from dbarray(3) {
[0]=>
array(2) {
["deepdive"]=>
array(3) {
[0]=>
object(Content)#932 (15) {
["_e":"CComponent":private]=>
NULL
["_m":"CComponent":private]=>
NULL
["_errors":"CModel":private]=>
array(0) {
}
["_validators":"CModel":private]=>
NULL
["_scenario":"CModel":private]=>
string(6) "update"
["_new":"CActiveRecord":private]=>
bool(false)
["_attributes":"CActiveRecord":private]=>
array(17) {
["cID"]=>
int(198409)
["cPID"]=>
string(4) "mabo"
["cUID"]=>
string(10) "0000114586"
["cScenario"]=>
string(11) "fachartikel"
["cPublished"]=>
int(1)
["cPublishedUID"]=>
string(10) "0000047098"
["cDeleted"]=>
int(0)
["cReferenceId"]=>
NULL
["cDate"]=>
string(19) "2024-11-25 09:31:01"
["cLastUpdate"]=>
string(19) "2024-11-13 15:58:53"
["cTitle"]=>
string(34) "Rechtstipps für Weihnachtsgrüße"
["cTeaser"]=>
string(152) "Weihnachtsgrüße per E-Mail und Post müssen DSGVO und UWG beachten, um Abmahnungen zu vermeiden. Einwilligung ist für E-Mail Pflicht, bei Post nicht."
["cText"]=>
string(5377) "
Werbung bleibt auch zu Weihnachten Werbung. Die Vorgaben der DSGVO und des UWG sind unbedingt zu beachten, um Abmahnungen zu vermeiden.
Das Versenden von Weihnachtsgrüßen – ob per E-Mail oder Post – ist bei vielen Unternehmen Standard. Gerade in wirtschaftlich herausfordernden Zeiten sind solche Botschaften ein wertvolles Instrument zur Kundenbindung.
Doch Vorsicht: Auch Weihnachtsgrüße unterliegen den Regelungen der Datenschutz-Grundverordnung (DSGVO), da hier personenbezogene Daten verarbeitet werden. Zudem fällt diese Maßnahme unter das Gesetz gegen den unlauteren Wettbewerb (UWG), das auch Aktionen zur Pflege von Kunden- und Geschäftspartnerbeziehungen wie Weihnachtsgrüße als Werbemaßnahmen einstuft.
Weihnachtsgrüße per E-Mail: Einwilligung oder berechtigtes Interesse?
Sollen Weihnachtsgrüße per E-Mail versendet werden, ist datenschutzrechtlich sicherzustellen, dass Empfänger ausdrücklich dem Erhalt von Werbe-E-Mails zugestimmt haben. Eine Einwilligung sollte durch das Double-Opt-in-Verfahren eingeholt und dokumentiert werden. Dieses Vorgehen ist bekannt vom Newsletterversand.
Da es jedoch unrealistisch sein dürfte, für Weihnachtsgrüße eine gesonderte Zustimmung einzuholen, empfiehlt es sich, diese im Rahmen eines Newsletters zu versenden. So entfällt die Notwendigkeit einer separaten Einwilligung.
Alternativ können Weihnachtsgrüße in wenigen Fällen auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO) gestützt werden. Das UWG (§ 7 Abs. 3) sieht hier jedoch strenge Voraussetzungen vor, die unbedingt erfüllt sein müssen, um eine unzumutbare Belästigung zu vermeiden und rechtliche Konsequenzen auszuschließen. Insbesondere muss der Kunde im Zusammenhang mit einem Kauf seine E-Mail-Adresse freiwillig angegeben haben und ihm muss bei der Datenerhebung sowie bei jeder E-Mail-Nutzung klar mitgeteilt werden, dass er jederzeit der Verwendung widersprechen kann.
Sollten diese Voraussetzungen nicht alle zutreffen, sollten Weihnachtsgrüße nur an jene E-Mail-Empfänger gesendet werden, die dem Erhalt eines Newsletters zugestimmt haben, oder auf den postalischen Versand auszuweichen.
