Sign up to save your podcasts
Or
Share Unzureichende Einbindung des DSB führt zu Bußgeld - Datenschutz News KW 30/2024
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Unzureichende Einbindung des DSB führt zu Bußgeld - Datenschutz News KW 30/2024
Was ist in der KW 30 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/unzureichende-einbindung-des-dsb-fuehrt-zu-bussgeld-datenschutz-news-kw-30-2024/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Ja.
Das kann man so stehen lassen.
Kann man so stehen lassen? Vielleicht sollten wir noch darauf hin, was ich nachfolgenden Sendungen sich um 20 Minuten verschiebe.
Ich find’s spannend.
Ja auf jeden Fall.
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz-Update,
Wir begrüßen euch wieder recht herzlich zu den wöchentlichen Datenschutz-News der Mioscents, mit denen wir in gewohnter Art und Weise mit euch ins Wochenende starten. Mein Name ist Heiko Gossen.
Und mein Name ist Lothar Simonowski.
Hallo Lothar,
Lothar, wir haben wieder ein paar Themen mitgebracht. Auch das kennen unsere Zuhörer, Redaktionsschluss war wie gewohnt um zehn Uhr, also diese Woche würde ich mal sagen alles wie gehabt und äh ich würde dich bitten, starte einfach mal, was hast du aufm Zettel?
Ich starte mit dem Urteil des Oberlandesgerichts Frankfurt zum Thema Cookie-Einwilligungen, dann äh gehen wir auf die namentliche Nennung des Datenschutzbeauftragten,
und sind letztendlich dann in Paris zu den Olympischen Spielen.
Wunderbar. Ich würde einmal auf einen Vergleich von Oricle in den USA bezüglich Datenschutzverstöße schauen,
Dann sprechen wir über den Stand der Privacy Cent Box bei Google. Das Verfahren, was ja die Drittanbieter-Cookies im Chrome-Browser ablösen soll,
Und ganz wichtig natürlich, unser Titelthema, wie sieht’s eigentlich aus mit der Einbindung des DSBs im Unternehmen und dem, ja, hier in dem Fall erteilten Urteil,
oder vergangenen Urteile in Luxemburg über ein Bußgeld dazu.
Dann würde ich sagen, spann uns nicht länger auf die Folter. Wie sieht’s aus mit dem Cookie-Urteil am OLG Frankfurt?
Das OLG Frankfurt hat sich mit äh der Cookie Einwilligung beschäftigt und zwar mit einer,
Tochtergesellschaft von Microsoft äh Microsoft Advertising.
Zum Hintergrund die Microsoft Advertising äh platziert für Firmenkunden Werbung und verwaltet Cookies, die diese Werbung auswerten.
Wie funktioniert das? Äh die Microsoft Advertising stellt seinen Kundencode zur Verfügung, die diese in ihren eigenen Webseiten integrieren.
Wenn die Seite nun aufgerufen wird, wird der Code ausgeführt und letztendlich werden vorhandene Cookies ausgelesen oder es werden Cookies gesetzt.
Dabei verpflichtet Microsoft Advertising die Betreiber der Drittwebseiten durch ihre AGB, die erforderlichen Einwilligungen eigenständig einzuholen.
Es hat eine Nutzerin beim OLG geklagt und zwar gegen diese Vorgehensweise, weil sie beim Besuch von Webseiten ihre Zustimmung nicht wiedererkannt hat, ne.
Es wurden also Cookies ausgelöst. Es wurden Daten ausgeliefert und letztendlich eingewilligt hat sie nicht.
Und am Ende des Tages hat das äh Oberlandesgericht entschieden, dass die Hinweise in den AGB äh von Microsoft Advertising nicht ausreichen. Sie entlasten den Konzern nicht und zwar haben sie demzufolge
Der Frau, die geltend gemachte Unterlassungsansprüche zugesprochen. Die Begründung äh dazu lautete, dass nach den gültigen Gesetzen des äh T3G und zwar im Paragraf fünfundzwanzig Absatz eins
dass derjenige, der Cookies speichert oder auf die Daten zugreife, die Einwilligung einholen müsse.
Microsoft können sich daher nicht darauf verlassen, dass diese Anforderungen vor den Webseiten erfüllt werden. Das gesetzliche Erfordernis erfasse
jeden Akteur, der eine konkrete Speicher oder Zugriffshandlung beabsichtigt. Microsoft Advertising hafte nach Meinung des OLG auch als Täter für die Rechtsverletzung der Dienst, speichert die Information in Form von Cookies
auf den Endgeräten der Nutzerinnen und Nutzer, sobald die Anforderungen den von ihr zur Verfügung gestellten Programmcode entsprechend ausführt.
Darüber hinaus greife sie auf die gespeicherten Informationen zu, indem sie diese von den Betreibenden der Internetseite zur Verfügung stellen lasse.
Nachdem diese die Information ausgelesen hätten. Und damit habe Microsoft Advertising die Speicherung der Cookies ohne Einwilligung vorgenommen und zu verantworten. Die Entscheidung im Übrigen dazu erging im Eilverfahren und ist unanfechtbar.
Also klingt
sehr schlüssig finde ich, weil natürlich das dürfen wir nicht vergessen im
TDDG oder T3DG, wie du auch so schön sagst, ist ja der Diensteanbieter verpflichtet, die Einwilligung einzuholen und äh da das Ganze auch nicht mal meine Auftragsverarbeitung stattfindet, sondern Microsoft selber Diensteanbieter für diesen Dienst halt ist.
Auch konsequent, dass die natürlich dann auch dafür Sorgen tragen müssen, dass die Einwilligung auch wirklich eingeholt wird.
Dann komme ich direkt zu unserer Titelmeldung. Das Verwaltungsgericht Luxemburg hat eine Geldstrafe bestätigt, weil der Datenschutzbeauftragte vom Unternehmen nicht ausreichend eingebunden und mit genügend Ressourcen ausgestattet worden war.
Eine französische Unternehmensgruppe nannte einen äh Gruppen-DiPO oder Datenschutzbeauftragten, also Konzerndatenschutzbeauftragten,
auch für die luxemburgische Gesellschaft benannt war. Zusätzlich diente dann noch ein Rechtsanwalt in Luxemburg als lokale Kontaktstelle
und ähm ja der ähm Konzern, Datenschutzbeauftragte, der war zwar regelmäßig eingebunden, allerdings nur durch Protokolle wurde er informiert von auch einem entsprechenden Gremium, was es in Luxemburg dann gab, aber er war dort nicht aktiver Teilnehmer.
Das Gericht stellte nun fest, dass die Einschätzung der Aufsichtsbehörde richtig ist und der Konzerndatenschutzbeauftragte nicht ausreichend eingebunden war.
Da er halt immer erst bei Problemen kontaktiert wurde persönlich. So stellte das Gericht fest, Zitat, dass der DPO nicht direkt in alle Datenschutzbezogenen Angelegenheiten involviert war.
Und der Verantwortliche daher gegen Artikel 38 Absatz 1 verstoßen hatte DSGVO.
Das Gericht betrachtete auch die Tätigkeitsmenge des Verantwortlichen in Luxemburg. Dabei muss man wissen, es sind in Luxemburg alleine 70 Standorte und zwischen 1600 und 2100 Mitarbeitenden,
und ungefähr 25.000 Verbrauchern pro Tag. Und hier sieht das Gericht eine Vollzeitperson minimum an als notwendig, die sich mit dem Datenschutz ausreichend dann auch beschäftigen kann.
