Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 09&10/2022)“
Hier ist der 32. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 09&10/2022)“.
- Aufsichtsbehörden
- EDSA: Guideline 04/2021 zu CoC zu Drittstaatentransfers
- EDSA / BfDI: Untersuchung der Cloudanwendungen durch Behörden
- DSK: Orientierungshilfe Direktwerbung
- LfDI BW: FAQ zu Cookies und Tracking
- Bremen: Bußgeld gegen Vermietungsunternehmen
- Rundfunkdatenschutz: Tätigkeitsbericht für 2021
- BfDI: Einsatz von Social Media (Aussagen in zwei Podcasts)
- Liechtenstein: Google Analytics
- BfDI: FAQ-Liste zu Datenschutzverstößen bei der Telematik-Infrastruktur
- Prüfschema Kindertagesstätten
- Norwegen: Wer beaufsichtigt die Datenschutzaufsicht?
- Rechtsprechung
- EuGH: Anforderungen an Art. 23 DS-GVO insb. bei der Steuerverwaltung
- KG Berlin: Anforderung an Auskunft in wettbewerbsrechtlicher Streitigkeit
- VG Cottbus: Grundlage für Einbau eines Wasserzählers mit Funkmodul
- Hessisches Landessozialgericht: zu Klageweg bei Art. 82 DSGVO über Zivilgerichte
- LAG Berlin-Brandenburg: Schadensersatz bei unzureichender Auskunft
- LG Kiel: Anforderung an datenschutzrechtliche Einwilligung bei Ermittlungstätigkeiten
- VG Stuttgart: Zum Abberufungsschutz bei DSBs öffentlicher Stellen
- Norwegen: Berechtigtes Interesse gegen Löschbegehren
- Niederlande: Schadensersatz iHv 250 € wegen unberechtigter Weitergabe
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Neue vertragliche Grundlage für öffentliche Stellen: EVB-IT Cloud
- noyb zu Cookie-Bannern
- DIHT: Größtes Problem sind die Rechtsunsicherheiten
- Bay. Digitalministerin: Kommunen müssen bei Digitalisierung Gas geben
- Datenschutzangebot von DSiN
- Abwehr von Schadensersatzansprüchen
- MS Teams an Schulen in Rheinland-Pfalz
- Drittstaatenprüfung: Alternative europäische Lösungen
- Vorschlag zur Webseiteneinbindung von Tools
- Gestaltung der Einwilligungen auf Webseiten
- Digitale Ahnungslosigkeit
- Verpflichtung auf Vertraulichkeit
- Übersicht der Schadenersatzentscheidungen
- TIA für Google Analytics
- Veranstaltungen
- BMUV und bitkom: „Selbstbestimmt und sicher – Wann sind Verbraucherinnen und Verbraucher digital souverän?“
- MfK Nürnberg: “Cybercrime und digitale Gewalt gegen FLINTA”
- Daten-Dienstag: „Was tun gegen Hate-Speech?“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Guideline 04/2021 zu CoC zu Drittstaatentransfers
Im Februar verabschiedete der EDSA seine Guideline on Codes of Conduct as tools for transfers. Darin legt der EDSA fest, welche Anforderung er erwartet, um über Verhaltensregeln einen Drittstaatentransfer ausreichend legitimieren zu können. Die Guidelines enthalten Beispiele und Schaubilder.
1.2 EDSA / BfDI: Untersuchung der Cloudanwendungen durch Behörden
In Deutschland beteiligt sich u.a. der BfDI an einer Fragebogenaktion gegen öffentlich Stellen zum Einsatz von Cloud-Anbietern. Über eine Anfrage an FragdenStaat sind diese Dokumente des BfDI nun zugänglich. Diese können natürlich auch zum Eigenaudit genutzt werden, selbst wenn man keine Behörde ist. Oder wenn Cloud-Produkte für öffentliche Stellen angeboten werden.
1.3 DSK: Orientierungshilfe Direktwerbung
Natürlich ist der offizielle Titel länger: „Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO)“ und nimmt man die Fußnote dazu („Diese Orientierungshilfe thematisiert nicht das Thema Adresshandel, da hierzu gesonderte Beratungen erfolgen werden“). sogar noch länger. So befasst sich die DSK auf insgesamt 20 Seiten mit den Fragen der Definition, der Informationspflichten, der Einwilligung, speziellen Sachverhalten und bis hin zum Widerspruch. Wer sich noch daran erinnert, dass es bereits eine Orientierungshilfe zu dieser Thematik im Jahr 2018 gab: Richtig und hier findet hier einen Dokumentenabgleich beider Veröffentlichungen.
1.4 LfDI BW: FAQ zu Cookies und Tracking
Neben der Thematik des Drittstaatentransfers nach dem EuGH Urteil „Schrems II“ ist die datenschutzkonforme Verarbeitung von personenbezogenen Daten wohl das meist-diskutierte Thema – zumindest, wenn man dabei Daten mehr als „unbedingt erforderlich“ nutzen will. Und auch diese Begrifflichkeiten sind auszulegen. Hilfe kann dabei die nun erschienene FAQ-Liste des LfDI BW bieten. Aber wie schon die aktuell in der Konsultation befindlichen Orientierungshilfe für Telemedienanbieter:innen bietet sie auch „nur“ Beispiele, was nicht geht.