Weihnachtsgrüße per Post: Einfache Umsetzung mit berechtigtem Interesse
Aus Datenschutzsicht ist der Versand per Post oft weniger komplex. Hier ist keine ausdrückliche Einwilligung der Empfänger erforderlich, solange ein berechtigtes Interesse des Unternehmens vorliegt und die Rechte der Betroffenen gewahrt bleiben (Art. 6 Abs. 1 lit. f DSGVO).
Der postalische Weihnachtsgruß dient üblicherweise der Kundenpflege und ist gängige Praxis – daher wird eine Interessensabwägung häufig zugunsten des Versenders ausfallen. Weihnachtskarten, die auf eine langjährige Tradition der geschäftlichen Wertschätzung und Bindung abzielen, stellen für die meisten Empfänger keine Überraschung dar und gelten allgemein als akzeptiert.
Informationspflichten auch bei Weihnachtsgrüßen nicht vergessen
Ob postalisch oder elektronisch versendet – bei der Erhebung personenbezogener Daten ist eine Information über die Datenverarbeitung nach Art. 13 DSGVO unerlässlich. Idealerweise sollte bereits bei der ersten Kontaktaufnahme darüber informiert werden, dass die Daten zur Pflege von Kundenbeziehungen, einschließlich der Versendung von Weihnachtsgrüßen, genutzt werden können. Eine datenschutzkonforme Möglichkeit ist es, diese Information in die Weihnachtsgrüße aufzunehmen, etwa durch einen QR-Code oder Link zu den Datenschutzhinweisen.
Widerspruchs- und Widerrufsrecht gilt auch im Advent
Bei der ersten Kommunikation, sei es per E-Mail oder Post, muss das der Absender die Empfänger über ihr Widerspruchsrecht gemäß Art. 21 Abs. 2 DSGVO informieren. Ein Widerspruch bedeutet, dass zukünftig auf das Versenden von Weihnachtsgrüßen an diese Person verzichtet werden muss.
Wird auf die Einwilligung des Empfängers gesetzt – etwa, wenn Weihnachtsgrüße in einem Newsletter integriert sind oder eine ausdrückliche Einwilligung für die Weihnachts-E-Mail vorliegt – muss zudem das Widerrufsrecht beachtet werden. Wichtig ist, dass der Widerruf genauso einfach wie die Einwilligung selbst erfolgt, beispielsweise durch einen Abmeldelink am Ende der E-Mail.
Fazit: Weihnachtsgrüße nur im Einklang mit DSGVO und UWG versenden
Das Versenden von Weihnachtsgrüßen erfordert dieselbe Sorgfalt wie andere Werbemaßnahmen. Unternehmen sollten sich an die Bestimmungen der DSGVO und des UWG halten und sicherstellen, dass alle nötigen Informationen bereitgestellt sind.
So bleibt die festliche Kommunikation mit Kunden und Geschäftspartnern rechtskonform und einem besinnlichen Weihnachtsfest steht nichts im Wege.
Apple will seine Innovationen im Bereich Künstliche Intelligenz im neuen iPhone seinen europäischen Kunden nicht anbieten. Microsoft und Meta stoppen ihre KI-Suchfunktion (Recall) bzw. den KI-Assistenten (Meta AI) in und/oder für Europa. In allen Fällen ist es der gleiche Grund: Die europäische DSGVO schlägt zu und droht bei Verstößen gegen die Datenschutz-Regulierung mit drastischen Strafen. Aber eine künstliche Intelligenz (gerade auch im und für das Marketing) braucht nun einmal sehr viele Daten und so droht ein Kulturkampf zwischen dem Datenhunger einer KI und der Datenschutz-Regulierung seitens der DSGVO.
