Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 17/2023)“
Hier ist der 67. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 17/2023)“.
1. Mai, langes Wochenende, Preisverleihungen, viel Zeit draußen, ein recht kurzer Blogbeitrag. Aber trotzdem lesenswert. Viel Vergnügen!
- Aufsichtsbehörden
- EDSA: Leitfaden zur DS-GVO für Kleinunternehmen
- DSK und ChatGPT
- HmbBfDI: Informationen für Webseitenbetreiber
- LfD Bayern: Frühjahrsputz beim Verzeichnis der Verarbeitungstätigkeiten
- LfD Bayern: Datenschutz im Vergabeverfahren
- LfDI Mecklenburg-Vorpommern: Neue Ernennung
- Sachsen-Anhalt: Neuer Name im Gespräch
- Island: Gegenseitige Leistungsbewertung von Beschäftigten
- Italien: Bußgeld gegen unzulässige Verarbeitungen im Marketingumfeld
- Spanien: Bußgeld aufgrund unzureichender Umsetzung der Informationspflichten
- Österreich: Videoaufnahmen in einer öffentlichen Toilette kein Haushaltsprivileg
- BSI: IT-Grundschutz für KMU
- BSI: AI security concerns in a nutshell – Practical AI-Security guide
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Reifegradmodell zur Datenschutzumsetzung
- Facebook ausschalten?
- CISA: Zero Trust Maturity Model und Security by design and by default
- Global Cross-Border Privacy Rules (CBPR)
- Veranstaltungen
- Business School Berlin: KI – eine Einführung!
- BSI: 19. Deutscher IT-Sicherheitskongress
- Stiftung Datenschutz: Spannungsfall(e) Datenschutzbeauftragte? -neu-
- EDPS: Fünf Jahre DS-GVO – immer noch ein Maßstab in der digitalen Landschaft?
- Wirtschaftskammer Österreich: Fünf Jahre DS-GVO – Datenschutz-Vorbild oder Digitalisierungsbremse?
- Stiftung Datenschutz – „Im Normendschungel der EU“
- Vorankündigung – GI: Designing Feminist Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Leitfaden zur DS-GVO für Kleinunternehmen
Der EDSA hat Informationen für kleine Unternehmen zur DS-GVO veröffentlicht. Er will dabei helfen den Datenschutz besser einzuhalten. Der Leitfaden ziele darauf ab das Bewusstsein für die DS-GVO zu schärfen und praktische Informationen über die Einhaltung in einem zugänglichen und leicht verständlichen Format zur Verfügung zu stellen. Der Leitfaden decke verschiedene Aspekte der DS-GVO ab, von den Grundlagen des Datenschutzes bis hin zu den Rechten der Betroffenen, Datenschutzverletzungen und mehr. Er enthält Videos, Infografiken, interaktive Flussdiagramme und andere praktische Materialien, die bei der Umsetzung des Datenschutzes in die Praxis helfen. Darüber hinaus enthält der Leitfaden einen Überblick über praktische Materialien, die von den nationalen Datenschutzbehörden für KMU entwickelt wurden. Der Leitfaden liege derzeit in englischer Sprache vor und wird im Laufe der Zeit auch in anderen EU-Sprachen zur Verfügung gestellt werden.
1.2 DSK und ChatGPT
Berichten zufolge erwartet die DSK (Datenschutzkonferenz) Rückmeldung von OpenAI zu ihren Fragen zu ChatGPT bis zum 11. Juni 2023. Mittlerweile hat scheinbar jede Aufsichtsbehörde, die was auf sich hält oder Zeit dafür hat, ihren Fragenkatalog formuliert.
Franks Nachtrag: Apropos ChatGPT…
1.3 HmbBfDI: Informationen für Webseitenbetreiber
Der HmbBfDI hat Informationen zu einem datenschutzkonformen Internetauftritt veröffentlicht. Als Datenschutzaufsichtsbehörde sei es ihm bewusst, dass diese Materie nicht leicht zu verstehen sei und diese Information eine individuelle Beratung dies nicht ersetzen könne. So informiert er, dass eine erforderliche Einwilligung über mehrere Ebenen dargestellt werden könne.
