Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 14&15/2023)“
Hier ist der 65. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 14&15/2023)“.
- Aufsichtsbehörden
- Datenschutzaufsichten zu ChatGPT
- EDSA: Guideline 09/2022 zu Datenschutzverletzungen
- EDSA: Entscheidung über Drittstaatenübermittlung durch Meta (Facebook)
- EDSA: Durchsetzung der DS-GVO gegen Drittstaatenunternehmen
- EDSA: Studie über Kooperationspflichten auf Basis nationaler Verwaltungsvorschriften
- EDSA / EDPS: Betroffenenrechte im Schengen Informationssystem
- DSK zum Europäischen Gesundheitsdatenraum
- LfDI Baden-Württemberg: FAQ für Schwerbehindertenvertretung
- HmbBfDI zum Beschäftigtendatenschutz nach EuGH-Urteil
- LDI Niedersachen: Prüfbericht bei Kommunen
- Sachsen-Anhalt: Kritik am Benennungsverfahren
- CNIL: Leitfaden zu Schutzmaßnahmen
- Griechenland: Bußgeld bei Weitergabe von Daten durch Bank ohne Rechtsgrund
- DSB Österreich: Entscheidung zu Pur-Abo-Modellen
- Spanien: Bußgeld für unerlaubte Veröffentlichung einer Stimmaufnahme
- ICO: Direktmarketing und regulatorische Kommunikation
- ICO: Bußgeld für TikTok wegen Datenmissbrauch von Minderjährigen
- BSI: Hardware-Angriffe auf Mikrokontroller
- BSI: IT-Grundschutz Kompendium – Stand Februar 2023
- BKartA: Prüfung der Marktstellung von Microsoft
- BKartA: Überragende marktübergreifende Bedeutung von Apple
- Rechtsprechung
- BSozG: Zuständigkeit der Sozialgerichte bei Ansprüchen aus Datenpannen
- BAG: Betriebliches Eingliederungsmanagement ohne Einwilligung
- AG Ludwigsburg: Missbräuchliche Verfolgung datenschutzrechtlicher Ansprüche
- OLG Dresden: Ansprüche gegen Lohnverarbeiter durch Unternehmen
- Werbeeinschränkung für Teslas Wächter-Modus
- Portugal: Klage gegen TikTok
- EuGH-Vorschau – 20.04.2023 zu Art. 15 DS-GVO und der Motivation dazu
- EuGH-Vorschau – 20.04.2023 zur ePrivacy-RL
- EuGH-Vorschau – 27.04.2023 zu Voraussetzungen von Sanktionen gegen Unternehmen
- EuGH-Vorschau – 27.04.2023 zu Anforderungen bei immateriellem Schadenersatz
- EuGH-Vorschau – 02.05.2023 zu Art. 9 Abs. 1 und Art. 10 DS-GVO
- EuGH-Vorschau – 04.05.2023 zu Bagatellgrenzen bei immateriellem Schadenersatz
- EuGH-Vorschau – 04.05.2023 zu Fragen der Kopie bei Auskunftsansprüchen
- EuGH-Vorschau – 04.05.2023 zu Fragen der gemeinsamen Verantwortlichkeit zu Berechnung von Sanktionen
- EuGH-Vorschau – 04.05.2023 zu Rechtsfolgen einer unzureichenden Dokumentation
- EuGH-Vorschau – 14./15.05.2023: Wie sind Identitätsdaten einer IP-Adresse zu bewerten?
- Gesetzgebung
- EU: Wissenschaftlicher Dienst des EP zur kommerzielle Überwachung
- Bundestag: Data Mining Technikfolgenabschätzung
- BMI: Cyberabwehr durch BKA und BSI
- EU-Chatkontrolle
- Timeline AI Act
- EU-Parlament: Bedenken gegen EU-US Data Transfer Framework
- Ada Lovelace Institute: Diskussionspapier zu AI Governance
- Cyber Resilience Act – Produkte mit digitalen Elementen
- Beschäftigtendatenschutzgesetz
- Forschungsdatengesetz
- bitkom: Handlungsempfehlungen zu NIS-2
- Altersverifikation in Arkansas und Utah für Nutzung sozialer Netzwerke
- Künstliche Intelligenz und Ethik
- AI-Index des Stanford Institute for Human-Centered Artificial Intelligence (HAI)
- USA: FTC und AI-Einsatz
- Noch’ne KI
- Datenschutzverletzung bei ChatGPT
- ETSI: Securing Artificial Intelligence (ISG SAI)
- KI aus Heidelberg
- ChatGPT und Firmengeheimnisse
- Offener Brief an OpenAI
- Podcast zu KI und Machine Learning
- Veröffentlichungen
- ISO 24745: Schutz biometrischer Informationen
- Rechtliche Fragestellungen und Beispiele für „Dark Patterns“
- Mind-Set wichtiger als Zertifikate
- MS 365 für den Bildungsbereich
- Neue Leitfäden für IT-Grundschutz mit der Microsoft Cloud
- Unzureichende Schutzmaßnahmen bei Postversand
- Paypal Data Breach aufgrund fehlender 2FA
- Cookie-Ratgeber
- Schmerzensgeld bei Datenschutzverstößen
- Data Protection by Design and by Default
- Veranstaltungen
- Stiftung Datenschutz – „Die Bestandsdatenauskunft im TTDSG“
- Daten-Dienstag: „Whistleblowing – Hinweisgeberschutz“ -neu-
- EFDPO – DPO Open Talks -neu-
- Stiftung Datenschutz – „Grundlagen für Datenschutz im Ehrenamt“ -neu-
- Symposium des BLM / IUM – Künstliche Intelligenz: Herausforderungen für das Medienrecht
- BigBrotherAwards 2023
- Business School Berlin: KI – eine Einführung! -neu-
- Stiftung Datenschutz – „Im Normendschungel der EU“ -neu-
- Vorankündigung – GI: Designing Feminist Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT…
- AI-generated Claudia, selling online…
- Inside a Misfiring Government Data Machine
- KI-Chatbot wird für Selbstmord eines Familienvaters in Belgien verantwortlich gemacht
- Apropos Digitalisierung
- Achilles-Ferse der KI?
- Humans Will Fall in Love With AIs
- Apropos Microsoft und Marktmacht
- Das USB-Condom
- Zum Abschluss – Ein Comic zu KI und ein glücklicher Autor…
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Datenschutzaufsichten zu ChatGPT
Stand KW 14:
Zuerst machte die italienische Datenschutzaufsicht Garante mit ihrer Entscheidung zu ChatGPT auf sich aufmerksam (eine Darstellung der Gründe finden Sie hier). Die deutschen Aufsichtsbehörden schließen nach diesem Bericht eine eigene Prüfung und Entscheidung nicht aus (warum sollten sie auch?). Hier auch ein Interview mit dem Präsidenten des BayLDA, der die fehlende Transparenz bemängelt, die bei KI-Angeboten oft unzureichend sei. Aber auch in Kanada und in der Schweiz macht man sich Gedanken dazu.
Mehr zu ChatGPT, aber auch dazu, wozu ChatGPT NICHT verwendet werden sollte (Antworten durch ChatGPT), hier.
Es finden sich im Netz auch schon die ersten Checklisten zum Einsatz von KI wie ChatGPT – wie immer – und gerade hier – ohne Gewähr.
Stand KW 15:
Irgendwie wie scheint es kaum noch ein anderes Thema als ChatGPT zu geben. Aus einer Meldung der LDI NRW ist zu entnehmen, dass sich die DSK mit der Anwendung ChatGPT als Gegenstand einer in der DSK koordinierten datenschutzrechtlichen Prüfung befassen will. Auch der HBDI sieht Klärungsbedarf. Es wird berichtet, dass die spanische Aufsicht will, dass sich der EDSA damit befasst. Auch die Biden-Administration sei dabei öffentliche Kommentare zu potenziellen Maßnahmen zur Rechenschaftspflicht für KI-Systeme einzuholen, da sich Fragen zu deren Auswirkungen auf die nationale Sicherheit und Bildung stellen.
Und (natürlich) bildet der EDSA zu ChatGPT eine Taskforce.
Die italienische Garante hat in einer Pressemeldung vom 12.04.2023 die Anforderungen erläutert, die Open AI bis 30.04.2023 erfüllen muss, damit die Sanktion aufgehoben / gelockert wird.
Derweil machen sich einige Gedanken, ob eine Anwendung wie ChatGPT überhaupt die Anforderung der DS-GVO erfüllen könne.
Und auch Umweltaspekte kommen bei den Überlegungen zu KI wie ChatGPT zunehmend in den Fokus der Diskussion.
Franks Nachtrag: Apropos ChatGPT…
Franks zweiter Nachtrag: Apropos AI regulation.
1.2 EDSA: Guideline 09/2022 zu Datenschutzverletzungen
Der EDSA hat seine Guideline 09/2022 zu Datenschutzverletzungen in der Version 2.0 veröffentlicht. Darin berücksichtigen sie die Hinweise für die Meldepflichten für Verantwortliche, die ihren Sitz außerhalb des Europäischen Wirtschaftsraum haben.
1.3 EDSA: Entscheidung über Drittstaatenübermittlung durch Meta (Facebook)
Der EDSA berichtet, dass er eine Streitbeilegungsentscheidung auf der Grundlage von Art. 65 DS-GVO zu einem Entscheidungsentwurf der irischen Datenschutzbehörde über die Rechtmäßigkeit von Datenübermittlungen in die Vereinigten Staaten durch Meta Platforms Ireland Limited (Meta IE) für ihren Facebook-Dienst getroffen habe. Da über die Einwände mehrerer Datenschutzbehörden keine Einigung erzielt werden konnte, wurde der EDSB aufgefordert, den Streit zwischen den Datenschutzbehörden innerhalb von zwei Monaten beizulegen.
Konkret legt der EDSB in seiner verbindlichen Entscheidung den Streit darüber bei, ob in der endgültigen Entscheidung der irischen Datenschutzbehörde ein Bußgeld und/oder eine zusätzliche Anordnung zur Anpassung der Verarbeitung an die Vorschriften enthalten sein muss.
Die federführende Aufsichtsbehörde (Irland) erlässt ihre an Meta IE gerichtete endgültige Entscheidung auf der Grundlage der verbindlichen Entscheidung des EDSB und unter Berücksichtigung der rechtlichen Bewertung des EDSB spätestens einen Monat, nachdem der EDSB seine Entscheidung mitgeteilt hat. Der EDSB wird seine Entscheidung auf seiner Website veröffentlichen, nachdem die federführende Aufsichtsbehörde ihre nationale Entscheidung Meta IE mitgeteilt hat.