Künstliche Intelligenz (KI) ist unbestritten eine der disruptivsten Technologien des 21. Jahrhunderts. Von der Automatisierung alltäglicher Aufgaben bis hin zur Konzeption ganzer Marketing-Kampagnen – die Potenziale der KI sind immens. ChatGPT & Co. sind inzwischen längst im Alltag der Menschen angekommen und die Häufigkeit der privaten und wirtschaftlichen Nutzung steigt immer weiter an. Doch die erste große Euphorie rund um den Einsatz der KI ist verflogen. Standen am Anfang noch die positiven Möglichkeiten im Vordergrund und wie eine „gute KI“ dem Menschen helfen kann, so dominieren immer mehr die negativen Folgen einer „schlechten KI“ wie Fake News, Daten- und Bildmanipulationen sowie Manipulation von Kundenbedürfnissen.
KI versus DSGVO
Das hat naturgegeben (mal wieder) die eher konservativen Datenschützer aus Europa gegen den digitalen Neoliberalismus aus den USA auf den Plan gerufen. Die stärkste Waffe unseres – auch im Bereich der KI - digital zurückgebliebenen Kontinents gegen die KI-Innovationen aus den USA ist dabei erneut die DSGVO. Zwar wollte das Europäische Parlament mit einem eigenen KI-Gesetz direkt von Anfang mal vorausschauend einen rechtlichen Rahmen für – oder je nach Perspektive – gegen die neuen KI-Innovation schaffen, aber auch hier weisen Experten immer wieder auf die Konflikte zwischen dem neuen AI-ACT und der älteren DSGVO hin. Offene Definitionen, Rechtsunsicherheit in der Anwendung und der Basiskonflikt zwischen dem sehr hohen Datenbedarf einer KI und der Vorgabe einer Datensparsamkeit aus der DSGVO werden hier immer wieder genannt. Hier drei Beispiele:
Datensparsamkeit versus Datenmenge
Die DSGVO, die im Mai 2018 in Kraft trat, hat das Ziel, personenbezogene Daten von EU-Bürgern zu schützen. Die Idee dahinter ist einfach: Je weniger Daten gesammelt werden, desto geringer ist das Risiko von Datenschutzverletzungen. Im Kontrast dazu basieren viele KI-Anwendungen (insb. Machine-Learning-Algorithmen) auf der Analyse großer Datenmengen, um ihre Modelle zu trainieren und kontinuierlich zu verbessern und genau hier entsteht der erste Konflikt: Während die DSGVO fordert, die Datenerhebung auf ein Minimum zu beschränken, verlangen KI-Modelle genau das Gegenteil. Ein Ausweg könnte hier die Anonymisierung und Pseudonymisierung von Daten sein, was die DSGVO erlaubt. Allerdings ist dies leichter gesagt als getan, denn eine vollständige Anonymisierung ist in vielen Fällen schwer zu gewährleisten. Vor allem, wenn KI-Modelle über Querverweise und die Verknüpfung mehrerer Datenquellen letztlich doch Rückschlüsse auf Individuen ermöglichen, drohen mögliche Verstöße gegen die DSGVO.
Transparenz versus KI-Algorithmus
Ein weiterer zentraler Punkt der DSGVO ist die Transparenz. EU-Bürger müssen genau informiert werden, welche Daten gesammelt werden, wofür diese verwendet werden und welche Rechte ihnen in Bezug auf ihre Daten zustehen. Hiermit adressiert die DSGVO den Schutz des Verbrauchers. Doch wie transparent kann eine KI sein? Insbesondere bei den „Black-Box-Modellen“, wie sie häufig im Deep Learning vorkommen, ist es schwierig, die genauen Entscheidungswege nachzuvollziehen. Ferner wollen die Unternehmen ihre entwickelten KI-Algorithmen eben nicht offenlegen, da genau diese ja den möglichen Wettbewerbsvorteil ausmachen. So die Forderungen der DSGVO nach klarer und verständlicher Aufklärung zu erfüllen, ist schwierig. Einige KI-Entwickler arbeiten zwar an „erklärbaren KI-Systemen“ (Explainable AI), die es Nutzern ermöglichen sollen, besser nachzuvollziehen, wie und warum bestimmte Entscheidungen getroffen wurden, aber auch hier steht die Entwicklung noch am Anfang.
