January 24, 2025

Plant Trump die Untergrabung des Data Privacy Frameworks? - Datenschutz News KW 04/2025

24 minutes

Was ist in der KW 04/2025 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

Wir geben einen kurzen Überblick der aktuellen Themen:

Wahl des Europäischen Datenschutzbeauftragten

LDI NRW startet koordinierte Überprüfung von Versicherungsunternehmen wegen unzulässiger Datenverarbeitung

Erster Angriff auf „Transatlantic Data Privacy Framework“

Laut Hinweisbeschluss des OLG Stuttgart haften Verantwortliche nicht für Exzesse von Auftragsverarbeitern (OLG Stuttgart, Hinweisbeschluss vom 15.10.2024 – 4 U 729/24)

Effektive Durchsetzung der DSGVO mittels Unterlassungsklage gestärkt. Anbieter wie Meta für die Konfiguration und Nutzung ihrer Tools mitverantwortlich (LG Lübeck, Urteil vom 10.01.2025, Az. 15 O 269/23)

Hackerangriff auf D-Trust: Antragsportal für Signatur- und Siegelkarten

Bericht über mögliche Zugriffe auf Subaru-Fahrzeuge und Datenhaltung des Autoherstellers

Veröffentlichungen

EDSA veröffentlicht Bericht über Initiative des CEF: Untersuchung der Umsetzung des Auskunftsrechts

Leitlinien zur Pseudonymisierung des Europäischen Datenschutzausschuss (EDSA)

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/plant-trump-die-untergrabung-des-data-privacy-frameworks-datenschutz-news-kw-04-2025/

Transkript zur Folge:

Dann würde ich aber auch nochmal auf einen aktuellen Hackerangriff, Hackerangriff.

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutzrückblick.

Wir starten wieder mit euch gemeinsam ins Wochenende und blicken dabei natürlich

zurück auf die Woche des Datenschutzes. Mein Name ist Heiko Gossen.

Und mein Name ist Laura Droschinski.

Unser Redaktionsschluss war um 10 Uhr und heute ist Freitag, der 24. Januar 2025.

Laura, wir haben, ich glaube, in der Silvestershow das letzte Mal zusammen waren wir on air.

Von daher freut es mich, dass wir heute wieder zusammen dran sind.

Wie hast du es so die letzten Wochen wahrgenommen? Gab es noch Feedback auf die Silvester-Show?

Ich habe bisher nur Positives gehört, was mich persönlich natürlich sehr freut.

Und ich hoffe natürlich, dass so das ein oder andere positive Feedback sich da noch anschließt.

Weil auch, obwohl das Jahr jetzt schon ein paar Wochen fortgeschritten ist,

ich glaube, weniger aktuell ist die Folge nicht.

Ganz genau. Und von daher, jedem sei das noch mal als Herz gelegt,

wer noch nicht reingehört hat, mag das gerne tun.

Beziehungsweise reinschauen. Das ist auch vielleicht nochmal zur Erinnerung.

Wir sind ja auf YouTube besichtbar.

So und damit legen wir los. Was hast du dabei heute?

Zuallererst habe ich ein Update mitgebracht zur Wahl des europäischen Datenschutzbeauftragten.

Da habe ich ja schon letzte Woche kurz was zugesagt.

Dann ist natürlich auch bei uns das Thema nicht vorbeigegangen,

nämlich der Start von Donald Trump als neuer US-Präsident.

Da bezieht sich unser Top-Thema ja auch zu.

Dann geht es bei mir weiter mit einem Urteil des Oberlandesgerichts Stuttgart,

was die Rechte des Verantwortlichen stärkt oder von Verantwortlichen stärkt.

Und zu guter Letzt habe ich noch eine Sicherheitslücke mitgebracht aus dem Automotive-Bereich.

Und das war nicht die letzte Nachricht, denn natürlich hat es auch in guter

Tradition noch eine Leseempfehlung auf meine Liste geschafft.

