Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 03&04/2023)“
Hier ist der 60. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 03&04/2023)“.
OK, schon 60 Blogbeiträge, auch nicht schlecht. Und wenn Sie sich wundern, warum wir zwei gute Nachrichten zum Schluss haben: (Mal abgesehen davon, dass das hier ursprünglich zwei Blogbeiträge werden sollten, aber nun ja…) Wir hatten den „Happy Data Protection Day“, da können wir auch zwei gute Nachrichten zum Schluss haben.
Achtung: Die Veranstaltungen sind alle Montag (heute) und Dienstag (morgen). Wenn sie Sie interessieren, dann schnell nachschauen!
- Aufsichtsbehörden
- EDSA: Beschluss zu Meta und Ausführungen zur Fairness
- Irland: Bußgeld gegen Meta wegen WhatsApp
- Italien: 2 Mio. Euro Bußgeld gegen Clubhouse
- EDSA: TaskForce Cookiebanner
- EDSA: Cloudnutzung durch öffentliche Stellen
- EDSA: Leitlinie zu Betroffenenrechten
- EDSA: Konkretisierung der Leitlinie 5/2020 zur Einwilligung
- DSK zu EuGH-Verhandlung im Fall „Deutsche Wohnen“
- CNIL: Bußgeld für TikTok in Höhe von 5 Mio. Euro
- Italien: Unzureichende Begründung der Auskunftsablehnung
- BSI veröffentlicht Beta-Version eines TLS-Testtools
- „Happy Data Protection Day“
- Hamburg: Zuständigkeiten der Datenschutzaufsicht auch für TTDSG
- Podcast mit der LDI Niedersachsen
- DSB Österreich: Unerlaubte Nutzung eines Handvenenscanners
- Rechtsprechung
- Urteile wegen Scraping (Facebook)
- SG München: Honorarkürzung bei Weigerung zur Teilnahme an Telematikinfrastruktur?
- EuGH: Aussage über Unterrichtung zu Löschanspruch an Empfänger
- Klage gegen die irische Datenschutzaufsicht und Meta
- Österreichischer Verfassungsgerichtshof: Unzulässige Umsetzung des Medienprivilegs
- USA: Klage gegen Google – Haftungsprivileg für Inhalte?
- OLG Frankfurt: Zur Aktualisierung einer Info auf der Homepage
- LAG Berlin-Brandenburg: Nachvertragliche Pflichten eines Handelsvertreters
- Schadenersatzanspruch gegen Staatsanwaltschaft?
- Tonaufzeichnung durch Dashcam
- Spanien: Standortdaten können personenbezogene Daten sein
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Konzept zu IT-Sicherheit bei KI-Systemen im Mobilitätsbereich
- KI und rechtliche Beratung
- Texte erstellen mit KI
- Medienanalyse zu KI
- AI Index Stanford
- Facebook, AI und Fairness
- KI und Theologie
- Experimente mit KI – nur mit Einverständnis?
- Grundlagen für KI-Training
- ChatGPT und 42
- KI und Patientendaten
- Open AI, ChatGPT und „Kenia-Workers“
- Veröffentlichungen
- Passwortsicherheit
- NIST USA: Security and Privacy Controls for Information Systems and Organizations
- Aufsicht über Aufsichten und Maßnahmen gegenüber Aufsichten
- Checklisten zu Marketing aus Datenschutzsicht
- bitkom: Neufassung der Musterverträge Auftragsverarbeitung
- bitkom: Icons zur Informationspflicht
- Machine Learning im Gesundheitswesen
- NIS 2 – im Video erklärt
- Software als Beweiswerkzeug
- ISO-Norm für Privacy by Design
- IT-Sec: Was versteht man unter Kritikalität?
- Bußgelder und Schadenersatz
- BMUV: Best Practice bei Cookie-Bannern
- Hinweise zur OH Telemedien der DSK
- Kündigungsbutton für Verbraucher
- Veranstaltungen
- DSK: „Der Data Act und die Zukunft des Datenschutzes“
- Universität Saarland: Next Generation Firewalls und der Zielkonflikt mit dem Datenschutz
- Marburger Vorträge zum Recht der Digitalisierung
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT, die dritte
- Apropos KI, apropos China
- Bei Google hat jemand ethische Bedenken?
- KI? Wer haftet da eigentlich?
- KI in rechtlichen Untiefen?
- KI und politische Lobbyarbeit
- Von Staats wegen gehackt…
- Potsdam, immer wieder Potsdam?
- Copyright? Die Macht des Schweigens? End Poem?
- Wenn ein Ransomware-Befall der letzte Tropfen ist, der ein Fass zum überlaufen bringt…
- Retro-Fotos: Volkszählung 1987
- Programmierbarer Euro?
- Wie viel Netz brauchen Kids?
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Beschluss zu Meta und Ausführungen zur Fairness
Der Vorgang um den Beschluss des EDSA zu der verbindlichen Entscheidung 3/2022 gegenüber der irischen Aufsicht, der dann zu der geänderten Sanktionierung gegenüber Meta führte, wird sicherlich noch Gegenstand eines gerichtlichen Verfahrens sein. Unabhängig davon hat sich der EDSA viel Mühe gegeben seine Entscheidung bezogen auf Facebook auf 121 Seiten zu begründen. Dabei formuliert er seine Interpretation zu den Anforderungen der „Fairness“ (im Deutschen „Treu und Glauben“) aus (Art. 5 Abs. 1 lit. a DS-GVO, ab RN 222).
Er sieht als die wichtigsten Fairness-Elemente, die Verantwortliche berücksichtigen sollten, u.a. die Autonomie der betroffenen Personen, die Erwartungen der betroffenen Personen, die Berücksichtigung eines Machtgleichgewichts, die Vermeidung von Täuschung sowie ethische und wahrheitsgemäße Verarbeitung an. Der Grundsatz der Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 lit. a DS-GVO untermauere den gesamten Datenschutz und zielte darauf ab Machtasymmetrien zwischen den für die Datenverarbeitung Verantwortlichen und den betroffenen Personen auszugleichen und die wirksame Ausübung der Rechte der betroffenen Personen sicherzustellen. Nach Ausführungen des EDSA trifft dies insbesondere im Zusammenhang mit Online-Diensten, die ohne Bezahlung angeboten werden und bei denen sich die Nutzer häufig nicht über die Art und Weise und den Umfang der Verarbeitung ihrer personenbezogenen Daten informiert sind, zu. Daraus folge, dass mangelnde Transparenz es den betroffenen Personen in der Praxis fast unmöglich mache eine informierte Entscheidung bezüglich der Verwendung ihrer Daten auszuüben, was im Gegensatz zu dem Element der „Autonomie“ der betroffenen Personen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten stünde.
Unabhängig davon wird die irische Aufsicht mittlerweile selbst in Irland kritisiert, dass die Sanktion gegenüber Meta zu nachsichtig sei, es sei auch ein Bußgeld bis zu 6 Mrd. Euro möglich gewesen.
Franks Nachtrag: Auch andere denken, dass das Bußgeld gegen Meta sehr rücksichtsvoll und keineswegs angemessen war…
1.2 Irland: Bußgeld gegen Meta wegen WhatsApp
Nach Facebook und Instagram bekommt Meta nun auch für nicht rechtskonformes Gestaltung bei WhatsApp ein Bußgeld seitens der irischen Datenschutzaufsicht. Zwar „nur“ 5,5 Mio. Euro, aber immerhin. Auch hier waren Beschwerden der NGO noyb ursächlich für das Verfahren.
Franks Nachtrag: Passend finde ich das gewählte Motiv auf noybs Meldungsseite…
Franks zweiter Nachtrag: Manchen WhatsApp-Nutzern geht es da im Verhältnis deutlich härter an den Kragen…
1.3 Italien: 2 Mio. Euro Bußgeld gegen Clubhouse
Der Hype um Clubhouse ist ziemlich verklungen, die Diskussion um rechtskonforme Geschäftsmodelle nicht. Und so erinnert die italienische Aufsicht mit ihrem Bußgeld daran, dass es nicht entscheidend ist, wer und wie viele ein Tool nutzen, sondern ob gesetzliche Grundlagen beachtet werden. Hier waren es zum Beispiel die fehlerhafte Umsetzung der Betroffenenrechte, nicht beachtete Anforderungen an eine Einwilligung sowie einige formale Verfehlungen.
