Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 27/2022)“
Hier ist der 45. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 27/2022)“.
- Aufsichtsbehörden
- EDPS: Ende der Übergangs-Ad-Hoc-Regelung für Cisco für Drittstaatentransfer
- BfDI: Erklär-Videos für Kinder
- Podcast mit dem LfDI BW
- LfDI BW: Endet die Amtszeit 2022?
- Hamburg: Unzureichende Anonymisierung von Urteilen
- BNetzA: Hinweise zu Einwilligungen in Telefonwerbung
- Katholisches Datenschutzzentrum: Aussagen zu M365
- Luxemburg: Zertifizierungsverfahren durch die dortige Aufsichtsbehörde angenommen
- Niederlande: Streit um „berechtigte Interessen“
- Italien: Google Analytics ohne ausreichende Garantien für Drittstaatentransfer
- Italien: TikTok und personalisierte Werbung
- Italien: Bußgeld i.H.v. 20.000 Euro wegen Videoüberwachung in Restaurant
- Irland: Entscheidungsentwurf zu Facebook
- Standortdaten in Österreich und Spanien als personenbezogenes Datum?
- Österreich: FAQ zu Cookies und Datenschutz
- CSC: Arbeitsprogramm für 2022-2024
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- „Abmahnwelle“ wegen Google Webfonts
- GDD: Praxishilfe Drittstaatentransfer
- Kurzgutachten zu Privacy-Shield-Nachfolger TADPF
- Abschaffung von Passwörtern durch FIDO?
- Journalistische Sorgfalt im Internet
- Digitalstrategie setzt auf Open Source
- Rückblick: Cyberattacke in Anhalt-Bitterfeld
- Wieder Datenleck bei Hotelkette
- CoWorking Spaces für Rechtsanwälte
- Zufahrtsmanagement in Wiener Innenstadt
- Apple und Reaktion auf Pegasus
- Veranstaltungen
- Statt vieler Tipps: Bleibt daheim, das Virus geht (immer noch) um…
- FAU Erlangen-Nürnberg Online Ring-/ Kolloquiumsvorlesung „Digitale Souveränität“
- Bayerisches Staatsministerium für Digitales: Online-Kurse zur Blockchain-Technologie
- Gesellschaftspolitische Diskussionen
- Tracking und Abtreibungen
- Verbraucherschutzverbände gegen das Überwachungssystem von Google
- Google und Sanktionen gegen russische Firmen
- Meta und Bilder von Kindern
- TikTok in den USA – wie lange noch?
- Datenschutz und Katzen
- DSiN: Informationen zum „digitalen Ich“
- Nutzung sozialer Medien durch Bundesregierung
- Kleines Happy End eines Klägers gegen Facebook
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Ende der Übergangs-Ad-Hoc-Regelung für Cisco für Drittstaatentransfer
Eine (bisher weniger bekannte) Möglichkeit der Zulässigkeit eines Drittstaatentransfers ist die Genehmigung von entsprechenden vertraglichen Regelungen durch die zuständige Aufsichtsbehörde. Das nennt sich dann “ad hoc”-Regelung. Ist davon der Zuständigkeitsbereich mehrerer Aufsichtsbehörden betroffen sind diese in die Entscheidung einzubeziehen. Der EuGH hat davon bezüglich der Nutzung von Komponenten und Dienstleistungen von Cisco Gebrauch gemacht und da er unter der alleinigen Aufsicht des Europäischen Datenschutzbeauftragten steht, hat dieser damals allein genehmigt. Und um es noch etwas komplizierter zu machen: Denken Sie daran, dass für Europäische Einrichtungen nicht die DS-GVO gilt, sondern eine andere Verordnung, aber mit den im Wesentlichen gleichen Regularien. Der EuGH nutzte die Möglichkeit des Art. 48 Abs. 3 der Verordnung 2018/1725 und der EDPS hatte diesen Formulierungen Ende August 2021 als ausreichende Grundlage des Datentransfers zugestimmt, dies aber bis Ende September 2022 befristet. Jetzt warten wir mal ab, was danach passiert. (Der Vollständigkeit halber: In der DS-GVO ist dies unter Art. 46 Abs. 3 lit. a analog geregelt.)
1.2 BfDI: Erklär-Videos für Kinder
Im letzten Jahr erfreute der BfDI mit Pixi-Büchern zur Erklärung von Privatheit und dem entsprechenden Wissen dazu, nun legt er mit kurzen animierten Videos zu diesen Themen nach. Er behandelt dabei Themen wie „Was ist Datenschutz?“, Was bedeutet privat?“, „Wer schützt meine Daten?“, „Mehr Sicherheit im Internet“ und „Tipps für den Ernstfall“. Aber das wissen Sie sicher schon alles, Sie lesen hier ja immer gut mit!
1.3 Podcast mit dem LfDI BW
Im Podcast mit dem LfDI BW (Dauer ca. 52 Min) eines geschätzten Experten sprechen diese zunächst über Personalgewinnung bei Aufsichtsbehörden, Abgrenzungen zwischen Datenschutzrecht und allgemeinem Persönlichkeitsrecht, aber es werden auch aktuelle Fragestellungen diskutiert wie pauschale Schadenersatzforderungen bei der Einbindung von Google Webfonts. Auch Diskussionen auf Twitter werden angesprochen, wie die Europarechtskonformität des § 29 BDSG und inwieweit ein Mandant im Rahmen eines Auskunftsbegehrens auch die Daten offenlegen muss, welche er an einen Berufsgeheimnisträger – wie einen Rechtsanwalt – gegeben hat (ab Min. 45).
1.4 LfDI BW: Endet die Amtszeit 2022?
Berichten zufolge wird die Benennung des bisherigen LfDI BW nicht mehr verlängert, so dass seine Amtszeit Ende 2022 endet. Dabei wurde als Grund nur angegeben, es habe keine Einigung auf künftige Projekte erfolgen können. Ob damit mehr gemeint ist als die Haushaltsgestaltung, blieb dabei offen.