Ja, ich schließe mich da an. Ich habe auch eine Veröffentlichung mitgebracht.

Dann würde ich aber auch nochmal auf einen aktuellen Cyberangriff auf D-Trust,

einem Antragsportal für Signatur- und Siegelkarten, berichten,

was sich da aktuell wohl ergibt.

Dann gucken wir einmal in den Norden, nämlich zum Landgericht Lübeck,

wo es um die Meta-Business-Tools irgendeine Entscheidung geht.

Und gleich, direkt nach deiner ersten Meldung, würde ich aber auch was zu Ermittlungen

gegen Versicherungsunternehmen sagen,

die Frau Geig, die Landesdatenschutzbeauftragte von NRW, gestartet hat.

Okay, sollen wir mal loslegen?

Yes, please.

Ja, wie ja gerade schon gesagt, in unserer letzten Folge hatten Natalia und

ich ja schon bereits zu den Neuwahlen des europäischen Datenschutzbeauftragten

berichtet und dass eben der entsprechende Ausschuss der EU-Kommission einen

gewünschten Kandidaten gewählt hatte,

der eben nicht mehr der aktuelle Datenschutzbeauftragte für die EU-Wolzeck Vivi Rowski sein soll.

Jetzt gibt es eben ein Update, denn im Laufe dieser Woche wurde aus Berichten

bekannt, dass die Wahl dessen zu keinem Ergebnis geführt hat.

Also hier geht es weiter, denn EU-Parlament und die Mitgliedstaaten konnten

sich eben nicht einigen, wer dieses Amt zukünftig innehaben soll.

Haben wir natürlich weiterhin ein Auge drauf und werden hier berichten,

sobald es was Neues dazu gibt.

Ich würde ja gerne ein Mäuschen spielen. Also ich habe mich mit dem Thema nicht

so ehrlicherweise so intensiv jetzt beschäftigt.

Aber ich meine, wir haben ja die Meldungen hier gehabt und dass ja auch der

Landkreisbeauftragte Wiewowski ja gegen die Kommission auch mit M365 und so weiter was gemacht hat.

Also es wäre natürlich sehr, sehr traurig, wenn er jetzt quasi nur deswegen

ausgetauscht werden soll, weil er halt gegen die Kommission auch entsprechende Verfahren führt.

Ich weiß es nicht. Vielleicht, wie gesagt, wenn da irgendeiner unserer Zuhörer

tiefer im Thema drin ist und uns was zu den Backgrounds sagen kann oder vielleicht

sogar irgendwo mit dabei war und uns mal hier so ein paar Insights unter der

Hand geben kann. Wir sind da sehr dankbar für.

Also zögert nicht, uns da mal was zuzuspielen, wo das vielleicht ein bisschen

transparenter wird, was da alles hinter steckt.

Ja, ich wäre ja auch gerne für

eine Gossip-Kategorie hier. Der neueste Datenschutz-Gossip heute bei uns.

Das würde vielleicht noch ein anderer Zuhörer bringen. Überlegst du, Heiko.

Ja, wir denken mal drüber nach. Wir brauchen aber Quellen. Wir brauchen Quellen.

Also meldet euch gerne, wenn ihr uns entsprechenden Gossip dann auch hier erstmal

einen Prozess für machen.

Den Gossip-Prozess. Okay, ich mache mal weiter.

Die Landesdandschutzbeauftragte Nordrhein-Westfalen hat Ermittlungen gegen mehrere

Versicherungsunternehmen wegen unerlaubten Datenaustauschs eingeleitet.

Die Unternehmen werden verdächtig, personenbezogenen Daten von Kundinnen und

Kunden in der Auslandsreise Krankenversicherung wohl unerlaubt untereinander geteilt zu haben.

Dieser Datenaustausch erfolgte angeblich über geschlossene E-Mail-Verteiler

und umfasste laut der Pressemitteilung von Frau Geig wohl auch sensible Gesundheitsdaten

sowie Informationen von Minderjährigen.

