Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 23/2021)“
Kommen Sie rein, kommen Sie ran! Nur hier gibt es den sechsten Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 23/2021)“:
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- BSI: Hilfestellungen für Kritische Infrastrukturen
- Podcast zu Privacy by design und by default mit Prof. Roßnagel
- Bundesweites Kfz-Kennzeichen-Scanning
- IT-Giganten und Privatsphäre
- Veranstaltungen
- 4.5.1 IPEN Webinar 2021 – “Synthetic data: what use cases as a privacy enhancing technology?”
- 4.5.2 BMI-Digitalk – Ist die digitale Zukunft weiblich? Diskutieren Sie mit!
- 4.5.3 Stiftung Datenschutz – Datenschutz im Ehrenamt: Die Grundlagen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Der Erwägungsgrund 7 der neuen Standarddatenschutzklauseln – Die Umgehung von Schrems II?
- Die BigBrotherAwards 2021
- Künstliche Intelligenz für Dummys – Ein Leitfaden für Einsteiger
- Datenschutzpolitische Agenda des BfDI für die 20. Wahlperiode
- Mit Apps gegen die Pandemie
- Cybersecurity for Cybercriminals?
- Zero-Day-Exploits und Hackbacks
- Vulnerabilities in Weapons Systems
- Privacy Videos
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Hörspiel zum Tracking
Es ist sicher nicht die wichtigste Meldung in dieser Woche, da es aber um die Sensibilisierung von jüngeren Menschen geht, nehme ich es heute an den Anfang. Der LfDI BW engagiert sich ja u.a. auch in der Umsetzung der Aufgabe der Sensibilisierung, gerade auch von Kindern (Art. 57 Abs. 1 lit. b DS-GVO) und hat auch ein eigenes Bildungszentrum in seine Behörde integriert.
Da wir alle davon profitieren, wenn das Bewusstsein und die Kenntnis der Zusammenhänge und des regelkonformen Verhaltens eine breitere Basis erlangt, weise ich hier nun auf die diese Woche veröffentliche Fassung eines Hörspiels hin – „Tracking von Heranwachsenden“. Eine Reihe zum Sensibilisieren von Kindern und Jugendlichen wird vom Bereich „Datenschutz als KULTuraufgabe“ der Aufsichtsbehörde fortgesetzt werden. Über das Bildungszentrum gibt es etliche Informationsangebote, die online zu Anforderungen und Umsetzungsempfehlungen datenschutzrechtlicher Vorgaben zur Verfügung stehen.
1.2 Forum des BfDI
Der BfDI hat seine Homepage vollständig überarbeitet. Durch das neue Design sollen Bürgerinnen und Bürger einen besseren Zugriff auf die verfügbaren Informationen bekommen. Zusätzlich aktiviert der BfDI ein neues Datenschutzforum*.
* Franks Nachtrag: Gab es das nicht schon mal? Und wer hat es damals abgeschaltet? Ach ja… Teile von damals haben übrigens überlebt.
1.3 Verfahrensverzeichnis für Corporate Influencer?
Man nennt sie Botschafter, Corporate Influencer, das Ziel ist immer das gleiche:
Beschäftigte können über ihre privaten Aktivitäten auch ein Imagefaktor eines Unternehmens / einer Behörde sein.
Das war schon vor digitalen Möglichkeiten so, durch soziale Netzwerke kann sich nur der Effekt vervielfachen – und die Probleme. Je nach Ausgestaltung / Unterstützung / Vorgaben des Arbeitgebers sind Kennzeichnungspflichten, aber auch Haftungsrisiken zu beachten.
Daran hätte ich nicht gedacht, aber offensichtlich der Europäische Datenschutzbeauftragte, der in seinen Veröffentlichungen des Verzeichnisses der Verarbeitungstätigkeiten auch einen Eintrag für „Staff ambassadors“ aufführt*. Bei den dabei zitierten Artikeln bitte beachten, dass Europäische Einrichtungen nicht der DS-GVO unterliegen, sondern der Verordnung 2018/1725.
* Franks Nachtrag: Ich bin sicherlich nicht der Einzige, der sich über die Widersprüche in den Punkten 3, 5, 10 und 11 der verlinkten Dokumentation wundert, oder?
