Sign up to save your podcasts
Or
Share Rechnungsversand per Email nur mit End-to-End Verschlüsselung - Datenschutz News KW 06/2025
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Rechnungsversand per Email nur mit End-to-End Verschlüsselung - Datenschutz News KW 06/2025
Was ist in der KW 06 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Veröffentlichungen:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/rechnungsversand-per-email-nur-mit-end-to-end-verschlusselung-datenschutz-news-kw-06-2025/↗
Transkript zur Folge:
Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Eure Podcast-Sprecher sind heute Natalia Wozniak und Lothar Simonowski.
Wir haben Freitag, den 7. Februar 2025.
Unser Redaktionsschluss war heute bereits um 9.30 Uhr und wir blicken heute
mit euch auf eine spannende Woche zurück und haben ein paar Themen ausgewählt.
Übrigens, vielen Dank an das Redaktionsteam an der Stelle.
Das war wieder eine super Arbeit. Super viele interessante Nachrichten haben
wir bekommen und wir haben eine Auswahl mal mitgebracht. Natalia, was hast du?
Ja, es war heute tatsächlich schwierig, bei den ganzen guten Nachrichten,
die wir zur Auswahl hatten, uns wirklich die Rosinen rauszupicken.
Ich habe drei Rosinen mitgebracht. Einmal das Datenleck in Rehakliniken.
Dann ein Beschluss des OLG Zelle zur Bemessung der Höhe eines immateriellen Schadensersatzes.
Dann ein weiteres Urteil vom OLG Stehsvig, wo es um Sicherheitsvorkehrungen
beim Versand von E-Mails mit angehängten Rechnungen geht.
Und ich habe zuletzt dann noch einen Veröffentlichungshinweis mitgebracht.
Das sind spannende Themen. Bei mir auf dem Zettel habe ich was zu Deep Seek
und zwar zu einem Datenschutzalarm gebracht des Landgerichts Lübeck und Veranstaltungshinweise
sehr interessanter zum Thema künstliche Intelligenz. Natalia, lege los.
Ich lege los. Also, mein erstes Thema, das Datenleck in Rehakliniken.
Dieses hat potenziell hunderttausende Patienten der Saar-Reha-Kliniken in Deutschland getroffen.
Hier sind wohl hochsensible Patientendaten ungeschützt abrufbar gewesen,
was erhebliche Sicherheitsrisiken mit sich gebracht hat, wie Heise berichtet.
Das Datenleck betrifft die Saar-Reha-Kliniken, die unter dem Dach der Nanz Medico
GmbH stehen, dem größten Anbieter ambulanter Reha-Leistungen in Deutschland.
Die betroffenen Kliniken bieten eine Vielzahl von Therapien an,
unter anderem auch im Bereich Onkologie, Neurologie und auch Psychosomatik.
Die Kommunikation zwischen den Patienten und den Reha-Zentren erfolgt über die
App SARPAT, die es den Nutzern ermöglicht, ihre Termine und Behandlungspläne einzusehen.
Eine der Nutzer entdeckte tatsächlich, dass die App unverschlüsselt mit dem
Internet kommuniziert und seine Terminpläne im Klartext vom Server abruft.
Dies allein war bereits schon besorgniserregend, allerdings einfach nur deswegen
erst mal, weil der Einsatz der Transportverschlüsselung seit Jahren als Standard
gilt und hier nicht umgesetzt war.
Die Sicherheitslücke ging jedoch noch weiter und war so gravierend,
dass, wie Heise weiterberichtet, der Zugang zu den Verbindungen auch für zum
Beispiel Internetprovider oder auch für andere Nutzer in öffentlichen Netzwerken möglich war,
ohne dass hierfür mit besonderen Kenntnissen irgendwelche Sicherheitsmaßnahmen
hätten überwunden werden müssen.
Dadurch waren grundlegende persönliche Informationen wie Namen und Geburtsdaten
abrufbar, aber auch detaillierte medizinische Befundberichte,
die einfach tiefe Einblicke in die Lebensumstände der Patienten gewährten.
Der Umfang des Datenlecks ist alarmierend.
Ein einzelnes Standort könnte Daten von über 80.000 Patienten beinhalten und
damit könnten über 80.000 Patienten pro Standort betroffen sein.
Nachdem der Vorfall gemeldet wurde, konnte die Klinik den Datenzugriff schnell
unterbinden und die Sicherheitsmaßnahmen verbessern.
Es bleibt allerdings unklar, wie Heiser berichtet, wie viele Patienten tatsächlich
betroffen sind, wie viele Standorte
betroffen sind und ob die zuständigen Datenschutzaufsichtsbehörden
und gegebenenfalls auch die Betroffenen informiert wurden.
Sofern hier auch von einem hohen Risiko für die Betroffenen ausgegangen werden
könnte, sollten natürlich auch die Betroffenen informiert werden.
Ja, dieser Vorfall, der verdeutlicht die Notwendigkeit angemessener Sicherheitsmaßnahmen
in der digitalen Gesundheitsversorgung, aber auch in jedem anderen Unternehmen.
Das heißt, Reha-Kliniken und ähnliche Einrichtungen, gleiches gilt aber auch
für andere Unternehmen, die sensibler Personenbeziehung der Daten verarbeiten,
sollten dringend ihre IT-Sicherheitsprotokolle überprüfen und sicherstellen,
dass alle Datenübertragungen angemessen verschlüsselt sind.
Das heißt, Apps, die eingesetzt werden, sollten vor dem Einsatz einer Überprüfung
unterzogen werden, um so etwas zu verhindern und zu vermeiden.
Du hast das ganz am Anfang sehr schön schon eingeleitet, welche Behandlungsarten
oder welche Patienten betroffen sind, unter anderem Onkologie und ähnliche.
Also wenn man sich das mal vor Augen führt, wer davon betroffen ist,
du bist schon krank und deine Daten sind auf einmal sichtbar und weg.
Und also das muss man sich auch im Datenschutz immer wieder vor Augen halten.
Es geht um die betroffene Person, um die Rechte und Freiheiten, um das Wohlbefinden.
Da kann man eigentlich nicht genug an den technischen und organisatorischen
machen, speziell in diesem Umfang.
