richtig normales Gericht, aber es gibt sowas ähnliches wegen Gericht.

Bin ich jetzt nicht die große Bedrohung, ehrlich gesagt, wobei wir natürlich genau alle, also ich muss jetzt nicht kein Verschwörungstheoretiker zu sein, um zu sagen, natürlich hat die mir die ganzen Geheimdienste und so weiter im E-Zugriff auch sowas, die werden über sowas umzuwasern, auch lachen, aber sowas kann man dann ja, da bin ich bei der sowas, sollte man dann noch nicht versprechen, wenn man wirklich unter gar keinen Umständen halten kann, das war ziemlich offensichtlich, dass man es eben nicht halten kann.

Was ich damals gehört habe, das ist jetzt eine wirklich sportliche Aussage und ich hatte nicht mal den Teil mit dem Cloud Act gehört.

Also im Zusammenhang mit dem Cloud Act noch mal, kann man vielleicht auch noch mal darauf hinweisen, dass der Cloud Act ein wesentlicher Punkt ist, der in die ganze Behandlung von dem, ja, das ist nochmal, da muss ich sagen, dass das zentraler Bestandteil war, dass es Abwehrmöglichkeiten gegen Durchgriff, dass es Cloud Acts gibt, der Cloud Act und Pfizer, das waren die entscheidenden Komponenten, die die Kommission, EU-Kommission unbedingt geregelt sehen wollte mit Widerspruchsmöglichkeiten, bevor es einen neuen Angemessenheitsbeschluss gibt.

Und wenn man das jetzt hier so sieht, reißt halt wieder ein kleines Loch in dieses ganze Konstrukt.

Ja, wir müssen auch demnächst unbedingt mal eine Sendung machen über diesen Transatten, über den, den Stand ist, unter datischen Datenverkehrs.

Ich habe jetzt gerade diese Woche mal wieder mich versucht, ein bisschen auf den Stand zu bringen, es gibt tatsächlich nicht viel Neues.

Also es war ja eigentlich, eigentlich war man sich ja sicher, dass Trump das ganze Ding kippt mit einer Exekutivorder, hat er aber bis jetzt noch nicht gemacht, also im Moment.

Also zum Beispiel, dass er diese Kontrollcremien per Exekutivorder quasi ausschaltet.

Er hat sie jetzt zwar ein bisschen entbeint, hat sie reduziert, aber scheinbar ist es für die EU-Kommission noch nicht genug, um darüber nachzudenken, dass den Angemessenheitsbeschluss zu gucken hat.

Ich meine, da würden sie sich wirklich sehr viele Feinde mitmachen in der darbenden europäischen Datenindustrie.

Ich glaube, Gedanken machen direkt so noch.

Aber ich glaube, sie trauen sich ja nicht, da wirklich was zu machen.

Eigentlich müssten sie wahrscheinlich.

Aber Apropos?

Apropos EU können wir noch mal kurz darüber reden, dass nach wie vor Reformbestrebungen an der DSGVO-Bastelein rumgeistern und so gut heute mit den Überleitungen.

Und jetzt hat sich die der Europäische Datenschutzausschuss auch mit einer Stellungnahme geäußert, fand ich ein bisschen überraschend, der sagt ja, ja, ja, ja, die DSGVO ist schon richtig hochgehalten, bla, bla, bla, bla.

Aber Jörg, was hat er denn gesagt, was will er denn beschlimm besser haben?

Also in der Stellungnahme habe ich jetzt wenig gefunden eigentlich, was jetzt ein konkrete Aussage war, was natürlich damit zu tun hat, dass die Vorgaben der EU ja auch noch nicht so 100 Prozent konkret sind, sondern es gibt halt irgendwie eine ganze Menge Überlegungen, oder das weißt du wahrscheinlich sogar besser als ich, in die eine oder andere Richtung.

Eine Sache, die glaube ich relativ konkret ist, ist halt, dass man, auch dass das durchkommt am Ende, ist halt, dass man Unternehmen von Bürokratie befreien möchte, insbesondere KMU, also kleine und mittler Unternehmen und hier insbesondere kleine Unternehmen.

Und eine der größten Schmerzen in Sachen Bürokratie ist ja das Verzeichnis der Verarbeitungstätigkeiten.

Das ist auch so, ne?

Ich weiß, es gibt ganz viele Kollegen, die sagen, das ist das absolute Rückgrat meiner Datenschutz-Tätigkeit.

Das ist so wichtig, kann auf gar keinen Fall darauf verzichten.