1.4 LfD Bayern: Frühjahrsputz beim Verzeichnis der Verarbeitungstätigkeiten
Der LfD Bayern nimmt das jährliche Ritual des Entstaubens und Herrichten der Sommerutensilien und der Lebensräume zum Anlass im Rahmen seiner Kurzinformation Nr. 47 daran zu erinnern, dass jede Dokumentation auch auf Aktualisierungsbedarf zu prüfen ist. Bei Datenschutz nimmt er sich dabei das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO vor und erinnert insbesondere, bei welchen Punkten es sich lohnt genauer hinzusehen. So ist nicht der Datenschutzbeauftragte in der Verantwortung sich darum zu kümmern, sondern die Unternehmens-/ Behördenleitung steht in der Pflicht, kann dies aber an Fachabteilungen delegieren. Aktualisierungsbedarf könne sich beispielsweise aufgrund von Funktionserweiterungen einer Software bei der Angabe der betroffenen Daten oder auch bei dem Merkmal der „Empfänger“ ergeben. Er hebt auch hervor, dass mittels dieser Dokumentation Informationspflichten und Auskunftsbegehren leichter zu erfüllen sind und unnötige Doppelerfassungen vermieden werden können. Sollte das Führen und Aktuell-Halten als sinnfreie Arbeitsbeschaffungsmaßnahme angesehen werden, sei die Datenschutzorganisation bei dem betreffenden Verantwortlichen noch nicht ausreichend optimiert.
1.5 LfD Bayern: Datenschutz im Vergabeverfahren
Welche Vorgaben sind an datenschutzrechtliche Anforderungen im Vergabeverfahren durch öffentliche Stellen zu berücksichtigen? Dazu hat der LfD Bayern die Orientierungshilfe „Datenschutz als Kriterium im Vergabeverfahren“ veröffentlicht. Das 43-seitige Papier zeigt unter Berücksichtigung der jüngsten Spruchpraxis von Vergabekammern und Gerichten systematisch, welche „Einfallstore“ sich in Beschaffungsprozessen für datenschutzrechtliche Anforderungen öffnen und wie man sie zielführend nutzt. Es befasst sich dabei unter anderem auch mit den Rechtmäßigkeitsvoraussetzungen der besonders praxisrelevanten Vergabe von Cloud-Leistungen. Datenschutzrecht und Vergaberecht sind durchgängig im Verbund dargestellt. Sicherlich mit Aussagen, die auch außerhalb Bayerns berücksichtigt werden können.
1.6 LfDI Mecklenburg-Vorpommern: Neue Ernennung
In Mecklenburg-Vorpommern wurde ein neuer LfDI benannt.
1.7 Sachsen-Anhalt: Neuer Name im Gespräch
Ich kann die Vorlage nicht auslassen: Nach der Mitteldeutschen Zeitung scheint eine Begegnung mit dem Papst ausreichend Grundlage für eine Kandidatur zu bieten. Nach den Ausführungen in der Zeit hat sich der Kandidat als Rechtsanwalt auch schon mal mit Datenschutzrecht befasst (hat er sicher, wer hat das nicht??). Aber es wäre nicht der erste Kandidat in Sachsen-Anhalt, der sich in den letzten sechs Jahren Hoffnung auf eine Benennung machte.
1.8 Island: Gegenseitige Leistungsbewertung von Beschäftigten
Ein Flugunternehmen führte in Island laut dieser Darstellung eine gegenseitige Mitarbeiterbewertung nach jedem Flug ein, die über eine App erfolgte. Die Bewertungsmöglichkeit umfasst eine Notenskala von 1 bis 5 mit einer schriftlichen Begründung und Freitextfeldern. Beschäftigte können ihre eigene Durchschnittsbewertung nur dann im Programm einsehen, wenn sie an der Leistungsbewertung anderer teilgenommen haben. Der Zweck der Bewertung bestünde laut Unternehmen darin den Mitarbeitern ihre Leistung bewusst zu machen. Auch der Tarifvertrag besage u.a., dass die Leistung bei der Vergabe von Beförderungen und Führungspositionen berücksichtigt werden müsse. Die Rechtsgrundlage wurde daher auf berechtigtes Interesse an der Leistungsbeurteilung und auf Umsetzung einer vertraglichen Verpflichtung aus dem Tarifvertrag mit der Flugbegleitervereinigung gestützt. Auch sei das Flugunternehmen nicht zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet.
