Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 02/2023)“
Hier ist der 59. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 02/2023)“.
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Neues Anonymisierungsnetzwerk
- Podcast zu neuen Regularien aus Brüssel
- Warum klappt die Digitalisierung im Gesundheitswesen nicht?
- Veranstaltungen
- Universität Wien: „Was macht Digitalisierung mit der Demokratie?“
- Stiftung Datenschutz: „Datenschutz und Strafrecht“
- Universität Hannover: Zum Verhältnis des Data Act-Entwurfs zur DS-GVO und zum GeschGehG
- Bundestag, Ausschuss für Digitales: Anhördung zur Cybersicherheit
- Stiftung Datenschutz: Datenschutz im Ehrenamt – Soziale Medien datenschutzkonform nutzen
- BIDIB Baden-Württemberg: Offene, frei buchbare Veranstaltungen im Jahr 2023
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Bußgeldentscheidungen gegen Meta
Dass der irischen Aufsicht kein vorauseilender Gehorsam vorgeworfen werden konnte, als sie die Entscheidung des EDSA umsetzte, ist allgemein bekannt. Das beschwerdeführende NGO noyb veröffentliche nun die Entscheidungen der irischen Datenschutzaufsicht gegen Meta für die Vorwürfe des Verstoßes bei Instagram und Facebook und stellte diesen die Entscheidungen des EDSA bezogen auf Instagram und Facebook gegenüber. Wenig überraschend, dass davon auszugehen sein kann, dass Meta gegen die Bescheide klagt.
Franks Nachtrag: Nur noch mal zum Kontext. Dass Meta die Zustimmung zur Verarbeitung per Vertrag als datenschutzkonforme Rechtsgrundlage für alle Verarbeitungen, die Meta so durchführt, erwartet, ist ungefähr so plausibel wie die Erwartung dieses Eigenheimbesitzers.
Franks zweiter Nachtrag: Da das Thema natürlich weltweit für Aufmerksamkeit gesorgt hat, hier noch ein paar weitere Quellen: Die IAPP hat sich mit dem Urteil beschäftigt, in Wired ist ein guter Artikel mit dem Titel „The Slow Death of Surveillance Capitalism Has Begun“ erschienen und Wendy M. Grossman beschäftgt sich mit „The fundamental lie underlying the advertising industry is that people can be made to like ads.“
1.2 LfD Bayern: Löschen oder Archivierung?
Was haben öffentliche Stellen (in Bayern) zu beachten, wenn es darum geht bei Verwaltungsvorgängen zu entscheiden, ob die dazugehörigen Unterlagen zu löschen sind oder aus öffentlichem Interesse der Archivierung zugeführt werden? Damit befasst sich der LfD Bayern in einem 12-seitigen Arbeitspapier. Da wesentliche zu beachtende rechtliche Leitplanken auf die DS-GVO zurückgehen, wie z.B. ob eine Archivierung im öffentlichen Interesse gegen die Zweckbindung verstößt (Art. 5 Abs. 1 lit. b DS-GVO) oder wie Informationspflichten durch die abgebende oder aufnehmende Stelle zu beachten sind, können diese Ausführungen sicherlich auch für öffentliche Stellen außerhalb des Freistaates interessant sein.
1.3 Ausblickgespräch mit dem Präsidenten des BayLDA
Vor Weihnachten gab es ein Onlinegespräch mit dem Präsidenten des BayLDA. Darin äußerte er sich auf die Ereignisse und Fragestellungen im Jahr 2022 rückblickend, er gab aber auch einen Ausblick auf Themen des Jahres 2023. Eine Zusammenfassung ist hier nachlesbar.
1.4 LfDI Baden-Württemberg: Neue Schulungsangebote
Der LfDI Baden-Württemberg weist darauf hin, dass das Bildungsangebot auch im neuen Jahr zu verschiedenen Themen gestärkt wurde. So finden sich kostenlose Angebote für Bürger:innen, Behörden und Unternehmen für Beratung, Austausch und Gesprächsrunden zu unseren Grundrechten Datenschutz und Informationsfreiheit. Das Spektrum umfasst u.a. Angebote zu Cookie-Bannern, „deceptive design patterns“ (Dark Pattern), zur Abwägung zum berechtigten Interesse, eine Veranstaltungsreihe zu Künstlicher Intelligenz und eine Fortbildungsreihe zu Schule digital. Die Angebote können teilweise auch online genutzt werden.
2 Rechtsprechung
2.1 EuGH: Auskunftsanspruch umfasst auch Empfänger
Umfasst ein Auskunftsanspruch einer betroffenen Person auch die konkrete Angabe der Empfänger oder reicht es aus, dass die Kategorien genannt werden? Der Wortlaut in Art. 15 Abs. 1 lit. c DS-GVO lässt dies offen. Der EuGH hat nun in einer Vorlagefrage aus Österreich (Az. C-154/21) entschieden, dass grundsätzlich der betroffenen Person die Identität der Empfänger mitzuteilen ist. Ausnahmen bestehen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DS-GVO sind. In diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.