Daher stellte das Gericht halt auch einen Verstoß gegen Artikel achtunddreißig, Absatz zwei, DSGVO fest, da er,
also der Verantwortliche hier seinen Datenschutzbeauftragten keine ausreichenden Mittel zur Verfügung gestellt hat,
Höhe des Bußgelds 18.000 Euro für einen französischen Konzern ist sicherlich nicht von der Höhe jetzt etwas, was man nicht leisten wird können,
Ich frage mich, was das Bild eigentlich für die Praxis bedeutet, weil wir müssen halt einmal genau hingucken, wenn wir uns das Gerichtsurteil anschauen oder zumindest mal die veröffentlichte Version davon, dann sagt das Gericht halt,
dass der Datenschutzbeauftragte nicht direkt in alle datenschutzbezogenen Angelegenheiten involviert war.
Was für mich in der Praxis in gerade Konzernen oder auch in größeren Datenschutzorganisationen ja echt schwierig ist, wenn man sagt, in alle datenschutzbezogenen Angelegenheiten involviert.
Die Frage ist ja dann, wie viel kann der Datenschutzbeauftragte in einer dezentralen Organisation, zum Beispiel auch Delegieren, an Datenschutzkoordinatoren und so weiter, was ja jetzt nicht total unüblich ist,
in der DSGVO und wenn wir noch mal in achtunddreißig, Artikel achtunddreißig, Absatz eins, reingucken, da steht ja
dass der verantwortlich sicherzustellen hat, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogenen Daten zusammenhängenden Fragen eingebunden wird,
Das finde ich ist halt schon ein Unterschied, ja,
Wo ich halt sage, ja in Fragen, klar, aber nicht in alle Vorgänge muss der Datenschutzbeauftragte ja immer eingebunden sein. Also von daher finde ich das Urteil sehr spannend,
und frage mich halt, ob das halt, wie gesagt, auch jetzt für Unternehmen, wo vielleicht der Datenschutzbeauftragte eigentlich ausreichend,
Ressourcen hat und auch eine gute Datenschutzorganisation aufgebaut hat, mit der er halt das Unternehmen äh letztendlich auch dazu,
anleiten kann, Datenschutz einzuhalten. Ob das halt jetzt nicht vielleicht auch an eher schädliches Urteil ist, wenn man das jetzt so weit auslegt. Von daher,
wie siehst du Slothhar.
Ich find’s auch schwierig äh zu unterscheiden, ne bezüglich der ähm Einbindung in in,
alle Vorgänge, nicht alles ist datenschutzrelevant. Diese Schwelle äh zu entscheiden, ne, was gebe ich jetzt an den DSB, was nicht, ne, wo ist er eingebunden? Es wird spannend, äh wie die Praxis es zeigen wird.
Ich meine, die Praxis ist ja eigentlich, ich mache als DSB bestimmte Leitplanken, ich gebe Richtlinien, ich habe Prozesse, ich mache einen Datenschutzmanagement, was halt sicherstellt, dass in operativen Sachen der Datenschutz halt entsprechend umgesetzt wird und
auch grade in also 25.000 Verbraucher pro Tag, das ist eine Masse,
Ja, das ist vergleichbar mit mit ähm auch anderen großen Unternehmen, nämlich viel Verbraucher ähm Kontakt, dass da auch nicht jede Auskunftsanfrage oder jede Anfrage vom Datenschutzbeauftragten selber beantwortet wird, ist halt normal,
Also das kriegt auch einen Datenschutzbeauftragter gar nicht hin. Das kann der ja gar nicht leisten. Also dass es da halt entsprechende Teams gibt, die darauf geschult sind
so was auch zu zu beauskunften und zu bearbeiten,
der DSB halt wie gesagt Guidance gibt, das vielleicht auch ein Stück überwacht, aber nicht alles selber macht. Das finde ich halt schwierig.
Ja, vielen Dank auf jeden Fall an Carlo Pils. Der hatte in seinem Blog die Lege Data äh darüber berichtet. Darüber sind wir drauf aufmerksam geworden. Das Urteil ist aus dem Mai,
ganz ganz druckfrisch, aber es ist jetzt ähm jetzt auch noch nicht zu gut abgehangen.
Ebenfalls aus Mai, ähm jetzt aber bei uns äh letzte Woche auch noch mal aufgekommen, haben wir ein Urteil auf dem Tisch vom Bundesgerichtshof, vom BGH, der sich äh ja geäußert hat zur,
namentliche Nennung des Datenschutzbeauftragten.
In einem Rechtsstreit, ähm in dem es um ja Auskünfte äh gemäß Artikel 15 ging und äh auch in diesem Zusammenhang um die namentliche Nennung des Datenschutzbeauftragten hat der BGH festgestellt.
Dass die konkrete, namentliche Benennung des Datenschutzbeauftragten nicht erforderlich ist, sofern die Erreichbarkeit anderweitig sichergestellt ist. Äh begründet hat äh das äh BGH ist folgendermaßen. Das,
Bereits nach dem Wortlaut der Vorschrift äh keine Pflicht zur namentlichen Nennung des Datenschutzbeauftragten besteht, sondern nur zur Mitteilung der Kontaktdaten.
Sie sieht in der Semantik des Gesetzes die Begründung, dass in unterschiedlichen Zusammenhängen ausdrücklich die Mitteilung eines Namens verlangt und insofern offensichtlich bewusst differenziert.
Tatsächlich, wenn man sich zum Beispiel,
in den Norm zur Informationspflicht, zum Verzeichnis der Verarbeitungstätigkeit, Meldung von Datenschutzverletzung und so weiter. Mal reinschaut, da wird schon auf den Namen des Datenschutz äh Beauftragten abgestellt.
Und der BGH sieht es nach dem Sinn und Zweck der Vorschrift äh die Namensdendung als nicht zwingend erforderlich, denn es kommt nicht auf die Person, sondern auf die Funktion an.
Entscheidend und zugleich für den Betroffenen ausreichend ist die Mitteilung äh der für die Erreichbarkeit äh der Verantwortlichenstelle erforderlichen Informationen.
Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet. Also muss dieser nicht mitgeteilt.
Und im Übrigen äh habe die Mitteilung nach Artikel dreizehn, Absatz eins, also die Informationspflichten bei der Erhebung, beim Betroffenen,
zum Zeitpunkt der Erhebung die Daten zu erfolgen und in der Folge Zeitkreis natürlich zu personellen Veränderungen kommen, weshalb eine namentliche Nennung und spätere Erreichbarkeit,
sogar erschweren könnte. Also eine klare Stellungnahme dazu. Ähm die Kontaktdaten ja müssen sein und sobald es gewährleistet ist, dass der Datenschutzbeauftragte kontaktiert werden kann.
Sowohl intern als auch extern muss der Name nicht genannt werden.
