Bernhard Veeck, Rechtsanwalt

Verschlusssache Datenschutz, oder Art. 32 DSGVO vom Ende-zum-Ende her gedacht

RECHTSANWALTER & LEBENSKÜNSTNER. – Der Compliance-Podcast

Sprecher
Sie hören Rechtsanwalt und Lebenskünstler der Compliance Podcast von Schulte Rechtsanwälte.

Thorsten
Herzlich Willkommen zu einer neuen Folge von Rechtsanwalt und Lebenskünstler, dem Compliance Podcasten. Mein Name ist Thorsten Walter, Ich bin Arbeitsrechtler und Datenschützer bei Schulte Rechtsanwälte in Frankfurt.

Kim Manuel
Mein Name ist kimon Künstler, ich bin Güterrechtspartner bei Schulte Rechtsanwälte. Herr Thorsten, Endlich sehen wir uns mal wieder. Und heute haben wir uns sogar Verstärkung ins Haus geholt, nachdem die letzte Episode uns vielleicht auch ein bisschen entglitten ist mit den mit Ableitung der Emotion am Arbeitsplatz. Der ein oder andere erinnert sich vielleicht, sonst empfehle ich, noch mal reinzuhören, deswegen haben wir uns heute sachkundige Verstärkung geholt mit Bernhard Veeck, von Bytelaw. Bernhard am besten Du stellst dich selbst einmal kurz vor und deine Kanzlei.

Bernhard
Ja, also Bernhard Veeck von ByteLaw und wir sind eine Kanzlei, die sich spezialisiert hat, nur noch auf Datenschutz und It recht und mit allen Randgebieten, ob das jetzt KI ist oder ähnliches und immer aber auch ein großer Bezug zum Datenschutz, denn ich komme direkt vom Datenschutz, ich gehöre zu den Datenschutz Urgesteinen, also bei mir passiert es halt auch manchmal, dass ich noch in den alten. Definitionen bleibe von verantwortlicher Stelle und Auftragsdatenverarbeitungsvertrag da weiß dann jeder okay, der ist mit der BDSG alt und wir sind 3 Partner und inzwischen auch 3 angestellte Anwälte, die sich halt wirklich genau nur noch mit diesen ganzen Themen beschäftigen. Wir sitzen hier in Frankfurt, also um die Ecke auch von euch nicht weit entfernt, Reichweite und ja, ich glaube das sollte doch reichen, oder?

Kim Manuel
Ja, ja, vielen Dank für mich auch, dass du die Zeit nimmst und ich kann nur sagen, eine sehr nette, sehr fähige Kanzlei und es macht immer Spaß sich auch mit euch auszutauschen und können wir glaube ich nur uneingeschränkt empfehlen. Kann ich bestätigen, die Diskussionen mit Bernhard sind immer sehr abwechslungsreich und spannend. Wir haben uns heute gedacht, dann ziehen wir diese Diskussion doch einfach direkt zu uns in den Podcast. Gut, ich muss dann auch einen Apfel beißen und muss zugestehen, dass du Thorsten, es dadurch natürlich wieder geschafft hast, den Datenschutz wieder reinzuholen, wenn er denn überhaupt niemals weg war. Aber ich habe mir auch sagen, Sie spielt schon auch eine gewisse Rolle, so im im unternehmerischen Alltag mittlerweile, von daher will ich mich hier nicht beschweren.

Thorsten
Habe ich dich soweit?

Kim Manuel
Ja, ja, das ist eine Resignation. Aber. Das ist vielleicht der erste Schritt. Ne, man muss mich vielleicht erst brechen, bevor du mich dafür begeistern kannst. Spannst bei Seite, bevor uns wieder uns entgleitet. Ja lass uns einsteigen, was habt ihr mit den Schönes mitgebracht? Datenschutz thematisch wo deines Vorstellungen, worüber sprechen wir heute?

Thorsten
Ja, nachdem wir das letzte Mal sehr emotional waren, haben wir heute ein gänzlich unemotionales Thema. Wir werden heute sehr viel über. Über Technik, insbesondere das Thema E Mail, Verschlüsselung sprechen und die Möglichkeiten, wie ich denn eine E Mail Kommunikation angreifen kann. Deswegen auch Bernhard hier mit mit an Bord. Es geht um die Entscheidung des OEG Schleswig aus dem Dezember 18.12.2024 12 u 9 aus 24 eine Entscheidung die. Vorsichtig formuliert, sehr kontrovers diskutiert wurde und diskutiert wird. Wir sind ein kleines bisschen Late To the Game, Es ist schon einiges dazu geschrieben worden, aber das soll uns nicht davon abhalten, auch unsere Five Cent noch mal dazu zu geben, insbesondere weil ich auch die Diskussionen teilweise ja ein bisschen undurchsichtig finde und ich glaube, man kann den Fall eigentlich. Ganz, ganz gut sezieren wenn ihr einverstanden seid, würde ich ganz kurz den den Sachverhalt schildern und dann steigen wir in die Diskussion ein. Also zwischen den Parteien bestand ein Werkvertrag über Bauleistungen und die Klägerin hier in diesem Verfahren war also der Bauunternehmer hat diese Leistungen auch anstandslos erbracht. Und übersandte der Beklagten während dieses gesamten Bauvorhabens 2 abschlussrechnungen. Die sind auch anstandslos bezahlt worden, die der Prozess lief so, dass der Bauunternehmer, also die Klägerin, diese Rechnungen immer erst an den Bauleiter der Beklagten wohl zur Freigabe geschickt hat und der Bauleiter die dann an die Beklagte weitergeleitet hat und dann die Zahlung ausgelöst worden ist. Nach Abnahme des Werkes war dann noch ne Restvergütung offen, die die Klägerin dann mit einer Schlussrechnung in Rechnung stellte und auch diese Schlussrechnung übersandte sie per E Mail. Das war ein angehängtes PDF, was wiederum an den Bauleiter übersandt wurde und diese E Mail enthielt oder auch das PDF, was Gegenstand die die Rechnung zum Gegenstand hatte, enthielt personenbezogene Daten der Beklagten. Was unstreitig ist, ist, dass diese Rechnung wohl auf ja wohl in manipulierter Art und Weise bei dem Bauleiter angekommen ist, und zwar manipuliert in der Form, dass die Kontoverbindung der Klägerin geändert worden ist. Und es gab wohl auch einige, so wie ich den Sachverhalt verstanden habe, doch relativ offensichtliche Änderungen am Layout der Rechnungen. Wie gesagt, deswegen sind diese 2 Abschlagsrechnungen wichtig. Für die Frage hätte man das erkennen können. Die Beklagte überwies dann nach Freigabe der Rechnung durch den Bauleiter diesen Rechnungsbetrag auf das auf dieser manipulierten Rechnung angegebene Konto, also damit an irgendeinen Dritten, mit der Folge, dass die Klägerin diesen Rechnungsbetrag also nie erhalten hat. Und dann entsprechend auf diese Zahlung geklagt hat. Das Verfahren war in erster Instanz beim Landgericht Kiel anhängig. Urteil vom 19.12.2023 und das Landgericht Kiel hat in erster Instanz der Klage auf den Werklohn in vollem Umfang stattgegeben, hat sich also auch mit der Frage auseinandergesetzt, ob durch diese. Falsch geleitete Zahlung der beklagten Erfüllung eingetreten ist. Das hat das Gericht, wie ich finde, sehr sauber durchdekliniert, kommt also zu dem Ergebnis, dass keine Erfüllung eingetreten ist, mit der Folge, dass eben die Werk die Werklohnforderung noch besteht und noch mal gezahlt werden muss. Das Gericht hat sich auch mit der Frage eines Schadensersatzanspruchs der Beklagten wegen angeblicher Pflichtverletzungen im Zusammenhang mit der E Mail Kommunikation auseinandergesetzt. Und stützt diesen Schadens oder die Prüfung des Schadensersatzanspruchs auf 280 Absatz 1 und 241 Absatz 2 BGB. Kam da aber zu dem Ergebnis, dass keine Nebenpflichtverletzung bestand, weil die Klägerin ausreichende Schutzmaßnahmen im Zusammenhang mit der E Mail Kommunikation getroffen hatte. Diese E Mail war nur transportverschlüsselt.

Kim Manuel
Und Standard, der Standard, der immer noch auch in Deutschland herrscht, korrigiert nicht, wenn das anders ist. Aber normale E Mail um um es einfach auszudrücken.

Thorsten
Ganz genau, ganz genau also die Frage einer Nebenpflichtverletzung hat das Gericht abgelehnt und hat sich dann auch noch in der mit der Frage auseinandergesetzt, selbst wenn man hier eine Pflichtverletzung unterstellen würde, wie es denn mit dem Mitverschulden der Beklagten aussehe, und da hat das Gericht eben damit argumentiert, dass. Für die Beklagte ersichtlich gewesen sei, dass das eine manipulierte Rechnung gewesen sei und die Beklagte deshalb ein erhebliches Mitverschulden treffen würde. Also selbst bei einer bei einer unterstellten Pflichtverletzung hätte das Gericht den Schaden hier entsprechend in erheblichem Umfang gemindert, also insgesamt für die Beklagte wenig erfreulich, war die Beklagte dann zur nochmaligen Zahlung verpflichtet. Und das Verfahren ist dann eben zum OLG Schleswig gewandert. Vielleicht räumen wir noch ein Thema ab, also die die Frage der Werklohnforderung und der Erfüllung durch die Zahlung oder beziehungsweise der mangelnden Erfüllung. Das hat das OLG Schleswig genauso gesehen wie das Landgericht Kiel, also keine Erfüllung durch die Zahlung. Dann wird es allerdings spannend und abenteuerlich, weil das OLG Schleswig also nicht hier mit einem Schadensersatzanspruch wegen 280 241 argumentiert, sondern Bernhard mit unserer Lieblingsvorschrift dem Artikel 82 DSGVO, also einem Schadensersatzanspruch, der aus der DSGVO resultiert, und danach macht sich derjenige, der gegen die Vorschriften der DSGVO verstößt, schadensersatzpflichtig. Dass der vielleicht besondere Twist an der Entscheidung des OLG Schleswig gegenüber dem Landgericht Kiel und dann lasst uns doch vielleicht ein bisschen genauer jetzt mal in die Argumentation reinschauen.

Kim Manuel
Mit eigenen Worten kurz zu hören, was können also es geht quasi darum, dass eine Rechnung versendet wird, auch von dem Absender, der sie verschickt hat, aber die Rechnung wurde von einem Dritten manipuliert. Punkt, bei dem Kunden an der Kunde jetzt die Frage konnte es erkennen oder nicht, aber er hält die Rechnung für echt bezahlt auf das falsche Konto und stellt sich jetzt auf den Standpunkt ich habe ja bezahlt damit hat sich es erledigt während das Unternehmen sagt Na ja du hast bezahlt aber nicht an mich deswegen ist keine Firma getreten, deswegen bezahlst du jetzt bitte noch mal wenn ich an mich weil du hättest ja auch erkennen können, dass es manipuliert war ja also. Das ist ja so ein bisschen die Frage. In wessen Risikosphäre fällt diese Manipulation und die Zahlung, die darauf dann geleistet wurde, und da ist das jetzt schon als abenteuerlich geframe Thorsten und wenn ich richtig verstehe, hat das OEG und und das kam dann ein bisschen, die kam ja aus der Kiste, dieser dieser nicht kartellrechtliche Entschuldigung, der datenschutzrechtliche. Ja, Gewohnheit hier, aber nein. Der datenschutzrechtliche Schadensatzanspruch, so Artikel 82, wurde dann rausgeholt und und quasi gesagt, Na ja, durch diese reinen Transportverschlüsselung, das genügt nicht, wenn da personenbezogene Daten verschickt werden, sondern da hätte man zumindest mal Ende zu Ende verschließen müssen, und das ist ein Verstoß und daraus resultiert ein datenschutzrechtlicher Schadensatzanspruch für den Kunden und der Kunde kann jetzt. Im Wege der Arglist Einrede quasi sagen, ich halte deinen Zahlungsanspruch meinem datenschutzrechtlichen Schadensanspruch entgegen und es wäre jetzt arglistig, wenn du die Erfüllung verlangst, weil ich könnte diesen Anspruch entgegenhalten. Also das ist ja eine normale zielrechtliche Vorgehensweise dann, wenn man einen Gegenanspruch hat, das ist so ein bisschen noch mal kurz zusammengefasst, glaube ich, worum es geht.

