Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 24/2022)“
Hier ist der 42. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 24/2022)“.
42, 42, da war doch was? Ach ja, das.
Spaß beiseite, dieser Beitrag kommt leicht verspätet, am Wochenende war es einfach zu heiß. Aber nachdem Regen die Temperaturen hoffentlich (zumindest kurzfristig) überall in Deutschland wieder auf ein erträgliches Niveau gesenkt hat, wünschen wir viel Spaß beim Lesen.
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- BSI: Community Draft zur Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
- Durchsetzung des Datenschutzrechts
- Vorgehen bei Cyberkriminalität
- Digitale Identitäten
- AWV: Aktualisierung der Broschüre zur DS-GVO
- Veranstaltungen
- Stiftung Datenschutz: Data Act
- Bitkom-Livestream am Digitaltag 2022 – Digitale Teilhabe in Wirtschaft und Gesellschaft
- BLM: 11. Deutscher Social TV Summit
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Leitlinie zur Zertifizierung des Drittstaatenstransfers angekündigt
Der EDSA veröffentlichte eine Presseerklärung, dass eine Leitlinie bzgl. Zertifizierung als Instrument für Datentransfers in ein unsicheres Drittland (Art. 46 Abs. 2 lit. f DS-GVO) auf der letzten Sitzung verabschiedet wurde. Grundsätzlich sei die neue Leitlinie als Ergänzung der Leitlinie 1/2018 zu verstehen, die ja Zertifizierungen im allgemeinen behandelt. Eine öffentliche Konsultation sei bis Ende September 2022 vorgesehen.
1.2 Stärkung der DSK
Die DSK hat ein Gutachten beauftragt, welche Möglichkeiten es gibt effektiver zusammenzuarbeiten, insbesondere zu der Bindungswirkung der beteiligten Behörden. Über FragdenStaat ist es zugänglich.
1.3 ULD: Datenschutz und Sozialarbeit an Schulen
Die Zahl der Schulen, die bei der Erfüllung ihres Bildungs- und Erziehungsauftrags von Schulsozialarbeiterinnen und Schulsozialarbeitern unterstützt werden, steigt kontinuierlich. Dabei erhalten diese im Rahmen ihrer Tätigkeit Kenntnisse über die von ihnen betreuten Personen, die unter datenschutzrechtlichen Gesichtspunkten oftmals als sehr sensibel anzusehen sind. Deshalb ist es wichtig zu wissen, welche rechtlichen Regelungen zu beachten und wie diese Informationen ausreichend vor dem Zugriff Unbefugter zu schützen sind. Das ULD unterstützt dabei mit einer Handreichung, die wesentlichen datenschutzrechtlichen Bestimmungen sowie die Fachbegriffe beschreibt und darüber hinaus Lösungsvorschläge für regelmäßig wiederkehrende Fragen skizziert. Zwar berücksichtigt das ULD dabei (naheliegenderweise) nur das Landesrecht Schleswig-Holsteins, aber die Grundzüge dürften in jedem Bundesland anzuwenden sein.
1.4 Schweiz: Auslagerung von Daten in eine Cloud von Microsoft
Der Eidgenössische Datenschutz und Öffentlichkeitsbeauftragte (EDÖB) hat den Schriftverkehr mit der Schweizer Unfallversicherung (Suva) über die Frage der Auslagerung von Personendaten in eine Microsoft Cloud (M365) veröffentlicht. Er begrüsst dabei, dass die Suva ihr Auslagerungsprojekt einer eigenverantwortlichen Datenschutz-Überprüfung unterzogen hat und rät, die Auslagerung zeitnah einer Neubeurteilung zu unterziehen, er hat Zweifel am risikobasierten Ansatz. Da in der Schweiz noch keine richterliche Rechtsprechung zur aufgeworfenen Auslagerungsproblematik bestünde, wird mit Genehmigung der Suva auch deren Antwortschreiben, aus dem teilweise abweichende Auffassungen hervorgehen, veröffentlicht. Je nach Entwicklung der Situation und Rechtslage behält sich der EDÖB vor, in einem späteren Zeitpunkt von Amtes wegen aufsichtsrechtlich tätig zu werden.
