Drei Urteile, viele Fragezeichen

00:00:03: Auslegungssache, der CT Datenschutz

00:00:07: Podcast.

00:00:15: Hallo und herzlich willkommen in der Auslegungssache, heute mit Episode onehundertunddreienvierzig.

00:00:20: Wir zeichnen auf am sechzehnten, neunten, zweitausendfünfundzwanzig und mein Name ist Holger Bleich.

00:00:26: Ich bin Redaktor bei CT die Magazin für Computertechnik aus Hannover, das auch diesen Podcast hier produziert.

00:00:32: Und an meiner Seite ist wie steht es Jörg.

00:00:35: Hi Jörg.

00:00:35: Hallo, Olga.

00:00:36: Schön, dass es wieder losgeht.

00:00:37: Hundertvierzig, dann so zahlen die mich immer ein bisschen überraschen, muss ich sagen.

00:00:42: Wir schauen uns heute EuGH-Entscheidung an bzw.

00:00:47: EuGH-Entscheidung an und was der EuGH beziehungsweise der EuGH so entschieden hat.

00:00:53: und was das mit Datenschutz zu tun hat und wie das Datenschutz wie immer stark prägt.

00:00:57: Das werden wir uns heute anschauen.

00:00:59: Das sind uns drei, wie wir finden spannende und wichtige Entscheidungen angeschaut und die vorbereitet und natürlich haben wir den Gast eingeladen, der das ganz hervorragend kann.

00:01:10: Herzlich willkommen Professor Dr.

00:01:12: Alexander Golland.

00:01:13: Hallo Alexander, schön, dass du da bist.

00:01:16: Hallo Jörg, hallo Holger.

00:01:17: Vielen Dank für die abermalige Einladung.

00:01:20: Ich war ja, glaube ich, schon zweimal bei euch und habe mit euch über VGH Entscheidungen zum Datenschutz gesprochen und so freue ich mich auch, wieder mal dabei sein zu dürfen und mit euch so ein bisschen über die neusten Entscheidungen sprechen zu können.

00:01:36: Einzelheiten des europäischen Rechtseingewalt damals, ich weiß nicht, ob sich noch die Hörerinnen und Hörer daran erinnern, wie wir uns abgearbeitet haben, am Komethologieverfahren.

00:01:46: Komethologieverfahren, oder?

00:01:49: Komethologieverfahren, genau.

00:01:50: Da

00:01:51: ging es um den Angemessenheitsbeschluss der Kommission, um den es auch heute nochmal kurz gehen soll.

00:01:55: Ja, und ich kann nochmal sagen, dass du zwischendurch netterweise dich bereit erklärt hattest, dass du bei uns im Haus der Teilen der Redaktionen von Heise auch mal eine Inhausschulung gegeben hast in Sachen Europarecht.

00:02:08: Das haben wir damals im Vorfeld der Europa-Wahl gemacht, hat sich ja sehr sinnvoll erwiesen, damit die Kollegen von CT Heise online und den anderen Redaktionen besser wissen, wovon sie schreiben als die anderen.

00:02:18: Und das hat sich ja sehr sinnvoll erwiesen.

00:02:20: Ich weiß nicht, was das Kometologieverfahren ist im Gegensatz zu mir.

00:02:24: Ich darf hier aber nochmal kurz vorstellen, Alexander.

00:02:26: Du solltest auch hier nicht umvorgestellt bleiben.

00:02:28: Du bist Professor für Wirtschaftsrecht, insbesondere dem Recht der Digitalisierung an der FH Aachen.

00:02:35: Du lährst, forscht und publizierst schwerpunktmäßig zum deutschen europäischen Datenschutzrecht.

00:02:41: Das trifft sich gut.

00:02:41: Du hast wenig überraschend Jurastudiers, warst Doktorand an der Ruhr-Universität Bochum, dort Geschäftsführer der Arbeitsgruppe Identitätsschutz im Internet, auch ein ganz spannendes Projekt.

00:02:53: Gibt es das eigentlich noch?

00:02:54: Ich glaube, das gibt es nicht mehr heutzutage.

00:02:56: Ich weiß, da war ich auch ein paar Mal auf Veranstaltung.

00:02:58: Genau, genau.

00:03:00: Da hat es, glaube ich, zwei, drei Mal moderiert bei uns.

00:03:03: Ja, kann gut sein.

00:03:04: Dann hast du, hat folgen Tätigkeiten im Bereich des Datenschutzes für eine Wirtschaftskanzlei, die deutsche Botschaft in Washington, D.C.

00:03:12: und die Europäische Kommission in Brüssel.

00:03:14: Hoher hast du mehrere Jahre als Rechtsanwalts gearbeitet, bist auch heute noch auf Council in einer Großkanzlei und... Polizierst natürlich sehr ausführlich, wie es sich für ein ordentlicher Professor gehört, bist Referent, Schriftleiter, der Fachzeitschrift, der Datenschutzberater.

00:03:31: Also wir sehen uns in guten Händen, wenn es darum geht, ORGH und OIG-Entscheidungen zu interpretieren.

00:03:37: Was beschäftigt dich denn gerade Forschungsmäßig?

00:03:40: Das würde mich mal interessieren.

00:03:41: Ja, Forschungsmäßig.

00:03:42: Ich glaube, da gibt es nur zwei große Aspekte.

00:03:46: Zum einen, womit ich mich in letzter Zeit viel befasst habe, sind natürlich dann Unterlassungsansprüche im Datenschutzrecht.

00:03:52: Darüber werden wir ja heute auch noch mal sprechen.

00:03:55: Und zum anderen ist es so ein bisschen diese Schnittstellen-Thematik zwischen DataAct.

00:04:02: AI Act, DSA und DSGVO.

00:04:05: Also ausgehend von der DSGVO und gerade so im Bereich AI Act, Rechtsgrundlagen, wenn es um Data Governance geht.

00:04:13: Ihr hattet ja auch letztens eine sehr höhrenswerte Folge mit Caroline Loy zum Thema Data Act.

00:04:20: Auch da stellen sicher diese Schnittstellen Problematiken, wenn es um Datenweitergabe und Datenherausgabeansprüche geht.

00:04:26: Also sowas treibt mich aktuell vor allem um.

00:04:30: Da bist du, glaube ich, in guter Gesellschaft.

00:04:33: Das ging auch, glaube ich, auch eines der spannendsten Themen gerade.

00:04:36: Vor allem sehr praxisrelevant.

00:04:39: Wobei ich immer noch erstaunt bin.

00:04:41: Ich kenne echt kein Unternehmen, das sich gerade intensiv damit beschäftigt, aber das mag

00:04:45: an mir liegen.

00:04:45: Ja, aber

00:04:47: ich glaube, es ist alles ein bisschen, der AI-Akt überschattet, dann glaube ich, glaube ich auch vieles bei den Unternehmen.

00:04:53: Ja, das glaube ich auch.

00:04:55: Gut, bevor es losgeht mit unseren Entscheidungen, fangen wir wie immer an mit...

00:04:59: ...das Bußgeld der Woche.

00:05:03: Unser Bußgeld der Woche.

00:05:05: Das kommt dieses Mal aus Griechenland.

00:05:08: Ich glaube, es ist unser erstes Griechenland Bußgeld.

00:05:11: Und Empfänger war der griechische Arm von Vodafone Panafon genannt.

00:05:17: Und Panafon hat ein Bußgeld von immerhin siebenhunderttausend Euro bekommen.

00:05:22: Warum haben wir das ausgewählt?

00:05:25: Es gab eine Menge spannender Busgelder, auch sehr hohe Busgelder, die werden wir vielleicht in der nächsten Episode uns noch mal ein bisschen näher anschauen.

00:05:30: Aber dieses fand ich tatsächlich sehr interessant, weil es um Auftragsverarbeitung ging und da insbesondere um die Frage, wie sehr muss ich meinen Auftragsverarbeiter überwachen.

00:05:45: Und ich fange mal vorne an.

00:05:47: Umging es.

00:05:48: es ging um eine unautorisierte Aktivierung durch einen Franchisenehmer von Vodafone.

00:05:53: der hat dann auch noch mal ein eigenes Bußgeld bekommen in Höhe von, ich glaube, vierzigtausend Baunsten.

00:06:01: Und diese Franchisenehmer hatte vierzehn Pripet SIM-Karten auf den Namen der Beschwerdeführerin freigeschaltet aktiviert ohne deren Wissen und Zustimmung.

00:06:11: Das ist natürlich nicht so besonders toll.

00:06:14: Dabei wurde eine Kopie ihres Ausweises missbraucht, die aus einem früheren Legitimvorgang mit einem anderen Geschäft stammte.

00:06:25: Und das hatte schwerwiegende Folgen für die Betroffene, nämlich durch die unrechtmäßige Aktivierung und die anschließende kriminelle Nutzung.

00:06:33: Einer von den Nummern war diese Beschwerdeführer mehrfach von ermittlungsbehördigen Behörden als verdächtige vorgeladen.

00:06:40: Das finde ich extrem unangenehm.

00:06:43: Und was warf man, klar, ich meine, was man hier dem Franchise-Niemer-Vorwurf ist, glaube ich, klar, aber was warf man Wodafon vor?

00:06:52: Da hat man festgestellt, die griechische Aufsichtsbehörde hat festgestellt, dass Wodafon zum Zeitpunkt des Vorfalls einen Auftragsverarbeitungsvertrag mit dem Franchise-Niemer hatte und auch die Überwachungspflichten präflich vernachlässigt hat.

00:07:07: Und das finde ich tatsächlich ganz spannend, dass das erste Bus geht, was ich kenne.

00:07:11: wo man hier mal sehr explizit die Pflichten des Auftragsverarbeiters mal ins Visier genommen hat.

00:07:21: Und hier liegt der Kernvorwurf, da geben, dass der eben das Ganze nicht wirklich überwacht und kontrolliert hat.

00:07:28: Und der Franchise-Nema konnte hier, also der Auftragsverarbeiter konnte über einen längeren Zeitraum hinweg eigenmächtig und mit sogar mit den Anweisungen widersprechenden Praktiken.

00:07:38: Du

00:07:38: meinst, du meinst damals die Pflichten des Auftraggebers, nicht des Auftragsverarbeiters.

00:07:45: Die Pflichten des Auftrags, genau.

00:07:46: Die sind das, wie sie es genommen wurden.