Vielleicht sagst du nochmal ganz kurz, was das ist, Verfahrensverzeichnis.

Verfahrensverzeichnis, also das sind sich Verzeichnissen von Verarbeitungstätigkeiten, ist halt ein komplettes Verzeichnis über alle Verarbeitung von personenbezogene Daten in einem Unternehmen und das ist also sehr, sehr aufwendig.

Also je nach Größe des Unternehmens, das können natürlich auch Tausende sein, auch je nach Größe des Unternehmens und je nach Komplexität kann aber auch natürlich irgendwie, ich bin Bäcker und habe eine Auslieferungsliste oder so, dann ist es halt nur eins oder zwei oder drei, dann habe ich wahrscheinlich noch Personen, Mitarbeiter, Verzeichnisse, ich habe HR, ich habe, irgendwie kommt man auch auf ein paar, ich habe bestimmt irgendeine Software, ich habe E-Mails, also da kommt man auch manchmal vom Bäckerbestell auf locker.

Da muss hier zum Beispiel auch drin stehen, keine Ahnung, wenn der Bäcker eine Kundenverwaltungssoftware hat oder so ein Abrechnungssoftware, da muss auch drin stehen, was der Versoftware einsetzt und so zeugt, oder?

Wie die Software heißt, muss da jetzt nicht zwingend rein, aber die Tatsache, dass es hier eine Software ist, die, also man kann es auch einschreiben, macht wahrscheinlich Sinn, aber es muss halt drin stehen.

Was die macht und insbesondere, wie die halt Personen zum Daten verarbeitet, das ist aufwendig.

Das ist, ich würde mal schätzen, das ist in sehr vielen Unternehmen in Deutschland, gerade bei den Kleineren gibt es davon, ganz kurz vorgegangen, da gibt es davon eine Version von 2018, die seitdem nicht mehr angefasst wurde, so und da möchte man so ein bisschen hin, Unternehmen in diesem Punkt zu erleichtern.

Aber jetzt muss ich noch mal sagen, also da gibt es ja so, wir haben das ja schon hier schon öfter besprochen im Podcast.

Es gibt ja genau die, vor allem die im beratenden Bereich tätig sind die sagen, nur über dieses Verfahrensverzeichnis kriegt man Unternehmen dahin, ihre Datenverarbeitung zu strukturieren, mal sich einen Überblick zu verschaffen, in die Abteilung zu gehen, zu gucken, was da eigentlich passiert und da tauchen auch überraschende Sachen auf und es ist einfach so ein awareness Ding, dass sie Unternehmen verstehen, was sie da eigentlich tun mit den Daten, dass sie sich selber mal einen Gesamtüberblick verschaffen.

Und dann gibt es auch, hatten wir ja auch schon hier, Landesdatausschussbeauftragter, die zum Beispiel sagen, naja, wir gehen jetzt halt, wenn wir mal ein Unternehmen reingehen und machen eine Kontrolle oder so, dann gucken wir uns zuerst mal das Verfahrensverzeichnis an und es ist wirklich blöd, wenn kein Star ist.

Also das kann dann schon wirklich für Ärger sorgen, oder?

Wenn ich es verstanden habe.

Ja, das ist schon so ein halbes Buchskeld, wenn das gar nicht da ist, es sollte schon irgendwie da sein, es muss wahrscheinlich, also wer gibt es kein Buchskeld, wenn es nicht gibt.

Ja, das ist ja mal auch unter dem Stichpunkt Datenschutz für die Schublade, das ist ein Ding, was du machst, das legst du in die Schublade und wenn dann irgendwann mal der Behörde einreitet oder was anfordert, dann kannst du das dann vorlegen, kannst du daraus holen aus der Schublade?

Ja, das wäre eine Art und Weise das zu sehen, ehrlich gesagt, wenn die ich so ein bisschen dahin, aber ich weiß, wie gesagt, dass es ganz viele Kollegen gibt, die das ganz anders sehen und das so als zentrale Rückgrat ihrer Datenschutzberatung machen, dass sie davon eben immer ausgehen, was sicherlich auch gut und sinnvoll ist.

Aber wir sind uns einig, es macht sehr viel Arbeit und je kleiner das Unternehmen ist, desto schwieriger ist es für das Unternehmen, sowas zu machen.

Also natürlich holt man dann externen Raten, das macht man nicht selber, mache ich ehrlich gesagt auch nicht selber.

Wir haben einen Dienstleister, der so alle einmal im Jahr oder alle anderthalb Jahre mal bei uns einfällt und den ich dann durch alle Abteilungen jage und der dann die Gespräche führt und dann uns was Schönes bastelt.