1.4 Fragebogen der Aufsicht zu Schrems II
Nein, es gibt noch nichts Neues von den Aufsichtsbehörden, aber drumherum:
Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat dazu Praxishinweise veröffentlicht, die bei der Beantwortung Orientierung geben können. Parallel reißt die Diskussion um die Umsetzung der Anforderungen nicht ab, auch die neuen Standarddatenschutzklauseln werden dabei einbezogen. Interessant wird dabei auch eine Entscheidung des Französischen Gerichtshof vom 12.03.2021, der bestimmte Maßnahmen für ausreichend hielt.
Zum Thema Schrems II gibt es jetzt auch einen 10-Minuten-Podcast, der fast 14 Minuten dauert, im Gespräch mit dem LfDI BW. Dabei geht es u.a. (natürlich) um die Schrems-II-Thematik, die Zielrichtung der Fragebogenaktion, die Anforderungen an eine Sanktionierung im Drittstaatentransfer und warum beim Einsatz von MS 365 an Schulen besondere Anforderungen beachtet werden müssen.
1.5 Bedenken in den Niederlanden hinsichtlich Google Workspace for Education
Die niederländische Datenschutzbehörde (AP) rät Bildungseinrichtungen die Nutzung von Google G Suite for Education (auch bekannt als Google Workspace for Education) im neuen Schuljahr ab dem 1. August 2021 einzustellen, wenn die mit der Nutzung verbundenen Unsicherheiten und Risiken nicht beseitigt werden. Die G-Suite-Produkte für Bildungseinrichtungen und zur Verwendung durch Regierungsbeamte stehen seit mehreren Monaten in der Kritik. Von der Regierung in Auftrag gegebene Datenschutz-Folgenabschätzungen zeigen, dass die Produkte von Google Datenschutzrisiken beinhalten. Googles Umgang mit Metadaten ist das größte Problem. Google habe signalisiert, dass es sicherstellen will, dass die Probleme zeitnah gelöst werden.*
* Franks Nachtrag: Wer’s glaubt… Apropos Google, siehe dazu auch 7.2.
1.6 Bußgeld gegen Amazon?
Laut Berichten wird gerade bei der für Amazon zuständigen Aufsichtsbehörde in Luxemburg ein Bußgeldbescheid i.H.v. 350 Mio Euro vorbereitet. Der Entwurf befände sich gerade in der Abstimmung mit den anderen Aufsichtsbehörden.
Dem Bericht nach ginge es nicht um Verstöße von AWS (Amazon Web Services).
2 Rechtsprechung
2.1 Immaterieller Schadensersetz zugunsten einer Beschäftigten
Das Arbeitsgericht Münster hat einer Arbeitnehmerin ein Schmerzensgeld in Höhe von 5.000,00 EUR zugesprochen. Die Arbeitgeberin hatte ein Foto der Arbeitnehmerin veröffentlicht, bei dem die ethnische Herkunft und die Hautfarbe der Arbeitnehmerin im Vordergrund standen. Die Arbeitnehmerin hatte einer solchen Veröffentlichung nicht zugestimmt. Sie forderte Schmerzenzgeld unter anderem auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) und des Kunsturhebergesetzes (KUG).
Das Arbeitsgericht begründet seine Entscheidung, dass die Verwendung des Bildes für die internationale Ausrichtung des Arbeitgebers nicht ohne Einwilligung der Beschäftigten hätte erfolgen dürfen, die der Arbeitgeber nicht nachweisen konnte. Nach Auffassung des Gerichts war die Aussage des Bildes, dass dort Menschen aus aller Herren Länder arbeiten und ausgebildet werden. Für dieses Bild wäre eine Person mit weißer Hautfarbe nicht herangezogen worden. Das Bild der Klägerin wurde vielmehr gerade wegen ihrer Hautfarbe verwendet.
Da damit sowohl eine Benachteiligung nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) wie auch ein Verstoß gegen die DS-GVO vorlag, wurde der Klägerin nach § 15 Abs. 4 AGG und Art. 82 Abs. 1 DS-GVO ein immaterieller Schadensanspruch i.H.v. 5.000,00 Euro zugebilligt.
