Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 11&12/2022)“

Hier ist der 33. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 11&12/2022)“.

  1. Aufsichtsbehörden
    1. EDSA: Guideline 93/2022 on dark patterns social media platform interfaces
    2. Berlin: Schulungen für Start-ups
    3. Brandenburg: 30 Jahre Datenschutzaufsicht
    4. Stellungnahmen zur Orientierungshilfe Telemedienanbieter:innen
    5. CNIL und APDA: Hinweise zum Datenschutzbeauftragten
    6. Irland: Bußgeld gegen Meta
    7. ICO: Anonymisierung / Pseudonymisierung
    8. Aufsicht USA: FTC lässt Algorithmus zerstören
    9. Diskussion des BfDI mit Max Schrems
    10. DSK: Vorgehen bei Facebook Fanpages
    11. DSK: Entschließung zur wissenschaftlichen Forschung
    12. Bremen: Tätigkeitsbericht
    13. LfD Bayern: Externe Schriftarten auf Webseiten
    14. Polen: Bußgeld aufgrund unzureichender Schutzmaßnahmen
    15. Dänemark: Unternehmen darf nicht blind vertrauen
  2. Rechtsprechung
    1. OLG Brandenburg: Nutzung von Arbeitnehmerdaten für Mindestlohnzahlungsnachweise
    2. BVerfG: Keine Entscheidung über verdeckten Zugriff („Hessentrojaner“)
    3. ICCL verklagt die DPC Irland
    4. OLG Frankfurt: Schadensersatzanspruch bei Fehlversand einer XING-Message?
  3. Gesetzgebung
    1. Drittstaatentransfer USA: Trans-Atlantic Data Privacy Framework
    2. Data Act
    3. EU: Cyber-Resilience Act
    4. Bayerisches Digitalgesetz – Expertenanhörung
  4. Künstliche Intelligenz und Ethik
    1. Rechtliche Fragestellungen beim Einsatz Künstlicher Intelligenz in der Medizin
    2. LfDI BW: Öffentliche Stellen raus aus sozialen Netzwerken
    3. ICO: Erklärung von AI-Entscheidungen
    4. Lieferdienstfahrer wehren sich gegen Algorithmen
  5. Veröffentlichungen
    1. Microsofts Faktencheck zum Datenschutz
    2. Rück-Schlag bei Cybersicherungen
    3. „DSGVO in der Tasche“
    4. Digitale Kündigungsschaltflächen auf Webseiten
    5. Anwendung von Cookies
    6. Zoom – Datenschutz-Folgenabschätzung für Bildungseinrichtungen
    7. EVB-IT-Musterverträge für den Bund zu Cloudleistungen
    8. Kartellbeschwerden gegen Microsoft
    9. Veranstaltungen
      1. Webinar zur DSFA bei Zoom
      2. What is the Future of the European AI Act?
      3. Stiftung Datenschutz: Datendialog Online: Neustart für die Datenpolitik
      4. Open Innovation: Nachhaltig und Digital
  6. Gesellschaftspolitische Diskussionen
    1. Datenschutz in der öffentlichen Wahrnehmung
    2. Soziale Medien, Manipulation und Krieg
    3. TikTok und Tabus
    4. Verkehrsschilder der Gerechtigkeit
    5. „Ich habe doch nichts zu verbergen“ – Ukrainekrieg
  7. Sonstiges / Blick über den Tellerrand
    1. Nerds in der Krise
    2. Kreativwettbewerb zum Datenschutz für Kids
    3. Bilder von Kindern
    4. NDR: Medienkompetenz
  8. Franks Zugabe
    1. Das waren keine Hacker, das waren wir selbst…
    2. Noch’n Podcast: Datenschutz für Websites
    3. Gift fürs Hirn
    4. DSGVO für Dummies
    5. Defender kämpft gegen Office
    6. Schönen Drucker haben Sie da…
    7. Kritik an Chatkontrolle: „Weltmarktführer bei der Massenüberwachung“
    8. Real Time Bidding (mal wieder)
    9. Generation Alpha



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Guideline 93/2022 on dark patterns social media platform interfaces

Die 64-seitige Leitlinie umfasst eine Beschreibung der Begrifflichkeiten und den Life cycle der Nutzung eines social media accounts und typische Gestaltungen von „Dark Patterns“ mit Beispielen Abbildungen und datenschutzrechtlichen Bewertungen. Der LfDI BW hat auf seiner Seite dazu informiert, das er neben der Hamburger Aufsicht in als deutscher Ländervertreter aktiv dabei ist und hat zudem als Koordinator den Vorsitz der Subgroup gemeinsam mit Norwegen innehat.
Bis 02.05.2022 können im Rahmen des Konsultationsverfahren Hinweise an den EDSA eingereicht werden.

zurück zum Inhaltsverzeichnis

1.2 Berlin: Schulungen für Start-ups

In Berlin werden kostenlose Schulungen für Start-ups und Vereine durch die Aufsichtsbehörde angeboten. Der erste Termin ist für den 25. März 2022 vorgesehen. Im Fokus steht die Definition von personenbezogenen Daten, das Konzept der Datenverarbeitung und mögliche rechtliche Konsequenzen bei Datenschutzverstößen. Weitere Veranstaltungen, u. a. zu den Rechtsgrundlagen für eine Datenverarbeitung sowie dem Einsatz von Cookies oder Cloud-Diensten, folgen in den kommenden Monaten. Teilnehmen können Vertreter:innen von Start-ups, gemeinnützigen Vereinen und Kleinunternehmen mit Sitz in Berlin. Pro Veranstaltung stehen 50 Plätze zur Verfügung, für die eine Anmeldung erforderlich ist.

