Ausgabe 71 (KW 26/2023)

1.1 BfDI: Weltweiter Austausch zu Künstlicher Intelligenz

Der BfDI berichtet, dass er als Teilnehmer der internationalen Konferenz „Künstliche Intelligenz und Datenschutz: Bewältigung neu entstehender Herausforderungen" mit Datenschutzbehörden, internationale Einrichtungen und Technologieunternehmen über die Regulierung von KI und erkundeten Möglichkeiten zur Förderung der Koordinierung diskutierte.
Datenschutzbehörden aus aller Welt trafen sich am 23. Juni 2023 in Seoul, um die Herausforderungen der künstlichen Intelligenz (KI) für den Datenschutz und die Privatsphäre zu erörtern und um mögliche Wege der internationalen Koordinierung und Zusammenarbeit bei der Bewältigung dieser Herausforderungen zu erkunden. Die Konferenz, die von der koreanischen Personal Information Protection Commission (PIPC) unter dem Titel „AI and Data Privacy: Tackling Newly Emerging Challenges“ veranstaltet wurde, brachte Delegierte von Datenschutzbehörden und internationalen Organisationen europäischer und asiatischer Länder sowie Vertreter globaler Technologieunternehmen und Hochschulen zusammen. Ziel waren der Austausch, die Prüfung neuer Vorschläge und die Auseinandersetzung mit aufkommenden und dringenden Themen im Zusammenhang mit KI. Im Ergebnis ist für den BfDI die Einforderung von Transparenz bei jeder KI-Verordnung für KI-Systeme unerlässlich zur Gewährleistung des Schutzes der Grundrechte und der demokratischen Kontrolle. Darüber hinaus sollten betroffene Personen die Möglichkeit haben sich gegen Diskriminierung durch KI-Systeme zu verteidigen. Die KI-Rechtsvorschriften sollten Beschwerdemechanismen und die Möglichkeit zur Einleitung geeigneter rechtlicher Schritte vorsehen. Für die grundrechtskonforme Entwicklung und Nutzung von KI-Systemen sei eine eindeutige Rechenschaftspflicht von entscheidender Bedeutung.

1.2 Sachsen-Anhalt: Immer noch kein neuer LfD

Die Posse um die Nachbesetzung des Postens des Landesbeauftragten für Datenschutz Sachsen-Anhalts hat ein weiteres unrühmliches Kapitel erhalten (wir berichteten). Bereits der dritte Kandidat wurde trotz Landtagsmehrheit der Koalition nicht gewählt. Reicht es schon nicht, dass das Landesdatenschutzgesetz für diesen Kandidaten geändert wurde und auf eine öffentliche Ausschreibung verzichtet wurde, dass ein Eilantrag eines anderen Kandidaten abgelehnt wurde, demonstrierten die Landtagsvertreter ihre Unfähigkeit zu konstruktiver Politik und der fehlenden Wertschätzung einer funktionierenden Datenschutzaufsicht, die tatsächlich auf Grund der fehlenden Ressource Landesbeauftragter* seit 2020 keinen Tätigkeitsbericht vorlegen konnte.

* Franks Anmerkung: Bei Datenschutzfachtreffen wurde von Seiten der Aufsichtsbehörde darüber berichtet, dass der ehemalige Landesbeauftragte neben dem Ausfüllen dieser Rolle auch einiges an Fachthemen bearbeitet hatte und dass seinem Interims-Nachfolger seit dem Ausscheiden des ehemaligen Landesbeauftragten effektiv viele hundert Stunden Arbeitszeit fehlen, da er sich nicht zerteilen könne und so dann bestimmte Tätigkeiten anders priorisiert werden müssten. Aber wer braucht schon einen Leiter einer Aufsichtsbehörde?

1.3 EKD: Tätigkeitsbericht 2021 – 2022

Auch der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland legt seinen Tätigkeitsbericht für die Jahre 2021 – 2022 vor. Ich hatte ja bereits berichtet, dass es Zweifel an der Ordnungsmäßigkeit der Umsetzung der Anforderungen im Datenschutzgesetz der evangelischen Kirche gibt, damals im Rahmen der Vorgaben des Art. 15 DS-GVO. Selbst bei dem Turnus des Tätigkeitsberichts weicht das DSG-EKD von den Vorgaben der DS-GVO ab. Sieht die DS-GVO einen jährlichen Tätigkeitsbericht in Art. 59 DS-GVO vor, so begnügt sich § 41 DSK-ESG mit einem Tätigkeitsbericht mindestens alle zwei Jahre. Dann erscheint es auch schon fast egal, wenn (wie auf Seite 36) betont wird, dass es auch bei der Bewertung von Wartungstätigkeiten mit § 30 Abs. 6 DSG-EKD Formulierungen aus dem früheren BDSG in das DSG-EKD übernommen wurden, für die es keine Vorgabe aus der DS-GVO gibt.
Weitere Berichtspunkte umfassen Themen, die auch aus anderen Tätigkeitsberichten bekannt sind: Videokonferenzen, Videoüberwachung, Kamera-Attrappen, Diskussion um Konzernprivilegien, Cookiesetzung und Cyberangriffe.

1.4 LDI NRW: Hinweise zum EuGH-Urteil zur Auskunft

Die LDI NRW gibt Hinweise zur Umsetzung des EuGH-Urteils C-579/21 zum Umfang der Auskunftspflicht hinsichtlich der Empfänger, d.h. wer und warum Zugriff auf die Daten nahm. Nach dem EuGH-Urteil sei davon auszugehen, dass es im Regelfall ausreiche der betroffenen Person die protokollierten Datenabfragen mitzuteilen ohne die Namen der Beschäftigten zu nennen. Die Identität der Beschäftigten, die auf Weisung des Verantwortlichen handeln, müsse nach dem EuGH nur preisgegeben werden, wenn dies – etwa bei Zweifeln am tatsächlichen Zweck der Abfrage – im Einzelfall erforderlich ist, um zum Beispiel die Rechtmäßigkeit der Verarbeitung der Daten überprüfen zu können. Aber auch dabei müssen die Rechte und Freiheiten des Beschäftigten berücksichtigt werden. Ob dies nun zu einer Protokollierungspflicht führt, äußert die LDI NRW sich nicht.

1.5 Hamburg: Videoaufnahmen mit Gesichtserkennung gelöscht

Vor dem Hamburgische Oberverwaltungsgericht stritt sich der HmbBfDI mit der Polizei über den Einsatz einer Software Videmo 360 zur automatisierten Gesichtserkennung durch die Polizei Hamburg. Dieses Verfahren wurde nun durch das OVG eingestellt. Grundlage der Entscheidung ist, dass die Polizei Hamburg – der Anordnung des HmbBfDI entsprechend – die Daten während des laufenden Gerichtsverfahrens gelöscht hatte.