00:07:47: Naja, genau.

00:07:48: Du meinst, dass die Pflichten des Auftrags verarbeitet sind, ne?

00:07:50: Ne,

00:07:50: Auftragsverarbeitungsbeauftrag.

00:07:54: Das sollte ich nicht erzählen.

00:07:55: Also, Wodafone jedenfalls.

00:07:56: Ich glaube, man versteht es.

00:07:58: Und die hatten ihr Auftragsverarbeit nicht kontrolliert.

00:08:04: Und zu dem gab es auch noch mangelnde technische organisatorische Maßnahmen.

00:08:10: Also, da kam einiges zusammen.

00:08:12: Und eine unterlassende Datenschutzfolgenabschätzung, die Vodafone hätte machen müssen für diesen Prozess der Kundenidentifizierung.

00:08:19: Dann haben sie nachträglich wohl eine vorgelegt.

00:08:22: Und die wurde dann als nicht adäquat akzeptiert.

00:08:27: Also, es kam einiges zusammen, wie gesagt, unangenehme Folgen für die Betroffene,

00:08:31: die... Ähm,

00:08:33: Sanktionen, siebhunderttausend für Vodafone, vierzigtausend für den Auftragsverarbeiter.

00:08:38: DS-Fohn heißt der.

00:08:40: Und, ähm, ja, fand ich interessant, weil es das erste Mal, dass dieser Aspekt hier beleuchtet wird.

00:08:46: Wie sehr muss ich meinen Auftragsverarbeiter kontrollieren?

00:08:50: Alexander, naja, hier ist deine Auftragsverarbeiter.

00:08:54: Ja, das ist ja immer so eine Kiste.

00:08:55: Die stellt man sicher auch diese Frage bei Drittland-Transfers.

00:08:59: Häufig haben wir ja dann irgendwelche Auftragsverarbeiter, die die Da hatten Verarbeitung weiter Auslagern ins Drittland, wo die Aufsichtsbehörden sagen, nee, ich muss bis ins tiefstunterste Glied dieser Auftragsverarbeiterkette diese Auftragsverarbeiter prüfen.

00:09:18: Ich persönlich glaube, dass man erst mal darauf sich verlassen kann, dass jemand, mit dem man Vertrag schließt, den Vertrag einhält und auch, dass dieser sich an Recht und Gesetz hält.

00:09:31: Klar, wenn ich Anhaltspunkte dafür habe, dass da was dagegen spricht, dann sollte ich das natürlich prüfen.

00:09:39: Die Position der Aufsichtsbehörden, die gehe ich nicht so ganz mit, diese vollumfängliche Prüflicht bis ins letzte Glied, denn ich glaube, das ist weder systematisch in der DSGVO angelegt, noch überhaupt in der Praxis Handhabern.

00:09:55: Ja, sie hier wurde ja so wie ich das verstanden habe, wurde hier vor allem eine Menge, dass das nicht mal einen Auftragsverarbeitungsvertrag gibt.

00:10:02: Obwohl man mit denen in einer vertraglichen Beziehung seit zwei tausend dreizehnt steht, also über zehn Jahre lang hat man das so laufen lassen, ohne dass man mal, dass man das mal formalisiert hat, irgendwie diese Geschäftsbeziehung offensichtlich.

00:10:12: Und das ist ja wohl auch ein Problem.

00:10:14: Und also was sie gemacht haben, dieser Auftragsverarbeiter ist ja.

00:10:20: Denk ich mal, da kommen wir auch in den straffrechtlichen Bereich rein.

00:10:23: Das wird ja auch wahrscheinlich kriminell sein.

00:10:24: Die haben diese Ausweiskopie auseinander viel jahre missbraucht, um anonymisierte SIM oder PriPAD SIM-Karten freizuschalten.

00:10:33: Also das ist ja Identitätsmissbrauch im Grunde genommen.

00:10:36: Das ist übrigens Jörg.

00:10:37: Wir hatten ja neulich diese Geschichte mit dem Bußgeld.

00:10:41: Wo wir die Frage hatten Ausweiskopie geben oder nicht, weißt du noch, im Hotel und so.

00:10:45: Und das ist mal mir dank das Schafferl.

00:10:47: Das kann passieren, wenn du da unbedacht überall deine Ausweiskopien wirst.

00:10:51: Nämlich, dann werden sie zwischen Filialen hinhergeschoben oder jeder Zugriffer drauf, in anderen Filialen auch.

00:10:57: Und dann, oh, da liegen ja Ausweise rum.

00:10:59: Die können wir doch mal nehmen, um Pripetkarten zu registrieren für irgendwelche kriminellen Maschungmachenschaften.

00:11:04: Das ist ein sehr gutes Praxisbeispiel, warum man das sehr vorsichtig handhaben sollte, finde ich.

00:11:11: Ja.

00:11:12: Wo ich da jetzt ausjuristische Sicht natürlich auch diese Frage, wie Alexander ja auch richtig so aktiv hochspannend findet, ist, wie sehr muss ich meine Auftragsverarbeitheit überwachen?

00:11:20: Ich weiß ja immer im alten BDSG-Stand irgendwas, wo Beginn der Tätigkeit und so dann regelmäßig, das hat sich bei mir irgendwie eingebrannt, weil ich es so absurd fand, wenn ich da irgendwie bei Google von dem reichen Zentrum stehe und sage, ihr habt Daten von mir, ich möchte das hier gerne mal kontrollieren.

00:11:35: Aber diese Regelmäßigkeit, gibt es da irgendwie Rechtsprechung zu, was heißt, regelmäßig jährlich, zweijährlich, monatlich?

00:11:42: Also ich würde sagen, das Risiko bezogen.

00:11:45: Ich glaube, es hat sich so etabliert unter Unternehmen, das so ein bis drei Jahre das zu machen, je nach Risiko, Affinität und natürlich zusätzlich Anlass bezogen.

00:11:59: Also wenn wir wie in dem Fall haben, dass da regelmäßig Dann Vorladungen kommen bzw.

00:12:06: Anfragen von der Polizei kommen, die sich auf bestimmte Daten beziehen.

00:12:10: Das könnte ja zum Beispiel mal ein Auslöser sein für eine anlassbezogene Prüfung.

00:12:14: Und deswegen kann ich das an der Stelle sehr gut nachvollziehen.

00:12:19: Guter Punkt.

00:12:21: Aber ich glaube, es ist nicht realistisch, dass die meisten Unternehmen das tatsächlich machen.

00:12:26: Also mich würde ja auch mal interessieren.

00:12:29: Ich nehme an, das ist ja so ein Geschäftsmodell von Vodafone, dass man eben Franchisenehmer hat, die ihre eigenen Läden haben und die dann einen Reselling machen von Vodafone-Produkten.

00:12:40: Und was glaubst du, wie viele Auftragsverarbeiter in der Art gibt?

00:12:45: und dass die werden eine Menge Franchisenehmer haben und eine Menge Reseller auch andere Unternehmen nicht nur diese viele Alketer, sondern wahrscheinlich auch andere, kennen wir ja auch aus Deutschland.

00:12:54: Geher kennen die ganzen Läden die von Produkten verkaufen.

00:12:57: Und das sind ja alles.

00:12:58: wahrscheinlich wenn die zumindest ihre großen Werbeplakate.

00:13:01: Wodafone an einem Fenster haben wir das auch alles für ein Scheißniemann sein nehme ich mal an.

00:13:07: Und ja, irgendwo her müssen ja auch die ganzen Daten.

00:13:11: also wenn man mal im Dark Web guckt.

00:13:14: Da findet man ja mehr als genug Anlaufpunkte.

00:13:18: Anonyme, in Anführungszeichen Anonyme, Prepaid Karten, also freigeschaltete Prepaid Karten zu kaufen.

00:13:24: Die kommen ja nicht.

00:13:25: Wir fallen ja nicht vom Himmel.

00:13:28: Ja, also wir müssen mal sagen, in Deutschland, ich weiß nicht, ob das EU-weit so ist, ich glaube aber schon, dass es eigentlich auch für Pre-Pay-Karten, für sie einen Registrierungspflicht gibt.

00:13:40: Genau, das war früher mal anders als es noch die freie Welt gab und man allen möglichen Unsinn im Internet machen konnte oder auch... außerhalb des Internets.

00:13:51: Aber inzwischen oder seit einigen Jahren gibt es halt diese Identifizierungspflicht, auch bei Prepaid.

00:13:55: Das ist im europäischen TK-Recht festgelegt.

00:13:58: Fragt mich nicht genau, in welcher Vorschrift.

00:14:00: Und seitdem ist es schwieriger geworden.

00:14:05: Aber scheinbar ja noch möglich, wenn man die Unterausweiskopie auf dem Rechner hat.

00:14:10: Also eine Sache wollte ich noch kurz ansprechen.

00:14:11: Wir haben da im Vorgespräch schon kurz darüber gesprochen.

00:14:13: Ich finde, das ist jetzt hier wieder so ein Fall der eigentliche Täter.

00:14:18: Also, das ist jetzt ein Anführungszeichen gesetzt, aber der den Schmug getrieben hat, das war ja der Auftragsverarbeiter, also das Franchiseunternehmen.

00:14:29: Und die haben vierzigtausend Bußgeld bekommen.

00:14:31: und Wodafone, weil die keinen ordentlichen Auftragsverarbeitungsvertrag abgestoßen hatten, offensichtlich, oder es nicht genügend kontrolliert haben, haben siebenhunderttausend Euro Bußgeld bekommen.

00:14:41: Also, ehrlich gesagt, wenn ich da, ich denke da,

00:14:45: vielleicht,

00:14:45: keine Ahnung, vielleicht denke ich auch, als Vater ist ein bisschen... Aber das ist ein Straf mit zwei Lmaß, derjenige, der eigentlich mehr verbrochen hat, kriegt einen geringen Straf.

00:14:54: Ich weiß, was ihr jetzt gleich sagen werdet, sagt es.

00:14:58: Jörg, du

00:14:59: sag es Alexander.

00:15:01: Na gut, Vodafone hat natürlich auch ganz andere Umsätze und der erste Ansatzpunkt bei Bußgeld dann gegenüber Unternehmen ist natürlich der Umsatz des Unternehmens und da liegt es natürlich nahe, dass Vodafone höhere Umsätze und deswegen auch ein höheres Bußgeld sich fängt als der einzelne Auftragsverarbeiter.