1.5 Bremen: Bußgeld gegen Vermietungsunternehmen
Aufgrund unzulässiger Datenverarbeitung personenbezogener Daten über Hautfarbe, sexuelle Orientierung, ethnische Herkunft und Gesundheitszustand von Mietinteressenten gab die Bremer Datenschutzaufsicht ein Bußgeld iHv ca. 1,9 Mio. Euro gegen ein Bau- und Immobilienverwaltungsunternehmen bekannt. Wem das hoch vorkommt: Nach Angaben der Aufsichtsbehörde wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil das Unternehmen im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße aber erheblich reduziert werden. Wer sich dafür interessiert, was Aufsichtsbehörden in diesem Zusammenhang fragen könnten, kann sich auf den Seiten des BayLDA zu dessen laufender Prüfung informieren.
1.6 Rundfunkdatenschutz: Tätigkeitsbericht für 2021
Der Datenschutzbeauftragte für die Rundfunkanstalten BR, SR, WDR, Deutschlandradio und ZDF hat seinen Tätigkeitsbericht für 2021 veröffentlicht. So sieht er beispielsweise keine gemeinsame Verantwortlichkeit bei der Durchführung eines Arbeitnehmerüberlassungsvertrages, solange es keine darüber hinaus gehenden gemeinsamen Aktivitäten gibt. Er erläutert auch seine Haltung zum Einsatz von sozialen Medien und bezieht erfreulicherweise auch zum TTDSG unter Berücksichtigung der Situation der Rundfunkanstalten Stellung.
Franks Anmerkung: Da gab es ja auch schon mal Kritik…
1.7 BfDI: Einsatz von Social Media (Aussagen in zwei Podcasts)
Was macht der BfDI und welche Erwartungen hat er an die Nutzung sozialer Medien wie Facebook durch die ihm unterstellten Einrichtungen. Dies war Gegenstand eines Podcasts, der sich sonst weniger mit datenschutzrechtlichen Themen befasst. Wer genau hinhört, kann daraus auch Rückschlüsse ziehen, auf was man achten sollte, wollte man trotzdem Angebote wie Facebook nutzen, wenn dann die Datenschutzaufsicht nachfragt. Das löst zwar nicht immer die grundlegenden Fragen, für die Facebook mehr kooperieren müsste, hilft aber möglicherweise das eigene Bemühen nachhaltiger darlegen zu können.
In einem anderen Podcast* geht es dann um die Krisenkommunikation, wie dabei soziale Medien auch aus Datenschutzsicht eingebunden werden könnten. Interessant ist dabei, dass auch eine Vertreterin der Nutzung der sozialen Netzwerke mitwirkt, auch wenn dadurch wenig Überraschendes beigetragen wird. Der BfDI kündigte an, dass, wenn er bezüglich der Nutzung von sozialer Netzwerke Abhilfemaßnahmen nach Art. 58 DS-GVO ergreift, vorher ein Anhörungsverfahren durchgeführt wird (Nette Idee hier das „Stockholm-Syndrom“ der Marketiers gegenüber den sozialen Netzwerken anzuwenden).
* Franks Nachtrag: Hier ist die Übersicht aller Podcasts aus der Reihe, damit die Quelle ersichtlich wird…
1.8 Liechtenstein: Google Analytics
Auch die Datenschutzstelle in Liechtenstein geht von einem unzulässigen Einsatz von Google Analytics aus. Sie fordert deshalb die Verantwortlichen auf Webseiten datenschutzkonform auszugestalten und alternative, datenschutzkonforme Lösungen an Stelle von Google Analytics einzusetzen. Auch wenn die liechtensteiner Behörde aktuell keine amtswegigen Untersuchungen in Bezug auf Google Analytics durchführt, so gab es auch in Liechtenstein bereits eine Reihe von Beschwerden, die einvernehmlich gelöst werden konnten, indem die Webseitenbetreiber Google Analytics unverzüglich deaktivierten.
1.9 BfDI: FAQ-Liste zu Datenschutzverstößen bei der Telematik-Infrastruktur
Der BfDI informierte, dass er von Hinweisgebern auf Datenschutzverstöße aufmerksam gemacht wurde, die im Zusammenspiel von elektronischen Gesundheitskarten (eGK) und den Konnektoren der Telematik-Infrastruktur entstanden sein sollen. Dazu hat er nun eine FAQ-Liste veröffentlicht.
1.10 Prüfschema Kindertagesstätten
Die kirchliche Datenschutzaufsicht Nord berichtet in Ziffer 3.4.1 in ihrem Tätigkeitsbericht für 2021 über durchgeführte Prüfungen in Kindertagesstätten. Für Leser:innen, die damit nicht so vertraut sind: “kirchlich” heißt in diesem Kontext aus dem eigenen Selbstverständnis “katholisch” und umfasst daher das KDG. Aber auch für Anhänger anderer Religionen oder gar Ungläubige bietet der Bericht dazu und die veröffentliche Liste der Prüfungsfragen eine Möglichkeit der Orientierung für ein Selbstaudit in diesen Bereichen.
1.11 Norwegen: Wer beaufsichtigt die Datenschutzaufsicht?
Eine Frage, die auch in Deutschland schon manche beschäftigte: In Norwegen gab es eine Beschwerde gegen die Verarbeitung personenbezogener Daten durch die dortige Datenschutzaufsicht, u.a. hinsichtlich der Verarbeitung über die Webseite. Jetzt konnte die Aufsicht sich ja nicht selbst prüfen und so beauftragte das für diese Thematik zuständige Ministerium eine externe Stelle mit der Prüfung. Im Ergebnis stelle diese „nur“ eine Verletzung der Informationspflichten nach Art. 13 Abs. 1 lit. d DS-GVO fest.