1.6 LfD Niedersachsen: Handreichung für Vereine

Die LfD Niedersachsen hat eine neue Handreichung zum Datenschutz im Verein auf ihrer Homepage veröffentlicht. Diese beschäftigt sich vereinsspezifisch mit den Rechtsgrundlagen der Datenschutz-Grundverordnung, angereichert durch Beispiele, die sich aus der täglichen Sachbearbeitung ergeben haben. Sie richtet sich vor allem an Vereinsvorstände, die verantwortlich für die Einhaltung der Datenschutzbestimmungen sind, an von Vereinen bestellte Datenschutzbeauftragte aber auch an interessierte Mitglieder.

Franks Nachtrag: Wenn Sie in Sachsen-Anhalt und nicht in Niedersachsen Ihren Verein haben, schauen Sie bitte hier...

1.7 LfDI Mecklenburg-Vorpommern: Callcenter-Prüfungen

Der LfDI Mecklenburg-Vorpommern kündigt an künftig stichprobenartige anlasslose Kontrollen mit dem Focus auf Beschäftigtendaten in Callcentern durchzuführen. Ursächlich sind dafür vermehrte Beschwerden betroffener Arbeitnehmer:innen.

1.8 Schweden: Bußgeld über 1,1 Mio. Euro für unerlaubte Profilbildung

In Schweden verhängte die Datenschutzaufsicht ein Bußgeld über 13 Mio. Kronen (1.105.000 €) für die unzulässige Werbeprofilbildung von Kunden und Webseitenbesuchern. Ohne die erforderliche Zustimmung einzuholen wurden personenbezogene Daten gesammelt und verarbeitet, um sie für Marketingzwecke zu nutzen.
Dies betraf Daten aus verschiedenen Quellen, die dann für gezielte Werbung im Internet, Marketing per Post und für den Telefonverkauf verwendet wurden. Dazu gehörten z. B. Informationen über Einkäufe in verschiedenen Unternehmen der Gruppe und das Surfverhalten, d. h. wie Internetnutzer auf den Websites der Unternehmen gesurft hatten. In einigen Fällen wurden diese Daten auch mit anderen personenbezogenen Daten kombiniert, die von außen zugekauft wurden, z. B. Informationen über das Geschlecht des Kunden, den Autobesitz des Haushalts und die Postleitzahl sowie statistische Daten über den Wohnort der Person, wie Lebensalter, Kaufkraft und Art der Wohnung. Das Unternehmen stützte sich dabei auf eine Interessenabwägung. Da das Unternehmen Nutzer in vielen Ländern hat, wurde diese Entscheidung in Zusammenarbeit mit anderen Datenschutzbehörden in der EU getroffen.

1.9 Schweden: Bußgeld wegen Einsatzes von Google Analytics

Wegen der unrechtmäßigen Verwendung von Google Analytics auf ihrer Webseite verhängte die schwedische Datenschutzaufsicht Bußgelder

• gegen einen Telekommunikationsanbieter (1 Mio. Euro) und
• gegen einen Online-Händler (25.350 Euro).

Ausgangspunkt waren Beschwerden des NGO noyb.

1.10 Italien: 40.000 Euro Bußgeld wegen unzureichender Auskunft

Wieder mal hat es den Konzern eines deutschen Automobilherstellers erwischt. Diesmal in Italien. Eine unzureichende Auskunft der Leasingtochter gegenüber einer Person, deren Kreditantrag abgelehnt wurde, sanktionierte die italienische Aufsicht Garante mit 40.000 Euro. Um nachvollziehen zu können, warum der Antrag abgelehnt wurde, stellte diese einen Auskunftsantrag, bekam dann aber jedoch nur den selbst ausgefüllten Kreditantrag.

1.11 Italien: Unzureichende Grundlagen bei Treueprogramm

Eine Modekette wurden mit 240.000 Euro sanktioniert, weil sie bei ihrem Treueprogramm Grundlagen wie Rechtmäßigkeit und Speicherbegrenzung nicht beachtete. Ebenso gab es unzureichende Schutzmaßnahmen. Dem Unternehmen gegenüber wurde angeordnet, dass alle Daten, die älter als 10 Jahre waren, zu löschen oder zu anonymisieren seien.

1.12 ICO: Privacy Enhancing Technologies (PET)

Das Information Commissioner's Office (ICO) in London empfiehlt Organisationen den Einsatz von Technologien zum Schutz der Privatsphäre (PET), um personenbezogene Daten sicher und anonym weiterzugeben. Diese Art von Technologien eröffne Organisationen beispiellose Möglichkeiten persönliche Daten von Menschen zu nutzen, zu teilen, zu verknüpfen und zu analysieren, ohne den Zugang zu ihnen zu haben.
Dazu brachte das ICO einen aktualisierten Leitfaden für Technologien zum Schutz der Privatsphäre heraus. Der Leitfaden umfasst zwei Teile, bei denen sich der erste an Datenschutzbeauftragte und Personen mit besonderen Datenschutzaufgaben in größeren Organisationen richtet. Im Mittelpunkt steht die Frage, wie mit Hilfe von Technologien zum Schutz der Privatsphäre die Einhaltung des Datenschutzrechts erreicht werden kann. Der zweite Teil richtet sich an ein eher technisches Publikum und an Datenschutzbeauftragte, die mehr über die derzeit verfügbaren Arten von Technologien zum Schutz der Privatsphäre erfahren möchten, wie z.B. homomorphe Verschlüsselung. Er gibt eine kurze Einführung in acht Arten von Technologien zum Schutz der Privatsphäre und erläutert deren Risiken und Vorteile.

1.13 ICO: Don´t be blind to AI Risks

„In der Eile, die Chancen zu erkennen, darf man nicht blind für die Risiken der KI sein.“ Mit diesem Hinweis kündigt die ICO Prüfungen des Einsatzes generativer KI in wichtigen Unternehmen an. Bereits im April stellte die ICO acht Fragen auf, die sich Organisationen, die generative KI entwickeln oder nutzen und dabei personenbezogene Daten verarbeiten, stellen müssen:

1. Auf welcher Rechtsgrundlage verarbeiten Sie personenbezogene Daten?
2. Sind Sie ein für die Verarbeitung Verantwortlicher, ein Mitverantwortlicher oder ein Auftragsverarbeiter? Wenn Sie generative KI unter Verwendung personenbezogener Daten entwickeln, sind Sie als für die Datenverarbeitung Verantwortlicher verpflichtet. Wenn Sie von anderen entwickelte Modelle verwenden oder anpassen, können Sie ein für die Verarbeitung Verantwortlicher, ein Mitverantwortlicher oder ein Auftragsverarbeiter sein.
3. Haben Sie eine Datenschutz-Folgenabschätzung (DPIA) erstellt?
4. Wie sorgen Sie für Transparenz? Sie müssen Informationen über die Verarbeitung öffentlich zugänglich machen, es sei denn, es gilt eine Ausnahmeregelung. Wenn dies nicht mit unverhältnismäßigem Aufwand verbunden ist, müssen Sie diese Informationen direkt an die Personen weitergeben, auf die sich die Daten beziehen.
5. Wie werden Sie Sicherheitsrisiken eindämmen? Zusätzlich zu den Risiken der Weitergabe personenbezogener Daten sollten Sie auch die Risiken der Modellinversion und der Ableitung von Zugehörigkeiten, des Data Poisoning und anderer Formen feindlicher Angriffe berücksichtigen und abschwächen.
6. Wie werden Sie unnötige Verarbeitungen begrenzen? Sie dürfen nur die Daten erheben, die zur Erfüllung des angegebenen Zwecks erforderlich sind. Die Daten sollten relevant sein und sich auf das Notwendige beschränken.
7. Wie werden Sie Anfragen zu den Rechten des Einzelnen nachkommen? Sie müssen in der Lage sein den Anträgen von Personen auf Auskunft, Berichtigung, Löschung oder anderen Informationsrechten nachzukommen.
8. Werden Sie generative KI einsetzen, um ausschließlich automatisierte Entscheidungen zu treffen? Wenn ja – und diese rechtliche oder ähnlich bedeutende Auswirkungen haben (z. B. wichtige Gesundheitsdiagnosen) – sind weitere Rechte gemäß Art. 22 DS-GVO zu beachten.

