 Ja, dann herzlich willkommen zum Talk über Datenschutz mit der Frage alles Datenpanne. Oder man könnte auch sagen, was lerne ich aus den Fehlern anderer. Kurz zu meiner Person, ich bin jünger als das Bundesdatenschutzgesetz, also das ursprüngliche Mal, das heißt auch aufgewachsenen im Gedanken des Datenschutzes, so wie wir hier fast alle. Ich bin Datenschutzbeauftragte des CCC, Mathematikerin, Beraterin für alles Mögliche und wer mich kontaktieren möchte, der kann das gerne über diese E-Mail-Adresse tun. Jedes Spiel hat Regeln. Selbst ein Spiel, das keine Regeln hat, hat die Regel, dass es keine Regel hat. Also jedes Spiel hat Regeln und entsprechend haben wir auch Gesellschaftsspiele Regeln und beim Datenschutz haben wir auch Werkzeuge, wie man solche Regeln mit den Regeln umgehen kann. Kurz mal zusammengefasst, welche Spielregeln habe ich im Datenschutz. Zum einen geht es darum, personenbezogene Daten, also Daten, die auf mich zurückzuführen sind, als Person zu verarbeiten und das ist grundsätzlich erst mal verboten, das automatisiert zu tun. Außer es gibt eine rechtliche Grundlage dafür oder ich habe meine Einwilligung dafür gegeben, also jeder kennt das wahrscheinlich, bei der Bank eröffnet ein Konto, die Bank darf die Daten erheben aufgrund dessen, dass ich ein Konto dort habe, aber Marketing, dafür wollen sie dann ein Kreuzchen von mir haben, dürfen wir sie per Telefon oder per E-Mail kontaktieren ist dann die Frage, aber Hintergrund ist eigentlich, wir möchten gerne eine Einwilligung, dass wir ihre Daten auch für Marketingzwecke verarbeiten dürfen. Eine weitere Spielregel ist auch, dass so wenig Daten wie nur möglich verarbeitet werden. Datenspaßamkeit. Und auch ganz wichtig ist, die Daten unterliegen einer Zweckbindung, also habe ich einmal das Konto gelöscht, dann muss die Bank meine Daten nur noch so lange aufbewahren, nach dem Datenschutzrecht, wie es andere Gesetze notwendig halten. Also in 50 Jahren sollte also meine Daten nicht mehr bei dieser Bank sein. Und missbräuchliche Datenverarbeitung muss durch sogenannte technische und organisatorische Maßnahmen verhindert werden. Das kennt jeder, so was wie ein Berechtigungsmanagement muss da sein, Firewall sollte vor Netzwerkzugriffen schützen und so weiter. Ja, da gibt es dann Werkzeuge des Datenschutzes. Zum einen die betroffenen Rechte, dazu hören wir morgen dann auch noch mehr. Wie zum Beispiel den Auskunftsrecht, dass ich darf wissen, was über mich gespeichert wird. Das war auch schon im alten, im Anführungszeichen, alten Bundesstatenschutzgesetz der Fall. Dass ich wissen durfte, was, was gespeichert war. Aber das Recht, das werden wir nachher sehen, wurde ein bisschen ausgeweitet. Und ich habe die Möglichkeit auch, mich zu beschweren. Wenn es nicht richtig läuft, kann ich zu meinem Datenschutzbeauftragten des Landes gehen und nachfragen, ob der sich mal drum kümmert und dann muss der sich drum kümmern. Was kann dann die Aufsichtsbehörde tun? Also zum einen gibt es eine Meldepflicht. Wenn ich einen Datenschutzverstoß hatte, dann muss ich den melden in der Regel. Ob ich betroffen informieren muss, das hängt von der Schwere des Datenschutzvorfalls ab. Das ist dann auch in den meisten Fällen einfach mit der Aufsichtsbehörde auch abzustimmen. Die Aufsichtsbehörde hat unter anderem auch die Möglichkeit, Buskelder zu verhängen. Sie hat manchmal die Möglichkeit, sie muss es aber auch manchmal tun. Damit es eben eine Gleichbehandlung gibt, soll nämlich nicht in einem EU-Land etwas geahntet werden, was im anderen EU-Land nicht geahntet wird. Und dann gibt es sogenannte Beih- und Abhilfebefugnisse, wie eben zum Beispiel die Anordnung, das kommt meistens mit dem Buskeld zusammen oder vorher schon, die Beendigung des Vorstoßes durchzuführen. Also beispielsweise eine Webseite erst