|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Fachkraft für Medienpädagogik
|
|
|
|
|
|
|
Hamburg, den 01. Oktober 2025
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Verordnung der EU 2400/900
- Autos und der Datenschutz
- Wegwerf-Agenten
- Aktuelles aus dem Datenschutz
|
1. Verordnung der EU 2400/900
Endlich mal wieder eine neue EU-Verordnung. Zur Erinnerung: EU-Verordnungen sind eigenständiges geltendes Recht in den Mitgliedsstaaten, Richtlinien müssen hingegen von den nationalen Regierungen durch eigene Gesetze umgesetzt werden. Die Verordnung der EU 2400/900 tritt am 10. Oktober 2025 in Kraft. Auch diese Verordnung berührt das Thema Datenschutz, wenn auch nicht in einer Form, die für meine Kunden unmittelbar relevant ist. Aber dafür in einer Form, die für uns alle als demokratische Gesellschaft relevant ist. Es geht dabei um das Thema "politische Anzeigen", sowohl in der realen Welt als auch in der Online-Welt.
|
Und, wen wundert es, auch diese Verordnung ist kompliziert. Es geht um Transparenz bei politischer Werbung, insbesondere direkt vor Wahlen. Also um eine klare Kenntlichmachung politischer Werbung als solcher und eine Information darüber, wer sie für wen tätigt und wer sie bezahlt. Klingt simpel, ist es aber in der Praxis nicht. Der erste schwierige Punkt ist politische Werbung zu definieren. Die Verordnung beinhaltet Definitionen, die aber Fragen offen lassen. Wenn man es kurz fasst, dann sind alle politischen Botschaften nicht rein privater oder rein kommerzieller Natur politische Werbung. Und damit werden sehr viele Aussagen sehr schnell zu politischer Werbung. Die Verordnung unterscheidet dabei "Anbieter" und "Herausgeber" politischer Werbung. Betrachten wir das einmal für die Online-Welt: Anbieter wäre die Agentur, die eine Online-Anzeige unmittelbar bei einem Herausgeber beauftragt. Erscheint diese dann zum Beispiel in der Google Suche, dann wäre Google der Herausgeber. Anbieter können Agenturen, Parteien direkt, natürliche Personen oder jede beliebige Organisation sein. In Artikel 10 der Verordnung heißt es, dass die Anbieter sicherstellen müssen, dass die Pflichtangaben, die mit einer solchen Anzeige veröffentlicht werden müssen, den Herausgebern rechtzeitig vorab übermittelt und stets aktuell gehalten werden. Hier sind also zuerst die Anbieter in der Pflicht. Die Kennzeichnungspflicht trifft sodann aber die Herausgeber. Im vorgenannten Fall wäre also Google in der Pflicht sicherzustellen, dass die entsprechende Kennzeichnung und Transparenz erfolgt. Das wäre im wesentlichen folgendes:
|
- Eine Erklärung, dass es sich um eine politische Anzeige handelt.
- Die Identität des Sponsors. (Also nicht des Anbieters, sondern der Organisation oder Person, die es tatsächlich verantwortlich beauftragt hat.)
- Wenn erforderlich Angaben zu der Wahl, Referendum oder Ereignis, mit dem die Anzeige in Verbindung steht.
- Eine Transparenzbekanntmachung mit folgenden Informationen:
- Kontaktmöglichkeit des Sponsors.
- Information über die natürliche oder juristische Person, die für die politische Anzeige eine Vergütung zahlt, wenn diese nicht der Sponsor ist.
- Den Zeitraum der Veröffentlichung/Verbreitung der Anzeige.
- Die Gesamtbeträge, die der Anbieter für die politische Werbedienstleistung erhalten hat.
- Informationen darüber, ob Beträge oder Leistungen, die ein Anbieter erhalten hat, aus privaten oder öffentlichen Quellen stammen und ob diese von innerhalb oder außerhalb der EU kommen.
- Links zu offiziellen öffentlichen Informationen über die Wahl/Referendum mit der die Anzeige in Verbindung steht.
- Soweit die Anzeige im Internet geschaltet wird: Informationen darüber, ob Targeting-Methoden zur Ausspielung der Anzeige eingesetzt werden und über Reichweite, Anzahl der Aufrufe und Interaktionen.