Vor allem in dem Punkt ist das erschreckend, dass hier die Sicherheitsmaßnahmen
tatsächlich so gestrickt waren, dass ohne besondere Hackerkenntnisse Zugriff
auf die Daten erlangt werden konnte.
Das heißt, jeder Nutzer, der sich ein klein wenig auskannte,
der konnte wirklich auf alle möglichen Daten zugreifen.
Auch diese Befundberichte, nicht nur Onkologie, aber auch psychosomatische Erkrankungen.
Das kann schon tatsächlich Auswirkungen auf die Betroffenen haben,
die nicht klein sind, nicht gering sind, die tatsächlich sogar erheblich sein können.
Gruselig.
Gruselig, ja.
Gruselig. Wir bleiben in der Kategorie
gruselig. Und zwar haben wir einen Datenschutzalarm zum Chatbot DeepSeek.
Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hat erhebliche
Bedenken bezüglich des Chatbots DeepSeek geäußert.
Denn das KI-Modell sammelt offenbar umfangreiche Nutzerdaten,
darunter IP-Adressen, Chatverläufe oder auch Tastaturanschlagmuster.
Da hat man schon einen Eindruck, was man mit diesen Anschlagmustern machen kann,
zum Beispiel in Richtung Passwörter mal zu gehen oder Kontodaten oder ähnliches.
Besonders brisant dabei ist, dass
Diebseek keine Niederlassung oder gesetzlichen Vertreter in der EU hat.
Das ist ein klarer Verstoß gegen die Datenschutzgrundverordnung. Grundverordnung.
Ja, die Datenschutzbehörden in Deutschland wollen nun gemeinsam gegen DeepSeek
vorgehen und einen Fragebogen zur Datenverarbeitung an das Unternehmen schicken.
International ist auch Bewegung in dem Thema. Es wächst der Druck aus Italien.
Italien hat die App bereits gesperrt. Sie sind ja auch sehr umtriebig bei OpenAI.
Und die irische Datenschutzbehörde DPC prüft den Fall bereits ebenfalls.
Für zusätzliche Besorgnis sorgt die Entdeckung einer ungesicherten DeepSeek-Datenbank
im Internet, die sensible Informationen wie Chatverläufe oder API-Internas enthielt.
Auf der anderen Seite, trotz dieser Kritik sorgt der Chatbot mit seiner Leistungsfähigkeit
für Aufsehen. Es ging ja auch medial durch die Gazetten.
Die Technologie wird als ernstzunehmende Konkurrenz zu OpenAI gehandelt und
beeinflusst jetzt sogar schon Aktienkurse großer Tech-Konzerne.
Also ich glaube, die Diskussion um DeepSeek, die unterstreicht auch wiederum
die Bedeutung eines bewussten Umgangs mit KI-Anwendungen, sowohl im privaten,
aber auch gerade im geschäftlichen Kontext.
Nutzer sollten sich über die Preisgabe der Daten und mögliche Risiken im Klaren sein.
Und wir empfehlen auch im geschäftlichen Kontext Datenschutzrichtlinien zu erstellen,
genau zu prüfen, auf Anwendungen dort zurückzugreifen, die den europäischen
Datenschutzstandards entsprechen und die entsprechend anzubieten und mit einzubinden.
Also es ist, ich glaube, der Anfang von einem Thema, wo wir sehr,
sehr genau hinschauen müssen.
Und ich glaube, wir werden auch immer mehr bei der Beratung immer öfter Schnittstellen
zwischen Datenschutz und KI-Verordnung, beziehungsweise DSGVO und KI-Verordnung feststellen.
Und es ist einfach ein Thema, was immer mehr in der Praxis zur Anwendung kommt.
Und nachher, das wird uns begleiten und nicht mal so schnell wieder loslassen.
Das ist gekommen, um zu bleiben. Das stimmt. Ist aber auch, wenn man KI anwendet
und wenn man das tatsächlich tut, es ist schon eine gehörige Erleichterung oder
kann es zumindest sein, eine gehörige Erleichterung.
Aber Obacht dabei. Es ist nicht zu unterschätzen.
Auf jeden Fall Obacht. Also ich bin da noch sehr vorsichtig.
Okay, ich komme zu meinem Urteil, nächsten Urteil, Hinweisbeschluss vom OLG Zelle.
Da geht es nicht um KI, sondern um den immateriellen Schadensersatz und mit
der Bemessung der Höhe des immateriellen Schadensersatzes bei einem sogenannten
Datenscraping-Vorfall, mit dem sich das OLG Zelle hier beschäftigt hat.
Das Interessante an dem Beschluss ist, dass es gar nicht um einen konkreten Sachverhalt geht.
Vielmehr bezieht sich der Hinweisbeschluss nicht auf ein konkretes Verfahren,
sondern wirklich allgemein auf sämtliche beim Senat anhängigen Verfahren aus
dem Bereich Datenscraping Facebook und eine Übersicht oder eine Auflistung der Verfahren,
für die der Beschluss gilt.
Die hat das Gericht angekündigt, diese eben den beteiligten Rechtsanwaltskanzleien bereitzustellen.
Von daher geht es tatsächlich um den Knackpunkt.
Und dieser ist, dass das Gericht den bloßen Kontrollverlust über persönliche
Daten bereits als immateriellen Schaden ansieht, der mit 100 Euro entschädigt werden kann.
Dies ist nichts Neues. Es steht im Einklang mit der Leitentscheidung des BGH vom 18.11.2024.
Wir haben dazu bereits in der Kalenderwoche 47 2024 berichtet.
Von daher, diejenigen unter euch, die sich das noch nicht angehört haben,
sind herzu gerne herzlich nochmal eingeladen.
Jedenfalls hatte der BGH in einem ähnlichen Fall ebenfalls einen Betrag in dieser
Größenordnung, also in Höhe der 100 Euro als angemessen erachtet,
wenn es um den bloßen Kontrollverlust geht.
Laut OLG sei nun in Einzelfällen auch eine höhere Entschädigung in Höhe von
500 Euro und gegebenenfalls sogar auch darüber hinaus möglich,
falls ganz besondere erhebliche Umstände vorliegen und auch nachgewiesen wurden.
Das OLG nennt hier als Beispiel psychische Folgeerscheinungen,
die ganz deutlich über die Stufe des mit dem eingetretenen Kontrollverlust für
jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen.
Von diesem Vorliegen, solche ganz besonderen Umstände, muss das Gericht allerdings
dann auch überzeugt sein.