So habe ich selten rein geguckt, muss ich ehrlich gesagt sagen, aber wir haben es auf jeden Fall.

Und so wird es bei vielen anderen Unternehmen auch sein.

Und jetzt möchte, bis bisher steht es, gibt es eine Ausnahmeriegelung für kleine Unternehmen in der DSGVO.

Die DSGVO ist in Artikel 30 Absatz 5 und das ist eine, ich persönlich finde, der völlig missglückten Regelung in der DSGVO, die soll Unternehmen mit weniger als 250 Beschäftigten von diesen Pflichten ausnehmen.

Da steht drin, die Pflichten, also Verzeichnungs- und Verarbeitungstätigkeiten, gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.

Es sei denn, wie von Ihnen vorgenommene Verarbeitung wirkt ein Risiko für Rechte und Freiheiten der betroffenen Personen, was immer der Fall ist, immer, Komma, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9.

Also wirkt ein Risiko, was auch immer der Fall ist und erfolgt nicht nur gelegentlich, was auch immer der Fall ist, weil welchem Unternehmen erfolgt, denn die Verarbeitung personenbezogene Daten nicht gelegentlich, also das gibt es nicht.

Also jeder, der E-Mail bekommt, dann bin ich schon raus aus, nicht nur gelegentlich.

Also ich habe jedenfalls in meiner Praxis, die Start-ups zum Beispiel, die Kleiner sind beraten, aber auch die kamen hier rein.

Deswegen war diese, zumindest noch meine Erfahrung, falls nicht, haben andere Erfahrungen gemacht, ist diese Vorschrift völlig missloggen.

Jetzt möchte man sie angehen und Man ist der Europäische Datenschutz-Ausschuss.

Der hat sich dazu geäußert, also die Europäische Kommission möchte daran gehen und die möchte ja die Unternehmen von Bürokratie entlasten und die sagen, dass diese Anzahl von 250 auf 750 Mitarbeiter erhöht werden muss.

Und kann man machen, wenn man den aber im Übrigen unverändert lässt, kann man das auch gleich sein lassen, weil das ist völlig völlig daneben.

Ich weiß, ehrlich gesagt nicht, hätte man nochmal nachlesen müssen, ich weiß nicht wie die wie die genaue Formulierung ist, aber es gibt wahrscheinlich auch noch keine genaue Formulierung, sondern es sind immer nur Ideen im Moment.

Also wenn dann muss man diesen ganzen Absatz, sehr misslungenden Absatz anpassen, dass 750 Leute keine Verzeichnungs- und Verarbeitungstätigkeiten, es sei denn besondere Datenkategorien oder sowas.

Aber jedenfalls dieser unendliche Blödsinn erfolgt nicht nur gelegentlich, der muss da halt raus.

Ja, das ist wieder, diese unklaren schwammigen Formulierungen in der DSGVO finde ich total schwierig, weil darunter erstens kann sich sowieso niemand was darunter vorstellen, wie du gerade schon gesagt hast.

Und ich finde aber auch generell, diese Grenze ist so willkürlich.

Also wenn wir jetzt sagen, wir gehen jetzt von 250 auf 750 Unternehmen, Unternehmen, Mitarbeiter im Unternehmen, das sagt doch noch überhaupt nichts über die Art des Unternehmens aus.

Du kannst einen Start-up haben, was drei Mitarbeiter hat und das kann mit solchen gewaltigen Datenmassen auch personenbezogenen, personenbezogener Daten hantieren.

Sie hier den ganzen Bereich KI zum Beispiel, KI Training und sowas, das sind da, das sind beim Start-up-Held ja gut unterwegs.

Und umgekehrt kannst du halt Unternehmen haben mit 700 Mitarbeitern, aber natürlich die dann auch nicht nur gelegentlich ein bisschen mit personenbezogenen Daten umgehen, die dann aber die gleiche Kategorie fallen.

Ich finde das, also das an der Mitarbeitergröße festzumachen, fand ich schon immer ein bisschen strange.

Allerdings ist es natürlich auch schwer, irgendeine andere Kategorie zu nehmen, weil wo will man Grenzen ziehen?

Irgendwo müssen sie halt Grenzen ziehen, aber ich weiß nicht ob die Mitarbeiter bezahlt, da die Richtige ist.

Du kannst natürlich auch nicht sagen, die Anzahl der Verarbeitung für Artikel 9 Daten oder irgend sowas pro Monat, das kannst du alles nicht machen.

Also ist das zu quantifizieren, ist halt wirklich schwierig.