zurück zum Inhaltsverzeichnis

1.3 Brandenburg: 30 Jahre Datenschutzaufsicht

In Brandenburg gedenkt man anlässlich des 30. Jahrestages der Tätigkeit der Datenschutzaufsichtsbehörde der seitherigen Entwicklungen. Was sich nicht geändert hat, ist, dass der Begriff „Datenschutz“ eine technische Vorstellung suggeriere, tatsächlich aber gehe es um das Recht jedes Einzelnen. Heute bedeute dies: Geschützt wird der Mensch durch die Technik, nicht umgekehrt.

zurück zum Inhaltsverzeichnis

1.4 Stellungnahmen zur Orientierungshilfe Telemedienanbieter:innen

Am 15. März 2022 war das Ende der Abgabefrist für das Konsultationsverfahren zur Orientierungshilfe für Telemedienanbieter:innen der DSK. Beteiligt hatten sich u.a. die AWV, der bitkom, der BvD und die GDD.

zurück zum Inhaltsverzeichnis

1.5 CNIL und APDA: Hinweise zum Datenschutzbeauftragten

Während in Deutschland die Regelungen der DS-GVO zu einem DSB kaum zu Änderungen führten, es hier sogar schon einen Berufsverband* dazu gab, stellte dies für andere Länder eine wesentliche Neuerung dar. So brachte nun die CNIL ihre Hinweise dazu auch auf Englisch heraus und die spanische Aufsichtsbehörde veröffentlichte dazu einen Foliensatz.

* Franks Anmerkung: Diesen Link ersparen wir uns jetzt… 😜

zurück zum Inhaltsverzeichnis

1.6 Irland: Bußgeld gegen Meta

Für Verstöße gegen Meldepflichten im Zeitraum zwischen Juni und Dezember 2018 kündigt die irische Datenschutzaufsicht gegenüber Meta (vormals Facebook) ein Bußgeld in Höhe von 18 Mio. Euro an. Geahndet werden unzureichende technische und organisatorische Maßnahmen.

zurück zum Inhaltsverzeichnis

1.7 ICO: Anonymisierung / Pseudonymisierung

Mit der Umsetzung des Brexit schied auch die britische Datenschutzaufsicht ICO aus dem Kreis des EDSA aus, verlor dadurch aber nicht ihre Expertise. So ist die Veröffentlichung und der Aufruf zu Stellungnahmen und Vorstellungen zu der Thematik der Pseudonymisierung und Anonymisierung sicherlich auch für die datenschutzinteressierten Personen in Europa interessant. Bis 16. September 2022 können nteressierte Personen Rückmeldungen zu den dabei veröffentlichten Papieren des ICO einreichen.

zurück zum Inhaltsverzeichnis

1.8 Aufsicht USA: FTC lässt Algorithmus zerstören

Es herrscht immer wieder die Fehlvorstellung, Datenschutz („Privacy“) sei in den USA unterentwickelt, im Vergleich zum „Mutterland des Datenschutzes“, womit dann Deutschland gemeint wäre. Natürlich gibt es Unterschiede in der Struktur und der rechtlichen Gestaltung, aber folgende Meldung zeigt doch, dass in den USA die Durchsetzung des Rechts in ganz anderen Dimensionen verläuft. Gemäß dieser Meldung veranlasst die Federal Trade Commission die Löschung eines Algorithmus der Organisation der Weight Watchers (Wer jetzt noch eine Ausrede gegen das Abnehmen suchte, hiermit hätte er eine). Im aktuellen Fall ging es um minderjährige Kinder, deren Daten ohne Zustimmung der Eltern verarbeitet wurden. Es ist nicht das erste Mal, dass eine Löschung angeordnet wurde, bereits bei Cambridge Analytica oder bei Everalbum sorgte die FTC dafür, dass Daten zu löschen waren, die unzulässig verarbeitet wurden.

zurück zum Inhaltsverzeichnis

1.9 Diskussion des BfDI mit Max Schrems

Die Veranstaltung des BfDI mit Max Schrems ist als Online-Stream (Dauer 1:36 Std.) verfügbar. Es geht dabei u.a. darum, ob alleine eine „innovative Idee“ es rechtfertige sich nicht ans Gesetz zu halten. Thematisiert werden auch Dark Patterns zur Consent-Optimierung, wie z.B. durch One Trust, und das Vorgehen von noyb bei aktuellen Beschwerden zu Consent Bannern. In der Diskussion ging es dann um die Durchsetzung datenschutzrechtlicher Vorgaben im europäischen Vergleich und um die Stärkung des Datenschutzbewusstseins bei der Bevölkerung.

Franks Anmerkung: Rund um die technische Ausgestaltung des Übermittelns des Vortrags gab es (mindestens) eine Kontroverse

zurück zum Inhaltsverzeichnis

1.10 DSK: Vorgehen bei Facebook Fanpages

Die Datenschutzkonferenz veröffentlichte ein Kurzgutachten zur Bewertung der Anforderungen des Einsatzes von Facebook Fanpages, das zum Ergebnis kommt, dass ein rechtskonformer Einsatz nicht möglich ist. Passend dazu hat die DSK einen Beschluss gefasst, wie die einzelnen Aufsichtsbehörden nun vorgehen. Entsprechend ihren Zuständigkeiten sollen/wollen die Aufsichtsbehörden zunächst öffentlich-rechtliche Stellen um entsprechende Nachweise einer rechtskonformen Umsetzung bitten. Sollte dieser Nachweis nicht gelingen, ist vorgesehen darauf hinzuwirken, dass die Facebook-Fanpages deaktiviert werden.