Von daher die 100 Euro als Marschroute vom BGH, aber bei besonderen und wirklich
auch nachgewiesenen und erheblichen Umständen kann der Schadensersatz auch höher auswahlen.
Kommen wir zu unserem nächsten Urteil des Landgerichts Lübeck.
Ich springe mal direkt zum Ende und löse mal auf, denn die Meldung von Positivdaten
aus Telekommunikationsverträgen an die Schufa ist rechtswidrig und begründet
einen Schadensersatzanspruch nach Artikel 82.
Was ist passiert, dass es zu diesem Satz gekommen ist? Ein Kläger hatte bei
der Beklagten einen Mobilfunkvertrag abgeschlossen und bei Abschluss wurden
Daten wie Name, Anschrift und Ähnliches an die Schufa weitergegeben.
Der Hinweis dazu zu dieser Weiterleitung wurde in einem Merkblatt veröffentlicht.
Auf Antrag des Klägers hat die Schufa dann bestätigt, dass das TK-Unternehmen
die Daten des Klägers übermittelt hat und dass ein Servicekonto eingerichtet wurde.
Darüber hinaus, und dann zitiere ich mal aus dem Schreiben, ihr Basiscore beträgt
99,53 Prozent, von theoretisch möglich 100 Prozent.
Der Basiscore ermöglicht Ihnen eine branchenübergreifende Einschätzung Ihrer
Bonität und die Berechnung erfolgt einmal pro Quartal auf Basis der zu Ihrer
Person bei der Schufa gespeicherten Daten.
Der Kläger hatte daraufhin ein sehr ungutes Gefühl und zwar das des Kontrollverlustes
über die Daten, insbesondere zu seiner Bonität,
denn die Bonität ist nicht nur für ihn, aber speziell und insbesondere für ihn
in seinem geschäftlichen Umfeld extrem wichtig.
Dazu hat das Landgericht Lübeck entschieden, dass die Meldung von Positivdaten
aus Telekommunikationsverträgen an die Schufa rechtswidrig ist.
Es ließ zwar offen, ob diese Praxis zur Wahrung der berechtigten Interesse erforderlich
sei, stellte jedoch unverständlich klar, dass das Recht auf die informationale
Selbstbestimmung überwiegt.
Besonders problematisch sei die umfassende Datenverarbeitung,
die potenziell unbegrenzte Informationen betreffe und erhebliche Auswirkungen
auf die Betroffenen haben.
Daher liegt laut Gericht ein Schaden im Sinne von Artikel 82 DSGVO vor.
Ein bisschen detaillierter zur Entscheidung des Gerichtes ist,
sie stellen klar, dass es liegt ein überwiegend schutzwürdiges Interesse der
betroffenen Person jedenfalls dann vor,
wenn der Zweck der Datenübertragung die Erstellung eines Persönlichkeitsprofils
ist oder wenn eine große Reihe von Daten miteinander verkettet werden oder wenn
eine Datenverarbeitung besonders umfassend ist oder sie potenziell in unbegrenzte Daten betrifft.
Eine derartige Konstellation liegt in diesem Fall der Einmeldung von Positivdaten
durch die Telekommunikationsunternehmen an die Schufa vor. Zitat Ende.
Im Übrigen bei der Bemessung des Schadenersatzes orientierte sich das Gericht
an einem ähnlich gelagerten weiteren Urteil des EuGH vom 8.1.,
ich verlinke noch dazu, das Aktenzeichen in den Shownotes und sprach dem Kläger 400 Euro zu,
deutlich weniger als er gefordert hatte, er wollte nämlich 5000 Euro dafür haben.
Das haben wir aber öfter, dass tatsächlich das, was der Kläger möchte und das,
was der Kläger am Ende kriegt, so ein bisschen auseinanderfallen,
insbesondere bei Schadensersatzansprüchen.
Ich komme zu meinem nächsten Urteil vom EuGH Das Urteil ist vom Mitte Dezember
2024 und es geht darin um die Sicherheitsvorkehrung beim Versand von E-Mails
mit angehängten Rechnungen.
Das OLG Schleswig-Holstein hat hierzu entschieden, dass Unternehmen beim E-Mail-Versand
von Rechnungen mit personenbezogenen Daten ein angemessenes Schutzniveau gewährleisten
müssen und eine End-zu-End-Verschlüsselung ist dabei das Mittel der Wahl.
Dem Urteil liegt der folgende Sachverhalt zugrunde.
Die von dem Unternehmen versandte E-Mail mit einer Rechnung ist unbefugt verändert worden,
sodass der Betroffene, also der Empfänger der Rechnung, den Rechnungsbetrag,
hier rund 15.000 Euro, nicht auf das Konto des Unternehmens entrichtet hatte,
sondern auf das Konto eines unbekannten Dritten überwiesen hat.
Da die Zahlung an den Dritten nicht zur Erfüllung der Zahlungsverpflichtung
führe und der Betroffene damit erneut an das Unternehmen die 15.000 Euro zu zahlen hat,
stehen den Betroffenen aber auf der anderen Seite einen Schadensersatzanspruch
aus Artikel 82 DSGVO zu, in gleicher Höhe wie eben die 15.000 Euro.
Das Gericht hat hierzu ausgeführt, dass der Verantwortliche die Möglichkeit,
aber auch die Verpflichtung hat,
nach dem in Artikel 5 Absatz 2 DSGVO formulierten und in Artikel 24 DSGVO konkretisierten
Grundsatz seine Rechenschaftspflicht darzulegen und auch zu beweisen,
dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren,
um die personenbezogenen Daten entsprechend dem von der DSGVO verlangten Sicherheitsniveau
vor dem Zugriff Unbefugter zu schützen.
Das Gericht stellte klar, dass eine reine Transportverschlüsselung gerade bei
einem so hohen Betrag nicht ausreiche, um den Anforderungen der DSGVO gerecht
zu werden und eben keinen geeigneten Schutz im Sinne der DSGVO darstelle.
Dies gelte jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch
Verfälschung der angehängten Rechnung.
Stattdessen, so das Gericht weiter, entspreche eine End-zu-End-Verschlüsselung
hier dem angemessenen Schutzniveau und sei zurzeit das Mittel der Wahl.