Bernhard
Ja, aber dann? Wir verfügen den gleichen Teil. Ja, und zwar hier. Fangen wir nämlich an, auf einer ganz anderen Ebene. Aus meiner Sicht wäre wirklich das wichtigste, Mal auf einer ganz anderen Ebene anzufangen, und zwar nicht die Frage, in welcher Risikosphäre das liegt, sondern vielmehr wo hat überhaupt die Manipulation stattgefunden, also auf der Tatsachenebene, weil jetzt muss man einfach mal sich einfach mal den technischen Hintergrund ansehen. Normalerweise hat man ja immer, hat man die so. Das ist ein sogenannter höchstwahrscheinlich, wir gehen, also ich gehe jetzt mal davon aus, dass das ein Business e Mail kommt, wo meist Angriff war, die gibt es in verschiedenen Varianten, also ein typischer Phishing Angriff, du kriegst eine Phishing Mail, der Angreifer verschafft sich dann Zugriff und jetzt kommen wir halt zu diesem technischen Hintergrund, entweder diese Phishing Attacke findet statt beim Empfänger der Mail oder sie findet statt beim Versender der Mail. So, das würde nämlich folgendes bedeuten. Jetzt gehen wir erstmal einfach die Varianten durch. Es hat als eine Phishing Variante stattgefunden beim Werkunternehmer durch diese Phishing Attacke hat sich dann der Angreifer Zugriff verschafft auf das E Mail System, dann kann jetzt folgendes passieren oder er hat sich sogar. Zugriff verschafft auf das gesamte System, was man ja relativ häufig auch hat. Bei dieser typischen Frage der Verschlüsselung von ganzen Unternehmen. Da wird dann auch über eine Phishing Attacke wird dann sich Zugriff auf das gesamte System verschafft und dann kann man gegebenenfalls Variante 1 schon mal anfangen alle Rechnungen also auf dem auf dem Rechnungstemplate, was ihr natürlich auch in den Kanzleien habt oder wir auch haben einfach mal die IBAN auszutauschen. Das würde bedeuten, ich habe jetzt diese Phishing Attacke, dann gehe ich als Angreifer hin, gehe auf euer Template und was der Thorsten dann auch hat und würde einfach nur anfangen auf dem Template die die IBAN auszutauschen. Das würde dann dazu führen, dass jetzt jede einzelne eure Rechnungen geht ja damit jetzt schnell geht raus, ihr stellt die Rechnung, die Rechnung wird dann versandt aber es ist immer von vornherein ist die ist die schon drauf so das würde bedeuten jede Rechnung gibt noch eine zweite Variante. Technisch nämlich. Ich verschaffe mir nur Zugriff auf die auf den Postausgang, auf den auf den E Mail Account selbst und spüre dann ein paar Regeln ein. Also ich will jetzt diese Technik nicht so tief reingehen, aber ich spüre ein paar Regeln ein, da wird die E Mail erstmal mit der Regel erstmal verschoben, dann tausche ich in dieser E Mail tausche ich dann die IBAN Nummer um und kann dann auch bei einer konkreten E Mail. Einfach die IBAN austauschen und danach wird sie dann versandt an den Empfänger. Also das wäre jetzt die Variante 1, was auch du mit Risikosphäre gesagt hast. Ich fange halt tiefer an, ich komme mal von der technischen Sphäre Variante 2. Beim Empfänger wird der wird der Account, wird der Account gehackt und. Im Übrigen noch bei diesem Verfahren. Jetzt hier wurde hat sogar die Klägerin auch vorgetragen, dass der Bauleiter des Auftraggebers, nachdem diese E Mail rausging, urplötzlich oder plötzlich den ganzen E Mail Account gewechselt hat. Also könnte sein, dass er davor halt bei Gmail ohne jetzt hier Werbung zu machen als von Gmail Rübergegangen jetzt auf einen auf einen anderen aber. Auf jeden Fall wurde dann hat er seinen E Mail Provider gewechselt, muss man einfach dazu wissen. Also spricht ein bisschen was dafür, dass es vielleicht sogar Variante 2 war, aber so weit wollen wir nicht gehen, weil ist in dem Urteil auch ehrlicherweise nicht eingehend besprochen worden. So aber jetzt der technische Hintergrund, da kann ja genau das Gleiche passieren. Du kannst halt einfach bei deinem deinen E Mail Account wird halt mit einer Regel einfach dann gehackt. Regel rein wird dann verschoben, dann wird die, da wird wiederum die die Rechnung geändert, andere IBAN rein und dann wird halt weitergeleitet an dich und für dich sieht es dann so aus als ob du jetzt an dieser Stelle eine ordnungsgemäße Rechnung erhalten hast. Die war allerdings schon vorher da, ist halt nur in deinem E Mail Account selbst noch mal geändert worden. Gibt noch eine vierte Variante, die haben wir alle schon mal hinter uns gehabt. Das kennt ihr doch bestimmt auch dann dieses typische Ding, es wird euch einfach eine Rechnung von der Telekom oder von sonst jemand geschickt, auf die ihr urplätze zahlen sollt und oben bei der Telekom das L ist eigentlich ein großes I und so weiter und kommt dann von einem völlig anderen Account eigentlich aber diese Variante, von der gehen wir nicht aus und jetzt kommen wir zum spannendsten Teil technisch das. Das OLG Schleswig ist davon ausgegangen, dass eine sogenannte man in der Mittel Attacke war. Also wir haben jetzt das OLG Schleswig ist nicht davon ausgegangen, dass wir jetzt ein bisschen die E Mail konformals hatten, sondern eine man in der Mittelattacke eine man in der Mittelattacke wiederum bedeutet, die E Mail ging raus zum Telekommunikationsanbieter, beim Telekommunikationsanbieter wurde im Rahmen der Übertragung wurde die E Mail rausgezogen. Geändert und dann wieder praktisch in den in den normalen Übermittlungsvorgang wieder eingespeist. Das ist natürlich ein Vorgang, der weitaus schwieriger ist. An der Stelle als als die anderen beiden, weil du müsstest ja den Zugriff verschaffen, zum Beispiel auch die Server der Telekom oder jetzt bei Call Telekom oder bei irgendeinem Telekommunikationsanbieter und müsstest da alle alle Sicherungsmaßnahmen, die der Telekommunikationsanbieter hat, die müsstest du überwinden und. Um dann halt diese E Mail rauszuziehen und wieder einzuspeisen, was natürlich unglaublich schwierig ist, weil du musst dich ja anhalten, weil sonst setzt du ja 2 e Mails. Also selbst wenn du sie jetzt lesen würdest, kopieren würdest, würde ja noch eine zweite E Mail kommen, sondern du musst sie wirklich rausziehen. Das ist natürlich eine viel schwierigere Sache und jetzt bin ich bei deiner Risikosphäre meine ganz gemeine Frage. Du weißt ja gar nicht, über welche Leitungen das geht und an welcher Stelle. Jetzt an dieser Stelle zum Beispiel jetzt bei bei der Men in der Mittelattacke, wo überhaupt das jetzt stattgefunden hat, welcher Sphäre willst du denn das zurechnen? Und die nächste Frage ist Mitverschulden des Telekommunikationsanbieters.

Thorsten
Lass uns das, lass uns das noch mal. Lass uns das noch mal vielleicht ganz kurz auch noch mal einordnen im Hinblick auf die Argumentation des OEG Schleswig, weil das OEG Schleswig Kim, Du hast es vorhin gesagt, hat er die Auffassung vertreten, dass die gewählte Transportverschlüsselung hier keine ausreichende technisch organisatorische Maßnahme gewesen sei, um die E Mail Kommunikation zu schützen und hat gesagt, gerade bei. E Mail Kommunikation mit hohem Risiko ja, und hier ging es um ne Rechnung von über 15000€ sei eine Ende zu Ende Verschlüsselung die angemessene Maßnahme. Wenn ich mir jetzt das anhöre was Bernhard dazu sagt, dann wäre ja die Ende zu Ende Verschlüsselung nur dann das probate Mittel eine Manipulation der E Mail zu verhindern, wenn es sich um eine man in The Middle Attacke handelt, also der die E Mail Kommunikation als solche gestört wird, also die E Mail quasi auf dem Weg vom Absender. Zum Empfänger abgefangen und manipuliert wird mal ganz vereinfacht gesagt, aber in den beiden anderen Fällen, die rein technisch wahrscheinlich auch wesentlich einfacher zu realisieren sind, nämlich einen Hackerangriff unmittelbar auf die Systeme des Absenders mit einer Manipulation der Rechnung vor Ort, dann würde die Ende zu Ende Verschlüsselung einfach gar nichts bringen, weil dann würde eben über eine Ende zu Ende Verschlüsselung eine manipulierte E Mail versandt werden. Das gleiche eben auch bei einem Hackerangriff auf die Systeme des Empfängers. Auch dann würde die Ende zu Ende Verschlüsselung nichts bringen, weil eben die Manipulation nicht auf dem Kommunikationsweg, sondern auf den Endsystemen erfolgt ist. Also diese Annahme, die das ORG Schleswig hier getroffen hat, dass es sich um eine man and the Middle Attacke gehandelt haben soll und deswegen die Ende zu Ende Verschlüsselung das richtige probate Mittel gewesen wäre, wo nimmt das ORG denn diese Schlussfolgerung, Herr Bernhard Bernhard?

Bernhard
Das ist ja genau die Frage, weil an der Stelle muss man sagen, da wissen sie, aber der Darling muss einen Beweis lassen, der ganz normal zivilprozessoralen Darlegs einen Beweis lassen und an dieser Stelle hat ja dezidiert der Kläger vorgetragen, a Wir hatten, wir hatten es verschlüsselt an dieser Stelle, es gab eine sogenannte Transportverschlüsselung, also bei der Transportverschlüsselung Halt nur, die hilft ja nur weiter zwischen dem. Zwischen dem E Mail Provider und dem des Versenders, dem e Mail Provider des Empfängers und alles was dahinter ist oder davor ist, wird ja dann nicht geschützt. Aber auf dem Transport ist ja dann die E Mail dementsprechend ja verschlüsselt durch die Transportverschlüsselung. So und da stellt sich auch für mich die Frage, wenn doch jetzt schon eine Partei, und das war ja der, die die Klägerin gesagt hat, Moment mal also a und. Wir gehen davon aus, dass an dieser Stelle später bei dem bei dem Bauleiter die E Mail verfälscht wurde und die haben ja auch vorgetragen, auch dezidiert vorgetragen, unmittelbar nachdem diese E Mail dann bei eingegangen ist. Beim Bauleiter hat dieser sogar angefangen und hat seinen ganzen E Mail Account hat er dann auch noch umgestellt urplötzlich also da da stellt sich schon die Frage, ob an dieser Stelle überhaupt nicht, warum das Gericht an dieser Stelle überhaupt nicht weitergegangen ist. Trotz dieses Vortrages und einfach weiterhin einfach von der Men in die Mittelattacke ausgegangen ist. Obwohl Pflegerseitig vorgetragen wurde im Moment die Manipulation fand beim Bauleiter statt.

Kim Manuel
Finde ich erstmal sehr spannend, wie ihr das technisch aufgelöst habt. Erinnert mich ein bisschen, die Diskussion gab es ja auch schon rund um die Frage des Zugangs, eine Willenserklärung im e Mail Verkehr, ne, da ist ja auch mal die Frage, muss man sich genau anschauen, welchen Weg nimmt diese e Mail und in welchen Zugriffsbereich ist er eigentlich gelangt? Ja und ähnlich. Kann das hier jetzt eben auch diese, diese diesen Transportweg auf Schlüsseln und muss sich dann eben fragen in ja, ich gehe jetzt wieder zurück zum Risiko vor oder in welcher Sphäre lassen wir das Risiko mal weg? In welcher Sphäre fand eigentlich die Manipulation statt? Ja und wenn ich euch richtig verstehe, dann ist das in dem Urteil, zumindest ist das aus dem Urteil selbst nicht ersichtlich, wie das OOLG eigentlich diese Schlussfolgerung kommen konnte. Und es eigentlich nur dieser, die die Begründung des Artikel 82 Schaden des Anspruchs DSGVO nur Sinn ergibt, wenn es eine Mandy Mittelattacke war und eigentlich von außen betrachtet, dass die am wenigsten wahrscheinliche Variante ist, weil es die technisch anspruchsvollsten ist, um die Manipulation herbeizuführen. Denn, und ich glaube, das ist auch naheliegend, auf dem jeweiligen Server beziehungsweise E Mail Account würde ja. Würde sich erreichen, das Passwort zum Beispiel zu knacken, in Anführungszeichen, um eine Manipulation vorzunehmen, während auf dem Transportweg die die Sicherheitsvorkehrungen wahrscheinlich deutlich verschärft sind.

