Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (Februar 2022)“
Und da ist er endlich, der 31. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (Februar 2022)“.
Da der Einstellende im Februar stark mit anderen Themen ausgelastet war, ist das jetzt ein etwas längerer Beitrag geworden. Wo sinnvoll wurde versucht, die Wochen als Block stehen zu lassen, also kann innerhalb der jeweiligen Kapitel das Meiste mehr oder weniger chronologisch gelesen werden (z.B. beginnt es bei Aufsichtsbehörden immer mit dem EDSA und internationalen Aufsichtsbehörden, bevor dann die Meldungen zu den nationalen Behörden kommen).
- Aufsichtsbehörden
- BayLDA: Hinweise zu Corona aktualisiert
- Belgien: Entscheidung zu Cookie-Banner zum Real Time Bidding
- EDSA: Bedeutung der Leitlinien
- EDSA: Zertifizierungskriterien
- ULD: Interview mit Marit Hansen zu Impfregister etc.
- CNIL: One stop shop nicht bei Cookies
- LDI Niedersachsen: Wo simmer denn… ?
- BSI: Mehr Kompetenzen und ersten Sicherheitskennzeichen
- EDSA: Übersetzung der Guideline 01/2022
- LfD Bayern: Hat die Faxen noch nicht dicke…
- ULD: Musteranschreiben bezgl. Webseiten
- LfDI BW: Tätigkeitsbericht für 2021
- BBfDI: Unterrichtsmaterialien für Grundschüler
- BSI: Sicherheitsempfehlungen
- EDSA: Prüfung der Cloud-Nutzung durch den öffentlichen Sektor
- CNIL: Zur Weiterverwendung der Daten durch einen Auftragsverarbeiter
- EDSA: Deutsche Fassung der Guideline 07/2020
- Saarland: Bisherige LfDI erneut benannt
- BSI: Grundschutz in aktueller Edition
- BSI: Erkennen von Deep Fakes
- Datenschutz und Fahrzeugidentifikationsnummer
- EDSA: Erweiterung des Support Pool of Experts
- Belgien: Sanktion bei Interessenskonflikt des DSB
- Spanien: Bußgeld wegen unzulässiger Speicherung von Straftaten
- Niederlande: Bußgeld wegen Erschwernis Betroffenenrechte durchzusetzen
- Belgien: Was bedeutet das Verfahren gegen IAB?
- LfDI BW: Landesbehörden nutzen datenschutzkonforme Social-Media
- LfDI BW: Aufklärung zum Amtsgeheimnis
- Produktwarnungen durch Aufsichtsbehörden
- Rechtsprechung
- OLG Düsseldorf: Schadenersatz aufgrund E-Mail-Fehlversand
- VG Wiesbaden: für öffentlich zugängliche Webseiten kein Haushaltsprivileg
- LG Wiesbaden: kein Unterlassungsanspruch neben datenschutzrechtlichen Ansprüchen
- Übersicht über offene Fälle des EuGH zum Datenschutz
- EuGH: Vorlage durch VG Wiesbaden zu Pflicht zum Fingerabdruck in Personalausweis
- EuGH: Vorlage durch VG Wiesbaden zu Einmeldung an Wirtschaftsauskunftei
- IAB klagt gegen Entscheidung der belgischen Aufsicht
- LAG Hamm: Anforderungen an Übermittlung von Personaldaten im Konzern
- ArbG Aachen: Anforderungen an Kennzeichnung von Geschäftsgeheimnissen
- OLG Dresden: direkte Haftung der Geschäftsführer
- BVerfG: Grenzen der Selbstbelastung
- bitkom: Rechtsprechungsübersicht zu Art. 15 DS-GVO
- BAG: Bestimmtheit eines Auskunftsanspruchs
- EuGH: Auswirkungen auf die Rechtmäßigkeit bei Dokumentationsverstößen?
- Gesetzgebung
- Landerechtliche Zuständigkeit für TTDSG-Aufsicht?
- Forschung zu Forschungsdaten (Treuhandmodelle)
- ID-Wallet: Blockchain etc.
- Gutachten des wiss. Dienstes: Anforderungen an einschränkende Maßnahmen
- Kritik am Data Governance Act
- OSZE fordert Verschlüsselung
- Drittstaatentransfer – aus United Kingdom
- Data Act – Entwurf geleakt
- DGB: Entwurf zu Beschäftigten-Datenschutzgesetz
- EU-Richtlinie zur Verbesserung der Bedingungen von Plattform-Beschäftigten
- Whistleblower-Richtlinie
- Sanktionsmöglichkeiten bei Verstoß gegen verbraucherschützende Regelungen
- EU: Übersicht über laufende Gesetzgebungsverfahren
- EU: Data Act
- Indopazifisches Abkommen in Sicht?
- Künstliche Intelligenz und Ethik
- Ethik der Digitalisierung
- Grenzwertige KI – Roboterhunde als Grenzwächter?
- Unternehmerische Verantwortung in der digitalen Welt
- Digitalisierung aus der Perspektive der Ethik
- Digitales Vertrauen gewinnen
- Digitale Ethik: Wie verstehen das junge Menschen?
- Datenethik als Teil der Corporate Social-Responsibility (CSR)
- Bundespräsident: Ethik der Digitalisierung
- Ethik fürs Digitale
- Clearview – Was machen die eigentlich?
- … u.a. KI in der Verwaltung
- Wann ist Künstliche Intelligenz sicher?
- Veröffentlichungen
- Handreichung zum Drittstaatentransfer der Stiftung Datenschutz
- Anforderung an Verwaltung zur Digitalisierung
- Cloud für public-sector durch SAP?
- Rückzug von Facebook und Instagram aus Europa?
- Zahlen für Google?
- Datensouveränität
- Datenfluss in Europa
- Empfehlungen für Multifaktor-Authentifizierung durch Microsoft
- Kennzahlen für ein Datenschutzmanagement?
- Zeugnisse in der Blockchain?
- Bewertung des Gutachtens zur Drittstaatentransfers der DSK
- Stiftung Datenschutz: Infoseiten für Ehrenamt
- CCC meldet Datenfunde im Netz
- Juristisches Allerlei im Anwaltsspiegel
- Datenschutz-Folgenabschätzung für MS Teams, OneDrive and Azure AD
- Sicherheitsverletzung bei KRITIS-Organisationen
- Passwortchecker mit Passworteingabe…
- Shortlinks sicherer erstellen
- Überwachung 4.0 durch Kameras
- Informierte Einwilligung für Krankendaten
- Alternativen zu Facebook – FBI gegen China – SID 2022
- Veranstaltungen
- Stiftung Datenschutz: Datenpolitik Diskussion mit der Forschungsstelle „Datenrecht“
- Datenspende – wann ist die Weitergabe von persönlichen Daten sinnvoll?
- Stiftung Datenschutz: Erfolgreiche Abwehr von (massenhaften) DS-GVO-Schadensersatzforderungen
- Gesellschaftspolitische Diskussionen
- Aussagen, Datensouveränitat und Kompetenz
- Kontrolle am Arbeitsplatz
- Facebook und der Börsenkurs – Chance für Fediverse?
- Schutz vor Social Engineering
- Apple: Trotz Widerspruch – Übermittlung von Audiomitschnitten bei Siri
- Anfrage im Bundestag zum rechtskonformen Einsatz von Software aus Drittstaaten
- Überwachung in den USA?
- Zahlt Facebook in USA Entschädigung?
- Texas gegen Meta
- Ist Datenschutz profitabel?
- Privacy Sandbox für Android und Werbemöglichkeiten über Chrome (Topics)
- Einbindung von Google Fonts
- Tracking durch Apps
- Polizeilicher Zugriff auf Kontaktverfolgungslisten
- Alternative soziale Netzwerke
- DNA – was mache ich damit – Datenschutz in den Nachrichten
- Cyberabwehr in Ausbildung aufnehmen
- Sonstiges / Blick über den Tellerrand
- Datenschutz – was weißt du über… ?
- CO:RE – Veröffentlichung der Knowledge Base zum Thema Kinder und Internet
- Datenbank für Kinder-Apps
- Forschung: Grundschulalter und digitale Bildung
- Juuuport: Schönheitsideale im Netz
- mobilsicher: Selfie-App
- Zahlen zu Social Media
- Netzwerk Bildung Digital
- Hass im Netz – wie damit umgehen?
- Mobilsicher: Selfie-App, die zweite
- Störsender und Netzfasten
- IT und Schulen: Einfluss der Hersteller
- Rundum sorglos? GPS-Überwachung mittels Smartphone
- Franks Zugabe
- NFT-Panne am ZKM
- Schau mir in die Augen…
- Wenn Senderbilder Auto-Entertainment-Systeme bricken…
- Messenger-App Signal kurz vorgestellt
- PI’s Guide to International Law and Surveillance
- Und noch was zu Facebook
- World Wrestling Explanation: Wrestler erklären schwierige Begriffe – Heute: Gesetztesentwurf zur Regulierung künstlicher Intelligenz der EU
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BayLDA: Hinweise zu Corona aktualisiert
Es lohnt sich gelegentlich nachzusehen, ob es Aktualisierungen zu Aussagen hinsichtlich der Datenverarbeitung im Umfeld der Coronamaßnahmen gibt. Das BayLDA hat seine FAQ-Liste mit Stand 31.01.2022 aktualisiert – kein Wunder, ändern sich doch laufend die rechtlichen Vorgaben, die Grundlage einer Datenverarbeitung sein können.
1.2 Belgien: Entscheidung zu Cookie-Banner zum Real Time Bidding
Um was geht es? Es geht um die Einbindung von Drittcookies zum Real Time Bidding für die jeweils passende Einblendung. Damit hat die belgische Aufsicht in Abstimmung mit dem EDSA ein Problem, zumindest in der Form, wie es durch den Verband IAB betrieben wird. Die Folge: 250.000 Euro Sanktion und zwei Monate Frist, das zu ändern. Der Verband IAB sieht das natürlich anders. Ausgangspunkt war u.a. eine Beschwerde gegen dieses Vorgehen. Die Werbeindustrie sieht das laut Berichten als schweren Schlag gegen ihre Möglichkeiten.
1.3 EDSA: Bedeutung der Leitlinien
Welchen Rechtscharakter haben die Leitlinie des EDSA? In einer eigenen Stellungnahme sieht der EDSA sie auch nicht als unmittelbare Bidnungsgewalt („In this regard, although not binding in themselves, Guidelines and Recommendations of the EDPB reflect…“), aber sie wären demnach eine Art Selbstbindung der Verwaltung, d.h., die Aufsichtsbehörden müssen sich bei der Interpretation und Umsetzung daran halten.
1.4 EDSA: Zertifizierungskriterien
Der EDSA lässt verlautbaren, dass sie Zertifizierungskriterien verabschiedet haben – die bald veröffentlicht werden. Dabei handelt es sich aber nicht um Zertifizierungskriterien, die einen Drittstaatentransfer gemäß Art. 46 Abs. 2 lit f DS-GVO ermöglichen würden.
1.5 ULD: Interview mit Marit Hansen zu Impfregister etc.
Welche Vorgaben gibt es in Pandemiezeiten beim Datenschutz, wäre ein Impfregister möglich und wer sollte Zugriff auf die Kontaktverfolgungsdaten haben. Alles in dem Interview des DLF.
