DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

Datenschutz für Minderjährige - KidD
Jahresrückblick
Aktuelles aus dem Datenschutz

1. Datenschutz für Minderjährige - KidD

Der Datenschutz für Minderjährige findet sich in der DS-GVO im Art. 8. Es ist versucht worden, Kindern und Jugendlichen einen besonderen Schutz zu gewähren. Hiernach bedarf es für Kinder unter 16 Jahren bei der Verarbeitung deren personenbezogener Daten immer der Zustimmung eines Sorgeberechtigten, wenn einem Kind ein Angebot von einem Dienst der Informationsgesellschaft direkt gemacht wird. Der Art. 8 DS-GVO ist an dem "direkt gemacht wird" gescheitert. Im juristischen Sinne ist dieses sehr schwer zu fassen und regelmäßig nicht der Fall. So würde jeder Laie sagen, dass z.B. eine Lernplattform, welche Inhalte für die Klassenstufen 1 bis 6 anbietet, sich direkt an Kinder unter 16 Jahren wendet. Im juristischen Sinne sind die Kinder aber nur Nutzer*innen der Plattform. Direkt wenden tut sich die Plattform an die Erziehungsberechtigten, da diese die Zahlung der kostenpflichtigen Abonnements der Plattform vornehmen. Folglich sind die Erziehungsberechtigten die Zielgruppe des Anbieters und nicht die Kinder. Der Artikel greift daher nicht, und ansonsten auch nicht. Die DS-GVO hat hier versagt.

Mit dem Digital Services Act (DSA) steht seit dem Frühjahr 2024 ein neues Instrument zur Verfügung, das inzwischen in Deutschland durch das Digitale-Dienste-Gesetz (DDG) auch umgesetzt ist. Der DSA enthält einen weiterreichenden Teil zum Schutz von Kindern und Jugendlichen, als wir ihn aus der DS-GVO kennen. Die Umsetzung wurde der Bundeszentrale für Kinder und Jugendmedienschutz zugewiesen. Hierfür wurde eine Stelle Namens "KidD" eingerichtet. Geleitet wird die Stelle von einem sehr erfahren Juristen, Michael Terhörst, der langjährige Erfahrung im Kinder- und Jugendschutz besitzt und auf dem Gebiet sehr engagiert ist.

Mit dem DSA gibt es für den Datenschutz von Kindern- und Jugendlichen einige konkrete Verpflichtungen für die Anbieter. Ich beginne einmal mit den AGBs: Anbieter sind nun verpflichtet AGBs kindgerecht zu erläutern oder auch für Kinder verständlich zu formulieren. Hierneben müssen Altersbeschränkungen und deren Bedeutung genau erläutert werden. Der Gesetzgeber hat einen Verstoß gegen diese Pflicht als Ordnungswidrigkeit festgelegt, die mit einem Bußgeld belegt werden kann. Das ist im Grundsatz zu befürworten. Allerdings wird es nicht das tatsächliche Problem lösen: Kinder und Jugendliche, genau wie Erwachsene, willigen in AGBs ein, ohne diese zu lesen. Und dann ist es egal, wie AGBs geschrieben und erläutert sind, wenn es niemand liest. Es wird uns daher nicht dabei voranbringen, mehr Sachkenntnisse und Befähigungen zum Verständnis der Anwendungen für die Nutzer*innen zu vermitteln.

Ein weiterer Punkt des DSA, auch dieser im Grundsatz richtig, ist der, dass Kindern und Jugendlichen keine personenbezogene Werbung ausgespielt oder ihre Daten hierzu gespeichert oder verarbeitet werden dürfen. Allerdings haben die Anbieter keine Pflicht das Alter einer Person und deren Status, ob sie minderjährig ist oder nicht, gesichert festzustellen. Im Prinzip haben wir damit das gleiche Szenario wie im Art. 8 der DS-GVO und diese Geschichte wird juristisch ins Leere laufen. Das ist meine Befürchtung. Wir müssen die Praxis abwarten, aber ich bin bezüglich der Wirksamkeit des Ansatzes skeptisch. Es ist ähnlich wie in Australien, das gerade mit bewahrpädagogischen Ansätzen voran prescht und die Nutzung von Social-Media-Plattformen vor dem 16. Lebensjahr verbieten will. De facto ist das Gesetz durch und es wird so kommen. Die Anbieter sind verpflichtet, dass es eingehalten wird. Wie die Anbieter das Alter der Nutzer*innen überprüfen sollen, erschließt sich mir nicht. Auch nicht, ob wir solche Überprüfungen wirklich wollen.