Die zuständige Aufsicht stellte dazu fest, dass der Tarifvertrag nicht als Vertrag angesehen werden kann, sondern eher einer rechtlichen Verpflichtung entspräche. Eine vertragliche Verpflichtung sei als Rechtsgrundlage daher nicht gegeben. Auch seien die Voraussetzungen der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung nicht erforderlich. Es hätten andere Mechanismen zur Erhebung der Personalbeurteilung eingerichtet werden können. Bezogen auf den Grundsatz der Richtigkeit ist die Aufsicht der Ansicht, dass die Tatsache, dass die Mitarbeiter die Leistung der anderen bewerten, da sie wissen, dass diese Bewertung für ihre Beförderung eine Rolle spielt, einen Anreiz bieten könnte, negative oder falsche Bewertungen abzugeben. Die Verarbeitung betrachtet die Aufsicht auch insgesamt aus umfangreich, da die Mitarbeiter für jeden Flug eine Bewertung abgeben könnten, könnte die Menge der erhobenen personenbezogenen Daten je nach der Aktivität der Mitarbeiter beträchtlich sein.
In Anbetracht der beträchtlichen Datenmenge und der Tatsache, dass die Flugbegleiter sich nach jedem Flug gegenseitig bewerten konnten, war die Datenschutzbehörde der Ansicht, dass es sich um eine systematische und umfassende Bewertung handelt. Daher hätte vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchgeführt werden müssen.
1.9 Italien: Bußgeld gegen unzulässige Verarbeitungen im Marketingumfeld
In Italien wurde laut dem Newsletter der italienischen Aufsicht Garante ein Bußgeld in Höhe von 300.000 Euro verhängt, weil einem Marketingunternehmen u.a. Verstöße gegen die Nachweispflicht rechtskonformer Einwilligungen, Verwendung von Dark Pattern und unzureichender Gestaltung von Freundesempfehlungen vorgeworfen wurde. Innerhalb der Frist hat das Unternehmen den Streit durch Zahlung eines Betrags in Höhe der Hälfte der verhängten Strafe beigelegt.
1.10 Spanien: Bußgeld aufgrund unzureichender Umsetzung der Informationspflichten
Die spanische Datenschutzaufsicht sanktionierte nach diesem Bericht ein Schnellimbissrestaurant mit 25.000 Euro, weil es Anforderungen an die Umsetzung der Informationspflicht aus Art. 13 DS-GVO nicht ausreichend umsetzte und niemand als Datenschutzbeauftragte/r benannt wurde. Zwar seien die Rechtsgrundlagen der Verarbeitung beanstandungsfrei aufgeführt, sie enthielten aber keine präzisen Informationen über die Zwecke der Datenverarbeitung, da sie unbestimmte Ausdrücke wie „wir können … verwenden“ enthielten. Sprachliche Gestaltungen wie ‚kann‘, ‚könnte‘, ‚einige‘, ‚oft‘ und ‚möglich‘ sollten vermieden werden. Entscheide sich ein Verantwortlicher für die Verwendung unbestimmter Formulierungen, sollte er nach Ansicht der spanischen Aufsicht und unter Verweis auf die Guideline des EDSA zur Transparenz (WP 260 rev.01) in der Lage sein, im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen zu können, warum die Verwendung solcher Formulierungen nicht vermieden werden konnte und wie dadurch die Fairness der Verarbeitung nicht beeinträchtigt werde. Der Anteil daran am Bußgeld wurde auf 5.000 Euro festgelegt. Den Rest gibt es für die Nicht-Benennung eines DSB.
1.11 Österreich: Videoaufnahmen in einer öffentlichen Toilette kein Haushaltsprivileg
Das wiederholte Anfertigen von Videoaufnahmen aus öffentlichen Toiletten ohne Einwilligung der gefilmten Personen fällt nicht unter das sog. „Haushaltsprivileg“ des Art. 2 Abs. 2 lit. c DS-GVO, auch wenn die Aufnahmen nicht verbreitet werden. Das muss auch nicht lange erläutert werden. Interessanter ist dann schon die Berechnung des Bußgeldes gegen eine Privatperson in Höhe von 25.000 Euro gegen den Verantwortlichen, das in diesem Bericht aus dem Strafanerkenntnis dokumentiert ist.
1.12 BSI: IT-Grundschutz für KMU
Das BSI hat neben dem IT-Grundschutz-Kompendium einen für KMUs angepassten CyberRisiko-Check nach DIN SPEC 27076 veröffentlicht. Um auch kleine und mittlere Unternehmen zu unterstützen, wurde in Kooperation mit dem Bundesverband mittelständische Wirtschaft (BVMW) ein Konsortium zur Erarbeitung einer DIN SPEC gegründet. Beim CyberRisiko-Check befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Darin werden 27 Anforderungen aus sechs Themenbereichen daraufhin überprüft, ob das Unternehmen sie erfüllt. Für die Antworten werden nach den Vorgaben der DIN SPEC Punkte vergeben. Weitere Details finden sich hier. Der genaue Inhalt des Checks kann nach vorheriger Anmeldung kostenfrei beim Beuth-Verlag heruntergeladen werden.
1.13 BSI: AI security concerns in a nutshell – Practical AI-Security guide
Dieser veröffentlichte Leitfaden des BSI führt Entwickler in die wichtigsten Angriffe auf maschinelle Lernsysteme und mögliche ergänzende Abwehrmaßnahmen ein. Der Leitfaden erhebt dabei keinen Anspruch auf Vollständigkeit und kann nur eine erste Einführung in das Thema bieten. (Und ich hoffe, dass er nicht nur in die Angriffe, sondern auch in Abwehrmaßnahmen einführt!)
2 Rechtsprechung
2.1 EuGH: Datenschutzrechtliche Verantwortlichkeit und Schadenersatzvoraussetzungen
In seinen Schlussanträge des Generalanwalts im Fall C-340/21 hatte dieser zu bewerten, ob ein Unternehmen auch dafür datenschutzrechtlich haftet, wenn durch einen Angriff personenbezogene Daten entwendet wurden und welche Voraussetzung an einen immateriellen Schadenersatz zu stellen sind. Der Generalanwalt führt dazu vier Schritte aus:
- Allein das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ reiche an sich nicht aus, um anzunehmen, dass die ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ gewesen seien, einen ausreichenden Schutz nach der DS-GVO zu gewährleisten.
- Ein Gericht könne dies überprüfen und dabei eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen berücksichtigen.
- Dem Verantwortlichen obliege der Nachweis, dass die Maßnahmen geeignet seien. Gemäß dem Grundsatz der Verfahrensautonomie sei es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.
- Der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden sei, stelle für sich genommen keinen Grund dar den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten sei, in keinerlei Hinsicht verantwortlich sei. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit einen Entlastungsbeweis vorzulegen. Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist.
Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt. Die Schlussanträge des Generalanwalts sind für den EuGH nicht bindend, in der Regel weicht der EuGH aber auch nicht wesentlich davon ab.
2.2 EuGH: Voraussetzungen für Sanktionen gegen Unternehmen
Zu der Frage, ob § 130 OWiG mit der DS-GVO vereinbar sei, dass für eine Sanktion gegen ein Unternehmen ein Verschulden einer Leitungsperson erforderlich sei, hat der Generalanwalt im Fall C‑807/21 seine Schlussanträge veröffentlicht und ist der Ansicht, dass die Verhängung einer Geldbuße gegen eine juristische Person, die für die Verarbeitung personenbezogener Daten verantwortlich ist, nicht von der vorherigen Feststellung eines Verstoßes durch eine oder mehrere individualisierte natürliche Person(en), die im Dienst dieser juristischen Person stehen, abhänge. Die Verwaltungsgeldbußen, die gemäß der DS-GVO verhängt werden können, setzen voraus, dass festgestellt wird, dass das den geahndeten Verstoß begründende Verhalten vorsätzlich oder fahrlässig war.
Der Generalanwalt ist dabei der Ansicht, dass aufgrund der unmittelbare Anwendbarkeit der DS-GVO deren eingeführtes Sanktionssystems für eine einheitliche und kohärente Lösung in allen Mitgliedstaaten spräche und nicht dafür, dass jeder von ihnen selbst entscheidet, ob zu den strafbaren Verstößen auch solche gehören sollen, die nicht vorsätzlich oder fahrlässig begangen werden. Hier eine Bewertung der Schlussanträge durch den Anwalt eines der Verfahrensbeteiligten. Aber auch die BlnBfDI sieht sich bestätigt.
Auch von dieser Meinung könnte der EuGH in seinem Urteil abweichen.
3 Gesetzgebung
3.1 EP: Fortschritte beim AI Act
Berichten zufolge habe sich das Europäische Parlament auf eine Grundlage verständigt, die innerhalb des EP konsensfähig sein könnte.
3.2 Staatstrojaner für die Polizei?
Zumindest für die Bundespolizei soll er nicht eingesetzt werden, wie hier berichtet wird. Worum es generell beim Fernmeldegeheimnis geht und warum dies auch vor dem Hintergrund der Chatkontrolle relevant ist, wird hier anschaulich erklärt (ca. 29 Min.).
3.3 Gesetz gegen digitale Gewalt
Ob und wer davon betroffen ist, mag nicht für alle leicht erkennbar sein. Nach entsprechenden Berichten zu Umfang, Positionen und denkbaren Auswirkungen veröffentlicht das BMJ Erläuterungen zu seinem Gesetzgebungsverfahren. Auch ein Schaubild mit Ablaufdiagramm wird angeboten.
4 Künstliche Intelligenz und Ethik
4.1 ChatGPT und das Ende der Kreativität
In dieser Talkshow des SR (Dauer ca. 60 Min) geht es erfreulich sachlich und kompetent zur und um die Sache.
4.2 ChatGPT und Privacy
Nun reagiert Open AI auf die Befürchtungen, eingegebene Inhalt könnten unkontrolliert nutzbar sein und führt einige Möglichkeiten ein dies zu begrenzen. Sie nennen es Privatmodus bzw. Privacy controls.
4.3 Schufa und Speicherdauer bei Restschuldbefreiungen
Die Schufa hat nach eigenen Angaben Daten zu Restschuldbefreiungen von 250.000 Personen gelöscht. Damit folgt sie der Ansicht des Generalanwalts des EuGH in seinem Schlussanträgen (C-26/22 und C-64/22). Das reduziert natürlich auch ein potenzielles Risiko, Ansprüchen aus Art. 82 DS-GVO ausgesetzt zu sein, sollte sich der EuGH dieser Ansicht anschließen.
4.4 Wirkung der KI
Viele probieren ChatGPT und versuchen Informationen zu gewinnen. Dass dies auch nach hinten losgehen kann, zeigt dieser Fall, bei dem ein mittels ChatGPT erstelltes fiktives Interview mit einer noch lebenden Person die verantwortliche Redakteurin den Job gekostet hat.
Franks Nachtrag: Ich könnte nun erster sagen. Aber diese Meldung hat ja auch zusätzliche Informationen. Nun ist er weg, der Job…
5 Veröffentlichungen
5.1 Reifegradmodell zur Datenschutzumsetzung
Wie kann die Umsetzung Datenschutzes bei einem Unternehmen bewertet werden? Aus der Schweiz kommt ein Vorschlag im Reifegrad Beta-Stufe, um nicht nur das Schweizer Recht, sondern auch die DS-GVO dabei abzufragen.
5.2 Facebook ausschalten?
Wenn es nach dieser Meldung geht, bereitet sich Meta auf eine Aussetzungsanordnung für Datenübertragungen und eine Sanktionierung nach der DS-GVO vor. Auf Basis von Unterlagen, die der Börsenaufsicht vorgelegt wurden, rechnet Meta mit Maßnahmen im Mai 2023, die ohne Angemessenheitsbeschluss einen Datentransfer in die USA untersagen und evtl. auch Sanktionen beinhalten. Es ist davon auszugehen, dass Meta dies gerichtlich überprüfen lassen will: Das steht dem Unternehmen auch zu und ist Teil eines Rechtsstaatsprinzip. Europäer haben diese Möglichkeit ja nicht in allen Fällen staatlicher Aktivitäten in den USA. Daher haben wir ja diese Problematik.
5.3 CISA: Zero Trust Maturity Model und Security by design and by default
Welche Anforderungen stellen sich an ein Reifegradmodell, das höchste Anforderungen an Sicherheit abbilden soll? Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) der USA bietet mit seinem Zero Trust Maturity Model (ZTMM) einen Ansatz für kontinuierliche Modernisierungsbemühungen in einer sich schnell entwickelnden Umgebung und Technologielandschaft. Daneben finden sich bei der CISA auch Empfehlungen zu Security by design und by default.
5.4 Global Cross-Border Privacy Rules (CBPR)
Seit einem Jahr gibt es das globale CBPR-Forum, das im April 2022 von Kanada, Japan, der Republik Korea, den Philippinen, Singapur, Chinesisch-Taipeh und den Vereinigten Staaten von Amerika, gegründet wurde, um den freien Datenverkehr und einen wirksamen Datenschutz und Schutz der Privatsphäre weltweit zu unterstützen. Dies wird angestrebt durch
- die Einführung und Förderung der Annahme des Globalen Systems für grenzüberschreitende Datenschutzregeln (CBPR) und eines Globalen Systems zur Anerkennung des Datenschutzes für Auftragsverarbeiter (PRP), um den Datenschutz und den freien Datenverkehr weltweit zu erleichtern,
- den Austausch bewährter Praktiken und die Förderung der Zusammenarbeit im Bereich des Datenschutzes und des Schutzes der Privatsphäre und
- die Interoperabilität mit anderen Rahmenwerken für den Datenschutz und den Schutz der Privatsphäre anzustreben.
Die Globale CBPR-Erklärung 2022 und der Globale CBPR-Rahmen legen die Grundsätze und Ziele des Forums fest, einschließlich der Globalen CBPR-Datenschutzgrundsätze, auf deren Grundlage das Globale CBPR-System und das Globale PRP-System entwickelt werden sollen.
5.5 Veranstaltungen
5.5.1 Business School Berlin: KI – eine Einführung!
09.05.2023, 18:00 – 19:30 Uhr: In dem Onlinevortrag mit Diskussion wird ein Blick in die Black Box der modernen KI gewagt und im Anschluss die Diskussion eröffnet, welche Auswirkungen die Entwicklungen in unserem Alltag haben können. Weitere Informationen auch zur Anmeldung hier (Anmeldung per E-Mail, auf der Infoseite müssen Sie sich die Veranstaltung selbst suchen).
5.5.2 BSI: 19. Deutscher IT-Sicherheitskongress
10./11.05.2023: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lädt am 10. und 11. Mai 2023 zum 19. Deutschen IT-Sicherheitskongress ein. Der Kongress beleuchtet unter dem Motto „Digital sicher in eine nachhaltige Zukunft“ Trends und Entwicklungen im Bereich der IT-Sicherheit als Voraussetzung für eine gelungene Digitalisierung. Live-Vorträge und virtuelle Messestände machen IT-Sicherheit erlebbar und ermöglichen einen umfassenden fachlichen Einblick in aktuelle Themen der Cyber-Sicherheit. Die Veranstaltung findet in diesem Jahr erneut in digitaler Form statt. Weitere Informationen und Anmeldung.
5.5.3 Stiftung Datenschutz: Spannungsfall(e) Datenschutzbeauftragte? -neu-
23.05.2023, 13:00 – 14:00 Uhr: Die Rolle der Datenschutzbeauftragten umfasst ein breites Spektrum von Aufgaben und kann mitunter zur Herausforderung werden. Denn neben den wachsenden Anforderungen des Datenschutzrechts nimmt auch die Komplexität technischer Systeme und Prozesse zu. Darüber hinaus haben menschliche Faktoren einen wesentlichen Einfluss auf die Effektivität und Qualität der Arbeit der Datenschutzbeauftragten. Zwei Referentinnen stellen verschiedene Spannungsfälle vor, denen Datenschutzbeauftragte gegenüberstehen können, und diskutieren Lösungsansätze. Weitere Informationen und Anmeldung hier.
5.5.4 EDPS: Fünf Jahre DS-GVO – immer noch ein Maßstab in der digitalen Landschaft?
23.05.2023, 18:30 – 22:30 Uhr, Brüssel: Der Europäische Datenschutzbeauftragte lädt zusammen mit dem BfDI sowie dem LfD Bayern anlässlich des 5. Jahrestages des Anwendungsbeginns der Datenschutz-Grundverordnung ein über die Auswirkungen der Datenschutz-Grundverordnung und die neuen Herausforderungen, die sich nach fünf Jahren ihrer Anwendung ergeben haben, nachzudenken. Auch werden die Auswirkungen dse DS-GVO auf die aktuellen digitalen Regelwerke betrachtet. Mehr Informationen dazu und zu den Anmeldevoraussetzungen auf den Seiten des EDPS.
5.5.5 Wirtschaftskammer Österreich: Fünf Jahre DS-GVO – Datenschutz-Vorbild oder Digitalisierungsbremse?
25.05.2023, 17:00 – 18:30 Uhr: Die durch die Wirtschaftskammer Österreich veranstaltete Diskussionsrunde befasst sich mit einer Bestandsaufnahme zur DS-GVO. Weitere Informationen zu den Teilnehmenden und zur Anmeldung zu der Online-Veranstaltung finden sich hier.
5.5.6 Stiftung Datenschutz – „Im Normendschungel der EU“
25./26.05.2023: Das Vorabendprogramm am 25. Mai 2023 (ab 17:30 Uhr) in Hannover widmet sich einem Rückblick und Ausblick zur DS-GVO. Am 26.05.2023 wird dann der Normendschungel der EU bereist (von 08:30 bis ca. 16:00 Uhr). Weitere Informationen und Anmeldung hier (Anmeldungen zur Vor-Ort-Teilnahme sind bis 15.05.2023 möglich).
5.5.7 Vorankündigung – GI: Designing Feminist Futures
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).
6 Gesellschaftspolitische Diskussionen
6.1 Überwachung der Mobilfunknutzung am Steuer
Natürlich werden datenschutzrechtliche Belange berücksichtigt, wenn in Rheinland-Pfalz mit der Monocam ein System eingeführt werden soll, das automatisch erfasst, wenn ein Autofahrer während der Fahrt ein Mobilgerät benutzt. Das System sei erfolgreich getestet worden und mit der nächsten Änderung des Polizeigesetzes soll eine Rechtsgrundlage geschaffen werden, durch die die Monocam dauerhaft eingesetzt werden könne. Der Bericht dazu hier.
7 Sonstiges/Blick über den Tellerrand
7.1 Anforderungen an Medienkompetenz
Mehr Medienkompetenz bedeutet auch mehr aktive Kriminalprävention. Das ist die Kernaussage eines Cyberkriminologen im Interview mit dem Magazin der Bayerischen Landeszentrale für neue Medien. Insbesondere der Schutz Minderjähriger vor sexualisierter Gewalt ist ihm dabei ein Anliegen.
8. Franks Zugabe
8.1 Apropos ChatGPT…
Und da waren es bereits zehn Einträge aus dieser „Reihe“…
- KI in der Medizin? Auch wenn ChatGPT wohl bei einem Tier bereits korrekt eine Krankheit (die ein erster Tiermedizinier vorher nicht erkannte) diagnostiert hatte (inkl. Disclaimer, mit Bestätigung durch zweiten Tierarzt), gibt es doch Warnungen vor der Ausbreitung unregulierter KI-Anwendungen in der Medizin
- In diesem Essay geht es (u.a.) um die Frage des Vertrauens in KI-Systeme wie ChatGPT und Co. und wie das Problem des (wahrscheinlich gesellschaftlich häufig fehlenden) Vertrauens aufeglöst werden könne. Außerdem wird überlegt, ob auf LLM basierende KI-Systeme, wenn sie nur richtig betrieben werden, vielleicht der Gesellschaft (Demokratie) helfen könnten…
- Wenn auch große Wirtschaftsprüfer-Konzerne aus den USA Milliarden in KI-Systeme et investieren wollen, weiß ich nicht, ob das eine Empfehlung ist. Zitat: „This investment features an industry-leading relationship with Microsoft, creating scalable offerings using OpenAI’s GPT-4/ChatGPT and Microsoft’s Azure OpenAI Service.“ Ach so, na dann… läuft doch.