Und noch ein paar Dinge mehr, was der Anbieter dem Herausgeber alles an Information zur Verfügung stellen muss. Ferner wird ein europäisches Anzeigenarchive eingerichtet und die Aufbewahrungspflicht für solche Anzeigen nebst dazugehörigen Informationen bei den Anbietern beträgt 7 Jahre. Die Vorschriften gelten nicht für Kleinstunternehmen im Sinne der Richtlinie EU 2013/34. Das sind Unternehmen mit einer Bilanzsumme unter EUR 450.000,--, Nettoerlösen unter EUR 900.000,-- und weniger Beschäftigten als 10. Besondere Regelungen gelten für einen Zeitraum von 3 Monaten vor einer Wahl. In diesem Zeitraum ist zum Beispiel politische Werbung nur Für EU-Ansässige Personen oder Personen aus Drittstaaten, die ihren ständigen Wohnsitz in der EU haben, erlaubt (juristische Personen eingeschlossen). Für Anzeigen im Internet, die mit Targeting geschaltet werden, gelten spezielle Regelungen, auf die ich hier nicht näher eingehen will. Aufsichtsbehörde für die Einhaltung sind die Datenschutzbehörden und, wenn ich das Umsetzungsgesetz zur Verordnung richtig verstehe, teilweise auch die Bundesnetzagentur.
|
Das ist das wesentliche. Klingt einfach, ist in der Praxis aber kompliziert. Herausgeber müssten also politische Werbung zuerst einmal identifizieren. Das allein ist gar nicht so einfach. Was ist Meinungsfreiheit und wann werden Posts im Internet zu politischer Werbung? Jede politische Werbung, die als solche Identifiziert ist, müsste dann gesperrt werden, solange dem Herausgeber die entsprechenden Pflichtangaben nicht vorliegen. Es wäre vielfach auch ein Hinweis notwendig, dass es sich um rein private Äußerungen handelt oder ein Hinweis, dass es Kleinstunternehmen sind, die der Verordnung nicht unterliegen. Wer überprüft die Richtigkeit der Angaben seitens der Anbieter? Dieser Punkt ist mir noch nicht klar. Und ich frage mich, ob es dann dazu führt, dass Anbieter sich als "viele Kleinstunternehmen" aufteilen oder dieses angeben, um den Pflichten zu entgehen. Und das sind nur einige Fragen, die sich stellen.
|
Die Verordnung der EU 2400/900 ist im Sinne des Schutzes unserer Demokratie also eine sehr wichtige Verordnung und ein absolut richtiger Ansatz. Aber in der praktischen Umsetzung der Idee, gerade im Internet, wo der Fokus liegen muss, gibt es noch viele offene Fragen. Die Verordnung kann nur ein erster Schritt sein um mehr Transparenz in politische Werbung und die Beeinflussung von Wahlen zu bekommen. Und bei der Umsetzung habe ich bisher nur von Microsoft entsprechende Schritte wahrgenommen. Aber schauen wir mal, wie sich die Verordnung bewährt.
|
2. Autos und der Datenschutz
In der digitalen Welt gibt es immer verrückte und spannende Geschichten. Wer schon länger meine Newsletter liest, der erinnert sich vielleicht daran, dass ich 2021 schon über das Thema Autos geschrieben hatte. Autos haben Bordcomputer, in der Regel eine zweistellige Anzahl an Bordcomputern, die wiederum mit Software laufen und auch Daten sammeln. Daten zum Fahrverhalten, aber auch zu anderen Dingen. So zum Beispiel darüber, wie viele Personen regelmäßig im Auto sitzen oder welche Aktivitäten man auf den Sitzen ausübt. Letzteres ist kein Scherz. Einige Hersteller hatten das für bestimmte Regionen, Regionen ohne weiterreichenden Datenschutz wie in der EU, auch direkt so in ihre AGBs angegeben. Und ich glaube nicht, dass sich das geändert hat.
