Ausgabe 84 (KW 14-16/2024)

1.1 EDPS: Tätigkeitsbericht für 2023

Der europäische Datenschutzbeauftragte hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Er ergänzt ihn durch eine veröffentlichte Zusammenfassung.

1.2 CSC: Wahl des 2. Stellvertreters für die koordinierte Aufsicht auf europäischer Ebene

Der Ausschuss für die koordinierte Aufsicht (Coordinated Supervision Committee – CSC) hat Matej Sironic von der slowenischen Datenschutzbehörde für eine Amtszeit von zwei Jahren zum stellvertretenden Koordinator gewählt. Er wird der zweite stellvertretende Koordinator sein, den ersten stellt der BfDI. Zusammen mit der CSC-Koordinatorin werden sie die Arbeit des Ausschusses leiten.
Der CSC gewährleistet die koordinierte Aufsicht über die großen EU-Informationssysteme und die Einrichtungen, Ämter und Agenturen der EU (Art. 62 der Verordnung (EU) 2018/1725). Er wurde im Rahmen des EDSA eingerichtet und bringt die EU-Datenschutzbehörden (DPAs) und den EDSB sowie die Datenschutzbehörden der Nicht-EU-Schengen-Mitgliedstaaten zusammen, sofern dies im EU-Recht vorgesehen ist.

1.3 Österreich: Tätigkeitsbericht für 2023

Die Datenschutzbehörde (DSB) Österreich hat ihren Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Neben Angaben zu Verfahrensfragen enthält der Bericht auch statistische Informationen. Ausgewählte Individualbeschwerden werden auch berichtet, freundlicherweise auch mit einer Angabe, ob das Verfahren rechtskräftig abgeschlossen ist oder nicht.

1.4 Finnland: Keine Pflicht zu Kundenkonto

Kann ich als Online-Händler verpflichtet werden meine Waren auch Personen anzubieten, die kein Kundenkonto einrichten möchten? Das Thema ist auch bei uns umstritten, in Finnland gibt es in so einem Fall auch mal 856.000 Euro Bußgeld, zumal auch keine Angabe zu der Speicherdauer erfolgte. Die Entscheidung ist noch nicht rechtskräftig.

1.5 CNIL: Bußgeld für Verwendung unerlaubter Werbedaten

Die französische Aufsicht verhängt 525.000 Euro Bußgeld gegen ein Unternehmen, das Daten eines Werbedienstleisters verwendete, und damit gegen die gesetzliche Wettbewerbsvorgaben und die DS-GVO (Art. 6 und Art. 14) verstieß. Der Anteil des Bußgelds für die Verstöße gegen die DS-GVO beträgt 325.000 Euro.

1.6 BSI: Hinweise zum Verhalten bei Phishing-Angriffen

Wie erkenne ich Phishing-Angriffe und wie kann ich mich verhalten, wenn ich erpresst werde? Dazu gibt das BSI Tipps, die Sie hier finden.

1.7 CNIL: Resümee zu fünf Jahren DS-GVO

Die französische Datenschutzaufsicht blickt auf fünf Jahre DS-GVO zurück und fokussiert sich dabei auf die wirtschaftlichen Auswirkungen. Dabei stellt sie fest, dass sich die Bewertungen meist auf die Kosten der Umsetzung der DS-GVO beschränken ohne die Vorteile für die Unternehmen hinsichtlich der Compliance zu berücksichtigen. Insbesondere Unternehmen, die in mehreren europäischen Ländern aktiv sind, profitierten von einer einheitlichen rechtlichen Grundlage. Aus den Studien zieht die CNIL den Schluss, dass große Unternehmen von der DS-GVO eher profitieren, weil ihnen regelmäßig deutlich mehr Ressourcen zur Umsetzung der weitgehend gleichen Anforderungen zur Verfügung stünden. Gleichzeitig ginge von größeren Unternehmen regelmäßig ein höheres Risiko aus, ohne dass sie bislang verstärkt geprüft würden. Daher plant die CNIL künftig gezielt große und sehr große Unternehmen bei ihren Prüfungen in den Fokus nehmen.
Im Rahmen ihrer Darstellung der ersten fünf Jahre veröffentlichte die CNIL auch eine Zusammenfassung der Datenschutzverletzungen mit vielen Grafiken.

1.8 CNIL: Grundlagen zu KI

Die CNIL hat ihre Empfehlungen bei der Entwicklung eines KI-Systems veröffentlicht, bisher allerdings nur in Französisch. Ergänzt wird dies durch Karteikarten zu Einzelthemen und eine Zusammenfassung der Empfehlungen.
Das ergänzt gut die Informationen des LfDI Baden-Württemberg, der ICO zur Zweckbindung oder zum Training von KI oder der belgischen Aufsicht zum Training von KI, die Sie schon aus dem Blog kennen oder auch die Seiten des BayLDA zu KI, die Diskussionsgrundlagen des LfDI Baden-Württemberg oder die Checkliste zum Einsatz von Chatbots aus Hamburg.

1.9 Spanien: Bußgeld aufgrund Datenabzug nach Cyberangriff

Die spanische Datenschutzbehörde aepd verhängt ein Bußgeld in Höhe von 3,5 Mio. Euro gegen ein Unternehmen aus dem Energiesektor, nachdem bei diesem bei einem Cyberangriff auf eine Datenbank aufgrund fehlender Maßnahmen 1,35 Millionen Kundendaten gestohlen wurden. Cyberkriminelle hatten sich über eine Webanwendung Zugang zu den internen Systemen verschafft, die es Kunden ermöglicht Daten auszutauschen. Das Unternehmen entdeckte erst nach zwei Tagen, dass eine massive Datenexfiltration stattgefunden hatte. Der Angriff ermöglichte auch den Zugriff auf die Datenbanken anderer Unternehmen und deren Exfiltration. Die betroffenen Unternehmen hatten ihre Daten dort gehostet und deren System genutzt. Die Datenschutzbehörde stellte fest, dass die Sicherheitssysteme und die internen Prozesse nicht geeignet waren, um eine dem Risiko angemessene Sicherheit zu gewährleisten.

Das Bußgeld setzt sich wie folgt zusammen: Für den Verstoß gegen Art. 5 Abs. 1 lit. f) DS-GVO beträgt das Bußgeld 2.500.000 Euro, für den Verstoß gegen Art. 32 DS-GVO 1.000.000 Euro.

1.10 EDSA: Befassung mit "Consent or Pay"

Nach der Agenda für das Treffen des EDSA am 16. und 17. April 2024 wird u.a. die Stellungnahme des EDSA bezogen auf „Consent or Pay“ thematisiert. Irgendwann wird sich dann auch der EuGH damit befassen, egal welche Aussage darin getroffen werden wird.

Franks Nachtrag: Natürlich wissen wir mittlerweile mehr...

1.11 LfDI Baden-Württemberg: Hinweise zur Kommunalwahl

Anlässlich der Kommunalwahlen hat der LfDI Baden-Württemberg seine bisherigen Hinweise in diesem Themenbereich der kommunalen Tätigkeit von Vertretungsgremien zusammengestellt. Dies umfasst Hinweise zur Verantwortlichkeit, Verschwiegenheit, technischen und organisatorische Schutzmaßnahmen, Nutzung von E-Mail-Adressen und vieles mehr.

1.12.1 HmbBfDI: Tätigkeitsbericht für 2023 – Unterschreitung einer Speicherfrist

Ist es ein Datenschutzverstoß, wenn Aufbewahrungsfristen nicht eingehalten werden? Unter Ziffer II.10 (ab Seite 46) stellt der HmbBfDI fest, dass in der Regel die Unterschreitung einer gesetzlichen Aufbewahrungsfrist einen Datenschutzverstoß darstelle. Der HmbBfDI befasst sich damit im Rahmen von Beschwerden gemäß Art. 77 DS-GVO jedoch nur, wenn die verletzte Aufbewahrungspflicht jedenfalls auch dem Schutz der betroffenen Person dient.

1.12.2 HmbBfDI: Tätigkeitsbericht für 2023 – MS 365 in der Verwaltung

Microsoft 365 soll nach Vorstellung der Senatskanzlei in der Freien und Hansestadt Hamburg perspektivisch flächendeckend zum Einsatz kommen. Entscheidende datenschutzrechtliche Fragen sind laut Darstellung des HmbBfDI unter Ziffer III.2 (ab Seite 76) bislang nicht abschließend beantwortet worden. Es bleibe daher im Berichtszeitraum offen, ob und wann deutschlandweite Forderungen der Datenschutzkonferenz (DSK) durch die Senatskanzlei für Hamburg umgesetzt werden können.

1.12.3 HmbBfDI: Tätigkeitsbericht für 2023 – Prüfung von ChatGPT

Unter Ziffer V.II (ab Seite 156) berichtet der HmbBfDI zu seiner Prüfung von ChatGPT und darüber, dass die Beantwortung von Fragen noch ausstehe. Es sei absehbar, dass OpenAI eine Niederlassung in einem europäischen Mitgliedstaat errichten wird. Der HmbBfDI bleibt dann als betroffene Behörde in die Verfahren eingebunden und wird Aufsichtsverfahren weiterhin entsprechend begleiten. Komisch, OpenAI ist da schon ein bisschen weiter.

1.12 HmbBfDI: Tätigkeitsbericht für 2023

Der HmbBfDI hat seinen Tätigkeitsbericht für das Jahr 2023 vorgestellt.
Dabei geht er unter anderem auf steigende Beschwerdezahlen und die Vernachlässigung von Löschpflichten durch Unternehmen und, vor dem Hintergrund der gerade beschlossenen KI-Verordnung der EU, gibt einen Ausblick auf künftige Entwicklungen.
Nachfolgend ein paar ausgewählte Aussagen:

1.13 BSI: Generative KI-Modelle

Welche Chancen und Risiken sich für Industrie und Behörden durch den Einsatz von generativer KI ergeben, hat nun das BSI veröffentlicht. Die Publikation stellt in der aktuellen Fassung eine Übersicht dieser Chancen und Risiken von LLMs als Teilmenge der generativen KI dar. Sie zeigt mögliche Gegenmaßnahmen auf, um den Risiken zu begegnen. Die Publikation richtet sich an Unternehmen und Behörden, die über die Integration von LLMs in ihren Arbeitsabläufen nachdenken, um ein grundlegendes Sicherheitsbewusstsein für diese Modelle zu schaffen und ihren sicheren Einsatz zu fördern; dabei kann sie als Grundlage für eine systematische Risikoanalyse dienen. Mit der angestrebten Erschließung weiterer Teilgebiete in der generativen KI, wie Bild- oder Videogeneratoren, wird die Publikation kontinuierlich erweitert. Die Publikation aktualisiert in der Version 1.1 die bisherige Version vom Mai 2023.

1.14 BSI: Management von Cyber-Risiken

Auf das Handbuch zum Management von Cyberrisiken hatten wir bereits vor einem Jahr hingewiesen. Nun erneuern wir unseren Hinweis, denn die Risiken wurden ja nicht weniger. Videoclips und ein Toolkit sind weiterhin aktuell.

1.15 ICO: KI und Richtigkeit

In seiner Reihe der Konsultation zu Fragen des Datenschutzes und dem Einsatz von KI befasst sich der ICO diesmal mit Fragen der Richtigkeit der Ergebnisse des Einsatzes von KI. Diese Konsultation befasst sich mit der Frage, wie der Grundsatz der Genauigkeit auf die Ergebnisse generativer KI-Modelle anzuwenden ist und welchen Einfluss die Genauigkeit der Trainingsdaten auf die Ergebnisse hat. Dazu gibt es Zusammenfassung der bisher durchgeführten Analyse und der politischen Position, zu der konsultiert wird. Damit sei aber keine Aussage verbunden, dass diese Aussagen bereits auf eine rechtskonforme Gestaltung deuten.

1.16 Spanien: Tätigkeitsbericht für 2023

Die spanische Aufsicht AEPD berichtet in ihrem Tätigkeitsbericht für das Jahr 2023 über 21.590 Beschwerden, die bei ihr eingingen, dies bedeutet einen Anstieg von 43 % gegenüber dem Jahr 2022 und 55 % mehr als im Jahr 2021. Die am häufigsten vorgebrachten Beschwerden betreffen unerwünschte Werbung, Internetdienste, Videoüberwachung, Handel, Verkehr und Gastgewerbe sowie Finanzinstitute. Die Tätigkeitsbereiche mit den meisten Bußgeldern beziehen sich auf Verletzungen des Schutzes personenbezogener Daten, Finanzinstitute, Datenschutzrechte, betrügerische Anwerbung, Telekommunikation und Internetdienste. Im Jahr 2023 führte die Aufsicht 36 Notfalleinsätze über den Prioritätskanal durch und erreichte in allen Fällen die sofortige Entfernung sensibler Inhalte.

1.17 Spanien: Bußgeld bei Werbeverstoß und falschen Angaben zum Kontakt

Die Datenschutzbehörde aepd verhängte ein Bußgeld in Höhe von 7.500 € gegen ein Unternehmen, weil dieses einer Person Werbe-E-Mails geschickt hatte, nachdem diese sich bereits als Empfänger abgemeldet hatte, und weil das Unternehmen auf seiner Website eine nicht existierende E-Mail-Adresse für Datenschutzfragen angegeben hatte.

1.18 Dänemark: Tätigkeitsbericht für 2023

Auch die dänische Aufsicht veröffentlichte ihren Tätigkeitsbericht für das Jahr 2023.

1.19 Italien: Bußgeld wegen Gesichtserkennung für Anwesenheitskontrolle

Clevere Idee: Um die Anwesenheit auf der Baustelle zu kontrollieren, setzte ein Unternehmen eine Gesichtskontrolle ein. Weniger clever fand dies die italienische Aufsicht Garante, die dafür ein Bußgeld in Höhe von 70.000 € verhängte. Es half auch nichts, dass der Hersteller des Systems "Konformitätserklärung und -bescheinigung" für das biometrische Gerät ausgestellt hatte, in der die vollständige Übereinstimmung mit den Vorschriften der Datenschutz-Grundverordnung bestätigt wurde. Daneben stellte die Aufsicht auch fest, dass eine Information der Beschäftigten nach Art. 13 DS-GVO diesbezüglich nicht erfolgte, dass die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten unterblieb, dass es keine Vereinbarung zur Auftragsverarbeitung mit dem Lieferanten gab und dass keine Datenschutz-Folgenabschätzung durchgeführt wurde. Einen Bericht dazu finden Sie hier.

1.20 EDSA: Strategie der nächsten Jahre

Der EDSA hat seine Strategie für die Jahre 2024 – 2027 veröffentlicht. In der Strategie werden die Prioritäten des EDPB, die sich auf vier Säulen stützen, sowie die wichtigsten Maßnahmen pro Säule zur Erreichung dieser Ziele dargelegt. Diese vier Säulen sind:
Verstärkung der Harmonisierung und Förderung der Einhaltung der Vorschriften, Stärkung einer gemeinsamen Durchsetzungskultur und einer wirksamen Zusammenarbeit, Wahrung des Datenschutzes in der sich entwickelnden digitalen und regulierungsübergreifenden Landschaft und Beitrag zum globalen Dialog über den Datenschutz. Die Strategie wird durch zwei Arbeitsprogramme ergänzt, die Einzelheiten zur Umsetzung der Strategie enthalten werden.
Darüber hinaus berichtet der EDSA, dass er im Zusammenhang mit dem EU-US-Datenschutzrahmen (Data Privacy Framework, DPF) eine Verfahrensordnung, einen Informationsvermerk für die Öffentlichkeit und Musterformulare für Beschwerden angenommen habe, um die Umsetzung der Rechtsbehelfsmechanismen im Rahmen des DPF zu erleichtern. Die Dokumente des EDSA beziehen sich auf zwei Rechtsbehelfsmechanismen, die zur Bearbeitung von Beschwerden von EU-Bürgern eingerichtet wurden. Die Beschwerdemechanismen befassen sich nur mit Beschwerden, die ihren jeweiligen Zuständigkeitsbereich betreffen – nationale Sicherheit oder kommerzielle – und nur für Daten, die nach dem 10. Juli 2023 übermittelt werden.