00:15:18: Wobei man auch dazu sagen muss, die Reichweite ist dann natürlich auch eine größere.

00:15:23: Also wenn ich Vodafone sanktioniere und Vodafone dann die Prüfungen intensiviert gegenüber jahrtausende, zehntausende Franchisenehmer, wenn die dann die Prüfungen dieser Franchisenehmer intensivieren, ist natürlich insgesamt den Datenschutz auch ein größerer Dienst erwiesen.

00:15:46: Gut, wir steigen ein mit unseren Entscheidungen.

00:15:49: Wir haben drei Stück uns auf die Agenda gesetzt.

00:15:53: Mal schauen, ob wir die alle durchkriegen.

00:15:55: Wir fahren an mit dem potenziell hätte den großen Schaden auslösen können, sagen wir mal.

00:16:03: So jetzt aber dann doch nicht getan hat, nämlich mit der Entfaltung des EUG, also des europäischen Gerichts, Gerichts, nicht Gerichtshofs.

00:16:13: Ich hoffe, das ist jetzt nicht schon falsch.

00:16:16: Und es ist Initiiert worden vom französischen EU-Abgeordneten Philipp Latombe.

00:16:23: Und der hat Klage, ist jetzt nicht von Schreiben, er hat Klage gegen die europäische Kommission mit dem Ziel eingereicht, den angemessenen Haltsbeschluss zum EU-US-Data Privacy Framework aufzulegen.

00:16:37: Ich glaube, das werden viele wissen, aber ich erkläre es vielleicht nochmal ganz kurz, das ist die zentrale Rechtsgrundlage auf deren Basis Daten, personenbezogene Daten zwischen Europa und den USA derzeit ausgetauscht werden.

00:16:51: Das ist der Nachfolger von Safe Harbor und dem Privacy Shield und das Brut im Wesentlichen darauf, dass sich das amerikanische Unternehmen, was logische Daten haben, selbst zertifiziert und in eine Liste einträgt.

00:17:07: Das ist schon immer ein sehr, sehr umstrittender Weg und er ist ja auch zweimal schon für unwirksam erklärt worden.

00:17:16: Und das hat jetzt hier Herr Latomb nochmal sich darum bemüht, das jetzt auch anzugreifen.

00:17:25: Er hat unter anderem die fehlende, das fand ich ein bisschen skurril, die fehlende Übersetzung der Entscheidungen in alle EU-Ansprachen kritisiert, also dieses angemessen als Beschluss ist, aber wahrscheinlich kein Argument von unzureichenden Garantien gegen Massenüberwachung, mangelnder Rechtsschutz für die europäischen Bürger.

00:17:42: sowie fehlende Regelungen zur automatisierten Entscheidung und Datensicherheit.

00:17:48: Bevor Alexander uns das alles erklärt, das Gericht wies die Klage am dritten September ab und bestätigte, dass die USA zum Zeitpunkt der Entscheidung, und das scheint mir ein ganz zentraler Punkt zu sein, über den wir gleich sprechen werden, ein angemessenes Datenschutzniveau gewährleistet hat.

00:18:08: Und das heißt, es bleibt also erst mal die der DPF als Grundlage für die transatlantische Datenübermittlung stehen.

00:18:21: Was hätte uns denn gedroht, Alexander?

00:18:24: Das nicht der Fall gewesen wäre, wenn der OEG hier anders entschieden hätte.

00:18:30: Ich erinnere mich, es gab eine große Erlitterung der Macht, Millionen schrieben in Panik auf und stunden plötzlich der Beschluss ist weg, aber er ist ja hier ja nicht.

00:18:42: Ja, genau.

00:18:45: das Gericht, das hätte diese Entscheidung der Europäischen Kommission, also den Angemessenheitsbeschluss, für Nichtig erklären können.

00:18:54: Das ist ein Nichtigkeitsverfahren, deswegen sind wir auch beim Gericht und nicht beim Gerichtshof.

00:19:01: Ja, und das hat es nicht getan, wie du zurecht schon sagst, wenn es das getan hätte.

00:19:08: Hätte es dagegen eine Möglichkeit gegeben, Rechtsmittel einzulegen, kommen wir vielleicht auch noch später zu.

00:19:13: Jedenfalls würde das bedeuten.

00:19:15: Eine kurze Frage, das hatte ich mich nicht mich schon gefragt, als ich den Schuss gelesen hatte.

00:19:20: Wäre der dann trotzdem sofort rechtskräftig gewesen?

00:19:23: oder wenn jetzt Rechtsmittel eingelegt worden, oder erst nachdem der Rechtsmittelverzicht erklärt wird oder nachdem die Fristen abgelaufen sind, rechtskräftig?

00:19:33: Also das wäre umsetzlich.

00:19:35: in Grundsätzlich können solche Entscheidungen sogar ex-Tunk vernichtig erklärt werden.

00:19:43: Imwieweit die Rechtskraft zurückreicht, kann vom Gericht selbst bestimmt werden.

00:19:49: Allerdings hätten wir dann sofort eine Wirkung in Zukunft gehabt.

00:19:54: Das heißt, wir hätten dann erstmal keine Rechtsgrundlage gehabt, hätten uns dann überlegen müssen, wie und wie stellen wir um?

00:20:00: Die wäre also am Tag der Entscheidung weggefallen.

00:20:04: Wenn der das OIG den angemessenenheitsbeschluss, finde ich, erklärt hätte.

00:20:09: Genau, das

00:20:09: ist es.

00:20:09: Wenn wir in dem Tag weggefallen, okay.

00:20:12: Also die Klagen haben im Grundsatz keine aufschiebende Wirkung.

00:20:18: Also wenn wir jetzt da beschränktes Rechtsmittel einlegten.

00:20:23: Okay.

00:20:24: Sie ist ja schon zwar mal passiert, das hätte auch diesmal wieder alle überrascht.

00:20:28: Völlig überrascht.

00:20:29: Ich weiß schon, wir hatten bei also schon Krisensitzung vorbereitet, was wir hätten alles machen müssen.

00:20:35: Wir hatten schon Mandaten informiert, was die da extrem drauf angewiesen sind.

00:20:41: Das heißt, das wäre dann schon heftig gewesen und dann hätten wieder alle verzweifelt irgendwelche Rechtsgrundlagen gesucht, auf deren Beispiel, auf der Basis man solche Übermittlungen machen kann.

00:20:52: Aber dazu kommen wir vielleicht gleich noch.

00:20:53: Aber jetzt schauen wir ein bisschen auf die Entscheidung, die ist ja schon nicht ganz völlig unumstritten und in ihrer Eindeutigkeit auch ein bisschen überraschend.

00:21:06: Also das einfach so völlig unproblematisch zu erklären, hat mich überrascht.

00:21:13: Ja, es hängt ein Stück weit daran an der Verfahrenswahl.

00:21:20: Wir haben hier nicht die Geizverfahren, kein Vorabentscheidungsverfahren.

00:21:24: Und im Nichtigkeitsverfahren wird vom Gericht nicht geprüft, ob das Ganze rechtmäßig ist nach aktuellem Stand, nach der aktuellen Rechtslage, nach der aktuellen Tatsachenlage, sondern es wird quasi geguckt auf den Zeitpunkt der Entscheidung oder Kommission, ob die Kommission damals hätte das DPF, also die Angemessenheitsentscheidung, erlassen dürfen.

00:21:54: Und das führt halt dazu, dass man sich dann die Grundlagen anguckt, auf der dann die Kommission entschieden hat.

00:22:03: Das ist der eine Aspekt, der andere Aspekt hat, was damit zu tun, was für Anforderungen einen Klägervortrag zu stellen sind.

00:22:12: Also im Nichtigkeitsverfahren gibt es im Prinzip vier Möglichkeiten, weshalb eine Entscheidung der Kommission für nichtig erklärt werden kann.

00:22:23: und die nichtigkeits, die materielle Nichtigkeitsgründe werden vom EUG nur dann geprüft, wenn der Kläger explizit diese Gründe rügt.

00:22:37: Das wurde auch gemacht.

00:22:39: Und dann stellt sich da die Folgefrage, inwieweit das Gericht dann über das Kläge... Klägervorbring hinausgehen kann.

00:22:50: Also zum einen gibt es diesen Grundsatz Ne Ultra Petita.

00:22:56: Ich darf nur prüfen, soweit es nicht über das erforderliche, also das vom Kläger vorgebrachte hinausgeht.

00:23:05: Aber zum anderen gibt es auch Rechtsprechungen, die sagt, wenn der Kläger, wie hier, sich auf einen bestimmten rund einen Nichtigkeitsgrund beruft, dann kann es sehr, sehr umfassend geprüft werden.

00:23:20: Das heißt, der Klägerantrag dient eigentlich nur der Strukturierung der Klage, aber keine Begrenzung des gerichtlichen Kontrollrechts.

00:23:31: In dem Fall hat das Gericht sehr, sehr eng ausgelegt und hat sich wirklich sehr, quasi wörtlich entlang des Vorbrings des Klägers entlanggehangen.

00:23:43: Das heißt, es hat also nicht primär geprüft, ob das Ganze nach jetzigem Stand rechtmäßig ist, sondern der Kernprüfung war erst mal, ob es im Zeitpunkt des Erlasses rechtmäßig war.

00:23:59: Und da waren natürlich die Welt noch ein Stück weiter in Ordnunger als heute.

00:24:05: Ja, genau.

00:24:06: Es

00:24:06: gab keinen Trump und keine merkwürdigen Entscheidungen, zum Beispiel, ob dieses Gericht ist.

00:24:13: Ja, ich wollte nur faktisch ergänzen, also der Beschluss ist im Juli, im Jahr von der Kommission.

00:24:21: Damals gab es noch eine Regierung Beiden.

00:24:24: Und die Regierung Beiden hatte ein halbes Jahr vorher per Executive Order das US-Präsidenten, also von Beiden, eben diese ganzen geforderten und von der EU geforderten Sicherheitsmechanismen installiert, also zum allergrößten Teil.

00:24:39: Und deswegen war man sicher damals eigentlich geworden, auf der Grundlage, die beiden da geliefert hat, kann Ursula von der Leyen, kann die Kommission das akzeptieren und kann diesen Beschluss erlassen.