2 Rechtsprechung
2.1 BVerfG: Kasperskys Verfassungsbeschwerde nicht angenommen
Aus formalen Gründen wurde eine Verfassungsbeschwerde von Kaspersky zu der Warnung durch das BSI abgewiesen: der Rechtsweg sei noch nicht erschöpft und es sei zuzumuten noch das Hauptsacheverfahren vor dem Bundesverwaltungsgericht abzuwarten. Somit muss Kaspersky weiterhin mit dem Makel der Warnung des BSI vor seinen Produkten leben bzw. versuchen im deutschsprachigen Raum zu überleben – allein, weil Kaspersky seinen Sitz in Rußland hat. Nachdem das BSI Mitte März vor dem Einsatz der Virenschutzsoftware von Kaspersky gewarnt hatte versuchte Kaspersky im Eilverfahren eine Anordnung auf Unterlassung und Widerruf der Warnung zu erstreiten. Es war aber sowohl vor dem Verwaltungsgericht Köln mit seinem Begehren gescheitert, als auch mit seiner Beschwerde gegen die Entscheidung des Verwaltungsgerichts in der nächsthöheren Instanz vor dem Oberverwaltungsgericht NRW. Das Bundesverfassungsgericht hat nunmehr festgestellt, dass aufgrund der “lediglich summarischen Prüfung” der Warnung durch das Verwaltungsgericht Köln im Eilverfahren die Hauptsache noch nicht entschieden ist – heißt: Kaspersky kann erst zulässig eine Verfassungsbeschwerde erheben, wenn das Verwaltungsgericht im eigentlichen Hauptverfahren entscheidet, dass die Warnung des BSI rechtmäßig ist. Ein Ende der Geschichte um die Warnung des BSI ist damit wohl noch nicht in Sicht…
Doch damit nicht genug: Jetzt liegt Kaspersky auch noch mit dem bitkom im Clinch. Nachdem der Branchenverband der deutschen Informations- und Telekommunikationsbranche Anfang April die Mitgliedschaft von dem russischen Security-Anbieter vorläufig suspendiert hatte, kündigt Kaspersky in einem offenen Brief nun seine Mitgliedschaft. Neben einer Diskriminierung von Kaspersky wirft das Unternehmen bitkom vor allem “ethisch fragwürdige Geschäftspraktiken” und die Missachtung der Bitkom-Satzung hinsichtlich des Ausschlusses von Mitgliedern vor. Insbesondere wird kritisiert, dass die Suspendierung ohne das Vorliegen eines Fehlverhaltens seitens Kaspersky und ohne dessen vorherige Anhörung vorgenommen wurde. Nach den Berichten äußert sich bitkom nicht zu internen Vorgängen.
2.2 Übersichten zu aktuellen Fällen zu Auskunft und Schadensersatz
Es ist schon etwas mehr als nur Fleißarbeit, was ein Autor auf den öffentlich zugänglichen Seiten des Beck-Verlages bereitstellt: Übersichten zu Inhalten des Auskunftsrechts nach Art. 15 DS-GVO, inkl. Vorlagefragen und den Streitwerten dazu und ebenso eine Übersicht zu Schadensersatzansprüchen nach Art. 82 DS-GVO.
2.3 LAG Schleswig-Holstein: Schmerzensgeld bei unberechtigter Videoaufnahme von Beschäftigten?
Das Landesarbeitsgericht Schleswig-Holstein hält im Rahmen eines Prozesskostenhilfeersuchens ein Schmerzensgeld in Höhe von 2.000 Euro für die Verwendung eines Videos mit einer ehemaligen Beschäftigten auf der Webseite des früheren Arbeitgebers für angemessen, wenn dafür keine ausreichende Rechtsgrundlage vorliegt! Die Verletzung der DS-GVO stelle bereits den Schaden dar, die Darlegung eines weiteren Schadens sei nicht erforderlich. Der datenschutzrechtliche Schadensersatz habe neben der Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter.