Nach diesem Bericht des SWR scheint es so zu kommen. Dort wird wie folgt berichtet: „Jetzt sucht der 56-jährige Jurist nach eigenen Worten eine neue Herausforderung. Er werde dem Thema aber treu bleiben und ab dem kommenden Jahr von Berlin aus in einer privaten Tätigkeit das ‚Megathema Digitalisierung‘ betreuen.“
1.5 Hamburg: Unzureichende Anonymisierung von Urteilen
Die freie juristischen Datenbank OpenJur wurde Anfang 2009 durch den gemeinnütziger openJur e.V. mit Sitz in Hamburg gegründet. Durch sie bekommt man Urteile frei zugänglich und sie trägt damit wesentlich zu einem breiten Rechtsverständnis durch Zugang zu Entscheidungen bei. Nun hat sie Ärger mit der Hamburger Datenschutzaufsicht. Warum? Weil ein Urteil, das OpenJur veröffentlicht hat, durch das zuständige Gericht nicht ordnungsgemäß anonymisiert wurde. Im konkreten Fall ging es um eine mietrechtliche Streitigkeit und das Gericht hatte einen Namen und die Anschrift des ehemaligen Mietobjekts vergessen. Und OpenJur das Urteil nicht auf unzureichende Anonymisierung geprüft, Genau das aber verlangt nun nach Aussagen von OpenJur die Hamburger Datenschutzaufsicht. Das wird dann wirtschaftlich kaum zu machen sein. OpenJur arbeitet gemeinnützig und Spenden können steuerlich geltend gemacht werden. Auch wenn bereits fähige Jurist:innen ihre Unterstützung zusagten, wäre es schade, wenn dieses Angebot vom Markt fliegt – wegen der Unfähigkeit von Gerichten zur Anonymisierung.
1.6 BNetzA: Hinweise zu Einwilligungen in Telefonwerbung
Über § 7a UWG sind Einwilligungen in die Telefonwerbung fünf Jahre ab Erteilung bzw. nach der letzten Verwendung aufzubewahren. An was dabei alles zu denken ist, hat die BNetzA in ihren Hinweisen dargestellt. Dabei legt die BNetzA auch die eingegangenen Stellungnahmen im Rahmen ihres Konsultationsverfahrens offen. Diese Nachweispflicht gibt dann eine eigene Rechtsgrundlage, auch wenn die beworbene Person später ihre Einwilligung widerruft – nicht vergessen das Verzeichnis der Verarbeitungstätigkeiten anzupassen und bei Auskunfts- und Löschbegehren darauf hinzuweisen.
1.7 Katholisches Datenschutzzentrum: Aussagen zu M365
Unter den Vorgaben des Art. 91 DS-GVO können religiöse Vereinigungen ihr eigenes Datenschutzrecht und dafür auch Aufsichtsbehörden bilden. Und sehr viele glauben die Anforderungen dazu zu erfüllen bzw. – sollten sie sie nicht erfüllen – diskriminiert zu werden. Dies führt dazu, dass es zu ganz weltlichen Fragestellungen im Datenschutz oft auch Aussagen kirchlicher Datenschutzaufsichtsbehörden gibt. So gab es bereits 2019 eine Einschätzung des Katholischen Datenschutzzentrums Frankfurt/Main zum Einsatz von Office 365 in der MS Cloud. Dies wurde nun aktualisiert zu Datenschutzrechtlichen Aspekten von Microsoft 365. Die Kritikpunkte sind nicht neu (z.B. Nutzung von Daten zu eigenen Zwecken, Drittstaatentransfer), so dass das Fazit wenig überraschen wird:
„Eine genaue Prüfung der datenschutzrechtlichen Aspekte bei einem etwaigen Einsatz von Microsoft 365 und oftmals auch eine Datenschutz-Folgenabschätzung sind unumgänglich. Kann ein datenschutzkonformer Einsatz nicht sichergestellt werden, ist davon abzusehen bzw. ist dieser zu beenden. Falls Microsoft 365 bereits eingesetzt wird, ist es daher empfehlenswert, als Verantwortlicher eine Exit-Strategie für einzelne Module aber auch für die gesamte Plattform zu entwickeln und zügig umzusetzen. Für einen Umstieg kann nötigenfalls aus zahlreichen alternativen Angeboten ausgewählt werden.“
1.8 Luxemburg: Zertifizierungsverfahren durch die dortige Aufsichtsbehörde angenommen
Die Luxemburger Aufsichtsbehörde hat das Zertifizierungsverfahren GDPR-CARPA für Auftragsverarbeitungen selbst erarbeitet. Anschließend wurden diese Kriterien von den anderen europäischen Aufsichtsbehörden, im Rahmen des europäischen Kohärenzverfahrens, analysiert und waren Gegenstand eines Beschlusses des Europäischen Datenschutzausschusses (EDSA). Auf europäischer Ebene und innerhalb des EDSA war die CNPD nach eigenen Angaben die treibende Kraft für das Fortschreiten der Arbeiten zum Thema Zertifizierung, insbesondere in der Rolle des Berichterstatters für die entsprechenden Leitlinien, oder um den EDSA zu unterstützen seine Stellungnahmen zu diesem neuartigen Thema auszuarbeiten.
Das einzigartige Merkmal des Zertifizierungsverfahren der CNPD bestünde in der Tatsache, dass es auf einem ISAE 3000 Type 2 Bericht beruhe, welcher es erlaubt unter der Verantwortung des Prüfers eine Einschätzung zur richtigen Implementierung des Kontrollschemas vorzunehmen. Dies garantiere ein hohes Anforderungsniveau, ein entscheidendes Kriterium, um bei den verschiedenen Akteuren, und insbesondere bei den betroffenen Personen, ein hohes Gefühl des Vertrauens in Bezug auf die Datenverarbeitung, welche unter das Zertifizierungsschema fällt, zu erzeugen. Das Zertifikat wurde auf einer Konferenz am 28. Juni 2022 vorgestellt, mehr dazu hier.
