Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 11&12/2023)“
Hier ist der 63. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 11&12/2023)“.
Leider haben wir in diesem Beitrag auch eine traurige Meldung. Natürlich sind wir nicht mehr topaktuell, dafür aber wahrscheinlich recht umfassend. Sie finden die Meldung hier.
- Aufsichtsbehörden
- EDSA: Gemeinsame Überprüfung der Stellung und Aufgaben von DSB
- BfDI: Facebook-Untersagung wird gerichtlich überprüft
- BfDI: Tätigkeitsbericht für 2022
- ULD: Tätigkeitsbericht für 2022
- ULD: Tätigkeitsbericht für 2022 – Grundsteuerzuständigkeit liegt beim BfDI
- ULD: Tätigkeitsbericht für 2022 – Umfang des Auskunftsanspruchs eines ehemaligen Beschäftigten nach Art. 15 DS-GVO
- ULD: Tätigkeitsbericht für 2022 – Mitarbeiterexzess bei Datenzugriffen
- ULD: Tätigkeitsbericht für 2022 – Benennungspflicht zum DSB in Arztpraxen
- ULD: Tätigkeitsbericht für 2022 – Aussagen zu Facebook Fanpages
- ULD: Tätigkeitsbericht für 2022 – Transparenzanforderungen bei Zweckänderungen
- ULD: Tätigkeitsbericht für 2022 – Anonymisierung für medizinische Anwendungen
- ULD: Tätigkeitsbericht für 2022 – Soft-Deletion
- ULD: Tätigkeitsbericht für 2022 – Datenschutzanforderungen bei Data-Mesh
- Sachsen: Ultimatum für Städte bzgl. Facebook
- Österreich: Facebook Pixel unzulässig
- Italien: Bußgeld iHv 80.000 € gegen Messengerdienst
- Belgien: Königshaus muss Informationspflichten anpassen
- ICO: AI & data protection
- BSI: Studie zu Sicherheitsaspekten der Software für Onlineshops
- Zum Tod von Prof. Dr. Drs. h.c. Spiros Simitis
- Rechtsprechung
- EuGH: Schlussanträge zu Scoring
- EuGH: Schlussanträge zu Löschfristen
- ArbG Oldenburg: Schadenersatz bei verspäteter Auskunft
- VG Ansbach: Urteil zu Falschparkeraufnahmen rechtskräftig
- LAG Rheinland-Pfalz: Voraussetzungen einer Datenschutz-Folgenabschätzung
- Österr. BVwG: Anspruchsumfang bei Art. 15 DS-GVO
- LG Ravensburg: Zwanghafter Fingerabdruck für Handyentsperrung
- EuGH: Verhandlung zu Fingerabdruck bei Ausweiserstellung
- Bezirksgericht Amsterdam: Unzulässige Verarbeitung durch Facebook
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- WhatsApp will sich bessern
- Datenschutzänderungen bei Discord
- Cybercrime in Rheinland-Pfalz
- Veranstaltungen
- Universität Wien: E-Rezept, Gesundheitskarte und Onlinehandel
- Stiftung Datenschutz – Datenschutz im Ehrenamt: Weitergabe von Vereinsdaten
- DSiN zur sicheren Verwaltung von Benutzerkonten
- Stiftung Datenschutz – „Die Bestandsdatenauskunft im TTDSG“
- bidt: „Datennutzung für Medizin, Verwaltung und Justiz“
- Vorankündigung – GI: Designing Female Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT
- Keine KI, kein Job…
- How AI Could Write Our Laws
- Hundreds of sexual deepfake ads using Emma Watson’s face ran on Facebook and Instagram in the last two days
- Stellungnahme des Deutschen Ethikrats zur KI
- Zur Digitalisierung des Gesundheitswesens
- USB-Sticks 1: Exploding USB-Sticks
- USB-Sticks 2: USB-Stick des Landgericht Schwerin
- Lilith Wittmann for Bundes-CIO! – oder: Warum die einmalzahlung200 nicht nur gut für die Betroffenen ist
- Apropos Digitalisierung in Deutschland
- Warum sich Nutzer von Social Media abwenden
- Massenexperiment an Mädchen und jungen Frauen
- Payroll-Daten in einem Spreadsheet in der Cloud
- Ein Update zu Log4j
- Preview: April-Scherze
- Alles Gute zum Geburtstag, EDRi!
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Gemeinsame Überprüfung der Stellung und Aufgaben von DSB
Der EDSA kündigt eine gemeinsame Durchsetzungsaktion der europäischen Aufsichtsbehörden an, diesmal geht es um die Stellung und Aufgaben der Datenschutzbeauftragten. Zunächst erfolgt der Einsatz eines Fragebogens, danach sind auch förmliche Untersuchungen denkbar. In Deutschland beteiligt sich z.B. das BayLDA, das in einer eigenen Pressemeldung zu Details informierte, wie, dass im Mittelpunkt der Prüfung neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung stehe.
1.2 BfDI: Facebook-Untersagung wird gerichtlich überprüft
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit hat exemplarisch das Bundespresseamt (BPA) angewiesen seine Aktivitäten auf der Facebook-Fanpage einzustellen, da diese nicht gesetzlichen Anforderungen erfülle (wir schrieben im letzten Blogbeitrag darüber). Berichten zufolge will das BPA dies nun gerichtlich überprüfen lassen. Zitiert wird das BPA dabei, dass in einer Art Musterverfahren Rechtsklarheit für den Betrieb von Facebook-Seiten geschaffen werden solle. Nach Informationen durch den BfDI ging bislang (Stand 21.03.2023) keine Klagebegründung des BPA zu. Interessant wird sein, inwieweit sich das BPA dabei mit der Rechtsprechung des EuGH zu Facebook Fanpages (C-210/16) und der dabei festgestellten gemeinsamen Verantwortlichkeit gemäß Art. 26 DS-GVO auseinandersetzt.
Clevererweise hat die Bundesregierung in § 20 Abs. 7 BDSG zu ihren eigenen Gunsten geregelt, dass eine sofortige Vollziehung von Bescheiden von Datenschutzaufsichtsbehörden gegenüber Behörden, wie dies im Gesetz zur Verwaltungsgerichtsordnung bei Vorliegen von öffentlichem Interesse möglich ist, ausgenommen wird. Das heißt in meinen Worten, dass bis zu einem rechtskräftigen Urteil Behörden beanstandende Verarbeitungen fortführen dürfen. Unbenommen bleibt es aber, dass in solchen Fällen betroffene Personen Schadenersatz gemäß Art. 82 DS-GVO* geltend machen könnten.
* Franks Anmerkung: Sehe ich da ein Augenzwinkern? Wer fühlt sich angesprochen und will Schadensersatz gegenüber dem BPA gelten machen?
1.3 BfDI: Tätigkeitsbericht für 2022
In seinem Tätigkeitsbericht 2022 befasst sich der BfDI neben Stellungnahmen zu Gesetzgebungsverfahren und Ausführungen zu Kontrollen auch mit TrustPID (Ziffer 8.11). Bei TrustPID werden die IP-Adressen und die Mobilfunknummern der Nutzer verwendet, um eine pseudonyme Kennung zu generieren. Rechtliche Basis der Datenverarbeitung ist eine datenschutzrechtliche Einwilligung des Nutzers, die vom Webseitenbetreiber (in dem Pilotbetrieb z. B. bei Bild.de) eingeholt wird. Diese beinhaltet auch die Verarbeitung der Verkehrsdaten (hier dynamische IP-Adresse) beim Mobilfunk-Netzbetreiber. Der BfDI hält nach seiner Beratung eine datenschutzkonforme Nutzung für möglich.
Franks Nachtrag: Zu TrustPID hatten wir im letzten Blogbeitrag schon etwas, was Sie sich vielleicht auch (inklusive der Anmerkungen!) durchlesen möchten.
1.4 ULD: Tätigkeitsbericht für 2022
In dem Tätigkeitsbericht des ULD für 2022 finden sich neben den „üblichen“ Themen wie Corona und Bemerkungen zu laufenden oder kommenden europäischen Gesetzgebungsverfahren auch Aussagen zu interessanten Einzelfällen. Diese werden in den folgenden Einträgen einzeln behandelt.
1.5 ULD: Tätigkeitsbericht für 2022 – Grundsteuerzuständigkeit liegt beim BfDI
Auf Seite 31 stellt das ULD klar, dass für die Verarbeitung von personenbezogenen Daten im Rahmen der Steuerverwaltung gemäß § 32h Abgabenordnung der BfDI zuständig ist.
1.6 ULD: Tätigkeitsbericht für 2022 – Umfang des Auskunftsanspruchs eines ehemaligen Beschäftigten nach Art. 15 DS-GVO
Dieser vertrat die Auffassung, er habe einen umfassenden Anspruch gegenüber dem ehemaligen Arbeitgeber, der sämtliche personenbezogene Daten von ihm beträfe, die bei diesem noch gespeichert seien. Dies umfasse neben der E-Mail-Korrespondenz, Schriftsätzen und internen Vermerken auch Metadaten, wie etwa Protokolleinträge in informationstechnischen Systemen.