Dabei ist es auch unerheblich, dass der Schaden durch Hinzutun eines Dritten entstanden ist,
denn nach Artikel 82 Absatz 3 DSGVO ist der Verantwortliche nicht allein deshalb
von der Haftung befreit, weil ein Dritter unbefugt auf die Daten zugegriffen hat.
Der Verantwortliche muss vielmehr nachweisen, dass seine Sicherheitsmaßnahmen ausreichend waren.
Da das Unternehmen hier gerade nicht nachweisen konnte, dass es alle erforderlichen
Schutzmaßnahmen getroffen hatte, bejahte das Gericht einen Schadensersatzanspruch
der Kundin nach Artikel 82.
Die Beweislast liegt also beim Unternehmen. Und im Falle eines Falles liegt
es an den nationalen Gerichten zu bewerten, ob die getroffenen Maßnahmen des
Unternehmens den konkreten Risiken entsprachen bzw. angemessen waren.
In diesem konkreten Fall, also bei dem hohen finanziellen Risiko,
wurde die Transportverschlüsselung als unzureichend angesehen und die End-zu-End-Verschlüsselung,
wie oben schon gesagt, als Mittel der Wahl bezeichnet.
Ja, das ist, glaube ich, für viele Unternehmen eine Herausforderung.
Wir haben uns jetzt auch nochmal überlegt, was sich aus dem Urteil für die Praxis
tatsächlich ableiten lässt. Als erster Punkt, das Prozedere der E-Mail-Verschlüsselung
sollte tatsächlich nochmal überprüft werden, gegebenenfalls nochmal aktualisiert werden.
Unternehmen sollten für geschäftliche E-Mails mit sensiblen Daten oder eben
mit Anhängen, die hohe Risiken mit sich bringen,
tatsächlich die End-zu-End-Verschlüsselung nutzen und so wie hier im konkreten
Fall, insbesondere bei Rechnungen und anderen finanziellen Dokumenten,
die hohe Risiken mit sich bringen.
Daneben sollten Unternehmen auch ihre Rechenschaftspflicht ernst nehmen.
Das heißt, sie müssen nachweisen können, dass sie eben angemessene Sicherheitsmaßnahmen ergriffen haben.
Wir denken hier an den Artikel 5 Absatz 2 DSGVO.
Unternehmen sollten auch technologische Lösungen implementieren,
sofern dies gerade angebracht ist und passt, beziehungsweise prüfen,
ob solche Lösungen implementiert werden können.
Zum Beispiel sollten Unternehmen nach Alternativen zum unverschlüsselten E-Mail-Versand
schauen und prüfen, ob zum Beispiel Rechnungsportale oder andere gesicherte
Kommunikationskanäle in Frage kommen.
Und ganz wichtig, sollte halt auch nicht vergessen werden, die Sensibilisierung der Kunden.
Wir erleben tatsächlich, dass die Betroffenen immer sensibler werden,
was das Thema Datenschutz angeht und immer aufmerksamer sind.
Trotzdem sollten Kunden auch auf mögliche Betrugsversuche hingewiesen werden
und auch dazu ermutigt werden, bei Änderung von Bankverbindungen Rücksprache
mit dem Unternehmen zu halten.
Diese einfache Maßnahme hätte hier an sich eigentlich schon den Schaden verhindern können.
Von daher mal schauen. Ich glaube, wir haben alle viel zu tun,
wenn wir das Urteil zugrunde legen.
Und die Prüfung und die Umsetzung von möglichen neuen Maßnahmen,
die sollten jetzt eigentlich anstehen.
Ich glaube, dem ist nichts zuzufügen. Das war sehr, sehr aufschlussreich und interessant.
Vielen Dank, Natalia. Ich glaube, wir sind mit unseren Meldungen durch.
Sind auch schon in der Rubrik gelandet Veranstaltungshinweise.
Da habe ich direkt auch zwei hintereinander zum Thema Künstliche Intelligenz.
Und zwar zum einen stellt unsere LDI NRW die Frage, wie KI und Datenschutz gemeinsam
realisiert werden können.
Dazu gibt es eine Veranstaltung und zwar gibt es in der Bezirksregierung Düsseldorf
eine Veranstaltung am 18.
Februar, die zum einen in Präsenz stattfindet, zum anderen aber auch,
es ist angekündigt, dass das Ganze auch gestreamt wird und auf der Webseite dargestellt wird.
Das scheint sehr, sehr interessant zu werden, sollte man sich vormerken.
Und etwas vom Europäischen Datenschutzausschuss, vom ETSA, der eine Expertise
zu Datenschutzfragen veröffentlicht hat.
Und zwar zu solchen Themen wie Bias-Erkennung, zu Themen wie Betroffenenrechte,
Lebenszyklusbetrachtungen und so weiter. Dazu die Links entsprechend in unseren Shownotes.
Ich habe keine Veranstaltung, aber einen Veröffentlichungshinweis mitgebracht.
Und zwar hat die KNIL ihren Leitfaden für die Durchführung und Dokumentation
eines Transfer Impact Assessments finalisiert und veröffentlicht.
Dieser ist vorerst nur in englischer Sprache verfügbar und umfasst 28 Seiten
und orientiert sich an den Empfehlungen des Europäischen Datenschutzausschusses.
Ich glaube, dass das ein aktuell gegebenenfalls hilfreiches Dokument sein könnte,
wenn wir überlegen, was sich gerade in den USA tut.
Von daher wird das eine oder andere Unternehmen zukünftig vielleicht wieder
vor die Herausforderung gestellt, eine TIA durchzuführen im Rahmen der SEC.
Insofern, ich glaube, es ist eine gute Empfehlung, das zu lesen.
Gute Idee. Natalia, wir sind durch. Vielen Dank. Es hat wie immer sehr viel
Spaß gemacht, mit dir einzusprechen.
Dankeschön. Kann ich nur zurückgeben.
Ja, herzlichen Dank. Ihr Lieben, wir wünschen euch ein schönes Wochenende,
falls ihr den Podcast heute am Freitag hört.
Wir wünschen euch einen schönen Start in die Woche, wenn ihr den Podcast am
kommenden Montag hört oder am Wochenende.
Eine gute Zeit und bleibt uns gewogen. Herzlichen Dank.
Dankeschön und bis zum nächsten Mal.