- Der BigBrotherAward 2023 in der Kategorie „Behörden und Verwaltung“ geht an das Bundesfinanzministerium, vertreten durch Bundesfinanzminister Lindner, für das seit dem 1. Januar 2023 geltende Plattformen-Steuertransparenzgesetz (PStTG). Hier geht es zur Laudatio.
- Den BigBrotherAward in der Kategorie „Finanzen“ erhält das Fintech-Unternehmen finleap dafür, dass es über Jahre hinweg fälschlicherweise Informationen zum Kontowechsel an Firmen schickt, die mit dem Vorgang nichts zu tun haben. Hier geht es zur Laudatio. (Wie kann man einer NGO wie Digitalcourage, die die BBA maßgeblich in Deutschland mitbetreut und verleiht, über lange Zeit, trotz mehrfacher Aufforderungen, dieses zu unterlassen, solche Briefe irrtümlich zusenden? Die bettelten ja geradezu um einem Preis…)
- Der BigBrotherAward in der Kategorie „Kommunikation“ geht an Zoom Video Communications Inc., die als US-Unternehmen Daten an Geheimdienste weiterleiten müssen, aber dennoch behaupten, DSGVO-konform zu sein. Der Preis geht auch an alle Gruppen, insbesondere Menschenrechts- sowie Umwelt- und Klimaorganisationen, die Zoom einsetzen und damit ihre Teilnehmer:innen der Überwachung preisgeben, obwohl es freie und datenschutzfreundliche Alternativen gibt. Hier geht es zur Laudatio. Und? Sind Sie auch ein Zoombie?
- Den BigBrotherAward 2023 in der Kategorie „Lebenswerk“ erhält Microsoft dafür, dass es mit ihrer Marktmacht Menschen, Unternehmen und Behörden zwingt bei deren digitalen Aktivitäten dauernd Daten in die USA zu übermitteln und sich dadurch in Echtzeit überwachbar zu machen. Damit wird Microsoft bereits zum zweiten Mal (zuerst im Jahr 2002) in der Kategorie Lebenswerk ausgezeichnet. Hier geht es zur Laudatio. Zum zweiten Mal… Auch eine Leistung.
- Die Deutsche Post DHL Group erhält den BigBrotherAward 2023 in der Kategorie „Verbraucherschutz“ für praktizierten Digitalzwang. Sie will die Kund:innen durch die Umstellung (der Funktionsweise) ihrer Packstationen dazu zwingen, ein Smartphone und ihre Post & DHL-App zu nutzen. Die Post & DHL-App sendet ungefragt Daten an Tracking-Firmen. Dieser Digitalzwang gehört besonders gerügt, denn hier schließt ein ehemaliges Staatsunternehmen Bürgerinnen und Bürger von einer wichtigen Grundversorgung aus. Hier geht es zur Laudatio.
8.2 BigBrotherAwards 2023
Ach ja, und dann waren da ja noch die BigBrotherAwards 2023!
Wer die bekommen hat, fragen Sie? Dem Link wollen Sie nicht folgen und alles selbst nachlesen, sagen Sie? Nun denn, lassen Sie es mich Ihnen mitteilen:
Sie wollen auch die Laudationes nicht lesen, sich die Preisverleihung lieber nachträglich anschauen? Dan geht es hier zur Video-Aufzeichnung (ca. 2:30 h).
9. Die gute Nachricht zum Schluss
9.1 Humanornot
Da Herr Kramer diese Woche keine Meldung mitgliefert hat, versuche ich mich mal. Ob es eine gute Nachricht ist? Das kommt glaube ich aufs Ergebnis an:
In diesem Test (A social turing game) chatten Sie zwei Minuten mit jemand anders. Und dann sollten Sie entscheiden können, ob das ein Mensch oder ein Chatbot ist. Wenn Sie immer richtig liegen? Dann war das die gute Nachricht…