2 Rechtsprechung
2.1 EuGH: Anforderungen an Art. 23 DS-GVO insb. bei der Steuerverwaltung
Ein Sachverhalt aus Lettland wie aus einer anderen Zeit, aber nichts desto weniger auch für uns interessant: Die Steuerverwaltung forderte von einer Autoverkaufsplattform die Herausgabe der Daten von Nutzern. Der EuGH äußerte sich dann hinsichtlich der Anforderungen an Transparenz und die Einschränkung der Betroffenenrechte über Art. 23 DS-GVO.
2.2 KG Berlin: Anforderung an Auskunft in wettbewerbsrechtlicher Streitigkeit
Jemand bekommt Werbung, die er nicht haben will, verlangt Auskunft und alles läuft nicht so, wie er es gerne hätte. Letztendlich darf sich das KG Berlin damit befassen, wann dazu ein Rechtsanwalt eingeschaltet werden darf und wer dessen Kosten übernehmen muss.
2.3 VG Cottbus: Grundlage für Einbau eines Wasserzählers mit Funkmodul
Muss ich den Einbau eines Wasserzählers mit Funkmodul dulden? Ist das nicht eine Verarbeitung personenbezogener Daten und was ist mit meinem informationellen Selbstbestimmungsrecht? Die Fragen, die sich ein Bürger in Brandenburg stellte, hat das VG Cottbus entsprechend beantwortet und erinnert dabei auch schon an die Grundsätze des Datenschutzrechts: Der Einbau eines Wasserzählers mit Funkmodul ist ggf. bereits als Datenverarbeitung i.S.d. Datenschutz-Grundverordnung zu werten, wenn dabei Daten, durch die auf eine Person geschlossen werden kann, genutzt werden. Auch in diesem Fall ist dann eine Rechtmäßigkeitsgrundlage erforderlich, die das VG in Art. 6 Abs. 1 lit. e DS-GVO sieht, da die Wasserabrechnung für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Zwar führt das VG auch aus, das das Grundgesetz und das daraus abgeleitete Recht auf informationelle Selbstbestimmung durch die Art. 7 und 8 der Grundrechtecharte der europäischen Union überlagert werde, prüft dies aber trotzdem und kommt zu dem Ergebnis, dass das Grundrecht auf informationelle Selbstbestimmung nicht schrankenlos gewährleistet werde. Es unterliegt auch Einschränkungen durch die verfassungsmäßige Ordnung und durch Rechte anderer. Die würde durch die rechtlichen Grundlagen, die der öffentlichen Wasserversorgung durch eine Gemeinde in Brandenburg zugrunde liegen, gewahrt. Im Übrigen geht das Gericht auch auf die unterschiedlichen Meinungen der verschiedenen Landesdatenschutzaufsichtsbehörden ein, inwieweit für „intelligente“ Wasserzähler eine spezifische Rechtsgrundlage benötigt würde. „Intelligente“ Wasserzähler wird in einem Fall als Beispiel aufgeführt, dass diese mit einer Speicherfunktion ausgestattet sind, die den jeweiligen Wasserdurchfluss und -verbrauch in kurzen Zeitabschnitten (beispielsweise mehrfach pro Minute), alle 24 Stunden den Zählerstand für mehrere Hundert Tage im sogenannten Tagesregister, einmal im Monat zu einem Stichtag den jeweiligen Monatsverbrauch für mehrere Jahre im sogenannten Monatsregister und Informationen zum Höchst- und Mindestdurchfluss speichern und mit einer Funkfunktion ausgestattet sind. Für diese Funktionen sei eine spezifische Rechtsgrundlage erforderlich.
2.4 Hessisches Landessozialgericht: zu Klageweg bei Art. 82 DSGVO über Zivilgerichte
Welches Gericht ist zuständig, wenn Schadensersatzansprüche aus Art. 82 DS-GVO geltend gemacht werden, die auf Datenschutzverstößen bei der Verarbeitung von Sozialdaten durch eine gesetzliche Krankenversicherung beruhen? Das Hessische Landessozialgericht verweist hierbei auf Art. 34 GG: Aus Art. 34 Satz 3 GG folge nicht nur die Eröffnung des Rechtswegs zu den ordentlichen Gerichten für Schadensersatzansprüche aus Amtspflichtverletzung, sondern (weiterhin) eine abschließende Rechtswegzuweisung. Diese umfasse auch Schadensersatzansprüche aus Art. 82 Abs. 1 DSGVO, sofern die geltend gemachten Verstöße in einem öffentlich-rechtlichen Sozialleistungsverhältnis wurzeln.
2.5 LAG Berlin-Brandenburg: Schadensersatz bei unzureichender Auskunft
Im Rahmen einer arbeitsrechtlichen Streitigkeit entschied das LAG Berlin-Brandenburg, dass der betroffenen Person aufgrund einer unzureichenden Auskunft ein Schadensersatz zuzubilligen sei. „Indem die Beklagte ihrer Auskunftsverpflichtung inhaltlich nicht hinreichend nachgekommen ist, hat der Kläger keine ausreichenden Kenntnisse über die Verarbeitung seiner personenbezogenen Daten erlangt. Insofern ist ein Kontrollverlust eingetreten und ihm wurde die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung seiner personenbezogenen Daten unmöglich gemacht oder erschwert.“ (RN 58). In der Begründung verweist das Gericht dabei auch darauf, dass nach seiner Ansicht nach die Schadensersatzansprüche auch generell eine Abschreckungswirkung haben sollen (RN 63).
