Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 16/2023)“

Hier ist der 66. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 16/2023)“.

  1. Aufsichtsbehörden
    1. EDSA: Guideline 01/2022 zum Auskunftsrecht
    2. EDSA: Bericht der Taskforce „101“
    3. EDSA Jahresbericht 2022
    4. LDA Brandenburg: Tätigkeitsbericht für 2022
    5. LDA Brandenburg: Tätigkeitsbericht für 2022 – Rechtskonformer Einsatz von Facebook Fanpages
    6. LDA Brandenburg: Tätigkeitsbericht für 2022 – Bußgeld wegen unzureichender Testmaßnahmen
    7. LDA Brandenburg: Tätigkeitsbericht für 2022 – Unzureichende gesicherte Videoüberwachung einer Bank
    8. LDA Brandenburg: Tätigkeitsbericht für 2022 – Fischereiaufsicht mit privatem Smartphone
    9. HBDI: Tätigkeitsbericht für 2022
    10. HBDI: Tätigkeitsbericht für 2022 – Videokonferenzsystemeanbieter unterliegen Fernmeldegeheimnis
    11. HBDI: Tätigkeitsbericht für 2022 – Falsche Rechtmäßigkeitsangaben bei den Informationspflichten
    12. HBDI: Tätigkeitsbericht für 2022 – Datenschutzrechtliche Anforderungen bei Active Sourcing
    13. HBDI: Tätigkeitsbericht für 2022 – Kritik an Facebook Fanpages
    14. HBDI: Tätigkeitsbericht für 2022 – Werbung per E-Mail
    15. HBDI: Tätigkeitsbericht für 2022 – Softwareüberlassung durch Steuerberater an Mandanten keine Auftragsverarbeitung
    16. HBDI: Tätigkeitsbericht für 2022 – Forschung und Datenschutz
    17. LfD Bayern: Zertifikatslehrgang behördliche Datenschutzbeauftragte
    18. HBDI: Fragenkatalog an OpenAI zu ChatGPT
    19. Irland: Verzeichnis der Verarbeitungstätigkeiten
    20. Italien: Unzureichende Anonymisierung führt zu 50.000 Euro Bußgeld
    21. Tschechien: Bußgeld gegen Hersteller von Antvirenprogramm in Höhe von ca. 13 Mio. Euro
  2. Rechtsprechung
    1. EuGH: Art. 15 DS-GVO und die Motivation dazu
    2. EuGH zur ePrivacy-RL
    3. LG Memmingen: Anspruch aus Art. 82 DS-GVO setzt Verarbeitung voraus
    4. Berufungsgericht Grenoble: Unrechtmäßige Verarbeitung führe zu Unwirksamkeit des Vertrages
  3. Gesetzgebung
    1. Cyber Resiliance Act und Open Source
    2. EU-Rechtsakt zur Cybersolidarität
  4. Künstliche Intelligenz und Ethik
    1. ChatGPT – Opt-out Funktion
    2. MS 365, Copilot und KI
    3. OECD: Catalogue of Tools & Metrics for Trustworthy AI
    4. AI Ethics Board – Ethikbeirat
  5. Veröffentlichungen
    1. Tobin Center für Economic Policy, Yale: Digital Regulation Act
    2. Podcast mit ehemaligem LfDI BW
    3. Veranstaltungen
      1. Ausschuss Bildung, Forschung und Technikfolgenabschätzung: 44. Sitzung — Öffentliche Ausschussberatung u. a. mit einem Expertengespräch zum Thema „ChatGPT“ -neu-
      2. EFDPO – DPO Open Talks
      3. Stiftung Datenschutz – „Grundlagen für Datenschutz im Ehrenamt“
      4. BigBrotherAwards 2023
      5. Business School Berlin: KI – eine Einführung!
      6. BSI: 19. Deutscher IT-Sicherheitskongress -neu-
      7. EDPS: Fünf Jahre DS-GVO – immer noch ein Maßstab in der digitalen Landschaft? -neu-
      8. Wirtschaftskammer Österreich: Fünf Jahre DS-GVO – Datenschutz-Vorbild oder Digitalisierungsbremse? -neu-
      9. Stiftung Datenschutz – „Im Normendschungel der EU“
      10. Vorankündigung – GI: Designing Feminist Futures
  6. Gesellschaftspolitische Diskussionen
    1. Firefox: „Total Cookie Protection“
    2. Götterdämmerung für den Datenschutz?
    3. Bayern: Allianz digitale Kompetenzen
  7. Sonstiges / Blick über den Tellerrand
    1. Psychologische Intervention gegen Desinformation
  8. Franks Zugabe
    1. Apropos ChatGPT…
    2. Unethischer KI-Einsatz – ein Interview
    3. A maximum truth-seeking AI
    4. Ein NGO-Aufruf zur KI-Regulierung
    5. Hacking Autos
    6. Podcast ‚Update verfügbar‘: #29: Phishing, Smishing, Quishing und Co.
    7. Gute Digitalisierung, Episode 238…
    8. Kostenloser ÖPNV in den Niederlanden?
    9. Awareness vs. gaming experience…
    10. Ein Video zum 20-jährigen Bestehen von EDRi
    11. Nochmal Digitalisierung – Digitale Führeerscheinkontrolle
    12. VPN-101
    13. Kinder sicher(er) im Internet?
    14. Der sagenhaft Mach-alles-gut-Button
  9. Die gute Nachricht zum Schluss
    1. Social Media, Jugendliche und toxische Vorbilder



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Guideline 01/2022 zum Auskunftsrecht

Der EDSA hat die Version 2.0 seines Leitfadens zum Betroffenenrecht Auskunft veröffentlicht. Auf 63 Seiten führt der EDSA seine Interpretation zu Ziel, Umfang und Ausschlussgründen des Auskunftsanspruches aus.

zurück zum Inhaltsverzeichnis

1.2 EDSA: Bericht der Taskforce „101“

Der EDSA hat den Bericht der Taskforce veröffentlicht, die eingerichtet wurde, um den 101 Beschwerden von noyb zu Datentransfers in die USA nachzugehen. Der Bericht legt die gemeinsamen Standpunkte der Mitglieder der Task Force dar und enthält Informationen über die Ergebnisse der ersten betroffenen Fälle. Sie betonen die „Zwei-Stufen-Anforderungen“, d.h. selbst wenn eine Datenübermittlung in die USA rechtskonform gestaltet wird, wird weiterhin eine Rechtmäßigkeitsgrundlage für die eigentliche Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO benötigt.
Richtig neue Erkenntnisse vermochte ich nicht zu entnehmen: Eine rückwirkende Regelung der Standraddatenschutzklauseln sei nicht zulässig. Werden die Daten als zusätzliche Maßnahmen (durch den Datenimporteur) verschlüsselt, genüge es nicht den Anforderungen, wenn der Datenimporteur gesetzlich verpflichtet sei, die kryptografischen Schlüssel Dritten zur Verfügung zu stellen. Auch seien Anonymisierungsverfahren, die erst nach der Übermittlung in das Drittland erfolgen, keine geeignete Maßnahme.

