October 25, 2024

Kommt ein neues Beschäftigtendaten-Gesetz? - Datenschutz News KW 43/2024

22 minutes

Was ist in der KW 43 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

LinkedIn: Bußgeld über 310.000.000 €

AG Köln entscheidet über Grenze des Auskunftsanspruchs nach Art. 15 DSGVO (Urteil vom 06.09.2024, Az. 153 C 95/24)

Gesichtserkennung während Online Prüfung zulässig

Ressortabstimmung zu Entwurf des Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt (Beschäftigtendatengesetz – BeschDG)

Anpassung der Kontaktverwaltung bei WhatsApp

Spezialverträge mit Microsoft: Behörden gehen in die Microsoft-Cloud

Empfehlungen & Veranstaltungen

ePrivacy: EDSA veröffentlicht Leitlinien

Update zum Diskussionspapier Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz

Themenfolge mit Prof. Dr. Tobias Keber

Umfangreiches FAQ zu Deceptive Design Patterns

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/kommt-ein-neues-beschaeftigtendaten-gesetz-datenschutz-news-kw-43-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge:

Und zwar die dirische, die dirische, die dirische, die dirische bekennst du nicht.

Wenigstens hast du nicht die diebische gesagt.

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.

Wir starten wieder mit euch gemeinsam ins Wochenende. Heute ist Freitag, der 25. Oktober 2024.

Mein Name ist Heiko Gossen.

Und mein Name ist Laura Droschinski.

Unser Redaktionsschluss war um 9 Uhr heute. Er hat heute etwas früher gestartet.

Vielleicht kommt der Podcast auch ein bisschen früher raus. Mal gucken.

Wir werden sehen. Genau.

Und ja, wir gucken wieder zurück auf die Woche des Datenschutzes,

was so passiert ist. Wir hier bei der Migosense behalten das ja für uns und

euch gerne im Blick, um dann hier über die wichtigsten Dinge zu berichten.

Und in diesem Sinne, Laura, was sind aus deiner Sicht heute die wichtigsten Dinge?

Zuallererst habe ich mitgebracht ein, ich muss gerade mal die Nullen nachzählen,

aber es ist ein neunstelliges Bußgeld aus Irland.

Dann geht es weiter mit einem Urteil zum Einsatz von Gesichtserkennungssoftware bei Prüfungen.

Ebenso auf mein Zettel hat es geschafft eine wohl neue Kontaktverwaltung bei

WhatsApp. Ganz spannend und zu guter Letzt noch natürlich eine Leseempfehlung für das Wochenende.

Prima, ich hätte ein Urteil aus Köln zum Auskunftsanspruch nach Artikel 15 DSGVO

mit nochmal einem interessanten Aspekt, wie ich finde.

Dann gucken wir auf unser Top-Thema, nämlich einen Entwurf zum Beschäftigendatengesetz,

also Datenverarbeitung im Beschäftigungsverhältnis ist da das Zentrale.

Und wir gucken auf die Behörden, die sich auch zunehmend mehr für die Microsoft 365 Cloud entscheiden.

Und last but not least hätte ich auch noch was bei den Lesetipps und Veröffentlichungen.

In diesem Sinne würde ich sagen, dann geben wir mal Gas.

Geben wir Gas, genau richtig. Die irische Datenschutzbehörde hat gegen das Business-Netzwerk

LinkedIn eine Strafe in Höhe von 310 Millionen Euro verhängt.

Grund für das Bußgeld sind Verstöße gegen die Datenschutzgrundverordnung im

Zusammenhang mit der Analyse des Nutzerverhaltens und auch daraus gehend gezielter Werbung.

Die Untersuchung war auf eine Beschwerde einer französischen Digitalbürgerrechtsorganisation

im Jahr 2018 zurückzuführen.

Und diese hatte sich zunächst an die französische Datenschutzbehörde gewandt,

bevor die irische DPC als zuständige Behörde das Verfahren übernahm.

Die DPC stellte nun insgesamt drei Verstöße gegen die Datenschutzgrundverordnung fest.