1.9 Niederlande: Streit um „berechtigte Interessen“
Die EU-Kommission hat die Aufgabe die ordnungsgemäße Anwendung EU-Rechts innerhalb der Mitgliedsstaaten sicherzustellen. Die EU-Kommission stört sich an einer Veröffentlichung der niederländischen Aufsichtsbehörde aus dem Jahr 2019, in der diese im Rahmen der Betrachtung des Art. 6 Abs. 1 lit. f DS-GVO reine kommerzielle Interessen als berechtigte Interessen ausschließt. Dies führe dazu, dass es bei der 3-Schritt-Prüfung (Berechtigte Interessen, Erforderlichkeit, Abwägung mit Interessen der betroffenen Person) rein kommerzielle Interessen nie über die erste Stufe schaffen würden. Der Schriftwechsel zwischen Aufsicht und Kommission dazu ist auch zugänglich. Diese Woche entscheidet ein niederländisches Gericht über einem Fall, in dem die Aufsicht entsprechend ein Bußgeld verhängt hatte, weil es kommerzielle Interessen nicht akzeptierte.
Bei den deutschen Aufsichtsbehörden bestand übrigens bei kommerziellen Interessen nie ein Zweifel, dass sie berechtigte Interessen darstellen können. Nur, falls mal wieder jemand jammert, deutsche Aufsichtsbehörden seien diejenigen mit der engsten Auslegung des Datenschutzrechts.
1.10 Italien: Google Analytics ohne ausreichende Garantien für Drittstaatentransfer
Was sollen wir noch groß berichten? Mit der italienischen Garante gibt es eine weitere europäische Datenschutzaufsicht, die den Einsatz von Google Analytics als unrechtmäßig erklärt, solange dabei nicht angemessene Schutzmaßnahmen für den Drittstaatentransfer verwendet werden.
1.11 Italien: TikTok und personalisierte Werbung
In Italien geht die dortige Aufsichtsbehörde Garante gegen TikTok vor, weil sie personalisierte Werbung nicht als berechtigtes Interesse ansieht. Sie erwartet für diese Verarbeitung eine entsprechende Einwilligung durch die Nutzer.
1.12 Italien: Bußgeld i.H.v. 20.000 Euro wegen Videoüberwachung in Restaurant
Das Mitleid hält sich in Grenzen: Videoüberwachung in einem Restaurant ohne Hinweis darauf und auf Schreiben der Aufsicht überhaupt nicht reagiert? Die Quittung dafür beträgt durch die italienische Aufsicht Garante 20.000 Euro.
1.13 Irland: Entscheidungsentwurf zu Facebook
Nach Informationen von noyb geht die irische Aufsicht nicht von einer Untersagung des Drittstaatentransfers von Facebook in die USA aus. Sie hat ihren Entwurf erst den anderen Aufsichtsbehörden gemäß Art. 60 DS-GVO übermittelt, diese können nun innerhalb von vier Wochen Einspruch einlegen. Unbestätigten Informationen zufolge könnte aber der Drittstaatentransfer untersagt werden.
1.14 Standortdaten in Österreich und Spanien als personenbezogenes Datum?
Sind Standortdaten, die bei der Nutzung eines Mobilfunktelefons anfallen, personenbezogene Daten? In Spanien weigerte sich ein Provider diese Daten zu beauskunften und wurde dabei durch die dortige Aufsichtsbehörde unterstützt. Das NGO noyb lässt diese Ansicht nach diesem Bericht nun in Spanien gerichtlich überprüfen. Aber auch in Österreich wurde dies durch die dortige Datenschutzbehörde vertreten: Allein durch den Standort sei nicht zuordnenbar, wer das Gerät tatsächlich benutze. Auch dort lässt es noyb gerichtlich überprüfen.
Franks Nachtrag: Das kann ich bestätigen.
1.15 Österreich: FAQ zu Cookies und Datenschutz
Zu der Umsetzung europarechtlicher Vorgaben von Cookies und anderer technischer Möglichkeiten, die sich in Endgeräten einspeichern oder auslesen lassen, hat die österreichische Datenschutzbehörde (DSB) eine FAQ-Liste veröffentlicht. Bei der Verwendung ist darauf hinzuweisen, dass die Umsetzung den Mitgliedsstaaten obliegt und sich daraus auch Besonderheiten in den Zuständigkeiten, aber auch in der Interpretation ergeben können. Bei der Beantwortung der Fragen stellt die DSB auch dar, wann es noch keine Judikatur des EuGH zu bestimmten Themen gibt, wie zu der Frage „pay or ok“.
1.16 CSC: Arbeitsprogramm für 2022-2024
Das Coordinated Supervision Commitee (CSC) hat sein Arbeitsprogramm für die Jahre 2022 bis 2024 veröffentlicht. Es findet seine rechtliche Grundlage in Art. 62 der VO 2018/1725 und koordiniert die Überwachungsaufgaben der Aufsichtsbehörden der Mitgliedsstaaten und des Europäischen Datenschutzbeauftragten.
2 Rechtsprechung
2.1 EuGH: Umfang der Auskunft
Inwieweit sind bei einer Auskunft die konkreten Empfänger von Daten anzugeben? Der Generalanwalt hat sich in einem Fall in seiner Stellungnahme dafür ausgesprochen, dass das vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken sei. Dieses Auskunftsrecht könne nur dann auf die Angabe von Kategorien von Empfängern beschränkt werden, wenn es aus tatsächlichen Gründen unmöglich ist die konkreten Empfänger der Offenlegungen der die betroffene Person betreffenden personenbezogenen Daten zu bestimmen, oder wenn der Verantwortliche nachweist, dass die Anträge der betroffenen Person im Sinne von Art. 12 Abs. 5 DS-GVO offensichtlich unbegründet oder exzessiv sind.