1.4 EDSA: Durchsetzung der DS-GVO gegen Drittstaatenunternehmen
Ok, der Titel ist sehr frei übersetzt, um noch als Überschrift genutzt werden zu können. Konkret geht es um eine „Studie über die Durchsetzung der Verpflichtungen aus der Datenschutz-Grundverordnung gegenüber Einrichtungen mit Sitz außerhalb des EWR, die unter Artikel 3 Absatz 2 der Datenschutz-Grundverordnung fallen“. Durchgeführt wurde sie im Auftrag des EDSA durch die Société (CRIDS) an der Universität Namur (Belgien), mit der Unterstützung von Forschern von Milieu Consulting SRL.
1.5 EDSA: Studie über Kooperationspflichten auf Basis nationaler Verwaltungsvorschriften
Auch hier ist der offizielle Titel der Studie länger: „Studie über die nationalen Verwaltungsvorschriften mit Auswirkungen auf die Kooperationspflichten der nationalen Aufsichtsbehörden“. Der EDSA weist auch darauf hin, dass die Fertigstellung der Studie ins Jahr 2020 zurückreicht und daher manche Informationen nicht mehr aktuell sein können. Immerhin wird festgestellt, dass Deutschland das einzige Land sei, bei dem anonyme Beschwerden von Einzelpersonen zulässig seien (Seite 18). Deutschland wird (auf Seite 26) bei den Ländern genannt, in denen gütliche Einigungen zwischen Verantwortlichen oder Auftragsverarbeitern und Beschwerdeführern für möglich gehalten werden, ohne dass jedoch eine klare Auffassung oder Angabe zur Rechtsgrundlage besteht, aber auch bei den sechs Ländern, bei denen gütliche Einigungen zwischen Verantwortlichen oder Auftragsverarbeitern und Aufsichtsbehörden nicht möglich sind. Leider bleibt auch die Auflistung in Anlage 3 der Studie über die jeweiligen nationalen Datenschutzregelungen und Verwaltungsvorschriften bezüglich der Regelungen in Deutschland nur sehr, sehr oberflächlich (Seite 46): Es wäre sicher sehr anschaulich gewesen neben dem BDSG auch alle Landesdatenschutzgesetz und diejenigen der Religionsgemeinschaften zusammen mit den Verwaltungsverfahrensgesetzen aufgeführt zu sehen.
1.6 EDSA / EDPS: Betroffenenrechte im Schengen Informationssystem
Das CSC (Coordinated Supervision Committee), bestehend aus dem Europäischen Datenschutzbeauftragten und dem EDSA, hat Leitlinien für die Betroffenenrechte im Schengen Informationssystem (SIS) veröffentlicht.
Das SIS ist ein IT-Großsystem, das als Ausgleichsmaßnahme für die Abschaffung der Kontrollen an den Binnengrenzen eingerichtet wurde und ein hohes Maß an Sicherheit im Raum der Freiheit, der Sicherheit und des Rechts der Europäischen Union gewährleisten soll, einschließlich der Aufrechterhaltung der öffentlichen Sicherheit und der öffentlichen Ordnung sowie des Schutzes der Sicherheit im Hoheitsgebiet der Mitgliedstaaten. Das SIS wird bereits in allen EU-Mitgliedstaaten mit Ausnahme von Zypern und in vier assoziierten Staaten eingesetzt (Island, Liechtenstein, Norwegen und der Schweiz). Das SIS ist ein Informationssystem, das es den nationalen Strafverfolgungs-, Justiz- und Verwaltungsbehörden ermöglicht ihre gesetzlichen Aufgaben durch den Austausch relevanter Daten erfüllen zu können. Die Berechtigungen sind unterschiedlich verteilt und reichen aufgabenbezogen von nur lesendem bis zu ändernden Zugriffsrechten.
In dem Dokument werden für jedes Land die Ansprechstellen und deren Befugnisse hinsichtlich der Umsetzung der Betroffenenrechte dokumentiert.
1.7 DSK zum Europäischen Gesundheitsdatenraum
Auf insgesamt acht Seiten weist die DSK in ihrer Stellungnahme zum Europäischen Gesundheitsdatenraum darauf hin, dass die Nutzung von Gesundheitsdaten Vertrauen brauche. So dürfe das hehre Ziel einer verbesserten Gesundheitsversorgung nicht durch dazu führen, dass das Datenschutzniveau der DS-GVO ausgehöhlt werden würde.
1.8 LfDI Baden-Württemberg: FAQ für Schwerbehindertenvertretung
Der LfDI Baden-Württemberg unterstützt die Arbeit der Schwerbehindertenvertretung mit einer FAQ-Liste, die insgesamt 17 Fragen umfasst. Mitarbeitende müssten zum einen darauf vertrauen können, dass ihre personenbezogenen Daten bei der SBV gut aufgehoben sind, und zum anderen sei die SBV auch gesetzlich verpflichtet sich bei ihrer Arbeit datenschutzkonform zu verhalten. Die FAQ-Liste findet sich hier.
1.9 HmbBfDI zum Beschäftigtendatenschutz nach EuGH-Urteil
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit äußerte sich zum Urteil des EuGH zum Beschäftigtendatenschutz in Deutschland (C-34/21). Hinsichtlich der Anwendung des Urteils auf § 26 BDSG geht er davon aus, dass nun Verarbeitungen von Beschäftigtendaten auf Art. 6 Abs. 1 DS-GVO gestützt werden müssten. Zum jetzigen Zeitpunkt sei nicht davon auszugehen, dass Datenverarbeitungen auszusetzen oder zu beenden sind, denn voraussichtlich werde sich eine jeweils alternative Rechtsgrundlage finden lassen. Dies bedürfe jedoch einer Prüfung durch die datenverarbeitende Stelle im Einzelfall.
Seine Empfehlung, nun verstärkt auf Betriebsvereinbarungen zu setzen, sehe ich persönlich kritisch, denn dabei sollte beachtet werden, dass der Generalanwalt beim EuGH gerade in seinen Schlussanträgen (C-22/21 und C-64/21) darauf hinwies, dass selbst Aufsichtsbehörden über genehmigte Verhaltensregeln keine neuen Rechtmäßigkeitsgrundlagen außerhalb von Art. 6 DS-GVO begründen könnten. Im Übrigen ist noch eine weitere Vorlageanfrage beim EuGH anhängig (C-65/23), bei der es auch um das deutsche Beschäftigtendatenschutzgesetz (§ 26 Abs. 4 BDSG) geht und die Frage, inwieweit bei Kollektivvereinbarungen von anderen Vorschriften der DS-GVO (wie den Anforderungen an eine Rechtmäßigkeitsgrundlage) abgewichen werden darf.
1.10 LDI Niedersachen: Prüfbericht bei Kommunen
Die LDI Niedersachen veröffentlichte ihren Bericht zur zweiten überörtlichen Datenschutzprüfung bei Kommunen. Von der Prüfung waren 50 Kommunen betroffen, denen im Dezember 2021 der Prüfbogen übersandt wurde. Gegenstand der Prüfung waren u.a. die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT), die Durchführung von Datenschutz-Folgenabschätzungen und die Meldung von Datenschutzverletzungen. Neue Themen der jetzigen Prüfung waren die Beantwortung von Auskunftsersuchen (Art. 15 DS-GVO) sowie der Schutz personenbezogener Daten Dritter bei der Akteneinsicht im Verwaltungsverfahren. Hinzu kam die Betrachtung eines Auszuges aus dem VVT.
Die Auswertung der Prüffragen habe aufgezeigt, dass die Anforderungen der DS-GVO noch nicht vollständig von allen Verantwortlichen der 50 angeschriebenen Kommunen umgesetzt wurden. Die Prüfung habe auch offengelegt, dass große Kommunen, wie kreisfreie Städte, nicht unbedingt besser aufgestellt sind als kleine Gemeinden.
So weist die LDI u.a. darauf hin, dass bereits bei der Vergabe von Aufträgen datenschutzrechtliche Anforderungen zu berücksichtigen seien, etwa, indem Bietende verpflichtet werden, auch alle relevanten Vertragsunterlagen mit Unterauftragnehmern bereits im Vergabeverfahren vorzulegen. Die bloße Zusicherung privater Kooperationspartner die Vorschriften der DS-GVO einzuhalten, entbinde die Kommunen nicht von einer eigenständigen Prüfung der jeweiligen Verarbeitungsprozesse, für die sie verantwortlich bleiben.
1.11 Sachsen-Anhalt: Kritik am Benennungsverfahren
Nun äußert sich auch der Vertreter im Amt des LfD Sachsen-Anhalt und weist auf die grundsätzlichen Bedenken bei der Änderung des Landesdatenschutzgesetzes zur Benennung des LfD durch den Landtag ohne Ausschreibung hin. Selbst die kirchliche Datenschutzaufsicht der Kath. Kirche mag kaum glauben, was da vor sich geht.
1.12 CNIL: Leitfaden zu Schutzmaßnahmen
Die französische Datenschutzbehörde CNIL hat ihren „Guide Pratique RGDP Sécurité des données personelles“ zu Schutzmaßnahmen bei personenbezogenen Daten in aktualisierter Fassung veröffentlicht. Er enthält die elementaren Vorsichtsmaßnahmen, die umgesetzt werden müssen. Die aktualisierte Version berücksichtigt insbesondere die neuesten Empfehlungen der CNIL zu Passwörtern und Protokollierung. So wird nun mehr Freiheit bei der Festlegung von Kennwortrichtlinien gegeben und auf die Verpflichtung zur Erneuerung von Kennwörtern für „klassische“ Benutzerkonten verzichtet. Auch enthält der Leitfaden nun die Hinweise zur Protokollierung auf Blatt 4 unter „Vorgänge nachverfolgen und Vorfälle bewältigen“.
1.13 Griechenland: Bußgeld bei Weitergabe von Daten durch Bank ohne Rechtsgrund
Eine Bank wurde nach diesem Bericht mit einem Bußgeld in Höhe von 30.000 Euro belegt, weil sie Daten über ein Konto eines verstorbenen Kunden einem Dritten übermittelte, der (offenbar) nicht alleiniger Erbe war, aber sich als Erbe ausgab. Das Konto führte der Verstorbene als gemeinsames Konto mit der betroffenen Person. Der vermeintliche Erbe verwendete diese Daten dann aber in einem Rechtsstreit mit der betroffenen Person, die sich beschwerte. Die Bank sah den Fehler ihres Angestellten ein, informierte aber nicht die Datenschutzaufsicht bzw. die betroffene Person nach Artt. 33, 34 DS-GVO. Die Aufsichtsbehörde sah darin einen Verstoß gegen die Grundsätze und Meldepflichten der DS-GVO und verhängte das Bußgeld.
1.14 DSB Österreich: Entscheidung zu Pur-Abo-Modellen
noyb berichtet, dass die österreichische Datenschutzbehörde aufgrund einer Beschwerde das Modell der Contentfinanzierung einer Webseite eines Verlages beanstandet hat. Zwar werde die grundsätzliche Zulässigkeit einer Paywall nicht beanstandet, aber es müsse zu jeder spezifischen Datenverarbeitung zugestimmt werden (Seite 27 ff des Bescheides).