Dazu gehörte eben die unzulässige Zusammenführung von Nutzerdaten mit Daten aus Drittquellen.

Also LinkedIn hatte hierfür keine ausreichend rechtliche Grundlage für die Verarbeitung.

Und die DPC betonte halt in ihrer Entscheidung, dass die Rechtmäßigkeit der

Datenverarbeitung ein Grundprinzip des Datenschutzrechts sei.

Ja, aus dem Verstoß ergab sich auch, dass eben Informationspflichten aus Artikel

13 und 14 nicht erfüllt sein konnten.

Also auch hier nachweist sich, wenn es halt eben keine ausreichende Rechtsgrundlage

gab, kann man hier auch eben nicht entsprechend die Betroffenen informieren.

LinkedIn hat angekündigt, die geforderten Änderungen am Werbemodell vorzunehmen,

obwohl sie wohl laut ihrer Pressemitteilung davon ausgehen, die DSGVO eingehalten zu haben.

Aber dies erfolgt eben daraus, dass die DPC LinkedIn im Rahmen des Buchgeldbescheids

eben verpflichtet hat, diese Datenverarbeitung in Zukunft DSGVO-konform durchzuführen.

LinkedIn kann eben nun das irische Gericht anrufen, wenn sie mit der Entscheidung

nicht einverstanden sind. Schauen wir auf jeden Fall mal weiter.

Ja, 310 Millionen wird jetzt für LinkedIn ja wahrscheinlich auch nichts sein,

was sie gerne bezahlen. Da könnte ich mir das vorstellen. Aber gut, wir werden sehen.

Ja, ich hätte dann, wie eben schon angekündigt, eine Entscheidung des Amtsgerichts Köln.

Das Amtsgericht Köln sieht eine klare Grenze für die Datenauskunft nach Artikel 15 DSGVO.

Nach einer Entscheidung aus dem September besteht laut dem AG Köln kein Auskunftsanspruch

für sämtliche interne Vorgänge des Beklagten, wie zum Beispiel Vermerke oder

zum Beispiel auf den sämtlichen gewechselten Schriftverkehr.

Dieser muss der Betroffene, wenn er bereits bekannt ist, nicht erneut ausgedruckt

und übersendet werden, so das Gericht.

Auch Gesprächsmitschnitte sind hier in dem Fall nicht bereitzustellen.

Das Gericht stellt nochmal klar, dass der Auskunftsanspruch nach Artikel 15

DSGVO nicht der vereinfachten Buchführung des Betroffenen dienen soll,

sondern halt sicherstellen soll, dass der Betroffene den Umfang und den Inhalt

der gespeicherten personenbezogenen Daten beurteilen kann.

Ich glaube, das wird halt gerne mal vergessen und von daher glaube ich auch

ganz gut, das nochmal klarzustellen.

Hier war der Hintergrund ein Auskunftsersuchen gegenüber einer Airline,

die der betroffenen Person die Beförderung wohl verweigert hatte und dazu gab

es dann auch entsprechend Korrespondenz und Telefonate.

Ich finde das Urteil insbesondere jetzt nochmal hilfreich. Wie gesagt,

wir haben ja sehr viel Rechtsprechung auch in letzter Zeit gehabt zu dem,

was alles halt dann zu beauskunften ist.

Ich finde es hier nochmal ganz interessant, um auch nochmal die andere Seite

ein bisschen abzugrenzen und insbesondere mit Bezug auf die Gesprächsmitschnitte,

insbesondere weil hier auch der BFDI eine andere Auffassung vertritt,

dass Gesprächsmitschnitte immer auch als Audiodatei quasi beauskunftet werden

müssten und es hier kein zum Beispiel Transkript genügen würde.

Was ich persönlich auch nicht teile, diese Auffassung des BFDI.

Aber wie gesagt, finde ich hier dahingehend nochmal ganz gut,

dass wir hier vom AG Köln eine entsprechende Entscheidung haben.