2.6 LG Kiel: Anforderung an datenschutzrechtliche Einwilligung bei Ermittlungstätigkeiten
Erst noch kurz die Basics: Für die Verarbeitung personenbezogener Daten in Strafverfahren gilt nicht die DS-GVO, sondern eine Richtlinie, die in Deutschland z.B. im Dritten Teil des BDSG umgesetzt wurde. Umkehrschluss: Der Dritte Teil des BDSG gilt nur für Verarbeitungen im Rahmen der Strafverfolgung. Daher wird die o.g. Richtlinie auch gerne nur mit „RL Polizei und Justiz“ abgekürzt.
Jetzt zum Fall: Die Polizei will Ihren Kofferraum durchsuchen und fragt Sie, ob sie das darf (vorher hatte sie bei Ihnen etwas Marihuana gefunden). Sie willigen ein, die Polizei findet mehr von dem Stoff, beschlagnahmt alles und führt dann am gleichen Abend noch Durchsuchungen Ihrer Wohnung durch. Jetzt das datenschutzrechtlich Spannende:
Laut LG Kiel war die erteilte Einwilligung unwirksam, weshalb die Durchsuchung vorliegend auch auf sie nicht gestützt werden konnte. Die Polizei hat Sie nicht nach § 51 BDSG auf die Widerrufsmöglichkeit der Einwilligung hingewiesen, als sie Sie fragte, ob sie den Kofferraum öffnen dürfte. Zwar bedarf es einer richterlichen oder staatsanwaltschaftlichen Durchsuchungsanordnung nicht, wenn sich der Betroffene einer Maßnahme freiwillig unterwirft, also in diese einwilligt. Die Unwirksamkeit der Einwilligung ergebe sich zum einen daraus, dass der Beschwerdeführer von den Polizeibeamten entgegen § 500 Abs. 1 StPO in Verbindung mit § 51 Abs. 3 S. 3 BDSG nicht vor Abgabe der Einwilligung von der Widerruflichkeit und der ex-nunc-Wirkung derselben in Kenntnis gesetzt wurde.
Daher grundsätzlich wichtig: Eine unzureichende Einwilligung kann zur Unwirksamkeit der Verarbeitung führen. Und § 51 BDSG ist für die meisten nicht relevant (sofern Sie nicht in einem Ermittlungs- / Strafverfahren sind), aber Art. 7 Abs. 3 Satz 1-3 DS-GVO regelt das Gleiche!
2.7 VG Stuttgart: Zum Abberufungsschutz bei DSBs öffentlicher Stellen
Der stark komprimierte Sachverhalt, den das VG Stuttgart bewertete, betrifft eine benannte behördliche DSB einer öffentlichen Stelle, die die Rückübertragung der Aufgaben der DSB wieder auf sie fordert, nachdem die ursprüngliche Benennung wegen scheinbarer formeller Fehler aufgehoben wurde. Die Aufgaben der DSB wurden dann anderweitig zugewiesen. Das VG kommt letztendlich zum Ergebnis, dass ihr in diesem Fall kein Abberufungsschutz zustände (ab RN 51). Allerdings sind auch die Ausführungen vorher schon diskussionswürdig, z.B. Verantwortlicher kann die Datenschutzbeauftragte allenfalls insoweit sein, als ihr im Rahmen ihrer Aufgabenerfüllung als Datenschutzbeauftragte selbst personenbezogene Daten anvertraut und somit unter ihrer Verantwortung verarbeitet werden (RN 43).
2.8 Norwegen: Berechtigtes Interesse gegen Löschbegehren
Jemand wurde im Jahr 2011 verurteilt, verbunden mit der Auflage kein Geschäft führen zu dürfen. Im Jahr 2019 wurde diese Auflage aufgehoben und die Person übernahm Managementaufgaben wie Projektsteuerung in einem Unternehmen. Als sie nun in die Geschäftsführung wechseln will, fordert sie die Löschung dieser Information gegenüber Pressemedien (Sachverhalt wieder mal sehr zusammengefasst). Im Ergebnis differenziert die Aufsichtsbehörde danach, um welche Informationen es geht und ob diese den beruflichen oder den privaten Bereich der Person betreffen und kommt zu dem Ergebnis, dass nicht jede Information vom Löschanspruch umfasst sei, sondern dass hier auch berechtigte Interessen zur Veröffentlichung bestehen. Das Gericht bestätigt diese Einschätzung.
2.9 Niederlande: Schadensersatz iHv 250 € wegen unberechtigter Weitergabe
Der District Court Rotterdam entschied einen Betrag iHv 250 Euro als Schadensersatz wegen eines Datenschutzverstoßes. Betroffen waren ca. 1.100 Personen, deren Daten in einer unverschlüsselten Excelliste enthalten waren. Es ging um Kaufinteressenten in einem Neubaugebiet mit Angaben über Name, Geburtsdatum und Finanzierungsangaben. Diese Datei wurde unverschlüsselt an alle Interessenten versandt.
3 Gesetzgebung
3.1 US-Datentransfer: Hoffnung?
Wieder mal Hoffnung auf eine politische Lösung oder nur ein vages Versprechen, um eine Bezahlschranke für einen Bericht zu überwinden? In diesen Zeiten freut man sich über alles, was etwas Positives ausstrahlt.
3.2 Anforderung an Gesetzgebungsverfahren: 2. DS-AnpUG-EU
Ich hatte es gar nicht mitbekommen: Vor dem BVerfG läuft ein Verfahren wegen formeller Mängel (fehlende Beschlussfähigkeit) einiger Gesetze, als diese im Bundestag beschlossen wurden. Der Rechtsausschuss des Bundesrates hat diesem empfohlen, dazu keine Stellungnahme abzugeben. Kurioserweise wäre damit auch das 2. DS-AnpUG* betroffen.
