Hier ist der 10. Blog-Beitrag "Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 06&07/2025)" – ein Zwischenspiel.
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1.1 Datenschutz und Bildung
Mit der Sensibilisierung zum Umgang mit (personenbezogenen) Daten kann nicht früh genug begonnen werden. So besuchte die BfDI die Kinderuni in Bonn und Aufsichtsbehörden aus Berlin, Hessen, Rheinland-Pfalz, Sachsen-Anhalt und Thüringen waren an einem Stand auf der Didacta zugegen, um mit Besucher:innen beispielsweise über datenschutzrechtliche Aspekte beim Einsatz von Künstlicher Intelligenz, der Medienbildung sowie bei Anwendung digitaler Tools ins Gespräch zu kommen.
1.2 LfDI Mecklenburg-Vorpommern: Empfehlungen zum Einsatz von KI-Anwendungen
Der LfDI Mecklenburg-Vorpommern gibt Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der Europäischen Union, die keinen gesetzlichen Vertreter in der EU benannt haben. Dabei verweist er auch auf etliche Dokumente des EDSA und anderer – auch europäischer - Datenschutzaufsichten.
1.3 CNIL: 40.000 Euro Bußgeld für übermäßige Überwachung von Beschäftigten
Ein Immobilienunternehmen nutzte eine Software, um die vermeintlichen „Inaktivitäten“ seiner Beschäftigten bei mobiler Arbeit zu überwachen. Dabei wurden auch regelmäßig Screenshots von deren Computern angefertigt. In den eigenen Räumlichkeiten erfolgte zudem eine Videoüberwachung zur Verhinderung von Eigentumsdelikten. Die CNIL stellte bei ihren Untersuchungen fest, dass das Unternehmen seine Beschäftigten ständig filmte, indem es Bild und Ton aufnahm, und dass es ihre Arbeitszeit maß und ihre Leistung über die auf ihren Computern installierte Software sehr genau bewertete. Aufgrund der Größe und der finanziellen Lage des Unternehmens kam es mit 40.000 Euro Bußgeld davon.
1.4 CNIL: Personenbezug bei Suchmaschinen und gekürzten IP-Adressen
Die französische Datenschutzaufsicht CNIL veröffentlichte ihre Entscheidung im Fall der französischen Suchmaschine Qwant, nach der das genutzte Verfahren nicht ausreiche, um Suchanfragen als anonym zu betrachten. Qwant musste seine Informationspflichten anpassen. Die CNIL stellte bei ihren Untersuchungen fest, dass die personenbezogenen Daten, die Qwant an das Unternehmen Microsoft übermittelte, im Wesentlichen technischer Natur waren (wie z. B. die gekürzte IP-Adresse oder die gehashte IP-Adresse für die Erstellung einer von Qwant generierten Kennung). Die CNIL geht dabei von pseudonymisierten und nicht von anonymisierten Daten aus.
1.5 Neues rund um DeepSeek
Hier ist nachzulesen, welche Antworten es gab, als alle europäischen Datenschutzaufsichtsbehörden angefragt wurden, was sie aktuell bezüglich DeepSeek unternehmen. Und hier noch einzelne Links wie zur italienischen Garante oder zur niederländischen Aufsicht.
Die Datenschutzaufsichten aus Rheinland-Pfalz, Baden-Württemberg, Thüringen, Sachsen-Anhalt, Hessen, Bremen und Berlin kündigten auch eine Prüfung an.
Und auch bei sicherheitstechnischen Themen läuft es bei DeepSeek wie erwartet: Es werden Nutzereingaben in großem Umfang gespeichert, aber auch die Nutzung der Tastatur. Mit diesen „Tastaturmustern“ könnten dann z.B., auch Profile erstellt werden, wie hier berichtet</ wird.
2.1 EuGH: Generalanwalt zur Pseudonymisierung und Anonymisierung (C-413/23)
Der Generalanwalt hat in dem Verfahren C-413/23 seine Schlussanträge veröffentlicht. Das Verfahren behandelt in zweiter Instanz Fragen rund um Pseudonymisierung und Anonymisierung und die jeweilige Nachweispflichtigkeit, wir berichteten bereits zum bisherigen Verfahrensverlauf immer wieder, wie auch zur ersten Instanz T-557/20 (EDPS / SRB (Deloitte).