1.4 EDSA: TaskForce Cookiebanner
Der EDSA hat den Bericht der TaskForce zu Cookiebannern veröffentlicht. Dabei nimmt der EDSA auf acht Seiten Stellung zu verschiedenen Gestaltungsmöglichkeiten. Ausgangspunkt war eine Beschwerde der NGO noyb, die bei unterschiedlichen Aufsichtsbehörden einging. Der EDSA betont dazu auch, dass diese Positionen eine Mindestschwelle in diesem vielschichtigen Rechtsrahmen widerspiegeln, um die Verwendung von Cookies und die anschließende Verarbeitung der erhobenen Daten zu bewerten. Sie stellten keine eigenständigen Empfehlungen oder Feststellungen dar, um eine Freigabe von einer zuständigen Behörde zu erhalten. Die Standpunkte greifen einer Analyse nicht vor, die von den Behörden für jede Beschwerde und jede betroffene Website vorgenommen werden muss.
Auch der BfDI, der Deutschland im EDSA vertritt, berichtet darüber. In einem Interview geht er davon aus, dass gut gemachte und faire Internetseiten kein Cookie-Banner benötigten.
1.5 EDSA: Cloudnutzung durch öffentliche Stellen
Der EDSA hat sich, um mehr Effizienz und Kohärenz zu erreichen, in einem Pilotprojekt mit dem Ziel eines koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework, CEF) eine länderübergreifende Untersuchung zum Einsatz von Cloudlösungen durch öffentliche Stellen durchgeführt. Dies erfolgte vorwiegend über den Einsatz von Fragebögen. Dabei haben sich nach dem nun vorliegenden Bericht insbesondere Fragestellungen u.a. zur Durchführung einer Datenschutz-Folgenabschätzung, zur Risikobewertung, zur Vertragsgestaltung, zur Einbeziehung von Unterauftragsverarbeitern, zu Telemetriedaten sowie zur Rechnungsprüfung erörtert. In seinem Ergebnis informiert der EDSA u.a. darüber, dass er bei der Nutzung von Cloud Service Providern eine Datenschutz-Folgenabschätzung für erforderlich hält. Allerdings führt er auch aus, dass dieser Bericht nicht dazu diene Schlussfolgerungen zu ziehen sondern Schwerpunkte bei Maßnahmen zu identifizieren. Der Bericht soll möglicherweise im Laufe des Jahres 2023 aktualisiert werden. Beachtenswert fand ich auch, dass nach der Ansicht des EDSA eine gemeinsame Verantwortlichkeit zwischen einer öffentlichen Stelle und einer weiteren nicht in Betracht kommt, wenn die Grundlage der Verarbeitung die Wahrnehmung einer Aufgabe im öffentlichen Interesse sei (im Bericht Fußnote 24).
1.6 EDSA: Leitlinie zu Betroffenenrechten
Der EDSA hat nach eigener Darstellung Leitlinien zu den Rechten betroffener Personen angenommen, in deren Mittelpunkt das Auskunftsrecht steht. Die Leitlinien zielen darauf ab die verschiedenen Aspekte des Auskunftsrechts zu analysieren und näher zu präzisieren, wie das Auskunftsrecht in verschiedenen Situationen umzusetzen ist. Die Leitlinien enthalten unter anderem Klarstellungen zum Umfang des Auskunftsrechts, zu den Informationen, die der für die Verarbeitung Verantwortliche der betroffenen Person zur Verfügung stellen muss, zum Format des Auskunftsantrags, zu den wichtigsten Modalitäten für die Gewährung der Auskunft und zu dem Begriff „offenkundig unbegründete, exzessive Anträge“. Die Leitlinien enthalten Beispiele zur Unterstützung der für die Verarbeitung Verantwortlichen bei der Beantwortung von Auskunftsersuchen in einer mit der DS-GVO konformen Weise. Zu den Leitlinien soll es eine sechswöchige öffentliche Konsultation geben.
1.7 EDSA: Konkretisierung der Leitlinie 5/2020 zur Einwilligung
Der EDSA informiert, dass er die Leitlinie 05/2020 für die Einwilligung aktualisiert, um einen harmonisierten Ansatz in Bezug auf die Konditionalität der Einwilligung und die eindeutige Willensbekundung sicherzustellen. Nach den formalen Überarbeitungen wird sie beim EDSA veröffentlicht.
1.8 DSK zu EuGH-Verhandlung im Fall „Deutsche Wohnen“
Über die Verhandlung vor dem EuGH (C-807/21) zu der Prüfung, inwieweit nationale Regelungen zu Haftungsvoraussetzungen gegenüber einem Unternehmen Einfluss auf Regelungen der DS-GVO haben können, hatte ich schon berichtet. Die Verhandlung fand nun statt und wurde vom EuGH auch live übertragen. Zwar ist die Aufzeichnung nur einen Tag lang auf den Seiten des EuGH abrufbar, ist hier aber hinterlegt (Dauer 5 Stunden). Die Datenschutzkonferenz hat sich auch dazu geäußert. Darin geht die DSK davon aus, dass nach der DS-GVO sanktioniert werden kann, ohne dass eine Ordnungswidrigkeit einer natürlichen und identifizierten Leitungsperson festgestellt werden muss. Gerade bei großen Konzernen sei der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Solche Vorgaben seien der DS-GVO fremd. Aufgrund der wesentlichen Bedeutung des Falls habe sich die DSK im Vorfeld der Verhandlung mit einer rechtlichen Einschätzung positioniert. Die gegenteilige Ansicht geht (u.a.) davon aus, dass aufgrund der Bezeichnung „Grundverordnung“ noch Raum sei für Verfahrensregelungen der Mitgliedsstaaten bei der Verhängung von Geldbußen. Unklar sei auch, ob ein Verschulden für die Verhängung einer Geldbuße erforderlich sei.
1.9 CNIL: Bußgeld für TikTok in Höhe von 5 Mio. Euro
Aufgrund unzureichender Cookie-Einbindung sanktioniert die französische Datenschutzaufsicht CNIL TikTok mit 5 Mio. Euro. Es wurde zwar eine Schaltfläche angeboten, die die sofortige Annahme von Cookies ermögliche, es sei aber keine gleichwertige Lösung (Schaltfläche oder ähnliches) eingerichtet worden, die es dem Internetnutzer ermögliche die Hinterlegung von Cookies ebenso einfach abzulehnen. Es waren mehrere Klicks erforderlich, um alle Cookies abzulehnen, im Gegensatz zu nur einem, um sie zu akzeptieren. Laut Berichten habe TikTok nachgebessert und auch weitere Informationen über die Datenverarbeitung ergänzt.
Vielleicht erledigt sich das Thema auch, wenn die Kommission sich entschließt TikTok zu verbieten, wie es hier heißt.
1.10 Italien: Unzureichende Begründung der Auskunftsablehnung
Die italienische Aufsicht hatte einen Fall zu beurteilen, ob sich ein Unternehmen bei einer Auskunft darauf berufen könne, dass das Auskunftsbegehren an einen Mitarbeiter ohne Führungsaufgaben gerichtet wurde. Eine ehemals bei Amazon beschäftigte Person forderte über ein Auskunftsbegehren nach Art. 15 Abs. 3 DS-GVO Nachweise über erlangte Qualifikationen. Dies wurde nicht innerhalb der vorgesehenen Frist erfüllt, weil sie nicht ordnungsgemäß bearbeitet wurden. Den Einwand, das Auskunftsbegehren sei per E-Mail an einen Mitarbeiter ohne Führungsbefugnis gerichtet gewesen, ließ die Aufsicht nicht gelten und verhängte ein Bußgeld in Höhe von 20.000 Euro.
1.11 BSI veröffentlicht Beta-Version eines TLS-Testtools
Wie kann ich feststellen, dass meine vorgesehene E-Mail-Kommunikation die Anforderung an eine TLS (Transport Layer Security) erfüllt?
TLS wird in allen Bereichen der Internetkommunikation genutzt. Beispielsweise werde auch die Nutzung der Online-Ausweisfunktion des Personalausweises für eGovernment-Anwendungen über TLS-Kanäle abgesichert. Die Einhaltung der verbindlichen Vorgaben aus der Technischen Richtlinie 03116 gewährleisten nach dem BSI eine interoperable wie auch eine sichere Nutzung des Protokolls. In der zugehörigen Testspezifikation sind generische Testfälle umgesetzt. Darin gibt es aufbauende anwendungsspezifische Profile, welche die relevanten Testfälle für den konkreten Anwendungsfall definieren und gegebenenfalls verfeinern. Das BSI veröffentlichte dazu nun ein Tool, das einem hier weiterhelfen soll, in der Beta-Version.