Zwar weist der EuGH auch darauf hin (RN 47 ff), dass das Recht auf Schutz der personenbezogenen Daten kein uneingeschränktes Recht ist. Wie er bereits z.B. in Schrems II im Wesentlichen bekräftigt hat, muss dieses Recht nämlich im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Grundsatzes der Verhältnismäßigkeit gegen andere Grundrechte abgewogen werden. So hält er es für denkbar, dass es unter bestimmten Umständen nicht möglich ist Informationen über konkrete Empfänger zu erteilen. Daher könne das Auskunftsrecht auf Informationen über die Kategorien von Empfängern beschränkt werden, wenn es nicht möglich sei die Identität der konkreten Empfänger mitzuteilen, insbesondere wenn diese noch nicht bekannt sind. Zudem könne sich der Verantwortliche gemäß Art. 12 Abs. 5 lit. b DS-GVO im Einklang mit dem in Art. 5 Abs. 2 DS-GVO sowie im 74. Erwägungsgrund dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht weigern aufgrund von Anträgen der betroffenen Person tätig zu werden, wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt; hierbei habe der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter der Anträge zu erbringen. Andere Ausschlussgründe erwähnt der EuGH dabei nicht.
Franks Nachtrag: Hier gibt es noch einen Beitrag zum Urteil.
2.2 EuGH: Mehrere Rechtsbehelfe parallel
Wenn ich mich in meinen Rechten aus der Datenschutzgrundverordnung beeinträchtigt fühle, kann ich mich bei einer Datenschutzaufsicht beschweren oder auch zivilrechtlich gegen die Einrichtung vorgehen, der ich das unrechtmäßige Verhalten vorwerfe. Beides sieht die DS-GVO vor. Sie hat dabei keine entsprechende Reihenfolge vorgesehen, wie der EuGH (Az. C-132/21) nun urteilte. Die Mitgliedsstaaten müssen nur regeln, dass es keine sich widersprechenden Entscheidungen durch die Gerichte geben dürfe. Es soll dadurch vermieden werden, dass ich z.B. im Zivilverfahren einen immateriellen Schadenersatz zugesprochen bekommen, während im verwaltungsrechtlichen Verfahren festgestellt wird, dass kein Datenschutzverstoß vorliegt.
2.3 EuGH: Kein „Schrems III“
Ja, die Überschrift ist reißerisch und dient nur dazu Aufmerksamkeit zu bekommen. Dazu sind Überschriften ja da. Mit „Schrems III“ wird im Allgemeinen eine zu erwartende Entscheidung des EuGH bezeichnet, die sich mit einem künftigen Angemessenheitsbeschluss zugunsten der USA befasst. Im Jahr 2020 entschied der EuGH über die Vorgängerlösung zum Transfer personenbezogener Daten in die USA, dass dieses ungültig sei. Bezeichnet wird dieses Urteil mit dem Nachnamen eines der Verfahrensbeteiligten „Schrems“ und da es bereits das zweite Urteil des EuGH war, bei dem dieser beteiligt war, als „Schrems II“. Dies nur zur Erklärung der Überschrift. Warum es nun kein „Schrems III“ geben wird? Nicht, weil es ausgeschlossen wäre, dass es erneut Urteile des EuGH mit einer Beteiligung einer natürlichen Person namens „Schrems“ geben könnte. Sondern einfach, weil der EuGH veröffentlichte künftig Verfahren mit der Beteiligung einer natürlichen Person nicht mehr mit dem Namen dieser Person zu bezeichnen, sondern dazu mittels eines IT-basierten Generators fiktive Namen zuordnen lässt. Die Funktionsweise des Namensgenerators bestünde darin Wörter in Silben aufzutrennen und diese dann nach dem Zufallsprinzip zusammenzufügen, um fiktive Wörter zu bilden. Der Generator funktioniere für alle Amtssprachen der Union und werde je nach Bedarf auch für die Sprachen von Drittländern weiterentwickelt. Damit werden diese Verfahren als anonym bezeichnet. Also nicht wundern, wenn künftig Verfahren des EuGH klingen wie Protagonist:innen aus „Herr der Ringe“.
Warum das gut ist, zeigt das Beispiel einer Schwedin, die Ende 1998 im Rahmen der Einrichtung einer Internetseite Namen von kirchlichen Gemeindemitgliedern veröffentlichte. Im Rahmen des Verfahrens traf der EuGH dann in seinem Urteil im Jahr 2003 (Az. C-101/01) Grundsatzaussagen zur Auslegung des Begriffs „Verarbeitung“, der Haushaltsausnahme und zum Übermittlungsbegriff. Dieses Urteil wird noch heute nach dem Nachnamen dieser Schwedin benannt und ist inhaltlich immer noch relevant, weil sich die Grundlagen im damaligen Datenschutzrecht der Richtlinie 95/46 zur DS-GVO nicht wesentlich unterscheiden. Es gibt auch aus neuerer Zeit das Beispiel eines Spaniers, der gegen die Suchmaschinenaktivitäten von Google klagte, um zu verhindern, dass eine weit zurückliegende Insolvenz noch gefunden werden könne und ihn damit in seinen wirtschaftlichen Aktivitäten behindere. Auch wenn er gewann („Recht auf Vergessenwerden“), ist über das Urteil (Az: C-131/12) seine frühere Insolvenz nun für immer auffindbar, weil in dem Verfahren sein Name aufgeführt wird.