Sehr gut, weil es deckt sich natürlich mit unserer Auffassung, wie wir’s ja auch in der Praxis haben und ich glaube auch, die meisten Unternehmen äh oder sehr viele Unternehmen, das ja auch in der Praxis so handhaben, das ist der Name des DSBs nicht immer,
Datenschutzhinweisen zum Beispiel auftauchen muss. Ich als auch in der Praxis nicht für für sinnvoll, wenn sich da mal einen Wechsel ergibt, dann fange ich im Zweifelsfall an, die,
die Überwachungschilder neu mal zu machen und so weiter, deswegen kann ich ja schon gut nachvollziehen,
Ich find’s aber nochmal wichtig, das Urteil zu kennen, ne? Weil auch da kann’s natürlich immer mal wieder vielleicht dann auch von Betroffenen
ähm Bedürfnisse geben, dass der Name vielleicht auch offen gelegt wird und dass man sich hier dann auch drauf berufen kann. Da glaube ich ist für die Praxis sehr hilfreich.
Dann schauen wir auf die Privacy Cent Box. Google hat die Einführung der Privacy Cent Box also erneut verschoben, Drittanbieter Cookies bleiben standardmäßig erlaubt. Nutzer können jedoch künftig diese deaktivieren, so der Plan.
Google hat einen Blogbeitrag veröffentlicht, in dem sie auch sagen, dass sie nun den Wünschen der Werbebranche und einiger Regulierer folgen,
und die Umstellung, also die verbindliche Umstellung auf die Box
wohl noch etwas Zeit und Arbeit erfordert. Tatsächlich haben allen voran wohl die britische Wettbewerbsbehörde und auch die Datenschutzbehörde Sorgen geäußert, dass Googles Pläne der Werbekonkurrenz schaden könnten, während Google andererseits selber davon aber profitiert.
Die soll ja so der Plan, zielgerichtete Werbung ermöglichen, aber dabei ohne zu viele Daten zu sammeln und ohne vor allen Dingen darüber halt zu Persönlichkeitsprofile zu erstellen und und Cookies einzusetzen.
Erste Tests von Google zeigen wohl auch Potenzial, ähm sagen wohl, dass die Ergebnisse sehr gut sind, 96Prozent hatte ich irgendwo gelesen, ähm was so die Reitagequote auch angeht,
aber eine verpflichtende Nutzung bleibt jetzt wohl doch weiterhin offen und Nutzer, wie eben schon gesagt, sollen das dann halt zukünftig selber entscheiden können, ob sie Drittanbieter Cookies zulassen oder nicht,
Heisel ähm in seiner Meldung sieht sogar das Aus für die Privacy Sand Box damit,
Das habe ich jetzt aus diesem Blogartikel so noch nicht rausgelesen und ich denke, wir werden da sicherlich auch noch was zu hören in der Zukunft,
Wenn es da noch mal Änderungen geben sollte. Vielleicht wird wissen wir natürlich nicht, hat Heise auch recht und es ist sozusagen das schleichende Aus dafür,
Was ich persönlich schon schade finde, wenn mir dadurch wie gesagt diese zugegebenermaßen ja für uns alle doch sehr lästigen Cookie-Banner,
damit wieder eine Alternative wegfällt oder die Chance wegfällt, dass wir davon vielleicht irgendwann befreien können.
Wir sind in Paris und zwar heute tatsächlich starten die Olympischen Spiele offiziell, sind ja schon einige Wettbewerbe im,
in der Umsetzung. Heute sind die Eröffnungs äh Feierlichkeiten,
und es ist natürlich ein Riesenevent, ne, zum zum sportliches Event, ähm aber auch leider Gottes ein äh sehr großes Sicherheitsrisiko,
Demzufolge haben wir nach einem Bericht von äh Telepolice, also einer journalistischen Plattform, ähm die sich äh um den Einsatz von KI-Überwachungssystemen,
diskutiert auf dem Tisch und ja hiernach ist es,
natürlich nachvollziehbar, dass die französische Regierung in Zusammenarbeit mit privaten Anbietern, technologische.
Fortschrittliche ne natürlich KI-Systeme zur Überwachung und Datenerfassung äh Instrumente einsetzt,
Die Überwachungspläne zur Bewältigung dieser Risiken einschließlich des umstrittenen Einsatzes, muss man dazu sagen, auch experimenteller KI äh wie die Überwachung.
Die sind ja mittlerweile so umfangreich, dass tatsächlich auch Gesetze angepasst werden mussten.
Der Plan geht über neue äh KI, über Videoüberwachungssysteme hinaus. Laut Medienberichten,
ähm zufolge hat das Büro des Premierministers eine als geheim eingestufte vorläufige Verfügung ausgehandelt,
der Regierung erlaubt, die traditionellen Instrumente der Geheimüberwachung und Informationsbeschaffung für die Dauer der Spiele erheblich zu verstärken.
Dazu gehören, dass äh abhören von Telefonaten, das Sammeln von äh Geolokalisierungs,
beziehungsweise Kommunikationsdaten sowie das Sammeln großer Mengen von Bild- und Audiodaten. Die weltweite Bedrohungslage,
Also die wachsenden Sicherheitsrisiken können und werden mehr äh Überwachung erfordern, so die Regierung in diesem Jahr sah sich Frankreich mit Bedenken hinsichtlich seiner olympischen.
Sicherheitskapazitäten und äh Bedrohung rund um die äh Sportveranstaltung konfrontiert.
Präventive Maßnahmen sollten jedoch in einem angemessenen Verhältnis zu den Risiken stehen, ähm sagen Kritiker auf der ganzen Welt, äh dass äh Frankreich die Olympischen Spiele als Anlassüberwachung nutzen würde,
dass die Regierung diese außergewöhnliche Rechtfertigung für die Bewachung nutzen wird, um die staatliche Überwachung in der gesamten Gesellschaft zu normalisieren.
Auf der Grundlage der neuen erweiterten Überwachungsgesetze haben die französischen Behörden mit einigen KI-Unternehmen zusammengearbeitet, um umfassende KI-Videoüberwachungen durchzuführen.
Sie setzen diese KI-Überwachung bei großen Konzerten, Sportveranstaltungen, in U-Bahnstationen, Bahnhöfen,
Zu Zeiten mit hohen Verkehrsaufkommen ein, darunter ähm auch Konzerte von Taylor Swift, Filmfestspiele von Cannes,
Und französische Beamten sagen, dass diese KI-Bewachungsexperimente gut verlaufen seien und es grünes Licht für zukünftige Anwendung gäbe.
Die eingesetzte KI-Software ist darauf ausgelegt bestimmte Ereignisse zu erkennen, etwa Veränderungen in der Größe und Bewegung von,
Menschenmengen. Das hatten wir auch in der vorletzten äh Folge, über eingesetzte KI-Systeme in äh in Deutschland während der Europameisterschaft auch schon gesehen.
Aber auch zurückgelassene Gegenstände und das Vorhandensein von äh Waffen, Körper am Boden, Rauch, Flammen und bestimmte Verkehrsverstöße und das ist das Ziel,
dass diese Überwachungssysteme Ereignisse wie äh diese Menschenmengen, die auf sich auf ein Tor zubewegen oder eine Person, die in ihren Rucksack äh greift, sofort und in Echtzeit,
erkennen zu können,
Jetzt stellt sich nur die Frage, wie innerhalb der EU, also im Geltungsbereich der Datenschutz-Grundverordnung, die Legitimierung erfolgt ist.