1.12 „Happy Data Protection Day“
Auf so einen Spruch wäre nicht mal ich gekommen. Ich kenne kaum Manager:innen, die den nicht ironisch auffassen würden. Dabei erinnert der 28. Januar jeden Jahres nur an die Veröffentlichung der Konvention Nr. 108 des damaligen Europarates, der Grundlagen des Umgangs mit personenbezogenen Daten regelt. Dieses Datum wurde dann zum europäischen Datenschutztag. Der EDSA veröffentlicht dazu auch ein kleines Filmchen, bei dem ich nicht sicher bin, ob sich die irische Aufsicht über alle darin getroffene Aussagen freut. Andere Aufsichtsbehörden weisen anlässlich dieses Tages auf das Sensibilisierungsangebot für Schulen hin, bei dem sie mitwirkten.
Franks Nachtrag: noyb blickt anlässlich des Europäischen Datenschutztags zurück und fragt, ob Europäer:innen durch die DSGVO tatsächlich geschützt werden.
1.13 Hamburg: Zuständigkeiten der Datenschutzaufsicht auch für TTDSG
Die Zuständigkeitslücke bezüglich der Sanktionsmöglichkeiten aus dem TTDSG wurde nun auch in Hamburg geschlossen. Nach der Pressemeldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ist er nun auch dafür zuständig Abhilfemaßnahmen und Bußgelder gegenüber Telemedienanbietern in Hamburg zu erlassen, wenn diese z.B. Cookies in rechtswidriger Art und Weise verwenden.
1.14 Podcast mit der LDI Niedersachsen
Im Podcast einer Kanzlei (Dauer ca. 60 Min.) äußert sich die LDI Niedersachsen zu ihrer Nachfolge, den Grundlagen zu dem Bußgeld gegenüber einer Bank aufgrund der Kundenprofilbildung, Bußgeldberechnungen allgemein, dem Bußgeld gegen Meta und dem Stand zu einer gesetzlichen Regelung zur DSK.
1.15 DSB Österreich: Unerlaubte Nutzung eines Handvenenscanners
Die Datenschutzbehörde Österreich informiert in ihrem aktuellen Newsletter, dass sie aufgrund einer Beschwerde feststellte, dass ein Einsatz eines Handvenenscanners als Schutzmaßnahme zum Zugriff auf arbeitsvertragliche Dokumente in der Gastronomie als datenschutzrechtlich unzulässig angesehen wird. Bei dem Einsatz eines Handvenenscanners handele es sich um die Verarbeitung biometrischer und somit sensibler personenbezogener Daten. Auch eine Einwilligung dazu im Arbeitsvertrag reiche nicht als Rechtsgrundlage aus.
2 Rechtsprechung
2.1 Urteile wegen Scraping (Facebook)
Hat eine Person einen Anspruch auf Schadenersatz, wenn ihre Daten von der Plattform bei Facebook extrahiert und gespeichert werden, um diese zu analysieren oder anderweitig zu verwerten („Scraping“)? Das LG Paderborn sprach in einem Fall einer betroffenen Person 500 Euro Schadenersatz zu, u.a. weil nicht ausreichend über die Verwendung der Mobilfunknummer informiert worden sei. Die Aufklärung über den Zweck der Verwendung seiner Mobilfunknummer für das seitens der Plattform verwendete Contact-Import-Tool (kurz: CIT) sei nicht ausreichend gewesen. Hierdurch habe sie ihre Informations- und Aufklärungspflichten nach Art. 13 Abs. 1 lit. c) DS-GVO verletzt. Auch genügte die beklagtenseits behaupteten Schutzmaßnahmen den Anforderungen des Art. 32 DS-GVO an angemessene Schutzmaßnahmen nicht.
In einem vergleichbaren Fall kommt das LG Gießen zu einem anderen Ergebnis: Ein bloßer Verstoß gegen die DS-GVO reiche für einen immateriellen Schadenersatz nicht aus. Es bedürfe vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings ist es nicht erforderlich, dass der eingetretene Schaden erheblich ist; mithin seien auch Bagatellschäden ersatzfähig.
Ebenfalls keinen Anspruch gewährt das LG Essen. Es begründet dies einerseits damit, dass unzureichende Benachrichtigung nach Art. 34 DS-GVO ebenso wie unzureichende Informationspflichten nach den Art. 13, 14 DS-GVO nicht vom Schutzbereich des Art. 82 DS-GVO umfasst seien. Es erkennt auch keinen Pflichtverstoß, weder gegen Art. 5 Abs. 1 DS-GVO noch gegen Art. 32 DS-GVO, Art. 15 und Art. 35 DS-GVO.
2.2 SG München: Honorarkürzung bei Weigerung zur Teilnahme an Telematikinfrastruktur?
Kann eine Honorarkürzung nach § 291 Abs. 2b Satz 9 SGB V bei einem Vertragszahnarzt erfolgen, wenn sich dieser weigert, die Telematikvorgaben aus § 291 SGB V umzusetzen? Seine Begründung war, dass der Einsatz gegen die DS-GVO verstoße, weil er als Verantwortlicher anzusehen sei, aber selbst weder Zweck noch Mittel bestimme, sondern dies durch den Gesetzgeber bzw. die Gematik vorgegeben werde und er keinen Einfluss auf die Sicherheitsmaßnahmen habe. Das SG München hält aber die Sicherheitsmaßnahmen für die vorgesehene Datenverarbeitung für ausreichend und hat auch die Honorarkürzung noch als verhältnismäßig beurteilt (alles stark verkürzt wiedergegeben).
2.3 EuGH: Aussage über Unterrichtung zu Löschanspruch an Empfänger
Über das Urteil (C-154/21) zum Umfang der Interpretation der Empfänger bei einer Auskunft hatte ich schon berichtet. Über eine Aussage entwickelte sich eine Diskussion, weil das Gericht in RN 40 über die Heranziehung des Art. 19 DS-GVO feststellte, dass natürlich jeder Empfänger auch über Berichtigungen und Löschungen zu benachrichtigen sei. Träfe dies auch auf Löschungen zu, die nicht auf Initiative der betroffenen Person ihre Grundlage haben, sondern regulär nach Zweckerreichung durchzuführen sind, wäre dies eine rein bürokratische Anforderung, die inhaltlich keinem einen Mehrwert bringt. Empfänger, die als Auftragsverarbeiter eingebunden sind, leiten ihre Berechtigung vom Auftraggeber (dem datenschutzrechtlich Verantwortlichen) ab und Empfänger, die eine eigene Verantwortlichkeit haben, müssen nach ihrer eigenen Zweckerreichung den Löschprozess beachten. Zumindest wäre dies eine Interpretation der Aussage in RN 40, die für alle Beteiligten den Aufwand minimiert, ohne dass Rechte von betroffenen Personen dadurch eingeschränkt würden.
2.4 Klage gegen die irische Datenschutzaufsicht und Meta
Diese Meldung klingt kurios: Die Bürgerrechtsorganisation Digital Rights Ireland verklagt Meta und die irische Datenschutzaufsicht, weil den Opfern einer massiven Datenpanne bei dem Social-Media-Riesen „Gerechtigkeit verweigert“ werde. Etwa 100 Millionen Facebook-Nutzer in der EU waren von einem Scraping-Vorfall betroffen. Die große Mehrheit der durchgesickerten Daten enthielt Telefonnummern, Namen, Angaben zum Geschlecht und Facebook-IDs. Die Entscheidung der Datenschutzaufsicht bestätigte zwar, dass Facebook gegen mehrere Grundsätze der europäischen Datenschutzgesetze verstoßen habe, erkannte aber nicht an, dass es sich um eine Datenschutzverletzung handele, die den einzelnen Opfern mitgeteilt werden müsse, so Digital Rights Ireland. Die Aufsicht halte die Voraussetzungen für eine Benachrichtigung der betroffenen Personen nicht für erfüllt, weil sie in dem Vorkommnis keine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO erkennen könne.