Bernhard
Jetzt muss ich dir ein bisschen Wasser in den Wein gießen, nicht in jeder so, und zwar jetzt. Wenn du jetzt, wenn du jetzt zum Beispiel die Variante genommen hättest, diese Variante 1, also der Eingriff hätte stattgefunden, jetzt auf dem Server des Versenders. Dann wäre nur bei der bei dem Punkt gewesen. Wenn ich alle, wenn ich bereits bevor die Rechnung verschlüsselt wird ich schon die IBAN ausgetauscht habe. Also diese Template Variante nur dann würde es funktionieren bei der Variante 2. Ich habe Zugriff auf die auf den E Mail Account, wenn die Datei dann schon bereits verschlüsselt wurde. Also du machst jetzt einfach du machst die Rechnung fertig, du verschlüsselst sie und hängst sie dann an die E Mail an. Dann müsstest du zusätzlich ja auch noch Zugriff haben auf das Passwort, mit dem das verschlüsselt worden ist. Dieses Passwort hast du aber ja normalerweise nicht. Wenn du jetzt nur Zugriff hast auf den E Mail Account, weil du hast irgendwann vielleicht mal deinem Kunden gesagt, Pass auf, du hast jetzt immer wenn ich dir eine Rechnung schicke, hast du das Passwort XY und da wird ja immer dann gesagt mit den Passwörtern über 2 verschiedene Kommunikationswege und so weiter das kennt ihr ja bestimmt auch, also dass du es mal dem Kunden dann auch mal oder dem Mandanten. Einfach, dass du mal telefonisch mitgibst und dann halt eine e Mail losschickst, damit du halt nicht beides auf einem Transportweg hast. Also da, also da ist halt schon noch ein Unterschied was du sehen musst. Und beim Empfänger. Muss man auch ehrlicherweise sagen, wenn die Mail jetzt ankommt, dann müsste jetzt zum Beispiel bei PGP müsstest du schon deinen deinen Mail Account so eingestellt haben, dass deine, dass die Mails automatisch schon entschlüsselt werden, wenn die nicht automatisch entschlüsselt werden, würdest dir wieder folgen, würdest dir wieder den Weg gehen, dass du sagst. Ich, also ich nehme jetzt die, ich nehme die Anlage, ich ziehe sie runter auf den Desktop, ich ich öffne sie, ich entschlüssel sie und dann hättest du wiederum keine Möglichkeit gehabt an der Stelle einzugreifen. Also sind schon nach Unwegsamkeiten mit dabei, aber ich bleibe halt dabei am Ende der Mittel ist das schwierigste Variante überhaupt.

Kim Manuel
Wie war es eigentlich? Wie war es hier, die Rechnung verschlüsselt im konkreten Fall?

Bernhard
Na, das ist ja der Vorwurf. Der Vorwurf ist ja genau, wir hatten keine End to End Verschlüsselung, das wirkt ja das das ONG Schleswig ja genau vor also.

Thorsten
Gab auch aber auch das Dokument selbst war nicht verschlüsselt. Ich glaube das meinte meinte Kim Prisma.

Kim Manuel
Genau. OK, genau. Wenn ihr Angestellte seid, lasst uns gerne mal n bisschen den Artikel 82, dann aber auch im Blick nehmen, warum der überhaupt ne ne Rolle spielt und wie das Gericht darauf kommen konnte, dass hier n Schadensersatzanspruch besteht. Könnt ihr da n bisschen Struktur reinbringen?

Thorsten
Das ist, das ist auch in in, in wirklich eine sehr spannende Frage, wo ich für mich auch noch nicht so wirklich einen Knopf dran bekommen habe. OK, also der Artikel 82. Begründet Schadensersatzansprüche, wenn gegen die DSGVO verstoßen worden ist und das OEG Schleswig hat hier die Stellen auf den Artikel 32 ab der sagt, ich muss geeignete technisch organisatorische Maßnahmen schaffen, um ein angemessenes Schutzniveau zu schaffen. Und da leitet das OEG draus her, zu sagen, wir brauchen eine Ende zu Ende, Verschlüsselung, alles unterhalb dieses Standards ist eben keine angemessene Maßnahme. Jetzt mal die. Die technische Seite beiseite gelassen.

Kim Manuel
Wenn man das so nimmt, ne, dann würde es ja bedeuten, dass man im Grunde immer wenn man personenbezogene Daten nur per Transport, also Standard e Mail verschickt, wäre das ein CSGVO Verstoß.

Bernhard
Nein, nicht unbedingt. Nicht unbedingt, weil das heißt. Das heißt angemessen, also die Idee des GVO stößt, ist, ja fährt den sogenannten risikobasierten Ansatz, das heißt je risikoreichter Halt die Datenverarbeitung ist, umso höher müssten auch die technischen Maßnahmen sein, um jetzt die die Datenverarbeitung oder die Datenübermittlung schlicht und ergreifend zu schützen. Wenn du jetzt nur meinen Namen und meine e Mail Adresse zum Beispiel hättest und oder ich schreibe dir Kim, ich schreibe jetzt eine e Mail Hallo Kim, lass uns doch heute Abend was trinken gehen. So, dann wäre in dieser Mail zwar drin, ja, wir hätten eine Ratsangabe drin, wir hätten deinen Namen drin, wir hätten meinen Namen drin und wir wüssten höchstwahrscheinlich, wo wir beide unseren Abend dann aufhalten werden. Beim Bier so relativ einfache Sache, so aber das Risiko, was ja für mich und für dich an dieser Stelle entsteht, ist ja nur, dass irgendjemand weiß, wo wir heute Abend sind, das Risiko für unsere Rechte und Freiheiten an dieser Stelle ist halt nicht so hoch. Das OLG Schleswig wiederum ist ja hingegangen und hat gesagt, ja okay bei dem Empfänger der Rechnung stehen auch nur die ganz normalen Kontaktdaten da und es steht jetzt, das Bauprojekt steht da so, aber jetzt kommen wir zu dem springenden Punkt, warum das OLG Schleswig gesagt hat, mit dem risikobasierten Ansatz, es ist auch noch eine IBAN drin, die eigentlich ein personenbezogenes Datum ist des Unternehmens, die IBAN gehört ja dem. Bauunternehmen, und das ist eine juristische Person gewesen, und diese und noch der Rechnungsbetrag in Höhe von 15000€ und da ist das Ulg Schleswig dahin gekommen, dass das gesagt hat, diese Angaben insgesamt zusammengenommen, die führen dann zu einem so hohen Risiko, also dass man dann halt gegebenenfalls noch mal zahlen muss, dass dann nur noch eine End to End Verschlüsselung als angemessen erachtet werden kann. Übrigens, Spoiler für alle, die das Urteil vielleicht nachher noch mal lesen wollen. Warum das so ist, also warum das jetzt das einzige Mittel ist, die End to End Verschlüsselung, das sagt übrigens das OLG schließlich an dieser Stelle nicht. Also es gibt ja auch noch andere Möglichkeiten, aber da sagt es einfach ganz lapidar, es ist das einzig angemessene Mittel nach dem aktuellen Stand der Technik Punkt, aber sorry Thorsten.

Kim Manuel
Wenn ich kurz nach findet ihr das nachvollziehbar, diese Risikoeinschätzung.

Thorsten
Also eben auch für das konkrete Beispiel. Ehrlich gesagt nicht. Also da finde ich die Argumentation, die das Landgericht Kiel und das Landgericht Kiel hat, da glaube ich, auf eine etwas ältere Entscheidung des OEG Karlsruhe zurückgegriffen. Die haben das ja über den Schadensersatzanspruch nach 280 241 argumentiert, da, da kann man kann man sicherlich drüber nachdenken. Ja, aber hier geht es ja konkret um einen Schadensersatzanspruch wegen Verstoß gegen die DSGVO und Schutzzweck der DSGVO ist ja nicht per se den e Mail Verkehr zu schützen respektive die Rechnungen die zwischen oder überhaupt Dokumente zwischen. E Mail Kommunikanten aus zu ausgetauscht werden, diese zu schützen, sondern es geht um den Schutz von personenbezogenen Daten und im im weitesten Sinne der Persönlichkeitsrechte der Betroffenen. So, und wenn das das OEG Schleswig hat ja jetzt hier damit argumentiert, dass sie sagt, ja, diese Rechnung sei ein personenbezogenes Datum gewesen, und weil der Rechnungsbetrag entsprechend hoch ist, sei damit ein entsprechend hohes Risiko verbunden, was dann diese? Dieses erhöhte Verschlüsselungsniveau erforderlich gemacht hätte. Da hab ich insofern meine Schwierigkeiten, weil wie Bernhard schon sagte, die personenbezogenen Daten, die da gewechselt worden sind, ja das dürften ja im Zweifel Name, Vorname des Auftraggebers, der Auftraggeberin, also hier der Beklagten gewesen sein, vielleicht noch Anschrift, wo war das Objekt, belegen die IBAN, ja die Kontoverbindung und so weiter und sofort aber. Jetzt besonders sensible Daten, die jetzt einen, und daran hätte ich angeknüpft, an die Sensibilität der personenbezogenen Daten und des daraus resultierenden Risikos für die betroffene Person. Daran hätte ich den Schadensersatzanspruch bemessen. Das ORG Schleswig stellt aber auf die Höhe des Rechnungsbetrages ab und das halte ich für nicht nachvollziehbar.

Kim Manuel
Gewesen ist dann für die risikobasierten Ansatz, für den wir hier auch in jeder Folge zu einem Gruppe 1 Themen immer predigen und ich natürlich verstehe, dass der auch eine DSGVO maßgeblich ist. Aber orientiert er sich an dem potenziellen finanziellen Schaden oder an dem potenziellen? Eingriff in die personenbezogenen Daten also was ist ohne beides ist, ist das nun schon wieder raus? Also selbst wenn du jetzt zu recht sagst, dann nicht jede E Mail, aber wenn man das OLG für bare Münze nimmt, dieses Urteil müsste man sagen, jedenfalls jede Rechnung absumme X verlangt zwingend eine Ende zu Ende Verschlüsselung.

Thorsten
Genau und Rechnungen ab Betrag oder unterhalb von Betrag x dann eben nicht, was ja Quatsch ist.

Kim Manuel
Ja, hätte ich vorher auch.

Thorsten
Gesagt, aber lass mich vielleicht mal n anderes Beispiel machen um um vielleicht das noch mal verständlich zu machen. Also nimm mal an, du Berätst einen Arbeitgeber im Zusammenhang mit einer Betriebsschließung und du sollst jetzt eine Sozialauswahl machen und dann schickt dein Auftraggeber dir unverschlüsselt nur mit Transportverschlüsselung in einer e Mail. Eine Übersicht. All was weiß ich von 300 Mitarbeitern mit Name, Anschrift, Gehältern, Gesundheitsdaten, Schwerbehinderung, Unterhaltspflichten und so weiter und sofort. Das wäre dann für meine Begriffe tatsächlich ein Fall von Artikel 82 dann müsste ich, weil es sich um besonders sensible personenbezogene Daten handelt, nämlich die der Mitarbeitenden, die da im E Mail Verkehr getauscht werden, dann müsste ich entsprechende Maßnahmen treffen, um. Weil besonders sensible Daten hohes Risiko für die Betroffenen diese Maß diese Informationen einem entsprechenden Schutz zu unterstellen, das hätte ich nachvollziehen. Genau das finde ich nachvollziehbar, aber den Rechnungsbetrag, da in die Abwägung einzu stellen, das halte ich für nicht nachvollziehbar.

Kim Manuel
Ich meine DSGVO selbst ja auch durch die Artikel 9 Daten zu erkennen gibt, dass es um sich die Sensibilität der personenbezogenen Daten geht und nicht um den potenziellen finanziellen Schaden oder? Also deswegen bin ich da jetzt ein bisschen überrascht auch. Vielleicht auch jetzt besser schon nachvollziehen, warum ihr das Urteil so ein bisschen direkt negativ geframed habt.

Thorsten
Gleich aus mehrerer Hinsicht. Ich.