00:24:51: Und die heutige Lage, wissen wir alle, ist natürlich eine völlig andere.

00:24:54: Also die Institutionen, die um die es da geht, werden teilweise angegriffen.

00:24:59: Vielleicht kannst du da gleich noch was zu sagen, Alexander.

00:25:01: Und wir haben eine komplett andere Regierung mit einem anderen politischen Mindset auch als damals.

00:25:07: Ja, also es hat sich einiges geändert, muss man sagen.

00:25:11: Es gibt aber auch einige Punkte, die sich überhaupt nicht geändert haben.

00:25:15: Und die für mich die gewichtigen Knackpunkte sind eigentlich, wenn wir darüber reden, inwieweit diese Executive Order von beiden dazu beiträgt.

00:25:27: ein angemessenes Datenschutzniveau in den USA zu implementieren.

00:25:31: Da gibt es einige Kritikpunkte, die man hätte auch überprüfen können, allerdings besser mit einer anderen Verfahrensart.

00:25:41: Also wir haben hier eine Nichtigkeitsklage mit dem Ziel der Feststellung, dass die angemessenheitsentscheidung damals nicht hätte ergehen dürfen.

00:25:55: Was ich vielleicht besser gemacht hätte, aber das ist mit ähnlichen Risiken verbunden, wäre eine Untätigkeitsklage.

00:26:04: Das heißt, man stellt einen Antrag bei der Europäischen Kommission, die ja auch ihren Angemessenheitsbeschluss aufheben kann.

00:26:12: Man stellt einen Antrag bei der Europäischen Kommission auf Aufhebung des Angemessenheitsbeschlusses.

00:26:18: Und wenn die Europäische Kommission dem nicht nachkommt, hat Erbringt Artikelz, zweihundertfünfzig des AOV auch die Möglichkeit, dass wir auf, ähm, untätig, also wegen Untätigkeit der Kommission klagen.

00:26:32: Ähm, das ist quasi... So Unwidrigkeit,

00:26:36: den nicht vernichtigt zu erklären, oder den zu, das machen wir damit kündigen.

00:26:40: Naja, jedenfalls ihnen aus der Welt zu schauen, auf

00:26:41: dem Ende, wie auch immer, genau, ähm, also irgendwie... Hand an den bereits getroffenen Beschluss zu legen.

00:26:50: Und da gibt es eine klare Form dafür.

00:26:54: Allerdings dafür muss man vor ein Antrag stellen.

00:26:56: Und auch da gibt es ein bisschen uneindeutige Rechtsprechung dazu.

00:27:01: Also es ist quasi so das Gegenstück zur Nichtigkeitsklage, möchte man meinen.

00:27:06: Aber den Antrag könnte jeder Privatbürgerin in der EU stellen.

00:27:14: Ja, es ist genau das gleiche Problem, was wir bei der Nichtigkeit haben.

00:27:17: Also bei der Entscheidung des Eulgees, die wir hier haben, hat das Gericht eine Frage, eine wesentliche Vorfrage, offen gelassen.

00:27:26: Und die betrifft die Klagebefugnis.

00:27:29: Man muss für eine Nichtigkeitsklage, muss man unmittelbar, um als natürliche Person dagegen vorzugeben.

00:27:35: Es gibt so ein paar privilegierte Kläger, aber als natürliche Person, wie es jetzt Herr Latum macht, dagegen vorzugehen, muss man unmittelbar individuell vom Rechtsakt betroffen sein.

00:27:49: Er hat gesagt, ja, ich benutze so ein paar US-Dienste und bin deswegen vom Angemessenheitsbeschluss betroffen.

00:27:57: Hat das Gericht dahin stehen lassen, weil es gesagt hat, kommt hier nicht drauf an.

00:28:01: Es ist sowieso unbegründet.

00:28:04: Diese Frage mit der Betroffenheit, die haben wir bei dieser positiven Betroffenheitsklage, also der Untätigkeitsklage nach Artikel zweihundertsechzig genau so.

00:28:17: Sprich, wir hatten ja das gleiche Risiko gehabt, allerdings mit einem vielleicht schöneren Entscheidung, dass das Gericht dann auch hätte, die aktuelle Rechtslage und die aktuelle Tatsachenlage berücksichtigen können.

00:28:33: derjenige, der die ersten beiden angemessenheitsbeschüsse gekippt hat, nämlich Max Schrems, gesagt, das war ihm auch irgendwie, der Antrag war ihm zu eng gefasst, das Gericht hätte wahrscheinlich auch gar nichts groß anlassen.

00:28:46: Ah, hinterher war es immer besser.

00:28:47: Agieren können.

00:28:50: Jörg, Max, Max Schrems, grundsätzlich nicht.

00:28:58: Hat er in der Pressemitteilung so verkündet und hat dann, das hat mich ein bisschen gewundert, hat dann gesagt, dann werden wir uns jetzt überlegen, nochmal zu klagen.

00:29:06: Werden die dann, also er und seine Organisation Neub, welche Möglichkeit besteht denn jetzt für ihn?

00:29:12: Also muss man das gleiche machen wahrscheinlich, oder?

00:29:17: Also im Prinzip gibt es drei Möglichkeiten, wie er dagegen vorgehen kann.

00:29:22: Zum einen das Nichtigkeitsverfahren und in der Hoffnung, dass das Gericht dann ein bisschen dezidierter prüft, das wäre Möglichkeit eins.

00:29:33: Das kann man natürlich auch ein bisschen leiten, indem man entsprechend eine Klageanträge stellt.

00:29:39: Zweitens, aber mit der hohen Gefahr, dass das Gericht dann genauso entscheidet, wie es bisher entschieden hat.

00:29:45: Zweite Möglichkeit, was ich gerade eben vorgeschlagen habe, also diese sogenannte positive Betroffenheitsklage als Ausformung der Untätigkeitsklage gegen die Kommission, also gerichtet auf Aufhebung des Beschlusses.

00:30:03: Und die dritte Möglichkeit wäre halt gegen einen quasi beliebigen Datenverarbeiter, der auf Grundlage des DPF in die USA transferiert vorzugehen vor nationalen Gerichten und gegenüber diesem Gericht dann die Vorlage zum EUGH anzuregen.

00:30:26: So hatte es auch Schrems in den Schremsverfahren eins und zwei gemacht.

00:30:31: Das kostet natürlich viel mehr Zeit.

00:30:33: Also wir hatten das von des Schluss bis zu der Entscheidung.

00:30:36: Hier hatten wir gerade mal etwas mehr als zwei Jahre und Schrems hat immer deutlich länger als zwei Jahre gebraucht.

00:30:42: die angemessen als Beschlüsse zu kippen.

00:30:44: Das ist natürlich, wenn er noch nicht mal angefangen hat, dann Jörg, Seif Rohr, sind wir erst mal vorläufig auf der sicheren Seite so weit das Rechtsmittel nicht eingelegt wird oder beruft?

00:30:55: Ja, genau.

00:30:56: Da sind verschiedene Herzen in meiner Booster.

00:30:58: Ach, Ach, Herzen in meiner Booster.

00:31:00: Als Privatperson sehe ich das anders als als Unternehmensvertreter.

00:31:03: Aber es wäre natürlich schön, eine solide Rechtsgrundlage mal dauerhaft zu haben, auf deren Basis man Daten in die USA übermitteln kann.

00:31:10: und dieses herumgehampt mit trag ich selber in die liste ein ist halt einfach keine.

00:31:15: Und das wird meiner an sich nach auch der gehaar kippen.

00:31:19: aber da würde mich interessieren wie er das sieht.

00:31:22: Ja also es kommt darauf an worüber der olgh da entscheidet.

00:31:27: also wenn wir jetzt in einem.

00:31:34: Ich nenne es mal Revisionsverfahren, also beschränktes Rechtsmittel, nennt sich das genauer gesagt.

00:31:38: Wenn wir in so einem Verfahren sind, ist der Prüfungsumfang des OGH noch ein bisschen anderer als der Prüfungsumfang im Falle eines Vorabentscheidungsverfahrens.

00:31:49: Wie es aussieht... Also geringer, er ist dann geringer, ja, als in ein paar Abentscheidungsverfahren.

00:31:54: Genau, also es ist, es ist das, dieses beschränkte Rechtsmittel, das ist... eigentlich auf Rechtsfragen beschränkt, deswegen vergleichbar so ein bisschen mit der Revision im deutschen Recht.

00:32:08: Allerdings ist die Auslegung des OGH, was jetzt Rechtsfragen und was Tatsachenfragen, ein bisschen andere, also Fragen der rechtlichen Qualifizierung.

00:32:20: Tatsachen, die die Grundlage für eine rechtliche Würdigung bieten kann, dass der OGH in einem solchen beschränkten Rechtsmittelverfahren sehr wohl so seine eigene Rechtsprechung überprüfen.

00:32:34: Ja.

00:32:34: Und was denkst du durch den Ergebnis herkommen

00:32:36: würde,

00:32:37: wenn er jetzt alles überprüfen dürfte?

00:32:40: Wenn er alles überprüfen dürfte, wir sind immer noch im Nichtigkeitsverfahren und da ist wohl nach österreichischer Rechtsprechung um wirklich die Lage zum Zeitpunkt des Erlasses maßgeblich.

00:32:55: Das heißt, es würde nicht, alles, was wir seit Trump gesehen haben, das würde nicht darin einfließen.

00:33:02: Was aber sehr wohl darin einfließen würde, während zum Beispiel auch einfließen könnte zumindest, wären Sachen, die nicht unmittelbar vom Kläger gerügt wurden.

00:33:13: Also zum Beispiel... wie es aussieht, mit der zielgerichteten Datenerpassung, also nicht die kritisierte Ballcollection, die Massendatenerhebung, sondern was ebenfalls von der Executive Order, die zielgerichtete Datenerpassung, oder die Verfahren zum Data Protection Review Court.

00:33:39: Das steht ja alles unter der Aufsicht des PCLOB und das steht ja auch heutzutage sehr näher.

00:33:44: Privacy and Civil Liberties Oversight Board.

00:33:48: Das steht alles unter deren Aufsicht und das steht halt sehr in der Kritik.

00:33:54: Aber an dem Verfahren als solchem kann man auch das eine oder andere kritikwürdige finden.

00:33:59: Also zum Beispiel, dass der Beschwerdeführer erst dann, wenn der Civil Liberties Protection Officer die Beschwerde zulässt oder die Klage zulässt.