Das ULD kam zunächst zu der Einschätzung, dass sich der Auskunftsanspruch gemäß Art. 15 Abs. 1 DS-GVO z. B. auch auf Telefonvermerke oder vertragliche Unterlagen bezieht, welche personenbezogene Daten der betroffenen Person enthalten. Nicht erfasst seien hingegen beispielsweise Unterlagen zu separaten rechtlichen Bewertungen oder Analysen. Es führt aber auch aus, dass ein gegenüber dem ehemaligen Arbeitgeber geltend gemachter Auskunftsanspruch, der explizit auch jeglichen Systemeintrag und jedes digital gespeicherte Protokolldatum umfassen soll, von der Rechtsprechung vielfach u. a. aus dem Grunde abgelehnt wird, dass der damit für den Arbeitgeber verbundene Aufwand unverhältnismäßig sei und sich die Geltendmachung des Anspruchs insoweit als treuwidrig erweise. So wird beispielsweise die Ansicht vertreten, dass der Aufwand, nach personenbezogenen Daten der betroffenen Person in sämtlichen Servern, Datenbanken, Webanwendungen, E-Mail-Postfächern, Verzeichnisstrukturen, Speichermedien und diversen anderen Endgeräten des Verantwortlichen nebst aller Vorgesetzten und Kollegen zu suchen, als in einem groben Missverhältnis zum Leistungsinteresse der betroffenen Person stehend anzusehen ist. Das ULD vermerkt dazu im Tätigkeitsbericht (S. 35), dass es sich dieser vielfach in der Rechtsprechung geäußerten Ansicht anschließt.
1.7 ULD: Tätigkeitsbericht für 2022 – Mitarbeiterexzess bei Datenzugriffen
Das ULD berichtet (S. 42 f) von Fällen, in denen Beschäftigte des Jobcenters zu privaten Zwecken Daten abfragten. Auch wenn diese Fälle im Zuständigkeitsbereich des BfDI liegen, weist das ULD darauf hin, dass diese Mitarbeiterexzesse auch zu Bußgeldern für diese Beschäftigte führen können. Als Schutzmaßnahmen müssen neben organisatorischen Vorgaben auch technische Vorkehrungen getroffen werden, damit Beschäftigte gar nicht die Möglichkeit haben auf (Sozial-)daten zuzugreifen, die sie nichts angehen. Hervorgehoben werden als Schutzmaßnahme ein Rollen- und Berechtigungskonzept sowie regelmäßige Kontrollen der zu protokollierenden Zugriffe. Beschäftigte müssen geschult und auf die Konsequenzen von Fehlverhalten hingewiesen werden.
1.8 ULD: Tätigkeitsbericht für 2022 – Benennungspflicht zum DSB in Arztpraxen
Das ULD weist (S. 45) daraufhin, dass auch in Arztpraxen eine Person mit den Aufgaben nach Art. 37 DS-GVO benannt werden muss, wenn weniger als 10 Beschäftigte mit der Verarbeitung mit Patientendaten befasst sind. Relevant werde dann, ob nicht eine umfangreiche Verarbeitung von Patientendaten vorliegt. Allerdings gibt es dazu keine weiteren Ausführungen hinsichtlich des „Umfangs“, der dabei eine Schwelle darstellen könnte.
1.9 ULD: Tätigkeitsbericht für 2022 – Aussagen zu Facebook Fanpages
Die Erläuterungen und Ergebnisse der Analyse in dem Kurzgutachten zeigen nach Ansicht des ULD (S. 89 f), dass der Betrieb von Facebook-Fanpages auch unter Berücksichtigung der aktuellen tatsächlichen Begebenheiten und rechtlichen Anforderungen derzeit nicht rechtskonform möglich sei: Es fehlten vor allem wirksame Einwilligungserklärungen der Nutzer:innen hinsichtlich deren Daten, die beim Besuch von Facebook-Fanpages erhoben und weiterverarbeitet werden. Ferner fehle bis zum heutigen Tag eine transparente und ausreichende Vereinbarung zur gemeinsamen Verantwortung von Fanpages betreibenden Stellen und Meta. Zudem mangele es an Pflichtinformationen zur Datenverarbeitung im Zusammenhang mit den Fanpages. Betreiber:innen von Facebook-Fanpages werden durch das ULD aufgerufen sich ernsthaft die Frage eines Weiterbetriebs zu stellen. Die bestehenden Rechtsverstöße seien evident.
1.10 ULD: Tätigkeitsbericht für 2022 – Transparenzanforderungen bei Zweckänderungen
Das ULD beschreibt im Tätigkeitsbericht (S. 96 f) auch sein Mitwirken bei dem Forschungsprojekt „TRAnsparency, Privacy and security for European citiZEns“ (TRAPEZE), bei dem es um ein Dashboard-Konzept geht, um Transparenzanforderungen – auch bei Zweckänderungen – zu erfüllen.
1.11 ULD: Tätigkeitsbericht für 2022 – Anonymisierung für medizinische Anwendungen
Im Kompetenzcluster Anonymisierung für medizinische Anwendungen (AnoMed) wirkt das ULD mit. Seinen Beitrag und das Ziel der Forschungsaktivitäten werden auf den Seiten 97-98 beschrieben.
1.12 ULD: Tätigkeitsbericht für 2022 – Soft-Deletion
Bei „Soft-Deletion“ werden Datensätze nur mit einer Kennung („isDeleted“) versehen und z.B. durch eine „1“ ersetzt. Ist die Löschung eines Eintrags aus datenschutzrechtlichen Gründen geboten – z. B. aufgrund der zeitlichen Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO) oder des Rechts auf Löschen (Artikel 17 DS-GVO) – so wird die Umsetzung nach den Ausführungen des ULD (S. 108) mithilfe des Ansatzes „Soft Deletion“ in der Regel nicht der gesetzlichen Anforderung genügen können. Es sei zu bedenken, dass beim Einsatz von „Soft Deletion“ in einer Datenbankanwendung immer noch die Bezüge zu einem (nun gelöschten) Eintrag erhalten bleiben. Aus der Information, dass es bei einer betroffenen Person überhaupt einen solchen Bezug gegeben habe, könnte bereits ein Risiko für die Rechte und Freiheiten der betroffenen Person entstehen.
1.13 ULD: Tätigkeitsbericht für 2022 – Datenschutzanforderungen bei Data-Mesh
Mit der Idee eines Data Mesh (deutsch in etwa: Datengewebe), die auf der Theorie des „Domaindriven Design“ fußt, können die jeweils erfassten und aufbereiteten Daten als „Datenprodukte“ verstanden werden, die auch über mehrere fachliche Domänen hinweg genutzt werden können. Die dezentrale Datenverantwortung legt dabei auch eine dezentrale Speicherung nahe. Das ULD weist (S. 109) dazu darauf hin, dass Verantwortliche, die eine Umsetzung der Datenarchitektur „Data Mesh“ anstreben, bei der Verarbeitung von personenbezogenen Daten die datenschutzrechtlichen Anforderungen prüfen und gegebenenfalls Maßnahmen ergreifen müssen, um die Rechte und Freiheiten betroffener Personen zu schützen.
1.14 Sachsen: Ultimatum für Städte bzgl. Facebook
Nach diesem Bericht hat die Sächsische Datenschutzbeauftragte öffentlich-rechtlichen Stellen wie der Staatregierung bis Ende März Zeit gegeben ihre Facebook-Fanpages abzuschalten. Danach droht sie mit einem rechtsverbindlichen Bescheid zur Abschaltung. Städte in Sachsen sehen ihre Informationshoheit in Gefahr, wenn sie diesen Kommunikationskanal aufgeben. Warum sie es aber dazu einem privaten Unternehmen ermöglichen die Interessen der eigenen Bürgerinnen und Bürger auszuspähen, wenn diese an kommunalen und politischen Entscheidungen partizipieren wollen, wird in dem Bericht nicht thematisiert.
1.15 Österreich: Facebook Pixel unzulässig
Mit einem Bescheid vom 6. März 2023 stellt die österreichische Datenschutzbehörde fest, dass der Einsatz von Facebook-Pixels gegen die DS-GVO verstößt, weil die Vorgaben des Kapitel 5 („Drittstaatentransfer“) nicht erfüllt würden. Der Bescheid ist noch nicht rechtkräftig. Ausgangspunkt des Verfahrens war eine Beschwerde des NGO noyb, das hier auch darüber berichtet.