Und dann behilft man sich halt mit so völlig unklaren, schwammigen Grenzen, die niemandem was helfen in der Praxis.

Das ist ja dann einfach nur wieder beschäftigen für Gerichte im Zweifel.

Ja, wobei natürlich diese konkreten Zahlen sind ja zum Ausnahmswahl, sind wir nicht schwammig.

Also die Zahlen sind nicht schwammig.

Ja, aber hier sind sie unbraugartig.

Sagen Sie, ich habe hier nochmal die konkrete Formulierung, soll künftig verunternehmen mit weniger als 750 Beschäftigte gelten, so färmt keine Datenverarbeitung mit hohem Risiko für Betroffene erfolgt.

Also ich hoffe, dass sie diesen ganzen anderen Quadradatsch da rausstreichen.

Allerdings, wer 750 Beschäftigte hat, hat auch immer eine Datenverarbeitung mit hohem Risiko, weil spätestens bei Gehalts- und Beschäftigten Daten ist behindert, ist katholisch.

Also meins betrifft auf jeden Fall auch artikelneuen Daten.

Nee, wer hat denn bitte keine artikelneuen Daten?

Also ist krank, ist in der Reha, ist verpartnert, was was ich weiß.

Es ist schwierig, glaube ich, artikelneuen Daten hierzu vermeiden.

Aber ich begrüße das grundsätzlich.

Ich bin auch kein Freund von diesem Datenschutz wie Schublade.

Mir würden ein paar andere Sachen einfallen, wo ich noch mehr Bürokratie sehe.

Ich würde also dringend die Voraussetzung für Datenschutzfolgenabschätzung nach oben schrauben.

Ich würde auch ganz dringend so völlig unnützen, unsinnig wie Tiers reichen.

Das sind diese Gutachten, die man schreiben muss, wenn man Daten exportieren möchte gegen Transfer Impact Assessments.

Transfer Impact Assessments genau, also USA, zum Beispiel, wenn da kein Tattoo für Transatlantic Data, Privacy Framework oder nach was das sich in Indien oder sonst irgendwie muss man immer so einen Gutachten machen, was kein Mensch selber schreibt, sondern was man immer dann kauft von irgendwie eben, die sich da eine Goldene Nase verdienen, was sie da einfach gemacht haben und da steht dann irgendwie drin, ja das Recht in dem Land ist so und so, aber ist alles super, kannst du Daten exportieren.

Also man schaut dann, wie das vor Ort ist und das natürlich ein kleines oder normales Unternehmen jemals irgendwie ever machen.

Ich sehe nur, der ETSA, der Europäische Statenschutz Ausschuss, haben das grundsätzlich begrüßt, das hier noch um das zum Abschluss zu bringen unterstützt, grundsätzlich das Ziel, den Verwaltungaufwand für KMU zu verringern.

Dies dürfe jetzt eine wirklich überraschende Verstellung nicht zulasten des Datenschutzes gehen, deswegen sagen sie finden sie im Grundsatz gut, aber sie müssen mal schauen, wie die Kukettformulierung ist.

Also es ist jetzt eine Stellungnahme auf dem Vorstatt der Kommission, in der Zukunft schauen wir mal, wie es weitergeht, das wird halt, das wird noch geschraubt, wenn dann die DSGVO so viel steht fest, aber wahrscheinlich doch irgendeine Maßstab.

Ja, und ich fürchte auch nicht unbedingt an den richtigen Stellen.

Also richtig schlimm wird es ja irgendwie in Deutschland, wenn man dann sagt, ich möchte die Datenschutzbeauftragten für kleinere Unternehmen abschaffen, im Übrigen aber alle Datenschutzanforderungen gleich bleiben, sodass du irgendwie knallhattet Datenschutzanforderungen hast, aber niemanden, der sich immer unternehmen, damit beschäftige ich so einfach so Handvorhalten, also die drei Affen oder so.

Ja, also mal ganz ehrlich bei dem Bürokratieabbau Bestrebungen, sagen wir es mal so, und Staatsmodernisierungsbestrebungen aus dem Digitalisierungsministerium, ich bin da auch noch sehr skeptisch, also gibt ja schon so Äußerungen, die von wegen, wofür braucht man eigentlich eine Einwilligung oder wofür braucht man diese Rechtsgründe, man kann auch alles mit dem Outlösen und so, da könnte man da auch mal ran.

Also da denkt man schon sehr weit, finde ich, um alles immer mit dem Hintergrund, wir müssen unsere Unternehmen entlasten von dieser überbordenden Datenschutzbürokratisierung.