Die Aufsichtsbehörde verpflichtete sich außerdem einzuschreiten, wenn Organisationen sich nicht an das Gesetz halten.

1.14 BSI: Amtsantritt der neuen Präsidentin

Zum 01. Juli 2023 trat nun die neue Präsidentin des BSI ihr Amt an.

2.1 EuGH: Generalanwältin zu Fingerabdruck bei Ausweiserstellung

In dem Verfahren C-61/22 geht es um die gesetzliche Anforderung, dass bei Ausweisdokumenten Fingerabdrücke zu erfassen sind. Zurückgeht dies auf die Verordnung 2019/1157. Art. 3 Abs. 5 der „Verordnung (EU) 2019/1157 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Erhöhung der Sicherheit der Personalausweise von Unionsbürgern und der Aufenthaltsdokumente, die Unionsbürgern und deren Familienangehörigen ausgestellt werden, die ihr Recht auf Freizügigkeit ausüben“ lautet:

„Die Personalausweise werden mit einem hochsicheren Speichermedium versehen, das ein Gesichtsbild des Personalausweisinhabers und zwei Fingerabdrücke in interoperablen digitalen Formaten enthält. Bei der Erfassung der biometrischen Identifikatoren wenden die Mitgliedstaaten die technischen Spezifikationen gemäß dem Durchführungsbeschluss der Kommission C (2018)7767 an.“

In ihren Schlussanträgen kommt die Generalanwältin zu der Empfehlung an den EuGH, dass die Prüfung der Vorlagefrage nichts ergeben habe, was die Gültigkeit der Verordnung 2019/1157 und insbesondere ihres Art. 3 Abs. 5 beeinträchtigen könnte.

Franks Nachtrag für diejenigen, die Kontext brauchen oder mögen: Das Verfahren geht auf eine Klage des NGO Digitalcourage vor dem Verwaltungsgericht Wiesbaden zurück. Im Rahmen ihrer Kampagne "Perso ohne Finger!" zog Digitalcourage so vor den EuGH. Das Urteil wird auch schon durch andere Gerichte (siehe meinen Nachtrag zum Link) erwartet, die bis dahin in Einzelentscheidungen anwiesen übergangsweise Personalausweise ohne Fingerabdruck mit einem Jahr Laufzeit auszustellen.
Die Empehlung der Generalanwältin wird demzufolge von Digitalcourage (meiner Meinung nach zu Recht!) kritisch gesehen. Hoffen wir mal, dass die Richter:innen des EuGH in diesem Fall mal nicht der Empfehlung ihrer Generalanwältin folgen. Auch interessant in dem Zusammenhang ist das hier.

2.2 EuGH: Kompetenz der Wettbewerbsaufsicht bezgl. Datenschutzthemen

Welche datenschutzrechtlichen Befugnisse hat eine Wettbewerbsbehörde? Im Fall des Bundeskartellamts bezüglich Facebook (C-252/21) hatte der EuGH zu entscheiden. Der Generalanwalt ging in seinen Schlussanträgen davon aus, dass eine Wettbewerbsbehörde im Rahmen ihrer Befugnisse im Sinne der Wettbewerbsregeln inzident prüfen kann, ob die untersuchten Praktiken mit der DS-GVO vereinbar sind, wobei sie alle Entscheidungen oder Untersuchungen der nach der DS-GVO zuständigen Aufsichtsbehörde zu berücksichtigen habe, die nationale Aufsichtsbehörde dazu informieren müsse und sich gegebenenfalls mit dieser abzustimmen habe. Zudem war der Generalanwalt der Ansicht, dass die Verarbeitungen von Facebook nach Art. 6 DS-GVO grundsätzlich abbildbar seien und dass eine Marktbeherrschtheit eines Unternehmens nicht grundsätzlich einer Einwilligung entgegenstünde, aber bei der Frage der Freiwilligkeit im Rahmen der Prüfung des Ungleichgewichts der Machtverhältnisse zu berücksichtigen sei.
Der EuGH entschied nun dazu (C-252/21), dass laut Pressemitteilung für eine Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Unternehmen eine beherrschende Stellung missbraucht, es sich als notwendig erweisen kann zu bewerten, ob das Verhalten dieses Unternehmens mit den Vorschriften der DS-GVO vereinbar ist. Stellt sie dabei einen Verstoß gegen die DS-GVO fest, tritt sie allerdings nicht an die Stelle der durch diese Verordnung eingerichteten Aufsichtsbehörden. Die Prüfung, ob die DS-GVO eingehalten wird, erfolge nämlich ausschließlich, um den Missbrauch einer beherrschenden Stellung festzustellen und gemäß den wettbewerbsrechtlichen Vorschriften Maßnahmen zur Abstellung dieses Missbrauchs aufzuerlegen. Um eine kohärente Anwendung der DS-GVO zu gewährleisten, sind die nationalen Wettbewerbsbehörden verpflichtet sich abzustimmen und loyal mit den Behörden, die die Einhaltung dieser Verordnung überwachen, zusammenzuarbeiten. Bei ihrer Prüfung müsse die Wettbewerbsbehörde bisherige Stellungnahmen der Datenschutzaufsichten und Entscheidungen des EuGH berücksichtigen.
Im Übrigen sei der Fall des „offensichtlich öffentlich machens“ des Art. 9 Abs. 2 lit. e DS-GVO nicht deshalb erfüllt, weil eine Person Websites oder Apps aufruft, die solche Informationen offenbaren können. Anders sei es, wenn die Person zuvor explizit ihre Entscheidung zum Ausdruck brachte die sie betreffenden Daten einer unbegrenzten Zahl von Personen öffentlich zugänglich zu machen.
Insoweit stellt der Gerichtshof fest, dass die Erforderlichkeit den mit dieser Person geschlossenen Vertrag zu erfüllen, die streitige Praxis nur dann rechtfertigt, wenn die Datenverarbeitung insofern objektiv unerlässlich ist, als der Hauptgegenstand des Vertrags ohne sie nicht erfüllt werden könnte. Vorbehaltlich einer Überprüfung durch das nationale Gericht hat der EuGH Zweifel daran, dass die Personalisierung der Inhalte oder die durchgängige und nahtlose Nutzung der Dienste des Meta-Konzerns diese Kriterien erfüllen können. Zudem befindet der Gerichtshof, dass die Personalisierung der Werbung, mit der das soziale Netzwerk Facebook finanziert wird, nicht als berechtigtes Interesse von Meta Platforms Ireland die fragliche Datenverarbeitung rechtfertigen kann, sofern keine Einwilligung der betroffenen Person vorliegt. Abschließend stellt der Gerichtshof fest, dass der Umstand, dass der Betreiber eines sozialen Online-Netzwerks als für die Verarbeitung Verantwortlicher eine beherrschende Stellung auf dem Markt für soziale Netzwerke einnimmt, für sich genommen nicht ausschließe, dass die Nutzer dieses Netzwerks im Sinne der DS-GVO wirksam in die Verarbeitung ihrer Daten durch diesen Betreiber einwilligen können. Da eine solche Stellung aber geeignet ist die Wahlfreiheit der Nutzer zu beeinträchtigen und ein klares Ungleichgewicht zwischen den Nutzern und dem Verantwortlichen zu schaffen, ist sie ein wichtiger Aspekt für die Prüfung, ob die Einwilligung tatsächlich wirksam, insbesondere freiwillig, erteilt wurde, wofür der betreffende Betreiber die Beweislast trägt.