2.2 OLG Hamm: Verstöße gegen DS-GVO und UWG und Nichtigkeit eines Vertrags
Verstoßen Vereinbarungen über die Beschaffung von Adressdaten gegen datenschutz- und wettbewerbsrechtliche Vorgaben, kann die Vereinbarung dazu nichtig sein. Im entschiedenen Fall des OLG Hamm ging es um die Daten potenzieller Immobilien-Verkäufer. Die Klägerin bot in ihrem Internet-Auftritt Maklern Terminierungen, sog. Opt-Ins (Erlaubnisse für Anrufe seitens des Maklers) und „Sign-Ups“ (Zustimmung der Eigentümer zum Angebot durch Makler), an. Entsprechend wurde sie beauftragt Kontakte mit potentiellen Verkäufern / Vermietern von Immobilien und Grundstücken zwecks Erstkontakt zu vermitteln und zu übermitteln. Dabei verstieß sie jedoch gegen § 7 Abs. 2 UWG und missachtete die Anforderungen an die Einwilligung nach Art. 4 Nr. 11 DS-GVO. Mit der Folge, dass die Klage auf Vergütung wegen Nichtigkeit der Vereinbarung keinen Erfolg hatte. Details dazu finden Sie hier.
2.3 BAG: Corona-Testpflicht für Arbeitnehmer
Durfte ein Arbeitgeber von seinen Beschäftigten im Frühherbst 2020 verlangen, dass sie nur nach Vorlage eines negativen PCR-Tests an ihren Arbeitsplatz dürfen? Eine Flötistin eines Opernorchesters verweigerte dies und musste Gehaltskürzungen hinnehmen. Zu Recht, wie nun auch das Bundesarbeitsgericht bestätigte. Der Arbeitgeber hatte zudem umfängliche technische und organisatorische Vorgaben zur Infektionsvermeidung ergriffen. Der mit der Durchführung der Tests verbundene minimale Eingriff in die körperliche Unversehrtheit sei verhältnismäßig. Auch das Grundrecht auf informationelle Selbstbestimmung mache die Testanordnung nicht unzulässig, zumal ein positives Testergebnis mit Blick auf die infektionsschutzrechtlichen Meldepflichten und die Kontaktnachverfolgung ohnedies im Betrieb bekannt würde. Da hiernach die arbeitgeberseitige Anweisung zur Umsetzung des betrieblichen Hygienekonzepts rechtmäßig war, habe der beklagte Freistaat zu Recht eingewandt, dass Vergütungsansprüche wegen Annahmeverzugs im streitgegenständlichen Zeitraum, jedenfalls mit Blick auf den fehlenden Leistungswillen der Klägerin, die die Durchführung von PCR-Tests verweigert hat, nicht bestehen.
2.4 OVG Bremen: Keine Nutzungspflicht von E-Mail-Adressen für Psychotherapeuten
Eine Psychotherapeuten-Kammer verpflichtete ihre Mitglieder über die Satzung eine gültige und personalisierte E-Mail-Adresse mitzuteilen, die für Korrespondenz genutzt werden könne. Ein Mitglied ließ dies gerichtlich überprüfen und bekam Recht: Die Kammer hätte keine Befugnis dies zu fordern, urteilte nach dieser Kanzleimeldung das OVG Bremen.
3 Gesetzgebung
3.1 TTDSG: redaktionelle Änderungen
Sicherlich hätten einige noch mehr Änderungswünsche gehabt: Die Änderungen, die zum TKModG und TTDSG im BGBl. verkündet wurden, haben nur redaktionellen Charakter bei Verweisungen.
3.2 EU: Digital Service Act
Noch gibt es keine offizielle Endfassung der Einigung der am Gesetzgebungsverfahren beteiligten Organe zum Digital Service Act, aber hier findet sich schon mal eine Zusammenfassung.
3.3 EU: Überwachung in Autos
Ich hatte es nicht mitbekommen. Nach diesem Bericht müssen seit 6. Juli 2022 alle neuen Kraftfahrzeuge, darunter fallen Pkw, Lkw, Transporter und Busse, mit dem intelligenten Geschwindigkeitsassistenten ISA (Intelligent Speed Assistant) ausgestattet sein. Der Autofahrer wird dabei in Echtzeit überwacht. Das Fahrtempo wird aufgezeichnet und kann abgerufen werden. Die Steuerung kann das Fahrzeug sogar zum Stillstand bringen. Begründet werde die Einführung des neuen Systems ISA damit, dass sich auf diese Weise die Zahl der Verkehrstoten und Schwerverletzten reduzieren lasse. Der Geschwindigkeitsassistent beruht auf einer EU-Verordnung aus dem Jahr 2019, die neue Regeln für den Straßenverkehr ab 6. Juli dieses Jahres vorschreibt. Und der Geschwindigkeitsassistent ist nicht die einzige neue Vorschrift. Neben dem intelligenten Geschwindigkeitsassistenten ISA kommt der obligatorische Rückfahrt-, Notbrems- oder Notfall-Spurhalteassistent, eine Müdigkeitserkennung, eine Alkohol-Wegfahrsperre, ein Sicherheitsgurt-Warnsystem sowie eine Unfalldatenspeicherbox, üblicherweise Black Box genannt. Teilweise sind diese Vorrichtungen bereits jetzt schon in vielen Fahrzeugen verbaut, nun werden sie alle zur Pflicht.
3.4 EU: Schutz der psychischen Gesundheit in der digitalen Arbeitswelt (2021/2098(INI))
Auch auf europäischer Ebene sorgt man sich, wie man psychischen Problemen in der digitalen Arbeitswelt vorbeugen kann. Das Parlament hat hierzu eine Entschließung getroffen, die der Kommission und dem Rat übergeben werden soll, in der Kommission und Mitgliedsstaaten aufgefordert werden entsprechende Rechtsrahmen und Maßnahmen sicherzustellen. Dabei geht es nicht nur um die Erfahrungen aus Situationen der Pandemie, der technische Einsatz – wie zum Beispiel – von KI oder auch das Recht auf Nichterreichbarkeit werden ebenfalls als Aspekte in dem 19-seitigen Papier genannt. In Deutschland sind bereits über § 5 Abs. 3 Nr. 6 ArbSchG psychische Belastungen bei der Arbeit als Gefährdung durch den Arbeitgeber zu beurteilen.