Es fehlten wohl in diesem E-Mail-Verteiler angemessene Schutzvorkehrungen und

die Betroffenen wurden, wie man es fast erwarten kann, auch gar nicht über den

Datenaustausch informiert.

Bemerkenswert ist an der Stelle, dass es halt ja seit Jahren bereits mit den

Datenschutzaufsichtsbehörden auch ein abgestimmtes Hinweis- und Informationssystem

gibt, das eigentlich für solche Zwecke genutzt werden könnte.

Mit diesem sogenannten HISS-System war damals ein, zumindest nach Auffassung

der Aufsichtsbehörden, ein zuverlässiges System etabliert und Frau Geig vermutet nun,

dass die Versicherer sich zunächst eher abstrakt und vielleicht unabhängig von

konkreten Fällen über Betrugsmuster ausgetauscht haben und nun geht sie davon aus,

dass es über die Jahre hinweg vielleicht dann sich doch irgendwie verselbstständigt

hat und die Unternehmen dann den Verteiler zunehmend halt auch für dann konkrete Fälle genutzt haben.

Finde ich ganz interessant, dass Frau Geig hier an der Stelle quasi die Entschuldigung

schon und die Ausrede mitliefert.

Von daher hoffe ich mal, dass das jetzt natürlich nicht einfach so dabei bleibt,

weil ich finde es halt schon datenschutzrechtlich durchaus gar nicht ohne.

Laut Frau Geig sieht sie die Prüfung aus datenschutzrechtlicher Sicht die Verstöße

allerdings auch noch nicht als abgeschlossen an.

Also von daher bin ich mal gespannt, ob wir da eventuell auch noch über Bußgeldverfahren

zu je in der Zeit berichten werden.

Aber es ist ja schön, dass sie im Vorfeld so transparent über die Untersuchung

berichtet, weil dann ist ja auch eben zu erwarten, dass wir auch über die Ergebnisse

informiert werden können.

Ich hoffe so.

Kommen wir zu unserem Top-Thema, denn die neue US-Regierung greift in das Privacy

and Civil Liberties Oversight Board ein und wirft dadurch erhebliche Fragen

hinsichtlich der Zukunft von Datentransfers zwischen der EU und den USA auf.

Berichten von Neub zufolge hat die neue US-Regierung um Donald Trump in ihren

ersten Amtshandlungen die demokratischen Mitglieder des Privacy and Civil Liberties

Oversight Board, kurz PCLOB.

Zum Rücktritt aufgefordert.

Das PCLOB spielt als US-Aufsichtsbehörde eine entscheidende Rolle bei der Überwachung

von US-Überwachungsgesetzen und ist ein zentrales Element im Transatlantic Data Privacy Framework,

auf das sich ja eben die EU stützt, um den Datentransfer in die USA zu legitimieren.

Durch die Aufforderung zum Rücktritt ist nun anzunehmen, dass die Funktionsfähigkeit

dieses Gremiums beeinträchtigt wird,

was wiederum die Unabhängigkeit der Aufsichtsbehörde infrage stellt und somit

eben indirekte Auswirkungen auf das von uns genutzte Data Privacy Framework hat.

Wie wir ja bereits wissen, basiert eben, dass die PF auf der Annahme,

dass die USA einen angemessenen Schutz personenbezogener Daten gewährleisten

müssen und diese benannte Aufsichtsbehörde ist hierbei eben ein zentrales Element.

Seit den Snowden-Enthüllungen wissen wir ja eben, dass auch über US-Überwachungsgesetze

umfangreiche Zugriffe auf personenbezogene Daten ermöglichen und der Europäische

Gerichtshof hat daher ja auch bereits zweimal entschieden,

dass das US-Datenschutzniveau nicht dem der EU entspricht.

Dennoch wurde eben mit dem Data-Privacy-Framework ein neuer Rahmen geschaffen,

der sich unter anderem auf die Arbeit dieses PCLOB stützt.