Franks Nachtrag: Das Bundeskartellamt äußert sich zum Urteil, der BfDI zeigt sich erfreut, der ehemalige Berliner Beauftragte für den Datenschutz Dr. Alexander Dix schreibt dazu bei der EAID und hier schaut jemand, was noch so alles im Urteil steckt (Spoiler: Berechtigtes Interesse ist wohl für Meta wie auch für das IAB nun keine gute Rechtsgrundlage mehr... So ein Pech aber auch...).
Und dass noyb sich bestätigt sieht, wundert ja wohl niemanden, oder?

2.3 EuGH: Fragen zur binären Geschlechterbenennung

Wer hier regelmäßig liest, wird nicht überrascht sein. Das Thema der Erforderlichkeit der Verarbeitung der Daten zur geschlechtlichen Zuordnung war bereits Thema im Tätigkeitsbericht aus Hamburg (wir berichteten). Der EuGH befasst sich unter dem Az C-394/23 (Mousse) nun im Rahmen eines Falles aus Frankreich damit. Im Übrigen befasst sich der EuGH auch im Fall C-247/23 (Deldits) mit der Frage des Nachweises des Geschlechts [in dem Fall „Deldits“ bemühte der EuGH auch seine Festlegung Fälle nicht mehr nach den Realnamen von Klageparteien zu benennen – mehr dazu hier].

2.4 EuGH: Fragen zur Bußgeldberechnung

Wie berechnet sich das Bußgeld nach Art. 83 DS-GVO, wenn es keine angemessenen Löschkonzepte gibt und wie sind Unternehmensverflechtungen dabei zu berücksichtigen? Das scheinen die Fragen zu sein, die im Fall C-383/23 (ILVA) dem EuGH zur Klärung vorgelegt werden.

2.5 BAG: Verwertbarkeit von Videoaufnahmen

Dürfen Videoaufnahmen in einem Kündigungsschutzprozess verwendet werden, wenn sie länger als zulässig aufbewahrt wurden? Das BAG meint ja, wenn sie offen erfolgten und dadurch vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegt werden sollte.
Im vorliegenden Fall hatte der Arbeitgeber einen anonymen Hinweis auf Arbeitszeitbetrug seiner Beschäftigten bekommen und daraufhin Videoaufnahmen der Werkseingänge ausgewertet, die bereits ein Jahr zurücklagen. Angegeben war ein Aufbewahrungszeitraum von 96 Stunden bei der Information zur Videoüberwachung. Die Vorinstanz nahm hierzu noch ein Beweisverwertungsverbot an, weil die Aufnahmen nicht über einen so lange zurückliegenden Zeitraum hätten gespeichert werden dürfen. Das BAG kommt zu einem anderen Ergebnis:
Es spiele keine Rolle, ob die Überwachung in jeder Hinsicht den Vorgaben des BDSG bzw. der DS-GVO entsprach. Selbst wenn dies nicht der Fall gewesen sein sollte, wäre eine Verarbeitung der betreffenden personenbezogenen Daten des Klägers durch die Gerichte für Arbeitssachen nach der DS-GVO nicht ausgeschlossen. Dies gelte jedenfalls dann, wenn die Datenerhebung wie hier offen erfolgt und vorsätzlich vertragswidriges Verhalten des Arbeitnehmers in Rede steht. In einem solchen Fall sei es grundsätzlich irrelevant, wie lange der Arbeitgeber mit der erstmaligen Einsichtnahme in das Bildmaterial zugewartet und es bis dahin vorgehalten hat. Der Senat konnte offenlassen, ob ausnahmsweise aus Gründen der Generalprävention ein Verwertungsverbot in Bezug auf vorsätzliche Pflichtverstöße in Betracht kommt, wenn die offene Überwachungsmaßnahme eine schwerwiegende Grundrechtsverletzung darstellt.
Er hätte m.E.n. auch kürzer formulieren können, dass der Zweck die Mittel heilige. Wobei damit natürlich nicht gleich wieder dem Stigma „Datenschutz sei Täterschutz“ Vorschub geleistet werden solle. Einer zeitnahen Prüfung und Verwertung der Videoaufnahmen stehen auch aus Datenschutzgründen keine Bedenken entgegen.
Andererseits lässt sich nach den Aussagen des Prozessvertreters des Arbeitgebers auch der Schluss ziehen, dass die Entscheidung des BAG zeige, dass Arbeitgeber bei der Planung und Durchführung von Kontrollmaßnahmen sehr gut beraten sind, auf die nötige Transparenz und andere Zulässigkeitsanforderungen zu achten. Tun sie dies, stünden auch die Speicherdauer oder andere datenschutzrechtliche Rahmenvorgaben einer späteren Verwertung grundsätzlich nicht entgegen. Damit sei die Entscheidung geradezu ein Plädoyer für die gründliche Beachtung datenschutzrechtlicher Anforderungen bei Kontrollmaßnahmen. Gleichzeitig trage sie den maßgeblichen Grundrechtspositionen – und damit auch dem gesunden Menschenverstand – angemessen Rechnung.
Das BAG hat den Fall zurück an das LAG Niedersachsen verwiesen.

2.6 OLG Brandenburg: Rechtsmissbräuchlichkeit von Auskunftsbegehren

Nach dem OLG Brandenburg ist ein Auskunftsbegehren einer Person um eine Beitragserhöhung einer Versicherung überprüfen zu können, rechtsmissbräuchlich. Damit führt das OLG Brandenburg seine Line fort, über die wir bereits berichtet hatten.