1.15 Spanien: Bußgeld für unerlaubte Veröffentlichung einer Stimmaufnahme
Die spanische Datenschutzbehörde stellte fest, dass die Veröffentlichung der Stimme eines Verbrechensopfers deren Recht auf Privatsphäre verletze, da dessen Identität für die breite Öffentlichkeit nicht relevant sei. Sie verhängte gegen den Verlag eine Geldbuße von 50.000 Euro wegen Verstoßes gegen Art. 5 Abs. 1 lit. c DS-GVO. Eine Aussage des Opfers wurde ohne Stimmverzerrung auch auf der Webseite des Verlages veröffentlicht.
Der Verlag berief sich darauf, dass die bloße hypothetische Möglichkeit eine Person herauszufiltern nicht ausreiche, um sie als identifizierbar zu betrachten. Unter Berücksichtigung aller Mittel, die von dem Verlag oder einer anderen Person vernünftigerweise eingesetzt werden könnten, bestehe eine solche Möglichkeit nicht oder sei vernachlässigbar. Daher könne die Stimme nicht als personenbezogenes Datum betrachtet werden. Die ursprüngliche Quelle der Daten sei das Gericht gewesen, das die Aufzeichnung an alle Medienkanäle weitergegeben habe, ohne die Stimme vorher zu verfremden oder diesbezügliche Anweisungen zu geben. Schließlich behauptete der Verlag, dass die Berichterstattung über Straftaten von öffentlichem Interesse sei und dass eine Einschränkung der Veröffentlichung ihr Recht auf freie Meinungsäußerung verletzen würde.
Die spanische Datenschutzbehörde stellte fest, dass eine Stimme ein personenbezogenes Datum ist, da sie die Identifizierung einer Person ermögliche, unabhängig von der Anzahl der Personen, die sie erkennen können. Es handele sich um ein individuelles Merkmal, das durch seine Tonhöhe, Intensität und Klangfarbe definiert wird. Eine Stimme sei mit einzigartigen und unverwechselbaren Merkmalen ausgestattet, die nicht nur Rückschlüsse auf das Alter, das Geschlecht und den Gesundheitszustand einer Person zulassen, sondern auch auf ihre Lebensweise, Kultur, Herkunft und selbst ihren hormonellen, emotionalen und psychischen Zustand. In diesem Sinne sind Elemente des Ausdrucks, des Idiolekts oder der Intonation ebenfalls persönliche Daten, die zusammen mit der Stimme betrachtet werden.
Im vorliegenden Fall bestünde ein hohes Risiko, dass das Opfer zumindest in seinem engsten Umfeld identifiziert und dann ein zweites Mal schikaniert würde. Zudem führt die Aufsichtsbehörde unter Verweis auf spanische Rechtsprechung aus, dass die Grenze der Meinungsfreiheit und des Zugangs zu Informationen in der direkten oder indirekten Individualisierung des Opfers liegt, da diese Daten in diesem Fall weder im öffentlichen Interesse liegen noch für die bereitgestellten Informationen relevant sind.
1.16 ICO: Direktmarketing und regulatorische Kommunikation
Das Wort „Marketing“ muss nicht übersetzt werden, das ist allseits verständlich und hat seit längerem die schönen Worte „Absatzwirtschaft“ und „Marktschreier“ fast auch schon verdrängt. Unter „regulatorische Kommunikation“ versteht die englische Datenschutzaufsicht ICO, wenn eine gesetzliche Aufsichtsbehörde die von ihr regulierte Branche auffordert oder verpflichtet bestimmte Nachrichten an Personen zu senden. In ihrem nun neu veröffentlichten Guideline „Direct marketing and regulatory communications“ adressiert sie Zielgruppen in einem regulierten privaten Sektor wie dem Finanz-, Kommunikations- oder Versorgungssektor. Sie behandelt die Fragestellung, wann Informationen über Rechtsvorschriften auch als Direktmarketingmaßnahme gelten können. Anhaltspunkte dafür können nach Ansicht der ICO die Formulierung, der Tonfall und der Kontext der Mitteilung über Rechtsvorschriften sein. Wenn die Nachricht einen neutralen Ton habe und keine aktive Werbung oder Aufforderung zu einer bestimmten Handlung enthalte, sei es unwahrscheinlich, dass es sich um Direktmarketing handele. Wenn ihre Botschaft jedoch eine Initiative aktiv fördere, indem sie die Vorteile hervorhebt und die Menschen zur Teilnahme oder zu einer bestimmten Handlung auffordere, handele es sich wahrscheinlich um Direktmarketing. Sie weist auch darauf hin, dass das Recht auf Widerspruch gegen Direktwerbung auch bei einer gesetzlich vorgeschriebenen Mitteilung gelte. Im Übrigen müssen immer auch die Datenschutzanforderungen (z.B. Fairness, Rechtmäßigkeit und Transparenz) eingehalten werden, wenn Informationen über Personen verwendet werden. Dies gilt unabhängig davon, ob es sich bei einer gesetzlich vorgeschriebenen Mitteilung um Direktmarketing handelt.
1.17 ICO: Bußgeld für TikTok wegen Datenmissbrauch von Minderjährigen
Auch wenn Marketingverantwortliche zunehmend glauben, durch TikTok bestimmte Zielgruppen ansprechen zu können, bleibt es doch ein zweifelhaften Geschäftsmodell. Findet auch bezogen auf den Umgang mit den Daten Minderjähriger die britische Aufsicht ICO und sanktioniert mit 12,7 Mio. Pfund (ca. 13,8 Mio. Euro). Das wird Pädophile und Marketingabteilungen wahrscheinlich auch nicht vor der Nutzung abschrecken.
1.18 BSI: Hardware-Angriffe auf Mikrokontroller
Im Auftrag des BSI hat das Fraunhofer-Institut AISEC die Studie „A Study on Hardware Attacks against Microcontrollers“ erstellt, die den aktuellen Stand von Hardware-Angriffen auf Mikrocontroller darstellt. Dabei werden leicht umzusetzende Gegenmaßnahmen beschrieben, die vielen Angriffen vorbeugen können oder den Aufwand für Angreifer deutlich erhöhen. Das Ziel der Studie ist Produktentwickler und Hersteller für die vorhandenen Risiken zu sensibilisieren sowie ihnen Möglichkeiten zur Absicherung von Produkten aufzuzeigen und die Gegenmaßnahmen einem breiten Publikum zur Verfügung zu stellen.
Mikrocontroller finden in zahlreichen Bereichen Verwendung, zum Beispiel in der Luftfahrt oder im Bereich Automotive. Durch das „Internet of Things“ (IoT) werden Mikrocontroller außerdem immer öfter in Industrieerzeugnissen und Verbrauchsartikeln eingesetzt. Darüber hinaus werden sie vermehrt in sicherheitsrelevanten Anwendungen, wie Zutrittssystemen oder elektronischen Geldbörsen (Wallets) verwendet. Bei solchen Anwendungen sind in Controllern oft sensible Daten wie kryptografische Schlüssel gespeichert. Dies macht sie zu einem attraktiven Angriffsziel.
1.19 BSI: IT-Grundschutz Kompendium – Stand Februar 2023
Das IT-Grundschutz-Kompendium ist die grundlegende Veröffentlichung des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis für alle, die sich umfassend mit dem Thema Informationssicherheit befassen möchten. Im Fokus des IT-Grundschutz-Kompendiums stehen die sogenannten IT-Grundschutz-Bausteine. In diesen Texten wird jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet. Im ersten Teil der IT-Grundschutz-Bausteine werden mögliche Gefährdungen erläutert, im Anschluss wichtige Sicherheitsanforderungen. Die IT-Grundschutz-Bausteine sind in zehn unterschiedliche Schichten aufgeteilt und reichen thematisch von Anwendungen (APP) über Industrielle IT (IND) bis hin zu Sicherheitsmanagement (ISMS).
Das IT-Grundschutz-Kompendium wird jährlich im Februar in einer neuen Edition veröffentlicht. Das BSI stellt ganzjährig Entwürfe von Bausteinen zur Verfügung, die von Anwendern kommentiert werden können.
1.20 BKartA: Prüfung der Marktstellung von Microsoft
Das muss noch gar nichts heißen: Das Bundeskartellamt kündigt an zu prüfen, ob Microsoft eine marktübergreifende Bedeutung habe. Grundlage des Verfahrens sind die Befugnisse, die das Bundeskartellamt im Rahmen der erweiterten Missbrauchsaufsicht über große Digitalkonzerne Anfang 2021 erhalten hat (§ 19a GWB). Danach kann die Behörde in einem zweistufigen Verfahren Unternehmen, die eine überragende marktübergreifende Bedeutung für den Wettbewerb haben, bestimmte wettbewerbsgefährdende Praktiken untersagen.
Eingeleitet hat das Bundeskartellamt gegen Microsoft zunächst die erste Stufe, d.h. ein Verfahren zur Feststellung der marktübergreifenden Bedeutung. Ein Anhaltspunkt für eine solche Position kann das Vorliegen eines digitalen Ökosystems sein, das sich über verschiedene Märkte erstreckt. Damit verbundene Machtstellungen sind von anderen Unternehmen oft nur schwer angreifbar. Ein Verfahren zur Untersuchung konkreter Verhaltensweisen Microsofts ist mit dieser Entscheidung zur Verfahrenseinleitung noch nicht verbunden.
Für die Nutzer von Produkten von Microsoft hat dies nur Vorteile: Sollte das BKartA zu der Ansicht kommen, dass Microsoft eine überragende marktübergreifende Bedeutung habe, könnte von einer weiteren Prüfung auch umfasst sein, ob z.B. bestimmte Vertragsgestaltungen wie die Einräumung eigener Zwecke marktmachtmissbräuchlich bewertet werden.
1.21 BKartA: Überragende marktübergreifende Bedeutung von Apple
In einer Pressemitteilung hat das Bundeskartellamt über seine Entscheidung über eine überragende marktübergreifende Bedeutung von Apple nach § 19 GWB informiert. Nun prüft es in einem weiteren Verfahren, ob Apples Tracking-Regelungen sowie das App Tracking Transparency Framework (s. Pressemitteilung vom 14. Juni 2022). Das Bundeskartellamt geht dabei insbesondere dem Anfangsverdacht nach, dass diese Regelungen Apples eigene Angebote bevorzugt behandeln und/oder andere Unternehmen behindern könnten. Über die Einleitung weiterer Verfahren gegen Apple sei noch nicht entschieden worden.