Der Generalanwalt hat sich leider nicht näher dazu eingelassen, ob es sich bei den übermittelten Daten (33-stelliger alphanumerischer Code) an Deloitte nun um ein personenbezogenes Datum handele oder nicht, da er dies hierfür nicht relevant hielt (RN 80). Er prüfte, ob das SRB eine Informationspflicht gegenüber den betroffenen Personen gehabt hätte. Hier ist der Generalanwalt der Ansicht, dass die Informationspflicht bestand, da es für den SRB ein personenbezogenes Datum gewesen sei (RN 79).
Bei der Frage, ob der SRB nachweise müsse, dass die Daten für Deloitte kein personenbezogenes Datum waren, geht der Generalanwalt davon aus, dass sich der SRB seines Erachtens nach auf mehrere Tatsachen gestützt habe (u. a. auf die in der streitigen Entscheidung und im angefochtenen Urteil beschriebenen Verfahren zur Filterung, Kategorisierung und Zusammenfassung von Kommentaren), um im Einklang mit dem ihm obliegenden Grundsatz der Rechenschaftspflicht zu beweisen, dass es Deloitte unmöglich war, die betroffenen Personen zu identifizieren (RN 94).
Dies lässt m.E.n. den Schluss zu, dass der Generalanwalt davon ausgeht, dass ein für SRB personenbezogenes Datum unter Berücksichtigung ausreichender Maßnahmen für Deloitte anonym sein kann [Kleiner Hinweis: Der EDSA ist da laut RN 22 seiner Guidelines 01/2025 zur Pseudonymisierung etwas „kleinlicher“].
2.2 LG Stuttgart: Immaterieller Schadenersatz bei Einsatz von Meta Business Tools
Ein weiteres Urteil, diesmal vom LG Stuttgart, das bei einem Kontrollverlust einen immateriellen Schadenersatz i.H.v. 300 Euro gegen Meta zuspricht (RN 90-92). Der Fall ist etwas komplex, es geht um die Verarbeitung durch Meta auf Basis „Meta Business Tools“, die auf den Partnerseiten eingesetzt werden.
Zwar kann das Facebook-Mitglied wählen, ob die Daten von Off-Site-Besuchen verwendet werden dürfen – d.h. sie werden bei Einwilligung mit den On-Site-Daten aus dem Facebook-Profil verknüpft, um personalisierte Werbung anzuzeigen. Die Daten werden aber auch weiterhin gespeichert, wenn das Mitglied in seinem Profil diese Verknüpfung abwählt (RN 2-3). Das LG Stuttgart stellt dazu fest, die Speicherung von Daten bei Facebook-Nutzern, die die Verknüpfung abwählten, sei unzulässig, sie hätten gelöscht werden müssen (RN 73-82). Facebook hatte dafür keine Rechtsgrundlage; Facebook berief sich darauf, dass für die Einwilligung die jeweiligen Betreiber der Partnerwebseiten zuständig seien. Doch selbst wenn eine Einwilligung zur Weiterleitung der Daten an Meta erteilt worden wäre, bedürfe die Speicherung bei Meta einer gesonderten Rechtfertigung (RN 81).
Die fehlende Rechtsgrundlage führe zu einem Löschanspruch nach Art. 17 Abs. 1 DS-GVO (RN 86).
Der Fall hat auch noch ein paar interessante Aussagen zu Art. 18 DS-GVO (Einschränkung) (in RN 68-70) und der ursprüngliche geforderte immaterielle Schadenersatz war 5.000 Euro.
Neben dem Urteil des LG Lübeck (wir berichteten) und dem des EuG (wir berichteten) ist dies ein weiterer Fall, bei dem ein immaterieller Schadenersatz allein unter Hinweis auf einen Kontrollverlust zugesprochen wird.
