Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 07-10/2023)“
Hier ist er, der 62. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 07-10/2023)“.
Da der den Blogbeitrag hier einstellende Autor die letzten vier Wochen leider überwiegend anderweitig beschäftigt war, kommt dieses Mal wieder ein etwas umfangreicherer Blogbeitrag mit mehr als 140 Einzelbeiträgen. Also besorgen Sie sich (mindestens) ein Getränk Ihrer Wahl, setzen Sie sich bequem hin und haben Sie viel Vergnügen und Erkenntnisgewinn beim Lesen.
Apropos Lesen: Im Großen und Ganzen sind die Einzelbeiträge je Kalenderwoche inhaltlich sortiert. Wo es notwendig ist, wird im jeweiligen Einzelbeitrag auf einen Folgebeitrag verwiesen (siehe zum Beispiel die Beiträge zu den Guidelines oder zu den Anforderungen an Einwilligungen in E-Mail-Werbung).
- Aufsichtsbehörden
- EDSA: Vorsitzenden-Neuwahl und Guidelines
- BfDI: keine Ausreden mehr
- LfDI Baden-Württemberg: Tätigkeitsbericht für 2022
- LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – MS 365 an Schulen in Baden-Württemberg
- LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – Verantwortlichkeiten bei Datenschutzverletzungen im Postversand
- LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – HomeOffice in Drittstaaten
- LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – Schutzbereich gesetzlicher Aufbewahrungsfristen
- LfD Bayern zu MS 365 an Schulen
- BayLDA: Prüfverfahren gegen letzte Generation wegen Datenpanne
- LfDI Rheinland-Pfalz: Aktionsplan für 2023
- LSI Bayern: Leitfaden zu Ransomware
- Belgien: Hinweise zur Cookie-Banner-Gestaltung
- Dänemark: Auskunftsanspruch aus Art. 15 umfasst auch Chat in Computerspielen
- Niederlande: Gesundheitsdaten für die wissenschaftliche Forschung
- ICO: Tipps für Spiele-Entwickler zu Kinderdatenschutz
- Liechtenstein: Stand der Technik nach Artt. 25, 32 DS-GVO
- Spanien: Unzulässige Datensammlung in Bewerbungsbogen
- Äußerungen von Datenschutzaufsichten
- EDSA: Guidelines nach Überarbeitung veröffentlicht
- EDSA begrüßt Verbesserungen im Entwurf des Angemessenheitsbeschlusses für die USA
- EDSA: Annahmeverfahren für nationale Kriterien von Zertifizierungsanforderungen
- BfDI: Untersagung zu Facebook-Fanpages
- BfDI zu Messengerdiensten
- BfDI zur Identifizierung durch Callcenter
- BfDI: FAQ zu TrustPID
- Sachsen-Anhalt: Bewertung zu MS 365
- Sachsen-Anhalt: Posse um Besetzung des LfDI
- Irland: Anforderungen an die Qualifikation von DSB
- Italien: Einfluss von Meta (Facebook) auf die Wahlen
- Niederlande: Tesla verbessert Kameraeinstellungen
- CNIL: Tipps für Gewerkschaften
- Katalonien: Entwicklungsleitfaden zu Privacy by design und Privacy by default
- Kanada: Untersuchungen gegen TikTok
- Hessen: Handreichung zu Datenschutz bei Wahl- und Abstimmungswerbung
- Hessen: Einführung einer Mastodon-Instanz für Landesregierung
- Kath. Aufsicht in Bayern
- Irland: Tätigkeitsbericht für 2022
- Rechtsprechung
- BAG: Vorlagefrage an EuGH zu Kollektivvereinbarungen (Art. 88 DS-GVO)
- VG Hannover: Einsatz von Handscanner zur Steuerung interner Abläufe
- Vergleich bei Schadenersatz in Österreich
- Hessischer VGH: Wahlrecht bei datenschutzrechtlichen Klagen
- Generalanwalt am EuGH: Auskunft und Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO)
- BGH: Löschfristen bei Restschuldbefreiung im Insolvenzverfahren
- OLG Wien: Rechtsfolgen der „Anerkennung der Datenschutzerklärung“
- EuGH: Vorlage des BAG zu Betriebsvereinbarungen (Art. 88 DS-GVO)
- EuGH zur Auslegung des Art. 15 RL 2002/58 und zu Anforderungen an Herausgabebeschlüsse
- KG Berlin: Anforderung an Einwilligung zur E-Mail-Werbung
- BVerfG: Anforderungen an Datenanalyse für die vorbeugende Bekämpfung von Straftaten
- Österreich: Verantwortlichkeit bei einem Werbeschreiben
- Weiteres zu Anforderungen an Einwilligung zur E-Mail-Werbung
- Rechtsschutz bei „Wayback-Machine“?
- KG Berlin: Aufsichtsbehördenmeinungen nicht bindend für Gerichte
- AG Trier: Kein Beweisverwertungsverbot bei Bußgeldbescheiden bei „Handy-Blitzern“?
- EUGH: Ausblick zu Schlussanträgen des Generalanwalts zu Vorlagefragen (Schufa)
- EUGH: Ausblick zu Urteil zu der Umsetzung bei Beschäftigten-Datenschutz
- BKartA: Zulässigkeit einer Vergabe bei latentem Zugriffsrisiko über Cloud Act
- KG Berlin: Anforderungen an Sperrung eines Netzwerk-Accounts
- BVerwG: Beweislast bei Berichtigungen nach Art. 16 DS-GVO
- LG Ravensburg: Zwanghafter Fingerabdruck für Handyentsperrung
- Gesetzgebung
- Angemessenheitsbeschluss USA
- Hinweisgeberschutzgesetz
- Wissenschaftlicher Dienst des EP: Haftung für künstliche Intelligenz
- Windkraft und Datenschutz
- EU: Konsultation zur Durchsetzung der DS-GVO
- Kraftfahrzeugbundesamt und Datenschutzkonzepte
- Registerdatengesetz für Gesundheitsdaten
- Bundestag: Kritik an Chatkontrolle
- Verlängerung von Elster-Verfahren zur Identifizierung?
- EU: Europäisches Parlament zum Entwurf des Angemessenheitsbeschlusses zugunsten der USA
- bitkom: Cyber Resiliance Act
- Umsetzung der Whistleblowerrichtlinie
- Schweiz: FAQ zu neuem Datenschutzrecht
- Künstliche Intelligenz und Ethik
- Roundtable-Reihe ethische KI: Lösungskonzepte
- Rechtliche Gesichtspunkte bei ChatGPT
- Prüfungsmodelle für große Sprachmodelle
- Einsatz von KI bei der MS-Suchmaschine Bing
- ZVKI: Potenziale von erklärbarer KI zur Aufklärung von Verbraucher*innen
- KI und Urheberrecht (USA)
- Amazon warnt Mitarbeitende vor ChatGPT
- KI in Werbeaussagen
- ChatGPT: Chancen und Risiken der Verwendung
- Entwicklung der Regulatorik zu KI
- Bin ich vom AI Act betroffen?
- Veröffentlichungen
- Schweiz führt für Bund MS 365 ein
- NIST: Stand der Technik bei Verschlüsselung
- Handbook – weltweiter Datenschutz
- Unzureichende IT-Sicherheit an Hochschulen
- Datenschutzlücken bei Telemedizin-Portalen
- Datenschutz für Unternehmen
- Entwicklung der Datenschutzregulatorik weltweit
- NIS-2: EU-Update zur Cybersicherheit
- EU-Rahmenvertrag für Open Source
- Irreführendes Zertifikat des BSI für Arztterminservice-Tool
- Schadenersatzklagen nach Veröffentlichung von Meldedaten
- Online-Betrug und Datenschutz – Diskussion auf ARTE
- Sanktionierung von Unternehmen
- Podcast mit ehemaligem LfDI Baden-Württemberg
- Sehen und gesehen werden: Parkraumüberwachung
- Verbraucherschutzwissen
- Aktualisierung der ISO/IEC 27701
- Datenpannen bei AV
- Einwilligung zu E-Mail-Marketing
- Geschichte des Datenschutzes
- Podcasts zu Deepfakes vs. Datenschutz und KI/ChatGPT vs. Urheberrecht
- Podcast zu Fotografie und Datenschutz
- Veranstaltungen
- iRights – Wie wir unsere Privatsphäre technisch schützen
- BMBF – Anonymisierung und Pseudonymisierung von Gesundheitsdaten für Forschungszwecke
- Universität Brüssel – Will “noyb vs. META” change the internet business model?
- vbw – 7. Deutsch-amerikanischer Datenschutztag
- Symposium des BLM / IUM – Künstliche Intelligenz: Herausforderungen für das Medienrecht
- Gesellschaftspolitische Diskussionen
- Cyberversicherungen: Vorvertragliche Anzeigepflichten
- Start-Ups und große IT-Player
- Folgen des Cyberangriffs auf Continental
- Münchner Sicherheitskonferenz zum Cyberwar
- Was darf Satire?
- Subventionskontrolle per Satellit
- Gutachten der Expertenkommission Forschung und Innovation
- Google löscht
- Google-Fonts-Abmahnungen – Geschäftsmodell?
- Meldungen zu TikTok – TikTok-Verbot auf dienstlichen Geräten der EU-Kommission und der US-Regierung
- Meldungen zu TikTok – UX bei TikTok oder wie manipuliere ich Nutzer:innen
- Meldungen zu TikTok – TikTok-Teenage-Filter
- Meldungen zu TikTok – Bye, bye TikTok
- Soziale Netzwerke und politische Manipulation
- Überwachung
- USA und Haftung bei IT-Sicherheitsrisiken in Software
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT, Nr. 5
- I ♥ Free Software
- OMG is the AI Coming For My Job?!???!??!!!?!?!?
- Das WC soll Gesundheitsdaten sammeln
- Cory Doctorow über „Enshittification“ von Plattformen am Beispiel von Tiktok
- Techniktagebuch
- Camera the Size of a Grain of Salt
- Von der Unsicherheit des Foto-Zuschneidens
- Essay on banning TikTok
- Elephant Hackers
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Vorsitzenden-Neuwahl und Guidelines
Nach der Agenda des EDSA für diese Woche (Stand KW07, Anmerkung der Redaktion) ist mit einer baldigen Veröffentlichung einiger Guidelines nach Abschluss des Konsultationsverfahrens zu rechnen. Neben der Neuwahl zum Vorsitz standen auch die Guidelines 05/2021 zu Übermittlungsbegriff im Drittstaatentransfer, der Guideline 07/2022 zur Zertifizierung als Hilfsmittel zur Übermittlung und die Guideline 03/2022 zu irreführenden Gestaltungsmustern in Schnittstellen zu Social-Media-Plattformen auf der Tagesordnung. Wie der BfDI berichtet, werden die Guidelines 03/2022 und 07/2022 bald auch auf der Homepage des EDSA in der aktualisierten Fassung veröffentlicht. Auch wurde der Stand des „EU – U.S. Data Protection Framework“ thematisiert und die Meinungsverschiedenheit mit der irischen Aufsicht über die Anwendung des Art. 65 DS-GVO diskutiert.
Franks Nachtrag: Sie möchten hier weiterlesen.
1.2 BfDI: keine Ausreden mehr
In einem Gastbeitrag setzt sich der BfDI mit den „üblichen“ Schuldzuweisungen bei gescheiterten Projekten auseinander und scheut sich auch nicht, dabei Beispiele und Namen zu nennen. Er bietet aber auch weiterhin Gesprächsbereitschaft an, um gemeinsam rechtskonforme Lösungen zu erreichen. Dazu nimmt er auch die Datenschutzaufsichtsbehörden in die Pflicht, um mit engagierter Beratung und modernisierten Strukturen noch schneller abgestimmte Antworten auf nationaler und europäischer Ebene zu wichtigen rechtlichen und technischen Fragestellungen geben zu können.
Im Interview mit dem MDR (Link dazu, 5 Min.) betont der BfDI auch, wie wichtig derzeit Datenschutz einzuschätzen sei.
1.3 LfDI Baden-Württemberg: Tätigkeitsbericht für 2022
In seinem Tätigkeitsbericht für das Jahr 2022 spricht der LfDI Baden-Württemberg einige interessante Punkte an, wie z.B.:
1.4 LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – MS 365 an Schulen in Baden-Württemberg
Unter Ziffer 3.1 ab Seite 46 fasst der LfDI Baden-Württemberg seine Aktivitäten und Bewertungen zum Einsatz von MS 365 an Schulen zusammen. Er kündigt auch an, bei Beschwerden diesen nachzugehen. Daneben erlaubt er sich einen dezenten Hinweis, dass nicht nur er als Aufsichtsbehörde bei einem Verstoß gegen Datenschutzverletzungen aktiv werden könne, sondern dass Schulen auch Schadenersatzforderungen nach Art. 82 DS-GVO ausgesetzt sein könnten.
Franks Nachtrag: Damit scheint er wohl die Eltern oder betroffene Lehrer:innen zu meinen… #ZwinkerZwinker
1.5 LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – Verantwortlichkeiten bei Datenschutzverletzungen im Postversand
Unter der Ziffer 9.2.2 ab Seite 91 gibt er Ausführungen, wer für Störungen beim Postversand verantwortlich sei. Regelmäßig sei vor allem darauf zu achten, dass mit einem hinreichenden Postausmangsmanagement sowie angemessener Verpackung alle spezifischen Maßnahmen ergriffen werden, um eine Verarbeitung im Sinne der DS-GVO sicherzustellen. Dies beinhalte neben der ordnungsgemäßen Sortierung von ausgedruckten Dokumenten, z.B. durch farbige Trennblätter, insbesondere auch die Sicherstellung der korrekten Zuordnung der Dokumente zu einem adressierten Kuvert. Hierfür sind turnusmäßige Stichproben beispielsweise durch Kontrollwägungen vorzunehmen. Auch die stetige Sensibilisierung der Mitarbeitenden im Bereich des Postversands sei unabdingbar.
Für den Verlust auf dem Postweg selbst sei bei Auswahl eines vertrauenswürdigen Dienstleisters eine Verantwortlichkeit im Sinne der DS-GVO zwar regelmäßig nicht gegeben. Denn der Dienstleister werde bei der Beförderung von Postsendungen regelmäßig nicht als Auftragsverarbeiter im Sinne von Art. 28 DS-GVO eingesetzt, sondern handele als selbstständig Verantwortlicher. Dies entlasse einen Versender von Dokumenten mit sensiblen Inhalten jedoch nicht aus der bereits oben aufgezeigten Verantwortung bis zur Übergabe der Sendungen angemessene Maßnahmen zu ergreifen. Des Weiteren könne es durchaus angebracht sein, auch Maßnahmen zu ergreifen die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. In diesem Fall kann beispielsweise die Inanspruchnahme einer Sendungsverfolgung angezeigt sein.
1.6 LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – HomeOffice in Drittstaaten
Unter der Ziffer 9.3.1 ab Seite 93 finden sich die Einschätzung des LfDI Baden-Württemberg zu Tätigkeiten im HomeOffice aus einem Drittstaat heraus. Grundsätzlich sei Homeoffice deutscher (europäischer) Arbeitnehmer in Drittstaaten außerhalb der EU durch das Datenschutzrecht nicht ausgeschlossen. Wenn die Tätigkeit mit einem Zugriff auf aus der EU stammende personenbezogene Daten einhergehe, seien seiner Ansicht nach allerdings – zusätzlich zu geeigneten technischen und organisatorischen Maßnahmen – die Vorgaben des Kapitels 5 der DS-GVO zu beachten. Mit Ausnahme derjenigen Lander, für die die Europäische Kommission ein im wesentlichen gleichwertiges Datenschutzniveau attestiert hat, sei damit ein auf den jeweiligen Einzelfall zugeschnittenes „transfer impact assessment“ erforderlich, in dem die besonderen Risiken, denen die Daten außerhalb der EU ausgesetzt sind, untersucht werden.
Wer hier fleißig liest, weiß auch, dass der EDSA in seiner Guideline 05/2021 im Beispiel 5 im Fall eines dienstreisenden Beschäftigten, der mittels VPN-Tunnel und seines firmeneigenen Laptops auf die Firmendaten in Europa zugreift, eine andere Einschätzung hat, weil es sich dabei immer um nur einen Verantwortlichen handele.
Der LfDI Baden-Württemberg weist aber auch explizit darauf hin, dass der Transferbegriff auch zwischen den Aufsichtsbehörden weiterhin in der Diskussion stünde; die Arbeitsgruppe „Internationaler Datentransfer“ des EDSA arbeite derzeit an einer neuen Definition des Transferbegriffs, die auch für Zweifelsfälle wie rechtlich unselbständige Niederlassungen eines Verantwortlichen oder Dienstreisen Rechtsklarheit bringen soll. Ein vollständiger Ausschluss aller Datenbewegungen innerhalb ein und desselben Verantwortlichen oder Auftragsverarbeiters von den Vorgaben über den Drittstaatentransfer wird zumindest von den deutschen Datenschutzaufsichtsbehörden mehrheitlich nicht geteilt, weil dies zur Folge hätte, dass personenbezogene Daten in Drittstaaten speziellen Risiken unterworfen werden könnten, ohne dass beispielsweise Betroffene hierüber gemäß Art. 13 bzw. 14 DS-GVO ausreichend informiert werden müssten, so dass sie faktisch keine Möglichkeit zum Widerspruch hätten.