Die aktuellen Ereignisse in den USA zeigen einmal mehr, wie fragil eben diese

Entscheidungen sind, auch der EU-Kommission.

Auch hier ist eben die Gefahr da, dass die EU-Kommission den Angemessenheitsbeschluss

widerrufen könnte und wir halt in den Datenverarbeitungsvorgängen wieder auf

die Standardvertragsklauseln zurückfallen müssen mit den entsprechenden weiteren Schutzmechanismen,

wie beispielsweise dem Transfer Impact Assessment.

Aber ich sage mal so, wir haben es euch ja gesagt.

Nein, aber es ist ja schon eine Meinung, die wir auch hier im Podcast ja auch

in Vergangenheit vertreten haben, sich nicht zu sehr auf das CPF zu verlassen

und auch die damit zusammenhängenden Zertifizierungen von Unternehmen dort.

Denn ja, es kann schneller gehen, als uns lieb ist. Und ich sage mal,

wenn es dann sein muss, dann den Fall zu haben, wieder mit sehr viel Aufwand

eben alle bezogenen Datenverarbeitungsvorgänge auf die entsprechenden anderen Garantien zu stützen,

wissen wir auch, dass das für das andere Unternehmen einfach von der Arbeitsliste

her auch sehr herausfordernd sein kann.

Genau, also ich glaube, größere Unternehmen sind da wahrscheinlich auch ähnlich aufgestellt.

Aber, und der Hinweis an der Stelle aber auch erlaubt, schon mal vorausschauend,

falls es wirklich gekippt werden sollte, wie gesagt, von wem auch immer,

Ja, ob wir noch auf Max Schrems warten oder ob die Kommission selber jetzt zum Ergebnis kommt.

Die TIAs müssen dann aber auch wieder geprüft werden.

Ja, weil wie gesagt, sobald sich ja die Rechtslage in den USA verändert und

wie gesagt, das sind ja jetzt, hat ja angeblich über 100 Dekrete unterschrieben.

Also ich glaube US-Experten, die sich damit jetzt auskennen,

haben auch wahrscheinlich jetzt wieder gut zu tun und dürften einmal prüfen,

was sich jetzt halt alles ändert und wie weit dann halt auch,

wie die TIA nachher wieder ausfallen muss.

So ist es ja.

Das Landgericht Lübeck hat die effektive Durchsetzung der DSGVO mittels Unterlassungsklage

gestärkt und stellt klar, dass Anbieter wie Meta für die Konfiguration und Nutzung

ihrer Tools mitverantwortlich sind.

Das Urteil richtet sich gegen die datenschutzrechtliche Praxis von Meta,

das über seine Business-Tools Daten von Webseitenbesuchern erhebt,

speichert und verarbeitet und zumindest im verhandelten Fall auch ohne deren Einwilligung.

Besonders im Fokus steht die Verarbeitung technischer Standarddaten,

zumindest hat man die so benannt, innerhalb des Verfahrens wie Name,

Geburtsdatum, aber auch technische Informationen wie IP-Adressen oder Referral-URL,

die eine nahezu sichere Identifikation der betroffenen Personen ermöglichen.

Und hier ging es halt sowohl um Webseiten als auch um Apps.

Das Gericht verurteilte nun Meta zur Unterlassung dieser Praxis und stellte

fest, dass diese Datenverarbeitungen nicht ohne Einwilligung zulässig sind.

Ich glaube, das ist soweit auch wenig überraschend, ist auch meines Erachtens eher Konsens.

Es hat aber den Hintergrund, dass diese Business-Tools von Meta zwar angeboten

werden, sie verpflichtet aber Webseitenbetreiber zur Einholung einer Einwilligung,

die sie aber wiederum nicht überprüft.

Meiner Erinnerung nach ist das halt ein kleiner Unterschied zum Beispiel zu

Google, die das halt auch zumindest damals, als es mit der DSGVO losging,

auch sehr aktiv überprüft hat.

