Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 20/2022)“

Hier ist der 38. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 20/2022)“.

  1. Aufsichtsbehörden
    1. EDSA: Guideline 04/2022 – Berechnung von Bußgeldern
    2. EDSA: Guideline 05/2022 – Gesichtserkennung bei der Rechtsdurchsetzung
    3. CNIL: Anforderungen an Cookie-Banner
    4. Belgien: Bußgeld gegen Außenministerium wegen Datenschutzverstößen bei Visaanträgen
    5. LfDI BW: Ausführungen zu M365 an Schulen
    6. EKD: Arbeitgeber und das Fernmeldegeheimnis
    7. Rücknahme der Warnung des BSI bzgl. intelligente Messsysteme
    8. BSI soll unabhängiger werden
    9. Verstoß gegen europäisches Recht durch Mitgliedsstaaten
  2. Rechtsprechung
    1. OLG SH: Ausreichender Schutz durch TLS-Verschlüsselung
    2. OLG Frankfurt: Schadenersatz bei Fehlversand in Höhe von 500 Euro
    3. LG Köln und LG München: Schadenersatz bei missbräuchlicher Nutzung von Zugangsdaten
    4. LG Berlin: Bloßes „googlen“ einer Adresse ist keine Verarbeitung personenbezogener Daten
    5. LG Köln: Speicherdauer eines Schufa-Eintrags über Restschuldbefreiung
    6. VG Berlin: Zulässiger kirchlicher Datenschutz
    7. LG Erfurt: Arbeitgeber als TK-Anbieter?
  3. Gesetzgebung
    1. EU: Data Governance Act
    2. EU: Chatkontrolle
    3. Was tut sich beim AI Act?
  4. Künstliche Intelligenz und Ethik
    1. KI-Observatorium
    2. Wie entwickelt sich die KI?
    3. Überdenken der Begrifflichkeiten
  5. Veröffentlichungen
    1. Automatisierte Entscheidungen, Art. 22 DS-GVO
    2. Recht auf Auskunft – Übersicht
    3. Phishing – auch in Österreich und bei uns
    4. Dark Patterns in personal data
    5. Übersicht aktueller Stand Drittstaatentransfer
    6. ICANN bekämpft Sicherheitsbedrohungen
    7. Veranstaltungen
      1. Inverse Transparenz – Abschlussveranstaltung mit dem Thema: Transparente Arbeitswelten nachhaltig gestalten – „Wie wir Datensouveränität stärken und neue Innovationskulturen schaffen“
      2. Datentag der Stiftung Datenschutz: Daten gegen Dienstleistung
      3. 102. Deutscher Katholikentag in Stuttgart
      4. ZVKI: Auf dem Weg zu besserem Verbraucher:innenschutz im Bereich KI
      5. Datenschutz am Mittag: Vom Streuschaden zur Sammelklage – Das Ende der Vollzugsdefizite
      6. Kanzlei srd: Effektives Risikomanagement durch wirksame TOM – Herausforderung für Unternehmen
      7. Microsoft: “Compliance in a digital age”
  6. Gesellschaftspolitische Diskussionen
    1. Microzensus mit Cloudflare
    2. Nichts zu verbergen? Und das entscheiden Sie? Was passiert beim Real-Time-Bidding?
    3. Selbstbestimmte Identitäten
    4. Erst mitlesen, dann mitfahren – Uber ist dabei
    5. Umgehung von Sicherheitsmaßnahmen
    6. Emotionsscanner in Videokonferenztool?
    7. Digitale Selbstverteidigung
    8. Datenschutz als Wettbewerbsvorteil?
  7. Sonstiges / Blick über den Tellerrand
    1. BzKJ: Gefährdungsatlas
    2. Tools für Unterrichtszwecke
    3. Arbeitsblätter zu Videoclips zu „Datenschutz-leicht-erklärt“
  8. Franks Zugabe
    1. Die NSA versichert: Diesmal wirklich keine Hintertüren!
    2. Surveillance by Driverless Car
    3. Endlich mal wieder: REvil (und Unterstützung)
    4. „Ad-Tech“-Firmen greifen persönliche Daten aus Webformularen ab
    5. Google Map Surveillance
    6. Wenn das iPhone aus ist, ist es aus, oder?
    7. The First Geek
    8. Bam!! In your face!



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Guideline 04/2022 – Berechnung von Bußgeldern

Die „Guidelines 04/2022 on the calculation of administrative fines under the GDPR“ legt ein Berechnungsmodell fest, dass dann für alle staatlichen Datenschutzaufsichtsbehörden verbindlich ist. Anmerkungen und Hinweise können dazu bis 27. Juni 2022 im Konsultationsverfahren eingebracht werden. Erste Einschätzung dazu finden Sie hier. Kurz zusammengefasst: Billiger wird es nicht. Und Aufsichtsbehörden müssen sich daran orientieren. Fazit: Compliance wird noch wichtiger.

zurück zum Inhaltsverzeichnis

1.2 EDSA: Guideline 05/2022 – Gesichtserkennung bei der Rechtsdurchsetzung

Wahrscheinlich wäre wohl Strafverfolgung passender als Rechtsdurchsetzung bei der „Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement“, aber wenn die Möglichkeiten erst mal da sind… Dazu gibt es auch ein Konsultationsverfahren, bis 27. Juni 2022 können Hinweise eingereicht werden.

zurück zum Inhaltsverzeichnis

1.3 CNIL: Anforderungen an Cookie-Banner

Während bei uns noch nicht die Überarbeitung der Orientierungshilfe für Telemedienanbieter:innen nach der Konsultation veröffentlicht worden ist, legt die CNIL vor: Worauf ist bei Cookie-Bannern zu achten? Dieser Beitrag befasst sich damit – auf Deutsch.

zurück zum Inhaltsverzeichnis

1.4 Belgien: Bußgeld gegen Außenministerium wegen Datenschutzverstößen bei Visaanträgen

Belgien hat von der Möglichkeit Gebrauch gemacht, dass auch gegen öffentliche Stellen Bußgelder verhängt werden können. So hat die belgische Datenschutzaufsicht auch die Möglichkeit, aufgrund unzureichender Schutzmaßnahmen bezogen auf Daten bei Visaerteilungen entsprechend zu sanktionieren. Und tut das auch: 565.000 € und weitere Bußgelder, wenn die Schutzmaßnahmen nicht geändert werden und die Betroffeneninformation hinsichtlich einer Datenweitergabe nicht durchgeführt wird.

zurück zum Inhaltsverzeichnis

1.5 LfDI BW: Ausführungen zu M365 an Schulen

Was den LfDI BW dazu, bewog nochmal seine Positionierung und die bisherige Vorgehensweise ausführlichst zu erläutern, weiß ich nicht. Ich weiß nur, dass es mich schon verwunderte, welche Diskussion es allein auf LinkedIn dazu gab, weil sich einige wunderten, warum eine Aufsichtsbehörde hier ihre Rechtsansicht durchzusetzen versucht.

zurück zum Inhaltsverzeichnis

1.6 EKD: Arbeitgeber und das Fernmeldegeheimnis

Unterliegen Arbeitgeber, wenn sie ihre Beschäftigten zu privaten Zwecken telefonieren lassen, den Anforderungen des TKG und unterliegen sie dem Fernmeldegeheimnis? Diese Frage wird immer wieder diskutiert und so auch weiter seit der Einführung des TTDSG. Die Datenschutzaufsicht der ev. Kirche geht in ihren FAQs zum TTDSG zumindest davon aus, dass auch kirchliche und diakonische Arbeitgeber unter das Fernmeldegeheimnis fallen können, wenn bestimmte Voraussetzungen vorliegen. Der Arbeitgeber sei Telekommunikationsanbieter, wenn er ganz oder teilweise geschäftsmäßig Telekommunikationsdienste anbiete, also wenn er ein nachhaltiges Angebot für Dritte mit oder ohne Gewinnerzielungsabsicht anbiete, z.B. die Bereitstellung von eigenen Messengerdiensten für externe Personen.

zurück zum Inhaltsverzeichnis

1.7 Rücknahme der Warnung des BSI bzgl. intelligente Messsysteme

Gelegentlich warnt das BSI, wenn es der Überzeugung ist, dass eine Warnung hinsichtlich des Einsatzes von IT-Systemen erforderlich ist. Hersteller / Unternehmen müssen diese Einschätzung aber nicht teilen und können die Aktivität des BSI gerichtlich überprüfen lassen. Dies kann dann zur Folge haben, dass das BSI eine Warnung zurücknimmt, wie hier beim Weiterbetrieb und Einbau intelligenter Messsysteme durch die Messstellenbetreiber.

zurück zum Inhaltsverzeichnis

1.8 BSI soll unabhängiger werden

Wer es noch nicht hat läuten hören: Open Source wird für die Verwaltung strategisch immer wichtiger! Ein Merkmal der Digitalen Souveränität wird z.B. der Einsatz von Open-Source-Software sein. So soll Berichten zufolge die Bundesregierung bis Ende des Jahres ein Konzept vorlegen, wie das BSI unabhängiger werden könnte. Auch für ein „Dateninstitut“ und eine Open-Source-Plattform wird Geld bereitgestellt.

zurück zum Inhaltsverzeichnis

1.9 Verstoß gegen europäisches Recht durch Mitgliedsstaaten

Eigentlich ist es ja Sache der Datenschutzaufsichtsbehörden. Solltet Ihr aber das Gefühl haben, ein Mitgliedsstaat verstößt gegen europäisches Datenschutzrecht, kann jeder dies gegenüber der EU-Kommission über dieses Formular melden. Natürlich behält sich die Kommission dabei auch vor einfach gar nichts zu unternehmen. Formal ausgedrückt: „Die Kommission ist nicht verpflichtet, förmliche Vertragsverletzungsverfahren einzuleiten – auch wenn sie der Auffassung ist, dass ein Verstoß vorliegt.“

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 OLG SH: Ausreichender Schutz durch TLS-Verschlüsselung

In einem Urteil, in dem es (u.a.) um die Nutzung von vertraulichen Informationen ging, urteilte das OLG Schleswig-Holstein, dass eine TLS-Verschlüsselung für Informationen mit normalem Schutzbedarf auseichend sei (RN 113 ff des Urteils). Bei besonders sensiblen Daten sollte es dann eine Ende-zu-Ende-Verschlüsselung sein. Das Urteil wird auch in diesem Podcast thematisiert.

zurück zum Inhaltsverzeichnis

2.2 OLG Frankfurt: Schadenersatz bei Fehlversand in Höhe von 500 Euro

Aufgrund eines Fehlversandes einer Kontoabschlussinformation an einen Kunden und einer falschen Adressübermittlung an die Schufa sprach das OLG Frankfurt einen immateriellen Schadenersatz in Höhe von 500 Euro zu. Also noch mehr Anreiz im Datenschutz an ordnungsgemäße Prozesse zu denken.

zurück zum Inhaltsverzeichnis

2.3 LG Köln und LG München: Schadenersatz bei missbräuchlicher Nutzung von Zugangsdaten

Die Ansprüche richteten sich in beiden Fällen nicht gegen diejenigen, die dann Zugangsdaten unbefugt nutzten, sondern gegen diejenigen, die die Zugangsdaten nicht ausreichend schützten! War es beim LG München noch das Unternehmen als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO, das einen unzureichenden Schutz zu verantworten hatte (Schadenersatz in Höhe von 2.500 Euro), war der Vorwurf in dem Fall des LG Köln, dass das Unternehmen nicht nachweislich Sorge getragen hatte, dass Zugangsdaten beim Dienstleister, mit denen dieser sich in das System einwählte, nach Auftragsbeendigung gelöscht wurden. Dort wurden sie dann durch eine Attacke abgezogen und im Anschluss mehrere Kundendaten entwendet. Das LG Köln sprach hier dann 1.200 Euro Schadenersatz zu, weil das Verhalten hier nur mitursächlich gewesen sei. Und bevor die ersten Held:innen wieder ihre betriebswirtschaftlichen Grundkenntnisse auspacken und denken, „das sei ja nicht so viel“: Das war ein Anspruch einer betroffenen Personen – wie berechnet es sich denn, wenn z.B. 10.000 Kunden dann so einen Anspruch geltend machen, weil nicht nachweislich Sorge getragen wurde, dass ein Dienstleister Zugangsdaten sicher aufbewahrt bzw. nach Beendigung wie vereinbart löscht?
Fazit: Mal die Prozesse checken, wie bislang bei Vertragsbeendigung und der Überlassung von Zugangsdaten die Löschung beim Dienstleister eingefordert bzw. die weitere Nutzung technisch unterbunden wurde.

zurück zum Inhaltsverzeichnis

2.4 LG Berlin: Bloßes „googlen“ einer Adresse ist keine Verarbeitung personenbezogener Daten

Auch hier geht es im Ausgangsfall eigentlich um ganz andere Themen. In einer familienrechtlichen Streitigkeit fordert eine Klagepartei immateriellen Schadenersatz in Höhe von 2.000 Euro vom Gericht, weil die Richterin eine Adresse in Google Maps eingegeben habe. Laut Urteil erfolgte dies, um die Wohnfläche einer Immobilie zu prüfen. Der Schadenersatzanspruch wurde mit der Verwendung eines personenbezogenen Datums und der Übermittlung an Google Maps in die USA begründet. Dieser Argumentation folgte das LG Berlin nicht. Das Urteil ist noch nicht rechtskräftig.

zurück zum Inhaltsverzeichnis

2.5 LG Köln: Speicherdauer eines Schufa-Eintrags über Restschuldbefreiung

Das Landgericht Köln hatte über einen Fall zu entscheiden, in dem der Kläger von der Schufa die Löschung der Information über seine Restschuldbefreiung nach einem Insolvenzverfahren aus der Kartei verlangte. Die Speicherfrist für personenbezogene Daten soll nach der DS-GVO auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Der sog. Code of Conduct sei eine Selbstverpflichtung der Mitglieder und von der zuständigen Datenschutzbehörde des Landes NRW genehmigt worden. Die danach maßgebliche 3-Jahres-Frist sei noch nicht abgelaufen. Das LG Köln lehnte die Forderung nach Löschung daher ab. Das Urteil ist noch nicht rechtskräftig. Das OLG Schleswig sah dies letztes Jahr auch noch anders.

zurück zum Inhaltsverzeichnis

2.6 VG Berlin: Zulässiger kirchlicher Datenschutz

Wann ist kirchlicher Datenschutz zuständig? Eines der ersten Urteile dazu fiel nun im Streit um die Kirchensteuer. Das VG Berlin bestätigte hier die Zuständigkeit kirchlicher Datenschutzregelungen. Eine schöne Besprechung des Urteils findet sich hier.

zurück zum Inhaltsverzeichnis

2.7 LG Erfurt: Arbeitgeber als TK-Anbieter?

Der Sachverhalt verkürzt: Ein Unternehmen erlaubt die Nutzung der dienstlichen E-Mailadresse für private Nutzung. Im Rahmen eines Kündigungsstreites mit einem Vorstandsmitglied gibt das Unternehmen an, bei einer Überprüfung und Einsichtnahme in das E-Mailpostfach Kenntnis erlangt zu haben, dass sich dieser dienstliche E-Mails an sich und an seine Ehefrau sandte. Im Rahmen des Urteils stellte das LG Erfurt dann fest, dass das Unternehmen nicht Diensteanbieter im Sinne des TKG sei, weil es an der Geschäftsmäßigkeit fehle.
Alles zwar kein Datenschutzthema, aber es gibt auch Themen, die trotzdem interessant sind!

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 EU: Data Governance Act

Nach dem EU-Parlament hat nun auch der Ministerrat zugestimmt. Damit ist das Verfahren fast schon abgeschlossen, jetzt erfolgt noch die Feinarbeit mit den Übersetzungen und dann die Veröffentlichung im Europäischen Amtsblatt. 20 Tage nach Veröffentlichung tritt er dann in Kraft und nach 15 Monaten kommt er dann zur Anwendung. Hintergrundinfos dazu hier und Details hier. Natürlich gibt es auch Kritik.

zurück zum Inhaltsverzeichnis

3.2 EU: Chatkontrolle

Der geplante Entwurf der EU zur „Chatkontrolle“ (der ja nur dazu dienen soll Gewalt gegen Kinder aufzuklären), fördert auch Reaktionen der Politik, zum Beispiel des BMDV, aber auch zivilrechtliche Organisationen rufen dazu auf diesen im Gesetzgebungsverfahren noch zu ändern.

Franks Nachtrag: Da ich länger gebraucht habe als geplant, um diesen Blogbeitrag online zu stellen, kann ich vermelden, dass wahrscheinlich gerade die Hölle zugefroren ist: Unserer Bundesinnenministerin wird in diesem Bericht wie folgt zitiert: »Jede private Nachricht anlasslos zu kontrollieren, halte ich nicht für vereinbar mit unseren Freiheitsrechten.«
Und das von einer Bundesinnenministerin! Gut, bisher waren das immer Männer, aber am Geschlecht wird es ja wohl nicht liegen, eher am Rollenverständnis.
Ich wäre zufrieden, wenn so das Vorhaben in seiner jetzigen Form doch noch auf EU-Ebene verhindert werden könnte.

zurück zum Inhaltsverzeichnis

3.3 Was tut sich beim AI Act?

Während das Gesetzgebungsverfahren zum AI Act noch im Gange ist, blickt man aus den USA skeptisch auf diese Aktivitäten in Europa mit dem Fazit: „In the world of EU lawmaking, anything is possible.“

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 KI-Observatorium

Das Observatorium Künstliche Intelligenz in Arbeit und Gesellschaft analysiert und informiert zu Entwicklungen und Trends von KI-Anwendungen in Arbeitsmarkt, Arbeitswelt und Arbeitsorganisation. Um die Entwicklungen und Auswirkungen von KI zu verstehen und wissenschaftlich oder politisch zu beantworten, sind Kennzahlen notwendig. Das KI-Observatorium analysiert, welche Zahlen aussagekräftig sind, um ein umfassendes Verständnis der Technologie zu entwickeln. Eine erste Auswahl zu den Themen Arbeit, Gesellschaft und Kompetenzen wurde nun hier veröffentlicht.

zurück zum Inhaltsverzeichnis

4.2 Wie entwickelt sich die KI?

Berichten zufolge entwickelt DeepMind, ein Tochterunternehmen von Google eine generalisierte KI, welche die Intelligenz des Menschen bald übertreffen soll. Erwartet werde dies unter Umständen bereits für 2028. Die sogenannte Gato-KI könne bereits unterschiedliche komplexe Aufgaben übernehmen, darunter das Schreiben von Poesie. Viele Wissenschaftler würden jedoch davor warnen eine KI zu entwickeln, die den Menschen übertreffen könnte oder die zumindest so intelligent ist wie Menschen. Diese könnte womöglich den Menschen als dominierende Lebensform auf der Erde ersetzen. Vielleicht doch mal wieder Stanley Kubricks „2001: Odyssee im Weltraum“ ansehen?

Franks Nachtrag: Ich empfehle da auch den Film Terminator. Oder die Matrix-Reihe.

zurück zum Inhaltsverzeichnis

4.3 Überdenken der Begrifflichkeiten

Ist es tatsächlich „Maschinelles Lernen“ oder „nur“ „Maschinelles Training“? Wurden Alan Turings Experimente überinterpretiert? Dieser Bericht beschreibt, wie ausgehend von einem Think Tank in den USA die Zuordnung der Begrifflichkeiten hinterfragt wird. Der Fortschritt bei der Entwicklung von Rechenangeboten beruhe aber nicht auf wissenschaftlichen Neuerungen sondern auf der Steigerung der immensen Rechenleistung, mit der gigantische Datenmengen verarbeitet werden können. So würden Computer „denken“, „urteilen“, „vorhersagen“, „interpretieren“, „entscheiden“, „erkennen“ und natürlich „lernen“. Dass unsere Sprache Maschinenintelligenz damit als gegeben darstelle, habe aber keine Entsprechung in der Technik. Verantwortlich für diese sprachlichen Veränderungen seien die PR-Abteilungen großer Tech-Konzerne, die ihre nun möglichen Dienstleistungen möglichst spektakulär vermarkten müssten, auch wenn diese lediglich auf der unregulierten Nutzung großer Datenmengen beruhten.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Automatisierte Entscheidungen, Art. 22 DS-GVO

Welche Vorgaben der Aufsichten, welche Rechtsprechungen gibt es zu „Automated-Decision Making“, der in Art. 22 DS-GVO seine Abbildung gefunden hat. Eine entsprechende Zusammenstellung finden Sie beim Future of Privacy Forum. Der Bericht setzt sich u.a. mit folgenden Einsatzszenarien auseinander:

  • Schulzugang und Anwesenheitskontrolle durch Gesichtserkennungstechnologien
  • Online-Proctoring an Universitäten und automatisierte Benotung von Studenten
  • Automatisiertes Screening von Bewerbungen
  • Algorithmisches Management von Plattformarbeitern
  • Verteilung von Sozialleistungen und Aufdeckung von Steuerbetrug
  • Automatisiertes Kredit-Scoring
  • Entscheidungen zur Content-Moderation in sozialen Netzwerken

zurück zum Inhaltsverzeichnis

5.2 Recht auf Auskunft – Übersicht

Der datenschutzrechtliche Auskunftsanspruch hat sich in vielen Fällen zur lästigen Zecke entwickelt, bei der der Eindruck entsteht, es ginge in den Einzelfällen nicht um die Aufklärung zu der Verarbeitung, sondern nur darum Aufwand und Kosten zu produzieren. Trotzdem bleibt er wichtiges Kontrollinstrument der betroffenen Person. Welche Abwägungen und Entscheidungen es dazu bereits gibt, ist hier schön strukturiert nachzulesen.
Dazu passt auch thematisch gut ein neuer Richtlinienvorschlag der EU-Kommission, der eigentlich nur eine missbräuchliche Ausübung von Rechten einschränken soll – fände dieser auch bei Art. 15 DS-GVO Anwendung? Überlegungen dazu hier.

zurück zum Inhaltsverzeichnis

5.3 Phishing – auch in Österreich und bei uns

Auf das Außenministerium in Österreich habe es in jüngster Zeit laut Bericht Cyberangriffe mit Phishing-E-Mails gegeben. Durch das Klicken auf einen Link in der E-Mail sollte eine Schadsoftware heruntergeladen werden, die sich im IT-Netzwerk des Ministeriums einnisten sollte. Betroffen seien die Zentrale in Wien und auch Vertretungen im Ausland gewesen.
Es kann aber auch nicht oft genug gesagt werden, trauen Sie nicht allem und jedem im Netz und insbesondere bei Bildern mit viel Haut ist Vorsicht angesagt. Ein negatives Beispiel finden Sie hier.

zurück zum Inhaltsverzeichnis

5.4 Dark Patterns in personal data

Dieser öffentliche verfügbare Beitrag befasst sich mit der Erhebung personenbezogener Daten: Definition, Taxonomie und Rechtmäßigkeit von entsprechenden „Dark Patterns“.

zurück zum Inhaltsverzeichnis

5.5 Übersicht aktueller Stand Drittstaatentransfer

Wie setzen die Aufsichtsbehörden derzeit die Anforderungen im Drittstaatentransfer um? Einen kleinen, fundierten Überblick bekommen Sie über diesen Beitrag.

zurück zum Inhaltsverzeichnis

5.6 ICANN bekämpft Sicherheitsbedrohungen

Zur Bekämpfung von Internet-Malware und Phishing hat die Organisation Internet Corporation for Assigned Names and Numbers (ICANN) einen evidenzbasierten Ansatz entwickelt, der Domainnamen erkennt, die scheinbar für böswillige Zwecke verwendet wurden und mit der COVID-19-Pandemie und dem Russland-Ukraine-Krieg in Verbindung stehen. Details dazu finden Sie in diesem Bericht.

zurück zum Inhaltsverzeichnis

5.7 Veranstaltungen

5.7.1 Inverse Transparenz – Abschlussveranstaltung mit dem Thema: Transparente Arbeitswelten nachhaltig gestalten – „Wie wir Datensouveränität stärken und neue Innovationskulturen schaffen“

24.05.2022, 17:00 – 19:00 Uhr. Wer von der diffusen aber politisch geschätzten Begrifflichkeit „Datensouveränität“ noch nicht überfordert ist, freut sich sicher über „Inverse Transparenz“. Dachte ich. Bis ich auf der passenden Webseite auch ein Gutachten dazu fand. „Zweck der inversen Transparenz ist vor allem dem durch diese strukturelle Machtasymmetrie erzeugten Misstrauen von Arbeitnehmern gegenüber der Verwendung der über sie durch Arbeitgeber erhobenen Datenmengen zu begegnen. Statt einer Verarbeitung „von oben nach unten“ ist die Bereitstellung des Datenzugriffs vielmehr auch eine Verarbeitung „von unten nach oben“, auf die § 26 BDSG nicht anwendbar ist.“ Wer mehr dazu wissen will: Der Namen der Webseite lautet: https://www.inversetransparenz.de/ („Beteiligungsorientierte Ansätze für Datensouveränität in der digitalen Arbeitswelt gestalten“); Anmeldung hier.

5.7.2 Datentag der Stiftung Datenschutz: Daten gegen Dienstleistung

25.05.2022, 10:00 – 17:00 Uhr. Zahlreiche Akteure befassen sich mit dem Thema „Leistung gegen Daten“. Sicher interessant auch der Vertreter des heise-Verlages im Austausch mit Max Schrems. Bin gespannt, ob dabei auch die Umsetzung der Einwilligungen des heise-Portals besprochen wird, oder nur über andere Seiten. Anmeldung erforderlich.

5.7.3 102. Deutscher Katholikentag in Stuttgart

25.-29.05.2022 – Viele interessante Themen und Diskussionen am 102. Deutschen Katholikentag, die auch aus Datenschutzsicht aktuelle Themen bringen, die hier gut zusammengefasst sind, wie „Grundlagen des Algorithmus“ oder ein Podium zu „Künstlicher Intelligenz“.

5.7.4 ZVKI: Auf dem Weg zu besserem Verbraucher:innenschutz im Bereich KI

25.05.2022, 09:30 – 13:00 Uhr, die Veranstaltung des Zentrums für vertrauenswürdige Künstliche Intelligenz (ZVKI). befasst sich mit den Fragen, was Verbraucher:innen eigentlich unter Vertrauen in KI verstehen? Welche Leitplanken zur Normung und Standardisierung von KI hilfreich für Verbraucher:innen sind? Wie können wir KI zum nachhaltigen Umgang mit unserem Planeten sinnvoll einsetzen? Nachdem durch die ministeriellen Änderungen der Zuständigkeiten des Verbraucherschutzes nun geklärt ist, wer sich darum kümmert, gibt es weitere Veranstaltungen, die durch iRights organisiert werden. Anmeldung erforderlich.

5.7.5 Datenschutz am Mittag: Vom Streuschaden zur Sammelklage – Das Ende der Vollzugsdefizite

02.06.2022, 13:00 – 14:00 Uhr, Sanktionsdrohungen der Aufsichtsbehörden werden kaum noch ernst genommen, unterliegen sie scheinbar größeren rechtlichen Unwägbarkeiten als Schadensersatzforderungen. Mit der Verbandsklagerichtlinie gibt es ein Instrument, dass manche Marketingexperten und andere legale Grenzgänger zur Einhaltung rechtlicher Vorgaben motivieren dürfte. Wer glaubt, die Aufsichtsbehörden machen eh nichts und der EuGH sei auch nur eine Rechtsmeinung, dem sei diese Stunde empfohlen, um evtl. noch rechtzeitig bei kritischen Verarbeitungen gegensteuern zu können. Anmeldung erforderlich.

5.7.6 Kanzlei srd: Effektives Risikomanagement durch wirksame TOM – Herausforderung für Unternehmen

08.06.2022, 09:00 – 10:30 Uhr. Wie geht man mit den Risiken um, wie managed man die richtigen Maßnahmen. Informationen und Vorstellung des Tools caralegal. Anmeldung erforderlich.

5.7.7 Microsoft: “Compliance in a digital age”

14.-15.06.2022 – Auf der Veranstaltung (in Köln und online) werden verschiedene Aspekte rechtlicher Anforderungen und der jeweiligen Umsetzung in Produkte von MS behandelt. Programm und Anmeldehinweise finden Sie hier.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Microzensus mit Cloudflare

Mittels Microzensus erhofft sich der öffentliche Bereich aktuelle Zahlen für seine vorausschauenden Planungen. Früher hieß es Volkszählung (in der Bibel noch „Schätzung“) und seit dem Volkszählungsurteil des BVerfG immer etwas im Fokus datenschutzaffiner Bevölkerungsgruppen. Um den Aufwand gering zu halten, erfolgt es nun als „Micro“ nur bei einem Teil der Bevölkerung mit anschließender statistischer Hochrechnung. Nun fiel aber einem IT-Experten auf, dass bei der Online-Variante offenbar der Dienstleister Cloudflare eingebunden wird. Cloudflare? Da war doch was? Richtig: Im Frühjahr 2021 untersagte die portugiesische Datenschutzaufsicht dem dortigen Statistikamt die Einbeziehung von Cloudfare, weil eine ordnungsgemäße Drittstaatenübermittlung nicht gewährleistet sei (Bericht dazu hier). Was heißt das nun für den Microzensus? Bislang ist nur eine Aussage einer deutschen Aufsichtsbehörde zum Einsatz von Cloudflare bekannt, das ULD äußerte sich diesbezüglich im Jahr 2020 zu einem Einsatz einer Bildungsplattform. Die Datenschutzerklärung des Microzensus wurde nun auch erweitert um den Hinweis auf den Drittstaatentransfer, Zweck sei das Erfordernis Attacken wie z.B. DDOS abzuwehren. Wegen den seitens Cloudflare gesicherten Garantien wird dann auf deren Aussage verlinkt. Allerdings wird dabei betont, dass eine Weitergabe nicht die Befragungsdaten betreffe. Der BfDI sieht noch keine Gefahr, hat seine Prüfung aber noch nicht abgeschlossen. Eine Zusammenfassung finden Sie hier.

Franks Nachtrag: Der oben zitierte IT-Experte hat übrigens auch Alternativen europäischer Anbieter zu Cloudflare genannt.

zurück zum Inhaltsverzeichnis

6.2 Nichts zu verbergen? Und das entscheiden Sie? Was passiert beim Real-Time-Bidding?

Wer sich die Berichte und Auswertungen zur Versteigerung von Werbeanzeigen (RTB – Real-Time-Bidding) durchliest, kommt sicher ins Grübeln. Das Versteigern der Anzeigeplätze auf Basis der bisherigen Nutzungsgewohnheiten, Standortdaten und Cookies hinterlässt laut Angaben der irischen ICCL ein Bild von jedem Nutzer, bei dem uns nicht transparent ist, wo dies überall landet.

Franks Anmerkung: Déjà-vu? Ja, irgendwie schon. Aber es sind andere, auch lesenswerte Quellen, also …

zurück zum Inhaltsverzeichnis

6.3 Selbstbestimmte Identitäten

Auf was sollte man achten, wenn es um selbstbestimmte Identitäten im Netz geht und welche Einsatzszenarien sollten besser überdacht werden. Wer darauf eine Antwort will, sollte diesen Beitrag lesen.

Franks Anmerkung: Lesen Sie den Beitrag bis zum (inklusive dem) Fazit! Und dann entscheiden Sie weise über Ihre Zukunft. Ich habe in letzter Zeit selten einen so gruseligen, so gut verständlichen Ausblick und so relevanten Beitrag gelesen. Danke dafür @LilithWittmann (fürs Schreiben) und @Rudi (fürs Verlinken)!

zurück zum Inhaltsverzeichnis

6.4 Erst mitlesen, dann mitfahren – Uber ist dabei

Zunächst nur in Nordamerika will eine Onlinemitfahrzentrale „seinen Service“ laut diesem Bericht verbessern. 10% Rabatt bekommen Kunden, die ihre Gmail-Konten nach Reservierungsbestätigungen für Flüge, Hotels und Restaurants durchsuchen lassen, um dann dazu passende Fahrten angeboten zu bekommen. Na ja, Leute mit Gmail-Konten machen das ja vielleicht…

zurück zum Inhaltsverzeichnis

6.5 Umgehung von Sicherheitsmaßnahmen

Misstrauen Sie den Sicherheitsmaßnahmen Ihres Arbeitgebers? Dann gehören Sie laut einer Umfrage zu den 40% der Beschäftigten, die das auch tun. Demnach finden mehr als die Hälfte aller Mitarbeiter in Deutschland die Nutzung der IT-Security-Systeme zu kompliziert und zeitraubend (54%). Weil viele die IT-Sicherheitslösungen als zu umständlich ansehen, umgehen 55% der Mitarbeiter die Sicherheitsmaßnahmen ihres Unternehmens mindestens einmal pro Woche, um ihre Aufgaben zügiger zu erledigen. 17% sollen dies sogar täglich tun. Interessant sind auch die Aussagen der Studie zu dem zeitlichen Bedarf der Security-Lösungen. 42% der Beschäftigten bräuchten jeden Tag mindestens 10 Minuten, um die Anforderungen der Datensicherheit zu erfüllen, 9% sogar mehr als 30 Minuten. Durchschnittlich verbringt jeder Beschäftigte in Deutschland rund 13,5 Minuten täglich mit Cybersecurity-Maßnahmen. 71% der Befragten fühlen sich bei der Nutzung von Passwörtern wohl. Bei der Authentifizierung per Fingerabdruck seien es noch 61%, beim Gesichtsscan nur 46%. Hier überlagere sich das Vertrauen in die technische Sicherheit mit möglichen Bedenken hinsichtlich des Datenschutzes. Wer mal miterlebt hat, wie Kunden und das Management reagieren, wenn ein System aufgrund eines Sicherheitsvorfalls über Stunden, Tage, ja Wochen „steht“, wird den Aufwand für Sicherheitsmaßnahmen sicherlich als gut investiert betrachten.

zurück zum Inhaltsverzeichnis

6.6 Emotionsscanner in Videokonferenztool?

Natürlich könnte man auch schreiben: „Datenschutz bremst Innovation“, aber hier warnen laut Bericht Bürgerrechtler vor einem Emotionsscanner in dem Produkt bei Zoom.

zurück zum Inhaltsverzeichnis

6.7 Digitale Selbstverteidigung

Was kann ich selbst machen? Darüber berichtet eine Medienpädagogin und klicksafe-Mitarbeiterin im Podcast vom „DigitalFührerschein“ (ca. 20 Min), einem Angebot von „Deutschland sicher im Netz“.

zurück zum Inhaltsverzeichnis

6.8 Datenschutz als Wettbewerbsvorteil?

Ist nun die Einhaltung von Datenschutzanforderungen ein Wettbewerbsvorteil oder nicht? Während an etlichen Stellen in deutschen Marketingabteilungen noch auf Google & Co und auf Real-Time-Bidding (vgl. hier auch Ziffer 6.2) geschworen wird, bringt Apple eine neue Werbefigur (Sophie = Namensbedeutung: „Die Weise, die Wissende“) auf den Markt, die auf die datenschutzrechtlichen Eigenschaften der Produkte verweist. Natürlich macht auch Apple Werbung und ich bin sicher, auch da ist nicht alles koscher. Nur scheint diese Firma den markigen Worten auch Taten folgen zu lassen.

Franks Nachtrag: Mir gefällt dieser Artikel zum gleichen Thema besser. Außerdem wird in ihm auch auf ein Interview mit Apples Datenschutzbeauftragter verwiesen. Und wann lesen DSB denn sonst die Elle? Ich auf jeden Fall eher selten…

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 BzKJ: Gefährdungsatlas

Die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) hat den aktuellen „Gefährdungsatlas. Digitales Aufwachsen. Vom Kind aus denken. Zukunftssicher handeln“ veröffentlicht. Auf der Grundlage der Mediennutzungsrealität von Kindern und Jugendlichen gibt er Orientierung über 43 Medienphänomene, über die mit ihnen verbundenen potenziellen Gefährdungen sowie zum Teil auch über Entwicklungschancen für Kinder und Jugendliche. Weiter wird eine kinderrechtliche sowie pädagogische Einordnung zum möglichen Umgang mit den beschriebenen Phänomenen vorgenommen. Weil das einige sind, umfasst der Gefährdungsatlas auch 322 Seiten.

zurück zum Inhaltsverzeichnis

7.2 Tools für Unterrichtszwecke

Wer Tools für den Unterricht sucht, bei denen keine kommerziellen Interessen im Hintergrund stehen, findet auf der Seite der Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung https://kits.blog/ etwas.

Franks Anmerkung: Da fällt mir ja spontan auch eine Quelle ein…

zurück zum Inhaltsverzeichnis

7.3 Arbeitsblätter zu Videoclips zu „Datenschutz-leicht-erklärt“

Mit der Veröffentlichung von passenden Arbeitsblättern, die thematisch zu elf der Videoclips passen, die durch die Initiative „Datenschutz geht zur Schule“ in Zusammenarbeit mit vier Datenschutz-Aufsichtsbehörden entstanden sind, endet erst mal die aktive Arbeit am Teilprojekt „Datenschutz-leicht-erklaert.de“. Die Arbeitsblätter sind auf der Webseite neben den Videos hinterlegt und sowohl als gesamte Broschüre wie auch als einzelne, online bearbeitbare, PDF verfügbar. Die Broschüre kann auch bei den Kooperationspartner klicksafe bestellt werden. Gefördert wurde das Ganze freundlicherweise durch die DATEV-Stiftung Zukunft.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Die NSA versichert: Diesmal wirklich keine Hintertüren!