3.5 BMUV: Stärkung der Verbraucherrechte
Wie hier schon mal angekündigt: Ab 1. Juli 2022 müssen Verbraucher:innen Onlineverträge ebenso leicht kündigen wie abschließen können. Grundlage hierfür ist § 312k BGB, der die Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr regelt. Das BMUV hat dazu eine Information verfasst, Details zur Umsetzung finden sich auch hier.
3.6 Bundestag: Anhörung zu digitalen Identitäten
Im Bundestag fand die Expertenanhörung zu digitalen Identitäten statt. Auch der BfDI beteiligte sich. Die Anhörung ist noch als Aufzeichnung und als Bericht im Bundestag verfügbar. Im Ergebnis waren sich die Experten:innen ziemlich einig, dass Identitätsdaten eine hohe Attraktivität für Kriminelle haben. Blockchain-Technologie sei dafür nicht erforderlich.
Franks Anmerkung: Der Bitkom hofft auf den Markt? Was dann passieren wird, kann ich mir denken.
3.7 UK: Veröffentlichung einer Bill of Rigths
Im Vereinigten Königreich wurde wie angekündigt ein Gesetzesentwurf veröffentlicht (gleich mit Impact Assessment), dessen Umsetzung den Angemessenheitsbeschluss der EU-Kommission gefährden könnte. Details dazu hier.
4 Künstliche Intelligenz und Ethik
4.1 Veröffentlichte CDR-Berichte
„Corporate Digital Responsibility (CDR) bezeichnet freiwillige unternehmerische Aktivitäten, die insbesondere im Sinne der Verbraucherinnen und Verbraucher über das gesetzlich Vorgeschriebene hinausgehen und die digitale Welt aktiv zum Vorteil der Gesellschaft mitgestalten. CDR kann einen wesentlichen Beitrag dazu leisten, die digitale Transformation fair und zum Vorteil aller zu gestalten. Sie fördert damit eine nachhaltige Entwicklung.“ So beginnt die Einleitung der Veröffentlichung einiger CDR-Berichte auf einer durch das BMUV geförderten Austauschplattform. Die Branchen der dort aufgeführten Unternehmen sind unterschiedlich, die Unternehmen sind aber überregional bekannt und bekennen sich zu ihrer unternehmerischen Verantwortung. Nicht nur einmal fällt der Satz: Im Mittelpunkt der digitalen Transformation steht der Mensch.
4.2 Reihe auf Arte zu Künstlicher Intelligenz
Der Spartensender Arte stellt in seiner Mediathek eine mehrteilige Reihe zum Abruf bereit, die sich mit den Auswirkungen der Künstlichen Intelligenz auf die Gesellschaft befasst.
4.3 Mythen zur Künstlichen Intelligenz
Mit den fünf gängigsten Mythen zur Künstlichen Intelligenz befasst sich dieser Beitrag einer Rechtsanwaltskanzlei. KI soll die Arbeit erleichtern, ihre Einführung ist aber nicht nur technisch, sondern auch rechtlich komplex und nur nützlich, sofern rechtssicher gestaltet.
5 Veröffentlichungen
5.1 „Abmahnwelle“ wegen Google Webfonts
Das LG München entschied in einem Fall, dass ein Kläger einen immateriellen Schaden in Höhe von 100 Euro zugesprochen bekomme, weil er eine Webseite besuchte, die Google Fonts so eingebunden hatte, dass dabei die IP-Adresse des Webseitenbesuchers in die USA übermittelt wurde. Nun gibt es republikweit Mitbürger (sind wohl bislang nur Männer), die Unternehmen anschreiben und daraus im wortwörtlichen Sinne Kapital schlagen wollen. Einige Expert:innen hatten sich schon dazu geäußert, hier ein Musterschreiben als denkbare Reaktion.
Franks Anmerkung: Kommt mir das nicht bekannt vor? Doch, klar, deswegen… Aber so ist es natürlich schöner formuliert. 😜
5.2 GDD: Praxishilfe Drittstaatentransfer
Die Gesellschaft für Datenschutz und Datensicherheit veröffentlichte ihre Praxishilfe zum Drittstaatentransfer. Diese berücksichtigt ausführlich die Änderungen durch Schrems II und die neuen Standarddatenschutzklauseln, die im Folgefehler der EU-Kommission weiterhin als SCC – Standard Contractual Clauses – abgekürzt werden). Ebenso ist eine Checkliste für ein TIA – ein „Transfer Impact Assessment“ – enthalten, um zu dokumentieren, an was man alles gedacht hat. Bei der Einwilligung in den Drittstaatentransfer weist die GDD darauf hin, dass sich eine Einschränkung der Einwilligung auf gelegentliche Übermittlung in der DS-GVO (Art. 49 Abs. 1 Satz 1 lit. a DS-GVO) nicht finden lässt.
Franks Anmerkung: Stimmt, das steht im Art. 49 Abs. 1 Satz 2 DSGVO.
5.3 Kurzgutachten zu Privacy-Shield-Nachfolger TADPF
Was kommt nach Privacy Shield? Privacy Shield 2? Trans-Atlantic Data Privacy Framework? Wird es die Zweifel ausräumen können? Es freut mich, wenn ein Gutachten (Download unter Angabe einer E-Mail-Adresse) eines der renommiertesten Datenschutzrechtlers auch zu meinem Ergebnis kommt: Rechtssicherheit wird es neben einer bewussten Einwilligung erst geben, wenn die USA ihr Recht ändern, nur dass das Gutachten das substantiierter und ausführlicher begründet, als ich es vermag.