Lange Rede, kurzer Sinn. Das Gericht sieht Meta also auch verantwortlich im

Sinne der DSGVO, da sie halt die Business-Tools zur Verfügung stellen und die

übermittelten Daten auch halt zum eigenen wirtschaftlichen Vorteil nutzen.

Sie haben Meta daher verurteilt, es zu unterlassen, die URLs von Erklägerinnen

der besuchten Webseiten samt ihrer Unterseiten, den Namen der genutzten Apps

und den Zeitpunkt des Besuchs der jeweiligen Webseite bzw.

App zu erfassen und an die eigenen Server weiterzuleiten. Neben dieser inhaltlichen

Geschichte ist es aber natürlich auch ganz interessant, das Urteil nämlich hinsichtlich der Unterlassung.

Aus dem generellen Regelungsziel der DSGVO sieht das Gericht,

dass die Rechtsordnung für betroffene Personen grundsätzlich eine Möglichkeit

bieten muss, gegen rechtswidrige Datenverarbeitungsvorgänge per Unterlassungsklage vorzugehen.

Also im Ergebnis kann jeder Betroffene theoretisch auch Unterlassungsklagen

gegen Verantwortliche einbringen und auf Unterlassung klagen.

Wieder was gelernt heute.

Wieder was gelernt.

Vielleicht lernen wir auch im nächsten Urteil was, denn laut Hinweisbeschluss

des OLG Stuttgart haften Verantwortliche nicht für Exzesse von Auftragsverarbeitern.

Das Oberlandesgericht Stuttgart hat in einem Hinweisbeschluss vom 15.

Oktober letzten Jahres die Haftungsgrenzen von Verantwortlichen bei Datenschutzverstößen

von Auftragsverarbeitern präzisiert.

Und schließt an das Urteil, was wir letztes Jahr ja auch hatten,

wo es ja darum geht, dass Verantwortliche eben nachweisen müssen oder aktiv

nachfragen müssen bei Auftragsverarbeitern, ob denn Daten nach Verarbeitungszweck

gelöscht worden sind oder nicht,

wie es halt der Auftragsverarbeitung oder die Vereinbarung zur Auftragsverarbeitung auch vorsieht.

Laut dem aktuellen Hinweisbeschluss können sich Verantwortliche auf einen sogenannten

Aufgabenexzess des Auftragsverarbeiters berufen,

wenn dieser eben personenbezogene Daten nach Vertragsende entgegen der Zusicherung

vertragswidrig weiterverarbeitet oder speichert.

Grundlage hierfür sieht das Gericht im Artikel 28 Absatz 10 DSGVO,

der regelt, dass der Auftragsverarbeiter in solchen Fällen selbst als Verantwortlicher gilt.

Im zugrunde liegenden Fall hatte eben ein externer Dienstleister nach Beendigung

eines Auftragsverarbeitungsvertrags personenbezogene Daten vertragswidrig gespeichert,

obwohl die Löschung der Daten zunächst schriftlich bestätigt worden war.

Später kam es zu einem Datenleck. Der Kläger forderte Schadensersatz von der

Beklagten, der Verantwortlichen und warf ihr vor, ihre Überwachungspflichten

gegenüber dem Dienstleister verletzt zu haben.

Das OLG Stuttgart stellte jedoch klar, für Verantwortliche besteht kein Anlass,

die Einhaltung des Auftragsverarbeitungsvertrages über das Vertragsende hinaus

zu kontrollieren, wenn der Auftragsverarbeiter die Löschung der Daten zugesichert

und diese bestätigt hat.

Die Beklagte konnte daher darauf vertrauen, dass die Daten gelöscht wurden.

Gemäß Artikel 28 Absatz 10 des GVO wird laut OLG der Auftragsverarbeiter in

Fällen, in denen er eben personenbezogene Daten für eigene Zwecke oder entgegen

der Weisung des Verantwortlichen verarbeitet, selbst zum Verantwortlichen.