Ein weiterer Ansatz des DSA ist die Beschwerde-Möglichkeit. Die Stelle KidD ist für Kinder und Jugendliche digitaler Koordinator im Sinne des DSA und konkrete Verstöße gegen die Vorschriften des DSA können dort gemeldet werden. Die Meldung erfolgt online über die dafür eingerichtete Internetseite. Die Beschwerden werden geprüft und bearbeitet. Welche Ergebnisse in der Praxis erzielt werden können, bleibt abzuwarten und spannend. Ich werde das verfolgen.

Der letzte und meines Erachtens wichtigste Ansatz des DSA ist folgender: Die Plattformen sind jetzt in der Pflicht benutzerfreundliche Voreinstellungen vornehmen zu müssen. Der KidD-Stelle obliegt auch die Überwachung dieser Voreinstellungen und es können bestimmte Voreinstellungen angeordnet werden, wenn der Anbieter nicht kooperiert. Dieses ist der Punkt, den ich persönlich am Entscheidendsten finde: Da keiner AGBs liest und auch nicht klar ist, wie man wirklich feststellt, ob Nutzer*innen minderjährig sind, macht es Sinn, dass eine Stelle die Anwendungen auf benutzerfreundliche Voreinstellungen für Kinder und Jugendliche prüft, und, sind diese nicht gegeben, diese einfordern kann. Das könnte uns in Zukunft voran bringen. Ich bin sehr gespannt, wie dieser Ansatz umgesetzt wird und wozu er führt.

Unter dem Strich haben wir uns mit dem DSA im Datenschutz unserer Kinder und Jugendlichen einen sehr deutlichen Schritt nach vorne bewegt. Wie immer kommt es auf den Willen zur Umsetzung bei den Beteiligten an. Und wie immer ist es eine Frage des Geldes und der Politik. Die Welt könnte eine bessere sein, wenn Moral vor wirtschaftlichen Interessen stände. Das gilt natürlich auch hier. Der Kampf zwischen Regulierung und Aufsicht auf der einen Seite, und den Tech-Giganten auf der anderen Seite, hat gerade erst begonnen. Er wird lang und schwierig werden.

Und abschließen werde ich das Thema einmal mit einem Blick in die "International Computer and Information Literacy Study" zur digitalen Kompetenz von Achtklässlern. Diese Studie wird regelmäßig wiederholt, so dass auch Vergleichszahlen zu vorherigen Jahren vorliegen. Deutsche Schüler*innen liegen demnach in den Digitalkompetenzen leicht über dem Mittelwert aus mehr als 30 Ländern, die für die Studie herangezogen wurden. Im Vergleich zu den Vorjahren ist die Digitalkompetenz der Deutschen Schüler*innen rückläufig. Gut 40% verfügen nur über rudimentäre digitale Kenntnisse mit Computern.

2. Jahresrückblick

Man kann es kaum glauben, aber das Jahr 2024 ist schon wieder zu Ende. Gefühlt hatte es gerade erst begonnen. Es war ein ungewöhnliches Jahr, das voll neuer Regulierungen und Thematiken war. Ich habe so etwas vorher noch nie erlebt und bin beim Lesen kaum mehr mitgekommen. Der Digital Markets Act (DMA) aus 2023 hatte seine Kraft zu Anfang 2024 entfaltet. Dazu kam die Einführung des eRezepts. Ebenso im Frühjahr 2024 kam der Digital Services Act (DSA) samt deutscher Umsetzung hinzu. Und danach NIS2 für Unternehmen kritischer Infrastruktur sowie der EU-AI-Act zu künstlicher Intelligenz. Gleichzeitig stand der Start der elektronischen Patientenakte für den Januar 2025 an. Es gab bisher in keinem Jahr so viel an komplexen Regelungen zum Lesen und Durcharbeiten. Daneben begleitete uns das ganze Jahr über das Thema künstliche Intelligenz (KI) in jeder erdenklichen Form. Ich hoffe, und es sieht alles danach aus, dass es in 2025 ruhiger zugehen wird und die Gelegenheit besteht, die Neuerungen aus 2024 teilweise nochmal detailliert aufzuarbeiten.