1.7 LfDI Baden-Württemberg: Tätigkeitsbericht für 2022 – Schutzbereich gesetzlicher Aufbewahrungsfristen
Unter der Ziffer 9.3.2 ab Seite 94 befasst er sich mit der Frage der Aufbewahrungsfristen; insb. inwieweit eine betroffene Person durch eine vorzeitige Löschung beschwert sein kann. Ein Bankkunde beschwerte sich, weil die Bank den Nachweis der Einrichtung einer Kontovollmacht löschte. Dabei berief sich die betroffene Person darauf, dass die Aufbewahrungsfrist nach HGB und AO noch nicht abgelaufen sei. Für den LfDI BW ist dafür, ob die vorzeitige Löschung die betroffene Person in ihren Rechten verletzen kann, der Schutzzweck der gesetzlichen Aufbewahrungspflichten maßgeblich. Die diesbezüglichen handels- und steuerrechtlichen Bestimmungen dienten regelmäßig nicht den Beweisführungsinteressen der Kontoinhaber, sondern dem Schutz der ordnungsgemäßen Buchführung als Grundvoraussetzung jeder ordnungsgemäßen Wirtschaftsführung. Als Kaufmann im handelsrechtlichen Sinn ist die Bank nach § 238 HGB verpflichtet, Bücher zu führen und in diesen ihre Handelsgeschäfte und die Lage ihres Vermögens nach den Grundsätzen ordnungsmäßiger Buchführung ersichtlich zu machen. Dies diene dem Schutz des Wirtschaftsverkehrs. Zudem solle die Aufbewahrung vom Unterlagen nach der Abgabenordnung eine ordnungsgemäße Besteuerung sicherstellen. Eine datenschutzrechtliche Rechtsverletzung der betroffenen Person ist daher bei einer vorzeitigen Datenlöschung zu verneinen.
Klarstellend ergänzt er aber auch, dass einer betroffenen Person eine datenschutzrechtliche Beschwerdebefugnis nur gegen eine Überschreitung handels- und steuerrechtlicher Aufbewahrungspflichten, nicht aber gegen deren Unterschreitung zustünde.
1.8 LfD Bayern zu MS 365 an Schulen
Auch in Bayern gibt es noch Schulen, an denen MS 365 eingesetzt wird. Laut diesem Bericht sieht der LfD Bayern beim Einsatz von Teams derzeit keine rechtliche Möglichkeit das Programm datensicher einzustellen. Bei einer Beschwerde* müsse er daher aktiv werden. Betroffene Schulen könnten dann auf Visavid umsteigen. Bei den übrigen Programmen des Office-Paketes versuche er einen Mittelweg zu gehen, der möglichst wenig Reibungsverluste im Schulalltag verursache. Er bietet den Schulen an, auf Wunsch eine Art Bedienungsanleitung zu erstellen, um MS 365 so einzustellen, dass möglichst wenige Daten übertragen werden. Laut einem Sprecher des Kultusministeriums stehe dies mit ihm bereits genau zu der Frage einer datensparsamen Konfiguration im Austausch.
* Franks Anmerkung: Meint etwa auch er eine Beschwerde durch Eltern oder betroffene Lehrer? #ZwinkerZwinker
1.9 BayLDA: Prüfverfahren gegen letzte Generation wegen Datenpanne
„Du machst du was mit IT? Kannst du mal bitte… ?“ Wie schnell daraus ein heikles Verfahren beim BayLDA werden kann, zeigt der Vorgang um eine im Netz zugängliche Liste von Personen, die durch die „letzte Generation“ hinsichtlich Einsatzmöglichkeiten und Kontaktangaben geführt wurde. Der Verantwortliche hat eine Adresse in Bayern in seinen Webangaben hinterlegt, so dass nun das BayLDA laut dieser Meldung deswegen seine Zuständigkeit prüft und ermittelt.
1.10 LfDI Rheinland-Pfalz: Aktionsplan für 2023
Der LfDI Rheinland-Pfalz hat einen Aktionsplan für sein Aufgabengebiet für 2023 veröffentlicht. Danach setzt er einen Schwerpunkt auf die Schaffung und Erhaltung digitaler Souveränität hinsichtlich technischer Entwicklungen, Digitalisierungsprozessen und Datenströmen. Dies umfasst auch die Prüfung von Newsletterversendungen aus dem privaten Bereich.
1.11 LSI Bayern: Leitfaden zu Ransomware
Weil es dieser Tage wieder verstärkt Thema ist: Hier der Hinweis auf den Leitfaden Ransomware des Bayerischen Landesamtes für Sicherheit in Informationstechnik, die Handreichung des BayLDA zur Ransomware-Präventionsprüfung und die Infos des BayLDA anlässlich Log4Shell (dort unter Ziffer 5), wann es eine Meldepflicht nach Art. 33 DS-GVO in diesen Fällen für erforderlich erachtet.
1.12 Belgien: Hinweise zur Cookie-Banner-Gestaltung
Die belgische Datenschutzaufsicht hat auf ihrer Webseite ihre Sichtweise klargestellt, dass die ePrivacy-Richtlinie sich nicht auf die technischen Möglichkeiten von Cookies begrenzen lässt (deswegen sollte man ja eher auch von „Consent-Banner“ sprechen, weil ja die Einwilligung unabhängig von der Technik geregelt werden soll). Daneben hat sie auch Beispiele veröffentlicht, wie eine rechtskonforme Cookie-Banner-Gestaltung nach ihrer Ansicht erfüllt bzw. nicht erfüllt wird.
1.13 Dänemark: Auskunftsanspruch aus Art. 15 umfasst auch Chat in Computerspielen
Nach der durch die dänische Datenschutzaufsicht veröffentlichten Information umfasst der Auskunftsanspruch aus Art. 15 DS-GVO grundsätzlich auch Chatverläufe in Spielen. Allerdings muss das Unternehmen laut der dänischen Aufsicht keine Daten herausgeben, die andere Personen betreffen oder in Zusammenhang mit Betrugsbekämpfungsmaßnahmen stünden.
1.14 Niederlande: Gesundheitsdaten für die wissenschaftliche Forschung
Die niederländische Datenschutzaufsicht hat sich zur Thematik der wissenschaftlichen Forschung mit Gesundheitsdaten geäußert. In einer ausführlichen Veröffentlichung betont sie u.a., dass die DS-GVO nicht für die Daten verstorbener Personen gilt, dass da dann aber u.U. andere Vorgaben wie die ärztliche Schweigepflicht beachtet werden müssten. Für noch lebende Personen könne der Gesetzgeber entsprechende gesetzliche Regelungen im Rahmen seiner Zuständigkeit treffen. Die DS-GVO lasse in Art. 5 Abs. 1 lit. b eine Zweckänderung zu wissenschaftlichen Zwecken ausdrücklich zu. Eine weiterverarbeitende Einrichtung wie eine Forschungsstelle müsse dann aber eine eigene Rechtsgrundlage vorweisen können. Das Papier beinhaltet auch eine FAQ-Liste, die dabei auch niederländisches Recht berücksichtigt.
1.15 ICO: Tipps für Spiele-Entwickler zu Kinderdatenschutz
Die britische Aufsichtsbehörde hat Hinweise zur Umsetzung der datenschutzrechtlichen Anforde-rungen bezogen auf Kinder veröffentlicht. Diese richten sich an Spieleentwickler und beinhalten u.a. Hinweise zur Altersverifikation und Anforderungen an die Transparenz der Gestaltung.
1.16 Liechtenstein: Stand der Technik nach Artt. 25, 32 DS-GVO
Die Datenschutzstelle Liechtenstein hat Informationen zum Stand der Technik veröffentlicht und dies am Beispiel der E-Mail-Verschlüsselung veranschaulicht. Darüber hinaus werden Referenzquellen angegeben. „Stand der Technik“ ist das Niveau, das die DS-GVO für technische und organisatorische Schutzmaßnahmen in Art. 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und in Art. 32 (Sicherheit der Verarbeitung) erwartet.
1.17 Spanien: Unzulässige Datensammlung in Bewerbungsbogen
Die spanische Datenschutzaufsicht verhängte nach diesem Bericht ein Bußgeld in Höhe von 40.000 Euro, weil in einem Bewerbungsverfahren mehr Daten als erforderliche abgefragt wurden. Zudem handelte sich dabei um Daten der besonderen Kategorie nach Art. 9 Abs. 1 DS-GVO, die besonders geschützt sind.
1.18 Äußerungen von Datenschutzaufsichten
Die ist keine Info von, sondern eher über Aufsichtsbehörden. Natürlich freut sich jede/r, wenn Aufsichtsbehörden sich deutlich äußern – und dies in der Regel positiv. Entlastet dies doch verantwortliche Personen, sich selbst einzuarbeiten und eine Meinung nicht nur zu äußern, sondern auch zu verantworten. Veröffentlichen Aufsichtsbehörden aber kritische oder gar ablehnende Bewertungen über Produkte, dann ist fraglich, ob dies noch von ihrem Auftrag gedeckt ist. Hier ist ein Beitrag zu den rechtlichen Fragestellungen dazu – mit Antworten.
1.19 EDSA: Guidelines nach Überarbeitung veröffentlicht
Wie angekündigt hat der EDSA drei Guidelines nach dem Konsultationsverfahren in überarbeiteter Fassung veröffentlicht. Dies betrifft die Guideline 05/2021 zu dem Begriff der Übermittlung im Drittstaatentransfer, die Guideline 03/2022 zu trügerischen Designmuster in Schnittstellen von Social Media-Plattformen und die Guideline 07/2022 zu Zertifizierungen im Drittstaatentransfer.
Bei der Drittstaatenübermittlung erfolgte eine Klarstellung zu den Verantwortlichkeiten des Verantwortlichen, wenn der Datenexporteur ein Auftragsverarbeiter ist. Außerdem wurden weitere Beispiele hinzugefügt, um Aspekte der direkten Erhebung sowie die Bedeutung von „der Datenimporteur befindet sich in einem Drittland“ zu klären. Zudem wurde ein Anhang mit weiteren Illustrationen zu den in den Leitlinien enthaltenen Beispielen ergänzt, um das Verständnis zu erleichtern.
Die Leitlinien zur Zertifizierung zu Drittstaaten besteht aus vier Teilen, die sich jeweils auf spezifische Aspekte der Zertifizierung als Instrument für Übertragungen konzentrieren. Die Leitlinien ergänzen die Leitlinien 1/2018 zur Zertifizierung, die eine allgemeinere Anleitung zur Zertifizierung bieten.
Die Guideline 03/2022 bietet Designern und Nutzern von Social-Media-Plattformen praktische Empfehlungen zur Bewertung und Vermeidung irreführender Gestaltungsmuster in Social-Media-Schnittstellen, die nach Ansicht des EDSA gegen die DS-GVO-Anforderungen verstoßen. Dabei geben sie konkrete Beispiele für trügerische Gestaltungsmuster, stellen bewährte Verfahren für verschiedene Anwendungsfälle vor und enthalten spezifische Empfehlungen für Designer von Benutzeroberflächen, die die wirksame Umsetzung der DS-GVO erleichtern sollen. Die überarbeitete Fassung enthält aktualisierte Formulierungen und weitere Klarstellungen. Im Titel wurde der Begriff „Dark Pattern“ durch den Begriff „trügerische Designmuster“ ersetzt. Außerdem wurden einige Klarstellungen hinzugefügt, z.B. dazu, wie die vorliegenden Leitlinien in den Design-Thinking-Prozess integriert werden können. Auch wurde ein zweiter Anhang hinzugefügt, der einen schnellen Überblick über alle bewährten Verfahren bietet.
1.20 EDSA begrüßt Verbesserungen im Entwurf des Angemessenheitsbeschlusses für die USA
… hat aber immer noch Bedenken. So kann man die Ergebnisse in dem Papier des EDSA zusammenfassen. In seiner „Opinion 05/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework” begrüßt er u.a. die wesentlichen Verbesserungen in Bezug auf die Grundsätze der Notwendigkeit und der Verhältnismäßigkeit sowie die zusätzlichen Garantien für den neuen Rechtsbehelfsmechanismus. Es werden aber auch die Bedenken formuliert, wie u.a. das Fehlen zentraler Definitionen, weitreichende Ausnahme vom Auskunftsrecht für öffentlich zugängliche Informationen, das Fehlen spezifischer Regeln für automatisierte Entscheidungsfindung und Profilerstellung sowie das Fehlen einer systematischen unabhängigen Ex-post-Überprüfung durch ein Gericht oder ein gleichwertiges unabhängiges Gremium. Der EDSA empfiehlt, dass nach der ersten Überprüfung der Angemessenheitsentscheidung mindestens alle drei Jahre eine weitere Überprüfung stattfinden sollte.
Die Pressemeldung des BfDI dazu finden Sie hier.
Die International Trade Administration hat auch eine FAQ-Liste zum EU-US Data Privacy Framework veröffentlicht. Ein umfassende Zusammenstellung der Meinungen und Veröffentlichung zu dem Thema findet sich in der Community dieses Verlages.
1.21 EDSA: Annahmeverfahren für nationale Kriterien von Zertifizierungsanforderungen
Auf seiner Plenarsitzung im Februar hat der EDSB ein Verfahren für die Annahme von Stellungnahmen des EDSB zu nationalen Zertifizierungskriterien und europäischen Datenschutzsiegeln angenommen. Dieses Dokument richtet sich an alle Antragsteller von Zertifizierungskriterien und zielt darauf ab, die Verabschiedung von Stellungnahmen des EDSB zu Zertifizierungskriterien zu straffen und zu erleichtern, indem das Genehmigungsverfahren für nationale und EU-weite Zertifizierungskriterien sowie für Zertifizierungskriterien, die als Instrumente für internationale Übermittlungen gedacht sind, klargestellt wird.
Das Dokument enthält alle Schritte vorgestellt, die die Datenschutzbehörden von dem Zeitpunkt an unternehmen müssen, an dem sie die Kriterien von den Systeminhabern erhalten, bis zu dem Zeitpunkt, an dem sie dem EDSB-Vorsitzenden mitteilen, ob sie beabsichtigen, der EDSB-Stellungnahme zu folgen.
1.22 BfDI: Untersagung zu Facebook-Fanpages
Der BfDI hat dem Bundespresseamt die Nutzung der Facebook-Fanpages untersagt. Ganz unerwartet kam das nicht, was allein bereits im Bezug des Betreffs des Bescheides ersichtlich ist. Danach ist dem BPA die Nutzung vier Wochen nach Bekanntgabe des Bescheides untersagt.
Das BPA kann dies noch gerichtlich überprüfen lassen. Die Presse hat dazu schon ausführlich berichtet.
Die weiteren Aussagen des Bescheides sind, worüber nicht bei allen berichtet wird: Nämlich, dass durch den Betrieb der Facebook-Fanpages nach Ansicht des BfDI das BPA nicht die Anforderungen des Art. 5 Abs. 1 DS-GVO einhalten konnte und diesbezüglich durch den BfDI verwarnt wurde. Eine Verwarnung gab es auch, weil über den Betrieb der Facebook-Fanpages das BPA auch dafür verantwortlich sei, die Anforderungen des TTDSG einzuhalten. Hier wirft der BfDI dem BPA vor, dass ohne Erfüllung der Rechtsgrundlagen Informationen in den Endeinrichtungen der Endnutzer gespeichert werden und auf Informationen, die bereits in den Endeinrichtungen der Endnutzer gespeichert sind, zugegriffen wurde. Schließlich gab es auch noch eine Verwarnung an das BPA, weil auf den von ihm betriebenen Facebook-Fanpages personenbezogene Daten erhoben und an Meta übermittelt wurden, obwohl hierfür keine wirksame Rechtsgrundlage gegeben sei. Die bisherige Historie zu der Thematik ist hier gut aufbereitet.
Der 44-seitige Bescheid zeigt aber auch, womit sich Betreiber von Facebook-Fanpages befassen sollten. Der BfDI führt auf, welche Cookies bei der Nutzung von Facebook-Fanpages gesetzt werden, die Dauer der Gültigkeit und den (ggf. mutmaßlichen) Zweck. Er bemängelt zudem auch die Gestaltung des Einwilligungsbanners.
Nach den Berichten zur Reaktion des BPA wird es den Betrieb wohl nicht einstellen. Für einen sofortigen Vollzug durch den BfDI wurde diesem nicht die gesetzliche Befugnis erteilt. Ein Gerichtsverfahren ist dabei nicht auszuschließen.
Auch in Sachsen gibt es Diskussionen um den Einsatz der Facebook-Fanpages der Staatsregierung.
Die Datenschutzaufsicht der Erzdiözese München und Freising schloss sich den Bewertungen des BfDI an und setzt mit Datum vom 23.03.2023 diese Anordnung für die Dienststellen in Bayern mit der Maßgabe in Kraft, dass die Ausführungsfrist Ende März 2023 endet. Zudem wird dabei auch auf mögliche Schadenersatzforderungen der betroffenen Personen hingewiesen.