1.6 CNIL: One stop shop nicht bei Cookies
Die französische Aufsicht verhängt Bußgelder gegen Google und Facebook und ein Gericht überprüft die formelle Zuständigkeit der CNIL. Dabei bestätigt es die Zuständigkeit der CNIL für die Zuständigkeit von Trackingverfahren. Es gilt dabei nicht das One-Stop-Shop-Prinzip der DS-GVO.
1.7 LDI Niedersachsen: Wo simmer denn… ?
… mögen sich all die fragen, die im Schulunterricht noch das Rechtsstaatsprinzip damit erklärt bekommen haben, dass sich staatliche Stellen an das Recht halten müssen. Jetzt hätten wir schon fast vergessen, dass ein Verkehrsminister Vorgaben des EuGH als „auch nur eine Rechtsmeinung“ bezeichnete, ohne dass dies gleich einen Skandal auslöste. Vielleicht war das die Vorlage, dass in Niedersachsen eine Regierungssprecherin einer Umsetzung einer behördlichen Maßnahme eine Abfuhr erteilte. Auch wenn es nur um Facebook-Fanpages geht. Es wäre schön, wenn sich öffentliche Stellen vorbildlich verhielten und höchstrichterliche Rechtsprechung umsetzten.
1.8 BSI: Mehr Kompetenzen und ersten Sicherheitskennzeichen
Berichten zufolge soll das BSI mit mehr Kompetenzen ausgestattet werden. Dies war eine der Kernaussagen beim 18. IT-Sicherheitskongress. Ebenso, dass Hersteller künftig für Schwachstellen haften sollen. Die Wirtschaft forderte hingegen, dass die Behörden mit gutem Beispiel vorangehen sollten und nicht wieder bei den Anforderungen ausgenommen werden sollten. Jedenfalls wurde auch das erste BSI-Sicherheitskennzeichen an den E-Mail-Diensteanbieter mail.de übergeben.
1.9 EDSA: Übersetzung der Guideline 01/2022
Bei der Konsultation zu der Guideline 01/2022, die sich mit dem Auskunftsanspruch befasst, ist es für viele hilfreich sich mit einer deutschen Übersetzung zu befassen. Es gibt aber noch keine offizielle – aber hier finden Sie eine mit Deepl übersetzte Fassung*. Danke fürs Teilen!
* Franks Anmerkung: Auch hier ist nun die offizielle Version, siehe auch 1.17, verlinkt.
1.10 LfD Bayern: Hat die Faxen noch nicht dicke…
Die Datenschutzaufsicht in Hessen sieht die Faxübertragung aufgrund der geänderten technischen Rahmenbedingungen (Abschaffung der ISDN-Leitung) und des Versandes von unverschlüsselten Datenpakten grds. als unsicheres Kommunikationsmittel an und empfiehlt für vertrauliche Informationen mit Personenbezug andere Kommunikationsmittel zu wählen. Der LfD Bayern hat nun ein Arbeitspapier zum Datenschutz bei der Nutzung von Telefax-Diensten veröffentlicht und sieht es noch als Rückfallmöglichkeit der Kommunikation, wenn z.B. IT-Systeme ausfallen. In seinem Papier geht er auf verschiedene Risikoszenarien ein und empfiehlt Abhilfemaßnahmen. Hinsichtlich der technisch nicht ausschließbaren Möglichkeit des Mitlesens, empfiehlt er bspw. die Beauftragung eines Dienstleisters, der der Aufsicht der BNetzA unterliegt und dass auch der Empfänger einen Dienstleister hat, der mindestens eine Transportverschlüsselung eingerichtet hat. Die Kernaussage ist jedoch, dass ein Fax nur dann eingesetzt werden soll, wenn andere, sicherere Wege nicht möglich sind und in jedem Einzelfall sei eine Abwägung durchzuführen und zu dokumentieren.
1.11 ULD: Musteranschreiben bezgl. Webseiten
Über eine Anfrage bei FragdenStaat veröffentlichte das ULD ein Template eines Schreibens, aus dem die Anschreiben gegen Verantwortliche bei Beschwerden über die Webseitengestaltung generiert werden können. Für alle, die sich nicht sicher sind, ob die eigene Seite den rechtlichen Ansprüchen genügt, oder deren Hinweise von den verantwortlichen Personen ignoriert wurden, eine gute Übung, um zu prüfen, wie man antworten würde.
1.12 LfDI BW: Tätigkeitsbericht für 2021
Der LfDI BW hat seinen Tätigkeitsbericht für 2021 veröffentlicht. Bei der Darstellung der Prüfung zum Drittstaatentransfer (Ziffer 8) vermisse ich allerdings Aussagen, ob ein Drittstaatentransfer außerhalb eines Angemessenheitsbeschlusses bei den durchgeführten Prüfungen überhaupt feststellbar war und wenn wie. Hervorzuheben sind die Bemühungen und Erfolge des LfDI BW den Datenschutz als kulturelle Aufgabe anzusehen und zu vermitteln.
1.13 BBfDI: Unterrichtsmaterialien für Grundschüler
Die Datenschutzaufsichtsbehörde Berlin hat anlässlich des Safer Internet Days 2022 Unterrichtsmaterialien für die Klassenstufen 1-6 veröffentlicht. Dabei werden die Themen, „personenbezogene Daten“, „Rechte im Datenschutz“, „Monetarisierung von Daten“, „Datenschutz im Homeschooling“ und „Datenschutz und Cybermobbing“ behandelt. Sie sind öffentlich zugänglich – auch von außerhalb von Berlin.
1.14 BSI: Sicherheitsempfehlungen
Auch passend zum Safer Internet Day 2022 weist das BSI auf seine Basistipps zur IT-Sicherheit hin. Diese umfassen auch Checklisten gegen Phishing-Attacken, gegen Angriffe beim Online-Banking und gegen Schadprogramme, aber auch die „10 Tipps zur sicheren Nutzung des Internets“.
1.15 EDSA: Prüfung der Cloud-Nutzung durch den öffentlichen Sektor
Der EDSA kündigt an die Nutzung von Cloudanbietern durch öffentliche Stelle zu überprüfen. In Deutschland kündigen der BfDI und der LfDI BW an sich hieran zu beteiligen. Insgesamt werden dabei über 80 öffentliche Einrichtungen in der gesamten EU kontaktiert.
In einem ersten Schritt im Rahmen ihrer koordinierten Prüfung soll ein Fragebogen an ausgewählte öffentliche Stellen versandt werden. Die Aufsichtsbehörden fragen insbesondere nach Verfahren und Schutzmaßnahmen, die beim Erwerb von Cloud-Diensten eingerichtet werden, untersuchen die Herausforderungen im Zusammenhang mit internationalen Übermittlungen und analysieren die Beziehungen zwischen Verantwortlichen und sogenannten Auftragsverarbeitern, also externen Dienstleistern für Cloud-Dienste.
Anschließend werten die Aufsichtsbehörden die Antworten auf den Fragebogen auf nationaler Ebene aus und entscheiden über mögliche Aufsichts- und Durchsetzungsmaßnahmen. Darüber hinaus werden die Ergebnisse der nationalen Maßnahmen aggregiert und analysiert, um gezielte Folgemaßnahmen auf europäischer Ebene zu ermöglichen.
1.16 CNIL: Zur Weiterverwendung der Daten durch einen Auftragsverarbeiter
Die französische Datenschutzaufsicht CNIL hat sich mit der Frage befasst, unter welchen Bedingungen ein Auftragsverarbeiter Daten weiterverarbeiten darf. Im Ergebnis kommt die CNIL dazu, dass dies nur zulässig sei, wenn eine solche Wiederverwendung mit der ursprünglichen Verarbeitung vereinbar ist und der für die Verarbeitung Verantwortliche ihm eine schriftliche Genehmigung dazu erteilt hat.
Auf was dabei noch alles zu achten ist, finden Sie hier in dieser Zusammenfassung.
1.17 EDSA: Deutsche Fassung der Guideline 07/2020
Die Guideline 07/2020 des EDSA zu den Begriffen Verantwortlicher und Auftragsverarbeiter in der DS-GVO hat schon in der englischen Fassung für Diskussionen gesorgt. Wer bei manchen Formulierungen unsicher war, kann diese Passagen nun in der offiziellen deutschen Fassung nachlesen, die beim EDSA veröffentlicht wurde.
1.18 Saarland: Bisherige LfDI erneut benannt
Wie berichtet, war die Stelle der Landesbeauftragten für Datenschutz und Informationsfreiheit ausgeschrieben. Wie nun berichtet wird, wurde die bisherige Stelleninhaberin erneut durch den Landtag für weitere sechs Jahre in ihrem Amt bestätigt.
1.19 BSI: Grundschutz in aktueller Edition
Das IT-Grundschutz-Kompendium wird jährlich im Februar in einer neuen Edition veröffentlicht. Die Edition 2022 ist seit dem 01. Februar 2022 verfügbar und löst damit die Edition 2021 ab. Das BSI stellt ganzjährig Entwürfe von Bausteinen zur Verfügung, die von Anwendern kommentiert werden können. Vertiefende Informationen dazu, wie einzelne Maßnahmen umgesetzt werden können, sind in den sogenannten Umsetzungshinweisen zu finden. Sie beschreiben, wie die Anforderungen der Bausteine umgesetzt werden können und erläutern im Detail geeignete Sicherheitsmaßnahmen. Bislang gibt es noch nicht zu jedem Baustein einen Umsetzungshinweis. Weitere Umsetzungshinweise werden sukzessive veröffentlicht, diese sind ab dem IT-Grundschutz-Kompendium 2020 losgelöst von der jeweils aktuellen Edition zu verwenden. Die aktuelle Fassung der Edition 2022 finden Sie hier.
1.20 BSI: Erkennen von Deep Fakes
Nicht immer sind Täuschungen leicht zu erkennen. Manche pauschale Werbeaussage ist nur für Insider als Luftnummer erkennbar. Immer öfter werden aber technische Manipulationen für Täuschungen und Falschbehauptungen, sogenannte Deep Fakes, eingesetzt. In welcher Art und Weise dies erfolgt und wie man diese erkennen kann, beschreibt das BSI im Rahmen seiner Präventionsarbeit.
1.21 Datenschutz und Fahrzeugidentifikationsnummer
Was es im Alltag schwierig macht Datenschutz noch vermittelbar zu machen, sind Nachrichten wie diese: Ist es ein Problem, wenn eine Fahrzeugidentifikationsnummer eines Kraftfahrzeuges in der Windschutzscheibe abgebildet wird oder muss diese unter der Motorhaube versteckt sein? Damit dürfen sich nun laut Berichten das BayLDA und der LfDI BW befassen.
1.22 EDSA: Erweiterung des Support Pool of Experts
Der EDSA ruft auf, dass sich interessierte Personen melden, die im SPE (Support Pool of Experts) mitwirken möchten. Dies umfasst beispielsweise die Unterstützung im Rahmen eines bestimmten Ermittlungsverfahrens, methodische Instrumente für Inspektionen (und Kapazitätsaufbau) sowie die Ausarbeitung von Dokumentationen über nationale Rechtsprechung.