Recht auf Vergessenwerden versus KI-Lernmodelle
Die DSGVO gewährt EU-Bürgern das Recht auf Vergessenwerden. Das bedeutet, dass eine Person verlangen kann, dass ihre Daten gelöscht werden, wenn diese nicht mehr notwendig sind oder unrechtmäßig verarbeitet wurden. Dies stellt KI-Anwendungen vor ein weiteres Problem. Viele Algorithmen lernen aus den gesammelten Daten und passen ihre Entscheidungen entsprechend an. Wenn Daten jedoch gelöscht werden müssen, stellt sich die Frage, wie sichergestellt werden kann, dass diese Informationen vollständig aus den KI-Modellen entfernt werden – insbesondere bei Modellen, die auf historischen Daten aufbauen und diese als Basis für zukünftige Vorhersagen verwenden. Ein Lösungsansatz könnte hier in der Entwicklung von Techniken bestehen, die sicherstellen, dass Daten, sobald sie gelöscht werden, auch aus dem „Gedächtnis“ der KI verschwinden. Das ist jedoch technisch eine enorme Herausforderung und in vielen Fällen noch nicht zufriedenstellend gelöst.
Der schmale Grat zwischen Innovation und Regulierung
Die DSGVO und KI stehen – gerade auch für das Marketing – in einem natürlichen Spannungsverhältnis. Während die DSGVO den Schutz der Privatsphäre priorisiert und klare Regelungen zur Nutzung personenbezogener Daten setzt, erfordert die Entwicklung und Verbesserung von KI-Systemen oft große Mengen an eben diesen Daten. Da im Moment dieses Spannungsverhältnis eher zu einer Unsicherheit führt, hat das dann eben zur Folge, dass Apple, Microsoft & Co. ihre KI-Innovationen (noch) nicht in Europa anbieten. Umgekehrt verspricht das deutsche KI-Unternehmen Aleph Alpha, den Anforderungen der strengen Europäischen Datenschutz-Grundverordnung aber gerecht zu werden. Ob es damit aber bessere KI-Innovationen anbieten und einen Wettbewerbsvorteil erlangen kann, bleibt im Moment noch offen. Der Kulturkampf und daraus abgeleitet der Wettbewerb um die Zukunft der KI ist gerade erst losgegangen. Und gerade im Bereich Marketing, wo es direkt und unmittelbar um die Verarbeitung von Kundendaten geht, werden wir diesen Kulturkampf als Erstes sehen.
Die Datenschutzgrundverordnung (DSGVO) ist ein ausgeprägtes „Compliance-Gesetz“. Sie geht mit umfassenden Dokumentations- und Organisationspflichten über die bloße Zulässigkeitsfrage hinaus. Das ist in der Praxis herausfordernd und aufwendig, darf aber dennoch nicht unterschätzt werden. Denn auch die Missachtung dieser weitergehenden Pflichten kann zu Geldbußen (bis zu 20 Millionen Euro oder – falls höher – bis zu vier Prozent des weltweiten Vorjahresumsatzes des Unternehmensverbunds führen) sowie zu Schadensersatzforderungen – Stichwort: Schmerzensgeld – führen.
Verbot mit Erlaubnisvorbehalt und Zweckbindung
Der entscheidende Grundsatz des Datenschutzrechts – das sogenannte Verbot mit Erlaubnisvorbehalt [8] – lässt sich so umschreiben: Alles ist verboten, es sei denn, es ist konkret erlaubt. Die praktische Konsequenz ist, dass jeder Verarbeitungsschritt von der Erhebung über das Hinzunehmen aus Drittquellen (Third Party Data) über das Auswerten (Profiling) bis hin zum Löschen jeweils auf das Eingreifen einer Rechtsgrundlage geprüft werden muss.