Eingang schon erwähnt hat im Vorfeld der olympischen Spiele zwanzig dreiundzwanzig, Frankreich ein Gesetz verabschiedet. Ein Gesetzespaket zur Schaffung eines Rechtsrahmens für die Olympischen Spiele 2024 und darin enthalten ist,
ein ja schon umstrittene Artikel Nummer sieben, der ist in französischen,
Strafverfolgungsbehörden und ihren technischen Auftrag, den man erlaubt vor, während und nach den Spielen,
mit intelligenten Überwachungen äh über Videos zu experimentieren, sowie einen Artikel,
in diesem Gesetzespaket, der unter anderem den Einsatz von KI-Software zur Überprüfung von Video- und Kameraaufzeichnungen erlaubt.
Umstritten deshalb, weil äh namhafte Wissenschaftler, zivilrechtliche Gruppen und Bürgerrecht da drauf hingewiesen haben, dass diese Artikel im Widerspruch zu Datenschutzgrundverordnung und zu den Bemühungen der Europäischen Union,
um eine Regulierung der KI stehen.
Insbesondere dieser Artikel 7 verstoße gegen die Bestimmung der Datenschutzgrundverordnung. Im Kontext biometrischer Daten.
Französische Beamte dahingegen und Vertreter von äh KI Technologieunternehmen haben erklärt, dass diese KI-Software ihr Ziel erreichen kann, nämlich,
spezielle Arten von Ereignissen zu identifizieren und zu markieren, ohne Person zu identifizieren oder die Einschränkung der Datenschutzgrundverordnung
in Bezug auf die Verarbeitung biometrischer Daten zu verstoßen. Dagegen haben europäische Bürgerrechtsorganisationen jedoch drauf hingewiesen, dass, wenn der Zweck und die Funktion von Algorithmen und KI-gesteuerte Kameras dahin,
besteht bestimmte verdächtige Ereignisse im öffentlichen Raum zu erkennen,
dass diese Systeme zwangsläufig, psychologische Merkmale und Verhaltensweisen von Menschen in diesen Räumen erfassen und analysieren können.
Ja, also ein Spannungsfeld, was sich dort aufgebaut hat, äh wo man selber so hin und her gerissen ist, ne. Natürlich,
Sicherheitsrisiken, die Aspekte, die ähm nicht von der Hand zu weisen sind,
versus den Freiheiten und Grundrechten der Bürger in Europa.
Dann gucken wir in die USA. Oracle zahlt in den USA 150 Millionen Dollar im Rahmen eines Vergleichs mit Datenschutzaktivisten.
Nach fast zwei Jahren erreichten internationale Datenschutzaktivisten nun einen Vergleich mit Oricle-Veise berichtet,
und äh die Klägerwaffen Oricle Four ohne einwilligen Daten von über 5 Milliarden Menschen gesammelt zu haben.
Zahlt nur diese 115 Millionen US-Dollar als Vergleichssumme, um hier einem Urteil zu entgehen.
In der Klage ging es hauptsächlich um die Anschuldigungen. Orakel habe die gesammelten Daten von Internetnutzern verwendet, um individuelle Profile zu erstellen.
Und diese dann über das Tochterunternehmen Blue Kay weiter anzureichern und auch entsprechend zu verkaufen.
Mit Hilfe von Cookies und auch anderen Tracking-Instrumenten, unter anderem auch auf wohl vielen Pornoportalen und M ATML E-Mails soll das Unternehmen hier wohl dann auch entsprechend
Datenpotenzial aufgebaut haben und das Ganze auch über einen großen Werbeverbund nochmal dann angereichert haben.
Auricle hat nun angekündigt, dass AdTech Geschäft komplett aufzugeben bis zum 3. September werden wohl Produkte wie die Cloud Data Management Plattform, Digital Audiences und Blue Kay wohl eingestellt.
Und hat auch zugesichert umstrittene Nutzer und Kundendaten automatisch zu löschen, sobald das Verfahren hier abgeschlossen ist.
Und damit dann halt auch alle Anforderungen, Verpflichtungen aus dem Vergleich erfüllt sein. Finde ich persönlich natürlich erst mal gut, dass es hier sowohl auch dann entsprechender Konsequenz bei Rocle führt.
Ehrlich gesagt keine Ahnung wie viel Geld mit diesem Geschäft wirklich äh verdient hat,
aber unterm Strich muss man dann auch sagen, ja, wenn man’s halt nicht datenschutzkonform macht, dann ist es ja auch konsequent einzustellen und vielleicht auch hier es nicht erst auf eine Entscheidung von einem Gericht oder einer Behörde ankommen zu lassen.
Absolut und ähm es zeigt auch die Höhe, ne? Also 115 Millionen Dollar als Vergleichszahlung, da sieht man schon, ne? Das Oricle das sehr sehr ernst nimmt und äh ja vielleicht auch etwas höher äh eine höhere Zahlung im Falle eines äh negativen Ausgangs erwartet hätte, ne. Also,
Das ähm finde ich auch gut.
Wir sind am Ende unserer Nachrichten. Wir sind schon durch. Kommen wir zur Rubrik unserer Veröffentlichung und Veranstaltung, die wir gesehen haben und zwar Onkida.
Ist da,
Onkida, was verbirgt sich hinter diesem asiatisch anmutenden Namen? Es ist der Orientierungshilfennavigator für KI und Datenschutz der Landes
für Datenschutz und Informationsfreiheit Baden-Württemberg hat eine Arbeitshilfe erstellt zu datenschutzrechtlichen Aspekten beim Einsatz von KI und diese Veröffentlichung wird auch über
seine Online-Präsenz angeboten.
Schon ein erster Blick macht äh Lust auf mehr. Also es sieht ähm sehr sehr gut aus und ja würden wir ans Herz legen.
Ja, ist vielleicht auch eine gute Gelegenheit, um noch mal auf die Themenfolge mit äh Professor Keber hinzuweisen, die letztes Jahr wir schon gemacht haben mit Blick auf,
auf insbesondere halt diese gesamten KI-Themen. Wer sie noch nicht gehört hat, kann ich Sie ans Herz legen, weil Herr Keber nochmal auch darauf eingeht, wie denn halt dieses Thema,
KI insbesondere mit unseren Instrumenten, die wir halt an der Hand haben, nämlich die DSGVO in erster Linie und jetzt natürlich auch die KI-Verordnung auch legitimieren können und worauf wir insbesondere zu achten haben. Von daher,
den Link nochmal in die Shownotes rein. Ich denke, das ist auf jeden Fall sinnvoll, da nochmal reinzuhören. Selbst wenn man sie schon gehört hat, kann’s nicht schaden, sage mal, zur Auffrischung reinzuhören.
In diesem Sinne vielen Dank Lothar.
Ich danke dir, Heiko. Es hat Spaß gemacht wie immer.
Finde ich auch und ich hoffe, euch, liebe Zuhörenden, natürlich auch, wenn dem so ist
zögert nicht, uns auch Rückmeldungen zu geben oder auf eurer Podcast-Plattform, die ihr nutzt, gerne auch entsprechend mal zu reviewen und einen kleinen äh kleine Bewertung vielleicht dazulassen.
Freut uns immer sehr, aber auch für Kritik sind wir immer offen, wenn ihr Verbesserungspotentiale, Möglichkeiten seht,
Gebt uns gerne Bescheid. Wir freuen uns da wirklich ernst drüber und äh versuchen das dann auch umzusetzen, wie in der Vergangenheit ja auch schon wir Rückmeldungen bekommen haben, die hoffentlich dann auch hier positiv sich bemerkbar gemacht haben,
In diesem Sinne, herzlichen Dank, ein schönes Wochenende euch allen, bleibt uns gewogen und auf bald.