2.5 Österreichischer Verfassungsgerichtshof: Unzulässige Umsetzung des Medienprivilegs
Der Österreichische Verfassungsgerichtshof hält die Umsetzung des sogenannten „Medienprivilegs“ in Österreich für verfassungswidrig. Auslöser für die Entscheidung war – unter anderem – die Beschwerde eines Mannes an die Datenschutzbehörde, dessen Visitenkarte ungeschwärzt in einem Beitrag und in Bildaufnahmen über eine Hausdurchsuchung auf der Homepage eines Medienunternehmens zu sehen gewesen war. Die Datenschutzbehörde wies die Beschwerden gegen die Veröffentlichung personenbezogener Daten durch Medienunternehmen „wegen Unzuständigkeit“ zurück. Schließlich landete der Fall beim Verfassungsgerichtshof, der nun feststellte, dass der prinzipielle und undifferenzierte Ausschluss von Medien in § 9 Abs. 1 DSG von der Anwendung des österreichischen Datenschutzgesetzes (wie auch der DS-GVO) jedoch dem Grundrecht auf Datenschutz widerspräche.
2.6 USA: Klage gegen Google – Haftungsprivileg für Inhalte?
Können Plattformbetreiber für eingestellte Inhalte haftbar gemacht werden? Nach diesem Bericht wird dies aktuell in zwei Fällen vor dem Supreme Court verhandelt. Bisher profitieren Anbieter noch von einem Haftungsprivileg. In einem der Fälle zeigt sich die ganze Tragweite. Angehöriges eines Opfers eines islamistischen Terroranschlags gehen gegen YouTube (Google) vor und werfen Google vor, dass das zu dem beklagten Konzern gehörende Portal YouTube ISIS unterstützt habe, indem es Nutzern Propaganda-Videos der Terrorgruppe empfahl. Den Klägern zufolge dürften bestimmte Tätigkeiten von Plattformen wie das Empfehlen schädlicher Inhalte nicht geschützt werden. Die Richter befassen sich nun mit der Frage, ob interaktive Computerdienste von der Haftung befreit werden, wenn sie gezielt die Aufmerksamkeit auf Informationen lenken, die von einem anderen Anbieter von Informationsinhalten zur Verfügung gestellt werden. Die Verfassungsrichter sollen auch klarstellen, ob die Klausel die Haftung nur beschränkt, wenn Plattformen traditionelle redaktionelle Aufgaben wahrnehmen, also etwa entscheiden, ob sie Informationen überhaupt anzeigen oder nicht.
2.7 OLG Frankfurt: Zur Aktualisierung einer Info auf der Homepage
Ein Rechtsanwalt berichtet auf seiner Homepage über einen Fall, an dem er beteiligt war und der zunächst zu seinen Gunsten entschieden wurde. Wird diese Entscheidung später rechtskräftig aufgehoben, muss er diesen Bericht nicht nachträglich löschen, er wäre aber auf Verlangen des Betroffenen jedoch verpflichtet, den Beitrag (als Nachtragsanspruch) zu aktualisieren, so die Pressemeldung zu einer Entscheidung des OLG Frankfurt.
2.8 LAG Berlin-Brandenburg: Nachvertragliche Pflichten eines Handelsvertreters
Wechseln im Vertrieb tätige Personen, geht es oft um wettbewerbsrechtliche Fragen bezüglich ihrer nachfolgenden Aktivitäten. Kommt es dann zu gerichtlichen Streitigkeiten, geht es wie im vorliegenden Fall u.a. darum, ob der bisherige Arbeitgeber dazu Informationen zu bisherigen Kunden in das Verfahren einbringen dürfe oder ob dies gegen Vorgaben der DS-GVO verstoße. Das LAG Berlin-Brandenburg stellte dazu fest, dass ein Unternehmen die Namen der Kund*innen, die aus seiner Betreuung ausgeschieden sind, offenbaren darf. Ferner dürfe es auch die Art der betroffenen Verträge in das gerichtliche Verfahren einführen und das Gericht dürfe diese Angaben verwerten. Dem stünde weder das Recht der Kund*innen auf informationelle Selbstbestimmung noch das Datenschutzrecht entgegen.
2.9 Schadenersatzanspruch gegen Staatsanwaltschaft?
Der Gesetzgeber hat sich in Deutschland gegen die Möglichkeit entschieden, dass auch Bußgelder gegen öffentliche Stellen verhängt werden können. Bei Schadenersatzforderungen haben Mitgliedsstaaten keine Wahlmöglichkeit. Und so ist der Fall aus Kiel besonders spannend, inwieweit ein immaterieller Schadenersatz in diesem Gerichtsverfahren zugesprochen wird, bei dem der Staatsanwaltschaft vorgeworfen wird nicht ordnungsgemäß mit Daten umgegangen zu sein.
2.10 Tonaufzeichnung durch Dashcam
Das Verfahren endete durch außergerichtlichen Vergleich, daher gibt es kein Urteil. Trotzdem finde ich diese Info dazu deswegen berichtenswert, welche Fragestellungen in einem Streit zwischen zwei Kollegen thematisiert wurde. Ein Auto eines städtischen Beschäftigten wurde auf einem städtischen Parkplatz zerkratzt. Der Besitzer machte dafür einen Kollegen verantwortlich, der neben ihm parkte. Als Beweis dienten ihm die Tonaufnahmen, welche durch seine im Auto befindliche Dashcam erstellt wurden. Darauf war ihm zufolge zu hören, wie das Nachbarauto parkte und unmittelbar danach die Kratzgeräusche am Lack. Es kam wie es kommen musste, nämlich zu einem Streit und zu einer Gerichtsverhandlung, die mit einem außergerichtlichen Vergleich endete, der auch die datenschutzrechtlichen Aspekte berücksichtigte.
2.11 Spanien: Standortdaten können personenbezogene Daten sein
Wie hier berichtet wird, hat ein spanisches Gericht die Ansicht der spanischen Datenschutzaufsicht korrigiert, dass Standortdaten eines Mobilfunkanschlusses kein personenbezogenes Datum seien. Sie sind damit grundsätzlich auch von einem Auskunftsanspruch mitumfasst.
3 Gesetzgebung
3.1 EU: Regeln für Cybersicherheit
Im Januar sind zwei Richtlinien zu kritischen und digitalen Infrastrukturen in Kraft getreten. Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie) sowie die Richtlinie über die Resilienz kritischer Einrichtungen (CER-Richtlinie). Beide EU-Vorschriften stärken die Widerstandsfähigkeit der EU gegen Online- und Offline-Bedrohungen – von Cyberangriffen bis hin zu Kriminalität, Risiken für die öffentliche Gesundheit oder Naturkatastrophen. Die Mitgliedstaaten haben nun 21 Monate Zeit, um die beiden Richtlinien in nationales Recht umzusetzen.
3.2 USA: Marktbeherrschende Stellung von Facebook
Einem Bericht ist zu entnehmen, dass die Klage der FTC (Federal Trade Commission) gegen Facebook und somit gegen Meta (nun) zulässig sei. Die FTC habe weitere Argumente geliefert, die die Monopolstellung belegen sollen, so dass der zuständige Richter seine Entscheidung vom Sommer, die Klage nicht zuzulassen, revidiert hat.
Ziel der Klage sei die Übernahmen von Instagram und WhatsApp durch Facebook rückgängig zu machen. Begründet werde dies mit der marktbeherrschenden Stellung und der Ausnutzung der erreichten Monopolstellung.
3.3 Bundestag: Anhörung zur Cybersicherheit am 25.01.2023
Am 25.01.2023 fand im Deutschen Bundestag von 14:00 – 16:00 Uhr eine Anhörung zur Cybersicherheit statt. Infos, eingereichte Stellungnahmen, die Fragestellungen sowie die Aufzeichnung der Anhörung (ca. 2 Stunden lang) finden Sie hier.
3.4 Podcast zur EU Gesetzgebung
In diesem Podcast wird die europäische Gesetzgebung thematisiert. Innerhalb von 1:06 Stunden unterhalten sich Datenschutzexperten mit dem Büroleiter eines federführenden Mitglieds des europäischen Parlaments.
3.5 Überblick zur EU-Gesetzgebung
Wer in dem Wust an gesetzlichen Vorgaben aus Brüssel den Überblick sucht, kann hier fündig werden: Eine Darstellung nach Inhalt und Aufteilung, was schon gilt und was noch nicht gilt.