mal vom Netz zu nehmen, offline zu gehen. Es gibt auch die Anweisung, die Möglichkeit Anweisung zu geben, dass die Datenverarbeitung den gesetzlichen Vorgaben anzupassen ist. Und ich denke, die schärfste Methode und das schärfste Werkzeug, das eine Behörde hat, ist, sie kann vorübergehend die Datenverarbeitung verbieten. Sie kann sie aber auch endgültig verbieten. Das heißt, wenn jemand richtig missgebaut hat, kann es sein, dass er seinen Lebensunterhalt verliert, weil er es nicht mehr verwenden darf. Er darf die Daten womöglich nicht mehr verarbeiten. Ja, das nur ganz kurz als Zusammenfassung, weil das nutzen wir jetzt, um uns mal ein paar Urteile und Anordnungen von Behörden anzuschauen. Die DSGVO sieht im Artikel 82 vor, dass es Schadenersatz geben kann. Das ist neu für uns, das hatten wir vorher so nicht. Und da wurde auch vorher schon lange darüber spekuliert, in welchen Fällen es dann Schadenersatz geben kann oder Schmerzensgeld. Und hier ist ein Fall, wo ein Nutzer von Facebook geklagt hat, es wurde ein Post gelöscht und sein Konto wurde gesperrt. Aber es wurde so gesperrt, dass es eben Lesen gestellt wurde, also wurde nicht offiziell mitgeteilt, dass es gesperrt ist, konnte aber nicht mehr bearbeiten. Und er hatte dann geklagt, derjenige oder diejenige, das weiß ich nicht. Und hatte insofern recht bekommen, als das Facebook das unrechtmäßig gesperrt hatte und auch gelöscht hatte. Aber einen Schadenersatz sah man nicht, da es sich hier um eine Bagatelle handelte. Ja, es ist nicht so, dass imjenigen jetzt ein großes das Ansehen wäre erheblich beinträchtigt gewesen. Das ist nicht, das konnte man nicht feststellen. Interessant ist auch, dass es ein anderes Urteil gibt. Eben diesmal nicht, das eine ist jetzt vom Oberlandesgericht Dresen, das andere ist vom Amtsgericht Dietz, dass das eben auch noch mal bestätigt hat. Andere Gerichte, Urteile gibt es in dem Bereich nicht. Das heißt, man kann also davon ausgehen, dass es bei Bagatellen kein Schadenersatz gibt. Anders sieht es aus, wenn man die Parteiafinität speichert und damit so wie, dass sie österreich Sport gemacht hat, auch Handel betreibt. Die Post wurde angehalten, also die österreichische Post wurde angehalten, das zu löschen, das haben sie auch getan. Und nachdem es gelöscht wurde, sagt sich ein Anwalt aus der österreich. Das kann es eigentlich nicht sein. Da war meine politische Meinung gespeichert. Da ist mir ein Schaden entstanden. Ich möchte hier Schmerzensgeld haben. Und er hat gewonnen, also ursprünglich wollte er 2.500 Euro haben. Er hatte 800 Euro zugesprochen bekommen. Das ist ein neiter Sümmchen, insbesondere wenn man bedenkt, dass man davon ausgeht, dass jetzt jeder Betroffene sich auf dieses Urteil beziehen kann und ebenfalls Schadenersatz fordern kann von 800 Euro. Bei einem Datensatz von 2,2 Millionen skaliert das ganz schön heftig. Warum? Warum war es jetzt hier anders? Na ja, die politische Meinung ist ein besonders schützenswertes persönliches Datum. Und entsprechend ist es auch. Ja, ist es hier zu einem oder hätte es kommen können zu einem Einbuße ernsthafter Beeinträchtigung des persönlichen Anziehens. Und bleiben wir beim politischen. Es hat mich. Durchaus froh gemacht, dass das jetzt passiert ist. Dieses AfD-Meldeportal, deutrale Schule. Wurde die Verarbeitung verboten. Man hat jetzt eine Frist von zwei Wochen. Das ist so das übliche, dass die Datenschutzbeauftragten Datenschutzverantwortlichen eben eine Frist von ca. zwei Wochen geben. Ja, warum ist es ganz einfach? Die politische Meinung ist besonders schützenswert, auch wenn Kinder sie melden. Also ist kein Unterschied. Die AfD will die AfD will dagegen vorgehen. Ich glaube, da hat sie nicht viel Chancen. Ach so, sie hätte. Die AfD hätte eine Chance, wenn sie Einwilligungen von. Den Lehrern hätte. Ich