Da wird mir gerade ein bisschen Angst und Bange, ich glaube, da kommt, weil Deutschland hat schon einen erheblichen Einfluss auch auf das, was die Kommission macht und hat auch mittlerweile über die Fraktionsverteilung im Europäischen Parlament ja auch mehr Einfluss in Europa, also zumindest die deutsche Bundesregierung.

Wir werden sehen, also wir denken jetzt auch an solchen Dingen wie das jetzt plötzlich mit der dänischen Ratspräsidentschaft, genau, dass da jetzt die Chatkontrolle wieder auf die Tagesordnung kommt, weil diesen ja befürworter eigentlich die Dänen der Chatkontrolle, die Polen, dies vorher waren wir uns nicht, aber da wird schon eingesprungen vom deutschen Innenministerium, Hurra Hurra, da können wir mitgehen.

Also da sagen schon wieder alle Bürgerrechtsfeuerwehrenalarm, weil das für das nächste halbe Jahr ansteht und man weiß auch noch nicht, was da auf europäischer Ebene noch noch uns zukommt, also scheinbar gibt es auch da einen daartigmen Wechsel wieder sehr zu ungünstigen der Bürgerrechte.

Ja, machen wir es nicht so, in dieser Regierung des Bürgerrechts nicht vertreten oder zumindest in der Priorität so nahe.

Das hat dich aufgeregt, Hurra, diese Woche.

Was hat dich diese Woche noch aufgeregt?

Ich habe ja ein schönes Zitat von dir, von unserem Gespräch gestern.

Wir müssen uns auch mal über dieses Codeplay-Dingregen ganz schön eklig alles.

Ja, das ist eher so ein allgemeines Unwohlsein bei dieser ganzen Geschichte, also man kann das am letzten Donnerstag oder Freitag ganz kurz für irgendjemanden im hintersten Eck in Deutschland, der es nicht gehört hat oder kein ade brisan guckt oder sonst irgendwas.

Es gab ein Codeplay-Konzert in der Halle in den USA und dort ist es üblich, dass es da so eine Kisscam ab und zu mal über die Zuschauerrenge geht und Leute einfängt irgendwie und sie dann bittet sich doch bitte in diesem eingeblendeten Herzchen mal zu knutschen oder so und das ist dann total lustig und dann ist es halt passiert, dass da ein Pärchen in Umarmung, würde ich schon sagen, in Umarmung abgefilmt wurde und die, als sie gesehen haben, dass sie da auf der Leinwand sind erschreckt auseinandergegangen sind, teilweise versucht haben sich zu ducken und so und dann das hat halt eine Konzertbesuchung mitgefilmt und hat es dann, glaube ich, auf Insta und auf TikTok hochgeladen und dann ging die Suche nach diesen Leuten los.

Wer war das denn?

Chris Martin selber, also der Sänger von Codeplay hat dann im Konzert sogar gesagt, hoch hat das gesehen, irgendwie auf der Leinwand gesagt, die werden da wohl keine Affäre haben oder sowas, was ich schon sehr daneben fand, ehrlich gesagt, muss ich sagen, weil es muss ja damit gerechnet werden, dass es irgendwie nach außen dringt, was da auf der Leinwand zu sehen ist.

Normalerweise kreter kein Hahn auch, vielleicht hätte auch kein Hahn nachgekriegt, wenn es nicht irgendwie zufällig so aufgeploppt wäre und vermehmt worden wäre, ohne Ende, irgendwie da gibt es ja dann Memes erst mal und dann ging der Ekelhaft total los, den ich meine.

Dann wurde nämlich rumgedoxt, dann wurde zuerst mal, wurden natürlich diese Personen, die da abgebildet, waren gesucht und sofort gefunden.

Er ist ein CEO von einem, von einem größeren gut, gut Kapital bewertet, nur als amerikanischen Unternehmen.

Sie ist, glaube ich, seine Personalerin gewesen oder so.

Ja, ich glaube ich.

Ja, da kommen wir noch zu genau.

Und ja, er ist verheiratet, sie ist die IAT und die beiden waren da zusammen auf dem Konzert und haben aufsichtlichen Affäre soweit so gut.

Sollte uns eigentlich, finde ich, als normal denkende Menschen nicht weiter interessieren, passiert halt, passiert täglich 100.000fach oder sagen wir mal 1.000fach.

Nur ist es aber so, dass wenn die zum Abschluss frei gegeben sind über die Bilder, die da erst stehen, dann wird halt gesucht.

Natürlich wurde sofort klar, wer das ist.