Bernhard
Fand es jetzt schön, dass du es mir so schön vorweggenommen hast. Also wenn du dir jetzt wirklich mal die Artikel 9 Daten, die ja als besondere Daten und auch besonders zu schützen sind mit dem und die, die auch hier damit verbunden werden, vom Willen des Gesetzgebers Unionsgesetzgeber hat ja ganz klar gesagt, welche Art von Daten besonders schützenswert sind. Und die sind gerade nicht finanziell angehaucht. Also Sexualität oder Religion et cetera. Das hat ja alles nicht unbedingt was mit einem finanziellen Background zu tun, sondern eher wirklich der der höchstpersönliche Bereich einer Person so und da, da fangt halt der Gesetzgeber an. Und insoweit fand ich es halt auch sehr, sehr schwierig, nachvollziehbar, wie jetzt hier das OLG Schleswig hingegangen ist, eigentlich am erklärten Willen des Unionsgesetzgebers vorbei, hier eine derartige Einordnung zu treffen, die so gesehen doch gar nicht wirklich dann da hingeht, wo der Unionsgesetzgeber nämlich hingehen wollte, weil der Unionsgesetzgeber sagt ja auch in Erwägungsgrund 1, ich habe ein Recht drauf auf den Schutz. Der mir zugeordneten personenbezogenen Daten so, und da macht er da, sagt der Unionsgesetzgeber ganz klar, es gibt die normalen, hier haben wir ja Name, Adresse, Telefon, also name, Adresse und gegebenenfalls auch noch wo das Bauvorhaben ist. Wir haben auf der anderen Seite, und das sind ja die Daten, das ist ja das Datum, das manipuliert wurde, und das ist immer wieder ganz wichtig, sich einfach vor Augen zu halten, es ist die IBAN des Unternehmens. Und das Unternehmen ist eine juristische, juristische Person und Unterfällt damit nicht ESGVO. Und die ist ja geändert worden. Die Daten der der Person, die sind ja gar nicht geändert worden, da ist ja gar nichts passiert, die waren danach nicht unrichtig, das einzige, was unrichtig war, war ein Datum einer juristischen Person. Und dadurch ist ja der Schaden entstanden und nicht dadurch, jetzt nicht durch die durch eine wie auch immer geartete Manipulation der personenbezogenen Daten und die DSGVO hat ja ganz klar gesagt, ich hab n Anspruch auf Richtigkeit meiner mir zugeordneten Daten, ich hab n Anspruch auf Schutz meiner mir zugeordneten Daten, berichtigungsanspruch et cetera Auskunftsanspruch, da geht es ja nie drum um die personenbezogenen Daten auf der anderen Seite, also da stimme ich ja mit dem Thorsten völlig überein. Der Knackpunkt an dieser Stelle ist aus meiner Sicht, dass das Gericht nicht gesehen hat, dass die DSGVO nicht dem Schutz des Geschäftsverkehrs dienen soll, sondern der informationellen Selbstbestimmung oder meinem Recht auf Datenschutz. Und deshalb hat es den Fokus anders. Wie hast du es so schön gesagt, anders geprägt, ja.

Kim Manuel
Finde ich gut nachvollziehbar. Vielleicht ein eine Zwischenfrage. Ich denke, dass wir uns dabei einig sind. Jetzt sagen wir mal, das OEG Schleswig hätte recht damit, dass er sagt, dass es n dass das n wohl des Artikel 32 DSGVO, also die, die die Tons hier nicht erfüllt wurden, dass dieser Posten schadensersatzfähig ist, darüber sind wir uns schon einige. Also das heißt, wenn ich mal ne Verletzung der DSGVO habe und es dann um die Frage geht Höhe des Schadens, dann hätten wir keine Bauchschmerzen mit zu sagen, auch das ist ein Schadensposten ne, denn das würde. Glaube ich. Der Original ist ja immer extrem großzügig, was die Schadensposition angeht, weil er eben dann auch sagt, es dient der effizienten Durchsetzung gefehlt, Thorsten gern geschehen der effizienten Durchsetzung genau der effizienten Durchsetzung des Datenschutzes, deswegen muss so eine Schadensposition auch Satzfähig sein, das stört uns nicht so sehr, sondern was uns stört ist, dass man quasi zum Ergebnis kommt, hier wurden wurde das entsprechende Niveau der technisch organisatorischen Maßnahmen. Nicht erreicht. Es wurden diese Ende zur Endverschlüsselung wäre hier notwendig gewesen und das seht ihr auch deutlich anders. Ja, ich würde eine folgende Frage stellen, würde es denn, würde es denn eine Rolle spielen, ob die Ende zur Endverschlüsselung kausal ist für den Vorgang? Ja, müsste das geprüft werden, oder könnte man sagen, das ist in so einem Fall auf jeden Fall eine organisische Masse mit, die zu treffen ist? Die wurde nicht getroffen, damit machen wir den Fall zu, das ist, gehen wir stärker in eine Art Gefährdungshaftung, kommen wir ein bisschen zum Thema Risikosphäre, aber Kausalität, würdet ihr sagen, muss man.

Bernhard
Artikel 82 DSGVO hat 3 tatbestandsmerkmale. Schluss gegen die DSGVO B Schaden C Kausalität. Also da gab es ja mal diese diese Rechtsprechung des Bundesarbeitsgerichtes, das ja gesagt hat, jeder Datenschutzverstoß ist gleich ein Schaden. Das hat allerdings wurde allerdings auch vom EU gh abgeräumt, der EU gh hat ganz klar festgehalten, es muss eine Kausalität zwischen dem Datenschutzverstoß und dem Schaden muss vorliegen und auch die Kausalität ist vom Kläger, also vom Betroffenen auch nachzuweisen das. Das ist halt auch ganz wichtig an der Stelle zu wissen. Also da gibt es noch keine Beweislastung her können.

Kim Manuel
Sie, die vorige Frage, stellen diese Entscheidung bei diesen Daten liegt in Bulgarien, war es glaube ich, da ging es ja darum, dass der EU gh gesagt hat, wenn ich das nicht dokumentiert habe, dass ich hinreichende Cyber Security Maßnahmen ergriffen habe. Dann dreht sich die Beweislast. Könnte man es hier irgendwie würde, könnte es hier ne Rolle spielen oder sagt das ist für mich anderes Spielfeld.

Bernhard
Thorsten, willst du zuerst?

Thorsten
Ja, doch, das kann kann durchaus ne Rolle spielen. Also wenn es wenn es um die Frage der angemessenen technischen organisatorischen Maßnahmen geht. Dann greift im Zweifel auch eben der die Rechenschaftspflicht nach Artikel 5 Absatz 2 und nach der EU GH Rechtsprechung im Zweifel dann auch die Beweislastumkehr, wenn ich eben keine ausreichenden technischen organisatorischen Maßnahmen nachweisen kann.

Bernhard
Du musst eine Sache sehen, Kim. Und zwar die Frage, die Sanja immer gestellt wird hat hat die hat das Unternehmen gegen die DSGVU verstoßen, so das ist ja immer die erste Frage und das muss ich auch nachweisen, den Datenschutzverstoß. Muss ich nachweisen, da ja, hat ja an der Stelle ganz einfach gesagt, es fällt natürlich demjenigen unglaublich schwer. Jetzt zum Beispiel hast du einen Hacker angriff und da und die Daten des Betroffenen landen im Darknet. Der Betroffene hat überhaupt keine Möglichkeit und das hat ja auch der EU gh gesehen zu sehen. Wie sahen eigentlich die technisch organisatorischen Maßnahmen aus, der ist verantwortlich an dieser Stelle die Daten zu schützen und deshalb hat der EU gh an der Stelle gesagt, weil ich ja keinen Einblick habe, ich werde niemals Einblick haben, ob jetzt wie jetzt meta meine Daten schützt oder wie die oder wie eine Bank meine Daten schützt. Ich habe keine Möglichkeit oder irgendein Unternehmen so da hat der EU gh schlicht und ergreifend gesagt aus der Rechenschaftspflicht übrigens. Das ist eine der wenigen Entscheidungen gewesen, wo der EU gh mal nicht auf den Wortlaut abgestellt hat. Also du hast ganz viele Entscheidungen im letzten Jahr oder in den letzten 2 Jahren gehabt, wo der EU GH immer wieder am Wortlaut argumentiert hat und das ist eine der wenigen Entscheidungen gewesen wo der EU gh mal nicht am Wortlaut orientiert argumentiert hat, also bei 82 sondern lange hingegangen ist und. Und den Umweg gegangen ist über 5, über die Rechenschaftspflicht und daraus dann halt eine Beweislastumkehr gemacht hat, was ja auch für europäische Normen oder Kohumionsnormen ja nicht unbedingt normal ist. Normalerweise greifen die ja nicht ins nationale Zivilprozessrecht ein oder nur sehr selten, aber hier hat der EU gh das mal ganz klar gemacht, weil er halt gesehen hat, der Betroffene hat keine Möglichkeit zu sehen, ob ein Datenschutzverstoß stattgefunden hat oder nicht und deshalb kann jetzt. Die muss jetzt halt der Verantwortliche diese Darlehens beweisen, das einfach übernehmen und dann halt erklären, auf welche Art und Weise habe ich jetzt die Daten geschützt und es muss ja kein absoluter Schutz sein, das muss ein angemessener Schutz sein, das fehlt ja auch immer wieder. Ich habe natürlich die Möglichkeit mich auch zu enthaften gegebenenfalls so und. Das das ist halt auch mal ganz wichtig zu sehen, aber da muss ich dann, trotzdem muss ich halt vortragen, zum Beispiel wenn ich einen Auftragsverarbeiter habe, habe ich ordnungsgemäß angewiesen, welche technisch organisatorischen Maßnahmen habe ich vorgegeben, habe ich das regelmäßig überprüft, also diese ganzen Fragestellungen, die sind dann halt vom Verantwortlichen halt einfach dann auch zu beantworten. Und das halte ich übrigens an dieser Stelle auch für richtig, weil sonst würde der Datenschutz gerade beim Schadensersatz einfach leer laufen, weil es sonst ja überhaupt keine Möglichkeit hätte, irgendwo auch als Betroffener zu sagen, ja, ich kann ja nur sagen, meine Daten sind im Internet Punkt, wie es passiert ist, warum es passiert ist, kann ich ja nicht vortragen, wie auch?

Kim Manuel
Ja, ja, ich glaube, der, weil du gerade gesagt hast, Darlehens beweist das der EU GH würde ihnen sagen, dass es eine materielle beweist, das Regel ist und das ist zum Beispiel auch ein Thema, das wir auch im Kartellrecht haben und dadurch, und er sagt ja, dass es Materielles Sekundärrecht und deswegen vom EU GH allein auszulegen, also von daher ist es, glaube ich schon aus Sicht des EU GH nachvollziehbar, dass er es so entschieden hat und wie du auch richtigerweise sagst. Typischerweise und hier ja dann aber eigentlich auch, muss man ja sagen, ist ja die Frage, inwiefern kann ich dann als Kläger darlegen beweisen, welche Maßnahmen gerade auch zur Sicherung vor Manipulationen der E Mails oder Anhänge, inwiefern kann ich das, was in der Sphäre des Geschäftspartners passiert, darlegen, beweisen und wie Thorsten gesagt hat, könnte dann die Beweislast hier materiell kippen. Wenn die Rechenschaftspflicht, wenn wenn die nicht genüge, geleistet wird.

Thorsten
Vielleicht mit Blick auf die Uhr. Lass uns mal ganz kurz die die Entscheidung noch mal zusammenfassen und insbesondere die, die Take Aways noch mal herausstreichen. Also wir sind uns einig, dass das OEG da auch auf tatsächlicher Ebene ein bisschen vorschnell von einer man in The Middle Attacke ausgegangen ist und mit dieser Ende zu Ende Verschlüsselung. Auf eine Technik abstellt, die wahrscheinlich in dem konkreten Fall den Schaden gar nicht verhindert hätte. Aber viel, viel entscheidender. Und so ist es ja teilweise auch durch die Presse gegangen, dass aus dem Urteil des OEG herausgelesen wurde, dass ich jetzt sämtliche Geschäftskorrespondenz, insbesondere wenn Rechnungen getauscht werden, die über eine Ende zu Ende Verschlüsselung verschicken muss, das ist nicht so, und es gibt auch weitere Entscheidungen. Bernhard, Wir hatten neulich drüber gesprochen, die Entscheidung des OVGNRW aus dem Februar 2025, die das, also dieses diese Stellungnahme abräumt, also eine solche Verpflichtung gibt es nicht. Es gibt also keine Verpflichtung, Ende zu Ende, Verschlüsselung immer anzuwenden, aber, und ich glaube, das ist auch noch mal wichtig, herauszustreichen, der risikobasierte Ansatz verpflichtet mich, aber wenn ich besonders sensible Daten. Verschicke, dann muss ich unter Umständen eben auch geeignete technische organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau in Bezug auf diese Daten herzustellen. Also mein Beispiel mit den Sozialauswahldaten ja, die unverschlüsselt einfach mal so in mit einer Transportverschlüsselung über den normalen E Mail Account zu schicken, das wäre wahrscheinlich in der Tat keine angemessene Schutzmaßnahme, also von daher keine Entwarnung. Ja, also man muss sich, glaube ich mit der der Sicherung der E Mail Korrespondenz und dessen, was ich per e Mail dann übersende, auseinandersetzen und auch prüfen, was dann im Einzelfall angemessene Schutzmaßnahmen sind. Aber einen so n generellen Standard, dass das jetzt State of the Art sei, permanent Ende zu Ende Verschlüsselung, das ist sicherlich nicht richtig.

Bernhard
Dürfte ich da noch einen.

Kim Manuel
Punkt. Dazu festmachen ja, ganz gerne.