2.4 BGH: Wettbewerbsrechtliche Relevanz von Datenschutzanforderungen
Kann ein Wettbewerber im Wettbewerb auch datenschutzrechtliche Verstöße des Konkurrenten abmahnen? Damit befasst sich der BGH. Ausgangsfall war die Nutzung von Amazon als Vertriebskanal durch eine Apotheke. Sind nun datenschutzrechtliche Vorgaben auch Marktverhaltensregelungen nach § 3a UWG, bei denen eine Zuwiderhandlung als unlautere Handlung bewertet werden kann? Bislang hatte sich der EuGH nur dahingehend geäußert, dass auch nach dem nationalen Recht berechtigten Verbände, Einrichtungen und Kammern im Sinne von Art. 80 Abs. 2 DS-GVO eine entsprechende Klagebefugnis haben können, wenn sie begründen, dass gegen das Verbot der Vornahme unlauterer Geschäftspraktiken, ein Verbraucherschutzgesetz oder das Verbot der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen verstoßen worden sei, sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann (Az.: C-319/20).
Der BGH hat nun weitere Fragen laut seiner Pressemeldung dem EuGH vorgelegt. Stehen die Regelung in Kapitel VIII der DS-GVO nationalen Regelungen entgegen, die Mitbewerbern die Befugnis einräumen wegen Verstößen gegen die Datenschutz-Grundverordnung gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen? Oder einfacher in meinen Worten gesagt: Können Verstöße gegen die Datenschutzregelungen der DS-GVO auch durch Mitbewerber gerügt werden?
Warten wir also die Entscheidung des EuGH ab.
2.5 Bundeskartellamt: Wettbewerbsrecht und Datenschutz
Während der BGH noch den EuGH anfragt, inwieweit datenschutzrechtliche Vorgaben wettbewerbsrechtlichen Vorgaben gleichzusetzen sind, handelt das Bundeskartellamt: Es informierte laut seiner Pressemeldung die Konzernmutter Alphabet von Google darüber, dass es § 19a GWB für anwendbar halte und erwarte, dass Google seine Datenverarbeitungen anpasse.
Auf Basis seiner aktuellen Konditionen könne Google eine Vielzahl von Daten aus verschiedensten Diensten kombinieren und damit z.B. sehr detaillierte Profile über Verbraucherinnen und Verbraucher anlegen, die das Unternehmen für Werbung sowie für andere Zwecke nutzen kann, oder auch zum Funktionen von Diensten trainieren. Die Konditionen sähen vor, dass Google Daten, z.B. mithilfe seiner zahlreichen eigenen, teils sehr reichweitenstarken Dienste, wie der Google Suche, YouTube, Google Play, Google Maps und dem Google Assistant, aber auch mithilfe von zahlreichen Webseiten und Apps Dritter, für verschiedenste Zwecke Daten erheben und dienstübergreifend verarbeiten kann. Dies betrifft auch Daten aus sog. Hintergrunddiensten von Google, wie den Play Services, die teilweise regelmäßig Daten von Android-Geräten erheben.
Das Bundeskartellamt sei zu der vorläufigen Einschätzung gelangt, dass die Nutzerinnen und Nutzer auf der Basis der aktuellen Konditionen keine ausreichende Wahl hätten, ob und inwieweit sie mit dieser weitreichenden dienstübergreifenden Verarbeitung ihrer Daten einverstanden seien. Die bislang angebotenen Wahlmöglichkeiten seien insbesondere zu intransparent und pauschal, soweit Google überhaupt Wahlmöglichkeiten anbiete.
Nach der derzeitigen Einschätzung des Bundeskartellamts setzten ausreichende Wahlmöglichkeiten insbesondere voraus, dass Nutzerinnen und Nutzer die Datenverarbeitung auf den jeweils genutzten Dienst beschränken könnten. Darüber hinaus müssten sie auch nach den Zwecken der Datenverarbeitung differenzieren können. Die angebotenen Wahlmöglichkeiten dürften zudem nicht so ausgestaltet sein, dass sie es Nutzerinnen und Nutzern leichter machten die Zustimmung zu einer dienstübergreifenden Datenverarbeitung zu erteilen als sie nicht zu erteilen. Nicht zulässig sei zudem eine anlasslos und präventiv erfolgende flächendeckende dienstübergreifende Vorratsdatenverarbeitung, auch nicht für Sicherheitszwecke, die ohne jede Wahlmöglichkeit für Nutzerinnen und Nutzer erfolge. Das Bundeskartellamt beabsichtige daher derzeit dem Unternehmen eine Neugestaltung der angebotenen Wahlmöglichkeiten aufzugeben.
Nun kann sich das Unternehmen dazu äußern.