Für die Zulässigkeitsprüfung ist der Grundsatz der Zweckbindung [9] ebenfalls entscheidend. Denn er bedeutet, dass die Verwendung von personenbezogenen Daten nur für den Zweck zulässig ist, zu dem sie rechtmäßig erhoben worden sind. Das lässt sich an einem einfachen Beispiel verdeutlichen: Wenn ein Unternehmen die Daten über die Bestellung, die Adresse zur Zusendung und die Zahlungsdaten (nur) zur Abwicklung des Vertrags erhoben hat, darf es die Daten auch nur zu diesem Zweck verarbeiten. Sollen diese Daten auch für das Marketing verwendet werden, dann bedarf es der (erneuten) Zulässigkeitsprüfung hierfür.
Die Prüfung einer zweckändernden Weiterverarbeitung ist unter der DSGVO nicht ausgeschlossen, allerdings sowohl die zweistufige Prüfung der Zulässigkeit [10] als auch die Vorab-Hinweispflichten [11] machen diese die nachträgliche Änderung beziehungsweise Erweiterung der Verarbeitung in der Praxis aufwendiger.
Tipp für die Praxis: Einfacher ist es, diese Daten von vornherein auch für das Marketing zu erheben, worüber die betroffene Person allerdings auch von Anfang an zu informieren ist. Das ist auch ein Grund dafür, die datenschutzrechtliche Bewertung von Anfang an in die Entwicklung von Data-Driven-Strategien einzubinden.
Proaktive Informationspflicht
Die DSGVO enthält in Art. 13 und 14 DSGVO die Pflicht zur umfassenden Information der betroffenen Person – und zwar zum Zeitpunkt der Erhebung der Daten, wenn die Daten direkt von der betroffenen Person stammen. Wenn die Daten aus Drittquellen stammen, dann entweder binnen eines Monats oder – wenn sie zur Kommunikation mit der Person genutzt werden sollen, bei der ersten Kommunikation. Der betroffenen Personen müssen insbesondere alle Zwecke – also auch die Verarbeitung zur Personalisierung – sowie – neben einer Reihe von weiteren Informationen – die entsprechende Rechtsgrundlage und die Speicherdauer der Daten genannt werden. Gerade diese beiden Inhalte der Informationspflicht zwingen dazu, sich auch mit der Rechtsgrundlage und der Speicherdauer zu befassen. Das macht deutlich, dass Befassung von Anfang an zusammen mit der Planung der Marketingmaßnahmen erfolgen muss.
Datenminimierung
Die DSGVO schreibt auch die Datenminimierung vor. Das bedeutet, dass die Verarbeitung der Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss [12]. Für die Praxis bedeutet dies, dass nur die Daten verarbeitet werden dürfen, die für den jeweiligen Zweck (siehe zuvor zur Zweckbindung) erforderlich sind. Konkret: Für jede Information muss begründet werden können, warum sie für das Ziel benötigt wird.
Privacy by Design and by Default
Der Grundsatz des Privacy by Design und Default geht über die Datenminimierung hinaus und ist ihr vorgelagert. Das Privacy by Design erfordert, dass die Verarbeitung bereits technisch und organisatorisch so gestaltet ist, dass sie so wenig wie möglich personenbezogene Daten verarbeitet und beispielsweise diese rechtzeitig auch löschen kann. Die genaue Auslegung und Reichweite ist zwar noch nicht abschließend geklärt, aber wegen Verstößen hiergegen sind schon Geldbußen verhängt worden. Privacy by Default bedeutet vereinfacht, dass bei Einstellungsmöglichkeiten für den Nutzer die datenschutzfreundlichen voreingestellt sein müssen.