zurück zum Inhaltsverzeichnis

1.3 EDSA Jahresbericht 2022

Auch der EDSA legt einen Bericht für das Jahr 2022 vor. Darin abgebildet sind die Guidelines und Stellungnahmen etc., die der EDSA in 2022 veröffentlichte. Es findet sich aber auch der Hinweis, dass es auch innerhalb des EDSA zu 12 Datenschutzverletzungen kam, davon zwei mit einer Benachrichtigungspflicht der betroffenen Personen (Seite 22 des Berichts).

zurück zum Inhaltsverzeichnis

1.4 LDA Brandenburg: Tätigkeitsbericht für 2022

Die Landesbeauftragte für Datenschutz und Akteneinsicht (LDA) Brandenburg hat ihren Tätigkeitsbericht für 2022 veröffentlicht. Diesem sind einige interessante Aussagen zu entnehmen:

zurück zum Inhaltsverzeichnis

1.5 LDA Brandenburg: Tätigkeitsbericht für 2022 – Rechtskonformer Einsatz von Facebook Fanpages

Der Einsatz von Facebook Fanpages durch öffentliche Stellen wird gleich bei den Schwerpunkten unter Ziffer I. 1 thematisiert. Der LDA Brandenburg genügen weder Erklärungen, dass dieses Medium für die Öffentlichkeit erforderlich sei, noch dass Facebook die Insights-Funktion abgeschaltet habe.
Diese Funktion ermöglicht einer Fanpage-Betreiberin bzw. einem -Betreiber verschiedene Statistiken und Analysen zu den Besuchen der Fanpage zu erhalten, um z. B. das Angebot zu optimieren. Die Auswertungen basieren dabei natürlich auf der Verarbeitung personenbezogener Daten der Fanpage-Besucherinnen und -Besucher, welche durch Facebook vorgenommen wird – und zwar sowohl für beim sozialen Netzwerk angemeldete Personen als auch für solche, die dort kein Konto haben. Sie widerspricht der Auffassung, dass mit Abschaltung der Insights-Funktion keine gemeinsame datenschutzrechtliche Verantwortung mehr vorliege, sondern Facebook allein für die Erfüllung der gesetzlichen Anforderungen zuständig sei.
Auch bei Abschaltung der Insights-Funktion wird eine Mitverantwortung im Sinne von Artikel 26 DS-GVO für den Betrieb der Facebook-Fanpage und die damit verbundene Verarbeitung personenbezogener Daten mitgetragen. Denn erst durch die Einrichtung der Fanpage wurde Facebook ermöglicht, personenbezogene Daten über die Interaktionen der Besucherinnen und Besucher zu erheben und auszuwerten. Eine solche Datenverarbeitung würde es ohne die Fanpage nicht geben. Damit werden nicht nur eigene Zwecke der öffentlichen Stelle (hier Staatskanzlei), sondern auch die des Unternehmens gefördert. Nach der Rechtsprechung des EuGH reicht es für die Annahme einer gemeinsamen datenschutzrechtlichen Verantwortung aus, wenn beide Seiten von den Datenverarbeitungsvorgängen profitieren.

Anmerkung (von Rudi Kramer): Der Bundesgesetzgeber hat durch eine Regelung im Verwaltungsverfahrensgesetz gesorgt, dass öffentliche Stellen auch während eines Rechtsstreits mit der Datenschutzaufsicht die umstrittene Verarbeitung fortführen dürfen, selbst, wenn die Aufsicht dies untersagen wollte (§ 20 Abs. 7 BDSG iVm § 80 Abs. 2 Satz 2 VwGO). Und auch wenn nicht-öffentliche Stellen durch Aufsichten bei der Nutzung von Facebook Fanpages derzeit nicht aktiv im Fokus stehen, könnte je nach Entscheidung des EuGH zu den Anforderungen an Art. 82 DS-GVO (immaterieller Schadenersatz) hier noch ein Risiko auch für öffentliche Stellen entstehen.

zurück zum Inhaltsverzeichnis

1.6 LDA Brandenburg: Tätigkeitsbericht für 2022 – Bußgeld wegen unzureichender Testmaßnahmen

Zu einem Bußgeld gegenüber einer weltweit agierenden e-Commerce-Plattform mit Sitz in Brandenburg informiert sie unter Ziffer II. 2. Ein Fehler sei in Zusammenhang mit dem sog. Social Login aufgetreten. Nutzer machten das Unternehmen darauf aufmerksam. Ursache sei ein Fehler in der Designphase der Software gewesen sein, der in keinem der nachfolgenden Tests oder bei der speziellen Suche nach Sicherheitslücken auffiel.
Das Unternehmen sah laut Bericht schon nach der ersten gemeldeten Datenschutzverletzung Verbesserungsmöglichkeiten im Entwicklungsprozess. Allerdings verhinderte dies nicht, dass weitere Meldungen nach Artikel 33 DS-GVO eingingen, sodass die LDI an der konsequenten Umsetzung zweifelte.

zurück zum Inhaltsverzeichnis

1.7 LDA Brandenburg: Tätigkeitsbericht für 2022 – Unzureichende gesicherte Videoüberwachung einer Bank

Eine Videoüberwachungsanlage für eine Bank wurde durch Dienstleister betrieben. Dabei wurde auch der öffentliche Bereich vor der Bank erfasst. Die Anlage war unzureichend gesichert, so dass sich Unbefugte Zugang einrichten konnten und diese als Livebilder ins Internet stellten. Mit den beiden Dienstleistern gab es keine erforderlichen vertraglichen Regelungen und die unzureichenden Schutzmaßnahmen waren der Bank als datenschutzrechtlich verantwortliche Einheit zuzurechnen. Die LDI stellt dazu in ihrer Ziffer II. 5.1 fest, dass eine Geldbuße als eindrückliche Pflichtenmahnung bewirken soll, dass der Verantwortliche sich künftig rechtstreu verhält. Für die drei begangenen Verstöße wurde insgesamt eine Geldbuße im oberen fünfstelligen Bereich festgesetzt. Insbesondere die kooperative Mitwirkung des Kreditinstituts im Verwaltungsverfahren, sowie der Umstand, dass es nach dem Datenschutzvorfall unverzüglich reagierte, sei hierbei mildernd berücksichtigt worden.

zurück zum Inhaltsverzeichnis

1.8 LDA Brandenburg: Tätigkeitsbericht für 2022 – Fischereiaufsicht mit privatem Smartphone

Unter Ziffer IV. 5 berichtet die LDI über die Nutzung privater Smartphones durch eine Fischereiaufsicht. Im Rahmen dieser Tätigkeit wurden Personalausweise mit den privaten Smartphones fotografiert. Dabei beriefen sie sich auf einen „Leitfaden Fischereiabgabe“, in dem die Nutzung privater Smartphones vorgesehen sei. Bei einigen Landkreisen sei diese Praxis zwischenzeitlich eingestellt, mit anderen sei sie noch im Gespräch.