|
Jetzt möchte ich einmal ein anderes interessantes Rechtsproblem ansprechen. Es geht dabei um die Marke MG, die Hybrid und E-Autos herstellt. Dahinter steht ein niederländisches Unternehmen und die Modelle werden auch in Deutschland verkauft. Vorzugsweise im Leasingmodel. Die Autos nutzen eine Open-Source-Software, deren Lizenz nicht klar ist. Jetzt ist es rechtlich so, dass man an Lizenzen keinen gutgläubigen Erwerb gewinnen kann, weil es Rechte sind. Vereinfacht ausgedrückt: Man kauft sich ein MG-Auto und es ist nicht klar, ob man auch rechtmäßiger Eigentümer über die Software auf dem Bordcomputer ist. Ist man es nicht, dann kann der rechtmäßige Lizenzinhaber Schadenersatz verlangen und man darf zahlen oder die Nutzung der Software wird untersagt, was bedeutet, dass man das Auto dann nicht mehr fahren darf. Spannende Geschichte, die bisher keine Lösung gefunden hat und bei welcher auch die französische Leasinggesellschaft in der Haftung sein könnte. Hierzu läuft derzeit ein Rechtsstreit, um den Sachverhalt zu klären. Ich verfolge das und bin gespannt, wie es endet. Letztlich wird es dann auch eine Datenschutzfrage. Wenn mit der Software Daten gesammelt werden, aber der Hersteller gar keine Lizenzen für den Betrieb der Software hatte, dann stellt sich die Frage, wie das datenschutzmäßig zu bewerten ist.
|
3. Wegwerf-Agenten
Das Internet ist ein komplizierter Ort, wie schon gesagt. Eine der vielen Gefahren liegt darin, dass man überall angesprochen wird, ob man sich nicht schnell etwas Geld verdienen will. Oftmals stehen Angebote mit ordentlichen Summen im Raum. Und, um es vorweg zu nehmen, solche Angebote sind nie seriös und oftmals sehr gefährlich. Während es bei den meisten Angeboten um Betrug geht und man am Ende kein Geld gewinnt, sondern verliert, gibt es auch ganz andere Angebote. Eines davon sind "Wegwerf-Agenten".
|
"Wegwerf-Agenten" oder auch "Low-Level-Agenten" sind Personen, die von ausländischen Geheimdiensten oder anderen Akteuren geworben werden, um politische Straftaten oder Spionage auszuführen. Das BKA warnte jüngst offiziell vor diesen Anwerbungen im Netz. Personen werden mit Jobangeboten kontaktiert. In der Regel Personen, die Geld brauchen, nicht selten verschuldete Personen, welche mit Drogen- oder Spielsuchtproblemen. Insbesondere letzteres ist im Internet, in den Gaming-Kommunen, gut identifizierbar und es kann zielgerichtet akquiriert werden. Nicht selten kommt es dort auch zu verschiedenen Formen der Radikalisierung, was für die Anwerber zusätzlich hilfreich ist. Ziel sind vor allem jüngere Männer. Diese erhalten am Ende kleinere vierstellige Summen um Aufgaben auszuführen, wie Brandanschläge auf Infrastruktur oder andere Sabotageakte, bzw. militärische oder kritische Infrastruktur auszuspionieren. Sie werden also für diesen Auftrag angeworben und tun es für kleine Summen, ohne zu wissen für wen sie das machen und was sie da genau machen. Danach werden sie von den Auftraggebern "weggeworfen". Das ist kostengünstig und effektiv. Die Auftraggeber lassen sich nie identifizieren. Die Auftragnehmer werden hingegen, fast man sie, wegen schwerer Straftaten, in der Regel auch Landfriedensbruch und Spionage, verurteilt. Hybride Kriegsführung und Spaltung der Gesellschaft, die unmittelbar einzelne Menschen, und die volatilsten unter ihnen ausnutzt.
|
Und wir müssen als Gesellschaft auch lernen, dass nicht alles politisch ist, was politisch scheint. Irgendeine Person macht einen Brand- oder einen anderen Anschlag auf irgendetwas, rein für Geld als Auftragsarbeit. Die Auftraggeber posten dann, je nach Ziel der Aktion, auf einem rechten oder einem linken Imageboard ein Pamphlet, das man sich mit KI erstellt hat. Und es geht nur um Spaltung der Gesellschaft in rechts und links von außen. Nicht um inländische radikalisierte Extremisten.
|
4. Aktuelles aus dem Datenschutz
Windows 10 läuft am 14. Oktober aus. Sicherheitsupdates gibt es dann nur noch kostenpflichtig. Microsoft lenkt in Europa, nach Verhandlungen mit Verbraucherschutz-behörden, jetzt ein und stellt für Privatpersonen bis zum 14. Oktober 2026 Updates kostenlos zur Verfügung. Für Unternehmen jedoch nicht. Wie Microsoft erkennt, wann es sich um ein Unternehmen und wann um eine Privatperson handelt, ist mir dabei noch nicht klar. Eine Registrierung ist eher unwahrscheinlich. Ich vermute, dass nur Home-Versionen die kostenlosen Updates erhalten und Pro-Versionen nicht.