* Franks Anmerkung: Damals(tm) dachte ich, dass das zu der Zeit bewegte Zeiten seien – Oh Mann, wie sehr sich die Maßstäbe geändert haben…
4 Künstliche Intelligenz und Ethik
4.1 BDI-Vize u.a. zu Corporate Digital Responsibility
Welche Meinung hat der BDI-Vize zu Themen wie Corporate Digital Responsibility? Wie sollte es mit dem CDR-Codex weitergehen? Welche Überlegungen hat er in Bezug auf die Facetten des personenbezogenen Datenschutzes? Dies alles lässt sich in diesem Beitrag nachlesen.
4.2 KI in der Arzneimittelforschung
Welche Möglichkeiten Künstliche Intelligenz in der Arzneimittelforschung eröffnet, wird hier beleuchtet. Da beruhigt es, wenn sich der BfDI vorgenommen hat, sich dieses Jahr verstärkt um die Forschung und personenbezogene Daten zu kümmern.
4.3 KI im Journalismus
Mit den Fragen zu Empfehlungen des Einsatzes von Künstlicher Intelligenz und Ethik in den Redaktionsräumen durch Journalisten befasst sich diese Veröffentlichung vom Dezember 2021.
4.4 Framework KI-Audit in der Arbeitswelt
Alle machen sich Gedanken, wie sich der Einsatz Künstlicher Intelligenz auf verschiedene Bereiche des Lebens auswirken wird. So finden Sie hier ein integratives Framework zum Auditieren und Testen von KI-Systemen in der Arbeitswelt. Herausgegeben von der Gesellschaft für Informatik e.V. (GI).
5 Veröffentlichungen
5.1 Neue vertragliche Grundlage für öffentliche Stellen: EVB-IT Cloud
Der Bund hat sich mit dem Bitkom auf aktualisierte, vertragliche Formulierungen zur Beschaffung von Cloudleistungen (EVB-IT Cloud) geeinigt. Sie finden die neuen Texte alle hier.
5.2 noyb zu Cookie-Bannern
Das NGO noyb informiert über zwischenzeitliche geänderte Seiten, weist aber auch darauf hin, dass es noch zu viele Webseitenbetreiber gäbe, die sich nach Ansicht von noyb nicht rechtskonform verhielten – und kündigt weitere Beschwerden dagegen an. Diesmal konzentriert sich noyb auf das sogenannte Nudging, wohl am besten mit manipulierender Gestaltung übersetzt. Dabei will noyb auch automatisierte Überprüfungen durchführen und sich auch auf sogenannte CMP (Consent Management Plattform,) wie z.B. OneTrust oder Usercentric, konzentrieren.
5.3 DIHT: Größtes Problem sind die Rechtsunsicherheiten
Was wird seitens der Wirtschaft als größtes Problem bei der Nutzung von Daten gesehen? Nach einer Umfrage des DIHT unter rund 4.300 Betrieben aller Größenklassen fühlen sich 57 Prozent der Unternehmen durch „datenschutzrechtliche Hemmnisse“ bei der Datennutzung behindert. Hinzu kämen aus Sicht der Unternehmen weitere juristische Unklarheiten, zum Beispiel über Art und Umfang von Nutzungsrechten, die für 38 Prozent eine Herausforderung darstellen. Ebenso viele führten „technische Hürden“ ins Feld. Jeweils 36 Prozent gaben „mangelnde Datenqualität“ und „fehlendes Know-how“ an. Natürlich gab es keine Frage, ob sich die befragten Unternehmen durch einen Datenschutzbeauftragten beraten lassen, das hätte ja eventuell deutlich gemacht, wie man fehlende Datenkompetenz abstellen könnte.
5.4 Bay. Digitalministerin: Kommunen müssen bei Digitalisierung Gas geben
Die bayerische Staatsministerin für Digitales äußert sich in diesem Podcast-Interview zu Plattformen, die Fake News verbreiten und wie man dem begegnet ohne zu viele Freiheiten einzuschränken? Warum ist es selbst für den Staat so schwierig zu den Chefs von Telegram durchzudringen? Wie können Europa und Deutschland digital resilienter und wettbewerbsfähig zugleich werden? Welche Rolle spielt ein Land wie Bayern in solchen Bemühungen? Bei der Umsetzung des Online-Zugangsgesetztes hofft sie auf mehr Tempo auch in den Kommunen. Zudem wünscht sich Gerlach den Aufbau einer souveränen Verwaltungscloud – gerne mit der Hilfe großer privatwirtschaftlicher Internetkonzerne. Jedenfalls dann, wenn bestimmte Bedingungen eingehalten werden – welche? Hören Sie es sich an!
5.5 Datenschutzangebot von DSiN
Der Verein Deutschland-sicher-im Netz hat eine Webanwendung veröffentlicht, die über Fragen ermöglicht einen „Digitalführerschein“ zu erwerben. Über die Seite wird auch der Hintergrund um Cookies erklärt, eine FAQ-Liste zur DS-GVO und Hinweise zur Nutzung sozialer Netzwerke kommuniziert. Natürlich kann man an allen Punkten Ansätze für Verbesserungen finden. Die FAQ-Liste enthält einige Ungenauigkeiten und bei den sozialen Netzwerken vermisse ich bei den kritischen Punkten („Gefahren“) die intransparente Profilbildung und die damit entstehenden Risiken der Manipulation und Klassifikation. Es bleibt aber ein löbliches Ansinnen.