zurück zum Inhaltsverzeichnis

1.9 HBDI: Tätigkeitsbericht für 2022

Auch in Hessen bietet der Tätigkeitsbericht für 2022 ein Füllhorn von Fällen aus der Praxis jeweils mit einer datenschutzrechtlichen Bewertung. Hier nur ein paar Beispiele:

zurück zum Inhaltsverzeichnis

1.10 HBDI: Tätigkeitsbericht für 2022 – Videokonferenzsystemeanbieter unterliegen Fernmeldegeheimnis

Unter Ziffer 3.1 seines Tätigkeitsberichts befasst sich der HBDI mit den Fragestellungen rund um Videokonferenzsysteme. Nach seinen Ausführungen auf Seite 30 gilt das Fernmeldegeheimnis für die Anbieter von Videokonferenzdiensten wie Zoom, Cisco, Microsoft u.a. Sie böten auf dem Markt öffentlich Telekommunikationsdienste für jeden an und sie erbringen sie dauerhaft gegenüber Dritten, also geschäftsmäßig. Dagegen seien Vereine, Hochschulen, Schulen, Verwaltungsbehörden, Arztpraxen und Anwaltsbüros sowie Unternehmen, die ihre Möglichkeit zur Durchführung von Videokonferenzen für eigene Zwecke zur Kommunikation mit Mitgliedern, Beschäftigten und Vertragspartnern nutzten, nicht zur Wahrung des Fernmeldegeheimnisses verpflichtet, weil sie keine Telekommunikationsdienste gegen Entgelt erbrächten. Sie müssten jedoch das Grundrecht auf informationelle Selbstbestimmung aller betroffenen Personen schützen. Mit diesem Grundrecht seien in der Praxis weitgehend das gleiche Schutzniveau und die gleichen Anforderungen verbunden wie mit dem Fernmeldegeheimnis.
Die datenschutzrechtliche Aufsicht obliege gemäß § 29 Abs. 1 TTDSG dem BfDI soweit es sich um Telekommunikationsdienste handelt, also für Anbieter von Videokonferenzdiensten am Telekommunikationsmarkt wie z.B. Zoom, Cisco, Microsoft u.a. Die datenschutzrechtliche Aufsicht hinsichtlich der Nutzung dieser Videokonferenzdiensten, wenn sie zu eigenen Zwecken in der Regel oder gewöhnlich ohne Entgelt zur Kommunikation mit Mitgliedern, Angehörigen, Beschäftigten, Kunden, Bewerben oder Lieferanten verwendet werden, nähmen die Datenschutzbeauftragten der Länder wahr.

zurück zum Inhaltsverzeichnis

1.11 HBDI: Tätigkeitsbericht für 2022 – Falsche Rechtmäßigkeitsangaben bei den Informationspflichten

In Ziffer 7.5. ab Seite 116 geht es eigentlich nur um die Zulässigkeit des Fotografierens eines Sperrmülls durch Entsorgungsmitarbeiter. In der datenschutzrechtlichen Information wurde Art. 6 Abs. 1 lit. b DS-GVO angegeben, der HBDI nimmt aber als Rechtsgrundlage Art. 6 Abs. 1 lit e DS-GVO und veranlasst eine Berichtigung in den datenschutzrechtlichen Informationen. Zu möglichen Auswirkungen auf die Zulässigkeit durch diese Änderungen macht der HBDI keine Angaben.

zurück zum Inhaltsverzeichnis

1.12 HBDI: Tätigkeitsbericht für 2022 – Datenschutzrechtliche Anforderungen bei Active Sourcing

Der HBDI prüfte aufgrund einer Beschwerde die datenschutzrechtliche Zulässigkeit eines Active-Sourcing-Vorgangs durch einen Personaldienstleister. Dieser hatte auf Basis öffentlich verfügbarere Informationen (Veröffentlichung auf einer Webseite im beruflichen Kontext) eine Person in seine Kandidaten-Datenbank aufgenommen und entsprechend angeschrieben und informiert. Der HBDI sieht unter Ziffer 11.3 ab Seite 156 hier als zulässige Rechtmäßigkeitsgrundlage die Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO als vertretbar an. Bei der Interessenabwägung sei insbesondere zu berücksichtigen, dass die betroffene Person ihre personenbezogenen Daten auf einer von ihr betriebenen, beruflich orientierten Webseite öffentlich zugänglich gemacht hatte. Sie habe damit ihren Schutzanspruch durch eigenes Tun selbst eingeschränkt. Wer eine eigene, beruflich orientierte Webseite betreibt, müsse damit rechnen, dass die bereitgestellten Daten auch von potenziell interessierten Arbeitgebern oder Personalvermittlern für Zwecke einer möglichen Stellenbesetzung oder Personalvermittlungsdienstleistung genutzt werden. Hinsichtlich der Anforderungen an die Umsetzung der Informationspflichten fehlt im konkreten Fall die Angabe der Herkunft. Zudem ergänzt der HBDI diesen Berichtspunkt um weitere Hinweise für die Praxis.

zurück zum Inhaltsverzeichnis

1.13 HBDI: Tätigkeitsbericht für 2022 – Kritik an Facebook Fanpages

Wahrscheinlich wird nun jeder Tätigkeitsbericht der Aufsichtsbehörden sich dazu äußern, warum Facebook-Fanpages trotz Abschaltung der sog. „Insights“ immer noch nicht als datenschutzkonform betrachtet werden. Der HBDI führt hierzu unter Ziffer 12.2 ab Seite 167 aus, dass er datenschutzrechtliche Bedenken sieht, solange Meta die Datenverarbeitung bei Facebook-Seiten nicht

  • ausreichend transparent macht,
  • den Seiten-Betreibern eine Vereinbarung zur Verfügung stellt, die den Ansprüchen des Art. 26 DS-GVO genügt,
  • nachweisbar die Anforderungen des §25 TTDSG erfüllt,
  • sich nachweisbar an die Grenzen zulässiger Datenverarbeitung hält und
  • nachweisbar notwendige Schutzmaßnahmen zur Absicherung des Datentransfers in die USA ergreift.

Alle diese datenschutzrechtlichen Defizite könnten ohne die aktive Unterstützung durch Meta von den Seiten-Betreibern alleine weder ausgeräumt, noch – beispielsweise durch das Einholen von Einwilligungen – umgangen werden.