|
In der "Digital Cluster Jahreskonferenz" in Bonn, dieser Konferenz gehören alle wichtigen Behörden in der Digitalisierung an, wurde dieses Jahr das Thema KI besprochen. An Konferenzen und Statements zu KI mangelt es derzeit nicht. Die einen wollen diese Technik forcieren, die anderen warnen vor ihr. Nur eines ist sicher: Was KI für uns als Gesellschaft in Zukunft bedeutet wird sehr spannend.
|
Der EDSA (europäische Datenschutzausschuss) hat Leitlinien zum Zusammenspiel von DS-GVO und DSA veröffentlicht. Das ist inhaltlich nicht wirklich weltbewegend. Viel interessanter ist die Frage, wie DS-GVO und DSA gegenüber US-amerikanischen Tech-Unternehmen bei der derzeitigen politischen Lage in den den USA umgesetzt werden können. Alles sieht derzeit danach aus, dass europäische Regulationen vielen amerikanischen Tech-Konzernen herzlich egal sind, und die EU nicht willens oder in der Lage ist hiergegen etwas zu tun.
|
Der EuGH hat eine Nichtigkeitsklage gegen das US-EU-Privacy-Framework-Abkommen abgelehnt und das Abkommen damit bestätigt. Datentransfers in die USA sind somit, unter diesen Bedingungen, weiter datenschutzkonform. Jedoch hat der EuGH auch deutlichgemacht, dass die EU-Kommission die "Datenschutz-Lage" in den USA fortlaufend überwachen muss und das Abkommen auch tatsächlich inhaltlich bestehen muss. Alles sieht danach aus, dass letzteres in absehbarer Zeit nicht mehr der Fall ist. Der US-Justizausschuss befasst sich derzeit mit den EU-Digitalvorschriften. Man sieht in diesen Vorschriften eine Gefahr der freien Rede und Meinungsfreiheit, auch für die USA. Wo diese Entwicklung hingeht, ist leider absehbar.
|
Am 28.09.2025 war der internationale Tag der Informationsfreiheit. Anlässlich des Tages weißt die BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) daraufhin, dass Deutschland mehr Transparenz braucht. Das sehe ich genau so. Letztlich ist mehr Transparenz nur eine Frage des politischen Willens. Und dieser Willen ist in einigen Parteien nicht sehr stark ausgeprägt, um es einmal vorsichtig zu formulieren.
|
Es gab wieder mal eine Milliardenstrafe gegen Google, die von der EU verhängt wurde. Wegen Ausnutzung einer marktbeherrschenden Stellung wurden Google 2,95 Milliarden Euro auferlegt. Der amerikanische Präsident tobte und wollte Gegenmaßnahmen verhängen. Allerdings scheint Trump das dann auch schnell wieder vergessen zu haben. Und somit passiert, was immer an dieser Stelle passiert: Google erhebt Widerspruch, es gibt ein Gerichtsverfahren und irgendwann wird sich entscheiden, ob diese Strafe wirklich bezahlt werden muss oder nicht
|
|
Das BVerfG hat eine Beschwerde zur Beschlagnahme eines Smartphones abgewiesen. Die Abweisung erfolgte aus Gründen von Verfahrensfehlern. Inhaltlich ist der Fall aber interessant: Jemand geriet in eine Verkehrskontrolle, ein Polizeibeamter aktivierte seine Bodycam und macht das auch kenntlich. Daraufhin begann die kontrollierte Person ebenso ein Video von der Situation mit dem Smartphone aufzunehmen. Die Beamten hielten Rücksprache mit der Staatsanwaltschaft und beschlagnahmten sodann das Smartphone und tätigten eine Anzeige wegen Verletzung der Vertraulichkeit des Wortes, § 201 StGB. Das ist rechtlich eine spannende Frage. Verletzt der Sachverhalt StGB § 201a oder nicht? Vielleicht wird sie im weiteren Verlauf dieses Rechtstreits noch geklärt.
|
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.
|
Themen für den nächsten Newsletter habe ich mir noch nicht überlegt. Ich bin mir aber sicher, dass bis dahin viel Spannendes im Datenschutz und der digitalen Welt passiert, und es mir nicht an Themen mangeln wird.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Fachkraft für Medienpädagogik
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