1.23 Belgien: Sanktion bei Interessenskonflikt des DSB
In Belgien verhängte die Datenschutzaufsicht ein Bußgeld in Höhe von 75.000 Euro, da der Datenschutzbeauftragte gleichzeitig Leiter von drei Abteilungen mit Entscheidungsbefugnissen über die Verarbeitung personenbezogener Daten war. Damit führte dies zu einem Interessenskonflikt. Im konkreten Fall nahm er auch die Aufgaben des operativen Risikomanagements der Bank, der Abteilung für Informationsrisikomanagement und der Sonderermittlungsstelle wahr. Dies stellte nach Auffassung der belgischen Datenschutzbehörde nicht nur eine beratende und überwachende Aufgabe dar. Ein Interessenkonflikt sei anzunehmen, wenn der Datenschutzbeauftragte über die Verarbeitung personenbezogener Daten entscheiden kann.
1.24 Spanien: Bußgeld wegen unzulässiger Speicherung von Straftaten
In Spanien gab es ein Bußgeld gegen Amazon Road Transport Spain SL in Höhe von 2 Mio. Euro, da diese im Einstellungsprozess ein polizeiliches Führungszeugnis verlangte und diese Daten speicherte und die Einwilligung in den Drittstaatentransfer z.B. in die USA forderte. Gemäß Art. 10 DS-GVO dürfen Daten über Straftaten nur unter behördlicher Aufsicht oder auf Basis einer gesetzlichen Vorschrift verarbeitet werden.
Das Verfassungs- und Verwaltungsgericht der Landeskirche der Evangelischen Kirche der Pfalz hätte hier womöglich anders entschieden: Laut Pressemitteilung werden dort keine Probleme gesehen, ein polizeiliches Führungszeugnis nicht nur bei Mitarbeitenden in der Kinder- und Jugendarbeit zu verlangen (dafür gibt es eine gesetzliche Grundlage), sondern von allen Haupt- und Ehrenamtlichen. Um beim Thema zu bleiben: Denn sie wissen nicht, was sie tun.
1.25 Niederlande: Bußgeld wegen Erschwernis Betroffenenrechte durchzusetzen
Insgesamt 525.000 Euro Bußgeld wurde gegen ein Medienunternehmen verhängt, das bei Abonnenten die Schwelle zur Wahrnehmung der Betroffenenrechte zu hoch ansetzte wie z.B. durch das Einfordern einer Kopie des Personalausweises.
1.26 Belgien: Was bedeutet das Verfahren gegen IAB?
Die belgische Aufsicht hat ein Bußgeld gegen IAB wegen deren Einsatz ihres TCF (Transparency & Consent Frameworks) verhängt und dagegen geht IAB nun gerichtlich vor, Nichts Außergewöhnliches in einem Rechtsstaat, dass behördliche Maßnahmen überprüft werden können und davon Gebrauch gemacht wird. Nur heißt das aber nicht, dass damit jegliches Risiko für Webseitenbetreiber, die mittels IAB über ihre Seiten werben lassen, ausgeschlossen wäre: Jede zuständige Aufsicht könnte auch gegen die Webseitenbetreiber vorgehen – und wenn dies nicht erfolgt, bleiben immer noch Verbraucherschutzverbände oder auch Einzelpersonen, die – dann mit Verweis auf die Darlegungen der belgischen Aufsicht – eine Rechtsverletzung anmahnen und daraus Ansprüche ableiten wollen. Im Übrigen hat sich auch die dänische Datenschutzaufsicht der Ansicht der Belgier angeschlossen.
Franks Anmerkung: Siehe auch 2.7.
1.27 LfDI BW: Landesbehörden nutzen datenschutzkonforme Social-Media
Alle die immer darauf verweisen, dass auch öffentliche Stellen die „üblichen“ Social Media Kanäle nutzen, wie Facebook oder Twitter, aufgemerkt: Zunehmend nutzen öffentlichen Stellen auch Angebote, die ohne werbeorientiertes Tracking ihrer Nutzer auskommen. Dadurch werden die Ausreden weniger und der Handlungsspielraum der Aufsichtsbehörden größer, dann auch gegen nicht-öffentliche Stellen vorzugehen. Übrigens kündigt der LfDI BW auch an, zusätzlich auch PeerTube-Server aufzubauen und dann auch eine Videoplattform anzubieten.
1.28 LfDI BW: Aufklärung zum Amtsgeheimnis
Die meisten Datenschutzaufsichtsbehörden in Deutschland sind zeitgleich auch die Aufsicht über die Rechte und Umsetzung der Informationsfreiheitsgesetze, so auch in Baden-Württemberg. Der LfDI BW hat dazu nun einen Online-Kurs veröffentlicht, der nicht nur an Schulen eingesetzt werden kann. Über die Landeszentrale für politische Bildung Baden-Württemberg gibt es weitere Informationen und Unterrichtsmaterialien dazu.
1.29 Produktwarnungen durch Aufsichtsbehörden
Die Anforderungen der DS-GVO sind eigentlich klar, Datenminimierung, Zweckbindung, Drittstaatentransfer etc. und jeder der als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten verarbeitet, kann selber prüfen, ob die gewünschte Dienstleistung oder das Produkt diese Anforderungen einhält. Wie viel angenehmer ist es, wenn mir die Aufsichtsbehörden sagen, was geht oder nicht. Aber dürfen die das? Im Katalog der Befugnisse in Art. 58 DS-GVO ist davon speziell nichts zu entnehmen. Über FragdenStaat ist ein Entwurf eines Diskussionspapiers der Aufsichtsbehörden dazu veröffentlicht worden und hier finden Sie einen passenden Aufsatz dazu, der freundlicherweise durch den Autor geteilt wurde.
2 Rechtsprechung
2.1 OLG Düsseldorf: Schadenersatz aufgrund E-Mail-Fehlversand
Um Gesundheitsfragen für eine weitere Versicherung wahrheitsgemäß zu beantworten, ließ sich eine Versicherte die Unterlagen der letzten drei Jahre zusenden. Ob dabei die Versendung per E-Mail auf expliziten Wunsch der Versicherten erfolgte, blieb ungeklärt. Jedenfalls notierte sich der Mitarbeiter der Versicherung eine falsche E-Mail-Adresse und versandte dorthin unverschlüsselt und ohne weiteres Passwort die entsprechenden Gesundheitsdaten. Obwohl dann der Mitarbeiter den Fehlempfänger noch erreichte und dieser angab auf das Postfach keinen Zugriff genommen zu haben und die Mail zwischenzeitlich gelöscht sei, sprach das OLG Düsseldorf der Versicherten einen immateriellen Schadenersatz zu.
Dazu führte es aus, dass ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO bereits durch den Verlust über die Kontrolle der eigenen Daten begründet werde, der hier mindestens neun Monate angedauert habe. Der der Klägerin hier entstandene immaterielle Schaden habe ausreichendes Gewicht. Sie habe nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten (100 Seiten teilweise sehr sensible, intime Gesundheitsdaten), über welche die Klägerin über viele Monate die Kontrolle verloren hatte, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hatte, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit sei zu berücksichtigen, dass die DS-GVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO, wie sie hier betroffen seien, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DS-GVO als besonders sensible Datenkategorie anerkenne.
2.2 VG Wiesbaden: für öffentlich zugängliche Webseiten kein Haushaltsprivileg
Betreibt jemand eine öffentlich zugängliche Webseite, agiert er nicht innerhalb der Privilegierung des Art. 2 Abs. 2 lit. c DS-GVO, weil er damit nicht mehr innerhalb des familiären, persönlichen Bereichs Daten verarbeitet, so das Urteil des VG Wiesbaden. Eine Privatperson hatte auf ihrer Webseite Informationen über den Stammbaum und auch über noch lebende Personen abgebildet, ohne die Anforderungen der DS-GVO einzuhalten.
2.3 LG Wiesbaden: kein Unterlassungsanspruch neben datenschutzrechtlichen Ansprüchen
Das LG Wiesbaden schließt Unterlassungsansprüche aus dem BGB aus, wenn der Sachverhalt über datenschutzrechtliche Regelungen behandelt werden kann. So lehnte es (u.a.) die Klage eines vermeintlichen Web-Shop-Kunden ab, der über einen Unterlassungsanspruch die Weitergabe seiner Daten an dort eingebundene Cookieanbieter untersagen lassen wollte. Es bestünde kein Unterlassungsanspruch wegen (unions-)rechtswidriger Datenverarbeitung; die §§ 823 Abs. 1, 1004 BGB fänden analog keine Anwendbarkeit.
2.4 Übersicht über offene Fälle des EuGH zum Datenschutz
Wer was gezielt sucht oder wer zwischen Sprints, Plannings, Kaffeepause, DigiCamps oder Online-Meetings noch kurz Zeit überbrücken muss oder will, kann sich hier tummeln und mal sehen, welche Themen und welche Fragen dem EuGH alles vorgelegt werden. Auffallend ist, dass viele Fragestellungen aus Deutschland kommen. Daher bitte ich auch hier nochmal um Verständnis, wenn die Einleitung einer Antwort zum Datenschutz mit „das kommt darauf an“ beginnt – in etlichen Fällen fehlt noch die höchstrichterliche Auslegung und dann sind mehrere Meinungen vertretbar.
2.5 EuGH: Vorlage durch VG Wiesbaden zu Pflicht zum Fingerabdruck in Personalausweis
Wie das NGO digitalcourage berichtet, legt das VG Wiesbaden dem EuGH die Frage vor, ob die Verpflichtung der Aufnahme und Speicherung der Fingerabdrücke im Personalausweis mit europäischem Recht vereinbar sei.
2.6 EuGH: Vorlage durch VG Wiesbaden zu Einmeldung an Wirtschaftsauskunftei
Ein Unternehmen (Kreditkartenanbieter) meldet Daten einer Person, die am Wirtschaftsleben teilnimmt und die offene Forderungen wiederholt nicht ausgeglichen hat, an eine Wirtschaftsauskunftei. Liegt zwischen dem einmeldenden Unternehmen und der Wirtschaftsauskunftei eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vor, weil durch die Wirtschaftsauskunftei auf dieser Basis eine Bewertung erfolgt? Die Vorlage des VG Wiesbaden zitiert neben dem EuGH-Urteil zu „Fashion-ID“ auch das EuGH-Urteil aus dem Verfahren „Zeugen Jehovas“, dass eine gemeinsame Verantwortlichkeit bereits dann gegeben sei, wenn beide Verantwortliche aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nehmen und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirken, ohne dass hierfür jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat.
2.7 IAB klagt gegen Entscheidung der belgischen Aufsicht
Es war abzusehen, dass sich die Werbebranche ihr Geschäftsmodell nicht nehmen lässt und gegen die Entscheidung der belgischen Datenschutzaufsicht klagt. Jetzt können die Instanzen entscheiden, ob das Modell des Transparency & Consent Framework (TCF) als zentraler Standard hinter Cookie-Bannern und personalisierter Werbung rechtskonform umgesetzt wurde. Was dabei nicht vergessen werden darf: Die Verantwortlichkeit des Webseitenbetreibers, der diese Cookies auf seiner Webseite einbindet, besteht weiterhin und er muss gegebenenfalls selbst gegenüber der für ihn zuständigen Aufsicht oder gegenüber klagenden Personen die Rechtmäßigkeit der Verarbeitung personenbezogener Daten darlegen.