Und auch der Datenschutzbeauftragte der Evangelischen Kirche in Deutschland erinnerte an eine Entschließung, in der die in seiner Zuständigkeit liegende Stellen an deren Nachweisfähigkeit der Einhaltung der Rechenschaftspflicht bei der Nutzung von Facebook-Fanpages erinnert wird.
Im Übrigen gelten die Anforderungen an die Nachweisfähigkeit des rechtskonformen Einsatzes hinsichtlich der Verarbeitung personenbezogener Daten auch bei anderen sozialen Netzwerken. Auch hier ist zu prüfen, inwieweit in Anwendung der Rechtsprechung des EuGH dabei eine gemeinsame Verarbeitung vorliegt, ob eine Nachweisführung Anforderungen einer Aufsichtsbehörde erfüllen kann und wie transparent die getroffenen Regelungen aus Sicht der betroffenen Personen sind.
Und wer nun glaubt, dass eine Verwarnung folgenlos bleibt, kann sich in diesem Beitrag einer renommierten Kanzlei zu den Konsequenzen einer Verwarnung durch Datenschutzaufsichtsbehörden informieren.
1.23 BfDI zu Messengerdiensten
Der BfDI hat seine Einschätzung zu Nutzung von Messengerdiensten veröffentlicht. Zunächst stellt er fest, dass Messaging-Lösungen aus unserem Alltag nicht mehr wegzudenken seien und auch im Umfeld der Bundesverwaltung an Popularität gewönnen. Ihre Nutzung habe insbesondere aufgrund der COVID-19-Pandemie und der daraus resultierenden steigenden Zahl von Beschäftigten, die mobil arbeiten, enorm zugenommen. Er beleuchtet daher in seiner Veröffentlichung verschiedene Aspekte des Daten- und Privatsphäreschutzes bei Messengern, nimmt eine Definition des Begriffs Messengerdienst vor, stellt die Rechtsgrundlagen und die Zuständigkeit seiner Behörde dar und ergänzt um einen kurzen Ausblick auf das Thema der Interoperabilität von Messengern. Abschließend geht er noch auf All-in-One-Messenger ein.
1.24 BfDI zur Identifizierung durch Callcenter
Wer sich noch an das Bußgeld des BfDI an einen TK-Anbieter wegen der unzureichenden Authentifizierung der Berechtigungen bei Anrufern im Callcenter erinnert und die kuriose Verteidigungsargumentation „Uns hat ja keiner gesagt, dass Name und Geburtsdatum (als einzige Daten zum eindeutigen Identifizieren abzufragen) nicht Stand der Technik sei“, freut sich, dass der BfDI nun auch Hinweise zur Authentifizierung bei TK-Anbietern veröffentlicht hat. So können nach den Ausführungen des BfDI in diesem Fall bei einem TK-Anbieter bestimmte Geschäftsvorgänge nur noch dann telefonisch erledigt werden, wenn die Kunden sich mit einer persönlichen Kundenkennzahl oder einer PUK legitimieren. Nach der Position des BfDI ist für Geschäftsvorgänge, bei denen private Daten preisgegeben werden oder es zu vertraglichen Änderungen kommt, diese sichere Legitimierung erforderlich. Damit wird das kleine 1×1 der Schutzmaßnahmen hoffentlich auch einem breiteren Kreis bekannt.
1.25 BfDI: FAQ zu TrustPID
Der BfDI informiert zu dem Projekt TrustPID über FAQ. Diesem Projekt werden Chancen eingeräumt den Markt für personalisierte Online-Werbung zu verändern. Der BfDI gibt auf Basis des aktuellen Sachstands eine Einschätzung zum Projekt. Als Alternative zu der im Internet weit verbreiteten personalisierten Werbung auf Basis von Drittanbieter-Cookies entwickeln große Telekommunikationsanbieter aktuell die Plattform TrustPID. Mit diesem Dienst sollen Nutzende auf Basis ihrer IP-Adresse erkannt werden*. TrustPID ist daher nicht als „Super-Cookie“ zu verstehen. In seinen FAQ erklärt der BfDI, wie TrustPID funktionieren soll und wie er das Vorhaben bewertet**.
Es finden sich bereits Hinweise im Netz, wie von Nutzern TrustPID auf mobilen Endgeräten in drei Schritten deaktiviert werden kann***.
* Franks erste Anmerkung: Das Perfide dabei ist, dass wir uns gegen diese Art des Trackings bei der Nutzung von Mobilfunkprovidern nicht wehren können (mit Ausnahme vom vorgesehenen Opt-Out, siehe meine dritte Anmerkung bzw. oben erwähnte Hinweise). Da hilft kein VPN und kein Browser-Plugin, die Daten werden durch den Provider schon „auf seiner Seite“ erhoben. Einfach nur durch das Inanspruchnehmen der Verbindung.
** Franks zweite Anmerkung: Finger hoch, wer über seine Einschätzung überrascht ist…
*** Franks dritte Anmerkung: Ihr ToDo für heute: Deaktivieren Sie! Für alle mobilen Endgeräte, die Sie per Mobilfunkverbindung mit dem Internet verbinden (also alles, was nicht nur exklusiv per Festnetzanschluss (sei es kabelgebunden oder per WLAN) mit dem Internet verbunden ist). Viel Spaß bei IoT-Devices, die per Mobilfunk angebunden werden, übrigens. Da bekommt ja Surfen im Auto über den im Auto integrierten Mobilfunkzugang auf einmal ein ganz anderes Gewicht, oder?
Franks Nachtrag: Hier wird berichtet, wie das in the wild aussieht. Womit ich auf meine dritte Anmerkung zurück komme…
1.26 Sachsen-Anhalt: Bewertung zu MS 365
In seiner Rubrik „Informationen“ weist der Landesbeauftragte im „Infopaket Microsoft 365“ auf seine Bedenken hin und veröffentlich die Texte seiner Anschreiben an öffentliche und nicht-öffentliche Stellen sowie die Unterlagen der DSK, Stand November 2022.
1.27 Sachsen-Anhalt: Posse um Besetzung des LfDI
In Sachsen-Anhalt ist weiterhin die Position der Leitung der Datenschutzaufsicht unbesetzt. Nun soll durch eine Gesetzesänderung auf Landesebene auf eine öffentliche Stellenausschreibung verzichtet werden und die Benennung erleichtert werden. Hintergründe dazu finden sich in der Pressemeldung der Deutschen Vereinigung für Datenschutz e.V. (DVD).
1.28 Irland: Anforderungen an die Qualifikation von DSB
Die irische Datenschutzaufsicht hat ein zweiseitiges Dokument zu den Anforderungen an einen Datenschutzbeauftragten veröffentlicht.
Franks Nachtrag: Ob sie in Irland bei der Datenschutzaufsicht auch das berufliche Leitbild der Datenschutzbeauftragten kennen? Das gibt es schließlich bereits seit 2018 ein einer deutsch/englischen Version. Just sayin’…
1.29 Italien: Einfluss von Meta (Facebook) auf die Wahlen
Die italienische Datenschutzaufsicht informiert, dass sie die Aktivitäten von Facebook untersucht, die im Vorfeld der letzten Parlamentswahlen erfolgten. Dabei versucht sie Unterstützung durch die irische Aufsicht zu erhalten*. Die Information der italienischen Aufsicht Garante finden Sie hier, eine Darstellung des Vorgangs dort.
* Franks Anmerkung: Good luck with that! Die irische Datenschutzaufsicht ist ja nicht gerade für ihre überschwengliche Kooperationsbereitschaft in der Zusammenarbeit mit anderen Datenschutzaufsichtsbehörden bekannt, eher sogar noch fürs Gegenteil ausgezeichnet. Wer dem Link „dort“ folgt, liest übrigens auch im konkreten Fall von ausbleibenden Reaktionen…
1.30 Niederlande: Tesla verbessert Kameraeinstellungen
Nach einer Veröffentlichung der niederländischen Datenschutzaufsicht gestaltet Tesla künftig die Einstellungen der Sicherheitskameras datenschutzfreundlicher. Im Wächtermodus soll das Auto zum Beispiel vor Diebstahl oder Vandalismus schützen. Zu diesem Zweck werden mit vier Kameras an der Außenseite des Fahrzeugs Bilder aufgenommen. In der Standardeinstellung, wenn der Überwachungsmodus aktiviert war, filmten die Kameras kontinuierlich alles rund um einen geparkten Tesla und speicherten jeweils eine Stunde an Bildmaterial. Aufgrund von Software-Updates sind die Kameras nun standardmäßig ausgeschaltet. Und wenn der Nutzer sie doch einschaltet, speichern sie jetzt maximal 10 Minuten an Material. Viele Tesla-Autos, die auf der Straße geparkt waren, haben oft jeden gefilmt, der sich dem Auto näherte, und diese Aufnahmen auch sehr lange gespeichert. Passanten wurden gefilmt, ohne es zu wissen. Der Besitzer des Tesla konnte sich die Aufnahmen ansehen. Wenn er das Auto vor dem Fenster einer Person parkte, konnte er hineinschauen und sehen, was diese Person tat. Das sei laut niederländischer Aufsicht ein schwerer Eingriff in die Privatsphäre.
Tesla wird zitiert, dass das Unternehmen nach Beginn der Untersuchung mehrere Anpassungen vorgenommen habe. So werde der Überwachungsmodus jetzt nur noch aktiviert, wenn das Auto berührt wird. Und nicht mehr, sobald die Kameras eine „verdächtige“ Bewegung um das Auto herum sehen. Außerdem beginne das Auto in einem solchen Moment nicht mehr standardmäßig zu filmen, sondern der Besitzer erhält lediglich eine Textnachricht auf sein Telefon. Das Auto könne weiterhin Kamerabilder aufnehmen, aber nur, wenn der Benutzer diese Funktion selbst aktiviert. Wenn die Kameras Bilder aufnehmen, zeige das Auto dies auf dem Bildschirm im Fahrzeug an. Die Scheinwerfer geben dann auch ein spezielles Lichtsignal ab. Auf diese Weise wüssten die Leute, dass sie gefilmt werden. Außerdem speichert das Auto standardmäßig nur 1 Minute Filmmaterial. Der Besitzer könne dies bei Bedarf auf 10 Minuten verlängern. Schließlich verblieben die Aufnahmen bereits im Auto, und es sei nicht möglich, sie mit Tesla zu teilen.
Ein Bußgeld sei für Tesla nicht erwogen worden, da nicht Tesla, sondern die Besitzer der Fahrzeuge datenschutzrechtlich die Verantwortlichen seien*.
* Franks Anmerkung: In diesem Zusammenhang finde ich ja die Meldung unter 6.16 auch für Tesla spannend. So als Softwarelieferant.
1.31 CNIL: Tipps für Gewerkschaften
Die französische Datenschutzaufsicht hat Tipps zum datenschutzrechtlichen Umgang mit Daten für Gewerkschaften veröffentlicht. Auch für die Vertreter der Interessen von Beschäftigten gelten die datenschutzrechtlichen Regelungen.
1.32 Katalonien: Entwicklungsleitfaden zu Privacy by design und Privacy by default
Die katalonische Datenschutzaufsicht hat unter dem Titel Privacy by design and Privacy by default. A guide for developers einen Leitfaden (auf Englisch) veröffentlicht, der über 39 Seiten Hinweise und Anleitungen gibt, um datenschutzrechtliche Vorgaben bereits bei der Entwicklung zu beachten.
1.33 Kanada: Untersuchungen gegen TikTok
Die Datenschutzbehörden von Kanada, Québec, British Columbia und Alberta kündigten eine gemeinsame Untersuchung der Kurzvideo-Streaming-Anwendung TikTok an. Die Untersuchung wurde im Anschluss an inzwischen beigelegte Sammelklagen in den Vereinigten Staaten und Kanada sowie zahlreiche Medienberichte über die Erhebung, Verwendung und Weitergabe personenbezogener Daten durch TikTok eingeleitet. Die Untersuchung umfasst, ob die Praktiken des Unternehmens mit den kanadischen Datenschutzgesetzen übereinstimmen und insbesondere, ob eine gültige und sinnvolle Zustimmung für die Erhebung, Verwendung und Weitergabe von personenbezogenen Daten eingeholt wird. Im Rahmen der Untersuchung wird auch festgestellt, ob das Unternehmen seinen Transparenzverpflichtungen nachkommt, insbesondere bei der Erhebung personenbezogener Daten von seinen Nutzern. In Anbetracht der Bedeutung des Schutzes der Privatsphäre von Kindern wird sich die gemeinsame Untersuchung insbesondere auf die Datenschutzpraktiken von TikTok in Bezug auf jüngere Nutzer konzentrieren, einschließlich der Frage, ob das Unternehmen von diesen Nutzern eine gültige und sinnvolle Zustimmung für die Erhebung, Verwendung und Weitergabe ihrer personenbezogenen Daten erhalten hat.
1.34 Hessen: Handreichung zu Datenschutz bei Wahl- und Abstimmungswerbung
Die Informationen zu Parteien, Wählergruppen und deren Ziele, sowie zu Linklisten der Kandidat:innen sind ein wesentlicher Faktor einer funktionieren Demokratie. Der HBDI hat zu der Thematik „Datenschutz bei Wahl- und Abstimmungswerbung“ eine Handreichung veröffentlicht, die in gekürzter Fassung (4 Seiten) und in einer Langfassung (12 Seiten) verfügbar sind. Nur der Vollständigkeit halber wird erwähnt, dass Angaben über politische Meinungen wie auch weltanschauliche Überzeugungen zu den besonderen Kategorien von Daten in Art. 9 Abs. 1 DS-GVO gehören, bei denen die Zulässigkeit einer Verarbeitung erst über eine Grundlage aus Art. 9 Abs. 2 DS-GVO geschaffen werden muss. Die Handreichung befasst sich u.a. auch mit der Beauftragung von Datenanalyseunternehmen, um für Zielgruppen individuell orientierte und somit möglichst effektive Werbung anbieten zu können.
Vielleicht verhindert die Berücksichtigung der Hinweise manch negative Imageerlebnisse, wie zum Beispiel die, über die hier und auch hier berichtet wird.
1.35 Hessen: Einführung einer Mastodon-Instanz für Landesregierung
Der HBDI begrüßt die Eröffnung einer Mastodon-Instanz durch die Hessische Landesregierung. Mit der Nutzung des dezentralen Netzwerks Mastodon gehe die Hessische Landesregierung einen wichtigen Schritt in Richtung digitaler Souveränität. Sie zeige damit, wie öffentliche Stellen bürgernah kommunizieren können, ohne dabei gegen datenschutzrechtliche Vorgaben zu verstoßen. Auch der HBDI will bald diese Kommunikationsmöglichkeit nutzen.
1.36 Kath. Aufsicht in Bayern
Die bayerischen (Erz-) Bischöfe haben den bisherigen betrieblichen Datenschutzbeauftragten des erzbischöflichen Ordinariats München und Datenschutzkoordinator mit Wirkung vom 01.04.2023 zum Nachfolger des gegenwärtigen Amtsinhabers berufen, wie sie auf ihrer Webseite berichten. Der bisherige Amtsinhaber beendet nun mit 80 Jahren diese Aufgabe. Wie Sie hier lesen können, hat der neue Amtsinhaber zu diesem Zeitpunkt gleich schon Entscheidungen zu treffen, wie zum Umgang mit Facebook-Fanpages durch katholische Stellen in Bayern.
1.37 Irland: Tätigkeitsbericht für 2022
Die irische Datenschutzaufsicht hat ihren Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Neben den „üblichen“ Aussagen zu Beratungsfragen, Sanktionen und sonstigen Aktivitäten findet sich auch eine Auflistung der Bußgelder, bei der offensichtlich nicht wie bei uns diskutiert wird, ob die Unternehmen genannt werden dürfen (ab Seite 23). Interessant fand ich auch, dass bei der Auflistung von Entscheidungen durch Aufsichtsbehörden, die im europäischen Kontext abgestimmt wurden, sich meist die Social-Network-Lieblinge aus den Marketingabteilungen wiederfinden (ab Seite 31). In einem eigenen Kapitel werden die Aktivitäten zugunsten der Awareness bei Kindern beschrieben.
2 Rechtsprechung
2.1 BAG: Vorlagefrage an EuGH zu Kollektivvereinbarungen (Art. 88 DS-GVO)
Was darf in einer Kollektivvereinbarung (=> Betriebsvereinbarung“) zwischen Arbeitgeber und Beschäftigtenvertretung alles geregelt werden? Sind durch eine Umsetzung des Spielraums aus Art. 88 DS-GVO im nationalen Recht wie durch § 26 BDSG dann auch die weiteren Vorgaben der DS-GVO zu berücksichtigen? Und wie verhält es sich dazu bezüglich Anforderungen an einen immateriellen Schadenersatz? Das sind grob zusammengefasst die Kernfragen, die das BAG dem EuGH zur Klärung vorgelegt hat. Der Ausgangsfall betrifft eine Auslagerung eines Personalverwaltungssystem an einen Dienstleister und die Regelung über eine Betriebsvereinbarung. Details aus dem Verfahren vor dem LAG Baden-Württemberg dazu finden sich hier.
Franks Nachtrag: Da dieser Blogbeitrag mehrere Wochen abdeckt, gibt es hier ein Update.