00:34:08: überhaupt dann klagen kann.

00:34:10: Und wir haben eigentlich, wenn wir von effektiven Rechtsschutz in Europa reden, haben wir den Gedanken, dass wir gegen jede behördliche Entscheidung, wenn sie sozusagen die letzte, also endgültig ist, auch gerichtlich dagegen vorgehen können.

00:34:27: Und da haben wir eine Vorprüfungsinstanz.

00:34:31: Und ja, da sind wir so ein bisschen von der Wilke dieser Vorprüfungsinstanz abhängig.

00:34:36: Das ist eines von mehreren einer von mehreren Aspekten, die man in diesem Verfahren am Data Protection Review Court kritisch sehen kann.

00:34:45: Und ich denke auch, dass da der AWGH zu einer anderen Entscheidung kommen könnte als das Gericht.

00:34:55: Ich glaube, man darf zurückzukommen.

00:34:57: Ich habe nichts gegen den Schrems persönlich.

00:34:58: Ich finde nur die Methoden und die Kommunikation von Neub sehr, sehr unseriös.

00:35:03: Und das geht mir sehr auf den Keks.

00:35:05: Damit tun Sie dem Datenschutz keinen Gefallen.

00:35:07: Aber das wollte ich nur darauf erwidern, bevor wir zu unserer zweiten Entscheidung kommen, nämlich SRB.

00:35:15: Und worum ging es da?

00:35:18: Es ging um, diesmal sind wir beim EUGH und der hatte sich zu beschäftigen mit verschiedenen Fragen zum Thema personenbezogene Daten und Pseudonymisierung wahrscheinlich von den Auswirkungen.

00:35:29: Gut, wenn das andere den, die die Restulare gekriegt hätte, werden die Auswirkungen natürlich härter, aber für die datenschutzrechtliche Praxis hat ist dieses SRB Urteil schon auch sehr wichtig.

00:35:41: Anlass war ein Rechtsstreit zwischen dem europäischen Datenschutzbeauftragten und dem einheitlichen Abwicklungsausschuss SRB.

00:35:52: Ich habe keine Ahnung, was das ist.

00:35:54: Fällt mir jetzt erst auf, hätte ich vielleicht mal nachgucken können, aber vielleicht auch extra.

00:35:57: Kann ich dir

00:35:57: aber sagen, also dieser einheitliche Abwicklungsausschuss, das ist... Der soll im Prinzip Insolvenz bedrohte Kreditinstitute ordnungsgemäß abwickeln bzw.

00:36:12: soll gewährleisten, dass dann bestimmte Kreditinstitute abgewickelt werden.

00:36:19: Und in dem Fall ging es um die Abwicklung der Banco Popular.

00:36:23: Also da ging es, glaube ich, um eine spanische oder eine portugiesische Bank.

00:36:28: Dafür sind die zuständig, also so eine quasi eine Alternative zum europäischen Insolvenzverfahren.

00:36:34: Okay, die haben wir nachgucken.

00:36:37: Einfach gesprochen.

00:36:38: Ebenfalls beteiligt war der Europäische Datenschutz-Ausschicht, Ausschuss sowie der Europäische Kommission.

00:36:44: Also jede Menge.

00:36:45: Und worum ging es?

00:36:48: Es ging um die Bedeutung des Begriffs der personenbezogene Daten im Zusammenhang mit der Übermittlung von pseudonymisierten Daten an Dritte.

00:36:59: Das ist ja ein relativ häufiges Verfahren.

00:37:01: mit dem man so ein bisschen diese Problematik, das finden wir in der Rechtsgrundlage, auch umgeht.

00:37:07: Das ist ein sehr übliches Verfahren, zum Beispiel in der medizinischen Forschung, wo ich ja dann immer Artikel neun, also gerade ich geschützte Daten habe, die ich pseudonymisiere, dann im Verarbeiterübergabe zum Beispiel,

00:37:18: der

00:37:19: wertet die dann aus und gibt sie mir zurück und ich kann sie dann aus dieser Pseudonymisierung wieder rausführen.

00:37:24: Aber für denjenigen, der die verarbeitet, sind sie eben nicht pseudonymisch, sondern anonym, weil er diese Möglichkeit der Rückführung nicht hat.

00:37:34: Und darum ging es in dem Urteil, gab noch eine Side-Kick-Entscheidung, nämlich die Frage, ob persönliche Meinungen unter personenbezogene Daten fallen, hat der AGR so gesagt, ja.

00:37:47: Aber die spannende Frage ist hier eben, wie ist die Sicht?

00:37:52: Was ist die maßgebliche Sicht für die Beurteilung der Identifizierbarkeit?

00:37:57: Und das war hier, glaube ich, so ein bisschen der Kern Alexander, erklär uns das bitte

00:38:00: mal.

00:38:02: Vielleicht sage ich noch ganz kurz, warum wir hier überhaupt beim OGH sind, weil wir gerade eben über den Instanzen zugesprochen haben.

00:38:11: Also wir hatten dieses Verfahren schon mal beim OIG, denn das OIG, das Gericht, das ist zuständig für Klagen gegen EU-Organe und in dem Fall oder zwischen EU-Organen.

00:38:28: Und in dem Fall war ein solches Verfahren, das heißt, wir hatten in erster Instanz eine Entscheidung des EuG.

00:38:33: Und dann wurde beschränktes Rechtsmittel eingelegt und so gelangten wir dann, also das, was uns beim DPF droht, das haben wir genau hier gesehen in dieser Entscheidung, so gelangten wir dann zum EuGH.

00:38:48: Und der EuGH hatte dann diese große alte Frage zu beurteilen, kommt es bei der... beim Personenbezug, darauf an, ob irgendwer den Personenbezug herstellen kann, also absoluter Personenbezug oder ob es auf die Sicht des der Daten verarbeitenden Stelle ankommt.

00:39:08: Subjektiver Personenbezug.

00:39:10: Und da, sagt das Gericht relativ eindeutig, bezieht sich da auf die alte Breierentscheidung aus dem Jahr zwei Tausendsechzehn.

00:39:19: Es kommt im Grundsatz auf das Subjektive an, also Kann derjenige, der mit den Daten umgeht, den Personenbezug herstellen, kann dieser also eine Person identifizieren?

00:39:34: Schönes Beispiel hier finde ich sind immer IP-Adressen, wo ja auch dieser absolute relative Personenbezug, ich glaube, zwanzig Jahre, fünfzwanzig Jahre lang im Streit waren.

00:39:45: Ich glaube, das kann man auch ganz gut hier drauf anwenden.

00:39:48: letztendlich, nämlich die spannende Frage, wie sind denn dann Zum Beispiel IP-Adressen, die in Lockpads von einem Unternehmen sind, was jetzt über keine weiteren Angaben hat.

00:39:58: Klar, wenn das alles angemeldete Kunden sind, dann mag das anders aussehen.

00:40:02: Aber wenn ich jetzt, sagen wir mal, nur eine Infoseite bin, der die keine eingelockten Kunden haben, kann ich ja in der Regel die IP-Adressen nicht auflösen.

00:40:13: Das sei denn, ich mache sehr große Verränkungen mit Strafanzeigen und ähnlichem,

00:40:16: wo

00:40:17: ich wahrscheinlich selber sogar strafbar machen würde, weil es ja offensichtlich dann... eine unberechtigte Verdächtigung wäre, aber wäre das jetzt unter dem Hinblick auf dieses Urteil anders zu beurteilen?

00:40:29: Ja, das große Problem ist, der OGH zieht sich da auf seine klassische Juristen Antwort zurück und sagt, es kommt drauf an.

00:40:37: Also, es

00:40:38: ist der Antwort.

00:40:41: Es soll im Einzelfall zu prüfen sein.

00:40:43: Ja, zum Thema IP-Adressen, auch da hatten wir ja das Thema bei der Breier Entscheidung, und da sagte der OGH damals, ja, es kommt auf die subjektive Sicht an, aber auch bei dritten vorhandenen Mittel müssen eventuell berücksichtigt werden, sofern diese realistischerweise von der Stelle eingesetzt werden können, um den Personenbezug herzustellen.

00:41:12: Ja, jetzt sagst du, man muss gewisse Verränkungen unternehmen, um eine Person aus einer IP-Adresse heraus, zumindest wenn es eine dynamische IP-Adresse ist, heraus zu identifizieren.

00:41:27: Würde ich auch so sehen.

00:41:29: Und der IGH hat es damals offen gelassen.

00:41:33: Er sagte eigentlich nur, wenn der Erlangung der Information ein gesetzliches Verbot entgegensteht, dann soll es jedenfalls keinen Personenbezug haben.

00:41:46: Aber was ist, wenn ich womöglich irgendwie unter Verrankungen, zum Beispiel die Unterstellung einer Strafanzeige an die IP-Adresse kommen könnte, da müsste man prüfen, ist das jetzt ein verhältnismäßiges Mittel, was nach allgemeiner Voraussicht von der verantwortlichen Stelle, bzw.

00:42:04: von der Datenverarbeitenstelle eingesetzt werden würde?

00:42:08: Ich hätte eine Tendenz zu nein.

00:42:10: Aber da sagt das Gericht gar nichts dazu, sondern verweist einfach auf die Rechtsprechung und sagt, schaut es euch im Einzelfall an.

00:42:20: Also in der Praxis, Jörg ist meine Datenverarbeitende Stelle.

00:42:25: Ich gebe Jörg jetzt meinen Lockfall, in dem fünf tausend IP-Adressen drin stehen.

00:42:30: Jörg selber kann es sein, warum sollte er?

00:42:36: Kann keine Strafanzeige stellen oder ist auch keine Erstrafvermittlungsbehörde, die man eben zum Provider gehen kann und fragen kann, welche Anschlüsse stecken hinter den IP-Adressen.

00:42:44: Das heißt, Jörg kann mit diesen IP-Adressen nichts anfangen.

00:42:47: Er kann, sie sind für ihn, anonym.

00:42:51: Also, sagen wir pseudo-nümen, sie sind immer pseudo-nümen, aber für ihn, er kann damit nichts anfangen.

00:42:58: Und für mich

00:43:00: wäre die anonym.

00:43:00: Dann

00:43:01: wären die anonym.

00:43:02: Ja, aber relativ anonym.