1.21 EDSA: Guideline 08/2024 “Consent or Pay”

Selten hat eine durch den EDSA veröffentlichte Guideline so ein diametrales Echo ausgelöst. Der EDSA stellte in seiner Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms fest, dass nach seiner Ansicht bei großen Plattformen eine Wahl durch die Nutzenden zwischen einem zahlungspflichtigen Dienst und einer Zustimmung zu einer verhaltensbasierten Werbung – und dadurch kostenlosen Nutzung – nicht der DS-GVO entspreche. Kritiker bemängeln (u.a.), dass die Finanzierung eines Dienstes keine Frage der DS-GVO sei, niemand diese Dienste nutzen müsse und die Bewertung der wirtschaftlichen Betreibung von Angeboten nicht den Datenschutzaufsichten obliege. Auch sei nicht klar, welche Grenze bei „großen Plattformen“ gezogen werde, insgesamt erwachse aus der Entscheidung mehr Rechtsunsicherheit. Fast schon apokalyptisch wird die Guideline dabei auch als „übergriffig und einseitig“ tituliert und zitiert auch einen der der Initiatoren der Entscheidung, den HmbBfDI, dass er sich darin in der Guideline nicht wieder findet.
Applaus bekam die Guideline von Seiten der Bürgerrechtsorganisationen.
Wie kann es nun weitergehen? Nach den bisherigen Aussagen folgen relevante Teile der Wirtschaft den Anforderungen des EDSA nicht. Doch solange die Aufsichten ihre Ansichten nicht durchsetzen wollen, wird es keine gerichtliche Entscheidung dazu geben, im Rahmen derer der EuGH zu spezifischen Fragen zur Auslegung eingebunden werden könnte. Doch keine Angst, auch Verbraucherzentralen haben bewiesen, dass ihre Verfahren oft geeignet sind relevante Rechtsprechung zu Auslegungsfragen herbeizuführen.

Franks Nachtrag: Hier noch ein Bericht, nach dem die Opinion keinen Enfluss auf Metas Geschäft haben soll... Da hoffe ich mal, dass das nur Wunschdenken ist. Aber nun ja, wir kennen ja die irische DPC. Es ist Zeit für Zähne, EDSA, Zeit für Zähne!

1.22 EDSA: Stellungnahme zur Whitelist zur DSFA aus Lettland

Der EDSA hat seine Stellungnahme zu einer Whitelist veröffentlicht, mit der die lettische Datenschutzaufsicht die Möglichkeit nach Art. 35 Abs. 5 DS-GVO, eine Liste der Arten von Verarbeitungsvorgängen zu erstellen, für die keine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, nutzen möchte.

1.23 EDSA: Stellungnahme zu den Zertifizierungskriterien für Cloud-Dienste (Auditor)

Bei der Datenschutzaufsicht NRW läuft das Verfahren für das Zertifizierungsangebot „Auditor-cert“. Dieses hat seinen Ursprung in dem früheren Forschungsprojekt „Trusted-Cloud“. Die Zertifizierungskriterien von „Auditor“ wurden dem EDSA im Rahmen des Kohärenzverfahrens durch die Datenschutzaufsicht NRW vorgelegt, dazu hat er nun seine Stellungnahme 07/2024 veröffentlicht. Das Zertifizierungsverfahren umfasst nicht den Drittstaatentransfer nach Art. 46 Abs. 2 lit. f DS-GVO. Der EDSA regt zahlreiche Klarstelllungen und Konkretisierungen an wie z.B., dass der Cloud-Anbieter sicherstellen muss, dass eine Anonymisierung nicht rückgängig gemacht werden könne (RN 48).

1.24 BfDI: Entscheidung für Nachfolge getroffen

Pressemeldungen zufolge haben sich die Regierungsparteien, denen die Auswahl zufiel, entscheiden: Sie wählten jemanden, der im Berliner Politikbetrieb bereits bestens vernetzt ist, in Bonn wohnt, in Datenschutzkreisen bereits eingeführt und auch bereit ist das Amt zu übernehmen. Und nein, es ist nicht der bisherige Amtsinhaber, auch wenn dies alles auch auf ihn zutrifft. Ob dann das Geschlecht, die Parteilosigkeit oder das Alter den Ausschlag gaben, wird wohl auch nie bekannt werden. Sollte die Bundesregierung gegenüber dem Parlament den Vorschlag übernehmen und würde sich das Parlament dafür entscheiden, blieb die Last des unwürdigen Schauspiels um den Vorgänger. Jeder Person, die dieses Amt nun übernimmt, droht das Image der uneffektiven, aber gefälligen Amtsführung, sollte es zu einer zweiten Amtszweit kommen.

1.25 BfDI: Zusammenarbeit mit Garante

Der BfDI informiert über ein Treffen mit der italienischen Datenschutzaufsicht Garante. In Zukunft wollen sich beide Behörden stärker abstimmen und zusammenarbeiten, wie beim Thema KI oder auch bei der Thematik „pay or consent“.

1.26 DSK zu BDSG-Änderungen

Die Datenschutzkonferenz (DSK) hat ihre Stellungnahme zum Gesetzentwurf zur Änderung des BDSG veröffentlicht. Sie hat darin u.a. Anregungen zur Gestaltung der DSK, bezweifelt, ob die geplanten Regelungen zum Schutz von Betriebs- und Geschäftsgeheimnissen bei Auskunftsansprüchen mit Art. 23 DS-GVO vereinbar sind, und hält es für erforderlich, im weiteren Gesetzgebungsverfahren zu prüfen, ob die Neuregelung in § 37a BDSG-E mit den Anforderungen des Art. 23 DS-GVO zur Einschränkung von Betroffenenrechten in Einklang steht. Um eine rechtssichere Regelung von Kreditwürdigkeitsprüfungen durch Scoringverfahren zu erreichen, empfiehlt die DSK eine Erörterung im Rahmen einer Sachverständigenanhörung. Zudem weist sie auf zahlreiche Unklarheiten in den Regeln hin und regt Nachbesserungen an. Auch bei länderübergreifende Datenverarbeitungsvorhaben im nichtöffentlichen Bereich regt sie Verbesserungen an und regt an den Ausschluss von Bußgeldern im öffentlichen Bereich zu streichen.

1.27 LfD Bayern: Kurzinformation zu Bildern für KI

Der LfD Bayern hat seine Kurz-Information 55 mit dem Titel „Fotos veröffentlichen = KI trainieren?“ veröffentlicht. Er weist er darauf hin, dass es nicht mehr ausgeschlossen werden könne, dass veröffentliche Bilder zum Training von KI verwendet werden und er skizziert damit verbundene Risiken und gibt Bürgerinnen und Bürgern wie auch bayerischen öffentlichen Stellen Empfehlungen für präventive Maßnahmen. Die Empfehlungen können m.E.n. auch nicht bayerische öffentliche Stellen berücksichtigen.
Eine Ergänzung von mir: Bei Einwilligungen oder Model-Release-Verträge zur Verwendung von Bildern im Netz sollte auf diese Nutzungsmöglichkeit, die nicht per se ausgeschlossen werden kann, hingewiesen werden.

1.28 LfDI Baden-Württemberg: Wettbewerb für kommunale Champions

Wie werden Datenschutz und Informationsfreiheit in Städten, Gemeinden, Gemeindeverbänden und Landratsämtern in der Praxis gelebt? Bis zum 31. August 2024 können Ideen und Lösungen eingereicht werden – die Besten werden ausgezeichnet. Teilnehmen können kommunale Stellen in Baden-Württemberg, also alle Städte, Gemeinden, Gemeindeverbände sowie Landratsämter. Eine fachkundige Jury wird die besten Einreichungen auswählen und prämieren. Die Auszeichnung erfolgt im Herbst in feierlichem Rahmen beim Landesbeauftragten in Stuttgart. Weitere Informationen dazu finden sich hier.

1.29 Sachsen-Anhalt: Wahl der neuen LfD

Diesmal schienen sich bereits vor der Wahl alle einig. Am 24.04.2024 sollte eine neue LfD für Sachsen-Anhalt gewählt werden (Top 7).

Wir drückten die Daumen.
...
Und es hat geklappt mit dem Daumen drücken:

Bereits im ersten Wahlgang hat sich der Landtag Sachsen-Anhalts für eine neue Landesbeauftragte für den Datenschutz entschieden.

Franks Nachtrag: Endlich. Lang genug gedauert hat es ja und viele (vergebliche) Anläufe hat es auch gebraucht.

1.30.1 LDA Brandenburg Tätigkeitsbericht für 2023 – Einsatz von KI

Gleich am Anfang befasst sich die LDA Brandenburg mit Fragestellungen beim Einsatz Künstlicher Intelligenz. Im Teil A unter Ziffer 1 berichtet sie zu den Entwicklungen und Aktivitäten bei Künstlicher Intelligenz bis hin zur Mitwirkung bei der Prüfung von ChatGPT. Auch erwähnt sie die KI-Handreichung des Bildungsministeriums für Schulen.

1.30.2 LDA Brandenburg Tätigkeitsbericht für 2023 – Facebook-Fanpages durch öffentliche Stellen

Man merkt den Ausführungen unter Ziffer 3 des Tätigkeitsberichtes zum Einsatz der Facebook-Fanpages durch die Staatskanzlei an, dass die LfD kein Fan mehr von Fanpage-Anbieter Facebook werden wird. Doch nachdem Meta (Facebook) zum 12. Dezember 2023 überraschend seine Cookie-Richtlinie u. a. dahingehend änderte, dass zum ersten Mal konkret benannte Cookies konkreten Zwecken zugeordnet wurden, entschied die LfD das Verfahren bis zur Analyse der neuen Richtlinie auszusetzen.

1.30.3 LDA Brandenburg Tätigkeitsbericht für 2023 – Geldbußen in Brandenburg

Lassen wir die Fakten sprechen: In zehn Fällen verhängte die Landesbeauftragte laut Ziffer 5.2 des Tätigkeitsberichts wegen der festgestellten datenschutzrechtlichen Verstöße ein Bußgeld. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 13.900 Euro. Es wäre trotzdem schön, wenn Sie weiterlesen, falls Sie sich für Compliance bei der Datenverarbeitung interessieren.

1.30 LDA Brandenburg: Tätigkeitsbericht für 2023

Die Brandenburger Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) stellte ihren Tätigkeitsbericht für das Jahr 2023 vor.

1.31 BayLDA: Antrag auf Stellenerhöhung

Oft scheint auch eine unzureichende Stellenzuweisung Ursache für eine – sagen wir – zurückhaltende Durchsetzung datenschutzrechtlicher Regelungen. In Bayern gibt es daher einen Änderungsantrag im Landtag, um das BayLDA mit deutlich mehr Stellen auszustatten. Aber da der Antrag von der Opposition kommt, ist fast schon abzusehen, wie es ausgehen wird.

1.32 BSI: Nutzung von Biometrie in der 2-Faktor-Authentisierung (2FA)

Das BSI hat die Ergebnisse einer Untersuchung zur Nutzung von Biometrie in der 2-Faktor-Authentisierung (2FA), die zusammen mit dem vzbv durchgeführt wurde, veröffentlicht. Eine Auswertung des vzbv im Januar 2024 von 121 digitalen Diensten ergab, dass eine Absicherung des Nutzerkontos mittels biometrischer Merkmale bei 46 Prozent der untersuchten Anbieter möglich war. Bei der Verwendung von Biometrie in der 2FA wird der Wissensfaktor (zum Beispiel PIN oder Passwort) durch biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung ersetzt. So könnte jedoch laut BSI eine breitere Implementierung von biometrischen 2FA-Verfahren die Cybersicherheit der Verbraucherinnen und Verbraucher verbessern, da diese Verfahren einfach und bequem anwendbar sind. Dies hänge in hohem Maße jedoch von einer sicheren Umsetzung ab.
Das BSI fasst neben einer Bewertung der IT-Sicherheit für dieses Themenfeld in seinen Empfehlungen für Hersteller und Anwender Hinweise zur sicheren Implementierung zusammen. So sollten biometrische Systeme zum Beispiel mit einer Fälschungserkennung ausgestattet sein und auch eine Rückfall-Option auf einen anderen zweiten Faktor (Wissen/Besitz) anbieten. Darüber hinaus sollten die Verbraucher:innen die Möglichkeit haben unterschiedliche biometrische Charakteristiken (also beispielsweise mehrere Fingerabdrücke) zu hinterlegen, um diese für verschiedene Anwendungsfälle (Geräteentsperrung, Nutzung von Applikationen) nutzen zu können. Die Veröffentlichung umfasst auch FAQ und ein Glossar.

1.33 BSI: CyberRisikoCheck für KMU

Viele kleine und mittlere Unternehmen (KMU) würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Bereits existierende Standardwerke zum Aufbau eines Informationssicherheitsmanagementsystems, wie das IT-Grundschutz-Kompendium des BSI oder die Norm ISO/IEC 27001, sind insbesondere für Unternehmen mit weniger als 50 Beschäftigen nicht optimal geeignet. Um auch kleine und mittlere Unternehmen zu unterstützen, wurde durch das BSI in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Ergebnis ist die DIN SPEC 27076 "IT-Sicherheitsberatung für kleine und Kleinstunternehmen" und der darauf basierende CyberRisikoCheck. Durch diesen können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist. In der DIN SPEC wurden auch die Handlungsempfehlungen für KMU standardisiert. Dadurch wissen sowohl Auftraggeber als auch Auftragnehmer, welche Leistung zu erwarten bzw. zu erbringen ist. Weitere Informationen, inklusive Terminhinweise zu Einführungen und Beratung gibt es auf den Seiten des BSI. Der RisikoCheck selbst ist beim Beuth-Verlag nach Anmeldung kostenlos erhältlich.

1.34 BSI: Tipps für Kandidierende und Nutzung von Social Media

Wie können politisch engagierte Bürger:innen sog. Soziale Medien nutzen? Das BSI gibt hierzu Kandidierenden Tipps in Webinaren mit ca. 60 Min Dauer zu einzelnen Anbietern. Die Termine sind:

• TikTok am 22.04.2024 um 13:00 Uhr
• X (ehemals Twitter) am 25.04.2024 um 11:00 Uhr
• Linkedln am 29.04.2024 um 16:30 Uhr

Nach einer kurzen Einführung des BSI informieren die Unternehmen im Rahmen von Kurzvorträgen über die jeweiligen wesentlichen Absicherungsmaßnahmen. Informationen und E-Mail-Adresse zur Anmeldung finden sich hier.

1.35 Brasilien: Verarbeitung mit hohem Risiko

Die brasilianische Datenschutzaufsicht veröffentlichte ihre Ansicht zu Verarbeitungen mit voraussichtlich hohem Risiko. Dabei bezieht sie sich auf ein technisches Manifest zur Vorstudie – Verarbeitung von personenbezogenen Daten mit hohem Risiko, legt die Hochrisikomethodik für die Prüfung dar und publiziert einen Entwurf von Leitlinien – Vorstudie – Verarbeitung personenbezogener Hochrisikodaten. Wem das Spanisch vorkommt hat (fast) Recht – die Veröffentlichung ist auf Portugiesisch.