4 Künstliche Intelligenz und Ethik
4.1 Konzept zu IT-Sicherheit bei KI-Systemen im Mobilitätsbereich
Nach diesem Bericht erarbeitet das BSI mit einem Autozulieferer ein Konzept zur IT-Sicherheit bei KI-Systemen. Insgesamt seien 50 technisch relevante Anforderungen an KI-Systemen festgehalten und die praktische Umsetzbarkeit mithilfe von Simulationen demonstriert. In einem Folgeprojekt AIMobilityAudit soll sich dann auf die praktische Umsetzung konzentriert werden. Dafür werde als weiterer Projektpartner die TÜV Informationstechnik GmbH (TÜVIT) eingebunden. In diesem Zuge sollen konkrete Handlungsempfehlungen und Prüfkriterien angefertigt werden, die zukünftig bei der Entwicklung von Sicherheitstests für Kfz genutzt werden sollen. Bis Spätsommer 2024 soll das Vorhaben in Zusammenarbeit mit dem BSI als Auftraggeber umgesetzt sein. Die erarbeiteten technischen Richtlinien sollen im besten Fall eine Vorzeigefunktion besitzen und beispielsweise für internationale Standardisierungen verwendet werden. Vorstellbar wären dabei auch Implementierungen auf der Ebene des UNECE World Forum for Harmonization of Vehicle Regulations.
4.2 KI und rechtliche Beratung
Es gibt immer wieder Kolleg:innen, denen die Reaktionszeit von Datenschutzbereichen oder Rechtsabteilungen bei rechtlichen Fragen einfach immer zu lang ist. Wäre der Einsatz von KI hier eine Lösung? Hier ein Video (YouTube-Link, ca. 7:30 Min.) zum Test von ChatGPT bei (datenschutz-)rechtlichen Fragen. Vielleicht noch nicht ganz überzeugend, aber wer sich trotzdem darauf verlassen will, kann gleich hier weiterlesen, wenn man sich dann in einem entsprechenden Prozess von einer KI verteidigen lassen wollte. In den USA gibt es dazu bereits ein Experiment* eines Unternehmens.
Franks Anmerkung: Nein, das gibt es nicht mehr… Da haben laut Bericht wohl genug Rechtsanwälte dem Unternehmen (über dessen Vorhaben wir schon berichtet hatten) gedroht.
Franks Nachtrag: (Wait for it…) Apropos ChatGPT…
4.3 Texte erstellen mit KI
Bevor Sie mich darauf hinweisen, ich hab´s auch gelesen: KI hilft Texte zu verbessern. Sei es um Texte freundlicher zu gestalten, wie hier, oder um klarer, präziser und fehlerfreier zu formulieren, wie hier. Gibt es dabei auch etwas zu beachten? Lassen wir mal datenschutzrechtliche Fragen beiseite, sollten dabei personenbezogene Daten verarbeitet werden. Es können weitere rechtliche Fragen bei der Erstellung von Texten relevant werden. Zum Beispiel urheberechtliche Fragen, wenn Sie auf Basis bisheriger Texte eines/einer Autors/Autorin neue erstellen lassen, die dessen/deren Stil und Ausdruck berücksichtigen. Hier ein Bericht dazu, dass es diese nicht immer passend finden*, wenn „neue“ Songtexte mittels ChatGPT kreiert werden. Bei Bildern wird ja bereits gestritten, was ein „neues Werk“ ausmacht.
* Franks Anmerkung: Oh nein, Nick Cave ist wirklich nicht zufrieden mit ChatGPT oder dem Ergebnis.
Franks Nachtrag: Und hier ist noch eine Auseinandersetzung mit KI-generierter Musik.
4.4 Medienanalyse zu KI
Werden Berichte zu KI oft negativ geframed? Werden mehr die Risiken als die Chancen betont? Eine spannende Frage, die mir auch schon gestellt wurde. Hier eine Untersuchung dazu, da der mediale Diskurs über KI eine wichtige Rolle in der Meinungs- und Willensbildung in der Bevölkerung spielt und individuelle Einstellungen sowie Positionen gegenüber der Technologie formen kann. Ob im Bildungskontext, in der Arbeitswelt oder in der Automobilindustrie: KI wird in den Medien in unterschiedliche Zusammenhänge gestellt.
4.5 AI Index Stanford
Der AI Index des Stanford Institutes for Human-Centered Artificial Intelligence (HAI) ist ein durch eine interdisziplinären Gruppe von Experten aus Wissenschaft und Industrie erstellter 230-seitiger Bericht zum Einsatz künstlicher Intelligenz. Der jährliche Bericht verfolgt, sammelt, destilliert und visualisiert Daten im Zusammenhang mit künstlicher Intelligenz, um Entscheidungsträger in die Lage zu versetzen sinnvolle Maßnahmen zu ergreifen, um künstliche Intelligenz verantwortungsvoll und ethisch im Hinblick auf den Menschen voranzubringen. Neben den Daten von einer Vielzahl unterschiedlicher Organisationen, einer neuen Umfrage unter Robotikforschern auf der ganzen Welt sowie Daten über die globale KI-Gesetzgebung in 25 Ländern enthält der Bericht ein neues Kapitel mit einer eingehenden Analyse der technischen KI-Ethik-Metriken.
4.6 Facebook, AI und Fairness
Jetzt scheint selbst Facebook der eigene Ruf suspekt. Zumindest kann man dies in die Ankündigung hineininterpretieren, dass Facebook ein neues System ankündigt, mit dem sichergestellt wird, dass Anzeigen für verschiedene demografische Gruppen fair ausgeliefert werden.
4.7 KI und Theologie
Kann der Einsatz von KI Einfluss auf die Theologie haben, beispielsweise bei der Erstellung von Predigttexten? Oder wie stehen Theolog:innen zum Einsatz von Pflegerobotern? In diesem Podcast (Dauer ca. 14 Min.) befasst sich eine Expertin für Technikanthropologie, Technikethik und Umweltethik, die von 2019 bis 2020 auch Mitglied der kirchlichen ad hoc-Kommission „Kirche und Künstliche Intelligenz“ war.
4.8 Experimente mit KI – nur mit Einverständnis?
Welche Möglichkeiten bietet KI? Ungeachtet, dass es noch keine allgemein gültige Definition dazu gibt, ist erkennbar, dass der Einsatz von KI Abläufe beschleunigen kann und Entscheidungen vorbereiten wenn nicht gar vornehmen könnte. Wie würden Sie reagieren, wenn Ihre Gesundheitsberatung durch eine KI durchgeführt würde? Zumindest würden Sie das wissen wollen, oder? Das dachten sich auch die Personen, die gemäß dieser Meldung in einem Experiment ohne ihr Wissen zu ihrer mentalen Gesundheit befragt und beraten wurden.
4.9 Grundlagen für KI-Training
Darf alles für das Training von KI verwendet werden? Juristen beginnen Antworten auf solche Fragen gerne mit „Das kommt darauf an“. In diesem Fall wehrt sich ein Hersteller gegen Vorwürfe, er habe Bilder und Video aus den Clouddienstleistungen seiner Kunden verwendet. Hier käme es nach europäischem Recht / deutschem Recht dann tatsächlich darauf an, welche Nutzungsrechte an den eingebrachten Inhalten vereinbart und wie transparent dies den Kunden offengelegt wird.
Eine andere Konsequenz des Einsatzes von KI in der Kunst wird hier beschrieben: Einem Künstler wird unterstellt, er male wie eine KI und solle seinen Stil ändern. Zudem wurde ihm vorgehalten „Eine KI mache das in Sekunden besser, wofür du Stunden brauchst“. Wie viel Kreativität wollen wir uns selbst noch zugestehen?
4.10 ChatGPT und 42
Das ist jetzt keine richtige Meldung – finde sie aber trotzdem zum Schmunzeln schön. Gemäß diesem Post auf LinkedIn sei als monatliche Gebühr für eine professionelle Nutzung von ChatGPT der Betrag von 42 im Gespräch. Douglas Adams würde es freuen.