3 Gesetzgebung
3.1 EU AI Act
Im Gesetzgebungsverfahren wurden für die Stellungnahme des EP durch die Mitglieder des Europäischen Parlaments entsprechende Änderungsanträge eingereicht. Eine Übersicht dazu erstellte ein Mitarbeiter des MEP Axel Voss und veröffentlichte diese hier. Überdies komme es jetzt wohl laut diesem Bericht auch noch zu einigen Unstimmigkeiten innerhalb der Meinungsbildung im Rat.
3.2 Dateninstitut für Deutschland
Es passt zwar hier nicht ganz in diese Rubrik, aber der Auftrag kam aus der Politik und wird nicht ohne gesetzliche Rahmenbedingungen möglich sein. Nun wurde der Vorschlag zum Aufbau eines Dateninstituts für Deutschland als Pitchpaper veröffentlicht.
3.3 Digitalpolitik in Deutschland
Irgendwie hatte ich ja gehofft, dass es hinsichtlich der Digitalpolitik auf Bundesebene etwas stringenter zugehen wird. Glaubt man dem Bericht über die Zuständigkeiten in der Regierungskoalition zu den Aufteilungen an die Ministerien, wird man wohl enttäuscht. Für den Digital Services Act und die Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) liegt die Zuständigkeit beim BMDV, für den Digital Markets Act, das Datennutzungsgesetz mit Open Data und den Data Governance Act beim BMWK. Bei der kommenden KI-Gesetzgebung käme neben dem Wirtschafts- auch das Justizministerium ins Gespräch.
4 Künstliche Intelligenz und Ethik
4.1 DSiN Sicherheitsindex: Fokusthema Künstliche Intelligenz
Der nun veröffentliche Sicherheitsindex des Vereins „Deutschland sicher im Netz“ überrascht nur an wenigen Stellen. So sehen 44,4 % der Befragten Sicherheits- und Datenschutzbedenken als das größte Hindernis für die Nutzung digitaler Bürgerportale. Den Missbrauch von persönlichen Daten in sozialen Netzwerken sehen 56,5 % als Risiko. [Anmerkung von mir: Hhier wurde offensichtlich nicht bei der Fragestellung nach den Geschäftszwecken der Anbieter gefragt – Wer weiß schon, was diese sozialen Netzwerke denn genau mit den Daten machen?]. Und 54,4 % geben an, dass sie wollen, dass KI vor allem lebensgefährliche Aufgaben übernimmt. Wobei aber 50,1 % fordern, dass KI nicht ohne Menschen Entscheidungen treffen können soll. Der gesamte Index findet sich hier.
4.2 Memes durch Künstliche Intelligenz
Nach diesem Bericht kann man sich hier durch die Eingabe von Begriffen kleine Memes durch eine Künstliche Intelligenz herstellen lassen. Bei drei Selbstversuchen klappte es aber nicht – oder meine natürliche Intelligenz reichte dazu nicht aus.
4.3 Clearview an Schulen?
Nachdem sie von zahlreichen Datenschutzbehörden u.a. in Großbritannien, Italien und Kanada bereits für das ungefragte Sammeln von Gesichtsbildern im Internet abgestraft wurde, will die New Yorker Firma Clearview AI nun die Sicherheit an Schulen verbessern. Dabei soll die Technik der Gesichtserkennung in Zugangssystemen verbaut werden, um z.B. Schulen in den USA besser vor bewaffneten Angriffen zu schützen. Ob diese Rechnung aufgeht oder ob die Daten von Schülern und Lehrkräften bei dem kommerziellen Anbieter nicht weiteren Risiken ausgesetzt sind, wird sich wohl noch zeigen.