2.2 VG Hannover: Einsatz von Handscanner zur Steuerung interner Abläufe
Das Ergebnis überrascht dann doch etwas, die schriftliche Begründung liegt noch nicht vor. Das VG Hannover hat die permanente Datenerfassung bei Mitarbeitertätigkeiten eine Online-Versandhändlers für zulässig erklärt und der Klage gegen die Untersagung durch die LDI Niedersachsen stattgegeben. Natürlich berichten nun fast alle darüber.
Reichen unternehmerische Interessen wirklich aus, um ununterbrochen und jeweils aktuell und minutengenau Qualitäts- und Quantitätsleistungsdaten der Mitarbeiterinnen und Mitarbeiter zu erheben und weiter zu verarbeiten? Die LDI Niedersachsen verneint dies weiterhin und will die Einlegung der Berufung prüfen, wenn die Urteilsgründe vorliegen.
Um was geht es denn genau? Das geht nur aus der Pressemitteilung des VG Hannover hervor. Ein Versandhändler setzt Handscanner ein, um mit diesen Daten bestimmte Arbeitsschritte innerhalb der jeweiligen Prozesspfade von Warenein- bis Warenausgang zu erfassen. Die Daten werden mit einer Softwareanwendung ausgewertet und dienen in erster Linie der Steuerung logistischer Prozesse. Daneben werden mit den Daten auch Bewertungsgrundlagen für Qualifizierungsmaßnahmen sowie für Feedback und Personalentscheidungen gelegt. Das Unternehmen sieht ein berechtigtes Interesse in der Verarbeitung und trägt entsprechende Interessen vor.
Das Gericht tagte sogar im Logistikzentrum und überzeugte sich dabei anscheinend auch von der Durchschlagskraft des Vorbringens. So konnte die Kammer nachvollziehen, dass es hinsichtlich der Optimierung der Logistikprozesse das Unternehmen die verarbeiteten Daten dazu nutzen kann, um auf Schwankungen in einzelnen Prozesspfaden durch Verschiebungen von Beschäftigten ad hoc zu reagieren und so den reibungsfreien Ablauf aller Prozesse innerhalb des Fulfillment Centers, das auf die Auslieferung der Ware zu einem genau definierten Zeitpunkt (Cut-Off-Zeitpunkt) ausgerichtet ist, zu garantieren. Auch könne die Klägerin individualisierte Qualifizierungsbedarfe der Beschäftigten schnell detektieren und auf diese reagieren. Es äußerst sich in der Pressemeldung auch zur Anwendbarkeit des § 26 BDSG.
Franks Nachtrag / readktioneller Hinweis: Hier haben wir etwas in die Presseerklärung hineingelesen, was dort nicht drin stand. Deswegen haben wir diese Meldung nachträglich angepasst. Verzeihen Sie eventuell entstandende Unannehmlichkeiten.
2.3 Vergleich bei Schadenersatz in Österreich
Über den Datenschutzvorfall bei der Österreichischen Post hatten wir schon ein paar Mal berichtet, einige Fragen dazu liegen auch beim EuGH zur Klärung. Die Österreichische Post hat über ihre Kunden Profile angelegt, die u.a. auch politische Affinitäten etc. beinhalteten. Dafür bekam sie einen Bußgeldbescheid der zuständigen Aufsicht über 18 Mio. Euro und ein Kläger zunächst 800 Euro immateriellen Schadenersatz zugesprochen. Beide Entscheidungen sind nicht rechtskräftig und Fragen zur Auslegung der DS-GVO liegen beim EuGH. Das ist der Hintergrund der Meldung, dass sich die Österreichische Post nun mit ca. 2.000 weiteren betroffenen Personen auf einen Vergleich geeinigt hat, der laut der Meldung eine Gesamtsumme von 2,7 Mio. Euro umfasst und bei dem es in Einzelfällen bis zu 1.350 Euro betragen kann.
2.4 Hessischer VGH: Wahlrecht bei datenschutzrechtlichen Klagen
An welches Gericht muss / kann ich mich als betroffene Person wenden, wenn ich Rechte aus der DS-GVO gegenüber einem Unternehmen geltend machen möchte? Der Hessische Verwaltungsgerichtshof entschied hierzu, dass zwar Art. 79 Abs. 2 DS-GVO dem Kläger kein Wahlrecht zustehe, dies ergebe sich aber aus § 44 Abs. 1 BDSG.
2.5 Generalanwalt am EuGH: Auskunft und Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO)
Der Generalanwalt am EuGH hat in seinem Schlussantrag in der Sache C-579/21 hervorgehoben (RN 88), dass der Zweck der in Art. 30 DS-GVO geregelten Verzeichnisse die Sicherstellung der Rechtmäßigkeit der Verarbeitung sowie die Integrität und Sicherheit der Daten sei. Die Verantwortung dafür liege allgemein bei der Aufsichtsbehörde, der der Verantwortliche und der Auftragsverarbeiter die Verarbeitungstätigkeiten betreffenden Verzeichnisse zur Verfügung stellen müssen (Art. 30 Abs. 4 DS-GVO). Es geht in dem Verfahren, ob vom Umfang der Auskunft auch die Identität der Beschäftigten umfasst sei, die unter der Aufsicht und auf Weisungen des Verantwortlichen die personenbezogenen Daten der betroffenen Person abgefragt haben. Der Generalanwalt verneint in seinem Vorschlag an den EuGH (RN 98) auch dies.
2.6 BGH: Löschfristen bei Restschuldbefreiung im Insolvenzverfahren
Wieder ein Gerichtsverfahren, wo für mich aus den mir bekannten Informationen noch Fragezeichen bleiben. Der BGH hat einen Termin einer Entscheidungsverkündung für den 28.03.2023 veröffentlicht, in welchem er seine Entscheidung zur Speicherdauer von Informationen, die eine Restschuldbefreiung im Insolvenzverfahren betreffen ankündigt. Darf diese Information noch in einer privaten Datenbank weiterhin verwendet werden, wenn die Frist für die Speicherung dieser Information im öffentlichen, bundesweiten Insolvenzportal bereits abgelaufen ist? Kann Art. 6 Abs. 1 lit. f DS-GVO dafür als Grundlage herangezogen werden? Und kann sich das Unternehmen auf genehmigte Verhaltensregeln bei einer Verlängerung dieser Frist berufen?
Das sind Fragen, die dem EuGH im Fall C-26/22 bereits vorliegen (siehe dort Fragen 3a, 3b und 5) und in C-64/22 (siehe dort Fragen 2, 4 und 5).
Die Entscheidung hier kann sich auf weitere Fälle einer Interessensabwägung auswirken, bei denen hinsichtlich der betroffenen Daten gesetzliche Fristen zur Veröffentlichung vorgesehen sind.
2.7 OLG Wien: Rechtsfolgen der „Anerkennung der Datenschutzerklärung“
Aus Österreich hatten wir bereits schon mal einen Fall, bei dem eine Klauselkontrolle angewendet wurde, damals durch den OGH. Nun hat das OLG Wien in einem Fall der Klage eines Verbraucherschutzverbandes gegen einen Reisemittelanbieter entschieden, dass mit der „Anerkennung“ der Datenschutzklausel eine Einwilligung verbunden sei, die den Anforderungen der DS-GVO gerecht werden müsse. Im vorliegenden Fall tat sie das (natürlich) nicht. Es mangele an der Transparenz, weil nicht konkret beschreiben sei, welche Datenarten übermittelt werden und wer die Empfänger wären.
Das OLG prüfte auch die Grundlage aus Art. 6 Abs. 1 lit. b DS-GVO und lehnte dies aber ab, weil die Auflistung verschiedene Zwecke – wie der „Erwerb von Zusatzleistungen wie Hotelbuchungen und Fahrzeuganmietung“ oder „Entwicklung und Angebot von Dienstleistungen“ – enthielt, die zur Erfüllung des Beförderungsvertrags nicht unbedingt erforderlich sind.
Auch für die Anwendung einer Rechtsgrundlage der Verarbeitung auf Basis des Art. 6 Abs. 1 lit. f DS-GVO sah das OLG als nicht gegeben an. Es gestand zwar zu, dass das Unternehmen und mit ihm in Verbindung stehende Dritte (wie die Anbieter von Zusatzleistungen) berechtigte Interessen verfolgen. Allerdings wären die Verarbeitungszwecke nur allgemein und ausufernd umschrieben, weshalb der Kunde die konkreten Zwecke, zu denen eine Datenverarbeitung erfolgen soll, nicht überschauen könne. Das Gleiche gelte für die möglichen Empfänger der verarbeiteten Daten. Zudem fehle der Klausel jegliche Bezugnahme auf eine dem Verhältnismäßigkeitsgebot entsprechende Interessensabwägung.
Auch wenn das Urteil in Österreich gefällt wurde: Die Unsitte, dass ich erst eine Erklärung zum Datenschutz akzeptieren müsse, kann zu unliebsamen rechtlichen Folge führen. Es besteht eine Pflicht nach Artt. 13, 14 DS-GVO für den Verantwortlichen, die betroffene Person zu informieren, nicht deren Zustimmung zu den Formulierungen nachweisen zu können. Wenn Sie Ihr Gebäck in einer Konditorei kaufen, reicht es auch, wenn Sie die Liste der Allergene und Zusatzstoffe leicht zugänglich erreichen und lesen können – Sie müssen nicht bestätigen, dass Sie sie akzeptieren!
2.8 EuGH: Vorlage des BAG zu Betriebsvereinbarungen (Art. 88 DS-GVO)
Letzte Woche gab es noch die Vorankündigung, jetzt ist auch das Aktenzeichen da: C-65/23. Den Beitrag aus der letzten Woche finden Sie weiter oben unter 2.1.
2.9 EuGH zur Auslegung des Art. 15 RL 2002/58 und zu Anforderungen an Herausgabebeschlüsse
Welche Anforderungen sind an einen Mitgliedsstaat zu richten, der in Umsetzung des Art. 15 der Datenschutzrichtlinie zur elektronischen Kommunikation (ePrivacy-RL) die Herausgabe von Daten der Kommunikation fordert? Das ist (ziemlich) grob die Frage, die dem EuGH aus Bulgarien vorgelegt wurde. Können vorgefertigte Texte eingesetzt werden und reicht dies für eine Einzelfallentscheidung aus?
Der EuGH kam zu der Entscheidung, dass Art. 15 Abs. 1 eine nationale Praxis nicht ausschließt, wonach gerichtliche Entscheidungen, mit denen der Einsatz besonderer nachrichtendienstlicher Techniken auf begründetes und detailliertes Ersuchen der Strafbehörden genehmigt wird, auf der Grundlage eines im Voraus festgelegten Textes ohne individuelle Begründung abgefasst werden und die sich darauf beschränken, neben der Gültigkeitsdauer der Genehmigung festzustellen, dass die Anforderungen der Rechtsvorschriften, auf die sich diese Entscheidungen beziehen, erfüllt sind. Es müssen aber die genauen Gründe, aus denen der zuständige Richter der Ansicht war, dass die rechtlichen Anforderungen angesichts der tatsächlichen und rechtlichen Elemente, die den betreffenden Fall kennzeichnen, erfüllt sind, aus einem Kreuzverständnis der Entscheidung und des Genehmigungsantrags leicht und eindeutig abgeleitet werden können. Letztere müssen nach Erteilung der Genehmigung der Person zur Verfügung gestellt werden, gegen die der Einsatz besonderer nachrichtendienstlicher Techniken genehmigt wurde.
Es bleibt einer weiteren Analyse vorbehalten, ob dies auch auf die Prüfung durch eine verantwortliche Fachkraft gemäß § 22 Abs. 6 TTDSG anwendbar ist, in den Fällen des Auskunftsverfahrens von Behörden gegen Telemedienanbieter.
2.10 KG Berlin: Anforderung an Einwilligung zur E-Mailwerbung
Sie stimmen einem Werbeemailnewsletter zu und erwarteen, dass Sie einmal die Woche einen Newsletter erhalten. Dieser kommt aber öfter. Geht nicht, urteilt das KG Berlin, weil der Versand der streitgegenständlichen E-Mails unzulässig sei, da dies eine gem. § 7 Abs. 1 UWG unzumutbare Belästigung darstelle. Eine solche unzulässige Belästigung sei stets anzunehmen bei Werbung unter Verwendung elektronischer Post, ohne dass eine vorherige ausdrückliche Einwilligung des Adressaten vorliegt (§ 7 Abs. 2 Nr. 2 UWG). Eine solche Einwilligung lag aber nur hinsichtlich eines wöchentlichen Versandes von E-Mails mit werblichem Inhalt vor, nicht aber hinsichtlich einer kürzeren Frequenz. Die Beklagte hat aber innerhalb einer Woche mehrere Werbe-E-Mails zugesandt. (vgl. RN 40 des Urteils). Zudem bestünde im aktuellen Fall auch Wiederholungsgefahr, so dass die Abmahnung des Verbraucherschutzorganisation zu Recht erfolgte. Details zu dem Fall lesen Sie auch hier.
Franks Nachtrag: Wir haben auch noch einen weiteren Eintrag zu Anforderungen an Einwilligungen zur E-Mail-Werbung. Und eine Veröffentlichung dazu.
2.11 BVerfG: Anforderungen an Datenanalyse für die vorbeugende Bekämpfung von Straftaten
Das BVerfG stellte fest, dass die Regelungen in Hessen und Hamburg zur automatisierten Datenanalyse für die vorbeugende Bekämpfung von Straftaten verfassungswidrig sind. Zu beachten: Es geht hier nicht um die Strafverfolgung, sondern „nur“ um die Wahrscheinlichkeit, dass und durch wen eine Straftat erfolgen könnte. Die überprüften Regelungen in den jeweiligen Landesgesetzen schafften eine spezielle Rechtsgrundlage dafür, bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen zu vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch zu erschließen. Das Urteil finden Sie hier, die Pressemeldung des BVerfG da, die Pressemeldung der Datenschutzaufsicht in Hamburg wartet hinter diesem Link und hier wartet die der Datenschutzaufsicht Hessen auf die Leser:innen.
2.12 Österreich: Verantwortlichkeit bei einem Werbeschreiben
Das Österreichische Bundesverwaltungsgericht bestätigte die rechtliche Bewertung der Datenschutzbehörde, dass durch die Unterschrift, der Verwendung eines Bildes, die Abfassung des Schreibens in der „Ich-Form,“ und die Unterzeichnung mit „Ihr xy“ von einem erheblichen Einfluss auf den Inhalt des Schreibens auszugehen sei und somit auch über Zwecke und Mittel der Verarbeitung der darin enthaltenen personenbezogenen Daten (mit-)bestimmt wurde.
In dem Fall ging es um eine Auseinandersetzung um den Kaufpreis, den eine Gemeinde zahlte und die Schilderung der Umstände in einer Wahlwerbebroschüre, in der dann allerdings auch die konkrete Adresse einer am Grundstücksverkauf beteiligten Person und der Kaufpreis benannt wurde.
2.13 Weiteres zu Anforderungen an Einwilligung zur E-Mail-Werbung
In diesem Blog-Beitrag einer Kanzlei werden zwei Fälle besprochen, die durch Gerichte entschieden wurden. Im Fall des OLG Hamm wurde entschieden, dass Unternehmen bei Einwilligungserklärung zwischen personalisierter und nicht-personalisierter Werbung differenzieren müssen.
Den Fall vom KG Berlin hatten wir weiter oben schon besprochen.
Diese Besprechung befasst sich dagegen mit der Frage, ab wann eine Einwilligung ihre Wirkung verliert, wenn sie nicht genutzt wird. Das AG München geht hier von vier Jahren aus.
Franks Nachtrag: Vielleicht möchten Sie auch das hier lesen.
2.14 Rechtsschutz bei „Wayback-Machine“?
Das LG Karlsruhe hat in einem wettbewerbsrechtlichen Verfahren entschieden, dass keine Vertragsstrafe geschuldet würde nachdem eine strafbewehrte Unterlassungsklage abgegeben wurde, über die „Wayback-Machine“ aber trotzdem moch Altversionen der Internetseite online verfügbar seien.
Im Verfahren ging es um zwei Rechtsanwaltskanzleien und um deren Online-Marketing. Eine Kanzlei hatte unzutreffenderweise mit jahrelanger Markterfahrung geworben, wurde abgemahnt und verpflichtete sich, diese Aussage nicht mehr zu treffen. Über archive.org war die Aussage auf archivier-te Seiten noch auffindbar. Das LG Karlsruhe stellt hierzu fest, dass es keinen Verstoß gegen die Unterlassungsverpflichtung darstelle, es nicht zu verhindern, dass alte Webseiten-Versionen mit der zu unterlassenden Werbung, die aus der Zeit vor Zustandekommen des Unterlassungsvertrags stammen, in einem von Dritten selbständig betriebenen Web-Archiv weiterhin auffindbar sind, welches von üblichen Internet-Suchmaschinen nicht durchsucht werden kann. Weitere Details lesen Sie hier.
Ist zwar „nur“ Wettbewerbsrecht, müsste aber eigentlich auch für die Löschung / Berichtigung personenbezogener Daten gelten, wenn der Betreiber keine weitere Einflussmöglichkeit auf diese oder vergleichbare „Wayback-Machine“-Anbieter hätte.