2.6 VG Hannover: Anwendungsbereich des Art. 91 DS-GVO
Wann sind die Voraussetzungen der Ausnahmevorschrift des Art. 91 DS-GVO eingehalten, dass Religionsgemeinschaften ein eigenes Datenschutzrecht nutzen dürfen? Damit befasste sich das VG Hannover. Für die Bewertung ist wichtig, was für diese Religionsgemeinschaft vor der DS-GVO galt und ob sie bei der Anpassung die Fristen aus Art. 91 DS-GVO beachtete. Das VG Hannover entschied, dass diese Regelung in Art. 91 DS-GVO unter dem Aspekt des Bestandsschutzes zu interpretieren sei. Die Klägerin im vorliegenden Fall, die festgestellt haben wollte, dass sie die Voraussetzungen des Art. 91 DS-GVO erfüllt, hatte jedoch nur eine eigene Datenschutz-Richtlinie, die nicht vollständig die damaligen Anforderungen der Richtlinie 95/46 umsetzte. Das VG Hannover stellt jedoch fest, dass die Klägerin nicht nach Art. 91 Abs. 1 DS-GVO berechtigt sei ihre eigenen Datenschutzvorschriften anzuwenden. Weder habe sie zum maßgeblichen Zeitpunkt umfassende Datenschutzregeln i.S.d. Art. 91 Abs. 1 DS-GVO angewandt, noch sei sie berechtigt diese nachträglich zu erlassen. Sie sei daher an die DS-GVO gebunden, ohne dass dies eine Verletzung ihrer Rechte darstelle. Das VG Hannover beruft sich dabei auf den genauen Wortlaut der DS-GVO. Das Urteil ist noch nicht rechtskräftig. Mehr dazu finden Sie hier.
3 Gesetzgebung
3.1 EU: Massenüberwachung im AI Act?
Wird über den AI Act Massenüberwachung durch die Hintertür eingeführt? Dies wird in diesem Beitrag befürchtet, der sich vertieft mit dem Art. 5 Abs. 1 d des Entwurfs befasst. Danach fordere die Bundesregierung im Rat der EU, das Verbot biometrischer Massenüberwachung nur auf Echtzeitsysteme anzuwenden. Sie bestehe darauf, dass biometrische Überwachungssysteme erlaubt bleiben, die erst mit zeitlicher Verzögerung angewendet werden.
3.2 BMJ: Verkündung von Gesetzen online
Das BMJ weist darauf hin, dass nun (ab dem 01.01.2023) Gesetze und Verordnungen nur noch über die Internetseite www.recht.bund.de verkündet werden.
3.3 Steuer-ID und IBAN
Welche Daten können verknüpft werden, damit jeder Bürger direkt Geld gezahlt bekommt? Hm – schwierig. Weiß der Staat, wer welche Kontonummer hat? Hat der Staat ein Zuordnungskriterium, das jeden Bürger einwandfrei identifiziert? Genau: die Steuer-ID aus § 139a AO. Nicht zu verwechseln mit der Steuernummer. Während die Steuernummer wechseln kann, wenn Sie z.B. umziehen, bleibt die Steuer-ID ein Leben lang. Und überdauert sogar noch 20 Jahre nach dem Tod. Wer in den letzten 14 Jahren Nachwuchs bekommen hat, kennt das Schreiben, in dem relativ lieblos dem neuen Erdenmenschen mitgeteilt wird (die Eltern werden es natürlich vorlesen), dass diese Person nun eine lebenslang gültige Steuer-ID hat. Damit hatten und haben Datenschützer ein grundsätzliches Problem: Keine andere zuordenbare Kennzahl (zumindest aktuell) bleibt ein Leben lang unverändert. Damit wird bei entsprechender Verknüpfung eine Profilbildung ermöglicht, bei der aus Datenschutzaspekten befürchtet wird, dass dies dann kaum noch zu kontrollieren sein wird. So wurde auch bei der Einführung der Steuer-ID in § 139b AO streng darauf geachtet, für welche Zwecke diese verwendet werden darf, und diese Zwecke wurden in § 139b Abs. 2 AO festgelegt. Anhand der Absätze in § 139 b AO ist bereits erkennbar, dass der Gesetzgeber die Nutzung und Verknüpfung der Steuer-ID sukzessive erweitert hat. Und das sind die Hintergründe, warum die Diskussion um die Risiken bei den Überlegungen zur Umsetzung im Jahressteuergesetz wieder aufleben, um z.B. eine Auszahlung eines Klimageldes zu ermöglichen und Doppelzahlungen zu vermeiden.
Franks Nachtrag: Solange die Verknüpfung weiterhin höchstens so schnell ausgewertet wird… Wahrscheinlich aber nicht. Und damit bleibe ich bei „What he said“.
Franks Nachtrag zum Nachtrag: Übrigens, die Steuer-ID ist schon von Beginn an prämiert. Sogar indirekt mehrfach… Wehret den Anfängen, sag ich nur.
3.4 Bundestag, Ausschuss für Digitales: Anhörung zur Cybersicherheit
Am 25.01.2023 findet von 14:00 – 16:00 Uhr die Anhörung zur „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ statt. Die Anhörung wird live auf der Webseite des Bundestages übertragen. Die Stellungnahmen der eingeladenen Expert:innen werden dann auf der Seite des Ausschusses eingestellt. Eine erste finden Sie schon mal hier.
3.5 Bundestag: Verpflichtende Smart Meter
Wie können wir sparsamer und intelligenter mit Energie umgehen? Diese gesellschaftspolitische Aufgabe soll nach dem Willen der Bundesregierung und nach diesem Bericht mittels „Smart Meter“ unterstützt werden. Dazu sollen in allen Haushalten diese modernen Stromzähler verpflichtend vorgeschrieben werden. An die Energiekonzerne wird laufend der Verbrauch gemeldet und diese können dann die erforderlichen Mengen besser steuern. Begleitend sollen flexible Tarife eingeführt werden, bei denen die Kosten von der Verfügbarkeit beeinflusst werden. Natürlich gibt es dann Bedenken, welcher Missbrauch mit diesen Daten alles angefangen werden kann. Sie ahnen es bereits: Nein, auch diese Idee scheitert nicht am Datenschutz. Wenn dieses Vorhaben scheitert, dann nur, wenn simpelste Anforderungen wie Zweckbindung der anfallenden Daten und erforderliche technischen Schutzmaßnahmen nicht beachtet werden.