Bei Verarbeitungen der Daten von Beschäftigten, bei der man die Grundlage auf eine Einwilligung stützt, immer daran denken, dass diese für den gesamten Zeitraum der Nutzung dieser Daten – also u.U. auch noch Jahre später – nachweisbar sein muss und man dabei auch immer dem Risiko unterliegt, dass die Einwilligung jederzeit und ohne Angabe von Gründen widerrufen werden kann.
2.2 One-stop-shop – Entscheidung des EuGH in der nächsten Woche
Nächste Woche Dienstag entscheidet der EuGH über die Frage, inwieweit eine Aufsichtsbehörde, die nicht die federführende ist, auch gerichtliche Maßnahmen einleiten kann. Fast bin ich geneigt zu schreiben „natürlich geht es um Facebook“ – aber die Frage hat grundsätzliche Bedeutung über dieses Unternehmen hinaus.
Die Datenschutzbehörde des Staates, in dem sich die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU befindet, hat eine allgemeine Zuständigkeit, um gerichtliche Verfahren wegen Verstößen gegen die Datenschutz-Grundverordnung in Bezug auf grenzüberschreitende Datenverarbeitung einzuleiten. Mit der Anwendung der DS-GVO wurde die irische Aufsicht die federführende Datenschutzaufsicht für Facebook in Europa. Trotzdem betrieb die belgische Aufsicht in Belgien ein gerichtliches Verfahren gegen Facebook weiter. Facebook sieht aber dafür nun aufgrund der geänderten Zuständigkeit keine Berechtigung mehr.
Das belgische Gericht legte dies dem EuGH zur Klärung vor, ob die DSGVO tatsächlich andere Datenschutzbehörden als die federführende daran hindert, in ihrem jeweiligen Mitgliedstaat gerichtliche Verfahren wegen Verstößen gegen die Vorschriften der DSGVO in Bezug auf grenzüberschreitende Datenverarbeitung zu betreiben. In seiner Stellungnahme, an die das Gericht nicht gebunden ist, schloss der Generalanwalt dies nicht grundsätzlich aus.
3 Gesetzgebung
3.1 SDPC – Standarddatenschutzklauseln nach Art. 46 Abs. lit. c DS-GVO
Ich komme immer noch nicht darüber hinweg, dass wir uns noch ständig rückversichern müssen, reden wir über SCC (Auftragsverarbeitung, Art. 26 Abs. 7 DS-GVO) oder SDPC (Art. 46 Abs. 2 lit. c DS-GVO), nur weil die die EU-Kommission für die Neufassungen die alte Bezeichnung und damit auch die alte Abkürzung verwendet, auch wenn es um den Drittstaatentransfer geht.
Vielleicht liegt es auch daran, dass sie nun im Europäischen Amtsblatt auch am 7. Juni veröffentlicht wurden (gleich nach Durchführungsbeschluss der harmonisierten Normen für Haushaltsgeschirrspüler). Egal, nach vorne blicken und es gibt erste inhaltliche Auseinandersetzungen damit – und es werden sicherlich weitere kommen, denn die Abkürzungen sind nicht das einzige Fragezeichen, das beim Lesen bleibt*.
Mit der Veröffentlichung im Amtsblatt stehen auch die Umsetzungsfristen in Art. 4 des Durchführungsbeschlusses fest. Die bisherigen SCC können bis 27. September 2021 verwendet werden. Dann gibt es eine Umstellungsfrist bis 27.12.2022, bis dahin müssen dann noch bestehende SCC auf SDPC umgestellt werden.
* Franks Nachtrag: Ich hätte da auch noch ein Fragezeichen (siehe 7.1)
3.2 SCC – Standardvertragsklauseln für die Auftragsverarbeitung (Art. 28 Abs. 7 DS-GVO)
Das sind jetzt die „richtigen“ SCC (gemäß Art. 28 Abs. 7 DS-GVO), aber das hilft erstmal inhaltlich auch nicht weiter. Da die SCC nur als Muster gelten und die SDPC aktuell eine größere Dringlichkeit haben, hat sich noch keiner so richtig damit befasst.