Bernhard
Also da eine Einführungsruhe, wo ich den Thorsten, Ich stimme den Thorsten vollumfänglich zu und wollte nur noch da seine Position verstärken, weil gerade bei der End to End Verschlüsselung, die wurde ja auch oftmals von den Aufsichtsbehörden gerade auch als notwendig erachtet um an der Stelle, wenn diese E Mail mal angekommen ist oder für den Fall, dass halt die e Mail aus versehen mal an eine falsche Person geschickt wird. Also dieser typische Thorsten, Ich hab halt auch bei mir in meinem in meinem Telefonbuch hab ich 3 Thorsten, sondern schick ich’s nicht an den einen alten Thorsten. Ja du sollst, du sollst, du sollst, du sollst du sollst.

Thorsten
Keinen anderen Thorsten neben mir haben ja.

Bernhard
Da wird der Thorsten sehr hoch. Ein bisschen böse werden. Ich will die Grüße auch an den, den schick ich auch.

Kim Manuel
Auf dem Fotospastling Nein.

Bernhard
Aber. Es geht ja auch darum, an der Stelle dann auch sicherzustellen, dass für den Fall, dass es eine Fehlleitung gegeben hat, dass dann wirklich nur die Person das öffnen kann, die auch die das auch öffnen soll. Und gerade jetzt, wenn man das jetzt zum Beispiel auch ein Infopostfach oder was ähnliches schickt, dass dann nur wirklich die genau die Person, an die es halt gehen soll, dass danach auch öffnen kann, da geht es gar nicht mehr nur um den Transport, sondern es geht auch an der Stelle, wenn die Daten später unverschlüsselt. Auf dem Server des Empfängers liegen so oder oder eine E Mail, auf dem E Mail Server des Empfängers liegen, dass dann auch sichergestellt werden kann, dass zum Beispiel keiner jetzt aus der IT hingehen kann und die Daten lesen kann. Das ist ja gerade auch was Thorsten gesagt hat, also mit mit Sozialauswahl etc. Und sonstigen Sachen, das soll halt auch nicht unbedingt der IT Admin lesen können so und deshalb ist es nicht unbedingt die Frage des Transportes nur, sondern man muss das einfach größer sehen. Es geht auch darum, dass halt auf der Empfängerseite auch nur eine einzige Person, nämlich die. Die Person, die auf als Empfänger gedacht ist, das auch später lesen kann.

Kim Manuel
Sehr gut etwas, weil du es ja schon gesagt hast, du nicht, dass der Thorsten zustimmen soll und dass sie ihn verstärken. Wir machen den Podcast von seinem Feier, das hat er noch nie gehört. Ja und da Ulrich machst du nicht bei allen katholischen Zuhörern, für die Platz für Nieve und Herrn Walter Entschuldigung so kurz vor Ostern, der hört, der hört ja eigentlich nicht hin, aber. Das als Randnotiz. Richtig, zu was was würde ich nur ohne dich tun? Ja ich weiß auch nicht, habt ihr vielleicht noch. Zum Abschluss könnt ihr einen praktischen Tipp geben, wie man das als Unternehmen, das von diesem Urteil erfahren hat, einerseits natürlich das, das hatte ich natürlich auch gesehen, wie Reizerisch das in der Presse zusammengefasst wurde, jetzt mit dem differenzierten Bild, das ihr gegeben habt, was was wäre so. Was kann man unternehmen da empfehlen?

Thorsten
Gerne Tschüss los.

Bernhard
Also auf technischer Hinsicht. Es wird halt immer wichtiger, wirklich eine gute IT Infrastruktur zu haben, die ordnungsgemäß gesichert ist. So und und auf der auf der zivilprozessualen Ebene, wenn man so was hat, dass man dann auch einen klaren Vortrag haben muss und dann sollte auch jemand dabei sein, der es einfach auch technisch versteht. Weil das das größte Problem, was wir jetzt auch relativ häufig Thorsten wie auch ich, wir unterhalten uns ja öfter auch über diese Problematiken, die wir beide haben, ist einfach dann auch das übersetzen. Man muss an den Stellen ja auch mal im Gericht übersetzen, was bedeutet das eigentlich technisch, und da ist halt sehr, sehr viel Überzeugungsarbeit noch zu leisten, und da muss man dann auch sehen, dass man, dass man da dann auch. Alles so vorträgt, dass es ein Gericht, das verstehen kann, um dann halt, wenn es dann mal zum Streit kommt, wenn die technischen Maßnahmen nicht gereicht haben, dass man dann halt auch so vorträgt, dass halt auch ein Gericht nicht mehr an dem Vortrag vorbeigehen kann. Klar, ich bin immer Ausreißer. Auspreisentscheidungen haben, aber ich glaube, das wird immer wichtiger, auch ein, auch Anwälte zu haben, die auch ein gewisses technisches Verständnis haben und die sich damit dann auch gerne auseinandersetzen. Also das sind so diese 2 Take A base für die Unternehmen, die ich halt so einfach mitgeben kann.

Kim Manuel
Sehr gut. Das müsste die Position bestätigen und verstärken.

Thorsten
Nee, ich halte mich jetzt ganz, ganz vornehm zurück und. Überlasse quasi unserem Gast das das Abschlussstatement die letzte sachliche Äußerung diese versachliche Äußerung. Apropos.

Kim Manuel
Eventuell.

Thorsten
Apropos unsachliche Äußerung. Ich stelle fest, du hast es geschafft, heute sowohl Kartellrecht als auch den Effi etil unterzubringen. Ja, aber Kartellrecht ist mit sich einfach nur so Rausgestolpert ist es aufgefallen, danke.

Kim Manuel
Danke, dass du meine Leistung anerkennst und dann bleibt mir vor allem, dir zu danken. Ich fand es sehr erhellend, ich habe viel lernen dürfen und dementsprechend hoffe ich, unsere Zuhörer auch dir auch vielen dank Thorsten für die Einordnung. Ich gehe auf jeden Fall deutlich schlauer aus dem Podcast als ich reingekommen bin und hoffe das geht unseren Zuhörern auch so und hoffe auch, dass wir dann alle auch in der nächsten Episode wieder begrüßen dürfen. Und ja, eine schöne Woche frohe Ostern lässt man ja eigentlich als Katholik auch nicht vor Karfreitag sagen. Ja, aber trotzdem schöne schöne Feiertage, alles gute und hoffentlich bis bald dann.

Thorsten
Vielen dank Bernhard. Vielen Dank an alle bis bald.

Sprecher
Das war Rechtsanwälte und Lebenskünstler der Comfiance Podcast von Schulte Rechtsanwälte.

 

„Gefällt mir“… aber wer ist verantwortlich? Facebook-Fanpages und gemeinsame Verantwortlichkeit

RECHTSANWALTER & LEBENSKÜNSTNER. – Der Compliance-Podcast

Sprecher
Sie hören Rechtsanwalter und Lebenskünstler der Compliance Podcast von Schulte Rechtsanwälte.

Thorsten
Herzlich Willkommen zu einer neuen Folge von Rechtsanwalt und Lebenskünstler, dem Compliance Podcast. Mein Name ist Thorsten Walter. Ich bin Arbeitsrechtler und Datenschützer bei Schulte Rechtsanwälte in Frankfurt und alle die Zuhörerinnen und Zuhörer, die jetzt die liebliche Stimme meines Kollegen Kim Künstler erwarten, muss ich leider enttäuschen. Mein lieber Co Host, weil verdientermaßen immer noch im Urlaub. Deswegen habe ich mir heute kompetente Unterstützung an Bord geholt. Meine persönliche Geheimwerfe Bernhard fähig von der Kanzlei ByteLaw hier in Frankfurt. Hallo Bernhard, schön, dass du da bist.

Bernhard
Hallo Thorsten, also erstmal ganz ganz herzlichen Dank für die Einladung und dass ich keine Geheimwaffe bin, finde ich ja noch schöner, aber ich werde mich auch bemühen heute das richtig gut dann auch für dich hinzubekommen. Nach diesen netten Worten.

Thorsten
Darauf hoffe ich natürlich selbstverständlich. Lass uns loslegen. Worüber wollen wir heute reden?

Bernhard
Also wir reden heute über die Entscheidung des des OLG des VG Kölns in der Sache BDFI gegen Meta beziehungsweise gegen die Bundespressestelle. Wenn ich mich jetzt nicht ganz vertue, ich will es ja nicht falsch sagen.

Thorsten
Bundespresseamt, ja.

Bernhard
Bundespresseamt? Entschuldigung.

Thorsten
Ja, nein, also ich meine vor lauter OLG Entscheidungen, die sich in den letzten Wochen mit meta beschäftigt haben, kann man da schon mal durcheinander kommen das. Heute tatsächlich ein Urteil des Verwaltungsgerichts, nicht des OLG Köln. Entscheidung vom 17.7. 25 aktenzeichen 13 k 1419 aus 23 für diejenigen, die es noch mal persönlich nachvollziehen wollen und du hast schon richtig gesagt, ging um eine Klage des Bundespresseamts und Meta gegen den damaligen Bundesdatenschutzbeauftragten. Der Bundesdatenschutzbeauftragte hatte glaub ich im Februar 23. Meta und dem Bundespresseamt den Betrieb einer Facebook Fanpage untersagt und die Abschaltung verlangt. Über diese Facebook Fanpage hatte das Bundespresseamt über aktuelle politische Aktivitäten der Bundesregierung mit Videos mit Textbeiträgen und so weiter informiert. Betrieben wird diese Facebook Fanpage von von Meta Platforms Island, also Kenner unseres Podcasts wissen wir sind große Meta Fans. Lass uns aber doch vielleicht mal ganz kurz klären, was ist denn eine Facebook Fanpage und so ganz in groben Zügen, wie funktioniert sie denn? Das ist scheint mir ja für den Fall hier durchaus auch von Relevanz zu sein.

Bernhard
Eine Facebook Fanpage ist eine eine Seite auf auf auf Facebook, auf der ich meine. Gegebenenfalls auch meine Waren, meine Dienstleistungen oder auch meine meine sonstigen Dienstleistungen. Die haben wir ja leider leider Gottes eine Verlautbarung des Bundespresseamtes, da kann man ja nicht unbedingt von der Dienstleistung reden, dass man die doch an dieser Stelle promoten kann, auch unter seinem eigenen, unter seinem eigenen Namen, so dass jeder erkennen kann, dass wer jetzt diese Seite betreibt und auf dieser Seite können dann die Fans. Mit der mit der Netz. Ja. Fans können in den Können dann deinem dir in Folgen, so würde ich es in ganz kurzen Worten beschreiben, aber ich glaube du gehst dann noch mal besser, vielleicht noch ein bisschen tiefer in die Technik ein, weil das ist glaube ich dann doch eher das was wo du Freunde bist.

Thorsten
Ja, richtig. Also die Fans, die Fans der Bundesregierung, in diesem Fall ganz. Also die Besonderheit an diesen Facebook fanpages ist, dass das letztendlich die funktionieren mehr oder weniger wie eine ganz normale Website. Das heißt, ich kann auch als nicht Facebook User und auch als nicht angemeldeter und nicht registrierter Facebook User diese Webpages besuchen, diese Fanpages. Und je nachdem, ob ich eben angemeldet und registrierter Facebook User bin, setzt die Fanpage auf meinem Device, mit dem ich diesen Zugriff eben dann vollziehe, entsprechende Cookies aber auch, und das ist die Besonderheit hier, selbst wenn ich nicht registriert und nicht angemeldet bin, auch dann setzt die Facebook Fanpage Cookies. In der damaligen Fassung der Facebook Fanpages konnten die Betreiber der Fanpage eine sogenannte Parametrierung vornehmen. Das heißt, du hattest im Vorgespräch ein sehr schönes Beispiel, wenn du das noch mal liefern möchtest.

Bernhard
Einfach festzustellen beziehungsweise dann zu schauen, wer wen. Also bei einer Werbung würde man sagen, an wen soll die Werbung jetzt ausgesendet werden? An dieser Stelle einfach genau um zu sehen, wer wer schaut sich mich an beziehungsweise wer folgt mir denn, wer sind denn eigentlich die Fans der Bundesregierung, kurz gesagt.

Thorsten
Das war jetzt die weichgespülte Variante. Das hast du im Vorgespräch besser formuliert.

Bernhard
Ich glaube, das ist ein bisschen anders, aber wir sind jetzt ja hier auch live auf der Sendung, deshalb habe ich das einfach mal ein bisschen freundlicher gesagt.

Thorsten
Großartig so. Facebook Fanpage jetzt was hat der BFD aus der ganzen Geschichte gemacht? Wir wissen also, im Ergebnis hat er untersagt, aber wie hat das begründet er.