Dann gingen die ersten Wetten ein, mittlerweile auch irgendwie auf irgendwelchen bescheuerten Bitcoin-Wettplattformen.

Wer lässt sich zuerst scheiden von den beiden?

Und natürlich wurden sie gefunden, die Telefonnummer wurden gefunden, die wurden belagert.

Er hat seinen CEO-Posten ziemlich umgehend verloren dadurch.

Ich weiß nicht, wie es mit ihr ist, ob sie noch an dem Unternehmen ist.

Ich werde nenn jetzt auch mal bewusst keine Namen.

Aber zumindest wurde dann halt auch das ganze Umfeld gedoxt.

Dann wurde seine Frau gefunden und wurde von den Medien auch belagert irgendwie.

Dann hat sie aber ausgestellt, dass sie das falsche Instagram-Profi gefunden haben, dass sie das gar nicht ist und so, weil es eine Namensweichheit gab.

Und so wurden total viele Leute in die Öffentlichkeit gezerrt.

Ich meine, die werden ihres Lebens nicht mehr froh.

Das sind jetzt die vom Coldplay-Konzert.

Und alles nur wegen dieser Kiss-Camp.

Ich glaube auch irgendwie den anderen Typen, der so heißt und der wohl auch irgendwie die Hölle auf Erden erliebt hat.

Genau.

Und ich weiß nicht, was daran lustig ist.

Ich kann es nach wie vor nicht nachvollziehen.

Und ich finde es auch wirklich...

Wir leben halt in einer Post-Privacy-Gesellschaft, ist klar.

Wer auf so ein Konzert geht, muss wahrscheinlich damit rechnen, irgendwie öffentlich zu werden, wenn es ganz schlecht läuft.

Aber dass die Leute dann so zum Abschuss freigegeben werden und wahrscheinlich wirklich ihren kompletten Lebensentwurf über den Haufen berffen müssen, das finde ich einfach eklig.

Das ist ein Mob, der da gerade rumfuhr werkt.

Und ich finde, das sind ganz oft Leute, die selber für sich große Privacy-Statuten stellen und auf keinen Fall in die Öffentlichkeit reden wollen.

Aber einen Genuss dabei empfinden, wirklich andere dann so in die Öffentlichkeit zu zähren, mag ich nicht.

Wollte ich nur mal sagen.

Ich habe ein paar gute Memes gesehen, aber da waren die nicht mehr als Personen da drauf.

Kein Zweifel, das gab auch.

Ja, ja, das war ganz wichtig.

Aber klar, ich bin da grundsätzlich der Meinung, wir haben uns das auch mal irgendwie so ein bisschen datenschutzmäßig angeschaut, weil ja durchaus auch interessant dürften, die das haben wir das überhaupt bedürft.

Und diese Kisscams gibt es ja nicht in den USA, also auch bei uns in unserem wunderschönen Hannover 96-Stadion gibt es Kisscams, ich habe immer schon darauf gewartet, ob es uns mal trifft, aber das war nicht der Fall.

Dazu müssen wir sagen, wir haben beide Dauerkarten, stehen zu jedem Spiel nebeneinander im Stadion und warten immer bis sehnsüchtig, dass die Kamera mal bei uns wobei schwenkt.

Aber die geht immer nur über die teuren Plätze.

Ja, und die Sachen, die man gewinnen kann, sind auch holdig, aber egal, ein Gutschein über ein Cocktail oder so.

Datenschutzrecht, Videoaufnahmen, Videoprojektionen fallen unter die DSGVO und das heißt, ich brauche eine Rechtsgrundlage und das hier eine spannende Frage, jetzt alles mal weit in den USA, aber jetzt mal übertragen auf Deutschland.

Einwiedung haben wir sicherlich nicht, berechtigtes Interesse.

Also würde ich doch sehr, sehr bezweifeln, dass das Interesse des Veranstalters irgendwie auf ein paar lustige Bilder hier das Interesse der Dargestellten überwiegt.

Natürlich die meisten, das auch nicht schlimm finden, weil so eine Situation hat man ja auch selten, aber natürlich gab es dann daraufhin irgendwie große, große Sammlungen von Bildern von anderen Leuten, die da nicht darauf erfasst werden mussten oder so.

Also das war nicht der erste Fall.

Bei Großveranstaltungen finde ich mal das Hinweis in den AGB oder auf den Eintrittskarten, aber ob das allein als konkreter Einwiedung gesehen muss, würde ich doch mal sehr bezweifeln.

Deswegen hier recht am eigenen Bild, ganz klarer Verstoß.