So ist es. Sehr schön auf nationaler Ebene auch, um es andere Entscheidungen

auch begründen zu können, aber ja, umso wichtiger ist es, glaube ich,

so einen Blick darauf zu behalten, wie denn die Rechtsprechungen sind,

weil es ja jetzt wirklich in der Vergangenheit schon eine Vielzahl gewesen.

Ich habe auch eine Entscheidung mitgebracht und zwar im Streit um den Einsatz

von Gesichtserkennungssoftware bei Online-Prüfungen hat die Universität Erfurt

einen gerichtlichen Erfolg erzielt.

So berichten jetzt im Laufe der Woche verschiedene Medien und beziehen sich

auf eine Rechtsprechung vom vergangenen Mittwoch.

Und zwar hat hier das Landgericht Erfurt die Klage abgewiesen einer ehemaligen

Studentin, die sich von der Gesellschaft für Freiheitsrechte unterstützt sah.

Die Klägerin hatte argumentiert, die Überwachung durch die Software bei einer

Prüfung zum Zeitpunkt der Corona-Pandemie greife unverhältnismäßig in die Privatsphäre

ein und daraufhin hatte sie auf Schadensersatz geklagt.

Eine Begründung wurde wohl durch das Gericht bei der Veröffentlichung des Urteils

zunächst nicht bekannt gegeben.

Was aber klar ist, ist, dass die Universität den Einsatz der Software verteidigte,

denn sie sind der Meinung, dass sie damit Täuschungsversuche während der Prüfung

verhindern möchten und damals zu der Corona-Pandemie eben den Studierenden die

Möglichkeit geben wollten,

den Studienabschluss in der Regelstudienzeit auch absolvieren zu können.

Ebenso wurde Studierenden damals die Möglichkeit geboten, Prüfungen vor Ort

unter Einhaltung von Corona-Schutzmaßnahmen abzulegen, was jedoch nur vereinzelt genutzt worden sei.

Die Software wird wohl weiterhin eingesetzt und trifft laut der Universität

auch weiterhin auf Akzeptanz.

Und wichtig hierbei ist auch noch zu sagen, dass eben die Studierenden vorab

schriftlich zustimmen müssen.

Die Gesellschaft für Freiheitsrechte, die wie gesagt damals die oder im Rahmen

dieses Verfahrens die Studentin unterstützt hat, kündigte an,

das Urteil näher zu prüfen und erwägt halt eben eine Berufung.

So jetzt aus datenschutzrechtlicher Sicht, Heiko, wir können ja sagen, okay,

unverhältnismäßig, wenn es halt eben Alternativen gibt für die Studierenden,

insbesondere eine wirksame Einwilligung eingeholt wird bei der Nutzung dieser

Gesichtserkennungssoftware,

nachvollziehbar, dass hier das Gericht der Klägerin ja nicht recht gegeben hat.

Also ich glaube, dass gerade diese Einwilligungsfrage, wenn es eine Alternative

gibt, kann man ja mit einer Einwilligung arbeiten an der Stelle,

dann ist sie meines Erachtens jetzt ohne jetzt die gesamte, das Urteil ist ja

noch nicht veröffentlicht, die Gründe, aber dass man hier glaube ich schon nachvollziehen

kann, dass wenn es halt diese Alternative angeboten wurde, man dann auch von

der Freiwilligkeit sprechen kann und dann halte ich es halt auch für,

jetzt auf den ersten Blick durchaus nachvollziehbar, dass man sagt, nee das ist auch okay.

Ich finde es ganz gut, wir hatten ja in der Corona-Zeit sehr viel auch über

entsprechende Verfahren und auch die Beschwerden und Klagen dagegen gesprochen.

Finde ich ganz schön, dass wir jetzt auch nochmal hier das Ergebnis quasi dann

sehen. Das BMAS und das BMI haben einen abgestimmten Referentenentwurf für ein

Beschäftigtendatengesetz vorgelegt.