Franks Nachtrag: Ein schöner Satz aus dem verlinkten Bericht: „Für die Bedürfnisse der Netzbetreiber reiche es eigentlich aus, wenn zum Beispiel ein Schaltkasten am Transformator im Ortsnetz intelligent gesteuert wird“. Dann frage ich mich natürlich, wer jetzt all diese Daten über die konkreten Verbräuche je Zähler haben will? Und was passieren könnte, wenn Smart Meter nicht vernünftig gegen Manipulationen abgesichert sind, hat Marc Elsberg ja eindrücklich schon 2012 in seinem Roman Black Out beschrieben. Aber wir haben ja momentan keine Menschen in unserer Gesellschaft, die denken, dass unsere jetzige Art zu leben irgendwie nicht nachhaltig oder gar Zukunfts-zerstörend wäre. Also ist das im Buch beschriebene ja kein realistisches Szenario… Puh. Glück gehabt … Wait, what?
4 Künstliche Intelligenz und Ethik
4.1 ChatGPT
Allein die Beispiele und Diskussionen lassen erahnen, was da mit diesen technischen Möglichkeiten auf uns zu kommt: Z.B., dass mittels ChatGPT Schadsoftware und Angriffe programmiert und Cyberattacken durchgeführt werden können.
Die Verbindung mit Datenquellen für die Nutzung von ChatGPT, die eine inhaltliche Qualitätssicherung darstellen, lässt die teilweisen düsteren Szenarien etwas heller leuchten. Aber wie schon Paracelsus feststellte, hängt die Wirkung eines Mittels von der Dosis ab. Aber das ist ja nicht das Ende der Fahnenstange: ChatGPT 4.0. steht vor der Tür.
Und wenn Sie einen Ausblick wagen wollen, was in zehn Jahren noch alles möglich sein wird, lesen Sie hier weiter.
Franks Nachtrag: Das kennen Sie ja nun schon, ich habe da auch noch ein bisschen zu ChatGPT.
4.2 Stimmsimulation durch Microsoft
Aufgeschreckt durch einen Beitrag, der darauf hinweist, dass Microsoft durch den Einsatz seiner KI jede Stimme (auch gemäß dieser Darstellung) nach nur drei Sekunden simulieren könne, werde ich etwas zurückhaltender darin mich öffentlich zu äußern. Bin mit dem Alter eh schon ruhiger geworden. Beispiele, wie VALL-E funktioniert, gibt es hier.
5 Veröffentlichungen
5.1 Neues Anonymisierungsnetzwerk
Um medizinische Daten rechtssicher zu anonymisieren gibt es verschiedene Aktivitäten. Das Kompetenzcluster „Anonymisierung für medizinische Anwendungen“ (AnoMed-Cluster) der Universität zu Lübeck im Institut für IT-Sicherheit versucht als Katalysator für Anonymisierungsforschung auf medizinischen Anwendungen zu dienen und medizinischen Anwendern Gefahren von Deanonymisierung und Möglichkeiten von neuesten Anonymisierungstechniken aufzuzeigen.
Hierfür wird eine Benchmark- und Test-Plattform mit einer Reihe an medizinischen Anwendungsszenarien aufgebaut, auf der Stakeholder weltweit mit medizinischen Daten und neuesten Ergebnissen der Anonymisierungsforschung, also sowohl zu Schutzmechanismen als auch zu Angriffen, interagieren können. Denn trotz der bekannten Schwächen für spezielle Anwendungskontexte sind in der Industrie und in der medizinischen Forschung überholte Anonymisierungsdefinitionen weit verbreitet. Im Rahmen von AnoMed sollen vornehmlich öffentlich verfügbare Datensätze dazu genutzt werden Risiken aufzuzeigen. Anwender können so besser einschätzen, in welchen Anwendungskontexten diese Verfahren tatsächlich noch ausreichend sind und in welchen Situationen zuverlässigere Verfahren und Definitionen erforderlich werden. Um die rechtliche Relevanz der eingereichten und der selbst entwickelten Lösungen zu verstehen sollen beim AnoMed zusätzlich rechtliche Fragestellungen direkt mituntersucht werden, wie etwa die Analyse und Interpretation der DSGVO-Bestimmungen zu Identifizierbarkeit, Anonymität und Pseudonymität von Daten als Grundlage zur laufenden Erörterung auf nationaler Ebene und Datenschutz durch Technikgestaltung.
Gefördert wird dieses Vorhaben mit Mitteln des Bundesministeriums für Bildung und Forschung, das laut Berichten für die Forschung zu anonymen Daten verstärkt fördern möchte. Als Begründung führt danach das Ministerium aus, dass das Spannungsfeld zwischen Datennutzung und Datenschutz aktuell dazu führe, dass das Potential der Digitalisierung und darauf aufbauender Anwendungen, Dienste und Geschäftsmodelle in Deutschland noch nicht umfassend genutzt werde. Genau.