weiß nicht. Ich bin da nicht so optimistisch, dass sie diese bekommt. Kommen wir zum Auskunftsrecht. Also das Recht, dass ich als Betroffene Informationen darüber bekomme, was über mich gespeichert ist. Ja, was meinen Sie denn? Was muss darüber, was muss Auskunft gegeben werden? Weil wenn ich ein Unternehmen bin, dass Daten über meine Mitglieder speichert, also nehmen wir mal Google. Dann haben Sie ja personenbezogene Daten, auch weil Sie eine Internetseite aufgerufen haben, weil grundsätzlich IP-Adresse auch als personenbezogene Datum angesehen werden kann. Hier ist man bisher so, dass das nicht verhältnismäßig wäre, dass auch diese Auskunft auch geben zu müssen. In der Regel. Ich habe keinen Urteil gefunden, dass das irgendwie bestätigt oder nicht bestätigt. Das ist also noch in der Schwebe. Was in diesem Urteil passiert ist, im Oberlandesgericht Köln war, das ging eigentlich gar nicht um Datenschutz, sondern es ging um eine Vertragsrecht oder Versicherungsrecht. Das war ein Versicherungsnehmer, der es dann gegen seine Versicherung geklagt hatte. Und der hatte eben im Laufe des Verfahrens dann gesagt, jetzt nutze ich den Datenschutz, ich möchte Auskunft haben. Und hatte auch explizit reingeschrieben, er möchte nicht nur die Vertragsinformationen wissen, sondern er möchte auch die Telefonnotizen haben und er möchte vor allem auch die Telefonverbergen haben. Also Gesprächsnotizen, Telefonnotizen, alles. Das, was gegebenenfalls in eine Entscheidung mit einem Fließen hat, können erdrecht bekommen. Also das muss eine Firma in der Lage sein, ihm das zusammen zu zu suchen. In der Regel innerhalb eines Monats. Aber dazu hört ihr morgen mehr in dem Vortrag. Auch ein interessantes Urteil, was auch mit dem Auskunftsrecht zu tun hat, ist in Stuttgart passiert, und zwar beim Landesarbeitsgericht. Hier hat es sich ein Arbeitnehmer zurück in den Job geklagt und man hatte vorher Ermittlungen gegen ihn durchgeführt. Und er hatte eben auch hierüber Auskunft verlangt über den Datenschutz. Er wollte wissen, was waren die Ergebnisse dieser Ermittlungen, welche Informationen haben überhaupt zu dieser Ermittlung geführt. Das heißt, derjenige, der geholfen hat, diese Ermittlungen in Gang zu setzen, hatte unter anderem auch seinen Namen natürlich darin. Und da sagte die Firma, das will sie nicht rausgeben, aufgrund des Whistleblower-Schutzes. Hier hat das Gericht allerdings sehr klar entschieden, dass der Datenschutz Vorrang hat. Allerdings gibt es unterschiedliche Beurteilungen dieses Urteils. Unter anderem, weil die Zumutbarkeitsgrenzen nicht in der Urteilsformulierung enthalten ist, ist eigentlich damit zu rechnen, es ist in Revision gegangen, es ist damit zu rechnen, dass es da noch mal ein anderes Urteil gibt. Ach so, und das wollte ich dir auch noch erwähnen. Im Gegensatz zum alten Datenschutzrecht, da hat man dieses Auskunftsrecht ja auch gehabt. Man konnte auch nachfragen, was habt ihr über mich gespeichert? Aber in dem Fall der DSGVO hat man das jetzt erweitert um das Recht auf Kopie. Und dieses Recht auf Kopie ist eben noch nicht. Vollständig. Ja, da fehlen eben noch Gerichtsurteile, Interpretation dieses Begriffes. Und das Landesarbeitsgericht hat es eben sehr, sehr weit ausgelegt. Videoüberwachung ist auch ein Thema, das uns auch immer wieder auch im Club, denke ich, betrifft. Und was kontrovers sicherlich diskutiert wird, hier war es so, dass in einem Mietshaus von einer Partei Videokameras aufgebaut wurde. Und zwar einmal eine echte und einmal eine Attrappe. Und ein Mieter, ein Mieter-Partei hat sich gestört, gefühlt und hat dagegen geklagt und hat Recht bekommen. Und zwar nicht nur für die echte Videokamera, sondern auch für die Attrappe. Muss beides abgebaut werden, denn bei der Attrappe konnte man nicht sehen, dass es eine Attrappe ist