Freundlicherweise bietet die EU-Kommission auch eine Synopse der verschiedenen Sprachen an, was Verhandlungen darüber mit Dienstleistern bzw. Auftraggebern erleichtern dürfte.
3.3 Staatstrojaner
Der Bundestag beschloss mit den Stimmen der Regierungsmehrheit, dass künftig die Bundespolizei und 19 Nachrichtendienste Computer und Smartphones von Verdächtigen hacken und ihnen eine Überwachungssoftware unterschieben dürfen, um ihre Kommunikation mitzulesen.
Damit wird den Behörden die Möglichkeit gegeben auch an verschlüsselte Kommunikation von Verdächtigen zu gelangen. Eine entsprechende Überwachungssoftware, auch Staatstrojaner genannt, soll Chats oder Anrufe abzweigen, bevor sie verschlüsselt werden oder nachdem sie wieder entschlüsselt wurden.
Die Union will damit die Sicherheitsbehörden auf den Stand der Technik bringen, der SPD gehe es dabei um den Kampf gegen Rechtsextremismus. Schon vorher war die Kritik groß, wird doch auch geregelt, dass diese Maßnahme auch vor Begehung einer Tat eingesetzt werden dürfen. Die Bundespolizei darf die Kommunikation von Menschen künftig auch präventiv überwachen, also bevor sie eine Straftat begangen haben.
Voraussetzung dafür ist, dass es um die Abwehr »einer dringenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert, deren Erhaltung im öffentlichen Interesse liegt«, geht. Unter Umständen dürfen dazu auch Kontaktpersonen der Verdächtigen gehackt werden.
Und wie soll das Einspielen dieser technischen Maßnahmen erfolgen? Kritiker warnen davor, dass zukünftig auch Anbieter von Telekommunikationsdiensten verpflichtet werden, Daten (etwa Updates) über die Verfassungsschutzämter zu leiten, so dass diese Zugriff auf die Geräte der Nutzerinnen und Nutzer erlangen. Eine so weitreichende Kooperationsverpflichtung, mit der die Anbieter zu Erfüllungsgehilfen beim Infiltrieren von staatlicher Schadsoftware gemacht werden, schädige nicht nur das Vertrauensverhältnis zwischen Anbietern und Nutzerinnen und Nutzern.
Unabhängig davon gibt es jetzt schon genügend Erfahrungen, dass die Polizei mit der Verarbeitung der Daten oftmals schon aus Kapazitätsgründen überfordert ist oder aber bereits genügend Informationen hat, aber die Informationsketten wie im Fall des Attentats vom Breitscheidplatz im Kompetenzdschungel nicht effektiv sind.
Natürlich wird es gegen diese Änderungen Verfassungsbeschwerden geben, aber bis zu einer Entscheidung ist man nun in der Situation, dass es u.U. bewusst in Kauf genommene Lücken in der Sicherheitsinfrastruktur gibt, die einen Zugriff – von wem auch immer – erleichtern.
Irgendwie ist man im Bereich der IT-Sicherheit nun mehr als irritiert, wie man künftig Auffälligkeiten in der IT bewerten soll – weiß man ja nicht, ob es sich um kriminelle Aktivitäten oder nur die Polizei handelt (was sicherlich nicht weniger beruhigend wäre – selbst wenn man – wie wir alle – ja nichts zu verbergen hat*).
Ob es sich um eine Eulenspiegelei (die jüngeren googlen** diesen Begriff bitte) handelt oder nur Zufall: Am Tag der Abstimmung veröffentlichte das BSI in einem Tweet einen Hinweis auf seine Webseite „Trojaner – wie erkenne ich Schadprogramme?“.
Wenn man aus dieser Gesetzesänderung aus Datenschutzsicht überhaupt etwas Positives ziehen könnte, dann die Erkenntnis, dass wir in dem Vergleich hinsichtlich eines vergleichbaren Datenschutzniveaus bei der Drittstaatenbewertung nun den Maßstab nivelliert haben… – tröstet aber nicht wirklich.
* Franks Nachtrag: Ja, jedes Wort ist wieder ein eigener Link. Wie sehr ich diese Aussage nicht leiden kann!