Zentrale Dokumentationsanforderungen
Die DSGVO hat vor allem die Anforderungen an die Bewertung von Verarbeitungen und deren Dokumentation verstärkt. Verstöße gegen diese Pflichten sind allesamt bußgeldbewehrt. Die zentrale Dokumentation ist das Verzeichnis von Verarbeitungstätigkeit (Art. 30 DSGVO). In diesem sind alle Verarbeitungstätigkeiten des Unternehmens mit den gesetzlich festgelegten Inhalten zu dokumentieren. Das gilt auch für die Verarbeitung im Rahmen des personalisierten Marketing. Die Datenschutzaufsichtsbehörden können jederzeit die Vorlage dieser Dokumentation fordern. Das bietet sich vor allem dann an, wenn sie komplexere Verarbeitungen zu Marketingzwecken prüfen möchten. Die DSGVO macht eine sogenannte Datenschutz-Folgenabschätzung für Verarbeitungstätigkeiten mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person erforderlich (Art. 35 DSGVO). Für jede (!) Verarbeitung ist zu prüfen, ob ein solches Risiko vorliegt, und selbst bei Verneinung der Erforderlichkeit ist zu dokumentieren, dass und warum dieses verneint wird. Für einfache Personalisierungen (beispielsweise Adressierung und Selektion) wird eine Datenschutz-Folgenabschätzung typischerweise nicht erforderlich sein. Für umfassendere, tiefergehende Personalisierungen muss zumindest genau geprüft werden, ob eine solche erforderlich ist. Diese Prüfpflicht darf nicht aus dem Auge verloren werden. Denn sie ist aufwendig und die Verarbeitung darf erst nach Abschluss der Prüfung begonnen werden. Daher ist es sinnvoll, diese Fragestellung von Anfang an bei der Planung zu berücksichtigen.
Art. 5 Abs. 2 DSGVO sieht die sogenannte Rechenschaftspflicht in Bezug auf jede Verarbeitung vor. Danach ist jede (!) Verarbeitung anhand der Grundsätze des Art. 5 Abs. 1 DSGVO zu prüfen und zu dokumentieren. Ein Verstoß hiergegen ist bußgeldbewehrt. Die in Art. 5 Abs. 1 DSGVO näher dargestellten Grundsätze sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Hinweis: Gerade die Dokumentationsanforderungen der DSGVO erscheinen als lästig. Aber das sind sie aus Sicht des Gesetzgebers und der Datenschutzaufsichtsbehörden ganz bewusst. Mit einer Missachtung ist es leicht möglich, eine ganze Reihe von Bußgeldern „einzusammeln“. Werden die Anforderungen der DSGVO direkt von Anfang an und projektbegleitend berücksichtigt, verringert es den Aufwand und vermeidet überraschende Verzögerungen.
- 70 % der Verbraucher lehnen personalisierte Werbung laut Umfrage ab - Tracking und Profilbildung ermöglichen Manipulation und Diskriminierung - Der vzbv fordert ein Verbot von Tracking zu Werbezwecken in der EU
Personalisierte Werbung basiert auf Tracking und der Erstellung detaillierter Nutzerprofile. Diese Praxis birgt Risiken für den Datenschutz und kann Manipulation sowie Diskriminierung begünstigen. Ein aktuelles Gutachten von Prof. Dr. Max von Grafenstein (UdK Berlin, Einstein Center Digital Future) und RA Dr. Nina Elisabeth Herbort im Auftrag des Verbraucherzentrale Bundesverbands (vzbv) zeigt, dass Verbraucher kaum Kontrolle über ihre Daten haben und das digitale Werbeökosystem intransparent ist.
Besonders problematisch ist die Kategorisierung von Nutzern nach sensiblen Merkmalen wie Gesundheitszustand oder finanzieller Lage. Solche Profile ermöglichen gezielte Werbung, können aber auch zu unfairer Behandlung führen. Der vzbv sieht hierin eine Gefahr für Datenschutz, Demokratie und das Vertrauen in digitale Dienste. Eine forsa-Umfrage aus dem Jahr 2024 bestätigt diese Bedenken: 70 % der Befragten lehnen personalisierte Werbung ab und sind dagegen, dass Unternehmen Tracking zur Profilbildung nutzen.
Laut vzbv sind die aktuellen Gesetze wie DSGVO und Digital Services Act nicht ausreichend, um diese Probleme zu lösen. In einem Positionspapier fordert die Organisation daher ein Verbot von Tracking und Profilbildung für Werbezwecke auf EU-Ebene. Verbraucher sollten digitale Angebote nutzen können, ohne dass ihre Daten ohne Zustimmung für Werbung gesammelt werden.