Der Beitrag Rechnungsversand per Email nur mit End-to-End Verschlüsselung – Datenschutz News KW 06/2025 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 06 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Veröffentlichungen:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/ Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/rechnungsversand-per-email-nur-mit-end-to-end-verschlusselung-datenschutz-news-kw-06-2025/↗
Transkript zur Folge:
Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Eure Podcast-Sprecher sind heute Natalia Wozniak und Lothar Simonowski.
Wir haben Freitag, den 7. Februar 2025.
Unser Redaktionsschluss war heute bereits um 9.30 Uhr und wir blicken heute
mit euch auf eine spannende Woche zurück und haben ein paar Themen ausgewählt.
Übrigens, vielen Dank an das Redaktionsteam an der Stelle.
Das war wieder eine super Arbeit. Super viele interessante Nachrichten haben
wir bekommen und wir haben eine Auswahl mal mitgebracht. Natalia, was hast du?
Ja, es war heute tatsächlich schwierig, bei den ganzen guten Nachrichten,
die wir zur Auswahl hatten, uns wirklich die Rosinen rauszupicken.
Ich habe drei Rosinen mitgebracht. Einmal das Datenleck in Rehakliniken.
Dann ein Beschluss des OLG Zelle zur Bemessung der Höhe eines immateriellen Schadensersatzes.
Dann ein weiteres Urteil vom OLG Stehsvig, wo es um Sicherheitsvorkehrungen
beim Versand von E-Mails mit angehängten Rechnungen geht.
Und ich habe zuletzt dann noch einen Veröffentlichungshinweis mitgebracht.
Das sind spannende Themen. Bei mir auf dem Zettel habe ich was zu Deep Seek
und zwar zu einem Datenschutzalarm gebracht des Landgerichts Lübeck und Veranstaltungshinweise
sehr interessanter zum Thema künstliche Intelligenz. Natalia, lege los.
Ich lege los. Also, mein erstes Thema, das Datenleck in Rehakliniken.
Dieses hat potenziell hunderttausende Patienten der Saar-Reha-Kliniken in Deutschland getroffen.
Hier sind wohl hochsensible Patientendaten ungeschützt abrufbar gewesen,
was erhebliche Sicherheitsrisiken mit sich gebracht hat, wie Heise berichtet.
Das Datenleck betrifft die Saar-Reha-Kliniken, die unter dem Dach der Nanz Medico
GmbH stehen, dem größten Anbieter ambulanter Reha-Leistungen in Deutschland.
Die betroffenen Kliniken bieten eine Vielzahl von Therapien an,
unter anderem auch im Bereich Onkologie, Neurologie und auch Psychosomatik.
Die Kommunikation zwischen den Patienten und den Reha-Zentren erfolgt über die
App SARPAT, die es den Nutzern ermöglicht, ihre Termine und Behandlungspläne einzusehen.
Eine der Nutzer entdeckte tatsächlich, dass die App unverschlüsselt mit dem
Internet kommuniziert und seine Terminpläne im Klartext vom Server abruft.
Dies allein war bereits schon besorgniserregend, allerdings einfach nur deswegen
erst mal, weil der Einsatz der Transportverschlüsselung seit Jahren als Standard
gilt und hier nicht umgesetzt war.
Die Sicherheitslücke ging jedoch noch weiter und war so gravierend,
dass, wie Heise weiterberichtet, der Zugang zu den Verbindungen auch für zum
Beispiel Internetprovider oder auch für andere Nutzer in öffentlichen Netzwerken möglich war,
ohne dass hierfür mit besonderen Kenntnissen irgendwelche Sicherheitsmaßnahmen
hätten überwunden werden müssen.
Dadurch waren grundlegende persönliche Informationen wie Namen und Geburtsdaten
abrufbar, aber auch detaillierte medizinische Befundberichte,
die einfach tiefe Einblicke in die Lebensumstände der Patienten gewährten.
Der Umfang des Datenlecks ist alarmierend.
Ein einzelnes Standort könnte Daten von über 80.000 Patienten beinhalten und
damit könnten über 80.000 Patienten pro Standort betroffen sein.
Nachdem der Vorfall gemeldet wurde, konnte die Klinik den Datenzugriff schnell
unterbinden und die Sicherheitsmaßnahmen verbessern.
Es bleibt allerdings unklar, wie Heiser berichtet, wie viele Patienten tatsächlich
betroffen sind, wie viele Standorte
betroffen sind und ob die zuständigen Datenschutzaufsichtsbehörden
und gegebenenfalls auch die Betroffenen informiert wurden.
Sofern hier auch von einem hohen Risiko für die Betroffenen ausgegangen werden
könnte, sollten natürlich auch die Betroffenen informiert werden.
Ja, dieser Vorfall, der verdeutlicht die Notwendigkeit angemessener Sicherheitsmaßnahmen
in der digitalen Gesundheitsversorgung, aber auch in jedem anderen Unternehmen.
Das heißt, Reha-Kliniken und ähnliche Einrichtungen, gleiches gilt aber auch
für andere Unternehmen, die sensibler Personenbeziehung der Daten verarbeiten,
sollten dringend ihre IT-Sicherheitsprotokolle überprüfen und sicherstellen,
dass alle Datenübertragungen angemessen verschlüsselt sind.
Das heißt, Apps, die eingesetzt werden, sollten vor dem Einsatz einer Überprüfung
unterzogen werden, um so etwas zu verhindern und zu vermeiden.
Du hast das ganz am Anfang sehr schön schon eingeleitet, welche Behandlungsarten
oder welche Patienten betroffen sind, unter anderem Onkologie und ähnliche.
Also wenn man sich das mal vor Augen führt, wer davon betroffen ist,
du bist schon krank und deine Daten sind auf einmal sichtbar und weg.
Und also das muss man sich auch im Datenschutz immer wieder vor Augen halten.
Es geht um die betroffene Person, um die Rechte und Freiheiten, um das Wohlbefinden.
Da kann man eigentlich nicht genug an den technischen und organisatorischen
machen, speziell in diesem Umfang.
Vor allem in dem Punkt ist das erschreckend, dass hier die Sicherheitsmaßnahmen
tatsächlich so gestrickt waren, dass ohne besondere Hackerkenntnisse Zugriff
auf die Daten erlangt werden konnte.