Franks Nachtrag: Oha, eine Meldung auf meinem Niveau 😁
4.11 KI und Patientendaten
In einem Projekt wird laut dieser Meldung geforscht, wie künftig die Abrechnungsdaten aller gesetzlich Versicherten mit KI-Methoden auf Muster untersucht werden können. In dem zunächst auf vier Jahre angesetzten Forschungsprojekt „Real4Reg“ erhoffen sich demnach die Beteiligten unter anderem eine Verbesserung der Arzneimittelsicherheit. Angesiedelt sei das von der Europäischen Kommission (Horizont Europe) geförderte Projekt beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), das dem Bundesgesundheitsministerium unterstellt ist. Dabei ist das BfArM für die Koordinierung der am Projekt Beteiligten zuständig – darunter Regulierungs- und Gesundheitstechnologiebewertungsbehörden, akademische Einrichtungen und Partnerorganisationen aus sechs EU-Ländern.
4.12 Open AI, ChatGPT und „Kenia-Workers“
Bei aller Freude über die technischen Möglichkeiten von KI am Beispiel von ChatGPT wird hier der andere Aspekt beleuchtet – der Einsatz menschlicher Kräfte in Afrika zur Verifizierung von Inhalten und zur Vermeidung der Verbreitung „toxischer“ Inhalte.
5 Veröffentlichungen
5.1 Passwortsicherheit
Sie halten Ihr Passwort für sicher? Dachten nach dieser Meldung sicher auch die Beschäftigten der US-Regierung, deren Passwörter innerhalb von 90 Minuten bei einer Überprüfung durch einen Sicherheitsbeauftragten geknackt werden konnten. Für das Angriffsszenario reichte ein Equipment für 15.000 $. Auch gehashte Passwörter konnten zurückgerechnet werden, weil sie mit Einträgen aus Wörterbüchern und Passwort-Listen aus Datenleaks und deren Hashwert abgeglichen wurden. Oft kam außerdem keine Zwei-Faktor-Authentifizierung zum Einsatz.
Welche Lehren können daraus gezogen werden? Passwörter nicht bei mehreren Accounts verwenden, aktuelle Vorgaben dazu beachten (Länge, unterschiedliche Zeichen etc.) und bei der Information, dass es wo ein Datenleck gab, das Passwort ändern und das alte nicht mehr verwenden.
5.2 NIST USA: Security and Privacy Controls for Information Systems and Organizations
Das „National Institute of Standards and Technology“ (NIST) der USA hat verschiedene Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen veröffentlicht. Diese beinhalten Anforderungen für Informationssysteme und Organisationen zum Schutz von organisatorischen Abläufen und Vermögenswerten, Einzelpersonen, anderen Organisationen und der Nation vor einer Vielzahl von Bedrohungen und Risiken, einschließlich feindlicher Angriffe, menschlicher Fehler, Naturkatastrophen, struktureller Fehler, ausländischer Geheimdienste und Datenschutzrisiken. Die Anforderungen sind flexibel und anpassbar und werden als Teil eines organisationsweiten Prozesses zum Risikomanagement implementiert.
5.3 Aufsicht über Aufsichten und Maßnahmen gegenüber Aufsichten
Wer überwacht die Einhaltung datenschutzrechtlicher Vorgaben durch die Datenschutzaufsichten selbst? Sie sind ja als unabhängig ausgestaltet. Damit befasst sich dieser Beitrag, der aber auch aufzeigt, welche Maßnahmen betroffenen Personen offenstehen, die geltend machen wollen durch die Verletzung datenschutzrechtlicher Vorgaben durch eine Datenschutzaufsicht in ihren Rechten verletzt worden zu sein.
5.4 Checklisten zu Marketing aus Datenschutzsicht
Wann darf ich unter Berücksichtigung der ePrivacy-Richtlinie, der DS-GVO und dem Schweizer Recht wie werben? Damit befassen sich eine Checkliste für Website- und App-Tracking und diese Checkliste mit Marketing-Kommunikationsmaßnahmen, bei der dann z.B. bezüglich des deutschen Rechts die Vorgaben des UWG (wie § 7 und § 7a UWG) berücksichtigt werden müssten. Die Checkliste selbst verweist dann auf eine weitere Publikation, in welcher dann die datenschutzrechtlichen Vorgaben unterschiedlicher Länder dargestellt werden, wie hier die von Deutschland.
5.5 bitkom: Neufassung der Musterverträge Auftragsverarbeitung
Der bitkom hat seinen Mustervertrag zur Auftragsverarbeitung aktualisiert. Angekündigt sind auch die Überarbeitung der „Begleitenden Hinweise“ in Form des Praxisleitfadens zur Auftragsverarbeitung sowie der Checkliste zur Joint Controllership.
5.6 bitkom: Icons zur Informationspflicht
Art. 12 Abs. 7 DS-GVO gibt die Möglichkeit, dass durch Bildsymbole auch Informationspflichten dargestellt werden können. Auch die EU-Kommission wurde in Art. 12 Abs. 8 DS-GVO dazu ermächtigt. Sie hat aber bislang keinen Gebrauch davon gemacht. Neben der Einzelinitiative von größeren Unternehmen hatten bereits die italienische Garante und der LfDI Baden-Württemberg hier Vorschläge eingebacht. Nun zieht auch der bitkom nach und bietet entsprechende Icons an. Dazu wird auch ein Praxisleitfaden zur Verwendung der Icons angekündigt, der zur Zeit erarbeitet wird.
5.7 Machine Learning im Gesundheitswesen
Oft wird bezüglich des innovativen Potentials des Machine Learnings (ML) im Gesundheitswesen in Deutschland noch durch mangelnde Verfügbarkeit von Daten und datenschutzrechtliche Verunsicherung ausgebremst. Hier befasst sich ein Beitrag damit, welche datenschutzrechtlichen Pflichten tatsächlich bestehen und inwieweit auf Anwenderseite Gestaltungsspielraum besteht. Außerdem findet sich ein Überblick über Anforderungen, die an medizinische Software gestellt werden.
5.8 NIS 2 – im Video erklärt
Wer sich innerhalb von 20 Min. zu NIS 2 informieren will, kann es über dieses YouTube-Video tun.
5.9 Software als Beweiswerkzeug
Welche Anforderungen, Möglichkeiten und Risiken gibt es bei der Beweisführung über eine Software? Damit befasst sich diese frei veröffentlichte Dissertation der Uni Trier. Ein Thema, das auch interne Ermittlungsstellen wie Compliance Officer und Bearbeiter von Hinweisen, die über ein Hinweisgebersystem eingehen, interessieren könnte.
5.10 ISO-Norm für Privacy by Design
Nach dieser Meldung wird Anfang Februar eine weitere ISO-Norm mit Datenschutzbezug veröffentlicht. Die ISO 31700 gibt Vorgaben zur Umsetzung von privacy by design für Verbraucherprodukte und Dienstleistungen und hat ihren Ursprung in Kanada. Eine Darstellung der Unterschiede zur ISO 27701 finden Sie hier. Die spanische Datenschutzaufsicht veröffentlichte bereits 2019 einen Guide zu Privacy by Design.
5.11 IT-Sec: Was versteht man unter Kritikalität?
Hier finden Sie einen Beitrag, der sich mit dieser Begrifflichkeit in den verschiedenen Leitplanken befasst, von der BSI-KRITIV-VO bis hin zur NIS-2 – Richtlinie.
5.12 Bußgelder und Schadenersatz
Wer nicht aus intrinsischer Motivation oder in Umsetzung des Rechtsstaatsprinzips als Verantwortlicher um die Einhaltung datenschutzrechtlicher Vorgaben bemüht ist, befasst sich oft auch mit den Fragen „was, wenn nicht?“. Eine schöne aktuelle Befassung mit diesen Fragen findet sich in diesem ausführlichen Beitrag.
5.13 BMUV: Best Practice bei Cookie-Bannern
Das BMUV hat mit verschiedenen Stakeholdern eine Best-Practice-Empfehlung zur Umsetzung und Gestaltung von Cookie-Bannern zur Einholung einer Einwilligung erarbeitet und veröffentlicht. bitkom war auch beteiligt, hat aber am Ende nicht mitunterzeichnet, weil die eigenen Vorstellungen nicht weit genug berücksichtigt wurden. Trotzdem hat sich beispielweise auch ein europäischer TK-Anbieter diesen Empfehlungen angeschlossen.
Der bitkom informiert stattdessen darüber, was bei einer durch den bitkom durchgeführten Umfrage herauskam, z.B. wie viele Menschen ihr Smartphone sei es durch PIN oder Gesichtserkennung schützen, oder wie viele die Freigabe der Ortungsfunktion zur Standortbestimmung des Smartphones aktiviert haben.