00:43:03: Also sie sind immer noch relativ anonym, weil es gibt Stellen, es gibt Stellen, die könnten die Anonymität, also könnten sie die Leute, die hinter den Papierdressen stehen, aus der Anonymität holen.

00:43:21: Genau, das folgt zwingend aus der Relativität des Personenbezugs.

00:43:25: Also das, was für den einen Pseudonyme sind, sind für einen anderen.

00:43:31: Anonyme Daten, womöglich.

00:43:33: Heißt es dann aber auch, dass ich jetzt irgendwie wieder Full-Scale App-Adressen locken kann auf meinem Web-Server zum Beispiel?

00:43:39: Weil ich kann damit ja nichts anfangen.

00:43:41: Ja, das ist die große Frage, ob dann, ob man als Auftraggeber bzw.

00:43:47: könnte man darüber streiten, ob dann überhaupt eine Auftragsverarbeitung erforderlich ist oder nicht.

00:43:52: Aber das ist dann die große Frage, ob nicht der Empfänger dieser Daten, seien sie jetzt personenbezogen oder nicht, auf dich als die Pseudonymisierung auflösende Stelle zurückgreifen könnte.

00:44:08: Wobei bei dir ja dann auch wiederum die Frage ist, du müsstest dann ja auch wiederum irgendwie den Personenbezug aus der IP-Adresse herstellen können.

00:44:16: Also es ist die große Frage, welche Mittel sind der datenempfangenden Stelle zuzurechnen?

00:44:22: Und insbesondere, kann die Daten über mittelnde Stelle der datenempfangenden Stelle zugerechnet werden.

00:44:33: Also, für mich geht es daraus hervor, Jörg, dass wir in den Lockpiles IP-Adressen nicht mehr irgendwie analysieren müssen.

00:44:43: Das heißt, um die letzten oder zwei letzten Stellen ausxen müssen, sondern können wir wieder unanimisiert oder unmaskierte IP-Adressen locken.

00:44:58: Oder?

00:44:58: Wären wir eine Infoseite, die jetzt nicht noch Anmeldung hat, mit der wir wieder die IPs

00:45:05: haben?

00:45:06: Das habe ich nicht bedacht.

00:45:07: Wäre das

00:45:08: so?

00:45:08: Ja, bei der anderen, ja, aber auch das wäre ja verboten.

00:45:13: Also das wäre zumindest datenschutzmäßig verboten.

00:45:16: Und da ist die große Frage.

00:45:19: Also Jörg, da ist die große Frage.

00:45:22: Was für Anforderungen gelten für so ein gesetzliches Verbot, wenn der OGH sagt, Wenn ein gesetzliches Verbot der Daten erlangt und entgegensteht, dann kein Personenbezug.

00:45:33: Reicht das bloße Verbot mit Erlaubnisvorbehalt, und ihr wisst, Artikel six, eins, f, also Interessenabwägung ist sehr, sehr flexibel, reicht das aus, damit der Personenbezug nicht herstellbar ist.

00:45:46: Oder braucht es dazu vielleicht irgendeiner Strafnorm, wie zum Beispiel, zweihundert drei STGB Berufsgeheimnis, damit wirklich die Erlangung, also damit ein gesetzliches Verbot im Sinne der Breier Rechtsprechung gegeben ist und damit auch tatsächlich die Anonymität aus Sicht des Empfängers da ist.

00:46:14: Das ist das

00:46:14: große Problem.

00:46:16: Der OGH bestätigt seine Breierentscheidung und gibt uns damit eigentlich Steine statt Brot.

00:46:26: Ja, und wenig Prakt, also es ist eine Entschiednis kommt darauf an.

00:46:30: Klassisch.

00:46:30: Genau.

00:46:30: Und liebe ich als Praxismensch, weil kann ich richtig viel mit Anschwärmung und richtig viel mit Arbeiten.

00:46:37: Da haben sich wahrscheinlich einige mehr erhofft vom LGH, ne?

00:46:41: Ja, und es ist ja unfassbar praxisrelevant, ne?

00:46:43: Also ich habe schon das Beispiel genannt mit der ganzen medizinischen Forschung, die mangelnsrechtsgrundlage im Wesentlichen auf solchen... oder nicht wesentlichen, aber zumindest in großen Stellen auf solche Absurdönomisierung beruht.

00:46:55: Und da kann man natürlich immer sagen, aber irgendwie kann man es ja irgendwie auflösen, wenn ich das die Verschlüsselung breche oder was weiß ich was.

00:47:02: Und das macht's für mich.

00:47:05: Gerade bei der medizinischen Forschung ist es halt besonders interessant, denn der OGH sagt ja auch, ich muss über die Übermittlung auch dieser Daten an jemanden, der den Personenbezug nicht herstellen kann, muss ich informieren.

00:47:19: Da sagt der OGH zu Artikel fünfzehn der Verordnung, siebzehn, fünfundzwanzig aus zwei tausend achtzehn, das ist sozusagen die Schwestervorschrift für die DSGVO.

00:47:29: Das Gleiche steht bei uns in Artikel dreizehn DSGVO.

00:47:34: Wenn ich darüber informieren muss über diese Übermittlung, auch wenn die Daten für den Empfänger nicht personenbezogen sind, einfach weil sie personenbezogen sind aus Sicht des Übermittelenden, bedeutet das, das ist eine Verarbeitung.

00:47:50: Also wenn wir Daten weitergeben, von einer Stelle zur anderen Stelle, dann haben wir immer eine Übermittlung auf der einen Seite und eine Erhebung auf der anderen Seite.

00:47:59: Wenn diese Daten jetzt verschlüsselt werden oder pseudonymisiert werden, dann haben wir immer noch eine Übermittlung auf der einen Seite, aber keine Erhebung mehr auf der anderen Seite.

00:48:11: Das heißt, die Hälfte der Datenverarbeitung entfällt sozusagen.

00:48:17: Oder die Verarbeitung per personenbezogene Daten.

00:48:20: Diese Informationspflicht, von der Du sprichst, die bezieht sich jetzt auf die Dateninhaber, also die deren Daten erhoben wurden.

00:48:29: Oder verarbeitet wurden.

00:48:30: Die Betroffenen, der hat Betroffenen, genau.

00:48:32: Das war das Wort.

00:48:33: Ja,

00:48:34: Dateninhaber, da kommst Du noch aus dem Data-Aggel.

00:48:36: Ja, ja, genau.

00:48:37: Ich war noch aus dem Gespräch und wurde zu Erwochen, genau.

00:48:42: Ja, das heißt, ich hab, also das ist ja auch vollkommen realistisch.

00:48:47: Also ich habe jetzt ein Pool, ich nehme Beispiel, ich bin in dieser Studie Nationale Kohorte, da war ich jetzt gerade wieder zu einer großen Untersuchung, das ist diese Volksgesundheitsstudie quasi, mit zwei Hundert Achtzig Tausend Teilnehmern.

00:49:03: Jetzt erheben die da in einem Quadrat nicht, musste auch diverse Datenschutzerklärungen und Einwilligungen unterschreiben und dann sollen die mich jedes Mal informieren, wenn die an irgendeine Forschungsstelle meine Daten weiter transferieren.

00:49:16: Laufend also quasi mich darüber laufend informiert halten.

00:49:19: Ja,

00:49:19: so sieht es die Idee vor.

00:49:22: Mehr oder weniger.

00:49:23: Also der OGH sagte in der Entscheidung, ich glaube, an Anfang.

00:49:26: Ich glaube, an Anfang.

00:49:27: Ich glaube, an Anfang.

00:49:27: Ich glaube, an Anfang.

00:49:28: Ich glaube, an Anfang.

00:49:28: Ich glaube, an Anfang.

00:49:29: Ich glaube, an Anfang.

00:49:29: Ich glaube, an Anfang.

00:49:30: Ich glaube, an Anfang.

00:49:31: Ich glaube, an Anfang.

00:49:32: Ich glaube, an Anfang.

00:49:32: Ich glaube, an Anfang.

00:49:34: Ich glaube, an Anfang.

00:49:34: Ich glaube, an Anfang.

00:49:35: Ich glaube, an Anfang.

00:49:35: Ich glaube, an Anfang.

00:49:36: Ich glaube, an Anfang.

00:49:38: Ich glaube, an Anfang.

00:49:39: Ich glaube, an Anfang.

00:49:39: Ich glaube, an Anfang.

00:49:41: Ich muss über die konkreten Empfänger informieren, soweit diese bereits im Vorfeld feststehen.

00:49:46: Wenn diese noch nicht feststehen, dann reicht auch die Information über die Empfänger Kategorien.

00:49:51: Und das heißt für mich, in deinem Fall würde es reichen, wenn ich sage, okay, ich übermittele an ABC und folgende Empfänger der Kategorie D, die ich noch nicht im Einzelnen weiß.

00:50:05: Okay,

00:50:06: aber kommt F dazu?

00:50:08: Kommt F dazu, musst du informieren.

00:50:12: Wenn ein neuer Empfänger hinzukommt, der jetzt

00:50:15: nicht unter die Kategorie

00:50:16: fällt.

00:50:17: Der OGH stellt bei der Informationspflicht auf den Zeitpunkt der Erhebung der personenbezogenen Daten ab.

00:50:26: Und insofern würde ich sagen, so lange kein Empfänger auftaucht, der nicht unter die initial erteilten Informationen fällt, muss ich auch nicht neu informieren.

00:50:40: Wenn ich jetzt sage, das ist jetzt aus Sicht der empfangenden Stelle keine Erhebung, brauche ich ja immer noch eine Rechtsgrundlage für die Übermittlung.

00:50:49: Und da fängt es dann an, mit den Rechtsgrundlagen schwierig zu werden.

00:50:55: Denn bei pseudonymisierten Daten, da kann ich immer sehr gut mit Artikel six, eins, f argumentieren.

00:51:02: Also zu sagen, da sind wenig Risiken.

00:51:05: Für die Rechte und Freiheiten des Betroffenen.

00:51:09: Und deswegen darf ich diese Daten übermitteln.

00:51:11: In Klammern auch außerhalb einer Auftragsverarbeitung.

00:51:15: Wird halt schwierig.

00:51:17: Genau, das ist der springende Punkt bei Artikel neun Daten.

00:51:21: Wird's dann wiederum schwieriger.

00:51:25: Na gut, das nehmen wir mal so mit.

00:51:28: Ja, können

00:51:29: wir noch ganz kurz das Fazit ziehen?

00:51:31: Nein, also ich...

00:51:32: Dazu?

00:51:33: Ja, jetzt zu dem Urteil.

00:51:36: Alexander, erzähle mal ganz kurz, fahren Sie ein bisschen

00:51:37: ratlos.

00:51:40: Ja, Personenbezug nicht überraschend.

00:51:44: Anforderungen weiterhin unklar an die Bestimmbarkeit.

00:51:48: Und Folgefrage brauchen wir jetzt einen Auftragsverarbeitungsvertrag bei der Übermittlung an Stellen, die aus deren Sicht das anonym ist.

00:52:00: Man weiß es nicht, das lässt sich sicherlich beides vertreten.

00:52:03: Ich würde sagen, man kann.

00:52:06: Meine Lösung wäre analog Artikel achtundzwanzig.

00:52:09: Also wir haben ja keine vollständige Auftragsverarbeitung.

00:52:12: Wir haben so eine Teil-Auftragsverarbeitung oder eine quasi-Auftragsverarbeitung.

00:52:16: Das kennen wir aus anderen Konstellationen.

00:52:18: Da kann man durchaus vertreten, Artikel achtundzwanzig analog anzuwenden.

00:52:22: Aber das nur als progressives Bombo an dieser Stelle.

00:52:26: Ja, oder riesige Aufwand.

00:52:28: Wahnsinnige Aufwand, die man da treffen muss.

00:52:32: Tendenziell die andere Seite vertreten, nämlich sagen, hey, das wenn es anonymisiert ist, ist anonymisiert, dann sind es keine personenbezogene Daten.

00:52:39: Dass der Akt des Anonymisierens ist.

00:52:41: möglicherweise, brauche ich eine Rechtsgrundlage, aber dann sind sie anonymisiert für den Empfänger und dann brauche ich dafür eben keine Rechtsgrundlage, weil es keine personenbezogene Daten mehr sind.

00:52:49: Das sich absolut hören und das mit der quasi Auftragsverarbeitung ist auch eher vom Ergebnis her gedacht, dass wir nämlich aus dieser sensiblen Datenproblematik rauskommen.

00:53:02: Wäre deswegen auch eine Empfehlung, wenn es potenziell sensible Daten betrifft, wenn es um IP-Adressen geht, bin ich da vollkommen bei dir.

00:53:13: Ja, das stimmt.

00:53:14: Also für neue Daten könnte das Sinn machen.

00:53:18: Gut, letzter Hut.

00:53:21: Quirin Privatbank.

00:53:24: Das ist... auch nicht ganz unrelevant ist, reiht sich nahtlos ein in diese für mich hochgradig verwirrenden OGH-Entscheidungen zu Schadensersatz und Schäden.

00:53:36: Und ich glaube, es gibt wenig Menschen, die da nicht verwirrt sind, weil sich diese Entscheidung irgendwie zumindest in meiner Wahrnehmung bisweilen, das darf ich widersprechen.

00:53:45: Worum geht es hier?

00:53:46: Es geht einmal mehr, möchte man fast sagen, um die Auslegung des Begriffs des immateriellen Schadens, das ist einer der Punkte, und ob der auch negative Gefühle umfasst, die die betreffende Person in Folge einer unbefugten Übermittlung empfindet.

00:54:07: Was war hier passiert?

00:54:10: Es gab ein Bewerbungsprozess und bei dieser Quirin Privatbank, die werden sich, glaube ich, auch nicht freuen, dass Ihr Name hier unsterblich geworden ist in so einem Kontext, die über ein Online-Karrierenetzwerk stattfand und dabei hat eine Mitarbeiterin der Bank über ein Messenger-Dienst auch nicht besonders.

00:54:31: Naja,

00:54:31: nicht sehr weise war, hat eine Nachricht geschickt und zwar nicht an den Bewerber, sondern versehentlich an einen Dritten.

00:54:41: Und in dieser Nachricht standen wohl relativ sensible Daten, also nicht im Artikel neun mäßig, aber relativ sensible Daten.

00:54:48: Ich glaube Gehaltsvorstellung, wenn ich es richtig in den Habe drin und das hat dann dem Dritten, das ging dann dem Dritten zu und zu allen Überflusskanten, die sich aus irgendwelchen skurrilen Gründen auch noch kleine Welt.

00:54:59: Wir waren ehemalige Arbeitskollegen.

00:55:01: Ja, genau.

00:55:02: Kleine Welt.

00:55:02: Und haben sich dann ausgetauscht und das war natürlich sehr, sehr, sehr unangenehm.

00:55:07: Und dann hat der Betroffene darauf in Scharnsersatz noch die SGBU verlangt.

00:55:14: Und Alex dann hatte sie gekriegt.

00:55:19: Ja, das ist... Man muss es so ein bisschen... Es ist ja nicht nur Scharnsersatz verlangt, sondern auch die Unterlassung der weiteren Verarbeitung.

00:55:27: Lass uns erst mal im Scharnsersatz bleiben, dann gleich zur Unterlassung kommen.

00:55:30: Ja, der OGH bleibt seiner Linie treu.

00:55:34: Er sagt auch so Gefühle des allgemeinen Lebensrisikos.

00:55:38: Also sowas wie Unmut oder Ärger oder Unzufriedenheit.

00:55:43: Diese negativen Gefühle können einen Schaden darstellen.

00:55:47: Das hat der OGH so ähnlich schon mal gesagt.

00:55:51: Keine Erheblichkeitsschwelle bei diesen Schäden, die da entstehen können, anders als Gerichtes früher gesagt haben.

00:55:59: Aber, und das ist unser Klassiker, den wir ja heute bei den Artikel zwei Nacht sich klagen sehen, der Nachweis ist immer so eine Sache.

00:56:06: Also, wie weiß ich dann als Betroffener nach, dass mir diese Unzufriedenheitsgefühle entstanden sind, dass mich diese beeinträchtigten, dass diese einen Schaden verursachten.

00:56:20: Also, Klassiker, ich muss da das Schlaflosigkeits-Tagebuch schreiben, also aufschreiben.

00:56:28: Heute, wir sind jetzt beim sechzehnten, neunten, zweitausend, fünfundzwanzig.

00:56:31: Heute auf den sechzehnten, neunten, zweitausend, fünfundzwanzig habe ich schlecht geschlafen, denn ich habe mich so geärgert in meinen Träumen über diese diese Offenbarung meiner Gehalsvorstellungen, dass ich dreimal aufgewacht bin.

00:56:48: So war es in der Richtung.

00:56:52: Ja, das ist der andere Punkt und der zweite Punkt ist vielleicht sogar prakt, also das ist jetzt nicht völlig neu, so, ne?

00:56:59: Der Nähe nochmal klargestellt.

00:57:01: Der zweite Punkt, das ist eben schon gesagt, ist die Frage und die ist aus meiner Anwaltschaft, weil ich das schon häufiger mal hatte und ziemlich praxisrelevant, darf ich Unterlassung, darf ich als Betroffener von demjenigen, der die Datenschutzverletzung begangen hat, darf ich da eine formale Unterlassung verlangen, also in Deutschland.

00:57:21: mit Abgabe einer Strafewerten-Unterlassungserklärung, wo man wohl bisher davon ausgeht, dass die DSG vorhoh sowas ja explizit nicht vorsieht.

00:57:32: Und ich erinnere mich, dass wir alle Felder zurückgewiesen haben in der Hinsicht mit dieser Argumentation.

00:57:39: So, und jetzt kommt der EUGH und sagt, kommt man nämlich auf die nationale Rechtsordnung.

00:57:47: Genau.

00:57:48: Also der Generalanwalt hat in dem Verfahren noch vertreten, es gäbe einen originären datenschutzrechtlichen Unterlassungsanspruch.

00:57:56: Warum sage ich originärer datenschutzrechtlicher Unterlassungsanspruch?

00:58:00: Der EURGH hatte bereits festgestellt, dass nach nationalem Recht Unterlassungsansprüche wegen Datenschutzverletzungen zulässig sind, also insbesondere durch Verbraucherschutzverbände nach dem Unterlassungsklagengesetz.

00:58:14: durch Mitbewerber nach dem UWG.

00:58:16: Hier ging es jetzt um die Frage, hat der Betroffene selbst eigentlich einen Anspruch?

00:58:21: Und da sagte der Generalanwalt ja und der OGH sagt nein.

00:58:25: Der OGH sagt weder aus Artikel siebzehn noch Artikel achtzehn gibt es einen Unterlassungsanspruch und auch nicht aus Artikel neunundsebzig, wie der Generalanwalt das herleitete.

00:58:38: Aber der sagt dann auch und da ist er ganz auf der bisherigen Linie.

00:58:44: Ähm, zu den, zu Artikel neunundsebzig, es gäbe, ja, die Möglichkeit im nationalen Recht entsprechende Ansprüche vorzusehen.

00:58:54: Also, im konkreten Fall bei Betroffenen, bei Ansprüchen durch Betroffenen sind das Persönlichkeitsrechte, das heißt Unterlassungsanspruch nach Paragraf achtdreienzwanzig, tausendvier, BGB, der sogenannte quasi negatorische Unterlassungsanspruch.

00:59:10: Und dieser wurde von einigen Gerichten, von einigen deutschen Gerichten zurückgewiesen, der haben die gesagt, nee, die DSGVO ist im Bereich der Verarbeitung personenbezogener Daten abschließend und sperrt deswegen die Ansprüche nach dem nationalen Recht, also insbesondere, Urteil von vor zwei Wochen nicht mehr aufrecht erhalten.

00:59:41: Praxisnahes Beispiel.

00:59:45: Es gibt ja Handregister-Einträge und dann gibt es da gibt es ein originäres Handelsregister und aus dem schöpfen ganz viele Unternehmen Daten und haben dann eigene, etwas bessere Handelsregister.

00:59:58: aus Künfte heilen, sagen wir mal so.