2.1 EuGH: Immaterieller Schadenersatz bei Direktwerbung trotz Widerspruch

Im Verfahren C-741/21 (Juris GmbH) hat der EuGH in einem Fall zu Fragen des immateriellen Schadenersatzes und der Verantwortlichkeit zu entscheiden. Im Ausgangsfall wurden durch Beschäftigte eines Unternehmens trotz erfolgtem Widerspruch personenbezogene Daten für Zwecke der Direktwerbung verarbeitet. Der Kläger macht immateriellen Schadenersatz geltend, das Unternehmen weist darauf hin, dass es seinen Beschäftigten ja ordnungsgemäß eingewiesen hatte. Irgendwie gibt der EuGH beiden Recht: Der Arbeitgeber kann sich nicht so einfach exkulpieren, dass Beschäftigte weisungswidrig handelten, der Verantwortlicher müsse schon nachweisen, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt. (RN 51 ff).
Aber auch allein ein Verstoß rechtfertige keinen Anspruch auf immateriellen Schadenersatz und ein Verstoß allein gegen eine Norm, die der betroffenen Person Rechte verleiht, begründet isoliert betrachtet keinen immateriellen Schadenersatz (RN 37). Darüber hinaus wären bei einer Berechnung die Strafaspekte des Art. 83 Abs. 1 DS-GVO nicht zu berücksichtigen und auch mehrere Verstöße fallen sinngemäß bei der Bemessung der Höhe des Schadensersatzes nicht ins Gewicht (RN 64 f).

2.2 LG Düsseldorf: Informations- und Auskunftspflichten als Marktverhaltensregel nach § 3a UWG

Das Landgericht Düsseldorf hat Art. 15 DS-GVO als Markthaltensregeln im Sinne des Gesetzes gegen den unlauteren Wettbewerb § 3a UWG eingeordnet. Es war ein Verfahren der Verbraucherzentrale gegen ein Modeportal. Eine Auskunft nach Art. 15 DS-GVO wurde erst nach zwei Monaten erteilt.
Das LG Düsseldorf führt dazu aus (ab Seite 8): Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleitung berührt wird. Dabei genügt, dass die Vorschrift zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezweckt. Datenschutzrechtliche Bestimmungen weisen einen wettbewerbsrechtlichen Bezug auf, soweit es um die Zulässigkeit der Erhebung, Verarbeitung oder Nutzung von Daten geht, etwa zu Zwecken der Werbung, der Meinungsforschung, der Erstellung von Nutzerprofilen, des Adresshandels oder sonstiger kommerzieller Zwecke.
Unter Zugrundelegung dieses Maßstabs handele es sich bei Art. 12, Art. 15 DS-GVO um Marktverhaltensregelungen. Die Auskunftspflicht und die diesbezügliche Frist dienten dem Verbraucherschutz. Sie flankieren die Informationspflichten des Unternehmers nach Art. 13 DS-GVO, wonach der Verantwortliche im Sinne von Art. 4 DS-GVO vor der Entgegennahme personenbezogener Daten des Interessenten über bestimmte Umstände zu informieren habe. Beide Informations- bzw. Auskunftspflichten dienten dem Interesse des Verbrauchers und sonstigen Marktteilnehmers, eine geschäftliche Entscheidung zu treffen. Bei den Informationspflichten nach Art. 13 DS-GVO dienten sie dem Verbraucher zur Entscheidung, ob er mit dem Unternehmen überhaupt in Kontakt treten möchte. Die Auskunftspflicht nach Art. 15 DS-GVO und die Frist in Art. 12 DS-GVO dienten im Nachgang zur Geschäftsanbahnung der Vertragsabwicklung. Sie ermöglichen damit dem Verbraucher eine geschäftliche Entscheidung über sein weiteres Handeln in diesem Geschäftskontakt zu treffen.
Eine Besprechung des Urteils findet sich hier.

2.3 LG Hildesheim: Haftung eines Resellers für fehlenden Kündigungsbutton

Wieder mal sorgen Verbraucherzentralen für gerichtliche Aussagen im Onlinegeschäft. Das LG Hildesheim entschied, dass ein Reseller, der Dienstleistungen seines Vertragspartners im eigenen Namen online vertreibt, für das Fehlen eines Kündigungsbutton auf der Website des Vertragspartners haftet. Im konkreten Fall betrieb die beklagte Firma eine Plattform, auf der sie Vertragsabschlüsse über die Veräußerung von Produkten und die Zurverfügungstellung von Dienstleistungen mit Dritten vornahm. Ein Anbieter von Schulungsunterlagen von Gitarrenunterricht im Abonnement nutzte dies so, dass über den Bestellbutton eine Weiterleitung auf die Seite der Beklagten erfolgte. Ein Kündigungsbutton auf der Seite des Anbieters von Schulungsunterlagen fehlte.
Das LG Hildesheim kam zu dem Schluss, dass die Webseite der Gitarrenschule den Abschluss des Abonnements und damit einem Dauerschuldverhältnis nach § 312k Abs. 1 S. 1 BGB ermögliche und stellte hierzu fest, dass es Interessenten ohne genaue Kenntnis der Produkt-URL allein auf diesem Wege möglich gewesen sei das Angebot der Beklagten zu erreichen und den Vertrag mit der Beklagten abzuschließen. Hierbei sei unerheblich, ob die Website allein von der Gitarrenschule und nicht (auch) von der Beklagten betrieben werde. Jedenfalls hätte die Beklagte die Pflicht dafür Sorge zu tragen, dass der Betreiber der Website eine Kündigungsfläche vorhalte.
Einen Bericht zu dem Urteil finden Sie hier.

2.4 BGH: Handelsregister und Datenschutz

Irgendwie scheint uns das Thema Handelsregister nicht loszulassen. Andererseits ist es auch ein gutes Beispiel, auch gegenüber Unternehmern und deren Verbände datenschutzrechtliche Grundsätze zu erläutern. Waren die Fälle der exzessiven Angabe von (nicht erforderlichen) Daten in den letzten Jahren noch eher ein Fall der Datenminimierung und ein Thema des Massen-Datenabzugs (wir berichteten), so geht es in diesem Fall um eine Interessensabwägung zwischen unterschiedlichen Rechtsgütern, die der Gesetzgeber vorgenommen hat und die der BGH hier prüfte.
Ein Unternehmer verlangte, dass Daten von ihm zu Wohnort und Geburtsdatum im öffentlich zugänglichen Teil des Handelsregisters gelöscht werden, weil seine berufliche Tätigkeit im Umgang mit Sprengstoff bestehe, so dass er die Gefahr befürchte Opfer einer Entführung oder eines Raubes zu werden, um die von ihm gehandhabten Stoffe zu erlangen. Deswegen seien sein Geburtsdatum und sein Wohnort unter anderem auch im Melderegister gesperrt. Der BGH wägt hier ab zwischen den Anforderungen an Transparenz im Wirtschaftsverkehr und stellt fest, dass die rechtlichen Verpflichtungen des Registergerichts ein im öffentlichen Interesse liegendes Ziel im Sinne von Art. 6 Abs. 3 Satz 2 und 4 DS-GVO verfolgen. Sie sollen den Schutz der Sicherheit, Lauterkeit und Leichtigkeit des Rechtsverkehrs im kaufmännischen und handelsgesellschaftlichen Bereich gewährleisten. Der Verwirklichung dieses schützenswerten Interesses des Rechtsverkehrs, sich über die Vertretungsverhältnisse der am geschäftlichen Verkehr teilnehmenden Kapitalgesellschaften informieren und vergewissern zu können, dient insbesondere die Eintragung, Speicherung und Offenlegung des vollständigen Namens, Geburtsdatums und Wohnorts eines GmbH-Geschäftsführers. Es lehnte daher die Rechtsbeschwerde des Geschäftsführers ab (Gründe sind hier sehr verkürzt dargestellt!).
Ein umfassender Beitrag zu Datenschutz im Handelsregister findet sich hier.

2.5 Österreich: Erlassen eines virtuellen Hausverbots

Erinnert Ihr Euch noch an die Abmahnwelle gegen Webseitenbetreiber, die Google-Fonts eingebunden hatten? Besonders spektakulär war ein Fall in Österreich, bei dem der Eindruck entstehen konnte, hier würde mutwillig eine kritische Rechtslage ausgenutzt, um in standardisierten Verfahren Rechtsverletzungen zu provozieren. Details zu damals sindhier gut zusammengestellt.
Die Thematik ist nun um einen spannenden Aspekt reicher. Ein Hotel, dass damals auch abgemahnt wurde, hat nun gegenüber der scheinbar Verletzten ein virtuelles Hausverbot ausgesprochen und den Besuch der Webseite untersagt. Das BG Favoriten hat dieses Hausverbot nun gerichtlich bestätigt, wie hier berichtet wird.
Eine schöne nachvollziehbare Aufbereitung bisheriger Fälle eines virtuellen Hausverbots ist hier zu finden.

2.6 BFH: Zuständigkeit bei Schadenersatzforderungen gegen Finanzamt

Wir hatten zu der Frage bereits berichtet: Welches Gericht ist denn nun zuständig, wenn es um Schadenersatzforderungen gegen Finanzbehörden aufgrund von Datenschutzverstößen geht? Damit befasst sich nun auch der BFH, der diesen Fall in seine Datenbank aufgenommen hat.

2.7 USA: Einigung auf Löschverpflichtung von Google

Sie surfen im „Incognito“-Modus, glauben, dass damit keine Daten gespeichert werden? „Pfeifendeckel“, wenn Ihr Partner Google heißt! In einem Klageverfahren gegen Google, dass diesbezüglich im Jahr 2020 angestrengt wurde, konnte Ende letzten Jahres eine Einigung erzielt werden, die nun veröffentlicht wurde. Entgegen den Angaben von Google, es sei unmöglich einzelne aus dem Surfverhalten zu identifizieren und deren Daten zu löschen (vgl. Fußnote 5 des Dokuments), scheint es dem Tech-Giganten jetzt doch möglich. Google verpflichtet sich alle entsprechenden Daten (laut Berichten Milliarden von Protokolldaten) zu löschen, weil dafür keine Grundlage bestanden hätte. Ebenso ist diesem Bericht zu entnehmen, dass Google dafür einen Aufwand von mehreren Mrd. Dollar angibt. Zahlung eines Schadenersatzes an die Betroffenen sei in dieser Einigung nicht enthalten – wird aber auch nicht ausgeschlossen.

2.8 LG Mannheim: Freispruch bei Drogendelikt wegen Cannabisgesetz

Es ist etwas komplexer als der Teaser es darstellt. Der Freispruch durch das LG Mannheim zu einem Delikt, bei dem es um den Transport von rund 450 kg Marihuana ging, erfolgte nicht direkt wegen des CanG, sondern weil dieses nicht in den Vorgaben der StPO aufgeführt ist, um als Beweismittel berücksichtigt zu werden.
Hinsichtlich der Verwertbarkeit der sog. Encro-Chat-Daten – also Daten aus einer verschlüsselten Kommunikation, die bevorzugt durch die organisierte Kriminalität benutzt wurde – gab es immer schon Diskussionen in Deutschland. Im vorliegenden Fall hatte die Kammer darauf hingewiesen, dass die nach der Rspr. des Bundesgerichtshofs für die Beurteilung der Verwertbarkeit maßgebliche Regelung des § 100e Abs. 6 StPO durch das seit dem 1. April 2024 gültige Cannabisgesetz durch die teilweise Neuregelung der in Bezug genommenen Regelung des § 100b StPO (vgl. Art. 13a CanG) sowie vor allem durch die Neuregelung der Strafbarkeit bzgl. Cannabisprodukten in § 34 Konsumcannabisgesetz (kurz KCanG) eine grundlegende Änderung erfahren habe. Da § 100e Abs. 6 Nr. 1 StPO unverändert fortgelte, könnten sog. Encro-Chat-Daten und damit die Erkenntnisse aus der sichergestellten Kommunikation nicht verwertet werden. Daher erfolgte ein Freispruch (der Angeklagte sitzt aber noch wegen anderer Verfahren ein). Und ich bringe das hier auch nur, bevor es wieder heißt „Datenschutz sei Täterschutz“, denn hier heißt es nun mal, dass sich in einem Rechtsstaat sich auch der Staat an das Recht halten muss und dass, wenn Gesetze unzureichend umgesetzt werden, dann nun mal auch Strafen nicht ausgesprochen werden können.

2.9 LG Köln: Urheberrecht im Netz auch durch Pädagogen zu beachten

Das LG Köln musste sich mit der Schutzfähigkeit literarischer Werke und deren Bearbeitung im digitalen Zeitalter befassen. Ohne die Zustimmung der Rechteinhaber wurde eine Kurzgeschichte von Heinrich Böll in einem Lehrvideo genutzt, das auf YouTube eingestellt wurde. Passenderweise ging es um das Werk „Anekdote zur Senkung der Arbeitsmoral“. Der Verlag, der die Rechts daran hält, erwirkte eine Unterlassungsurteil gegen den Wirtschaftspädagogen. Der Fall wird hier niedrigschwellig aufbereitet.

2.10 OLG Celle: Kein immaterieller Schadenersatz bei bloßem Kontrollverlust

Das OLG Celle hob eine Entscheidung des LG Lüneburg über immateriellen Schadenersatz bei einem Scrapingfall von Facebook auf. In seinem Urteil befasst es sich umfassend mit der bisherigen Rechtsprechung dazu, kommt aber zu dem Ergebnis, dass neben dem objektiven Kontrollverlust auch subjektive Elemente wie konkrete negative Gefühle oder Beeinträchtigungen vorliegen müssten, um von einem „Schaden“ im Sinne der DS-GVO sprechen zu können. Eine schöne Besprechung des Urteils findet sich (wieder) hier.

2.11 Hinweis auf Webseite bei IT-Sicherheitsschwachstelle reicht (oft) nicht aus

Wie müssen Verbraucher:innen informiert werden, wenn ein Produkt eine (IT-Sicherheits-) Schwachstelle hat? Im konkreten Fall ging es um einen Funk-Türschlossantrieb und einen Funk-Fensterantrieb. Jedenfalls reicht ein Hinweis auf der Herstellereigenen Webseite allein nicht aus, wie das LG Bochum in einem vom vzbv angestrengten Verfahren entschied.
Durch die Schwachstelle konnten Angreifer das Türschloss aus der Nähe ver- oder entriegeln und sich damit Zugang zu Gebäuden, Büroräumen oder Wohnungen oder Häusern verschaffen. Auch das BSI warnte diesbezüglich. Wie richtig zu informieren gewesen sei, geht allerdings aus dem Urteil nicht hervor, Berichten zufolge sei dies aber während der Verhandlungen kurz thematisiert worden.

2.12 BGH: Auskunftsanspruch umfasst u.U. Kopien von E-Mails und Briefen

In einem Urteil stellt der BGH fest, dass im Rahmen eines Anspruchs nach Art. 15 Abs. 3 DS-GVO auch Kopien der verfassten E-Mails und Briefe aus einem Zeitraum 1. Januar 1997 bis 31. März 2017 von 21 Jahren zu überlassen sind. Der BGH befasst sich bei dem Urteil auch mit den Fragen der Auslegung eines Antrags auf Auskunft und inwieweit Kopien von Dokumenten für die Kontextualisierung eines Personenbezugs erforderlich sei. So habe die Klägerin weder in den Vorinstanzen dazu vorgetragen noch sei sonst ersichtlich, dass die Kontextualisierung der verarbeiteten Daten erforderlich ist, um ihre Verständlichkeit zu gewährleisten, sodass ausnahmsweise die Übermittlung einer Kopie der geforderten Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe der Beklagten
sowie Zeichnungsunterlagen für Kapitalanlagen nötig wäre.

2.13 LG Hamburg: Keine Verpflichtung zu Gastzugang für Onlineshop

Das Landgericht Hamburg entschied, dass ein Onlineshop nicht verpflichtet sei einen Gastzugang einzurichten – d.h. dass auch Käufe ohne Registrierung zu ermöglichen seien. Die DSK sah das in ihrem Beschluss aus dem Jahr 2022 zur Datenminimierung im Onlinehandel noch ganz anders. Kostenfrei habe ich das Urteil noch nicht gefunden, es wird aber hier ausführlich dargestellt und ist wohl auch noch nicht rechtskräftig.