Franks Anmerkung: Siehe auch 1.26.
2.8 LAG Hamm: Anforderungen an Übermittlung von Personaldaten im Konzern
Das LAG Hamm hatte sich mit Fragen im Umfeld der Weitergabe von Personaldaten innerhalb eines Konzerns zu befassen, auf welcher Grundlage dies erfolgen könne und welche Anforderungen dabei zu beachten seien. Im konkreten Fall ging es um eine Übermittlung, um einen Gehaltsvergleich innerhalb des Konzerns durchzuführen. Dafür sah das LAG Hamm nicht die erforderlichen Voraussetzungen gewahrt.
2.9 ArbG Aachen: Anforderungen an Kennzeichnung von Geschäftsgeheimnissen
Es ist nicht neu: Muss ich alles kennzeichnen, nur weil es in einer internen Umsetzung eines Informationssicherheitsmanagements so vorgesehen ist? Auch wenn es vielleicht nicht mal personenbezogene Daten sind und die DS-GVO gar nicht gilt? Nun hat das ArbG Aachen in einem Prozess gegen einen ehemaligen Beschäftigten entschieden, dass wer keine Maßnahmen zum Schutz von Informationen unternimmt, nicht behaupten könne, es handele sich um schützenswerte Informationen. Also kennzeichnen, was vertraulich bleiben soll!
2.10 OLG Dresden: direkte Haftung der Geschäftsführer
Das Urteil hatten wir hier schon mal erwähnt: Das OLG Dresden entschied, dass neben dem Unternehmen auch der Geschäftsführer als Verantwortlicher gilt, der die Vorgaben der DS-GVO einzuhalten habe und der dann auch direkt mit Sanktionen belegt werden könne. Sobald Personen persönlich in die Haftung genommen werden können, steigt das Interesse an den Vorgängen. Obwohl das Urteil einige Schwächen in der Argumentation hat, wird es doch ernst genommen, wer weiß, ob das eigene Landgericht sich nicht dieser Argumentation anschließt, wenn es direkte Sanktionen geben sollte. Eine kritische Auseinandersetzung damit finden Sie hier.
2.11 BVerfG: Grenzen der Selbstbelastung
Auch wenn viele der geschätzten Leserschaft evtl. öfter schon mit der Aufsicht über die Einhaltung der Straßenverkehrsordnung als mit einer Ahndung durch eine Datenschutzaufsucht zu tun gehabt haben sollten: Das Urteil des BVerfG ist in diesem Blog-Beitrag, weil es interessante Ausführungen zu den Anforderungen und Grenzen einer Selbstbelastung hat (insb. ab RN 57).
2.12 bitkom: Rechtsprechungsübersicht zu Art. 15 DS-GVO
Bereits im letzten Dezember veröffentlichte der bitkom eine Rechtsprechungsübersicht zu Art. 15 DS-GVO. Habe es erst jetzt mitbekommen, daher die leichte Verzögerung.
2.13 BAG: Bestimmtheit eines Auskunftsanspruchs
Das Urteil des Bundesarbeitsgerichts zu den Anforderungen an ein Auskunftsbegehren ist nun im Volltext veröffentlicht. Der Anspruch eines gekündigten Beschäftigten gegen seinen Arbeitgeber auf Herausgabe u.a. seiner E-Mails aus Art. 15 DS-GVO scheiterte vor dem BAG, weil der Anspruch für eine Vollstreckung zu ungenau formuliert war. Das BAG empfiehlt hier z.B. im Wege einer Stufenklage vorzugehen (RN 33 des Urteils). Wer also einen Auskunftsanspruch gerichtlich durchsetzen will, sollte sich damit befassen.
2.14 EuGH: Auswirkungen auf die Rechtmäßigkeit bei Dokumentationsverstößen?
Das Ganze ist (wieder mal) etwas komplex: In Deutschland hat sich der Gesetzgeber dagegen entschieden, gegen öffentliche Stellen Bußgelder zu verhängen. Die Wahlfreiheit gesteht die DS-GVO in Art. 83 Abs. 7 zu. Was ist aber nun, wenn öffentliche Stellen Anforderungen aus der DS-GVO nicht umsetzen? Gibt es kein weiteres „Druckmittel“? Reichen die Befugnissse der Aufsichtsbehörden aus Art. 58 DS-GVO nicht aus? Das VG Wiesbaden kommt bei einer unzureichenden Umsetzung der Anforderungen aus Art. 30 (Verzeichnis der Verarbeitungstätigkeiten) und aus Art. 26 (Gemeinsame Verantwortlichkeit) auf die Idee, das dies in diesen Fällen Auswirkungen auf die Rechtmäßigkeit der Verarbeitung haben sollte und damit die Rechtmäßigkeitsgrundlage entfalle, mit der Wirkung, dass die Daten gemäß Art. 17 Abs. 1 lit. d DS-GVO zu löschen seien. Diese Fragen legt es nun dem EuGH zur Klärung vor.
Es wäre viel einfacher, würden auch öffentliche Stelle rechtliche Anforderungen, sei es aus Gesetz oder aus EuGH-Urteilen einfach nur umsetzen.
3 Gesetzgebung
3.1 Landerechtliche Zuständigkeit für TTDSG-Aufsicht?
Die Regelungen zur Aufsicht der verschiedenen Thematiken im TTDSG in §§ 29 und 30 sind nicht gerade ein Musterbeispiel an leicht nachvollziehbaren Regelungen. Dass für die Zuständigkeit der jeweiligen Datenschutzaufsichtsbehörden der Bundesländer noch landespezifische Umsetzungen erforderlich sein könnten, legt dieser Beitrag nahe. Er geht dabei auch auf mögliche Folgen ein.
3.2 Forschung zu Forschungsdaten (Treuhandmodelle)
Wie können Daten rechtmäßig genutzt werden, gerade wenn bei Forschungen noch nicht alle Details von Anfang an bekannt sind? Helfen da Treuhandmodelle und wie sollten diese gestaltet sein? Wenn viele Fragen offen sind und man/frau die richtigen Leute kennt, dann hilft oftmals die öffentliche Hand mit Forschungsaufträgen – so auch hier. Da es sich um medizinische Daten handelt, sind die Überlegungen sicherlich auch auf andere Thematiken mit ähnlicher Sensibilität übertragbar.
3.3 ID-Wallet: Blockchain etc.
Eine Kleine Anfrage im Bundestag stellt an die Bundesregierung Fragen zum Einsatz, Entwicklung und technische Abhängigkeiten zur ID-Wallet. Die Antwort liegt noch nicht vor.
3.4 Gutachten des wiss. Dienstes: Anforderungen an einschränkende Maßnahmen
Der Wissenschaftliche Dienst des Deutschen Bundestages äußerte sich zu den formalen Anforderungen an Verordnungen zur Umsetzung von Vorgaben aus dem IfSG. Dabei sehen sie Bedenken beim Verweisen auf eine Webseite, um dort zu erfahren, wann ein gültiger Genesenennachweis vorliegt.
3.5 Kritik am Data Governance Act
Bald will die EU-Kommission ihren Entwurf vorstellen. Kritisch befasst sich diese Analyse mit dem bislang bekannten Status des Entwurfs. Bereits die Zitate bei der Ankündigung versprechen Brisanz, sollte die Umsetzung so kommen:
„Statt die in der Datenschutz-Grundverordnung aufgestellten Bedingungen aufzuweichen, weitet die EU mithilfe des „Data Governance Act“ die Auflagen für altruistische Organisationen aus. Damit setzt sie der Bereitschaft, sich uneigennützig für das Gemeinwohl einzusetzen, quasi einen Riegel vor“ und „Solange die Zwangsjacke des GDPR altruistische Initiativen weiter unterbindet, besteht keine große Hoffnung, dass in Europa Daten innovativ verwendet werden“.
Na, dann sind wir mal gespannt!
3.6 OSZE fordert Verschlüsselung
Wäre das nicht ein Ansatzpunkt: eine multinationale Vereinbarung über Standards? Es lässt zumindest etwas hoffen, dass die OSZE sich für Verschlüsselung und Anonymität ausspricht. Auch sollte Tracking und Profiling eingegrenzt werden. Und keine Sorge, natürlich gibt es auch Vorgaben bei sicherheitsrelevanten Anlässen bzw. für Strafverfolgungsbehörden.
3.7 Drittstaatentransfer – aus United Kingdom
Das Vereinigte Königreich (UK) ist jetzt Drittstaat – immerhin mit Angemessenheitsbeschluss. Was aber gilt, wenn personenbezogene Daten aus UK ins Ausland transferiert werden? Hierzu informiert die britische Datenschutzaufsicht ICO über die verschiedenen Versionen eines international data transfer agreements.
3.8 Data Act – Entwurf geleakt
Die gute Nachricht: Es geht um Daten ohne Personenbezug. Die schlechte Nachricht: Das macht es nicht besser. Ein Entwurf des Data Act wurde geleakt. Weil man auch nie weiß, wie sich die Diskussion darum in Brüssel noch entwickelt und welche Bezüge sich dann doch zum Umgang mit personenbezogenen Daten ergeben können, finden Sie ihn hier.
Franks Anmerkung: Siehe auch 3.14.
3.9 DGB: Entwurf zu Beschäftigten-Datenschutzgesetz
Die Diskussion, ob ein eigenes Beschäftigtendatenschutzgesetz benötigt wird, reicht bis zum früheren BDSG zurück. Der DGB hat nun seinen Entwurf eines Beschäftigten-Datenschutzgesetzes veröffentlicht. Und liefert damit auch ein gutes Beispiel, wie ein Gesetz eher zur Verwirrung beitragen kann, z.B. wenn Definitionen zusätzlich zur DS-GVO geschaffen werden oder wenn bereits gerichtlich geklärte Sachverhalt in Gesetzesform formuliert werden sollen.
3.10 EU-Richtlinie zur Verbesserung der Bedingungen von Plattform-Beschäftigten
So würde ich den Entwurf der EU-Kommission vom letzten Dezember übersetzen. Dieser Bericht weist darauf hin, dass dabei auch Regelungen hinsichtlich des Datenschutzes der Beschäftigten bei Plattformbetreibern geregelt werden.
3.11 Whistleblower-Richtlinie
In Deutschland ist die Richtlinie 2019/1937 immer noch nicht umgesetzt. Damit sollen Personen geschützt werden, die Verstöße gegen das Unionsrecht melden. Unionsrecht wäre auch die DS-GVO. Nun wurde ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. In der vorherigen Legislaturperiode gab es bereits einen Gesetzentwurf zur Umsetzung – mal sehen, wann und wie es weitergeht.
3.12 Sanktionsmöglichkeiten bei Verstoß gegen verbraucherschützende Regelungen
In diesem Blog wurde bereits Mitte Januar auf Änderungen im BGB hingewiesen, auch wenn Themen wie Updatepflicht gegenüber Verbrauchern oder die Thematik „Zahlen mit Daten“ keine originären Datenschutzthemen sind. Der Vollständigkeit weise ich hier aber auch nur auf Sanktionsmöglichkeiten im Einführungsgesetz zum BGB (Art. 246e EGBGB) hin, die ab 28. Mai 2022 zur Anwendung kommen können, wenn bestimmte verbraucherschützende Vorschriften im BGB nicht beachtet werden. Auch wurden in diesem Zusammenhang Sanktionsregelungen im UWG angepasst (vgl. hier diese Zusammenfassung).