5.4 Abschaffung von Passwörtern durch FIDO?
Zukünftig soll es möglich sein sich von all seinen Geräten aus sicher und ohne Passwort bei Online-Diensten anzumelden, verspricht die Allianz für Fast IDentity Online (FIDO). Bei der Synchronisierung der FIDO-Identitäten über die Cloud zeichne sich laut Meldungen jetzt ein Paradigmenwechsel ab: Die könne nämlich Ende-zu-Ende-verschlüsselt erfolgen – also, ohne dass die Cloud-Betreiber Zugriff darauf erhalten. Dazu habe sich nach Apple überraschend jetzt auch Google bekannt.
5.5 Journalistische Sorgfalt im Internet
Wer muss sich an journalistische Standards halten? Wer wird vom Deutschen Presserat und von den Landesmedienanstalten kontrolliert? Reicht dazu schon ein gelegentlicher Blogbeitrag? Das Meinungsfreiheit nicht unbedingt von ausreichendem Wissen abhängig gemacht wird, dazu gibt es (gerade bei Bloggern, aber eben nicht nur) noch einige Missverständnisse. Abhilfe gibt das Merkblatt für Journalistische Sorgfalt in Online-Medien, das durch „die medienanstalten“ herausgegeben wurde. Es ist zwar schon vom April 2021, aber nachdem ich immer noch mit Aussagen zu § 55 RStV konfrontiert werde, hier der dezente Hinweis mal zu prüfen, wo das zwischenzeitlich durch § 18 MStV ersetzt werden müsste.
5.6 Digitalstrategie setzt auf Open Source
Zwar wird sie vor der Sommerpause nicht mehr beschlossen werden, aber nach diesen Ankündigungen ist davon auszugehen, dass vermehrt auf Open-Source-Produkte in der öffentlichen Verwaltung gesetzt werden wird.
5.7 Rückblick: Cyberattacke in Anhalt-Bitterfeld
Wer sich noch daran erinnert: Vor einem Jahr wurde die Landkreis-Verwaltung Anhalt-Bitterfeld durch einen Cyberangriff lahmgelegt. Hier ein Rückblick und insbesondere der Satz gefiel mir:
„Kein privates Internet, keine fremdem USB-Sticks, ein striktes Passwort-Management – das sind nur einige der Lehren…“
Das war im Jahr 2021!
5.8 Wieder Datenleck bei Hotelkette
Wundern Sie sich nicht, sollten Sie wieder ein Schreiben nach Art. 34 DS-GVO bekommen. Es sollen unverschlüsselte Daten wie Zahlungsdaten etc. von dem Datenleck bei Marriot betroffen sein. Und ebenfalls nicht wundern, wenn Sie betroffen sind, aber nie im Marriot übernachtet haben: Zu der Kette gehören etliche Hotels mit eigenem Branding.
5.9 CoWorking Spaces für Rechtsanwälte
Arbeitsplatzgestaltungen brachten datenschutzrechtlich immer schon entsprechende Fragestellungen mit sich, egal, ob die Arbeitsräume nun Großraumbüro, Open Spaces oder CoWorking Spaces genannt werden. Relevant ist aus Datenschutzsicht dabei, ob über technische und organisatorische Maßnahmen (gemäß Art. 32 DS-GVO) die Anforderungen an die Vertraulichkeit gewahrt werden. Dieser Beitrag befasst sich nun mit der Nutzung von CoWorking Spaces durch Rechtsanwälte – und sieh an: Auch hier liegt der Schwerpunkt auf die Sicherstellung der Vertraulichkeit – wer kann mithören, wer kann auf Monitor und Unterlagen Einsicht nehmen und wie ist die entsprechende IT gesichert? Und dabei nicht vergessen – diese Anforderungen gelten natürlich auch für die jeweiligen „mitwirkenden Personen“, die ein Berufsgeheimnisträger einsetzt und auf die gleiche Verschwiegenheit verpflichtet hat.
5.10 Zufahrtsmanagement in Wiener Innenstadt
Kann eine Zufahrtsregelung in Innenstädten datenschutzkonform mittels Kameras gesteuert werden? In Wien scheint das möglich. Für die Umsetzung eines automatisierten Zonen-Zufahrtsmanagement berücksichtigt das Gutachten die Vorgaben der DS-GVO, insbesondere der Datenminimierung, weist aber auch auf erforderliche Änderungen in der österreichischen StVO hin. Das zeigt mal wieder, dass „Datenschutz“ nur für die ein „Totschlagargument“ ist, die ihn nicht frühzeitig in Planungen und Überlegungen einbeziehen (wollen).
5.11 Apple und Reaktion auf Pegasus
Berichten zufolge will Apple im Herbst ein Datenschutz-Tool („Lockdown“) für Journalisten und Aktivisten anbieten, nachdem der Pegasus-Fall des israelischen Unternehmens NSO die technischen Möglichkeiten einiger Spyware aufgedeckt hat. Laut Apple sei Lockdown „der ultimative optionale Schutz für eine kleine Anzahl von Benutzern […], deren digitale Sicherheit ernsthaft gefährdet ist“.
5.12 Veranstaltungen
5.12.1 Statt vieler Tipps: Bleibt daheim, das Virus geht (immer noch) um…
5.12.2 FAU Erlangen-Nürnberg Online Ring-/ Kolloquiumsvorlesung „Digitale Souveränität“
Im Juli gibt es im Rahmen der Online Ring-/ Kolloquiumsvorlesung „Digitale Souveränität“ noch folgende Veranstaltungen:
- 14. Juli 2022: Politische Ökonomien der digitalen Transformation – Prof. Dr. Sabine Pfeiffer (FAU)
- 21. Juli 2022: Privacy and Safety – Prof. Dr. Claudia Eckert (TU München)
- 28. Juli 2022: Trusted AI – Integrity by Desing als neues Qualitäts-Paradigma – Prof. Dr. Johannes Helbig (FAU) & Prof. Dr. Philipp Slussalek (DFKI Uni Saarland)
5.12.3 Bayerisches Staatsministerium für Digitales: Online-Kurse zur Blockchain-Technologie
Was ist eine Blockchain? Welche Rolle kann die Technologie bei der digitalen Transformation spielen? Was sind die technischen Grundlagen der Technologie? Diese und noch viele weitere Fragen werden in drei OPEN Virtuellen Hochschulkursen beantwortet, die in Kooperation mit der Virtuellen Hochschule Bayern vom Bayerischen Staatsministerium für Digitales gefördert werden.