Das heißt, jeder Nutzer, der sich ein klein wenig auskannte,
der konnte wirklich auf alle möglichen Daten zugreifen.
Auch diese Befundberichte, nicht nur Onkologie, aber auch psychosomatische Erkrankungen.
Das kann schon tatsächlich Auswirkungen auf die Betroffenen haben,
die nicht klein sind, nicht gering sind, die tatsächlich sogar erheblich sein können.
Gruselig.
Gruselig, ja.
Gruselig. Wir bleiben in der Kategorie
gruselig. Und zwar haben wir einen Datenschutzalarm zum Chatbot DeepSeek.
Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann hat erhebliche
Bedenken bezüglich des Chatbots DeepSeek geäußert.
Denn das KI-Modell sammelt offenbar umfangreiche Nutzerdaten,
darunter IP-Adressen, Chatverläufe oder auch Tastaturanschlagmuster.
Da hat man schon einen Eindruck, was man mit diesen Anschlagmustern machen kann,
zum Beispiel in Richtung Passwörter mal zu gehen oder Kontodaten oder ähnliches.
Besonders brisant dabei ist, dass
Diebseek keine Niederlassung oder gesetzlichen Vertreter in der EU hat.
Das ist ein klarer Verstoß gegen die Datenschutzgrundverordnung. Grundverordnung.
Ja, die Datenschutzbehörden in Deutschland wollen nun gemeinsam gegen DeepSeek
vorgehen und einen Fragebogen zur Datenverarbeitung an das Unternehmen schicken.
International ist auch Bewegung in dem Thema. Es wächst der Druck aus Italien.
Italien hat die App bereits gesperrt. Sie sind ja auch sehr umtriebig bei OpenAI.
Und die irische Datenschutzbehörde DPC prüft den Fall bereits ebenfalls.
Für zusätzliche Besorgnis sorgt die Entdeckung einer ungesicherten DeepSeek-Datenbank
im Internet, die sensible Informationen wie Chatverläufe oder API-Internas enthielt.
Auf der anderen Seite, trotz dieser Kritik sorgt der Chatbot mit seiner Leistungsfähigkeit
für Aufsehen. Es ging ja auch medial durch die Gazetten.
Die Technologie wird als ernstzunehmende Konkurrenz zu OpenAI gehandelt und
beeinflusst jetzt sogar schon Aktienkurse großer Tech-Konzerne.
Also ich glaube, die Diskussion um DeepSeek, die unterstreicht auch wiederum
die Bedeutung eines bewussten Umgangs mit KI-Anwendungen, sowohl im privaten,
aber auch gerade im geschäftlichen Kontext.
Nutzer sollten sich über die Preisgabe der Daten und mögliche Risiken im Klaren sein.
Und wir empfehlen auch im geschäftlichen Kontext Datenschutzrichtlinien zu erstellen,
genau zu prüfen, auf Anwendungen dort zurückzugreifen, die den europäischen
Datenschutzstandards entsprechen und die entsprechend anzubieten und mit einzubinden.
Also es ist, ich glaube, der Anfang von einem Thema, wo wir sehr,
sehr genau hinschauen müssen.
Und ich glaube, wir werden auch immer mehr bei der Beratung immer öfter Schnittstellen
zwischen Datenschutz und KI-Verordnung, beziehungsweise DSGVO und KI-Verordnung feststellen.
Und es ist einfach ein Thema, was immer mehr in der Praxis zur Anwendung kommt.
Und nachher, das wird uns begleiten und nicht mal so schnell wieder loslassen.
Das ist gekommen, um zu bleiben. Das stimmt. Ist aber auch, wenn man KI anwendet
und wenn man das tatsächlich tut, es ist schon eine gehörige Erleichterung oder
kann es zumindest sein, eine gehörige Erleichterung.
Aber Obacht dabei. Es ist nicht zu unterschätzen.
Auf jeden Fall Obacht. Also ich bin da noch sehr vorsichtig.
Okay, ich komme zu meinem Urteil, nächsten Urteil, Hinweisbeschluss vom OLG Zelle.
Da geht es nicht um KI, sondern um den immateriellen Schadensersatz und mit
der Bemessung der Höhe des immateriellen Schadensersatzes bei einem sogenannten
Datenscraping-Vorfall, mit dem sich das OLG Zelle hier beschäftigt hat.
Das Interessante an dem Beschluss ist, dass es gar nicht um einen konkreten Sachverhalt geht.
Vielmehr bezieht sich der Hinweisbeschluss nicht auf ein konkretes Verfahren,
sondern wirklich allgemein auf sämtliche beim Senat anhängigen Verfahren aus
dem Bereich Datenscraping Facebook und eine Übersicht oder eine Auflistung der Verfahren,
für die der Beschluss gilt.
Die hat das Gericht angekündigt, diese eben den beteiligten Rechtsanwaltskanzleien bereitzustellen.
Von daher geht es tatsächlich um den Knackpunkt.
Und dieser ist, dass das Gericht den bloßen Kontrollverlust über persönliche
Daten bereits als immateriellen Schaden ansieht, der mit 100 Euro entschädigt werden kann.
Dies ist nichts Neues. Es steht im Einklang mit der Leitentscheidung des BGH vom 18.11.2024.
Wir haben dazu bereits in der Kalenderwoche 47 2024 berichtet.
Von daher, diejenigen unter euch, die sich das noch nicht angehört haben,
sind herzu gerne herzlich nochmal eingeladen.
Jedenfalls hatte der BGH in einem ähnlichen Fall ebenfalls einen Betrag in dieser
Größenordnung, also in Höhe der 100 Euro als angemessen erachtet,
wenn es um den bloßen Kontrollverlust geht.
Laut OLG sei nun in Einzelfällen auch eine höhere Entschädigung in Höhe von
500 Euro und gegebenenfalls sogar auch darüber hinaus möglich,
falls ganz besondere erhebliche Umstände vorliegen und auch nachgewiesen wurden.
Das OLG nennt hier als Beispiel psychische Folgeerscheinungen,
die ganz deutlich über die Stufe des mit dem eingetretenen Kontrollverlust für
jedermann unmittelbar zusammenhängenden Unannehmlichkeiten hinausgehen.
Von diesem Vorliegen, solche ganz besonderen Umstände, muss das Gericht allerdings
dann auch überzeugt sein.