2.15 KG Berlin: Aufsichtsbehördenmeinungen nicht bindend für Gerichte
Es ist eigentlich nicht besonders erwähnenswert und rundlage des Schulwissens über Gewaltenteilung in Demokratien. Trotzdem wurde es in einem Verfahren vor dem KG Berlin laut diesem Beitrag thematisiert: Auffassungen einer Datenschutzaufsichtsbehörde sind für Gerichte nicht bindend. Im vorliegenden Fall ging es um Schadensersatzansprüche. Der Kläger berief sich u.a. auch auf eine Beurteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Das Gericht wies jedoch darauf hin, dass das Gericht das Vorliegen der Voraussetzungen eigenständig zu prüfen habe.
2.16 AG Trier: Kein Beweisverwertungsverbot bei Bußgeldbescheiden bei „Handy-Blitzern“?
Hierzu habe ich nur eine Fundstelle, die darüber berichtet: Mittels eines Handy-Blitzers wurden Autofahrer mit einem Bußgeld belegt. Der Handy-Blitzer ermittelt „mit KI“, ob ein Fahrzeugführer beim Fahren ein Smartphone in der Hand hält. Dies ist unzulässig und die Fahrer wurden dafür mit einem Bußgeld belegt. Für den Einsatz des Handy-Blitzers und die damit verbundene Verarbeitung personenbezogener Daten gab es jedoch keine spezifizierte Rechtsgrundlage. Egal, meint wohl das Amtsgericht Trier, es sei ja nur eine Probephase und die Eingriffsintensität sei nicht so hoch gewesen. Laut Bericht wurde bereits die Beschwerde beim OLG Koblenz angekündigt.
2.17 EUGH: Ausblick zu Schlussanträgen des Generalanwalts zu Vorlagefragen (Schufa)
Für den 16. März 2023 sind die Veröffentlichungen des Generalanwalts zu den Verfahren C634/21 (u.a. zu Art. 22 und Art. 6 DS-GVO): C26/22 und C64/22 (u.a. Löschfristen und Speicherfisten aufgrund behördlich genehmigter Verhaltensregeln) angekündigt.
2.18 EUGH: Ausblick zu Urteil zu der Umsetzung bei Beschäftigten-Datenschutz
Für den 30. März 2023 ist die Verkündung des Urteils angekündigt, in dem es zwar eigentlich „nur“ um eine hessische Formulierung zur Umsetzung der DS-GVO in Bezug auf Beschäftigtendaten hessischer Landesbediensteter geht (C-34/21), der aber aufgrund der wortgleichen Formulierung in § 26 BDSG eine Bedeutung weit darüber hinaus beigemessen wird. Konkret geht es um die Auslegung der Bedeutung einer „spezifischen Vorschrift“, wie sie Art. 88 Abs.1 DS-GVO fordert. Der Generalanwalt hatte dazu in seinen Schlussanträgen bereits ausgeführt, dass § 23 HDSIG insoweit irrelevant bzw. überflüssig sei, als er streng genommen keine spezifischeren Bestimmungen enthalte, die das Recht der Beschäftigten auf Schutz ihrer personenbezogenen Daten im Beschäftigungskontext gewährleisten und dass im Beschäftigungskontext (Arbeitsverhältnisse) grundsätzlich und unmittelbar die Bestimmungen der allgemeinen Regelung aus der DSGVO anzuwenden seien.
Der EuGH ist an diese Schlussanträge aber nicht gebunden. Der Ausgangsfall erinnert auch schön an die Ausgangssituation in der Pandemie, als es darum ging, inwieweit bei einem Schulunterricht, der über Videostream erfolgt, neben der Einwilligung der Erziehungsberechtigen der Kinder bzw. der volljährigen Kinder selbst, auch eine Einwilligung der Lehrkraft erforderlich sei oder ob die dabei erfolgte Verarbeitung der Bilddaten durch die Regelung in § 23 HDSIG gedeckt sei.
2.19 BKartA: Zulässigkeit einer Vergabe bei latentem Zugriffsrisiko über Cloud Act
Das Bundeskartellamt hat in einer Entscheidung die Zulässigkeit des Einsatzes von Unternehmen innerhalb der EU zu bewerten, die als Tochtergesellschaft eines US-Unternehmens von der Zugriffsmöglichkeit auf Informationen (hier u.a. Sozialdaten) durch US-Dienste auf Basis US-amerikanischer Gesetz betroffen sein können. Dabei hat das europäische Tochterunternehmen vertraglich zugesichert, dass alle Daten auf im Inland befindlichen Servern verarbeitet werden und die gesamte Leistungserbringung in Europa erfolgen soll. Auch gab es eine verbindliche Zusage ab, Weisungen der Muttergesellschaft auf Herausgabe von Daten nicht Folge zu leisten.
Das BKartA stellt fest (Seite 34), dass es gesellschaftsrechtlich es keinen Zwang für die Unterauftragnehmerin gäbe, einer solchen Weisung folgen zu müssen. Denn in diesem fiktiven Fall läge in der Übermittlung der besonders schützenswerten Sozialdaten an die in den USA ansässige Muttergesellschaft ein Verstoß gegen § 80 Abs. 2 SGB X; für die USA existiert derzeit kein Angemessenheitsbeschluss in Bezug auf die Vergleichbarkeit des Datenschutzniveaus.
Das BKartA führt in seiner Entscheidung u.a. aus, dass die bloße Tatsache, dass die Unterauftragnehmerin eine US-amerikanische Muttergesellschaft habe, führe nicht zu einer Verarbeitung der Daten in den USA, die einen Ausschlussgrund in Bezug auf den Bieter begründen könnte. Dies gelte selbst bei der Unterstellung, dass ein unberechtigter Zugriff, z.B. durch US-Behörden nicht ausgeschlossen werden könne.
Eine Weisung der US-Muttergesellschaft, die nach deutschem Recht rechtswidrig ist (z.B. wegen Verstoßes gegen Datenschutzrecht) sei für das deutsche Unternehmen, welches als juristische Person deutschem Recht unterfällt, von vornherein unbeachtlich. (Seite 36 f).
Eine ausführliche Besprechung der Entscheidung finden Sie hier.
2.20 KG Berlin: Anforderungen an Sperrung eines Netzwerk-Accounts
Welche Regelungen gelten für LinkedIn, wenn dieses berufliche Netzwerk Ihren Account sperren will? Darf das Netzwerk Sie sperren, wenn es glaubt, Ihr Beitrag verstoße gegen interne Vorgaben? Wie sieht es mit der Meinungsfreiheit dazu aus? Im entschiedenen fall ging es um die Veröffentlichung einer Studie, nach der das Risiko einen schwerwiegenden Impfschaden durch eine mRNA-Behandlung gegen Covid-19 zu erleiden, größer sei, als das Risiko ungeimpft wegen einer Covid-19 Infektion hospitalisiert zu werden. Nachdem der Beitrag innerhalb weniger Stunden in dem Netzwerk vielfach geteilt und kommentiert worden war, löschte ihn LinkedIn und sperrte den Netzwerkzugang des Autors ohne vorherige Einräumung der Möglichkeit einer Stellungnahme mit dem pauschalen Hinweis darauf, der Beitrag enthalte Falschinformationen. Wegen der Weigerung von LinkedIn, den Beitrag des Autors wieder online zu stellen und seinen Netzwerkzugang wieder freizuschalten, machte dieser seine Rechte im Rahmen eines Eilrechtsschutzverfahrens – eines sogenannten Antrags auf Erlass einer einstweiligen Verfügung – geltend. Der LinkedIn-Nutzer fühle sich ungerechtfertigt zensiert. Im Urteil des KG Berlin wurde nun LinkedIn im einstweiligen Rechtsschutz dazu verurteilt, einstweilen sowohl den Netzwerkzugang wieder freizuschalten, als auch den Beitrag des Autors über die Studie in vollem Umfang wieder auf LinkedIn einzustellen. „Einstweilen“ heißt hier nur, dass es bis zu einem Hauptsacheverfahren erstmal stehen kann, u.U. geht aber das Verfahren auch anders aus.
Für das Kammergericht hängt die Rechtswidrigkeit des Verhaltens der Betreiber von LinkedIn daran, dass bereits die AGB des Netzwerks kein ausreichendes Verfahren zur Gegendarstellung vorsähen. Damit käme zum Ausdruck, dass LinkedIn keine ausreichende Überprüfung angeblicher Falschinformationen vornehme.
Damit wandte das KG die seitens des BGH 2021 aufgestellten Leitlinien nicht nur auf Facebook, sondern auch für andere soziale Netzwerke wie LinkedIn an. Ein Anbieter sozialer Netzwerke darf sich das Recht vorbehalten, bei Verstoß gegen Kommunikationsstandards Maßnahmen zu ergreifen, die eine Entfernung einzelner Beiträge und die Sperrung des Netzwerkzugangs einschließen. Er hat sich jedoch in seinen Geschäftsbedingungen zu verpflichten, den Nutzer über die Entfernung seines Beitrags zumindest unverzüglich nachträglich und über eine beabsichtigte Sperrung seines Nutzerkontos vorab zu informieren, ihm den Grund dafür mitzuteilen und eine Möglichkeit zur Gegendarstellung einzuräumen, an die sich eine Neubescheidung anschließt, mit der die Möglichkeit der Wiederzugänglichmachung des entfernten Beitrags einhergeht. Fehlt eine entsprechende Bestimmung in den Geschäftsbedingungen, sind diese gemäß § 307 Abs. 1 Satz 1 BGB unwirksam.
Bei dem Bericht zu dem Urteil möchte ich anmerken, dass die Entscheidung des KG selbst noch nicht veröffentlicht ist und die Darstellung hier hauptsächlich auf den Veröffentlichungen des Klägers beruht. Und weil es in dem Bericht auch wieder mal vorkommt: „Zensur“ ist laut Duden die von zuständiger, besonders staatlicher Stelle vorgenommene Kontrolle, Überprüfung von Briefen, Druckwerken, Filmen o. Ä., besonders auf politische, gesetzliche, sittliche oder religiöse Konformität. Niemand muss Blödsinn über private Anbieter veröffentlichen, wenn er ihm nicht gefällt (er muss nur ein entsprechendes Verfahren dazu haben).
2.21 BVerwG: Beweislast bei Berichtigungen nach Art. 16 DS-GVO
Der Fall scheint kurios: Es geht um einen Berichtigungsanspruch eines Geburtsdatums. Der Kläger trägt die Beweislast, dass das im Melderegister eingetragene Geburtsdatum nicht korrekt sei und geändert werden müsse. Sei unklar („non liquet“), was das richtige Datum sei, gehe dies laut BVerwG zu Lasten des Klägers. Das BVerwG führt dazu aus, dass der Unionsgesetzgeber für Art. 16 Satz 1 DS-GVO keine punktuelle Beweislastregelung getroffen habe. Auch Art. 5 Abs. 1 lit. d DS-GVO sei nicht zu entnehmen, dass ein „non liquet“ in Bezug auf die Richtigkeit der Daten zur Rechtswidrigkeit der Weiterverarbeitung der nicht nachweislich richtigen Daten und einem Wahlrecht des Betroffenen zwischen der Löschung bzw. Berichtigung dieser Daten führe. Mangels unions-rechtlicher Beweislastregeln sei es Sache des nationalen Richters, die Bestimmungen seiner eige-nen Rechtsordnung anzuwenden und dabei sicherzustellen, dass deren Anwendung nicht die Wirk-samkeit des Unionsrechts beeinträchtige. Nach den damit anzuwendenden Beweislastregeln des nationalen Rechts gehe die Unerweislichkeit von Tatsachen, aus denen eine Partei ihr günstige Rechtsfolgen herleite, grundsätzlich zu ihren Lasten.
Auch könne der Kläger aus Art. 17 DS-GVO keinen Anspruch herleiten, weil nicht erweislich sei, dass die Beklagte die personenbezogenen Daten zu seinem Geburtstag durch die Verwendung von objektiv unrichtigen Daten unrechtmäßig verarbeitet habe. Damit gehe das „non liquet“ nach den allgemeinen Beweislastregeln auch insoweit zu seinen Lasten.
2.22 LG Ravensburg: Zwanghafter Fingerabdruck für Handyentsperrung
Eifrige Krimileser-/seher:innen wissen es: Ermittlungsbehörden dürfen Fingerabdrücke nehmen. Die rechtlichen Hintergründe aus § 81b Abs. 1 StPO werden dabei i.d.R. nicht genannt. Demnach dürfen, soweit es für die Zwecke der Durchführung des Strafverfahrens oder für die Zwecke des Erkennungsdienstes notwendig ist, Lichtbilder und Fingerabdrücke des Beschuldigten auch gegen seinen Willen aufgenommen und Messungen und ähnliche Maßnahmen an ihm vorgenommen werden. Darf nun die Polizei auch gegen den Willen des Beschuldigten auch Fingerabdrücke aufnehmen, wenn damit im Ermittlungsverfahren um ein Betäubungsmitteldelikt das Smartphone des Beschuldigten entsperrt werden soll? Das LG Ravensburg hat damit kein Problem und die Beschwerde eines Beschuldigten als unbegründet verworfen. Auch die Nutzung der festgestellten Fingerabdrücke für Zwecke des Entsperrens des Mobiltelefons des Beschuldigten sei als „ähnliche Maßnahme“ von § 81b Abs. 1 StPO umfasst. Das LG Ravenburg erörtert dann, was der historische Gesetzgeber damals eigentlich wollte und kommt dabei zu dem Ergebnis, dass die Verwendung von biometrischen Körpermerkmalen zur Entschlüsselung von Daten durch einen Abgleich mit den im Endgerät hinterlegten Schlüsselmerkmalen auch vom Wortlaut des § 81b Abs. 1 StPO umfasst sei. Dazu regt sich Protest, und die ersten Empfehlungen gehen dann gleich in die Richtung, biometrische Merkmale als Zugriffsschutz besser wieder durch eine PIN* zu ersetzen.
Franks Anmerkung: Gemeint ist hier sicherlich durch ein komplexes Passwort, mindestens aber eine lange PIN, vierstellige PIN helfen niemandem (bis auf den Angreifern).
Franks erster Nachtrag: Oh ja, es „rauscht im Blätterwald“ (ähnlich wie das Gesetz, auf dass sich die Richter in ihrem Urteil berufen haben, ist auch dieser Satz noch aus der analogen Zeit). Zum Beispiel hier oder auch da oder auch dort (inkl. interessanter Hinweise in den Kommentaren dort).
Franks zweiter Nachtrag: Seit Jahren behalte ich mein älteres iPhone. Nicht nur Nachhaltigkeitsgründe bringen mich zu dieser Entscheidung, auch habe ich mich bisher immer der exklusiven Technologie FaceID widersetzt.
(Kurz zur Erläuterung: Sowohl FaceID als auch TouchID sind nicht exklusiv. Beide setzen auf einem iPhone das Setzen mindestens einer wenig komplexen PIN (besser jedoch eine längere, sechsstellige PIN oder gleich ein alphanumerisches Kennwort) voraus. Beide erleichtern nur das Handling, da Nutzende dann nur noch sporadisch ihre PIN oder das alphanumerische Kennwort eingeben müssen. Ich meine exklusiv im Sinne von „entweder altes iPhone (oder iPhone SE) mit TouchID oder neues aktuelles iPhone mit FaceID“.)
Ich wollte halt kein Smartphone nutzen, was ständig Menschen ins Gesicht „glotzt“. Sondern schön einen Fingerabdruck nutzen, um mein Gerät zu entsperren. Oder halt alternativ das (durchaus) komplexe, alphanumerische Passwort eingeben.
Diese Nachricht lässt meine Askese zumindest ab sofort als überflüssig erscheinen. Denn nun ist ja der Fingerabdruck kein guter Schutz mehr.
Und ja, natürlich habe ich mitbekommen, dass das „Fingerabdrücke nachbilden“ kein Hexenwerk ist. Aber bisher war meine persönliche Risikoabwägung nicht davon ausgegangen, dass in Polizeidienststellen fleissige Yps-Heft-Leser tätig sind. Das ist jetzt irgendwie blöd. Und vielleicht demnächst auch nicht mehr nachhaltig.
Besser wäre es, wenn diese Praxis, die meiner Meinung nach verfassungswiedrig ist, gleich wieder einkassiert würde.
Klar geht es im vorliegenden Fall um einen eines schwereren Deliktes Beschuldigten. Aber wie wir ja leider immer wieder feststellen müssen, können die Maßstäbe, was genau jetzt solch einen Eingriff rechtfertigen mag, sich schnell mal verschieben. Und dann mag auch ich irgendwann in dieser Situation sein. Und bei jeder einzelnen Nutzung ein komplexes Passwort eingeben müssen reduziert definitiv den Komfort. Wie gesagt, blöd.
3 Gesetzgebung
3.1 Angemessenheitsbeschluss USA
Kommt er? Und wenn, wie kommt er? Nachdem der EDSA sich diese Woche bereits laut Agenda dazu beraten hat (siehe auch 1.20), ist nun zumindest der Entwurf der Stellungnahme des Europäischen Parlaments (EP) bekannt. Natürlich werden die Bemühungen zu einer Lösung zu kommen gelobt, aber es wird u.a. auch bemängelt, dass die wesentlichen Datenschutzgrundsätze nur aus Sicht des US-Rechts interpretiert würden und die Executive Order Rechtsakte der USA wie den Cloud Act nicht ausschließt. Zudem wird bezweifelt, dass der einzurichtende „Data Protection Review Court“ rechtsstaatlichen Grundsätze genügen würde. Auch sei die Executive Order nicht als nationales Datenschutzrecht zu verstehen und nicht präzise genug. Letztendlich sieht das EP nicht, dass damit ein gleichwertiges Datenschutzniveau geschaffen würde und fordert die EU-Kommission auf, weiter mit der US-Regierung zu verhandeln.