2.3 VG Wiesbaden: Rechtsfolgen einer fehlerhaften Datenschutz-Folgenabschätzung
Unzureichende Datenschutz-Folgenabschätzungen haben keine Auswirkungen auf eine materielle Unzulässigkeit, so das VG Wiesbaden, wie hier berichtet wird. Zwar haben wir über die Entscheidung zur Aufnahme von Fingerabdrücken auch berichtet, aber nicht über diesen Aspekt.
2.4 Ethikrat beim EGMR
Der Europäische Gerichtshof für Menschenrechte (EGMR) hat die Einrichtung eines Ethikrats beschlossen, der den Präsidenten des Gerichts in Fragen der richterlichen Ethik beraten soll, wie hier berichtet wird. Besonderer Fokus liege dabei auf der Sicherstellung, dass die ethischen Anforderungen an die Richter transparent werden. So haben EGMR-Richter künftig die Möglichkeit den Ethikrat zu konsultieren. Dies kann insbesondere dann geschehen, wenn ein Richter Rat in Bezug auf die Einhaltung der ethischen Standards in einer bestimmten Situation sucht. Der Ethikrat wird befugt sein Richtlinien für amtierende, Ad-hoc- und ehemalige Richter zu geben. Zudem kann der Rat auch das Gericht als Institution zu ethischen Fragen beraten.
3.1 BMWK: Entwurf zum Durchführungsgesetz zum Data Act
Das BMWK hat seinen Entwurf zu einem Durchführungsgesetz veröffentlicht und erwartet bis 13. März 2025 Hinweise dazu. Der Entwurf gibt all denjenigen, die immer schon die Einheitlichkeit der Datenschutzaufsichten der Länder über Berlin beeinflussen wollten, ein gutes Anschauungsbeispiel, wohin es führen kann, wenn hier verfassungsrechtliche Rahmenbedingungen nicht beachtet werden. Nach § 3 des Entwurfs darf sich die BfDI um Fragen rund um personenbezogene Daten kümmern. Dass u.U. zum gleichen Datensatz, z.B. im Rahmen einer Auskunft die gleichen Fragen zu klären sind, die dann durch die Datenschutzaufsichten der Länder zu bearbeiten sind, scheint bei der Zuweisung keine Rolle gespielt zu haben. Ganz zu schweigen von Fragestellungen der verfassungsrechtlichen Zuständigkeiten.
3.2 Änderungen in den USA – Auswirkungen auf das TADPF?
Die Taktzahl der Veränderungen in den USA aufgrund der Übernahme der Präsidentschaft sind schwindelerregend. Kaum ein Tag, an dem es nicht Neuigkeiten gibt, die auch aus datenschutzrechtlicher Sicht Auswirkungen haben könnten. Seien es Änderungen im Umgang mit Künstlicher Intelligenz oder die Änderung der Zusammensetzung des Privacy and Civil Liberties Oversight Board (PCLOB), das im Trans Atlantic Data Privacy Framework (TADPF) explizit aufgeführt wird.
Jedenfalls ist davon auszugehen, dass innerhalb der EU-Kommission die Entwicklungen genauso aufmerksam verfolgt werden wie hier. Und innerhalb Deutschlands gäbe es ja auch noch § 21 BDSG, wodurch eine Datenschutzaufsicht bei Zweifeln an einem Angemessenheitsbeschluss das Bundesverwaltungsgericht bemühen könnte. Schließt sich dieses den Zweifeln an, kann es die Frage dem EuGH zur Entscheidung vorlegen (§ 21 Abs. 6 BDSG).
4.1 „Ethics-by-Design“ am Beispiel von Gesundheits- und Pflegetools
Unter ELSI werden die ethischen, rechtlichen und gesellschaftlichen Auswirkungen (Ethical, Legal and Social Implications – ELSI) bezeichnet, die bei neuen Technologien betrachtet werden sollten.