und allein das Gefühl überwacht zu werden reicht aus. In dem Fall war es auch so, dass alle Eigentümer der Wohnung hinzugestimmt hatten. Die Mieter aber nicht. Und was auch ganz klar hervorkam, war, dass eben auch die Mieter zustimmen müssen. Also jeder, der davon betroffen sein müsste, könnte, muss einer solchen Installationen dann auch zustimmen. Hat man nicht alle Einwilligungen, hat man keine Chance. Oder sollte man es nicht tun? Denn wenn man es dann doch noch tut, kann es sein, dass es Bußgeld Aufferlegungen gibt. Ja, Bußgeld, könnte man jetzt denken, wie berechnet die das und tatsächlich zum Glück für mich in diesem Vortrag ist vor kurzem die Berechnungsgrundlage veröffentlicht worden. Ich habe das mal kurz zusammengefasst, dass es nicht hundertprozentig, aber im Endeffekt, fließt in die Berechnung mit ein, was ist der Umsatz. Dieser Umsatz wird in einen Tagessatz umgewandelt bei einem Unternehmensumsatz. Dann wird das Ganze multipliziert mit einem Schweregrad des Verstoßes. Also leichter Verstoß mal eins und dann besonders schwerer Beverstoß mal 14,4. Das Ganze in 0,1 Schritten. Dann eine Modifizierung, je nach Tatschwere, kann auch erfolgen. Und der Art der Tatbegehung, also gab es Umstände, die senkend wirken oder wurde womöglich das Ganze verschleiert, dann ist es eher erhöht. Und auch hier gibt es dann eine Erhöhung oder Minderung, je nach dem, ob ich das fahrlässig begangen habe oder absichtlich. Und wenn ich das Ganze auch noch wiederhole, gibt es ganz saftige Zuschläge. Ja, also es ist nicht so für Doppelung. Ja, wenn man sich das anschaut, dass es wird dann bei 3 und mehr wird es dann plus 300 Prozent, das ist ja nett. Und das gilt jetzt nicht nur für Unternehmen, oder? Was denken, was denkt ihr? Ne, genau, das gilt nämlich auch für Privatpersonen. Und tatsächlich haben wir in Deutschland in, wenn man jetzt seit der DSGVO Einführung schaut, mehr, ja, mehr kleinere Beträge auch an Privatpersonen ausgesprochen bekommen oder Vereine. Und hier in dem Fall war es ein Mann aus Sachsen-Anhalt, der wiederholt. Also nicht nur einmal, das ist dann versehentlich, sondern wiederholt, e-mails eben alle einen großen Verteiler bis zu 187 e-mails geschickt hatte und ja, auch die nicht in den BCC gepackt hat, sondern in den CCC, in den CCC, so dass es eben jeder mitzah. Wichtig ist hier auch als Privatperson dieses sogenannte Haushaltsprivileg, das heißt, in einem privaten familiären Umfeld greift der Datenschutz nicht, sobald das nicht mehr der familiäre private Bereich ist. Ja, fällt auch dieses Privileg weg und ich muss darauf achten, dass die Punkte des Datenschutzes eingehalten werden. Also es ist ja nicht nur so, dass der das rausgeschickt hat, der hat ja die E-mails auch irgendwo gespeichert gehabt. Und für die Speicherung muss es ja dann eigentlich auch technische organisatorische Maßnahmen geben, dass da nicht irgendwie alle Welt an seine Tat mehr rankommen. Also es ist durchaus weitreichend. In anderen Fall, da hat es eine kleine GBR getroffen, das war ziemlich zu Anfang nach der DSGVO und eigentlich, naja, lädt es ein bisschen zum Schmunzeln ein und auch ein bisschen ist es, also inzwischen muss man sagen, dass das Bußgeld ist zurückgezogen worden, also sie mussten konstant nicht zahlen. Aber der Fall ist im Endeffekt so, dass man eine Anfrage an die Aufsichtsbehörde gestellt hat, was man tun soll, wenn ein Vertragspartner die Auftragsverarbeitungsvereinbarung nicht unterzeichnen möchte. Heißt, man hatte mit hoher Wahrscheinlichkeit schon ein Vertragsverhältnis mit jemandem, hat personenbezogene Daten ausgetauscht, aber ohne rechtliche Grundlage. Und dafür gab es ein Bußgeld. Also auch das Nachfragen kann dazu führen, dass man gegebenenfalls ein Bußgeld bekommt. Soweit ich das mitbekommen habe, hat man sich jetzt hier Kuland