Das ist natürlich keine Person der Zeitgeschichte oder irgendwas und die Verbreitung und das sieht man hier sehr gut, kann zu einer Bloßstellung keine Abführigung führen, deswegen eben auch kein öffentliches Interesse.

Moment, da muss ich mal fragen, wer ist denn jetzt der Verbreiter?

In dem Fall, wer ist wahrscheinlich die Nutzerin, die das Video von der Kiskem Leinwand gemacht hat und das dann auf Instagram benutzt hat, oder?

Wahrscheinlich nicht der Stadienbetreiber oder der Hallenbetreiber, sondern der Konzertveranstalt, sondern tatsächlich die Dame, die es weiter verbreitet hat.

Na ja schon beide, natürlich ist es auch, wenn du es nur in der Halle, ich sage keine, ich meine es war ein Stadion oder irgendwas.

Nächstes war eine Halle, ich habe mal eine Halle.

Wenn es da auf die Leimwände spielt, ist natürlich auch das GFO relevant, aber ja, wahrscheinlich als solches nicht herabwürdigend, sondern erst dann herabwürdigend war es dann wahrscheinlich erst in dem Moment, wo die Dame das veröffentlicht hat.

Und hier eben besonders problematisch war ein Satz noch, Erfassung im Kontext privato, der intime Details, wie etwa diese Affäre bekannt werden, was dann natürlich eine massive Verletzung des Persönlichkeitsrechts und des Rechtsaufinformations einer Selbstbestimmung behastelt.

Also ehrlich gesagt, kann ich mich nicht erinnern, dass ich mal irgendein passes wahrgenommen habe, dass ich diese Kiskem erleiden muss, wenn ich ins Stadion gehe, aber es kann auch sein, dass ich die AGB vom Stadionbetreiber mal durchschneide.

Ich habe Punkt 22 Absatz 3.1 nicht gelesen, kann gut sein.

Aber das würde reichen, ja, wenn es das steht.

10 Tage fängt die zweite Digger an, muss ich mal lesen.

Nee, ich glaube nicht.

Ja, ist die Frage.

Aber eine Einwegelung muss das nicht unbedingt sein, das ist schon konkludent, also muss er damit rechnen.

Also spätestens, wenn du dann irgendwie in die Kamera grinst und küsst, dann wirst du hier von einer Einwegelung ausgehen können.

Und das haben die jetzt nicht getan?

Ja, ja, die haben wir ja schon erst mal gegrinst, also wir haben schon ein weiter gedauert, weil es ist wahrscheinlich bei jedem so, dass sie das etwas haben, dass das vielleicht nicht so ganz gut ist, wo man sich nachfragen muss, ist es so gut, sich da so in die Öffentlichkeit zu stellen.

Aber das heißt natürlich nicht, dass jeder das verbreiten darf.

Schwierig, also in Deutschland keine Rechtsgrundlage eindeutig nicht zulässig, untermal in den USA in dieser Form auch nicht, aber auch das werden sie, wenn so was mal in der Welt ist, das weißt du besser als ich, Holger, dann kriegt man es nicht mehr rein und die werden ich glaube, die haben gerade andere Probleme als irgendwie den Datenschutzbeschwerde bei der Datenschutzbehörde, das entsprechend im Bundesstaat das zu stellen.

Die haben sogar ein relativ liberales Datenschutzrecht.

Ja, das war bizarr und auch ärgerlich.

Du hast ja aber schon über den Feld aufgeregt und der hat nur wirklich kein Persönlichkeitsrecht, dass es zu Waren geht.

Also erschossenen Welt, von der Polizei erschossenen Welt, was ich nachher eine großartige Geschichte finde aus, aber ich bin auch schon Welt.

Der Welt hat seine Babys beschützt, das ist gemein.

Er war aber nicht böse, er wollte nur den Babys beschützen.

Aber gut, dann würde ich sagen, sind wir mit unserem kleinen Kesselbund schon so gut wie durch?

Du hast nur noch ein Fähnchen.

Ja, ja, wenn du gestattest, unser, wir hatten ja mal, Gott, wie heißt da noch mal, Schei, jetzt habe ich den Namen vergessen, naja, zumindest es gibt ja nicht nur die Landesdatenschutzbehörde und die Bundesdatenschutzbehörde, sondern es gibt auch den kirchlichen Datenschutz, der jenseits der DSGVO läuft und auch die Kirchendatenschutzbehörden bringen Tätigkeitsberichte raus.

Und das wäre mein kleiner Ferienlese für den Sommer, falls jemand noch was für den Strand braucht.