5.2 Podcast zu neuen Regularien aus Brüssel
Diese Ausgabe des Podcast ist (im Verhältnis zu anderen der gleichen Reihe, siehe z.B. hier unter dem Stichwort „Wort“) etwas ungewöhnlich, besteht sie doch aus Beiträgen und Diskussionen aus einer Veranstaltung. Inhaltlich befasst sich der Podcast mit den neuen Spielregeln für Daten, Künstliche Intelligenz und Plattformen aus Brüssel. Er ist hörenswert (ca. 57 Min.), auch wenn die eingesetzten Folien nicht sichtbar sind.
5.3 Warum klappt die Digitalisierung im Gesundheitswesen nicht?
Eigentlich alles, was es dazu zu wissen oder sagen gibt, kann hier in einem Podcast des Deutschlandfunks innerhalb von 30 Minuten angehört werden.
5.4 Veranstaltungen
5.4.1 Universität Wien: „Was macht Digitalisierung mit der Demokratie?“
16.01.2023, 18:00 – 20:00 Uhr: In der Semesterfrage der Universität befassen sich Expert*innen aus verschiedenen Blickwinkeln mit der Frage, wieviel Algorithmus die Demokratie verträgt – und wie der digitale Wandel dabei helfen kann die Demokratie wieder zu stärken. Die Keynote hält diesmal die Juristin und Datenethikerin Sandra Wachter von der Universität Oxford zum Thema „Künstliche Intelligenz & Demokratie: Wenn neue Technologien zu stillen Rechtsbrechern werden“. Anschließend findet eine Podiumsdiskussion dazu statt. Weitere Infos (sowie Beteiligungsmöglichkeiten während der Veranstaltung) dazu hier. Die Veranstaltung wird live gestreamt.
5.4.2 Stiftung Datenschutz: „Datenschutz und Strafrecht“
19.01.2023, 13:00 – 14:00 Uhr: In Rahmen ihrer Reihe „Datenschutz am Mittag“ befasst sich die Stiftung Datenschutz in diesem Webinar mit den datenschutzrechtlichen Aspekten in Strafverfahren und Fragen zur digitalen Beweissicherung, eine Anmeldung ist erforderlich.
5.4.3 Universität Hannover: Zum Verhältnis des Data Act-Entwurfs zur DS-GVO und zum GeschGehG
24.01.2023, 18:00 – 20:00 Uhr: Im Rahmen einer Veranstaltung der Universität Hannover geht es um den Datenzugang bei smarten Produkten und damit auch um das Verhältnis des Data Act-Entwurfs zur DS-GVO und zum Geschäftsgeheimnisgesetz. Aktuell wird die Frage, wer Zugriff auf Daten hat und diese zur weiteren Wertschöpfung nutzen kann, durch die faktische Kontrolle gesteuert. Entsprechend kann ein Verhandlungs(un)gleichgewicht der Beteiligten dazu führen, dass das Potential der Daten nicht ausgeschöpft wird. Die Datenstrategie der EU hat sich zum Ziel gesetzt, dass allen Marktteilnehmern, insbesondere auch KMU, hochwertige Daten zur Verfügung stehen. Dieser Zugang zu Daten soll durch das sogenannte Datengesetz geschaffen werden. Der konkrete Regelungsgehalt des Data Act ergibt sich jedoch erst aus einer Zusammenschau mit anderen Rechtsakten auf EU-Ebene. Besondere Bedeutung für den rechtskonformen Datenfluss haben DSGVO und GeschGehG.
Die Teilnahme ist über diesen Link möglich, es wird ein WebEx-Installer geladen. Eine Anmeldung scheint nicht erforderlich zu sein.
5.4.4 Bundestag, Ausschuss für Digitales: Anhörung zur Cybersicherheit
25.01.2023, 14:00 – 16:00 Uhr: Beschrieben wird die Anhörung hier, den Live-Stream finden Sie zum Zeitpunkt der Anhörung auf den Seiten des Deutschen Bundestages.
5.4.5 Stiftung Datenschutz: Datenschutz im Ehrenamt – Soziale Medien datenschutzkonform nutzen
31.01.2023, 17:00 – 18:00 Uhr: Die Stiftung Datenschutz bietet dieses Webinar an, in der sich mit der Nutzung von sozialen Medien befasst wird. Viele Engagierte sind sich bei der Nutzung von sozialen Medien gar nicht darüber im Klaren, dass sie für die Datenanalysen der Plattformen mit verantwortlich sind. Im Fall von Facebook-Seiten vertreten die Datenschutzaufsichtsbehörden die Auffassung, dass diese nach derzeitigem Stand nicht rechtskonform betrieben werden können.
Das Webinar zeigt, welche Pflichten für Organisationen hieraus erwachsen und wie sie erfüllt werden können. Die Rechtslage rund um das Thema „gemeinsame Verantwortlichkeit“ wird erläutert und Tipps werden gegeben, wie passende Datenschutzhinweise gestaltet werden können. Außerdem werden Alternativen zu den gängigen Plattformen vorgestellt. Und schließlich gibt es Zeit für themenbezogene Fragen, Teilnahme kostenlos, Anmeldung erforderlich.
5.4.6 BIDIB Baden-Württemberg: Offene, frei buchbare Veranstaltungen im Jahr 2023
In 1.4 wird ausführlicher darüber berichet, deswegen hier nur der Link auf die Übersichtsseite über offene, frei buchbare Angebote des BIDIB.