Das Bundesministerium für Arbeit und Soziales sowie das Bundesministerium des

Innern haben nun gemeinsam einen Referentenentwurf eines, und jetzt kommt’s,

Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten für mehr Rechtssicherheit

für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt,

Kurz Beschäftigtendatengesetz oder noch kürzer BESCH-DG vorgelegt.

Müssen wir es schon merken, BESCH-DG.

BESCH-DG, genau. Hat nichts mit BESchen zu tun.

Und ja, der Referentenentwurf, der wurde jetzt zur Ressortabstimmung freigegeben.

Der Referentenentwurf enthält umfassende Regelungen zur Datenverarbeitung,

natürlich jetzt im Kontext des Arbeitsverhältnisses naheliegend,

aber insbesondere unter Einbeziehung der Betriebs- und Tarifparteien.

Hintergrund, also neben verschiedenen Anläufen, die wir in den letzten Jahren

ja immer mal wieder zum Beschäftigten-Datenschutz hatten, der eine oder andere

erinnert sich vielleicht, da gab es ja schon diverseste Entwürfe,

haben wir natürlich jetzt auch nochmal die Herausforderung, dass ja der EuGH

den 26 BDSG quasi nicht für europarechtskonform hält, beziehungsweise man kann

das ableiten aus einem Urteil in Hessen mit gleichem Wortlaut,

Sodass halt, glaube ich, hier der Gesetzgeber sich dann auch nochmal ein bisschen

in der Not sieht, wahrscheinlich zu agieren.

Was enthält jetzt der Gesetzesentwurf? Also er beinhaltet unter anderem eine

Auflistung von Rechtsgrundlagen.

Also Rechtsgrundlagen sind unter anderem Erfüllung von Kollektivvereinbarungen

festgelegten Pflichten des Arbeitgebers oder auch Ausübung oder Erfüllung der

sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und

Pflichten der Interessenvertretung der Beschäftigten.

Also das sind dedizierte Rechtsgrundlagen.

Was bei den Rechtsgrundlagen ganz interessant ist, also es gibt auch unter anderem

das Thema Interessenabwägung.

Bei der Interessenabwägung aber heißt es, die Interessen des Arbeitgebers an

der Verarbeitung müssen die Interessen der betroffenen Beschäftigten an dem

Ausschluss der Verarbeitung überwiegen.

Wir haben ja in der DSGVO im 6.1.f den Gleichlauf.

Also in dem Moment, wo die Beschäftigten Interessen nicht überwiegen,

also oder die betroffenen Rechte nicht überwiegen, ist es ja legitim im Rahmen

der Interessenabwägung. Hier liegt die Schwelle sozusagen höher.

Dann gibt es auch ausführliche Hinweise, zum Beispiel wann eine Einwilligung

und die damit einhergehende Freiwilligkeit auch anzunehmen ist im Beschäftigungsverhältnis

und es gibt auch einen gesonderten Teil für die Verarbeitung vor der Begründungsbeschäftigungsverhältnis.

Das wird also auch nochmal gesondert geregelt. Darüber hinaus haben wir noch

Regelungen zum Beispiel zur Überwachung von Beschäftigten, speziell hier verdeckte

Überwachung, Videoüberwachung und auch Ortung.

Thema Profiling wird behandelt, betriebliches Eingliederungsmanagement,

Datenverarbeitung im Konzern.

Auch eher restriktiv, wie ich finde.

Besonders spannend, aus meiner Sicht, der Betriebsrat soll zukünftig bei der

Bestellung und Abberufung des DSB mitbestimmen dürfen.

Ja, in der Tat finde ich das auch einen interessanten Move.

Und ehrlich gesagt, ich weiß auch nicht, ob es europarechtlich wirklich konform

ist, so ein Mitbestimmungsrecht dazu verankern. Keine Ahnung.

Ja, ich gehe mal davon aus, dass wahrscheinlich zum Ende des Jahres das im Kabinett

dann beraten und vermutlich auch beschlossen wird. Und ich gehe mal davon aus,

dass es da auch noch wahrscheinlich deutliche Textänderungen geben wird.