5.6 Abwehr von Schadensersatzansprüchen
Wer sich nicht sicher ist, ob er sich nicht rechtskonform verhält und deswegen Schadenersatzansprüchen ausgesetzt sein könnte, kann sich hier informieren. Die Veranstaltung der Stiftung Datenschutz von Anfang März ist als Aufzeichnung verfügbar.
5.7 MS Teams an Schulen in Rheinland-Pfalz
Die digitale Kompetenz an Schulen war und bleibt ein Thema – auch in Rheinland-Pfalz. So verwundert es nicht, wenn sich eine Oppositionspartei informieren möchte, wie der Einsatz von MS Teams an Schulen künftig laufen soll.
5.8 Drittstaatenprüfung: Alternative europäische Lösungen
Der LfDI BW hat ja in seinen Hinweisen zu Schrems II und der Drittstaatenprüfung angegeben, es sollte geprüft werden, ob es möglich sei nur Dienste zu nutzen, die keine Daten in ein Drittland übertragen. Dabei könnten diese Seiten nützlich sein, die sich auf Cloud-Anbieter konzentrieren oder verschiedenen Dienstleistungen clustern. Und wie immer ein Disclaimer: Weder heißt das, dass diese Dienste geprüft wurden, ob sie alle rechtlichen und technischen Anforderungen erfüllen, noch dass es nicht auch weitere Anbieter gibt. Es soll nur dem Argument entgegengetreten werden können “Ich kenne nur den einen…”
5.9 Vorschlag zur Webseiteneinbindung von Tools
Hier wird dargestellt, wie man nach Ansicht des Autors externe Tools wirksam in die eigene Webseite einbindet. Hervorzuheben ist dabei der Hinweis nicht alles zu nutzen, was geht, sondern nur das, was tatsächlich gebraucht wird!
5.10 Gestaltung der Einwilligungen auf Webseiten
Auf was muss bei Einwilligungen auf Webseiten geachtet werden, wie gestalte ich diese und wo findet meine Gestaltungsfreiheit ihre Grenzen? Damit befasst sich dieser Blogbeitrag, der schon niedrigschwellig, aber inhaltlich vertieft diese Fragen beantwortet. Und auch hier der Disclaimer: Manche Themen sind noch nicht gerichtlich geklärt, wie z.B. “Nudging”, die “manipulaitive” Gestaltung von Webseiten – Wo beginnt es und welche Gestaltungen wären zulässig?
Franks Anmerkung: Wie wir noyb in 5.2 entnehmen können, wohl auch hier eher weniger als mehr.
5.11 Digitale Ahnungslosigkeit
Allein die Überschrift dieses Artikels machte neugierig: “4 von 5 Berufstätigen in Deutschland zweifeln an ihren digitalen Fähigkeiten”. Danach fühlen sich gemäß der Salesforce Studie zu digitalen Skills 82 % der Berufstätigen in Deutschland nicht auf die Arbeit in einer digitalen Zukunft vorbereitet – mit 76 % sieht es global allerdings nicht viel besser aus. Die Konsequenz, die die Befragten aus dieser Feststellung ziehen, fällt ernüchternd aus. Denn lediglich 17 % ergreifen aktiv Maßnahmen, um dazuzulernen oder gar Schulungsprogramme zu durchlaufen.
Ich fürchte in Deutschland scheinen die 20 %, die glauben digitale Fähigkeiten zu haben, in der Politik zu arbeiten oder für das Cookies-Banner der Webseite der veröffentlichenden Zeitschrift verantwortlich zu sein.
5.12 Verpflichtung auf Vertraulichkeit
Das alte “Datengeheimnis” im früheren § 5 BDSG kannte jeder – im neuen BDSG ist es aber auf den Einsatz im Dritten Teil in der Umsetzung der RL “Polizei und Justiz” begrenzt. Dass es trotzdem sinnvoll ist, seine Beschäftigten auf die Anforderung der DS-GVO zu verpflichten und wie das insbesondere hinsichtlich der Vertraulichkeit umgesetzt werden kann, finden Sie in der entsprechenden aktualisierten Fassung der Praxishilfe der GDD.
5.13 Übersicht der Schadenersatzentscheidungen
Eine Kanzlei, die auch zur Vermeidung von Schadenersatzansprüchen berät, veröffentlicht regelmäßig eine Übersicht zu entsprechenden aktuellen Urteilen und Entwicklungen.
Wenn Sie vermeiden wollen da mal mit Ihrem Verantwortlichen oder Auftragsverarbeiter dabei zu sein, sollten Sie die Aussagen dort studieren und entsprechend handeln.
5.14 TIA für Google Analytics
Wer sich mit dem Einsatz von Google Analytics rumschlägt, weil er oder der Verantwortlich glaubt, es sei „alternativlos“, kann sich mal mit der TIA-Checkliste des Schweizers D. Rosenthal befassen. Eine Aussage einer Aufsichtsbehörde dazu ist mir nicht bekannt. Die TIA-Checkliste kann unter Namensnennung – Weitergabe unter gleichen Bedingungen – genutzt werden, weil sie unter der Creative Commons-Lizenz CC BY-SA 4.0 steht.
5.15 Veranstaltungen
5.15.1 BMUV und bitkom: „Selbstbestimmt und sicher – Wann sind Verbraucherinnen und Verbraucher digital souverän?“
21.03.2022, 10:00 – 15:30 Uhr: Sicher nicht nur für Freunde der „Digitalen Souveränität“ spannend, wie sich dies für Verbraucher:innen darstellen lässt. Das Programm verspricht mit interessanten Redebeiträgen einen vielseitigen Austausch. Teilnahme kostenlos, Anmeldung erforderlich.
5.15.2 MfK Nürnberg: “Cybercrime und digitale Gewalt gegen FLINTA”
24.03.2022, 19:00 – 20:30 Uhr: Thema der Veranstaltung ist die spezifische Gewalterfahrung, der Frauen, Lesben, Inter Menschen, Nichtbinäre Menschen, Trans Menschen und Agender Menschen im Netz ausgesetzt sind. In Kooperation mit ah:mi (feminstischer Thinktank aus Nürnberg, siehe: https://www.ah-mi.org/). Teilnahme kostenlos, Anmeldung erforderlich.
5.15.3 Daten-Dienstag: „Was tun gegen Hate-Speech?“
29.03.2022, 19:00 – 20:30 Uhr: Besonders Kinder und Jugendliche werden immer öfter mit Hass im Internet konfrontiert und müssen sich mit dem Thema Cybermobbing fast täglich auseinandersetzen. Sie sind Opfer und leider oft auch Täter. Doch es gibt Möglichkeiten sich zu wehren. Wichtig ist es zu erkennen, dass es im Umgang mit Hass im Internet unterschiedliche Strategien zur Abwehr und Verteidigung gibt. Was Hass im Netz ist, was er anrichtet und wie man Hass im Netz entgegnen kann, stellt der CEO bei Revolvermänner – Reputationsagentur, Düsseldorf, vor. Teilnahme kostenlos, Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Fake News
Wie erkennen wir Fake News? Über die Beiträge der sozialen Medien wie Facebook an den Entscheidungen zum Brexit oder zur Trumpwahl ist schon vieles veröffentlicht worden (z.B. hier). Nun unterstützt das Land Baden-Württemberg aus aktuellem Anlass bei der Medienbildung hinsichtlich des schmalen Grates zwischen Fakt und Fiktion.
Hinterher können Sie dann den Nachrichtentest zum Erkennen von Fake News machen, der von der Stiftung Neue Verantwortung angeboten wird.
6.2 Bay. Polizei nutzt Software von Palantir
Die Bayerische Polizei bekommt ein neues „Verfahrensübergreifendes Recherche- und Analysesystem“, kurz VeRA. Nach einer europaweiten Ausschreibung des Bayerischen Landeskriminalamts (BLKA) erhält das Unternehmen Palantir Technologies GmbH den Zuschlag. Ganz besonders wichtig sei dem Präsidenten der Datenschutz. VeRA werde höchste Sicherheitsanforderungen erfüllen. Die Systemserver würden im Rechenzentrum der Bayerischen Polizei stehen. Es werde keine Verbindung zum Internet geben. Aus der Pressemitteilung ist aber leider auch nichts zu einer Datenschutz-Folgenabschätzung bzw. zu dessen Ausnahmen nach Art. 14 BayDSG zu lesen. Wer jetzt außerhalb Bayerns wohnt und glaubt damit nichts zu tun zu haben: Andere Bundesländer könnten nachziehen, Bayern hat federführend einen Rahmenvertrag geschlossen. Polizeien von Bund und Länder könnten ohne zusätzliche Vergabeverfahren einsteigen.
Franks Anmerkungen: Oh weia, wo fange ich denn da an? Also am Besten erst mal beim besten Zitat aus der Pressemitteilung: „Der Auftragnehmer sichert die Einhaltung der No-Spy-Klausel zu.“ Ja, nee, is klar…
Außerdem: Wenn die Server nicht mit dem Internet verbunden sind, wie gelangen a) die Daten der verschiedenen Datenbanken, die mit Hilfe der Software zentral analysiert werden sollen, denn dann auf diese Server? Werden die Daten in den „alten“ Datenbanken per Backup-Medien eingespielt? Oder gar ausgedruckt und dort neu eingegeben? Und das regelmäßig? Und b), wie greifen die geneigten Datenanalyst:innen auf die Auswertungen und Analysen zu? Drucken die die dann aus und nehmen sie mit in ihre Dienststellen? Bzw. fahren sie für jede Analyse ins Rechenzentrum? (So nach dem Motto „Was im Fight-Club passiert, bleibt im Fight-Club?“). Fragen über Fragen. Aber es wird bestimmt alles gut… Ja, nee, is klar!
6.3 Data Literacy
Wieder so ein Begriff, der seit ein paar Jahren durch den digitalen Dschungel wabert und bei dem man das Gefühl hat, jeder interpretiert das hinein, was ihm passt: Data Literacy. Laut der Webseite Bigdata-Insider (und die müssen es ja wissen) beschreibe “Data Literacy oder Datenkompetenz die Fähigkeit mit Daten kompetent umzugehen. Sie umfasst verschiedene Einzelkompetenzen, um Daten zu erfassen, anzupassen, zu verändern, zu interpretieren und zu präsentieren. Die Datenkompetenz ist Grundlage und wichtiger Skill der Digitalisierung.” Irgendwie also auch wieder was, was die Wirtschaft erwartet, damit sie den bestmöglichen Nutzen ziehen kann. In seiner Publikation “Kompetenzerwerb im kritischen Umgang mit Daten” befasst sich dann auch der Stifterverband mit der Data Literacy Education an deutschen Hochschulen und stellt dies exemplarisch an den beteiligten Hochschulen dar. Dabei kommt die Studie u.a. zu folgender Forderung:
Data Literacy muss als transdisziplinäre Kompetenz fachübergreifend aus drei Perspektiven vermittelt werden:
Data Literacy bezieht drei Perspektiven ein: die anwendungsbezogene (Was ist zu tun?), die technisch-methodische (Wie ist es zu tun?) und die gesellschaftlich-kulturelle (Wozu ist es zu tun?). Wir wollen deshalb erreichen, dass Data Literacy aus einem trans- und interdisziplinären Ansatz heraus vermittelt wird. Dieser umfasst
» die anwendungsbezogene Perspektive (zum Beispiel Anwendungen aus den Natur- und Ingenieurwissenschaften, Wirtschaftswissenschaften, aus Medizin, Psychologie, Soziologie, Sprachwissenschaften, Medienwissenschaften und vieles anderes mehr),
» die technisch-methodische Perspektive (zum Beispiel aus Sicht der Statistik, Mathematik, Informatik und Informationswissenschaften),
» die gesellschaftlich-kulturelle Perspektive (zum Beispiel Reflexion von juristischen, ethnologischen, ethischen, philosophischen sowie Ungleichheits-Aspekten)
» sowie die Perspektive der Vermittlung (zum Beispiel seitens der Fachdidaktiken und Erziehungswissenschaft).