Und das OLG Stuttgart folgte dabei der Rechtsprechung des Europäischen Gerichtshofs,

der bereits Ende 2023 einen Urteil gesprochen hatte und darum betonte,

dass eine Haftung des ursprünglichen Verantwortlichen ausgeschlossen ist,

wenn der Auftragsverarbeiter eben außerhalb des vereinbarten Rahmens handelt.

Das Gericht erkannte nun, dass der Datenschutzverstoß allein auf das vertragswidrige

Verhalten des Auftragsverarbeiters zurückzuführen war und die Beklagte hatte ihre Pflichten,

insbesondere die Auswahl und Überwachung des Dienstleisters während der Vertragslaufzeit

ordnungsgemäß aus ihrer Sicht erfüllt.

Gut, nach Vertragsende, also nochmal zusammengefasst, war sie aus deren Sicht

eben nicht verpflichtet, weitere Kontrollmaßnahmen durchzuführen.

Finde ich, ist ein ganz schönes Urteil, denn eben der Hinweisbeschluss jetzt

nochmal die Rechtssicherheit für Verantwortliche stärkt.

Also eben zusammenzufassen ist, klar, es ist gut daran geraten,

sich eben die Löschbestätigung einzuholen, aber dann nicht immer und immer wieder

kontrollieren zu müssen und nachzufragen, hast du das denn wirklich getan?

Ja, ich kann mir auch nicht vorstellen, dass es am Ende in der Praxis machbar wäre.

Je nachdem, wie viel Dienstleistung ich habe. Und wie oft will ich fragen.

Ich glaube dir aber nicht.

Wir machen weiter mit dem Hackerangriff auf das D-Trust-Antragsportal.

Nach einem Cyberangriff auf das D-Trust-Antragsportal hat sich der CCC gemeldet.

Angeblich hat ein Whitehead-Hacker auf eine API zugegriffen.

Am 13. Januar entdeckte die D-Trust GmbH einen unbefugten Zugriff auf ihren

Antragsportal für Signatur- und Siegelkarten.

Dabei wurden möglicherweise personenbezogene Daten von Antragstellern wie Name,

E-Mail-Adresse und Geburtsdatum sowie in einigen Fällen Adresse- und Ausweisdaten entwendet.

Zugangsdaten, Passwörter und Zahlungsinformationen sollen allerdings unberührt

geblieben sein und auch die Funktion und Sicherheit der ausgegebenen Karten

sei nicht beeinträchtigt gewesen, so D-Trust.

Sie haben auch Maßnahmen ergriffen, die Aufsichtsbehörden informiert,

Strafanzeige erstellt, Betroffene wurden benachrichtigt.

Letzteres können wir sogar aufgrund der Erfahrung bei unseren Kunden bestätigen,

dass das wohl geklappt hat.

Jetzt ist aber wohl laut Heise nach neuesten Erkenntnissen, die darauf hinweisen,

so dass hinter dem Angriff möglicherweise, wie gesagt, ein Whitehead-Hacker

steckt, der auf Sicherheitslücken hinweisen wollte.

D-Trust prüft derzeit diese Hinweise und arbeitet weiterhin an der vollständigen

Aufklärung des Vorfalls, so die Pressemitteilung von D-Trust.

White Hat Hacker, wie sie ja im CCC, im Chaos Computer Club glaube ich so ein

Stück weit zum Selbstverständnis gehören, also,

letztendlich halt die Überprüfung von Tools, von Systemen, von Anbietern,

aber nicht mit dem Ziel, die Daten zu missbrauchen, sondern halt sie offen zu

legen und dann den Verantwortlichen die Möglichkeit zu geben,

sie zu beheben, ist ja meines Erachtens ein durchaus guter Ansatz.

Wenn man sich darauf verlassen kann, das ist natürlich in so zum Metier dann

ein Stück Vertrauenssache.