zurück zum Inhaltsverzeichnis

1.11 DSK: Entschließung zur wissenschaftlichen Forschung

In ihrer Entschließung hebt die Datenschutzkonferenz hervor, dass wissenschaftliche Forschung und Datenschutz vereinbar seien.
Dies entspreche dem politischen Ziel der Europäischen Union, den wissenschaftlichen Fortschritt zu fördern sowie ihre wissenschaftlichen und technologischen Grundlagen dadurch zu stärken, dass ein europäischer Forschungsraum geschaffen wird, und sei als Zweckänderung im Rahmen des Art. 5 Abs. 1 lit. b DS-GVO vertretbar. Ein angedachtes Forschungsdatengesetz werde begrüßt und dabei auch konkrete Vorschläge für eine gesetzgeberische Aktivität bezüglich medizinischen Daten formuliert.

zurück zum Inhaltsverzeichnis

1.12 Bremen: Tätigkeitsbericht

Die Bremer LfDI hat ihren Tätigkeitsbericht für 2021 veröffentlicht. Natürlich nimmt auch hier die Thematik des datenschutzkonformen Umgangs bei der Infektionsbekämpfung einen breiten Raum ein. Hinsichtlich der Nutzung von Facebook Fanpages durch Behörden kündigt sie die Nutzung ihrer aufsichtlichen Befugnisse an.

zurück zum Inhaltsverzeichnis

1.13 LfD Bayern: Externe Schriftarten auf Webseiten

Zwar schränkt der Bay. LfD seine Hinweise im Rahmen seiner Kurz-Information 42 auf Webseiten bayerischer Behörden ein, aber das passiert nur zuständigkeitsbedingt. Neben der Erklärung zu Web Fonts und zur Integration gibt es Ausführungen zu Einbindung und Einwilligungserfordernissen.

zurück zum Inhaltsverzeichnis

1.14 Polen: Bußgeld aufgrund unzureichender Schutzmaßnahmen

Ein Auftraggeber hatte mit seinem Dienstleister Schutzmaßnahmen vereinbart aber im weiteren Verlauf nicht ausreichend kontrolliert, ob diese eingehalten wurden. So konnten Unbefugte auf Datenbanken zugreifen. Im Ergebnis verhängte die polnische Datenschutzaufsicht ein Bußgeld über 1 Mio. Euro an den Auftraggeber und 55.000 Euro an den Auftragnehmer.

zurück zum Inhaltsverzeichnis

1.15 Dänemark: Unternehmen darf nicht blind vertrauen

Aus Dänemark wird eine Entscheidung der Aufsicht berichtet, bei der ein Unternehmen mit seinem Dienstleister für Authentifizierungen konkrete Schutzmaßnahmen vereinbart hatte. Trotzdem kommt es in bestimmten Konstellationen zu unberechtigten Kenntnisnahmen im Rahmen des Authentifizierungsverfahrens. Die Aufsicht wirft nun dem auftraggebenden Unternehmen vor unzureichend die denkbaren Szenarien abgeprüft zu haben, was dann dazu führte, dass Unberechtigte auf die Profildaten anderer Personen zugreifen konnten. Aus dem Bericht geht nicht hervor, ob dafür auch ein Bußgeld verhängt wurde.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 OLG Brandenburg: Nutzung von Arbeitnehmerdaten für Mindestlohnzahlungsnachweise

Dürfen Arbeitnehmerdaten für den Nachweis der Einhaltung der Verpflichtung zur Zahlung des Mindestlohns durch einen Subunternehmer an den Generalunternehmer im Hinblick auf zur Nachweisführung erforderlichen persönlichen Daten der Beschäftigten des Subunternehmers verwendet werden? Klingt simpel, ist es aber auf den ersten Blick nicht. Ein Generalunternehmer haftet auch für die Einhaltung der Mindestlohnvorgaben bei seinem Subunternehmer. Im Klageverfahren ging es um das Entgelt für Reinigungsarbeiten, bei denen der Auftraggeber ein Zurückbehaltungsrecht ausübte, weil ihm keine Nachweise zur Einhaltung der Mindestlohnvorgaben vorlagen. Weder reichte dem Auftraggeber eine pauschale Bestätigung, dass der Mindestlohn eingehalten würde, noch eine Bestätigung durch den das dienstleistende Unternehmen betreuenden Steuerberater aus. Das OLG Brandenburg greift für eine datenschutzrechtliche Berechtigung der Weitergabe der für den Nachweis erforderlichen Daten der Beschäftigten auf Art. 6 Abs. 1 lit f DS-GVO (Wahrung berechtigter Interessen eines Dritten) zurück. Darüber hinaus äußert sich das Gericht auch zum Umfang der anzugebenden Informationen unter dem Aspekt der Datenminimierung.

zurück zum Inhaltsverzeichnis

2.2 BVerfG: Keine Entscheidung über verdeckten Zugriff („Hessentrojaner“)

Das BVerfG nahm eine Verfassungsbeschwerde über die Regelung von Überwachungsmöglichkeiten nach § 15 b und § 15 c des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) nicht an. Nach diesen Regelungen darf die Polizei in bestimmten Fällen mit HiIfe von Software auf Festplatten zugreifen und Telefonate überwachen („Hessentrojaner“). Nach Ansicht der Beschwerdeführer werde dadurch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme verletzt. Sie bemängelten zudem den unzureichenden Umgang mit möglichen Sicherheitslücken. Das BVerfG sah aber bereits das Verfahren als unzulässig an. Eine mögliche Verletzung der Schutzpflicht des Gesetzgebers sei nicht ausreichend dargelegt worden und die Kläger hätten nicht erklärt, dass sie selbst unmittelbar von der Regelung betroffen seien. Ihre Verfassungsbeschwerde habe keine grundsätzliche verfassungsrechtliche Bedeutung und keine hinreichende Aussicht auf Erfolg.
Zuvor holte das BVerfG aber die Stellungnahme einiger Datenschutzaufsichtsbehörden ein, eher ungewöhnlich, wenn eine Klage bereits an Zulässigkeitsanforderungen scheitert.