Ich könnte mir vorstellen, dass da die Verbände jetzt auch wirklich umfangreich

Stellung nehmen werden zu.

Insgesamt muss ich sagen, finde ich die Regelungen jetzt so nach der kursorischen

Durchsicht relativ kleinteilig.

Und ich glaube, dass halt auch für Unternehmen, damit eher ein großer Prüf-

und Dokumentationsaufwand entsteht, erscheint mir ehrlich gesagt schwierig,

wenn wir auf der anderen Seite eher die Bestrebungen der Regierung sehen,

dass halt überall Bürokratieabbau verfolgt wird.

Dann wirkt das jetzt hier für mich nicht nach Bürokratieabbau.

Ja klar, mit Blick auf Digitalstrategie, hat man denn was gelesen?

Ne, kleine Arbeitgeber.

Ist mir jetzt nichts aufgefallen. Natürlich wird das Thema KI durchaus auch

behandelt, aber ich sag mal, es macht jetzt auch keinen Eindruck,

dass es ein besonders progressives und modernes Gesetz wird.

Ja, das mit dem Betriebsrat ist ja der Hammer. Also die Zuhörerinnen und Zuhörer

konnten es ja nicht sehen, aber ich habe sehr entsetzt geguckt.

Alles klar, weiter geht’s?

Ja, vielleicht, also wer dazu eine Meinung hat, wer sich da auch schon intensiver

vielleicht mit beschäftigt hat, schreibt gerne in die Kommentare.

Ihr findet in den Shownotes den Link zur Folgenseite bei uns und da sind die

Kommentare möglich und wir freuen uns natürlich über jeden Kommentar und über jede Anregung dazu.

So ist es. WhatsApp erleichtert künftig die Kontaktverwaltung direkt in der App.

Wie Heise im Laufe der Woche berichtete, sollen laut einer Ankündigung des Unternehmens

Kontakte zukünftig lokal in der App gespeichert werden und mit der WhatsApp-Cloud

synchronisierbar sein.

Bislang musste WhatsApp auf das Adressbuch des Mobiltelefons zugreifen,

was unter anderem datenschutzrechtliche Probleme mit sich brachte und auch eben Probleme, wenn…

Das Smartphone verloren gegangen ist oder man auch eben mehrere WhatsApp-Konten

auf einem Gerät nutzen wollte.

Das neue Speichersystem namens Identity Proof Link Storage nutzt wohl Verschlüsselungen

und generiert für jeden Kontakt einen eigenen Schlüssel, um die Authentifizierung

und Sicherheit zu gewährleisten.

Unterstützt wird WhatsApp dabei wohl durch das Internet-Sicherheitsunternehmen

Cloudflare, das eben sicherstellt, dass die gespeicherten Kontakte unverändert bleiben.

Die Neuerung soll Nutzern ermöglichen, außerdem persönliche und geschäftliche

Kontakte besser zu organisieren und beispielsweise nach Namen statt Telefonnummern zu speichern.

Auch lassen sich neu angelegte WhatsApp-Kontakte mit dem Telefonadressbuch synchronisieren,

also in die andere Richtung, wie es halt vorher war.

Die Funktionen sollen wohl in den kommenden Wochen für alle gängigen Räte,

Android, iOS und Desktop-Apps ausgerollt werden.

Ohne jetzt die technischen Änderungen im Detail geprüft zu haben,

wissen wir ja, wie gerade schon angekündigt, datenschutzrechtliche Herausforderungen

haben wir ja insbesondere bei der Nutzung auf dienstlichen Endgeräten,

sei es Thema Transparenz, Risiko-Datenabschluss in Drittländer,

aber auch natürlich insbesondere die schwierige Trennung von privaten und beruflichen Daten.

Das Letztere jedenfalls könnte eventuell damit eine Chance sein oder es zu vereinfachen?