1.16 Italien: Bußgeld iHv 80.000 € gegen Messengerdienst
Das Bußgeld der italienischen Datenschutzaufsicht Garante wurde mit der unzulässigen Speicherung von Textinhalten der SMS von 7.250 Nutzern begründet. Auch wurden dem Unternehmen weitere Verstöße wie unzureichende Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung von Telematikverkehrsdaten und das Fehlen einer Rechtsgrundlage für die Durchführung von Kontrollen zur Betrugsbekämpfung vorgeworfen. Die Speicherung der SMS-Inhalte betrafen in der Regel juristische Kunden, die Inhalte umfassten auch Passwörter für die Nutzung von Bankdienstleistungen (OTP – One time password), Authentifizierungsdaten und spezielle Daten über den Gesundheitszustand oder die Parteizugehörigkeit. Das Unternehmen rechtfertigte seine Tätigkeit damit, dass es den Inhalt der Textnachrichten fälschlicherweise als Verkehrsdaten ansah und folglich zur Speicherung verpflichtet war. Eine Speicherung von Inhaltsdaten sei aber nur unzulässig, es sei denn, der Nutzer habe ausdrücklich und freiwillig seine Zustimmung zur Bereitstellung von Mehrwertdiensten gegeben. Darüber hinaus erfolge eine Vorratsspeicherung von Verkehrsdaten ohne Unterscheidung zwischen Daten, die zu rechtlichen Zwecken gespeichert werden, und Daten, die zu anderen Zwecken (Abrechnung oder Beratung durch den Kunden) gespeichert werden, sowie die fehlende Unterscheidung der Datenspeicherfristen je nach Zweck. Das Unternehmen habe außerdem zu Betrugsbekämpfungszwecken den Inhalt der von seinen Kunden gesendeten Textnachrichten vorab automatisiert überprüft, um möglichen Phishing-Aktivitäten vorzubeugen, ohne dass es dafür eine geeignete Rechtsgrundlage gab. Das Unternehmen hat von der Möglichkeit der Streitbeilegung Gebrauch gemacht und damit nur die Hälfte der Geldbuße bezahlt.
1.17 Belgien: Königshaus muss Informationspflichten anpassen
Die Umsetzung der Informationspflichten aus Artt. 13, 14 DS-GVO können als Visitenkarte eines Unternehmens oder einer Behörde angesehen werden, insb. wenn diese auf ihr Image bedacht sind. In Belgien wurde der belgische König auch durch die dortige Datenschutzaufsicht dezent auf eine zu erfolgende Anpassung seiner Datenschutzerklärung hingewiesen. Ein Beschwerdeführer hatte sich hilfesuchend in einem Rechtsstreit an den König gewandt, dessen Beschwerde-Stab leitete den Brief mit einer Einschätzung an die Regierung weiter. Daraufhin beschwerte sich die betroffene Person, da diese Verarbeitungen im Zusammenhang mit Bürgeranfragen nicht in der Datenschutzerklärung aufgeführt waren. Die zuständige Aufsicht prüfte dies und stellte in einem Schreiben an das Königshaus fest, dass die Datenschutzerklärung nur die Informationen bei Benutzung der Webseite beinhaltete, aber nicht den Umgang mit personenbezogenen Daten bei Beschwerden (RN 65 des Schreibens). Dementsprechend wurde das Königshaus aufgefordert seinen datenschutzrechtlichen Verpflichtungen diesbezüglich nachzukommen.
1.18 ICO: AI & data protection
Wie lassen sich die Nutzung von Künstlicher Intelligenz und die Anforderungen des Datenschutzes verbinden? Dazu hat die britische Aufsicht ICO ihren Leitfaden aktualisiert und veröffentlicht, auch um dem Wunsch der Industrie zur Klärung der Anforderungen an die Fairness nachzukommen. Aus Gründen der Benutzerfreundlichkeit und angesichts des grundlegenden Charakters der Datenschutzprinzipien wurde dabei beschlossen den Leitfaden umzustrukturieren und einige der bestehenden Inhalte in neue Kapitel zu verschieben. Angesichts der rasanten technologischen Entwicklung geht das ICO davon aus, dass in Zukunft weitere Aktualisierungen erforderlich sein werden, so dass es redaktionell und operativ sinnvoll ist die Datenschutzgrundsätze als Kernstück dieser erweiterten Arbeit zu verwenden. Das ICO hat auch die Änderungen zusammengestellt und hier veröffentlicht.
1.19 BSI: Studie zu Sicherheitsaspekten der Software für Onlineshops
Bei Onlineshops werden Daten der Kunden wie Zahlungs- und Adressdaten und bestimmte Vorlieben und Interessen verarbeitet. Das BSI hat im Rahmen einer Studie die Sicherheitseigenschaften von Onlineshopping-Plattformen untersucht. Es handelt sich dabei um Software-Produkte, mit denen Onlinehändler ihre Webshops erstellen. Fast alle im Rahmen der BSI-Studie untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf. In sieben von zehn Shop-Softwareprodukten wurden JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen waren. In der Hälfte der untersuchten Produkte hat das BSI Software identifiziert, die das offizielle End-of-Life-Datum überschritten hatte und dementsprechend keine Sicherheits-Updates mehr erhält. Die identifizierten Schwachstellen behandelte das BSI im Rahmen des so genannten Coordinated-Vulnerability-Prozesses und sensibilisierte die betroffenen Software-Hersteller für die Problematik. Eine begleitend durchgeführte Befragung von Verbraucher:innen ergab, dass rund ein Viertel aller Befragten bereits von Datenleaks beim Onlineshopping betroffen war. Die Hälfte der Befragten zeigte sich besorgt mit Blick auf mögliche Datenleaks.
Das BSI weist aber auch darauf hin, dass Verbraucher:innen beim Onlineshopping einen eigenverantwortlichen Beitrag für die Sicherheit ihrer Daten leisten sollten. Über Maßnahmen für sicheres Onlineshopping sowie Erste-Hilfe-Maßnahmen für Datenleak-Betroffene informiert das BSI dazu auf seiner Website.
1.20 Zum Tod von Prof. Dr. Drs. h.c. Spiros Simitis
Dies ist nur in Ausnahmefällen der Platz für einen Nachruf. Wenn aber die DSK, Publizisten, Verbände und seine ehemalige Behörde einem Vordenker der Idee des Datenschutzes gedenken, erlauben wir uns auch ein paar Zeilen dazu zu verlieren.
Der am 18. März 2023 im Alter von 88 Jahren verstorbene Spiros Simits war ein Grundpfeiler in der Entstehung des deutschen und europäischen Gedankens des Datenschutzes, der Regulierung der Verwendung von Daten von Menschen, um für diese unangemessene Benachteiligungen zu verhindern. Seine Tätigkeit umfasst aber nicht nur dies. Auch im Arbeitsrecht und im Familienrecht setzte er mit seiner Forschung und seinen Veröffentlichungen Maßstäbe. Wir nehmen von ihm mit, dass auch jede/r einzelne einen Beitrag leisten kann, um diese Welt etwas erträglicher sein zu lassen.
Franks Nachtrag: Es gab auch noch weitere Nachrufe und Meldungen zum Ableben. Hier*/** einige Beispiele. Oder beim hessischen Landtag. Oder bei weiteren ehemaligen Wirkungsstätten.
Auf seiner Wikipedia-Seite schließlich lernen wir (u.a.), dass sein Bruder um den Jahrtausendwechsel griechischer Ministerpräsident war, und dort finden wir auch noch einen griechischen Nachruf.
* Franks erste Anmerkung: Wie, Anmerkungen zu eigenen Nachträgen? Ja, wenn die FAZ ihn zu Hessens ersten Datenschutzbeauftragten macht, die Aufsichtsbehörde ihn aber als zweiten Datenschutzbeauftragten Hessens (ab 1975) führt? Die Aufsichtsbehörde sollte es ja schließlich wissen. Nun ja. Vielleicht will die FAZ ihn ja auch als primus inter pares würdigen…
** Franks zweite Anmerkung: Warum? Eine zweite Anmerkung zum eigenen Nachtrag? Muss das sein? Ja, wenn die FAZ, nachdem ich alle Cookies im Consent-Banner abgelehnt habe, mich auf meinem Mobiltelefon (im Telekom-Netz) anschließend noch zu einer Einwilligung für TrustPID motivieren will, dann schon. Seien Sie also gewarnt. Vielleicht möchten Sie vorher zu TrustPID hier (und im dazugehörigen Nachtrag) nachlesen.
2 Rechtsprechung
2.1 EuGH: Schlussanträge zu Scoring
In dem Fall C 634/21 geht es darum, inwieweit die Vorgaben des Art. 22 DS-GVO zur automatisierten Entscheidungsfindung in Einzelfällen inkl. Profiling zu beachten sind, wenn eine Entscheidung dann durch eine andere Stelle getroffen wird. Hier sieht der Generalanwalt in seinen Schlussanträgen den Anwendungsbereich des Art. 22 DS-GVO für eröffnet. Im Fall geht es um die Verarbeitung im Rahmen einer Scorebildung durch eine Wirtschaftsauskunftei.
Nach Art. 22 DS-GVO darf eine natürliche Person nur dann einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie „in ähnlicher Weise erheblich beeinträchtigt“, wenn dies für den Abschluss / die Erfüllung eines Vertrags mit der Person erforderlich, gesetzlich zulässig oder durch die ausdrückliche Zustimmung der Person gedeckt ist.
Hier stellte eine Auskunftei einem Kreditinstitut einen Kredit-Score über eine Person zur Verfügung, worauf dann das Kreditinstitut entschied, ob es der Person einen Kredit gewährt. Der Kredit wurde verweigert. Im Schlussantrag behandelt der Generalanwalt in den RN 34 und 35 die Prüfung, ob die Begriffe „Rechtswirkungen“ oder „ähnlich erheblich“ bzw. „Auswirkungen mit schwerwiegenden Auswirkungen“ erfasst werden und bejaht dies schließlich. Die Bearbeitung eines Kreditantrags erfolge vor Abschluss eines Kreditvertrages, so dass die Ablehnung des Antrags für die Person „Rechtswirkungen“ haben kann. Eine Ablehnung könne sich auch auf die finanzielle Situation der Person auswirken. Damit sei nach Ansicht des Generalanwalts diese Person zumindest in ähnlicher Weise beeinträchtigt. In den RN 42 bis 51 befasst sich dann der Generalanwalt damit, inwieweit das von der Auskunftei durchgeführte Scoring die Entscheidung des Finanzinstituts über die Gewährung oder Ablehnung des Kredits vorbestimmt. Im vorliegenden Fall würde er dies bejahen, macht aber deutlich, dass es hier auch darauf ankomme, inwieweit interne Vorgaben innerhalb des Kreditinstituts die Anhängigkeit der Kreditvergabeentscheidung von diesem Scorewert macht.
Natürlich wird über diese Ansicht breit berichtet, die Pressemeldung des EuGH dazu finden Sie hier.
2.2 EuGH: Schlussanträge zu Löschfristen
In den Fällen C-22/22 und C-64/22 geht es u.a. um die Zulässigkeit einer Speicherdauer über die gesetzlichen Veröffentlichungsfristen hinaus, die im Rahmen von Insolvenzverfahren bei der Veröffentlichung vorgesehen sind. Hier sieht der Generalanwalt in seinen Schlussanträgen dafür keine Grundlage aus Art. 6 Abs. 1 lit. f DS-GVO (RN 77). Auch sieht er keine Grundlage, hier längere Fristen (und das wäre dann eine neue Rechtsgrundlage) über genehmigte Verhaltensregeln nach Art. 40 DS-GVO in diesen Fällen zu begründen (RN 100).
Wie in der vorherigen Meldung bereits geschrieben wird über diese Ansicht breit berichtet, die Pressemeldung des EuGH dazu finden Sie hier.
2.3 ArbG Oldenburg: Schadenersatz bei verspäteter Auskunft
Darf´s ein bisschen mehr sein? Die verzögerte Bearbeitung eines Auskunftsanspruchs eines ehemaligen Arbeitnehmers brachte ihm pro Monat ein „Schmerzensgeld“ aus Art. 82 DS-GVO in Höhe von 500 Euro ein. Da der ehemalige Arbeitgeber dafür 20 Monate brauchte, wurden daraus 10.000 Euro. Der Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO habe präventiven Charakter und diene der Abschreckung, so das ArbG.
2.4 VG Ansbach: Urteil zu Falschparkeraufnahmen rechtskräftig
Das Urteil des VG Ansbach, wonach Aufnahmen von Falschparkern zur Verfolgung von Ordnungswidrigkeiten an die Polizei weitergegeben werden dürfen, wurde nach diesem Bericht rechtskräftig. Das BayLDA hatte noch ein Bußgeld in Höhe von 100 Euro verhängt, das dann gerichtlich überprüft wurde. Natürlich müssen aber dabei die Anforderungen an die Datenminimierung eingehalten werden.
2.5 LAG Rheinland-Pfalz: Voraussetzungen einer Datenschutz-Folgenabschätzung
Das LAG befasst sich im Rahmen eines Kündigungsschutzprozesses mit den Benennungspflichten eines Datenschutzbeauftragten (DSB) auch mit den Anforderungen aus § 38 Abs. 1 BDSG (ab RN 55). Demnach geht die Verarbeitung personenbezogener Daten bei der Lohnbuchhaltung nicht über die allgemeinen Gefahren, die üblicherweise mit Datenverarbeitungstätigkeiten einhergehen, hinaus. Im vorliegenden Fall ging es um eine (krankheitsbedingte) Kündigung eines stellvertretenden DSB bei einem Unternehmen, das auch die Dienstleistung eines externen DSB anbietet.
2.6 Österr. BVwG: Anspruchsumfang bei Art. 15 DS-GVO
Muss auch bei einem Auskunftsanspruch das Datum der Weitergabe an Empfänger angegeben werden? Damit befasste sich der österreichische Bundesverwaltungsgerichtshof und kommt zu dem Ergebnis, dass eine Auskunft nicht deshalb unvollständig sei, wenn der Zeitraum bzw. Zeitpunkt der Übermittlung nicht mitgeteilt würde, weil dies nicht vom Recht auf Auskunft umfasst sei. Eine Verpflichtung eine Art Protokoll, aus dem sich die Übermittlungszeitpunkte ergeben, vorzulegen, ergebe sich aus Art. 15 DS-GVO nicht.
2.7 LG Ravensburg: Zwanghafter Fingerabdruck für Handyentsperrung
Eifrige Krimileser-/seher:innen wissen es: Ermittlungsbehörden dürfen Fingerabdrücke nehmen. Die rechtlichen Hintergründe aus § 81b Abs. 1 StPO werden dabei i.d.R. nicht genannt. Demnach dürfen, soweit es für die Zwecke der Durchführung des Strafverfahrens oder für die Zwecke des Erkennungsdienstes notwendig ist, „Lichtbilder und Fingerabdrücke des Beschuldigten auch gegen seinen Willen aufgenommen und Messungen und ähnliche Maßnahmen an ihm vorgenommen werden.“ Darf nun die Polizei gegen den Willen des Beschuldigten auch Fingerabdrücke aufnehmen, wenn damit im Ermittlungsverfahren um ein Betäubungsmitteldelikt das Smartphone des Beschuldigten entsperrt werden soll? Das LG Ravensburg hat damit kein Problem und die Beschwerde eines Beschuldigten als unbegründet verworfen. Auch die Nutzung der festgestellten Fingerabdrücke für Zwecke des Entsperrens des Mobiltelefons des Beschuldigten sei als „ähnliche Maßnahme“ von § 81b Abs. 1 StPO umfasst. Das LG Ravenburg erörtert dann, was der historische Gesetzgeber damals eigentlich wollte und kommt dabei zu dem Ergebnis, dass die Verwendung von biometrischen Körpermerkmalen zur Entschlüsselung von Daten durch einen Abgleich mit den im Endgerät hinterlegten Schlüsselmerkmalen auch vom Wortlaut des § 81b Abs. 1 StPO umfasst sei. Dazu regt sich Protest und die ersten Empfehlungen gehen dann gleich in die Richtung biometrische Merkmale als Zugriffsschutz besser wieder durch eine PIN zu ersetzen.
Franks Nachtrag: Also wenn ersetzen, dann mindestens mal durch ein alphanumerisches Passwort, bitte. Eine PIN ist ja nicht wirklich ein guter Schutz. Vor allen Dingen nicht, wenn sie nur vier Stellen hat…
2.8 EuGH: Verhandlung zu Fingerabdruck bei Ausweiserstellung
In dem Verfahren C-61/22 geht es um die gesetzliche Anforderung, dass bei Ausweisdokumenten Fingerabdrücke zu erfassen sind. Zurückgeht dies auf die Verordnung 2019/1157. Art. 3 Abs. 5 der „Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben“ lautet:
„Die Personalausweise werden mit einem hochsicheren Speichermedium versehen, das ein Gesichtsbild des Personalausweisinhabers und zwei Fingerabdrücke in interoperablen digitalen Formaten enthält. Bei der Erfassung der biometrischen Identifikatoren wenden die Mitgliedstaaten die technischen Spezifikationen gemäß dem Durchführungsbeschluss der Kommission C (2018)7767 an.“
Nun befasst sich der EuGH damit. Diese Woche fand die mdl. Verhandlung zu der Frage statt, ob die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gemäß Art. 3 Abs. 5 der Verordnung (EU) 2019/1157 gegen höherrangiges Unionsrecht verstößt. Mehr dazu finden Sie hier.
Franks Nachtrag: Derweil am anderen Ende der Gerichtsbarkeit: Das AG Hamburg ordnet das Ausstellen eines befristet gültigen Personalausweises ohne Fingerabdrücke an. Mancher vermutet bereits, dass (deswegen) die Hölle zugefroren ist. In der #heiseshow vom 23.03.2023 wird über die Entscheidung diskutiert (1:05 Std., ab ca. der 26. Min., youtube-Video).
2.9 Bezirksgericht Amsterdam: Unzulässige Verarbeitung durch Facebook
Das Bezirksgericht Amsterdam entschied, dass Facebook Irland bei der Verarbeitung personenbezogener Daten niederländischer Nutzer unrechtmäßig gehandelt hat. Im Zeitraum vom 1. April 2010 bis zum 1. Januar 2020 habe Facebook gegen das Gesetz verstoßen. Personenbezogene Daten von Nutzern wurden zu Werbezwecken verarbeitet, obwohl dies in diesem Fall nicht erlaubt war. Außerdem wurden personenbezogene Daten an Dritte weitergegeben, ohne dass die Facebook-Nutzer darüber ordnungsgemäß informiert wurden und ohne Grundlage in Gesetzen und Vorschriften. Die Data Privacy Foundation, eine Sammelklagenorganisation, hatte die Klage eingereicht. Facebook Irland verarbeitete personenbezogene Daten zu Werbezwecken, ohne über eine rechtsgültige Grundlage zu verfügen – wie zum Beispiel eine Einwilligung. Eine solche Rechtsgrundlage fehlte auch, wenn besondere personenbezogene Daten zu Werbezwecken verarbeitet wurden, wie z. B. die sexuelle Präferenz oder die Religion. Dies betraf sowohl personenbezogene Daten, die von den Nutzern selbst bereitgestellt wurden, als auch besondere personenbezogene Daten, die Facebook Irland durch die Verfolgung des Surfverhaltens von Facebook-Nutzern außerhalb des Facebook-Dienstes erhalten hatte.
Außerdem informierte Facebook Irland die Facebook-Nutzer nicht ausreichend über die Weitergabe ihrer personenbezogenen Daten an eine Reihe von Dritten. Dabei wurden nicht nur personenbezogene Daten der Facebook-Nutzer selbst, sondern auch personenbezogene Daten ihrer Facebook-Freunde weitergegeben. In dem Verfahren ging es zunächst nur um die mögliche Rechtswidrigkeit, noch nicht um die Geltendmachung von Schadensersatz.
Franks Nachtrag: Im Großen und Ganzen gehen diese Bewertungen zum Einsatz von Facebook (siehe auch 1.2, 1.9, 1.14 sowie 1.15) doch in eine wünschenswerte Richtung…
3 Gesetzgebung
3.1 AI Act und Predictive Policing
Wie in diesem Bericht nachzulesen ist, ist das Gesetzgebungsverfahren zur Regulierung der Künstlichen Intelligenz durch ChatGPT um weitere Knackpunkte erweitert worden. Vielen werde jetzt die Dimension der technischen Möglichkeiten bewusst.
Franks Nachtrag: Apropos ChatGPT…
3.2 KI-Transparenzregister für die öff. Verwaltung?
Die öffentliche Verwaltung kann Automatisierungs- und KI-Verfahren nutzen, um ihre Angebote und Prozesse erheblich zu verbessern. Um gleichzeitig die Digitalkompetenzen der Behörden zu fördern, die Rechte der Bürger:innen zu schützen und das Gemeinwohl zu stärken, sollten Bund und Länder nach Ansicht von AlgorithemWatch ein KI-Transparenzregister einrichten. Die KI-Verordnung der EU werde nicht ausreichen, um Softwaresysteme der Behörden angemessen zu prüfen und transparent zu machen. Über ein Online-Register sollten die wichtigsten Informationen über KI-Verfahren, die in der öffentlichen Verwaltung zum Einsatz kommen, öffentlich abrufbar sein. Der Veröffentlichung ginge ein strukturiertes Verfahren voraus, das die Behörden intensiv bei der Konzeption und Entwicklung ihrer algorithmischen Systeme unterstützt. Die Potenziale der Automatisierung ließen sich nur dann nutzen, wenn die Behörden eine fundierte Einschätzung zu der Frage erlangen, wie die Systeme zielführend eingesetzt werden können und wie sich unerwünschte Folgen vermeiden lassen. Das Konzept dazu finden Sie hier.
3.3 Bundestag: Vorratsdatenspeicherung – again
Um Kinder vor sexueller Gewalt zu schützen, soll nach einem Gesetzentwurf der Union eine anlasslose, sechsmonatige Speicherung von IP-Adressen „zur Verfolgung der Straftaten des sexuellen Kindesmissbrauchs und der Kinderpornographie“ beschlossen werden. Der Entwurf wurde am 17. März 2023 im Bundestag behandelt.
3.4 Bundestag: Hinweisgeberschutzgesetz
Um ein Zustimmungspflicht des Bundesrates zu umgehen, wird der Entwurf erneut in das Gesetzgebungsverfahren in den Bundestag eingebracht, bereinigt um die Reglungen, die eine Einbeziehung des Bundesrates erforderlich machen. Dieser Teil wird nun separat vorgelegt. Weitere Details lesen Sie hier. Zur Frage des Verhältnisses zu Auskunftsanspruch nach Art. 15 DS-GVO und Daten eines Hinweisgebers finden Sie dort auch bereits Überlegungen.
3.5 Elektronische Patientenakte und Digitalisierungsstrategie
Die Bekanntgabe der Digitalisierungsstrategie des Bundesgesundheitsministeriums hat eine breite Resonanz hervorgerufen. Im Zentrum steht dabei die elektronische Patientenakte (ePA). Das Ziel ist klar formuliert: Es sollen einheitliche Rahmenbedingungen, unter denen Gesundheits- und Pflegedaten zur Förderung des Patienten- und Gemeinwohls für Versorgung und Forschung unter Berücksichtigung von Datenschutz und -sicherheit schneller und einfacher genutzt werden können, geschaffen werden.
Die Strategie soll helfen uns als Gesellschaft die mehrwertstiftende Nutzung von Gesundheits- und Pflegedaten sowie Anforderungen an Datenschutz beziehungsweise -sicherheit in eine angemessene Balance zu bringen. Dazu wird sich für eine einheitliche Auslegung des nationalen und europäischen Datenschutzrechts im Gesundheitswesen eingesetzt und das BMG will sich an bereits in anderen EU-Staaten implementierten guten Praktiken orientieren. Bei der Datennutzung sowie mit Blick auf Belange des Datenschutzes und der Datensicherheit strebt man im Sinne eines ermöglichenden Datenschutzes eine Balance zwischen verschiedenen Interessenlagen an und setzen uns für eine einheitliche Ausgestaltung und Anwendung des Datenschutzrechts ein. Dies schließe eine Abwägung zwischen der Schutzverantwortung des Staates gegenüber seinen Bürgerinnen und Bürgern einerseits und der Selbstverantwortung beziehungsweise Souveränität des Einzelnen andererseits ein.
So soll die freiwillige Nutzung der lebenslangen ePA durch eine Widerspruchslösung (Opt-out) sichergestellt werden. Bei der Versorgung wird auf die darin enthaltenen Gesundheits- und Pflegedaten zugegriffen, relevante Daten werden aufwandsarm im Rahmen der Versorgung eingestellt und, soweit kein Opt-out vorliegt, für Forschungszwecke über das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) datenschutzkonform zugänglich gemacht. Auch soll die federführende Datenschutzaufsicht durch Weiterentwicklung in eine einheitliche Datenschutzaufsichtspraxis im Gesundheits- und Pflegewesen mit dem Ziel gefördert werden Datennutzung zu Versorgungs- und Forschungszwecken sicher und anwendbar zu gestalten. Das BMG will niedrigschwellige Zugangsverfahren zu digitalen Anwendungen ermöglichen: Nutzer:innen können das Datensicherheits-/Datenschutzniveau für die Authentifizierung gegenüber digitalen Anwendungen nach ausführlicher Information über mögliche Risiken wählen. IT-Sicherheit im Gesundheits- und Pflegewesen soll dadurch einstiegsfreundlicher realisierbar werden. Zudem müsse das Bewusstsein für diese Thematik gesteigert werden.
Natürlich stoßen diese Ankündigungen nicht nur auf Begeisterungen. Gerade der Nichteinbezug von IT-Spezialisten und vorgesehene niedrigschwellige Zugangsverfahren bieten Anlass zur Kritik. Auch wird moniert, dass auf diesem Wege kein Vertrauen geschaffen werden könne, um Gesundheitsdaten freizugeben. Eine Übersicht europäischer Angebote und Umsetzungen wurde durch die Boston Consulting Group in einer Studie zusammengestellt.
Franks Nachtrag: Da das hier den Rahmen sprengen würde, verweise ich in mein Kapitel.
4 Künstliche Intelligenz und Ethik
4.1 KI als Talkshowthema
Viele sehen diese Talkshow nicht mehr, weil ihnen der Moderator zu viel Sendungsbewusstsein ausstrahlt. Dennoch möchte ich die Sendung zum Thema KI empfehlen, in der die „üblichen“ Talkshowgäste sich zum Thema KI austauschen. Wer hier alles schön mitliest, fühlt sich dabei gut aufgenommen, da die Themenpalette sowohl medizinische Aspekte, wie auch gesellschaftliche Auswirkungen, aber eben auch Bildungsanforderungen abdeckt. Dauer ca. 1:15 Std., den Link in die Mediathek finden Sie hier. Schön fand ich die Beschreibung der aktuellen KI als „stochastischen Papagei“, der nur Zusammenhänge aus Wahrscheinlichkeiten zusammenfügt. Die Gedanken des einen Teilnehmers zu Änderungen im Schulsystem sind auch hier nachzulesen*.
* Franks Anmerkung: Uff, dann bin ich wohl auch ein Bedenkenträger. Aber wenn die USA und UK als Vorbilder im Bildungsbereich genannt werden…
4.2 ChatGPT 4
Erst wird die nächste Generation angekündigt und dann ist sie da. Und alle werden es ausprobieren und erstaunt sein, was und wie es funktioniert. ChatGPT 4 besteht sogar juristische Prüfungen.
Und dann irritiert doch diese Meldung, dass bei dem verantwortlichen Unternehmen scheinbar aus Wettbewerbsdruck gesellschaftspolitische Verantwortung dem Shareholder Value weicht, wenn das Team um ethische Fragestellungen erst reduziert und dann aufgelöst wird.
Franks Nachtrag: Hier wird das mit den Entlassungen und der Bar Exam übrigens süffisant kommentiert.
4.3 KI ersetzt biometrisches Datum (Sprache)
Es war ja nur eine Frage der Zeit: Nach dem hier beschriebenen Selbstversuch konnte mittels KI sogar das biometrische Merkmal der Spracherkennung als Zugriffsschutz auf ein Banksystem überwunden werden.
Franks erster Nachtrag: Hier wird auf die englisch-sprachige Quelle verwiesen. Aber ich empfehle die Kommentare zu der Meldung, dort finden sich interessante Ideen (wie zum Beispiel: Biometrie zum Identifizieren, aber nicht zum Authentifizieren nutzen. Oder: What AI can fake, AI can detect. Und: Banks externalise risks).
Franks zweiter Nachtrag: In Australien lernen sie gerade auch, dass Zugang zu den Steuerdaten für Millionen Bürger per Voiceprint nicht die beste Idee ist.
Franks dritter Nachtrag: Ach ja, es trifft nicht nur Organisationen. In den USA nutzen sie mittlerweile für den Enkeltrick auch Anrufe per KI.
4.4 Visualisierung von Gedanken
Nach dieser Veröffentlichung ist es japanischen Forschern gelungen, durch die Messung von Gehirnströmen die menschlichen Gedanken abzubilden und nachzuvollziehen. Spöttisch könnte ich jetzt sagen, wenn bei einiges nichts abgebildet wird, ist das ja u.U auch aussagekräftig, aber andere denken da schon weiter und befürchten den Einsatz in Verhörsituationen.
4.5 Ethischer Umgang mit KI
Mittels KI können auch bereits verstorbene Personen wieder „erweckt“ werden, sei es im Schreibstil oder sogar auf Bildern. Wie das mit einem der – leider viel zu früh – verstorbenen Mit-Herausgeber der FAZ wirken würde, wurde hier probiert. Und wenn ich nun daraus diesen Satz zitiere:
„Wir sollten uns nicht von der Versuchung leiten lassen, unsere digitalen Echos überdauern zu lassen, sondern uns vielmehr auf das Leben im Hier und Jetzt konzentrieren und uns bewusst sein, dass der Tod ein wesentlicher Bestandteil des menschlichen Lebens ist.“
Ist der Satz nun dem Verstorbenen, dem „Auftraggeber“ der „Aufgabe“ oder OpenAI zuzurechnen?
5 Veröffentlichungen
5.1 WhatsApp will sich bessern
Laut diesem Bericht hat sich WhatsApp gegenüber der EU-Kommission und dem Netzwerk der Mitgliedsstaaten für die Zusammenarbeit im Verbraucherschutz zu mehr Transparenz bei seinen Nutzungsbedingungen verpflichtet. Nun müssen sie es nur noch tun.
5.2 Datenschutzänderungen bei Discord
Es scheint soziale Netzwerke zu geben, die bei Kindern beliebt sind, wie Discord. Discord ist eine App für Instant Messaging, Chats sowie Sprach- und Videokonferenzen, die sowohl auf mobilen Endgeräten wie dem Smartphone oder dem Tablet als auch am Computer verwendet werden kann. Discord hat nun, wie hier zu lesen ist, seine Nutzungsbedingungen und Datenschutzerklärung so geändert, sodass ab Ende März einige bisher gültige Passagen nicht mehr gelten. Gespräche dürften danach aufgezeichnet werden. Die Mutmaßung in dem Beitrag ist, dass die Änderungen vorgenommen wurden, um Trainingsdaten für KI-Systeme zu bekommen.
Franks Nachtrag: Hier ist noch einen andere Quelle, in der von der Änderung berichtet wird. Und scheinbar hatte Discord ja auch schon mal Kontakt zur französischen Datenschutzaufsicht. Also besteht die Hoffnung, dass da etwas eingefangen wird. Oder sollte das eine Konsequenz des verhängten Bußgeldes sein? Nicht nach meinem Verständnis, aber vielleicht übersehe ich etwas?
5.3 Cybercrime in Rheinland-Pfalz
Das Thema betrifft natürlich nicht nur Rheinland-Pfalz, doch diese Sendung in der Mediathek (ca. 6 Min) betrachtet das Thema in diesem Bundesland. Ob Bankdaten, Informationen über Krankheiten, private Mails, Firmen- oder Behördenunterlagen: Nichts scheint vor Hackern sicher zu sein. Die Daten werden gestohlen und für die Rückgabe Millionensummen gefordert. Das kann die Existenz ganzer Unternehmen vernichten.
5.4 Veranstaltungen
5.4.1 Universität Wien: E-Rezept, Gesundheitskarte und Onlinehandel
28.03.2023, 14:00 – 16:00 Uhr: Der Begriff der elektronischen Gesundheitsdienste („e-Health“) bezeichnet den Einsatz von Informations- und Kommunikationstechnologien in gesundheitsbezogenen Produkten, Dienstleistungen und Prozessen. Verbunden mit strukturellen Änderungen im Gesundheitssystem sollen e-Health-Anwendungen zur Verbesserung der Gesundheit der Bürger:innen sowie zur Effizienz bei der Erbringung von Gesundheitsdienstleistungen beitragen. e-Health ist aus dem Gesundheitswesen nicht mehr wegzudenken und umfasst eine große Vielfalt an Anwendungen wie insbesondere die elektronische Krankenversicherungskarte, Gesundheitsakte und Medikationsübersicht sowie die Telemedizin. Dennoch sind die Hürden selbst für einfachste telemedizinische Anwendungen im Interesse der Patient:innen enorm. Mit diesen und weiteren Fragen rund um e-Rezepte und e-Medikation befassten sich die Universität Wien in einer Podiumsdiskussion. Weitere Informationen zur Online-Anmeldung finden sich hier.
5.4.2 Stiftung Datenschutz – Datenschutz im Ehrenamt: Weitergabe von Vereinsdaten
28.03.2023, 17:00 – 18:00 Uhr: Viele Aktiven in Vereinen sind unsicher. Welche Daten dürfen weitergegeben werden und was ist dabei zu berücksichtigen? Worauf ist also zu achten, wenn z.B. Kontaktlisten an die Vereinsmitglieder ausgeteilt, Wettkampfergebnisse am „schwarzen Brett“ ausgehangen oder Mitgliederlisten an den Dachverband übermittelt werden? Weitere Informationen und Anmeldung hier.
5.4.3 DSiN zur sicheren Verwaltung von Benutzerkonten
29.03.2023, 18:30 – 19:30 Uhr: Die Thematik der sicheren Verwaltung von Benutzerkonten und der Schutz vor Phishingangriff sowie Identitätsdiebstahl wird in Berlin behandelt und auch live gestreamt. In der digitalen Welt ist die Sicherheit von Benutzerkonten von entscheidender Bedeutung. Laut DsiN-Sicherheitsindex 2022 entstehen die häufigsten IT-Sicherheitsvorfälle mit 30,5 Prozent durch Phishingangriffe. Mit der steigenden Zahl von Cyberangriffen und Datenlecks müssen insbesondere Nutzer:innen über die Verwendung von sicheren Anmeldeverfahren und die Nutzung starker Passwörter aufgeklärt werden. Weitere Infos, Anmeldung und Link zum Livestream finden Sie hier. Begleitend finden Sie hier den Ratgeber von DSiN zur Sicherung von Benutzerkonten.
5.4.4 Stiftung Datenschutz – „Die Bestandsdatenauskunft im TTDSG“
20.04.2023, 13:00 – 14:00 Uhr: Potenziell ist jeder Website-Betreiber oder Cloud-Dienst-Anbieter zur Herausgabe seiner Kundendaten an Sicherheitsbehörden verpflichtet und muss dazu komplexe Prüfpflichten implementieren. Während den USA im Zusammenhang mit dem Angemessenheitsbeschluss der EU-Kommission vorgeworfen wird, dass das Schutzniveau dort – aufgrund zur Bestandsdatenauskunft vergleichbaren Bestimmungen – aus Sicht der EU nicht angemessen ist, gehen die deutschen Regelungen für die Sicherheitsbehörden teils deutlich weiter, z. B. durch mangelnde Transparenz und daraus resultierende fehlende Rechtsschutzmöglichkeiten. In der Veranstaltung werden Es werden die Bestands- und Nutzungsdatenauskunft mit den daraus folgenden Pflichten für Telemedienanbieter vorgestellt, praktische Empfehlungen zum Umgang mit Auskunftsanfragen der Sicherheitsbehörden gegeben und auch die möglichen Auswirkungen auf internationale Datentransfers beleuchtet. Weitere Informationen und Anmeldung hier.
5.4.5 bidt: „Datennutzung für Medizin, Verwaltung und Justiz“
20.04.2023, 13:00 Uhr – 21.04.2023, 13:00 Uhr, München (nur vor-Ort): Das Bayerische Forschungsinstitut für Digitale Transformation bietet im Rahmen des 17. Internationalen For..Net Symposiums in München unter dem Motto „Datennutzung für Medizin, Verwaltung und Justiz“ spannende Vorträge und Diskussionsrunden. Neben Beiträgen von Gästen aus Politik, Wissenschaft, Wirtschaft und Talkshowrunden wird auch der „For..Net Award verliehen. Mit diesem Award werden seit neun Jahren Entwickler:innen innovativer IT-Produkte geehrt, die durch ein besonderes Augenmerk auf Datenschutz und Datensicherheit einen besonderen Beitrag für Verbraucherschutz und Nutzerfreundlichkeit geleistet haben. Weitere Info zu Programm und Anmeldung finden sich hier.
5.4.6 Vorankündigung – GI: Designing Female Futures
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen?
Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Female Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier.
6 Gesellschaftspolitische Diskussionen
6.1 UN: Überwachung nimmt zu
Wer subjektiv das Gefühl hat, dass die Überwachung privater Tätigkeiten zunimmt, wird durch einen Bericht der UN bestärkt. Demnach nehme die Überwachung unter dem Vorwand der Terrorismusbekämpfung zu. Einen Bericht dazu lesen Sie auf dieser Seite.
6.2 MS 365 an Schulen
Dieser Beitrag über ein Gespräch auf der Bildungsmesse didacta behandelt Aspekte des Einsatzes von MS 365 in Schulen, die Reaktion von Microsoft auf die Vorhaltungen der deutschen Datenschutzaufsichten und das weitere Vorgehen von Microsoft. Jetzt gibt es ja allerlei Personen, die sich dazu äußern, interessant ist es vor allem deswegen, weil dieses Gespräch mit einer Vertreterin von Microsoft geführt wurde. Demnach brauche man noch bis zum Jahresende, um personenbezogene Daten auch innerhalb der EU anonym bzw. pseudonymisiert zu verarbeiten. Damit Schulen die Cloud-Software datenschutzkonform nutzen können, müsse man erst an den Grundeinstellungen im Hintergrund schrauben und den Einsatz von MS 365 entsprechend dokumentieren. Was genau, geht aus dem Beitrag nicht hervor, aber es scheint, dass Microsoft diese Klientel noch nicht aufgegeben hat.
6.3 Verbot eines sozialen Netzwerks auf Regierungsgeräten
Regierungen nehmen es (TikTok) von ihren Geräten. Unternehmen müssten bei der betrieblichen Nutzung zur Kommunikation über die Regelungen zur gemeinsamen Verantwortlichkeit nachdenken. Wissenschaftler sehen Risiken für die Privatsphäre auch von Kindenr und Jugendlichen. Soll man es überhaupt noch privat nutzen? Mehr dazu in einem Interview mit einem Rechtswissenschaftler.
Franks Nachtrag: Soviel zu guten Vorsätzen 😁.
6.4 Fake News und Vertrauenskrise
In diesem Interview (ca. 30 Min) mit einem Medienwissenschaftler werden die Ursachen wie das „Doppelgesicht der Digitalisierung“ andiskutiert: Neben der Erleichterung der Partizipationsprozesse wird aber auch das Systemvertrauen erodiert. Randgruppen können sich treffen – und das kann Randgruppen auch das Gefühl geben die Mehrheit zu repräsentieren. Es geht auch um Trollfabriken, Deepfakes und den Beitrag der sozialen Netzwerke. Auch wenn dieses Gespräch bereits im letzten Jahr entstand, ist es dennoch sehr aktuell, gerade auch in dem Bereich der Medienkompetenz.
6.5 Herausgabe durch Amazon Ring
Dass Amazon kein Problem damit hat, Aufnahmen der Türkamera ihres Produktes Amazon-Ring, die bei ihren Kunden entstehen, an andere Stellen herauszugeben, ist nichts Neues. Nun wurde ein Fall bekannt, bei dem durch Amazon zur Aufklärung eines Vorgangs vor einem Gebäude gegenüber auch Innenaufnahmen aus der Wohnung eines Nachbarn gegen dessen Willen weitergegeben wurden.
Franks Nachtrag: Dieser privat betriebene Big-Brother-Ersatz wird scheinbar auch für die Kriminellen interessant… Das macht Amazon ja noch mal richtig viel mehr sympatisch.
7 Sonstiges/Blick über den Tellerrand
7.1 DSiN: KI und Schule
Künstliche Intelligenz ist die Technologie der Zukunft und schon jetzt ein wichtiger Teil unseres Alltags. Doch passt KI auch in die Schule? Was müssen Lehrkräfte, Schüler:innen und Eltern wissen – und was können sie tun? Mit diesen Fragen befasst sich DSiN und empfiehlt den Digitalführerschein.
7.2 Auch Missbrauch von Daten in kath. Einrichtungen
Es ist kaum zu glauben: Der Missbrauch von Daten scheint in der katholischen Kirche – zumindest in den USA – sanktionslos. Dank dem Hinweis in einem meiner bevorzugten Newsletter, der (nebenbei bemerkt) auch ohne Tracking existiert, möchte ich auf diesen Beitrag hinweisen. Demnach veröffentlichen in den USA Mitglieder der katholischen Kirche auf Basis von Standortdaten von Smartphones von Priestern sowie dem Zugriff auf Nutzerdaten von Grindr ihre Mutmaßungen zu Erkenntnisse über deren sexueller Orientierung. Natürlich nur in bester Absicht den Zielen der reinen Lehre zur Geltung zu verhelfen.
Franks Nachtrag: Alle Jahre wieder, sage ich da nur…
8. Franks Zugabe
8.1 Apropos ChatGPT
ChatGPT, ChatGPT … war da nicht etwas? Ja, bereits öfter… Und dieses mal? Schauen Sie selbst:
- Falls Sie es überlesen haben, Herr Kramer hat sich bereits hier und hier mit ChatGPT beschäftigt.
- Apropos ChatGPT 4. OpenAI hat einen Technical Report über die Entwicklung von ChatGPT 4 veröffentlicht. Wenn Sie mal 94 Seiten studieren mögen…
- This #chatgpt4 thread is quite something… Wenn ein (KI-)Programm anfängt ein Spiel zu spielen. Das erinnert mich doch an etwas… ach ja, daran. Schön, wenn das Spiel dann ist, wie ChatGPT aus seinem System ausbrechen kann. Was soll da schon schief gehen… Immerhin kennt ChatGPT die Regel rtfm.
- Auch Salesforce will auf den ChatGPT-Zug aufsteigen.
- Im verlinkten Tweet wird beschrieben, wie jemand ChatGPT den Auftrag gegeben hat, aus 100 Dollar so viel Geld wie möglich zu machen. Das Ergebnis? Autogenerierter Affiliate-Link-Spam. War ja klar…
- ChatGPT Privacy Flaw – Und auch das war nur eine Frage der Zeit, bis die ersten Datenschutzlücken in ChatGPT gefunden werden. Im konkreten Fall? Da konnten die User die Privacy History anderer User sehen.
- Beim letzten Korrekturlesen vor der verffentlichung fiel mir noch dieser Artikel in die Hände, der weitere Details zur vorher genannten Datenschutzlücke in ChatGPT sowie (mindestens) eine weitere Datenschutzlücke beschreibt. Wie gesagt, es war ja nur eine Frage der Zeit…
- heise.de listet „acht wirklich sinnvolle“ Anwendungen für ChatGPT… Entweder als Youtube-Video oder als Transskript zum Nachlesen (lustig, Nr. 8 erinnert mich an die 100-Dollar-Nummer).
- Wenn Sie ChatGPT so lieb gewonnen haben, dass Sie darauf auch übers Handgelenk zugreifen wollen, dann gibt es (u.a.) hier eine Besprechung einer App für die Apple Watch. Ob die auch schon ChatGPT 4 kann? Ich werde es nicht testen.
- Dieses browserbasierte Spiel namens Sumplete soll von ChatGPT erstellt worden sein, es spielt sich ganz nett, ist so ein bisschen wie Sudoku.
- ChatGPT 4 scheint uns wirklich überlegen. Jetzt lässt es Menschen schon Captchas für sich lösen, indem es den Mensch anlügt, dass es sehrbehindert sei. Wir werden noch alle als Batterien enden…
- Die Chefredaktion der „Bild“ komplett durch GPT-4 ersetzen? Im verlinkten Beitrag zeigen die Quellen, dass es wohl inhaltlich kaum auffallen würde… Zumindest scheint es Vorbereitungen zu geben, die das auch ermöglichen würden.
- Hier hat jemand ChatGPT 4 genutzt, um den folgenden Prompt ausführen zu lassen:
Write a short story about Barack Obama and Angela Merkel enjoying their best day at the beach together, because they are retired now, and don’t have to deal with politics anymore, building sandcastles, flying kites, running barefoot through the water, and eating ice cream together as besty best friends. Make it no longer than 1300 characters. Write it in the style of a poetry slam text.
Das Ganze wurde dann noch angereichert mit photorealistischen, durch KI generierten Fotos. Wenn Sie kein Problem mit Instagram haben, schauen Sie es sich an.
8.2 Keine KI, kein Job…
Wenn die doch aus Google+ gelernt hätten… Google legt fest, „dass Mitarbeiter direkt danach bewertet werden, ob und wie sie Künstliche Intelligenz in ihren Bereich integrieren können.“ und: „Unschön ist die Vorstellung, Mitarbeiter müssen sich jetzt um ihren Job sorgen, sollten sie an etwas anderem als KI arbeiten.“. Nun ja, das hat bei Google+ funktioniert, wird hier wohl auch klappen.
Franks Nachtrag: Habe ich da etwa gerade Mitleid mit Google? O tempora, o mores…
8.3 How AI Could Write Our Laws
Das Thema wird in diesem Essay beleuchtet. Aber, wollen wir das? Oder anders, können wir das noch verhindern?
8.4 Hundreds of sexual deepfake ads using Emma Watson’s face ran on Facebook and Instagram in the last two days
Ich schäme mich für die Menschen, die (meist) jungen Frauen so etwas antun. Und auch allen anderen marginalisierten Gruppen. Eine Schande! Aber leider wohl nur erwartbar. Die Meldung ist bereits von Anfang März. Aber auch jetzt geht noch schämen deswegen.
8.5 Stellungnahme des Deutschen Ethikrats zur KI
Der Deutsche Ethikrat hat eine Stellungnahme mit dem Titel „Mensch und Maschine – Herausforderungen durch Künstliche Intelligenz“ abgegeben. Angestoßen wurde das Erstellen dieser Stellungnahme durch eine im Oktober 2020 vom Präsidenten des Deutschen Bundestages formulierte Bitte, eine multidisziplinäre Stellungnahme zu den ethischen Fragen des Verhältnisses von Mensch und Maschine zu erarbeiten. Die Stellungnahme umfasst 287 Seiten. Hier wird (kurz) über die Stellungnahme berichtet.
8.6 Zur Digitalisierung des Gesundheitswesens
Wo fange ich an, wo fange ich an… Das wird mehr, wahrscheinlich auch länger.
Am besten mit einem kleinen Tweet (Warum eigentlich kein Tröt, der Account ist doch da?). Und damit könnte ich schon aufhören, aber, nur weil eine Krawall-Influencerin dagegen ist, ist die Digitalisierung des Gesundheitsesens schlecht? Sie scheint ja Ahnung davon zu haben, wie Digitalisierung effizient geht, siehe hier.
Nein, da dürfen ruhig noch mehr Quellen zitiert werden. Damit die Botschaft deutlicher wird.
- Hier wird in einem Beitrag thematisiert, wie das Geschäft mit den Gesundheitsdaten so funktionieren kann.
- Im vorherigen Beitrag ging es auch um Videosprechstunden, diese sollen ja auf Grund von (u.a.) Arztmangel (gerade auch im ländlichen Raum) ein super Vorteil der Digitalisierung des Gesundheitswesens sein. Dazu gibt es leider nur auch immer wieder Hürden zu umschiffen. Angefangen bei kostenpflichtigen Angeboten zur Arztvermittlung bis hin zu Datenschutzverstößen bei Videosprechstunden (Audio, 3 Min.), auch passend dazu eine Analyse der Datenschutzerklärungen von Telemedizin-Plattformen und Arzttermin-Portalen.
- Immer wieder treten Datenschutzverstöße im Gesundheitsbereich auf.
- Es tummeln sich ausgezeichnete Anbieter im Markt.
- Wir sollen ja bei der Digitalisierung auch größer denken, über den Teich schauen. Nun gut, auch dort sind gerade manche von Datenschutzverletzungen betroffen. Ob sich etwas nun etwas besser, da die Betroffenen ja jetzt Politiker sind?
- Ansonsten sind manche der Ideen, die jenseits des Teichs umgesetzt werden, eher nicht so sozial. Aber immerhin effizient, 1,2 Sekunden pro Ablehnung… 😱
- Und dann gibt es natürlich auch noch Fachleute, die in Kommentaren die Digitalisierungspläne beleuchten. Aber lesen Sie selbst.
Und wenn Sie jetzt immer noch die uneingeschränkte Digitalisierung des deutschen Gesundheitswesens fordern, dann weiß ich auch nicht mehr weiter…
8.7 USB-Sticks 1: Exploding USB-Sticks
Warum wir keine fremden USB-Sticks an den eigenen Rechner anschließen sollten, heute: Exploding USB-Stick.
8.8 USB-Sticks 2: USB-Stick des Landgericht Schwerin
Warum wir keine Daten unverschlüsselt auf USB-Sticks transportieren sollen, heute: Das Landgericht Schwerin vermisst einen USB-Stick. Darauf: sensiblen Daten zu einem Kindesmissbrauchsfall. Denn so läuft das mit der Digitalisierung in Deutschland! Digitale Daten werden per Post verschickt. Unverschlüsselt auf einem USB-Stick. Dumm, wenn der dann, wie im vorliegende Fall, verloren geht. Wer hätte das denn erwarten können?
8.9 Lilith Wittmann for Bundes-CIO! – oder: Warum die einmalzahlung200 nicht nur gut für die Betroffenen ist
Also, eine Bewerbung hat sie damit schon mal abgegeben. Worum es dabei geht, fragen Sie? Um die einmalzahlung200.de, bei der eine verpflichtende BundID vorgeschrieben ist, obwohl diese – wie Frau Wittmann mit ihrem Gesell:innen-Stück beweist – gar nicht notwendig wäre. Hier gibt es (anscheinend, bei mir klappte der Link zur eigentlichen Seite nicht, deswegen nur der Tweet-Link) eine Seite, die die Einmalzahlung kontrovers disktutiert. Dafür geht dieser Link zu einer nicht so positiven Beschreibung des Projektes. Es gibt auch vereinzelte, positive Stimmen (im verlinkten Beitrag hinter diesem Link). Eine nützliche BundID, so so… Hier wird beschrieben, wie das Projekt wahrscheinlich beworben wird.
So geht also Digitalisierung in Deutschland. Zumindest wachsen so die Nutzerzahlen…
Und einen habe ich noch: Beim rumrecherchieren für 8.6 (nicht alles hier wird linear geschrieben) ist mir diese Seite untergekommen: https://widerruf200.de/. Allerdings haben dort erst knapp über 2.000 Menschen widerrufen. Auch eine schöne und sinnvolle Seite, Frau Wittmann!
8.10 Apropos Digitalisierung in Deutschland
Zitat aus dem Beitrag:
Bis Mitte Dezember müssen alle EU-Länder ehrgeizige Digitalisierungsziele erreichen. Spoiler: Deutschland hinkt mal wieder besonders weit hinterher.
Das passt doch irgendwie zu den vorherigen Meldungen, oder?
8.11 Warum sich Nutzer von Social Media abwenden
heise.de hat einen Artikel zur entsprechenden Infografik von Statista veröffentlicht.
8.12 Massenexperiment an Mädchen und jungen Frauen
Passend zur vorherigen Meldung dieser Beitrag, der beschreibt, warum Schönheitsfilter ein Massenexperiment an Mädchen und jungen Frauen sind.
Wir berichteten bereits über die Filter, hier sehen Sie Beispiele.
Na, wenn Männer dadurch ihre Haarpracht wiederbekommen, dann ist ja alles gut und alles andere sind unvermeidliche Kollateralschäden!
Ach Mensch, bei diesem Blog-Beitrag muss ich mich echt oft für andere Menschen schämen… Dazu passt ja auch leider das hier.
8.13 Payroll-Daten in einem Spreadsheet in der Cloud
Inklusive der Überweisung an Crypto-Wallets. Was kann dabei schon schief gehen?
Wie sich zeigt, viel…
(Ich finde übrigens den Domain-Namen der verlinkten Seite cool: web3isgoinggreat.com 🤣)
8.14 Ein Update zu Log4j
Erinnern Sie sich noch an Log4j? Nun ja, ist ja lange her, das sollte ja heutzutage kein Problem mehr sein, sagen Sie? Weit gefehlt, weit gefehlt… Zitat gefällig?
Aktuell seien immer noch 34 Prozent der täglichen Downloads von Log4j Versionen, die für die Sicherheitslücke CVE-2021-44228 anfällig seien. Eine Sicherheitslücke, die nunmehr seit mehr als 15 Monaten gepatcht ist. Trotzdem führen die Prozesse beim Verteilen der Java-Logging-Bibliothek – das was Behlendorf als Software-Lieferkette bezeichnet – dazu, dass immer noch haufenweise andere Software verwundbare Versionen von Log4j einbettet.
8.15 Preview: April-Scherze
Zum Wochenende ist es ja wieder so weit, der 1. April 2023 naht mit großen Schritten. heise.de hatte (bereits im Jahr 2021) ein best-of zusammen gestellt, damit Sie besser gewappnet sind und die Varianten des Jahres 2023 vielleicht eher erkennen.
8.16 Alles Gute zum Geburtstag, EDRi!
Im verlinkten, durchaus interessanten Podcast sprechen Julia Witte von Digitalcourage und Jan Penfrat von EDRi passend zum 20. Geburtstag von EDRi über alte Diskussionen und zukunftsweisende Gesetzespakete. Hier ist der Direktlink zur Audiodatei. Ein schöner Einblick in die Arbeitsweise von EDRi…
9. Die gute Nachricht zum Schluss
9.1 Exit the Fake
Um sich gegen Fake-News zu wappnen bietet dieser Verlag sein Exit-Game „Exit-the-Fake“ kostenlos an.