- DeepSeek speichert umfassende Nutzerdaten – inklusive Tastaturmuster - Es fehlt ein DSGVO-konformer Vertreter für Europa – ein klarer Verstoß - Offene Datenbank enthielt sensible Infos – Zugriff war ohne Authentifizierung
Der chinesische KI-Chatbot DeepSeek sorgt für massive Datenschutzbedenken in Deutschland. Laut dem rheinland-pfälzischen Datenschutzbeauftragten Dieter Kugelmann, berichtet Heise, mangelt es bei dem Anbieter „an so ziemlich allem“ in Bezug auf Datenschutz. DeepSeek erfasst nicht nur IP-Adressen, Chatverläufe und hochgeladene Dateien, sondern auch das Tippverhalten der Nutzer. Zudem existiert weder eine europäische Niederlassung noch ein gesetzlicher Vertreter, was einen klaren DSGVO-Verstoß darstellt.
Um den Datenschutzverstoß weiter zu untersuchen, planen deutsche Datenschutzbehörden, einen Fragebogen an DeepSeek zu senden. Italienische Behörden haben bereits erste Anfragen gestellt, und die App ist dort vorerst nicht verfügbar. Ein weiteres Problem ist eine öffentlich zugängliche Datenbank von DeepSeek, die ohne Authentifizierung sensible Daten wie Chat-Verläufe, Backend-Informationen und API-Secrets enthielt. Sicherheitsexperten konnten diese innerhalb weniger Minuten einsehen.
DeepSeek hatte mit seinem leistungsstarken KI-Chatbot für Aufsehen gesorgt, da er trotz geringerem Trainingsaufwand mit OpenAI-Modellen konkurriert. Dies führte zu Unsicherheiten an der Börse und einem Rückgang der Nvidia-Aktien. Zudem wird spekuliert, ob DeepSeek unerlaubt auf OpenAI-Daten zugegriffen hat. Microsoft und Meta haben bereits interne Untersuchungen eingeleitet.
Mehr als die Hälfte der Deutschen (52,4 %) empfindet Datenschutzerklärungen im Netz als zu kompliziert. Das zeigt eine aktuelle repräsentative Umfrage des eco – Verbands der Internetwirtschaft e. V. unter 2.500 Bundesbürger:innen ab 18 Jahren anlässlich des Europäischen Datenschutztages am 28. Januar.
Demnach geben 64 Prozent der Befragten an, Datenschutzrichtlinien selten oder nie zu lesen, bevor sie zustimmen. Mehr als jede:r Dritte akzeptiert regelmäßig alle Cookies und immerhin rund 28 Prozent empfinden Datenschutz-Banner generell als störend. Zudem sehen 21,8 % der Befragten keinen persönlichen Mehrwert im Datenschutz.
Die Konsequenzen eines solch sorglosen Umgangs mit den eigenen Daten im Netz reichen von der unerwarteten Weitergabe und missbräuchlichen Nutzung persönlicher Daten über den Verlust von Rechtsansprüchen bis hin zu möglichen Kosten, denen man unwissentlich zustimmen könnte.
eco Vorstandsvorsitzender Süme: “Datenschutz geht uns alle an”
„Datenschutz geht uns alle an. Datenschutz ist nicht nur ein gesetzlich verbrieftes Recht. Es ist eine zentrale Verantwortung, die sowohl Unternehmen und Behörden, als auch alle Bürgerinnen und Bürger tragen müssen”, sagt eco Vorstandsvorsitzender Oliver Süme. Gerade in Europa, wo die DSGVO einen hohen Standard setzt, sei es entscheidend, verständliche und praktikable Lösungen zu schaffen, die die Balance zwischen Rechtssicherheit und Nutzerfreundlichkeit wahren. Datenschutz ist nicht nur eine Compliance Verpflichtung, sondern auch eine Verantwortung der Anbieter digitaler Dienste gegenüber Nutzer:innen. Dabei sei einerseits auf verhältnismäßige, verständliche und einheitliche Maßgaben für Unternehmen und Verwaltung zu achten, um andererseits Bürger:innen den selbstbestimmten, eigenverantwortlichen Umgang mit ihren Daten zu ermöglichen.