2.7 LAG Baden-Württemberg: Fristlose Kündigung bei unerlaubten Zugriffen

Nach dem LAG Baden-Württemberg können vielfache nicht berechtigte Zugriffe eines Beschäftigten auf Personaldaten anderer Beschäftigter eine fristlose Kündigung rechtfertigen. Im Verfahren ging es hauptsächlich um prozessuale Fragen. In der ersten Instanz stellte das ArbG Mannheim noch fest, dass es in diesem Fall einer vorherigen Abmahnung bedurft hätte. Dagegen legte der Arbeitgeber Rechtsmittel ein. Nun ging es darum, ob bis zu einer Klärung in der nächsten Instanz der Arbeitgeber den Kläger weiterbeschäftigten musste. Das LAG stellte fest, dass der Kläger unter Umgehung interner Sicherungen und Berechtigungssysteme in mindestens 124 Fällen Zugriff auf geschützte Personaldaten genommen habe. Er habe sich insbesondere Kenntnis von den Gehaltsdaten eines Kollegen verschafft, damit die Beklagte bei den eigenen Gehaltsverhandlungen konfrontiert und unter Druck gesetzt. Allerdings genügten die Angaben des Arbeitgebers im Verfahren dem LAG nicht, um dessen Antrag auf Einstellung der vorläufigen Zwangsvollstreckung stattzugeben.

2.8 LG Frankfurt: Untersagung eine Sprachnachrichten online zu stellen

Hier wird über eine einstweilige Verfügung des LG Frankfurt gegenüber YouTube berichtet, bei der untersagt wurde eine Sprachnachricht ohne Einwilligung der betroffenen Person in einem YouTube-Video zu veröffentlichen. Zu klären wird auch noch sein, ob es dazu ausreicht, dass das Video nur in Deutschland über deutsche Server gesperrt wurde, aber über eine „Änderung“ des Standorts noch abrufbar bleibt.

3.1 EU US Data Privacy Framework

Fast schon pünktlich zum US-amerikanischen Unabhängigkeitstag tröpfeln Informationen rein, die darauf deuten, dass der Angemessenheitsbeschluss hinsichtlich eines Datentransfers an Einheiten in den USA noch im Juli (um den 10./11.07.?) veröffentlicht werden könnte.
Zum einen sind dies die Zugeständnisse, dass Maßnahmen aus der Entscheidung der irischen DPC gegen Facebook den Datentransfer in die USA einzustellen, bis Ende Juli aufgeschoben wurden. Zum andern sind dies auch Aussagen, die seitens Vertretern der EU-Kommission getroffen werden. Letztendlich sind es aber auch Meldungen, dass seitens der USA am 3. Juli 2023 die Umsetzung der Vorgaben aus der Executive Order 14086 vom 7. Oktober 2022 verkündet wurde.
Sollte tatsächlich der Angemessenheitsbeschluss vor der Tür stehen, hatten wir ja bereits im Zusammenhang mit der US-UK-Datenbrücke darauf hingewiesen, auf was bei einem neuen Angemessenheitsbeschluss der EU für die USA zu achten sein wird. Es ist davon auszugehen, dass die EU-Kommission noch Hinweise zur Umsetzung bei den Datenexporteuren geben wird.

3.2 Data Act

So, jetzt ist er durch. Nach den Ausführungen des Rates dazu soll mit dem Data Act der Zugang zu Daten – von intelligenten Haushaltsgeräten bis hin zu intelligenten Industriemaschinen – ermöglicht werden. Der Text soll auch Maßnahmen zur Verhinderung des Missbrauchs vertraglicher Ungleichgewichte in Verträgen über die gemeinsame Nutzung von Daten aufgrund unfairer Vertragsklauseln enthalten, die von einer Partei mit wesentlich stärkerer Verhandlungsposition auferlegt werden. Darüber hinaus gibt es zusätzliche Leitlinien für eine angemessene Entschädigung der Unternehmen für die Bereitstellung der Daten sowie angemessene Streitbeilegungsmechanismen.
Das Abkommen will auch einen angemessenen Schutz von Geschäftsgeheimnissen und Rechten an geistigem Eigentum gewährleisten, begleitet von entsprechenden Schutzmaßnahmen gegen mögliches missbräuchliches Verhalten von Dateninhabern. Hier hatte sich insbesondere auch der BDI engagiert.
Der Text sieht vor, dass öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union auf Daten im Besitz des Privatsektors zugreifen und diese nutzen können, wenn dies unter außergewöhnlichen Umständen erforderlich ist, insbesondere bei öffentlichen Notfällen wie Überschwemmungen und Waldbränden oder zur Erfüllung einer Aufgabe im öffentlichen Interesse. Die neuen Vorschriften sollen es den Kunden auch ermöglichen effektiv zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten (Cloud-Anbietern) zu wechseln und zusätzliche Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungen zu ergreifen. Schließlich klärt der neue Text das Zusammenspiel zwischen datenschutzrechtlichen Regelungen und bestehenden horizontalen und sektoralen Rechtsvorschriften, wie dem Gesetz über Data Governance und der DS-GVO.
Die vorläufige Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden. Nach der Überarbeitung durch die Rechts- und Sprachsachverständigen wird sie dann von beiden Organen angenommen. Von Seiten des Rates beabsichtigt der kommende spanische Ratsvorsitz den Text den Vertretern der Mitgliedstaaten (AStV) so bald wie möglich zur Billigung vorzulegen.

3.3 AI Act

Der Trilog kann beginnen, hier findet sich eine Synopse der bisherigen Fassungen.

3.4 Österreich: Austausch zu KI und Stärkung der digitalen Souveränität

In Österreich wurde ein gemeinsamer Entschließungsantrag von ÖVP, SPÖ, Grünen und NEOS betreffend Open-Source-Produkte zur Stärkung der digitalen Souveränität Österreichs im Ausschuss für Forschung, Innovation und Digitalisierung einstimmig angenommen.
Daneben wurde informiert, dass der Einsatz von KI wie ChatGPT mit Experten diskutiert wurde.

Franks Nachtrag: Apropos ChatGPT...

4.1 Singapur: Open Source Toolkit for Responsible AI in the Financial Sector

In Singapur wurde ein Open Source Toolkit für Responsible AI den Einsatz im Finanzsektor veröffentlicht. Das Veritas Toolkit Version 2.0, das von dem von der zentralen Finanzbehörde geleiteten Konsortium aus 31 Akteuren der Branche entwickelt wurde, ist das erste seiner Art und soll Finanzinstituten helfen, Bewertungen durchzuführen, um die Grundsätze der Fairness, Ethik, Rechenschaftspflicht und Transparenz (FEAT) zu erfüllen, die den verantwortungsvollen Einsatz von KI und Datenanalyse leiten.

4.2 Anwälte und ChatGPT

Die European Bars Association hat einen Leitfaden veröffentlicht, der den Einsatz von ChatGPT beleuchtet. Die Veröffentlichung trägt den Titel "Europäische Anwälte in der Ära von ChatGPT: Leitlinien, wie Anwälte die Möglichkeiten nutzen sollten, die große Sprachmodelle und generative KI bieten". Diese Richtlinien enthalten 7 Prinzipien, um den ethischen Einsatz von generativen KI-Tools in Anwaltskanzleien zu gewährleisten:

1. Verstehen Sie die generative KI-Technologie
2. Erkennen Sie Einschränkungen und Kontext an
3. Halten Sie sich an die bestehenden Regeln für den Einsatz von KI
4. Ergänzen Sie die juristische Expertise
5. Bewahren Sie das Anwaltsgeheimnis
6. Datenschutz und Privatsphäre gewährleisten
7. Kunden informieren und Verantwortung übernehmen

Der Bericht steht derzeit in englischer Sprache zum Download zur Verfügung, weitere Sprachversionen werden in Kürze erstellt.