Von daher die 100 Euro als Marschroute vom BGH, aber bei besonderen und wirklich
auch nachgewiesenen und erheblichen Umständen kann der Schadensersatz auch höher auswahlen.
Kommen wir zu unserem nächsten Urteil des Landgerichts Lübeck.
Ich springe mal direkt zum Ende und löse mal auf, denn die Meldung von Positivdaten
aus Telekommunikationsverträgen an die Schufa ist rechtswidrig und begründet
einen Schadensersatzanspruch nach Artikel 82.
Was ist passiert, dass es zu diesem Satz gekommen ist? Ein Kläger hatte bei
der Beklagten einen Mobilfunkvertrag abgeschlossen und bei Abschluss wurden
Daten wie Name, Anschrift und Ähnliches an die Schufa weitergegeben.
Der Hinweis dazu zu dieser Weiterleitung wurde in einem Merkblatt veröffentlicht.
Auf Antrag des Klägers hat die Schufa dann bestätigt, dass das TK-Unternehmen
die Daten des Klägers übermittelt hat und dass ein Servicekonto eingerichtet wurde.
Darüber hinaus, und dann zitiere ich mal aus dem Schreiben, ihr Basiscore beträgt
99,53 Prozent, von theoretisch möglich 100 Prozent.
Der Basiscore ermöglicht Ihnen eine branchenübergreifende Einschätzung Ihrer
Bonität und die Berechnung erfolgt einmal pro Quartal auf Basis der zu Ihrer
Person bei der Schufa gespeicherten Daten.
Der Kläger hatte daraufhin ein sehr ungutes Gefühl und zwar das des Kontrollverlustes
über die Daten, insbesondere zu seiner Bonität,
denn die Bonität ist nicht nur für ihn, aber speziell und insbesondere für ihn
in seinem geschäftlichen Umfeld extrem wichtig.
Dazu hat das Landgericht Lübeck entschieden, dass die Meldung von Positivdaten
aus Telekommunikationsverträgen an die Schufa rechtswidrig ist.
Es ließ zwar offen, ob diese Praxis zur Wahrung der berechtigten Interesse erforderlich
sei, stellte jedoch unverständlich klar, dass das Recht auf die informationale
Selbstbestimmung überwiegt.
Besonders problematisch sei die umfassende Datenverarbeitung,
die potenziell unbegrenzte Informationen betreffe und erhebliche Auswirkungen
auf die Betroffenen haben.
Daher liegt laut Gericht ein Schaden im Sinne von Artikel 82 DSGVO vor.
Ein bisschen detaillierter zur Entscheidung des Gerichtes ist,
sie stellen klar, dass es liegt ein überwiegend schutzwürdiges Interesse der
betroffenen Person jedenfalls dann vor,
wenn der Zweck der Datenübertragung die Erstellung eines Persönlichkeitsprofils
ist oder wenn eine große Reihe von Daten miteinander verkettet werden oder wenn
eine Datenverarbeitung besonders umfassend ist oder sie potenziell in unbegrenzte Daten betrifft.
Eine derartige Konstellation liegt in diesem Fall der Einmeldung von Positivdaten
durch die Telekommunikationsunternehmen an die Schufa vor. Zitat Ende.
Im Übrigen bei der Bemessung des Schadenersatzes orientierte sich das Gericht
an einem ähnlich gelagerten weiteren Urteil des EuGH vom 8.1.,
ich verlinke noch dazu, das Aktenzeichen in den Shownotes und sprach dem Kläger 400 Euro zu,
deutlich weniger als er gefordert hatte, er wollte nämlich 5000 Euro dafür haben.
Das haben wir aber öfter, dass tatsächlich das, was der Kläger möchte und das,
was der Kläger am Ende kriegt, so ein bisschen auseinanderfallen,
insbesondere bei Schadensersatzansprüchen.
Ich komme zu meinem nächsten Urteil vom EuGH Das Urteil ist vom Mitte Dezember
2024 und es geht darin um die Sicherheitsvorkehrung beim Versand von E-Mails
mit angehängten Rechnungen.
Das OLG Schleswig-Holstein hat hierzu entschieden, dass Unternehmen beim E-Mail-Versand
von Rechnungen mit personenbezogenen Daten ein angemessenes Schutzniveau gewährleisten
müssen und eine End-zu-End-Verschlüsselung ist dabei das Mittel der Wahl.
Dem Urteil liegt der folgende Sachverhalt zugrunde.
Die von dem Unternehmen versandte E-Mail mit einer Rechnung ist unbefugt verändert worden,
sodass der Betroffene, also der Empfänger der Rechnung, den Rechnungsbetrag,
hier rund 15.000 Euro, nicht auf das Konto des Unternehmens entrichtet hatte,
sondern auf das Konto eines unbekannten Dritten überwiesen hat.
Da die Zahlung an den Dritten nicht zur Erfüllung der Zahlungsverpflichtung
führe und der Betroffene damit erneut an das Unternehmen die 15.000 Euro zu zahlen hat,
stehen den Betroffenen aber auf der anderen Seite einen Schadensersatzanspruch
aus Artikel 82 DSGVO zu, in gleicher Höhe wie eben die 15.000 Euro.
Das Gericht hat hierzu ausgeführt, dass der Verantwortliche die Möglichkeit,
aber auch die Verpflichtung hat,
nach dem in Artikel 5 Absatz 2 DSGVO formulierten und in Artikel 24 DSGVO konkretisierten
Grundsatz seine Rechenschaftspflicht darzulegen und auch zu beweisen,
dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren,
um die personenbezogenen Daten entsprechend dem von der DSGVO verlangten Sicherheitsniveau
vor dem Zugriff Unbefugter zu schützen.
Das Gericht stellte klar, dass eine reine Transportverschlüsselung gerade bei
einem so hohen Betrag nicht ausreiche, um den Anforderungen der DSGVO gerecht
zu werden und eben keinen geeigneten Schutz im Sinne der DSGVO darstelle.
Dies gelte jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch
Verfälschung der angehängten Rechnung.
Stattdessen, so das Gericht weiter, entspreche eine End-zu-End-Verschlüsselung
hier dem angemessenen Schutzniveau und sei zurzeit das Mittel der Wahl.