3.13 EU: Übersicht über laufende Gesetzgebungsverfahren
Es ist leicht den Überblick über die aktuellen Gesetzgebungsverfahren der EU zu verlieren, die sich mit Datenschutz, Datenverarbeitung und IT-Sicherheitsthemen befassen. Hier finden Sie eine Darstellung aktueller Gesetzgebungsverfahren, Stand Januar 2022, die für den Ausschuss AIDA erstellt wurde.
3.14 EU: Data Act
Der Entwurf war ja vorher schon geleakt und daher bereits vorher schon kommentiert worden. Eigentlich geht es dabei ja nicht um personenbezogene Daten, daher betrachten wir das nur interessiert aus der Distanz – aber wer weiß, wie es sich noch entwickelt… Nun ist die Vorstellung der EU-Kommission offiziell vorgestellt worden, begleitet von vielerlei Informationen, wie z.B. einer Factpage. Hintergrundinfos finden Sie hier und – wie immer – eine schöne Darstellung bei den Landscapes.
3.15 Indopazifisches Abkommen in Sicht?
Anlässlich eines Treffen der EU unter der französischen Ratspräsidentschaft mit Staaten aus der Indo-Pazifischen Region gab es Aussagen zu vielerlei Themen, u.a. auch zum Datenschutz: Das Ministerforum bekräftigte, wie wichtig es ist ein hohes Schutzniveau für personenbezogene Daten zu gewährleisten, wie es in der Erklärung zwischen der EU und neun Indo-Pazifik-Ländern (Australien, Komoren, Indien, Japan, Mauritius, Neuseeland, Republik Korea; Singapur, Sri Lanka) zum Schutz der Privatsphäre und personenbezogener Daten steht, um das Vertrauen in die digitale Wirtschaft zu stärken und die Zusammenarbeit bei vertrauenswürdigen Datenflüssen fortzusetzen. Das Ministerforum unterstützte auch die Aufnahme der Verhandlungen über die digitalen Partnerschaften zwischen der EU und Japan, Singapur und Südkorea auf der Grundlage gemeinsamer Werte und eines gemeinsamen Ansatzes für einen menschenzentrierten digitalen Wandel.
Vielleicht bringt das ja auch neue Impulse für eine Nivellierung der Anforderungen, sei es durch weitere Angemessenheitsbeschlüsse für weitere Staaten oder einen Einfluss auf ein Nachfolgeabkommen zum EU-US-Privacy-Shield.
4 Künstliche Intelligenz und Ethik
4.1 Ethik der Digitalisierung
In der ersten Amtszeit des aktuellen Bundespräsidenten hatte dieser eine Forschungsarbeit in Auftrag gegeben: „Ethik der Digitalisierung“. Dieses wurde nun vorgelegt. Anlässlich der Vorstellung diskutierte der Bundespräsident mit den internationalen Expert:innen in einem Livestream.
Franks Anmerkung: Siehe auch 4.8.
4.2 Grenzwertige KI – Roboterhunde als Grenzwächter?
Bisher gab es das nur in Science-Fiction-Filmen, nun könnte es Realität werden. Dort, wo die Bedingungen für menschliche Einsatzkräfte aufgrund äußerer Bedingungen zu anfordernd sind, könnten „Roboterhunde“ Grenzen bewachen. Eine Diskussion, die sicher nicht am Atlantik halt machen wird.
4.3 Unternehmerische Verantwortung in der digitalen Welt
In der Podcastfolge der „Wissensdusche“ geht es um Corporate Digital Responsibility, kurz CDR (ca. 35 Min.). Die Folge erklärt, was genau hinter dem Begriff steckt, wie er sich zur CSR abgrenzt und wo Unternehmen beginnen können.
4.4 Digitalisierung aus der Perspektive der Ethik
Im Podcast der Reihe „Fachfragen“ geht es um die Digitalisierung aus der Perspektive der Ethik. Der digitaltechnische Fortschritt eröffnet jede Menge neuer Chancen für Wirtschaft und Gesellschaft. Doch die Digitalisierung wirft freilich ethische Fragen auf, so zum Beispiel nach einem verantwortlichen Umgang mit Daten, nach Folgen der Automatisierung und nach neuen Abhängigkeiten (ca. 7 Min.).
4.5 Digitales Vertrauen gewinnen
Um was geht es bei Corporate Digital Responsibility? Unternehmen mit digitaler Reife, die keine Vertrauenslücke bei Kund*innen, Mitarbeiter*innen und Geschäftspartner*innen entstehen lassen wollen, investieren in eine vertrauenswürdige Organisation. Mehr dazu lesen Sie hier.
4.6 Digitale Ethik: Wie verstehen das junge Menschen?
Mit dieser Thematik befasst sich ein Beitrag einer deutsch-polnische Stiftung.
4.7 Datenethik als Teil der Corporate Social-Responsibility (CSR)
Um was es bei Datenethik geht und wie diese als Teil einer verantwortungsvollen Unternehmensführung eingegliedert werden kann, erfahren Sie hier.
4.8 Bundespräsident: Ethik der Digitalisierung
Die Übergabe und die anschließende Diskussion mit dem Bundespräsidenten ist nun auch als Aufzeichnung im Netz verfügbar (siehe auch 4.1). Das internationale und interdisziplinäre Forschungsvorhaben ist eine gemeinsame Initiative des Global Network of Internet and Society Research Centers (NoC). Die Veröffentlichung des Abschlussberichtes ist für Juni 2022 vorgesehen.
4.9 Ethik fürs Digitale
Wer einen Einblick in die Fragestellung bekommen will, könnte hier fündig werden. In ca. 59 Minuten werden die Fragestellungen angesprochen, die sich mit Ethik und digitalen Anwendungen verknüpfen lassen. Antworten werden u.a. auch wir liefern müssen.
4.10 Clearview – Was machen die eigentlich?
Dass die Dienstleistung von Clearview – sagen wir wohlwollend – umstritten ist, hatten wir schon berichtet: Bilder aus dem Internet werden ohne weitere Beachtung von denkbaren Rechtsgrundlagen kopiert und für eine weltweite Gesichtsdatenbank verwendet, über die dann fast jeder auf der Welt identifiziert werden kann. Und Clearview AI soll ausgebaut werden. Über Details zu diesem Vorhaben berichtet dieser Beitrag.
4.11 … u.a. KI in der Verwaltung
Im Schwerpunktheft von adesso finden sich Themen wie „Chancen für Versicherer durch die EU-Richtlinie PSD2 und Künstliche Intelligenz“, „Projekt ,KI-Plattform’“ und „Zum Status von KI in der öffentlichen Verwaltung“. Aber auch die anderen Beiträge sind interessant: Reinklicken!
4.12 Wann ist Künstliche Intelligenz sicher?
Zu dieser Frage antwortet der Forschungsdirektor am Fraunhofer Institut für Kognitive Systeme in München in einem Podcast der FAZ (ca. 56 Min.). Thematisiert werden u.a. folgende Fragen: Wie Systeme mit Künstlicher Intelligenz sicher machen? Helfen eingebaute Redundanzen? Was bringen internationale KI-Sicherheitsstandards?
5 Veröffentlichungen
5.1 Handreichung zum Drittstaatentransfer der Stiftung Datenschutz
Die Stiftung Datenschutz hat eine Handreichung zum Drittstaatentransfer veröffentlicht. Neben den Grundlagen gibt es Ausführungen zum Schrems-II-Urteil und Praxistipps.
5.2 Anforderung an Verwaltung zur Digitalisierung
Was ist bei der Digitalisierung in der Verwaltung erforderlich? Klar: Eigene Kompetenzen müssen aufgebaut werden. Dies meint auch die IT-Sicherheitsexpertin in diesem Beitrag: Der Staat müsse endlich selbst IT-Know-how aufbauen, statt Projekte an Berater auszulagern (dann aber auch Marktfähig entlohnen).
5.3 Cloud für public-sector durch SAP?
Zusammen mit Arvato und Microsoft kündigt SAP eine Cloudanwendung für deutsche Behörden an. Die souveräne Cloud des neuen Unternehmens soll nach Angaben von SAP auf diese Weise ein breites Spektrum an digitalen Lösungen bieten, um den Einsatz moderner Cloud-Technologie in der Verwaltung zu beschleunigen. In enger Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werde dabei stets den strengen Anforderungen entsprochen. Das bleibt natürlich nicht ohne Kritik, insbesondere, ob die angestrebte Souveränität dadurch tatsächlich erreicht wird.
5.4 Rückzug von Facebook und Instagram aus Europa?
Ein Zitat aus dem Bericht von Meta, dem Mutterkonzern von Facebook, Instagram, WhatsApp & Co. reichte aus, um eine breite Diskussion auszulösen: „Wenn ein neuer transatlantischer Datentransfer der Rahmen nicht angenommen wird und wir nicht in der Lage sind, uns weiterhin auf SCCs oder andere alternative Mittel der Datenübermittlung von Europa in die Vereinigten Staaten zu verlassen, werden wir wahrscheinlich nicht in der Lage sein, eine Reihe unserer wichtigsten Produkte und Dienstleistungen, einschließlich Facebook und Instagram, in Europa anzubieten, was materiell und negative Auswirkungen auf unser Geschäft, unsere Finanzlage und unsere Betriebsergebnisse haben wird.“ (Seite 26 aus dem Bericht von Meta). Will sich Meta wirklich aus dem lukrativen Markt zurückziehen? Oder will es nur Eventualitäten vorbeugen und mittelbar auch der amerikanischen Politik aufzeigen, welche Folgen dies haben würde? Und wäre dies wirklich ohne Folgen für die europäische Wirtschaft und wären Amerikaner eifersüchtig, wenn vor allem KMUs über Facebook ihre digitale Kommunikation mit ihren Märkten abbilden? Dementi von Meta folgten natürlich sofort.
5.5 Zahlen für Google?
Es war ziemlich simple: Google bietet Dienste und dafür nutzt es die dabei anfallenden Informationen, um uns maßgeschneiderte Angebote geben zu können, für die dann Partner an Google Geld zahlen. Nun scheint Google Berichten zufolge auch die Nutzer für immer mehr Funktionen / Produkte unmittelbar zur Kasse bitten zu wollen. Je nachdem, welche Produkte davon betroffen sein werden und wie Google dann die Nutzung zu weiteren Zwecken gestaltet, wird es interessant, ob Einwilligungstexte dann anzupassen sind bzw. inwieweit dies in Verträgen zwischen Nutzern und Google ohne explizite Einwilligungen geregelt werden kann.