Franks Nachtrag: Das Wissen hätte der Rechtsanwalt aus den USA auch gut gebrauchen können...

4.3 ChatGPT und Klage gegen Open AI

Auch wenn die Technologie wie bei ChatGPT nur als stochastischer Papagei bezeichnet wird, der auf Basis von Wahrscheinlichkeiten Buchstaben aneinanderreiht – irgendwoher hat er ja die Basis für diese Wahrscheinlichkeiten. Und auch darum geht es nun in einem Klageverfahren in den USA, wie hier berichtet wird. Neben urheberrechtlichen Fragen seien auch die Daten von Personen betroffen, die sich nicht wehren konnten. Mal sehen, was dabei rauskommt.

Franks Nachtrag: Zu dem Thema habe ich auch einen Artikel. Und in dem Artikel wird auf ein Academic Paper verlinkt. Mein Lieblingszitat aus dem beschreibenden Text zum Paper?

"We’re about to fill the Internet with blah."

Wie wahr diese Aussage schon vor der KI war...

4.4 Scheitern mit Algorithmen?

Welche Folgen eine unbedachte oder einfach nur ein unreflektierter Einsatz von Algorithmen oder auch KI haben kann, wird in diesem Beitrag geschildert. Sei es bei dem Versuch Sozialbetrug aufzudecken oder Stellenbesetzungsverfahren zu beschleunigen. Zu einzelnen Fälle hatten wir dazu auch schon berichtet.

4.5 Legal data / KI-Day

Über dieses YouTube-Video können die Aspekte und Einblicke des KI-Day nochmals verfolgt werden (Dauer 2:35:00).

5.1 Hoffen und Beten ...

... reicht oftmals nicht aus, um alle datenschutzrechtlichen Anforderungen des Datenschutzrechts zu erfüllen. Ein Aspekt, der bei Spendensammeln und Fürbitten oft vernachlässig wird, sind die Fragen, die mit der Schilderung von Notsituationen verbunden sind, für die gebetet / gesammelt wird. Damit befasst sich dieses Schaubild – zwar aus der Schweiz – aber trotzdem auch unter der DS-GVO bzw. unter den datenschutzrechtlichen Regelungen kirchlicher Gemeinschaften als Grundlage einsetzbar.

5.2 Stiftung Datenschutz: DatenTag zur Datentreuhand

Wer nicht vor Ort oder online teilnehmen konnte, hat über die Aufzeichnungen auf der Seite der Stiftung Datenschutz nun Gelegenheit die Vorträge und Diskussionen rund um die Chancen einer Daten-Treuhand nachzuholen.

5.3 MS 365 im Kanton Bern im Einsatz

Auch der Kanton Bern führt MS 365 für die Verwaltung ein. Die allermeisten Daten der Verwaltung bleiben demnach im kantonseigenen Rechenzentrum, so etwa die Steuer-, Bevölkerungs- und Gesundheitsdaten sowie E-Mails der Verwaltung. Vorerst dürften keinerlei vertrauliche Informationen oder besonders schützenswerte Personendaten in der Microsoft-Cloud bearbeitet werden. Nur die verwaltungsinterne Zusammenarbeit per Chat, Telefonie, Videokonferenz sowie der Dateiaustausch erfolge verschlüsselt über die MS 365-Cloud aus schweizer oder europäischen Rechenzentren, wird in dem Bericht aus der Mitteilung der Regierung zitiert.
Dabei ist bekannt, dass eine wirksame Kontrolle der Einhaltung der verfassungsmäßigen Garantien nicht möglich sei.* Die hohe technische und organisatorische Komplexität der Leistungserbringung sowie sich laufend ändernde Umstände hätten zur Folge, dass in wesentlichen Fragen keine ausreichende Transparenz bestehe. Das Modell der geteilten Verantwortung zwischen Microsoft als Erbringerin von hochstandardisierten Leistungen und dem Kanton Bern als Leistungsbezüger mache das Erkennen, Bewerten und wirksame Bewältigen von betrieblichen Risiken zu einer sehr großen Herausforderung, welche durch den raschen Technologiewandel und die Möglichkeit von Microsoft, tiefgreifende technische Veränderungen in rascher Folge und gegebenenfalls ohne aktive Steuerungsmöglichkeit des Kantons Bern einzuführen, weiter verstärkt wird.

* Franks Anmerkung: Dann ist ja gut, dass sie es trotzdem einsetzen... Läuft ja bei denen in Bern...

5.4 MS 365 in der Anwaltskanzlei

Was hier für Anwaltskanzleien in der Schweiz beschrieben wird, kann auch für andere Berufsgeheimnisträger interessant sein. Neben den datenschutzrechtlichen Anforderungen hinsichtlich der Einbindung eines Dienstleisters kommen noch Anforderungen hinsichtlich der berufsrechtlichen Verschwiegenheit hinzu. Zusammenfassend erfordert der Einsatz von MS 365 für Berufsgeheimnisträger eine sorgfältige Vorbereitung, Umsetzung und Überwachung. Verschiedene Vertragsdokumente müssen abgeschlossen werden, die passenden Konfigurationseinstellungen vorgenommen, Mitarbeitende geschult und Restrisiken beurteilt und gemanaged werden.
Auch in Deutschland hatte sich die Bundesrechtsanwaltskammer dazu geäußert.

Franks Nachtrag: Was genau hat denn diese Customer Lockbox für einen Mehrwert (siehe in dem Artikel der Rechtsanwaltskanzlei auf Seite 3 von 5, Linke Spalte, zweiter Absatz)?
Dort steht sinngemäß, dass das ein kostenpflichtiger Service ist, den MS-Kunden buchen können, bei dem MS verspricht, dass die MS-Mitarbeiter nur auf die Kundendaten zugreifen, wenn es eine Einzelfallgenehmigung vom MS-Kunden gibt oder wenn MS dazu gesetzlich verpflichtet ist. Also, erst mal löst das natürlich nicht die Schrems-II-Problematik, da genau die gesetzlich verpflichtenden Zugriffe ja das Problem darstellen. Und außerdem: Wenn ich bei Microsoft nicht diesen kostenpflichtigen Service buche, werden MS-eigene Mitarbeiter auch ohne meine Anweisung auf meine Daten zugreifen?
Na ja, wie heißt es so schön? Zehn Millionen Fliegen können nicht irren...

5.5 Veranstaltungen

12.07.2023, 14:30 – 16:30 Uhr: Der Originaltitel wäre zu lang gewesen: „Wie Social-Media-Anwendungen versuchen, junge Nutzerinnen und Nutzer in den Bann zu ziehen“ wird vom BLM veranstaltet und online durchgeführt. Präsentiert werden Forschungsergebnisse, die sich mit Ursachen hoher Nutzungszeiten von sozialen Plattformen wie TikTok, Instagram und Co befassen. Details und Anmeldung hier.