3.2 Hinweisgeberschutzgesetz
Nachdem der Bundesrat nicht zustimmte, wird Berichten zufolge überlegt den zustimmungspflichtigen Teil zu entfernen. Und wie dann auch zu erwarten war, wird Deutschland durch die EU-Kommission wegen der ausbleibenden Umsetzung verklagt.
3.3 Wissenschaftlicher Dienst des EP: Haftung für künstliche Intelligenz
Der Wissenschaftliche Dienst des Europäischen Parlaments hat den aktuellen Stand zusammengefasst. Die Europäische Kommission hat im September 2022 einen Vorschlag für eine Richtlinie zur Anpassung außervertraglicher zivilrechtlicher Haftungsvorschriften an künstliche Intelligenz („KI-Haftungsrichtlinie“) veröffentlicht. Die Kommission schlägt vor, den EU-Haftungsrahmen zu ergänzen und zu modernisieren, um neue Vorschriften speziell für Schäden einzuführen, die durch KI-Systeme verursacht werden. Mit den neuen Vorschriften soll sichergestellt werden, dass Personen, die durch KI-Systeme geschädigt werden, das gleiche Schutzniveau genießen wie Personen, die durch andere Technologien in der EU geschädigt werden. Die KI-Haftungsrichtlinie würde eine widerlegbare „Kausalitätsvermutung“ schaffen, um den Opfern die Beweislast für die Feststellung eines durch ein KI-System verursachten Schadens zu erleichtern. Darüber hinaus würde es den nationalen Gerichten die Befugnis geben, die Offenlegung von Beweisen über hochriskante KI-Systeme anzuordnen, die im Verdacht stehen, Schäden verursacht zu haben. Interessenträger und Wissenschaftler stellen unter anderem die Angemessenheit und Wirksamkeit der vorgeschlagenen Haftungsregelung, ihre Kohärenz mit dem derzeit verhandelten Gesetz über künstliche Intelligenz, ihre potenziellen nachteiligen Auswirkungen auf die Innovation und das Zusammenspiel zwischen EU- und nationalen Vorschriften in Frage.
3.4 Windkraft und Datenschutz
Wenn eine Landtagsfraktion offenbar zu oft minderqualifizierten Talkshowgästen zuhörte, könnte dies die Ursache eines Antrags zur Tagesordnung sein, der den Titel „Windkraft schlägt Datenschutz“ trägt. Damit soll Windkraftbetreibern die Grundbucheinsicht erleichtert werden, um direkt Eigentümern von potenziellen Grundstücken ansprechen zu können, ohne jeweils im Einzelfall das berechtigte Interesse darzulegen. Mit etwas mehr Grundwissen wäre klar, dass der Gesetzgeber hier niemanden schlägt, sondern nur die Interessen abzuwägen braucht und dies als Grundlage einer gesetzlichen Regelung einzuführen bräuchte. Und wenn es dann noch zu etwas mehr reicht, dann könnte auch die Idee reifen, dass diese Annahme natürlich nicht bei reinen Wohngebieten greifen braucht. Ist aber sicher nicht für Schlagzeilen gut.
3.5 EU: Konsultation zur Durchsetzung der DS-GVO
Die EU-Kommission startet eine Initiative zur Verbesserung der Zusammenarbeit zur Durchsetzung der DS-GVO. Dazu führt sie eine Sondierung durch. Mit dem Vorhaben soll Feedback zur DS-GVO-Durchsetzung gesammelt werden; besonderer Fokus liegt dabei auf dem Beschwerdehandling und der Einbindung der Betroffenen bei grenzüberschreitenden Fällen sowie auf der generellen Zusammenarbeit der Aufsichten der Mitgliedstaaten untereinander. Dazu können bis 24. März 2023 Vorschläge eingereicht werden.
3.6 Kraftfahrzeugbundesamt und Datenschutzkonzepte
Geht es nach dem Verordnungsentwurf zum Neuerlass der Fahrzeug-Zulassungsverordnung (FZV) und zur Änderung weiterer Vorschriften (Bundesratsdrucksache 70/23), wird sich das Kraftfahrzeugbundesamt künftig bei internetbasierten Zulassungsverfahren auch die Artt. 24, 25 und 32 der DS-GVO zu beachten haben (vgl. § 18 FZV, Seite 41 des verlinkten Dokumentes, das hätten sie nach meiner Meinung sowieso, wenn personenbezogene Daten im Spiel sind). Interessanter sind die Ausführungen zur Berechtigung bei der Überprüfung des Bestehens der Voraussetzungen für die Registrierung als Großkunde (zu § 36 FZV). Dies umfasse nach den Aufwandsschätzungen (auf Seite 258 des verlinkten Dokumentes) auch die stichprobenhafte Prüfung von Datenschutz-Konzepten und IT-Sicherheits-Konzepten. Dann sind wir mal gespannt, wie sich das auswirken wird.
3.7 Registerdatengesetz für Gesundheitsdaten
Künftig soll ein Registerdatengesetz helfen, die Forschung voranzutreiben. Der Bund kann ein Rahmengesetz für medizinische Register erlassen, die Gestaltung liegt jedoch bei den Ländern. Auch überzeugte Förderalist:innen bekommen langsam körperliche Reaktionen, wenn sie dies lesen. Warum? Wie zu erwarten gibt es diesem Bericht zufolge Probleme mit den unterschiedlichen Datenschutzregelungen in den Landeskrankenhausgesetzen.
3.8 Bundestag: Kritik an Chatkontrolle
In der Anhörung vor dem Digitalausschuss wurde sich mit den Plänen der Europäischen Kommission zur sogenannten „Chatkontrolle“ im Kampf gegen die Online-Verbreitung von Missbrauchsdarstellungen von Kindern und Jugendlichen befasst. Für die Pläne, die unter anderem den Einsatz von Technologien wie Client-Side-Scanning (CSS) vorsehen, hatte es von vielen Seiten Kritik gehagelt, die sich auch in den Einschätzungen der Sachverständigen zeigte: Die Mehrheit der geladenen Experten betonte, das Vorhaben gehe an entscheidenden Stellen zu weit.
Franks Nachtrag: So berichtet darüber eines der beteiligten NGO.
3.9 Verlängerung von Elster-Verfahren zur Identifizierung?
Welche Möglichkeiten gibt es im Netz zur Identifizierung? Neben dem elektronischen Personalausweis (nPA) bislang noch das Elsterverfahren. Nach diesem Bericht will die Bundesregierung dies aber nach Juni 2023 auslaufen lassen. Bayern setze sich im Bundesrat dafür ein, eine Verlängerung bis 2026 zu erreichen. Und bitte beachten: Die Nutzung von Elster als Meldeportal für Steuererklärungen ist von den Plänen des Bundes unberührt!
3.10 EU: Europäisches Parlament zum Entwurf des Angemessenheitsbeschlusses zugunsten der USA
Anmerkungen des Ausschusses LIBE des Europäischen Parlaments zu dem Entwurf eines Angemessenheitsbeschlusses sind hier veröffentlicht. Über den aktuellen Stand findet sich hier etwas in dem Blog einer Kanzlei.
3.11 bitkom: Cyber Resiliance Act
Der bitkom begrüßt grundsätzlich den Entwurf der EU-Kommission zum Cyber Resilience Act (CRA), der durch die Einführung von Rechtsvorschriften zu horizontalen Anforderungen einen effizienteren Rechtsrahmen für Cybersicherheit schaffen soll. Dennoch hat er einige wichtige Aspekte, die im Rahmen des Gesetzgebungsverfahrens optimiert und geklärt werden sollten, in seinem Positionspapier zusammengefasst.
3.12 Umsetzung der Whistleblowerrichtlinie
Nein, diesmal kein weiterer Akt im Trauerspiel der bundesdeutschen Umsetzung europarechtlicher Vorgaben, sondern ein Hinweis auf eine informative Seite zur europaweiten Umsetzung der Vorgaben. Das Viadrina Compliance Center betreibt die Webseite https://eurowhistle.eu/, auf der über Vorauswahl einzelner Länder die jeweilige Umsetzung im nationalen Recht des Hinweisgeberschutzes angezeigt wird. Sicherlich hilfreich für alle Einheiten, die international aufgestellt sind, bei denen aber – wie so oft – die Ressourcen nicht immer mit den Anforderungen mitwachsen.
3.13 Schweiz: FAQ zu neuem Datenschutzrecht
Die Schweiz gehört weder der EU noch dem Europäischen Wirtschaftsraum an. Für sie hat die EU-Kommission einen Angemessenheitsbeschluss erlassen. Um der technologischen Entwicklung und der digitalen Transformation gerecht zu werden und die Vereinbarkeit mit dem europäischen Recht sicherzustellen, hat die Schweiz ihr Datenschutzrecht einer Überarbeitung unterworfen. Hier finden Sie eine Übersicht über die wichtigsten Änderungen und es werden auch FAQ angeboten. Das neue Recht kommt ab dem 01.09.2023 zur Anwendung.
4 Künstliche Intelligenz und Ethik
4.1 Roundtable-Reihe ethische KI: Lösungskonzepte
Was sind die größten Herausforderungen und Best Practices bei der Umsetzung von KI-Ethik? Mit den Fragen, wie die bisherigen Ansätze transparenter werden, KI-Ethik noch relevanter wird und aktuelle Forschungsergebnisse schneller praktisch angewendet werden können, befassten sich in einer Roundtable-Reihe drei Teams. Dazu wird z.B. ein Fragebogen erstellt, der den aktuellen Stand der unternehmerischen Pflichten in der Umsetzung von KI-Ethik erfragt und Hinweise zu bestehenden Regularien und Best Practices gibt. Ein Team widmet sich der Problematik, wie Entscheider*innen stärker für die Relevanz von KI-Ethik sensibilisiert werden können. Dessen Ansatz ist es, interne Gremien wie Betriebsräte und Boards mitzunehmen, um KI-Ethik im Unternehmen grundlegend zu fördern. Das dritte Team möchte Wissen zu KI-Ethik aus Forschung und Anwendung schneller in die unternehmerische Praxis bringen und strebt eine entsprechende Austauschplattform und die Durchführung einer Konferenz an. Details dazu hier. Die Reihe der Roundtable-Reihe ethische KI-Entwicklung umfasst sieben Veranstaltungen im AI Campus Berlin und läuft bis Ende 2023.
4.2 Rechtliche Gesichtspunkte bei ChatGPT
Alle erfreuen sich an ChatGPT und testen und veröffentliche ihre Ergebnisse. Auf der Webseite dieser Kanzlei werden in kurzen Darstellungen die relevanten Aspekte zum Datenschutz, Urheberrecht und dem Schutz von Betriebs- und Geschäftsgeheimnissen bei der Nutzung des KI-Sprachmodells betrachtet.
Franks Nachtrag: Apropos ChatGPT…
4.3 Prüfungsmodelle für große Sprachmodelle
Wer sich für Governance-Verfahren zur Prüfung von großen Sprachmodellen (Large language models, llm) interessiert, sollte die Einführung zu dieser Veröffentlichung zu einem drei-stufigen Ansatz lesen. Governance-Audits, Modell-Audits und Anwendungs-Audits ergänzen und informieren sich dabei gegenseitig. Die Veröffentlichung zielt darauf ab, das methodische Instrumentarium zu erweitern, das Technologieanbietern und politischen Entscheidungsträgern zur Verfügung steht, die LLMs aus technischer, ethischer und rechtlicher Sicht analysieren und bewerten wollen.
4.4 Einsatz von KI bei der MS-Suchmaschine Bing
Das wird noch spannend: Werden künftig die Funktionen von Suchmaschinen nicht nur Hinweise auf Fundstellen, sondern über den Einsatz von KI auch die Antwort liefern? Und beim zweiten Gedanken: Wie kann ich dieses Ergebnis nachvollziehen, Quellen überprüfen und wie erhalten diejenigen, die dafür den Content erarbeitet haben, auf den für die Antwort zurückgegriffen wird, ihren Anteil an der Wertschöpfungskette? Das sind Überlegungen, die sich beim Lesen dieses Beitrags aufdrängen.
4.5 ZVKI: Potenziale von erklärbarer KI zur Aufklärung von Verbraucher*innen
Das Zentrum für vertrauenswürdige Künstliche Intelligenz (ZVKI) hat sein Thesenpapier zu Potenzialen von erklärbarer KI zur Aufklärung von Verbraucher*innen veröffentlicht. In dem Thesenpapier befassen sich Expert:innen aus Wissenschaft und Zivilgesellschaft im Rahmen der Fach-Arbeitsgruppe Verbraucher*innen-Information ZVKI mit Fragestellungen, ob Methoden der erklärbaren KI (XAI-Methoden) hilfreich für die Aufklärung von Verbraucher*innen sein können? Es werden mehrere Thesen aufgestellt, die zeigen, dass sich XAI-Methoden unter bestimmten Bedingungen eignen, um die Ergebnisse eines KI-Systems für Verbraucher*innen nachvollziehbar zu machen. Dazu müssen XAI-Methoden niedrigschwellig aufbereitet sein und je nach Kontext um weitere Erklärformate ergänzt werden. Erklärungen allein reichen nicht aus, um die Vertrauenswürdigkeit von KI-Systemen zu fördern. Vielmehr sind weitere Maßnahmen notwendig, beispielsweise sollten Verbraucher*innen realisierbare Handlungsempfehlungen aufgezeigt werden. Zudem bedürfe es unabhängiger Beschwerdestellen.
4.6 KI und Urheberrecht (USA)
Nach diesem Schreiben des United States Copyright Office genießen computergenerierte Bilder auf Basis eines KI-Modells keinen Urheberrechtsschutz, da es sich nicht um eine menschliche Schöpfung handele.
4.7 Amazon warnt Mitarbeitende vor ChatGPT
Ach was. Nach diesem Bericht warnt eine Online-Händlerplattform seine Beschäftigten vor der Nutzung des ChatBot ChatGPT mit vertraulichen Informationen, weil dadurch das Modell trainiert werden könne. Bei Aufruf der Seite über das Firmennetzwerk erscheine nun ein Warnhinweis.
4.8 KI in Werbeaussagen
Was ist Künstliche Intelligenz? Wir kann sich dies wettbewerbsrechtlich auswirken? Damit befasst sich diese Veröffentlichung der US-amerikanischen Federal Trade Commission (FTC). Sie führt dabei aus, dass sich Verwender der Risiken bewusst sein sollten. Sie sollten die vernünftigerweise vorhersehbaren Risiken und Auswirkungen des KI-Produkts kennen, bevor es auf den Markt gebracht wird. Wenn etwas schief geht – vielleicht versagt es oder liefert falsche Ergebnisse –, könne nicht einfach einem Drittentwickler der Technologie die Schuld gegeben werden. Und es könne nicht darauf berufen werden, dass diese Technologie eine „Blackbox“ sei, die nicht verstanden werden oder getestet werden konnte. Auch weist die FTC darauf hin, dass die bloße Verwendung eines KI-Tools im Entwicklungsprozess nicht dasselbe sei, wie ein Produkt, das KI enthält. Sie schließt mit der humorigen Aussage, dass keine Maschine benötigt werde, um vorherzusagen, was die FTC tun könnte, wenn Behauptungen über Produkte nicht belegbar sind.
4.9 ChatGPT: Chancen und Risiken der Verwendung
Hier lesen Sie (wieder mal), welche rechtlichen Klippen beim Einsatz von ChatGPT zu beachten sind. Und die Metapher ist bewusst gewählt: Mit den richtigen Lotsen sind diese auch zu umschiffen.
4.10 Entwicklung der Regulatorik zu KI
Hier findet sich ein schöner Ausblick einer Kanzlei auf anstehende Regulatorik zu KI in USA, UK und in der EU.
4.11 Bin ich vom AI Act betroffen?
Das fragen sich wohl viele aktuell. Hier ein Decision Tree einer Kanzlei zum aktuellen Stand des AI Acts.
5 Veröffentlichungen
5.1 Schweiz führt für Bund MS 365 ein
Nach dieser Meldung hat sich die Schweiz für eine Einführung von MS 365 für den Bund entschieden. Bis 2025 soll die Migration mit einem Volumen von 14,9 Mio. Franken abgeschlossen sein. Entsprechende Grundlagendokumente wie die Rechtsgrundlagenanalyse sind auf der Internetseite der Bundeskanzlei öffentlich zugänglich. Mit der Einführung seien technische und organisatorische Schutzmaßnahmen zu treffen, damit die Software beim Bund geschützt vor dem Zugriff Dritter zum Einsatz kommen kann.