5 Veröffentlichungen
5.1 BSI: Community Draft zur Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
Das Bundesamt für Sicherheit in der Informationstechnik hat den Entwurf einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung zur öffentlichen Kommentierung veröffentlicht. Die Orientierungshilfe richtet sich in erster Linie an Betreiber Kritischer Infrastrukturen, die gemäß § 8a Abs. 1a BSIG zum Einsatz von Systemen zur Angriffserkennung verpflichtet sind. Betroffen sind aber auch Betreiber von Energieanlagen und Energieversorgungsnetzen, für die sich die Verpflichtung zum Einsatz solcher Systeme aus § 11 Abs. 1d und 1e EnWG ergibt, und die prüfenden Stellen. Die Tipps auf den insgesamt 22 Seiten können natürlich auch von anderen Einrichtungen genutzt werden. Ofen bleibt dabei allerdings, was die jeweilige datenschutzrechtliche Rechtsgrundlage für die Verarbeitung wäre, sollten dabei personenbezogene Daten betroffen sein.
5.2 Durchsetzung des Datenschutzrechts
Die Folien und der aufgezeichnete Stream der Veranstaltung der Stiftung Datenschutz vom 2. Juni 2022 zur Durchsetzung des Datenschutzrechts sind nun verfügbar.
5.3 Vorgehen bei Cyberkriminalität
Soll man zahlen oder nicht, wenn die eigene IT-durch einen Angriff ausfällt und die Zahlung eines Lösegeldes Erlösung verspricht? Wie sollte man sich verhalten, welche Behörden sind zu informieren? Dazu lesen Sie hier ein gutes Interview!
5.4 Digitale Identitäten
Welche Anforderungen, Potentiale und Einsatzmöglichkeiten es für digitale Identitäten gibt, hat der Verband eco zusammengestellt. Die Studie gibt es kostenlos zum Download, es müssen nur Daten bereitgestellt werden.
5.5 AWV: Aktualisierung der Broschüre zur DS-GVO
Die Arbeitsgemeinschaft wirtschaftliche Verwaltung e.V. hat ihre Broschüre zur DS-GVO aktualisiert. Sie richtet sich insbesondere an KMU und gibt einen ersten Überblick über Anforderungen und Umsetzungen. Schöner Service: Aus den Quellen und Verweisen im Anhang wird in der PDF-Fassung direkt auf diese verlinkt.
5.6 Veranstaltungen
5.6.1 Stiftung Datenschutz: Data Act
22.06.2022, 08:300 – 10:00 Uhr: Leichte Kost am Morgen? Die Stiftung Datenschutz veranstaltet ein DatenFrühstück mit Diskussion zum Data Act. Dabei sollen u.a. die Auswirkungen des Gesetzes auf das Datenschutzrecht, insb. das Verhältnis zur DS-GVO und die Folgen für die Praxis und die NutzerInnen besprochen werden. Teilnahme nur noch online möglich.
5.6.2 Bitkom-Livestream am Digitaltag 2022 – Digitale Teilhabe in Wirtschaft und Gesellschaft
24.06.2022, 19:00 – 20:30 Uhr: Ob beim Einkaufen, auf dem Amt oder beim Arzt – die Digitalisierung all unserer Lebensbereiche schreitet voran. Umso wichtiger, dass alle Menschen gleichermaßen am digitalen Fortschritt teilhaben können. Als Teil der Initiative „Digital für alle“ organisiert Bitkom am 24. Juni, dem bundesweiten Digitaltag, zwischen 11:00 und 15:30 Uhr ein vielfältiges, digitales Programm zu den Themen digitale Teilhabe, digitales Ehrenamt, Frauen in der IT und soziale Innovationen. Es ist keine vorherige Anmeldung notwendig – verfolgen Sie die Veranstaltung direkt im Livestream.
5.6.3 BLM: 11. Deutscher Social TV Summit
29.06.2022, 13:30 – 16:00 Uhr: Die Bayerische Landeszentrale für neue Medien (BLM) veranstaltet eine Vortrags- und Diskussionsveranstaltung, die sich damit befasst, wie wir mit der Vielzahl an Informationen umgehen, die wir erhalten Dies umfasst auch die Thematik wie sich die Berichterstattung in den sozialen Medien und auf Videoplattformen durch Corona und den Krieg verändert hat und welche Rolle dabei (politische) Manipulation spielt. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Big Voice – Wie schütze ich mich vor Sprachanalysen?