zurück zum Inhaltsverzeichnis

1.14 HBDI: Tätigkeitsbericht für 2022 – Werbung per E-Mail

Gleich mehrere Fälle bespricht der HBDI zum Thema Werbung mittels E-Mail. Alle irgendwie nicht überraschend. An was zu denken ist und welche Voraussetzungen bei E-Mail-Werbung an Bestandskunden zu beachten sind, erörtert er in Ziffer 12.3 ab Seite 172 inkl. einer schönen Darstellung der Verbindung von Datenschutzrecht mit § 7 UWG, um belästigende Maßnahmen, die als wettbewerbswidrig gelten, zu vermeiden. Eine Person kauft etwas, und widerspricht der Werbung. Dann kauft diese Person erneut – gilt der vorherige Widerspruch noch oder kann nun wieder geworben werden? Der HBDI nennt dies süffisant „Haltbarkeitsdatum“ – und kommt unter der Ziffer 12.4. ab Seite 177 zu dem Ergebnis, dass dieser Widerspruch natürlich fortgelte, selbst wenn das Unternehmen dies in seinen AGB anderes geregelt hätte. Es sei auch irrelevant, ob der Vertriebskanal nun über ein Ladenlokal, eine App oder einen Onlineshop genutzt worden war: Ein Werbewiderspruch müsse nicht für jeden Vertriebskanal einzeln eingelegt werden, selbst wenn das Unternehmen dafür jeweils unterschiedliche Kundendatenbanken führt.
Und dieser Fall sollte eigentlich gar nicht vorkommen: Natürlich gelten auch Glückwünsche zu jedweder Situation durch ein Unternehmen per E-Mail als Werbemaßnahme, für die eine datenschutzrechtliche Grundlage vorliegen muss. Entsprechend Art. 2 Buchst. a der EU-Richtlinie 2006/114/EG gilt jede Äußerung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschließlich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern, als Werbung.
Im unter Ziffer 12.5 ab Seite 179 berichteten Fall kamen neben den Wünschen auch noch Bonusmeilen einer Fluggesellschaft hinzu. Durch die intensive Beratung der Fluggesellschaft, dass für diese Aktivität eine datenschutzkonforme Einwilligung nach Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DS-GVO erforderlich sei, konnte laut Bericht „deren Verständnis für den Werbeumfang geschärft werden“. Dies und die in Aussichtstellung von Maßnahmen nach Art. 58 Abs. 2 DS-GVO bewogen das Flugunternehmen geeignete technische und organisatorische Maßnahmen zu treffen, um gesetzlichen Anforderungen zukünftig Genüge zu tun.

zurück zum Inhaltsverzeichnis

1.15 HBDI: Tätigkeitsbericht für 2022 – Softwareüberlassung durch Steuerberater an Mandanten keine Auftragsverarbeitung

Der HBDI äußert sich in Ziffer 14.1 auf Seite 203, wann eine Softwareüberlassung durch einen Steuerberater an einen Mandanten keine Auftragsverarbeitung sei. Die Softwareüberlassung müsse im Rahmen einer Mandatierung und ohne Gewinnerzielungsabsicht erfolgen und zur Datenvorerfassung für die Mandatierung dienen.

zurück zum Inhaltsverzeichnis

1.16 HBDI: Tätigkeitsbericht für 2022 – Forschung und Datenschutz

Mit der Thematik des Ausgleichs der jeweiligen Grundrechte zu Forschung und Datenschutz befasst sich der HBDI in Ziffer 16.1. ab Seite 235 ausführlich. Beide bedürfen einer Zuordnung, die das jeweils andere Grundrecht möglichst wenig einschränke. Gelinge diese Zuordnung, könnten sie sich gegenseitig ergänzen und befördern. Forschung ist auf Vertrauen angewiesen, wenn betroffene Personen den Forschenden ihre Daten anvertrauen sollen. Eine wesentliche Grundlage für Vertrauen ist ein überzeugender Datenschutz.

zurück zum Inhaltsverzeichnis

1.17 LfD Bayern: Zertifikatslehrgang behördliche Datenschutzbeauftragte

Der LfD Bayern beteiligt sich an einem Qualifizierungsangebot für behördliche Datenschutzbeauftragte an öffentlichen bayerischen Stellen, das durch die Bayerische Verwaltungsschule durchgeführt wird. In vier Modulen werden Grundlagen und Anforderungen für spezifische Aufgaben vermittelt.

zurück zum Inhaltsverzeichnis

1.18 HBDI: Fragenkatalog an OpenAI zu ChatGPT

Darauf werden sie in den USA nur gewartet haben. Der HBDI hat an OpenAI einen Fragenkatalog zum Einsatz von ChatGPT geschickt. Weil das Unternehmen OpenAI bislang keine Niederlassung und auch keinen Vertreter gemäß Art. 27 DS-GVO benannt hat, kann sich jede europäische Datenschutzaufsicht zuständig fühlen und hinsichtlich der Umsetzung der Anforderungen der DS-GVO in ihrem Zuständigkeitsbereich Ermittlungen einleiten.

Franks Nachtrag: Apropos … (wait for it) … ChatGPT.

zurück zum Inhaltsverzeichnis

1.19 Irland: Verzeichnis der Verarbeitungstätigkeiten

Die irische Aufsicht veröffentlichte eine Guideline zum Verzeichnis der Verarbeitungstätigkeiten (Records of Processing Activities – ROPA) nach Art. 30 DS-GVO. Neben Empfehlungen zu „Dos and Don´ts“ für Organisationen werden in den Anlagen auch Beispiele aufgeführt.

zurück zum Inhaltsverzeichnis

1.20 Italien: Unzureichende Anonymisierung führt zu 50.000 Euro Bußgeld

Eine Gesundheitsbehörde wurde nach Angaben der italienischen Aufsicht Garante in Italien mit 50.000 Euro sanktioniert, weil sie Bewertungen ins Netz stellte, die unzureichend anonymisiert wurden. Passagen wurden zwar vor dem Einscannen mit einem schwarzen Stift übermalt, trotzdem war eine Zuordnung zu Personen möglich.

zurück zum Inhaltsverzeichnis

1.21 Tschechien: Bußgeld gegen Hersteller von Antvirenprogramm in Höhe von ca. 13 Mio. Euro

Wie hier berichtet wird, sanktionierte die tschechische Datenschutzbehörde einen Antivirenhersteller, weil dieser personenbezogene Daten seiner Kunden ohne Rechtsgrundlage an ein Drittunternehmen weitergegeben hat. Bei der Benutzung des Antivirenprogramms sammelte das Unternehmen den Browserverlauf und übermittelte diese Daten an ein amerikanisches Unternehmen, um „statistische Trendanalysen zu erstellen“. Die tschechische Behörde ist der Ansicht, dass einerseits die mit dem Browserverlauf der Kunden verbundenen Daten als personenbezogene Daten zu betrachten seien und dass andererseits das Unternehmen diese Daten ohne Rechtsgrundlage und ohne angemessene Informationen an ein Drittunternehmen weiterleitete. In Bezug auf die Charakterisierung als personenbezogene Daten ergab die Untersuchung, dass, wenn das Antivirenprogramm vom Internetnutzer heruntergeladen und installiert wurde, dem Gerät eine eindeutige Kennung zugewiesen wurde. Die IP-Adresse des Geräts wurde ebenfalls gesammelt und „für einen begrenzten Zeitraum gespeichert und anschließend pseudonymisiert“. Die Nutzer „konnten somit identifiziert werden und alle gesammelten Daten konnten mit diesen Personen in Verbindung gebracht werden“. In Bezug auf die Übertragung des Browserverlaufs der Nutzer erklärte das Unternehmen, dass der Zweck darin bestand „mithilfe zuverlässiger Daten statistische Daten zu erstellen, um Unternehmen bei der Verwaltung ihrer Strategien zu unterstützen“.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Art. 15 DS-GVO und die Motivation dazu

Mit Fragen zum Art. 15 DS-GVO/a> befasste sich der Generalanwalt in seinen Schlussanträgen im Verfahren C-307/22 (FT gegen DW), in dem es um die unentgeltliche Zurverfügungstellung einer Kopie geht, wenn der Betroffene die Kopie nicht zur Verfolgung der in Erwägungsgrund 63 Satz 1 genannten Zwecke („… um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.“) begehrt.
Im Ausgangsfall geht es um die kostenlose Herausgabe von Patientenunterlagen nach einer Zahnbehandlung zur Geltendmachung von Ersatzansprüchen. Der Generalanwalt kommt zu dem Ergebnis, dass einer betroffenen Person eine Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen sei, und zwar auch dann, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DS-GVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt.
Zudem könne über eine nationale Regelung auch eine Kostenerstattung geregelt werden. Voraussetzung dafür sei, dass sei diese Beschränkung des Auskunftsrechts (über Art. 23 DS-GVO) unter Berücksichtigung aller relevanten Umstände im Hinblick auf die Ziele des Schutzes der öffentlichen Gesundheit und der unternehmerischen Freiheit (hier der Ärzte) erforderlich und verhältnismäßig ist. Dabei sei auch zu berücksichtigen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind.
Bezogen auf die Interpretation der Begrifflichkeit „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ in Art. 15 Abs. 3 DS-GVO sieht der Generalanwalt im Rahmen eines Arzt-Patienten-Verhältnisses keine Auslegung dahingehend, dass er der betroffenen Person ein allgemeines Recht darauf gewährt eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Jedoch habe der Verantwortliche der betroffenen Person bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen, wenn dies erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage sei zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.

zurück zum Inhaltsverzeichnis

2.2 EuGH zur ePrivacy-RL

Im Verfahren C-548/21 um die Anforderungen aus Art. 15 Abs. 1 der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) an den Zugang von Daten auf einem Smartphone durch staatliche Stellen hat der Generalanwalt in seinen Schlussanträgen Position bezogen. Danach sollte der Zugang der Behörden im Rahmen einer strafrechtlichen Ermittlung zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten mit dem Ziel ihrer Verarbeitung nicht auf Fälle der Bekämpfung schwerer Straftaten beschränkt sein. Ein solcher Zugang müsse abhängig von der Art der verfolgten Straftaten und der personenbezogenen Daten, auf die zugegriffen werden soll, in jedem einzelnen Fall gerechtfertigt und auf das unbedingt erforderliche und verhältnismäßige Maß beschränkt sein. Im Rahmen einer strafrechtlichen Ermittlung dürften die Polizeibehörden nicht in Eigeninitiative und ohne vorherige gerichtliche Anordnung umfassenden und unkontrollierten Zugang zu allen auf einem Mobiltelefon gespeicherten Daten erhalten, wenn sich daraus ein genaues Bild des Privatlebens der betroffenen Person gewinnen lässt.
Im Ausgangsfall wurde in Südtirol einem Deutschen im Rahmen von Ermittlungen im Betäubungsmittelumfeld durch Polizeistellen sein Smartphone abgenommen und versucht dessen Sperre zu überwinden.

zurück zum Inhaltsverzeichnis

2.3 LG Memmingen: Anspruch aus Art. 82 DS-GVO setzt Verarbeitung voraus

Haben Betroffene einen Anspruch auf immateriellen Schadenersatzanspruch aus Art 82 DS-GVO, wenn Informationspflichtigen durch einen Verantwortlichen nicht ordnungsgemäß erfüllt wurden? Damit befasst sich das LG Memmingen und kam schnell zu einem Ergebnis. Art. 82 DS-GVO setze einen Verstoß einer Verarbeitung personenbezogener Daten voraus. Was eine Verarbeitung sei, werde in Art. 4 Nr. 2 DS-GVO definiert. Und die Umsetzung von Informationspflichten nach Art. 13 DS-GVO stelle keine Verarbeitung dar, daher begründe ein Verstoß dagegen keinen Schadenersatzanspruch.

zurück zum Inhaltsverzeichnis

2.4 Berufungsgericht Grenoble: Unrechtmäßige Verarbeitung führe zu Unwirksamkeit des Vertrages

Gestaltet ein Dienstleister ohne Wissen des Auftraggebers eine Webseite nicht datenschutzkonform (Cookiesetzung ohne vorherige Einwilligung), kann dies laut dem Berufungsgericht Grenoble zivilrechtliche Folgen auf die Beauftragung haben, hier Anfechtung des Vertrages. Auch wenn das Urteil aus Frankreich stammt, wird (wie bei Beck-Online, ZD-Aktuell 2023, 01122 paywall) bereits diskutiert und auch auf deutsches Recht für übertragbar gehalten.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Cyber Resiliance Act und Open Source

Gefährdet der Cyber Resiliance Act die Open-Source-Bewegung? Dies wird in diesem Beitrag angesprochen. Hintergrund sind dadurch entstehende Haftungsfragen, die bei Open Source dazu führen könnten, dass sich hier künftig niemand mehr engagiert.

zurück zum Inhaltsverzeichnis

3.2 EU-Rechtsakt zur Cybersolidarität

Ein EU-Rechtsakt zur Cybersolidarität zielt darauf ab die Kapazitäten in der EU zu stärken, um erhebliche und groß angelegte Cybersicherheitsbedrohungen und -angriffe zu erkennen, sich darauf vorzubereiten und darauf zu reagieren. Die Überlegung zielt darauf ab auch Private aktiv in den Verteidigungsschild gegen Cyberangriffe einzubeziehen. In der EU seien über 60.000 Cybersicherheitsunternehmen ansässig. Diese könnten schrittweise in eine Cyberreserve aufgenommen werden, die auf Ersuchen der Mitgliedstaaten bei grenzüberschreitenden Sachverhalten tätig würde. Voraussetzung für die Tätigkeit wäre eine vorab geprüfte Vertrauenswürdigkeit. Diese „Cyberreservisten“ stünden neben regionalen Security Operation Centern (SOC), die als feste Einrichtungen vorgesehen sind. Weitere Details werden hier beschrieben.

Franks Nachtrag: Das wollte ich auch bringen, nur habe ich eine andere Quelle dazu und auch eine Bewertung der Idee… (Bingo!)

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 ChatGPT – Opt-out Funktion

Eine der Befürchtungen bei der Nutzung von ChatGPT ist die Preisgabe von Informationen in ein intransparentes System. Nach diesen Darstellungen soll es Möglichkeiten geben dies einzuschränken. Wie immer ohne Gewähr.

zurück zum Inhaltsverzeichnis

4.2 MS 365, Copilot und KI

Kaum sind die Diskussionen um den rechtskonformen Einsatz von MS 365 durch ChatGPT etwas aus dem Fokus geraten, erfolgt nun die Kombination beider Themenfelder. Welche Aspekte dabei zu betrachten sind, wird hier erläutert. Vielleicht nicht nur theoretische Überlegungen, wie dieser Post zeigt.

zurück zum Inhaltsverzeichnis

4.3 OECD: Catalogue of Tools & Metrics for Trustworthy AI

Wer sich für Werkzeuge interessiert, die bei der Bewertung vertrauenswürdiger Künstlicher Intelligenz helfen, kann sich das Angebot auf den Seiten des OECD ansehen. Es wäre ja schön, wenn es auf internationaler Ebene eine gemeinsame Interpretation vertretbaren Einsatzes von KI entstünde.

zurück zum Inhaltsverzeichnis

4.4 AI Ethics Board – Ethikbeirat

Mit zunehmender Verbreitung des Einsatzes von Künstlicher Intelligenz steigt die Erwartung, dass deren Verwendung verantwortungsvoll erfolgt. So versuchen Unternehmen, die Systeme der KI entwickeln und einsetzen, Maßnahmen zu ergreifen, um die damit verbundenen Risiken zu verringern. Hier wird untersucht, wie KI-Unternehmen einen KI-Ethikbeirat so gestalten können, dass er die mit KI verbundenen Risiken reduziert.
Dabei werden fünf übergeordnete Gestaltungsentscheidungen identifiziert:

  1. Welche Verantwortlichkeiten sollte das Gremium haben?
  2. Wie sollte seine rechtliche Struktur aussehen?
  3. Wer sollte in dem Gremium sitzen?
  4. Wie sollte das Gremium Entscheidungen treffen und sollten seine Entscheidungen verbindlich sein?
  5. Welche Ressourcen benötigt es?

Für die Umsetzung wird ein Werkzeugkasten angeboten, der KI-Unternehmen bei der Bewältigung dieser Herausforderungen helfen kann.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Tobin Center für Economic Policy, Yale: Digital Regulation Act

Das Tobin Center for Economic Policy in Yale veröffentlicht das Arbeitspapier zum „Digital Regulation Project“ als Diskussionsbeitrag, ohne sich diese Position zu eigen zu machen. In dem Arbeitspapier wird die Möglichkeit eines „Datenvermittlers“ thematisiert, über den ein Ausgleich der in Einzelfällen widerstreitenden Interessen des Einzelnen und einer gesellschaftlichen Nutzung der Daten erfolgen soll.

zurück zum Inhaltsverzeichnis

5.2 Podcast mit ehemaligem LfDI BW

Was macht eigentlich ein ehemaliger Leiter einer Datenschutzaufsicht? Genau: Podcasts. Hier zunächst mit kleinem Rückblick und dann mit Betrachtungen zu Themen der Zeit (ca. 50 Min.) und hier zu speziellen datenschutzrechtlichen Themen wie der Zusammenarbeit der Aufsichtsbehörden (Dauer ca. 1:28 h).

zurück zum Inhaltsverzeichnis

5.3 Veranstaltungen

5.3.1 Ausschuss Bildung, Forschung und Technikfolgenabschätzung: 44. Sitzung — Öffentliche Ausschussberatung u. a. mit einem Expertengespräch zum Thema „ChatGPT“ -neu-

26.04.2023, ab 09:30 Uhr, Berlin und Livestream: Das scheint eine spannende Auschussberatung des Ausschus Bildung, Forschung und Technikfolgenabschätzung des deutschen Bundestages zu werden, die verlinkten Unterlagen (zu TOP 1, dem Expertengespräch) sind interessant. Weitere Informationen (auch zur Anmeldung vor Ort) hier.

5.3.2 EFDPO – DPO Open Talks

27.04.2023, 16:00 – 18:00 Uhr: Die 3. Online-Veranstaltung der EFDPO in diesem Jahr wird vom portugiesischen Berufsverband APDPO organisiert. Unter dem Namen DPO Open Talks stehen zwei einstündige Panels auf dem Programm. Im ersten Panel geht es darum, welche Auswirkungen die zahlreichen europäischen Digitalgesetzgebungsprojekte zukünftig auf die Rolle von Datenschutzbeauftragten haben könnten. Das zweite Panel widmet sich dem Dauerbrennerthema internationaler Datentransfers. Die EFDPO Open Talks finden in englischer Sprache statt. Weitere Informationen und Anmeldung.

5.3.3 Stiftung Datenschutz – „Grundlagen für Datenschutz im Ehrenamt“

27.04.2023, ab 18:00 Uhr: Ob Mitgliederverwaltung, Cloud-Dienste oder Öffentlichkeitsarbeit mittels Webseite und Social Media – Vereine sind vielfältig aktiv. Doch oftmals ist unklar, worauf genau es zu achten gilt und wie man sich dem Thema sinnvoll widmet. Im Grundlagen-Workshop lernen Engagierte, was die DS-GVO von ihnen verlangt. Mitgliederverwaltung und die grundlegenden Datenschutzbausteine, wie Rechtsgrundlagen, Informationspflichten, Auftragsverarbeitung und internationale Datentransfers werden behandelt. Weitere Informationen und Anmeldung hier.

5.3.4 BigBrotherAwards 2023

28.04.2023, ab 18:00 Uhr (Bielefeld und online): Zweifelhafte Geschäftsmodelle, Politikerinnen im Überwachungswahn oder schnüffelnde Arbeitgeber – die BigBrotherAwards gehen auch in diesem Jahr wieder an die wahnwitzigsten und skrupellosesten Datenkraken in Wirtschaft und Politik. Teilnahme vor Ort (üblicherweise) kostenpflichtig, Streaming aber kostenlos, hier finden Sie Informationen zum Ticketkauf (noch sind Tickets zu bekommen).

5.3.5 Business School Berlin: KI – eine Einführung!

09.05.2023, 18:00 – 19:30 Uhr: In dem Onlinevortrag mit Diskussion wird ein Blick in die Black Box der modernen KI gewagt und im Anschluss die Diskussion eröffnet, welche Auswirkungen die Entwicklungen in unserem Alltag haben können. Weitere Informationen auch zur Anmeldung hier (Anmeldung per E-Mail, auf der Infoseite müssen Sie sich die Veranstaltung selbst suchen).

5.3.6 BSI: 19. Deutscher IT-Sicherheitskongress -neu-

10./11.05.2023: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lädt am 10. und 11. Mai 2023 zum 19. Deutschen IT-Sicherheitskongress ein. Der Kongress beleuchtet unter dem Motto „Digital sicher in eine nachhaltige Zukunft“ Trends und Entwicklungen im Bereich der IT-Sicherheit als Voraussetzung für eine gelungene Digitalisierung. Live-Vorträge und virtuelle Messestände machen IT-Sicherheit erlebbar und ermöglichen einen umfassenden fachlichen Einblick in aktuelle Themen der Cyber-Sicherheit. Die Veranstaltung findet in diesem Jahr erneut in digitaler Form statt. Weitere Informationen und Anmeldung.

5.3.7 EDPS: Fünf Jahre DS-GVO – immer noch ein Maßstab in der digitalen Landschaft? -neu-

23.05.2023, 18:30 – 22:30 Uhr, Brüssel: Der Europäische Datenschutzbeauftragte lädt zusammen mit dem BfDI sowie dem LfD Bayern anlässlich des 5. Jahrestages des Anwendungsbeginns der Datenschutz-Grundverordnung ein über die Auswirkungen der Datenschutz-Grundverordnung und die neuen Herausforderungen, die sich nach fünf Jahren ihrer Anwendung ergeben haben, nachzudenken. Auch werden die Auswirkungen dse DS-GVO auf die aktuellen digitalen Regelwerke betrachtet. Mehr Informationen dazu und zu den Anmeldevoraussetzungen auf den Seiten des EDPS.

5.3.8 Wirtschaftskammer Österreich: Fünf Jahre DS-GVO – Datenschutz-Vorbild oder Digitalisierungsbremse? -neu-

25.05.2023, 17:00 – 18:30 Uhr: Die durch die Wirtschaftskammer Österreich veranstaltete Diskussionsrunde befasst sich mit einer Bestandsaufnahme zur DS-GVO. Weitere Informationen zu den Teilnehmenden und zur Anmeldung zu der Online-Veranstaltung finden sich hier.

5.3.9 Stiftung Datenschutz – „Im Normendschungel der EU“

25./26.05.2023: Das Vorabendprogramm am 25. Mai 2023 (ab 17:30 Uhr) in Hannover widmet sich einem Rückblick und Ausblick zur DS-GVO. Am 26.05.2023 wird dann der Normendschungel der EU bereist (von 08:30 bis ca. 16:00 Uhr). Weitere Informationen und Anmeldung hier (Anmeldungen zur Vor-Ort-Teilnahme sind bis 15.05.2023 möglich).

5.3.10 Vorankündigung – GI: Designing Feminist Futures

28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Firefox: „Total Cookie Protection“

Mozilla kündigt für Firefox eine „Total Cookie Protection“ an. Dabei sollen Cookies auf die Website begrenzt werden, auf der sie erstellt wurden. So soll verhindert werden, dass Tracking-Unternehmen diese Cookies verwenden, um das Surfverhalten der Nutzer:innen von Website zu Website zu verfolgen.

zurück zum Inhaltsverzeichnis

6.2 Götterdämmerung für den Datenschutz?

Hier ein teilweise provokanter Beitrag zur Diskussion zum geltenden Datenschutzrecht und dessen Umsetzung. Auch wenn ich mir die Dauer der Entscheidungsfindung der (deutschen) Aufsichtsbehörden auch gerne etwas kürzer wünschen würde, kommt mir eine Auseinandersetzung mit der Grundrechtcharta der Europäischen Union und der Konvention Nr. 108 etwas zu kurz.
Trotzdem: Wir kommen nur weiter, wenn wir Dinge auch in Frage stellen können.

zurück zum Inhaltsverzeichnis

6.3 Bayern: Allianz digitale Kompetenzen

Das Bayerische Staatsministerium bietet nun zusammen mit einigen Bayerischen Unternehmen bzw. Global Playern, die in Bayern eine Dependance haben, eine Allianz für digitale Kompetenzen an. Dabei werden Angebot online, vor Ort oder hybrid zu verschiedenen Themen angeboten.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Psychologische Intervention gegen Desinformation

Über das Netz und soziale Medien werden wir zunehmen mit Informationen konfrontiert, bei denen der Einfluss von Desinformationen nicht auszuschließen ist. Desinformationen sind dabei falsche, inakurrate oder irreführende Informationen, die mit einer bewussten Täuschungsabsicht verbreitet werden. Hier wird über einen Kanon psychologischer Interventionen aufgezeigt, wie dagegen auch bereits proaktiv gegengewirkt werden kann.

zurück zum Inhaltsverzeichnis

q

8. Franks Zugabe

8.1 Apropos ChatGPT…

Das ist mittlerweile der 9. Eintrag mit dem Betreff „Apropos ChatGPT…“ Und noch ist kein Ende in Sicht. Nun ja, legen wir los:

  • Micorosft hat letzten Monat Microsoft 365 Copilot eingeführt, die KI-Unterstützung in Microsoft 365. Also baut Microsoft 365 demnächst ganz allein schlechte Office-Dokumente, komplett ohne User:innen-Interaktion? Und solche Phasen? Steigern die dann die Nutzer:innen-Zufriedenheit?
  • Hier hat jemand bei heise.de AutoGPT ausprobiert und berichtet drüber. Ein Zitat aus dem Artikel: „Software, die selbst denkt? Ja: AutoGPT nutzt die Sprachmodelle von OpenAI und arbeitet mithilfe von GPT-3.5, GPT-4 und Google unterschiedliche Aufgaben selbstständig ab. Wir schauen uns an, was die Software (die nur aus Python-Skripten besteht) heute schon kann. Und wie man sie installiert.“ Ob das Nachahmen empfohlen ist? Lesen bzw. schauen Sie selbst.
  • Erstmals hat eine KI einen renommierten Fotowettbewerb gewonnen. Allerdings eine KI instruiert von einem erfahrenen Fotografen und KI-Nutzer, welcher der Maschine das Lernen erleichtert hat. Er reichte ein Bild bei den Sony World Photo Awards ein, gewann die Kategorie „Creative“ – und lehnte den Preis schließlich ab. Nachzulesen u.a. hier.
  • EU-Abgeordnete wollen spezielle Vorgaben für ChatGPT, DALL-E, Stable Diffusion, Midjourney und ähnliche vergleichbar neue Anwendungen machen, im Bundestag finden auf Ausschussebene Expertengespräche statt (siehe 5.3.1), die Bundesregierung sieht solche Anwendungen aber bisher nicht als Job-Killer.
  • In diesem Beitrag werden Haftungsfragen im Zusammehhang mit der Nutzung von KI besprochen, unter anderem am Beispiel der Nutzungsbedingungen von OpenAI. Lesenswert, das.
  • Laut diesem Artikel schreibt ChatGPT mitunter durchaus unsicheren Code, weiß es aber auf Nachfrage dann auch.
  • Und trotzdem (oder vielleicht auch deswegen?) haben wir mal wieder Goldgräberstimmung!
  • In diesem Kommentar wird die Frage gestellt, ob mit den KI-Suchmaschinen das kommerzielle Internet vor dem Aus steht.
  • Und zum Abschluss noch ein ca. 23-minütiges Video, in dem die Frage gestellt (und beantwortet) wird, welches die „Top 10 evil AI“ in Film und Serien sind. Ich scheine wirklich viele der zitierten Quellen gesehen zu haben. Wenn Sie also eine halbe Stunde „über“ haben…

zurück zum Inhaltsverzeichnis

8.2 Unethischer KI-Einsatz – ein Interview

Das hat ja wahrscheinlich jede(r) mitbekommen und wird deswegen nur der Vollständigkeit halber erwähnt: Das mit Michael Schumacher geführte Interview der Publikation „Die Aktuelle“ war KI-generiert. Nun ja, passt ja, manche KI nimmt es nicht immer mit der Wahrheit so genau, das soll bei manchen Schlagzeilen solcher Publikationen auch schon ab und zu so gewesen sein. Und dann ist natürlich die Konsequenz (eine Klage) auch nur folgerichtig. Aber dass sie die Texte nun nicht mal mehr selbst zusammenfabulieren? Schon erstaunlich…

zurück zum Inhaltsverzeichnis

8.3 A maximum truth-seeking AI

Unsere Blogreihe hat ja Anlehnungen an die Zirkuswelt, richtig? Also dürfen wir auch vom Clown berichten:
Letzte Woche hatte ich in meiner Anmerkung zu meiner Anmerkung zu diesem Beitrag geschrieben, dass Elon Musk vielleicht noch andere Motive als die Angst um die Menschheit habe, um ein Moratorium der „etablierten“ KIs da draußen zu fordern.
Und dann hat er (mal wieder) ein Interview gegeben, in der er berichtet, er sei dabei „TruthGPT“ zu entwickeln, eine „maximum truth-seeking AI“. Das er dieses Interview Tucker Carlson von Fox News gegeben hat, passt da wie Faust aufs Auge. Schön auch dieses Zitat:

„An AI that cares about understanding the universe is unlikely to annihilate humans because we are an interesting part of the universe.“

Sie wollen darüber lesen? Hier ist die Quelle, aus der ich es habe.
Und apropos Clown: Laut diesem Artikel will er Microsoft verklagen. Mein Libelingszitat daraus?