6 Gesellschaftspolitische Diskussionen
6.1 Welche Daten hat Ihr Auto?
Welche Daten fallen mittlerweile beim Autofahren an? Da sind Daten, die dem Halter oder auch den Fahrern zuzuordnen sind. Fahren noch Personen mit, die ihre Geräte wie Smartphone über Schnittstellen mit dem Auto binden, kommen da noch weitere Daten hinzu. Standortdaten verraten, wo das Auto nachts regelmäßig steht, welche (Um-)Wege zur oder bei der Arbeit genommen werden und auch die Fahrweise wird über entsprechende Messungen mitverfolgt. Wer hat nun diese Daten? Das können auch Hersteller oder deren Teilezulieferer – z.B. der Partner, der die Multimediaanlage inkl. Internetanbindung stellt – sein. Insgesamt kommen in aktuellen Autos ca. 120 Steuerungssysteme zusammen, wie dieser Bericht darstellt. Das sind aber dann auch oft Systeme, die sich für einen Cyberangriff eignen, wenn eine Internetverbindung nicht ausreichend abgesichert wird. Durch neue Richtlinien der EU sollen hier Risiken minimiert werden. Generell wird geraten, bei einem Verkauf (oder bei Leasingrückgabe) eines Fahrzeugs alle Systeme zurückzusetzen oder ggf. zurücksetzen zu lassen.
7 Sonstiges/Blick über den Tellerrand
7.1 Alterskennzeichen bei Spielen
Wer Computer/-Onlinespiele erwirbt, muss auf die Altersbegrenzung hingewiesen werden. Die USK (Unterhaltungssoftware Selbstkontrolle) hat ab Januar 2023 bei neu eingestuften Spielen neben zusätzlichen Informationen zu den Gründen für die Freigabe auch Hinweise zu vorhandenen Funktionen im Spiel, wie in etwa zu Kauf- oder Kommunikationsmöglichkeiten, eingeführt. Dies schaffe Transparenz und unterstütze Eltern noch besser dabei eine informierte Entscheidung bei der Spielauswahl zu treffen und Spieleinstellungen auf den Geräten entsprechend anpassen zu können.
Kritik gibt es daran, dass dabei aber keine Schutzmaßnahmen an das Alter der Kinder gekoppelt wurden und dass auf Risiken vor Gefahren durch Chatfunktionen und In-Game-Käufe nur hingewiesen wird ohne technische Maßnahmen zur Minimierung des Risikos zu fordern.
Dabei bleiben natürlich die Risiken, die durch Cybergrooming und „Bestellungen aus dem Spiel heraus“ weiterhin bestehen. Datenschutzrechtliche Bewertung trifft die USK auch nicht, darauf sollten die Eltern auch achten.
7.2 Schulfach Informatik
Wem die Aussagen führender Politiker nicht ausreichen, um das Niveau der Digitalisierung einschätzen zu können, der kann sich diesen Beitrag zum Schulfach Informatik in Deutschland durchlesen. Danach hinkt Deutschland auch da hinterher. Neben den Lehrkräften scheint da auch der Wille zu fehlen etwas zu ändern.
8. Franks Zugabe
8.1 Apropos ChatGPT, die zweite
Na, wenn das mal keine Tradition wird? Wann ist es noch Hype, wann Tradition? Egal, wie letzte Woche auch hier ein paar weitere Beiträge zu ChatGPT:
- Kann ein Chatbot wie Lamda oder ChatGPT Bewusstsein erlangen? – Der Mann, der eine Künstliche Intelligenz als Person ansieht – und als Freund (Ein längerer Artikel, in dem die Asimovschen Robotergesetze vorkommen.)
- Bruce Schneier berichtet über eine Überblicks-Studie zu den Gefahren maschinengenerierter Texte.
- Bruce Schneier hat sich auch mit der Gefahr von durch ChatGPT geschriebener Angriffssoftware beschäftigt (siehe auch 4.1). Hier ist passend dazu noch ein weiterer deutscher Artikel.
- Wo ein Hype ist, da wird auch belogen und betrogen – ChatGPT auf dem iPhone: Abo-Apps von Drittanbietern wollen Kasse machen
- Und auch Ryan Reynolds nutzt ChatGPT, lässt sich einen Werbetext für eines der durch ihn vertriebenen Produkte erstellen, welchen er hier vorliest (Wenn Sie Ryan Reynolds nicht kennen, schauen Sie sich diesen Teaser-Trailer an. Diese Rolle ist ihm wie auf den Leib geschneidert. (Kunststück, der erste Film war sein Herzensprojekt)).
8.2 KI – Wollten Sie schon immer mal ein neuronales Netz trainieren?
Dann ist hier die Gelegenheit: Schauen Sie sich doch Quickdraw von Google an. Dort müssen Sie Dinge zeichnen, welche die KI in Sekunden erkennen soll. Und damit trainieren Sie sie… Wenn es das ist, was Sie gerne machen möchten.
8.3 Joe Weizenbaum und die vergifteten Früchte des Wahnsinns
Er gilt als Pionier der kritischen Informatik, die das Denken nicht den Computern überlassen will. Joseph Weizenbaum ist vor 100 Jahren in Berlin geboren. Wenn die Überschrift Sie neugierig gemacht hat, lesen Sie im Artikel weiter.