Ja, ich glaube, ähnlich gelagert ist auch mein nächster Fall,

denn hier waren auch Sicherheitsforscher am Werk, die halt Sicherheitslücken

aufgedeckt haben, damit das Unternehmen es eben besser tut.

Denn ja, es wurde eine Sicherheitslücke bei Subaru festgestellt und Fahrzeuge

konnten wohl aus der Ferne übernommen werden.

Wie Heise diese Woche berichtet, entdeckten Sicherheitsforscher Schwachstellen

im Webportal beim Autohersteller Subaru und konkret soll es beim Modell Impreza

aus dem Jahr 2023 über JavaScript-basierte Angriffe möglich gewesen sein,

Funktionen wie das Entriegeln der Türen, Hupen, Motorstarten oder das Verfolgen

des Standortes zu manipulieren.

Besonders besorgniserregend dabei war eben, dass Bewegungsdaten des Fahrzeugs

aus einem gesamten Jahr durch die Sicherheitsforscher eingesehen werden konnten.

Die Frage bleibt auch hierbei offen, was denn Subaru mit den Daten überhaupt vorhatte.

Ebenso war es wohl zusätzlich möglich, weitere Daten wie zum Beispiel Notfallkontakte,

Rechnungsinformationen, physische Adressen, weitere Nutzer von Fahrzeugen und

viele mehr in Erfahrung zu bringen.

Die Schwachstelle betrifft Millionenfahrzeuge mit der Starlink-Digitalfunktion

in den USA, Kanada und auch in Japan.

Nach Bekanntwerden der Lücken reagierte aber wohl der Autobauer Subaru schnell

und schloss die Sicherheitsprobleme.

Nichtsdestotrotz wirft der Fall natürlich auch jetzt wieder neue Fragen auf

zum Thema Datensicherheit und Privatsphäre moderner Fahrzeuge.

Ja, ist ja nicht das erste Mal, dass diese Angriffsmöglichkeiten aufgedeckt,

in Teilen ja sogar auch schon ausgenutzt wurden.

Aber bei dem Umfang der Daten, Heiko, muss man ja auch sagen,

nicht ganz, ja, nicht nachvollziehbar, dass sich ja auch eben Kriminelle hierauf

stürzen und Begehrlichkeiten an diesen Daten geweckt werden.

Das sehe ich genauso. Das ist immer so. Wenn Daten da sind, sind auch Begehrlichkeiten

da, sei es von Hackern, sei es von anderen Firmen oder sei es vom Staat.

Deswegen ist ja das Prinzip der Datensparsamkeit nicht ganz ohne Grund hier

in Europa in den Datenschutzgesetzen.

Jetzt ist natürlich hier vor allen Dingen eher USA, Kanada und Japan,

wie du sagst, betroffen.

Aber die Fragen sind natürlich am Ende, wie wurde hier in Europa gegebenenfalls

auch mit diesen Daten, also wurden diese Daten hier vielleicht auch erhoben.

Das hast du aber wahrscheinlich jetzt hier nicht rausbekommen in der Kürze der Zeit.

Aber das finde ich wieder ganz schön, dass man da von Sicherheitsforschern spricht

und nicht von Whitehead-Hackern.

Das klingt deutlich vertrauenserweckender Sicherheitsforscher, finde ich.

Sollten wir uns vielleicht hier für Deutschland auch mal angewöhnen.

Kommen wir zu der von dir sehr geschätzten Rubrik Veröffentlichungen und Veranstaltungen.

Der Europäische Datenschutzausschuss, der ETSA, hat am 16.

Januar diesen Jahres einen Bericht über die Umsetzung des Auskunftsrechts durch

Verantwortliche veröffentlicht.

Der Bericht fasst die Ergebnisse koordinierter Untersuchungen zusammen,

die im Jahr 2024 von 30 Datenschutzbehörden in ganz Europa durchgeführt wurden.

Insgesamt nahmen über 1.000 Verantwortliche aus verschiedenen Branchen und öffentlichen

Einrichtungen an der Untersuchung teil.