„Microsoft declined to comment. Twitter’s press email replied with a poop emoji when reached for comment.“

zurück zum Inhaltsverzeichnis

8.4 Ein NGO-Aufruf zur KI-Regulierung

NGO appellieren an das EU-Parlament: Make sure the AI act protects peoples’ rights!
Das fand ich unterstützenswert.

zurück zum Inhaltsverzeichnis

8.5 Hacking Autos

„This is a detective story about how a car was stolen – and how it uncovered an epidemic of high-tech car theft.“

Ich kenne Menschen, die ihre Autoschlüssel in kleinen farradayschen Käfigen transportieren, damit ihnen niemand per Funk den Wagen klauen kann (vergleichbar der Anti-RFID-Hülle für moderne Ausweise). Es stellt sich aber heraus, dass dazu mittlerweile ein USB-Kabel und ein umgebautes USB-Gerät (im Beispiel ein USB-Lautsprecher) reichen, wenn sich jemand physikalischen Zugang zum Auto verschafft. Das sollte alle Autobesitzer:innen ohen sichere Garage oder abgeschlossene Lagerstätte fürs eigene KFZ beunruhigen.
Hier gibts einen deutschen Artikel zum Thema und hier eine ausführliche Beschreibung des Problems (die avisierte Detective Story).

Franks Nachtrag: Und apropos sichere Garagen

zurück zum Inhaltsverzeichnis

8.6 Podcast ‚Update verfügbar‘: #29: Phishing, Smishing, Quishing und Co.

Der Titel sagt alles, hier ist der Podcast (ca. 36 Minuten).
Den wollte ich eigentlich schon letzte Woche bringen. Dann hatte ich aber keine Zeit, das noch alles unterzubringen und so blieb er bis diese Woche liegen. Deswegen nur nach anekdotisch die Anmerkung, dass letzte Woche erst der Apple-Link zum Podcast verfügbar war (die anderen nicht-BSI-Quellen habe ich nicht getestet), der eigene aber fehlte. Mittlerweile gibt es ihn auch direkt auf der BSI-Seite, so habe ich ihn verlinkt (und sohängt er beim Schreiben dieses Beitrags auch).
Den im Podcast erwähnten Phishing-Versuch eines Providers habe ich glaube auch regelmäßig. Der einzige wirklich deutlich erkennbare Unterschied ist tatsächlich die falsche Kundennummer. Und die Tatsache, dass der Anhang eine HTML-Datei ist anstelle der PDF, die der Provider regelmäßig auf Kundenwunsch verschickt (ich habe das mittlerweile aufs Abrufen der Rechnung aus dem Kundenportal und somit das reine Versenden von Benachrichtigungsmails umgestellt).

zurück zum Inhaltsverzeichnis

8.7 Gute Digitalisierung, Episode 238…

Natürlich will auch ich etwas zum NRW-Abitur letzte Woche schreiben. Zeigt es doch, wie Digitalisierung so in Deutschland geht… Wenn Sie tatsächlich nicht wissen, worum es geht, können Sie erstmal hier nachlesen. Wobei ich diese Musik im Hintergrund laufen lassen würde. Das macht solche Meldungungen gleich besser!
Wenn Sie eine süffisante Darstellung und Bewertung der Probleme lesen wollen, finden Sie sie hier (daher kam auch die Musikempfehlung und der Einstiegslink).

zurück zum Inhaltsverzeichnis

8.8 Kostenloser ÖPNV in den Niederlanden?

Laut dieser Meldung lässt sich das Bezahlsystem eines Anbieters in den Niederlanden austricksen und dieser vertraut schlicht darauf, dass die Nutzer:innen schon alle brav zahlen werden. So geht also kostenloser ÖPNV.

zurück zum Inhaltsverzeichnis

8.9 Awareness vs. gaming experience…

Wenn Sie sich auch fragen, wieso so viele Mitarbeiter in Unternehmen und Organisationen so oft u.a. auf Makro-Schädlinge hereinfallen, obwohl es davor doch von den Anbietern der Office-Produkte genug Warnungen gibt: Hier ist vielleicht zumindest für ein Unternehmen eine Erklärung.

Beim Testen des Links für diesen Text habe ich mich gerade kaputtgelacht. Also ich habe die Meldung im Original vor ein paar Tagen hier gesehen. Und da wurde genau beschrieben, was das Problem ist. Nun scheinen auch Mitarbeitende des Unternehmens diese Quelle gelesen zu haben. Und dann? Haben sie die Seite aus dem Netz genommen. Was keiner sieht, darüber kann sich auch niemand lustig machen. Challenge accepted!
(Danke Archive.org).
Hier übrigens der Text, der wohl zum Abschalten der Seite geführt hat:

„IMPORTANT: When you open the document, a message box appears. Please activate the content/macros in it and also confirm that this document is trustworthy. This is the only way to ensure the full gaming experience. Have fun!“

Und jetzt noch mal alle: 🤦‍♂️

zurück zum Inhaltsverzeichnis

8.10 Ein Video zum 20-jährigen Bestehen von EDRi

Wenn es Sie interessiert, was EDRi, ein NGO, welches in Europa sehr aktiv ist, so alles macht und warum, schauen Sie sich dieses Video (7:30 min., Youtube) zum 20-jährigen Bestehen an.

zurück zum Inhaltsverzeichnis

8.11 Nochmal Digitalisierung – Digitale Führeerscheinkontrolle

Wenn ich Flinkster-Carsharing nutzen würde, würde mich das hier interessieren. Wahrscheinlich würde ich dann auch entsprechend wie dort empfohlen agieren.

zurück zum Inhaltsverzeichnis

8.12 VPN-101

Brauchen Internet-Nutzer wirklich ein VPN? Und wenn ja, wofür? Und hilft (genau dafür oder dagegen) ein VPN? Wenn Sie sich solche Fragen stellen, möchten Sie hier nachlesen.

zurück zum Inhaltsverzeichnis

8.13 Medien Kindersicher – Kinder sicher(er) im Internet?

Diese Seite will Erwachsene dabei unterstützen Kindern und Jugendlichen einen möglichst guten Start in die Mediennutzung zu geben.

zurück zum Inhaltsverzeichnis

8.14 Der sagenhaft Mach-alles-gut-Button

Kennen Sie das? Wenn nichts so läuft, wie es soll? Wie wäre es, wenn es jemand gäbe, der quasi auf Knopfdruck alles gut machte?
Zumindest den Knopf (Button) gibt es.
Und manchmal reicht ja schon Innehalten und Schmunzeln aus, damit es wieder besser geht…

zurück zum Inhaltsverzeichnis

9. Die gute Nachricht zum Schluss

9.1 Social Media, Jugendliche und toxische Vorbilder

Ein US-amerikanischer Kosmetikhersteller engagiert sich in einer Bewegung, die mehr Schutz von Kindern und Jugendlichen vor den negativen Auswirkungen unreflektierten Einflusses von Social Media fordert. Hier ein Beispiel der Aktivitäten auf Youtube.

zurück zum Inhaltsverzeichnis