geeinigt und es wurde zurückgezogen. Wer übrigens wissen möchte, welche Bußgelder es so gab, es gibt einen sogenannten Enforcement Tracker, über den kann man das im Internet finden. Ja, einer meiner Lieblingsfälle, weil PVC selber Datenschutzberatung durchführt. Und im Endeffekt haben sie die Verarbeitung ihrer Mitarbeiterdaten auf einer falschen Rechtsgrundlage durchgeführt. Sie haben nämlich von jedem Mitarbeiter eine Einwilligung geholt. Naja, so eine Einwilligung kann wieder rufen werden, das darf, wenn ich noch angestellt bin und sie dürfen plötzlich meine Daten nicht mehr verarbeiten. Also es passt auch schon so vom logischen Herd nicht ganz. Die griechische Datenschutzberate hat hier 150.000 Euro verhängt. Das ist gemessen am Umsatz. Ist das eigentlich nicht viel, aber auf der anderen Seite ist es viel. Also es wird sicherlich nicht außer Porderkasse eines Beraters rausgekommen sein. Die höchsten derzeit verhängenden Bußgelder haben mit den Fällen von British Airways und Marriott zu tun. Da sind wir bei 204.000.000 Euro und bei Marriott bei ca. 110.000.000 und 200 Euro. Hier sind besonders viele Datensätze betroffen gewesen. Also bei Marriott waren es zum Beispiel 339.000.000 Datensätze, die online abrufbar waren. Und in beiden Fällen waren es unzureichende technische und organisatorische Maßnahmen, die dazu führten, dass überhaupt das möglich war. Es hätte verhindert werden können. Und was hier an bemerkenswert ist und auch einige Datenschutz Kollegen und mich auch aufgerüttelt hatte, bisher war es so, man hat gesagt, na ja, wenn man was für den Datenschutz getan hat, eine Richtlinie geschrieben hat, das Verzeichnis gepflegt hat und so weiter, dann ist alles gut. Das ist eben nicht so. Also man hat sich hier sehr kooperativ gezeigt. Die Datenschützer waren sehr, sehr involviert und dennoch gab es ein sehr hohes, sind sehr hohe Bußgelder ausgelobt worden. Warum wurde das jetzt schon gemacht? Ich kann mir das nur vorstellen, dass es irgendwie eine Zahl dran sein musste, um Rückstellungen vielleicht zu bilden. Ich weiß es nicht. Die Untersuchungen sind noch nicht beendet. Das heißt, es kann noch nach unten oder nach oben sich korrigieren. Nicht nach unten oder oben korrigiert werden, kann das Bußgeld gegen Google. Was? Ja, hier ist es so, dass sich gleich zwei Non-profit Organisationen an die französische Datenschutz auf Behörden gewandt hatten und sich gegen den Einmeldeprozess von Android-Smartphones gerichtet hatten. Und es wurde auch tatsächlich festgestellt, dass es eine mangelnde Transparenz gab. Es war nicht ganz klar, was oder wem, was stimmig überhaupt alles zu. Und es war auch der Haken für die personalisierte Werbung war im Anmeldeprozess gar nicht zu setzen, sondern der war einfach in den Stellungen hinten schon, Einstellungen schon da. Man konnte ihn natürlich rausnehmen, aber das ist nicht die Idee des Gesetzgebers eines Opt-Ins gewesen. Unentsprechend hat man hier ein Bußgeld von 50 Millionen Euro festgelegt. Ziemlich neu gestern hinzugekommen ist dieser Fall, weil ihn fand ich besonders interessant. Gesichtserkennungssoftware an der Schule, es gab ein Pilotprojekt. Aufgrund dieses Pilotprojektes sollte geschaut werden, ob man eben mehr Zeit für den Unterricht hat, wenn man das kommen und gehen der Kinder über Gesichtserkennungssoftware feststellt, ohne jedes Mal aufrufen zu müssen. Eine Einwilligung der Eltern lag vor, es war ein Pilotprojekt, es waren keine Kinder, es waren Jugendliche und dennoch hat die Schwedische Datenschutzbehörde gesagt, so geht es nicht. Das ist ein Verstoß, warum hat sie das gesagt? Nun, sie geht davon aus, dass die Eltern die Reichweite nicht einschätzen konnten, was das Ganze mit sich bringt, sondern Gesichtserkennungssoftware. Und daher hätte die Schule dieses Pilotprojekt machen