Der Beitrag Unzureichende Einbindung des DSB führt zu Bußgeld – Datenschutz News KW 30/2024 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 30 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/unzureichende-einbindung-des-dsb-fuehrt-zu-bussgeld-datenschutz-news-kw-30-2024/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Ja.
Das kann man so stehen lassen.
Kann man so stehen lassen? Vielleicht sollten wir noch darauf hin, was ich nachfolgenden Sendungen sich um 20 Minuten verschiebe.
Ich find’s spannend.
Ja auf jeden Fall.
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz-Update,
Wir begrüßen euch wieder recht herzlich zu den wöchentlichen Datenschutz-News der Mioscents, mit denen wir in gewohnter Art und Weise mit euch ins Wochenende starten. Mein Name ist Heiko Gossen.
Und mein Name ist Lothar Simonowski.
Hallo Lothar,
Lothar, wir haben wieder ein paar Themen mitgebracht. Auch das kennen unsere Zuhörer, Redaktionsschluss war wie gewohnt um zehn Uhr, also diese Woche würde ich mal sagen alles wie gehabt und äh ich würde dich bitten, starte einfach mal, was hast du aufm Zettel?
Ich starte mit dem Urteil des Oberlandesgerichts Frankfurt zum Thema Cookie-Einwilligungen, dann äh gehen wir auf die namentliche Nennung des Datenschutzbeauftragten,
und sind letztendlich dann in Paris zu den Olympischen Spielen.
Wunderbar. Ich würde einmal auf einen Vergleich von Oricle in den USA bezüglich Datenschutzverstöße schauen,
Dann sprechen wir über den Stand der Privacy Cent Box bei Google. Das Verfahren, was ja die Drittanbieter-Cookies im Chrome-Browser ablösen soll,
Und ganz wichtig natürlich, unser Titelthema, wie sieht’s eigentlich aus mit der Einbindung des DSBs im Unternehmen und dem, ja, hier in dem Fall erteilten Urteil,
oder vergangenen Urteile in Luxemburg über ein Bußgeld dazu.
Dann würde ich sagen, spann uns nicht länger auf die Folter. Wie sieht’s aus mit dem Cookie-Urteil am OLG Frankfurt?
Das OLG Frankfurt hat sich mit äh der Cookie Einwilligung beschäftigt und zwar mit einer,
Tochtergesellschaft von Microsoft äh Microsoft Advertising.
Zum Hintergrund die Microsoft Advertising äh platziert für Firmenkunden Werbung und verwaltet Cookies, die diese Werbung auswerten.
Wie funktioniert das? Äh die Microsoft Advertising stellt seinen Kundencode zur Verfügung, die diese in ihren eigenen Webseiten integrieren.
Wenn die Seite nun aufgerufen wird, wird der Code ausgeführt und letztendlich werden vorhandene Cookies ausgelesen oder es werden Cookies gesetzt.
Dabei verpflichtet Microsoft Advertising die Betreiber der Drittwebseiten durch ihre AGB, die erforderlichen Einwilligungen eigenständig einzuholen.
Es hat eine Nutzerin beim OLG geklagt und zwar gegen diese Vorgehensweise, weil sie beim Besuch von Webseiten ihre Zustimmung nicht wiedererkannt hat, ne.
Es wurden also Cookies ausgelöst. Es wurden Daten ausgeliefert und letztendlich eingewilligt hat sie nicht.
Und am Ende des Tages hat das äh Oberlandesgericht entschieden, dass die Hinweise in den AGB äh von Microsoft Advertising nicht ausreichen. Sie entlasten den Konzern nicht und zwar haben sie demzufolge
Der Frau, die geltend gemachte Unterlassungsansprüche zugesprochen. Die Begründung äh dazu lautete, dass nach den gültigen Gesetzen des äh T3G und zwar im Paragraf fünfundzwanzig Absatz eins
dass derjenige, der Cookies speichert oder auf die Daten zugreife, die Einwilligung einholen müsse.
Microsoft können sich daher nicht darauf verlassen, dass diese Anforderungen vor den Webseiten erfüllt werden. Das gesetzliche Erfordernis erfasse
jeden Akteur, der eine konkrete Speicher oder Zugriffshandlung beabsichtigt. Microsoft Advertising hafte nach Meinung des OLG auch als Täter für die Rechtsverletzung der Dienst, speichert die Information in Form von Cookies
auf den Endgeräten der Nutzerinnen und Nutzer, sobald die Anforderungen den von ihr zur Verfügung gestellten Programmcode entsprechend ausführt.
Darüber hinaus greife sie auf die gespeicherten Informationen zu, indem sie diese von den Betreibenden der Internetseite zur Verfügung stellen lasse.
Nachdem diese die Information ausgelesen hätten. Und damit habe Microsoft Advertising die Speicherung der Cookies ohne Einwilligung vorgenommen und zu verantworten. Die Entscheidung im Übrigen dazu erging im Eilverfahren und ist unanfechtbar.
Also klingt
sehr schlüssig finde ich, weil natürlich das dürfen wir nicht vergessen im
TDDG oder T3DG, wie du auch so schön sagst, ist ja der Diensteanbieter verpflichtet, die Einwilligung einzuholen und äh da das Ganze auch nicht mal meine Auftragsverarbeitung stattfindet, sondern Microsoft selber Diensteanbieter für diesen Dienst halt ist.
Auch konsequent, dass die natürlich dann auch dafür Sorgen tragen müssen, dass die Einwilligung auch wirklich eingeholt wird.
Dann komme ich direkt zu unserer Titelmeldung. Das Verwaltungsgericht Luxemburg hat eine Geldstrafe bestätigt, weil der Datenschutzbeauftragte vom Unternehmen nicht ausreichend eingebunden und mit genügend Ressourcen ausgestattet worden war.
Eine französische Unternehmensgruppe nannte einen äh Gruppen-DiPO oder Datenschutzbeauftragten, also Konzerndatenschutzbeauftragten,
auch für die luxemburgische Gesellschaft benannt war. Zusätzlich diente dann noch ein Rechtsanwalt in Luxemburg als lokale Kontaktstelle
und ähm ja der ähm Konzern, Datenschutzbeauftragte, der war zwar regelmäßig eingebunden, allerdings nur durch Protokolle wurde er informiert von auch einem entsprechenden Gremium, was es in Luxemburg dann gab, aber er war dort nicht aktiver Teilnehmer.
Das Gericht stellte nun fest, dass die Einschätzung der Aufsichtsbehörde richtig ist und der Konzerndatenschutzbeauftragte nicht ausreichend eingebunden war.
Da er halt immer erst bei Problemen kontaktiert wurde persönlich. So stellte das Gericht fest, Zitat, dass der DPO nicht direkt in alle Datenschutzbezogenen Angelegenheiten involviert war.
Und der Verantwortliche daher gegen Artikel 38 Absatz 1 verstoßen hatte DSGVO.
Das Gericht betrachtete auch die Tätigkeitsmenge des Verantwortlichen in Luxemburg. Dabei muss man wissen, es sind in Luxemburg alleine 70 Standorte und zwischen 1600 und 2100 Mitarbeitenden,
und ungefähr 25.000 Verbrauchern pro Tag. Und hier sieht das Gericht eine Vollzeitperson minimum an als notwendig, die sich mit dem Datenschutz ausreichend dann auch beschäftigen kann.