Bernhard
Hat ja 2 Punkte die er benannt hat. Zum einen hat er erklärt, dass keine ordnungsgemäße Einwilligung vorher eingeholt worden sei und keine transparente Einwilligung eingeholt worden sei, was ja eine Voraussetzung ist des ordnungsgebieten Betriebes einer. Eine Webseite insoweit ist noch wichtig zu sagen, das war noch die alte Rechtslage, deshalb werden wir beide heute hier immer wieder vom TTDSG reden. Das TTDSG ist wiederum jetzt ja inzwischen schon abgelöst worden durch jetzt noch größerer Zungenbrecher, TDDDG also. Das ist echt schwierig auszusprechen. Manche sagen einfach t dreifach DG ist auch für mich einfacher, aber glücklicherweise sind wir hier noch auf der alten Rechtslage und ich finde halt TTDSG lässt sich weitaus besser. Aussprechen, so, das war halt der erste Ansatzpunkt und der zweite Ansatzpunkt war, dass Meta beziehungsweise im Bundespresseamt ja vorgeworfen wurde, dass sie nicht offengelegt haben, dass sie gemeinsame Verantwortliche sind. Dazu muss man einfach wissen, dass nach Artikel 26 DSGVO im Fall einer gemeinsamen Verantwortlichkeit es notwendig ist, den. Betroffenen darüber zu informieren, dass eine gemeinsame Verantwortlichkeit vorliegt, also die Grund, und dann über die Grundlagen auch der gemeinsamen Verantwortlichkeit. Also wer jetzt für was verantwortlich ist, weil wie man sich auch gegebenenfalls dann melden kann, sofern man seine Betroffenenrechte geltend machen kann, oder auch, wie es mit einer Beschwerde läuft, also das muss man halt schon von vornherein auch angeben und da hat dann auch das Bundestum nicht des Bundespresseamts, sondern der die Datenschutzaufsichtsbehörde gesagt. Ihr habt nicht darauf hingewiesen, obwohl ihr gemeinsame Verantwortliche seid, was wiederum auch einen weiteren Rechtsverstoß darstellt.

Thorsten
Ja, der BFDI hat diese, diese Auffassung, die er in dem Untersagungsbescheid da wiedergegeben hat, gestützt. Ich glaube auf eine Stellungnahme der der DSK war es glaube ich und hat da mehr oder weniger die Argumente der DSK runter gebetet. Das Bundespresseamt hat sich gegen diesen Untersagungsbescheid dann zur Wehr gesetzt und im Wesentlichen damit argumentiert, dass die Frage des Datenschutzkonformen Betriebes der Fanpage allein bei meta läge und nicht beim Bundespresseamt. Argumentiert hat man das damit. Dass das Bundespresseamt ja selbst gar keine Möglichkeiten gehabt hätte, irgendwie auf die Gestaltung und Ausgestaltung auch der Einwilligung Einfluss zu nehmen. Dass das allein von von Meta zu verantworten sei und der BFDI stützt sich dann weiter auf eine EU GH Rechtsprechung, das war die Entscheidung. Ich glaube aus 2018 Wirtschaftsakademie. Wonach der EU GH eine also rein datenschutzrechtlich wie du sagtest Artikel 26 DSGVO eine gemeinsame Verantwortlichkeit von meta und dem Betreiber der Facebook Fanpage angenommen hat. Ganz wichtig war oder aus meiner Sicht wichtig, dass der Fall den der EU GH damals entschieden hatte. Der sah in der Tat auch diese Möglichkeit der Parametrierung der dieser Facebook Insights vor. Nach meinem Verständnis war das in dem Fall hier aber anders, diese Möglichkeit gab es hier wohl nicht mehr, also insofern haben wir tatsächlich ne kleine Abweichung im Hinblick auf das, was die DSK damals in bescheinigt hatte und auch was der EU GH in dieser. Entscheidung aus 2018 Wirtschaftsakademie gesagt hat.

Bernhard
Also für diejenigen, die dieses Thema genauso nerdig angehen wie wir beide auch, für die sei noch hier auf Fashion ID noch mal kurz hingewiesen, auch noch eine von den Entscheidungen, auf die hier auch oftmals Bezug genommen wurde. Da ging es dann halt auch genau um diese Fragestellung, wie stehen die verschiedenen verantworteten Miteinander in einer Beziehung? Also die, die können. Man kann man wer wer das da heute nachbereiten will, der kann gerne noch mal diese Entscheidung dann auch noch lesen.

Thorsten
Ah da, da können wir noch n Paar beisteuern. Ne, also natürlich.

Bernhard
Ich find die ich find die aber immer noch auch sehr gut. Die Fashion ID Entscheidung. Also an der Stelle um um halt einfach hier die auch die Unterscheidungen zu treffen.

Thorsten
Ja, wobei der EU GH ja da rund um 2018 mehrere Entscheidungen getroffen hat. Zur Frage der gemeinsamen Verantwortlichkeit. Und also ich glaube, die die Linie des EU GH sich auch erst nach und nach daraus kristallisiert hat. Also gibt ja noch weitere Entscheidungen. Ich glaube Google Spain hat sich ja auch mit dem mit der Frage der gemeinsamen Verantwortlichkeit auseinandergesetzt und die Zeugen Jehovas ebenso, also wo wir jetzt schon gerade beim Abnerden sind, ja damit hätten wir sogar glaube ich aus dem Jahr 2018 die die 4 Entscheidungen. Das war also letztendlich schon ein Thema, mit dem sich der EU GH in der Vergangenheit schon häufiger auseinandergesetzt hat. Und im Wesentlichen ging es immer um die Frage, reicht irgendein wie auch immer gearteter kausaler Beitrag des Facebook Fanpagebetreibers aus, um die gemeinsame Verantwortlichkeit auszulösen, ja oder Nein, das war immer die der Dreh und Angelpunkt, was hat jetzt das nicht? Ja das Verwaltungsgericht, ich war auch schon wieder beim ORG Köln. Das.

Bernhard
Spiel von OEG Köln ist mir aber auch genauso im Gedächtnis geblieben vor kurzem.

Thorsten
Durch durch durchaus und gab ja jetzt OEG Schleswig auch Metafall, also die die Themen gehen uns einfach nicht aus. Also das ist schon die Einladung für für die nächste Episode, wenn man gut, dann lass uns mal ganz kurz gucken, was hat das Verwaltungsgericht Köln denn jetzt im im Ergebnis entschieden? Wir können uns gerne mal die Leitsätze. Angucken, das macht glaube ich Sinn, sich da entlang der Leitsitze mal durch zu hangeln, weil auch das Verwaltungsgericht hier diese Zweiteilung vorgenommen hat, die auch der BFDI vorgenommen hat. Also die haben sich erstmal angeguckt, inwiefern ist Paragraph 25 TTDSG einschlägig TTDSG ja richtig und dann sich mit der Frage auseinandergesetzt, inwiefern haben wir denn hier eine gemeinsame Verantwortlichkeit im Sinne des 26 DSGVO?

Bernhard
Ich glaube, den Leitsatz brauchen wir jetzt gar nicht großartig vorlesen. Allerdings, das Wichtige ist halt einfach, dass wir mal mit dem 25 mit dem Einbildungsmanagement anfangen und bei dem Einbildungsmanagement hat der das Verwaltungsrecht folgendes gesagt in in der Kurzform erklärt die Regelungen des TT DSG sind nicht deckungsgleich mit den Regelungen der DSGVO. Das TT DSG hat einen anderen. Anderen Vektor und es geht eher um den Schutz der Endgeräte, also die Integrität der Endgeräte und halt gerade nicht in erster Linie um den Datenschutz, so dass die Regelungen aus dem Datenschutz nicht unbedingt uneingeschränkt übernommen werden können und auch nicht die die einzelnen Definitionen in das TT DSG, also zum Beispiel, dass das TT DSG eine gemeinsame Verantwortlichkeit. Überhaupt nicht kennt, die kennt nur die DSGVO und die die gemeinsame Verantwortlichkeit ist im ist im TT DSG an keiner einzigen Stelle benannt. Also es ist ihnen fremd unbekannt und damit kann man nicht mit dieser Regelungen aus dem Aus der DSGVO sagen, dass die auch Anwendung finden auf das TT DSG, sondern man sollte sich dann halt an den Wortlaut halten das TT DSG und. Wenn es dann halt keine gemeinsame Verantwortlichkeit kennt, dann stellt es halt darauf ab, wer ist eigentlich dann der Verantwortliche oder der Normen Adressat des TT DSG und an der Stelle hat halt das Verwaltungsgericht eine ganz aus meiner Sicht eine sehr klare Entscheidung getroffen, die ich übrigens auch für sehr nachvollziehbar halte, denn es hat einfach gesagt, derjenige. Der technisch in der Lage ist, die Cookies zu setzen auf dem Endgerät des desjenigen, der Halt auf die Seite geht oder der Halt auch von dort technisch in der Lage ist, von dort Informationen abzurufen, der ist im Endeffekt der Norm Adressat des 25 TT DSG, da nur er halt praktisch auch derjenige ist, der die Gefahr verwirklichen kann an der Stelle. Dem auf dem Gerät des anderen in die Integrität des anderen Gerätes einzugreifen. Jetzt stelle ich dir mal die Frage, siehst du das anders oder siehst du es ähnlich?

Thorsten
Also ich sehe das im Ergebnis tatsächlich genauso, weil also die, die DSK fangen vielleicht so rum an. Die DSK hat ja gesagt. Darauf kommt es gar nicht entscheidend an, sondern die Möglichkeit, also die die pure Möglichkeit, dass Facebook hier Cookies setzen kann, reicht aus, um den Paragraph 25 zu verwirklichen und das Verwaltungsgericht Köln sagt Nein. Die Frage, ob und welche Cookies gesetzt werden, darauf hatte das Bundespresseamt keine keinen Einfluss. Allein die Tatsache, die durch den Betrieb der der Fanpage. Diese Möglichkeit zu setzen, überhaupt Cookies zu setzen, das genügt dem Verwaltungsgericht nicht. Und das halte ich in der Tat im Ergebnis auch für für nachvollziehbar, denn Glaube um die die Folgen des Artikel des Paragraph 25 Entschuldigung auszulösen, muss ich schon in irgendeiner Form eine technische Einflussmöglichkeit auf die auf die Cookies haben.

Bernhard
Da komme ich jetzt mal. Ich habe mir heute vor, bevor ich hier heimgekommen bin, mich auf Fahrrad unterwegs gewesen, habe mir alles noch mal durch den Kopf gehen lassen, also auch, was wir heute Abend besprechen können. Und da kam ich mal auf einen Wunder. Ein wunderbares Beispiel, woraus eigentlich für mich total klar wurde, warum die Rechtsprechung des Verwaltungsgerichts wirklich nachvollziehbar ist und auch richtig ist. Man muss mal eine Sache überlegen, wer zum Beispiel über Ebay verkauft, auf Ebay setzt Cookies. So, und wenn ich jetzt schon einfach ein ein Verkäufer von ebay bin und da geht natürlich dann auch der Kunde. Mein potenzieller Kunde geht ja auch meine ebay Angebot, der ist auf einer Webseite drauf so also ich für mich gibt es dann für mein ebay Angebot gibt es dann gegebenenfalls wo ich draufklicken kann wo eine Webseite ist. Im Endeffekt wenn man das anders sehen würde, dass ich natürlich irgendwo ein Cookie gesetzt wird und dadurch ich einen Beitrag leiste, nämlich dadurch, dass ich mein Angebot auf e Mail stelle, würde ich ja im Endeffekt nach der. Alten Rechtsansicht würde ich einen einen Punkt setzen, der dann dazu verwendet werden könnte, mir zu sagen, Moment es reicht alleine aus, dass jemand wegen deines Angebotes auf Ebay geht und dadurch halt ein Cookie ausgelöst wird. Würde ausreichen um mich dann auch zu einem Verantwortlichen im Sinne des TT DSG zu machen oder man könnte auch andere Beispiele benennen, also oder wenn ich jetzt auch ein Händler bin, zum Beispiel auf einer Plattform, also es muss ja nicht ebay sein, aber. Aber es gibt ja auch genügend andere Plattformen, wo auch verkauft, gekauft und verkauft werden kann. Amazon und Ähnliches. Dann wäre ja auch jeweils der Händler, der Halt auf dieser Plattform seine seine Waren oder Dienstleistungen vertreibt oder ob das jetzt eine Handwerker oder so eine Handwerkerbörse ist. Wäre ja immer mit dabei und müsste immer überprüfen an einer Stelle und Einfluss nehmen auf denjenigen der dieses Portal betreibt und das wäre ja aus meiner Sicht. Völlig widersinnig, weil ich nutze ja nicht das Portal. Jetzt an dieser Stelle, um die Cookies zu setzen, sondern ich habe ja einen ganz anderen, ganz anderen Blickwinkel an der Stelle. Ich möchte meine Waren und Dienstleistungen anbieten oder ich möchte mein Fahrrad verkaufen oder ich möchte ein neues Fahrrad verkaufen, also dann natürlich nicht, aber wenn ich halt mein Fahrrad jetzt verkaufen wollte, dann müsste ich ja auch in diesem Moment. Auch als Verantwortlicher im Sinne von Paragraph 25, TTDSG oder jetzt t dreifach GTT dreifach DG angesehen werden und das kann aus meiner Sicht gibt das der Wortlaut der Norm halt nicht her.