2 Rechtsprechung
2.1 BSozG: Zuständigkeit der Sozialgerichte bei Ansprüchen aus Datenpannen
Das Bundessozialgericht stellte in einem Beschluss fest, dass hinsichtlich eines Schadenersatzanspruches aufgrund einer Datenschutzverletzung durch eine gesetzliche Krankenkasse das Sozialgericht die für Klagen auf immateriellen Schadenersatz das zuständige Gericht sei. Es handele sich um Streitigkeiten aus einem Rechtsverhältnis aus dem öffentlichen Recht und somit um eine Streitigkeit aus dem öffentlichen Recht (§ 51 Abs. 1 SGG). Damit sind auch die Sozialgerichte zuständig über die Folgen von Datenschutzverstößen zu entscheiden (§ 81b SGB X). Schöne Darstellung zu dem Urteil findet sich hier.
2.2 BAG: Betriebliches Eingliederungsmanagement ohne Einwilligung
Will ein Arbeitgeber eine krankheitsbedingte Kündigung begründen, hat er dafür die Beweislast. Im Rahmen eines betrieblichen Eingliederungsmanagement (bEM) muss auch versucht werden bei krankheitsbedingten Gründen eine weniger belastende Arbeitsmöglichkeit zu schaffen. Der betroffene Arbeitnehmer muss auch daran mitwirken. Hier wurde der Arbeitnehmerin ein vorformuliertes Formular vorgelegt, mit der sie ihre Einwilligung zu einem bEM erklären sollte. Sie war zwar zu der Mitwirkung bereit, nicht aber das Formular zu unterzeichnen. Der Arbeitgeber ging dann davon aus, dass er kein bEM durchführen müsse und kündigte. Die Kündigungsschutzklage hatte vor dem Bundesarbeitsgericht (BAG) Erfolg. Das BAG stellte fest, dass § 167 Abs. 2 SGB IX die schriftliche Zustimmung des Arbeitnehmers in die Verarbeitung seiner im Rahmen eines bEM erhobenen personenbezogenen und Gesundheitsdaten nicht als tatbestandliche Voraussetzung für die Durchführung eines bEM vorsieht. Nach § 167 Abs. 2 Satz 4 SGB IX sind die betroffene Person oder ihr gesetzlicher Vertreter lediglich zuvor auf die Ziele des bEM sowie auf Art und Umfang der hierfür erhobenen und verwendeten Daten hinzuweisen. Die vorherige Unterzeichnung einer Einwilligung in die Verarbeitung von personenbezogenen und Gesundheitsdaten sieht § 167 Abs. 2 SGB IX nicht vor. Dessen Satz 4 regele nur aus Transparenzgründen eine Hinweispflicht über Art und Umfang der im konkreten bEM zu verarbeitenden Daten. Der Arbeitgeber hätte die Durchführung einer eBM nicht von der Unterzeichnung einer nicht erforderlichen Einwilligung abhängig machen dürfen.
2.3 AG Ludwigsburg: Missbräuchliche Verfolgung datenschutzrechtlicher Ansprüche
Das Amtsgericht Ludwigsburg hatte in einem Verfahren über die Zulässigkeit von Unterlassungs- und Schadensersatzansprüchen zu entscheiden. Es ging u die massenhafte Abmahnung von Fonts auf den Webseiten (es werden wohl Google-Fonts gewesen sein). Als Sachverhalt berücksichtigte das AG Ludwigsburg die Erkenntnis, dass mindestens 217.540 Anschreiben zur Geltendmachung eines Anspruchs mit Zahlungsaufforderung von jeweils 170 Euro versandt wurden. Das Gericht wertete diese Aktivitäten als rechtsmissbräuchlich nach § 8c Abs. 1 UWG und § 242 BGB und versagte einen Anspruch aus Art. 82 DS-GVO auf immateriellen Schadenersatz.
2.4 OLG Dresden: Ansprüche gegen Lohnverarbeiter durch Unternehmen
In seinem Urteil stellt das OLG Dresden (4. Zivilsenat, Urteil vom 14. März 2023, Az.: 4 U 1377/22, bitte klicken Sie es selbst an, verlinken will nicht funktionieren 🤔) fest, dass Ansprüche der betroffenen Person nicht durch Unternehmen wahrgenommen werden können. Es befasst sich dann auch um die Anforderungen zu Ansprüchen nach dem GeschGehG und lehnt diese im vorliegenden Fall ebenfalls ab.
2.5 Werbeeinschränkung für Teslas Wächter-Modus
Sehen Sie einen parkenden Tesla, so hat dieser bei Aktivierung des Wächter-Modus bisher die Umgebung des Autos mit seinen Videokameras aufgenommen. Datenschutzrechtlich verantwortlich ist dafür der Halter / Nutzer. Die DS-GVO adressiert ja nicht den Hersteller. Der vzbv hat aber nun Tesla wegen irreführender Werbung zur Funktion des Wächter-Modus verklagt. Nach Ansicht des vzbv verstößt dessen Nutzung im öffentlichen Raum gegen das Datenschutzrecht. Tesla hat nach Angaben des vzbv nach der mündlichen Verhandlung vor dem Landgericht Berlin die vom vzbv geforderte Unterlassungserklärung abgegeben.
Franks Nachtrag. Ach ja, Tesla…
2.6 Portugal: Klage gegen TikTok
Dieser Meldung zufolge sieht sich TikTok in Portugal durch das NGO lus Omnibus zwei Klagen ausgesetzt. Eine Klage bezieht sich auf Nutzer unter 13 Jahren, für die der Verein zur Verteidigung der Verbraucherrechte einen Schadenersatz von insgesamt bis zu 450 Mio. Euro fordert. Die andere Klage betrifft die über 13-Jährigen, für die das NGO Schadenersatz in Höhe von 670 Mio. EUR fordert.
2.7 EuGH-Vorschau – 20.04.2023 zu Art. 15 DS-GVO und der Motivation dazu
Mit Fragen zum Art. 15 DS-GVO befasst sich der Generalanwalt in seinen Schlussanträgen im Verfahren C-307/22 (FT gegen DW), in dem es um die unentgeltliche Zurverfügungstellung einer Kopie geht, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 Satz 1 genannten Zwecke („… um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“) begehrt. Daneben werden auch Fragestellungen zur Einschränkung der Betroffenenrechte nach Art. 23 DS-GVO behandelt. Im Ausgangsfall geht es um die kostenlose Herausgabe von Patientenunterlagen nach einer Zahnbehandlung zur Geltendmachung von Ersatzansprüchen.
2.8 EuGH-Vorschau – 20.04.2023 zur ePrivacy-RL
Im Verfahren C-548/21 um die Anforderungen aus Art. 15 Abs. 1 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) an den Zugang von Daten auf einem Smartphone durch staatliche Stellen werden die Schlussanträge des Generalanwalts erwartet. Im Ausgangsfall wurde in Südtirol einem Deutschen im Rahmen von Ermittlungen im Betäubungsmittelumfeld durch Polizeistellen sein Smartphone abgenommen und versucht, dessen Sperre zu überwinden. Der EuGH muss sich zu der Frage äußern, ob für diesen Eingriff die Befugnisse auf den Bereich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten von schwerer Kriminalität beschränkt werden müsste und ob es für den Zugriff auf ein Smartphone einer gerichtlichen Entscheidung oder durch eine andere unabhängige Verwaltungsstelle bedürfe.
2.9 EuGH-Vorschau – 27.04.2023 zu Voraussetzungen von Sanktionen gegen Unternehmen
Im Verfahren C-807/21 („Deutsche Wohnen“) veröffentlicht der Generalanwalt seine Schlussanträge. Im Verfahren geht es u.a. um die Anforderungen an Sanktionen gegenüber Unternehmen unter Berücksichtigung des § 30 OWiG.
2.10 EuGH-Vorschau – 27.04.2023 zu Anforderungen bei immateriellem Schadenersatz
Der Generalanwalt will seine Schlussanträge in dem Verfahren C-340/21 (Natsionala agentsia za prihodite) bekannt geben. Es geht dabei um Verantwortlichkeiten bei Datenoffenlegung durch einen Hackerangriff und Anforderungen an immateriellen Schadenersatz aus Art. 82 DS-GVO.
2.11 EuGH-Vorschau – 02.05.2023 zu Art. 9 Abs. 1 und Art. 10 DS-GVO
Terminierung der Sitzung des EuGH im Verfahren C-115/22 (NADA u.a.) insb. zu der Frage, ob es sich bei der Information, dass eine bestimmte Person einen bestimmten Dopingverstoß begangen hat, um Gesundheitsdaten nach Art. 9 Abs. 1 DS-GVO handelt. Auch wird erörtert, ob eine daraufhin erfolgte Sperrung von einem Wettkampf eine Information im Sinne des Art. 10 DS-GVO sei.
2.12 EuGH-Vorschau – 04.05.2023 zu Bagatellgrenzen bei immateriellem Schadenersatz
Verkündungstermin im Verfahren C-300/21 (Österreichische Post). Der EuGH muss über Auslegungen bezüglich der Fragen zu den Anforderungen zu Art. 82 DS-GVO, insb. hinsichtlich einer Bagatellgrenze bei immateriellem Schadenersatzanspruch, entscheiden.
2.13 EuGH-Vorschau – 04.05.2023 zu Fragen der Kopie bei Auskunftsansprüchen
Verkündungstermin des Verfahrens C-487/21 („Österreichische Datenschutzbehörde und CRIF“) bei der es um Auslegungen des Art. 15 DS-GVO geht, insb. um den Begriff der „Kopie“ in Art. 15 Abs. 3 DS-GVO.
2.14 EuGH-Vorschau – 04.05.2023 zu Fragen der gemeinsamen Verantwortlichkeit zu Berechnung von Sanktionen
Im Verfahren C-683/21 (Nacionalinis visuomenės sveikatos centras) geht es um Fragen der Verantwortlichkeiten und gemeinsamen Verantwortlichkeiten nach Art. 4 Nr. 7 DS-GVO und die Bestimmung der für Datenschutzverstöße haftenden Einrichtung. Der Ausgangsfall beruht auf dem Einsatz einer App zur Infektionsnachverfolgung in der Pandemie, die ohne Ausschreibung beschafft wurde und bei der die Nutzer bei einer Infektion bestimmte Fragen täglich zu beantworten hatten. In dem Verfahren geht es einerseits darum, ob es sich um einen Verantwortlichen und einen Auftragsverarbeiter handelte oder um zwei gemeinsame Verantwortliche und wie das Merkmal der Bußgeldberechnung („wirksam, verhältnismäßig und abschreckend“) aus Art. 83 Abs. 1 DS-GVO bei der Haftung mehrere Einrichtungen auszulegen ist.
2.15 EuGH-Vorschau – 04.05.2023 zu Rechtsfolgen einer unzureichenden Dokumentation
Der EuGH beurteilt im Verfahren C-60/22 (Boîte électronique judiciaire) die Frage, ob ein fehlendes bzw. unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO oder eine fehlende Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO dazu führen kann, dass eine Verarbeitung unrechtmäßig ist und welche Rechtsfolgen sich daraus ergeben.
2.16 EuGH-Vorschau – 14./15.05.2023: Wie sind Identitätsdaten einer IP-Adresse zu bewerten?
Da haben wir einen ungewöhnlichen Verfahrensverlauf: (Fast) jede/r kennt die Entscheidung „Breyer“ (C-582/14), bei der der EuGH in dem vorgelegten Fall entschied, dass dynamische IP-Adressen personenbezogene Daten sein können. Nun befasst sich der EuGH mit der Frage, ob Identitätsdaten, die einer IP-Adresse zugeordnet sind, zu den Verkehrs- oder Standortdaten gehören, die grundsätzlich einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung bindend ist, unterliegen müssen. Und könnten solche Daten durch eine Behörde ohne vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung bindend ist, erhoben werden? Im Ausgangsfall geht es um die Bekämpfung von Verletzungen der Rechte des geistigen Eigentums, die ausschließlich im Internet begangen werden. Eigentlich liegen die Schlussanträge in dem Verfahren C-470/21 (La Quadrature du Net) des Generalanwalts schon vor, doch nun wurde durch Beschluss vom 23. März 2023 das mündliche Verfahren wiedereröffnet und der EDSA und die ENISA zur Stellungnahme aufgefordert an der mündlichen Verhandlung teilzunehmen und vorher Fragen zu beantworten. Die mündliche Verhandlung wird am 14. und 15. Mai 2023 stattfinden.
3 Gesetzgebung
3.1 EU: Wissenschaftlicher Dienst des EP zur kommerzielle Überwachung
Wie kann Datennutzung in der EU gefördert werden? Daten sind von zentraler Bedeutung für den digitalen Wandel in der EU. In Kombination mit Konnektivität der nächsten Generation und neuen Technologien sollte der freie Datenfluss die Produktivität und Wettbewerbsfähigkeit steigern, die Gesundheit und das Wohlbefinden verbessern und die Dienstleistungen bequemer machen. Die EU-Datenschutzvorschriften schränken jedoch die Innovation ein und gefährden damit den potenziellen datengesteuerten Wohlstand. Befürchten manche und fordern eine gezielte Abschwächung der Vorschriften. Für eine Diskussionsgrundlage soll das Briefing des Wissenschaftlichen Dienstes des EU-Parlaments mit dem Titel „Unpacking ‚commercial surveillance‘: The state of tracking” sorgen. Dabei werden die derzeit gängigen Trackingmethoden durch Google, Facebook und Amazon dargestellt und auch die Trackingmethoden über Apps erläutert. Auch werden die Ankündigungen von Google und Apple zur Berücksichtigung datenschutzrechtlicher Vorgaben beleuchtet. Interessant ist außerdem, dass wohl auch in den USA die US Federal Trade Commission (FTC) Regulierungsmaßnahmen hinsichtlich der kommerziellen Überwachung und Datensicherheit erwägt. Einen Bericht dazu auf Deutsch finden Sie hier.
3.2 Bundestag: Data Mining Technikfolgenabschätzung
Der Ausschuss für Bildung, Forschung und Technikfolgenabschätzung hat seinen Bericht zu „Data Mining – gesellschaftspolitische und rechtliche Herausforderungen“ bereits im Januar 2023 veröffentlicht. Darin werden Methoden und Beispiele sowohl bei nicht-personenbezogenen Daten wie auch bei personenbezogenen Daten erläutert. So gibt es auch Ausführungen zu dem Forschungsprivileg, das bislang in der Diskussion zumeist auf medizinische Daten betrachtet wird. Der Bericht referenziert auch auf die Ergebnisse der Datenethikkommission, die ebenfalls auf Unsicherheiten bezüglich der Reichweite des Forschungsbegriffs und des Datenweiterverarbeitungsprivilegs im Zusammenhang mit der Entwicklung von Produkten hinweist und diesbezügliche gesetzliche Klarstellungen empfiehlt. Neben Ausführungen zu Anforderungen an Einwilligungen befasst sich der Bericht auch mit ethischen Anforderungen.
3.3 BMI: Cyberabwehr durch BKA und BSI
Meldungen zufolge überlegt das BMI gesetzliche Grundlagen wie das Grundgesetz zu ändern, um die dem Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Kompetenzen bei der Abwehr von Cyberkriminalität einzuräumen. Die Verfassungsänderung wäre erforderlich, da grundsätzlich die Länder für die Gefahrenabwehr zuständig sind. Vorgesehen ist die Aufwertung des BSI zur „Zentralstelle“. Das BKA soll die Befugnis zur Gefahrenabwehr gegen Cyberangriffe erhalten. Bundesinnenministerin Faeser habe angedeutet, dass das BKA damit auch die Befugnis zum „Hackback“ (Cyber-Gegenangriff) erhalten soll. Im Koalitionsvertrag der Ampel heißt es jedoch: „Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab.“ Kritik an dem geplanten Vorgehen ließ nicht lange auf sich warten, insbesondere die Überlegungen zu einem staatlichen „Hackback“* werden hinterfragt.
* Franks Anmerkung: Hackback? Das hatten wir doch schon mal besprochen, oder? Muss das wirklich von jeder Bundesregierung neu ausdiskutiert werden?
3.4 EU-Chatkontrolle
Nun scheint es nach diesem Bericht einen Kompromiss zu geben, der diskutiert wird. Gelten die Auflagen zum Scannen privater Nachrichten dann „nur“ für Dienste ohne Telefonnummer? Erfasst werden sollen also etwa die Chat-Services von Facebook, Apple (iMessage), WhatsApp, Signal, Telegram oder Threema. Zu nummerngebundenen Diensten zählen vor allem Festnetz- und Mobilfunkanschlüsse und der SMS-Versand. Aktuelles zum Verhandlungsstand finden Sie hier.
Franks Nachtrag: Zur Chatkontrolle hatten wir schon einiges. Und es gäbe so viel mehr dagegen zu sagen. Aber nehmen wir doch mal nur die Ausführungen derjenigen, die sich damit beschäftigen müssen. Hier ist die Folgenabschätzung (Complementary Impact Assesment) des Wissenschaftlichen Dienstes des Europäischen Parlaments. Und der dazugehörige Artikel von netzpolitik.org, die die Folgenabschätzung als erste veröffentlicht haben. Ein MdEP berichtet darüber, genauso wie eine NGO, dass ein Vertreter der EU-Kommission die Folgenabschätzung nicht gelesen hat, sie aber trotzdem kritisiert. Wie heißt es so schön? Kompetentes Auftreten bei vollständiger Ahnungslosigkeit?
3.5 Timeline AI Act
Wer sich für das Gesetzgebungsverfahren zum AI Act interessiert, kommt um diese Webseite des Büroleiters eines MEP nicht herum. Neben den Zeitplänen der Besprechungsterminen finden sich auch die bisherigen offiziellen Dokumente dazu.
3.6 EU-Parlament: Bedenken gegen EU-US Data Transfer Framework
Mitglieder des Europäischen Parlaments machen Bedenken geltend gegen ein „Durchwinken“ eines Angemessenheitsbeschlusses auf Basis des bisherigen Entwurfs. Die EU-Bürger bräuchten Rechtssicherheit und eine zukunftssichere Regelung, das Recht auf Rechtsmittel und Zugang zu Informationen muss gewahrt bleiben. Sie befürchten zudem, dass der aktuelle Vorschlag wahrscheinlich durch ein Gerichtsurteil für ungültig erklärt würde.
3.7 Ada Lovelace Institute: Diskussionspapier zu AI Governance
Das Ada Lovelance Institut möchte mit einem Diskussionspapier über KI-Normen der Europäischen Union beitragen, in dem es klärt, welche Rolle technische Normen im KI-Governance-Rahmen spielen werden, der durch das EU-Gesetz über künstliche Intelligenz (das „KI-Gesetz“) geschaffen wurde, und wie diese von den Erwartungen der EU-Politiker abweichen kann. Im KI-Gesetz scheinen sich die politischen Entscheidungsträger der EU auf technische Normen zu verlassen, um die detaillierten Leitlinien zu liefern, die für die Einhaltung der Anforderungen des Gesetzes zum Schutz der Grundrechte erforderlich sind. Den für die Entwicklung von Normen zuständigen Stellen scheint es – dem Institut zufolge – jedoch an Fachwissen und Legitimität zu fehlen, um Entscheidungen über die Auslegung von Menschenrechtsvorschriften und anderen politischen Zielen zu treffen. Dies könne dazu führen, dass Grundrechte und andere öffentliche Interessen nicht geschützt werden. Die in diesem Papier vorgestellten Untersuchungen sind nicht abschließend; sie basieren auf den begrenzten, öffentlich zugänglichen Informationen über die Entwicklung technischer Standards für das KI-Gesetz sowie auf dem Feedback einer kleinen Anzahl von Experten.
3.8 Cyber Resilience Act – Produkte mit digitalen Elementen
Eine schöne Darstellung der Anforderungen an Software- oder Hardwareprodukte mit Lösungen für die Datenfernverarbeitung, sogenannte „Produkte mit digitalen Elementen“, die sich nach aktuellem Stand aus dem Entwurf des Cyber Resilience Acts ergeben, findet sich hier. Die Verordnung soll dabei neben Anbieter:innen auch andere mit dem Produkt in Verbindung stehende Akteur:innen treffen: So sieht sie Verpflichtungen auch für Hersteller:innen (inklusive Software-Developer:innen), Importeur:innen und Händler:innen vor.
3.9 Beschäftigtendatenschutzgesetz
Das BMAS und das BMI planen Berichten zufolge Regelungen zum Beschäftigtendatenschutz. Dazu haben sie bereits ein Papier mit Vorschlägen für einen Gesetzesentwurf erarbeitet. Dem Bericht zufolge solle es noch Gespräche mit Verbänden, Betriebsräten und anderen relevanten Akteuren geben.
3.10 Forschungsdatengesetz
Das BMFB führt eine Konsultation durch, welche Aspekte in einem Forschungsdatengesetz abgebildet werden sollten. Im Fokus stehen dabei vor allem Gesundheits- oder Mobilitätsdaten.
3.11 bitkom: Handlungsempfehlungen zu NIS-2
Der bitkom hat eine Broschüre zur nationalen Umsetzung der NIS-2-Richtlinie veröffentlicht. Die Handlungsempfehlungen beruhen auf der Sicht der Digitalwirtschaft. Der bitkom sieht die zwingende Notwendigkeit für einen stärker harmonisierten und zukunftssicheren Cybersecurity-Regulierungsrahmen und begrüßt daher die NIS-2-Richtlinie im Grundsatz. Der im Gesetzgebungsprozess gefundene Kompromiss schaffe eine vernünftige Balance zwischen gezielten regulatorischen Eingriffen und einer ganzheitlichen Stärkung der Cyber-Resilienz der EU. In der Umsetzung in nationales Recht ist aus Sicht des bitkom jedoch insbesondere die Schaffung von legislativer Konsistenz mit angrenzenden Rechtsakten und die praktische Umsetzbarkeit in den Fokus zu nehmen. Außerdem zentral ist eine möglichst gute nationale und EU-weite Harmonisierung. Dazu will er mit dieser Broschüre beitragen.
3.12 Altersverifikation in Arkansas und Utah für Nutzung sozialer Netzwerke
In Arkansas soll aufgrund einer Gesetzesänderung eine Altersverifikation für Nutzer von Social Media vorgesehen werden. Eltern und Gesetzgeber machten sich zunehmend Sorgen über die Nutzung der sozialen Medien durch Kinder und Jugendlich und darüber, wie sich die Plattformen auf die psychische Gesundheit von Jugendlichen auswirken. Für Personen unter 18 wird dann das elterliche Einverständnis gefordert. Zuvor hat bereits Utah ähnliche Vorgaben beschlossen.
4 Künstliche Intelligenz und Ethik
4.1 AI-Index des Stanford Institute for Human-Centered Artificial Intelligence (HAI)
In seinem Jahresbericht analysiert das Stanford Institute for Human-Centered Artificial Intelligence (HAI) weltweite KI-Trends. Damit sollen damit Entscheidungsträgern geholfen werden „sinnvolle Maßnahmen zu ergreifen, um KI verantwortungsbewusst und ethisch mit Blick auf den Menschen voranzubringen“. So beinhaltet er beispielsweise auch ein eigenes Kapitel zur technischen Aspekten der Künstliche Intelligenz oder zur Diversität. Gegenüber dem Vorjahr sei die Verfolgung der globalen KI-Gesetzgebung von 25 auf 127 Länder ausgeweitet worden.
4.2 USA: FTC und AI-Einsatz
Unter dem Titel „Chatbots, Deepfakes und Sprachklone: KI-Täuschung zu verkaufen“ informiert die US Federal Trade Commission (FTC), dass sie Meldungen entgegen nimmt, wenn durch den Einsatz von KI unfairen Verhalten gefördert oder durchgeführt wird. Auch wenn der Schwerpunkt dieses Aufrufs auf Betrug und Täuschung läge, wird ausgeführt, dass neue KI-Tools eine Reihe anderer ernsthafter Bedenken mit sich brächten, wie z. B. potenzielle Schäden für Kinder, Jugendliche und andere Risikogruppen, die mit diesen Tools interagieren oder ihnen ausgesetzt sind. Die FTC verfolge diese Bedenken sehr genau, da die Unternehmen diese Produkte immer schneller auf den Markt bringen und die Interaktionen zwischen Mensch und Computer immer neue und möglicherweise gefährliche Wendungen nehmen.
4.3 Noch’ne KI
Nicht nur ChatGPT, auch der Rivale LLaMA des Konzerns Meta macht auf sich aufmerksam. Und das nicht nur, weil er geleakt wurde. Auch Alternativprodukte wie Stanfords Alpaca für wenig Geld machen die Runde.
4.4 Datenschutzverletzung bei ChatGPT
Auch bei kostenlosen Angeboten sind Datenschutzverletzungen ernst zu nehmen. Selbst ChatGPT ist da nicht gefeit, wie Sie hier und da lesen können. Und eine Datenschutzverletzung machte ja auch die italienische Aufsicht Garante auf ChatGPT aufmerksam, weil OpenAI die gesetzlichen Meldepflichten zudem unterließ. Schließlich sind auch die Aspekte des Jungendschutzes bei AI nicht neu, sondern bereits in einer Publikation der Europäischen Union aus dem Jahr 2022 thematisiert worden.
4.5 ETSI: Securing Artificial Intelligence (ISG SAI)
Die ETSI Industry Specification Group on Securing Artificial Intelligence (ISG SAI) konzentriert sich in dem aktuellen Bericht auf drei Schlüsselbereiche: Nutzung von KI zur Verbesserung der Sicherheit, Abschwächung von Angriffen, die KI ausnutzen, und Schutz von KI selbst vor Angriffen. Der Bericht identifiziert Schritte, die von Designer:innen und Implementierer:innen von KI-Plattformen unternommen werden müssen, um die Erklärbarkeit und Transparenz der KI-Verarbeitung zu gewährleisten.
4.6 KI aus Heidelberg
Gegenüber dem Einsatz von KI werden oft Aspekte der fehlenden Transparenz und Vertrauenswürdigkeit entgegengebracht. Ein Start-up aus Heidelberg versucht nach dieser Meldung hier eine Alternative zu bieten, die mittels hauseigenem Sprachmodell den Weg zu inhaltlich korrekter, erklärbarer und vertrauenswürdiger KI erreichen will.
4.7 ChatGPT und Firmengeheimnisse
Dann bringen wir es eben hier auch nochmal: Eigentlich sollte es ja klar sein, dass auch bei Eingaben in die Aufgaben für eine öffentliche Künstliche Intelligenz Vorgaben zur Vertraulichkeit gewahrt sein sollten. Dies scheint aber nicht immer berücksichtigt zu werden, besonders ärgerlich, wenn es dann dabei auch noch um Schwachstellen in Sourcecodes geht, wie hier beschrieben. Auch würden durch den Einsatz von KI Angriffe gegen Firmen oder Privatpersonen erleichtert, wie Sicherheitsforscher:innen betonen. Die Möglichkeiten zu Chancen und Risiken von Künstlicher Intelligenz sind halt letztendlich doch noch von der natürlichen Intelligenz der Nutzenden abhängig.
4.8 Offener Brief an OpenAI
Ich gehe mal davon aus, dass die Autoren mutmaßen, dass die Manager:innen von Open AI nicht eine Frankfurter Tageszeitung lesen, sonst wäre der Inhalt sicherlich auch gut als Artikel dort veröffentlicht worden. Sie drücken in ihrem offenen Brief ihre Sorge aus, dass der unbedarfte Einsatz von Software wie KI zum Problem werde. Aus der Sicht der Autoren solle der Dienst in Europa nicht pauschal verboten werden, sondern in den bestehenden rechtlichen Rahmen eingefügt werden.
Franks Nachtrag: Das war natürlich nicht der einzige offene Brief zum Einsatz von KI in den letzten Tagen. Auch wenn die inhaltliche Ausrichtung sich unterscheiden mag.
Franks Nachtrag zu Franks Nachtrag: Hier eine Vermutung, warum Elon Musk den anderen offenen Brief mitunterzeichnet hat. Schlimm, dass das sofort bei allen die Reaktion „Plausibel, das…“ auslöst.
4.9 Podcast zu KI und Machine Learning
Nicht für Personen, die sich neu mit diesen Themen befassen wollen, auch für Experten bietet dieser Podcast (ca. 34 Min) interessante Einblicke und Informationen. Unter anderem geht es um die Frage, ob ChatGPT-4 erste Anzeichen einer starken KI aufweise und um die Veröffentlichung „Sparks of Artificial General Intelligence: Early experiments with GPT-4“.
5 Veröffentlichungen
5.1 ISO 24745: Schutz biometrischer Informationen
Wieder eine ISO-Norm, die manche/n Anwender:in bei der Umsetzung von gesetzlichen Anforderungen unterstützen kann. Die ISO/IEC 24745:2022 behandelt die Themen “Information security, cybersecurity and privacy protection — Biometric information protection”. Biometrische Daten werden in der Regel für Authentifizierung oder Identifikation verwendet. Im Gegensatz zu anderen Schutzmaßnahmen, z. B. Passwörtern, können biometrische Daten nicht geändert werden. Dies ist einer der Gründe, warum diese Daten in der Datenschutzregulatorik einen besonderen Schutzbedarf zugewiesen bekommen haben. Die Norm deckt den Schutz biometrischer Informationen unter verschiedenen Anforderungen an Vertraulichkeit, Integrität und Erneuerbarkeit/Widerruflichkeit während der Speicherung und Übertragung ab.
5.2 Rechtliche Fragestellungen und Beispiele für „Dark Patterns“
Manipulative Gestaltungen können zu einem rechtlichen Problem werden. Wir merken es selbst, wenn es uns leichter gemacht wird Einwilligungen zu erteilen als Angebote abzulehnen. Was fällt alles darunter und wo liegt die Grenze zur zulässigen Gestaltung? Hier findeb Sie einen freundlicherweise öffentlich zugänglichen Beitrag, der sich zu rechtlichen Anforderungen unter den Aspekten Datenschutz und Vertragsrecht und Lauterkeitsrecht Gedanken macht. Und damit Sie sich leichter vorstellen können, welche verschiedenen Formen es von Dark Pattern gibt, finden Sie unter diesem Link auch Beispiele.
5.3 Mind-Set wichtiger als Zertifikate
Hier ein aufschlussreicher Artikel, warum die Ausrichtung auf Compliance alleine nicht ausreicht, um potentielle Angreifer auf die IT-Systeme abzuwehren. Zwei Zitate daraus verdeutlichen es: “They are looking for gaps in our security, not in our compliance” und „Do you want to mitigate against an auditor, or an attacker?“
5.4 MS 365 für den Bildungsbereich
Mit Stand 2023 bietet Microsoft auf 23 Seiten Hinweise und Unterstützung beim rechtskonformen Einsatz von MS 365 in Bildungseinrichtungen unter dem Titel „Deploying Office 365 in the EU – A Guide to GDPR Compliance for the Education Sector“. So enthält der Anhang neben einer Linkliste zu weiteren Aussagen und Dokumente auch eine Zuordnung der rechtlichen Anforderungen aus der DS-GVO an vertragliche Regelungen von Microsoft.
5.5 Neue Leitfäden für IT-Grundschutz mit der Microsoft Cloud
Microsoft liefert hier seine Hinweise und Interpretationen zur Umsetzung der Vorgaben des BSI, speziell für die Plattformen Microsoft Azure, Microsoft 365 oder Dynamics 365.
5.6 Unzureichende Schutzmaßnahmen bei Postversand
Wie versendet Ihr sensible Informationen? Reicht es aus, sich auf das Postgeheimnis zu verlassen oder sollten Datenträger nicht zusätzlich auch verschlüsselt werden? Und wenn, dann wie? Hätten sich diese Fragen mal die Absender eines USB-Sticks gestellt, die im Rahmen von Ermittlungen bzgl. sexueller Gewalt an Kindern einen USB-Stick mit Beweisaufnahmen per Post an einen Gutachter versandten. Die Sendung kam laut Bericht nur mit einem leeren Umschlag an. Der USB-Stick enthielt unverschlüsselte Aufnahmen.
Franks Nachtrag: Diese Meldung kommt mir bekannt vor (um nicht „Erster!“ zu sagen).
5.7 Paypal Data Breach aufgrund fehlender 2FA
Die Ursache beim unerlaubten Zugriff auf Paypal-Konten lag diesem Bericht zufolge in unzureichenden Schutzmaßnahmen der User. Sie alle hatten keine Zwei-Faktor-Authentifizierung (2FA) aktiviert, die Paypal anbietet. So konnten durch Credential Stuffing Täter auf Konten Zugriff nehmen. Zu den personenbezogenen Daten, die bei dem Angriff preisgegeben wurden, gehören Namen, Adressen, Sozialversicherungsnummern, individuelle Steuernummern und/oder Geburtsdaten. Beim Credential Stuffing verwenden Hacker automatisierte Bots, um bereits kompromittierte Benutzernamen und Passwörter – die höchstwahrscheinlich im Dark Web gestohlen oder gekauft wurden – in die Anmeldeseite des Zielsystems zu „stopfen“, in der Hoffnung einen Treffer zu landen.
5.8 Cookie-Ratgeber
An was aus welchen Gründen bei der Gestaltung von Webseiten hinsichtlich der Cookies zu beachten ist soll hier ultimativ beschrieben sein. Auch wenn ich als Jurist mit dem Gebrauch von Superlativen eher ein Problem habe, ist doch auch die grafische Darstellung ansprechend und der Inhalt wirkt sehr umfassend.
5.9 Schmerzensgeld bei Datenschutzverstößen
Wie oben angekündigt wird der EuGH bzw. der Generalanwalt in den nächsten Wochen die Auslegungen zu den Anforderungen bei immateriellen Schadensersatzansprüchen veröffentlichen. Unabhängig davon finden Sie hier schöne Darstellungen zu der aktuellen Rechtslage sowie eine Auswertung zu den Erfolgsaussichten bei Schadensersatzklagen bei Datenschutzverstößen. Die bislang unterschiedliche Bewertung der Vorfälle bei Facebook in den Jahren 2018 und 2019, als Daten „gescrapt“ wurden, zeigt, dass hier eine Klärung durch den EuGH dringend erforderlich wird.
5.10 Data Protection by Design and by Default
Zu diesen Anforderungen lässt sich ja Einiges finden. Auch wenn es oft als „Privacy by Design“ bezeichnet wird. Hier schließe ich mich gerne den Ausführungen des BfDI an, gerade auch weil seit 2018 der Art. 25 DS-GVO zur Anwendung kommt:
„Insbesondere im internationalen (außereuropäischen) Bereich wird statt Data Protection by Design häufig der Begriff Privacy by Design verwendet. Obwohl die beiden Begriffe häufig synonym verwendet werden, sind sie bei genauerer Betrachtung nicht gleichbedeutend.
Während „Privacy by Design“ vor allem den Schutz der Privatsphäre meint und damit vor allem darauf zielt, dass bestimmte Datenverarbeitungen überhaupt nicht stattfinden, umfasst „Data Protection by Design“ auch solche Datenverarbeitungen, die tatsächlich stattfinden und auch legitim sind. Auch diese Verarbeitungen müssen so gestaltet werden, dass die Anforderungen an den Schutz der verarbeiteten personenbezogenen Daten erfüllt sind.“
Nachfolgend eine Aufstellung von Hinweisen und Unterlagen zu der Thematik ohne Anspruch auf Vollständigkeit und Gewähr:
- 2023 ISO 31700 Part 1 — Part 1: High-level requirements und ISO 37100 Part 2 — Part 2: Use cases
- 2023 APDCAT, Catalan Data Protection Authority: Privacy by design and privacy by default A guide for developers
- 2022 ICO: Guide to data protection by design and by default
- 2021 EDSA: Guideline 04/2019 zu Art. 25
- 2020 CNIL: GDPR developer’s guide
- 2017 datatilsynet, Norwegen: Software development with Data Protection by Design and by Default
- 2016 ULD: Vortragsfolien zu Privacy by design
- 2012 Kanada: Operationalizing Privacy by Design – A Guide to Implementing Strong Privacy Practices
5.11 Veranstaltungen
Franks Anmerkung: Ich probiere mal etwas Neues aus (ob das Bestand hat, weiß ich noch nicht): Ich führe einfach alle Veranstaltungen auf, die neu hinzugekommen sind (wie bekannt, gekennzeichnet mit -neu-), zusätzlich aber auch die, die wir schon mal angekündigt hatten, die aber noch nicht vergangen sind und bei denen Sie sich noch anmelden könnten.
5.11.1 Stiftung Datenschutz – „Die Bestandsdatenauskunft im TTDSG“
20.04.2023, 13:00 – 14:00 Uhr: Potenziell ist jeder Website-Betreiber oder Cloud-Dienst-Anbieter zur Herausgabe seiner Kundendaten an Sicherheitsbehörden verpflichtet und muss dazu komplexe Prüfpflichten implementieren. Während den USA im Zusammenhang mit dem Angemessenheitsbeschluss der EU-Kommission vorgeworfen wird, dass das Schutzniveau dort – aufgrund zur Bestandsdatenauskunft vergleichbaren Bestimmungen – aus Sicht der EU nicht angemessen ist, gehen die deutschen Regelungen für die Sicherheitsbehörden teils deutlich weiter, z. B. durch mangelnde Transparenz und daraus resultierende fehlende Rechtsschutzmöglichkeiten. In der Veranstaltung werden Es werden die Bestands- und Nutzungsdatenauskunft mit den daraus folgenden Pflichten für Telemedienanbieter vorgestellt, praktische Empfehlungen zum Umgang mit Auskunftsanfragen der Sicherheitsbehörden gegeben und auch die möglichen Auswirkungen auf internationale Datentransfers beleuchtet. Weitere Informationen und Anmeldung hier (die Anmeldung ist noch möglich).
5.11.2 Daten-Dienstag: „Whistleblowing – Hinweisgeberschutz“ -neu-
25.04.2023, 19:00 – 20:30 Uhr: Die EU-Whistleblower-Richtlinie ist immer noch nicht in Deutschland umgesetzt. Damit werden Mitarbeiter*innen und Geschäftspartner*innen von Unternehmen, Behörden und Organisation, besonderen Schutz erhalten, wenn sie auf Verstöße gegen das EU-Recht, gegen deutsche Straf- und Bußgeldvorschriften sowie auf Verstöße gegen die Verfassungstreue von Beamt*innen hinweisen. Dafür sind Meldekanäle einzurichten: intern oder extern, auf jeden Fall vertraulich und auf Wunsch auch anonym. Bei der Veranstaltung werden Hintergründe und Umsetzungsvorgaben des neuen Gesetzes, kurz HinSchG, vorgestellt. Weitere Informationen und Anmeldung hier.
5.11.3 EFDPO – DPO Open Talks -neu-
27.04.2023, 16:00 – 18:00 Uhr: Die 3. Online-Veranstaltung der EFDPO in diesem Jahr wird vom portugiesischen Berufsverband APDPO organisiert. Unter dem Namen DPO Open Talks stehen zwei einstündige Panels auf dem Programm. Im ersten Panel geht es darum, welche Auswirkungen die zahlreichen europäischen Digitalgesetzgebungsprojekte zukünftig auf die Rolle von Datenschutzbeauftragten haben könnten. Das zweite Panel widmet sich dem Dauerbrennerthema internationaler Datentransfers. Die EFDPO Open Talks finden in englischer Sprache statt. Weitere Informationen und Anmeldung.
5.11.4 Stiftung Datenschutz – „Grundlagen für Datenschutz im Ehrenamt“ -neu-
27.04.2023, ab 18:00 Uhr: Ob Mitgliederverwaltung, Cloud-Dienste oder Öffentlichkeitsarbeit mittels Webseite und Social Media – Vereine sind vielfältig aktiv. Doch oftmals ist unklar, worauf genau es zu achten gilt und wie man sich dem Thema sinnvoll widmet. Im Grundlagen-Workshop lernen Engagierte, was die DS-GVO von ihnen verlangt. Mitgliederverwaltung und die grundlegenden Datenschutzbausteine, wie Rechtsgrundlagen, Informationspflichten, Auftragsverarbeitung und internationale Datentransfers werden behandelt. Weitere Informationen und Anmeldung hier.
5.11.5 Symposium des BLM / IUM – Künstliche Intelligenz: Herausforderungen für das Medienrecht
27./28.04.2023: Das Institut für Urheber und Medienrecht führt ein zweitägiges Symposium in München durch, das zahlreiche Themen beinhaltet, die nicht nur für Medienschaffende interessant sind, wie z.B. Haftungsfragen beim Einsatz von KI, etc. Weitere Informationen zum Programm und zur Anmeldung finden Sie hier (die Anmeldung ist noch möglich).
5.11.6 BigBrotherAwards 2023
29.04.2023, ab 18:00 Uhr (Bielefeld und online): Zweifelhafte Geschäftsmodelle, Politikerinnen im Überwachungswahn oder schnüffelnde Arbeitgeber – die BigBrotherAwards gehen auch in diesem Jahr wieder an die wahnwitzigsten und skrupellosesten Datenkraken in Wirtschaft und Politik. Teilnahme vor Ort (üblicherweise) kostenpflichtig, Streaming aber kostenlos, hier finden Sie Informationen zum Ticketkauf (noch sind Tickets zu bekommen).
5.11.7 Business School Berlin: KI – eine Einführung! -neu-
09.05.2023, 18:00 – 19:30 Uhr: In dem Onlinevortrag mit Diskussion wird ein Blick in die Black Box der modernen KI gewagt und im Anschluss die Diskussion eröffnet, welche Auswirkungen die Entwicklungen in unserem Alltag haben können. Weitere Informationen auch zur Anmeldung hier (Anmeldung per E-Mail, auf der Infoseite müssen Sie sich die Veranstaltung selbst suchen).
5.11.8 Stiftung Datenschutz – „Im Normendschungel der EU“ -neu-
25./26.05.2023: Das Vorabendprogramm am 25. Mai 2023 (ab 17:30 Uhr) in Hannover widmet sich einem Rückblick und Ausblick zur DS-GVO. Am 26.05.2023 wird dann der Normendschungel der EU bereist (von 08:30 bis ca. 16:00 Uhr). Weitere Informationen und Anmeldung hier (Anmeldungen zur Vor-Ort-Teilnahme sind bis 15.05.2023 möglich).
5.11.9 Vorankündigung – GI: Designing Feminist Futures
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).
6 Gesellschaftspolitische Diskussionen
6.1 Zunahme der digitalen Straftaten
Ein Aspekt bei der Zunahme der digitalen Straftaten betrifft die Strafbarkeit auch von Jugendlichen durch den Besitz kinderpornografischer Video- und Bilddateien – auch wenn sie „nur“ selbst abgebildet sein sollten. Eine Ursache dabei ist die Verschärfung des § 184b StGB, bei dem allein der Besitz nun als Verbrechen bewertet wird, unabhängig davon, in welchem Verhältnis die abgebildete Person zur besitzenden steht.