6 Gesellschaftspolitische Diskussionen
6.1 Tracking und Abtreibungen
Die Welt scheint aus den Fugen. Nicht nur wegen der Ukraine. Kriminalisierung von Schwangeren in der westlichen Welt hätte man sich nicht mehr vorstellen können. Und dann wird auch hartnäckigen Tracking-Freaks vielleicht bewusst, dass lapidare Aussagen wie „Ich habe nichts zu verbergen.“ und „Was will man schon mit meinen Daten?“ auf einmal gruselige Konsequenzen haben können: Wer sucht nach Abtreibungskliniken oder informiert sich über Voraussetzungen einer Abtreibung? Bei der meist genutzten Suchmaschine zahlt man dafür mit diesen Informationen. Dass hier die Zweckbindung aus Art. 8 Abs. 1 der Europäischen Grundrechtecharta vielleicht auch unsere Freiheiten schützt scheint nun auch anderswo wahrgenommen zu werden. Selbst Google kündigt nach dieser Meldung an Standortdaten von Usern zu löschen, die „sensitive locations“ wie Abteinungskliniken besuchen. Facebook-Fanpage einer entsprechenden Einrichtung – immer schon eine blöde Idee. Jetzt merken es vielleicht nur mehr. Verwendung einer Zyklus-App, über die ausbleibende Zyklen an Werbepartner weitergebenen werden – Löschempfehlung.
Franks Anmerkung: Wie schnell das da drüben eskaliert… (wobei man der Fairness halber sagen muss, dass der Grund der Ausweisung mehr mit dem Haus- und Katzen-Sitting zu tun hatte).
6.2 Verbraucherschutzverbände gegen das Überwachungssystem von Google
Kaum hat der EuGH entschieden, dass nach Art. 80 DS-GVO Verbraucherschutzverbände auch ohne konkrete betroffene Person dahinter Rechte geltend machen können, wenden sie diese Möglichkeit an. Meldungen zufolge gehen zehn europäische Verbraucherschutzverbände gegen Google vor, weil Google über sein Anmeldesystem privatsphärenschützende Grundeinstellungen nicht ermögliche. Google sieht das anders, das Unternehmen geht davon aus, dass die Optionen bei der Erstellung eines Google-Kontos klar gekennzeichnet seien und auf den Richtlinien der Datenschutzbehörden beruhten.
6.3 Google und Sanktionen gegen russische Firmen
Gibt das Ärger für Google? Man mag es sich kaum vorstellen können. Aber offensichtlich scheint Google mit der Datenweitergabe im Rahmen des Real Time Bidding an russische Unternehmen gegen Sanktionen zu verstoßen. Mal gucken, was da noch passiert. Da scheinen die Amerikaner bezüglich ihren eigenen Daten ja ähnliche Befindlichkeiten zu haben wie wir Europäer.
6.4 Meta und Bilder von Kindern
Was hat man Meta (Mutterkonzern von Facebook, Instagram und WhatsApp) nicht schon alles nachgesagt, womit sie ihr Geld machen, und meisten auch vorgeworfen, dass Polarisierungen auf den Seiten traffic und damit Umsatz bringen. Nun sieht sich Facebook auch mit Vorwürfen konfrontiert nicht rigoros genug Abbildung von Kindern vor Pädophilen zu schützen.
6.5 TikTok in den USA – wie lange noch?
Ich hatte es weiter oben heute schon mal: Befürchtungen, die wir aus Europa kennen, wenn es Unsicherheiten bei der Zweckbindung der Verarbeitung personenbezogener Daten gibt, scheint es auch im Kulturkreis der US-Amerikaner zu geben. Diesmal aber nicht gegen Facebook, Google & Co., sondern bezüglich TikTok. Jedenfalls gibt es staatliche Aufforderungen an Google und Apple TikTok aus den jeweiligen App-Stores zu verbannen, weil deren App ein Sicherheitsrisiko darstelle und zudem nicht sicher sei, wie die darüber erhobenen Daten in China genutzt werden.
6.6 Datenschutz und Katzen
Wieder ein Beispiel, bei dem ich Aufsichtsbehörden nicht beneide. Seltene Vögel sollen geschützt, streunende Katzen im Arrest beaufsichtigt und der Datenschutz eingehalten werden. Ob dies alles gelingt, darf nun laut SWR der LfDI BW prüfen.
6.7 DSiN: Informationen zum „digitalen Ich“
Unter der Themenreihe „Das Digitale Ich – selbstbestimmt surfen“ bietet „Deutschland – sicher im Netz“ verschiedene Ratgeber an, z.B. zu „selbstbestimmt surfen“, „Datenschutz“, „Elektronischer Ausweis“, „Identitätsdiebstahl“ und „Digitaler Nachlass“. Die Ratgeber-Reihe entstand zusammen mit bitkom und der Schufa. Nie war der Aktionsname „sicher im Netz“ passender.