Es zeigte sich wohl, dass unter anderem viele Verantwortliche mit den ETSA-Leitlinien

01-22 zum Auskunftsrecht nicht ausreichend vertraut sind.

Das ist allerdings auch nur eine von vielen Erkenntnissen daraus.

Der Bericht enthält für jede der identifizierten Herausforderungen eine Liste

von Empfehlungen, die den Verantwortlichen und Datenschutzbehörden berücksichtigt

werden sollten oder können, um die Umsetzung des Auskunftsrechts zu verbessern.

Auf Basis der Ergebnisse soll es aber auch weitere Auswertungen geben und dann

auch weitere Orientierungshilfen zur Konkretisierung der Vorgaben erstellt werden.

Wir verlinken das Dokument natürlich wie gewohnt in unseren Shownotes.

Was ich mich ja nur frage und wie gesagt, so tief bin ich jetzt nicht eingestiegen,

muss ich nochmal reingucken,

wenn ein Kernpunkt schon ist, dass die Verantwortlichen die EZE-Leitlinie von

1.22 zum Auskunftsrecht nicht ausreichend kennen, ob jetzt das am Ende wirklich

hilft, bin mal gespannt, ich habe so meine Zweifel.

Seid doch nicht so voreingenommen.

Wie gesagt, ich gucke es mir nochmal an. Ich habe wieder nur Zweifel.

Ich gucke aber da nochmal rein.

Ja, der europäische Datenschutzausschuss war letzte Woche sehr fleißig,

denn ich habe noch ein weiteres Dokument mitgebracht, nämlich die Leitlinie

zu Pseudonymisierung. Diese wurde nämlich am 17.01.

Veröffentlicht und schafft es hier natürlich auch in die Shownotes.

Die Leitlinien sollen bei der Pseudonymisierung auf rechtssichere und datenschutzkonforme

Weise Vorgaben schaffen und im ersten Teil der Leitlinie werden die rechtlichen

Anforderungen erörtert,

während sich der zweite Teil mit der Umsetzung auf technischer Basis beschäftigt.

Einen Anhang zu Leitlinien gibt es jetzt auch und der zeigt eben Beispiele aus

der Praxis und die Vorteile, die TOM, also die technischen und organisatorischen

Maßnahmen, wie diese denn aussehen können.

Mitgewirkt an dieser Leitlinie hat auch Maike Kamp, die Berliner Beauftragte

für den Datenschutz, die ja aktuell ja auch, das hatten wir ja auch schon berichtet,

den Vorsitz der Datenschutzkonferenz innehat.

Und sie hatte sich ja auch eben dieses Thema, nämlich Pseudonymisierung und

Anonymisierung als Schwerpunktthema für ihre Amtszeit vorgenommen.

Und ja, finde ich dann persönlich auch schön zu lesen, dass das hier auch schon

auf fruchtbaren Boden gefallen ist und sie hier schon mitgearbeitet hat.

Vielleicht noch dazu als kleine Ergänzung.

Es wurde jetzt ein öffentliches Konsultationsverfahren gestartet,

bei dem eben Teilnahmen bis zum 28.

Februar diesen Jahres möglich sind.

Wichtige Ergänzung für alle, die da natürlich noch Feedback geben wollen.

Genau.

Ganz herzlichen Dank. War wieder spannende Themen dabei.

Viel Input für unsere Zuhörer und ein bisschen auch was für mich.

Danke auch.

Vielen Dank. Ja, euch wünschen wir einen guten Start ins Wochenende.

Das, wie gesagt, wird, glaube ich, 2025 nicht langweilig. Das zeigen die ersten

Newsfolgen dieses Jahres schon.

Aber wie gesagt, wir bleiben dran. Bleibt uns gewogen und auf bald.

Bis bald.

Der Beitrag Plant Trump die Untergrabung des Data Privacy Frameworks? – Datenschutz News KW 04/2025 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz