Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 13/2023)“
Hier ist der 64. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 13/2023)“.
- Aufsichtsbehörden
- BfDI: Archivrecht und Datenschutz
- EDSA: Treu und Glauben
- DSK: Pur-Abo-Modelle auf Websites
- Neuer LfDI Baden-Württemberg
- LfDI Baden-Württemberg: Abschluss des Verfahrens gegen Innenministerium
- LfDI Bremen: Tätigkeitsbericht 2022
- LfDI Bremen: Über Videoüberwachung zum Datenschutzbeauftragten
- LfDI Bremen: Fehlende Informationspflichten führen zu Bußgeld
- LfDI Bremen: Anwalt als Datenschutzbeauftragter
- HmbBfDI: Tätigkeitsbericht 2022
- HmbBfDI: Support und Drittstaatentransfer
- HmbBfDI: Anforderungen an E-Mailverschlüsselung
- HmbBfDI: Parken mit KfZ-Kennzeichenerkennung
- HmbBfDI: Drittes Geschlecht in Kundendatenbank
- HmbBfDI: Auskunftsanspruch über Kundenkonto
- HmbBfDI: Altersverifikation im Internet
- HmbBfDI: Consent-Banner und Abo-Modelle
- HmbBfDI: Facebook-Fanpages – HmbBfDI übernimmt Vorsitz der Taskforce
- DSB Österreich: Hohes Risiko bei kurzeitiger Veröffentlichung auf soz. Medien
- Österreich: Unzulässige Datenverarbeitung bei Wirtschaftsauskunftei
- Spanien: Bußgeld wegen Fotografieren des Personalausweises
- Rumänien: Bußgeld für Veröffentlichung in sozialem Netzwerk
- BSI: Management-Handbuch Cybersicherheit
- noyb: Beschwerde wegen Microtargeting gegen Parteien
- Italienische Datenschutzaufsicht Garante sperrt ChatGPT aus Datenschutzgründen
- Rechtsprechung
- EuGH: Beschäftigungsdatenschutz in Deutschland
- BVerfG: Vorratsdatenspeicherung rechtswidrig
- OLG Frankfurt: Erfordernis einer Speicherung trotz Forderungstilgung
- LArbG Nürnberg: Kein Schadenersatzanspruch bei unzureichender Auskunft
- Vergabekammer München: Pauschaler Verweis auf Bedenken beim Datenschutz unzulässig
- Österreich BVwG: Verweigerung der Auskunft der Standortdaten durch Mobilfunkanbieter
- DSG EKD: Anwendbarkeit kirchlichen Datenschutzrechts?
- Europäischer Gerichtshof für Menschenrechte: Factsheets
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT
- Apropos HmbBfDI
- The Security Vulnerabilities of Message Interoperability
- Wie ein Gesetz zur Vorratsdatenspeicherung auch „sterben“ kann
- Schlüsselmanagement, heute: So besser nicht…
- Podcast zur Arbeit der Staatsanwaltschaft
- Was alles so gehackt wird, heute: Hühnerställe
- Was alles so gehackt wird, heute: Das Münchner Helmholtz-Zentrum
- Altersverifikation und KI?
- FAQ für Schulen
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BfDI: Archivrecht und Datenschutz
Zu den Fragen, die in Zusammenhang mit der Weitergabe von Akten durch Bundeseinrichtungen an das Bundesarchiv stehen und datenschutzrechtlichen Bezug haben, hat der BfDI zusammen mit dem Bundesarchiv eine Broschüre veröffentlicht. Darin wird die Thematik Archivierung und Datenschutz behandelt. Auch für Interessierte außerhalb der Bundesverwaltung soll sie einen Einblick in die Arbeitsweise des Bundesarchivs und den Umgang mit Archivgut aus Bundesbehörden geben können.
1.2 EDSA: Treu und Glauben
Wir hatten bereits darüber informiert, dass der EDSA sich in seinem Beschluss zu Meta Gedanken zu den Anforderungen an die „Fairness“ bei der Datenverarbeitung machte. Umso erfreulicher, wenn auch der Beschluss des EDSA zu WhatsApp und die dortigen Aussagen zu Treu und Glauben (Fairness) einer weiteren Betrachtung unterzogen werden, wie hier in diesem Blogbeitrag. Als Ergebnis wird dabei der Schluss gezogen, dass die Einschätzung des EDSA in der Praxis als zusätzlicher Aspekt Beachtung finden sollte, wenn es um die Ausgestaltung der Einbindung von Datenschutzhinweisen gegenüber Betroffenen geht.
1.3 DSK: Pur-Abo-Modelle auf Websites
Die Datenschutzkonferenz hat ihren Beschluss zur Bewertung von „Pur-Abo-Modellen“ auf Websites veröffentlicht. In fünf Aussagen formulieren sie ihre Anforderungen daran. Dann warten wir mal ab, ob den Worten auch Taten folgen, Anlässe gäbe es genug.
1.4 Neuer LfDI Baden-Württemberg
Laut Meldungen sei ein Nachfolger für den ausgeschiedenen LfDI Baden-Württemberg gefunden, er müsse nur noch durch den Landtag benannt werden. Erfreulicherweise ist er im Zusammenhang mit dem LfDI Baden-Württemberg kein unbeschriebenes Blatt, er hat bereits zahlreiche Veranstaltungen mit dieser Behörde gestaltet und dürfte durch die Aufgabenvielfalt nicht überrascht sein.
1.5 LfDI Baden-Württemberg: Abschluss des Verfahrens gegen Innenministerium
Zumindest damit muss sich der künftige LfDI Baden-Württemberg nicht mehr befassen: Das Verfahren bezüglich der Übermittlung eines Anwaltsschreibens zu einem Disziplinarverfahren durch das Innenministerium an einen Pressevertreter wurde nun offiziell abgeschlossen. Ein Bußgeld gibt es nicht, da dies im LDSG Baden-Württemberg gegen öffentliche Stellen nicht vorgesehen sei und eine Verwarnung werde nicht ausgesprochen, weil eine Wiederholungsgefahr nicht ersichtlich sei, weil sich das Innenministerium der rechtlichen Bewertung des LfDI Baden-Württemberg angeschlossen habe.
1.6 LfDI Bremen: Tätigkeitsbericht 2022
Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hat ihren Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Einige interessante Aussagen daraus:
1.7 LfDI Bremen: Über Videoüberwachung zum Datenschutzbeauftragten
Das wird oft übersehen: Über § 38 Abs. 1 BDSG können auch kleinste wirtschaftliche Einheiten zu einer Benennungspflicht eines Datenschutzbeauftragten kommen, auch wenn Art. 37 Abs.1 DS-GVO nicht erfüllt ist und auch die Beschäftigtengröße von 20 Personen des § 38 Abs. 1 BDSG nicht erreicht wird. Zwei solche Fälle behandelt der Tätigkeitsbericht in Ziffer 5.1: Bei einer Vollüberwachung in einer Gaststätte mit der Überwachung einer unbestimmten Zahl von Gästen in Räumen der Gastronomie oder auch in dem Fall einer Firma, die auf ihrem Betriebsgelände Aufnahmen zur Überwachung ihrer Beschäftigten machte, führte dies zu einer permanenten Videoüberwachung. Hier weist die Aufsichtsbehörde darauf hin, dass ihrer Ansicht nach dadurch eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen sei, was zu einer Benennungspflicht eines DSB gemäß § 38 Abs. 1 BDSG führt.
1.8 LfDI Bremen: Fehlende Informationspflichten führen zu Bußgeld
Unter der Ziffer 4.5 wird der Fall geschildert, dass Bewerber:innen ein Online-Bewerbungsverfahren auf der Internetseite eines Unternehmens angeboten wurde, ohne dass diese entsprechend den Vorgaben aus den Art. 12 und 13 DS-GVO über die durch die Nutzung dieses Verfahrens ausgelösten Datenverarbeitungen informiert wurden. Bei der Höhe der verhängten Geldbuße wurden die im dreistelligen Bereich liegende Zahl der betroffenen Bewerber:innen sowie der Zeitraum von einem halben Jahr maßgeblich berücksichtigt.
1.9 LfDI Bremen: Anwalt als Datenschutzbeauftragter
Wer als Anwalt ein Unternehmen berät und vertritt, unterliegt nach den Ausführungen unter Ziffer 5.4 bei der Übernahme der Aufgaben des Datenschutzbeauftragten einem Interessenskonflikt. Die Tätigkeit rechtlicher Vertreter:innen eines Unternehmens sei wie die der Rechtsanwält:innen nach der DS-GVO mit der Funktion eines Datenschutzbeauftragten des jeweiligen Unternehmens nicht zu vereinbaren, weil sie diese in eine Situation bringen, die ihre oder seine ordnungsgemäße und unabhängige Aufgabenerfüllung in Frage stellen könne.
1.10 HmbBfDI: Tätigkeitsbericht 2022
In seinem Tätigkeitsbericht für das Jahr 2022 informiert der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nicht nur zu statistischen Zahlen (im Bericht unter Ziffer VII.) seiner Behörde. Er macht in seiner Einleitung auch deutlich, dass die Datenschutzbehörden zwangsläufig „konstruktiver“ im Sinne des Wortes werden müssen, um Daten im Gemeinwohlinteresse zu nutzen und zugleich Betroffenenrechte zu schützen. Damit weist er auch auf eine alte Forderung hin, die nicht nur für öffentliche Vorhaben zutrifft: Die zum Datenschutz beratenden Stellen müssen so früh wie möglich, am besten im Planungsstadium, einbezogen werden, um die datenschutzrechtlichen Garantien von Anfang an mitdenken zu können. Neben diesem Appell finden sich in seinem Bericht noch weitere interessante Ausführungen wie:
1.11 HmbBfDI: Support und Drittstaatentransfer
Im Rahmen der Prüfung des Cloud-Dienstleisters Dataport, der bislang vorwiegend Cloud-Leistungen für öffentliche Stellen auf Basis von Open Source Software anbietet, äußert er sich unter der Ziffer II.3 auch zu Fragen des Drittstaatentransfers im Supportfall. Auch hier seien die beteiligten Aufsichtsbehörden weiter mit Dataport im Gespräch und würden berichten, sobald hierzu Ergebnisse verzeichnet werden können. Das scheint auch Fragen zu berühren, die auch Stellen betreffen, die nicht nur auf Open Source-Produkte als Dienstleister einsetzen.
1.12 HmbBfDI: Anforderungen an E-Mailverschlüsselung
Der HmbBfDI geht unter Ziffer II 4.1 ab Seite 43 davon aus, dass ein grundlegender Basis-Schutz der Transportverschlüsselung nicht ausreicht, wenn sensible personenbezogene Daten per Mail übertragen werden sollen. Nach der Orientierungshilfe der Datenschutz-Aufsichtsbehörden sind in diesen Fällen weitere Maßnahmen über diesen Basis-Schutz hinaus erforderlich, um zu einer qualifizierten Transportverschlüsselung zu kommen. Dazu gehören u.a., dass kryptografische Algorithmen und Protokolle dem Stand der Technik entsprechen und die weiteren Anforderungen der Technischen Richtlinie BSI TR-02102 erfüllen.
1.13 HmbBfDI: Parken mit KfZ-Kennzeichenerkennung
Bei der Kennzeichenerkennung werden bei Einfahrt in den Parkbereich regelmäßig die Bilddatei des Kennzeichens, das Datum und die Uhrzeit eines Parkvorgangs in einer Datenbank erfasst. Auf diese Datenbank wird bei Bezahlung des Parkvorgangs zur Ermittlung der Höhe der Parkgebühr sowie bei Ausfahrt zugegriffen, wenn das Kennzeichen ein weiteres Mal ausgelesen und mit den dazu gespeicherten Daten abgeglichen wird. Der HmbBfDI sieht (unter Ziffer II.8 ab Seite 53) hierbei die Anwendbarkeit der DS-GVO für eröffnet, zumal unabhängig von der Frage, wie die Bezahlung eines Parkvorgangs abgewickelt wird, ein anonymes Parken nicht mehr möglich sei. Denn über das verarbeitete Kfz-Kennzeichen lasse sich immer die Person ermitteln, die als Halter:in eingetragen sei. Als Rechtsgrundlage käme nach seinen Ausführungen eine Einwilligung oder Interessensabwägung in Frage. Zur Vertragsabwicklung nach Artikel 6 Abs. 1 lit. b) DS-GVO sei die Kennzeichenerkennung nur dann erforderlich, wenn nicht zusätzlich zu Beginn eines jeden Parkvorgangs ein Ticket gezogen werden muss.
1.14 HmbBfDI: Drittes Geschlecht in Kundendatenbank
Im Zusammenhang mit einer Beschwerde hat der HmbBfDI gegenüber einem Unternehmen die richtige Verarbeitung von Angaben zum Geschlecht thematisiert. Er berichtet unter Ziffer II 12 ab Seite 64 dazu. Mit Verweis auf die bisherige Rechtsprechung sieht er in der Konsequenz des Beschlusses des BVerfG von 2017 und § 22 Abs. 3 Personenstandsgesetz auch Auswirkungen auf die Datenverarbeitung. Wenn Unternehmen auf die Erhebung des Geschlechts von Personen, zu denen sie in vorvertraglicher oder vertraglicher Beziehung stehen, nicht komplett verzichten wollten, dann muss ihnen die korrekte Verarbeitung der Informationen dazu möglich sein. Denn gemäß Art. 5 Abs. 1 lit. d) DS-GVO müssten personenbezogene Daten sachlich richtig sein. Es seien alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Grundsatz der „Richtigkeit“). Im konkreten Fall habe das Unternehmen sein Webformular für Vertragsanfragen überarbeitet und die notwendige Anpassung im dahinter liegenden Customer Management System in die Wege geleitet.
1.15 HmbBfDI: Auskunftsanspruch über Kundenkonto
Wird ein Auskunftsanspruch nach Art. 15 DS-GVO gestellt, könne dies nach der Darstellung des HmbBfDI (unter Ziffer II.13 ab Seite 66) auch über das Kundenkonto des betroffenen Kunden erfolgen, wenn der Antrag auf Auskunft elektronisch erfolge. Man erspare sich dabei die Versendung über den Postweg oder im Einzelfall umständliche technische Vorkehrungen zum Versand einer Ende-zu-Ende-verschlüsselten E-Mail.
1.16 HmbBfDI: Altersverifikation im Internet
Der HmbBfDI erläutert in seinem Bericht unter Ziffer III.8 ab Seite 95, dass die Altersverifikation im Netz nicht trivial ist. er verweist auf die Positivbewertungen von 101 Systemen, die durch die Medienanstalten der Länder erfolgte. Es handelt sich nicht um rechtlich bindende oder notwendige Akkreditierungen, sondern um behördliche Öffentlichkeitsarbeit im Rahmen des Beratungsauftrags. Die genau für diesen Zweck konzipierte und datenschutzfreundlich ausgestaltete Altersbestimmung mittels der Schnittstelle des elektronischen Personalausweises sei leider nicht dabei. Die meisten Ansätze zielten darauf ab, dass Nutzer:innen ihren Personalausweis vor der Nutzung des Dienstes vorzeigen oder dass an eine vorherige Ausweiskontrolle etwa bei Eröffnung eines Bankkontos oder Abschluss eines Mobilfunkvertrags angeknüpft wird. Neben der persönlichen Vorlage können Ausweisdokumente auch über eine Webcam vorgezeigt und mit dem Gesicht abgeglichen werden. Diese Videoidentifizierung hat dabei ihre Schwachstellen. Der HmbBfDI informiert dann auch, dass der Einsatz einer KI, bei der dann zwar keine namentliche Identifizierung erfolge, sondern auf Basis biometrischer Merkmal nur das Alter überprüft werde, auch aus Datenschutzsicht Bedenken aufwerfen könne, so dass auch hier, auch wenn datenminimiert, entsprechende Schutzkonzepte bei der Konzeption zu berücksichtigen seien.
Letztendlich kommt er zu dem Ergebnis, dass bislang im Datenschutzrecht unerforscht sei, wie Anbieter im Internet eine für manche Angebote erforderliche Alterskontrolle wirksam vornehmen können.
1.17 HmbBfDI: Consent-Banner und Abo-Modelle
Etliche Medienunternehmen haben Hamburg als Sitz gewählt und betreiben von dort ihre Webpräsenz. So wundert es nicht, wenn der HmbBfDI im Rahmen der Prüfung von Webseiten und Einwilligungsmodellen sich auch unter Ziffer III.11 ab Seite 106 mit der Umsetzung von Einwilligungen und Abo-Modellen befasst. Zunächst beschreibt er die Funktionsweise und den aktuellen Stand zum Einsatz des Interactive Advertising Bureau Europe (IAB) TCF 2.0 Consent Framework. Einige Unternehmen hätten hier nach Einführung des TTDSG bereits ihre Banner bzw. Zwecke angepasst. Ob dieses Framework eine Zukunft habe, werde aber der EuGH entscheiden, dem über das belgische Handelsgericht einzelne Rechtsfragen zur Entscheidung der belgischen Datenschutzaufsichtsbehörde zur Vorabentscheidung vorliegen.
Eine weitere Konsequenz des Handelns durch den HmbBfDI sei die Umstellung der Consent-Banner auf das sogenannte „Pur“-Abo-Modell. Die Medienunternehmen stellen die Nutzer:innen nunmehr vor die Wahl, entweder ein „Pur“-Abo abzuschließen und damit den Inhalt der Webseite trackingfrei nutzen zu können oder ihre Zustimmung in die Datenverarbeitung zur Ausspielung von personalisierter Werbung zu erteilen und so den Inhalt der Webseite zu nutzen. Die Wirksamkeit von Einwilligungen von Nicht-Abonnenten ist bei den „Pur“-Abo-Modellen gleichwohl sicherzustellen. Soweit mehrere Verarbeitungszwecke vorliegen, die wesentlich voneinander abweichen, müssen die Anforderungen der Granularität der Einwilligung umgesetzt werden. Nur wenn Zwecke in einem sehr engen Zusammenhang stehen, könne eine Bündelung von Zwecken in Betracht kommen. Eine pauschale Gesamteinwilligung in insoweit verschiedene Zwecke könne nicht wirksam erteilt werden. Diese feingranulare Einstellung im Rahmen des „Pur“-Abo-Modells sei von den verantwortlichen Medienunternehmen bis Redaktionsschluss des Berichts bisher noch nicht umgesetzt, aber dem HmbBfDI angekündigt. Vor einer Entscheidung, ob aufsichtsrechtliche Maßnahmen zu ergreifen sind, wird den Unternehmen die Gelegenheit eingeräumt ihre Umsetzung vorzustellen.
1.18 HmbBfDI: Facebook-Fanpages – HmbBfDI übernimmt Vorsitz der Taskforce
Bei den Aktivitäten der in der Datenschutzkonferenz (DSK) zusammengefassten deutschen Datenschutzaufsichtsbehörden hat der HmbBfDI den Vorsitz der Taskforce übernommen, die die Rechtsdurchsetzung gegenüber öffentlichen Stellen anstrebt. Unter Ziffer III.14 ab Seite 113 führt er u.a. dazu aus, dass nach Auffassung der Aufsichtsbehörden eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO auch dann anzunehmen sei, wenn die sog. Insights-Funktion deaktiviert werde. Der EuGH hatte im Rahmen der o. a. Vorlageentscheidung geurteilt, dass insbesondere durch die Nutzung der sog. Insights (Statistiken über die Nutzung der Fanpage, die von Facebook auf Grundlage der Nutzungsdaten erstellt und an die Betreiber:innen ausgespielt werden) eine gemeinsame Verantwortlichkeit der Betreiber von Fanpages gemeinsam mit Facebook besteht. Eine gemeinsame Verantwortlichkeit bestehe nach Ansicht der DSK auch dann, wenn die Statistiken für Fanpage-Betreiber:innen deaktiviert werden. Durch die Deaktivierung verändert sich nämlich die relevante Datenverarbeitung beim Betrieb einer Fanpage kaum. Den Betreiber:innen werden lediglich aus den – nach wie vor – verarbeiteten Nutzungsdaten keine Statistiken mehr ausgespielt. Auch wenn Meta (Facebook) keine Statistiken mehr übermittle, fände beim Aufrufen der Fanpage und dem Interagieren mit der Fanpage eine Erhebung personenbezogener Daten und Nutzung der Daten durch Facebook statt, welche es ohne den Betrieb der Fanpage nicht gäbe.
Nach den Ausführungen im Bericht wird wohl der Rechtsstreit zwischen BfDI und Bundespresseamt zu dieser Thematik abgewartet, bevor weitere Maßnahmen eingeleitet werden.
1.19 DSB Österreich: Hohes Risiko bei kurzeitiger Veröffentlichung auf soz. Medien
In Art. 33 und 34 der DS-GVO wird geregelt, dass im Fall der Verletzung des Schutzes personenbezogener Daten („Data Breach“) die zuständige Aufsichtsbehörde informiert werden muss, wenn dadurch ein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht. Ist ein hohes Risiko verwirklicht, dann muss auch die betroffene Person benachrichtigt werden. In Österreich hat die dortige Datenschutzaufsicht nun in einem Fall entschieden, dass auch bei einer Veröffentlichung innerhalb eines sozialen Netzwerks eine Benachrichtigungspflicht entstehen kann. In diesem Fall war in einem sozialen Profil einer Praktikantin in einer Klinik die folgenden Daten einer Patientin zu erkennen: Vor- und Nachname, Patientenzahl, Station (namentlich „Akutgeriatrie“) sowie Informationen über sie betreffende Pflegeaktivitäten. Diese Informationen waren für drei Stunden sichtbar. Das Profil der Praktikantin hatte eine Reichweite von rund 100 Personen. Die Datenschutzbehörde bejahte hier ein hohes Risiko und verpflichtete die Verantwortliche (Stadt Wien), die Verständigung der Patientin vorzunehmen. Dass die Offenlegung nur für einen begrenzten Zeitraum und nur gegenüber einem beschränkten Personenkreis erfolgte hat sie dabei berücksichtigt. Sie begründet ihre Einschätzung damit, dass nach allgemeiner Lebenserfahrung bereits ein kurzer Zeitraum dazu führen könne, dass Informationen – insbesondere durch deren einfache Weiterverbreitung im Onlinekontext – einer Vielzahl und besonders der Verantwortlichen unbekannter Personen (…) zur Kenntnis gebracht werde. Interessant finde ich auch die Ausführung, dass die Stadt Wien als Arbeitergeber als Verantwortlich angesehen werde, weil ein ursprünglich datenschutzrechtlicher Verantwortlicher – selbst bei Verlust der Verfügungsmacht über oder bei unberechtigtem Zugriff Dritter auf dessen Datenbestand – Verpflichteter iSd Art. 33 und 34 DS-GVO ist bzw. bleibe (im Bescheid unter D.2).
1.20 Österreich: Unzulässige Datenverarbeitung bei Wirtschaftsauskunftei
In Österreich gibt es ein Unternehmen, dass Daten der Bürger:innen um weitere Daten ergänzt und daraus einen Kreditscorewert bildet. Die Datenschutzbehörde (DSB) in Österreich hält das für unzulässig – sie kann keine Rechtsgrundlage erkennen. Einwilligung scheidet aus, die betroffenen Personen wurden nicht gefragt. Auch sieht die DSB allein in einer Möglichkeit der Monetisierung der Daten des Beschwerdeführers keine zwingend schutzwürdigen Interessen der Kreditauskunftei. Sie finden hinter diesen Links weitere Informationen und Details.
1.21 Spanien: Bußgeld wegen Fotografieren des Personalausweises
Die spanische Datenschutzbehörde AEPD verhängte ein Bußgeld in Höhe von 100.000 Euro gegen das Telekommunikationsunternehmen Orange Espagne wegen unrechtmäßigem Fotografierens von Ausweisdokumenten zur Identifizierung bei der Lieferung von Smartphones.
Um Verlusten durch fehlerhafte Auslieferungen an dann nicht mehr nachvollziehbare Personen zu reduzieren, gab es die Anweisung, bei der Auslieferung von Smartphones und Tablet die Ausweise der empfangenden Personen auf der Vorder- und Rückseite zu fotografieren. Keine gute Idee, befand die zuständige Aufsicht und verhängte dafür ein Bußgeld in Höhe von 100.000 Euro.
1.22 Rumänien: Bußgeld für Veröffentlichung in sozialem Netzwerk
Laut der eigenen Pressemitteilung verhängte die rumänische Datenschutzaufsicht ein Bußgeld in Höhe von umgerechnet 450 Euro gegen eine Person, die personenbezogene Daten zahlreicher Personen in einem sozialen Netzwerk veröffentlicht hatte. Im Laufe der Untersuchung wurde festgestellt, dass die betreffende natürliche Person die personenbezogenen Daten (Vorname, Nachname, Wohnort) mehrerer betroffener Personen über ein soziales Netzwerk veröffentlicht hatte, und zwar ohne deren Zustimmung und ohne eine andere Rechtsgrundlage aus Art. 6 DS-GVO. Leider gehen aus der Meldung keine weiteren Informationen zur Prüfung des „Haushaltsprivilegs“ nach Art. 2 Abs. 2 lit. c DS-GVO oder zu Berechnung der Bußgeldhöhe hervor. An dieser Stelle wird wieder an die Grundsatzentscheidung des EuGH aus dem Jahr 2003 zur Anwendbarkeit des Datenschutzrechts bei der Veröffentlichung personenbezogener Daten (im öffentlichen Bereich) im Internet durch eine andere natürliche Person erinnert (C-101/02 „Lindqvist“).
1.23 BSI: Management-Handbuch Cybersicherheit
Wer es durch die Infos der Datenschutzbereiche und Zuständigen für die IT-Sicherheit noch nicht glauben wollte, kann es jetzt amtlich haben: Cyber-Sicherheit ist Chefinnen- und Chefsache! Und sichere Digitalisierung gelingt nur, wenn eine Unternehmensleitung ein Grundverständnis für die Risiken im Bereich Informationssicherheit entwickelt. Nur so können unternehmerisch Verantwortliche die potenziellen wirtschaftlichen Schäden durch Cyber-Vorfälle informiert bewerten und über die Validität von IT-Sicherheitsstrategien entscheiden. Sagt das BSI und veröffentlicht das Handbuch „Management von Cyber-Risiken“, das sich an die Unternehmensleitung richtet. Es bietet einen Überblick sowie Handlungsempfehlungen zum Umgang mit und zur Bewertung von Cyber-Risiken und basiert auf dem „Cyber Risk Oversight Handbook“, das von der US-amerikanischen Internet Security Alliance (ISA) im Auftrag der National Association of Corporate Directors (NACD) entwickelt wurde. Darin werden sechs grundlegende Prinzipien formuliert, die Vorstände sowie Aufsichtsrätinnen und Aufsichtsräte bei der Betrachtung von Cyber-Risiken unterstützen. Um das alles ja niedrigschwellig zu kommunizieren, hat das BSI zu diesen sechs Prinzipien auf seiner Webseite auch Filmchen und sogar einen OnePager hinterlegt. Hoffentlich hilft´s! Zudem wird explizit erwähnt, dass die Inhalte des Handbuchs und der Toolbox nicht ausschließlich für börsennotierte Unternehmen relevant seien. Auch mittelständische Unternehmen und andere Organisationen, wie Vereine, Kammern etc. können die dargestellten Grundprinzipien als Leitfaden für die Bewertung von Cyber-Risiken und für den verantwortungsvollen Umgang mit diesen nutzen. Immerhin gibt für lokale Global Player alles auch in Englisch. Es soll ja auch Hierarchien geben, die bei jeder Wissensvermittlung auch eine App erwarten.
1.24 noyb: Beschwerde wegen Microtargeting gegen Parteien
Nein, noch keine Entscheidung einer Datenschutzaufsicht, aber bei der Erfolgsquote bei Beschwerden wird es nur eine Frage der Zeit sein, bis wir hier ein Ergebnis dazu lesen. Die Beschwerde bezieht sich laut noyb auf Erkenntnisse, die durch Datenauswertungen gewonnen wurden. Demnach hätten die politische Parteien AFD, Bündnis 90/Die Grünen, CDU, Die Linke, Ökologische-Demokratische Partei sowie die SPD zur Wähleransprache ein Microtargetingangebot von Facebook genutzt. Dabei seien politische Präferenzen analysiert und verarbeitet worden, ohne dass dazu eine Befugnis aus Art. 9 Abs. 2 DS-GVO vorgelegen habe.
1.25 Italienische Datenschutzaufsicht Garante sperrt ChatGPT aus Datenschutzgründen
Die italienische Datenschutzaufsicht Garante sperrt ChatGPT aus Datenschutzgründen. Als Begründung gibt sie eine fehlende Altersverifikation an (zur grundsätzlichen Frage der Altersverifikation sehen Sie auch unter 1.16).
Den nachfolgenden Text habe ich (kurioserweise) mit deepl übersetzt.
Künstliche Intelligenz: Garante blockiert ChatGPT
Unerlaubte Sammlung personenbezogener Daten. Fehlende Altersverifikationssysteme für Minderjährige.
ChatGPT muss gestoppt werden, bis es die Datenschutzbestimmungen einhält. Die italienische Datenschutzbehörde hat mit sofortiger Wirkung die vorläufige Einschränkung der Verarbeitung der Daten italienischer Nutzer gegenüber OpenAI, dem US-Unternehmen, das die Plattform entwickelt und verwaltet, angeordnet. Gleichzeitig hat die Behörde eine Untersuchung eingeleitet.
Bei ChatGPT, der bekanntesten relationalen Software für künstliche Intelligenz, die in der Lage ist, menschliche Unterhaltungen zu simulieren und zu verarbeiten, war es am 20. März zu einem Datenverlust (Datenschutzverletzung) gekommen, der die Unterhaltungen der Nutzer und Informationen über die Bezahlung der Abonnenten des kostenpflichtigen Dienstes betraf.
In der Maßnahme stellt der Datenschutzgarant fest, dass die Nutzer und alle Betroffenen, deren Daten von OpenAI gesammelt werden, nicht informiert wurden, vor allem aber, dass es keine Rechtsgrundlage gibt, die die massive Sammlung und Speicherung personenbezogener Daten zum Zwecke des „Trainings“ der Algorithmen, die dem Betrieb der Plattform zugrunde liegen, rechtfertigt.
Wie die durchgeführten Überprüfungen gezeigt haben, stimmen die von ChatGPT bereitgestellten Informationen zudem nicht immer mit den tatsächlichen Daten überein, was zu einer ungenauen Verarbeitung personenbezogener Daten führt.
Obwohl sich der Dienst laut den von OpenAI veröffentlichten Bedingungen an Personen über 13 Jahren richtet, weist die Behörde darauf hin, dass das Fehlen eines Filters zur Überprüfung des Alters der Nutzer dazu führt, dass Minderjährige Antworten erhalten, die für ihren Entwicklungsstand und ihr Selbstbewusstsein völlig ungeeignet sind.
OpenAI, das keine Niederlassung in der Union hat, aber einen Vertreter im Europäischen Wirtschaftsraum benannt hat, muss innerhalb von 20 Tagen die Maßnahmen mitteilen, die es ergriffen hat, um der Aufforderung der Garante nachzukommen, unter Androhung einer Geldstrafe von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes.
Franks Nachtrag: Apropos ChatGPT…
2 Rechtsprechung
2.1 EuGH: Beschäftigungsdatenschutz in Deutschland
Eigentlich ging es in dem Verfahren vor dem EuGH C-34/21 „nur“ um eine Regelung aus dem Hessischen Datenschutzgesetz zu Datenschutz zu Beschäftigten des Landes Hessen (§ 23 HDSiG). Weil dieser Paragraf aber in relevanten Passagen wortgleich mit § 26 BDSG gestaltet ist, hat die Bewertung des EuGH Bedeutung über Hessen hinaus. Der EuGH stellt fest, dass ein Videokonferenz-Livestream des öffentlichen Schulunterrichts unter die DS-GVO fällt. Ob eine nationale Reglung nun eine spezifischere Vorschrift gemäß Art. 88 DS-GVO sei, müsse durch das vorzulegende Gericht geprüft werden. Die Anforderungen daran werden jedenfalls eben nicht nur durch Wiederholen der Vorgaben der DS-GVO erfüllt. Der EuGH sieht hier im konkreten Fall eher Zweifel. Schließt sich das VG Wiesbaden dem an, dann müssten die allgemeinen Vorgaben der DS-GVO (wie Art. 6 Abs. 1 lit. b und lit. c) herangezogen werden. Die Pressemeldung dazu lesen Sie hier. Die DSK wird sich sicher auch noch dazu äußern, hatte es aber scheinbar nicht geschafft „schon was vorbereitet“ zu haben.
Im Übrigen ist noch eine weitere Vorlageanfrage beim EuGH anhängig (C-65/23), bei der es auch um das deutsche Beschäftigtendatenschutzgesetz (§ 26 Abs. 4 BDSG) geht und die Frage, inwieweit bei Kollektivvereinbarungen von anderen Vorschriften der DS-GVO, (wie den Anforderungen an eine Rechtmäßigkeitsgrundlage) abgewichen werden darf.
2.2 BVerfG: Vorratsdatenspeicherung rechtswidrig
Hier muss man etwas ums Eck denken. Das BVerfG hat Verfassungsbeschwerden gegen die deutsche Gestaltung einer Vorratsdatenspeicherung abgelehnt. Diese sah in Regelungen des Telekommunikationsgesetzes und der Strafprozessordnung eine anlasslose Speicherung von Verkehrs- und Standortdaten auf Vorrat (sogenannte anlasslose Vorratsdatenspeicherung) vor. Trotzdem sehen dies die Kläger als Erfolg. Der scheinbare Widerspruch löst sich durch die Begründung auf. Das BVerfG sieht das Erfordernis eines Rechtschutzbedürfnisses nicht als erfüllt an, weil der EuGH eine gesetzliche Pflicht von Telekommunikationsdienstleistern in Deutschland zur anlasslosen Vorratsdatenspeicherung bereits 2022 für unionsrechtswidrig erklärte (EuGH C-793/19 und C-794/19). Beschwerdeführer seien grundsätzlich angehalten ihre Verfassungsbeschwerden bei entscheidungserheblicher Veränderung der Sach- und Rechtslage aktuell zu halten und die Beschwerdebegründung gegebenenfalls auch nachträglich zu ergänzen. Sie träfe eine Begründungslast für das (Fort-)Bestehen der Annahme- und Zulässigkeitsvoraussetzungen. Diesem seien die Beschwerdeführer nach dem o.g. Urteil des EuGH nicht nachgekommen. Grundsätzlich gebe es für eine Überprüfung einer nationalen Norm im Rahmen einer Verfassungsbeschwerde kein Bedürfnis, wenn schon feststeht, dass die Norm dem Unionsrecht widerspricht und deshalb innerstaatlich nicht angewendet werden darf.
2.3 OLG Frankfurt: Erfordernis einer Speicherung trotz Forderungstilgung
Wieder einmal geht es um die Speicherungen von Informationen durch eine Wirtschaftsauskunftei. Das OLG Frankfurt urteilt, dass die Notwendigkeit einer Speicherung von Daten in einer Wirtschaftsauskunftei nicht allein deswegen entfällt, weil die Forderung zwischenzeitlich getilgt worden ist und ein entsprechender Eintrag in das Schuldnerverzeichnis nach § 882e ZPO zu löschen wäre, wenn die Begleichung der Forderung nachgewiesen wird.
Was war passiert? Die Klägerin begehrt gegenüber einer beklagten Wirtschaftsauskunftei die Löschung eines Eintrags aus dem von ihr geführten Register sowie zudem in der Berufungsinstanz die Verurteilung der Beklagten zur Zahlung eines Schmerzensgeldes. Es ging um eine rückständige Zahlung für eine Versicherung in Höhe von ca. 1.060 Euro, die dann nach einem Verfahren auch gezahlt wurde.
Das OLG lehnte beides ab, die Wirtschaftsauskunftei hätte eine Grundlage für die weitere Speicherung aus Art. 6 Abs. 1 lit. f DS-GVO. Unter Beachtung dieser Umstände sei ein Überwiegen berechtigter Interessen der Klägerin nicht ersichtlich. Der Umstand, dass der Inhaber der Klägerin durch Vollstreckungsbescheid zu einer Zahlung verurteilt wurde, hat einen unmittelbaren Bezug zu ihrer Zahlungsfähigkeit und/ oder Zahlungsunwilligkeit. Die Klägerin verlangt so gestellt zu werden wie eine Person, gegen die niemals eine Forderung tituliert wurde. Auf diese Weise aber würde der – unzutreffende – Eindruck erweckt, dass über die Klägerin und ihren Inhaber keine Erkenntnisse über Unzuverlässigkeiten bei der Begleichung von Forderungen vorlägen. Darauf habe sie keinen Anspruch. Der Umstand, dass die titulierte Forderung aus Sicht der Klägerin gering war, habe keine Auswirkung auf die Rechtmäßigkeit der Verarbeitung durch die Beklagte. Denn das Vorliegen einer zunächst nicht erfüllten Forderung und eines darauf bezogenen Titels ließen unabhängig von ihrer Höhe Rückschlüsse auf Zahlungsfähigkeit, aber auch Zahlungswilligkeit des Schuldners zu und seien von erheblicher Bedeutung für das Kreditsicherungssystem.
Die weitere Speicherung sei auch nicht unverhältnismäßig und erfülle weiterhin eine zulässige Warnfunktion. Eine vollständige Löschung wegen fehlender Notwendigkeit nach Art. 17 Abs. 1 lit. a DS-GVO könne die Klägerin danach nicht verlangen. Danach sei erforderlich, dass die betroffene Person gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung eingelegt hat und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Der Widerspruch diene als Korrektur, indem er eine rechtmäßige Datenverarbeitung ausnahmsweise unterbindet. Um die Wertung des Art. 6 Abs. 1 lit. f DSGVO nicht auszuhöhlen, müsse eine atypische Situation rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur vorliegen. Es müssten konkrete Umstände des Einzelfalls eine besondere Schutzwürdigkeit des Betroffenen begründen. Solche Gründe habe die Klägerin nicht dargetan. Der von ihr angeführte Umstand, dass Schwierigkeiten bei Finanzierung ihrer Vorhaben zu erwarten seien, sei nicht Folge einer besonderen atypischen Situation, sondern vielmehr typische Folge einer Bonitätsauskunft. Weitere Umstände, die eine atypische Situation begründen könnten, sind nicht ersichtlich.
Das Urteil ist noch nicht rechtskräftig, Revision ist zugelassen (BGH, VI ZR 32/23).
2.4 LArbG Nürnberg: Kein Schadenersatzanspruch bei unzureichender Auskunft
Die erste Instanz sah das noch anders: Hier gab es mit der Begründung, Verstöße müssten effektiv sanktioniert werden und der Schadensersatz solle eine abschreckende Wirkung haben, um der DS-GVO zum Durchbruch zu verhelfen, noch immateriellen Schadenersatz (damals 4.000 Euro). Das LArbG Nürnberg lehnt dies jedoch ab und schließt sich der Meinung an, dass der Schadensersatzanspruch aus Art. 82 DS-GVO auf Verstöße gegen eine rechtswidrige Datenverarbeitung i.S.v. Art. 4 Nr. 2 DS-GVO begrenzt sei und verspätete, falsche oder gar gänzlich unterbliebene Auskünfte an eine Person gem. Art. 15 Abs. 1 DS-GVO somit nicht haftungsauslösend sind.
2.5 Vergabekammer München: Pauschaler Verweis auf Bedenken beim Datenschutz unzulässig
Reicht es aus, dass in einem Vergabeverfahren pauschal auf datenschutzrechtliche Risiken bei der Vergabe an einen Mitbewerber hingewiesen wird, um die Vergabe an ihn zu beeinflussen? Nein, so der Beschluss der Vergabekammer Südbayern. Der öffentliche Auftraggeber müsse alle Umstände im Einzelfall prüfen. Eine schöne Besprechung des Falles lesen Sie hier.
2.6 Österreich BVwG: Verweigerung der Auskunft der Standortdaten durch Mobilfunkanbieter
Umfasst mein Anspruch auf Auskunft nach Art. 15 DS-GVO gegenüber meinem Mobilfunkbetreiber auch die Standortdaten des Gerätes mit der Sim-Karte, die auf mich gebucht ist? Wer dies spontan bejahen will, sollte sich die Entscheidung des BVwG in Österreich durchlesen. Zwar bejaht es (ab Ziffer 4.2.6.1 ff) dass es sich dabei um personenbezogene Daten handelt, aber ab 4.2.7.1 ff führt es aus, dass ja nicht ausgeschlossen sei, dass auch jemand anders das Smartphone nutze und es sich dann nicht um die Daten der auskunftsbegehrenden Person handele. Also müsse demnach nachgewiesen werden, dass das Smartphone nie aus der Hand gegeben worden sei. Auch eine eidesstaatliche Erklärung helfe hier nicht weiter. Im Ergebnis ginge damit wohl jeder Auskunftsanspruch ins Leere, bei dem das auskunftsbezogene Objekt nicht unmittelbar mit einer Person verbunden ist. Die Entscheidung ist nicht rechtskräftig, der Kläger wird durch noyb unterstützt, das auch hier dazu berichtet.
2.7 DSG EKD: Anwendbarkeit kirchlichen Datenschutzrechts?
Von der Möglichkeit, sich als Religionsgemeinschaft ein eigenes Datenschutzrecht zu geben, hatte ich schon berichtet. Erforderlich ist dazu die Beachtung der Vorgaben des Art. 91 DS-GVO. Bei einigen der mir bekannten Regelwerke hätte ich da meine Bedenken. Überrascht hat mich dennoch, dass dies teilweise auch die Gerichtsbarkeit der evangelischen Kirche im eigenen Fall so sieht (Kirchengerichtshof, Verwaltungssenat, Urteil vom 9. September 2022, Az. 0135/4-2020 – nicht veröffentlicht), wie hier berichtet wird. Art. 91 Abs. 1 DS-GVO verlange, dass das kirchliche Datenschutzrecht „in Einklang“ mit der DS-GVO gebracht würde und dies sei im Fall des „Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland“ (DSG-EKD) nicht in allen Punkten erfolgt. Was folgt nun daraus? Wie aus dem Bericht im „Ausblick“ hervorgeht, hat sich das Gericht aufgrund der abgelaufenen Amtszeit nun zum Jahresbeginn neu gebildet. Vielleicht werden diese Ansichten aber auch bei einer Evaluierung berücksichtigt und die Anzahl eigenwilliger Interpretationen reduziert sich dadurch. Allerdings scheint nach einer Aktualisierung zu der Thematik die Kritik sich mehr an dem Urteil als an der unzureichenden Umsetzung der Vorgaben des Art. 91 zu konzentrieren.
2.8 Europäischer Gerichtshof für Menschenrechte: Factsheets
Auf den Seiten des Europäischen Gerichtshof für Menschenrechte (EGMR) finden sich verschiedene Factsheets zu den unterschiedlichsten Themenstellungen, mit denen sich der Gerichtshof zu befassen hat. Bei „Private Life“ finden sich u.a. jeweils ein Factsheet zu „Protection of personal data“ (Stand März 2023), „Surveillance at workplace“ (Stand Dezember 2022), „Legal professional privilege“ (Stand November 2021) und „Mass surveillance“ (Stand September 2022). Die Factsheets beinhalten aus Sicht des EGMR relevante Urteile, beanspruchen aber keine Vollständigkeit und keine Bindungswirkung für künftige Entscheidungen. Aber wer beansprucht das schon.
3 Gesetzgebung
3.1 EU Kommission: Consumer Conditions Scoreboard
Die Europäische Kommission hat ihren Verbraucherzustandsanzeiger (Consumer Conditions Scoreboard) für 2023 veröffentlicht. Diesem ist im Kapitel über Digital Fairness zu entnehmen, dass Verbraucher online häufig mit unlauteren Praktiken konfrontiert sind. So seien beispielsweise 69 % der Verbraucher auf Bewertungen gestoßen, die nicht echt zu sein schienen. Etwa 94 % machen sich Sorgen um ihre Privatsphäre im Zusammenhang mit gezielter Werbung. Eine parallel zum Anzeiger veröffentlichte Studie zeigt außerdem, dass nur 38 % der Verbraucher wissen, dass vernetzte Fahrzeuge personenbezogene Daten sammeln, und noch weniger wissen, wie diese Daten verwendet werden (31 %). Ein weiteres Thema ist die hohe Häufigkeit von sogenannten Dark Patterns. Eine Untersuchung der nationalen Verbraucherschutzbehörden aus dem Jahr 2022 ergab, dass 37 % der Websites potenziell gegen die Richtlinie über unlautere Geschäftspraktiken verstoßen, weil sie manipulative Praktiken anwenden (Dark Pattern). Es finden sich aber auch Aussagen, dass etwa 56 % der Verbraucher angaben, dass sie sich beim Kauf von Waren und Dienstleistungen in gewissem Maße von Umweltaspekten beeinflussen lassen, während 43 % dies überhaupt nicht tun, was dem Stand von 2020 entspräche. Gleichzeitig erklären 56 % der Verbraucher, dass sie der Zuverlässigkeit von Umweltaussagen vertrauen, 5 Prozentpunkte weniger als noch vor zwei Jahren.
3.2 Digitalplan Bayern
Selbst im Jahr einer Landtagswahl bleibt der Planungsstand der Digitalisierung in Bayern nicht stehen. Zumindest lesen sich die Vorhaben der Bayerischen Staatsministerin für Digitales im Digitalplan ambitioniert – auch gemessen am bisherigen Stand. In Bayern sind die Firmenzentralen vieler Unternehmen angesiedelt, Global Player und Start-ups gründen hier derzeit verstärkt Europa-Niederlassungen oder verlagern ihren Sitz aus Großbritannien in den Freistaat. Die Attraktivität des Wirtschaftsstandorts Bayern sei weltweit anerkannt und ziehe große Unternehmen ebenso an wie innovative Gründer. Gleichwohl sähen viele Unternehmen im Datenschutzregime der DS-GVO ein Innovationshindernis und zögern Daten zu nutzen, weil sie rechtliche Risiken kaum abschätzen könnten. Obwohl die DS-GVO EU-weit einheitliche Standards etabliert habe, bestünden oft Unklarheiten oder Unsicherheiten bei der Rechtsauslegung, für die das Landesamt für Datenschutzaufsicht bereits heute ein Beratungsangebot zur Verfügung stelle.
Laut dem Digitalplan gehen Datenschutz und Datennutzung in Bayern Hand in Hand. Die Bayerische Staatsregierung sieht den Datenschutz als konstruktiven Partner und wichtige Leitplanke des digitalen Wandels. Daher will sie Rechtsunsicherheiten beim Umgang mit personenbezogenen Daten abbauen. Um innovative Datennutzung zu ermöglichen und dadurch neue Geschäftsmodelle zu fördern, wird das BayLDA weiter zu einem Kompetenzzentrum für den Datenschutz ausgebaut. Die Beratungsfunktion des BayLDA insbesondere für KMUs, Start-ups, Vereine und ehrenamtlich Tätige werde weiterhin einen wichtigen Stützpfeiler bilden, während das BayLDA gleichzeitig zügig neue Instrumente wie Zertifizierungen, Verhaltensregeln (Codes of Conduct) oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) für in Bayern ansässige Unternehmen genehmigen können soll. Zudem soll es mit den nötigen personellen Ressourcen ausgestattet werden, um wichtige Weichenstellungen auf EU-Ebene im Sinne Bayerns mitzugestalten. Es würden Rechtssicherheit und schnelle, verbindliche Informationen gewährleistet – echte Standortvorteile im internationalen Wettbewerb. Mit zügigen Kohärenzverfahren zur einheitlichen Auslegung der DS-GVO setzen wir (bezieht sich wohl auf die Bayerische Staatsregierung) bundes- und europaweit Maßstäbe.
Auch wenn der 1. April vor der Tür steht, ist dies tatsächlich ein Auszug aus dem Digitalplan. Nicht entnehmen konnte ich dem Digitalplan, warum trotz der ambitionierten Ankündigung im Entwurf des Haushaltsplans für 2023 (Seite 376) keine weiteren Stellen zugunsten des BayLDA ersichtlich sind. Es ist auch nicht ausgewiesen, ob der Digitalplan durch ChatGPT verfasst wurde – das wäre zumindest eine Erklärung.
3.3 Hinweisgeberschutzgesetz – Hängepartie
Noch immer ist das Hinweisgeberschutzgesetz nicht beschlossen. Zwischenzeitlich wurde das Gesetz aufgeteilt in einen Teil, der durch den Bundestag ohne Zustimmung des Bundesrates beschlossen werden sollte und einen Teil, mit dem dann die zustimmungspflichtigen Regelungen auch dem Bundesrat schmackhaft gemacht werden sollten. Gegen diese Vorgehensweise gab es allerdings rechtstaatliche Bedenken und das Risiko, dass durch eine weitere inhaltliche Überprüfung des Verfahrens durch das Bundesverfassungsgericht keine baldige Rechtssicherheit eintritt. Nun fand doch keine 2./3. Lesung im Bundestag statt, sondern dieses Verfahren wurde wieder von der Tagesordnung des Bundestages genommen, wohl in der Hoffnung nun doch noch eine Einigung innerhalb des Bundestages zu allen Regelungen zu treffen.
4 Künstliche Intelligenz und Ethik
4.1 Deutscher Ethikrat zu den Herausforderungen durch Künstliche Intelligenz
Der Deutsche Ethikrat hat seine Stellungnahme zum Thema „Mensch und Maschine – Herausforderungen durch Künstliche Intelligenz“ veröffentlicht*. Neben technischen und philosophischen Grundlegungen (ich hätte hier Grundlagen geschrieben, will ja aber richtig zitieren), befassen sich die Ethikrät:innen auf 287 Seiten mit ausgewählten Anwendungen und sektorspezifischen Empfehlungen bis hin zur Querschnittsthemen und übergreifenden Empfehlungen. Wer sich auf die Zusammenfassung beschränken will (oder muss) darf sich auf 47 Seiten freuen.
Und weil der Ethikrat auch bei der Frage der Nutzung von Gesundheitsdaten eingebunden ist, hier noch der Hinweis auf einen Beitrag über eine Veranstaltung, bei dem die Vorsitzende des Deutschen Ethikrates eine Lanze für den Datenschutz bricht.
* Franks Anmerkung: Erster. Aber ich zitierte mich gerne.
4.2 Microsoft und KI und Ethik und überhaupt…
Microsoft freut sich, dass es seine KI für den Alltag auf den Markt bringt und z.B. in seiner Suchmaschine Bing oder als Unterstützung als Co-Pilot anbietet. Irritierend finde ich dazu parallele Meldungen, dass Microsoft seine Anstrengungen zu einem ethischen Umgang mit der dadurch entstehenden Verantwortung reduziert. Gerade auch weil Hinweise zu denkbaren Risiken vermehrt veröffentlicht werden.
Und aus den USA kommt der Aufruf von Persönlichkeiten der Wissenschaft und Wirtschaft, bei der Entwicklung der AI doch auch mal eine Pause zu machen. Und wie es im Internet nun mal so ist: Es gibt auch Hinweise und Bedenken, ob da alles bei diesem Aufruf mit rechten Dingen zu geht.
Es könnte aber gemäß diesem Vorschlag die Zeit genutzt werden die bestehenden KI-Anwendungen nach der ISO/IEC/IEEE 24748-7000:2022 zu auditieren.
Franks Nachtrag: Vielleicht gibt es kein „zu vorsichtig“ im Zusammenhang mit KI wie ChatGPT?
4.3 Podcast zu ChatGPT
Ein munteres Trio aus Wissenschaft und Politik bzw. aus beidem unterhält sich hier in diesem Podcast über 53 Minuten zur europäischen Datenstrategie und den dazu angedachten und bereits beschlossenen Regelwerken. Es geht um den Stand zur KI-Verordnung, ChatGPT, aber auch um die DS-GVO und die Zukunft der ePrivacy-VO.
5 Veröffentlichungen
5.1 Anonymisierungsstandard: ISO 27559:2022
Hier fand ich einen Hinweis auf einen neuen Standard ISO/IEC 27559:2022, der sich mit Anforderungen an eine Anonymisierung befasst. Fast schon passend dazu ein Papier aus dem Jahr 2019, ob Anonymisierung angesichts der technischen Möglichkeiten überhaupt noch ausreichend sei, um die Privatsphäre zu schützen.
5.2 Scoring: Bewertungen zu den Schlussanträgen des Generalanwalts
Kaum waren die Schlussanträge in den Verfahren C-634/21 mit der Schufa beim EuGH veröffentlicht, gab es die ersten Meldungen zum „Ende der Auskunfteien“. Hier finden sich zwei Veröffentlichungen, die die Aussagen des Generalanwalts einordnen und Interpretationen aufzeigen. Art. 22 der DS-GVO käme eben nur dann zur Anwendung, wenn eine benachteiligende Entscheidung unmittelbar auf einer automatisierten Berechnung beruhe. Eine automatisierte Entscheidungsfindung dürfe genutzt werden, wenn die Entscheidung „für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist“. Aber die Schlussanträge sind noch nicht das Urteil des EuGH, auch wenn statistisch gesehen die Begründungen des Generalanwalts meist Eingang in die Urteile des EuGH finden
5.3 Verkürzung der Speicherfristen von Privatinsolvenzen
Schau an – es liegt zwar noch kein Urteil des EuGH vor, aber eine beteiligte Auskunftei ändert nach diesem Bericht die Speicherfristen, wie aus den Schlussanträgen des Generalanwalts nahegelegt auf die Dauer der gesetzlichen Veröffentlichungszeitraum.
5.4 Veranstaltungen
5.4.1 BigBrotherAwards 2023
29.04.2023, ab 18:00 Uhr (Bielefeld und online): Zweifelhafte Geschäftsmodelle, Politikerinnen im Überwachungswahn oder schnüffelnde Arbeitgeber – die BigBrotherAwards gehen auch in diesem Jahr wieder an die wahnwitzigsten und skrupellosesten Datenkraken in Wirtschaft und Politik. Teilnahme vor Ort (üblicherweise) kostenpflichtig, Streaming aber kostenlos, hier finden Sie Informationen zum Ticketkauf.
In diesem Blog-Beitrag gibt es keine weiteren aktuellen Veranstaltungshinweise, der Hinweis auf den letzten Blog-Beitrag sei aber erlaubt.
6 Gesellschaftspolitische Diskussionen
6.1 Meta ändert Rechtsgrundlage für Werbung
Wie das NGO noyb berichtet, ändert der Konzern Meta für seine Produkte Facebook und Instagram die Angaben der Rechtsgrundlage für die Verarbeitung der Nutzerdaten zu Werbezwecken, um dadurch personalisierte Werbe zuspielen zu können. Statt sich wie bisher auf Vertragsdurchführung (Art. 6 Abs. 1 lit. b DS-GVO) zu berufen, zieht er nun Art. 6 Abs. 1 lit. f DS-GVO heran – Wahrung berechtigter Interessen. Aufgrund von Beschwerden u.a. von noyb hat der EDSA im Dezember 2022 gegen Facebook ein erhebliches Bußgeld deswegen beschlossen und über die irische Datenschutzaufsicht verhängen lassen. Auch wenn diese Entscheidungen und das Verfahren nun auch vor dem EuGH gelandet sind (T-129/23, T-128/23 und T-682/22) scheint Facebook nun auch einen anderen Weg zu suchen sein Geschäftsmodell zu betreiben. Dem Bericht zufolge werde dabei ein Opt-Out-Modell gewählt, d.h. Nutzer müssen aktiv widersprechen, während bei einer Opt-In-Methode die Nutzer aktiv zustimmen und damit ihre Einwilligung dokumentieren müssten.
noyb kündigt in seiner Meldung an Meta auch dabei zu „begleiten“.
7 Sonstiges/Blick über den Tellerrand
Im nächsten Blog-Beitrag gibt es bestimmt wieder einen Blick über den Tellerrand…
8. Franks Zugabe
8.1 Apropos ChatGPT
Heute mal nur eine Meldung, dafür geht es aber um den Geldgeber (den mit den vielen Ethik-Teams…). Wobei ich ehrlich gesagt gar nicht so genau verstehe, worum es hierbei genau geht. Aber es wird hier gewohnt spitz kommentiert.
8.2 Apropos HmbBfDI
Seine Einschätzung mag zutreffend sein, zufriedenstellend ist sie (zumindest für mich) auf jeden Fall nicht…
8.3 The Security Vulnerabilities of Message Interoperability
In der Meldung werden Quellen zitiert, die darstellen, wie Forderungen des Digital Markets Act die Verschlüsselung in den zur Interoperabilität verpflichteten Messengern wahrscheinlich schwächen werden. Gut gemeint ist nicht gut gemacht, irgend jemand?
8.4 Wie ein Gesetz zur Vorratsdatenspeicherung auch „sterben“ kann
… hat nach dieser Meldung Irland durchexerziert. Sie haben einfach dafür gesorgt, dass die EU Kommission ihr Gesetz als unanwendbar und undurchsetzbar einstuft. Und wenn die EU Kommission ein Mitspracherecht hat… (siehe TRIS).
Wobei ich ja denke, egal wie, Hauptsache nicht angewendet…
8.5 Schlüsselmanagement, heute: So besser nicht…
Bei GitHub war der private SSH-Schlüssel öffentlich einsehbar. Ups. Vielleicht hätten die dafür Verantwortlichen bei GitHub das GitHub Secure Code Game spielen sollen, so zur Sensibilisierung?
8.6 Podcast zur Arbeit der Staatsanwaltschaft
In diesen Video-Podcast (YouTube, ca. 1 Std.), der im Rahmen der secIT aufgenommen wurde, wird der leitenden Oberstaatsanwalt und Leiter der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW), Markus Hartmann, interviewt. Ich fand das durchaus informativ. Hier die begleitende Meldung.
8.7 Was alles so gehackt wird, heute: Hühnerställe
Wer hätte das erwartet? Und dieses Hacking scheint durchaus folgenreich zu sein.
8.8 Was alles so gehackt wird, heute: Das Münchner Helmholtz-Zentrum
Am schrägsten an dieser Meldung finde ich, dass, obwohl es um einen Totalausfall der Kommunikationsmöglichkeiten des Münchner Helmholtz-Zentrums gehen sollte, versucht wurde besagtes Zentrum per Mail oder Telefon zu erreichen. Was erwarten die denn, wenn so etwas ausfällt, wie sehr die dann erreichbar sind?
8.9 Altersverifikation und KI?
Das hört sich ja an wie ein Match made in Heaven. Außer für die, die davon betroffenen sind. Es geht übrigens im Bericht auch um pr0n. Falls Sie das hier auf Arbeit lesen.
8.10 FAQ für Schulen
Wie der Titel schon sagt, eine FAQ für Schulen. Von Digitalcourage, genauer gesagt von deren AG Pädagogik, die einen Frage-Antwort-Katalog zu Datenschutz und Mediennutzung an Schulen zusammengestellt hat. Anschauen und aufschlauen, sag ich da nur…
Schließlich hilft starke Nutzung von sozialen Medien Jugendlichen nicht ihre digitalen Kompetenzen zu verbessern, so diese Quelle.
9. Die gute Nachricht zum Schluss
9.1 Nicht immer ist der Ahnungslose auch der Dumme
Nicht jammern – machen. Dementsprechend finden sich hier bei der GI passende Vorschläge wie z.B. durch mehr anlasslose Kontrollen durch Aufsichtsbehörden der Schutz von Verbrauchern vorangetrieben werden könnte. Es wird sich aber nicht damit begnügt nur auf andere zu verweisen.
Interessant fand ich dabei den Hinweis, dass Aufklärung auch schaden könne und informierte bzw. geschulte Menschen unter Umständen öfter Fehler machten. So stellte sich in einer im Jahr 2019 veröffentlichten Studie heraus, dass Haushalte, in denen Firefox, Antiviren-Software und ein Passwort-Manager zum Einsatz kamen, öfter von Schadsoftware infiziert waren als andere – und eine groß angelegte Studie zur Effektivität von Phishing-Trainings hätte ergeben, dass diejenigen Mitarbeitenden, die ein Phishing-Training durchlaufen hatten, öfter auf Phishing-Links klickten. Es gibt sogar Hinweise dafür, dass Verbraucherinnen und Verbraucher völlig rational handeln, wenn sie Sicherheitsempfehlungen ignorieren. Also: Ahnungslose Menschen sind nicht ganz chancenlos in der digitalen Welt.