Neu in 2024 war auch der Hinweisgeberschutz. Für rund ein Dutzend Kunden durfte ich Hinweisgeberportale einrichten, um dieser gesetzlichen Verpflichtung nachzukommen. Tatsächlich gab es bis Anfang Dezember nur einen einzigen Fall und zwei beratende Anfragen, die über diese Portale auf mich zugekommen sind. Der einzige Fall hatte es auf eine gewisse Weise in sich. Er hat gezeigt, dass in Unternehmen manchmal "verrückte Dinge" passieren können, die niemand kommen sieht und erwartet. Die Anfragen kamen alle telefonisch. Dabei hatten alle Anfragenden das Vertrauen, dass sie anonym bleiben und keinen Bedarf irgendwie hierrüber diskutieren zu wollen.

Im Jahresrückblick ist mir das Thema KI am präsentesten geblieben. Es gab hier sehr viele Anfragen von Kunden in ganz verschiedener Hinsicht. Diese betrafen nicht nur den Datenschutz, sondern auch inhaltliche Fragen zur Nutzung und zu Möglichkeiten des Einsatzes von KI. Dieses Thema wird uns bestimmt über die nächsten Jahre weiter beschäftigen. Es birgt zahlreiche Fragestellungen und Risiken, nicht nur in Bezug auf Datenschutz und juristische Themen, wie das Urheberrecht, sondern auch in psychosozialer Hinsicht. Neben KI war das Hacking von E-Mail-Accounts ein zentrales Thema in 2025. Einige meiner Kunden waren selbst betroffen und im Sommer schien es mir zeitweise so, als wäre diese Problematik völlig außer Kontrolle geraten. Die Cybersicherheit wird weiter ein großes Thema bleiben. In 2025 möchte ich diesen Bereich durch Schulungen verstärkt angehen.

Darüber hinaus habe ich mich in 2024 noch recht intensiv weitergebildet und ein neues Zertifikat gemacht, worüber ich im nächsten Newsletter detaillierter berichten werde. In diesem Sinne war 2024 ein sehr volles Jahr und ich gucke positiv nach vorne auf 2025. Es sieht danach aus, dass das Jahr 2025 ruhiger wird.

3. Aktuelles aus dem Datenschutz

Der Kollege Stephan Hansen-Oest aus dem schönen Flensburg weist in einem Newsletter auf ein Problem hin, dass ich auch schon hatte. Ein Kunde bekommt eine Anfrage zum Nachweis des Datenschutzes im Unternehmen oder im Rahmen einer Auftragsverarbeitung zum Nachweis bestimmter Erfordernisse: Und irgendein engagierter Mitarbeiter schickt dann irgendwas zu, was er im Intranet der Firma dazu findet. Oftmals Dinge, die nicht unbedingt für andere Unternehmen gedacht sind, zum Beispiel einen Bericht des Datenschutz-beauftragten, in dem alle Mängel aufgeführt sind. Sollten Sie solche Anfragen bekommen, kontaktieren Sie Ihren DSB und klären die Antwort mit diesem ab. Das bewahrt vor Fehlern.

Das BVerfG war aktiv und hat ein Urteil zu "strategischer Inland-Ausland-Fernmelde-überwachung des BND gefällt. Teile der dort gängigen Verfahrensweisen sind demnach verfassungswidrig und müssen anders gestaltet werden. Und das BVerfG hat auch seine Untersuchung zum Leak des Urteils zum Bundeswahlgesetz 2023 abgeschlossen. Als Ursache wurde erkannt, dass das Urteil als PDF vorab abgerufen werden konnte (Wissen wir alle!) und dass es einen technischen Fehler gab (Wissen wir auch alle!). Nach Bekanntwerden wurde das Dokument umgehend entfernt (Wissen wir alle!) und die technische Falscheinstellung wurde am Folgetag deaktiviert (Wissen wir auch alle!). Wer und warum es zu der Falscheinstellung kam, menschliches Versagen vermutlich, wurde nicht erläutert.

Das BSI hat eine Studie zu Online-Wahlen veröffentlicht. Auch das ein wichtiges Thema. Immer mehr Abstimmungen und nicht politische Wahlen, wie zum Beispiel Sozialwahlen, erfolgen online. Wie kann man sicherstellen, dass diese nicht manipuliert oder durch technische Fehler verfälscht werden? Auch das ein wichtiges Thema unserer Zeit und der digitalen Weiterentwicklung.