Die vielfältigen neu aufkommender Technologien werden oft zu spät im Innovationsprozess erkannt und behandelt, was zu großen Herausforderungen und Risiken für Regulierungsbehörden, Anwender und Nutzer sowie für die Gesellschaft als Ganzes führt. Helfen soll dabei ein Konzept, das „Ethics-by-Design“ berücksichtigt. In diesem Beitrag „From applied ethics to innovation practice: an ethics-by-design approach for constructive consideration of ELSI in technological design decisions“ wird die praktische Anwendbarkeit dieses Konzeptes am Beispiel des ELSI-SAT Health & Care Online-Tools beschrieben, das Forschern, Entwicklern und Designern von Medizin- und Pflegetechnologien dabei helfen soll ethische, rechtliche und gesellschaftliche Überlegungen in ihre Innovationsarbeit zu integrieren. Es soll mit diesem „Ethics-by-Design“-Ansatz Innovatoren ermöglicht werden normative Überlegungen in ihre Entwürfe einzubeziehen, ethische Verpflichtungen in plausible Designentscheidungen umzusetzen und in interdisziplinären Diskursen kompetent zu agieren. Die Autor:innen wollen damit aufzeigen, wie die ethischen Implikationen von Designentscheidungen in einem frühen Stadium des Technologieentwicklungsprozesses ermittelt, analysierten, verstanden und kontrollierten werden können und wie die Entscheidungsfindung im Einklang mit ethischen Werten erleichtert wird.
4.2 Rechtsfragen beim Einsatz von generativer KI in gemeinnützigen Organisationen
Der Paritätische Wohlfahrtsverband veröffentlichte eine neue Handreichung zu Rechtsfragen beim Einsatz von generativer KI in gemeinnützigen Organisationen. Sie ist im Rahmen des Projekts #GleichimNetz entstanden und bietet einen kompakten Überblick über die Rechtsgebiete europäische KI-VO, Datenschutz und Urheberrecht, die beim Einsatz von KI beachtet werden müssen. Die Rechtshilfe versteht sich als informativer Einstieg in die Thematik, auch wenn viele Rechtsdetails noch nicht eindeutig geklärt sind.
5.1 Daten-Souveränität – aus Sicht des Mittelstandes
Auch der Mittelstand befasst sich mit den Fragestellungen der „Digitalen Souveränität“. Und dies letztendlich auch vor dem Hintergrund der Abhängigkeit von anderen. Daten bestimmen, wie Unternehmen heute arbeiten, wie sie Entscheidungen treffen, Innovationen entwickeln und einsetzen. Sie sind wertvoll, weil sie Einblicke ermöglichen, Prozesse optimieren und Wettbewerbsvorteile sichern. Wer Daten besitzt, sie kontrolliert und souverän über ihren Einsatz entscheidet, hat damit einen entscheidenden Vorteil. Dieser Beitrag entstand in Zusammenarbeit mit Experten des Bundesverbands IT-Mittelstand, kurz BITMi.
5.2 Veranstaltungen
12.03.2025, 12:30 – 13:30 Uhr, online: In einem 60-minütigen Webinar erläutern Expert:innen von BioNTech und aus dem Team des LfDI Rheinland-Pfalz den bestehenden Rechtsrahmen und die Anforderungen an eine zulässige Datenverarbeitung anhand des Fallbeispiels einer klinischen Studie aus der Biotechnologie-Branche. Weitere Informationen und Anmeldung hier.
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft 26.03.2025, 14:00 bis 15:30 Uhr \\ online
- Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit 16.04.2025 \\ online
- Ausgabe 6: Thema wird in Kürze bekannt gegeben* 28.05.2025 \\ online
- Ausgabe 7: Thema wird in Kürze bekannt gegeben 09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
- Franks Anmerkung: Ja, das steht da wirklich immer noch so…
27.02.2025, 14:00 – 15:00 Uhr, online: Künstliche Intelligenz (KI) ist in aller Munde und viele Unternehmen in Bayern setzen diese, sei es Chat GPT & Co. oder mittels anderer Softwaresysteme, bereits ein. Die KI-Verordnung (KI-VO) greift schrittweise ab dem Jahr 2025 und bringt zwangsläufig im Augenblick noch mehr Fragen als Antworten mit sich. Zugleich bleibt die DS-GVO unangetastet beim Themenfeld KI bestehen. In diesem Webinar zeigt das BayLDA auf, welche spezifischen Anforderungen und Einschränkungen die Verordnungen für den Umgang mit Daten und KI-Systemen festlegen. Weitere Informationen und Anmeldung hier.