6.2 Tesla-Videos zweckentfremdet
Berichten zufolge haben Tesla-Beschäftigte Videos, die durch Tesla-Fahrzeuge aufgenommen wurden, für andere Zwecke verwendet. Das betrafen sowohl Aufnahmen aus den Innenräumen als auch aus den Umgebungen der Fahrzeuge. Da tröstet es wenig, wenn diesem Bericht zufolge auch Aufnahmen aus der Garage des Firmeninhabers betroffen sein sollen.
7 Sonstiges/Blick über den Tellerrand
7.1 Meta: Widerspruch zu Werbung
Wer den Werbeaktivitäten von Meta widersprechen will, dem bietet noyb ein Tool zur Umsetzung an. Meta wechselt bei der Rechtsgrundlage für die Werbeaktivitäten von „Vertragserfüllung“ auf berechtigtes Interesse – und da bietet der Gesetzgeber eine Widerspruchsmöglichkeit. Das Tool finden Sie hier.
Franks Nachtrag: Falls Sie sich selbst am Opt-Out direkt bei Facebook ausprobieren wollen, hier ist der Link zur gut versteckten Seite (fragen Sie mich bitte nicht, wie das Opt-Out nun auf der Seite geht, ich habe den Link der noyb-Mail entnommen, in der das noyb-Tool angekündigt wurde).
7.2 Freedom & Choice – Auswirkungen von Bezahlschranken
Mit den Auswirkungen hinsichtlich des Zugangs zu Medien und Informationen befasst sich dieser Beitrag. Die Beschränkung des für alle Leser zugänglichen Inhaltspools auf einige wenige Stücke könne gefährliche Auswirkungen auf die Zivilgesellschaft und ihr Demokratieverständnis haben. Je weniger Menschen Zugang zu qualitativ hochwertigen Informationen aus verschiedenen Quellen hätten, desto leichter können populistische oder gar extreme Plattformen ohne Gegenargumente ihr Geschäft betreiben, und desto größer ist die Wahrscheinlichkeit, dass Halbwahrheiten und Fake News geglaubt werden. Mit einer Parallele wird das Dilemma verdeutlicht: Es gibt kein kostenloses Mittagessen! Aber jemanden zu einem Mittagessen-Abonnement zu zwingen, ist auch keine Lösung. Im Beitrag wird daher aufgefordert sich neue Modelle zu überlegen. In dieser Reihe geht es um die Frage, wo Kreative und Verlage heute stehen – und wohin sich die Medien, wie wir sie kennen, in naher Zukunft entwickeln müssen. Am Ende der Serie sollen Lösungen und Konzepte vorgestellt werden, wie man den Status quo ändern kann.
7.3 Wer kennt noch Lochkarten?
Etwa wehmütig denken sicher einige an frühere Jahr(zehnte) zurück, während viele der Leser:innen sich wundern, wie daraus Informationen gewonnen werden konnten. Wie das ging, daran erinnert dieser Beitrag.
8. Franks Zugabe
8.1 Apropos ChatGPT…
Kollege Kramer hat ja in dieser Blogbeitrag schon mehrere Einträge gebracht, die sich mitr ChatGPT beschäftigt haben (siehe 1.1, 4.4, 4.7 und 4.9 sowie indirekt 4.8).
Nun möchte ich keine Doppelungen bringen, aber ich denke, ich habe noch ein paar weitere interessante Artikel zu ChatGPT. Let’s see:
- Fangen wir mit Google an, die ChatGPT nicht einfach so hinnehmen wollen und alternativ Bard ins Rennen schicken (warum denke ich gerade an Google+?).
- Eine KI hat für für eine Brauerei ein neues Bier gebraut. Ein Medienunternehmen hat eine KI eine Kritik schreiben lassen. Über die Bing-KI (und das ist ja ChatGPT, oder?). Andere haben vorher ja tatsächlich von einer KI empfohlene Cocktails probiert (im siebten Eintrag).
- Hier berichtet jemamd darüber, wie ChatGPT ihn mit erfundenen Verleumdungen schlecht macht. Defamed by ChatGPT. Und hier wird der Fall besprochen.
- Hier hat jemand mit Hilfe von KI (und auch ChatGPT) eine komplett virtuelle Person erstellt und berichtet darüber.
- ChatGPT ist übrigens auch Literaturkritiker…
- Europol hat die Auswirkungen von ChatGPT auf die Cybersicherheit untersucht.
- KI-Chatbots sind laut diesem Hintergrund-Artikel eine Sicherheitskatastrophe. Weswegen OpenAI ein Bug-Bounty-Programm aufgelegt hat (sie wissen schließlich, dass das Produkt flawed ist). Was aber den großen Geldgeber nicht vom Integrieren ins Hauptprodukt abhält. Was soll da schon passieren? 🙄
- Der gleiche Anbieter bringt dann übrigens auch ChatGPT auf Mobiltelefone (über seine Tastatur-App). Hier gibt es die Nachricht direkt vom Hersteller.
- In diesem Artikel wird die Frage diskutiert, ob KI dafür sorgen kann, dass die Menschen in Zukunft weniger arbeiten müssen (Spoiler: Eher nicht). Und apropos weniger Arbeiten: Laut diesem Artikel haben Kreative, die die Sprüche in Glückskeksen erzeugen, in Zukunft definitiv weniger Arbeit dank ChatGPT. Weniger im Sinne von keine Arbeit mehr.
- Der Autor dieses Artikels hat sich eine Woche lang von ChatGPT coachen lassen und berichtet, ob es ihm geholfen hat. Die Ergebnisse sind durchwachsen…
- In diesem Artikel wird der Frage nachgegangen, warum ChatGPT und auch Bing Chat so gut darin sind sich Informationen auszudenken.
- In diesem Artikel wird über Fluten von Phishing-Mails, generiert durch (u.a.) ChatGPT, berichtet. Das können ja noch schöne Zeiten werden…
- Hier werden 20 Personen gezeigt (youtube-Video, 15 Minuten), die probieren, ob ChatGPT ihre Arbeit erledigen kann. Auch hier sind die Ergebnisse durchwachsen.
- Und hier wird erklärt, wie der GPT-Teil in ChatGPT denn so funktioniert. Passend dazu: Eight Things to Know about Large Language Models.
8.2 AI-generated Claudia, selling online…
Wie der Artikel schon in der Überschrift so schön sagt: Meet ‚Claudia,‘ the 19-year-old selling nudes online that’s actually an AI creation. Immerhin werden hier nicht direkt real exitierende Personen ausgenutzt.
8.3 Inside a Misfiring Government Data Machine
Im Artikel wird dargestellt, wie KI-Systeme Minderheiten in den Niederlanden diskriminieren. Wie war das? Digitalisierung first, bedenken second?
8.4 KI-Chatbot wird für Selbstmord eines Familienvaters in Belgien verantwortlich gemacht
Das ist verstörend.
Wenn Sie Gedanken an Selbstmord haben, sprechen Sie nicht mit einer KI.
Sprechen Sie mit Experten!
8.5 Apropos Digitalisierung
Da ja an allen Stellen die Digitalisierung vorangetrieben wird, sollte bitte immer berücksichtigt werden, dass nicht alle Menschen in Deutschland online sind. Nicht, dass da noch jemand abgehängt wird oder so…
8.6 Achilles-Ferse der KI?
In dieser Studie wird die Frage erörtert, ob KI eine Achilles-Ferse haben und wie diese (implementiert und dann) genutzt werden könnte, um eine hyperintelligente KI trotzdem beherschbar zu halten.
8.7 Humans Will Fall in Love With AIs
So zumindest erwartet es nach diesem Artikel der früherer Google-CEO. Es gibt zu Beziehungen mit AI-Freund:innen auch schon andere Artikel. Ich muss da ja spontan an den Film mit der Stimme von Scarlett Johannson denken… Ach ja, Her.
8.8 Apropos Microsoft und Marktmacht
Unter 1.20 berichtete Kollege Kramer ja darüber, dass das BKartA eine Prüfung der Marktstellung von Microsoft durchführen will. Passend dazu vielleicht noch diese zwei Meldungen:
Zum einen hat Microsoft so lange gewartet, bis Firefox einen Marktanteil von 5% unterschritten hat, bevor sie dafür gesorgt haben, dass der Microsoft Defender nicht ausdrücklich Firefox ausbremst. Das hat fünf Jahre gedauert.
Zum anderen erhöht Microsoft gerade schon wieder die Preise. Nicht alle sind zufrieden. Nun ja, wenn ich mich in den goldenen Käfig setze? Irgendwann merke ich dann, was der Teil „Käfig“ im Namen bedeutet. Und das Gold nicht alles ist. Oder so… Aber das war vorher bestimmt nicht absehbar.
Ach ja, und das hier passt natürlich auch irgendwie gut dazu: These Angry Dutch Farmers Really Hate Microsoft.
8.9 Das USB-Condom
Wie, Sie kennen das USB-Condom nicht?
Sollten Sie aber … sagt zumindest das FBI.
8.10 Zum Abschluss – Ein Comic zu KI und ein glücklicher Autor…
Ja das passt wirklich zusammen:
Hier der Comic: Offensive AI.
Und hier der glückliche Autor.
9. Die guten Nachrichten zum Schluss
9.1 „Nervenschoner“ der Verbraucherschützer
Nein, beim Datenschutz geht es nicht nur um Cookies, aber der Eindruck drängt sich fast auf. Dabei kommt das Cookie-/Consent-Banner nicht wegen des Datenschutzes, sondern weil der Webseitenanbieter eine Einwilligung braucht für die Verarbeitung meiner Daten (wenn diese nicht erforderlich für die Nutzung der Webseite / App sind). Wie kann ich nun die Cookie-/Consent-Banner-Belästigungen eindämmen? Hier bietet die Verbraucherzentrale Bayern ein Tool zum Nervenschonen. Über ein Browser-Plug-In können Banner ausgefiltert und abgelehnt werden – bei einzelnen Seiten ist aber auch ein Verzicht auf die Ablehnfunktion möglich. Hier der Link zur Informationsseite und den Installationsanleitungen für Firefox, Chrome & Edge.
9.2 Datenschutz-Tipps für Kinder
Die Bundeszentrale für politische Bildung bietet ein kostenloses Plakat zur Sensibilisierung von Kindern zu Aspekten der IT-Sicherheit und des Datenschutzes. Es kann hier bestellt werden.
9.3 Digitales Lernzentrum von Byte Challenge
Das digitale Lernzentrum BYTE Challenge der Gesellschaft für Informatik e.V. bietet für Schüler:innen und Schulklassen kostenlose Bildungsangebote zu den Themen zu Digital Skills, Computer Science, Technikvertiefung, MINT und Orientierung. Die Wissensvermittlung erfolgt individuell, digital, interdisziplinär und mittels Videos. Materialen werden es auf Deutsch, Englisch und Ukrainisch angeboten.