Dabei ist es auch unerheblich, dass der Schaden durch Hinzutun eines Dritten entstanden ist,
denn nach Artikel 82 Absatz 3 DSGVO ist der Verantwortliche nicht allein deshalb
von der Haftung befreit, weil ein Dritter unbefugt auf die Daten zugegriffen hat.
Der Verantwortliche muss vielmehr nachweisen, dass seine Sicherheitsmaßnahmen ausreichend waren.
Da das Unternehmen hier gerade nicht nachweisen konnte, dass es alle erforderlichen
Schutzmaßnahmen getroffen hatte, bejahte das Gericht einen Schadensersatzanspruch
der Kundin nach Artikel 82.
Die Beweislast liegt also beim Unternehmen. Und im Falle eines Falles liegt
es an den nationalen Gerichten zu bewerten, ob die getroffenen Maßnahmen des
Unternehmens den konkreten Risiken entsprachen bzw. angemessen waren.
In diesem konkreten Fall, also bei dem hohen finanziellen Risiko,
wurde die Transportverschlüsselung als unzureichend angesehen und die End-zu-End-Verschlüsselung,
wie oben schon gesagt, als Mittel der Wahl bezeichnet.
Ja, das ist, glaube ich, für viele Unternehmen eine Herausforderung.
Wir haben uns jetzt auch nochmal überlegt, was sich aus dem Urteil für die Praxis
tatsächlich ableiten lässt. Als erster Punkt, das Prozedere der E-Mail-Verschlüsselung
sollte tatsächlich nochmal überprüft werden, gegebenenfalls nochmal aktualisiert werden.
Unternehmen sollten für geschäftliche E-Mails mit sensiblen Daten oder eben
mit Anhängen, die hohe Risiken mit sich bringen,
tatsächlich die End-zu-End-Verschlüsselung nutzen und so wie hier im konkreten
Fall, insbesondere bei Rechnungen und anderen finanziellen Dokumenten,
die hohe Risiken mit sich bringen.
Daneben sollten Unternehmen auch ihre Rechenschaftspflicht ernst nehmen.
Das heißt, sie müssen nachweisen können, dass sie eben angemessene Sicherheitsmaßnahmen ergriffen haben.
Wir denken hier an den Artikel 5 Absatz 2 DSGVO.
Unternehmen sollten auch technologische Lösungen implementieren,
sofern dies gerade angebracht ist und passt, beziehungsweise prüfen,
ob solche Lösungen implementiert werden können.
Zum Beispiel sollten Unternehmen nach Alternativen zum unverschlüsselten E-Mail-Versand
schauen und prüfen, ob zum Beispiel Rechnungsportale oder andere gesicherte
Kommunikationskanäle in Frage kommen.
Und ganz wichtig, sollte halt auch nicht vergessen werden, die Sensibilisierung der Kunden.
Wir erleben tatsächlich, dass die Betroffenen immer sensibler werden,
was das Thema Datenschutz angeht und immer aufmerksamer sind.
Trotzdem sollten Kunden auch auf mögliche Betrugsversuche hingewiesen werden
und auch dazu ermutigt werden, bei Änderung von Bankverbindungen Rücksprache
mit dem Unternehmen zu halten.
Diese einfache Maßnahme hätte hier an sich eigentlich schon den Schaden verhindern können.
Von daher mal schauen. Ich glaube, wir haben alle viel zu tun,
wenn wir das Urteil zugrunde legen.
Und die Prüfung und die Umsetzung von möglichen neuen Maßnahmen,
die sollten jetzt eigentlich anstehen.
Ich glaube, dem ist nichts zuzufügen. Das war sehr, sehr aufschlussreich und interessant.
Vielen Dank, Natalia. Ich glaube, wir sind mit unseren Meldungen durch.
Sind auch schon in der Rubrik gelandet Veranstaltungshinweise.
Da habe ich direkt auch zwei hintereinander zum Thema Künstliche Intelligenz.
Und zwar zum einen stellt unsere LDI NRW die Frage, wie KI und Datenschutz gemeinsam
realisiert werden können.
Dazu gibt es eine Veranstaltung und zwar gibt es in der Bezirksregierung Düsseldorf
eine Veranstaltung am 18.
Februar, die zum einen in Präsenz stattfindet, zum anderen aber auch,
es ist angekündigt, dass das Ganze auch gestreamt wird und auf der Webseite dargestellt wird.
Das scheint sehr, sehr interessant zu werden, sollte man sich vormerken.
Und etwas vom Europäischen Datenschutzausschuss, vom ETSA, der eine Expertise
zu Datenschutzfragen veröffentlicht hat.
Und zwar zu solchen Themen wie Bias-Erkennung, zu Themen wie Betroffenenrechte,
Lebenszyklusbetrachtungen und so weiter. Dazu die Links entsprechend in unseren Shownotes.
Ich habe keine Veranstaltung, aber einen Veröffentlichungshinweis mitgebracht.
Und zwar hat die KNIL ihren Leitfaden für die Durchführung und Dokumentation
eines Transfer Impact Assessments finalisiert und veröffentlicht.
Dieser ist vorerst nur in englischer Sprache verfügbar und umfasst 28 Seiten
und orientiert sich an den Empfehlungen des Europäischen Datenschutzausschusses.
Ich glaube, dass das ein aktuell gegebenenfalls hilfreiches Dokument sein könnte,
wenn wir überlegen, was sich gerade in den USA tut.
Von daher wird das eine oder andere Unternehmen zukünftig vielleicht wieder
vor die Herausforderung gestellt, eine TIA durchzuführen im Rahmen der SEC.
Insofern, ich glaube, es ist eine gute Empfehlung, das zu lesen.
Gute Idee. Natalia, wir sind durch. Vielen Dank. Es hat wie immer sehr viel
Spaß gemacht, mit dir einzusprechen.
Dankeschön. Kann ich nur zurückgeben.
Ja, herzlichen Dank. Ihr Lieben, wir wünschen euch ein schönes Wochenende,
falls ihr den Podcast heute am Freitag hört.
Wir wünschen euch einen schönen Start in die Woche, wenn ihr den Podcast am
kommenden Montag hört oder am Wochenende.
Eine gute Zeit und bleibt uns gewogen. Herzlichen Dank.
Dankeschön und bis zum nächsten Mal.
Der Beitrag Rechnungsversand per Email nur mit End-to-End Verschlüsselung – Datenschutz News KW 06/2025 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners