Ein Bus durch den Regel-Dschungel
Transkript anzeigen
00:00:03: Auslegungssache, der CT Datenschutz
00:00:07: Podcast.
00:00:14: Hallo und herzlich willkommen in der Auslegungssache heute mit Episode onehundert und vierzig.
00:00:20: Wir zeichnen auf am siebten Elfen zweitausendfünfundzwanzig.
00:00:23: Mein Name ist Volker Bleich.
00:00:24: Ich bin Redaktor bei CT, dem Magazin für Kumpelstatttechnik aus Hannover, das auch diesen Podcast hier produziert.
00:00:32: An meiner Seite ist wie steht Jörg.
00:00:34: Hallo Jörg.
00:00:35: Hallo Holger.
00:00:36: Ich freue mich, dass wir zusammen sind und Wir werden heute eine kleine Selbsthilfegruppe, selbst die Selbsthilfegruppe Frustration über digitale Überregulierung bilden und das nimmt schon mal so ein bisschen vorweg, was heute unser Thema ist, denn wir schauen uns das Omnibus Gesetz an und dem Omnibus Gesetz reden wir vor allem darüber, kommt jetzt das große DSGVO Update, macht das Sinn, wie sehen wir das, was wird da weiter passieren?
00:01:00: und dazu haben wir uns einen hochqualifiziert Gast eingeladen, der immer einer unserer ersten Ansprechpartner ist, auch schon ein paar Mal hier war, höher die Einordnung digitalpolitischer Entwicklung.
00:01:12: Ja, und der Gast ist Falk Steiner.
00:01:15: Hi Falk.
00:01:16: Hallo zusammen.
00:01:17: Freut mich.
00:01:18: Falk ist mit Sicherheit auch allen höheren und höheren hier schon bekannt.
00:01:22: Ich stelle die nochmal einmal kurz vor.
00:01:24: Falk war lange Jahre ... Korrespondent beim Deutschlandfunk, beispielsweise, hat es auch eine Radiokarriere schon gemacht, ist seit mehreren Jahren für uns schreiberisch tätig, für die heise Medien, also für heise online in erster Linie, aber auch viel für CT, wo ich ihn als Auto betreue und tatsächlich mehr als nur ein Ohr an den politischen Türen in Berlin und vor allem auch in Brüssel.
00:01:50: kennt sich, glaube ich, wie kaum niemand anders mit den digitalpolitischen Entwicklungen in Europa und in Deutschland aus und ist auch ganz gut im Verbreiten von Gossip.
00:02:00: Deswegen haben wir ihn auch immer gerne hier, weil er kriegt ja auch immer so kleine kleine Details am Rande mit vor Ort, die wir nicht unbedingt hier in Hannover mit kriegen.
00:02:08: Und wir sind mal gespannt, was er uns heute zu erzählen hat.
00:02:10: Natürlich jede Menge Gossip, was denn sonst?
00:02:13: Sehr gerne.
00:02:13: Sehr schön, da legst du die Latte hoch.
00:02:16: Bevor wir zum Gossip kommen, kommen wir aber zu unserer wunderbaren, wöchentlichen U-Brieg.
00:02:24: Das Bußgeld der Woche.
00:02:28: Unser Bußgeld der Woche ist heute gar kein Bußgeld, es ist mal wieder ein Urteil.
00:02:32: Irgendwie gehen uns ein bisschen die spannenden Bußgelder aus, so richtig viel passiert da gar nicht.
00:02:36: Wir haben uns einen Urteil angeschaut, wo wir uns sofort eigentlich waren, da müssen wir darüber reden.
00:02:42: Es ist ein Urteil des OLG Dresden vom neunten, neunten dieses Jahres und es geht um Falschparken und das Mälden von Falschparken.
00:02:54: Was war passiert?
00:02:56: Ein Mann meldete ein Falschparker über eine Falschparker App, die Falschparker App Weg.li und hat dafür ein Foto hochgeladen in dieser App.
00:03:08: Macht man da glaube ich, ich kenne solche Apps nicht.
00:03:10: Und auf diesem Foto war das Auto mit Sicherheit zu sehen und war mit Sicherheit auch das Kennzeichen zu sehen und war aber auch der Beifahrer zu sehen.
00:03:19: Der Beifahrer fand das gar nicht so richtig gut.
00:03:23: Wobei ich mich jetzt nachher ein bisschen frage, woher wusste der Beifahrer eigentlich, dass er da drauf ist.
00:03:27: Aber das steht im Urteil nicht.
00:03:30: Die interessante Frage war, dürfte der das Bild da hochladen?
00:03:35: Und das war... Inhalt dieses Verfahrens, ja auch über zwei Instanzen bemerkenswetterweise und um die aus, um das Ergebnis mal weg zu nehmen, nein, das dürfte er nicht.
00:03:45: Das OLG Dresden hat dieses Hochladen des Bildes, wo der Beifahrer zu sehen war, als Datenschutzverstoß gemeldet und hat den Mälder zusätzlich zu einer Zahlung von hundert Euro Schadensersatz verurteilt und er musste dann auch noch die gegnerischen Anwaltskosten in Höhe von sechshundertdreißig Euro ungefähr.
00:04:06: Übernehmen.
00:04:07: Interessant.
00:04:08: Warum war das so?
00:04:09: Oder ein paar juristische Bewertungen.
00:04:10: Das Gericht stellte fest, dass die DSGVO hier vorrangig anwendbar ist.
00:04:15: Da wäre noch das Kunst-Uheberrechtsgesetz in Frage gekommen oder das allgemeine Persönlichkeitsrecht hier.
00:04:20: Aber dann sah das Gericht die DSGVO vorrangig an und hat.
00:04:25: das Gericht hat dann auch entschieden, dass das Hochladen des Fotos eine automatisierte Verarbeitung darstellt, was jetzt nicht besonders überrascht.
00:04:34: Dann hat derjenige, der es hochgeladen hat, gesagt, ich bin aber eine Haushaltsausnahme oder beziehungsweise ich habe ja eine Haushaltsaufnahme, die für mich ficht.
00:04:43: Und da hat das Gericht gesagt, nein, es greift hier nicht ein, weil die Nutzung eben nicht rein privat war, sondern hat es ja offensichtlich zum Dritten übergeben und dafür hochgeladen.
00:04:55: Und dann kam das Ergebnis, dass er für dieses Hochladen hatte, keine Rechtsgrundlage gehabt.
00:05:00: Rechtsgrundlage, die sie geprüft haben hier, Der Tür, der abgebildete war natürlich nicht einverstanden.
00:05:06: Rechtsgrundlage nach Artikel sechs, Lit.
00:05:09: E. Öffentliches Interesse scheiterte wenig überraschend, denn privater Meldermacht natürlich hat natürlich nicht die Aufgabe das zu tun, also eben oder nicht diese Tätigkeit formal übertragen.
00:05:23: Dann hat er gesagt, berechtigtes Interesse, da kann man glaube ich durchaus darüber diskutieren.
00:05:28: Da läuft es dann ja auf den Abwegung hinaus.
00:05:30: Ich denke, dass das Mälden von Falschparker ist sicherlich ein berechtigtes Interesse grundsätzlich, aber ich komme dann eben zu so einer Abwägung zwischen dem betreffenden Interesse hier des Melders und der Person, die abgebildet war.
00:05:44: Und da hat das Gericht sehr eindeutig gesagt, dass das Recht am eigenen Bild wesentlich schwerer wiegt, als das Meldentresse hat dem Beklagten zudem noch vorgehalten, dass er gegen die Grundsatz der Datenminimierung verstößt und kam zu dem Ergebnis, dass dem Abgebildeten, also dem Beifahrer, und hat auch Schamersatz zu stehen für den erlittenen Kontrollverlust über seine Bilder.
00:06:08: Und die Anwaltskosten musste übernehmen und er muss das Foto nach Artikel siebzehn vollständig und nachweisbar löschen.
00:06:17: Wobei ich mich da gefragt habe, wie lösche ich eigentlich Fotos nachweisbar hat.
00:06:22: Einer von euch eine Idee, wie ich ein Foto nachweisbar lösche.
00:06:25: Muss ich mich davor aus Gericht stellen und ganz viele Leute drauf gucken lassen.
00:06:29: Es ist in dem Fall tatsächlich total interessant, Jörg.
00:06:31: Das hast du schöner ausgearbeitet, dass das eine der spannenden Fragen ist.
00:06:35: Denn, also ich war ein bisschen irritiert, dass ich das Urteil gelesen habe und ich habe mir das Urteil wirklich ein bisschen durchgelesen, weil ich es interessant fände.
00:06:40: Da dachte ich so, da dachte ich so ein bisschen, es ist ein bisschen speziell, dass schon was die Interessen veranstalten.
00:06:44: Denn der Senat hat sich davon nicht überzeugen können, dass derjenige, der dieses Foto geschossen hat, auch unwiderbringlich dieses Foto gelöscht habe.
00:06:53: Er könne sich nicht genau dazu erinnern, beispielsweise heißt es in dem Urteil.
00:06:57: Also das ist schon wirklich ein bisschen skurril.
00:06:59: Also wie soll ich den genau... Also der,
00:07:00: der es gemacht hat, konnte sich nicht erinnern.
00:07:02: Genau, der konnte
00:07:02: sich in den Terminen in der Verhandlung nicht besonders genau daran erinnern, wann er wie das Foto gelöscht haben will.
00:07:09: So, er sagt aber, ich benutze keine Clouddienste und all sowas.
00:07:12: Also das ist so alles eigentlich fein.
00:07:13: Im Sinne von er hat es eigentlich nur lokal auf dem Endgerät und natürlich eben bei dieser Plattform.
00:07:17: So, aber wie soll er denn beweisen, dass er das Foto wirklich gelöscht habe?
00:07:23: Es war in seiner Fotobibliothek wohl nicht aufhindbar im Ergebnis.
00:07:27: Also ein bisschen schräg fand ich das dann schon, was man sich da in Dresden zusammengebaut hat.
00:07:30: Ich hatte auch ein bisschen beim Lesen des Routers das Gefühl, dass die Richter möglicherweise ein bisschen genervt waren von der Gesamtkonstellation.
00:07:37: Aber das wollen wir natürlich im Richter nicht unterstellen, dass das einen Einfluss auf seine Rechtsfindung haben könnte.
00:07:42: Aber wie löscht du Fotos unwiederbringlich und weißt es nach?
00:07:46: Also ich versammle in der ZIT-Redaktion das gesamte Ressort, halte eine Kamera dagegen und dann werfen wir das auf den Beamer und dann sollten alle gucken zu, wie ich das Foto lösche.
00:08:00: Und dann müssen das alle unterschreiben, was ich das Foto gelöscht habe.
00:08:05: Das ist eigentlich der Weg, wie ich grundsätzlich Fotos
00:08:07: schließe.
00:08:09: Also
00:08:09: mindestens zehn Zeugen brauche ich dafür schon, sonst glaubst du mir hinterher in den Richtern nicht.
00:08:14: Gibt es da nicht irgendwas von der Blockchain
00:08:15: für?
00:08:17: Was mir jetzt gerade dazu einfällt, ist tatsächlich die Frage, ob er das Foto überhaupt löschen muss, weil wenn er es nur auf seinem Handy hat, ist er nach meinem Verständnis voll in dem Bereich der Privatausnahme.
00:08:27: Aber gut.
00:08:28: Das ist das, was ich eben auch schon meinte.
00:08:29: Das ist ein bisschen zu Nourin an der ganzen Geschichte.
00:08:32: Aber ansonsten muss ich auch sagen, da ist natürlich auch das Richterwesen als Gerichtswesen ein bisschen speziell, denn also in dem Urteil steht halt wortwörtig, der Beklagte wird verurteilt, das folgende Voto wie in Anlage K.II.
00:08:42: mit dem Bildnis des Klägers den Verzüglich zu löschen.
00:08:45: Also, wie will ich sagen, die Weiterverarbeitung, die Gerichtliche ist natürlich gedeckt vom Recht, aber weg ist dieses Foto damit nicht so richtig, wenn wir ehrlich sind.
00:08:53: Nee, es ist archiviert bis ans Ende der juristischen Zeit.
00:08:58: Gut, dann gehen wir rüber zu unserem heutigen Thema.
00:09:04: Ist ein bisschen politische Umgang mit digitalen Inhalten.
00:09:09: Wir schauen uns gleich dieses Omnibus-Gesetz an und verraten, was ein Omnibus-Gesetz ist.
00:09:14: Das finde ich schon mal großartig.
00:09:15: Um es mal vorwegzunehmen, was eine Omnibus-Verordnung ist, das ist einfach ein Gesetz, das mehrere andere Gesetze umfasst und mehrere Gesetze ändert.
00:09:23: Das hat also nichts mit.
00:09:25: mit Bussen zu tun.
00:09:27: Das ist ein Omnibus-Gesitz.
00:09:28: Und wir haben gestern, also wir zeichnen auf, am siebten, eine Woche vor der Ausstrahlung.
00:09:34: Und gestern ist gelegt, der Entwurf dieser digitalen Omnibus-Verordnung und des finale Entwurfs, glaube ich, am siebzehnten, korrigiert mich vorhanden, bis zum siebzehnten erwartet,
00:09:48: neunzehnte.
00:09:50: Na ja, also jedenfalls nach unserer Sendung und wir möchten aber trotzdem drüber sprechen.
00:09:55: Ich bin eigentlich kein mortsmäßiger Fan, mich über so Gesetzesentwürfe in so frühem Stadium zu unterhalten, aber das Ding ist hier einfach wichtig und das Ding hat schon irgendwie was Auswirkungen auch auf die Zukunft von Digitalregulierung in Europa und deswegen werden wir uns da jetzt mal drüber unterhalten.
00:10:17: Der Zweck ist die Vereinfachung, Konsolidierung und Rationalisierung des bestehenden digitalen Rechtsrahmens der Europäischen Union, des sogenannten Digitals, das spricht man wahrscheinlich französisch aus, der Akki.
00:10:32: Der Akki, genau.
00:10:33: Der
00:10:33: Akki kommunitär bezeichnet, das habe ich auch nachgeschaut, die Gesamtheit des geltenden EU-Rechts.
00:10:39: haben wir das auch aufgelöst.
00:10:41: Und Falk, was ist denn die Idee dahinter?
00:10:44: Eigentlich, also an einer Stelle muss ich den natürlich, und das werden wir heute ein paar Mal haben, muss ich den natürlich erst mal direkt widersprechen.
00:10:51: Das ist sehr willkommen.
00:10:52: Natürlich hat das Wort Omnibus eine richtige Bedeutung in dem Kontext, denn auch so wie man sich das vorstellt, ein Omnibus besteht ja darin, dass nicht eine Sache transportiert wird, sondern dass ganz viele einsteigen können.
00:11:03: Und deswegen ist es eigentlich ein ganz schönes Bild, finde ich persönlich, dieser digitale Omnibus, wo wirklich alle einsteigen können, und zwar fast die gesamte Digitalregulierung der EU, zumindest... viele Bereiche davon, nicht die ganz frischen DMA und DSA sind jetzt weitgehend raus, aber andere steigen ein, die vielleicht auch noch kürzer sind, also jünger sind AI-Act und COVA, also dürfen alle mal einsteigen und mitfahren eine Runde.
00:11:24: Und am Ende am Ziel soll es dann eben genau diese Vereinfachung stehen, diese Simplification, was nicht zwingend heißt, dass es weniger Regulierung ist real, aber zumindest weniger Rechtstext sein soll.
00:11:36: So habe ich das zumindest bislang verstanden und auch aus der Lektüre heraus verstanden.
00:11:41: Was einfach was damit zu tun hat, dass es wahnsinnig viele Dinge gab, wo wir inzwischen, ich sag mal teilweise, vergessene Rechtsakte haben, wenn wir auf den Datenbereich gucken, Data Act, Data Governance Act, Open Data Regulation.
00:11:54: Was haben wir noch?
00:11:56: The Free Flow of Data, Framework, Regulation und all so was.
00:12:01: Die widersprechen sich teilweise, die greifen teilweise ineinander, übereinander, überlappen sich.
00:12:05: und dann haben wir natürlich noch solche Kleinigkeiten.
00:12:07: Wir haben eine Datenschutz- und Verordnung, eine fehlende E-Privacy-Verordnung, die als E-Privacy-Richtlinie weiter vor sich hin vegetiert und all sowas.
00:12:15: Das sind natürlich alles Dinge, die sind, ich sage mal, mindestens Erklärungs, vielleicht auch eher klärungsbedürftig.
00:12:22: Und diese Klärungsbedürftigkeit hat man jetzt festgestellt und hat gesagt, dann wollen wir uns jetzt wirklich mal versuchen, drum zu kümmern.
00:12:29: Ob das jetzt so gelingt oder nicht, da können wir es, glaube ich, in aller Ruhe drüber sprechen.
00:12:34: Und ich glaube, da wird auch der Gesetzgeber in aller Ruhe drüber sprechen müssen.
00:12:39: Am neunzehnten will die EU-Kommission erst mal ihren Vorschlag offiziell auf den
00:12:43: Tisch packen,
00:12:43: hat vorher schon ein Input bekommen von verschiedensten Regierungen und Ähnlichem.
00:12:49: Aber ja, ich sage mal, da wird ein Prozess sich daran anschließen, bei dem ich mir nicht so sicher bin, ob der ganz so schnell vonstatten geht, wie sich das der eine oder andere momentan.
00:12:59: Also wir müssen vielleicht sagen, dass es ja wird eine neue Verordnung und als neue Verordnung muss sie dann durch den normalen, den wir Gesetzgebungsprozess, den wir hier auch schon öfter beschrieben haben, nämlich die EU-Kommission schlägt vor, steckt ihren Grundentwurf vor und dann muss der eben vom Rat, das heißt von den Mitgliedstaaten und vor allem halt eben auch noch vom Parlament gebelicht werden.
00:13:23: Und weil die sich normalerweise, weil die normalerweise sehr verschiedene Vorstellungen haben, küngeln sie dann wieder zusammen irgendwann, treffen sich dann in den sogenannten Trilokverhandlungen hinter verstoßenen Türen dann irgendwo in der Mitte und gehen Kompromisse ein.
00:13:36: Deswegen ist das, was wir jetzt hier besprechen, dass es wirklich in noch einen relativ frühen Entwurfstatus und es wird hinterher so wahrscheinlich nicht gesetzt werden.
00:13:46: Aber was ich hochinteressant daran finde, und deswegen ist es auch ein Grund, warum wir darüber reden, weil es zeigt ja so ein bisschen, wohin sich die Digitalregulierung entwickelt.
00:13:54: Und wir haben vorher so ein bisschen darüber gesprochen.
00:13:57: Also mein Eindruck war halt im ersten, in der ersten Idee, im ersten Kabinett von der Leyen, wurde halt reguliert bis die Schwarte kracht.
00:14:07: Das sagt man das nur, ich glaube schon.
00:14:09: Und da ein kluger Gesetzgeber hätte sich ja vielleicht auch überlegen können, dass diese ganzen Gesetze alle nicht so richtig aufeinander abgestimmt sind und ob es wirklich klug ist, alle die damit zu tun haben, alle Stakeholder mit zwanzig unterschiedlichen Digitalex zu überfluten, hätte man machen können.
00:14:27: Aber gut, jetzt scheint es mir so, Falk, du bist da viel näher dran, dass die zweite Idee von von allein so ein bisschen vom Zurück rudern geprägt ist und das... steht ja auch so ein bisschen in den Unterlagen.
00:14:43: Das Hauptziel besteht darin, unmittelbare regulatorische Klarstellung bereitzustellen, die die administrativen Compliance-Kosten senken und nicht nur Unternehmen entlasten, sondern auch die Aufsichtsverwaltungskosten, Veraufsichtsbehörden, bestehende Gremien und so weiter.
00:15:00: Also man hat erst reguliert und jetzt zwei Jahre, vielleicht später, fällt einem auf, vielleicht ein bisschen viel und vielleicht auch nicht immer gut.
00:15:09: Ja, ich weiß nicht ganz, ob ich dem so zustimmen will.
00:15:14: Ist es nicht aus Vernunft geboren?
00:15:16: Naja, es ist vor allem aus einem politischen Wunsch geboren, sagen wir mal so, nämlich dem Wunsch nach Wettbewerbsfähigkeit, also Draghi-Report und so weiter hat vielleicht der ein oder andere von unseren Zuhörern hier auch schon mal gehört.
00:15:26: Diese ganze Glaube daran, dass Europas wirtschaftliche Schwäche derzeit daran liegt, unter anderem daran liegt.
00:15:34: Dass wir viel zu viel Regularien haben, viel zu viel Regelwerke, viel zu viel Bürokratiekosten und alles viel zu kompliziert ist.
00:15:40: Und der ein oder andere wird das auch so sehen und ich sehe das vielleicht an der einen oder anderen Stelle auch persönlich so.
00:15:46: Ich bin nun nicht sicher, ob das wirklich tatsächlich so das putes Kern ist.
00:15:49: Auf jeden Fall ist es die Lösung, mit der man jetzt in Brüssel versucht zu agieren und das ist ja auch nicht... Ein Omnibus, der da rollt, also dieser digitale Omnibus, sondern, ich muss mal ganz kurz nachgucken, bislang haben wir sechs, die angekündigt sind, insgesamt sollen es, glaube ich, dreizehn oder sowas werden können.
00:16:04: Also das ist schon eine ganze Menge, wo man versucht, überall Regulierung zu entschlacken und im Digitalbereich kommt was anderes dazu.
00:16:11: Denn die ganze Digitalregulierung, du hast es ja eben schon gesagt, die in den letzten fünfzehn Jahren eigentlich entstanden ist, die ist eigentlich mit einem Ziel entstanden, nämlich dem digitalen Binnenmarkt.
00:16:22: Die EU-Kommission soll darauf hinwirken, dass wir einen gemeinsamen Binnenmarkt haben.
00:16:28: In allen europäischen Mitgliedstaaten, also in den EU-Mitgliedstaaten so.
00:16:31: Und darüber hinaus übrigens auch noch mit den meisten Efterstaaten.
00:16:33: Also die machen einfach mit, auch wenn sie gar nicht müssten.
00:16:37: Das ist so ein Bereich, das ist natürlich noch weit von der Verwirklichung entfernt.
00:16:42: Und natürlich gibt es wahnsinnig viele nationale Traditionen.
00:16:46: Sei das sowas wie eben die Aufstellung der Datenschutzbehörden in Deutschland.
00:16:50: Sei das so etwas wie Die Marktüberwachungsbehörden, wenn es um andere Digitalgesetze geht, wenn ich an Online-Tropping denke, sei das eben nochmal ganz anderes Zeug, um das es gehen mag.
00:17:03: Da haben wir einfach sehr viel Recht, was jetzt der Versuch war, nach und nach Schritt für Schritt diesen digitalen Binnenmarkt herzustellen.
00:17:11: aber immer unterwegs gescheitert ist.
00:17:12: Und jetzt ist das wieder der nächste Iterationsschritt, dass man sagt, naja, wir sehen doch beispielsweise in der Datenschutzaufsicht, das funktioniert doch so gar nicht so richtig mit unseren, keine Ahnung, wieviel, Fünfzig gefühlt unterschiedlichen Datenschutzregimen je nach Bundesland und sitzt des Auftragsdatenverarbeiters.
00:17:30: Also das ist irgendwie alles natürlich ein bisschen Käse und alles weit weg von einem digitalen Binnenmarkt.
00:17:35: Und da hat man jetzt gesagt, naja, gut, dann versuchen wir mal den nächsten Schritt zu gehen und das machen wir jetzt im Unter diesem schönen, dieser schönen
00:17:41: Überschrift
00:17:42: der Simplifizierung, das werden alle höhere in den nächsten Monaten so oft hören, dass es ihn irgendwann wirklich zu den Ohren raushängt, weil das einfach in allen Bereichen jetzt kommt, als Einfachungs-Simplifizierungs-Dinge, die uns Ursula von der Leyen sicherlich noch sehr oft, sehr, sehr nahe bringen wird.
00:17:58: Das wird das neue warme Mittagessen der Arbeits- und Sozialministerin der Einzigen.
00:18:04: Also ich war mir jetzt nicht bewusst, ehrlich gesagt, dass wir hier nicht von einem einzigen Omnibus reden von einer wahren Omnibusflotte.
00:18:10: Aber nicht den Digitalbereich.
00:18:13: Aber mit Rückwirkung.
00:18:14: Also nicht vergessen, die Digitalisierung ist natürlich überall auch wieder ein Teil des Prozeptes, um alles zu vereinfachen.
00:18:20: Also es wird alles viel einfacher dank Digitalisierung.
00:18:25: Ja, wir haben am Anfang so ein bisschen... gesagt, wir sind die Selbsthilfegruppe, der von der digitalen Regulierung überforderten.
00:18:33: Ich glaube, das kann man sagen.
00:18:34: Ich kann auch niemanden, der sagt, ich habe die Acts alle im Griff.
00:18:37: Dafür sind es viel zu viele.
00:18:40: Ein paar werden hier angegangen und deswegen würde ich sagen, werfen wir doch mal einen Blick auf dieses erste Omno oder wie viel das auch immer ist, auf diesen ersten Bus und schauen mal, was da so geregelt wird.
00:18:54: Unser besonderes Augenmerk gilt der DSGVO.
00:18:58: Natürlich in dem Datenschutz Podcast, da werden wir gleich dann zu kommen, vielleicht gucken wir aber trotzdem nochmal kurz, was es da sonst noch gibt.
00:19:05: Es gibt erhebliche Änderungen im Data-Act, was glaube ich sehr viele Leute, die gerade sehr sehr viel Geld und Zeit reingesteckt haben und den Data-Act umzusetzen, vielleicht ein bisschen irritieren und vielleicht sogar, ich weiß gar nicht ob wir das sagen dürfen, anpissen wird, davon wahrscheinlich nicht, dann wahrscheinlich nicht mehr auf irgendwelche... Kanäle, aber wenn ich mir vorstelle, ich hätte jetzt ein halbes Jahr in der Umsetzung des bestehenden Data Acts gearbeitet und dann kommt jetzt hier sowas Neues, würde mich das glaube ich sehr ärgern, weil der ist ja gerade erst in Kraft getreten.
00:19:37: Also von daher gibt es da einige Sachen, da wollen wir glaube ich gar nicht so groß im Detail eingehen.
00:19:45: Also
00:19:46: nur ganz kurz, dass manche von den Sachen sind ja auch noch nicht mal durch den deutschen Gesetzgebungsprozess durch.
00:19:50: Also hier sind es bei Theoretisch schon in Kraft auf europäischer Ecke.
00:19:53: Ebene, aber die deutschen Begleitgesetze dazu, die haben gefehlt, auch wenn es Verordnung sind, ich brauche meist eine Aufsichtsbehörde und ähnliches.
00:19:58: Also das ist alles so ein bisschen, wie will ich sagen, jetzt natürlich sehr, sehr unbefriedigend und ich glaube, da werden wir insgesamt auch gleich nochmal darüber reden müssen, diese Frage von rechtsfrieden letzten Endes, dass ich auch mal weiß, woran ich mich halten kann, wie wichtig das eigentlich ist.
00:20:13: Aber da ist jetzt natürlich einfach die nächste Welle mit, ach, war jetzt doch nicht so gemeint, wir machen jetzt doch wieder anders und Also, ich wäre da nicht glücklich.
00:20:22: Ich bin ja auch keins.
00:20:25: Ich finde es ja vollkommen krass, dass mit viel Tammtamm der DJ, also der Data Governance Act, also der Act, der eigentlich den Daten-Altruismus befördern sollte, jetzt einfach eingestampft wird, beziehungsweise dann irgendwie in Teilen dann aufgenommen wird in den Data Act.
00:20:42: Also da wird ja, es wird ja auch einfach eine Mengengesetzgebung irgendwie einfach wieder zurückgenommen, weil man sich das so anguckt.
00:20:50: Ich bin mal gespannt, wie es sich dann real verhält, weil die meisten Gesetze, das ist ja auch was, was selbst Leute wie Philipp Amthor ganz gerne sagen, der hierzulande für Entbürokratisierung zustätigt, die meisten Gesetze haben erstens einen legitimen Zweck, zweitens eine legitime Motivation, sie sind nur drittens auch meistens schlecht gemacht.
00:21:07: Und das ist ja so ein bisschen das Ding, niemand spricht diesen Gesetzen ihre Daseinsberechtigung in der Theorie ab, manchmal sind sie sehr theoretisch als Kopfgeboten tatsächlich, manchmal sind sie ja einfach.
00:21:18: handwerklich nicht besonders gut gemacht, aber ganz, ganz häufig würde jeder sagen, na ja, die Stoßrichtung ist eigentlich richtig.
00:21:25: Und ich glaube, viel davon werden wir einfach in anderer Form und vielleicht auch handwerklich besser dann in konsolidierten Rechtsakten wiederfinden.
00:21:34: Kann aber auch natürlich genau das Gegenteil passieren, weil macht so ein Gesetz auf, kann halt wieder jeder der Beteiligten kommen und sagen, ich hätte gerne dieses und jenes.
00:21:42: Das würde sicher auch passieren.
00:21:44: Also da werden sich, glaube ich, spannende Lobby-Schlachten in den nächsten Monaten.
00:21:48: vor allem in Brüssel hier ergeben.
00:21:50: Also der Data-Act wird aufgemacht und wird, glaube ich, so ein zentrales Gesetz.
00:21:56: Da kommen so ein paar andere Reihen, Regelungsbereiche des Data Governments Act, der Open Data Richtlinie und der, den kannte ich gar nicht, Free Flow of Non-Personal Data Verordnung, F-O-S-O-D-V-O.
00:22:10: Ich kenne ihn zum Teil nicht mehr.
00:22:13: Das
00:22:13: ist der Älteste davon.
00:22:15: Das ist normal, dass du den nicht kennst, weil den braucht es eigentlich an weiten Teilen auch nicht mehr.
00:22:18: Der war aber mal ganz, ganz maßgeblich.
00:22:20: Der hat nämlich mal gesagt, du darfst nicht einfach Datenlokalisierungsvorschriften machen.
00:22:24: Du darfst dich einfach sagen, darfst Daten nicht in einem anderen EU-Mitgliedstaat speichern.
00:22:29: So, das war mal ganz, ganz wichtig.
00:22:30: Das ist eine Debatte, die ist schon ein paar Jahre her.
00:22:33: Aber für den digitalen Binnenmarkt ergab dieses Gesetz tatsächlich mal so eine Art von Sinn.
00:22:42: Spannende, egal, ja gut.
00:22:46: Aber egal, für die, die damit umgehen müssen, dann gibt's den finalen Todesstoß für die E-Privacy-Richtlinie.
00:22:53: Den hat sie aber auch verdient, die E-Privacy-Richtlinie, also zumindest die so alte Ding.
00:22:58: Und die Cookie-Regelung werden in die DSGVO übernommen, da gibt's eine spannende... Wandelparagrafnegative, die wir uns im Vorgespräch lange unterhalten haben und wir haben festgestellt, dass wir alle nicht verstehen.
00:23:10: Ich werde mal den Versuch unternehmen, sie zu verstehen.
00:23:12: Und dann gibt es noch eine ganz spannende Sache, die ich interessant finde.
00:23:16: Es soll ein zentrales Meldewesen geben, nämlich ein Single Entry Point für Meldungen von Sicherheitsvorfällen.
00:23:24: Und da sollen unter anderem Meldepflichten, die gibt es ja in den ganzen Mengen von Gesetzen, die wichtigsten hier DSGVO, Artikel thirty Meldung, völliger Alltag.
00:23:33: Er wird auch ein bisschen zurückgestuft, da werden wir gleich noch aufkommen.
00:23:37: Niszt-Weihricht-Linie-Dura-Verordnung und noch ein paar andere.
00:23:40: Da bin ich mir nicht sicher, ob das bleibt, aber ich finde es zumindest einen spannenden Ansatz.
00:23:45: Das finde ich auch tatsächlich total interessant und auch total relevant, ehrlich gesagt.
00:23:48: Weil wenn du heute einen Vorfall hast, also üblicherweise entsteht ein Datenvorfall aus einem Cyber-Sicherheitsvorfall, also Data-Bridge.
00:23:55: So, und da gibt es einen logischen Zusammenhang.
00:23:57: Wenn ich jetzt beim BSI den Cyber-Sicherheitsvorfall melde, Und als nächstes dann bei meiner Landessatenschutz-Aufsichtsbehörde meine Data-Bridge-Notification-Einwerfe.
00:24:06: Ein bisschen schräg ist das schon, denn das Zentral zumindest zu haben und zu sagen, na ja, geben wir das mal alles in einen Pod und gucken mal, ob das möglicherweise auch bei anderen gleichartigen Unternehmen in möglicherweise auch anderen europäischen Ländern oder in einem anderen Kontext stattfindet.
00:24:23: Das hat schon einen gewissen Sinn und zweck das Ganze.
00:24:26: Das steht natürlich alles unter dem etwas, wie würde ich sagen.
00:24:29: Kriegsbedrohten Eindruck unter dem europamomentaren agiert, dass man diese Sachen wirklich zentralisiert, diese Meldung.
00:24:34: Ja, aber es entspricht auch wieder meinem Eindruck, dass die EU, insbesondere die EU-Kommission, den Mitgliedstaaten nicht mehr ganz so viel zutraut.
00:24:43: Also, wer, wer, Falkley hat heute morgens vergnügen haben, kurz mit einer recht rang hohen EU-Beamtin besprochen.
00:24:52: Und da klang schon sehr deutlich durch, dass sie Die DSGVO auch aus dem Grundproblematisch sieht, dass die Durchsetzung in jedem Mitgliedstaat anders ist und in Deutschland sogar noch mal darüber raus in jedem Bundesland durch die federale Struktur der Aufsicht zu hören.
00:25:07: Ich habe noch nie jemanden getroffen, der damit happy ist, muss man wirklich sagen, also in der Form happy ist, nur muss man auch sagen, das ist ja nicht so, dass es schlechter geworden ist durch die DSG-VO, sondern die Richtlinie, die ja Vorgänger war, war ja noch schlimmer, was das angeht.
00:25:18: Also nun mal zur Erinnerung, Belgien hatte lange Zeit einfach mal nicht implementiert, dass man Strafen zahlen muss.
00:25:23: Ja, das war schon hübsch, also solche Sachen.
00:25:27: Das haben wir jetzt nicht mehr, aber es ist natürlich alles andere als
00:25:29: gut, klar.
00:25:30: Ja, aber wir sehen natürlich, wir sehen es ja auch an den neueren Verordnungen wie dem DSA und dem DMA, dass die Aussicht zumindest über wichtige Teile der Durchsetzung mittlerweile zentral in Europa ist und nicht mehr mit den Staaten.
00:25:44: Ja, mit der Rückseite daran, dass hier häufig nicht mehr ganz unabhängig ist, weil natürlich, das sehen wir beim DSA natürlich, Die EU-Kommission als zentrale Aufsichtsbehörde, und sie ist ja technisch gesehen eine Behörde, so wie jedes Ministerium auch eine Behörde ist, ist das natürlich schwierig.
00:26:00: Also ich kann nicht gleichzeitig politische Akteur und Aufsichtsbehörde sein, sagt mein Herz zumindest.
00:26:04: Das sehen allerdings manche anders.
00:26:07: Möglicherweise löst man das über nachgeordnete Behörden mit einer gewissen Unabhängigkeitsstellung, gibt es aber auf EU-Eben in der Form.
00:26:13: Eigentlich nicht, trotzdem jetzt in dem Fall zum Beispiel könnte man so eine Art Unabhängigkeit zumindest irgendwie herbeiführen.
00:26:20: Aber da gehen wir vielleicht gleich auch noch am Rande zu müssen drauf ein, also es müsste dieser europäische gemeinsame Datenschutzauschuss, der ETSA, der soll an der Stelle nochmal ein bisschen, hier ist der ETSA.
00:26:29: Ja, der ETSA.
00:26:29: Und
00:26:30: jetzt auf Deutsch, Entschuldigung.
00:26:32: Versuch mich dadurch zu mogeln.
00:26:33: Es gibt so viele davon.
00:26:35: Also der Ezra, der soll eher gestärkt werden an der Stelle, wenn ich das richtig verstanden habe.
00:26:40: Was ja irgendwie auch total Sinn ergibt, der ist ja heute schon in vielen Verfahren wirklich relevant.
00:26:45: Die Frage ist, ob man dadurch nicht auch Sachen bisschen beschneunigen und abkürzen kann, wenn man die von vorne rein für relevant ist.
00:26:51: Ich bin nicht so ein Ezra-Fan, aber ich sehe die Kritik daran.
00:26:57: Aufsichtsbehörden nah an die Kommission anzubinden.
00:26:59: Also AI-Beru ist für mich das schlimmste Beispiel.
00:27:01: Das ist egal.
00:27:03: Aber gucken wir mal, was steht denn jetzt tatsächlich zu DSGVO drin?
00:27:08: Und da muss ich sagen, die Hölle wird über.
00:27:13: Ich finde das richtig gut.
00:27:14: Ich kann mich nicht erinnern, wenn ich das letzte Mal ein europäisches Gesetz gelobt habe, aber aus meiner Sicht als Praktiker, als Datenschutzpraktiker, also als derjenige, der das in den Unternehmen umsetzt, muss ich weiß.
00:27:26: kommt da wieder ganz viel Kritik.
00:27:27: Das sieht man als Aktivist ganz anders oder als Bürger möglicherweise auch ganz anders, weil als Bürger trickert mich das jetzt ja auch nicht.
00:27:34: Ich finde das richtig gut.
00:27:35: Und da wollen wir mal gemeinsam durchgehen, was da so die wichtigsten Änderungen sind und vielleicht doch mal mit einer Einordnung wird das bleiben.
00:27:44: Weil wie gesagt, wir sind hier in einem relativ frühen Status, aber es zeigt schon mal, wo es hingeht.
00:27:49: Und aus meiner Sicht sind das eine ganze Menge Bereiche.
00:27:54: Wo wir von Anfang an gesagt haben das ist schlecht geregelt in der dsg vo also hier wird wirklich nachgebessert in einigen bereichen.
00:28:00: Dann wird je nachgebessert in einigen bereichen wo aus meiner seh ich das mag man anders sehen, wo der ha.
00:28:08: Bisweilen merkwürdig entschieden hat muss man vorsichtig zu formulieren.
00:28:13: Und was steht drin?
00:28:15: es gibt so im ersten punkt gibt es eine präzisierung.
00:28:18: Das Begriff der personenbezogene Daten, was ja ganz, ganz zentrales Punkt, ganz zentraler Punkt ist.
00:28:24: Übrigens hat die, wir haben das jetzt genannt, Netzpolitik Org hat irgendwas von, wie man das zitat, kann das mal einer von euch nachsuchen.
00:28:34: Ich habe es auch im, ich will nicht was gleich nach, hat jedenfalls gesagt, das wäre der erste Ende der DSGVO, um es mal unfreundlich zu formulieren.
00:28:44: Der erste Punkt Präzisierung, was sind personenbezogene Daten?
00:28:47: und da hat sich dann jetzt dieses Gesetz festgelegt auf den relativen Ansatz.
00:28:53: Und das ist eine Diskussion, die gibt es unter Datenschutz.
00:28:55: Ich mache seit fünfzehn Jahren Datenschutz.
00:28:57: Hier gibt es noch viel länger, nämlich gibt es einen relativ subjektiven Ansatz und objektiv, also noch einen Dritten.
00:29:05: Also das ist alles nicht so ganz einfach, aber jedenfalls wird klargestellt.
00:29:08: und zusätzlich in die Theorie zu gehen, wird klargestellt, dass Informationen für eine bestimmte Stelle nicht als personenbezogen gelten, wenn die diese Stelle die Daten nicht identifizieren kann.
00:29:25: Das heißt, wichtiger Punkt zum Beispiel IP-Adressen.
00:29:28: IP-Adressen gelten jetzt nach herzigen Stand nach wohl herrschender Ansicht als personenbezogenen Daten und zwar auch dann Wenn ich eine kleine Katzenzüchterseite betreibe, wo ich nicht die Möglichkeit habe, diese IP-Adressen irgendwie zu identifizieren.
00:29:46: Bei Heise mag das anders sein und wir haben zumindest ein paar angemeldete Nutzer, da könnte man sie identifizieren.
00:29:52: Und das wäre schon mal eine spannende Festlegung, die einen langen, langen, langen Streit beendet.
00:30:01: Mal gucken, ob das so bleibt.
00:30:02: Naja, und es wird ja eine große, könnte eine große Auswirkung auf das ganze Thema Pseudonymisierung haben.
00:30:07: Also, wenn du sagst, du Pseudonymisierst Daten, du selber kannst die auch wieder in Pseudonymisieren, aber der Empfänger kann sie nicht in Pseudonymisieren.
00:30:15: Wir hatten ja kürzlich das olge Haarurteil in September dazu, hatten wir ja vor zwei Episoden, glaube ich, auch drüber gesprochen.
00:30:21: Dann ist das natürlich eine ganz, ganz neue Geschichte.
00:30:23: Dann ist, ist natürlich die Pseudonymisierung, die du da vornimmst, quasi, wenn du den Personenbezug dann für den Empfänger rausnimmst, eine Anonymisierung oder sich das falsch.
00:30:35: Könnte man so interpretieren, ja, aber da bin ich noch nicht.
00:30:39: Also ich glaube, das wird ein Punkt sein, an dem wir sehr, sehr viel politischen Beef sehen werden, denn tatsächlich die Folgen davon sind ziemlich groß.
00:30:46: Also jetzt schon absehbar groß, denn einfach das Abschneiden des Personenbezuges, das argumentieren damit, dass ich als einzelne Entität mit diesen Daten nicht den Personenbezug herstellen kann, Entspricht ja vielleicht nicht mehr so ganz unserer technischen Realität.
00:31:03: Denn natürlich ist es so, dass, ich sag mal, wenn ich eine Website betreibe, privat, ich kann nicht den Anschluss, Inhaber feststellen einer IP, die zu mir kommt.
00:31:12: Natürlich nicht.
00:31:14: Es sei denn, es gibt wieder eine andere Form von Identifikationsweg an der Stelle.
00:31:18: Ja doch, da war ja die Argumentation der Gerichte über lange Jahre.
00:31:22: Du kannst eine Strafanzeige stellen.
00:31:24: Genau.
00:31:25: Ich kann das im ersten Schritt nicht, also das sind wir uns erstmal einig, dass ich es im ersten Schritt nicht kann.
00:31:30: Im zweiten Schritt kann ich es aber so.
00:31:33: Wenn ich dann eben entsprechend zum Beispiel eine Strafanzeige stelle, dann wäre das schon eine Möglichkeit da drin.
00:31:39: Aber der Standard Case ist ja was anderes.
00:31:41: Der Standard Case ist ja ehrlich gesagt nicht, klar ist es ein Standard Case für Anwälte, die sich mit der Thematik beschäftigen.
00:31:49: Die meiste Datenverarbeitung ist natürlich nicht direkt personenbezogen.
00:31:53: Natürlich nicht, weil, wenn ich eine Aufzeichnung deines Verhaltens im Supermarkt habe, steht da nicht Jörg Heidrich dran als die eine Person.
00:32:02: Das ist so.
00:32:03: Ich weiß nicht, wer du bist, offiziell.
00:32:04: Aber vielleicht interessiert mich das ja auch gar nicht.
00:32:06: Ja, vielleicht interessiert mich eher eine Person, die sich so und so verhält, kauft folgende Produkte und ähnliches.
00:32:12: Ist dann die DSG-VO sofort raus?
00:32:14: Also fände ich zum Beispiel schwierig.
00:32:16: Einfach mal so reingegriffen, als ein Beispiel, wenn das wirklich nur noch so diese relative Personenbezug in diese Absolutheit wäre, fände ich tatsächlich, also dann wäre Profilbildung auch einfach sehr weit Tür und Tor geöffnet in Formen und Weisen, zumindest mal ein erster Eindruck vom Lesen und dem Versuch zu verstehen, an dem wir alle noch ein bisschen arbeiten.
00:32:38: Also wichtiger Punkt hier ist die Feststellung, dass Personen, also Informationen, für die verarbeitende Stelle nicht allein deswegen zu personenbezungen Daten werden, weil ein späterer Empfänger aus einem dritter möglicherweise über die Mittel zu Identifikationen verfügt, also Beispiel hier, die mit der RP-Adresse und der Staatsanwaltschaft.
00:32:57: Das heißt schon ein neuer Gedanke.
00:33:00: Aber ich sage mal, also tatsächlich jetzt von der Juristenbrille, die du ja einfach auch hast, Ist dieser Personenbezug tatsächlich an die Identifikation geknüpft?
00:33:10: Also ist das wirklich so, dass ich das so auslegen kann?
00:33:13: Denn am Ende, ich sage mal, alle Werbetreibenden zum Beispiel interessiert doch gar nicht, ob du Dieter, Markus oder Willi heißt, sondern es interessiert sie doch eigentlich nur, dass einer Identifikationsnummer, eins, zwei, drei, vier, fünf, die passende Werbung ausgespielt wird.
00:33:30: Ja, das gehört auch zu dem... für mich ungeklärten Punkten bei Werbung, dass ich da möglicherweise ja gar keinen Personenbezug habe.
00:33:39: Aber das wäre hier dann, würde sich dann hier natürlich dann dadurch ändern.
00:33:43: Also dann wäre das möglich, das zu machen.
00:33:47: Und ja, das kommt weiß ich nicht, aber es wäre schon eine erhebliche Geschichte.
00:33:52: Aber das würde dann aber auch in andere Bereiche mit reinfallen.
00:33:55: Das ist
00:33:55: natürlich in den anderen Bereichen, klar.
00:33:56: Wie gesagt,
00:33:57: Scanner zum Beispiel, wenn ich einen Kfz-Kennzeichen Scanner habe, ich bin jetzt nicht die Zulassungsbehörde, ich kann nicht ohne weiteres nachvollziehen, zu wem dieses Auto gehört.
00:34:07: Ja, das kannst du relativ einfach, wenn du zu deinem Anwalt gehst.
00:34:09: Das ist vielleicht ein schlechtes Beispiel, aber wir können mitten das.
00:34:12: Ähm, das, ne.
00:34:15: Aber jetzt
00:34:16: sagen wir... Ach, da jetzt hier an staatliche Befugnisse, nachdem wir vorhin über den Falschparker gesprochen haben.
00:34:20: Eine
00:34:20: Kontokontonnummer, die du irgendwo angibst, ohne deine sonstigen Daten, sagen wir mal so, oder?
00:34:26: Also, ich wollte nur auf das Kennzeichen des geparkten Autos in Dresden hinaus, oder wo das Landgericht Dresden jetzt geurteilt hat, das wäre dann aus dem Datenschutz bereits rausgefallen, weil derjenige wäre ja gar nicht in der Lage gewesen, den Halter festzustellen.
00:34:40: Ja, gute Frage.
00:34:41: Ich glaube, so richtig durchdacht ist das noch nicht, aber... Die Tendenz gefällt mir.
00:34:45: Ähm, nächster Punkt auch superrelevant, da hab ich so ein bisschen den Eindruck, da möchte, da geht's um Gesundheitsdaten und die sollen, die Definition von den Gesundheitsgarten so zukünftig enger gefasst werden.
00:34:58: Und das muss ich sagen, finde ich auch gut, weil die ist jetzt wirklich nicht zuletzt durch einige... Ah, ich finde sogar leicht bizarrer, EUGH-Uhrteile sehr, sehr, sehr, sehr aufgeweicht.
00:35:08: Also wenn ich jetzt zum Beispiel eine Pizza in, sagen wir mal, einen Pflegeheim... für eine bestimmte Krankheitsschicke, dann werden das dadurch schon wahrscheinlich personen, also sensibel, so einen Raten von personenbezogenen Daten, obwohl das auch der Pfleger sein könnte zum Beispiel.
00:35:25: Das war mir immer zu weit und das soll hier dann eingeschränkt werden auf Informationen, die direkt Informationen über ihren Gesundheitszustand direkt oder Informationen über ihren Gesundheitszustand direkt offenlegen.
00:35:39: Und da kommen wir aber jetzt wieder zu dem Fall-Tracking.
00:35:42: dass da würde ich jetzt wieder ein bisschen kritisieren.
00:35:44: Also rausfallen wir.
00:35:46: Du besuchst eine Website, die die Website fragt ab.
00:35:51: Sind sie krank?
00:35:51: Welche politische Einstellungen haben sie sonst irgendwas?
00:35:53: Oder gibt es halt irgendwo selbst?
00:35:55: Da muss es aktiv angehen in Zukunft.
00:35:56: Wenn du es nicht tust, sondern wenn zum Beispiel ein Verhalten beobachtet wird von sozialen Netzwerken und die schließen von deinem Verhalten auf deine politische Einstellung, auf deine sexuellen Vorlieben.
00:36:10: auf Krankheiten, die du eventuell hast, damit sie dich besser bewerben können.
00:36:14: Das würde dann jetzt hier rausfallen, wenn ich das richtig verstanden habe.
00:36:17: Und das finde ich wieder ein bisschen schwierig.
00:36:19: Also, Uf.
00:36:21: Also, wir stecken ja alle noch nicht so super tief drin.
00:36:23: Das Ding kam gestern Abend raus.
00:36:24: Ich würde das hier tatsächlich nur auf die Gesundheitsdaten.
00:36:27: Aber auch
00:36:27: noch nicht.
00:36:28: Und um an dem Beispiel zu bleiben, wäre es eine besondere Art von personenbezogene Daten, wenn ich die... eine Website, Besuche, die Informationen über eine bestimmte Krankheit beinhaltet, zum Beispiel.
00:36:43: Und das wäre es dann hier wohl wahrscheinlich nicht mehr, weil ich ja mit dann nicht Informationen über meinen Gesundheitszustand direkt offen lege, weil ich bin ja nur auf einer Website, ich kann ja auch ein Angehöriger sein oder so.
00:36:53: Ja klar, Jörg, aber das betrifft ja auch andere Sachen.
00:36:55: Also wenn du jetzt beispielsweise dich anfängst zu informieren über, sagen wir mal, Schwangerschaftskomplikationen.
00:37:06: Ja, ist das so vorträglich?
00:37:08: Also hat das was damit zu tun, dass du schwanger bist?
00:37:10: Ja, nicht unbedingt.
00:37:10: Das ist ja nicht dein gesundheitszustand unbedingt.
00:37:12: Du kannst hier über alles Mögliche informieren in deinem Leben.
00:37:13: Also das finde ich wirklich ein bisschen auch ein heiklen Punkt.
00:37:16: einfach, wenn wir das... Also es muss wirklich sehr, sehr, sehr, sehr, sehr fein gezogen werden für mich, denke ich.
00:37:20: Und das scheint mir in dem Entwurf zumindest noch nicht so ganz gelungen zu sein.
00:37:24: Aber vielleicht liegt das auch nur an meinem mangelnden Verständnis.
00:37:27: Also das finde ich so Praxispunkte, wo ich einfach sage... Da gibt es ja auch wirklich immer wieder Beispiele, wo es wirklich nicht so richtig schön ist.
00:37:34: bislang, wo wir auch bei der Vorratsdammenspeicherungsthebatte es ja auch immer wieder gehabt haben, was heißt es, wenn du neun Monate lang zum Gynäkologen gehst?
00:37:42: Was heißt das wohl?
00:37:43: Ja, also immer wieder mit hoher Wahrscheinlichkeit, einfach unterm Ende in dem Krankenhaus warst du.
00:37:48: Da kannst du sagen, dass ich nur Bewegungsdaten und sag dir gar nichts über deinen Gesundheitszustand aus oder was auch immer.
00:37:54: Möglicherweise schickt man dir allerdings dann erst mal als nächstes Werbung für Windeln.
00:38:01: Warum nur?
00:38:02: Also das sind ja alles keine Daten, aus denen nichts abzuleiten ist, fände ich ein bisschen schwierig.
00:38:06: Aber wie gesagt, hast du ja gerade nochmal betont, das ist alles noch sehr früh.
00:38:10: Also alles noch sehr früh.
00:38:12: Für mich geht es zumindest in die richtige Richtung, weil durch dieses UGH-Ultal einfach diese Einordnung von Informationen als besondere Arten im Gesundheitsbereich einfach viel, viel, viel zu weit war.
00:38:23: Und in der Praxis muss man halt damit umgehen können.
00:38:27: Rechtsgrundlagen für den Umgang mit besonderen Arten von Personenbezogenen Daten sind halt recht eng.
00:38:32: Also viel mehr als die Einwilligung hat man da nicht.
00:38:34: Und das fand ich immer zu weitgehend.
00:38:37: Aber gucken wir mal, wo es endet.
00:38:38: Das glaube ich auch nicht, dass es so eins zu eins letztendlich dann gibt.
00:38:44: Eine andere Geschichte ist Artikel zwölf.
00:38:50: Die läuft bei mir, rennt bei mir auf eine Tür ein, weil das total mein Alltag widerspiegelt.
00:38:57: Da geht es um offensichtlich unbegründete oder exzessive Auskunftsanträge.
00:39:05: Und da möchte der gesetzgeber, der europäische Gesetzgeber reinschreiben, dass ein Antrag auf Informationen, also ich möchte Informationen über meine gespeicherten Daten haben, auch dann als missbäuflich eingestuft werden kann, wenn die betroffenen Personen ihr Recht zu anderen Zwecken als dem Schutz ihrer Daten ausnutzt.
00:39:29: Das
00:39:30: ist eher ein bisschen zu weit.
00:39:34: Was worauf das ja abzielt, ist nicht der exzessive Charakter, der ist schon gut definiert, aber ein Missbrauch des... des Auskunfts.
00:39:51: Und das ist total mein Leben, weil wir haben sehr viele Auskünfte bei Heise.
00:39:56: Die sind doch völlig okay, wir haben das automatisiert.
00:39:58: Also wenn ihr Auskunft haben wollt, macht es, das ist kein Problem.
00:40:02: Aber ich erlebe im Alltag ständig, dass diese Auskunftsgeschichten racher Gedanken haben.
00:40:08: Und das erzählen mir auch alle anderen Datenschutzbeauftragten.
00:40:10: Du wirst irgendwie schlecht behandelt, dann stelle ich einen Auskunftsantrag, du bist gekündigt worden, dann stelle ich einen Auskunftsantrag, alles.
00:40:19: Okay, so, aber das hier ein bisschen einzustellen, finde ich nachvollziehbar.
00:40:25: Ich kann allerdings auch gut nachvollziehen, dass man das nicht so gut findet.
00:40:27: Das ist wirklich, glaube ich, sehr von meinem persönlichen Alltagsleben als Datenschutzbeauftragter geprägt.
00:40:33: Ich wollte nur ganz kurz daran, weil ich finde gerade diese Formulierung, die man dort gewählt hat, also auf Englisch heißt die Request from the data subject a manifestly unfounded or excessive in particular because of the repetitive character or because he or she exploits the rights conferred by this regulation for purposes other than the protection of the data, the controller may either und so weiter.
00:40:54: Also es geht tatsächlich dann um diese Formulierung, dass du deine Rechte nutzt, auch für etwas anderes als zum Schutz deiner persönlichen Daten.
00:41:02: Ja, jeder kennt den Schufall-Standardfall.
00:41:05: Das ist doch genau das.
00:41:06: Ich hole mir meine Datenauskunft bei der Schufa nach DSGVO, damit ich weiß, was da steht.
00:41:12: Klar, aber möglicherweise fange ich damit sogar auch noch was anderes an, wenn ich das gerne möchte.
00:41:17: Das dann meine individuelle Entscheidung sind ja meine Daten.
00:41:20: Also ganz ehrlich, wenn ich die meinem Vermieter in der Hand drücken möchte, weil ich das gerne möchte, dann kann ich das tun.
00:41:25: Das ist mein Business.
00:41:26: Das
00:41:27: geht den Gesetzgeber nichts an.
00:41:29: Und dann kommt, exploits the rights for other purposes other than the protection of the data.
00:41:36: Es
00:41:37: ist aber exploits doch nicht.
00:41:39: Entschuldigung, exploits doch nicht.
00:41:41: Es exploitet das nicht.
00:41:44: Also da sehe ich keinen Missbrauch, aber wenn du jetzt zum Beispiel anderes Beispiel Gab's auch schon einen Aufruf in diversen Foren.
00:41:51: Jetzt lassen's alle Zehntausende Leute, die in diesem Forum sind, doch mal von Seite von Unternehmen XY eine Auskunft einholen, damit wir die platt machen oder die leistungsfähig machen würden.
00:42:02: Das würde ich darunter sehen.
00:42:04: Ich wollte das Schuferbeispiel noch mal weiterspielen, weil diese individuelle Auskunft, ich weiß nicht ob du dich daran erinnerst, ist noch gar nicht so lange hier, ich glaube es war Algorithm Watch, die gerne wissen wollten, wie der Schuferalgorithmus funktioniert.
00:42:14: Die haben gesagt, holt euch mal alle eure Auskünfte und das regelmäßig, damit wir das nachechnen können.
00:42:19: Das würde mit hoher Wahrscheinlichkeit unter diese Formulierung fallen.
00:42:22: Also da sind wir uns, glaube ich, einen.
00:42:24: Ja, also wenn du das angeben würdest, würde das wahrscheinlich runterfallen.
00:42:28: Wäre
00:42:28: schon ziemlich legitim als Weg eigentlich mal.
00:42:30: Nachher wäre schon etwas blöd, wenn das einfach mal so eben so mit dem Vierterstrich so weg Omnibussen würde.
00:42:34: Ja, das stimmt.
00:42:35: Also das müsste man auf jeden Fall feiner fassen.
00:42:37: Ich finde, wir sehen für uns, glaube ich, eigentlich, dass die Formulierung ein bisschen zu weitgehend ist.
00:42:42: Aber so rache Geschichten, die dann sogar offensichtlich da drin stehen, also dann das würde ich schon ganz gerne ein bisschen eingeschränkt sehen, zumindest wenn es so völlig offensichtlich ist.
00:42:55: Dann immer noch machen und muss nur nicht eingeben.
00:42:57: Ich möchte euch so wahnsinnig schaden wie möglich und deswegen muss ich hier noch nachher.
00:43:02: Na Holger sieht so überlegend aus, der sieht so aus, als ob er gerade noch überlegt, welche Ausgelunft zu ersuchen, nur er noch möglichst schnell auf den Weg bringt, bevor der
00:43:09: Schaltkabel einsnimmt,
00:43:11: ja.
00:43:11: Ach komm, dafür habe ich nur wirklich noch genug Zeit, bis dieser um den Boss umgesetzt ist.
00:43:18: Die nächsten zwei Jahre habe ich mich sicher noch Zeit, könnte ich mir vorstellen.
00:43:21: Ja, aber Jörg, ich geb dir schon den Sofortrecht.
00:43:23: Also wir hatten ja hier auch schon Leute, die eben vor allem im HR-Umfeld arbeiten als im Personalabteilung oder so.
00:43:30: Und die können ja nie davon singen.
00:43:31: Gerade wenn Leute gekündigt werden, dass sie dann wirklich exzessiv von diesem Auskunftsrecht, die braucht man einfach, um ihre Arbeitgeber noch zu ärgern.
00:43:40: Aber das kann ja auch einen total legitimen Zweck hinterher sein.
00:43:43: Manchmal gibt es ja wirklich so Fälle, wo du sagst, Arbeitgeber hat vielleicht aus Gründen gekündigt, wo du sagst, wir waren vielleicht nicht ganz sauber.
00:43:50: Ja, ja,
00:43:50: kann.
00:43:50: Wenn es eine
00:43:51: Nachlage gibt, her damit.
00:43:52: Also, das wirst du dadurch nicht auflösen können.
00:43:55: Gerade in diesen Fällen glaube ich das nicht, dass du einfach mal eben so mit einem Federstrich sagen kannst, oh, ist exzessiv.
00:44:00: Also.
00:44:02: Ja, ja, ich bin vor allem dann auch mal gespannt, wenn die Formulierung tatsächlich so kommen sollte, wie die Gerichte da entscheiden würden.
00:44:08: Also, ich meine, im Endeffekt müssen sich Gerichte damit wieder auseinandersetzen.
00:44:16: Ja, aber wie soll denn der Richter dann, das sind ja Einzelfälle dann, wie soll ein Gerichter dann entscheiden?
00:44:21: Naja, aber er hat auf jeden Fall nur den Schutz seiner Personendaten im Auge gehabt und keinen anderen Zweck verfolgt, als mit diesem Auskunftsanspruch gelten zu machen.
00:44:31: Daher schon auch dort wieder diese wunderbare Wort Manifest drin, also ganz wunderbar, es muss wirklich Manifest sein.
00:44:37: Die Missbräuchlichkeit.
00:44:39: Und das ist natürlich etwas, da bist du in einer Abwägungsprozedur drin.
00:44:42: Da freut sich, glaube ich, jedes Gericht dieser Welt, wenn es sich da auch noch mal drum kümmern darf.
00:44:48: Und da ein bisschen Richtsprechung für die Nachwelt hinterlassen darf.
00:44:52: Nächster Punkt, und da muss ich sagen, das ist, das finde ich richtig, richtig gut.
00:44:57: Und ich glaube, das finde jeder gut, der im Bereich des Datenschutzes tätig ist, und zwar, da nehme ich da auch eine Aufsichtsbehörden mit rein, weil es geht um die... Meldepflicht Artikel Dreiunddreißig Artikel Dreiunddreißig sagt, wenn ich einen Datenschutzverstoß habe und der mit einem irgendwie gearteten Risiko für die Rechte und Freiheiten der Betroffenen verbunden ist, dann muss ich das an die Datenschutzbehörde
00:45:23: melden.
00:45:24: Und das hat dazu geführt, dass man wirklich in der Theorie, ich glaube viele machen es nicht, für meine Sachen machen wir das immer.
00:45:34: Wirklich jede kleine Geschichte jenen kleinen Verstoß eine falsch versandte e-mail ein falsch versandter Brief ein.
00:45:44: Also wirklich kleine Verstoße auch schon melden muss.
00:45:47: und das ist natürlich auch ein DDoS Angriff oder ein DDoS Angriff auf die Behörden, weil die haben auch nicht Interesse kann ich mir zumindest nicht vorstellen, dass man da so eine falsch versandte e-mail meldet.
00:45:58: Und da soll das Risiko von Risiko, also es reicht, dass ein irgendwie geratetes Risiko besteht, auf hohes Risiko angehoben werden.
00:46:07: Und das finde ich richtig gut, ich glaube, im Interesse von jedem, der damit zu tun hat, das war von mir, von meiner Ansicht nach, von Anfang an ein großer Fehler in der DSGVO, war auch im alten BDSG so nicht, also auch da war auch eher hohes Risiko, ich weiß nicht mehr, wie die Formulierung genau war.
00:46:27: Aber das finde ich richtig gut.
00:46:29: Zu verbunden mit der zweiten Änderung, die hier drin ist, das ist das nämlich von zweiundsebzig Stunden erhöht auf sechsundneunzig Stunden, finde ich auch richtig gut.
00:46:40: Und möglichst auch die Formulierung insofern ändern, dass da nicht das Wochenende drin ist, wie es nämlich jetzt nach ganz herrschender Ansicht drin ist, was dann dazu führt, dass eine Geschichte meines Lebens, dass es die berühmten Freitagsnachmittagsdatenschutzmeldungen gibt.
00:46:57: Und dann hat man halt, dann zählt das Wochenende dazu, und dann hat man halt einfach mal genau bis Montag, Mittag oder Nachmittag Zeit, so eine Meldung zu machen.
00:47:05: Hat sehr vielen Datenschutzberatern sehr viel Geld gebracht, weil sie über das Wochenende durcharbeiten mussten.
00:47:11: Das finde ich sehr, sehr sinnvoll.
00:47:13: Und vor allem, wenn man dann weiß, also du hättest dich als zweiundsebzig schon Zeit und dann dauert es ein halbes Jahr bis du nur einen bist, bis du irgendwas hörst von der Behörde.
00:47:21: Also vielleicht gibt es auch welche, die schneller sind, aber... Nach meinen Erfahrungen kommt dann irgendwie nach einem halben Jahr irgendwas oder auch mal nach einem Jahr irgendwas und steht in keinem Erhältnis.
00:47:33: Ich glaube, das macht keinen Schutz des Datenschutzes irgendwie schwächer, sondern das ist einfach, war von Anfang an eine schlechte Formulierung in der DSGVO und ich wäre sehr froh, wenn man das ein bisschen ändern würde.
00:47:49: Ich habe nur eigentlich nur eine kurze Nachfrage, weil ich finde ja sowohl dem Risiko als auch hohes Risiko ein bisschen schwammig.
00:47:55: Aber ist das schon irgendwie eine Rechtsprechung einigermaßen fix, was so ein hohes Risiko und ein Risiko beinhaltet?
00:48:02: Also weiß man, dann kann man dann zumindest als Unternehmen abschätzen, wann man melden muss und wann nicht.
00:48:07: oder muss man das SmartPy mein Daumen machen?
00:48:10: Ne, da gibt es ganze Bücher zu.
00:48:12: Also das würde ich, kriegt man glaube ich, ganz gut hin.
00:48:15: Und im Zweifel... Ich würde jedem raten, eher niederschwelliger zu melden.
00:48:20: Also das ist dann natürlich auch so ein bisschen, wie du das Risiko einschätzt, aber da guckst du in den Kommentar, da steht jede Menge dazu drin.
00:48:28: Also das ist, glaube ich, in der Praxis jetzt so lange nach Start der DSGVO nicht mehr so ein Problem.
00:48:33: Das war im Jahr sich am Problem.
00:48:36: Ich wollte nur an einer Stelle kurz das nochmal ansprechen, musst du gesagt, dass wir auch alle Datenschutzaufsichtsbehörden sich darüber freuen, wenn sich das ein bisschen entspannen würde mit den Pannenmeldungen und Ähnlichem.
00:48:49: Ja, also... von allem, was ich aus den Datentutzaussichtsbehörden höre, ist, dass eines der Hauptaufkommen ihrer Tätigkeit, was wahnsinnig viel bürokratischem Aufwand einfach erzeugt, sodass es da, glaube ich, tatsächlich mal sogar eine Sache gäbe, wo die Datentutzaussichtsbehörden jetzt sogar zum Applaus neigen würden, so zumindest mein
00:49:09: Eindruck.
00:49:10: Ja, würde ich auch an der Stelle.
00:49:11: Das ist ja dann wirklich immer Kleinigkeiten, die gemeldet werden.
00:49:15: Natürlich darf das jetzt auch nicht zu hoch dann ansteigen, dieses Level, wann man melden muss.
00:49:21: Aber diese Pille-Paläfälle, die haben die Danachschutzbehörden auch nicht in Rage versetzt und fanden sie nicht glücklich.
00:49:28: Diese Einzige, was sie vermissen werden, sind zu hohe Zahlen.
00:49:32: Unsere Mails aufkommen sind wieder gestiegen.
00:49:34: Wir brauchen wieder mehr Mitarbeiter, weil wir haben so viele Mails aufkommen.
00:49:37: Ja, wobei da habe ich auch mal nachgefragt und dann habe ich mal gefragt, wie lang denn der Rückstau ist bei der ein oder anderen Datenschutzaufsichtsbehörde.
00:49:43: Und ich sage mal, diese Zahlen, diese durchaus hohen Zahlen, die wollten sie dann auch nicht unbedingt veröffentlich wissen, ist es schon echt nachvollziehbar, wenn man das ein bisschen entspannt.
00:49:53: Das Problem ist natürlich auch an der Stelle wieder, ich muss natürlich dann auch wieder gucken, wie gehe ich mit denjenigen um, die das als Ausflucht nehmen, um dann eben nicht zu melden, obwohl ich eigentlich müsste oder erst verspätet zu melden, obwohl es wirklich urgent ist nach Form.
00:50:07: weil es einfach relevant ist oder wirklich was dran ist.
00:50:10: Das
00:50:10: Problem war zuvor auch schon.
00:50:12: Genau, dieses Problem hatte ich natürlich auch schon.
00:50:13: Ich musste gucken, ob ich der Legislativ noch mal nachschaffen muss an irgendeiner Stelle, ob es dort irgendwelche Mechanismen gibt.
00:50:19: Am Ende soll, wenn ich das richtig verstanden habe, hier nichts geändert werden an der Folge.
00:50:23: Also wenn ich eine Datenpanne habe, muss ich noch mal meine Toms prüfen und all so.
00:50:27: was, also meine technische organisatorischen Maßnahmen zur Vermeidung von Datenpannen, bla bla bla, je nach Schwere und so.
00:50:33: Aber das ist ja schon ziemlich ... Ich würde sagen, feinauszesilierte Vorgehensweise, die es dafür geben kann heutzutage.
00:50:41: Ich glaube, da ist dann jetzt die Änderung auch einer, mit der alle umgehen können.
00:50:45: Ja, das denke ich auch.
00:50:46: Also es gibt noch zwei Sachen, die wir noch kurz erwähnen sollen.
00:50:49: Einer wichtiger, die andere nicht so.
00:50:52: Die machen ganz kurz Änderungen bei der Folgenabschätzung.
00:50:55: Da gibt es Nationalisten, Blacklist, Whitelist, die sollen abgeschafft werden auf nationaler Ebene und es soll eine EU-weit einheitliche Liste geben.
00:51:03: Das macht absolut auch Sinn, also wie man voll auf die Idee kommen könnte.
00:51:07: Da habe ich auch nicht verstanden.
00:51:08: und dann kommt der ganz spannende Bereich.
00:51:12: Da kommen wir gleich hin.
00:51:13: Das ist der mit KI und das wird, glaube ich, richtig topwitzig bringen dieser Entwurf.
00:51:21: Also nicht zwei eigentlich noch, das eine ist ein Cookie, das andere ist KI, machen wir kurz KI noch, KI soll enthält zwei.
00:51:29: Vereinfachungen für das Erfassen von Daten für Training.
00:51:33: Da wird klargestellt, eine Rechtsprechung, die Rechtsprechung, die jetzt hier auch in, was war es, OLG, glaube ich, OLG Köln entspricht, dass man für die.
00:51:44: Fassung von Personen bezogenen Daten für KI-Training in der Regel von berechtigtem Interesse ausgehen kann.
00:51:48: Das haben sehr viele bestritten, ist auch sehr strittig.
00:51:52: Und das andere ist wahrscheinlich sogar noch ein bisschen weitergehender, dass man auch Artikel neun Daten erfassen darf mit so ein paar zusätzlichen Schutzmaßnahmen.
00:52:04: Zoff bringen, ja macht ganz kurz.
00:52:06: Aber du tatsächlich gerade diese Frage verwegen, was ist erlaubt, diese Klarstellung, was du auch angesprochen hast, URG Köln zum Fall Meter und Training von Modellen.
00:52:15: Da ist natürlich die politische Hoffnung, dass man damit im KI-Rennen jetzt auch Europa ganz nach vorne bringt und mit den europäischen Daten dann auch eben die Modelle so trainiert bekommt, dass sie auch für Europäer passen und mit europäischen Werten aufgeladen werden.
00:52:31: Angesichts dieser zahllosen, Holger, du kennst dich da besser aus als ich im Zweifel, dieser zahllosen, großen europäischen KI-Modelle, die ganz wunderbar auf europäischen, personenbezogene Daten arbeiten können, wird das sicherlich ein riesen Erfolg, oder?
00:52:47: Ja, ich glaube es wird vor allem ein Erfolg, wenn OpenAI und Meta und Google wesentlich leichter an die Daten kommen als bisher.
00:52:54: Also wenn diese durchaus sehr strittige Praxis von Meta sich... Alles, was Datenschutzbelange angeht, sich immer aufberechtigt, das Dresse zu berufen, wenn das jetzt im KI-Bereich formalisiert wird quasi, codifiziert wird, sehe ich das als schwierig an.
00:53:12: Und ich meine, wir sehen uns alle einig, Jörg hat gerade so schön gezeigt, ein oder zwei relevante Modelle aus Europa, mehr werden es wahrscheinlich auch nicht mehr werden.
00:53:19: Also ich weiß nicht, ob man dafür irgendwie... Wesentlicher Schutzmechanismus, wenn der DSGVO irgendwie aushebeln muss.
00:53:27: Da bin ich mit Sicherheit nicht derselben Meinung.
00:53:29: Jörg ist natürlich ganz begeistert.
00:53:31: Alles was dem KI-Training geht.
00:53:35: Ach bist du nicht?
00:53:36: Ich bin Nutzer,
00:53:38: aber das heißt ja nicht, dass ich irgendwie alles toll
00:53:40: bin.
00:53:40: Ja, aber du bist ja gute Modeller.
00:53:41: Ich bin gute Modeller.
00:53:44: Das stimmt.
00:53:44: Aber um dahin zu kommen, dass wir mehr als Mistral in Europa haben als ernst zu nehmen, der KI müsste vielleicht der nächste Omnibus den AI-Egg überfahren, aber das nur so als am Rande.
00:53:56: Und der letzte Omnibus...
00:53:57: Keine Angst, der kommt da auch drin vor, ne?
00:53:58: Also da ist auch noch ein bisschen was zum AI-Egg.
00:54:02: Ja, aber hier ja nicht wirklich wahnsinnig
00:54:04: viel.
00:54:04: Nee, es gibt aber noch einen anderen Omnibus für den AI-Egg.
00:54:07: Wunderbar, das finde ich gut.
00:54:10: Der letzte Punkt, Cookies.
00:54:11: Cookies... sind, glaube ich, gerade jetzt auch wieder echt ein großes politisches Thema geworden.
00:54:17: Die Bundeslandschutzbeauftragte hat sich dazu geäußert in einer, ich finde, etwas merkwürdigen Art und Weise, weil sie da Cookies als das eigentliche Problem identifiziert hat.
00:54:28: Ich finde ja Cookies als solche gar nicht so problematisch, sondern Tracking durch Cookies ist, glaube ich, die Problematik.
00:54:36: Hier steht was drin, wo ich mir auch relativ sicher bin.
00:54:38: Das ist das nicht so in dieser Form in das fertige Gesetz fast.
00:54:42: Wir haben vorher länger drüber gesprochen.
00:54:43: Wir haben es alle nicht verstanden.
00:54:45: Also komische, leicht bizarre Regulierung.
00:54:49: Für alle, jetzt versuchen wir zu lesen, wir befinden uns hinten bei eighty-a, eighty-b.
00:54:54: Genau.
00:54:57: Wir werden stand on the link rein, wo ihr das den Entwurf finden könnt.
00:55:03: Da stehen.
00:55:04: Also es geht um Cookie-Setzung und Cookie-Banner.
00:55:08: Ich versuche es mal zu erklären.
00:55:09: Verzeiht es mir, wenn ich es nicht richtig verstanden habe, weil das ist echt schwer.
00:55:14: Es sollen ein paar Cookies ohne gesonderte Rechtsgrundlage zulässig sein.
00:55:22: Insbesondere Audience-Measurement, also Reichweitenmessung.
00:55:27: Das war bisher umstritten, ob es das drin ist.
00:55:30: Dann aber nur, wenn sie ausschließlich zu eigenen Zwecken erfolgt.
00:55:33: finde ich auch in Ordnung, also wenn es nicht weitergegeben wird.
00:55:36: Und der große Punkt, der allerdings jetzt auch schon drin steht, zumindest im TDSG, Aufrechterhaltung oder Sicherstellung der Sicherheit des Dienstes.
00:55:47: Dann wird es spannend.
00:55:48: und da ist der Punkt, den wir alle ehrlich gesagt nicht so richtig verstanden haben.
00:55:51: Wenn wir es richtig verstanden haben, soll es ein, ich kann es glaube ich gar nicht erklären, Es soll ein Single-Click-Button geben, wo ich sagen muss, ich möchte es akzeptieren und ich möchte es nicht akzeptieren.
00:56:10: Wenn ich auf Nicht-Akzeptieren gehe, muss das mindestens sechs Monate respektiert werden.
00:56:17: Ob pay oder okay, pay oder okay, da gilt, sind wir uns noch nicht ganz unklart, denn dann würde ich sagen, nein, das geht danach nicht mehr.
00:56:28: Und es sollen... Maschinenlesbare Willenserklärungen akzeptiert werden.
00:56:34: Das heißt, wenn ich in meinem Browser eingestellt hätte, do not track me oder keine, keine Cookies.
00:56:40: Das kann ich ja machen, aber do not track me müsste das zukünftig wahrscheinlich respektiert werden.
00:56:49: Es soll auch noch irgendwelche neuen Techniken geben, zu denen aufgerufen wird.
00:56:52: Also das ist alles irgendwie noch nicht so richtig durchdacht.
00:56:54: Hab ich den Eindruck, wie findet ihr das, um euch mal den Ball weiterzuspielen?
00:56:58: Hab ich da gerade Unsinn erzählt?
00:56:59: Oder ist das ungefähr das, was ihr auch so verstanden habt?
00:57:02: In unserer kleinen Sektivegruppe.
00:57:06: Ich sag mal, der Marx-Lise-Kreis ist wahrscheinlich nicht schlechter, was das angeht.
00:57:09: Wir haben alle noch so ein bisschen unsere Interpretationsschwierigkeiten damit.
00:57:13: Aber wenn das um die Vergemeinschaftung... von Daten in diesem Kontext geht und den Widersprüchlichkeiten und Widerspruchsmöglichkeiten, stimmen wir gerade so ein bisschen wie der Oxford im Berg, was das anbietet, tatsächlich.
00:57:25: Also, denn die Frage, was dort aus der alten E-Privacy-Richtlinie dann dort hineinwandert, damit dann auch nicht mehr über die Richtlinie gilt, sondern eben über die Verordnung gilt, diese dann in der Verordnung befindlichen Regelungen gilt, unmittelbar gilt.
00:57:41: Das ist ein kompliziertes Konstrukt.
00:57:42: Das ist ein Konstrukt von, es soll irgendwie mehr erlaubt sein und gleichzeitig auch mehr verboten sein.
00:57:47: Und an der Stelle muss ich auch echt sagen, da bin ich vor allem gespannt, wie lange diese Diskussion dauern wird.
00:57:57: Denn dass Cookies per se erstmal wahnsinnig viele Möglichkeiten geben, um Menschen zu tracken.
00:58:03: Da sind wir uns, glaube ich, alle einig, Nutzer zu tracken, dass diese Möglichkeiten eingeschränkt sein müssen in irgendeiner Form.
00:58:11: auch, aber auch da wieder, das ist dieser alte Traum von Do Not Track, dass ich sage, ich gebe einen Signal raus und sage, track mich nicht und dann hält sich jemand dran.
00:58:21: Also überzeugt mich jetzt noch nicht ganz so, auch wenn ich das immer für richtig empfunden habe, dass wenn jemand eine explizite Äußerung macht, dann sich auch bitte alle daran zu halten haben, aber das durchzusetzen ist halt die Schwierigkeit und das sehe ich jetzt hier auch noch nicht so richtig garantiert.
00:58:34: Kurze Frage an euch beide, vielleicht weiß was einer von euch ist, Do Not Track nicht gerade beendigt worden als
00:58:41: Ja, es ist in den Browser nicht mehr existent.
00:58:43: Also ich glaube, es ist jetzt auch aus Firefox rausgeflogen aus einem der letzten Browser.
00:58:46: Das findet in der Praxis nicht mehr statt.
00:58:49: Und das soll ja irgendwie, so wie ich das verstanden habe hier in dem achtundachtzig B Entwurf, soll es ja irgendwie, die warten ja dann auf einen neuen Standard, der dann da kommen soll.
00:58:58: Oder eben auf Personal Information Management Systeme, so wie in Deutschland ja gerade eins zugelassen wurde.
00:59:03: Weil wir in Deutschland haben das ja eigentlich schon im TDDDG, ist ja die Möglichkeit dieser Pauschal.
00:59:09: Ablehnung schon enthalten, aber auch freiwilliger Basis.
00:59:12: Also ich glaube, du hast es ganz gut zusammengefasst.
00:59:19: Also ich habe jetzt auch gerade nochmal nachgeguckt, weil ich dachte zuerst, ich hatte es so verstanden, dass man nur mit einem Klick ablehnen kann.
00:59:27: Aber man kann auch tatsächlich steht so drin.
00:59:29: Man kann auch mit einem Klick zustimmen und da verstehe ich jetzt wieder, das ist ja wirklich, finde ich, ein Paradigmenwechsel, ist mir jetzt gerade erst so aufgefallen zu allem, was die DSGVO bisher vorgesehen hat.
00:59:40: Nämlich auch irgendwie zu der Rechtsgrundlage-Einwilligung.
00:59:42: Die Rechtsgrundlage-Einwilligung beruht ja auf einer Information.
00:59:48: Sie soll ja informiert sein, sie soll freiwillig sein und soll wieder rufbar sein.
00:59:51: Also das ist ja dann, wenn du einfach nur einen Klick machen kannst, ohne die Möglichkeit hast, dich vorher zu informieren.
00:59:57: Ich weiß nicht, wie das dann in der Praxis ausgestaltet sein soll.
01:00:00: Wird es ja schon schwierig.
01:00:01: Und dann ist noch eine zweite Schwierigkeit, wenn ich das noch kurz sagen darf.
01:00:03: Da haben wir im Vorgespräch auch schon drüber gesprochen.
01:00:06: Wie ist nicht so ganz klar, es soll ja... Der Nutzer soll ja dann, wenn er einmal mit One Click abgelehnt hat, sechs Monate lang nicht mehr mit einer Nachfrage behältig werden.
01:00:15: Das setzt aber voraus, dass die Webseite oder die App oder wie auch immer dahinter steht, was da abfragen soll, ihn wiedererkennt.
01:00:22: Weil ansonsten kann sie ja nicht irgendwie wissen, dass er abgelehnt hat.
01:00:25: Und wie soll sie das tun, ohne ihn zu kennen?
01:00:27: Das funktioniert also meiner Ansicht nach nur mit eingelockten Nutzern.
01:00:31: Wenn sie sich eingelockt haben, mag das gehen.
01:00:34: Aber... Du musst ja eigentlich ein Cookie setzen, um den Nutzer wiederzuerkennen.
01:00:36: Du darfst aber kein Cookie setzen.
01:00:38: Vielleicht fällt das dann unter die Cookies, die Ausnahmekookies sind, die man auch ohne Einwilligung setzen darf, irgendwie so.
01:00:46: Aber nichtsdestotrotz gibt es eine erkleckliche Anzahl von Nutzern, die, wenn sie ihren Bauser schließen, grundsätzlich die Cookies löschen zum Beispiel.
01:00:55: Und wenn das Cookie dann wegfällt, dann wird er sowieso nicht wiedererkannt und wird dann wiederbeherdigt.