wollen. Sie mit hoher Wahrscheinlichkeit erst mal die Einwilligung der Datenschutzbehörde haben müssen. Also, wir haben gelernt, Einwilligung ist manchmal nicht richtig, reicht manchmal nicht aus, also am sichersten verarbeitet, wenn ich eine gesetzliche Grundlage habe. Ja, und dann habe ich noch DSGVO-Mythen, ganz kurz. Die DSGVO gilt jetzt so knapp ein Jahr, drei Monate, 20 Tage der Datenschutz in Deutschland. Okay, jetzt weiß man ungefähr, wie alt ich bin. 42 Jahre, sieben Monate und 13 Tage. Also 1977, am ersten, zweiten, kam das erste Bundesdatenschutzgesetz in Deutschland zum Tragen. Früher waren übrigens die Hessen dran. Und soweit ich weiß, sind wir gerade in Hessen. Ja. Eines dieser Mythen, die da diskutiert wurden, war, darf ich denn überhaupt noch beim Arzt mit dem Namen aufgerufen werden? Also erstens, es geht immer um eine teil- oder automatisierte Verarbeitung von Daten. Wenn ich jemand aufrufe, ist das nichts mit Computern erst mal. Ja. Und tatsächlich haben sich aber auch die Aufsichtsbehörden noch beangenommen und haben dann auch noch mal darüber diskutiert. Und schön fand ich eben dieses Satz an der Sozial- und Grundrechtsadiquaten Praxis, das hat sich auch durch den Erlass der DSGVO nichts geändert. Ja, es ist einfach schlichtweg Panikmache in Teilen. Dann hatten wir auch Klingelschildgate. Ja. Die Wiener wollten plötzlich nur noch Nummern haben, keine Namen auf den Schildern. Hier stellte sich ziemlich schnell raus, dass die Datenschutz damit gar nichts zu tun hat. Also das erste, was ich in so einem Fall prüfe, ist, kann ich damit überhaupt im Datenschutz argumentieren? Oder ist es ein anderes Gesetz dafür zuständig? Und der Datenschützer aus Baden-Württemberg hat es sehr schön dargestellt, hat gesagt, na ja, das Datenschutzrecht verlangt nichts Unvernünftiges. Wenn es nicht vernünftig ist, dann ist es kein Datenschutz. So, als Peil. Ja, hier ist übrigens ein Recht auf Anunimität, dass in Österreich gilt, Grund des Ganzen, nicht der Datenschutz. Auch interessant war der Weihnachtsbaum in der Stadt Rath, glaube ich ja, Rot, Entschuldigung, in der Stadt Rot. In Bayern liegt das, weil auf dem Wunschzetteln Name und Adresse vermerkt wurde, sagte man, DSGVO. Wir können leider dieses Jahr diese Aktion nicht vornehmen. Das Ganze wurde dann hochgepusht, auch von einem Radiosender. Und die Faktor, die DSGVO gilt hier nicht, weil es auf dem Zettel. Aber in Bayern ist es so, dass das Landesgesetz, der Landesdatenschutz, verlangt, von den öffentlichen Stellen immer den Datenschutz einzuhalten, auch wenn es manuell verarbeitet wird. Dann kann man allerdings weiter denken, habe ich denn eine Grundlage, weshalb ich das farbenweiten möchte? Naja, ich richte einen Weihnachtsmarkt aus. Als Teil dieses Weihnachtsmarktes habe ich diese Aktion und damit habe ich bereits eine Grundlage, weshalb ich diese Daten erheben darf. Ja, und last but not least, auch vor kurzem mal wieder, die diesmal mit der Einschulung, nicht mit dem Kindergarten in der Presse, dieses Kinderfoto, Kinderbildergate. Hier ist das Haushaltsprivileg. Wenn es in der Familie kreis ist, dann darf ich das tun. Viele Datenschützer sagen auch, so eine Einschulung ist ein familiäres Erlebnis und daher könnte dieses Haushaltsprivileg herangezogen werden. Es gibt, soweit ich weiß, noch keinen Urteil dazu. Vorsichtig muss man allerdings sein, wenn man das dann auf Instagram, Facebook und so weiter veröffentlicht, dann greift mich dieses Haushaltsrecht nicht mehr und dann brauche ich die Einwilligung grundlegend. Und grundsätzlich ist hier beim Fotografieren auch eher das KOG zuständig, das Kunsturhebergesetz und nicht der Datenschutz. Ja, damit möchte ich mich ganz herzlich bedanken und fragen, ob es noch Fragen gibt. Nein, darf ich keine Fragen. Gerne im Nachgang. Dankeschön.