Security-Insider berichtet zu Passkeys, die sich gegenüber Passwörtern immer mehr durchsetzen. Deren Umfrage nach ist es so, dass 51% aller Nutzer*innen einen Zugangsversuch zu einem Onlineportal abbrechen, wenn man sich nicht an das Passwort erinnern kann. In der Gruppe der unter 35-Jährigen sind es sogar 70%. Passkeys sind daher eine sichere und gute Alternative, um das Problem "Passwort vergessen" nicht mehr zu haben.

Auf internationaler Ebene war bereits Ende Oktober mal wieder ein Treffen der Daten-schutzaufsichtsbehörden in Jersey zum Thema "Date Free Flow with Trust (DFFT)" gewesen. Die Gruppe nennt sich Global Privacy Assembly (GPA). Hier geht es um vertrauenswürdigen internationalen Datenverkehr. Die Delegation der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ist hier sehr engagiert. Das Thema klingt sehr politisch, abstrakt und wenig interessant. Für unseren Alltag ist es das alles auch, aber in globalen Ansätzen ist es sehr wichtig. Ergebnis war eine neue Resolution zum DFFT.

Und wo ich schon bei der BfDI bin: Ein Thema, das vermutlich niemand auf dem Schirm hat, das aber auch Berechtigung besitzt, ist "Datenschutz an den Schengen-Außengrenzen". Über ETIAs (European Travel Information and Authorisation System) können demnächst ca. 1,6 Milliarden Menschen aus über 60 Staaten, die kein VISA benötigen, in die EU einreisen. Auch deren Daten sollten richtig und sicher verarbeitet werden.

Ich berichte einmal aus dem ThreatLabz-Report und zitiere: "Der aktuelle Report hat über 200 bösartige Apps im Google Play Store mit insgesamt mehr als acht Millionen Downloads identifiziert und weist eine Zunahme von 29 Prozent an Banking-Malware-Angriffen sowie einen Anstieg von Spyware um 111 Prozent im Vergleich zum Vorjahr aus." - Mobile Geräte stehen auch im Fokus von Cyberkriminellen und hierbei sind vor allem veraltete, nicht aktuelle Betriebssysteme Sprungtor für einen Angriff. Daten Sie IOS und Android immer auf die neueste Version ab und installieren Sie die Sicherheitspakete.

Das OLG Dresden hat etwas Interessantes entschieden (4 U 940/024 vom 15.10.2024): Demnach sind Auftragsverarbeiter verpflichtet, nach Beendigung eines Auftrags, die personenbezogenen Daten der Auftraggeber tatsächlich zu löschen und hierüber eine klare, aussagekräftige Bescheinigung auszustellen. Solche Bescheinigungen habe ich bisher noch nie gesehen. Auch das sehr spannend.

Es gibt einen neuen Entwurf für ein Beschäftigungsdatenschutzgesetz. Ich habe den Entwurf ungelesen in den Ordner mit den bisherigen Entwürfen zu diesem Thema kopiert. Bisher gab es nie realistische Ansätze zu dem eigentlich wichtigen Beschäftigungsdatenschutz und jeder Entwurf, den ich gelesen habe, hat es nicht mal ansatzweise auf den Weg ein Gesetz zu werden geschafft. Es wird diesmal nicht anders sein.

Last but not least: Jemand hat den Ökostromanbieter "Tibber" gehackt und die Daten von 50.000 Kunden werden nun im Darknet gehandelt. Das Unternehmen steht damit stellvertretend für zig andere, denen das auch passiert ist. Es lohnt sich eigentlich gar nicht mehr solche Vorfälle noch zu erwähnen. Es tobt weiter der ganz normale digitale Wahnsinn!

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Mir bleibt an dieser Stelle nicht anderes übrig, als Ihnen bereits jetzt ein frohes Fest und einen guten Rutsch zu wünschen. Der nächste Newsletter wird erst im nächsten Jahr erscheinen. Ich wünschen Ihnen alle ruhige, erholsame Feiertage und ein gutes sowie erfolgreiches Jahr 2025. Ich plane den ersten Newsletter 2025 mit dem Thema KI, neuronale Netze und deren Unterschied zum menschlichen Gehirn zu starten.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de