zurück zum Inhaltsverzeichnis

2.3 ICCL verklagt die DPC Irland

Die irische Datenschutzaufsicht wurde durch das NGO ICCL (Irish Council for Civil Liberties) verklagt, weil es bislang untätig gegenüber Googles Aktivitäten beim „Real Time Bidding“ blieb. Mehr dazu auf der Seite des ICCL.

zurück zum Inhaltsverzeichnis

2.4 OLG Frankfurt: Schadensersatzanspruch bei Fehlversand einer XING-Message?

Fast könnte man es schon „Schadenersatz würfeln“ nennen, sollte man die Voraussetzung des Art. 82 DS-GVO beschreiben. Dieser fordert ja einen Verstoß gegen Datenschutzvorschriften, um einen auch immateriellen Schaden fordern zu können. Wie würden Sie entscheiden? Sie bewerben sich über XING bei einer Firma. In XING sind Ihre Kontaktdaten und Ihr Lebenslauf hinterlegt. Im Rahmen des Kommunikationsprozesses wird an Sie durch das ausschreibende Unternehmen eine Message formuliert, aus der sich Ihre Gehaltsvorstellungen ableiten lassen. Dummerweise geht diese Message nicht an Sie, sondern eine unbeteiligte Person, die (ebenfalls dummerweise) Sie kennt und Sie darauf anspricht. Sie sind „not amused“ und nachdem das Bewerbungsverfahren abgeschlossen ist und Sie nicht berücksichtigt wurden, wenden Sie sich an das Unternehmen und fordern nun (u.a.) immateriellen Schadenersatz („Schmerzensgeld“). Wie gings aus?
Das OLG Frankfurt lehnt den Schadensersatzanspruch ab, weil es über den festgestellten Verstoß gegen die Vorschriften der DS-GVO hinaus den Nachweis eines konkreten (auch immateriellen) Schadens als Voraussetzung für eine Entschädigung in Geld zugrunde legt. Dabei setzt es sich ausführlich mit der derzeitigen Meinungsvielfalt auseinander.
Unabhängig von der Frage des Schadenersatzes enthält das Urteil auch lesenswerte Ausführungen für einen Unterlassungsanspruch bei Wiederholungsgefahr und zur Kostentragungspflicht bei der Einschaltung eines Rechtsanwalts.
Im Urteil zitierte Ansichten des Unternehmens und dessen DSB fand ich eher erschreckend ahnungslos (Datenschutzverletzungen gäbe es nur bei sensiblen Daten und die die Message mit persönlicher Anrede sei kein personenbezogenes Datum).

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Trans-Atlantic Data Privacy Framework

Davon wurden Ende dieser Woche (KW12) die meisten überrascht: EU und USA kündigen ein zeitnahes Abkommen an, man habe sich prinzipiell geeinigt! Derzeit wird es von beiden Seiten als „Trans-Atlantic Data Privacy Framework“ bezeichnet, mal sehen, ob dieser Name bleibt.
Ausformuliert ist noch nichts, es gibt aber ein „Factsheet“, aus dem die Key Principles hervorgehen. So soll z.B. ein „Data Protection Review Court“ eingerichtet werden (statt eines früheren Ombudsmanns), um Beschwerden von Europäern zu untersuchen und ggf. zu lösen. Weiterhin soll eine Selbstzertifizierung* erfolgen und ein Maßnahmenpaket geschnürt werden, um Zugriff durch Geheimdienste auf einen notwendigen und verhältnismäßigen Umfang für die nationale Sicherheit der USA zu gewährleisten.
Nachdem alles noch nur in einem Absichtsstadium nachvollzogen werden kann, fällt die Kritik noch leicht, während Wirtschaftsvertreter und Softwareanbieter schon Hoffnung schöpfen. Letztendlich wird es auf den Willen der USA ankommen die im EuGH-Urteil „Schrems II“ kritisierten Schwachstellen (fehlende Transparenz und fehlende Rechtswegmöglichkeiten für Europäer in den USA) tatsächlich anzugehen.
Frühestens, wenn ein entsprechender Angemessenheitsbeschluss der EU-Kommission ausformuliert im Europäischen Amtsblatt veröffentlicht wurde, kann dieser angewendet werden. Bis dahin sind weiterhin jedweder Transfer in die USA im Einzelfall nach den Kriterien des EuGH zu prüfen und zusätzliche Maßnahmen zu bewerten.

* Franks Anmerkung: Na, dass hat ja vorher auch schon gut geklappt… Hier ist noch ein heise.de-Artikel zum Thema, falls Kontext fehlt.

zurück zum Inhaltsverzeichnis

3.2 Data Act

Zu dem ja nun veröffentlichten Text des Data Acts gibt es nun auch die Umsetzung auf der Data Protection Landscape. Die DS-GVO und die ePrivacy-RL bleiben davon unberührt (Art. 1 Abs. 3 Data Act _KOM). Trotzdem gibt es genügend Schnittpunkte zu Fragen wie Berührungspunkte zur DS-GVO behandelt werden sollen.

zurück zum Inhaltsverzeichnis

3.3 EU: Cyber-Resilience Act

Derzeit läuft das Konsultationsverfahren auf EU-Ebene zum Cyber Resilience Act. Eine Besprechung finden Sie hier. Rückmeldefrist ist bis 25. Mai 2022.

zurück zum Inhaltsverzeichnis

3.4 Bayerisches Digitalgesetz – Expertenanhörung

Folgt man der Pressemeldung zur Expertenanhörung ist Bayern mit dem geplanten Digitalgesetz auf einem guten Weg. Mit dem Bayerischen Digitalgesetz soll Digitalisierung auch rechtlich nicht nur punktuell, sondern als zusammenhängender Sachbereich erfasst werden. Der Gesetzentwurf besteht aus drei Kernbausteinen. In einem ersten „Allgemeinen Teil“ werden erstmals Digitalisierungsaufgaben des Freistaats gesetzlich definiert und wesentliche digitale Rechte der Bürgerinnen und Bürger verankert. Zu den gesetzlich definierten Aufgaben des Freistaats im Bereich der Digitalisierung zählen u.a. die Förderung digitaler Technologien und leistungsfähiger digitaler Infrastrukturen sowie die Digitalisierung der Verwaltung.
Der zweite Schwerpunkt des Gesetzentwurfs liegt in der erstmaligen Verankerung einer „Charta“ digitaler Rechte und Gewährleistungen. Beim heutigen Stand der Digitalisierung ist die Ausübung fast aller Grundrechte eng mit der Möglichkeit des Internetzugangs verknüpft. Daher soll im Bayerischen Digitalgesetz bundesweit erstmals ein explizites Abwehrrecht auf freien Zugang zum Internet verankert werden. Zudem schreibt das Gesetz weitere Rechte fest, etwa das Recht auf Mobile Government und Digitale Identität. Drittens umfasst der Entwurf des Digitalgesetzes ein umfassendes Programm zur Verwaltungsmodernisierung und zum Bürokratieabbau durch ein effizientes und innovationsoffenes digitales Verwaltungsrecht.
Der Entwurf des Digitalgesetzes beinhaltet auch Regelungen mit datenschutzrechtlicher Relevanz, wie z.B. die unentgeltliche Nutzung einer digitalen Identität (Art. 11 Abs. 2), eine Regelung, wer bei der Nutzung von Basisdiensten als datenschutzrechtlich Verantwortlicher gilt (Art. 30 Abs. 1) und in einem eigenen Kapitel zum Datenschutz finden sich z.B. Vorgaben zur Speicherdauer von Protokolldaten (Art. 48 Abs. 2) oder die Regelung der Datenübermittlung an andere Behörden (Art. 49), leider ohne Definition des Begriffs „Übermittlung“.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Rechtliche Fragestellungen beim Einsatz Künstlicher Intelligenz in der Medizin

Ok, der Titel dieses Beitrags wurde recht frei übersetzt. Eigentlich heißt er „Künstliche Intelligenz als Herausforderung für das Recht am Beispiel ‚Doktor Algorithmus’“. Aber die Fragen zu Haftung etc. lassen sich ja nicht auf den medizinischen Bereich begrenzen. Sie finden den Artikel dazu hier.

zurück zum Inhaltsverzeichnis

4.2 LfDI BW: Öffentliche Stellen raus aus sozialen Netzwerken

Warum eine Meldung über Aktivitäten des LfDI BW in dieser Rubrik erscheint, hat mit einem dabei benutzten Begriff des „Ethik Washing“ zu tun. Der LfDI BW hat zusammen mit seiner persönlichen Assistentin einen Gastbeitrag veröffentlicht, in welchem dargelegt wird, warum soziale Medien auch abgesehen von datenschutzrechtlichen Themen für öffentliche Stellen nicht immer empfehlenswert sind. Dabei gehen sie auch auf die gesellschaftlichen Konsequenzen der gängigen Angebote an.

„Wir werden berechenbar gemacht, unser Denken, Glauben und Hoffen ist den Datenkonzernen detailliert bekannt und für deren Zwecke nutzbar, bevor wir selbst auch nur ahnen, wie wir reagieren werden und was wir zu glauben bereit sind. Das ist das Gegenteil von Freiheit und das Gegenteil von informationeller Selbstbestimmung. Wir orientieren uns an einer vermeintlichen, für uns höchstpersönlich zusammengezimmerten Wahrheit, die nie dem Anspruch folgte verschiedene Perspektiven abzubilden und kritisches Denken zu fördern. Im Gegenteil: In unserer Echokammer, immer und immer wieder mit der gleichen Meinung konfrontiert, radikalisieren wir uns unmerklich immer mehr. Im Glauben uns an der Wahrheit zu orientieren.“

Empfehlung: Lesenswert, nicht nur für die Verantwortlichen von öffentlichen Stellen!

Franks Nachtrag: Mein Lieblingszitat lautet „Das schon seit 2010 angeführte Argument, die Behörden müssten doch dort sein, wo die Bürger sind, kann darüber nicht hinwegtäuschen: Ein Staat braucht keine Follower, er ist nicht auf Likes angewiesen. Der Staat kommuniziert über seine eigenen, von ihm beherrschten und rechtmäßig wie transparent ausgestalteten Kanäle, er drängt sich nicht aufmerksamkeitsheischend in die Timeline des Bürgers, er macht gut wahrnehmbare Angebote für mündige Bürger.“

zurück zum Inhaltsverzeichnis

4.3 ICO: Erklärung von AI-Entscheidungen

Die gemeinsame Anleitung des ICO und des The Alan Turing Institute zielt darauf ab Organisationen praktische Ratschläge zu geben, um den von ihnen betroffenen Personen die Prozesse, Dienstleistungen und Entscheidungen zu erklären, die von KI bereitgestellt oder unterstützt werden. Die Hinweise gliedern sich in drei Bereiche: Erklärung der Grundlagen, Umsetzung in der Praxis und was dies für die Organisation bedeutet.

zurück zum Inhaltsverzeichnis

4.4 Lieferdienstfahrer wehren sich gegen Algorithmen

Diese Info ist ja eigentlich nichts Ungewöhnliches. Spannend wird es m.E.n. vor allem deshalb, weil sich diese Meldung auf China bezieht. Nach dem Bericht könnte dabei das von der chinesischen Regierung vor kurzem verabschiedete Gesetz zur Transparenz und Regulierung von Algorithmen auf jeder Form von Plattform zur Anwendung kommen. Dieses verpflichtet die Betreiber von Plattformen den Nutzern derselben gegenüber die Wirkungsweise der Algorithmen offen zu legen und eine Nutzungsform ohne Algorithmus anzubieten.

Franks Nachtrag: Bei dem Titel hatte ich in der Tat eher so etwas wie dieses Thema erwartet. Aber schön zu sehen, dass es Bemühungen gibt die Algorithmen „einzufangen“.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Microsofts Faktencheck zum Datenschutz

Wer Dienstleistungen von Microsoft als Auftragsverarbeitung nutzt, wird sich dafür interessieren (müssen), wie dort mit datenschutzrechtlichen Anforderungen umgegangen wird und z.B. wie oft es Anfragen von Strafverfolgungsorganen gab und wie sich diese auch auf Anfragen bezüglich sogenannten „exterritorialen Anfragen“ (auf außerhalb der USA gespeicherten Daten) aufteilen. Microsoft veröffentlicht dazu seinen Faktencheck Datenschutz, um seinen Kunden und deren Nutzern Transparenz anzubieten.

zurück zum Inhaltsverzeichnis

5.2 Rück-Schlag bei Cybersicherungen

Wenn eine Rück-Versicherung publiziert, dass sie keinen Versicherungsschutz für bestimmte Ereignisse anbietet, dann kann das was mit unkalkulierbaren Risiken wie bei Klimafolgen zu tun haben – oder mit IT. So wäre nach diesem Bericht z.B. eine Cyberattacke etwa gegen Fabriken eines größeren Industrieunternehmens nicht mehr versicherbar, da der Schaden bei einem weitgehenden oder kompletten Produktionsausfall schnell in die Milliarden-Eurosummen gehe. Nur bis zu einem bestimmten Umsatz könne man Firmen noch Cyberversicherungen anbieten.

zurück zum Inhaltsverzeichnis

5.3 „DSGVO in der Tasche“

„DSGVO in der Tasche“ hieße es wohl frei übersetzt. Vielleicht geht es Ihnen wie mir, z.Zt. freut man sich über jede Nachricht, der man etwas Positives abgewinnen kann: Es gibt eine mit Mitteln der EU erstellte App, die wesentliche Information zur DS-GVO bereithält. Die Zielgruppe sind KMU und Bürger:innen. Auch rechtliche Rahmenbedingungen einzelner Länder sind hinterlegt, für Deutschland fehlt aber noch z.B. das TTDSG.

zurück zum Inhaltsverzeichnis

5.4 Digitale Kündigungsschaltflächen auf Webseiten

Die Änderungen im BGB „zur Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr“ in § 312k BGB bewirken wesentliche Änderungen hinsichtlich der Vertragsgestaltung im B2C-Verkehr. Die Neuregelungen müssen bis 01.07.2022 umgesetzt werden. Wie kann eine neue „niedrigschwellige Kündigungsmöglichkeit“ für online abgeschlossene Verträge umgesetzt werden? Der Praxisleitfaden des bitkom versucht hier Orientierung zu geben.

zurück zum Inhaltsverzeichnis

5.5 Anwendung von Cookies

Wieder mal eine Darstellung was beim Einsatz von Cookies beim Online-Marketing zu beachten ist, die ich Ihnen nicht vorenthalten möchte.

zurück zum Inhaltsverzeichnis

5.6 Zoom – Datenschutz-Folgenabschätzung für Bildungseinrichtungen

In den Niederlanden wurde eine DSFA veröffentlicht, die sich mit dem Einsatz von Zoom bei Bildungseinrichtungen befasst. Erfreulicherweise wurden alle relevanten Dokumente dabei bereitgestellt, wie die DSFA, aber auch die Empfehlungen für die Einstellungen für Admins und Anwender. Auch Zoom berichtet darüber, dass durch diese Zusammenarbeit noch Verbesserungen erzielt werden konnten. Auch wurde die Rolle Zooms als Auftragsverarbeiter neu klassifiziert, mit Ausnahme einer begrenzten Liste von Situationen, in denen die Bildungs- und Unternehmenskunden (die Datenverantwortlichen) Zoom ermächtigen einige personenbezogene Daten als unabhängiger Datenverantwortlicher „weiterzuverarbeiten“. Dies gilt auch für die personenbezogenen Daten, die Zoom über seine öffentlich zugängliche Website erhebt.
Interesse? – Dann schauen Sie sich dazu auch bei den Veranstaltungen das Webinar am 29.03.2022 an.

zurück zum Inhaltsverzeichnis

5.7 EVB-IT-Musterverträge für den Bund zu Cloudleistungen

Ich hatte hier schon dazu berichtet: Nun hat auch der bitkom eine Pressemeldung veröffentlicht. Danach wurden die neuen EVB-IT Cloud so ausgestaltet, dass sie für die Beschaffung unterschiedlicher Lösungsmodelle (Infrastructure-as-a-Service, Platform-as-a-Service, Software-as-a-Service, Managed Cloud Services) genutzt werden können. In Bereichen wie dem Datenschutz oder der IT-Sicherheit knüpfen die EVB-IT Cloud an bereits etablierte Vorgaben und Regelwerke wie den Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) an. Ein ergänzender Kriterienkatalog schaffe die Grundlage für die fachliche Diskussion über Anforderungen der konkreten Ausschreibung. Die neuen Musterverträge sowie alle weiteren Muster aus der EVB-IT-Vertragsfamilie stehen auf der Seite des CIO des Bundes kostenfrei zum Download zur Verfügung.

zurück zum Inhaltsverzeichnis

5.8 Kartellbeschwerden gegen Microsoft

Als ob Microsoft nicht schon genug Themen hätte. Nun gibt es auch Kartellbeschwerden durch europäische Konkurrenten zu wettbewerbswidrigen Praktiken wie der Vermarktung der Office-Pakete.

zurück zum Inhaltsverzeichnis

5.9 Veranstaltungen

5.9.1 Webinar zur DSFA bei Zoom

29.03.2022, 13:00 – 15:00 Uhr, im Webinar werden die Fragen zur DSFA beim Einsatz von Microsoft Teams, SharePoint, OneDrive and Zoom behandelt, Teilnahme kostenlos, Anmeldung erforderlich.

5.9.2 What is the Future of the European AI Act?

30.03.2022, 12:00 – 15:00 Uhr. Laut eigener Ankündigung will das Martens Centre „present the most relevant developments within the European Parliament and offer insights on how the proposal is shaping up. What should be within the final scope of the AI Act? Does this framework strike the right balance between consumer protection and ensuring rapid uptake of novel technologies within the European internal market? How should we design the final institutional structure that monitors and navigates the rollout of AI applications across the EU?“, Das Event wird hier gestreamt.

5.9.3 Stiftung Datenschutz: Datendialog Online: Neustart für die Datenpolitik

07.04.2022, ab 17:00 Uhr. Zusammen mit der Forschungsstelle Datenrecht wird der Fokus auf den zentralen Punkt der neuen Bundesregierung in der Datenpolitik gerichtet. Die Datennutzung und ein besserer Datenzugang sollen gemäß der Koalitionsvereinbarung künftig im Mittelpunkt stehen. Es sollen damit neue Geschäftsmodelle und mehr soziale Innovationen in der Digitalisierung ermöglicht werden. Anmeldung erforderlich.

5.9.4 Open Innovation: Nachhaltig und Digital

11.04.2022, 09:30 – 17:00 Uhr. Es findet die 7. Ausgabe des Open Innovation Kongress Baden-Württemberg 2022 statt. Die Teilnehmenden erwarten unter dem Motto „Transform4Future: Nachhaltig und Digital“ eine Vielzahl von spannenden Vorträgen, Diskussionen und Workshops rund um das Themenfeld Open Innovation. Anmeldung erforderlich.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Datenschutz in der öffentlichen Wahrnehmung

Gemäß einer Umfrage bei den Datenschutzaufsichtsbehörden und eines darauf basierenden Berichts gab es im Jahr 2021 deutliche mehr Datenschutzverstöße, die meist mit Corona-Situationen begründet werden könnten (z.B. durch Teststationen). Leider gibt es auch immer noch Beiträge, die zumeist nicht ausreichend recherchiert bzw. ungenau die Anforderungen und Umsetzungen der DS-GVO darlegen. Da bekomme ich dann gelegentlich das Gefühl, dass die Paywall auch vor einem negativen Image des verantwortlichen Redakteurs schützen soll.

zurück zum Inhaltsverzeichnis

6.2 Soziale Medien, Manipulation und Krieg

Dass Worte manipulieren können, kriegen wir aktuell in den Nachrichten mit. Ob militärische Operation oder Krieg ist denen egal, deren Haus zerbombt wird oder deren Liebste vom Einkaufen nicht zurückkommen. Dass die Manipulation mit Worten nicht erst am 24.02.2022 begann, ist eigentlich auch nichts Neues und wurde schön transparent bereits im Jahr 2019 veröffentlicht. Nun wird aber immer mehr offen darüber diskutiert (Link zu YouTube, ca 18:00 Min.), welche Rolle Russland dabei hatte und wie große Tech-Giganten auf russische Hinweise reagierten, als eine App dem Kreml nicht gefiel. Auch im Europäischen Parlament wird erkannt, dass Informationsmanipulation ein Bereich ist, dem durch Transparenz entgegengewirkt werden muss.
Was Datenschutz damit zu tun hat? Je detaillierter eine Profilbildung der Nutzer erfolgt, desto gezielter können manipulative Fehlinformationen gestreut werden (siehe dazu auch 4.2). Für die Erkenntnis, dass für kommerzielle Netzwerke die kompromisslose Gewinnmaximierung im Vordergrund steht, brauchten nicht alle eine Whistleblowerin.

zurück zum Inhaltsverzeichnis

6.3 TikTok und Tabus

TikTok ist der Hit nicht nur bei der pubertierenden Generation und darunter auch Marketeers versuchen damit Zielgruppen jedweden Alters zu erreichen. Oftmals vergessen zu werden scheint dabei, dass TikTok aus China kommt und Themen wie Diversität oder Meinungsfreiheit dort in einem anderen Licht betrachtet werden. So berichtet die Tagesschau, dass bei TikTok Begriff wie „LGBTQI-Community“, wie „schwul“, „queer“, „LGBTQ“ oder „homosexuell“ nicht veröffentlicht wurden oder auch Kommentare mit Namen der Tennisspielerin Peng Shuai nicht online gingen. Die Sportlerin hatte den ehemaligen Funktionär Zhang Gaoli im November 2021 des sexuellen Missbrauchs beschuldigt.

zurück zum Inhaltsverzeichnis

6.4 Verkehrsschilder der Gerechtigkeit

Das Thema hat eigentlich weniger mit Datenschutz zu tun. Im Rahmen eines zeitlich befristeten Kunst-Projektes (Link zu YouTube, ca 8:20 Min) wurden Schilder entwickelt und aufgestellt, mit denen an gerechtes Verhalten appelliert werden soll. Leider nur zeitlich befristet, aber auch anzusehen hier.
Und dann wird man wieder schmerzlich erinnert, dass es immer noch keine Bildsymbole nach Art. 12 Abs. 7 DS-GVO für die Informationspflichten gibt.

zurück zum Inhaltsverzeichnis

6.5 „Ich habe doch nichts zu verbergen“ – Ukrainekrieg

Berichten zufolge wird spekuliert, ob die Nutzung von Mobilfunkgeräten von britischen Freiwilligen im Krieg in der Ukraine zur Zielverifikation dienten oder nicht. Dabei ist die Thematik nicht neu: Schon die Daten einer bei US-Soldaten beliebten Fitnesstracker-App ließen Rückschlüsse auf geheime Standorte zu. Daher: Nur die Funktionen freischalten, die auch wirklich gebraucht werden und sich überlegen, welche Rückschlüsse daraus gezogen werden könnten.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Nerds in der Krise

Wie kommen Nerds durch die Krise, wenn es keine Lieferpizza mehr gibt? Infos dazu finden Sie hier.

Franks Anmerkung: Ich habe mir das Video komplett angeschaut und fühle mich jetzt deutlich unterpräpariert. Und natürlich geht es nur am Rande um Pizza…

zurück zum Inhaltsverzeichnis

7.2 Kreativwettbewerb zum Datenschutz für Kids

Wer Kids hat, die sich mit Datenschutz kreativ befassen wollen: Es gibt einen Kreativwettbewerb, Einreicheschluss ist Ende April, gesucht werden Icons, Slogans oder Design-Gestaltungen zum Thema Datenschutz, mehr dazu hier.

zurück zum Inhaltsverzeichnis

7.3 Bilder von Kindern

Die Bilder der lieben Kleinen beliebig teilen? Warum das nicht immer eine gute Idee ist, lesen Sie hier.

zurück zum Inhaltsverzeichnis

7.4 NDR: Medienkompetenz

Der NDR hat ein breites Angebot für Lehrende und Journalisten rund um das Thema Medienkompetenz.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Das waren keine Hacker, das waren wir selbst…

Ah ja… Und das macht es jetzt besser?

zurück zum Inhaltsverzeichnis

8.2 Noch’n Podcast: Datenschutz für Websites

Wenn Sie Interesse am Thema und 1:24h Zeit haben…

zurück zum Inhaltsverzeichnis

8.3 Gift fürs Hirn

«Heutzutage kann man kein normales Gehirn besitzen» – der moderne Mensch leidet an einem kollektiven Aufmerksamkeitsdefizit. Wie gewinnen wir unser Denken zurück?
Wenn Sie dieser Titel anspricht, möchten Sie hier weiterlesen. Lesenswert.

zurück zum Inhaltsverzeichnis

8.4 DSGVO für Dummies

Oben hatten wir die DSGVO für die Hosentasche, hier also die DSGVO für Dummies. Vielleicht kennen Sie Menschen, die Ihre Erklärungen bisher nicht verstanden haben? Dann kann der verlinkte Text helfen.

zurück zum Inhaltsverzeichnis

8.5 Defender kämpft gegen Office

Auch ich wollte etwas zu Microsoft schreiben. Die Überschrift liest sich ja wie eine Spielebeschreibung. Aber die Realität ist natürlich skuriler

zurück zum Inhaltsverzeichnis

8.6 Schönen Drucker haben Sie da…

Ich bin ja immer ein Freud von Abo-Modellen in der IT (nee, nicht wirklich). Hier ein schönes Beispiel, warum ich diese Abo-Modelle nicht mag.

Apropos Drucker: Da war ja auch noch das hier… (Wenn wir über Epson schreiben, kann HP ja nicht fehlen.)

zurück zum Inhaltsverzeichnis

8.7 Kritik an Chatkontrolle: „Weltmarktführer bei der Massenüberwachung“

Deswegen wurde Apple letztes Jahr so stark kritisiert. Weil sie die Büchse der Pandora geöffnet haben. Und was krabbelt da nun raus? Richtig: Massenüberwachung.
Deswegen haben 39 Bürgerrechtsorganisationen einen offenen Brief gegen den EU-Plan veröffentlicht.

zurück zum Inhaltsverzeichnis

8.8 Real Time Bidding (mal wieder)

Auch darüber haben wir ja schon oft berichtet: Hier gibt es eine gute Darstellung.

zurück zum Inhaltsverzeichnis

8.9 Generation Alpha

Was sich ein wenig wie Raumpatroille Orion anhört (ja, so alt bin ich schon, dass mir das noch was sagt) ist aber tatsächlich das neueste Generationenlabel (im verlinkten Wikipedia-Artikel nennen sie sie die Generation App, auch nett).
Was ist also nun die Generation Alpha?
So werden aktuell die ab 2010 Geborenen genannt. Also alle Kinder, die aktuell zwölf oder jünger sind. Die Nachfolger der Generation Z.
Der WDR hat eine Studie zur Generation Alpha veröffentlicht und der KiKa bietet jetzt einen Podcast dazu an (für Erwachsene, damit sie ihre Kinder verstehen).
Apropos verstehen: Hier gibt es noch einen Twitter-Thread, der die Kompetenzen der Kids der Generation Zoom und Software-Gamification (was auch nur die ungefähr gleiche Altersstufe ist) erklärt. Sind das jetzt die Digital Natives, von der die Politik immer schon gesprochen hat?

zurück zum Inhaltsverzeichnis