5.6 Datensouveränität
Diesmal wieder eine Empfehlung für diesen Podcast (ca. 31 Min.), in dem es (u.a.) um Datensouveränität geht, nicht nur, weil das auch im Titel des Podcasts berücksichtigt wird. Ist die Eigenverantwortlichkeit noch das richtige Instrument, um über Nutzungen der eigenen Daten zu entscheiden oder muss die Regulatorik stärker eingreifen? Lassen wir es in anderen Bereichen z.B. bei Lebensmitteln zu, dass wir beim Einkauf auch souverän entscheiden dürfen, welche Lebensmittel wir wählen anhand der eingesetzten chemischen Mittel? Spannend für mich, dass es wohl in den USA die ersten Gesetzgebungsverfahren gibt, bei welchen die Einwilligung der Data Subjekte nicht mehr vorgesehen ist. Im Übrigen fühlt man sich alt, wenn Expert:innen über das Volkszählungsurteil debattieren und diese Zeiten nur aus Erzählungen kennen.
5.7 Datenfluss in Europa
Wie erfolgt der Datenfluss in Europa? Wie viel Terrabyte / Monat werden an Cloudanbieter übermittelt? Wie hat sich dies in den letzten Jahren entwickelt? Wer sich dafür interessiert, wird auf der Seite der Digital Strategie der Europäischen Kommission schnell fündig.
5.8 Empfehlungen für Multifaktor-Authentifizierung durch Microsoft
Microsoft steht ja oft in der Kritik, z.B. wegen der Nutzung von Telemetriedaten, die Vielen nicht transparent genug ist. Vorbehaltlos zuzustimmen ist Microsoft jedoch bei den Bemühungen, die Akzeptanz von und damit die Sicherheit durch Multifaktor-Authentifizierung zu fördern.
5.9 Kennzahlen für ein Datenschutzmanagement?
Es gibt noch keine offiziellen Messgrößen für ein Datenschutzmanagementsystem? Welche Kriterien könnten dies abbilden, welche Faktoren lassen eine Bewertung zu? Wer sich dafür interessiert, kann sich an der NIST orientieren oder auch an der Veröffentlichung der CNIL aus dem letzten Jahr.
5.10 Zeugnisse in der Blockchain?
Es scheint im politischen Berlin den Bedarf zu geben bei Schulzeugnissen über Jahre hinweg nachvollziehen zu können, ob die Angaben nun gefälscht sind oder nicht. Oder man suchte nach irgendeiner Anwendung, bei der sich eine Blockchain unterbringen lässt. Sei es drum, jedenfalls gab es die Veröffentlichung durch die hostende Bundesdruckerei und nachdem es Hinweise auf Sicherheitsmängel gab, wurde die Seite wieder vom Netz genommen. Die Bundesdruckerei erklärt auch, warum.
5.11 Bewertung des Gutachtens zur Drittstaatentransfers der DSK
Die Datenschutzkonferenz hatte ein Gutachten zum Drittstaatentransfers in die USA beauftragt und veröffentlicht. Hier finden Sie eine Bewertung des Gutachtens – freundlicherweise ohne Paywall.
5.12 Stiftung Datenschutz: Infoseiten für Ehrenamt
Die Stiftung Datenschutz veröffentlicht ihre Seiten mit Hinweisen und weiteren kostenlosen Webinaren rund um datenschutzrechtliche Fragestellungen im Ehrenamt. Ist nicht nur dafür interessant!
5.13 CCC meldet Datenfunde im Netz
Der Chaos Computer Club vermeldete diese Woche, dass es Funde „im Netz“ gab, bei denen aus ca. 50 unterschiedlichen Quellen ca. 6,4 Mio. Datensätze bekannt wurden. Betroffen seien staatliche Institutionen sowie Unternehmen aus diversen Geschäftsbereichen mit Daten von Fluggästen, Bewerber:innen, Patient:innen, Versicherten und Nutzer:innen sozialer Netzwerke. Häufigste Ursache war unzureichender Zugangsschutz. Der CCC gibt in seiner Meldung auch Tipps, wie man solche Pannen vermeiden kann.
5.14 Juristisches Allerlei im Anwaltsspiegel
Hier finden Sie Beiträge zu den Themen Complianceanforderungen, zu Cybersecurity und Datenschutz, zur Whistleblower-Regelung, zu Verfahren mit Datenschutzaufsichtsbehörden – einfach zu viel, um Einzelnes herauszuheben, auch für Nicht-Anwälte lesenswert!
5.15 Datenschutz-Folgenabschätzung für MS Teams, OneDrive and Azure AD
Wer Microsoftprodukte in der Cloud einsetzen will, sieht sich dabei oft vor die Herausforderung gestellt dafür eine Datenschutz-Folgenabschätzung (DSFA) durchführen zu müssen, um mögliche Risiken zu erfassen und denkbare Schutzmaßnahmen zu prüfen und zu bewerten. Ein kleine Hilfe dabei könnte die DSFA des Niederländischen Justizministeriums sein, die dies für den Einsatz von MS Teams, OneDrive und Azure Active Directory durchgeführt und freundlicherweise veröffentlicht hat. Dabei befassen sie sich auch mit dem aktuellen Stand der Erkenntnisse zum Cloud Act, Zugriffsmöglichkeiten durch die US-Regierung und den Zusagen von Microsoft. Auch wenn diese Aussagen erst auf den eignen Sachverhalt hin überprüft und angepasst werden müssten, bieten sie doch eine schöne Orientierung, an was alles zu denken ist, und bieten dem verantwortlichen Management und deren Beratern eine Basis für eine Entscheidung.
5.16 Sicherheitsverletzung bei KRITIS-Organisationen
Mit KRITIS werden kritische Infrastrukturen bezeichnet, die für das Funktionieren einer Gesellschaft essenziell sind, wie z.B. Strom- und Wasserversorgung oder die medizinische Versorgung, wie Krankenhäuser. Nach GARTNER-Schätzungen werden 30% der KRITIS-Einrichtungen in den nächsten drei Jahren von einer IT-Sicherheitsverletzung aufgrund eines Cyberangriffes betroffen sein.
5.17 Passwortchecker mit Passworteingabe…
Wie sicher ist mein Passwort? Dazu gibt es ja immer wieder unterschiedliche Hinweise und Vorgaben, wie z.B. durch das BSI. Und folgen Sie noch Hinweisen aus dem Jahr 2014? Besser wohl nicht. Um die Sicherheit des eigenen Passwortes zu testen, hat das Bay. Staatsministerium für Digitales nun eine Anwendung veröffentlicht, die einem das eigene Passwort prüft: Dazu soll man es eingeben. Nun ist das ja genau das, vor dem Experten immer warnen: Nie das eigene Passwort offenbaren. Was also tun? Auch wenn die oben genannte Seite sicher sein soll, „weil das Passwort nicht an die Server des Webseitenanbieters übermittelt würde“ bleibt ein fahler Nachgeschmack: Besser: nie (wirklich nie!) das eigene Passwort offenlegen – Sie können die dort genannten Kriterien berücksichtigen bei Ihrer Passwortbildung – das hilft ja auch schon. Und wer nicht nachlesen will, kann sich auch ein Video ansehen.
5.18 Shortlinks sicherer erstellen
Manchmal hilft es, wenn man URL-Adressen abkürzen kann. Manche der Anbieter von sogenannten Shortenern achten aber dabei nicht immer auf ausreichenden Schutz gegen Cyberangriffe. Hier ein Angebot, das angibt, dass alle gespeicherten Links auf Virenbefall und Malware geprüft werden. Wenn eine Malware-Infektion auf einer Seite gefunden wird, werden Nutzer, die den zugehörigen Kurzlink aufrufen, nicht einfach zu der Seite weitergeleitet, sondern werden über das potenzielle Risiko informiert. Wer sich die Seite dennoch anschauen möchte, kann dies wohl tun. Am Transparentesten ist man aber unterwegs wenn man ohne Shortener die Links hinterlegt.
5.19 Überwachung 4.0 durch Kameras
Wir haben ja bisher im Datenschutz genug mit Kameras zu tun, wenn es um die Erforderlichkeit, Zweckbindung und oft auch um die Rechtmäßigkeit geht. Folgt man diesem Bericht über Kameras aus dem Unternehmenskonzern eines Haushaltsgeräteherstellers, werden die Fragen eher noch zunehmen. Die Apps, die dazu angeboten werden, bieten unter anderem ethnische Erkennung, Geschlechtserkennung, Gesichtserkennung, Emotionsanalyse und Erkennung verdächtigen Verhaltens an. Natürlich wird auch auf Bedenken hinsichtlich der diskriminierenden und aufdringlichen Natur solcher Technologien hingewiesen.
5.20 Informierte Einwilligung für Krankendaten
Das Problem ist schon seit langem bekannt und betrifft nicht nur die medizinische Forschung: Wie kann ich eine Einwilligung gestalten, wenn ich als Einwilligungsempfänger vorher über den genauen Zweck informieren soll, bei einer medizinischen Forschung dies aber in den wenigsten Fällen konkret benennen kann? Mit der Thematik befasst sich auch die Veröffentlichung “Informed Consent and Protection of Personal Data in Genetic Research on COVID-19″. Wer mehr auch zu dieser Problematik wissen möchte: Hier ein Vortragsvideo zur Nutzung klinischer Daten (runterscrollen bis 23.02.2021)
5.21 Alternativen zu Facebook – FBI gegen China – SID 2022
Einen bunten Mix u.a. zu den Themen „Alternativen zu Facebook“ und zum „Safer Internet Day 2022“ bietet dieser Podcast (ca. 38 Min.), in dem auch zu erfahren ist, wie das FBI gegen Industriespionage kämpft.
5.22 Veranstaltungen
5.22.1 Stiftung Datenschutz: Datenpolitik Diskussion mit der Forschungsstelle „Datenrecht“
01.03.2022, 17:00 – 18:30 Uhr – In einer gemeinsamen Veranstaltung mit der Forschungsstelle Datenrecht wird die angekündigte Datenpolitik der neuen Bundesregierung besprochen: Die Datennutzung und ein besserer Datenzugang sollen gemäß der Koalitionsvereinbarung künftig im Mittelpunkt stehen. Es sollen damit neue Geschäftsmodelle und mehr soziale Innovationen in der Digitalisierung ermöglicht werden. Welche Probleme gilt es zu lösen und welche Ansätze sind dafür zu nutzen? Wie ist die deutsche Datenpolitik mit der europäischen zu verzahnen und welche Aufgaben sollte das einzurichtende Dateninstitut wahrnehmen? Diese Fragen diskutieren die Veranstalterinnen mit Fachleuten aus der Praxis und mit digitalpolitischen Expertinnen und Experten aus dem Deutschen Bundestag. Anmeldung erforderlich.
5.22.2 Datenspende – wann ist die Weitergabe von persönlichen Daten sinnvoll?
02.03.2022, 18:00 – 19:15 Uhr – Eine Umfrage des Digital Autonomy Hubs zeigte im Frühjahr 2021, dass ungefähr die Hälfte der befragten Personen Gesundheitsdaten für Forschungszwecke spenden würde. Auch in anderen Bereichen, wie zum Beispiel im Umweltschutz oder zur Verbesserung von Gesundheitsleistungen besteht Offenheit personenbezogene Daten zur Verfügung zu stellen. Selbstbestimmt und reflektiert mit den eigenen Daten im Digitalen umzugehen, bedeutet also nicht nur den bestmöglichen Schutz der eigenen Privatsphäre sicherzustellen. Es gilt auch zu überlegen, unter welchen Bedingungen die Freigabe und anschließende Verarbeitung von persönlichen Daten von Vorteil sind – und sich positiv auf unser aller Leben auswirken. Im Webtalk wird diskutiert: Wann und wie ist es sinnvoll persönliche Daten weiterzugeben? In welchen Bereichen werden diese besonders gebraucht? Anmeldung erforderlich.