5.14 Hinweise zur OH Telemedien der DSK
Was folgt aus der überarbeiteten Fassung der Orientierungshilfe Telemedien der Datenschutzkonferenz für die Umsetzung? Damit befasst sich dieser Beitrag einer Kanzlei.
5.15 Kündigungsbutton für Verbraucher
Bei Produkten und Dienstleistungen, die sich an Verbraucher richten und diesen online angeboten werden, ist durch die Anbieter seit Mitte 2022 ein Button zur Online-Kündigung vorzusehen. Laut diesem Bericht, der sich auf eine Untersuchung des vzbv bezieht, haben viele Anbieter dies noch nicht umgesetzt.
5.16 Veranstaltungen
5.16.1 DSK: „Der Data Act und die Zukunft des Datenschutzes“
30.01.2023, 14:00 – 17:00 Uhr: Zum Abschluss seines Vorsitzes der Datenschutzkonferenz lädt der BfDI Expertinnen und Experten zum Gespräch zum o.g. Thema ein. Die Veranstaltung ist im Live-Stream besuchbar. Details hier.
5.16.2 Universität Saarland: Next Generation Firewalls und der Zielkonflikt mit dem Datenschutz
31.01.2023, 18:15 – 19:45 Uhr: Welche Zielkonflikte es mit dem Datenschutz beim Einsatz von IT-Sicherheitslösungen geben könnte, betrachtet eine Expertin im Rahmen der Vorlesung „Datenschutz in der Praxis“ an der Universität Saarland. Weitere Infos und Link finden Sie hier.
5.16.3 Marburger Vorträge zum Recht der Digitalisierung
31.01.2023, ab 18:00 Uhr: Der Vortrag trägt den Titel: „Kann KI den Menschen in Rechtsprechung und Rechtspflege ersetzen? Einsatz digitaler Technologien in der Rechtsprechung“. Den Link zur Veranstaltung finden Sie hier.
6 Gesellschaftspolitische Diskussionen
6.1 Bleiben Cyberrisiken versicherbar?
Eine spannende Frage, die letztendlich alle betrifft, auch Versicherungen können Opfer eines Cyberangriffs werden, wie sich hier nachlesen lässt. Sie sind ja bereits schon mal dazu informiert worden. Mit dieser Frage befasst sich jetzt auch dieser Podcast, der ca. 50 Min. dauert. Langsam wird dieses Thema immer konkreter. Wie reagiert die Industrie? Sie gründet einen neuen Versicherer. Das bleibt nicht unkommentiert.
Franks Nachtrag: Wenn Sie nun ein Déjà-vu haben, ich hatte im letzten Blogbeitrag schon kurz darüber berichtet.
6.2 Deutschland bei der Informatik in der Schule abgehängt
Das ist das simple Ergebnis einer Studie, die der Stifterverband in Auftrag gab und die sich mit dem Vergleich der Informatik an Schulen in Europa befasst. Zur Verbesserung wird u.a. empfohlen, dass alle Bundesländer nicht nur ein Pflichtfach Informatik einführen, sondern dies auch über einen Zeitraum von mehr als ein oder zwei Jahren anbieten. Langfristig sollten informatische Kompetenzen von der Grundschule bis zur Sekundarstufe II vermittelt werden.
6.3 Elektronischer Medikationsplan?
Laut dieser Meldung fordern zwei Krankenkassen die schnelle Einführung eines elektronischen Medikationsplans für alle Versicherten, um dadurch mehr Arzneimitteltherapiesicherheit zu erreichen. Mit einheitlichen maschinenlesbaren Standards soll z.B. die Dokumentation von etwa Allergien oder komplexen Dosierschemata eingeführt werden. Um Patientendaten sektorenübergreifend nutzen zu können, brauche es zudem einheitliche und sicher verfügbare Schnittstellen zu der Software von Arztpraxen, Krankenhäusern und Apotheken, so eine weitere Forderung. Im Rahmen des bundesweiten Projekts TOP („Transsektorale Optimierung der Patientensicherheit“) arbeiten diese Krankenkassen bereits zusammen mit 14 verschiedenen Kliniken daran Informationslücken bezüglich der Arzneimitteltherapie zu schließen. Das Projekt TOP laufe seit Oktober 2020 und ende im September 2024. Um auch eine Verfügbarkeit nach dieser Laufzeit sicherzustellen, seien die Projektteilnehmer bereits in Gesprächen mit der Gematik. Na dann.
Franks Nachtrag: In diesem Zusammenhang sei auch an die elektronische Patientenakte erinnert, dazu gibt es hier eine aktuelle FAQ. Und hier beantwortet die Bundesregierung Fragen nach dem E-Rezept.
7 Sonstiges/Blick über den Tellerrand
7.1 Warum reagieren wir in sozialen Netzwerken?
In nur 4:30 Minuten befasst sich dieser Podcast mit den Fragen, warum wir uns verleitet fühlen auf Nachrichten zu reagieren, wie dies die Emotionen beeinflusst und warum es manchmal besser sei sich einfach zurückzuhalten.
7.2 Phänomen Influencer
„Als Prominenter alten Schlages musste man noch irgendetwas besonders gut können oder wenigstens besonders reich oder blaublütig sein. Bei Influencern erwächst die Prominenz sozusagen aus sich selbst. Sie sind berühmt, weil sie bekannt sind und in selbst referenzierter Dauerschleife ihr eigenes Leben inszenieren.“
Allein die Eingangsfeststellung macht Lust, mehr von der 4:30 Min langen Befassung mit dem Phänomen der Influencer anzuhören. Auch für alle Eltern, deren Kinder den Berufswunsch „Influencer“ äußern.
7.3 #everynamecounts
Es passt gut zum vergangenen Freitag. Wer sich vom HomeOffice aus engagieren will, kann sich hier einbringen: Die digitale Erfassung der Opfer des Nationalsozialismus erfolgt durch die Tätigkeit des „Arolsen Archives“. Dabei werden die Namen auf KZ-Dokumenten digitalisiert und somit in einem Online-Archiv auffindbar gemacht. So hilft die Digitalisierung Geschichte nicht vergessen zu lassen. Auch ein Forschungsprojekt des Fraunhofer-Instituts IAIs und der Stiftung Haus der Geschichte verbindet KI, Zeitzeugen und Emotionen. Um die Zeitzeugeninterviews des Hauses der Geschichte in Bonn besser zu erschließen – sowohl auf der Transkriptionsebene als auch hinsichtlich des Zugangs zu den Interviews – wird nun Spracherkennung und das Sprachverstehen eingesetzt. Mittels dieser KI soll die Geschichte, Authentizität und Glaubhaftigkeit gerade auch gegenüber jungen Menschen vermittelt werden.
7.4 Bildung und der Lehrermangel
Die Wirtschaft will mehr Informatikunterricht, die Eltern weniger Fehlstunden und was wollen die Schulen? Diese wollen vor allem Lösungen für den Personalmangel, Hilfe bei der Digitalisierung und Abbau der Bürokratie, wie sich aus der Umfrage einer Bayerischen Lehrervereinigung ergibt.
8. Franks Zugabe
8.1 Apropos ChatGPT, die dritte
The third time is the charm? Oder ist es immer noch keine Tradition? Nach letzter und vorletzter Woche hier wieder ein paar Beiträge zu ChatGPT:
- CNET ist dabei erwischt worden, wie sie ca. anderthalb Jahre lang eine AI benutzten, die ihnen Finanzartikel für die Webseite schrieb. Hier schreibt Buzzfeednews, dass sie sich inspirieren ließen. Nur nutzten sie ChatGPT. Das genau diesen Artikel schrieb. Mit Unterstützung eines Menschen. Denn ohne lief es wohl nicht so gut.
- Auch wenn dieser Beitrag schon etwas älter ist, hier hat jemand kurz vor Weihnachten 20 Experimente mit ChatGPT durchgeführt
- Wenn Sie heise+-Leser sind, können Sie hier nachlesen, dass nicht alle Anleitungen von ChatGPT gut für Ihre Geräte sein müssen (konkret geht es u.a. um eine Digitalkamera, in die Sie einen Analogfilm einlegen sollen, zumindest ist soviel vor der Paywall erkennbar).