Bevor jetzt aber diese Info euphorisch als Referenz für den Einsatz von MS 365 auch für sensible Daten ohne weitere Prüfung verwendet wird, sollte beachtet werden, dass bei dieser Entscheidung Nutzerinnen und Nutzer in der Cloud von Microsoft keine besonders schützenswerten Daten und keine vertraulichen Dokumente speichern dürfen. Die E-Mails und Kalender der Mitarbeitenden der Bundesverwaltung werden weiter vom Bund selber und vor Ort in den Rechenzentren des Bundes («On-Premises») verarbeitet und gespeichert. Zudem wird auch die Abhängigkeit von einem Hersteller als kritisch gesehen und daher im Rahmen einer Exit-Strategie auch Open-Source-Alternativen geprüft.
5.2 NIST: Stand der Technik bei Verschlüsselung
Nach diesem Bericht hat das Nationale Institut für Standards und Technologie (NIST) das Verschlüsselungsverfahren ASCON aus Österreich aus insgesamt 57 Algorithmen als US-Standard erklärt. Gesucht wurden leichtgewichtige Algorithmen, die für IoT-Geräte ver-wendet werden können.
5.3 Handbook – weltweiter Datenschutz
Wer sich einen schnellen Überblick verschaffen will welche datenschutzrechtlichen Anforderungen in einzelnen Ländern gelten, kann einen Blick in dieses Handbook einer Kanzlei werfen, das in 2023 in einer neuen Ausgabe online öffentlich zugänglich ist. Es umfasst 1.182 Seiten und führt zu einzelnen Ländern die wesentlichen Informationen auf.
5.4 Unzureichende IT-Sicherheit an Hochschulen
Wer sich manchmal wundert, mit welcher – sagen wir Unvoreingenommenheit – Berufseinsteiger mit Hochschulbildung den Fragestellungen der IT-Sicherheit begegnen („Warum 2-Faktor-Authetifizierung?“, kann hierin eine Erklärung finden: Viele Hochschulen haben hier nach dieser umfassenden Recherche auch, äh…, nennen wir es Potenzial.
5.5 Datenschutzlücken bei Telemedizin-Portalen
Während auf europäischer Ebene ein Gesundheitsdatenraum diskutiert wird, werden bei den bisherigen Angeboten oft die Datenschutzstandards nicht eingehalten, bemängelt nach diesem Bericht der vzbv. Die betrifft beispielsweise Plattformbetreiber, die Leistungen wie Videosprechstunden oder Terminvereinbarungen anbieten. Laut vzbv sollten auch für diese Daten die Anforderungen an die Verarbeitung sensibler Daten eingehalten werden und eine ausdrückliche Einwilligung eingeholt werden. Laut einer aktuellen vzbv-Untersuchung würden allerdings sieben der neun geprüften Anbieter keine oder nur eine unzureichende ausdrückliche Einwilligung einholen.
5.6 Datenschutz für Unternehmen
Hier finden Sie eine Broschüre mit dem Titel „Datenschutz für Unternehmen“ in der Version 3.3 (2023) einer Kanzlei, die fast 100 Antworten zu den wichtigsten Anforderungen aus DS-GVO, BDSG und TTDSG zusammenfasst.
5.7 Entwicklung der Datenschutzregulatorik weltweit
Auch wenn die Darstellung nicht alle Gesetze umfasst, die z.B. in den deutschen Bundesländern erlassen wurden, so ist hier doch gut ersichtlich dargestellt, wie sich weltweit Gesetze zu „Privacy“ und „Data Protection“ entwickelt haben.
5.8 NIS-2: EU-Update zur Cybersicherheit
Freundlicherweise wurden die Folien nach einem Fachvortrag öffentlich bereitgestellt. Neben den rechtlichen Grundlagen sind auch die Auswirkungen der NIS-2 Richtlinie dargestellt.
5.9 EU-Rahmenvertrag für Open Source
Während die einen noch wegen eines rechtskonformen Einsatzes von MS 365 verhandeln, denken andere schon weiter. Die EU hat nach dieser Meldung einen Rahmenvertrag ausgehandelt, um für ihre Einrichtungen die Nutzung von Open-Source-Produkten zu testen.
5.10 Irreführendes Zertifikat des BSI für Arztterminservice-Tool
Darauf wäre ich auch reingefallen: BSI steht nicht nur für das Bundesamt für Sicherheit in der Informationstechnik, sondern auch für British Standard Institution. Wenn dann mit einer Zertifizierung durch BSI geworben wird, kann das zu Irritationen führen. In diesem Bericht lesen Sie auch weitere Hintergründe und Kritik seitens Daten- und Verbraucherschützern an dem Tool.
Franks Nachtrag: Und noch ein Preisträger.
5.11 Schadenersatzklagen nach Veröffentlichung von Meldedaten
Laut diesem Bericht gibt es in Österreich eine Sammelklage, der sich bereits 2.000 Personen angeschlossen haben, nachdem Daten aus der Datenbank (des Beitragsservices für öffentlich-rechtlichen Rundfunk) im Darknet veröffentlicht wurden. Betroffen waren Namen, Adressen, Geburtsdatum und weitere Informationen zu neun Millionen in Österreich gemeldeten Personen. Ursächlich sei ein Datenleck bei dem Testsystem eines Dienstleisters gewesen, der den Auftrag hatte, Datenbanken zusammenzulegen.
5.12 Online-Betrug und Datenschutz – Diskussion auf ARTE
Eine sehenswerte Diskussion in dem Magazin 27 auf Arte (Dauer ca. 45 Min.), die sich mit den Facetten von Betrugsmaschen im Internet wie Phishing, Identitätsraub etc. befasst. Warum sind Nutzerdaten für Kriminelle so einfach zugänglich? Ergreifen die Betreiber von Internetseiten ausreichende Maßnahmen? Von amtlichen Dokumenten bis hin zu Bankunterlagen – das gesamte Leben spielt sich online ab. Wie kann es besser geschützt werden? In der Diskussion tauschen sich der Programmdirektor der Organisation noyb mit dem ehemaligen Generalsekretär der französischen Datenschutzbehörde CNIL und Fachanwalt für Datenschutz aus, der das im Internet vorherrschende Modell zu kostenlosen Inhalten im Austausch gegen Daten verteidigt.
5.13 Sanktionierung von Unternehmen
Was kann Unternehmen drohen, wenn sie gegen die DS-GVO verstoßen? Welche Standpunkte gibt es in der derzeitigen Diskussion um Bußgelder? Damit befasst sich dieser Beitrag einer Kanzlei.
5.14 Podcast mit ehemaligem LfDI Baden-Württemberg
In der Folge 20 dieser Podcast-Reihe (Dauer ca. 39 Min) ist der ehemalige LfDI Baden-Württemberg zu hören, der sich zu aktuellen Fragen z.B. zu Facebook äußert, aber auch zu Überlegungen einer Aufsicht beim Erlass von Bescheiden. Er erwarte Beraterinnen und Berater, die selbstbewusst und kritisch mit den Papieren und Stellungnahmen der Behörden umgehen sollten. Schließlich handele es sich nur um Meinungsäußerungen ohne jede rechtliche Verbindlichkeit. Es sei das gute Recht der Unternehmen, für ihre eigenen Überzeugungen – auch vor Gericht – zu kämpfen. Der aufgeklärte, kritische und verantwortungsbewusste Verantwortliche werde gebraucht.
5.15 Sehen und gesehen werden: Parkraumüberwachung
Sie nutzen einen Parkplatz und die Nutzung ist davon abhängig, ob Personen aus dem Fahrzeug die anliegenden Geschäfte nutzen oder nicht? Nicht unüblich. Neu ist, dass dies mittels biometrischer Videoüberwachung geregelt und überwacht wird. Und für mich überraschend, dass die Rechtskonformität durch ein Datenschutz-Siegel bestätigt wird. Dabei kommen mir Fragen, aber nicht nur mir. Auch dem Landtag NRW.
Franks Nachtrag: Ich wünsche mir, das auch die LDI NRW Fragen stellt. Kritische. Bußgeldbewehrte.
5.16 Verbraucherschutzwissen
Consumer PRO ist ein Projekt von „BEUC – The European Consumer Organisation“ zum Aufbau von Kapazitäten, das darauf abzielt Verbraucherorganisationen und andere Akteure der Verbraucherpolitik besser für den Schutz der Verbraucher in ihren jeweiligen Ländern zu rüsten. Es wird durch die EU unterstützt. Es finden sich dort Informationen zur Nachhaltigkeit, zu Digitalen Rechten und zum Allgemeine Verbraucherrecht.
5.17 Aktualisierung der ISO/IEC 27701
Nachdem die ISO/IEC 27001 und ISO/IEC 27002 aktualisiert wurden, liegt nun auch ein Entwurf der ISO/IEC 27701 vor, in dem die Änderungen in den beiden o.g. Standards bereits berücksichtigt sind.
5.18 Datenpannen bei AV
Welche Pflichten hat ein Auftragsverarbeiter, wenn er denkt, es sei eine Schutzverletzung bei den Daten eingetreten, die er im Auftrag verarbeitet? Damit befassen sich diese Ausführungen. Hervorgehoben wird dabei, dass dem Auftraggeber als datenschutzrechtlich Verantwortlichem eine entsprechende Information gegeben wird, damit er eigenständig eine Bewertung seiner Meldepflicht durchführen kann.
Franks Nachtrag: Passend zum Thema möchte ich zusätzlich auf diese Checkliste verweisen. Was es mit dem die Checkliste beinhaltenden Dokument auf sich hat (wir berichteten bereits vom Trusted Data Processor), erklärt dieser Podcast (ca. 1:10 Std.).
5.19 Einwilligung zu E-Mail-Marketing
An was ist alles bei Marketingmaßnahmen zu denken, die über E-Mail-Versand erfolgen? Was ist zulässig, was nicht? Einblick in die Thematik finden sich hier auf den Seiten einer renommierten Kanzlei.
Franks Nachtrag: Sie möchten vielleicht auch 2.10 und 2.13 durchlesen…
5.20 Geschichte des Datenschutzes
Wie hat sich „das mit dem Datenschutz“ eigentlich rechtshistorisch entwickelt? Wen diese Frage interessiert, findet in diesem Video (YouTube, Dauer 3:42 Min) eine kurze Darstellung.
5.21 Podcasts zu Deepfakes vs. Datenschutz und KI/ChatGPT vs. Urheberrecht
Hier finden Sie einen Podcast zu der Thematik „ChatGPT und KI vs. Urheberrecht“ (ca. 1:15 Std) und einen Podcast zu „Deepfakes vs. Datenschutz“ (Dauer ca. 1:44 Std.)
5.22 Podcast zu Fotografie und Datenschutz
Wer sich für dieses Thema interessiert, kann hier in dem Podcast (Dauer 1:25 Std.) mit einer Expertin seinen aktuellen Wissenstand überprüfen. Es geht u.a. um Bilder in Kitas, bei Vereinsveranstaltungen etc.
Aber auch prozesstaktisches Vorgehen aus Sicht der Betroffenen bei Schadenersatzforderungen wird angesprochen.
Die im Podcast angesprochene Info zu Fotos des LfDI Rheinland-Pfalz finden Sie hier.
5.23 Veranstaltungen
5.23.1 iRights – Wie wir unsere Privatsphäre technisch schützen
13.03.2023, 16:00 h – 17:30 Uhr: In diesem Workshop von iRights werden Wege für verlässliche und transparente Datenverarbeitung aufgezeigt, um erforderliche Informationen in Datenschutzerklärungen verständlich aufzubereiten, beispielsweise durch die Nutzung von Chatbots, Browser-Plugins oder visuellen Markern. Weitere Information auch zu den Teilnehmern und zur Anmeldung hier.
5.23.2 BMBF – Anonymisierung und Pseudonymisierung von Gesundheitsdaten für Forschungszwecke
14.03.2023, 15:30 h – 18:00 Uhr in Berlin: Im Rahmen der Forschungsinitiative des BMBF vor dem Hintergrund des European Health Data Space (EHDS) werden Fragen zur Anonymisierung und Pseudonymisierung von Gesundheitsdaten für Forschungszwecke behandelt. Ziel von Anonymisierungs- und Pseudonymisierungstechniken ist es, den Personenbezug von Gesundheitsdaten zu entfernen, eine (einfache) Re-Identifizierung zu verhindern und Risiken ihrer Nutzung zu verringern. Datenschutzrechtlich stellt der – aus wissenschaftlicher Sicht – so interessante, große Informationswert der Gesundheitsdaten die größte Herausforderung dar.
Die Veranstaltung findet nur vor Ort statt und endet nach 18 Uhr mit einem Abendessen und der Möglichkeit zum Netzwerken. Weitere Infos und Anmeldung hier.
5.23.3 Universität Brüssel – Will “noyb vs. META” change the internet business model?
27.03.2023, 16:30 – 17:30 Uhr: Die Universität Brüssel bietet die Teilnahme an einer online Paneldiskussion zu den Auswirkungen aktueller EuGH-Rechtsprechung an. Bewegen wir uns von einem kostenlosen, aber werbebasierten Modell zu einem kostenpflichtigen, abonnementbasierten Modell? Das Urteil in der Rechtssache noyb gegen META hätte gezeigt, dass ein Vertragsmodell, bei dem der Nutzer einen Vertrag unterzeichnet, um einen Dienst mit personalisierter Werbung zu erhalten, nicht mit der Datenschutz-Grundverordnung vereinbar sei. Ist die Einwilligung (mit all ihren Grenzen und Problemen) also der einzig mögliche Weg? Und wenn ja, wie sollen dann angesichts der Leichtigkeit, mit der sie nun verweigert werden kann, die Dienste finanziert werden, die wir bisher als kostenlos angesehen haben? Oder könnten der Vertrag und das berechtigte Interesse, in anderer Form, eine gültige Rechtsgrundlage sein? Weitere Infos zu Panelist:innen und Anmeldung finden Sie hier.
5.23.4 vbw – 7. Deutsch-amerikanischer Datenschutztag
19.04.2023, 16:30 – 18:30 Uhr: Zusammen mit dem US-amerikanischen Generalkonsulat in München und dem BayLDA wird das neue Trans-Atlantic Data Privacy Framework als Rechtsgrundlage zur transatlantischen Datenübermittlung zwischen der EU und den USA diskutiert. Die Veranstaltung findet vor Ort statt, es ist aber auch eine Online-Teilnahme möglich. Infos und Anmeldung hier.
5.23.5 Symposium des BLM / IUM – Künstliche Intelligenz: Herausforderungen für das Medienrecht
27./28.04.2023: Das Institut für Urheber und Medienrecht führt ein zweitägiges Symposium in München durch, das zahlreiche Themen beinhaltet, die nicht nur für Medienschaffende interessant sind, wie z.B. Haftungsfragen beim Einsatz von KI, etc. Weitere Infos zum Programm und zur Anmeldung finden Sie hier.
6 Gesellschaftspolitische Diskussionen
6.1 Cyberversicherungen: Vorvertragliche Anzeigepflichten
In diesem YouTube-Video (ca. 18 Min.) unterhalten sich ein Makler und ein Versicherungsexperte über vorvertragliche Anzeigepflichten bei Cyberversicherungen. Das kennt man in der Regel bei personenbezogenen Versicherungsleistungen (wie z.B. bzgl. Vorerkrankungen). Welche Fragen und Anzeigepflichten es bei Cyberversicherungen geben kann, wird darin thematisiert.
Franks Nachtrag: Cyberversicherungen, Cyberversicherungen, … war da nicht was? Ach ja, das.
6.2 Start-Ups und große IT-Player
Glaubt man Politikern und manchen IHK-Vertreter:innen, helfen große IT-Player Start-ups über Online-Angebote ins Geschäft zu kommen. Dass dabei auch eigene wirtschaftliche Interessen eine Rolle spielen, zeigt dieser Fall. Die Abhängigkeit von einem großen IT-Player führte dazu, dass nach dessen Entscheidung, die Unterstützung zu versagen, der Markt einbrach. Dabei ist es für das Start-Up erstmal egal, worin die Gründe für die Weigerung für Werbung liegt. Ganz ärgerlich ist es natürlich erst recht, wenn sich große IT-Tech-Giganten dann auch für das Geschäftsmodell interessieren, wie hier nicht ausgeschlossen wird.
6.3 Folgen des Cyberangriffs auf Continental
Dass Continental Opfer von Cyberattacken wurde, haben wir bereits berichtet. Nun erhalten die Beschäftigten die offizielle Benachrichtigung in Umsetzung der Pflichten aus Art. 34 DS-GVO. Der Konzern betont laut diesem Bericht, nicht auf eine Lösegeldforderung eingegangen zu sein. In dem Bericht werden auch bisherige bekannte Forderungen in anderen Fällen aufgeführt.
6.4 Münchner Sicherheitskonferenz zum Cyberwar
Laut diesem Bericht über Erkenntnisse auf der Münchner Sicherheitskonferenz seien die Aktivitäten im Rahmen des „Cyberwar“ noch nicht so schlimm wie befürchtet. Allerdings dürften Angriffe auf die IT-Infrastruktur und Desinformationskampagnen auch noch nach der Zeit einer militärischen Auseinandersetzung andauern.
6.5 Was darf Satire?
Wer sich bei manchen Beiträgen – nicht nur zum Thema Datenschutz – fragt, wo die Grenzen von satirischen Darstellungen liegen, kann sich in diesem Beitrag informieren.