** Franks zweiter Nachtrag: startpagen, duckduckgoen, ecosiaen, suchen Sie bitte mit einer politisch korrekten Suchmaschine…
Franks dritter Nachtrag: Und wenn der Staatstrojaner nicht funktioniert, weil die Leute den Cookiehinweisen nicht zustimmen?
3.4 Entwurf der Cybersicherheitsstrategie 2021
Das passt wunderbar zum „Staatstrojaner“! Das BMI veröffentlicht den Entwurf seiner Cybersicherheitsstrategie 2021 und bittet bis 16. Juni um Rückmeldung, auch wenn noch nicht alle Kapitel ausformuliert sind, wie z.B. Umsetzung und Controlling der Cybersicherheitsstrategie.
Auf insg. 128 Seiten werden die Ziele dargestellt, aber auch die vorgesehenen Mittel. Natürlich werden etliche Punkte auch vor dem Hintergrund der Änderungen zugunsten eines „Staatstrojaners“ bewertet werden müssen, wie etwa das Kapitel „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten“.
* Franks Nachtrag: Sie möchten bestimmt auch 7.7 Zero-Day-Exploits und Hackbacks lesen.
3.5 Verbandssanktionengesetz
Kommt es, kommt es nicht? – im Koalitionspoker fiel es offensichtlich hinten runter: das Verbandssanktionengesetz, in welchem auch die Haftung durch Verbände, Unternehmen und deren weisungsbefugten Verantwortlichen geregelt werden sollte. Berichten zufolge sei es u.a. an dem Umgang mit internen Ermittlungen, also Untersuchungen, die Unternehmen selbst anstellen, um Fehlverhalten von Mitarbeitern aufzuspüren, gescheitert. Die Ergebnisse daraus hätten nach dem vorliegenden Gesetzesentwurf von der Staatsanwaltschaft beschlagnahmt werden können, weil sich das Unternehmen dabei nicht auf das Verteidigerprivileg berufen könnte.
3.6 TTDSG
Wer sich für eine erste Darstellungen der Änderungen interessiert, die zum 1. Dezember 2021 kommen sollen (TTDSG ist noch nicht im BGBl veröffentlicht), kann sich hier informieren.
Für die „PIMS“ (Personal Information Management Services), über die Einwilligungen zentral gemanaged werden sollen, wird noch eine Verordnung benötigt, die das genaue Verfahren für eine Zertifizierung der Anwendungen regelt. (Wenn ältere (=erfahrenere) Leser nun wie ich an den § 9a BDSG-alt denken, verstehen diese, warum ich grinse…).
Und wer sich über PIMS informieren will – das war auch Thema des Digital-Gipfels im letzten Jahr – evtl. werden ja Erkenntnisse daraus in die kommende Verordnung übernommen.
3.7 TKG
Auch beim TKG gibt es Änderungen und wer sich unsicher ist, alle Änderungsbestrebungen noch richtig zuordnen zu können und was nun tatsächlich verabschiedet wurde, findet in der Synopse einer Kanzlei eine anschauliche Übersicht.
4 Veröffentlichungen
4.1 BSI: Hilfestellungen für Kritische Infrastrukturen
Für etliche Betreiber kritischer Infrastrukturen steht im Sommer 2021 der zweite Nachweiszyklus nach BSI-Gesetz und der KRITIS-Verordnung an. Da passt es gut, dass das BSI laut einem Bericht mehrere aktualisierte Dokumente für Betreiber sowie Prüfer von Kritischen Infrastrukturen (KRITIS, etwa Energie, Ernährung, Gesundheit, Kommunikation, Verwaltung und andere) auf seiner Webseite zur Verfügung.
So z.B. auch, wie in Pandemiezeiten mit Vorortprüfungen umzugehen ist. Prüfer können derzeit auch Remote-Überprüfungen vornehmen, diese unterliegen aber speziellen Dokumentationspflichten.
Auch eine Muster-Mängelliste wird angeboten. Entgegen dem Wortlaut dieser Datei, finden sich dort aber keine Mängel, an denen man sich orientieren sollte, ich würde es auch eher als „Mängel-Dokumentationstemplate“ bezeichnen.