- Wie ChatGPT die Lehre verändert – das könnte als Frage schon eine eigene Auflistung an Artikeln produzieren. Hier eine Auswahl: Ein Interview als Auszug aus einer aktuellen c’t „KI rüttelt uns hier wach“, die Deutsche Welle thematisiert ChatGPT im Zusammenhang mit Bildung „ChatGPT is changing education, AI experts say — but how?“, hier ist ein Artikel, wie Universitäten wohl demnächst mit Systemen wie ChatGPT in Seminar- und Abschlussarbeiten umgehen wollen, während bei FiveThirtyEight darüber geschrieben wird, dass „Teaching In The Age Of AI Means Getting Creative“. Im Artikel wird davon berichtet, dass in Australien teilweise wieder dazu übergegangen wird, Arbeiten mit Stift und Papier absolvieren zu lassen. Auch eine Art von Kreativität.
- Das hier einfach mal kommentarlos: Gautam Adani, Asia’s richest man, is addicted to ChatGPT (OK, eine Information für den Kontext, das ist nach dem Artikel der drittreichste Mensch der Erde).
- Ach ja, und dann will Microsoft noch ChatGPT in seine Cloud-Dienste übernehmen. Wir hatten ja schon berichtet, dass Microsoft ChatGPT in die Bing-Suche integrieren will.
Vielleicht wird es ja dann mit diesen ganzen Integrationen doch noch etwas mit Clippy.
8.2 Apropos KI, apropos China
Während in den USA ein Experiment, ob eine Verteidung mit Hilfe einer KI gelingen könnte, am Widerstand der sich benachteiligt fühlenden Anwaltschaft scheiterte (siehe meine Anmerkung), ist China da längst weiter. Nachzulesen im Artikel „How China’s AI is automating the legal system“.
8.3 Bei Google hat jemand ethische Bedenken?
Ach, echt? Nach diesem Artikel wohl schon. Es geht darum, dass Musik anhand einer textlichen Beschreibung durch die GoogleKI MusicLM kreiert wird, analog zu z.B. ChatGPT, dem ich ja auch grob skizizieren kann, was ich als geschriebenes Ergebnis erwarte. Oder DALL-E, das ähnliches bei Bildern leistet (wie John Oliver bereits berichtete).
8.4 KI? Wer haftet da eigentlich?
Auch eine gute Frage. Hier gibt es erste Ansätze einer möglichen Antwort.
8.5 KI in rechtlichen Untiefen?
„Zwei Klagen in den USA und ein ebenso bilderbuchhaftes wie notwendiges Erwachen auf rechtlicher Ebene lassen für 2023 erwarten, dass die Entwickler kreativer „KI“-Umgebungen vielleicht den Fuß ein wenig vom Gaspedal nehmen werden. Ob dies noch rechtzeitig geschieht, ist fraglich, denn bekanntlich fliegt der Raser regelmäßig aus der Kurve“.
So beginnt der mit „Von DALL•E bis DABUS – Mit großen Schritten voran in rechtliche Untiefen“ benannte Artikel eines Juristen. Lesenswert.
8.6 KI und politische Lobbyarbeit
In diesem Essay beschäftigt sich Bruce Schneier mit den Folgen von KI auf politische Lobbyarbeit.
8.7 Von Staats wegen gehackt…
Es gibt Unternehmen, die Smartphone Forensic Software an Regierungen verkaufen. Für die Anbieter ist es natürlich nicht so schön, wenn jemand ihre Software bzw. dazugehörige Dokumentationen veröffentlicht. Für uns eher schon, denn dann gibt es zumindest theoretisch die Chance Abhilfe gegen solche Software zu bekommen.
Leider ist der Einsatz solcher Software aber (vor allen Dingen auch bei uns in Europa) gar nicht so selten, wie hier (youtube, ca. 6 Min.) live aus Brüssel und eloquent am Beispiel PEGASUS erläutert wird.
8.8 Potsdam, immer wieder Potsdam?
Potsdam hatten wir zum Jahreswechsel hier im Blog. Die Stadtverwaltung hatte (wieder einmal) Sicherheitsprobleme und deswegen die gesamte IT vom Netz genommen.
Am 17.01.2023 wurde dann berichtet, dass zumindest E-Mails in der Stadtverwaltung wieder ankämen. Am 22.01.2023 wurde ergänzt, dass nun nach und nach die IT-Systeme der Stadt wieder hochgefahren werden sollten.
Dass dabei auch „bessere“ Virenscanner aktiviert wurden, hat dann wohl zu einer erneuten vorsorglichen Abschaltung geführt.
Wenn es für alle davon Betroffenen (ich denke vor allen Dingen an Bürger:innen, die dringend Dienste der und Unterstützung durch die Stadtverwaltung benötigen) nicht so traurig wäre, es wäre eigentlich fast schon lustig.
Und nein, es ist nicht nur Potsdam. Es kann auch eine Universität betroffen sein.
Oder ein IT-Dienstleister der Krankenkassen. Aber weitere Digitalisierung in der medizinischen Versorgung ist ja kein Thema, oder? … warte, was?
Hier ist übrigens ein Kommentar, der zu erklären versucht, warum gerade Universitäten scheinbar so oft mit Cybersecurity-Problemen zu kämpfen haben.
8.9 Copyright? Die Macht des Schweigens? End Poem?
Ich hatte ja letztens erst einen Blogbeitrag zum Thema Copyright gebracht. Ich weiß, ich weiß, wo ist da der Datenschutz. Gute Frage.
Wo ist er in der folgenden Geschichte? Eine noch bessere Frage.
Trotzdem, lesen Sie erst diese Tweet-Reihe. Und dann, wenn Sie mögen, auch diesen Blogbeitrag. Und dann haben Sie das, was im Englischen so schön „food for thoughts“ heißt. Aber letztendlich, wenn Sie diese Worte nicht neugierig gemacht haben, dann lesen Sie lieber die anderen Beiträge hier. Die sind ja auch gut und informativ…
8.10 Wenn ein Ransomware-Befall der letzte Tropfen ist, der ein Fass zum überlaufen bringt…
Dann geht ein Fahrradhersteller insolvent. Nachzulesen hier, wobei die Details zum Ransomware-Befall „aufgrund der laufenden Ermittlungen und Untersuchungen“ eher dünn sind. Ob ein gutes Backup- und Wiederherstellungskonzept geholfen hätte? Zumindest bei dem letzten Tropfen?
8.11 Retro-Fotos: Volkszählung 1987
Einfach eine interessante Slideshow von Fotos zum Boykott anlässlich der geplanten Volkszählung 1987. Nein, nicht die abgesagte Volkszählung. Diese hier.
8.12 Programmierbarer Euro?
Soll es nach diesem Artikel gemäß den EU-Finanzministern nicht geben.
Mir stellt sich sofort die Frage, wie jemand auf die Idee kommen kann Geld programmierbar zu machen. Ich meine mal mit Ausnahme der Crypto-Bros.
Ach, und wo wir gerade bei Crypto-Bros sind, ist hier jemand N26-Kunde?
8.13 Wie viel Netz brauchen Kids?
Endlich mal wieder eine geklaute Überschrift. Im Podcast geht es ca. 47 Minuten lang um Medienkompetenz bei Kindern und Jugendlichen. Im Begleittext geht es zusätzlich um die Spionage-Gefahr im Kinderzimmer durch Smart Toys. Der Podcast ist hörens-, der Text lesenswerts.
9. Die guten Nachrichten zum Schluss
9.1 BSI: App-Sicherheit für Jugendliche
In einem kurzen Videoclip (4:09 Min) informiert das BSI über Möglichkeiten, was Erziehungsberechtigte tun können, um Kinder und Jugendliche bei der sicheren Nutzung von digitalen Diensten zu unterstützen, welche Einstellungen sie selbst vornehmen können, um Internet-Plattformen Kindersicher einzurichten, und welche Maßnahmen auch auf technischer Ebene möglich sind, um Kinder und Jugendliche vor Cyber-Mobbing zu schützen.
9.2 Kartenspiel zur Sensibilisierung von Grundschulkindern
Wie sensibilisieren wir Kinder zum eigenverantwortlichen Umgang mit Daten? Hier hat die österreichische Datenschutzbehörde zusammen mit der Universität Wien eine schöne Idee realisiert: Ein Quartett-Kartenspiel, das über QR-Code auf den Karten zu kurzen Videos weiterleitet, die für unterschiedliche Altersstufen weitere Infos vermitteln.