6.6 Subventionskontrolle per Satellit
Wie kann die Verwendung von Subventionen für landwirtschaftliche Maßnahmen kontrolliert werden? Statt Stichproben durch vor-Ort-Besuche werden hierzu nach diesem Bericht in Österreich auch Satellitenbilder eingesetzt.
6.7 Gutachten der Expertenkommission Forschung und Innovation
Die Expertenkommission hat ihr Gutachten zu Forschung, Innovation und technologischer Leistungsfähigkeit Deutschlands 2023 veröffentlicht. Fast schon erwartungskonform finden sich Aussagen zu Datenschutz in dem Kapitel „Investitionshemmnisse abbauen“. So liest sich auf Seite 33, dass die bestehenden Datenschutzregelungen dem Aufbau einer Datenökonomie nicht zuträglich seien, da sie durch unterschiedliche Auslegungs- und Interpretationsspielräume ein hohes Maß an Unsicherheit erzeugten. Die Bedingungen zur Nutzung von Daten bedürfen einer dringenden Klärung. Die Bundesregierung sollte ihre geplante nationale Datenstrategie nutzen, um den Zustand der Unsicherheit durch klare und einfache Regelungen zu beenden. Dazu gehört nach Ansicht der Expertenkommission auch eine harmonisierte Auslegung der Datenschutzregelungen über alle Bundesländer hinweg. Die Expertenkommission empfiehlt ferner, über den Bemühungen zur Formulierung einer neuen nationalen Datenstrategie die Umsetzung der erst 2021 beschlossenen alten Datenstrategie nicht aus den Augen zu verlieren. Die vom BMBF angekündigte Förderung von Forschungsvorhaben zur Anonymisierung personenbezogener Daten könne zusätzlich dazu beitragen, Datennutzung und Datenschutz besser miteinander zu vereinbaren. Ein Warten auf diese Ergebnisse sollte aber nicht zu einer weiteren Verzögerung bei der dringend notwendigen Verbesserung des Datenzugangs insbesondere für Forschungszwecke führen.
6.8 Google löscht
Nein, es geht nicht darum, dass Google freiwillig auf die Grundlage seines Geschäftsmodells verzichtet. In dem Bericht geht es um Vorwürfe, dass Google routinemäßig Beweise vernichtet habe und über die Verwendung der automatischen Löschfunktion gelogen habe. Das Unternehmen soll angeblich eine automatische Löschfunktion für unternehmensinterne Chats verwendet haben, um Beweise zu vernichten, die in einem Kartellverfahren benötigt werden, während es der Regierung fälschlicherweise mitgeteilt hat, dass es seine automatischen Löschpraktiken ausgesetzt habe.
Franks Nachtrag: Naja, „Don’t be evil“ soll ja auch immer nur ein unoffizielles Motto gewesen sein. Obwohl, „Do the right thing“ ist das im Beitrag beschriebene ja auch nicht, oder?
6.9 Google-Fonts-Abmahnungen – Geschäftsmodell?
Nicht nur in Deutschland gab es im Jahr 2022 Aufregung zu Abmahnungen aufgrund der Einbindung von Google-Fonts, auch in Österreich wurden Seitenanbieter diesbezüglich angeschrieben. Mittlerweile gibt es ein Verfahren gegen die Absender dieser Schreiben. Dabei sagte gemäß diesem Beitrag auch der Dienstleister aus, der für die technische Zuarbeit beauftragt wurde. Lesenswert.
6.10 Meldungen zu TikTok – TikTok-Verbot auf dienstlichen Geräten der EU-Kommission und der US-Regierung
Während in Deutschland noch manche Marketingabteilungen überlegen, wie sie ihren TikTok-Auftritt gestalten, handeln EU-Kommission und US-Regierung. Auf dienstlichen Geräten der EU-Kommission und denen der US-Regierung darf TikTok nicht mehr genutzt werden.
6.11 Meldungen zu TikTok – UX bei TikTok oder wie manipuliere ich Nutzer:innen
Wer sich für das Geschäftsmodell von TikTok interessiert, kann sich hier informieren, wie in einem Selbstversuch festgestellt wurde, wie TikTok sein Suchtpotenzial einsetzt. Weitaus ausführlicher befasst sich dieser Bericht der Boston University School of Law im Rahmen einer Stellungnahme vor der US-amerikanischen Federal Trade Commission zur „Verbreitung von kommerzieller Überwachung und Datensicherheitspraktiken, die den Verbrauchern schaden“ vom November 2022, bei dem es generell auch um soziale Netzwerke geht.
6.12 Meldungen zu TikTok – TikTok-Teenage-Filter
Neue Filter von TikTok sorgen nach diesem Bericht dafür, dass Teenager vermeintlichen Schönheitsidealen nacheifern könnten und dadurch Essstörungen und Minderwertigkeitsgefühlen gefördert werden. Auch scheint TikTok durch einen Filter, mit dem ältere Personen jünger erscheinen, nun auch gezielt Cybergroomingaktivisten und Pädophile ansprechen zu wollen.
6.13 Meldungen zu TikTok – Bye, bye TikTok
Nur mal unter uns: Mir ist das Geschäftsmodell von TikTok echt zu blöd – und das soll schon was heißen. Künftig berichte ich nicht mehr dazu.
Franks Nachtrag: Wenn es mich überkommt, bringe ich ggf. nochmal was dazu.
6.14 Soziale Netzwerke und politische Manipulation
Wie deutlich muss es noch werden? Wir hatten bereits auf die Erkenntnisse verwiesen, über die eine britische Journalistin im Silicon Valley hinsichtlich der Beeinflussung bei der Brexit-Entscheidung informierte (ca. 15 Min.). Selbst die Reportage über eine Whistleblowerin bei Facebook (ca. 45 Min.) scheint bei Vielen kein Umdenken zu initiieren. Noch scheinen die Argumente von Marketingaktivist:innen und sog. Influencer:innen überzeugender zu sein als glaubwürdige Entscheidungen einzelner Unternehmensverantwortlicher. Den Bericht zur Dokumentation lesen Sie hier.
Und weil es gut dazu passt: Die Mittel zur Desinformation und Manipulation lassen sich nach dieser Meldung natürlich auch militärisch nutzen.
6.15 Überwachung
Dass Sie über Videogesichtserkennung überwacht werden können, ist nichts Neues (siehe u.a. 5.15). Nun können aber auch Ihre Freunde und Ihr Umfeld Ihnen zugerechnet werden, wie hier berichtet wird. Ermöglicht wird dies über KI, die in Aufnahmen weiterer Videokameras weitere Personen sucht, die mit Ihnen schon mal aufgenommen wurden oder kurz nach oder vor Ihnen durch das Bild liefen.
Franks Nachtrag: Da bekommt der Satz „Zur falschen Zeit am falschen Ort“ doch gleich noch eine größere Bedeutung…
6.16 USA und Haftung bei IT-Sicherheitsrisiken in Software
Nach diesem Bericht will die US-Regierung im Rahmen ihrer Cybersicherheitsstrategie die Hersteller von Software für Lücken bei den Schutzmaßnahmen haftbar machen.
7 Sonstiges/Blick über den Tellerrand
7.1 Neuer Geschäftsführer bei der Telekom-Stiftung
Die Neubesetzung des Geschäftsführerpostens der Telekom-Stiftung lässt hoffen: Gerade im Hinblick auf eine Schülerorientierte Umsetzung der Digitalisierung ist die Besetzung mit jemandem mit pädagogischem Hintergrund und Erfahrungen mit digitalisiertem Unterricht ein Gewinn.
7.2 No-Fly-Liste für den Flugverkehr
Behörden legen Personen fest, die durch Airlines nicht befördert werden dürfen. Eine dieser Listen war ungesichert im Netz über die Seiten einer Airline erreichbar und ein „Hacker“ in der Schweiz gab sie an Journalisten weiter. Daraufhin erhielt er Post der Schweizer Datenschutzaufsicht. Mehr dazu hier inkl. kurzem Podcast (ca. 18 Min – keine Kryptologensprache, sondern Schwyzerdeutsch).
7.3 Cybergrooming: Belästigung online nimmt zu
Die sexuelle Belästigung durch Erwachsene gegenüber Kindern und Jugendlichen nimmt nach diesem Bericht zu. Welche Ansprechpartner es dazu gibt, wird aber ebenso ausgeführt wie konkrete Tipps. In Deutschland finden sich Tipps bei www.klicksafe.de und www.nummergegenkummer.de.
7.4 Vorbildliche digitale Verwaltung
Manche Meldung kann man kaum glauben – wie diese hier.
7.5 Verbreitung von Desinformationen
Welchen Einfluss haben soziale Medien auf die Demokratie? Damit befasst sich das NGO Center for Humane Technology. Demnach haben Social-Media-Plattformen finanzielle Anreize die ansprechendsten Inhalte zu verbreiten. Dies führe zu einer Überrepräsentation von Fake News, Desinformation und spaltenden Inhalten. Die kumulativen Auswirkungen auf unser Informationsumfeld in den letzten mehr als 10 Jahren haben zu einer verstärkten Polarisierung, Wahlbeeinflussung, Gesetzesblockade und anderen manipulativen Praktiken geführt, die die Demokratien weltweit untergraben. Aber das NGO warnt nicht nur, es bietet auch Eltern und Erziehenden Materialien, um mit den Herausforderungen besser umzugehen.
7.6 Altersverifikation bei Online-Angeboten
Welche Möglichkeiten gibt es, im Netz eine Altersverifikation durchzuführen und wie machen dies die unterschiedlichen sozialen Netzwerke? Das lesen Sie hier.
7.7 Cyberwar parallel zum Angriff auf die Ukraine
In diesem Beitrag wird geschildert, wie mit Beginn des Angriffs auf die Ukraine zeitgleich auch Satellitenverbindungen für die Internetnutzung angegriffen wurden und wie unzureichend abgesichtert bisher Weltraumtechnik eingesetzt wurde.
8. Franks Zugabe
8.1 Apropos ChatGPT, Nr. 5
Und nun haben wir auch davon schon fünf Beiträge. Hier ist der vierte der Reihe.
- Hier wird die Frage diskutiert, was genau ChatGPT rechtlich eigentlich ist – Das nächste große Ding? Oder ein Sturm im Wasserglas?
- In diesem Artikel geht es um ChatGPT im Bullshit-Bingo-Mode bzw. um ChatGPT: So gut lügt die KI
- Zu Kollege Kramers Meldung zur Amazon-Warnung habe ich auch noch ein paar Quellen.
- Hier ist ein lesenswertes Essay zum Thema „Defending against AI Lobbyists“. Natürlich auch dort enthalten: ChatGPT
- Microsoft musste die Intergration von ChatGPT in Bing nachjustieren. Sie kämpfen jetzt gegen Kinderkrankheiten. Zitat: „Der Chatbot bedrohte außerdem einen Philosophieprofessor mit den Worten ,Ich kann dich erpressen, ich kann dir drohen, ich kann dich hacken, ich kann dich bloßstellen, ich kann dich ruinieren‘, bevor er seine Drohung selbst wieder löschte“. So so, Kinderkrankheiten…
- Gender Stereotype von #ChatGPT sind mutmaßlich nicht zufällig
- Manche nehmen es humorvoll, was ChatGPT so alles kann und macht, und entwerfen schon mal fiktionale (?) Stellenanzeigen von OpenAI
- Und passend zur Stellenanzeige scheint uns das nächste ChatGPT bevorzustehen, genauer gesagt GPT-4
8.2 I ♥ Free Software
Passend zum „I ♥ Free Software Day“ veröffentlichte eine deutsche NGO eine Empfehlungsliste zu freier und Open-Source-Software.
8.3 OMG is the AI Coming For My Job?!???!??!!!?!?!?
Einer meiner Lieblingsautoiren beschäftigt sich mit dieser Frage.
8.4 Das WC soll Gesundheitsdaten sammeln
Reden wir von doch bitte mal über Smart-Klo-Biometrie.
Textzitate aus dem Artikel:
- Während sich die Toilettenbenutzer erleichtern, analysiert und vermisst das WC, übermittelt die Daten drahtlos an einen Speicher, wo «künstliche Intelligenz» sie abruft und auswertet, Diagnosen stellt, die Resultate verschickt – und gegebenenfalls vor drohender Erkrankung oder Verschlimmerung einer Krankheit warnt.
- Parks Prototyp erfasst mit Hilfe von Sensoren, kleinen Videokameras an der Klobrille, Analysegeräten und Computern Dutzende von Parametern. Ein Sensor auf der Sitzfläche etwa misst, wie lange der Benutzer auf dem WC sitzt und wie lange die Defäkation dauert. Eine Kamera filmt die Stuhlbeschaffenheit. So erkennt der Computer, ob der Benutzer beispielsweise an Verstopfung leidet oder an Durchfall.
- Weil eine Toilette meist von mehreren Personen benützt wird, sei die Benutzeridentifikation entscheidend. Seung-min Park und seine Kolleginnen und Kollegen bieten dafür zwei Lösungen an: Beim Betätigen der WC-Spülung erkennt ein Sensor den Fingerabdruck und kann die Urin- und Stuhl-Daten so einer Person zuordnen. Oder man benützt statt des Fingerabdrucks den «Analabdruck» als Erkennungsmerkmal. Dazu filmt eine Kamera die «Region des Interesses», in diesem Fall den After. Anhand der Aufnahmen weiss der Computer, wer sich gerade auf der smarten Toilette erleichtert.
Na, da freuen wir uns doch auf den nächsten Toilettengang…
8.5 Cory Doctorow über „Enshittification“ von Plattformen am Beispiel von Tiktok
Und wieder sagt die Überschrift schon ziemlich genau, was Sie im verlinkten Artikel erwartet.
8.6 Techniktagebuch
Kennen Sie das Techniktagebuch? Wenn nicht, können Sie es hier gratis und komplett als PDF (Vorsicht, 288 MB!) herunterladen. Wie schreiben die Autoren? „Wie immer bitten wir auch die, die sich für den Inhalt kein bisschen interessieren, dieses PDF trotzdem herunterzuladen und aufzubewahren, denn es dient auch als verteiltes Backup.“
Worum geht es? So beantworten das die Autoren im Beitrag vom 7.2.2014: „Eigentlich müsste man eine Art Techniktagebuch führen und mindestens zweimal jährlich, besser noch öfter aufschreiben, was man gerade wie macht und warum. Und was man gern anders machen würde, wenn es endlich ginge. (Ergänzung …: “dinge, die man irgendwie SO macht, aber lieber anders machen wuerde, was zwar geht, aber man ist zu faul”.)“
8.7 Camera the Size of a Grain of Salt
Das ist faszinierned und erschreckend.
8.8 Von der Unsicherheit des Foto-Zuschneidens
Kennen Sie das? Sie wollen ein Bild weitergeben, aber nicht alles auf dem Bild, also schneiden Sie es zu? Dabei gilt es Klippen zu umschiffen. Nachzulesen im verlinkten Artikel.
8.9 Essay on banning TikTok
Warum das eine schlechte Idee ist (von der technischen Umsetzbarkeit, nicht vom inhaltlichen her) beschreibt dieses Essay.
Die darin aufgeführten Überlegungen sind 1:1 auf vergleichbare Ansätze in Europa übertragbar. Ich sag nur Chatkontrolle.
Ein ganz anderes Thema und doch ist das Problem eigentlich genauso wenig durch Technik lösbar. Aber das ist Stoff für einen anderen Beitrag.
8.10 Elephant Hackers
In manchen Ländern haben Elefanten Privilegien, die sie dann auszunutzen lernen. Also hacken sie das System, um sich Vorteile zu verschaffen. Das ist schön anzuschauen.
9. Die guten Nachrichten zum Schluss
9.1 Kompetenz an Schulen
Die erste gute Nachricht ist, dass es zunehmend Personen gibt, gibt die bei Digitalisierung und Bildung eine differenzierte Wahrnehmung und Bewertung vermitteln und weg gehen von rein binären Aussagen.
9.2 Digitalkompetenz für Lehrkräfte
Deutschland sicher im Netz hat sein Angebot zur Vermittlung digitaler Kompetenzen bei seinem Digitalführerschein nun auch auf Lehrkräfte erweitert. Und ein Zertifikat gibt es auch dazu. Das lässt doch hoffen.
9.3 Erklärvideos unter freier Lizenz
Tagesschau und Bayerischer Rundfunk haben sich nach Info von irights entschieden Erklärvideos unter eine freie Lizenz, die Creative-Commons-Lizenz CC BY-SA, zu stellen. Bei BR betrifft dies das Format „Kolleg24“. Damit können diese für Bildungs- wie auch für kommerzielle Zwecke genutzt werden.
9.4 Acht Frauen, die digitale Geschichte prägten
Oft unterschätzt oder vergessen, müssen sich Frauen mit Geschlechterstereotypen auseinandersetzen, um sich in der Informatik und in der Innovation durchzusetzen. Anlässlich des Internationalen Tags der Frauenrechte hat die französische Datenschutzaufsicht CNIL auf ihrer Webseite acht bemerkenswerte Persönlichkeiten portraitiert, die die Geschichte der Digitaltechnik prägten. Und so ganz nebenbei informiert die CNIL darüber, dass 63 % der dort Beschäftigten weiblich sind. Geht doch.