Also es klingt erstmal, finde ich, recht vielversprechend, dass sich da auf

jeden Fall nochmal eine eingehende Prüfung lohnt, inwieweit das halt insbesondere,

du hast es schon angesprochen, die Synchronisation des Adressbuches,

was ja meistens mit einhergeht, wenn ich WhatsApp installiere,

dann kann ich natürlich der App die Rechte auf das Telefonbuch nicht geben,

habe aber dann gleichzeitig keine Kontakte drin, dass man hier dann die manuell

pflegen kann und damit diese Rechte auf das Telefonbuch gar nicht und diese

Synchronisation in die Cloud nicht braucht.

Könnte ich mir vorstellen, es erleichtert den Einsatz von WhatsApp im Unternehmen, ja.

Das denke ich auch.

Vielleicht komme ich ja dann darüber doch noch zu WhatsApp. Mal gucken.

Sechs Bundesländer wollen Microsoft M365 in ihre Verwaltungen einführen,

um den IT-Betrieb zu modernisieren.

Haben wir schon darüber berichtet, hier unter anderem Niedersachsen ging bereits

diesen Weg und vereinbarte ja spezielle Datenschutzbedingungen mit Microsoft,

Wie zum Beispiel die Speicherung auf europäischen Servern.

Die Bundesregierung verfolgt eine alternative Lösung namens Delos Cloud,

die Microsoft-Dienste datenschutzkonform aus eigenen Rechenzentren bereitstellen soll.

Da will man sich auch ein bisschen unabhängig machen, je nachdem wie USA vielleicht

perspektivisch sich noch mit Sanktionen und so weiter entwickeln könnte,

je nachdem wer Präsident oder Präsidentin wird.

Das Ganze stößt aber dieses Delos wohl bei den Ländern auf wenig Interesse.

Die wollen halt, wie gesagt, lieber

dann den eigenen Weg mit den eigenen Bedingungen in die M365 Cloud gehen.

Wie gesagt, in sich jetzt keine wirklich ganz neue Erkenntnis,

aber was hier an der Stelle vielleicht einfach gut passt und deswegen habe ich

es auch mit reingenommen.

In der nächsten Woche werden wir die Themenfolge veröffentlichen,

die ich mit Friedhelm Peblowski über die datenschutzrechtlichen Details beim

Einsatz des M365 Co-Pilots bespreche.

Wir haben ja im Rahmen unseres Kundentags das aufgezeichnet und dort über die

zentralen Themen bei Copilot, wie zum Beispiel auf firmeneigene Daten zugegriffen werden kann,

welche Schutzmaßnahmen für die Verarbeitung dann in der Microsoft Cloud vorgesehen

sind, bis hin zum Thema Rechte-Management-Kontrollmechanismen,

DSFA und so weiter, haben wir alles drüber gesprochen.

Besonders schön finde ich, dass wir das gesamte Gespräch auf Video auch aufgenommen

haben, das heißt also auf YouTube wird die Folge dann auch mit Bild zu sehen sein.

Und wie gesagt, im Laufe der nächsten Woche plane ich die Veröffentlichung.

Also es dürfen alle gespannt sein.

Ja, ich kann es nur jedem ans Herz legen. Ich dürfte ja live dabei sein,

wie du ja schon sagtest oder ihr auch schon mal im Podcast berichtet habt,

dass es im Rahmen unseres Kundentags passiert ist.

Ich bin aber trotzdem ganz froh, es mir nochmal anzusehen und nachhören zu können.

Also deswegen freue ich mich auch sehr drauf. Ich komme schon zu unseren Leseempfehlungen

für das Wochenende, wollte ich sagen, aber muss ja nicht, dass man das am Wochenende liest.

Aber zuallererst habe ich ein Dokument vom EDPB mitgebracht.

Und zwar hat der Europäische Datenschutzausschuss eine neue Leitlinie oder eigene

Aktualisierung der Leitlinie zur Anwendung von Artikel 5 Absatz 3 der Datenschutzrichtlinie

für elektronische Kommunikation veröffentlicht.

Also besser, ich glaube für viele besser bekannt als die Privacy-Richtlinie.

Diese neue Richtlinie soll mehr Klarheit im Umgang mit verschiedenen Tracking-Methoden

schaffen, besonders in Bezug auf die Datenspeicherung und das Device Fingerprinting.