5.22.3 Stiftung Datenschutz: Erfolgreiche Abwehr von (massenhaften) DS-GVO-Schadensersatzforderungen
03.03.2022, 13:00 – 14:00 Uhr – Das Einschreiten der Aufsichtsbehörden ruft vermehrt spezialisierte Klägeranwälte, Rechtsdienstleister und Prozessfinanzierer auf den Plan, die aktives Marketing um Kläger betreiben und gezielt Werbung schalten. Ziel dieser Akteure ist die massenhafte Kommerzialisierung von DS-GVO-Schadensersatzansprüchen, etwa nach großen Datenpannen. Für Unternehmen geht die Abwicklung eines solchen Vorfalls mit erheblichem Aufwand einher. Thematisiert wird die aktuelle Rechtsprechung zu DS-GVO-Schadensersatz sowie die rechtlichen Grundlagen des Anspruchs. Ein Schwerpunkt liegt auf den zahlreichen Vorlagen verschiedener europäischer Gerichte zum EuGH wie etwa der Entscheidung des Bundesarbeitsgerichts (Beschl. v. 26.08.2021 – 8 AZR 253/20 (A)). Schließlich gibt es einen Erfahrungsbericht aus der Praxis und konkrete Handlungsempfehlungen für Verantwortliche. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Aussagen, Datensouveränitat und Kompetenz
Es ist ein Unding – alle wollen Digitalisierung, alle reden davon und wenn man es dann liest, ist man kurz davor das Vertrauen zu verlieren. So z.B. wenn eine Fraktion der Opposition verlauten lässt: „Auch das Prinzip der Datenminimierung in der DSGVO kann Fortschritt verhindern, wenn beispielsweise anonymisierte Gesundheitsdaten nicht für die wichtige Gesundheitsforschung zum Vorteil aller genutzt werden können.“ Falls jemand jemanden davon kennt, hier die Auflösung: Für anonymisierte Daten findet die DS-GVO keine Anwendung. Wenn also jemand eine Lösung für ein Problem sucht, das es nicht gibt, ist dieses für manche nicht der ideale Nachweis für Kompetenz. Was man da aber Richtiges hineininterpretieren könnte, ist, dass es schön wäre, wenn die Fragen rund um die Anonymisierung erklärt werden würden – aber das ist ein anderes Thema. Immerhin will sich auch der BfDI in seinem Jahr als Vorsitzender der Datenschutzkonferenz mit Forschungsdaten befassen.
6.2 Kontrolle am Arbeitsplatz
Welche Kontrollen sind durch welche Tools möglich? Damit befasst sich eine Studie. Aber beachten Sie dabei bitte: Nicht jede Funktionalität, die es gibt, wird auch eingesetzt. Die beschriebene Studie ist online verfügbar.
6.3 Facebook und der Börsenkurs – Chance für Fediverse?
Wumms. So einen Verlust bei einem einzelnen Wert gab es noch nie in der US-Börsengeschichte. Anleger scheinen doch auch zunehmend nachhaltige Geschäftsmodelle zu bevorzugen, zudem konnte Facebook mit seinen Zahlen auch nicht richtig überzeugen. Es wird sich zeigen, ob sich auch ein Wandel bei den Nutzern einstellt, die dann rechtskonformere Möglichkeiten nutzen wie z.B. das Fediverse (siehe auch 6.15). Der LfDI BW ist ja auch von Twitter zu Mastodon gewechselt (https://xn--baw-joa.social/@lfdi).
6.4 Schutz vor Social Engineering
Diesmal geht es nicht darum „wer hat´s erfunden?“, sondern darum, wo ich was dazu finde: „Wie schütze ich mich gegen Social Engineering?“ Und die Antwort findet sich neben der Darstellung der verschiedenen Angriffe auch diesmal in der Schweiz bzw. auf einer dortigen Webseite.
6.5 Apple: Trotz Widerspruch – Übermittlung von Audiomitschnitten bei Siri
Laut Berichten erfolgte wieder mal die Übermittlung von Audiomitschnitten bei der Nutzung von Siri an Apple. Apple gestand die Panne ein, schuld sei ein Bug in iOS 15.
6.6 Anfrage im Bundestag zum rechtskonformen Einsatz von Software aus Drittstaaten
Die Anfrage (Nr. 45, Seite 34) war etwas länger, als in einer Überschrift vollständig wiedergebbar. Speziell wurden dabei Microsoft, Alphabet und Apple genannt. Natürlich ist es dann spannend, wie die Antwort ausfiel. Neben einer kurzen Darstellung der Rechtslage wurde auf die Verantwortlichkeit der jeweiligen Bedarfsträger hingewiesen, die im Rahmen der Beschaffung dann für den konkreten Einsatzzweck diese Rechtslage zu beachten haben.
6.7 Überwachung in den USA?
Es scheint, dass die Thematik der Überwachung durch US-amerikanische Geheimdienste aufgrund neuerer Erkenntnisse nun auch die US-amerikanische Bevölkerung tangiert. Zumindest lassen das Veröffentlichungen durch Mitglieder des Senats vermuten, die zur Massenüberwachung durch die CIA berichten. Warum das für uns interessant ist? Weil es für mich ein Mosaiksteinchen der Hoffnung ist, dass es bald internationale Abstimmungen über zulässige Geheimdienstaktivitäten gibt und die Drittstaatenthematik (insbesondere mit den USA) damit eine breitere Lösung findet.
6.8 Zahlt Facebook in USA Entschädigung?
Wir kennen da ja schon aus den Massenverfahren eines Automobilherstellers aus Wolfsburg: In den USA sind Verbraucheransprüche bei Täuschung und Missbrauch oft schneller und effektiver durchsetzbar als in Europa: Nun scheint auch Facebook in den USA gegenüber Nutzern, die über mehrere Webseiten getrackt wurden, eine Entschädigung in einem Vergleich anzubieten, der allerdings noch zu bestätigen ist. Von den berichteten 90 Mio. $ bleibt für die Betroffenen aber nicht viel, denn davon gehen auch noch die Kosten der Anwälte und die Kosten für die Verwaltung und Verteilung weg. Trotzdem: Moniert wird genau das Verhalten, das auch hierzulande über die Einbindung des Like-Buttons seit Jahren beanstandet wird, wenn dadurch Daten der Besucher ohne weitere Zustimmung der Webseitenbesucher an Facebook weitergeleitet wurden.
6.9 Texas gegen Meta
„Don´t mess with Texas“. An diesen doppeldeutigen Werbespruch musste ich bei diesem Beitrag denken: Instagram wertet Fotos heimlich biometrisch aus und Facebooks Gesichtserkennung war illegal und daher verklagt nun Texas anscheinend Meta auf tausende Milliarden US-Dollar, weil Meta mit automatischer Gesichtserkennung milliardenfach gegen texanisches Recht verstoßen haben soll.
6.10 Ist Datenschutz profitabel?
… und noch ein Beitrag, der gut die vorherigen ergänzt: Ist ein Produkt datenschutzkonform überhaupt noch profitabel? Ja, wenn man dem Betreiber einer Suchmaschine glaubt, der darlegt, wie ohne User-Tracking und Third-Party-Cookies kontextuelles Advertising funktioniert.
6.11 Privacy Sandbox für Android und Werbemöglichkeiten über Chrome (Topics)
Google und Datenschutz sind Begriff, die man selten in einem positiven Kontext in einem Satz unterbringt. Google will das wohl ändern und kündigt ein Verfahren an, um künftig neue, datenschutzfreundliche Werbelösungen anzubieten [und welche Meldung bringe ich nun am 1. April?].
Parallel dazu veröffentlichte Google seine Pläne über Vermarktungsmöglichkeiten über Chrome und nennt dies Topics. Wer etwa täglich auf Sportschau.de surft, ist ein Sportfan; wer hingegen die Website der New York Times aufsucht, ist vermutlich an Politik interessiert. Genau. Wie früher eben auch, wenn ich mir gedruckte Zeitschriften kaufte: Wer Geosaison kauft, sieht dort Werbung für Reiseangebote und -utensilien und wer die ADAC-Mitgliederzeitschrift liest, bekommt Werbung für Treppenlifte…
6.12 Einbindung von Google Fonts
Nachdem die Einbindung von Google Fonts in einem Urteil des LG München zu Schadenersatzansprüchen führte, hier ein Beitrag, wie dies rechtssicher gehen soll. Wie immer ohne Gewähr.
6.13 Tracking durch Apps
Wer sammelt die meisten Daten? Eine Analyse zeigt laut diesem Bericht, dass Youtube und Tiktok unter den Social Media Apps am meisten Daten sammeln. Viele Anfragen kommen von Drittanbietern und es ist unklar, wohin sie gehen.
6.14 Polizeilicher Zugriff auf Kontaktverfolgungslisten
Das ist eigentlich das Datenschutz-Ein-mal-eins: Für die Verarbeitung personenbezogener Daten brauchen Unternehmen und Behörden eine datenschutzrechtliche Befugnis. Bei Behörden muss dies durch eine rechtliche Vorgabe abgesichert sein, hier heiligt nicht der Zweck die Mittel. Das gilt auch für die Verarbeitung im Rahmen der Strafverfolgung, deren datenschutzrechtliche Rahmenbedingungen sich dann nicht über die DS-GVO, sondern über die Richtlinie „Polizei und Justiz (RL 2016/680) und deren Umsetzung in Bundes- und Landesgesetzen ergeben. Leider fehlt es oft verantwortlichen politischen Entscheidungsträger:innen an diesen datenschutzrechtlichen Grundkenntnissen. Nur so ist es zu erklären, dass laut Berichten immer noch davon ausgegangen wird, dass zu polizeilichen Ermittlungszwecken auf Kontaktdaten zugegriffen werden darf, deren gesetzlicher Zweck ausschließlich auf die Nachverfolgung im Infektionsfall begrenzt wurde.
6.15 Alternative soziale Netzwerke
Als Alternative hört man immer wieder „Fediverse“. Doch was ist das genau? Es ist ein Netzwerk aus Plattformen, die wie bekannte Social-Media-Dienste funktionieren – aber allen gehören. Bekannte Vertreter sind die YouTube-Alternative PeerTube und die Twitter-Alternative Mastodon. Das Wort Fediverse ist ein Kofferwort aus den englischen Begriffen „Federation“ (deutsch: Vereinigung, Bund) und Universe (deutsch: Universum). Gemeint sind damit eine Reihe von Diensten für typische Social-Media-Aktivitäten. Mehr dazu hier.
Franks Anmerkung: Siehe auch 6.3.