Bundesdatenschutzbeauftragte Specht-Riemenschneider: “Brauchen aufrichtige digitale Transformation, die sich an europäischen Werten orientiert
Die Bundesdatenschutzbeauftragte Prof. Dr. Louisa Specht-Riemenschneider mahnt in diesem Kontext eine stärkere Verankerung des Datenschutzes entlang europäisch-gesellschaftlicher Werte an: „Wenn man den Wahlprogrammen glaubt, geht es wirtschaftspolitisch in den nächsten 5 Jahren darum, eine starke Digitalwirtschaft aufzustellen. Wir brauchen eine aufrichtige digitale Transformation, die sich zu den europäischen Werten unserer Gesellschaft bekennt und sie in der Digitalwirtschaft von morgen aufrechterhalten will. Ich glaube an eine Zukunft in einer solchen sozialintegrativen Digitalwirtschaft.“
eco gibt vier Tipps für Datenschutz im Netz
1. Gezielte Prüfung der wichtigsten Punkte in Datenschutzrichtlinien: Besondere Aufmerksamkeit sollte auf entscheidende Aspekte wie Datenweitergabe, Speicherdauer und Verwendungszwecke gelegt werden. Tools wie TOS;DR (Terms of Service; Didn’t Read) können helfen, die wichtigsten Inhalte schnell zu erfassen und persönliche Risiken zu bewerten.
2. Selektives Akzeptieren von Cookies: Statt alle Cookies zuzulassen, ermöglichen Browser-Einstellungen, nur notwendige Cookies zu aktivieren und Tracking zu verhindern. Erweiterungen wie uBlock Origin oder Ghostery blockieren zusätzlich Tracking-Skripte. Regelmäßiges Löschen von Browserdaten erschwert Webseiten die Verfolgung Ihres Verhaltens.
3. Regelmäßige Nutzung der Datenschutzrechte: Rechte wie die Auskunft über gespeicherte Daten oder deren Löschung sollten aktiv genutzt werden, um Kontrolle über die persönlichen Informationen zu behalten.
4. Präferenzen im Browser oder auf Geräten anpassen: Moderne Browser und Betriebssysteme bieten Einstellungen, um Tracking zu begrenzen oder Cookies standardmäßig zu blockieren. Diese Optionen sollten sinnvoll konfiguriert werden.
Der erste Schock über das Safe Harbor Urteil hat sich gelegt, doch die Unsicherheit bleibt. Wir haben zwei Juristen aus dem Bereich IT-Recht und Datenschutz (Luther Rechtsanwaltsgesellschaft mbH) nach den konkrete Folgen und empfehlenswerten Maßnahmen gefragt. Das Ergebnis sind detaillierte Antworten zu den 10 wichtigsten Fragen:
1. Wie finde ich heraus, ob ich vom EuGH Urteil betroffen bin?
2. Was hat sich durch die Entscheidung konkret geändert?
3. Sind amerikanische Webservices jetzt tabu?
4. Was sind EU-Standardvertragsklauseln und Binding Corporate Rules?
5. Sind Einwilligungen der Nutzer ein gangbarer Weg?
6. Was bedeutet das Urteil für mein E-Mail-Marketing?
7. Sollte ich den Dienstleister beim Newsletter-Versand wechseln?
8. Was folgt aus dem Urteil für Sharing-Buttons auf der Website?
9. Meine Daten müssen auf amerikanischen Servern bleiben. Was nun?
10. Sind Server in Deutschland per se datenschutzrechtlich in Ordnung?
Wir erklären Ihnen, wie Sie datenschutztechnisch wieder auf der sicheren Seite stehen und geben einen Überblick über die Alternativen zum Safe Harbor Abkommen.