Daher stellte das Gericht halt auch einen Verstoß gegen Artikel achtunddreißig, Absatz zwei, DSGVO fest, da er,
also der Verantwortliche hier seinen Datenschutzbeauftragten keine ausreichenden Mittel zur Verfügung gestellt hat,
Höhe des Bußgelds 18.000 Euro für einen französischen Konzern ist sicherlich nicht von der Höhe jetzt etwas, was man nicht leisten wird können,
Ich frage mich, was das Bild eigentlich für die Praxis bedeutet, weil wir müssen halt einmal genau hingucken, wenn wir uns das Gerichtsurteil anschauen oder zumindest mal die veröffentlichte Version davon, dann sagt das Gericht halt,
dass der Datenschutzbeauftragte nicht direkt in alle datenschutzbezogenen Angelegenheiten involviert war.
Was für mich in der Praxis in gerade Konzernen oder auch in größeren Datenschutzorganisationen ja echt schwierig ist, wenn man sagt, in alle datenschutzbezogenen Angelegenheiten involviert.
Die Frage ist ja dann, wie viel kann der Datenschutzbeauftragte in einer dezentralen Organisation, zum Beispiel auch Delegieren, an Datenschutzkoordinatoren und so weiter, was ja jetzt nicht total unüblich ist,
in der DSGVO und wenn wir noch mal in achtunddreißig, Artikel achtunddreißig, Absatz eins, reingucken, da steht ja
dass der verantwortlich sicherzustellen hat, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogenen Daten zusammenhängenden Fragen eingebunden wird,
Das finde ich ist halt schon ein Unterschied, ja,
Wo ich halt sage, ja in Fragen, klar, aber nicht in alle Vorgänge muss der Datenschutzbeauftragte ja immer eingebunden sein. Also von daher finde ich das Urteil sehr spannend,
und frage mich halt, ob das halt, wie gesagt, auch jetzt für Unternehmen, wo vielleicht der Datenschutzbeauftragte eigentlich ausreichend,
Ressourcen hat und auch eine gute Datenschutzorganisation aufgebaut hat, mit der er halt das Unternehmen äh letztendlich auch dazu,
anleiten kann, Datenschutz einzuhalten. Ob das halt jetzt nicht vielleicht auch an eher schädliches Urteil ist, wenn man das jetzt so weit auslegt. Von daher,
wie siehst du Slothhar.
Ich find’s auch schwierig äh zu unterscheiden, ne bezüglich der ähm Einbindung in in,
alle Vorgänge, nicht alles ist datenschutzrelevant. Diese Schwelle äh zu entscheiden, ne, was gebe ich jetzt an den DSB, was nicht, ne, wo ist er eingebunden? Es wird spannend, äh wie die Praxis es zeigen wird.
Ich meine, die Praxis ist ja eigentlich, ich mache als DSB bestimmte Leitplanken, ich gebe Richtlinien, ich habe Prozesse, ich mache einen Datenschutzmanagement, was halt sicherstellt, dass in operativen Sachen der Datenschutz halt entsprechend umgesetzt wird und
auch grade in also 25.000 Verbraucher pro Tag, das ist eine Masse,
Ja, das ist vergleichbar mit mit ähm auch anderen großen Unternehmen, nämlich viel Verbraucher ähm Kontakt, dass da auch nicht jede Auskunftsanfrage oder jede Anfrage vom Datenschutzbeauftragten selber beantwortet wird, ist halt normal,
Also das kriegt auch einen Datenschutzbeauftragter gar nicht hin. Das kann der ja gar nicht leisten. Also dass es da halt entsprechende Teams gibt, die darauf geschult sind
so was auch zu zu beauskunften und zu bearbeiten,
der DSB halt wie gesagt Guidance gibt, das vielleicht auch ein Stück überwacht, aber nicht alles selber macht. Das finde ich halt schwierig.
Ja, vielen Dank auf jeden Fall an Carlo Pils. Der hatte in seinem Blog die Lege Data äh darüber berichtet. Darüber sind wir drauf aufmerksam geworden. Das Urteil ist aus dem Mai,
ganz ganz druckfrisch, aber es ist jetzt ähm jetzt auch noch nicht zu gut abgehangen.
Ebenfalls aus Mai, ähm jetzt aber bei uns äh letzte Woche auch noch mal aufgekommen, haben wir ein Urteil auf dem Tisch vom Bundesgerichtshof, vom BGH, der sich äh ja geäußert hat zur,
namentliche Nennung des Datenschutzbeauftragten.
In einem Rechtsstreit, ähm in dem es um ja Auskünfte äh gemäß Artikel 15 ging und äh auch in diesem Zusammenhang um die namentliche Nennung des Datenschutzbeauftragten hat der BGH festgestellt.
Dass die konkrete, namentliche Benennung des Datenschutzbeauftragten nicht erforderlich ist, sofern die Erreichbarkeit anderweitig sichergestellt ist. Äh begründet hat äh das äh BGH ist folgendermaßen. Das,
Bereits nach dem Wortlaut der Vorschrift äh keine Pflicht zur namentlichen Nennung des Datenschutzbeauftragten besteht, sondern nur zur Mitteilung der Kontaktdaten.
Sie sieht in der Semantik des Gesetzes die Begründung, dass in unterschiedlichen Zusammenhängen ausdrücklich die Mitteilung eines Namens verlangt und insofern offensichtlich bewusst differenziert.
Tatsächlich, wenn man sich zum Beispiel,
in den Norm zur Informationspflicht, zum Verzeichnis der Verarbeitungstätigkeit, Meldung von Datenschutzverletzung und so weiter. Mal reinschaut, da wird schon auf den Namen des Datenschutz äh Beauftragten abgestellt.
Und der BGH sieht es nach dem Sinn und Zweck der Vorschrift äh die Namensdendung als nicht zwingend erforderlich, denn es kommt nicht auf die Person, sondern auf die Funktion an.
Entscheidend und zugleich für den Betroffenen ausreichend ist die Mitteilung äh der für die Erreichbarkeit äh der Verantwortlichenstelle erforderlichen Informationen.
Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet. Also muss dieser nicht mitgeteilt.
Und im Übrigen äh habe die Mitteilung nach Artikel dreizehn, Absatz eins, also die Informationspflichten bei der Erhebung, beim Betroffenen,
zum Zeitpunkt der Erhebung die Daten zu erfolgen und in der Folge Zeitkreis natürlich zu personellen Veränderungen kommen, weshalb eine namentliche Nennung und spätere Erreichbarkeit,
sogar erschweren könnte. Also eine klare Stellungnahme dazu. Ähm die Kontaktdaten ja müssen sein und sobald es gewährleistet ist, dass der Datenschutzbeauftragte kontaktiert werden kann.
Sowohl intern als auch extern muss der Name nicht genannt werden.
Sehr gut, weil es deckt sich natürlich mit unserer Auffassung, wie wir’s ja auch in der Praxis haben und ich glaube auch, die meisten Unternehmen äh oder sehr viele Unternehmen, das ja auch in der Praxis so handhaben, das ist der Name des DSBs nicht immer,
Datenschutzhinweisen zum Beispiel auftauchen muss. Ich als auch in der Praxis nicht für für sinnvoll, wenn sich da mal einen Wechsel ergibt, dann fange ich im Zweifelsfall an, die,
die Überwachungschilder neu mal zu machen und so weiter, deswegen kann ich ja schon gut nachvollziehen,
Ich find’s aber nochmal wichtig, das Urteil zu kennen, ne? Weil auch da kann’s natürlich immer mal wieder vielleicht dann auch von Betroffenen
ähm Bedürfnisse geben, dass der Name vielleicht auch offen gelegt wird und dass man sich hier dann auch drauf berufen kann. Da glaube ich ist für die Praxis sehr hilfreich.