2.14 LG Stuttgart: Umfang der Auskunft bei gelöschten Daten

Ein unerwarteter Aspekt zum Umfang der Löschpflichten wird in einem Urteil des LG Stuttgart angesprochen: Besteht ein Auskunftsanspruch auf gelöschte Daten? Ok, wenn sie weg sind, kann ich sie nicht beauskunften. Diese Erkenntnis betont auch das LG Stuttgart. Aber wenn aus Löschprotokollen auch ein Personenbezug herstellbar ist, dann unterfällt dies Datum auch dem Auskunftsanspruch (im Urteil unter RN 139). Bericht dazu hier.

2.15 LG Lüneburg: Schadenersatzanspruch bei unerlaubten Werbe-E-Mails

Das LG Lüneburg entschied am 07.12.2023, dass ein Nutzer 500,00 Euro immateriellen Schadenersatz geltend machen kann, wenn er trotz Abmeldung in der Folgezeit weiterhin unerlaubt noch zahlreiche weitere Werbemails erhielt. Das Urteil selbst habe ich noch nicht gefunden, aber hier wird es ausführlich mit Zitaten daraus besprochen.

2.16 OLG Oldenburg: Anforderungen an immateriellen Schadenersatz

Das OLG Oldenburg informiert in einer Pressemitteilung, dass es in Fällen der Schadenersatzforderungen nach „Scraping-Fällen“ das persönliche Erscheinen der Kläger:innen angeordnet und sie persönlich in der mündlichen Verhandlung angehört habe. Die Aussagen seien für den Senat jedoch nicht ausreichend gewesen, um sich von einem individuellen Schaden zu überzeugen. Offen blieb für den Senat auch, ob die unerwünschten Anrufe und SMS auf den Scraping-Vorfall oder auf eine mögliche anderweitige unbedachte Preisgabe persönlicher Daten im Internet zurückzuführen waren. Die Berufungen in den zitierten Verfahren blieben daher erfolglos.

2.17 VwGH Österreich: Webseite genügt u.U. zur Umsetzung des Art. 14 DS-GVO nicht

Der Verwaltungsgerichtshof Österreich (VwGH) hat sich in einem Urteil vom 6. März 2024 (Ro 2021/04/0030-4 bis 0031-5) zu Fragen der Auskunftserteilung und der Informationspflichten nach Art. 14 DS-GVO geäußert. Das Urteil ist noch nicht veröffentlicht*, kann aber hier beim VGH Österreich angefordert werden.
Unter Berücksichtigung der Aussagen im WP 260 rev. 01, Seite 9 (Leitlinien für Transparenz gemäß der Verordnung 2016/679) und der EuGH-Urteile C-210/14 (ab RN 33 f) und C-553/07 (RN 68) zur alten Richtlinie EU 95/46 kommt der VwGH (in RN 87) zu der Aussage, dass in einem Fall, in dem die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, die betroffene Person auch sonst in keiner Verbindung mit dem Verantwortlichen steht und daher keine Kenntnis von einer Verarbeitung ihrer personenbezogenen Daten durch die Verantwortliche haben muss, durch die bloße Möglichkeit der Abrufbarkeit einer Datenschutzerklärung auf einer Website die Umsetzung der Informationspflicht aus Art. 14 DS-GVO aber nicht gewährleistet werde. Vor dem Hintergrund der auch vom EuGH zum Ausdruck gebrachten Zielsetzung kann Art. 14 Abs. 1 DS-GVO daher nicht dahingehend verstanden werden, dass die Verfügbarkeit der darin genannten Informationen auf einer Website ohne eine aktive, ausdrückliche Verständigung der betroffenen Person von dieser Form der Bereitstellung auch dann ausreichend sei, wenn die betroffene Person auch dem Grunde nach keine Kenntnis vom Umstand einer Datenverarbeitung durch die Verantwortliche hatte.
Etwas einfacher ausgedrückt:
Wenn eine betroffene Person keine Kenntnis vom Umstand einer Datenverarbeitung durch den Verantwortlichen hat, reicht es nicht, die datenschutzrechtlichen Informationen nach Art. 14 auf einer Webpage zu publizieren. Die Personen müssen stattdessen aktiv und ausdrücklich verständigt werden.

* Franks Anmerkung: Mittlerweile ist es veröffentlicht.

2.18 KG Berlin: Strafbarkeit der Veröffentlichung von Videoaufnahmen

Das KG Berlin befasste sich mit der Strafbarkeit der Aufzeichnung und Speicherung von Videoaufnahmen einer Routinepolizeikontrolle. Der Täter nahm eine Polizeikontrolle – ohne das Wissen der beiden Zeugen Polizisten – in Wort und Bild mittels einer an seinem Motorradhelm befestigten Kamera auf und speicherte die Aufzeichnungen ab. In der Folge machte er die Aufnahmen zunächst auf seinem Instagram-Profil und danach auf seinem unter einem Künstlernamen betriebenen YouTube-Kanal einer breiten Öffentlichkeit zugänglich, wobei er einen Weichzeichner verwendete, um die beiden Beamten unkenntlich zu machen.
Die Vorinstanz bewertete das Verhalten unter den Aspekten der Straftatbestände „Verletzung der Vertraulichkeit des Wortes“ (§ 201 StGB) und „Verletzung des höchstpersönlichen Lebensbereichs und von Persönlichkeitsrechten durch Bildaufnahmen“ (§ 201a StGB). Das KG bemängelt jedoch, dass dabei § 42 Abs. 2 Nr. 1 BDSG nicht berücksichtigt wurde. Danach macht sich strafbar, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen. Es weist darauf hin, dass diese keinen direkten Vorsatz verlangten, vielmehr genüge bedingter Vorsatz. Es reiche danach, wenn der Täter erkennt, dass es möglich und nicht ganz fernliegend ist, dass tatsächliche Umstände vorliegen, die die Verarbeitung rechtswidrig machen, ihm dies aber gleichgültig ist. Der Vorsatz müsse sich dabei nur auf die tatsächlichen Umstände beziehen, nicht auf die rechtliche Bewertung. Auch legt das KG das Tatbestandmerkmal der Bereicherungsabsicht weit aus.
Eine Besprechung des Urteils findet sich hier.

2.19 Tschechien: KI und Urheberrecht

Wir wollen hier ja nicht zum ausschließlichen KI-Blog mutieren, aber da Urheberrecht auch immer einen Personenbezug aufweist („wer ist Schöpfer:in eines Werkes?“) und da momentan KI DAS Thema – auch in Datenschutzkreisen – ist, hier ein Hinweis auf ein Urteil aus Tschechien, das hier ausführlich besprochen wird.
Der Kläger ließ über DALL-E ein Bild erstellen, an dem er danach urheberrechtliche Ansprüche geltend machte. Das Gericht entschied, dass das Bild kein urheberrechtlich geschütztes Werk sei, da es durch KI generiert wurde. Wenn Sie das Thema KI und Urheberrecht grundsätzlich interessiert, dann sei Ihnen diese Webseite empfohlen.

3.1 NIS2 und Cybersicherheit

Um was geht es? Wer ist betroffen? Antworten zu diesen Fragen und noch viel mehr sind drei (generell empfehlenswerten) Podcast-Folgen zu entnehmen, die sich mit wesentlichen Cybersicherheitspflichten und der NIS2-Richtlinie (Teil 2 hier) befassen.
Es gibt ja bereits auch Praxisleitfäden und nun auch ein Mapping von Maßnahmen mit Standards dazu.
Und in Österreich bietet die Wirtschaftskammer weitere Informationen dazu an, in Deutschland findet sich vergleichbares bei der IHK Oberbayern.

3.2 Vorratsdatenspeicherung – Quick Freeze?

Es scheint Berichten zufolge eine Einigung über die Nutzung von Kommunikationsdaten zur Strafverfolgung gefunden zu sein. Anstatt anlasslos über Monate alle Datenzugriffe zu speichern funktioniert Quick Freeze anlassbezogen. Liegt der Verdacht für bestimmte schwere Straftaten vor, kann grundsätzlich erst nach Richterbeschluss die Sicherung noch vorhandener bzw. künftig anfallender IP-Adressen angeordnet werden. Sie werden "eingefroren". Ab dann haben Strafverfolgungsbehörden maximal einen Monat Zeit einen weiteren Richterbeschluss zu erwirken, damit sie die eingefrorenen Daten zur Auswertung erhalten.
Warten wir mal die Formulierung im Gesetzentwurf ab.

3.3 USA: American Privacy Rights Act (APRA)

In den USA ist ein Gesetzentwurf in der Diskussion, der auf Bundeseben ein Datenschutzrecht vorsieht (American Privacy Rights Act). Damit würde der Zersplitterung der Rechtslage auf Bundesebene entgegengewirkt. Einige Schlagworte werden Kennern der DS-GVO bekannt vorkommen. Den Entwurf finden Sie hier und eine Zusammenfassung ist hier verfügbar. Ob sich daraus Hoffnungen auf einen Angemessenheitsbeschluss zugunsten der USA unabhängig von einer Executive Order eines Präsidenten etc. ableiten lassen, kann noch nicht beurteilt werden, zumindest scheint der Titel sich nicht auf US-Bürger zu begrenzen: “A BILL To establish protections for covered data of individuals, and for other purposes”.
Unabhängig davon geht die Diskussion um Section 702 des FISA Amendments Acts weiter, wie hier bei der Electronic Frontier Foundation.

Franks Nachtrag: Die EFF hat am 16.04.2024 noch mal nachgelegt.

3.4 EU: Chatkontrolle

Chatkontrolle zur Verfolgung von Straftaten gegen Kinder klingt positiv, bedeutet aber das Aufbrechen von Verschlüsselungstechnologien durch gesetzliche Vorgaben, nach denen Betreiber verpflichtet werden vertrauliche Kommunikation wie Chatnachrichten, Videochats, Clouds und Emails automatisch und anlasslos nach Hinweisen auf pädosexuelle Inhalte zu durchsuchen. Technische Vorgaben zur Verschlüsselung können dann nicht mehr lückenlos eingesetzt werden. Nach Berichten versucht die belgische Ratspräsidentschaft den Entwurf noch im Juni 2024 beschließen zu lassen.
Eine Petition dagegen findet sich hier.

Franks Nachtrag: Die europäische Zivilgesellschaft (eine Koalition von 50 zivilgesellschaftlichen Organisationen und 26 einzelnen Experten) hat zur Chatkontrolle (am 16.04.2024) auch einen offenen Brief veröffentlicht (Link zum englischen Original und zur deutschen Übersetzung).

Franks zweiter Nachtrag: Und damit klar ist, wo die EU im Rahmen der Chatkontrolle vornehmlich genau reinschauen will... Auch netzpolitik.org hat sich bereits dazu ausgelassen.

Franks dritter Nachtrag: Sie möchten zum Thema hier weiterlesen.

3.5 OZG: Zuständigkeit für das Datenschutzcockpit

Die Nutzung der Steuer-ID zur Identifizierung von Personen in der Registermodernisierung hatte Kritik ausgelöst. Für mehr Transparenz gegenüber Bürgerinnen und Bürgern und "als verfassungsrechtliche Kompensation der Verwendung der Steuer-ID" sieht das OZG in § 10 vor, dass ein Datenschutzcockpit eingerichtet wird, über welches Datenzugriffe von Behörden nachvollziehbar gemacht werden sollen. Das BMI sieht nun vor, dass das neue Transparenzinstrument beim Bundesverwaltungsamt (BVA) betrieben wird.

3.6 Digitale Identitäten: Es geht voran

Das Gesetzgebungsverfahren zu Digitalen Identitäten ist auf der Zielgeraden, wie hier berichtet wird. Die Verordnung über die digitale Identität wurde vom Rat in seiner Zusammensetzung "AGRIFISH" am 26. März 2024 einstimmig angenommen. Zuvor hatte das Europäische Parlament am 29. Februar 2024 erfolgreich über die Verordnung abgestimmt. Der nächste Schritt wird die Veröffentlichung im Amtsblatt und ihr Inkrafttreten 20 Tage später sein. Mehr dazu findet sich auf dieser Webseite.

3.7 EU: Entwurf der VO für ein Programm für die Verteidigungsindustrie und Anonymisierung

Ist nun der Vorgang der Anonymisierung eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO mit allen Konsequenzen der Anforderung an Rechtsgrundlage, Zweckbindung und Betroffenenrechte oder nicht? Wir erinnern uns an das Positionspapier des BfDI aus dem Jahr 2020 zu diesem Thema. Dieses wird weiterhin diskutiert. Im Vorschlag der Kommission zu einer Europäischen Verordnung zur Einrichtung des Programms für die europäische Verteidigungsindustrie und eines Rahmens für Maßnahmen zur Gewährleistung der zeitnahen Verfügbarkeit und Lieferung von Verteidigungsgütern (EDIP) wird in Art. 62 Abs. 1 geregelt, dass die Vorgaben aus der DS-GVO und der VO 2018/1725 bezogen auf personenbezogene Daten unberührt bleiben. Personenbezogene Daten dürfen nicht verarbeitet oder weitergegeben werden, außer in Fällen, in denen dies für die Zwecke dieser Verordnung unbedingt erforderlich ist. In diesen Fällen finden die Verordnungen (EU) 2016/679 bzw. (EU) 2018/1725 Anwendung, so in Art. 62 Abs. 2. In Abs. 3 wird dann aber noch ergänzt:

„Ist die Verarbeitung personenbezogener Daten für die Anwendung der in dieser Verordnung festgelegten Mechanismen nicht unbedingt erforderlich, werden die personenbezogenen Daten so anonymisiert, dass die betroffene Person nicht identifiziert werden kann.“

Bedeutet dies nun, dass die Kommission den Vorgang der Anonymisierung nicht als Verarbeitung ansieht oder hat sie nur etwas ungenau formuliert? Es wird nicht langweilig.

3.8 NIS2: Quickscan aus den Niederlanden

In den Niederlanden wird ein Self-Check zur Betroffenheit durch die NIS2-Richtlinie angeboten. Die europäische NIS2-Richtlinie verlangt von "wichtigen" und "wesentlichen" Organisationen eine höhere Cyber-Resilienz. Die Bestimmungen dieser Richtlinie werden derzeit in nationales Recht umgesetzt. Da dies in der Regel nicht von heute auf morgen geschehen kann, rät die niederländische Regierung nicht zu warten, bis die Gesetzgebung in Kraft ist, sondern bereits im Vorfeld Vorbereitungen zu treffen. Mit über 40 Fragen kann im Quick Scan selbst geprüft werden, wie es um die Cybersicherheit der eigenen Organisation bestellt ist, und zwar im Einklang mit dem Geltungsbereich der europäischen NIS2-Richtlinie. Die NIS2-Richtlinie befasst sich mit der Sicherheit von Netzwerken und Informationssystemen. Dies umfasst sowohl die IT- als auch die Operationelle Technologie, also die Technologie, die industrielle Hardware und Software, die Anlagen und Prozesse überwacht oder steuert.
Die erreichten Punktzahlen und die angegebene Aktionsperspektive sind als erste Hilfe bei der Vorbereitung gedacht, garantieren aber nicht, dass die Organisation bereits mit der zukünftigen NIS2-Gesetzgebung konform ist. Die Antworten im QuickScan können nicht zu einer Person, Organisation oder IP-Adresse zurückverfolgt werden. Selbstverständlich kann das Ergebnis des Self-Scans herunterladen und als Aktionspunkte-Liste verwenden. Auch Verbesserungsvorschläge können eingereicht werden.

3.9 USA–UK: Partnerschaft bei KI und Sicherheit

In einer Veröffentlichung kündigen die USA und das Vereinigte Königreich an, dass ihre KI-Sicherheitsinstitute nahtlos bei Forschung, Sicherheitsbewertungen und Leitlinien für die KI-Sicherheit zusammenarbeiten. Dies erfolgt durch Informationsaustausch, enge Zusammenarbeit und den Austausch von Fachpersonal, um gemeinsame Fähigkeiten entwickeln. Sie unterzeichneten eine Absichtserklärung, die eine Zusammenarbeit bei der Entwicklung von Tests für die fortschrittlichsten KI-Modelle vorsieht und damit die auf dem KI-Sicherheitsgipfel im vergangenen November eingegangenen Verpflichtungen umsetzt.

3.10 USA: Richtlinie zu KI für US-Bundesregierung

Die durch das Executive Office des Präsidenten und den Office of Management and Budget herausgegebene Richtlinie "M-24-10" gibt die Rahmenbedingung für die Nutzung von Künstlicher Intelligenz (KI) innerhalb der US-amerikanischen Bundesregierung vor.
Es wird darin die Einführung von Mindestpraktiken für das Risikomanagement bei KI-Anwendungen verlangt, die die Rechte und Sicherheit der Öffentlichkeit beeinflussen könnten. Zudem wird eine jährliche Inventur und öffentliche Berichterstattung über KI-Anwendungsfälle von Behörden verlangt.
Bei den Beschäftigten wird die Stärkung der KI und KI-fähigen Talente durch Rekrutierung, Ausbildung und Förderung interner KI-Kapazitäten hervorgehoben. Zusätzlich werden Anreize für die Weiterentwicklung und den Austausch von KI-Modellen, Codes und Daten innerhalb der Bundesregierung und mit der Öffentlichkeit gegeben.
Die Regierungsstellen sind angehalten KI vorrangig zur Verbesserung der Zugänglichkeit von Regierungsdiensten, zur Bekämpfung von Nahrungsmittelunsicherheit, zum Schutz der Demokratie und der Menschenrechte sowie zur Förderung der wirtschaftlichen Wettbewerbsfähigkeit einzusetzen. Die Richtlinie betont die Bedeutung der Einhaltung bestehender Gesetze und Richtlinien zum Datenschutz, zur Cybersicherheit und zu Menschenrechten bei der Implementierung von KI-Systemen.
Einen Bericht dazu finden Sie hier.

3.11 USA: FISA-Neubewertung

Die Regelungen in den USA zur FISA (Foreign Intelligence Surveillance Act) waren mit eine der Grundlagen der Bewertung des EuGH in Schrems II (C-311/18) und fanden Berücksichtigung im Angemessenheitsbeschluss zugunsten Einheiten in den USA, die sich nach dem Data Privacy Framework zertifizieren lassen. Der Wissenschaftliche Dienst des US-Kongressen hat dazu nun einen Überblick erstellt.
Zusammen mit der geplanten Änderung im Hinblick auf eine Verlängerung und Neuformulierung nicht unbedingt die besten Aussichten für den bisherigen Angemessenheitsbeschluss, wie hier ausgeführt wird.

3.12 EU: Chatkontrolle (ein Update)

Es hört wohl nie auf. Aber zumindest scheinen die EU-Innenminister nun sensibilisiert zu sein, was es bedeuten kann, wenn verschlüsselte Kommunikation nicht für alle verschlüsselt wäre. Denn nach diesem Bericht wollen sie sich selbst im aktuellen Entwurf davon ausnehmen lassen. Und auch Angehörige von Sicherheitsbehörden wie Geheimdienste, Polizei und Militär sollen von der geplanten Überwachung ausgenommen werden. Die Verordnung soll auch auf „vertrauliche Informationen“ wie Berufsgeheimnisse keine Anwendung finden, unter die auch Anwälte und Ärzte fallen dürften.

3.13 Aktualisierung DSG-EKD

Die evangelische Kirche ist dabei ihr Datenschutzgesetz zu überarbeiten. Zwar ist der Stand der Überlegungen noch nicht veröffentlicht, aber eine geleakte Version wird hier ausführlich besprochen und bewertet. Für Auftragsverarbeitungen könnte es leichter werden, wenn die bisher geforderte Unterwerfung unter das DSG-EKD entfiele.

3.14 Quick Freeze statt Vorratsdatenspeicherung

Außer der vollmundigen Ankündigung, es gäbe eine Einigung und der Irritation der eigentlich zuständigen Innenministerin, die da wohl nicht so eingebunden wurde, warten wir nun auf einen formulierten Gesetzesentwurf: Damit sollen Kommunikationsdaten (insb. IP-Adressen) bei besonderen Verdachtsfällen erstmal eingefroren werden können, um sie dann später in Ermittlungsverfahren auswerten zu können.

3.15 Data Act: Überblick

Etwas mehr als nur ein kleiner Überblick über den Data Act (EU 2022/68) wird hier geboten. Neben den Zielen werden u.a. Betroffene adressiert, allgemeine und konkrete Pflichten vorgestellt sowie die Verpflichtung zur Information und zum Datenaustausch thematisiert.

3.16 Bayerisches Polizeiaufgabengesetz

Der Deutsche Anwaltverein (DAV) hat sich zum Bayerischen Polizeiaufgabengesetz (BayPAG) positioniert. In seiner Stellungnahme stellt der DAV fest, dass das angefochtene BayPAG vielfach hinter den verfassungsrechtlichen Vorgaben zurückbliebe. Dies gelte insbesondere für die in dem Gesetz vorgesehene Ausweitung von Eingriffsbefugnissen im Vorfeld konkreter Gefahren, die Regelungen zum Kernbereichsschutz und zum Schutz geschützter Vertrauensverhältnisse wie bei Berufsgeheimnisträgern. Er hält daher eine Verfassungsbeschwerde sowie den Antrag auf abstrakte Normenkontrolle zu den hier behandelten Regelungen für begründet.

4.1 Think Tanks und KI

Hier ist eine Auflistung mit Fundstellen der Veröffentlichung internationaler Think Tanks und Forschungseinrichtungen zu KI. Erstellt vom Wissenschaftlichen Dienst des Europäischen Parlaments.

4.2 Retrieval-Augmented Generation for Large Language Models

Retrieval-Augmented Generation (RAG) ist das KI-Stichwort, mit dem derzeit viele Firmen den unternehmenseigenen Datenschatz heben wollen. Mit den eigenen Unternehmensdaten chatten? Das domänenspezifische Wissen des Unternehmens heben? Schlüsse aus unstrukturierten Daten ziehen und unbekannte Zusammenhänge herstellen? Das alles und noch mehr soll mit dem RAG-Ansatz möglich sein. Hier fasst ein aktuelles Papier „Retrieval-Augmented Generation for Large Language Models: A Survey“ den Stand der Technik zusammen.

4.3 HAI: 2024 AI Index Report

Das Stanford Human Centered Artificial Intelligence der Universität Stanford hat seinen 2024 AI Index Report veröffentlicht. Der AI Index-Bericht verfolgt, sammelt, destilliert und visualisiert Daten im Zusammenhang mit künstlicher Intelligenz (KI). Sein Ziel ist es unvoreingenommene, streng geprüfte und breit gefächerte Daten bereitzustellen, damit politische Entscheidungsträger, Forscher, Führungskräfte, Journalisten und die breite Öffentlichkeit ein gründlicheres und differenzierteres Verständnis des komplexen Bereichs der KI entwickeln können. In diesem Jahr wurde das Themenspektrum erweitert, um wesentliche Trends wie den technischen Fortschritt in der KI, die öffentliche Wahrnehmung der Technologie und die geopolitische Dynamik, die ihre Entwicklung umgibt, umfassender zu erfassen. Diese Ausgabe enthält daher mehr Originaldaten als je zuvor, neue Schätzungen zu den KI-Ausbildungskosten, detaillierte Analysen der verantwortlichen KI-Landschaft und ein völlig neues Kapitel über die Auswirkungen der KI auf Wissenschaft und Medizin. Neben dem Report als Ganzes (immerhin 502 Seiten) gibt es die Kapitel auch einzeln zum Download.

Franks Nachtrag: Sie möchten vielleicht auch die Veranstaltung am 1. Mai 2024 zur Kenntnis nehmen.

4.4 KI und Cybersecurity

Wie können die Möglichkeiten einer KI für IT-Sicherheitszwecke eingesetzt werden und welche eignet sich am besten dafür? Darüber berichtet diese Meldung eines Fachmagazins.

4.5 ChatGPT jetzt ohne Account

ChatGPT ist nun auch ohne vorherigen Account in der kostenlosen Version nutzbar. An was dabei zu denken ist, wie das Angebot genutzt werden kann und welche Sicherheitsmaßnahmen OpenAI dazu angibt, lesen Sie hier.

4.6 Landkarten zu KI in der Schweiz und in Deutschland

Wer sich dafür interessiert findet hier eine umfassende Zusammenstellung der KI-Landschaft in der Schweiz. Für Deutschland stellt acatech (Deutsche Akademie der Technikwissenschaften e.V.) eine KI-Landkarte als Beitrag der vom Bundesministerium für Bildung und Forschung (BMBF) initiierten Plattform Lernende Systeme in Kooperation mit dem Bundesministerium für Wirtschaft und Klimaschutz (BMWK) bereit. Auch versucht sich der bitkom an einer Übersicht der zu KI-forschenden Stellen in Deutschland.

4.7 KI und Urheberrecht

Welche Folgen hat die Künstliche Intelligenz auf die Kreativität und die Verdienstmöglichkeit der Kreativbranche? Zu dieser Thematik hier ein Beitrag (Dauer ca. 12 Min) in einer Sendung von 3Sat-Kulturzeit.

4.8 BMJ KI Summit: Rückblick

Das Video der Veranstaltung im BMJ zum Thema KI und Urheberrecht ist auf der Webseite des BMJ verfügbar. Es sind auch nur ca. 5 ½ Stunden und das zweisprachig. Nicht nur der Stand der Datenschutzhinweise bei der Nutzung irritieren bei der Nutzung des Angebots. Aber das spiegelt immerhin authentisch den Stand der Digitalisierung in der politischen Blase in Berlin.

4.9 Schöne neue (Schein-) Welt – wirklich alles künstlich?

In diesem Bericht wird offengelegt, in welchen Fällen – wie beispielsweise bei automatisierten Lieferrobotern – es sich tatsächlich um stupides Marketing (handelt). Um es deutlich zu sagen – es wird gelogen, tatsächlich agieren Menschen. Marketingmäßig aber nicht die große Botschaft. Aber wie heißt es bei Marketing immer so schön: „Der Köder muss dem Fisch schmecken, nicht dem Angler.“ Aber evtl. kommt dem Fisch das Kotzen.

4.10 Vermeidung der Nutzung als Trainingsdaten

Was kann ich tun, wenn ich nicht will, dass meine Daten zum Training einer KI verwendet werden? Das lässt sich hier nachlesen.

4.11 Auswege aus der Hochrisiko-KI

In diesem zweiteiligen Beitrag einer Kanzlei befasst sie sich im ersten Teil mit Ausnahmen zu Hochrisiko-KI und im zweiten Teil mit den Möglichkeiten eines Anbieterwechsels.

4.12 KI im Personalwesen

Die Reihe, auf die bereits mehrfach hingewiesen wurde, hat nun auch einen Beitrag zu KI im Personalwesen. Neben Vor- und Nachteilen werden auch rechtliche Rahmenbedingungen angesprochen.

4.13 Auswirkungen der KI auf HR

In diesem professionellen Blog rund um HR findet sich ein Beitrag zu den Auswirkungen von KI auf HR. Dabei wird mir bewusst, dass sich mein Schwerpunktthema immerhin mit vier bis fünf Buchstaben abkürzen lässt (GDPR / DS-GVO), aber das scheint irgendwie boomermäßig zu sein, denn die hippen Themen benötigen nur noch zwei Buchstaben (AI, KI, HR).

4.14 KI und Ethik – Was Sie wollen?

Welche ethischen Werte vertreten Anbieter der verschiedenen LLMs? Sind die hinter verschiedene LLMs steckenden Werte abhängig vom Herkunftsland? Sind bestimmte Werte einem LLM immanent? Antworten können sich in dieser Veröffentlichung finden lassen: "High-Dimension Human Value Representation in Large Language Models“. Darin wird ein Werkzeug zur Untersuchung der Werteverteilungen in LLMs vorgeschlagen, um verschiedene Modelle, Sprachen und Kulturen zu vergleichen. Zudem wird die bestehende Wertetaxonomie verwendet. Es ist aber kein Benchmark für die Angemessenheit der menschlichen Werteausrichtung in jedem LLM.

4.15 New York State Bar Association Task Force on Artificial Intelligence

Die Anwaltskammer des Bundesstaates New York veröffentlicht einen Bericht und Empfehlungen über KI und den Anwaltsberuf. Darin warnen sie vor einem „Techno-Solutionismus', einem Verständnis, dass sich für soziale, politische und Zugangsprobleme eine Lösung findet, die auf der Entwicklung neuer Technologien beruht. Auch wird Anwälten empfohlen ihre Mandanten darüber zu informieren, wenn generative KI-Tools im Rahmen ihrer Vertretung eingesetzt werden. So schlägt die Anwaltskammer von Florida in ihrer Empfehlung vor, dass Anwälte eine informierte Zustimmung einholen, bevor sie solche Werkzeuge einsetzen. Unabhängig davon, ob ein Anwalt den Mandanten informiert oder eine formelle Zustimmung einholt, bliebe die ethische Verpflichtung zum Schutz von Mandantendaten bei der Einführung generativer KI-Tools unverändert.

4.16 KI und Daten – digitaler Rinderwahn

Es gibt dafür bereits eine passende Bezeichnung: „digitaler Rinderwahn“ oder „Habsburger AI“ – Das Phänomen, dass eine KI möglichst viele und möglichst vielfältige Daten zum Training braucht, um ideale Ergebnisse zu liefern. Nur gehen dazu langsam die Daten aus. Wenn es keine qualitativ hochwertigen Daten für das Training gibt, verliert auch die KI ihren Wert. Letztendlich leidet die Qualität, wenn als Trainingsdaten nur noch Daten berücksichtigt werden, die selbst von einer KI stammen. Mehr dazu in diesem Beitrag.

4.17 Sachsen: Beirat für digitale Ethik

Wie hier berichtet wird, will Sachsen einen Beirat für digitale Ethik gründen. Das passt zeitlich auch gut zum KI-Kongress, der Mitte April in Sachsen stattfand.

Franks Nachtrag. Und so ein Beirat für digitale Ethik scheint dringend geboten – und wenn es nur ist, um den sächsischen Innenminister bei seinen Plänen rund um den KI-Einsatz zur Kriminalitäts- und Terrorbekämpfung angemessen zu begleiten.

4.18 KI und Wasserverbrauch – auch eine ethische Frage

KI soll uns nützen – hört und liest sich immer wieder. Ist es aber ethisch vertretbar jede Deppenfrage mit einer KI zu klären, die dafür unverhältnismäßig viel natürliche Ressourcen benötigt? Was ich nur laienhaft formulieren kann, liest sich hier wissenschaftlicher: „An Elemental Ethics for Artificial Intelligence: Water as Resistance Within AI’s Value Chain“. "Eine elementare Ethik für künstliche Intelligenz: Wasser als Widerstand innerhalb der Wertschöpfungskette von KI" klingt akademischer – ist es sicher auch, meint aber dasselbe.

4.19 OECD und Fähigkeiten zur Nutzung von KI im Beruf

Die OECD hat sich mit den Auswirkungen von KI auf den Arbeitsmarkt befasst und unter dem Titel Artificial intelligence and the changing demand for skills in the labour market ihre Ergebnisse veröffentlicht. Danach benötigen die meisten Arbeitnehmer:innen, die mit künstlicher Intelligenz (KI) in Berührung kämen, keine speziellen KI-Kenntnisse (z. B. maschinelles Lernen, Verarbeitung natürlicher Sprache usw.). Trotzdem werde KI die Aufgaben dieser Mitarbeiter:innen und die Fähigkeiten, die sie benötigen, verändern. Der Bericht enthält erste Schätzungen für die Auswirkungen von künstlicher Intelligenz auf die Nachfrage nach Fähigkeiten in Berufen, die keine spezialisierten KI-Fähigkeiten erfordern. Die Ergebnisse zeigten, dass die am meisten nachgefragten Fähigkeiten in Berufen, die stark mit KI in Berührung kommen, Management- und Geschäftskompetenzen seien. Dazu gehörten Fähigkeiten in den Bereichen allgemeines Projektmanagement, Finanzen, Verwaltung und Bürotätigkeiten. Die Ergebnisse zeigten auch, dass die Nachfrage nach diesen Fähigkeiten in Berufen, die stark von KI betroffen sind, im Laufe der Zeit gestiegen ist. So sei der Anteil der offenen Stellen in diesen Berufen, die mindestens eine emotionale, kognitive oder digitale Fähigkeit erfordern, um 8 Prozentpunkte gestiegen. Anhand eines Panels von Betrieben (das plausibel exogene Variationen in der KI-Exposition induziert) findet der Bericht jedoch Hinweise darauf, dass die Nachfrage nach diesen Fähigkeiten zu sinken beginnt.

4.20 bitkom: Informationen zur Einordnung der Risikoklassen im AI Act

Auch wenn es noch keine finale Fassung des AI Acts nach der redaktionellen Überarbeitung in allen Sprachen der Mitgliedsstaaten der EU gibt – der bitkom veröffentlicht Hilfen für die Einordnung zu den Risikoklassen nach dem AI Act. Neben den Erläuterungen dazu bietet er auch ein Online-Tool für die Einordnung an.

4.21 Transparenzanforderungen DS-GVO / AI Act

Eine Kanzlei hat die Transparenzanforderungen aus der DS-GVO (GDPR) mit denen aus dem AI Act verglichen und in Tabellenform zusammengefasst.

4.22 Cyberattacken und KI

Der Bericht des swr befasst sich mit dem Einfluss von KI auf Cyberattacken und ergänzt ihn mit Zitaten und Interviews aus einer Veranstaltung zum Thema.

4.23 LLM und Cybersicherheit

Wie hier berichtet wird, zeigt eine aktuelle Studie, dass große Sprachmodelle (LLMs), insbesondere GPT-4, mit bestimmten Rahmenbedingungen (CVE-Beschreibungen) in der Lage sind Ein-Tages-Schwachstellen in realen Systemen autonom mit einer Erfolgsquote von 87% auszunutzen.
Die Forschung unterstreicht einen bedeutenden Fortschritt im Einsatz von KI in der Cybersicherheit, der sowohl potenzielle Risiken als auch Vorteile birgt. Die Ergebnisse fordern eine Neubewertung des Einsatzes solch fähiger KI-Agenten in der Cybersicherheit, unter Berücksichtigung ihrer Fähigkeit Schwachstellen autonom auszunutzen. Ethische Überlegungen werden diskutiert, wobei der verantwortungsvolle Einsatz und die Bedeutung eines sicheren Einsatzes von LLM-Technologien in sensiblen Umgebungen betont werden.

4.24 Meta, LLM und Cybersecurity

Auch Meta hat das Thema Cybersecurity und LLM für sich entdeckt und widmet ihm eine Veröffentlichung unter dem Titel „A Wide-Ranging Cybersecurity Evaluation Suite for Large Language Models”. Wäre ja nicht auszudenken, wenn Produkte aus dem Hause Meta mit Unsicherheiten in Verbindung gebracht werden könnten.

4.25 KI und die Wahrheit

Ein wohl nicht endendes Thema, das hier wissenschaftlich betrachtet wird: „Do large language models have a legal duty to tell the truth?“
Sie finden es hier.

4.26 KI in der wissenschaftlichen Nutzung in der EU

In einem wissenschaftlichen Gutachten wird hier untersucht, wie die Europäische Kommission die verantwortungsvolle Einführung künstlicher Intelligenz in der Wissenschaft in der Europäischen Union beschleunigen kann. Der Schwerpunkt liegt auf einer verantwortungsvollen Einführung von KI in der Wissenschaft – einschließlich der Bereitstellung des Zugangs zu hochwertiger KI, der Achtung der europäischen Werte und der Stärkung der Position Europas in der Wissenschaft, um Innovation und Wohlstand in der EU zu fördern. Die Veröffentlichung erfolgte durch die European Federation of Academics of Sciences and Humanities (allea).

4.27 Training von KI – Bewertung der Aussagen einiger Aufsichtsbehörden

Zu den Aussagen der Aufsichten aus Frankreich (die Information dazu gaben wir hier) und Belgien (Bericht dazu hier) hinsichtlich der datenschutzrechtlichen Grundlagen zum Training von KI hatte ich Sie bereits informiert. Nun formuliert sich Kritik an dortigen Aussagen. Das Training eines Systems könne nicht vom eigentlichen Zweck des Systems getrennt werden. Dies habe einen wesentlichen Einfluss auf die Frage der Kompatibilität. Grundsätzlich und rechtlich müsse die Erstellung und das Training von KI-Modellen/Profilen für einen bestimmten Zweck (sei es Direktmarketing oder Gesundheitsfürsorge) auf der Rechtsgrundlage beruhen, die für diesen Endzweck herangezogen wird. Die Tatsache, dass die Erstellung und das Training der Modelle/Profile eine "erste Phase" in einem zweistufigen Prozess sei (wobei der Einsatz der Modelle/Profile die "zweite Phase" bildet), ändere daran nichts.
Ausnahmsweise könne die Verarbeitung nach der DS-GVO jedoch auch durch ein Gesetz oder durch eine von einer Datenschutzbehörde nach dem einschlägigen Gesetz (wie in Frankreich) erteilte Genehmigung genehmigt werden, sofern das Gesetz oder die Genehmigung der Datenschutzbehörde angemessene Garantien vorsieht. Dies ist die einzige Einschränkung, die der Verfasser zu dem oben genannten Grundsatz akzeptiert. Seiner Ansicht nach verstoße die Entwicklung und Schulung von KI-Systemen und -Modellen für allgemeine Zwecke, die definitionsgemäß nicht für einen im Voraus festgelegten Zweck, sondern für eine Vielzahl von Zwecken entwickelt werden, wohl gegen den in Art. 5 Abs. 1 lit. b DS-GVO festgelegten Grundsatz der Zweckbindung.

4.28 Microsoft KI: VASA 1

Bislang verband ich mit Vasa ein im Hafen von Stockholm gesunkenes Schiff, jetzt gibt es eine weitere Verknüpfung: Microsoft hat unter diesem Namen seine Anwendung präsentiert, bei der mittels KI aus einem Foto und einem Audiofile ein Video mit Auditspur dieser Person erstellt wird. Sehen Sie selbst.

Franks Nachtrag: Hier gibt es einen Bericht, nach dem das erst mal nur als Demo zu verstehen ist. Angeboten werden soll diese KI absehbar nicht.

4.29 CoPilot und Benutzerdaten

Wie geht Microsoft CoPilot mit Benutzerdaten um? Aussagen finden sich dazu hier bei Microsoft (mit Stand 19.04.2023) und eine Zusammenfassung dazu dort. Microsoft informiert dabei, dass durch die kürzlich im Rahmen von Updates des Edge-Browsers auf Windows-Systemen hinzugefügte Copilot-App keine Benutzer- oder Systemdaten erfasst oder an Microsoft-Server gesendet werden.

Franks Nachtrag: Für den Kontext hier noch ein Bericht und ein wie gewohnt spitzer Kommentar.

4.30 EWDE: Leitlinien für die Nutzung von KI

Das Evangelische Werk für Diakonie und Entwicklung e.V. hat sich selbst Leitlinien zur Nutzung von Künstlicher Intelligenz gegeben. Zur Anwendung kommen sie damit auch bei „Brot für die Welt“ und der Diakonie Katastrophenhilfe.

4.31 UK: Gesetzliche Aktivitäten gegen Nacktbilder durch KI

Wie können Belästigungen und Mobbing durch Nacktbilder, die durch KI erstellt wurden und echte Menschen über Deepfakes bloßstellen, verhindert werden? Großbritannien versucht es über ein Gesetz. Damit soll neben der bisherigen Verbreitung von KI-generierten Nacktbildern realer Personen auch deren Erstellung verboten werden. Mehr dazu in diesem Beitrag.

5.1 Datenzugangsrechte im Data Act

In diesem Podcast der Forschungsstelle Recht (Dauer ca. 11 Min.) im Deutschen Forschungsnetzwerk (DFN) geht es um Datenzugangsrechte durch den Data Act.

5.2 Besseres Datenschutzrecht?

Geht es besser? Könnten Fehler korrigiert werden? Großbritannien scheint sich hier nach dem Austritt aus der EU Gedanken zu machen. Hier ist der Link zu Vorträgen zu dem Thema bei einer Veranstaltung in Cambridge im März 2024 des Centre for Intellectual Property and Information Law (CIPIL) mit dem Titel 'Data Protection Reform'.

5.3 „Consent or Pay“ oder Aspekte zur Freiwilligkeit

In den nächsten Wochen wird die Stellungnahme des EDSA zur Frage „Consent or Pay“ erwartet, wir berichteten. Worum geht es da? Im EuGH-Urteil Meta/BKartA C-252/21 hat der EuGH dargelegt, dass es seiner Ansicht nach möglich sei, dass eine nutzende Person die Wahl habe, einen online-Content zu nutzen, wenn es die Wahl gibt dafür zu zahlen oder eine Nutzung der eigenen Daten zu erlauben (RN 150). Das klingt toll – der Teufel steckt aber im Detail. Dem Schlagwort „Datenschutz nur für Reiche“ steht die Auffassung gegenüber, dass ja niemand diese Leistungen nutzen müsse, die auch finanziert werden müssen. Argumente für die jeweiligen Aspekte findet sich hier (auf der Seite ist ein Video verlinkt mit ca. 12 Min. Dauer) von noyb, die dazu mit anderen Organisationen eine Beschwerde einlegten, aber auch bei Verbänden der digitalen Wirtschaft, die dazu einen längeren Leitfaden veröffentlicht haben oder auch auf europäischer Ebene durch IAB Europe. Eine schöne Darstellung der Thematik findet sich hier.

5.4 NeuRIS: Rechtsinformationen als Open Data

In einem gemeinsamen Projekt des BMJ, des Bundesamtes für Justiz und des Digital Services sollen Rechtsinformationen in einem unkomplizierten Zugang für Bürgerinnen zugänglich sein, die Gesetze, Verordnungen und Gerichtsentscheidungen einsehen möchten. Die Umsetzung erfolgt im Rahmen der Open-Data-Strategie der Bundesregierung. Es besteht aus einem leistungsstarken Rechtsinformationssystem (RIS) mit Datenhaltung und Dokumentationsumgebung sowie einem Rechtsinformationsportal für öffentliche Recherchen.
Es gibt auch schon eine Webseite dazu. Immerhin.
Für alle, für die das bereits die Krönung der Verwaltungsdigitalisierung darstellt, wird ein Blick nach Österreich empfohlen. Die haben das bereits seit Jahren als Rechtsinformationssystem des Bundes. Und um noch die Schamesröte etwas roter werden zu lassen: Auch Entscheidungen der österreichischen Datenschutzbehörde sind dort zu finden.

5.5 Meta und Netflix

Wieder ein Beitrag aus der Rubrik „Wenn aus Vorurteilen Erfahrungswerte werden...“: Es wurde nun im Rahmen eines Gerichtsverfahrens der Vorwurf bekannt, dass Netflix und Facebook (Meta) schon in früheren Jahren fröhlich Daten der Nutzer austauschten. Mehr dazu – auch zu Reaktionen von Meta und Facebook – finden Sie hier, inklusive Tipps, wie Sie Social-Media-Konten richtig löschen.

5.6 Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) EU VO 2022/2554 umfasst 79 Seiten. Das BaFin hat dazu bereits Informationen veröffentlicht. Hilfreich für eine Einordnung ist aber auch eine Übersicht (die auf LinkedIn veröffentlicht wurde), die zudem auch die Verweise auf die insgesamt sieben Regulatory Technical Standards (RTS), die zwei Implementing Technical Standards (ITS) und die zwei Joint Guidelines (JGL) enthält.

5.7 Haftung der Geschäftsführung und Cybersicherheit

Wer Fachleuten nicht glaubt, kann sich auch gerne am bitkom orientieren: Das Haftungsrisiko für Geschäftsleitungen bei Cyberangriffen steigt. Dazu müssen aber nicht unbedingt kostenpflichtige Seminare gebucht werden, manchmal reicht es auch auf interne Empfehlungen zu hören.

5.8 NIST: Konsultation zu Recommendations

Das National Institute of Standards and Technology (NIST) hat im April 2024 seinen überarbeiteten Entwurf zu „Incident Response Recommendations and Considerations for Cybersecurity Risk Management“ veröffentlicht. Hinweise dazu können bis 20. Mai 2024 über die E-Mail-Adresse eingereicht werden, die sich auf Seite 4 des Dokumentes befindet.

5.9 Podcast und Beitrag zur Auskunft

In dieser Ausgabe eines Podcasts (Dauer ca. 50 Min.) unterhalten sich zwei Experten zu der letzten Rechtsprechung zum Umfang des Auskunftsanspruches nach Art. 15 DS-GVO und zu den Folgen für die Praxis. Passend dazu eine andere aktuelle Darstellung zur Problematik und der aktuellen Rechtsprechung.

5.10 Europol, Polizei und Löschen

Das Thema „Öffentliche Stellen und das Löschen“ bietet immer wieder Anlass zu Berichterstattung. Scheinbar können es öffentliche Stelle wie die Polizei nie richtig machen, entweder regt sich die Öffentlichkeit auf, weil Daten nicht gelöscht werden oder wie hier, weil Daten auf einmal weg sind. Wer sicher gehen will, dass die Polizei keine unnötigen Daten speichert, kann wie hier beschrieben vorgehen.

5.11 Bundescloud – Daten nur in Deutschland

Na, mal sehen, wie das wird: Laut der Pressemeldung hat die Bundesverwaltung einen Auftrag für den Aufbau einer besonders strikt abgesicherten Computer-Cloud-Lösung erteilt. Dabei wurde in der Ausschreibung des Rahmenvertrags eine Obergrenze von 410 Millionen Euro genannt. Umgesetzt werden soll dies mit einer "privaten Enterprise-Cloud", die unter anderem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurde und in den Rechenzentren des Informationstechnikzentrums Bund (ITZBund) betrieben werden soll.
Das Besondere an dieser Lösung sei, dass diese Plattform nicht mit dem öffentlichen Internet verbunden ist. Dabei wird ein Konzept verwendet, das als "Air Gapping" bekannt ist. Das mache es für Außenstehende nahezu unmöglich, auf sensible Informationen zuzugreifen. Beim "Air Gapping" werden die Rechner von den Netzwerken separiert, der Datenverkehr für Softwareupdates wird dann beispielsweise mit transportablen Speichermedien erledigt.

5.12 Angriff auf Microsoft

Die Meldungen werden irgendwie nicht weniger. Nun sollen nach diesem Bericht auf Basis der US-Behörde für Cybersicherheit russische Hacker Zugänge zum E-Mail-System von Microsoft genutzt haben.

5.13 Data Act und GDPR

Zuerst rufen alle nach Zugriff auf Daten, aber wenn es dann die eigenen sein sollen, zicken sie rum. Etwas eleganter, qualifizierter und auf Englisch befasst sich diese Kanzlei mit den Fragen zum Data Act und der DS-GVO.

5.14 Übersicht Regulierung IT-Sicherheit auf Basis NIS2

Wer hat noch den Durch- bzw. Überblick, welche Regelung im Cybersicherheitsumfeld für wen gilt und was die jeweiligen Kernanforderungen sind? Diese Übersicht könnte helfen. Der NIS2 werden andere rechtliche Vorgaben gegenübergestellt, wie Kritis, TKG, EnWG und DORA.

5.15 Microsoft: Sicherheit und Image

Es hat sich wohl nun bis in die Chefetagen bei Microsoft herumgesprochen. Wohlwollend formuliert war das Image bezogen auf Sicherheitsanforderungen und Kommunikation schon besser. Und daran erinnert sich nicht nur die Boomer-Generation. Doch auch in den USA wird das aktuelle Sicherheitsniveau von Microsoft kritisch gesehen. Wie Microsoft dem nun entgegenwirken will, ist hier nachzulesen. Dass es seitens des BSI zu dem Sicherheitstheater bei Microsoft und den dortigen Kompetenzdarstellern bislang keinen Kommentar gab, wird in diesem Meinungsbetrag kritisiert. Andererseits, wenn es dies täte – wie wirkte sich das wohl auf die Auswahlanforderungen aus Art. 28 Abs. 1 DS-GVO aus? Sicher agil.

Franks Nachtrag: Der erste Link verlangt ja noch "Consent or Pay", deswegen hier eine internationale Quelle. Außerdem hier ein Auszug aus der verlinkten Quelle mit einer schönen Schlussfolgerung.

Franks zweiter Nachtrag: Wie hier in Kurzform dargestellt wird, wird hier im Artikel in Langform darüber berichtet, dass Microsoft und Sicherheit nicht immer ein Dreamteam sind. Aber andererseits, was soll bei so einer exotischen Anwendung wie dem Druckerspooler schon passieren?

Franks dritter Nachtrag: Das scheint ja wirklich nicht so gut zu laufen mit Microsofts Security-Image, wenn jetzt sogar schon Investoren unangenehme Fragen stellen.

Franks vierter Nachtrag: In diesem Artikel wird die Perspektive gedreht: Die US-Regierung hat ein Microsoft-Problem. Meiner Meinung nach nicht nur die, aber wer fragt schon mich...

5.16 Cybersicherheitstrends und Bedrohungslagen

Auf Basis der Allianz „Cyber security trends 2023“ erfolgt hier eine Analyse der Herausforderungen in der Bedrohungslage. Dabei wird auch auf neue „use cases“ im (offiziellen) kriminellen Umfeld der Datenverarbeitung berichtet: Zum Beispiel weg von primär erpressungsbasierten Angriffen, bei denen die Systeme der Opfer unverschlüsselt bleiben. Seit Januar 2023 konzentriert sich die Gruppe auf das Ausnutzen von Daten ohne die Verwendung von Verschlüsselung. Dies hätte für die Täter den Vorteil der schnelleren Durchführung mit weniger Spuren und Erhöhung des psychologischen Drucks – bei der Drohung der Veröffentlichung von z.B. vertraulichen (Kunden-) Daten. Oder die Ausnutzung von Lieferketten, um Angriffe zu starten.

5.17 Länderindex und Behördendigitalisierung

Der bitkom veröffentlicht seinen Länderindex der Digitalisierung mit einem Ranking der 16 Bundesländer und Bayern liegt nicht vorne. Kann das sein? Ok, bei Stadtstaaten wie Hamburg und Berlin, die im Ranking vor Bayern liegen, kann es auch auf Basis der Struktur und Größe gewisse Vorteile geben. Zu dem Stand der Behördendigitalisierung gibt es auch einen Hörfunkbeitrag des BR (Dauer ca. 14 Min.) mit einem fachkundigen Interviewpartner der Digitalisierung in Bayern.

5.18 Bedrohungen mit gestohlenen Zugängen über gefakte Rechnungen

Es wird immer fieser. Hier können Sie nachlesen, wie deutsche Unternehmen mit einer E-Mail-Kampagne angegriffen wurden, und dass davon ausgegangen wird, dass dabei eine Technik zum Einsatz kam, von der vermutet wird, dass dabei auch große Sprachmodelle verwendet wurden. Es wurden massenhaft gefakte Rechnungen der Metro versandt.

5.19 Social Engineering – Pentest: Hinter den Kulissen

Hier lässt sich mal schön nachlesen, wie so ein Test eines Social Engineerings-Angriffs geplant wird, abläuft und warum er fast schief ging. Seien, bleiben, werden Sie kritisch – und bleiben Sie höflich.

5.20 Webseiten und Compliance

Aus diesem Bericht geht hervor, dass viele Webseiten auch Cookies setzen, bevor eine erforderliche Einwilligung gegeben oder gar abgelehnt wurde. Er stützt sich auf eine Untersuchung von 97.000 europäischen Webseiten durch die University of Amsterdam. Wer jetzt glaubt, das störe eh niemanden, sei an die anlasslose Prüfaktion erinnert, die das BayLDA letzten Winter startete und auch das siebenstellige Bußgeld, das das BayLDA im letzten Tätigkeitsbericht unter Ziffer 18 erwähnte, hatte seine Ursache in einer nicht ordnungsgemäßen gestalteten Cookie-Einbindung, wie der Präsident des BayLDA im Podcast zum Tätigkeitsbericht ab Min. 17 ausführte.

5.21 Plädoyer für Ende-zu-Ende-Verschlüsselung

Angesichts der Forderung von Europol, dass durch eine Ende-zu-Ende-Verschlüsselung die Möglichkeit der Polizei, auf Kommunikationsinhalte von Verdächtigen zuzugreifen, eingeschränkt würden, wird in diesem Beitrag das Spannungsfeld zwischen individueller Privatsphäre und öffentlicher Sicherheit thematisiert. Etwas beruhigend ist dabei noch, dass seitens des BSI auf das Erfordernis einer sicheren Ende-zu-Ende-Verschlüsslung hingewiesen wurde. Mehr dazu auch hier.

5.22 Worldcoin – Es geht weiter ...

Über die Aktivitäten der einzelnen Aufsichten von Spanien über Portugal und dem BayLDA hatten wir bereits berichtet, nun kommt das nächste Kapitel: Worldcoin kündigt nach diesem Bericht an, dass sie im Sommer auf eine eigene Blockchain („World Chain“) wechseln wollen. Dabei solle auch dort der Grundsatz „humans first“ gelten. “Verifizierte Menschen erhalten vorrangig Blockspace gegenüber Bots und ein Kontingent an Gas für gelegentliche Transaktionen”, heißt es von Worldcoin.
Nach Angaben von Worldcoin hätten sich nach nicht einmal einem Jahr am Markt über zehn Millionen Menschen für eine World ID registriert. Sie fungiere als eine Art digitaler Personalausweis, der gleichzeitig als Wallet genutzt wird. 75 Millionen Transaktionen seien inzwischen durchgeführt worden. Fünf Millionen der Nutzer hätten die “World ID mit einem Orb verifiziert”. Nach dem Bericht wird auch die Einführung einer Option zur Löschung der World ID eingeführt und als großer Erfolg und als wichtiger Schritt in Richtung eines bestmöglichen Datenschutzes und einer sehr weitgehenden Nutzerkontrolle hervorgehoben. Auch die Möglichkeit, den Iris-Code dauerhaft zu löschen, werde geboten.
Im analogen Leben käme man sich bei einer Aussage eines Automobilhersteller „das Fahrzeug habe auch Bremsen“ nicht ernstgenommen vor. In der digitalen Welt führt so eine Aussage zu Euphoriesprüngen „in der Szene“ ...

5.23 Veranstaltungen

01.05.2024, 12:00 – 13:15 Uhr (PDT!), hybrid: Den AI Report 2024 des HAI der Universität Stanford hatte ich Ihnen schon vorgestellt und zugemutet (es sind ja nur 504 Seiten), schon komme ich mit der nächsten Information dazu: Der Report wird durch das HAI (auch über eine Video-Konferenz) vorgestellt. Natürlich könnten Sie auch vor Ort teilnehmen. Registrieren Sie sich aber vorher in beiden Fällen hier. Und denken Sie bitte an die Zeitverschiebung bei der Zeitangabe!

Franks Nachtrag: Wenn Sie also von einer "Tanz in den Mai"-Veranstaltung wieder glücksselig zu Hause (oder im Büro) angekommen sind, dann ist um 04:00 Uhr morgens doch die beste Zeit für solch eine Veranstaltung, oder?

02.05.2024, 10:00 – 11:00 Uhr, online: Die IHK Nürnberg bietet ein IHK-Webinar zum Thema „Ransomware – eine Herausforderung für Unternehmen und Strafverfolgung" an. Ein Oberstaatsanwalt von der Zentralstelle Cybercrime Bayern leitet die „Taskforce Cyberangriffe auf Unternehmen und Einrichtungen“ und beleuchtet die aktuelle Bedrohung durch Ransomware. Dabei geht er auf Täterstrukturen, Angriffsweisen und die Herausforderungen für Unternehmen und Strafverfolgung ein. Weitere Informationen und Anmeldung hier

07.05.2024, 14:00 – 17:00 Uhr, in Hamburg: Der HmbBfDI und die Hamburger Datenschutzgesellschaft e.V. laden zum 3. Hamburger Datenschutzforum ein. Thematisiert werden Fragen rund um Künstliche Intelligenz in allen Lebenslagen: Von Text- und Bildgeneratoren über E-Mail-Sortierung, automatisierte Geldanlagen, Krebsfrüherkennung bis hin zu gefahrenerkennender Videoüberwachung – KI verspricht eine immer effizientere Zukunft. Zugleich steht die Privatsphäre mit der zunehmenden KI-Datenverarbeitung vor immer größeren Herausforderungen: KI-Systeme und die etablierten Grundsätze der DS-GVO scheinen auf den ersten Blick schwer miteinander vereinbar zu sein. Training und Weiterentwicklung der KI-Systeme erfordern eine Menge von Daten, auch von personenbezogenen Daten. Die Liste der Redner umfassen die Datenschutzaufsicht, Experten mit datenschutzrechtlichem und sicherheitstechnischem Hintergrund und Google.

05.-07.06.2024, Präsenztickets für Bühnen in Berlin, Bochum, Heilbronn, Leipzig und Nürnberg – oder online: Unter dem Motto “Tales of Tomorrow” bietet das Festival drei Tage lang eine Plattform für Austausch, Diskussion und Networking. Das University:Future Festival ist ein digital first Event. Das bedeutet: Alle Programmpunkte finden online statt; nahezu alle Teilnehmenden sind online dabei. Zur Vernetzung gibt es limitierte Präsenztickets für Bühnen in Berlin, Bochum, Heilbronn, Leipzig und Nürnberg. Englischsprachige Programmpunkte finden sich in Berlin und digital. Das Programm der Partnerbühnen in Bochum, Heilbronn, Leipzig und Nürnberg ist in deutscher Sprache. Weitere Informationen und Tickets hier.

6.1 Meinungsfreiheit und Persönlichkeitsschutz

Wer sich zu dem Spannungsfeld zwischen Meinungsfreiheit und Persönlichkeitsschutz informieren möchte, dem sei diese Webseite empfohlen, die sich anlässlich eines aktuellen Falles mit den rechtlichen Grundlagen und Abgrenzungen (und vielen weiteren Links zu verwandten Themen) befasst.

6.2 UK und Smartphones für Jugendliche

Was das wohl wird? In Großbritannien wird überlegt den Verkauf von Smartphones an Personen unter 16 Jahren einzuschränken. Personen unter 16 Jahren würden demnach nur Geräte ohne Social-Media-Apps erhalten.

Franks Nachtrag: Sie möchten auch hier weiterlesen.

6.3 Informationsfreiheit und Realität

In diesem Gespräch auf YouTube (Dauer 45 Min) wird der Leiter des Projektes FragDenStaat interviewt. Dieses ist in der Öffentlichkeit für eine Service-Plattform bekannt, mit welcher an 40.000 verschiedene Behörden auf Kommunal-, Landes-, Bundes- und EU-Ebene Anfragen versendet werden können. FragDenStaat bringt so Informationen an die Öffentlichkeit, die sonst „in Aktenschränken verstauben“ würden. Das Gespräch umfasst auch Berichte zu einer nicht erfolgreichen Klage gegen FRONTEX, Klagen aus dem Fahrrad-Aktivismus, wann es mehr Abwägung zwischen dem Steuergeheimnis und einem öffentlichen Interesse braucht und wo die Grenzen des Möglichen in der Informationsfreiheit liegen.

6.4 KI an Schulen – Leitlinien aus Hamburg

Die KI-Leitlinien der Kompetenzstelle KI am Landesinstitut für Lehrerbildung und Schulentwicklung in Hamburg sind öffentlich zugänglich und Umsetzungsansätze oder Erkenntnisse daraus sind sicher nicht auf die Hansestadt begrenzt. Neben rechtlichen Aspekten werden Einsatzmöglichkeiten und Auswirkungen auf die Gesellschaft behandelt.

6.5 Digitalisierung und Demokratie

Das Thema erreicht jetzt auch in Deutschland immer mehr gesellschaftliche Kreise: Schadet oder nutzt Digitalisierung der Demokratie? Ein Vortrag zu diesem Thema ist nun auf YouTube (Dauer ca. 41. Min.) veröffentlicht worden.
Wer sich für das Thema interessiert, kann sich auch dieses Video auf YouTube (Dauer ca. 28 Min.) eines Gesprächs in entspannter Atmosphäre zu Machtstrukturen in der digitalen Wirtschaft und Demokratie ansehen.

6.6 Sicherheitswarnung vor Kid Security

Langsam fällt es auf. Nicht nur eine App für Kita-Nutzer hat datenschutzrechtliche Schwachstellen (wir berichteten) – nun wird auch vor einer App gewarnt, die Kinder überwacht – durch die Eltern. Sicherheitsforscher entdeckten, dass Millionen von sensiblen Daten, inklusive Standortdaten, Audioaufnahmen und private Nachrichten, aus der beliebten Kinder-Tracking-App "Kid Security" ungeschützt im Internet auffindbar waren. In dem Bericht dazu sind auch Links zu weiteren Informationen enthalten, welche rechtlichen Ansprüche Verbraucher:innen dazu haben und auf der Webseite dazu auch, wie sich am besten geschützt werden kann.

6.7 Informationen zu SmartPhones für Kids

In England formiert sich eine Bewegung, die sich dafür einsetzt, das Mindestalter für Kinder zum Besitz eines Smartphones nach oben zu setzen – vorher gäbe es Modelle mit eingeschränkter Funktion wie Telefonie. Die Nachteile durch Beeinflussung und Belästigung überwiegen die Vorteile. Bei uns sind solchen Überlegungen und Konsequenzen noch den Eltern überlassen. Hilfen finden sie dann z.B. beim BSI oder bei klicksafe.

6.8 Suchtgefahr bei TikTok

Nach diesem Bericht untersucht die EU-Kommission, inwieweit durch den Algorithmus eine Suchtgefahr bei Kindern und Jugendlichen entstehen kann. Anlass ist (diesmal) eine neue, App, bei denen minderjährige Nutzer durch ein Anreizsystem verleitet werden die App lange zu nutzen und Bewertungen abzugeben.

6.9 „Chinesische Besonderheiten lassen wir mal außen vor“

In diesem Gastbeitrag einer Tageszeitung wird thematisiert, inwieweit die Nutzung von TikTok durch den Bundeskanzler rechtlich aus Datenschutzsicht angreifbar sei. Mindestens originell finde ich den Satz „Sieht man von der 'chinesischen Besonderheit' ab, dann mag man die Aktivitäten des Kanzlers auf Social Media belächeln, aber nicht verbieten.“ Ob nun bei einer rechtlichen Beurteilung unser Maßstab eines Rechtsstaates berücksichtigt werden soll oder nicht, möchte ich nicht jetzt nicht mehr der Bewertung eines Medienrechtlers überlassen. Vielleicht bin ich da auch zu sehr von der Generation der Juristen geprägt, während deren Studienzeit dieses Buch erschien.