4.2 Podcast zu Privacy by design und by default mit Prof. Roßnagel
Ein Verlag hat mit seinem Podcast einen Leiter einer Aufsichtsbehörde interviewt, der seit Jahren (eigentlich Jahrzehnten) eine feste Größe in den Themen Technik und Datenschutz darstellt. In dem ca. 40 Min. langem Beitrag geht es u.a. um die gesetzlichen Anforderungen des Art. 25 DS-GVO und eine pragmatische und rechtskonforme Umsetzung.
4.3 Bundesweites Kfz-Kennzeichen-Scanning
AKLS im öffentlichen Verkehrsraum – ob das Thema so Aufmerksamkeit bekommt? Das Thema „bundesweites Kfz-Kennzeichen-Scanning“ schon eher, wenn man weiß, dass mit „AKLS“ automatisierte Kennzeichenlesesysteme gemeint sind.
In einen Änderungsantrag der Regierungsfraktionen im Rechtsausschuss zum „Entwurf eines Gesetzes zur Fortentwicklung der Strafprozessordnung und zur Änderung weiterer Vorschriften“ soll einem Bericht zufolge das AKLS im öffentlichen Verkehrsraum insbesondere zu Fahndungszwecken eingesetzt werden.
Dann dürften ohne das Wissen der betroffenen Personen Kfz-Kennzeichen sowie Ort, Datum, Uhrzeit und Fahrtrichtung automatisch erhoben werden, wenn Anhaltspunkte für eine Straftat von erheblicher Bedeutung vorliegen. Die Daten dürfen nur vorübergehend und nicht flächendeckend erhoben werden. Der Rechtssauschuss empfiehlt den ausgeweiteten AKLS-Einsatz nicht, da dieser mit einem intensiven Eingriff in das Recht auf informationelle Selbstbestimmung sämtlicher Verkehrsteilnehmer verbunden wäre. Es solle zunächst mit dem künftigen Kfz-Kennzeichenscanning Erfahrungen gesammelt und diese ausgewertet werden. Dann könne weiter darüber entschieden werden, ggf. den AKLS-Einsatz auszuweiten.
4.4 IT-Giganten und Privatsphäre
Es kommt in diesen Zeiten gut, wenn Unternehmen ein Image haben, das für datenschutzkonformen Umgang steht. In einer globalisierten Welt wird aber auch ein globalisierter Maßstab angelegt. Die Erkenntnis „All politics is local“ wirkt sich auch hier aus, wenn man liest, dass manche Privatsphäreneinstellungen von Apple in Ländern wie Belarus, China und Saudi-Arabien nicht angeboten werden oder wenn Bilder der Proteste in China durch Microsofts Suchmaschine in China nicht auffindbar sind.
Dabei erwartet von Aktiengesellschaften keiner, dass sie sich wie NGOs verhalten, aber der Maßstab ihrer Aktivitäten sollte zur Unternehmenskultur passen und wird auch durch Marktteilnehmer bei der Auswahl zunehmend berücksichtigt. Politische Aktivitäten beziehen sich diesbezüglich eher auf den marktwirtschaftlichen Machtmissbrauch.
4.5 Veranstaltungen
4.5.1 IPEN Webinar 2021 – “Synthetic data: what use cases as a privacy enhancing technology?”
16.06.2021, 13:00 – 17:00 Uhr, „the workshop will focus on the use of ’synthetic data‘ as a possible technology to mitigate data protection risks“, die Veranstaltung ist online und kostenlos, eine Anmeldung ist nicht erforderlich.
4.5.2 BMI-Digitalk – Ist die digitale Zukunft weiblich? Diskutieren Sie mit!
18.06.2021, 10:00 – 11:00 Uhr, es diskutieren Dorothee Bär, Carla Hustedt und Anna-Lena von Hodenberg, wie es bei wichtigen Digitalthemen vorangehen soll, die Veranstaltung ist online und kostenlos, eine Anmeldung ist nicht erforderlich.