Thorsten
Ja, also wie gesagt, ich bin im Ergebnis da völlig bei dir, aber ich glaube, dass. Der Bundesbeauftragte für den Datenschutz, das aus der anderen, aus der anderen Sicht, aus der anderen Sicht da drauf geguckt hat, der hat das wahrscheinlich aus der Sicht des Betroffenen betrachtet und hat gesagt, wie die DSK ja auch. Völlig wurscht. Kausaler Beitrag, durch das die Inbetriebnahme der Fanpage reicht völlig aus und damit ist quasi das in Anführungszeichen Risiko, dass da widerrechtlich Cookies gesetzt werden mit begünstigt und der Betroffene als derjenige der dann die Folgen zu tragen hat, dieses dieses Setzen des Cookies durch das Einspielen unerwünschter Werbung und so weiter und sofort, dem müsse man hier entsprechende. Mittel an die Hand geben sich im Zweifel auch gegen das Bundespresseamt zur Wehr zu setzen. Ich glaube, das ist die Idee, die dahinter steht. Wie gesagt, ich halte das im Ergebnis für für nachvollziehbar, was das Verwaltungsgericht hier gesagt hat, aber wenn wir jetzt schon so ein bisschen am diskutieren sind, wir wirfen mal einen Blick in die Glaskugel, ich glaube, das Verfahren geht auch noch weiter, wenn ich es richtig gesehen habe, mal angenommen, das landet beim EU GH. Was wäre denn deine Prognose wie wie der EU GH das beurteilt?

Bernhard
Die Fragestellung ist ja wirklich aus meiner Sicht hier wirklich differenziert zu betrachten. Wenn wir jetzt sagen, wir sind jetzt hier beim TT DSG, da sehe ich ja sowieso das Problem, dass der EU gh ja mit seiner normalen schon alleine mit der richtigen Trennung von TT DSG und der DSGVO gar nicht zu dieser datenschutzrechtlichen Problematik kommen kann, wo und auch nicht zu der Rechtsprechung, ich weiß auch gar nicht. Inwieweit er an dieser Stelle beim TT DSG überhaupt zuständig wäre? Also muss ich ein bisschen vorsichtig sein, weil das hat das, soweit habe ich jetzt noch nicht gedacht, jetzt hast du mich mal echt noch im falschen Kurs erwischt, aber wenn wir jetzt zu diesem Punkt kommen, die Verantwortlichkeit an der Stelle des Einbildungsmanagementes, da würde ich auch noch sagen, Na ja, der EU gh könnte auch noch folgendes sagen, das. Wenn ich jetzt eher auf Google bin und ich gebe jetzt einfach mal Bundespresseamt ein Verlautbarung, da habe ich doch auch als als normaler Verbraucher jederzeit die Möglichkeit oder Internetnutzer jederzeit die Möglichkeit, man muss ja kein Verbraucher im Moment sein, ist ja egal, geht ja, geht ja darum um die um die Endeinrichtung muss ich, bin ich ja in der Lage, auch aus den verschiedenen Quellen selbst zu entscheiden, auf welche Seite ich gehe. Und jetzt einfach nur zu sagen, diese Gefahr, die jetzt nur bei bei Meta oder bei Facebook jetzt hier verwirklicht wird, da hat ja immer noch derjenige, der halt die, die die Verlautbarung des Bundespresseamtes sucht, hat ja die Möglichkeit, auch auf jede andere Seite zu gehen. Er ist ja nicht gezwungen, da hinzugehen, deshalb, und er kann sich ja die Webseiten auch aussuchen an der Stelle und er kann sich die Webseiten auch danach aussuchen, ob er jetzt sagt, OK, ich willige hier jetzt ein in die in die Datenverarbeitung oder in die. Oder in die Cookies. Oder ich lehne sie ab, weil dafür ist ja der 25 TTDSG auch da oder beziehungsweise jetzt die Cookie consentuls an der Stelle zu sagen, ich suche mir eine Webseite raus, Cookies ja nein vielleicht. Gibt ja, die gibt ja, dann gibt ja dann die Möglichkeit. Also vielleicht meinte ich jetzt natürlich ja, manche Cookies nehme ich an, manche Cookies nehme ich nicht an, also diese Auswahlmöglichkeit und und er hat auch die Möglichkeit halt nicht auf die Seite zu gehen. Also ich bin ja nicht gezwungen jetzt auf die Facebook Seite zu gehen, ich kann auch auf die original Seite gehen.

Thorsten
Möchtest du dich bei Meta ins Spiel bringen für dieses Verfahren?

Bernhard
Nein, nicht unbedingt, aber ich, ich habe. Ich sehe halt dann an der Stelle halt wirklich mal nicht die, ich habe da nicht die Datenschutzbrille auf, ich habe da die Webseiten verantwortlichen Brille auf und sage halt der das TTDSD hat halt den anderen Vektor und danach beurteile ich das an der Stelle und ich beurteile es jetzt nicht nach der ganz normal auch immer gleich dazu bei der gemeinsamen Verantwortlichkeit, da würde ich dann sagen da gehe ich vielleicht noch eine andere Richtung, aber die normale Rechtsprechung des EU GH, also diese sehr sehr. Betroffenen freundliche Rechtsprechung des EU GH OB die jetzt in dem Fall auch dann so kommen wird, wage ich jetzt mal an der Stelle zu bezweifeln. Ein bisschen.

Thorsten
Wahrscheinlich werden wir das ja irgendwann erleben und in vielen, vielen Jahren, wenn der EU GH dann irgendwann über diesen Fall entschieden hat, kannst du auf diesen Podcast zurückblicken und sagen, ich hab es ja damals schon gesagt, ist doch ein gutes Gefühl. Aber du hast jetzt gerade schon so eine schöne Brücke zum Thema gemeinsame Verantwortlichkeit gebaut? Dann lass uns die doch auch gleich gleich mal nehmen. Was hat das Verwaltungsgericht denn zur Frage der gemeinsamen Verantwortlichkeit gesagt?

Bernhard
Also vielleicht fangen wir noch mal noch ein bisschen anders an. Wir gehen jetzt einfach mal rein und nerden mal richtig und sagen mal, was ist eigentlich eine gemeinsame Verantwortlichkeit und jetzt habe ich mir da wirklich mal, jetzt muss ich sie wiederfinden, geschaut. Verantwortlich im Sinne des Artikels 4 Nr. 7 DSGVO ist, wer alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. So das ist einfach mal die Definition. Und entweder nach der Definition kann ich halt entweder sagen, ich entscheide alleine über die Zwecke und Mittel der Verarbeitung, oder wenn wir jetzt bei der gemeinsamen Verantwortlichkeit sind, entscheiden mehrere Personen über die Zwecke und Mittel der Verarbeitung und jetzt wird es halt spannend. Hier prallen halt so 2 Welten aufeinander und darüber ist auch das. Da ist auch, dass das Verwaltungsgericht relativ. Lang und ausführlich, auch in der Begründung. Und zwar sagt das Verwaltungsgericht, wenn ich eine Kette von Datenverarbeitungen habe, also eine eine Mehrzahl von Datenverarbeitung habe, dann muss ich, im Endeffekt kann ich nicht darauf abstellen, auf die gesamte Kette, dass irgendwo in dieser Kette eine gemeinsame Verantwortlichkeit vorliegt und. Sondern ich muss schon für die einzelnen Teile dieser Verarbeitung schon individuell entscheiden, ob in diesem Moment eine gemeinsame Verantwortlichkeit vorliegt. So, und da wird ja auch die ganze Zeit halt hin und her diskutiert und da würde ich jetzt auch gleich dich, weil ich glaube oder könnte es sein, dass wir ein bisschen unterschiedliche Ansichten haben, würde ich jetzt mal an dich gleich wieder zurückgeben. Wie stehst du denn dazu?

Thorsten
Also. In der Praxis ist das natürlich sehr häufig das Problem, die wirklich das Trennscharfe auseinanderhalten der verschiedenen Verarbeitungsvorgänge. Ja, und das ist in der in der Praxis, weil das natürlich häufig auch fließende Übergänge sind, nicht ganz so einfach, also hier wäre es jetzt beispielsweise so, mal unabhängig davon, ob ich das als gemeinsame Verantwortlichkeit sehe oder nicht, ja, die Möglichkeit. Diese Cookies zu setzen und dann diese Insights zu generieren, wenn Facebook mit diesen Informationen später Werbung ausspielen sollte, wäre für diesen Vorgang Facebook eigenständiger Verantwortlicher. Und da stellt, da hat man in der Praxis auch häufig die, die die Abgrenzungsprobleme, weil neben der gemeinsamen Verantwortlichkeit gibt es ja durchaus auch Fälle der. Isolierten, eigenständigen Verantwortlichkeit nebeneinander und je weiter ich eben diese Interpretation des Artikels 26 beziehungsweise der Definition in Artikel 4 sehe, desto schwieriger wird die Abgrenzung zwischen dem eigenständig Verantwortlichen und der gemeinsamen Verantwortlichkeit. Das Thema ich find das insofern immer ganz, ganz spannend, in der wir sehen das halt häufig normalerweise so irgendwie im Mehrpersonenverhältnis ist es immer ne Auftragsverarbeitung das Thema gemeinsame Verantwortlichkeit fristet ja immer noch so n so Nischendasein, ich denke es gibt mittlerweile einfach viele Fälle wo eigentlich wo man. In der Vergangenheit in Anführungszeichen immer ne AVV geschlossen hat, was aber eigentlich n klarer Fall einer gemeinsamen Verantwortlichkeit ist. Ich glaube das dreht sich jetzt so n bisschen. Ich muss sagen ich finde die EU GH Rechtsprechung da rund um 2018 teilweise der EU GH hat da ja auch natürlich immer fallbezogen n bisschen den den Schwerpunkt anders gesetzt, schon nicht ganz unproblematisch also diese trennscharfe Abgrenzung zwischen eigenständiger Verantwortlichkeit und gemeinsamer Verantwortlichkeit. Das ist nach der EU GH Rechtsprechung nicht immer so ganz klar. Ich finde, dass das Verwaltungsgericht hier das ganz gut gemacht hat, weil sie auch ganz klar gesagt haben, es reicht nicht jeder kausale Beitrag eines der beiden Beteiligten, um diese gemeinsame Entscheidung über Zwecke und Mittel der Datenverarbeitung zu generieren, also. Allein jetzt in in unserem konkreten Fall hier die Tatsache, dass ich diese Fanpage eingerichtet habe und dass ich sie betreibe per se, reicht noch nicht aus, um eine gemeinsame Verantwortlichkeit zu begründen. Das halte ich für richtig und nachvollziehbar. (weil sonst eben auch die Abgrenzung zur eigenständigen Verantwortlichkeit schwierig würde) wie gesagt immer unter dem Vorzeichen, dass ich hier natürlich auch die Situation habe, dass das Bundespresseamt. Ja, nicht diese Möglichkeit der Parametrierung hatte ja die. Also hier beschränkte sich der Beitrag des Presseamts tatsächlich auf der Bereitstellung und des Betriebs dieser Fanpage und mehr auch nicht. Ja, also von daher finde ich jetzt im im Hinblick auf den konkreten Fall finde ich das nachvollziehbar, was das Verwaltungsgericht hier gemacht hat, und ich hab auch besser ne gewisse Sympathie für diese Entscheidung. Weil ich finde, man tut sich dadurch wesentlich leichter. Die eigenständige Verantwortlichkeit von der gemeinsamen Verantwortlichkeit abzugrenzen. Wenn ich sage, es reicht mehr oder weniger jeder Kausalbeitrag aus, dann hab ich bei diesen Kettenbeiträgen sehr große Schwierigkeiten, ne gemeinsame Verantwortlichkeit von der einfachen Verantwortlichkeit abzugrenzen.