01:00:59: Was passiert denn dann?
01:01:00: Begeht dann die Webseite irgendwie, wenn sie ihn wieder fragt, irgendwie ein Datenschutzverstoß.
01:01:04: Aber sowieso könnte man das ja interpretieren.
01:01:07: Aber
01:01:07: echt sehr schwierig.
01:01:09: Aber an der Stelle ist vielleicht tatsächlich dieser Hinweis, der da in diesem Wunder waren.
01:01:13: Ich sage es nur noch mal ganz kurz zur Orientierung für alle, die versuchen mitzulesen, dass es nämlich tatsächlich auch auf Betriebssystemebene hinterlegt sein kann.
01:01:23: ist vielleicht dann tatsächlich relevant, denn wenn ich es auf Betriebssystemebene tatsächlich hinterlege, dann bin ich vielleicht noch mal einen Schritt weiter.
01:01:30: Ich war aber jetzt in dem A-Falk, nicht in dem B. Beim B geht es ja, der B, da geht es ja um diese PIMS, bzw.
01:01:38: um diese Browser-Signale oder Betriebssystemsignale, die gesetzt werden können.
01:01:42: Aber ich rede jetzt von dieser buren manuellen One-Click-Ablehnung.
01:01:46: Klar, aber wenn ich sozusagen nach B bereits gesagt habe, Finger weg, ist A vielleicht kein Problem mehr.
01:01:52: Ich sage jetzt mal so, ich will mal unterstellen, dass man sich dabei was gedacht hat.
01:01:56: Also es wird auf jeden Fall eine wunderbare Form von Textexegese werden und also vielleicht, ich meine wir können jetzt hier noch lange versuchen das auszusilieren, was der Gesetzgeber mit seinem Entwurf gemeint haben könnte und wie sich das in der Praxis auswirken könnte.
01:02:11: Ich fürchte allerdings an einer Stelle, sind wir uns einig, was das hier, was jetzt da vor uns liegt und in zwei Wochen dann offiziell vor uns liegen wird, nicht bringt, ist Rechtssicherheit erstmal.
01:02:24: Denn das ist einfach ein Grundsatzproblem, wenn man das alles anfasst, alles, was man gelernt, also was da ein bisschen gelernt war, auch wo es Richterrecht zu gibt, das ist dann einfach hinfällig, das wird alles neu verhandelt werden müssen.
01:02:37: Und ich sage mal so, unter Simplifizierung, Vereinfachung verstehe ich jetzt nicht zwingend, dass alles wieder komplizierter wird und neu verhandelt werden muss.
01:02:45: Aber gut, man macht sich auf einen Weg.
01:02:49: Dieser Weg wird langesteinig und beschwerlich sein.
01:02:51: So viel steht fest und einfach wird es auch nicht.
01:02:54: Und ich sage mal so, ich auf jeden Fall werde eine Menge zu berichten haben.
01:02:59: Naja, es ist ja so, dass die vorhin schon zitierte hochrangige EU-Beamtin gesagt hat, man möchte quasi mit diesem Omnibus erstmal die low-hanging fruits adressieren.
01:03:12: Das heißt also, man möchte das umsetzen oder korrigieren.
01:03:16: weil der DSGVO schief gelaufen ist, was man schnell korrigieren kann.
01:03:20: Und da hat man wohl hier einen Punkt gesehen, weil das ist ja auch Öffentlichkeitswirksam, das hat es ja auch klar gesagt.
01:03:24: Also es geht hier um die Cookie Fatigue.
01:03:27: Das ist Showpolitik.
01:03:28: Ja, die Cookie Fatigue hat sich gesagt, das ist halt ein wesentliches Element, warum der Datenschutz keine Akzeptanz hat.
01:03:33: Weil da nervt er an vorderster Front und genau deswegen will man genau dieses Thema hier adressieren.
01:03:40: Aber wie man es halt macht, ist halt irgendwie wirklich unnüchtig.
01:03:43: Wobei, da muss ich dann auch nochmal eine Landseite dafür brechen.
01:03:45: Natürlich, alle sind ja der Meinung, dass das nervt.
01:03:48: So, restlos jeder.
01:03:49: Egal, wo er steht, da hat ein Schutz politisch.
01:03:52: Vollkommen egal, jeder sagt das nervt.
01:03:54: Aber jeder
01:03:55: hat sich da auch schon seinen Kopf zerbrochen, wie man es dann besser machen könnte.
01:03:58: Und für mich ist immer noch das Kardinalproblem, man hat uns damals versprochen, als die DSGVO kam.
01:04:04: Es wird parallel dazu eine E-Privacy-Verordnung geben, die sich auch das Thema Cookies annimmt.
01:04:09: Und das hat sie halt nie gemacht.
01:04:11: Dann leitet man notdürftig irgendwas aus der E-Privacy-Richtlinie ab.
01:04:15: Und ich weiß noch, wie wir damals da gestanden haben, York, vier Wochen vor, bevor die DSGVO wirksam wurde, hat plötzlich... die Datenschutzkonferenz, irgendwie die Stellungnahme rausgebracht und hat gesagt, wir lesen aus der DSGVO, aber es geht nur über Einwilligung und die Einwilligung musst du da so erfolgen.
01:04:31: Und zwar informiert, das heißt über jede Datenverarbeitung, die über das Cookie stattfindet, muss aufgeklärt werden und so weiter und so fort.
01:04:38: Dadurch ist ja die ganze Problematik erst entstanden und zwar in ganz Europa.
01:04:42: Ja, irgendwas mir gar noch aufgefallen ist, ob ich jetzt hier nicht nochmal aufmachen möchte, warum ist es eigentlich nur die Ab... für sechs Monate eingespeichert werden, nicht die Zustimmung.
01:04:52: Da ergibt es nämlich auch keinen Sinn.
01:04:56: Ja, ich glaube... Ich
01:04:57: finde es interessant, weil es eigentlich sozusagen das Gegenteil einer logischen Vermutung wäre, dass normalerweise, wenn ich zustimme, kannst du ja was bei mir speichern.
01:05:03: Das ist ja kein Thema.
01:05:05: Aber wenn ich was nicht möchte, ist es irgendwie total widersinnig logisch, dass du das bei mir speichern sollst.
01:05:11: Na ja, gut.
01:05:12: Aber das sind so diese Sachen... Also, wo wir, glaube ich, alle sagen, da ist noch echt einiges auszudiskutieren.
01:05:18: Aber was die low-hanging-fruits angeht, bin ich wirklich anderer Meinung.
01:05:21: Das ist alles andere als low-hanging.
01:05:23: Und das ist ein ziemliches Brett, was da noch mal kommt.
01:05:27: Was glaubst du denn abstehst, noch mal Falk, von deinem Gefühl her?
01:05:31: Glaubst du denn, wir haben jetzt hier schon über das diskutiert, was am neunzehnten Elften vorgelegt wird von der Kommission?
01:05:38: Oder glaubst du, da wird noch viel passieren bis dahin?
01:05:40: Naja, es gibt ja in diesen Entwürfen, die jetzt zu dem Zeitpunkt unsere Aufnahme kursieren, gibt es ja schon diverse Eckenklammern, die da drin stehen.
01:05:48: So was wie, da gibt es noch irgendwelche Dinge, die noch auszufeintunen sind und ähnliches.
01:05:54: Also solche Markierungen sind da ja teilweise drin.
01:05:58: Da wird sich schon noch ein bisschen was bewegen.
01:05:59: Und selbst wenn es das nicht tut, das ist ein Vorschlag der EU-Kommission.
01:06:03: Und dann findet dieser wunderbare Prozess statt, wir haben am Anfang dieser Folge, haben wir ja schon drüber gesprochen, wie das bei der CSA-Verordnung gefallen ist.
01:06:13: Der geht dann erst mal los, dann beugt sich das Parlament mit den zuständigen Ausschüssen über diesen Omnibus, die Mitgliedstaaten beraten sich dazu, müssen ihre Positionen finden.
01:06:23: Und wenn alle ihre Positionen definiert haben, geht es dann in den Trilog und dann kann man mal erst mal in ein paar Runden ausverhandeln, wer denn eigentlich steht.
01:06:33: Und dann gucken wir mal, ob Ursula von der Leyen noch Kommissionspräsidentin ist oder die nächste Legislatur angebrochen.
01:06:47: Das gehört auch zu den Erfahrungen, die wir, glaube ich, alle drei teilen, sobald ein Gesetzgebungsvorgang unterwegs ist und dann irgendwo ein kleines Pop-up kommt und das sagt, ich bin ein Skandal, kommt garantiert auch jemand, der sagt, das müssen wir hier noch schnell mitadressieren, was bei AI Act, DSA und allem anderen dafür gesorgt hat, dass irgendwelche eigentlich Wesensfremden Regelungsinhalte dort mit drin gelandet sind.
01:07:12: Also,
01:07:13: das war, glaube ich, ein gutes Schlusswort.
01:07:15: Ich glaube, das wird uns noch länger beschäftigen.
01:07:17: Ist jetzt ein bisschen lang geworden die Folge, aber ich denke, das war schon auch ganz sinnvoll, da mal ein bisschen rein zu gehen.
01:07:22: Einfach mal mal gucken, wo die Reise hingeht hier.
01:07:25: Und ich glaube schon, das werden ja schon die Sachen sein, die angefasst werden, ob sie jetzt in dieser Form dann auch im letzten endlich im Gesetz landen, wenn wir noch sehen.
01:07:33: Aber Mein Fazit ist, das ist schon mal ein guter Auftakt, ich bin auch nicht mit allem einverstanden, man muss sicherlich ein paar Sachen noch nachschärfen, also diese Cookie-Geschichte ist völlig merkwürdig, da muss man sicherlich noch mal ran, wie man das jetzt immer auch gestalten will.
01:07:49: Und ein paar Sachen finde ich richtig gut, die nehme ich mit meinen Nachtgebeten mit, insbesondere Meldepflichten, finde ich richtig gut, auch die, das kann man anderer Ansicht sein, auch die... Auskunftspflichten ein bisschen einzuschränken finde ich ganz gut.
01:08:06: Und von daher bleibt weiter spannend im Datenschutz.
01:08:10: Ja dann weiß ich noch kurz ab unsere Kontaktmöglichkeiten hin.
01:08:15: Ihr findet diese und alle vorherigen, hundredsechsenvierzig Episoden unter ct.de-auslegungssache und die E-Mail-Adresse unter el.
01:08:25: der uns ihr Mail erreichen könnt, ist aus der Auslegungssachheit ct.de.
01:08:31: Oguvan Langer Tag heute.
01:08:32: Ich merke es gerade.
01:08:34: C.T.
01:08:34: heißt diese Zeit schon für die, die du arbeitest.
01:08:36: Ah, danke,
01:08:37: danke, danke.
01:08:38: Ja, Falk, vielen Dank, dass du da warst.
01:08:40: Hat dir immer Spaß gemacht.
01:08:42: Vielen Dank.
01:08:43: Danke euch.
01:08:44: Ich nehme viel zum Nachdenken mit, aber das ist ja auch gut.
01:08:47: Ja, ich bin jetzt echt mal, jetzt, da wir drüber gesprochen haben, sehr gespannt, was da am neunzehnten vorgestellt wird und vor allem, wie es dann weitergeht.
01:08:54: Ob der Aufschrei groß sein wird oder nicht.
01:08:57: Das Schöne ist, an einem Omnibus, man kann nicht nur einsteigen, man kann auch wieder aussteigen.
01:09:01: Oh, da ist das Schlusswort, was Sie gebraucht haben.
01:09:04: Auch dem Omnibus ist vor dem Omnibus.
01:09:06: Aber nicht alles vor dem Bus
01:09:08: mehr.
01:09:09: Das ist die spannende Frage.
01:09:10: Wurft man den Datortier von Bus, entscheidet ihr?
01:09:14: Bis zum nächsten Mal.
01:09:15: Tschüss.
01:09:15: Bis dann.
01:09:16: Ciao.
01:09:16: Ciao.
Neuer Kommentar