Es gibt jetzt den veröffentlicht worden ist der Datenschutzbericht des katholischen Datenschutzzentrums in Frankfurt, die für den katholischen Datenschutz zuständig sind, der Tätigkeitsbericht 24.

Und der ist schon sehr lustig.

Also es gibt natürlich viele kleine Fälle, man sieht, dass sie sich mit sehr vielem weltlichen Beschäftigen was die Landesdatenschutzbehörden auch tun mit zu weit gefassten E-Mail-Verteilern oder irgendwie alles Mögliche drin, aber halt auch wirklich sehr spielte Fälle.

Jörg, ich hätte es schon gesagt, also ein Fall, da geht es um Teufels-Austreibung und Auskunftsansprüche.

Aber ich muss mich kurz daraus vorleben, weil ich den wirklich nett fand.

Wer nachlesen möchte, Punkt 312 im Tätigkeitsbericht "Ein alter Brauch, das Vergraben der Plazenta".

Ich lese jetzt "Das Vergraben der Plazenta und anschließend darauf einen Baum zu pflanzen ist ein bekannter Brauch, doch soll es sich natürlich um die eigene Plazenta handeln.

Im vorliegenden Fall wurde ein Jungpaar im Krankenhaus eine eingefrohene Plazenta mitgegeben, die wie sich beim Auftauen herausstellte mit dem Patientenaufkleber einer anderen Frau versehen war.

Die Recherche ergab aufgrund der Geburtszeit, dass es sich um die richtige Plazenta handelte, die jedoch mit einem falschen Aufkleber versehen worden war.

Durch die auf dem Aufkleber vorhandenen besonderen Kategorien Personennützungen der Daten der anderen Mutter, die dem Jungpaar auf diese Weise unberechtigt zur Kenntnis gelangt sind, handelte es sich hier um eine Datenschutzverletzung.

Um zukünftig den Vorgang des Plazenta einfrieren Datenschutzsicherheits zu gestalten, wurde im betroffenen Krankenhaus der gesamte Prozess einer Arbeitsanweisung verschriftlicht und die Mitarbeiterinnen und Mitarbeiter im Kreißsaal wurden entsprechend geschult.

Das ist ein Fall aus dem Tätigkeitsbericht.

Es gibt noch einige weitere Skurrile, es lohnt sich einfach mal reinzuschauen.

Ich werde es verlinken in den Schoen.

Ja, dann können wir es auch mal ein bisschen auf der Teufelsaustalberung.

Unser Gast ist Felix Neumann.

Ja, Felix Neumann war es.

Siehst du, demnächst ist einfach der Name nicht eingefallen.

Mir lag es auf der Zunge.

Klar, ich verlinke das gerne auch noch mal.

Ich betreibe das tollen Blogs Artikel 91, wo er sich mit kirchlichem Datenschutz in allen Aspen beschäftigt.

Die Frage empfehle ich auch gerne, weil die war wirklich richtig gut.

Genau.

Ja, das sehen wir durch.

Das nächste Mal haben wir einen Gast geplant.

Wollen wir das schon sagen?

Oder wollen wir unsere Zuhörerinnen und Zuhörer überraschen?

Ich weiß gar nicht, was wir mir geplant haben.

Achso, doch, wir wollten vielleicht sagen, den Gast nicht, dass er noch einen Urlaub wert.

Genau.

Da haben wir gerade irgendwie einige Male.

Aber wir wollen reden über Auskünfte und Auskünfte versus Geschäftsgeheimnisse.

Genau.

Könnte ganz, könnte sehr spannend werden.

In diesem Sinne weiß ich doch auf unsere Kontaktmöglichkeiten hin, die E-Mailadresse ist auslegensache@ct.de.

Auf der Webseite ct.de/auslegensache findet man diese sowie alle weiteren 138 Episoden.

Dieses kleinen muckeligen Podcast, der sich ausschließlich, momentan ausschließlich mit Datenschutz beschäftigt.

Vielleicht erweitern wir das ja auch heute Mal, da weiß ich mach jetzt keine Diskussion auf, keine Sorge.

Und ja, in diesem Sinne kann ich auch nur noch sagen, Happy Ferien kommt durch die, kommt durch die Hetze gut durch, die ja im Moment nicht, also jetzt zum Zeitpunkt nicht ausreichend.

Außer wenn wir im Zimmer auch im Rest der Welt nicht vorhanden ist, aber nein.

Okay, in diesem Sinne dann in 14 Tagen wieder.

Bis dann.

Danke.