Die Leitlinie erweitern dabei die bisherigen

Stellungnahmen der Artikel 29 Datenschutzgruppe aus dem Jahr 2014.

Besonders Relevanz erhalten soll die Richtlinie angesichts neuer Tracking-Techniken

die bestehenden Tools wie Cookies ergänzen oder ersetzen sollen,

da ja auch mit Blick auf die Zukunft oder auch aktuell ja schon einige Browser-Cookies

von Drittanbietern nicht mehr unterstützen.

Neben Cookies sollen nun auch Technologien wie URL- und Pixel-Tracking,

IP-basiertes Tracking und lokale Verarbeitung datenschutzrechtlich bewertet werden.

Drei zentrale Elemente stehen bei der Anwendbarkeit von Artikel 5 Absatz 3 im

Fokus, und zwar eben Informationen, Endgeräte eines Nutzers sowie der Zugriff

und die Speicherung solcher Daten.

Die Leitlinie bietet nun eine umfassende Analyse dieser Elemente und veranschaulicht

deren Anwendung anhand mehrerer Praxisbeispiele.

Ja, also hier, jeder, der sich mit dem Thema beschäftigt, ich glaube,

das kommt an keinem Datenschützer vorbei, ist diese Richtlinie auch ans Herz gelegt.

Die verlinken wir natürlich auch in den Shownotes, genauso wie das Update zum

Diskussionspapier der Rechtsgrundlagen beim Einsatz von künstlicher Intelligenz.

Nämlich der Landesdandschutzbeauftragte für Datenschutz und die Informationsfreiheit

in Baden-Württemberg, Prof.

Dr. Keber, den wir ja auch schon hier hatten, genau zu dem Thema KI,

Themenfolge, für alle, die sie noch nicht gehört haben, verlinken wir auch die

nochmal in den Shownotes.

Ja, der hat jetzt nochmal dieses Diskussionspapierrechtsgrundlagen im Datenschutz

beim Einsatz von künstlicher Intelligenz geupdatet und veröffentlicht.

Und ein weiteres Papier oder beziehungsweise ein FAQ hat er veröffentlicht zum

Deceptive Design Patterns.

Und zwar geht es darum, inwieweit halt trügerische Gestaltungsmuster bei Benutzeroberflächen,

insbesondere in sozialen Medien ausgestaltet sind,

dass sie halt Nutzer hier mit Blick auf natürlich Verarbeitung besonderer Daten

zu einer bestimmten Verhaltensweise anstiften und verleiten sollen.

Dazu, wie gesagt, die FAQs, glaube ich, für alle, die in dem Bereich Webseiten prüfen.

Die bestimmte, also kennen wir Datenschützer, also wir diskutieren ja sehr oft

mit Marketingabteilungen, wie sowas zu gestalten ist und was geht und was nicht geht.

Und da finde ich, ist halt so ein FAQ natürlich auch immer ganz hilfreich,

da nochmal zu gucken, wie die Aufsichtsbehörden das sehen und wie weit man sich

da aus dem Fenster lehnen möchte.

Ja, das wär’s von mir. Wie sieht es bei dir aus, Laura? Hast du noch was irgendwo versteckt?

Nein.

Keinen Geheimzettel irgendwo? Keine Hidden Agenda?

Bisher nicht. Das Reuters nicht aufgeploppt. Alles gut.

Kam auch keiner reingespurtet hier mit noch einem Zettel in der Hand,

mit einer Eilmeldung. Von daher gehen wir davon aus, dass es das für diese Woche war.

Wir danken wieder für eure Aufmerksamkeit. Dir, Laura, vielen Dank fürs Zusammenaufnehmen.

Hat mir viel Spaß gemacht.

Und damit würde ich sagen, allen ein schönes Wochenende. Bleibt uns gewogen und auf bald.

Bis bald.

Der Beitrag Kommt ein neues Beschäftigtendaten-Gesetz? – Datenschutz News KW 43/2024 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz