Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21/2022)“

Hier ist der 39. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21/2022)“.

  1. Aufsichtsbehörden
    1. Norwegen: Datenschutz-Folgenabschätzung zu Facebook-Fanpages
    2. Ungarn: Bußgeld wegen Einsatzes einer KI bei Anrufanalyse durch eine Bank
    3. Österreich: FAQ zum Cookie-Einsatz
    4. Belgien: Bußgeld gegen Pressunternehmen wegen unzureichender Cookie-Einbindung
    5. ICO: Bußgeld i.H.v. 7,5 Mio. £ gegen Clearview AI
    6. Berlin: Tätigkeitsbericht für 2021
    7. Sachsen: Tätigkeitsbericht für 2021
    8. LfD Bayern: Tätigkeitsbericht für 2021
    9. USA: Strafzahlung von Twitter aufgrund intransparenter Nutzung von Daten zu Werbezwecken
  2. Rechtsprechung
    1. AG Köln: Verwendung der E-Mail-Adressen der Beschäftigten durch Gewerkschaft
    2. OLG Koblenz: Schadenersatz aufgrund versehentlicher Meldung an Schufa
    3. EuGH: Umfang des Auskunftsanspruchs hinsichtlich der Empfänger
  3. Gesetzgebung
    1. EU-Überwachung
    2. EU: Chatüberwachung
    3. EU-KOM: FAQ zu den SCC
    4. Automatisiertes Fahren und der Datenschutz
    5. Bayern im Bundesrat: Änderungen im BDSG angeregt
  4. Künstliche Intelligenz und Ethik
    1. Bayerischer Digitalpreis: Beitrag zur ethische Softwareentwicklung
  5. Veröffentlichungen
    1. noyb: Offener Brief zum Drittstaatentransfer in die USA („Schrems II“)
    2. Informationsplichten mit bionic reading?
    3. Fragen zur Verantwortlichkeit bei Telematikdiensten in Arztpraxen
    4. Inversive Transparenz
    5. Consent-o-matic für Firefox
    6. Cloudflare jetzt mit CoC
    7. „PICASSO“ hat nicht nur etwas mit Kunst zu tun
    8. Veranstaltungen
      1. Webcast zu Whistleblowing: Das geplante Hinweisgeberschutzgesetz und was Unternehmen jetzt beachten müssen
      2. Deutscher EDV-Gerichtstag – Online-Workshop zur IT-Sicherheit: Braucht die Justiz einen gemeinsamen Rahmen
      3. nuernberg.digital: IT und Ethik – Digitale Verantwortung leben
  6. Gesellschaftspolitische Diskussionen
    1. Datenpanne bei Arbeitsagentur
    2. Datenschutz und Bildungsangebote
    3. Legal-Tech-Geschäftsführer gesucht
    4. Fake News – Oder: Nicht alles ist (Parmesan-)Käse
    5. Klage gegen Facebook-CEO
  7. Sonstiges / Blick über den Tellerrand
    1. Wohlbefinden ohne Social Media
  8. Franks Zugabe
    1. Cyberangriffe, Hackerangriffe – Übersichten, Beispiele, Statistik
    2. Statement zum 4. Jahrestag der DSGVO
    3. … macht harmlose Sätze zu Pornotiteln
    4. Computerspielsucht und Heilung
    5. Drehstuhlschnittstelle
    6. “Does your mother know I’m here?” ~ said The Cat in The Hat, according to a freak named Seuss. (And he said it in a real creepy voice)
    7. Geschichtsklitterung?
    8. „Die chemische Keule“
    9. Immer dieser Datenschutz…
    10. Aufstieg und Fall der NFT – Unkenntnis und Hype als Brandbeschleuniger eines Strohfeuers



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 Norwegen: Datenschutz-Folgenabschätzung zu Facebook-Fanpages

Dass Facebook-Fanpages auch aus Datenschutzsicht nicht die beste Idee sind, sollte sich herumgesprochen haben. Die deutschen Aufsichtsbehörden monieren eine unzureichende Vereinbarung nach Art. 26 DS-GVO zu der gemeinsamen Verantwortlichkeit und eine unzureichende Information nach Artt. 13, 14 DS-GVO gegenüber den betroffenen Personen. In Norwegen überlegte auch die dortige Aufsichtsbehörde Facebook für sich selbst zu nutzen und hat dazu eine Datenschutz-Folgenabschätzung durchgeführt und das alles im Jahr 2021 veröffentlicht. In ihren Einleitungen geht sie auch auf die entsprechenden Urteile des EuGH dazu ein. Sollte es dazu jetzt in Deutschland Sanktionen geben, kann die gerade veröffentlichte Guideline 04/2022 schon mal einem Praxistest unterzogen werden.

zurück zum Inhaltsverzeichnis

1.2 Ungarn: Bußgeld wegen Einsatzes einer KI bei Anrufanalyse durch eine Bank

Kundenzufriedenheit ist wichtig. Moderne Technik macht es möglich: Zur Verbesserung der Kundenzufriedenheit zeichnen Sie alle Anrufe bei der Service-Hotline auf. Jede Nacht analysiert eine Software automatisch alle neuen Audioaufnahmen. Die Software verwendet künstliche Intelligenz, um Schlüsselwörter zu finden, und errät den emotionalen Zustand des Kunden zum Zeitpunkt des Anrufs. Das Ergebnis der Analyse wird zusammen mit dem Sprachanruf innerhalb des Systems der Software für 45 Tage in Verbindung mit dem Telefonanruf gespeichert. Das Ergebnis der Analyse ist eine Liste von Personen, sortiert nach der Wahrscheinlichkeit von Unzufriedenheit und Wut basierend auf der Audioaufzeichnung des Service-Telefonanrufs. Basierend auf dem Ergebnis der Analyse markieren Mitarbeiter Kunden, die vom Kundendienst angerufen werden sollen, um ihre Gründe für die Unzufriedenheit zu bewerten. Das verbessert sicher in vielen Fällen die Kundenzufriedenheit – bringt aber auch wie in Ungarn 650.000 Euro Bußgeld gegen eine Bank, die genau das praktiziert hat.
Es fehlte die Information der betroffenen Personen, ein Widerspruchsrecht konnte nicht ausgeübt werden und die Folgenabschätzung zeigte zwar ein hohes Risiko für die betroffenen Personen, aber keine wirksamen Maßnahmen, um dieses Risiko einzudämmen.

zurück zum Inhaltsverzeichnis

1.3 Österreich: FAQ zum Cookie-Einsatz

Die österreichische Datenschutzbehörde veröffentlichte eine FAQ-Liste zum Einsatz von Cookies. Auch wenn die Umsetzung der zugrundeliegenden europäischen Richtlinien Aufgabe der einzelnen Mitgliedsstaaten ist, hilft es doch bei der Auslegung zu sehen, wie andere Aufsichtsbehörden dies interpretieren.

zurück zum Inhaltsverzeichnis

1.4 Belgien: Bußgeld gegen Pressunternehmen wegen unzureichender Cookie-Einbindung

Gegen die Roularta-Pressegruppe wurde ein Bußgeld in Höhe von 50.000 Euro verhängt, weil Cookies ohne Einwilligung gesetzt wurden, die Informationen unzureichend waren und Kästen vorangekreuzt wurden. Auch konnten Einwilligungen nicht so leicht widerrufen werden. Nach Ansicht der belgischen Aufsicht sind auch statistische Zählungen der Webseitenbesucher einwilligungsbedürftig.

zurück zum Inhaltsverzeichnis

1.5 ICO: Bußgeld i.H.v. 7,5 Mio. £ gegen Clearview AI

Die Firma Clearview AI nutzt Bilder aus dem Netz, um damit Personen weltweit zu identifizieren. Regulatorische Vorgaben scheinen dabei nicht zu stören. Dies sieht die englische Datenschutzaufsicht anders und kündigt ein Bußgeld in Höhe von 7,5 Mio. £ (ca. 8,8 Mio. Euro) an.

zurück zum Inhaltsverzeichnis

1.6 Berlin: Tätigkeitsbericht für 2021

Auch wenn es in Berlin immer noch keine Nachfolgeregelung für die im letzten Jahr ausgeschiedene bisherige Beauftragte für Datenschutz und Informationsfreiheit gibt, den Tätigkeitsbericht für das Jahr 2021 gibt es trotzdem. Wie in jedem Tätigkeitsbericht finden sich auch hier Highlights der Anfragen, wie z.B. die Ausführungen zu dem Vorgehen einer Bank, die ihre Kunden informiert, dass sie nun die Zahlungsbewegungen und dabei anfallenden Informationen auch für Werbemaßnahmen nutzen wollen. Nach Aussagen im Tätigkeitsbericht (Ziffer 10.1.) sieht hier die Aufsicht keine Grundlage auf Basis einer Zulässigkeit einer Direktwerbemaßnahme über eine Interessensabwägung. Zahlungsverkehrsdaten und Daten über die Nutzung des Online-Angebots einer Bank dürften nur mit Einwilligung der Betroffenen für Werbezwecke verwendet werden. Der Beratungsfall scheint aber noch nicht abgeschlossen.

zurück zum Inhaltsverzeichnis

1.7 Sachsen: Tätigkeitsbericht für 2021

Unterschätzt die sächsische Aufsicht nicht. So finden sich beispielsweise unter Ziffer 2.2.4 Ausführungen im Tätigkeitsbericht für 2021, unter welchen Rahmenbedingungen Forschungsvorhaben zur Analyse des Fahrverhaltens von E-Scootern mittels Videobeobachtung in realen Verkehrssituationen (begrenzter Streckenabschnitt) genauer erforscht werden können. Offizielle hieß das dann „Wissenschaftliche Begleitung der Teilnahme von Elektrokleinstfahrzeugen am Straßenverkehr“. Und allein die Vorstellung von Videoaufnahmen im öffentlichen Raum von zahlreichen Verkehrsteilnehmern, noch dazu bei einer Unfallsituation evtl. noch Daten, die Art. 9 Abs. 1 DS-GVO zugerechnet werden können, klingt (für Datenschützer:innen) spannend, auch wenn das Forschungsvorhaben so heren Zielen wie der Verkehrsunfallforschung dient. Auf Basis der Beratung der sächsischen Datenschutzaufsicht konnte eine rechtskonforme Umsetzung konzipiert werden und – so viel sei vorweggenommen – es erreichte die Aufsicht auch keine einzige Beschwerde einer betroffenen Person dazu.

zurück zum Inhaltsverzeichnis

1.8 LfD Bayern: Tätigkeitsbericht für 2021

Auch der LfD Bayern berichtet über seine Tätigkeit im Jahr 2021. In seiner Presserklärung betont er schon einige Höhepunkte daraus. Er geht aber auch auf eine Fragestellung ein, bei der er seine bisherige Bewertung auf Basis der Veröffentlichung der Guideline 07/2020 korrigierte: Inwieweit ein Auftragsverarbeiter für Kontrollmaßnahme des Auftraggebers eine Vergütung verlangen kann (Ziffer 2.3), weil dies letztendlich eine zivilrechtliche Frage der Vereinbarung zwischen Auftraggeber und Auftragnehmer darstelle. Er empfiehlt daher öffentlichen Stellen diesbezüglich die eigenen Vorstellungen in die Ausschreibung zu berücksichtigen.
Nicht nur vor dem Hintergrund der für die Grundsteuerreform erforderlichen Angaben, ist die Frage des Personenbezugs eine interessante Fragestellung. Bezogen auf ein konkretes Grundstück sei eine Flurstücksnummer selbst ein personenbezogenes Datum. Im Hinblick auf weitere sich auf das Grundstück beziehende Informationen diene sie als individualisierendes Identifikationsmerkmal (vgl. Ziffer 6.2.1.2).
Kannte ich bislang die Bezeichnung „Ersetzenden Scannens“ für die Übernahme von Daten aus einem Papierformat in ein digitales Format in einer so vertrauensvollen Weise, dass das originale (Papier)-Dokument vernichtet werden könne (vgl. BSI TR 03138 – RESISCAN), lernte ich nun das „Ersetzende Drucken“ (unter Ziffer 10.6). Dabei wird bei einer papiergebundenen Aktenführung die elektronische Form einer E-Mail ersetzend in ihre papiergebundene Form überführt. Die öffentliche Stelle muss analog zum Scannen sicherstellen, dass der Ausdruck inhaltlich mit der E-Mail übereinstimmt. Der auf dem Ausdruck enthaltene Name der ausdruckenden Person ermögliche es im Zweifelsfall bei dieser nachzufragen bzw. möglichen Unstimmigkeiten gezielt nachzugehen und stelle dadurch einen wichtigen, mit der E-Mail fest verbundenen Hauptbestandteil des Transfervermerks „ersetzendes Drucken“ dar. Allerdings wurde durch den LfD Bayern der betroffenen öffentlichen Stelle aufgetragen risikoorientiert zu prüfen und zu bewerten, ob in den dargestellten Konstellationen die Beschäftigtenangaben in einer datenschutzfreundlicheren, etwa pseudonymisierten Form verarbeitet werden könnten.

zurück zum Inhaltsverzeichnis

1.9 USA: Strafzahlung von Twitter aufgrund intransparenter Nutzung von Daten zu Werbezwecken

Während sich in Deutschland Industrievertreter anlässlich des Jahrestages der Einführung der DS-GVO in fast schon ritualartigen Aussagen wieder über strenge Auslegung durch Aufsichtsbehörden beklagten, werden Verstöße anderswo ohne viel Jammern einfach sanktioniert. So habe sich Twitter laut Berichten bereit erklärt, 150 Millionen Dollar an die US Federal Trade Commission (FTC) zu zahlen, um die Vorwürfe auszuräumen, dass es nicht-öffentliche Informationen, die zu Sicherheitszwecken gesammelt wurden, für gezielte Werbung missbraucht habe.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 AG Köln: Verwendung der E-Mail-Adressen der Beschäftigten durch Gewerkschaft

Hat eine Gewerkschaft Anspruch gegen einen Arbeitgeber, über alle E-Mail-Adressen alle Beschäftigten zu adressieren, oder reicht es aus, wenn sie zur Darlegung ihrer Informationen intern eine Seite im Intranet mit ihren Informationen gestalten darf. Nein, meint das Arbeitsgericht Köln, es wägt ab zwischen dem Interesse der Gewerkschaft, die Beschäftigten zu informieren, und dem Interesse des Arbeitgebers, dass jede beschäftigte Person möglichst wenig durch solche E-Mails während der Arbeitszeit abgelenkt würde. Da die interessierten Beschäftigen diese Infos ebenso über die Intranetseite wahrnehmen können, wären E-Mails zur Wahrnehmung der Rechte aus Art. 9 Abs. 3 Grundgesetz (Vereinigungsfreiheit der Gewerkschaften) nicht erforderlich.

zurück zum Inhaltsverzeichnis

2.2 OLG Koblenz: Schadenersatz aufgrund versehentlicher Meldung an Schufa

Das OLG Koblenz sprach einen immateriellen Schadenersatz in Höhe von 500 Euro zu, weil für eine Einmeldung an die Schufa eine Grundlage fehlte. Die Forderung war streitig und noch nicht tituliert, so dass eine Einmeldung nicht hätte erfolgen dürfen. Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO sei – europarechtlich autonom und die in den Erwägungsgründen zur DSGVO niedergelegten Zielsetzungen aufnehmend – weit auszulegen. Der immaterielle Schadensersatzanspruch nach Art. 82 DSGVO bestimme sich der Höhe nach unter Berücksichtigung seiner Funktion zum Ausgleich, zur Genugtuung und zur Generalprävention. Die Höhe müsse berücksichtigen, dass die Einmeldung von Zahlungsstörungen auch im Verbraucherinteresse liegt, so dass die Verantwortlichen durch die Höhe des immateriellen Schadensersatzes nicht gänzlich davon abgehalten werden dürfen Einmeldungen vorzunehmen. Die Revision wurde zugelassen, auch weil wesentliche Fragen bereits dem EuGH vorliegen.

zurück zum Inhaltsverzeichnis

2.3 EuGH: Umfang des Auskunftsanspruchs hinsichtlich der Empfänger

Für den 8. Juni 2022 ist die Stellungnahme des Generalanwalts in der Rechtssache C-154/21 angekündigt, inwieweit die Angabe der Kategorien der Empfänger ausreicht und ab wann jeder konkrete Empfänger aufgeführt sein sollte.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 EU-Überwachung

Während es zu den Maßnahmen gegen Gewalt gegen Kinder bereits einen Gesetzesentwurf gibt, bei dem die Überwachung von Messengerdiensten vorgesehen wäre, gibt es wohl auch noch Aktivtäten, die den Aufbau einer EU-Behörde in den Haag vorsehen. Diese „EU-Centre“ soll Berichten zufolge ein Datennetz mit Knoten in allen Mitgliedsstaaten aufbauen und betreiben. Man nennt es „Pilotprojekt,“ obwohl zu einer rechtlichen Grundlage gerade erst die Diskussion begonnen hat.

zurück zum Inhaltsverzeichnis

3.2 EU: Chatüberwachung

Laut den ersten Reaktionen seitens der Bundesinnenministerin, des Bundesministers für Digitales und Verkehr und des Bundesjustizministers würden diese die geplanten Überwachungsmaßnahmen von elektronischen Kommunikationsmitteln nicht mittragen bzw. sehen diese skeptisch.

zurück zum Inhaltsverzeichnis

3.3 EU-KOM: FAQ zu den SCC

Natürlich könnte man jetzt darauf hinweisen, dass die Bezeichnung der SCC (Standard Contractual Clauses) in der DS-GVO nur für die vertraglichen Formulierungen bei einer Auftragsverarbeitung in Art. 28 Abs. 7 DS-GVO verwendet werden und im Drittstaatentransfer in Art. 46 Abs. 2 lit. c DS-GVO es nun ja Standard Data Protection Clauses heißt. Aber es passt ins Bild, wenn die EU-KOM auf dieser Ebene wenig Sorgfalt zeigt. Jedenfalls hat sie dies nicht davon abgehalten, nun FAQ zu SCC zu veröffentlichen und zwar zu beiden vertraglichen Formulierungen nach Art. 28 Abs. 7 und Art. 46 Abs. 2 lit. c DS-GVO.
Wem das noch nicht reicht: Unter III: Ziffer 24 werden weitere SCC angekündigt für Controller und Processor, die der DS-GVO unterliegen.

zurück zum Inhaltsverzeichnis

3.4 Automatisiertes Fahren und der Datenschutz

Graut Ihnen auch schon vor den datenschutzrechtlichen Fragestellungen der automatisierten Fahrten, die dabei auftauchen können? Evtl. werden diese Sorgen kleiner, wenn Sie den Entwurf einer Verordnung zur Regelung des Betriebs von Kraftfahrzeugen mit automatisierter und autonomer Fahrfunktion und zur Änderung straßenverkehrsrechtlicher Vorschriften lesen. In § 12 Abs. 1 Nr. 7 sieht dieser nämlich u.a. eine entsprechende Datenschutz-Folgenabschätzung vor.

zurück zum Inhaltsverzeichnis

3.5 Bayern im Bundesrat: Änderungen im BDSG angeregt

Kaum öffnen in Bayern wieder die Bierzelte, liefert die Politik die passenden Themen: „Lasst uns doch den Datenschutz angehen!“. Zumindest drängt sich mir dieser Eindruck auf, als ich den Antrag Bayerns im Bundesrat las, der eine Evaluierung des Datenschutz-Anpassungs- und Umsetzungsgesetzes anregt. Scheinbar fehlgeleitet von der Idee, wenn es weniger Datenschutzbeauftragte gäbe, reduziere sich auch der Aufwand für Vereine und KMU, wird beispielsweise gefordert die Benennungsgrenze in Deutschland anzuheben. Zwar ist Deutschland eines der wenigen Länder, die weitere Benennungsvorgaben für Datenschutzbeauftragte eingeführt haben – wir sind aber auch eines der wenigen Ländern, bei denen ein Instagram-Account ausreicht, um als digital versiert und ministrabel zu gelten. Auch der Verzicht auf ein Verzeichnis der Verarbeitungstätigkeiten würde für KMU nach hinten losgehen, wenn sie dann nämlich Sanktionen und Schadensersatzansprüchen ausgesetzt wären, weil sie Betroffenenrechte nicht mehr umfassend und fristgerecht erfüllen könnten. Auch verwundert der Wunsch, dass die Zusammenarbeit der Datenschutzaufsichtsbehörden nicht durch Mehrheitsentscheidungen zu einheitlichen Auslegungen ermöglicht werden soll, hört man doch sonst immer die Klage, dass unterschiedliche Interpretationen bundesweit agierenden Unternehmen eine Rechtsumsetzung erschwerten. Aber wahrscheinlich sind diese Differenzierungen im Bierzelt sowieso nicht mehr vermittelbar. Nachvollziehbarer wirken dann schon die Ausführungen, die sich gegen ein eigenes Beschäftigten-Datenschutzgesetz aussprechen. Bei der Forderung nach den Zuständigkeitsregelungen künftiger Vorgaben, hier die jeweiligen Landesdatenschutzaufsichten einzubeziehen, verwundert es nur, wenn man sieht, dass diese bereits jetzt personell vollkommen unzureichend für bestehende Aufgaben ausgestattet wurden.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Bayerischer Digitalpreis: Beitrag zur ethische Softwareentwicklung

In Bayern gibt es eine Ausschreibung für einen Bayerischen Digitalpreis, bei dem sich Initiativen und Projekte bewerben können und bei dem bis 30. Mai 2022 über die Favoriten der verschiedenen Kategorien abgestimmt werden kann. Dabei ist auch ein Projekt, bei dem es um eine KI unterstützte ethische Softwareentwicklung geht.
(Interessant finde ich auch das auf der Webseite verwendete Cookie-Banner, das darauf hinweist, dass die Webseite technisch notwendige Cookies verwendet und dies mit zwei Auswahl-Buttons „ok“ und „ablehnen“ „bestätigt“ werden kann.)

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 noyb: Offener Brief zum Drittstaatentransfer in die USA („Schrems II“)

Die österreichische NGO noyb hat in einem offenen Brief an die aus seiner Sicht relevanten Stakeholder in Europa seine Vorstellungen und Hinweise zu einer Neuregelung des transatlantischen Datentransfers in die USA formuliert.

Franks Nachtrag: Like I said: Bam!! In your face!

zurück zum Inhaltsverzeichnis

5.2 Informationsplichten mit bionic reading?

Bei bionic reading wird der Beginn eines Wortes hervorgehoben, das Gehirn wird stimuliert, das Wort gedanklich schon zu vollenden, bevor es zu Ende gelesen wird. Dadurch wird die Lesegeschwindigkeit erhöht, aber – und das sollte ja wichtiger sein – auch das Verständnis gefördert. Es gibt sogar schon Apps dazu. Ich bin gespannt, wann ich die ersten Nutzungsbedingungen und Datenschutz-Informationen für die jeweiligen Zielgruppen mit bionic reading finden werde.

zurück zum Inhaltsverzeichnis

5.3 Fragen zur Verantwortlichkeit bei Telematikdiensten in Arztpraxen

Ein Gesetz schreibt die Nutzung vor, ein Hersteller liefert die technische Ausrüstung, die zwingend zu verwenden ist – wer ist datenschutzrechtlich der Verantwortliche, wenn es dabei Mängel gibt? Von wegen, Datenschützer würden nur Excel-Listen entwerfen. Das sind praxisnahe Fragen, die eine Reihe von Haftungsrisiken beinhalten, und die sich aktuell Ärzte stellen, die laut dieser Meldung die geforderte Technik einsetzen und bei denen es Schwachstellen hinsichtlich der Log-Daten der sogenannten Konnektoren gab.

zurück zum Inhaltsverzeichnis

5.4 Inversive Transparenz

Wie schaffen wir es die Nutzung von Daten, insbesondere von Beschäftigtendaten, unter Wahrung des Rechts der informationellen Selbstbestimmung zu fördern? Dazu gab es ein – wieder mal – mit Forschungsmitteln gefördertes Projekt, an dem sich auch die Software AG mit einem Praxislaboratorium beteiligte. Bislang sei die Diskussion um die Datenökonomie durch schwarz-weiß-Bilder dominiert worden und nun solle ein Perspektivenwechsel vollzogen werden. „Inverser Transparenz“ soll die Stärkung von Datensouveränität und Datenschutz einerseits und die intelligente Nutzung von Daten für digitale Innovation und Wertschöpfung andererseits zusammenbringen. Das Konzept sei ebenso voraussetzungsvoll wie vielversprechend und – mit Blick auf die Corona-Pandemie, in deren Folge die Digitalisierung von Arbeit einen enormen Schub erhalten hat – aktueller denn je. Der Forschungsbericht dazu wurde nun veröffentlicht.

zurück zum Inhaltsverzeichnis

5.5 Consent-o-matic für Firefox

Ich habe ihn noch nicht selbst ausprobiert, bin aber gespannt, ob er sich durchsetzt: Ein Consent-o-matic, der als Add-On im Firefox-Browser gemäß den seitens des Nutzers voreingestellten Einwilligungen in entsprechende Zwecke „einwilligt“ – oder eben nicht. Entwickelt wurde dieses Add-On von Beschäftigten der Aarhus University in Dänemark. Dazu werteten sie 680 Pop-ups aus und unterteilten die dabei angegebenen Zwecke in fünf Kategorien, zu denen eingewilligt oder die Einwilligung verwehrt werden soll. Wenn die Kategorien nicht ganz passen, wird im Zweifel die datensparsamere Lösung gewählt.

Franks Anmerkung: Ich werde das Add-On wohl testen, aber: Erste Kritiken fallen eher negativ aus…

zurück zum Inhaltsverzeichnis

5.6 Cloudflare jetzt mit CoC

Im Rahmen des Microzensus kam der US-Dienstleister in den Fokus der Betrachtung (wir hatten hier schon dazu berichtet). Nun ist Cloudflare dem EU Cloud Code of Conduct beigetreten, der im Jahr 2021 durch die belgische Aufsicht genehmigt wurde und durch so Trust-Giganten wie Alibaba, Microsoft, Oracle und Salesforce verfasst wurde. Die Rolle des „monitoring“ body“ übernimmt Scope Europe*. Der Drittstaatentransfer ist davon bislang nicht umfasst.

* Franks Nachtrag: Wenn man sich den hinter Scope Europe liegenden Verein anschaut, drängt sich der Eindruck auf, als ob da der Bock zum Gärtner gemacht wurde…

zurück zum Inhaltsverzeichnis

5.7 „PICASSO“ hat nicht nur etwas mit Kunst zu tun

War mir aber auch neu: Mit dem Akronym für _P_rivacy, _I_nfoSec, _C_ulture, _C_hange, _A_wareness, _S_ocietal, _O_rganisation wird eine Preisverleihung umschrieben, bei der Umsetzungen von „Privacy“-Anforderungen ausgezeichnet werden. Insgesamt gibt es 16 Kategorien, um die man sich bis 26. August 2022 bewerben kann – oder vorgeschlagen wird.

zurück zum Inhaltsverzeichnis

5.8 Veranstaltungen

5.8.1 Webcast zu Whistleblowing: Das geplante Hinweisgeberschutzgesetz und was Unternehmen jetzt beachten müssen

01.06.2022, 11:00 – 11:45 Uhr: In diesem Webcast werden anlässlich der voraussichtlich unmittelbar bevorstehenden Einführung des Hinweisgeberschutzgesetzes die wesentliche Inhalte des Gesetzes vorgestellt und es wird aufgezeigt, worauf sich Arbeitgeber einstellen müssen. Anmeldung erforderlich.

5.8.2 Deutscher EDV-Gerichtstag – Online-Workshop zur IT-Sicherheit: Braucht die Justiz einen gemeinsamen Rahmen

03.06.2022, Ab 09:00 Uhr: Die Bedeutung und Aktualität des Themas IT-Sicherheit ist allgemein anerkannt. Horrorszenarien wie Hackerangriffe auf sensible Daten schrecken jede und jeden in der Justiz auf. Trotzdem muss man ohne Wertung und rein objektiv feststellen, dass die Standards der IT-Sicherheit in der Justiz in den Bundesländern unterschiedlich gesetzt und mit unterschiedlichen Prioritäten belegt sind.
Mit diesem (ersten) Workshop zur IT-Sicherheit möchte der Deutsche EDV-Gerichtstag einen Beitrag dazu leisten eine Informationssicherheitsleitlinie (IT-Rahmensicherheitskonzept) für alle Bundesländer zu erarbeiten. Der Tradition des Vereins folgend, sollen dabei die Stimmen aus Wissenschaft und Forschung ebenso Gehör finden wie die der anwendenden Praxis. In vielen Bereichen sind erste oder auch schon weitergehendere Schritte unternommen worden. Anmeldung erforderlich.

5.8.3 nuernberg.digital: IT und Ethik – Digitale Verantwortung leben

12.07.2022, 16:00 – 17:00 Uhr: Was ist uns bei neuen Technologien wichtig? Wir nutzen zahlreiche digitale Produkte. Wir wollen selbstbewusst handeln und entscheiden. Wie behalten wir einen guten Überblick? Wo wollen wir Kommunikation automatisieren, zum Beispiel mit Chatbots? Wo bleibt der Austausch mit einem Menschen unersetzbar? Datenethik beschäftigt sich damit – und mit zahlreichen weiteren Fragen. Wie geht die DATEV eG mit diesen Fragen um und welche Einschätzung haben die Besucher an diesem Abend? Nur vor Ort und mit Anmeldung.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Datenpanne bei Arbeitsagentur

Die Ursache ist noch nicht ganz geklärt, die Agentur spricht dem Bericht nach von einem technischen Fehler nach einer Softwareänderung. Jedenfalls konnten Kunden (früher hießen diese Arbeitssuchende) auf Daten anderer Kunden zugreifen, wie hier zu lesen ist. Nicht nur der BfDI ist auf die dazugehörende Meldung nach Art. 33 DS-GVO gespannt.

zurück zum Inhaltsverzeichnis

6.2 Datenschutz und Bildungsangebote

Während sich bei uns noch engagierte Eltern darüber aufregen, dass ihre Kinder nicht bereits mit M365 in Baden-Württemberg auf die Arbeitswelt vorbereitet werden (z.B. Diskussion auf LinkedIn), ist in den USA das Bewusstsein bezüglich der Nutzung von Kinderdaten bei Bildungs-Apps scheinbar etwas weiter. Zumindest wenn man den Bericht über die Verwendung der Schülerdaten durch eine Lern-App liest.
Übrigens findet sich hier eine Auflistung von denkbaren Alternativen zu M365 im Bildungsbereich. So richtig „alternativlos“ scheint es also hinsichtlich des „Zwangs“ zu M365 nicht so sein – eher phantasielos. Lässt sich auch schon bei diesem Vortrag über die Bildungsplattform in Baden-Württemberg erahnen.

zurück zum Inhaltsverzeichnis

6.3 Legal-Tech-Geschäftsführer gesucht

Die gemeinnützige UnternehmerTUM GmbH unterstützt Unternehmensgründungen zu innovativen Geschäftsideen. Nicht nur aufgrund des Namens bestehen enge Verbindungen zur Universität in München. Zum Aufbau einer Legal Tech Colab wird nun eine Persönlichkeit zur Übernahme der Geschäftsführungsaufgaben gesucht.

zurück zum Inhaltsverzeichnis

6.4 Fake News – Oder: Nicht alles ist (Parmesan-)Käse

Es klingt wie eine Geschichte aus der Impf-Schwurbler-Ecke: kleine Chips in Käse-Stücken. Diese verwenden laut Bericht italienische Käsehersteller, um bei Produkten, die regional geschützt sind, eine örtlich Nachvollziehbarkeit sicherzustellen.

zurück zum Inhaltsverzeichnis

6.5 Klage gegen Facebook-CEO

Es ist nichts Neues: Die Transparenz von Facebook gegenüber den Nutzern ist alles andere, nur nicht transparent. Im Fall Cambridge Analytica hatte eine Analysefirma Zugriff auf einige Daten von Millionen Facebook-Nutzern bekommen, ohne dass es denen bewusst war. Die Firma hatte eine Umfrage veröffentlicht, an der einige Facebook-Nutzer teilnahmen. Doch dank der damaligen Privatsphäre-Einstellungen bekam sie auch Zugang zu einigen Informationen ihrer Facebook-Freunde. Als das bekannt wurde, geriet Facebook unter massive Kritik und gelobte Besserung beim Datenschutz. US-Ermittler machen Berichten zufolge nun einen neuen Anlauf, um Facebook-Gründer Mark Zuckerberg im Datenschutz-Skandal um Cambridge Analytica persönlich zur Verantwortung zu ziehen. Zuckerberg sei als Facebook-Chef direkt an Entscheidungen beteiligt gewesen, die zu dem Skandal geführt hätten, argumentieren sie. Mal sehen, wie es ausgeht. Auch Wirtschaftszeitungen interessieren sich dafür, aber wohl nur, weil der Aktienkurs dadurch beeinflusst wird.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Wohlbefinden ohne Social Media

Wer auf Social Media verzichtet, steigert sein Wohlbefinden – zumindest ist das das Ergebnis einer Studie, bei der sich die Probanden eine Woche lang im Verzicht übten und über die hier berichtet wird. Für die Studie arbeiteten die Forschenden mit 154 Personen, die zwischen 18 und 72 Jahren alt waren und nach eigenen Angaben täglich soziale Medien nutzten – durchschnittlich acht Stunden pro Woche. Mit Hilfe standardisierter Fragebögen ermittelten die Forschenden Grundwerte für Angst, Depression und Wohlbefinden.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Cyberangriffe, Hackerangriffe – Übersichten, Beispiele, Statistik

Das ist ja mal eine informative Seite…

zurück zum Inhaltsverzeichnis

8.2 Statement zum 4. Jahrestag der DSGVO

Wer hat an der Uhr gedreht? Ist es wirklich schon so spät?
(Na, denken Sie nun auch an Paulchen Panther?)
Während manche die DS-GVO zurückdrehen wollen (siehe 3.5), feierte die DSGVO in der KW 21 ihren 4. Geburtstag. Passend dazu ein kämpferisches Statement einer durchaus regen NGO.
Da kann ich nur sagen: Weiter so!

zurück zum Inhaltsverzeichnis

8.3 … macht harmlose Sätze zu Pornotiteln

Oha, Also vielleicht doch nicht ungesehen den Übersetzungsdiensten im Internet vertrauen? Oder immer mal mit einem alternativen Anbieter gegenprüfen? Wenn man diesem Bericht glauben schenken darf (und warum auch nicht?), dann wohl besser schon…
Da es nicht nur um Apple geht, habe ich in der Überschrift auf deren Nennung verzichtet.
Was ist das Fazit? Die Art, wie KI trainiert werden, hat Einfluss auf die Güte der Erkenntnisse, die diese ausspucken (und seien es Übersetzungen). Das hatten wir ja durchaus schon öfter.

zurück zum Inhaltsverzeichnis

8.4 Computerspielsucht und Heilung

Und noch eine Referenz auf einen oben stehenden Beitrag: Verzicht auf Social Media kann das Wohlbefinden steigern.
Und Computerspielsucht kann nachweislich das Gehirn verändern. Aber Heilung soll möglich sein. So zumindest nach diesem Bericht.
Ich bin froh, dass zum einen Computerspielsucht als Krankheit anerkannt ist und die Behandlung bezahlt wird. Zum anderen empfinde ich gerade auch im Umgang mit Jugendlichen den Schlusssatz des Artikels als wichtig: „Bei der Einstufung als Sucht sollten etwa Eltern an diese strengen Kriterien denken und nicht ein phasenweise leidenschaftliches Spielen gleich pathologisieren, riet der Psychologe.“

zurück zum Inhaltsverzeichnis

8.5 Drehstuhlschnittstelle

Wenn Sie sich fragen, was das denn nun wieder ist, empfehle ich diesen Beitrag. Da werden ein paar Beispiele benannt.
Wenn Sie den Begriff schon kennen, sind Sie entweder ziemlich belesen (ich kannte den Begriff vorher nicht) oder die Digitalisierung in Ihrer Organisation läuft auch nicht so ganz rund…

zurück zum Inhaltsverzeichnis

8.6 “Does your mother know I’m here?” ~ said The Cat in The Hat, according to a freak named Seuss. (And he said it in a real creepy voice)

Sie haben ja alle nichts zu verbergen. Also gibt es in diesem Kommentar (auf einen thematisch ganz anderen Blogbeitrag) auch nichts zu sehen (ansonsten lohnt die Lektüre…).

zurück zum Inhaltsverzeichnis

8.7 Geschichtsklitterung?

Ich war nicht dabei, aber dieser Kommentar zu einer Sendung zur Geschichte des Volkszählungsboykotts von Autor Norbert Seitz im Deutschlandfunk legt dieses nahe.
Da wir ja auch schon über den Mikrozensus berichtet haben (wenn auch aus anderen Gründen), habe ich das hier mal angefügt.

zurück zum Inhaltsverzeichnis

8.8 „Die chemische Keule“

Die kennen diese Verschwörungsmythen rund um 5G?
Scheinbar haben die Provider auch davon gehört und sich gedacht: „Moment, das kann man doch zu Geld machen!“
Und dann passiert so etwas. Oder so etwas
Und dann spreche ich von einer chemischen Keule 🤦‍♂️.
(Wobei ich fairerweise sagen muss, dass der zweite Duft erst mal grundsätzlich nichts mit 5G zu tun hat.)

zurück zum Inhaltsverzeichnis

8.9 Immer dieser Datenschutz…

Laut diesem Bericht konnten in Berlin zwischen dem 20.04. und dem 05.05.2022 rund 500 Ehe-, Sterbefall- und Geburtsurkunden nicht ausgegeben werden, obwohl der Online-Bezahlvorgang abgeschlossen war. „Da bei der Online-Bezahlung keine personenbezogenen Daten erhoben werden, weiß die Innenverwaltung schlicht nicht, wer betroffen ist.“
Und wie genau läuft bei der Berliner Innenverwaltung denn so die Online-Bezahlung ohne personenbezogene Daten?

zurück zum Inhaltsverzeichnis

8.10 Aufstieg und Fall der NFT – Unkenntnis und Hype als Brandbeschleuniger eines Strohfeuers

Ist das nicht schon wieder ein toller Titel für diesen Beitrag?
Ich fand den Beitrag dann auch lesenswert. Und das nicht nur, wenn Sie (immer noch nicht) wissen sollten, was NFT sind.
Apropos NFT:
Das ist bitter für Seth Green.
Und das kann doch eigentlich nicht ernst gemeint sein, oder? Laut diesem Bericht (im Tweet verlinkt) wohl schon.

zurück zum Inhaltsverzeichnis