4.5.3 Stiftung Datenschutz – Datenschutz im Ehrenamt: Die Grundlagen
18.06.2021, 15:00 – 17:00 Uhr, „in unserem Grundlagen-Webinar geben wir anhand von konkreten Fragestellungen rund um die Mitgliederverwaltung eine Einführung in den Datenschutz fürs Ehrenamt…“, die Veranstaltung ist online und kostenlos, Anmeldung.
5 Gesellschaftspolitische Diskussionen
5.1 Digitaler Impfpass
Jetzt ist er schon da, der digitale Impfpass. Apotheken stellen ihn ab 14.06.2021 aus. Eine FAQ-Seite zu dem europäischen grünen Impf-Zertifikat steht auch schon bereit. Und warum sich in Deutschland alles etwas verzögerte, ist hier zu erfahren.
Natürlich kann man auch weiterhin den Impfnachweis über analoge Medien durchführen, es muss nicht jeder ein Smartphone haben und nutzen. Der digitale Impfnachweis kann auch über verschiedene Apps genutzt werden, wie die CWA (Corona-Warn-App). Und das Ganze wird der Digitalisierung im Gesundheitswesen wohl einen Auftrieb geben, so kommt im nächsten Jahr das e-Rezept (war mir auch neu). Fragen rund um den Einsatz des Impfpasses gerade bei und durch KMU werden hier behandelt.
6 Sonstiges/Blick über den Tellerrand
6.1 Datenschutzeinstellungen bei Firefox
Die Kolleg*innen von mobilsicher.de informieren, wie bei Firefox die Datenschutzeinstellmöglichkeiten voll ausgeschöpft werden können.
6.2 Sicherer digitaler Schulalltag
Während man sich streiten kann, wie ein sicherer Schulalltag mit ungeimpften Kindern in Zeiten einer Pandemie aussieht, unterstützt das BSI mit Hinweisen zu einem sicheren Schulalltag aus digitaler Sicht. Die Hinweise umfassen die Themen Videokonferenz, aber auch Zugangsanforderungen wie Zwei-Faktorauthentifizierungen.
7. Franks Zugabe
7.1 Der Erwägungsgrund 7 der neuen Standarddatenschutzklauseln – Die Umgehung von Schrems II?
Ist es möglich, Daten in Drittländer zu übertragen ohne Standarddatenschutzklauseln abzuschließen, solange die DS-GVO für die Verarbeitung durch den Empfänger gilt? Dr. Carlo Piltz & Philipp Quiel, LL.M., werfen einen genaueren Blick auf den Erwägungsgrund 7 der neuen Standarddatenschutzklauseln.
Die EU Kommission soll in naher Zukunft eine FAQ zu den Standarddatenschutzklauseln veröffentlichen wollen, so zumindest dieser Tweet.
Hoffentlich kann die Frage der Überschrift im Ergebnis nach Lektüre dieser FAQ verneint werden und die neuen Standarddatenschutzklauseln sind kein Danaergeschenk.
7.2 BigBrotherAwards 2021
Am Freitag, dem 11.06.2021, war es Abends um 18:00 Uhr in der Hechelei der Ravensberger Spinnerei in Bielefeld wieder so weit, die 21. BigBrotherAwards wurden vergeben.
Ich war (als eine der wenigen Personen, die auf Grund der pandemiebedingten Einschränkungen reingelassen wurden) zusammen mit einem Kollegen live vor Ort (nach durchgeführtem Schnelltest) und möchte Ihnen gerne die Preisträger vorstellen. Natürlich nur in aller gebotenen Kürze, dazu wurde ja schon an anderen Stellen ausführlich berichtet. Aber manche Preise passen halt wirklich wie Faust aufs Auge:
(In der folgenden Auflistung verbirgt sich hinter dem jeweiligen Link die Seite mit der Laudatio und weiterführenden Informationen inklusive der Videoaufzeichung)
- Der BigBrotherAward 2021 in der Kategorie „Verkehr“ ging an die EU-Kommission für die Einführung des „On-Board Fuel Consumption Meter“ (OBFCM).
- Der BigBrotherAward 2021 in der Kategorie „Bildung“ ging an die Proctorio GmbH in München-Unterföhring für ihre KI-basierte Prüfungssoftware, die auch Proctorio heißt.