6.8 Nutzung sozialer Medien durch Bundesregierung
Zu den Aufgaben eines Datenschutzbeauftragten gehören nach Art. 39 Abs. 1 DS-GVO die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten. Aufsichtsbehörden haben die Aufgabe die Anwendung dieser Verordnung zu überwachen und durchzusetzen (Art. 57 Abs. 1 Nr. 1 DS-GVO). So nimmt man es auch wahr, dass die Aufsichtsbehörden zögerlich versuchen die Vorgaben des EuGH gegenüber Facebook-Fanpage-Betreibern durchzusetzen. So hat zwar das OVG Schleswig im November bestätigt, dass die Anordnung zur Deaktivierung der Fanpage in 2011 rechtmäßig war. Das Gericht musste aber dabei die rechtliche und tatsächliche Lage des Jahres 2011 zugrunde legen. Für die heutige Verarbeitungssituation durch Fanpage-Betreiber und Facebook sind die aktuellen rechtlichen Bestimmungen maßgeblich. Diese waren nicht Gegenstand des Verfahrens. So besteht die Fanpageseite der Wirtschaftsakademie Schleswig-Holstein immer noch. Und auch die Bundesregierung selbst macht es einem schwer diesbezüglich in einer Vorbildfunktion von Art. 20 Abs. 3 GG (Die Gesetzgebung ist an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden) wahrgenommen zu werden. Nach einer Antwort der Bundesregierung auf eine kleine Anfrage hin betreibt sie 415 Accounts in sozialen Medien. Aus den Anlagen der Antwort lässt sich entnehmen, welches Ministerium bzw. welche Bundeseinrichtung wo überall einen Account betreibt.
Wahrscheinlich wird sich an der Durchsetzbarkeit gerichtlicher Vorgaben erst etwas ändern, wenn Geschäftsmodelle entstehen, die Schadenersatzansprüche über Sammelklagen geltend machen. Spätestens, wenn der EuGH im Rahmen der aktuellen Vorlagen die Anforderungen an Schadenersatzansprüche niedrig halten sollte.
Bis dahin sollte jede(r) Datenschutzberatende bei der Einbindung von sozialen Netzwerken die Anforderungen der gemeinsamen Verantwortlichkeiten im Blick haben und ggf. auf die Risiken hinsichtlich der Inanspruchnahme durch Aufsichtsbehörden, Verbraucherschutzverbände und betroffenen Personen hinweisen.
Die Entscheidung und Verantwortung liegen sowieso bei den Entscheidungsträgern.
6.9 Kleines Happy End eines Klägers gegen Facebook
Manche erinnern sich noch an den Fall, als ein syrischer Flüchtling begeistert im Januar 2016 ein Selfie mit der damaligen Bundeskanzlerin machte, dieses Bild dann aber in sozialen Medien verunglimpft wurde, dem Mann terroristische Aktivitäten nachgesagt wurden und er beleidigt wurde. Im Zivilprozess gegen Facebook unterlag die Klage nach Löschung der entsprechenden Bilder, weil sich das Gericht damals nicht vorstellen konnte, dass dies technisch für Facebook mit zumutbarem Aufwand möglich sei und es den Ausführungen Facebooks folgte, es brächte eine „Wundermaschine“, um diese Bilder technisch aufzuspüren. Der Fall wurde damals durch den Klägeranwalt aufgrund von Gewaltandrohungen gegen ihn und seine Familie nicht weiter verfolgt. Insoweit mag es jetzt fast schon etwas tröstlich sein, dass zumindest die Flüchtlingsgeschichte ein kleines Happy End hat. Die Rechtslage hat sich zwischenzeitlich (vor einem anderen Gericht) übrigens zugunsten der Opfer von Hasskommentaren verbessert: Facebook muss Falschzitate löschen und Betroffene können sich nun besser wehren.
7 Sonstiges/Blick über den Tellerrand
7.1 Smartphone für Kinder?
Wann ist der passende Zeitpunkt für ein eigenes Smartphone für Kinder? Oft verbindet sich der Klassenwechsel damit. Welche Altersstufe Cyberkriminologen empfehlen, lesen Sie hier.
7.2 Tipps zur iPad-Nutzung
Sie suchen Tipps im Umgang mit dem iPad? Hier finden Sie z.B. praktische iPad-Gesten (Seite 14) oder mit welchen Bedienungshilfen sich mittels iPad Wissen vermitteln lässt.
7.3 Bilder an Schulen
Ein Schweizer Schule hat nach diesem Fernsehbericht unabsichtlich Daten der Schüler veröffentlicht, als es einen virtuellen Rundgang im Schulhaus veröffentlichte. Natürlich keine böse Absicht, trotzdem unangenehm. Der Bericht hat übrigens Untertitel, es ist Schwyzerdütsch und kein Einsatz von sprachlichen kryptografischen Mitteln.
Das Beispiel zeigt auch schön, warum manche Unternehmen ein Fotografierverbot in bestimmten Räumlichkeiten vorgeben. Eigenverantwortlichkeit kann auch Risiken erzeugen und dann auch zu Konsequenzen der Verantwortlichkeit führen.
7.4 Medienkompetenz: Wanderrouten
Schulklassen folgen einer Wanderempfehlung, die als „Feierabendroute“ beschrieben wird und müssen durch die Bergwacht gerettet werden. Weil alles glimpflich ausging, kann es auch bedenkenlos als Beispiel für Medienkompetenz herangezogen werden: Schien es zunächst so, als sei die Beschreibung unpassend gewesen, zeigt sich nach diesem Bericht nun, dass die Rahmenbedingungen für die Klassifizierung erkennbar gewesen wären.
8. Franks Zugabe
8.1 Android vs. iOS, Teil 2
Wie in der Meldung zum ersten Teil angekündigt war ich gespannt auf Teil 2. Dieser ist nun erschienen. Das Fazit überrascht weiterhin nicht wirklich.
8.2 BSI: Sichere Technik, auch auf Reisen
Passend zur Urlaubszeit: Tipps des BSI zu Urlaubsreisen.
8.3 NIST verkündet erste Verschlüsselungsalgorithmen für die Post-Quanten-Kryptografie-Zeit
Wie letzte Woche vermutet hat das NIST nun die ersten vier Verschlüsselungsalgorithmen für die Post-Quanten-Kryptografie-Zeit verkündet. Laut diesem Bericht sind deutsche Forscher ganz vorne mit dabei.