6.16 DNA – was mache ich damit – Datenschutz in den Nachrichten
Was waren das für Bilder in den Nachrichten, als westliche Politiker bei Putin an einem großen Tisch saßen. Die Erklärung dafür irritierte kurz: Sie verweigerten Covid-19-PCR-Test durch den russischen Gastgeber aus Befürchtung, damit ihre DNA weiterzugeben. Damit verbunden sind Befürchtungen damit z.B. Erbkrankheiten oder andere Angriffsmöglichkeiten zu offenbaren. Angesichts der Vertrauenswürdigkeit des russischen Gastgebers eine immer besser nachvollziehbare Vorsichtsmaßnahme. Aber auch ein gutes Beispiel, dass Datenverarbeitung nur geht, wenn auch das Vertrauen besteht, für welchen Zweck und durch wen diese Verarbeitung durchgeführt wird. Und Verweise auf schriftliche Erklärungen wirken nur, wenn diese auch durch eigene Wahrnehmungen gestärkt werden.
6.17 Cyberabwehr in Ausbildung aufnehmen
Wer hatte in seiner Ausbildung Informationen zur Hackerabwehr bekommen? Ich bin sicher, selbst bei unseren IT-Spezialisten:innen war dies lange Zeit kein Thema. Geschweige denn bei allen anderen Ausbildungen. Nun fordert nach Berichten die Sicherheitsinitiative CyberSec4Europe, vorbeugende Abwehrmaßnahmen in die Ausbildungspläne zu nehmen. In der Regel kein Problem ist dieses Thema in Firmen und Einrichtungen, die bereits Opfer wurden – da zählen regelmäßige Unterweisungen und Schulungen dann zum Standardrepertoire – auf Wunsch des Managements.
7 Sonstiges/Blick über den Tellerrand
7.1 Datenschutz – was weißt du über… ?
In 9 ½ Minuten gibt es Infos und ein Quiz zu Fragen rund um Datenschutz. Sicher nicht nur für die Jüngsten interessant.
7.2 CO:RE – Veröffentlichung der Knowledge Base zum Thema Kinder und Internet
Der Europäische Projektverbund CO:RE stellte anlässlich des Safer Internet Day 2022 seine CO:RE Knowledge Base vor, eine Wissensbasis für das Thema „Kinder und Internet“ mit über 1.800 Publikationen und 1.300 Studien aus über 30 Ländern. Allerdings muss man erst externe Cookies akzeptieren, um auf das Material wie z.B. Youtube-Videos zu kommen.
7.3 Datenbank für Kinder-Apps
Das Deutsche Jugendinstitut (DJI) hat eine Datenbank für Kinder-Apps aufgebaut. Sie soll es Eltern erleichtern die Qualität und Eignung einer Kinder-App zu beurteilen. In der Datenbank finden sich bereits mehr als 120 Rezensionen von Apps, darunter auch Spiele, die das DJI in Kooperation mit der Initiative „Gutes Aufwachsen mit Medien“, Jugendschutz.net, der Stiftung Lesen und dem Verein Blickwechsel prüft und bespricht. Gefördert wird das Projekt vom Bundesfamilienministerium. Ob dabei auch Datenschutzaspekte oder „nur“ pädagogische Kriterien berücksichtigt wurden, ist nicht erkennbar.
7.4 Forschung: Grundschulalter und digitale Bildung
Digitale Bildung ist ein Anliegen, um das sich das Institut für Medienpädagogik im Rahmen des Forschungsprojektes „DiBiGa – Zukunftsperspektiven für die Digitale Bildung im Grundschulalter“ bemüht. Mit drei Arbeitspaketen wird mit den Fördermitteln des BMBF bis November 2023 angestrebt Handlungsempfehlungen für die zukünftige Gestaltung der Digitalen Bildung im Grundschulalter zu erarbeiten.
7.5 Juuuport: Schönheitsideale im Netz
Wie stellen sich Jugendliche im Netz dar? Wie ist das Verhältnis von Selbstoptimierung vs. Selbstliebe? Welche Beispiele gibt es dafür, welche Gefahren und Risiken und welche Gegenbewegungen? Dies sind nur drei der Themen, die durch Juuuport behandelt werden. Daneben gibt es auch passende Hashtags und Adressen für Beratung.
7.6 mobilsicher: Selfie-App
Kann man einer App trauen, die Selfies unterstützt? Oder welche Funktionen sind damit verbunden, die ich nicht ahne? Wer sich dafür interessiert, sollte ab dem 13.02.2022 mal auf die Webseite von mobilsicher sehen.
7.7 Zahlen zu Social Media
Weltweit soll es ca. 4,6 Mrd. Social-Media Nutzer geben. Wie die sich auf die unterschiedlichen Anbieter aufteilen, können Sie hier auch mit anschaulichen Grafiken nachlesen.
7.8 Netzwerk Bildung Digital
Das Netzwerk Bildung Digital kündigt zahlreiche Aktivitäten an und führt seine Austauschplattform DigitalDienstag auch in 2022 fort.
7.9 Hass im Netz – wie damit umgehen?
Wie zwei bekannte Autorinnen damit umgehen, schildern sie hier in diesem Interview.
7.10 Mobilsicher: Selfie-App, die zweite
Wie bereits angekündigt, veröffentlichten die Kolleg:innen ihre Untersuchung von Selfie-Apps mit teils erschreckenden Ergebnissen zur Erhebung und Einräumung von Nutzungsrechten an den dabei anfallenden Daten.
7.11 Störsender und Netzfasten
Sie möchten, dass Ihre Kinder ihre Zeit auch mal ohne Internet gestalten oder wollen selbst in der Fastenzeit weniger am Smartphone hängen? Gute Idee. Das Netz über einen Störsender eliminieren? Na ja – das mag schon wirken – aber denken Sie daran, dass nicht alle von Ihren Fastenaktionen begeistert sein würden: Hier wurde das Mobilfunknetz einer ganzen Gemeinde lahmgelegt.
7.12 IT und Schulen: Einfluss der Hersteller
Das Versagen der Sachaufwandsträger im Bildungsbereich quer durch alle Bundesländer hinsichtlich der IT-Ausstattung der letzten 15 Jahre zeigt sich auch heute noch bei der Ausstattung der Schulen. Ein Problem dabei beschreibt dieser Artikel. Inwieweit macht man sich dann von einem Anbieter abhängig, wenn auch noch Lehrkräfte speziell dafür Produkte anbieten und bewerben. Das man unter Digital Leadership auch Medienkompetenz verstehen kann, die wettbewerbsrechtliche Rahmenbedingungen beachtet, scheint die Ausnahme zu sein.
7.13 Rundum sorglos? GPS-Überwachung mittels Smartphone
Wer sich um Kinder und Familie sorgt, will oftmals immer sicher sein, dass es ihnen gut geht und wo sie sich gerade aufhalten. Wie gut, dass es dafür Apps gibt! Wirklich nur gut? Zumindest sollten man/frau es sich dreimal überlegen, ob das wirklich erforderlich ist sich gegenseitig Dauerzuüberwachen und wenn, dann mit welchen Mitteln. Nach den Untersuchungen von mobilsicher werden bei der Nutzung der Life360-App mehr Daten an den Hersteller und an Dritte übertragen. Sollten Sie das trotzdem tatsächlich nutzen wollen, stimmen Sie dies bitte auch mit den Personen ab, die Sie überwachen.
8. Franks Zugabe
8.1 NFT-Panne am ZKM
Ich zitiere mal aus der Quelle: „Das Karlsruher Zentrum für Kunst und Medien (ZKM) hat durch einen Copy-&-Paste-Fehler den Zugang zu zwei CryptoPunks-NFTs im Wert von fast 400.000 Euro verloren. Wie es dazu kam, erklärt der Programmierer Daniel Heiss, der an dem Museum für Softwareentwicklung zuständig ist.“
Na, das ist doch mal großes Kino. Oder Kunst?
Apropos NFT, hier ein paar unsortierte Links auf Meldungen zu NFTs: 1, 2, 3 und (NSFW?) 4.
8.2 Schau mir in die Augen…
Wer jetzt an Humphrey Bogart denkt, liegt falsch. Warum? Nun ja, aber … lassen wir das doch Mimikama erklären… Und trotzdem ist das ein toller Film!
Ähh, wo war ich? Ach ja, schau mir in die Augen…
Zum einen (und hier zitiere ich einfach noch mal aus der Quelle): „MoviePass is relaunching as a web3-style application where users earn credits to go to the movies by watching ads. The new MoviePass will use facial recognition and eye tracking tech in your phone to make sure that you’re actually watching those ads.“
Klar, will ich, dass mein Smartphone überwacht, ob ich Werbung auf eben diesem schaue…
Und zum anderen, wenn die Augen nicht mehr schauen? Sie ahnen es, ein Zitat aus der Quelle: „Their Bionic Eyes Are Now Obsolete and Unsupported – Second Sight left users of its retinal implants in the dark“
🤭
Wie oft uns in Zukunft wohl solche und ähnliche Meldungen erfreuen werden?
8.3 Wenn Senderbilder Auto-Entertainment-Systeme bricken…
Da haben Mazda-Fahrer in den USA einen Radiosender gehört, dieser hat Bilder ans Entertainment-System übermittelt (Sender-Logo, Bilder zu Nachrichten, Informationen zur gespielten Musik, so was in der Art, nur halt als Bild, das machen die meisten modernen Autos heutzutage so), dabei dummerweise die Datei-Endung für eben diese Bilder vergessen und im Ergebnis spielen die Radios nur noch diesen Sender, da sie sich durch den sich aus dem Einlesen der nicht korrekten Bilddateien im Hintergrund in einer Dauer-Absturz-Schleife befinden, aus der sie auch nicht mehr zu befreien sind. Oh happy days. Die Musik soll wohl dauerhaft auch nicht sooo gut sein.
8.4 Messenger-App Signal kurz vorgestellt
Nachdem wir ja schon einige Beiträge zu Messengern hatten, hier eine Vorstellung des Messengers Signal von mobilsicher.
8.5 PI’s Guide to International Law and Surveillance
Ach was solls, noch ein Zitat aus der Quelle: „PI’s Guide to International Law and Surveillance aims to provide the most hard-hitting results that reinforce and strengthen the core principles and standards of international law on surveillance. You can find UN resolutions, independent expert reports and international human rights bodies jurisprudence.“
Spannende Lektüre…
8.6 Und noch was zu Facebook
Da wir ja in diesem Blog-Beitrag schon wirklich viele Meldungen zu Facebook (bzw. Meta) haben, hier noch ein paar weitere:
- Facebook Has a Superuser-Supremacy Problem – Die meisten öffentlichen Aktivitäten auf der Plattform stammen von einer winzigen, hyperaktiven Gruppe toxischer Nutzer. Facebook verlässt sich darauf, dass sie entscheiden, was jeder sieht
- Billionaire Facebook Investor Peter Thiel Secretly Funded A ‘Cyber Warfare’ Startup That Hacked WhatsApp – Da will wohl jemand zweimal Geld verdienen
- Facebook’s very bad year. No, really, it might be the worst yet – Das können wir wohl so für sich stehen lassen…
- Facebook says Apple iOS privacy change will result in $10 billion revenue hit this year – Da werden sie wohl weniger Geld verdienen…
8.7 World Wrestling Explanation: Wrestler erklären schwierige Begriffe – Heute: Gesetztesentwurf zur Regulierung künstlicher Intelligenz der EU
Und zum Abschluss:
Einfach nur anschauen, geht auch schnell (1:19 Min.)…