13.07.2023, 16:00 – 17:00 Uhr: NIS-2-Richtlinie und Cyber Resilience Act sind Begrifflichkeiten, die noch nicht jedem vertraut sind.
Nach diesem Termin sollte sich das ändern. Details und Anmeldung hier.

13.07.2023, ab 18:00 Uhr in Berlin (nur vor Ort): Der vollständige Titel lautet sogar „Das Untermaß aller Dinge. Kann Digitalisierung in Deutschland überhaupt gelingen?“ Und damit bewusst wird, dass dies nicht nur in Berlin ein Thema ist: Einer der namhaften Referent:innen kann auf eine fundierte Beobachtungslage aus Bayern zurückblicken. Weitere Informationen zur Veranstaltung gibt es hier.

13.07.2023, ab 18:30 Uhr in Stuttgart und online diskutiert der neue LfDI BW mit Experten im Bildungszentrum des LfDI zur „Die Zukunft des Datenschutzes – Ist die DS-GVO bereit für KI?“. Details dazu und Hinweise zur Anmeldung finden Sie hier. Anmeldung (für die Teilnahme vor Ort) erforderlich.

ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei.

11.09.2023 in Kiel: Die Anmeldung zur Sommerakademie 2023 ist nun möglich. Inhaltlich wird es auch hier um Datenschutz und KI gehen. Alles weitere dazu in der Ankündigung.

13.09.2023, 10:00 – 16:00 Uhr, in Erfurt (nur vor Ort): Mit „Hausaufgaben“ aus dem Publikum soll der Einsatz von ChatGPT direkt vor Ort getestet werden. Die Fragen beschäftigen sich u.a. auch mit der KI als Werkzeug zur Förderung des Unterrichts: Was macht KI mit den Schulen? Können die Schüler*innen das verarbeiten? Woran orientieren sie sich? Was sagen die Lehrer*innen? Wie muss sich Schule umorientieren? Wie wird der Datenschutz beim Einsatz von KI in der Schule tangiert? Mit prominenten Gästen werden Antworten auf diese Fragen gesucht. Weitere Informationen und Anmeldung hier.

28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).

6.1 Irland: Kritik an Datenschutzaufsicht verboten?

Das ist bitter: In Irland wurde nach diesem Bericht durch eine Gesetzesergänzung geregelt, dass die Verbreitung von internen Informationen der Datenschutzaufsicht sanktioniert werden kann. Und was vertraulich ist, entscheidet diese. Dies gilt dann auch gegen Verfahrensbeteiligte. Mehr dazu auch hier.

Franks Nachtrag: Also haben sie es doch getan...

Franks zweiter Nachtrag: Ich habe auch noch etwas zu diesem Thema.

6.2 Gewalt gegen Kinder – als Fake?

Im Kampf gegen sexuelle Gewalt gegen Kinder sind sich alle einig. Und wie verhält es sich bei Darstellungen dieser Verbrechen, die künstlich erzeugt wurden? Ein Thema, bei dem natürlich erstmal positiv gewertet würde, wenn dadurch die Zahl der Übergriffe reduziert werden würde. Aber reicht das aus, um sich damit abzufinden? Der Bericht dazu findet sich hier.

7.1 Podcastreihe: „Spion in der Tasche“

In einer sechsteiligen Podcastreihe befassen sich die Autor:innen mit der Geschichte der Spähsoftware Pegasus. Die Opfer der Spyware kommen ebenso zu Wort, wie ihre Erfinder und deren Gegenspieler.

7.2 Passwort ändern – Negativbeispiel

Manchmal müssen alle Anwender ihr Passwort ändern. Kommt vor, kann auch richtig und wichtig sein. Aber dann nicht so, dass alle Anwender das gleiche, neue Passwort zugeschickt bekommen, um sich anzumelden. Und Obacht: Hochmut kommt vor dem Fall!

Franks Nachtrag: Wenn Sie es lieber im Original lesen wollen (immerhin können Sie dort alle Cookies abwählen...), hier ist der Link für Sie.

7.3 Sicherheit durch Überwachung / Sicherheit vor Überwachung

Hier eine schöne Interviewaufnahme (ca. 55 Min.) zu den Anforderungen an eine Überwachung aus Sicherheitsgründen und zu den Anforderungen einer freien Gesellschaft auch ohne Überwachung kommunizieren zu können.

8.1 Apropos ChatGPT...

Komisch, diese Woche habe ich gar nicht so viel zu ChatGPT. Na ja, ich habe ja genug andere Themen. Aber ein Link war doch spannend genug:
MDN can now automatically lie to people seeking technical information. Beim Lesen der Kommentare wird der Bezug zu ChatGPT klar. MDN ist das Mozialle Developer Network, die Wissendatenbank für Mozilla-Entwickler. Da müssen von KI in die Welt gesetzte Halluzinationen (um das Wort Lügen zu vermeiden) nicht unbedingt hilfreich sein. Und noch ein expliziter Kommentar dazu.
Beim nächsten Blogbeitrag habe ich vielleicht wieder mehr. Oder hatten wir jetzt schon Peak-"Apropos ChatGPT..."?

8.2 Sachsen-Anhalt: Datenschutz im Verein – Antworten zu häufig gestellten Fragen

Nicht nur Niedersachsen, auch Sachsen-Anhalt hat Vereinen aktuelle Informationen (Datenschutz im Verein – Antworten zu häufig gestellten Fragen) zur Hand gegeben, mit Stand April 2023.

8.3 EU plant digitalisierte Reisedokumente

Was soll dabei schon schief gehen?
Aber wahrscheinlich bin ich einfach nur alt, weil ich nicht für alles auch immer eine App haben will...
Und von Digitalzwang (siehe beim Preis für DHL) fangen wir da mal gar nicht erst an.

8.4 Irland: Kritik an Datenschutzaufsicht verboten...

Wir müssen – nachdem es hier noch als Frage formuliert war – festhalten, dass sie es getan haben. noyb kündigt an, dass sie diese nun gesetzlich fundierte Strafandrohung zukünftig nicht davon abhalten wird sich legitim öffentlich über DSGVO-Fälle zu äußern. Gut so! Das ist meiner Meinung nach unterstützenswert!
Manchmal passt es ja wie die sprichwörtliche Faust auf Auge: Der von der EU-Kommission vorgelegte Vorschlag einer DSGVO-Verfahrensverordnung ist laut noyb ein Angriff auf die Rechte der Nutzer in DSGVO-Verfahren.
Schön, wenn wieder "von allen Seiten" Hand an den Datenschutz gelegt wird. Jetzt fehlt nur noch, dass die Wirtschaft sich beschwert. Ach nee, hatten wir ja auch gerade erst wieder...

8.5 "Ein Ring, sie zu filmen..."