7.1 TikTok, Fisch und Köder

Mancherorts wird die Nutzung von TikTok damit begründet, dass der Köder dem Fisch schmecken muss und nicht dem Angler. Daran dachte ich, als ich hier las, dass es Dritte-Weltkriegs-Prophezeihungen auf TikTok gibt: Wer ist der Angler, was ist der Köder und wer ist der Fisch?

7.2 Digitales Vorbild der baltischen Staaten

Ehrlich gesagt nervt es etwas, wenn kleine Staaten ohne föderale Strukturen, die aus historischen Gründen ihre Verwaltung neu und damit gleich digital konzipieren konnten, immer wieder als Vorbild genannt werden. Daher der Hinweis, dass auch dort Unzulänglichkeiten entstehen können, wie in Estland, wo Daten von 700.000 Kunden von einem Apothekendienstleister abflossen. Und zur Einordnung, Estland hat 1,3 Mio. Einwohner. Betroffen waren die Nutzer eines Kundenkartensystems. Also etwas mehr Verständnis, wenn bei uns z.B. im Rahmen des eRezeptes Anforderungen an IT-Sicherheit und Zugriffskonzepte diskutiert werden.

7.3 China ohne Technologie aus den USA?

Nicht nur westliche Regierungen haben Misstrauen gegenüber Komponenten aus östlichen Ländern. Auch östliche Länder haben Misstrauen gegen über Komponenten aus anderen Staaten, wie hier über China und die USA berichtet wird. Inwieweit sich das dann auch auf Ausschreibungen, wettbewerbsrechtliche Vorgaben, aber auch Auswahlkriterien bei Auftragsverarbeitern und Herstellern niederschlägt, bleibt abzuwarten.

7.4 Weizenbaum-Report: KI als Jugendphänomen?

Die Nutzung von Künstlicher Intelligenz sei in der deutschen Gesellschaft derzeit vor allem ein Jugend- und ein Freizeitphänomen. Das ist das Ergebnis einer repräsentativen Befragung, die das Berliner Weizenbaum-Institut im neuen Jahresreport des Forschungsinstituts veröffentlichte. Die Ergebnisse der Studie werden in einem interaktiven „Data Explorer“ nach verschiedenen Bevölkerungsgruppen differenziert anschaulich dargestellt.
Laut der Studie zu den Themen Internetnutzung, demokratische Einstellungen und politische Partizipation in Deutschland haben 85 Prozent der 16- bis 34-jährigen Künstliche Intelligenz im Alltag bereits genutzt. Von der Gesamtbevölkerung haben bislang nur 17 Prozent KI in Bildung und Ausbildung genutzt; im Arbeitsleben sind es 23 Prozent. Wer zu ChatGPT und ähnlichen generativen Programmen greift, mache es zu 75 Prozent überwiegend im Freizeitbereich.
Während bei der jungen Generation die Erwartung an positive Auswirkungen der KI in Bildung, Arbeit und Freizeit auf 52 bis 57 Prozent gestiegen sind, hat sich bei den übrigen Altersgruppen die skeptische Haltung verdichtet. Nur 25 Prozent der Senioren über 64 Jahren erwarten von der KI positive Auswirkungen im Alltag. Auch bei Menschen mit geringerem und mittlerem Einkommen wächst die Distanz zur KI. Die Jüngeren haben auch verstärkt mit den negativen Aspekten der digitalen Kommunikation zu tun. Während insgesamt mehr als 40 Prozent der Befragten angaben, im letzten Jahr Hasskommentare und Falschnachrichten gesehen zu haben, wurden von den unter 35-Jährigen 66 Prozent mit Falschnachrichten und 77 Prozent mit Hate Speech konfrontiert.

7.5 Wer trägt die Risiken der digitalen Transformation?

Natürlich nicht die, die sie fordern. So zumindest erscheint mir in diesem Bericht die Forderung einer Rückversicherung, dass die Risiken für Unternehmen kaum noch versicherbar sind und daher die Politik hier handeln müsste. Es gebe Grenzen der Versicherbarkeit. Die Schäden aus katastrophalen systemischen Ereignissen wie einem Cyber-Krieg oder einem Ausfall von kritischer Infrastruktur würden die Kapazität der Branche bei Weitem übersteigen. Anstatt es aber zu lassen oder bestimmte Mindestschutzmaßnahmen gesetzlich einzufordern und zu sanktionieren, kann natürlich auch der Staat mit einem Cyber-Schutzschirm für die Wirtschaft gefordert werden.

7.6 Gegen Hass in Bayern

Jetzt also auch in Bayern. Eine weit aufgestellte Aktion gegen Hass und Hetze im Internet. Ein Bayerisches Bündnis für Toleranz hat sogar schon eine eigenen Webpräsenz im Entstehen. Wird aber auch langsam Zeit, vor fünf Jahren schien diese Thematik offenbar niemanden zu kümmern, wie hier in einem Fall nachzulesen ist.

7.7 Machen wir die Demokratie kaputt!

Unterhaltsam vorgetragen, aber inhaltlich erschreckend befasst sich dieses YouTube-Video (eine ca. 20-minütige Aufzeichnung eines Vortrags) mit Fake-News, den dazu geltenden rechtlichen Aspekten und sowie des Einflusses auf unsere Demokratie und der Rezeptur für Fake-News.

8.1 Apropos KI ...

Fangen wir erst mal mit dem "Elefant in the Room" an – mit KI (diesesmal inklusive ChatGPT):

• Sie haben Probleme mit diesem neumodischen Gendern? KI hilft ... nicht wirklich. Aber es geht ja auch nur um Gender-Klischees. Na dann...
• Dann lassen wir die KI halt Lizenzen vortragen ...
• Apropos traurig: Unser Gesundheitsminister hat auf einer Fachmesse verkündet, dass er KI in allen Bereichen (des Gesundheitswesens) einsetzen lassen (also gleich in die Gesetze integrieren) möchte. Vielleicht sollte er doch erst noch mal dieses Interview lesen? "Niemand geht in der Masse unter"...
• Apropos Masse 1: Texas überlässt die Studienzulassungsprüfung der Schulabschlusszeugnisse jetzt einer KI. Schlecht für die Menschen, die vorher diese Arbeit machten. Und wer weiß, wie die Bewertungen so werden. Vielleicht lesen wir ja demnächst Erfahrungsberichte...
• Apropos Masse 2: Das Finanzamt von New York geht jetzt mit KI gegen Steuerhinterzieher vor. Wenn es funktioniert? Steuerhinterziehung ist ja kein Kavaliersdelikt.
• Apropos Masse 3: In Kanada haben sie versucht über KI-generierte Änderungsanträge (viele, viele Anträge) ein Gesetz zu verhindern.
• Apropos Masse 4: LLM brauchen regelmäßig Input, denn nur wenn da "vorne viel Wissen reingesteckt wird, sollen "hinten" neue Erkenntnisse rauskommen können. Wir hatten ja weiter oben schon über die Qualitätsprobleme bei der Wissensgewinnung geschrieben. OpenAI scheint da recht wahllos auf Masse kommen zu wollen.
• ChatGPT kann nur dann Menschen überzeugen, wenn es genug Persönliches über diese weiß. Gut, dass alle so zurückhaltend mit ihren Daten umgehen im Internet...
• Ampeln. Was haben die mit KI zu tun fragen Sie? Fragen Sie nicht mich, fragen Sie Hamm (die Stadt, nicht den Schauspieler). Scheint ja billig und datenschutzkonform zu sein ... oder auch nicht.
  Und läuft wohl auch nicht so gut, wie hier geschrieben wird... Wobei, für die Autofahrer läuft es nicht... Aber immerhin versuchen sie in Hamm jetzt zu verstehen, warum die Ampel so arbeitet, wie sie es tut. Viel Spaß dabei mit KI-Systemen. Und so sehen die Bürger in Hamm auch mal wieder mehr Polizisten beim Regeln des Verkehrs.
• Aber der angekündigte KI-PIN, der von den Ex-Apple-Designern gebaut wurde, der läuft doch, oder? Scheinbar nicht. Wobei, die Verarbeitung des Gehäuses wurde gelobt. Kann man für 700 $ ja auch erwarten, oder?
• Wo wir gerade bei KI-Devices waren, kennen Sie die "vermeintliche KI-Wundermaschine" Rabbit R1? Falls nicht, verfallen Sie nicht in Aufregung, auch hier lohnt sich der Kauf noch nicht wirklich (für die Käufer, meine ich).
• Wie, Sie wollen mit Ihren Bildern nicht KI trainieren? Dann löschen Sie mal schnell, falls Sie bei EyeEm Fotos hochgeladen haben. Empfiehlt zumindest dieser Artikel.
• Der von mir gerne verlinkte Kommentator (und Themenlieferant) regt sich auf. Worüber, fragen Sie? Über Cisco und Nvidia. Nun ja. Erwartbar, bei solchen Textpassagen:
  

  Hypershield was built on three key pillars:
  - AI-Native: Built and designed from the start to be autonomous and predictive, Hypershield manages itself once it earns trust, making a hyper-distributed approach at scale possible.
  - Cloud-Native: Hypershield is built on open source eBPF, the default mechanism for connecting and protecting cloud-native workloads in the hyperscale cloud. Cisco acquired the leading provider of eBPF for enterprises, Isovalent, earlier this month.
  - Hyper-Distributed: Cisco is completely reimagining how traditional network security works by embedding advanced security controls into servers and the network fabric itself. Hypershield spans all clouds and leverages hardware acceleration like Data Processing Units (DPU) to analyze and respond to anomalies in application and network behavior. It shifts security closer to the workloads that need protection.

  Bullshit-Bingo on its best!

• Und zum Abschluss habe noch ein Interview zu KI "zwischen Größenwahn und Realismus". Na denn. Wobei, wir hatten ja Anfang März schon eine Meldung, dass Kinder nicht mehr programmieren können müssen (im drittletzten Anstrich). Dann kann das ja tatsächlich klappen, mit "Alle Software ist in zehn Jahren weg".

8.2 Nachtrag zum "US Cyber Safety Review Board on the 2023 Microsoft Exchange Hack"

Ich hatte das ja letzte Woche unter "Apropos Microsoft" als ersten Anstrich gelistet. Hier gibt es noch einige weitere lesenswerte weiterführende Quellen.
Passend dazu: Passworte scheinen bei Microsoft nicht als besonders schützenswert angesehen zu werden (hier die im Artikel verlinkte Quelle).
Übrigens: In den USA müssen Administratoren von Behörden gerade aufräumen. Bis Ende April müssen sie an das CISA Bericht erstatten, wie sie die Probleme beseitigt haben. Auch hier bin ich auf ein Update gespannt.

8.3 Apropos Motel One ...

Erinnern Sie sich noch an den Motel-One-Hack? Na, dann werden die doch ihr Geld nun in Sicherheit gesteckt haben, oder? Getreu dem Motto "Fool me once, shame on you. Fool me twice, shame on me." Tja, scheinbar nicht. Sie übernachten gerne im Motel One? Dann gilt wohl: Daumen drücken.

8.4 Security Vulnerability of HTML Emails

Da war ich noch nie ein Freund davon...

8.5 Boah, ist das Clickbait? Das SCHLECHTESTE Smartphone der Welt

Das fragte ich mich beim Lesen des Video-Titels. Da ich die Quelle aber schätze habe ich mich darauf eingelassen. Worum geht es im Video? Um die Tatsache, dass, obwohl Microsoft vor knapp neun Jahren Microsoft Mobile abgekündigt hat, heutzutage immer noch entweder refurbished oder sogar neue Windows-Smartphones verkauft werden.
Und das laste ich jetzt mal nicht Microsoft an (alle Betreiber von Smartphone-Betriebssystem-Infrastruktur werden diese abstellen, wenn sie keinen Umsatz mehr darüber generieren, auch Apple oder Google! Wobei wir hoffen, dass es dazu nie kommt), das empfinde ich als Unverschämtheit der Anbieter? Ich bin mir ein wenig unschlüssig.
Aber ich kann dem Videoersteller folgen, Windows-Smartphones sind (von ganz wenigen Nutzungsszenarien abgesehen) momentan wirklich die schlechtesten Smartphones der Welt. Das passiert halt heutzutage, wenn ganze Geräteklassen in die Obsoleszenz gehen.
Passend dazu gibt es auch noch diese Meldung. Wenn Gesetze wirken.

8.6 Apropos Obsoleszenz ... "Pretendo Network"

Hier mal ein Beispiel dafür, wie die vom Hersteller angekündigte Obsoleszenz umgangen werden kann, wenn besagte Hersteller vorher mal geschludert haben ... gut für die Community.

Franks Nachtrag: Wenn Sie einen Podcast (u.a.) zu Spiele-Abschaltungen, und was die EU davon hält, sehen wollen, dann bitte hier lang.

8.7 Produktgarantie?

Solange Produkte noch nicht obsolet sind, gilt doch hoffentlich die Garantie, oder? Nicht immer, findet Tesla. Ich verstehe das. Wer erwartet schon bei einem SUV, dass dieser mal in die Waschstraße fährt und da heile wieder rauskommt?

8.8 Handy per Fingerabdruck entsperren

Nicht nur bei uns, auch in den USA ist das wohl mittlerweile der Staatsgewalt gemäß Richtern erlaubt. Wie beruhigend. Und wie schön, wenn wir mal die Trends setzen (wer Ironie findet, darf sie behalten).

8.9 Taking over open source projects

Über den Übernahmeversuch der XZ Utils hatte ich (kurz) bereits hier berichtet (im letzten Anstrich). Wenn Ihnen das zu knapp war, ich habe dazu noch ein Essay mit vielen weiteren Quellen. Und einen (meiner Meinung nach) realistischen Beitrag, der meint, dass das wohl kein Einzelfall sein wird.
Wenn Sie nicht so viel lesen wollen aber gerne zuhären, dann habe ich noch einen empfehlenswerten Podcast für Sie. Dort können Sie, wenn Sie nicht den ganzen Podcast hören wollen (es werden diverse andere Themen in knapp anderthalb Stunden hörenswert behandelt), direkt zum 7. Teil springen, der dauert nur noch knapp 13 informative Minuten.

8.10 Wie weit sind Quantencomputer momentan?

Na ja, Commodore war da auf jeden Fall mit dem C64 schon früher...

8.11 Endlich mal Realismus im Fernsehen ...

Fuuuuuuuuu*k
Wie aus dem Leben gegriffen! (Hier gehts zur Serie.)

9.1 Datenschutz zum Ausmalen

Welche reizvolle Idee, die da zum 1. April 2024 geboren wurde. Wer sich über Datenschutz ärgert oder über den Zustand der Durchsetzung kann zur Beruhigung Datenschützer ausmalen. Hier finden Sie die Vorlagen dazu.

9.2 Medienkompetenz: Gegen Fake-News mit Qapito!

Schön, wie viele Stellen mittlerweile die Gefährdung gesellschaftlicher Grundlagen durch bewusste und unbewusste Falschinformationen sehen und einen aktiven Beitrag zum Gegensteuern liefern, anstatt dummdreist dieselben Quellen zu nutzen und diesen dadurch auch noch den Anschein der Legitimität zu verleihen. Das Angebot der Telekom-Stiftung Qapito! stellt evidenzbasierte Materialien zur Kompetenzförderung bereit. Damit soll die Quellenbewertungskompetenz von 12- bis 17-jährigen gestärkt werden. Dafür entstehen im Projekt evidenzbasierte Workshop- und Unterrichtsmaterialien sowie Lernspiele, welche Lernbegleiterinnen und Lernbegleiter frei nutzen und anpassen können. In Online-Seminaren werden die Qapito!-Materialien vorgestellt und demonstriert.

9.3 Bayern, digital und Vereine

Hier wieder die Erinnerung an die Angebote, die es (in Bayern) und darüber hinaus für Vereine gibt. Neben dem Bayerischen Angebot finden sich bei DSiN und bei der Stiftung Datenschutz gute bis sehr gute Angebote, um den regulatorischen Anforderungen im Datenschutz nachzukommen.