- Der BigBrotherAward in der Kategorie „Public Intellectual“ geht an den Philosophen und stellvertretenden Vorsitzenden des Deutschen Ethikrats, Prof. Dr. phil. Dr. h. c. Julian Nida-Rümelin, für seine öffentlich mehrfach geäußerte unhaltbare Behauptung, dass „der Datenschutz“ die Bekämpfung von Corona erschwert und Tausende von Toten zu verantworten habe.
Dieses ständige Datenschutz-Gebashe wurde vorher auch schon von anderer berufener Stelle kritisiert.
Der Preisträger hat übrigens mit einer Videobotschaft auf den Preis reagiert. - Der BigBrotherAward 2021 in der Kategorie „Was mich wirklich wütend macht“ ging an Google.
Es lohnt sich definitiv, diese Laudatio zu lesen oder anzuschauen, da in ihr von Dark Pattern berichtet wird, Real-Time-Bidding thematisiert wird und aufgezeigt wird, wie Google sich unabsichtlich (?) selbst mehrerer Gesetzesverstöße bezichtigte.
Und wenn ich das alles gehört und gelesen (oder auch gesehen) habe, dann glaube ich Google nicht, dass sie irgendwelche Probleme im Umgang z.B. mit Metadaten abstellen wollen. Maximal wollen sie es abstellen, erwischt zu werden… - Der BigBrotherAward 2021 in der Kategorie „Gesundheit“ ging an die an die Firma Doctolib in Berlin für ihr Terminvermittlungsportal für Ärzte.
7.3 Künstliche Intelligenz für Dummys – Ein Leitfaden für Einsteiger
Falls Sie sich in der Vergangenheit schon mal gefragt haben, um was es bei dieser ganzen Diskussion um künstliche Intelligenz immer geht, hilft Ihnen vielleicht dieser Leitfaden.
Ich hätte da übrigens auch noch eine Literaturempfehlung, passend zum Thema Künstliche Intelligenz. Lesenswert!
7.4 Datenschutzpolitische Agenda des BfDI für die 20. Wahlperiode
Passend zur Bundestagswahl hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Vorschläge für die Wahlprogramme und Koalitionsvereinbarungen der Parteien veröffentlicht. Nicht wirklich neu (die Vorschläge sind schon aus dem Dezember 2020), aber lesenswert.
7.5 Mit Apps gegen die Pandemie
Wenn Sie in der Diskussion über die verschiedenen Apps, die alle im Zusammenhang mit der Pandemie helfen sollen, die Übersicht verloren haben oder gar nicht genau wissen, welche App genau was macht, mag Ihnen ein Vortrag (als Slides oder Video) von Henning Tillmann (von www.d-64.org, die mit dem Covidbot) helfen.
7.6 Cybersecurity for Cybercriminals?
Tja, wenn Verbrecher nicht mal mehr Anbietern von sicheren Kommmunikationslösungen vertrauen können…
Wie heißt es so schön? Vertrauen ist der Anfang von Allem.
Wem können wir Rechtschaffenen denn eigentlich nun noch trauen?
Hier gibt es zusätzlich noch eine längere englisch-sprachige Quelle.
7.7 Zero-Day-Exploits und Hackbacks
Das BMI möchte uns ja mit Zero-Day-Exploits hacken und Hackbacks machen. Ob sie sich vielleicht beim Erstellen der Cyberssicherheitsstrategie 2021 besser mal auch diese Folien angeschaut hätten?
7.8 Vulnerabilities in Weapons Systems
Dieses Essay von Bruce Schneier und Tarah Wheeler liest sich folgerichtig und ist gruselig!
Warum muss ich eigentlich nach der Lektüre an den OODA-Loop aus dem Buch Qualityland 2.0 denken? Da gibt es bestimmt keine Zusammenhänge…
7.9 Privacy Videos
Sie sind immer noch da und haben trotz dieser durchaus wieder deprimierenden Nachrichten bis hierhin durchgehalten?
Dann haben Sie sich jetzt aber wirklich eine Zusammenstellung lustiger Datenschutzvideos verdient. So etwas muss es ja auch geben … zum Ausgleich und so.