Nachdem das NIST im Jahr 2015 einen Verschlüsselungsalgorithmus beerdigen musste, da ihn die NSA unterwandert hatte, soll das laut diesem Bericht bei der Post-Quanten-Kryptografie nicht wieder passieren. Und passend dazu sagt dann der Chef der NSA, dass sie dieses Mal keine Backdoor eingebaut haben. Eher im Gegenteil haben sie die von anderen eingereichten Algorithmen geprüft und für gut befunden.
Na dann, läuft ja…. (Wer einmal lügt, lalalala…)
Wobei, Bruce Schneier glaubt ihm. Und ist trotzdem nicht wirklich positiv gestimmt. Nachzulesen hier.

zurück zum Inhaltsverzeichnis

8.2 Surveillance by Driverless Car

Nachdem ich mich ja weiter oben noch über die begrüßenswerte Einstellung unserer Bundesinnenministerin zur Überwachung im Zusammenhang mit der Chatkontrolle erfreut zeigte, bestätigt diese meldung wieder meine Vorurteile:
Strafverfolgungsbehörden in den USA, in denen mitunter auch ein Trend weg von zu viel Videoüberwachung festzustellen ist, haben eine neue Methode zur Videoüberwachung gefunden: Laut einem internen Trainingsdokument der Polizei von San Francisco haben sie bereits mehrfach Videoaufzeichnungen von autonom fahrenden Fahrzeugen in Ermittlungen genutzt.
Tja, wenn uns da mal jemand gewarnt hätte… Ach warte, wir waren ja gewarnt (siehe auch meinen Nachtrag)!

zurück zum Inhaltsverzeichnis

8.3 Endlich mal wieder: REvil (und Unterstützung)

Manchmal kommen sie wieder. Nein, nicht die aus der Stephen-King-Kurzgeschichte.
Die Menschen, die hinter REvil stecken, scheinen laut diesem Bericht wieder aktiv zu sein.
Das an und für sich wäre jetzt noch keine Meldung im Blog wert. Aber im Artikel wird die Seite ID-Ransomware verlinkt, auf der Hilfen für von Ransomware-Verschlüsselung befallene Systeme angeboten werden. Und diesen Link wollte ich doch gerne mit Ihnen teilen.

zurück zum Inhaltsverzeichnis

8.4 „Ad-Tech“-Firmen greifen persönliche Daten aus Webformularen ab

Einer Studie zufolge wurden die Top 100.000 Webseiten des Internets untersucht und bei 1.844 Webseiten wurde die E-Mail-Adresse (offensichtlich) europäischer Nutzer aus einem Formular ausgelesen und übermittelt, bevor dieses per Senden abgeschickt wurde. Bei 2.950 Webseiten passierte das gleiche, wenn es eine E-Mail-Adresse eines Nutzer aus den USA war. Manche Webseiten erfassten auch das Passwort, bevor es versandt wurde. Mitunter waren es aber nicht die Webseiten selbst sondern eingebundene Dienste von Drittanbietern (wie unter anderem Facebook), die diese Daten erfassten und übermittelten. Wenn Sie mehr Details dazu lesen wollen, klicken Sie hier oder hier.
Ich wiederhole mich regelmäßig: Schöne neue Welt, in der wir leben…

zurück zum Inhaltsverzeichnis

8.5 Google Map Surveillance

Google Maps Adds Shortcuts through Houses of People Google Knows Aren’t Home Right Now.
Tatsächlich ist das nur eine Satire. The Onion halt… Wobei, wer weiß, wie lange das nun dauert, bis das von irgend jemandem in der Realität entwickelt wird.

zurück zum Inhaltsverzeichnis

8.6 Wenn das iPhone aus ist, ist es aus, oder?

Im Prinzip ja, aber…
Tatsächlich erwarten wir das. Forscher haben jetzt einen Weg gefunden, wie es trotzdem möglich ist, Malware auf einem iPhone einen Neustart des Systems überstehen zu lassen. Eine Voraussetzung, dass dieser Angriff funktioniert, wäre, dass das zu übernehmende iPhone bereits gejailbreaked ist. Und da das eher selten der Fall ist, ist die ganze Diskussion bisher eher theoretischer Natur. Aber es zeigt mal wieder schön, dass wenn nur genügend Leute ihren Gedanken freien Lauf lassen, so ziemlich alles angreifbar wird und es absolute Sicherheit nicht gibt. Deswegen sind ja auch Überlegungen zum Zero-Trust-Security-Model so populär.

zurück zum Inhaltsverzeichnis

8.7 The First Geek

Das ist doch mal ein wirklich lesenswerter Artikel:
Nikola Tesla, das vergessene Genie, welches unsere Zukunft erfunden hat.

zurück zum Inhaltsverzeichnis

8.8 Bam!! In your face!

Habe ich ein neues T-Shirt-Motiv gefunden? Nein, das muss ich nicht kaufen.
Aber dieser offene Brief zur Zukunft des Datentransfers zwischen der EU und den USA…
Der ist: Bam!! In your face!
Hoffentlich muss es nicht erst zu Schrems III kommen.

zurück zum Inhaltsverzeichnis