Über Sprachanalysen wird versucht Emotionen und auch Lügen der anderen Personen aufzudecken und zu erfahren. Welche Techniken gibt zu diesen biometrischen Daten und wie kann man sich davor schützen? Der Audiobeitrag befasst sich auf Englisch ca. 9 Minuten damit.
6.2 Hackerangriff mit Ransomware auf Energieversorger
Wird ein IT-Dienstleister von Hackern attackiert, so trifft es am Ende meist viele. Bestes Beispiel ist der Angriff auf einen IT-Dienstleister in der letzten Woche. Vom Angriff waren sogleich der Energieversorger Entega, die Frankfurter Entsorgungs- und Service-Gruppe (FES) und die Mainzer Stadtwerke betroffen. Lahmgelegt wurden allerdings nur einige Bereiche z.B. das Zugriffsportal für BürgerInnen bei FES, mehrere Internetseiten und die internen E-Mail-Server der Mainzer Stadtwerke und von Entega. Hingegen war die kritische Infrastruktur der Mainzer Stadtwerke und von Entega zum Betreiben der Strom-, Gas- und Wassernetze nicht betroffen. Das Innenministerium in Wiesbaden hat inzwischen bekannt gegeben, dass der Angriff mittels Ransomware erfolgte: Die Daten und Systeme des IT-Anbieters wurden verschlüsselt und es wurde ein Lösegeld für die Entschlüsselung gefordert.
7 Sonstiges/Blick über den Tellerrand
7.1 Check der Internetbrowser
Für den Internet-Explorer von Microsoft wurde der Support zum 15. Juni 2022 eingestellt. Spätestens jetzt sollte gewechselt werden. Auf was man darauf achten sollte, wurde in einem Beitrag im MorgenMagazin berichtet.
8. Franks Zugabe
8.1 Datenschutz unbekannt verzogen
Im Rahmen seiner Artikel-Serie App-Check hat Mike Kuketz die App Post & DHL analysiert, das Ergebnis ist ernüchternd.
8.2 Und, auch schon ein Schadenersatzschreiben von Herrn „N.“ aus Nürnberg bekommen?
Falls ja, lesen Sie diesen Beitrag. Falls nein, aber neugierig, lesen Sie ihn auch… In ihm stellt der Autor die Situation dar und erklärt in einem Podcast, warum der Briefschreiber vielleicht gar nicht unschlau ist.
8.3 Endlich ist die EU mal wieder ein Trendsetter…
Leider nur auf dem Überwachungsmarkt. Wenn da nicht mal gleich wieder der nächste US-Datentransfer lauert…
Das waren noch Zeiten, als wir in Europa positive Trends setzten.
8.4 Apps auf Rezept, auch so ein Spahn der Woche
Und das haben wir nun davon. Hier gibt es einen tagesschau.de-Beitrag zu den Gesundheits-Apps auf Rezept. Und hier eine Vermutung, warum es die überhaupt geben sollte. Wirtschaftsförderung. Dafür geben Paptienten sicher gerne ihre Diagnosen unsicheren Apps…
8.5 „Das sind die fünf Berliner Deep Tech Stars“
Wenn Sie sich fragen, was das nun wieder sein soll, lesen Sie es doch einfach hier nach…
Wer es nicht lesen möchte, hier eine typische BullShitBingo-Gewinner-Passage aus dem Artikel (tatsächlich einer der Preisträger):
„In der Kategorie Blockchain setzte sich $STYLE Protocol durch, ein Token-Ökosystem, mit dem jedes NFT automatisch in ein beliebiges Metaversum der Wahl des Besitzers eingebunden werden kann.“
Ja, nee, is klar.
Hatten wir nicht erst kürzlich eine wirklich einleuchtende Ausführung zu Bitcoin, Blockchain und NFT?
8.6 Ein Angebot für kurzentschlossene Kreative
Wollten Sie schon immer mal die nähere Zukunft in 4000 bis 7000 Wörter auf Englisch beschreiben? Dann habe ich vielleicht ein passendes Angebot für Sie. Dieses ist noch bis 25.06.2022 gültig. Viel Erfolg bei der Bewerbung!