Nein, das ist kein missglücktes "Herr der Ringe"-Zitat (das kann ich richtig), es geht um die Amazon-Tochter Ring:
Zum einen hat der Handelskonzern Amazon mit mehreren Millionenzahlungen zwei Rechtsstreitigkeiten mit der amerikanischen Federal Trade Commission (FTC) beendet. Aus dem Artikel:

Laut Gerichtsakte hat ein Angestellter der später von Amazon übernommenen Firma Ring im Jahr 2017 heimlich Kundinnen mit Sicherheitskameras beobachtet, die in Schlaf- und Badezimmern platziert waren. Die Überwachungskameras übertragen ihre Aufnahmen in die Cloud, auf die Angestellte von Ring unbegrenzten Zugriff hatten, so steht es in der FTC-Beschwerde. »Als Ergebnis der laxen Einstellung zum Datenschutz und zur Sicherheit konnten Mitarbeiter und externe Auftragnehmer sensible Videodaten von Kunden ansehen, herunterladen und übertragen«, begründet die Behörde ihr Vorgehen gegen den Konzern.

Zum anderen hat das gleiche Kamera-System dazu geführt, dass ein Ring-Nutzer im Mai 2023 eine Woche ohne jeglichen Zugang zu seinen Amazon-Accounts klarkommen musste (Was für mich persönlich kein Problem wäre, aber ich nutze auch kaum etwas bewusst von Amazons Dienstleistungen. Und ja, ich weiß, da bin ich mal wieder die Ausnahme... Warum ich das unter anderem bin, steht in diesem Artikel (Also nichts über mich, sondern ein Grund dafür, warum ich deren Dienste nicht nutzen mag.) – ich sag nur Labyrinth 🤦‍♂️).
Was fällt mir dazu ein? Ach ja, was soll dabei schon schiefgehen, wenn ich Videokameras an Türen verbaue und sie mit der Cloud verbinde...

8.6 Wahlcomputer sind sicher...

... sagt Mitre*. Aber nicht alle stimmen zu. Hier wird das gewohnt pointiert kommentiert.

* Franks Anmerkung: Die können übrigens keine funktionierenden Cookiebanner. Zumindest bei mir jetzt beim Erstellen dieses Beitrags führt der Klick auf "Reject all optional cookies" in eine Endlosschleife (ich wollte den Bericht suchen, finde ihn aber nicht schnell und denke mir "Meh, dann geht's auch ohne...").

8.7 Warum Whistleblowerschutz wichtig ist

Wer über die Sinnhaftigkeit des Whistleblowerschutzes nachdenkt (die ja durch das kürzlich (endlich) verabschiedete Hinweisgeberschutzgesetz momentan in aller Munde ist, es ist nun anwendbar), sollte sich vielleicht diesen Beitrag durchlesen. Solche Zustände wollen wir nicht, oder?

8.8 Is Google reCAPTCHA GDPR Compliant?

Das ist eine gute Frage, die auf dieser Seite gestellt wird. Die Antwort gibt es im auf den Artikel folgenden FAQ-Bereich. Für Sie und mich sicher nicht unerwartet, aber vielleicht wollen Sie ja mal eine schwer zu überzeugende Marketingabteilung mit einer Seite "von Experten" zu überzeugen versuchen. Solange es wirkt...

8.9 Sichere Datenträgerentsorgung? Shreddern!

Oder doch nicht? Dieser Artikel beschreibt, warum das zum einen schlecht für die Umwelt ist und was zum anderen alternativ getan werden kann.

8.10 The horns of a dilemma

In diesem Beitrag wird über mögliche Zukunftsszenarien für das Fediverse spekuliert. Keine finde ich wirklich gut. Aber lesen Sie selbst.

8.11 The AI Incident Database

Wenn's mal wieder schief gegangen ist, können Sie es vielleicht hier nachlesen, solange es um KI im engeren oder weiteren Sinne ging.
Was es alles so für informative Seiten da draußen gibt...

8.12 Apropos datenschutz-wiki.de...

Es ist wieder da! Seit heute ist das Datenschutz-Wiki in einer Read-Only-Version wieder verfügbar. Manchen mag es aufgefallen sein, dass seit Mitte Juni die Links auf (u.a.) Artikel der DS-GVO in diesem Blog nicht mehr klappten. Das lag daran, dass das Datenschutz-Wiki kurzfristig nicht verfügbar war. Aber nach einigen Arbeiten im Hintergrund ist es nun wieder da und das wird es auch für die absehbare Zukunft bleiben.
Wie genau das Datenschutz-Wiki in Zukunft betrieben wird, ob es eine reine Informationsplattform (so wie es das jetzt gerade ist) bleibt oder wieder ein vollwertiges Wiki-System wird, das wird sich in den nächsten Wochen entscheiden.
Aber allen, die es vermisst haben: Das Datenschutz-Wiki ist wieder da.
Manchmal kommen sie halt wieder... Und nicht immer sind es jugendliche Autofahrer oder Zombies.

8.13 Neue, sich in der Entwicklung befindliche sowie angedachte EU-Gesetzgebungsverfahren, die einen Datenschutzbezug haben

Wir berichten ja ab und zu über all die schönen EU-Gesetzesvorhaben, die uns aktuell und in Zukunft rund ums Thema Datenschutz begegnen werden. Ohne die Quelle zitieren zu können habe ich hier mal eine Liste für Sie. Kennen Sie alle Vorhaben? Haben Sie bereits für alle bewertet, ob diese für Sie relevant sind?

Neue Gesetze:

• Critical Entities Resilience Directive (CER)
• Data Act
• Data Governance Act (DGA)
• Digital Markets Act (DMA)
• Digital Operational Resilience Act (DORA)(see also associated directive)
• Digital Services Act (DSA)
• General Product Safety Regulation (GPSR)
• NIS 2 Directive

In der Entwicklung befindliche Gesetzesvorhaben:

• AI Act
• AI Liability
• Consumer Credit Directive
• CSAM Regulation
• Cyber Resilience Act
• Cyber Security Act
• Cyber Solidarity Act
• Data Collection and Sharing Relating to Short-Term Accommodation Rental Services Regulation
• ePrivacy Regulation
• European Health Data Space (EHDS)
• European Media Freedom Act
• Platform Work Directive
• Political Advertising Regulation
• Product Liability Directive (PLD)

Geplante EU-Gesetzesvorhaben:

• Cookie Pledge
• Fitness Check on EU Consumer Law
• GDPR Procedural Rules

Uff, da steckt viel Arbeit drin... (nicht in der Liste, aber in der Beschäftigung mit den einzelnen Themen). Und ich garantiere natürlich nicht dafür, dass die Liste abschließend ist...

8.14 The password game

Zum Abschluss habe ich noch ein kleines Spiel für Sie. Und hier passend dazu einen kurzen Artikel zur Erläuterung (der aber nicht wirklich notwendig ist, um es spielen zu können).

9.1 Klimaschutz durch Datenschutz

Dass Nachhaltigkeit in der IT was mit Stromverbrauch und seltenen Erden zu tun haben kann, sollte sich herumgesprochen haben. Dass mobilsicher.de hier auch einen weiteren Schwerpunkt seiner Aufklärungsarbeit setzt, sicherlich auch. Dass aber Datenminimierung und Datensparsamkeit auch ihren Beitrag leisten können, können Sie hier selbst nachrechnen lassen: Über die Anwendung werden CO2-Einsparungen durch das Löschen nicht gebrauchter Dateien errechnet.