Dann schauen wir auf die Privacy Cent Box. Google hat die Einführung der Privacy Cent Box also erneut verschoben, Drittanbieter Cookies bleiben standardmäßig erlaubt. Nutzer können jedoch künftig diese deaktivieren, so der Plan.
Google hat einen Blogbeitrag veröffentlicht, in dem sie auch sagen, dass sie nun den Wünschen der Werbebranche und einiger Regulierer folgen,
und die Umstellung, also die verbindliche Umstellung auf die Box
wohl noch etwas Zeit und Arbeit erfordert. Tatsächlich haben allen voran wohl die britische Wettbewerbsbehörde und auch die Datenschutzbehörde Sorgen geäußert, dass Googles Pläne der Werbekonkurrenz schaden könnten, während Google andererseits selber davon aber profitiert.
Die soll ja so der Plan, zielgerichtete Werbung ermöglichen, aber dabei ohne zu viele Daten zu sammeln und ohne vor allen Dingen darüber halt zu Persönlichkeitsprofile zu erstellen und und Cookies einzusetzen.
Erste Tests von Google zeigen wohl auch Potenzial, ähm sagen wohl, dass die Ergebnisse sehr gut sind, 96Prozent hatte ich irgendwo gelesen, ähm was so die Reitagequote auch angeht,
aber eine verpflichtende Nutzung bleibt jetzt wohl doch weiterhin offen und Nutzer, wie eben schon gesagt, sollen das dann halt zukünftig selber entscheiden können, ob sie Drittanbieter Cookies zulassen oder nicht,
Heisel ähm in seiner Meldung sieht sogar das Aus für die Privacy Sand Box damit,
Das habe ich jetzt aus diesem Blogartikel so noch nicht rausgelesen und ich denke, wir werden da sicherlich auch noch was zu hören in der Zukunft,
Wenn es da noch mal Änderungen geben sollte. Vielleicht wird wissen wir natürlich nicht, hat Heise auch recht und es ist sozusagen das schleichende Aus dafür,
Was ich persönlich schon schade finde, wenn mir dadurch wie gesagt diese zugegebenermaßen ja für uns alle doch sehr lästigen Cookie-Banner,
damit wieder eine Alternative wegfällt oder die Chance wegfällt, dass wir davon vielleicht irgendwann befreien können.
Wir sind in Paris und zwar heute tatsächlich starten die Olympischen Spiele offiziell, sind ja schon einige Wettbewerbe im,
in der Umsetzung. Heute sind die Eröffnungs äh Feierlichkeiten,
und es ist natürlich ein Riesenevent, ne, zum zum sportliches Event, ähm aber auch leider Gottes ein äh sehr großes Sicherheitsrisiko,
Demzufolge haben wir nach einem Bericht von äh Telepolice, also einer journalistischen Plattform, ähm die sich äh um den Einsatz von KI-Überwachungssystemen,
diskutiert auf dem Tisch und ja hiernach ist es,
natürlich nachvollziehbar, dass die französische Regierung in Zusammenarbeit mit privaten Anbietern, technologische.
Fortschrittliche ne natürlich KI-Systeme zur Überwachung und Datenerfassung äh Instrumente einsetzt,
Die Überwachungspläne zur Bewältigung dieser Risiken einschließlich des umstrittenen Einsatzes, muss man dazu sagen, auch experimenteller KI äh wie die Überwachung.
Die sind ja mittlerweile so umfangreich, dass tatsächlich auch Gesetze angepasst werden mussten.
Der Plan geht über neue äh KI, über Videoüberwachungssysteme hinaus. Laut Medienberichten,
ähm zufolge hat das Büro des Premierministers eine als geheim eingestufte vorläufige Verfügung ausgehandelt,
der Regierung erlaubt, die traditionellen Instrumente der Geheimüberwachung und Informationsbeschaffung für die Dauer der Spiele erheblich zu verstärken.
Dazu gehören, dass äh abhören von Telefonaten, das Sammeln von äh Geolokalisierungs,
beziehungsweise Kommunikationsdaten sowie das Sammeln großer Mengen von Bild- und Audiodaten. Die weltweite Bedrohungslage,
Also die wachsenden Sicherheitsrisiken können und werden mehr äh Überwachung erfordern, so die Regierung in diesem Jahr sah sich Frankreich mit Bedenken hinsichtlich seiner olympischen.
Sicherheitskapazitäten und äh Bedrohung rund um die äh Sportveranstaltung konfrontiert.
Präventive Maßnahmen sollten jedoch in einem angemessenen Verhältnis zu den Risiken stehen, ähm sagen Kritiker auf der ganzen Welt, äh dass äh Frankreich die Olympischen Spiele als Anlassüberwachung nutzen würde,
dass die Regierung diese außergewöhnliche Rechtfertigung für die Bewachung nutzen wird, um die staatliche Überwachung in der gesamten Gesellschaft zu normalisieren.
Auf der Grundlage der neuen erweiterten Überwachungsgesetze haben die französischen Behörden mit einigen KI-Unternehmen zusammengearbeitet, um umfassende KI-Videoüberwachungen durchzuführen.
Sie setzen diese KI-Überwachung bei großen Konzerten, Sportveranstaltungen, in U-Bahnstationen, Bahnhöfen,
Zu Zeiten mit hohen Verkehrsaufkommen ein, darunter ähm auch Konzerte von Taylor Swift, Filmfestspiele von Cannes,
Und französische Beamten sagen, dass diese KI-Bewachungsexperimente gut verlaufen seien und es grünes Licht für zukünftige Anwendung gäbe.
Die eingesetzte KI-Software ist darauf ausgelegt bestimmte Ereignisse zu erkennen, etwa Veränderungen in der Größe und Bewegung von,
Menschenmengen. Das hatten wir auch in der vorletzten äh Folge, über eingesetzte KI-Systeme in äh in Deutschland während der Europameisterschaft auch schon gesehen.
Aber auch zurückgelassene Gegenstände und das Vorhandensein von äh Waffen, Körper am Boden, Rauch, Flammen und bestimmte Verkehrsverstöße und das ist das Ziel,
dass diese Überwachungssysteme Ereignisse wie äh diese Menschenmengen, die auf sich auf ein Tor zubewegen oder eine Person, die in ihren Rucksack äh greift, sofort und in Echtzeit,
erkennen zu können,
Jetzt stellt sich nur die Frage, wie innerhalb der EU, also im Geltungsbereich der Datenschutz-Grundverordnung, die Legitimierung erfolgt ist.
Eingang schon erwähnt hat im Vorfeld der olympischen Spiele zwanzig dreiundzwanzig, Frankreich ein Gesetz verabschiedet. Ein Gesetzespaket zur Schaffung eines Rechtsrahmens für die Olympischen Spiele 2024 und darin enthalten ist,
ein ja schon umstrittene Artikel Nummer sieben, der ist in französischen,
Strafverfolgungsbehörden und ihren technischen Auftrag, den man erlaubt vor, während und nach den Spielen,
mit intelligenten Überwachungen äh über Videos zu experimentieren, sowie einen Artikel,
in diesem Gesetzespaket, der unter anderem den Einsatz von KI-Software zur Überprüfung von Video- und Kameraaufzeichnungen erlaubt.