Bernhard
Weil es natürlich jetzt auch spannend ist, weil der EU gh hat ja damals, du hast ja schon gesagt, 2018 waren es fast schwierige Entscheidungen, aber ich finde, eigentlich hatte der EU GH in der in der Entscheidung Wirtschaftsakademie doch eine eine Schöne einen schönen Satz gebracht hat er nämlich betont, dass eine gemeinsame Verantwortlichkeit nur dann besteht, wenn eine Person, also eine dieser Parteien. Einen Beitrag zur Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten leistet der sich auf die Verarbeitung der personenbezogenen Daten auswirkt. Da hat eigentlich der EU gh schon 2018, nämlich das Urteil des VG eigentlich schon ein bisschen vorweggenommen, weil an dieser Stelle ist es ja so der. Dadurch, dass halt keine Parametrierung stattfindet und auch nicht gewollt ist vom vom oder niemals gewollt war vom Bundespresseamt, dass man gesagt hat, wir wollen dann später, wir wollen, der Zweck liegt auch darin, dass wir später herausbekommen, wer ist unser Fan und damit legen wir gemeinsam dann auch die Mittel fest, weil es heißt ja Mittel und Zweckfestlegung gemeinsam also. Also wir haben die Zwecke, können auch unterschiedlich sein. Man kann es aber auch gemeinsam festlegen. Also Meter will Werbung schalten und Geld verdienen. Das Bundespresseamt will jetzt nicht unbedingt Geld verdienen, sondern das Bundespresseamt will einfach Informationen darüber haben, wer wer die Fans sind, das kann man dann aber auch gemeinsam entscheiden und die Mittel werden dann auch gemeinsam festgelegt, dadurch halt das Halt an der Stelle die. Die die jeweiligen Cookies dann gesetzt werden. Und beide Parteien sind sich dann einig, dass man die Cookies dann auch setzt dafür so aber an der Stelle ist es halt so, dadurch dass halt die Fanpage nur betrieben werden sollte, gab es gar nicht den Zweck, also der hat sich auch nicht auf die Cookies bezogen, sondern und damit hat ja auch schon wieder EU gh gesagt hat. Der gesagt hat, Zweck und Mittel der Verarbeitung, die sich auf die Verarbeitung der personenbezogenen Daten auswirkt. Und da haben wir diese Auswirkungen nicht mehr. Also das Bundespresseamt wollte niemals diese Auswirkungen haben mit den Cookies, das war auch kein Zweck des Bundespresseamtes, was die gemeinsam gesagt haben wegen Parametrierung, die Cookies sind gut, weil damit kriege ich auch mehr Informationen über diejenigen Personen, die auf meiner Fanpage sind und. Damit fehlte das einfach und damit muss ich an der Stelle sagen, genau wie der EU gh das ja damals schon gesagt hat, es hat nicht stattgefunden oder es wurde nicht, die Datenverarbeitung wurde nicht entscheidend beeinflusst bzw Einfluss wurde genommen und da sind wir jetzt bei der Fashion ID Entscheidung, die nämlich dann auch gesagt hat, übrigens war die 2019 Entschuldigung der Nerdige muss die jetzt sein. Nein, aber auch bei der bei der Fashion ID Entscheidung wurde nämlich auch ganz klar gesagt vom EU GH. Es muss dann die Datenverarbeitung muss durch die gemeinsame Zweck und Mittelsetzung beeinflusst worden sein oder Einfluss genommen werden, was man halt hier nicht hat, ja.

Thorsten
Also bin ich bei dir. Also erstaunlicherweise hatte ja der der BFDI genau auf die Entscheidung Wirtschaftsakademie zur Begründung auch abgestellt, diesen Zusatz, den du jetzt aber gerade. So schön noch mal klargestellt hast, dass eben die der Beitrag in irgendeiner Form auf die Verarbeitung auch Einfluss haben muss, den hat der BFDI nicht bewertet. Ja oder unter den Tisch fallen lassen, wie auch immer man das sagen möchte, ja, aber ich bin bei dir, also nach den beiden letzten EU GH Entscheidungen, also Wirtschaftsakademie und Fashion ID kommt man glaube ich mit sehr guten Argumenten genau zu dem Ergebnis, dass ich keine gemeinsame Verantwortlichkeit habe. Weil eben nicht jeder Kausalbeitrag ausreicht, sondern er muss sich in irgendeiner Form, also der Beitrag zur gemeinsamen Verantwortung, Verarbeitung muss sich in irgendeiner Form auf die Mittel und Zwecke der Verarbeitung auch auswirken und das hat man hier in dem konkreten Fall dann tatsächlich, kommt nicht.

Bernhard
Das ist ja eigentlich fast schon am Ende. Das ist ja, das ist ja ganz fürchterlich an der Stelle, weil wir.

Thorsten
Sind und noch mal. Und wir sind uns eigentlich einig, das ist ja, kommt ja eher selten vor.

Bernhard
Ja, das ist, das macht mich jetzt gerade an der Stelle schon ein bisschen bedenklich, was für was ich auch sehr interessant an der Stelle finde. Also ich hab dann, ich hab ja auch da mir überlegt, wie ist denn das jetzt eigentlich, wenn ich jetzt zum Beispiel eine Webseite surfe, einfach nur surfe. Und dann rufe ich ja auch eine Webseite auf und damit werden ja dann auch personenbezogene Daten von zum Beispiel wenn da Bilder drauf sind von Personen verarbeitet. Also wenn ich jetzt wirklich sagen würde, und das hat mir halt auch an den an den 20 achtzehnern und 20 neunzehner Entscheidungen halt nicht gefallen, dass die auch auf der einen Seite zwar, wie man hier ja gemerkt hat, die haben schon so ein bisschen diese Entscheidung jetzt des Verwaltungsgerichtes. Köln. Haben die schon so ein bisschen vorbereitet, aber auf der anderen Seite haben die natürlich einen sehr, sehr weiten Rahmen gesetzt, finde ich, was halt eine gemeinsame Verantwortlichkeit ist, weil wir haben jetzt einen Webseitenbetreiber, der hat auf seiner Webseite Bilder auf irgendwelchen Unterseiten. Jetzt klicke ich über diese Unterseiten und verändere ja damit die Datenverarbeitung und damit werden ja automatisch dann, wenn diese Bilder plötzlich angezeigt werden werden ja personenbezogene Daten von. Den Personen, die auf den Bildern abgebildet sind, plötzlich verarbeitet. Also wenn man sie jetzt völlig extensiv auslegen würde, wäre ich dann schon als normaler Webseitenbetreiber. Doch im Endeffekt gemeinsam mal verantwortlich. Also es ist jetzt wirklich weit gesponnen jetzt wirklich sehr, sehr nerdig gedacht und vielleicht noch ein bisschen abseitig gedacht, aber ich habe mir wirklich überlegt, wo ist denn dann die Grenze und das fand ich halt an den Entscheidungen von 2018 2019 schon sehr schwierig, dass ich gesagt habe, wir müssen doch irgendwo eine Grenze setzen, wo einfach noch ein subjektiver Tatbestand mit reinkommt, der. Hinsichtlich der Zwecke und der Mittel. Das ist halt aus meiner Sicht dann auch wichtig und der halt dann auch der subjektive Zweck, muss sich dann auch darauf beziehen, dass halt diese Datenverarbeitung in der vorgesehenen Form auch stattfindet und nicht, dass ich jetzt jede einzelne Datenverarbeitung, die ich jetzt praktisch durch mein eigenes Handeln einfach in Gang setze, dass ich da plötzlich gemeinsam verantwortlicher bin. Und das wäre dann halt eine eine Arbeit, die auch für kein Unternehmen, das muss man auch mal überlegen, es wäre für kein Unternehmen mehr gangbar, weil mit Artikel 26 und jetzt können wir noch mal, jetzt gehen wir mal ganz kurz zurück zu den zu den Verpflichtungen, dann, da bin ich ja dann auch verpflichtet, und das wurde ja auch bemängelt, dass ich auch auf der Webseite dann gegebenenfalls auch die die gemeinsame Verantwortlichkeit dann auch noch angebe und. Ich muss ja auch noch den Vertrag dann schließen als und da muss ich auch noch die jeweiligen Betroffenen auch noch informieren. Und wenn ich das jetzt in jedem Falle machen müsste, dann wäre im Endeffekt das Internet nicht mehr gangbar aus meiner Sicht, wenn man das wirklich in der ganz exzessiven extensiven Auswirkung machen würde.

Thorsten
Ich enthalte mich diesbezüglich jetzt jeden bösartigen Namen etwas, aber du hast natürlich recht, es würde. Glaube ich in der Praxis extrem extrem schwierig und die also ich finde dieses Thema, diese Abgrenzung, die ich vorhin schon beschrieben habe, tatsächlich in der Praxis sehr schwierig, aber ich glaube, wenn wir da den Zuhörerinnen und Zuhörern was mit auf den Weg geben wollen, dann glaube ich, ist Tipp Nummer 1 sich wirklich sehr genau und sehr detailliert die einzelnen Verarbeitungsvorgänge anzuschauen, die wirklich trennscharf zu betrachten und dann wirklich zu schauen, welcher der Beteiligten. In dem Spiel liefert, welchen Beitrag für den jeweiligen Verarbeitungsvorgang und dann glaube ich kommt man da vielleicht etwas einfacher durch als ja bei so einer generischen Betrachtung der gesamten Verarbeitung. Das macht es glaube ich dann deutlich schwieriger und im Ergebnis auch rechtlich nicht unbedingt besser ich.

Bernhard
Hätte noch mal so ein kleines Schmankerl. Zum Schluss ist jetzt eine eine etwas abseitige Betrachtung noch mal aber. Ich glaube auch jeder unserer Zuhörer kennt die Dialogpost von der von der Post. Also die typische Werbung. Jetzt muss man sich auch überlegen, bei dieser Werbung ist es ist es ja auch möglich, dass man sagt, okay, ich grenze jetzt meinen Empfängerkreis nach speziellen Kriterien ein und dann soll bei einem gewissen Empfängerkreis soll auch nur diese Werbung auch zugestellt werden. Wenn wir jetzt also das, was dann vorher an Fashion ID einfach auch oder auch von der von der Bundesdatenschutz, von dem Bundesdatenschutzbeauftragten damals noch was, dann auch noch so vorgebracht wurde, würde sich aus meiner Sicht auch mal die Frage stellen, weil ich es wird ja eine Datenverarbeitung dann gemacht, wir haben Zwecke, wir haben die Mittel und. Ich habe allerdings noch niemals gesehen, dass an dieser Stelle mal bei bei dieser Post direkt, dass dort schon mal ein Vertrag zur gemeinsamen Verantwortlichkeit unterschrieben.

Thorsten
Wurde, oder?

Bernhard
Zum Beispiel besser noch. Also politische Parteien haben ja auch die Möglichkeit vor jeder Wahl. Auch für die eigene Wahlwerbung auch Adressen, sich Adresslisten zu generieren zu lassen von den Einwohnermeldeämtern. Da ist dann auch möglich, nach gewissen Altersstufen das zu machen, also für einen Seniorenbrief oder ähnliches oder auch für Erstwähler dann das ganze sich dann sich eine Adressliste zusammenstellen zu lassen, um dann halt auch für die Erstwähler halt nur die Erstwähler mit dem Erstwählerbrief anzusprechen und ähnliches so aber auch da. Also ich weiß noch nicht, ob da nämlich auch da würde nämlich auch die Frage sich dann mal stellen, haben wir hier eigentlich eine gemeinsame Verantwortlichkeit an dieser Stelle zwischen der Behörde, also dem da ist es dann das Einwohnermeldeamt und dem und der politischen Partei, also da kommen wir zu ganz, da würden wir bei diesem extensiven Begriff zu ganz, ganz vielen. Gemeinsamen Verantwortlichkeiten kommen über die bis heute noch niemand nachgedacht hat. Und deshalb bin ich persönlich über das Urteil vom VG Köln wirklich glücklich und deshalb bin ich heute vielleicht auch mal derjenige, der von dem du vorhin behauptet hast, ich würde mich jetzt hier gerade bei meta bewerben, tue ich aber nicht, ich habe einfach nur mal über den Tellerrand an den Stellen auch gedacht und habe gesagt, wo würden denn diese Auswirkungen hingehen, wenn nicht ein Gericht jetzt auch mal zu der Entscheidung kommen könnte, dass halt nicht jeder Beitrag einer Datenverarbeitung. Zu einer gemeinsamen Verantwortlichkeit führt, und ich glaube, das ist dann auch für uns insgesamt auch besser, um den Datenschutz auch in Deutschland voranzubringen, ohne dass jetzt jeder sagt, Oh mein Gott, was passiert hier gerade und alle schimpfen nur auf den Datenschutz, obwohl es eigentlich an vielen Stellen gar nicht notwendig wäre.

Thorsten
Thema für einen anderen Podcast. Bernhard, ich danke dir ganz herzlich, hat großen Spaß gemacht. Vielleicht werden wir diese Entscheidung irgendwann noch mal aufnehmen, wenn sie in nächster Instanz dann entschieden wurde. Ansonsten ja nochmals vielen Dank, schön, dass du da warst. Bis bis bis zum nächsten Mal. Wir werden ein Thema finden und ja dann an alle zuhören und zuhören. Vielen Dank fürs Zuhören, ich hoffe es war informativ und ja vielen Dank bis zum nächsten Mal.

Bernhard
Tschüss.

Sprecher
Das war Rechtsanwalt und Lebenskünstler der Comfience Part Cast von Schulte Rechtsanwälte.