8.4 Forderungen über Forderungen
Wenn CSU-Politiker fordern, fordert Mike Kuketz auch.
Gut so. Vor allen Dingen, wenn es wieder heißt: „Datenschutz tötet Menschen“…
8.5 Update zu den Roomba-Screenshots vom Toilettenbesuch
Erinnern Sie sich noch an die Staubsaugerfotos? Die Roomba-Tester fühlen sich (zu Recht, wie ich finde) getäuscht. Hier geht’s zum dazugehörigen Artikel. Roomba sagt im Artikel, sie hätten die Zustimmung der Nutzer gehabt. Dazu vielleicht noch ein Hinweis:
Wenn Sie irgendeine Software jemals fragt, ob sie Daten nach Hause schicken darf, IMMER NEIN SAGEN. Es ist NICHT Ihre Aufgabe deren Qualitätssicherung an Sie crowdsourcen zu lassen. Das ist eine Frechheit und Sie sollten immer nein sagen.
Franks Nachtrag: Dazu passend diese old person traits (speziell der dritte) – Ich glaube, dann bin ich auch alt.
8.6 Cyber-Versicherungen
Wir haben schon zu Beginn unserer Blogreihe (im dritten Blogbeitrag) über Ankündigungen von Versicherungskonzernen berichtet, die zum Inhalt hatten, dass bald keine Cyberversicherungen aus dem Haus mehr angeboten werden sollten. Kurz vor dem Jahresende wurde es konkreter. Und nun können Sie nachlesen, was die Industrie darauf als Antwort ersonnen hat. Scharf kommentiert, natürlich.
8.7 The Future is now
Wir hatten im Juni 2022 über die Aufforderung berichtet für eine europäische NGO Kurzgeschichten über die nähere Zukunft zu schreiben. Die Ergebnisse sind nun veröffentlicht worden. Und sie sind lesenswert! Oder hörenswert, ganz so wie Sie es bevorzugen. Folgen Sie einfach den Links zu den vier Geschichten:
- Disclosure – Four teen friends fight for digital privacy amidst the drama and excitement of youth.
- ATLR and The Great Reckoning – A short fiction on how healing trauma is a subversive act and who we are and what we believe can change the world.
- Algorithm of grief – K’ima, a long retired storyweaver, finds herself gripped by a sense of having forgotten something one day.
- 13 ways of looking at a CCTV – What does it mean to be seen, to be watched over?
Übrigens, die Geschichte sind alle unter der CC-BY-4.0-Lizenz veröffentlicht worden.
8.8 Apropos Lizenzen – Copyright
Cory Doctorov ist ein – hoffentlich auch Ihnen – bekannter Internetaktivist, der unter anderem auch als Autor in Erscheinung tritt (neben vielen anderen Aktivitäten, die Sie hier nachlesen können). Er hat sich aktuell (mal wieder) mit der Thematik Copyright auseinandergesetzt, einem seiner Lieblingsthemen. Im aktuellen Beitrag geht es um D&D und die OGL. Wenn Sie jetzt wth? denken, hier ist die Auflösung: D&D steht für Dungeons and Dragons, OGL für Open Gaming License. Was genau damit das Problem ist, beschreibt ausführlich dieser Artikel von Cory Doctorov.
Meine Zusammenfassung? Die ganze D&D-Community hat viele Jahre unter völlig falsch interpretierten Voraussetzungen Content für die D&D-Community unter der OGL-Lizenz erstellt, die ihnen aber entgegen der Meinung der Community nicht dauerhaft die erwarteten Rechte einräumte, im Gegenteil, ihnen faktisch sogar Rechte wegnahm, die sie ohne dieses Lizenzmodell „einfach nur so“ schon gehabt hätten. Und dass jetzt die Muttergesellschaft von „Wizards oft the Coast“, Hasbro, die Lizenz so abändern will, dass diese Illusion platzt. Und das analysiert Cory Doctorov sehr ausführlich und stellt die Schwachstellen anschaulich dar.
Warum bringe ich das? Weil Copyright nur sehr eingeschränkt für die Menschheit als solches gut ist. Im Großen und Ganzen aber sehr häufig für die Copyright-Inhaber. Er ist mit seiner Meinung übrigens nicht alleine. In diesem Artikel wird auch ein Buch zum Thema verlinkt, welches Sie hier kostenlos downloaden können, wenn Sie sich intensiver mit der Materie rund um Copyright und Rechtemanagement beschäftigen möchten. Auch Cory Doctorov hat sich mit Copyright in Buchform auseinandergesetzt, in den ersten Teil können Sie hier kostenfrei hineinhören.
9. Die gute Nachricht zum Schluss
9.1 Freitag, der 13.
Weder Herrn Kramer noch mir ist am Freitag, dem 13.01.2023, etwas Schlimmes passiert, wenn das mal keine gute Nachricht ist…
Das war schließlich der erste Freitag der 13. von insgesamt zweien in diesem Jahr. Puh, schon fast geschafft.
Und wenn Sie noch eine auch für Sie gute Nachricht brauchen (die nichts mit Freitag, dem 13., oder Herrn Kramer und mir zu tun hat):
Forscher arbeiten an einer Alternative (u.a.) für Silizium: Dem Myzel.