Kein Wunder, dass man es manchmal als DSB so schwer hat über alle Hierarchieebenen hinweg Verständnis zu finden, wenn juristische Aspekte nicht als zwingende Rahmenbedingung bei der Nutzung von Daten, sondern nur als Reflexion einbezogen werden.
7 Sonstiges/Blick über den Tellerrand
7.1 Mobilsicher: Hinweise zu Mail-Apps
Die Hinwiese sind zwar schon älter. Weil aber gerade in den Medien viel berichtet wird über nachrichtengesteuerte Manipulation und Erkenntnisse, die seitens Russlands gesteuert werden, hier noch mal der Link zur Erinnerung an eine Veröffentlichung von mobilsicher, was bei manchen Mail-Apps im Hintergrund passiert.
7.2 Wie erklären wir Kindern die Ereignisse in der Ukraine?
Damit befassen sich auch die Medienpädagog:innen von FragFinn. Weitere Infos finden Sie hier.
8. Franks Zugabe
8.1 Die Microsoft Authenticator-App
Nicht alle Menschen mögen die Microsoft Authenticator-App. Ich habe schon im Mai letzten Jahres berichtet, was ich stattdessen nutze. Mike Kuketz (den wir schon oft hier in unserer Blog-Reihe mit Beiträgen verlinkt haben, u.a. auch in diesem unter 5.10) hatte auch im letzten Jahr eine ausführlich Analyse zum Sendeverhalten der microsoft Authenticator-App veröffentlicht. Wasser auf meine Mühlen.
Nun hat Microsoft scheinbar diese Bewertung von Herrn Kuketz gefunden und darauf reagiert. Immerhin. Auch wenn die Reaktion seine grundlegendenden Bedenken nicht ausräumen kann.
8.2 Körpersprache per Radar analysieren
Laut dieser Meldung arbeitet Google daran Radar in IoT-Geräte einzubauen, damit diese „sehen“ können, ob ich sie beachte und mir dann passend Informationen zeigen oder sich überhaupt erst mal aktivieren können.
Hier geht es zum dort verlinkten wired-Artikel.
Da die Leute ja auch Alexa mit eingebauter Kamera kaufen bin ich mir sicher, dass auch diese Produkte sich wie geschnitten Brot verkaufen werden.
Ich halte es da eher mit Roger Murtaugh: „I am too old for this shit“…
8.3 Threema kurz vorgestellt
Nachdem wir ja schon einige Messenger-Vorstellungen hatten, hier die Vorstellung von Threema. Threema ist übrigens mein persönlicher Favorit bei den durch mich genutzten Messengern.
8.4 Apropos sicher mailen
Nachdem ja Kollege Kramer unter 7.1 schon Hinweise zu nicht so ganz so guten Mail-Apps für Android gebracht hat, möchte ich gerne (auch von mobilsicher) zwei weitere Seiten anbieten: Zum einen eine Anleitung, wie Mail-Verschlüsselung auf dem Smartphone geht. Zum anderen eine grundsätzliche Erläuterung, was Ende-zu-Ende-Verschlüsselung ist und wie diese funktioniert.
Der erste Link mag für Sie selbst interessant sein, der zweite vielleicht für Menschen in Ihrem Umfeld.
8.5 giropay weiß, was du letzten Sommer gekauft hast
Und das gefällt noyb nicht wirklich. Zu Recht, wie ich finde.
8.6 18 future jobs our tiny monkey brains aren’t ready for
Wenn Sie sich fragen, ob Sie Ihrem aktuellen Job bis zum Ende Ihrer Erwerbstätigkeit so weiter nachgehen wollen oder vielleicht mal was Neues ausprobieren wollen, können Sie sich ja hier inspirieren lassen…
Mein Favorit? Nr. 11. Predictive Customer Service Agent
Erinnert mich irgendwie an TheShop aus Qualityland. Die schicken ja auch Pakete unaufgefordert an die Kunden, weil sie wissen, dass die Kunden den Inhalt wollen (bevor diese selbst es wissen…)
Wobei, ich bleibe bei meinem Zitat aus 8.2.
Das wäre doch auch mal ein Motiv für ein T-Shirt (gibt es bestimmt schon)… Jupp, gibt es.
8.7 Apropos „Ich bin zu alt für…“
I think, I do feel ancient: This Reddit Thread About The Things Only Internet Veterans Remember Will Make You Feel Ancient.