01:00:01: Und dort ist eine Person genannt und die möchte sich gegen die Verbreitung über personenbezogene Daten auf ganz zufällig konstruierter Fall auf dieser Plattform wären, weil sie sagt, da keine rechtmäßige Verarbeitung einer personenbezogene Daten, ob es das jetzt ist, wahrscheinlich ist es berechtigtes Interesse, aber ob es das ist, ist es egal, könnte diese Person sagen wir mal, es wäre kein berechtigtes Interesse und auch sonst keine Rechtsgrundlage, könnte diese Person nicht nur Löschung, das wäre ja das eine, sondern auch Unterlassungsverlangen, was ja sehr, sehr viel weitergehender ist, weil ich ja dann als Betreiber eben auch prüfen muss, dass der Name da nicht nochmal wieder reingespielt wird.

01:00:43: Das ist ein Mordsaufwand.

01:00:45: Und für mich gefährlich, weil in dem Moment, wo ich eine Straffewerte Unterlassungserklärung abgeben muss, würde ich eine Strafe zahlen müssen, wenn es eben nochmal passiert.

01:00:56: Ja, der OGH sagt dazu, nach der DSGVO jedenfalls nicht.

01:01:02: Ich hadere sehr mit der Entscheidung, weil der OGH nämlich schon in vier anderen Entscheidungen genau einen solchen Unterlassungsanspruch bejaht hatte.

01:01:12: Einmal zur Datenschutzrichtlinie und dreimal zur DSGVO.

01:01:17: in den Jahren zwei Tausend Neunzehn und zwei Tausend Zweiundzwanzig hatte der OGH mehrfach gesagt, es gibt einen Unterlassungsanspruch.

01:01:26: Aber zu deinem Fall unterstellt, es gäbe jetzt keinen mit der, wenn wir jetzt nur das Urteil des OGH vom vierten, neunten Betrachten, dann müsste man halt über Tausend vier, acht, drein, zwanzig BGB gehen.

01:01:42: Da sagt der OGH, das wäre möglich.

01:01:45: Allerdings bräuchten wir dann eine rechtswidrige Verletzung des allgemeinen Persönlichkeitsrechts.

01:01:52: Und dieses Allgemeine Persönlichkeitsrechts.

01:01:57: Da sagen die deutschen Gerichte, da sind wir ganz tief im nationalen Recht.

01:02:03: Da müssen wir, das sind sogenannte Rahmenrecht, wir können nicht einfach aufgrund des Eingriffs davon ausgehen, dass es auch rechtswidrig ist, sondern wir brauchen eine umfassende Güter- und Interessenabwägung.

01:02:16: Das heißt, auf der einen Seite wäge ich ab, greift das jetzt in sozialsphäre in teamsphäre privatsphäre ein also dieses stufen model.

01:02:27: zum anderen was ist eigentlich mit den kollidierenden grundrechten also meinungsfreiheit pressefreiheit oder auch ja recht am eingerichtet und ausgeübten gewerbe betrieb?

01:02:40: wenn ich so eine plattform betreibe wie du sie beschreibst und zu deinem Beispiel, da wäre es wahrscheinlich so, dass man sagen würde, Handelsregisterdaten, das sind allgemein zugängliche Daten, das sind jetzt keine Daten, die wir der Intim-Sphäre oder der Privatsphäre zuordnen, sondern eher der Sozial-Sphäre und dann würde wahrscheinlich eine solche Interessenabwägung zu Ungunsten des Betroffenen ausfallen und der Betroffene würde dann nicht vor Gericht obsiegen.

01:03:16: Das ist halt der große Unterschied zum Datenschutzrecht.

01:03:19: Beim Datenschutzrecht haben wir diese Dualität des Personenbezugs.

01:03:24: Entweder es ist etwas personenbezogen oder nicht.

01:03:27: Das ist recht einfach festzustellen, während eine rechtswidrige APR-Verletzung ein größerer Prüfungsaufwand ist und höhere Hürden hat.

01:03:38: APR ist das allgemeine Persönlichkeitsleitsmann.

01:03:42: Darf ich dazu eine kurze Nachfrage stellen?

01:03:44: Du hattest gesagt, dass der ALGH ja in dem Urteil zumindest per se nichts dagegen hätte, dass es Unterlassungsansprüche aus Datenschutzgründen geben könnte im nationalen Recht.

01:03:58: Siehe hier zum Beispiel, dass das hier dass hier Unterlassungsansprüche aus wettbewerbsrechtlichen Gründen möglich sind, wenn Datenschutz was schönste bestehen.

01:04:07: Wäre es dann für den Gesetzgeber vielleicht möglich, einfach zum Beispiel internationale Datenschutzgesetzgebung so ein Passus einzufügen, dann dürfte ja der EUGH da nichts dagegen haben, dass dann einfach den nationalen Gesetzgeber sagen, gut, wenn die DSGVO gibt es wohl laut EUGH nicht her, aber dann machen wir das halt selbst, das verbietet uns der EUGH ja ja nicht.

01:04:28: dass es wirklich originäre Unterlassungsansprüche aus Datenschutzverstößen rausgeht.

01:04:34: Also, das wäre möglich.

01:04:37: Die Frage ist, ist das überhaupt notwendig?

01:04:39: Man könnte jetzt sagen, dass Recht auf Datenschutz ist ein eigenständiges Rechtsgut im Sinne von Ableinzwanzig und abweichend vom allgemeinen Persönlichkeitsrecht.

01:04:53: Dann hätte man schon einen solchen Anspruch im jetzt schon, also ohne gesetzliche Änderungen im nationalen Recht.

01:05:01: Man könnte die Vorschriften der DSGVO als Schutzgesetze im Sinne des §.

01:05:07: VIII XXIII Absatz II einspufen.

01:05:11: Auch dann hätten wir schon einen solchen Anspruch im nationalen Recht.

01:05:16: Ja, und die dritte Möglichkeit.

01:05:19: die du ja schon quasi vorschlägst, wäre es einzuführen, einen speziellen datenschutzrechtlichen Unterlassungsanspruch im Nationalrecht.

01:05:29: Wobei dir hier natürlich ein bisschen bizarr ist.

01:05:31: Also da vermisse ich das gute Altersperren, was im BDSG ja immer noch möglich war.

01:05:37: Das heißt, wenn ich diese Daten hier löschen würde und gleichzeitig sagen würde ich, darf sie aber nie wieder verwenden.

01:05:43: Wie soll ich das denn kontrollieren, wenn ich die Daten gar nicht spärchern darf?

01:05:46: Die Daten sind ja dann weg und das ist glaube ich, eine Geschichte, die man praktisch nicht lösen kann.

01:05:53: Aber nun gut, wir schauen, was passiert.

01:05:55: Ja,

01:05:55: deswegen, deswegen du hast vollkommen recht.

01:05:57: Deswegen glaube ich auch, und der OGH hatte ja schon mehrfach entschieden zu in den sogenannten Dealistingfällen, hat der OGH nämlich entschieden, du musst Daten speichern, aber du darfst sie nicht anzeigen.

01:06:11: Und das ist nichts anderes als eine Unterlassungsanordnung.

01:06:15: Und das hat der olgh viermal inzwischen entschieden.

01:06:18: deswegen war ich mir eigentlich auch sicher, dass der olgh auch diesmal dazu kommt, dass wir eine eine eine unterlassungsanspruch haben.

01:06:28: und du sagst ja.

01:06:31: Sperrung nach dem alten bdsg ich entsinne mich auch noch.

01:06:34: das war eine umsetzung von artikel zwölf der datenschutzrichtlinie und genauso hatte der unter der datenschutzrichtlinie der eigh bereits unterlassungsansprüche bejaht.

01:06:46: Und wir haben nach wie vor eine entsprechende norm in der dsg vo.

01:06:50: das ist nämlich artikel achtzehn dsg vo.

01:06:53: Der sieht nämlich.

01:06:55: die Einschränkung der Verarbeitung vor.

01:06:57: Das heißt, ich speichere, aber darf bestimmte weitere Sachen nicht mit den Daten machen.

01:07:03: Meines Erachtens haben wir, kann man einen solchen rechtsdokumatischen Sinnvoll aus der DSGVO ableiten.

01:07:08: Der EUGH hatte auch schon einen solchen Bejahr.

01:07:11: Warum der EUGH auf einmal sich seiner eigenen Rechtsprechung nicht entsinnt, ist mir ein Rätsel.

01:07:19: Nee, das sind nicht zum ersten Mal.

01:07:22: Gut, wir sind... Durch.

01:07:24: vielen dank alexander.

01:07:26: eins erklär der zertifikat hier auch an dich.

01:07:30: das sind ja jetzt echt sachen die.

01:07:32: Nicht so leicht von der hand gehen.

01:07:34: also ich glaube auch und ich versuche haben dieses.

01:07:38: Das war das zweite

01:07:40: srb.

01:07:42: oder zu verstehen haben wir es beide nicht mal anhand der Meldung verstanden und ich habe sie wirklich mehr verlesen aber vielleicht klangst du an der Meldung.

01:07:50: Danke alexander.

01:07:52: Sehr gern.

01:07:53: Ich habe zu danken für die abermalige Einladung.

01:07:56: Und wenn ihr wieder ein Erklärbär braucht, sagt ihr Bescheid.

01:08:00: Darauf kommen wir gerne zurück.

01:08:02: Das drohe ich dir jetzt schon mal offiziell an.

01:08:08: Ich sage noch ganz kurz, wie ihr uns erreichen könnt, liebe Hörerinnen und Hörer, für Feedback.

01:08:13: Ach so, wir hatten übrigens den Feedback.

01:08:14: Das wollte ich dann aber nächstes Mal noch mal kurz vorlesen, was ich ganz gut fand.

01:08:19: Das war eine Frage an dich.

01:08:20: Das muss ich noch mal besprechen, bevor wir da... Da können wir dann in der Sendung antworten.

01:08:24: Ihr erreichst uns unter auslegungssacheetct.de und diese und alle vorherigen onehundertzwierzig Folgen findet ihr ab Freitag, das ist ein Version onehundertzwierzig jetzt schon, dieser ab Freitag unter ct.de-auslegungssache.

01:08:45: Dort ist auch ein Forum, wo wir immer über die Episode diskutieren.

01:08:49: werden kann und lasst uns auch gerne in Kartik da.

01:08:53: Jo, das war's von meiner Seite.

01:08:55: Vielen Dank Alexander auch von mir.

01:08:57: Danke für die Einladung nochmal und gerne wieder, wie gesagt.

01:09:02: Wir sehen

01:09:02: uns in einer schönen Zeit.

01:09:04: Macht's

01:09:04: gut.

01:09:05: Bis dann, ciao.