27.02.2025, ab 19:30 Uhr, München und online: Das Netzwerk „Interaktiv“ ist ein Zusammenschluss zahlreicher Partner aus der kommunalen Kinder- und Jugendkulturarbeit in München. Nach den Wahlen in USA, Österreich und Deutschland werden Behauptungen ohne Bezug zur Faktenlage, ein die Wahrheit entstellendes Dekontextualisieren sowie manipulative Narrative analysiert. Dabei zeigt sich einmal mehr, wie schmal der Grat zwischen den beiden Abgründen, dem der wissentlichen Täuschung und jenem einer gleichgültigen Bullshit-Kultur, ist. Doch wie viel von beidem kann eine Gesellschaft aushalten? Wie viel Wahrheit braucht die Demokratie? Weitere Informationen und Anmeldung hier.
6.1 Meta und Nutzung von KI bei Personalisierung
Meta führt die Möglichkeit für seinen KI-Chatbot, sich bestimmte Details über die Nutzer, wie z. B. deren Ernährungspräferenzen oder Interessen, zu "merken", ein. Es kann dann deren vergangenen Konversationen zusätzlich zu Details von Facebook- und Instagram-Konten verwenden, um relevantere Empfehlungen zu geben, wie hier berichtet wird. Dabei wird auch ein Post von Meta als Quelle angeführt. Zusammen mit diesen „Erinnerungen“ will Meta AI auf Facebook, Messenger und Instagram „ein höheres Maß an Personalisierung“ bieten, indem Informationen aus den Konten auf jeder Plattform verwendet werden, einschließlich des Alters, Geschlechts und „Interessen basierend auf Ihren Aktivitäten“. Darauf haben wir doch nur gewartet.
6.2 Handlungsempfehlung: Antidiskriminierung in der betrieblichen Praxis
Die Charta der Vielfalt hat einen Handlungsleitfaden zur Antidiskriminierung in der betrieblichen Praxis herausgegeben, der aufzeigt, wie Organisationen – vom Kleinstunternehmen bis hin zur Großorganisation – Verantwortung im Umgang mit Vielfalt und gegen Diskriminierung am Arbeitsplatz übernehmen können.
7.1 Angebote zum Kinderschutz aus der Schweiz
Die Kantonspolizei St. Gallen postete ein Aufklärungsvideo zu Sextortion auf LinkedIn. Doch nicht nur dieses ist sehenswert: Die ganze Aufklärungsarbeit des Kinderschutzes Schweiz findet sich hier zu den unterschiedlichsten Themen.
7.2 Wahlbeeinflussung durch TikTok
Wahlmanipulation aus dem Inland? Wie das aussehen kann, zeigt ein beunruhigender Beitrag des WDR (Dauer ca. 45 Min.) sowie ein Beitrag des ZDF (Dauer ca. 45 Min.) über Trolle im Wahlkampf.
8.1 Apropos KI ...
Dieses mal nur eine Meldung, die ist aber schön schräg: Anthropic nimmt keine "KI"-geschriebenen Bewerbungen mehr an.
9.1 Save Social – soziale Netzwerke retten
Um eine Alternative zu Plattformen für soziale Vernetzung, Austausch und Debatte zu den chinesischen und US-amerikanischen Monopolkonzernen zu fördern, engagieren sich zahlreiche Persönlichkeiten aus Kultur und Politik in der Initiative Save Social. Sie verweisen auf alternative Netzwerke und Angebote wie Mastodon oder Friendica im Fediverse. Sie versprechen sich damit eine Stärkung der Demokratie, weil sie auf Basis offener und anerkannter Standards in dezentralen Strukturen gesellschaftlichen Austausch und Debatte fördern.
Franks Nachtrag: Ich kenne da welche, die unterstützen…