Umstritten deshalb, weil äh namhafte Wissenschaftler, zivilrechtliche Gruppen und Bürgerrecht da drauf hingewiesen haben, dass diese Artikel im Widerspruch zu Datenschutzgrundverordnung und zu den Bemühungen der Europäischen Union,
um eine Regulierung der KI stehen.
Insbesondere dieser Artikel 7 verstoße gegen die Bestimmung der Datenschutzgrundverordnung. Im Kontext biometrischer Daten.
Französische Beamte dahingegen und Vertreter von äh KI Technologieunternehmen haben erklärt, dass diese KI-Software ihr Ziel erreichen kann, nämlich,
spezielle Arten von Ereignissen zu identifizieren und zu markieren, ohne Person zu identifizieren oder die Einschränkung der Datenschutzgrundverordnung
in Bezug auf die Verarbeitung biometrischer Daten zu verstoßen. Dagegen haben europäische Bürgerrechtsorganisationen jedoch drauf hingewiesen, dass, wenn der Zweck und die Funktion von Algorithmen und KI-gesteuerte Kameras dahin,
besteht bestimmte verdächtige Ereignisse im öffentlichen Raum zu erkennen,
dass diese Systeme zwangsläufig, psychologische Merkmale und Verhaltensweisen von Menschen in diesen Räumen erfassen und analysieren können.
Ja, also ein Spannungsfeld, was sich dort aufgebaut hat, äh wo man selber so hin und her gerissen ist, ne. Natürlich,
Sicherheitsrisiken, die Aspekte, die ähm nicht von der Hand zu weisen sind,
versus den Freiheiten und Grundrechten der Bürger in Europa.
Dann gucken wir in die USA. Oracle zahlt in den USA 150 Millionen Dollar im Rahmen eines Vergleichs mit Datenschutzaktivisten.
Nach fast zwei Jahren erreichten internationale Datenschutzaktivisten nun einen Vergleich mit Oricle-Veise berichtet,
und äh die Klägerwaffen Oricle Four ohne einwilligen Daten von über 5 Milliarden Menschen gesammelt zu haben.
Zahlt nur diese 115 Millionen US-Dollar als Vergleichssumme, um hier einem Urteil zu entgehen.
In der Klage ging es hauptsächlich um die Anschuldigungen. Orakel habe die gesammelten Daten von Internetnutzern verwendet, um individuelle Profile zu erstellen.
Und diese dann über das Tochterunternehmen Blue Kay weiter anzureichern und auch entsprechend zu verkaufen.
Mit Hilfe von Cookies und auch anderen Tracking-Instrumenten, unter anderem auch auf wohl vielen Pornoportalen und M ATML E-Mails soll das Unternehmen hier wohl dann auch entsprechend
Datenpotenzial aufgebaut haben und das Ganze auch über einen großen Werbeverbund nochmal dann angereichert haben.
Auricle hat nun angekündigt, dass AdTech Geschäft komplett aufzugeben bis zum 3. September werden wohl Produkte wie die Cloud Data Management Plattform, Digital Audiences und Blue Kay wohl eingestellt.
Und hat auch zugesichert umstrittene Nutzer und Kundendaten automatisch zu löschen, sobald das Verfahren hier abgeschlossen ist.
Und damit dann halt auch alle Anforderungen, Verpflichtungen aus dem Vergleich erfüllt sein. Finde ich persönlich natürlich erst mal gut, dass es hier sowohl auch dann entsprechender Konsequenz bei Rocle führt.
Ehrlich gesagt keine Ahnung wie viel Geld mit diesem Geschäft wirklich äh verdient hat,
aber unterm Strich muss man dann auch sagen, ja, wenn man’s halt nicht datenschutzkonform macht, dann ist es ja auch konsequent einzustellen und vielleicht auch hier es nicht erst auf eine Entscheidung von einem Gericht oder einer Behörde ankommen zu lassen.
Absolut und ähm es zeigt auch die Höhe, ne? Also 115 Millionen Dollar als Vergleichszahlung, da sieht man schon, ne? Das Oricle das sehr sehr ernst nimmt und äh ja vielleicht auch etwas höher äh eine höhere Zahlung im Falle eines äh negativen Ausgangs erwartet hätte, ne. Also,
Das ähm finde ich auch gut.
Wir sind am Ende unserer Nachrichten. Wir sind schon durch. Kommen wir zur Rubrik unserer Veröffentlichung und Veranstaltung, die wir gesehen haben und zwar Onkida.
Ist da,
Onkida, was verbirgt sich hinter diesem asiatisch anmutenden Namen? Es ist der Orientierungshilfennavigator für KI und Datenschutz der Landes
für Datenschutz und Informationsfreiheit Baden-Württemberg hat eine Arbeitshilfe erstellt zu datenschutzrechtlichen Aspekten beim Einsatz von KI und diese Veröffentlichung wird auch über
seine Online-Präsenz angeboten.
Schon ein erster Blick macht äh Lust auf mehr. Also es sieht ähm sehr sehr gut aus und ja würden wir ans Herz legen.
Ja, ist vielleicht auch eine gute Gelegenheit, um noch mal auf die Themenfolge mit äh Professor Keber hinzuweisen, die letztes Jahr wir schon gemacht haben mit Blick auf,
auf insbesondere halt diese gesamten KI-Themen. Wer sie noch nicht gehört hat, kann ich Sie ans Herz legen, weil Herr Keber nochmal auch darauf eingeht, wie denn halt dieses Thema,
KI insbesondere mit unseren Instrumenten, die wir halt an der Hand haben, nämlich die DSGVO in erster Linie und jetzt natürlich auch die KI-Verordnung auch legitimieren können und worauf wir insbesondere zu achten haben. Von daher,
den Link nochmal in die Shownotes rein. Ich denke, das ist auf jeden Fall sinnvoll, da nochmal reinzuhören. Selbst wenn man sie schon gehört hat, kann’s nicht schaden, sage mal, zur Auffrischung reinzuhören.
In diesem Sinne vielen Dank Lothar.
Ich danke dir, Heiko. Es hat Spaß gemacht wie immer.
Finde ich auch und ich hoffe, euch, liebe Zuhörenden, natürlich auch, wenn dem so ist
zögert nicht, uns auch Rückmeldungen zu geben oder auf eurer Podcast-Plattform, die ihr nutzt, gerne auch entsprechend mal zu reviewen und einen kleinen äh kleine Bewertung vielleicht dazulassen.
Freut uns immer sehr, aber auch für Kritik sind wir immer offen, wenn ihr Verbesserungspotentiale, Möglichkeiten seht,
Gebt uns gerne Bescheid. Wir freuen uns da wirklich ernst drüber und äh versuchen das dann auch umzusetzen, wie in der Vergangenheit ja auch schon wir Rückmeldungen bekommen haben, die hoffentlich dann auch hier positiv sich bemerkbar gemacht haben,
In diesem Sinne, herzlichen Dank, ein schönes Wochenende euch allen, bleibt uns gewogen und auf bald.
Der Beitrag Unzureichende Einbindung des DSB führt zu Bußgeld – Datenschutz News KW 30/2024 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners