Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 31/2022)“

Hier ist der 49. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 31/2022)“.

Es gibt außer einer neuen Kategorie „9. Die gute Nachricht zum Schluss“ nichts Außergewöhnliches zur Nr. 49 zu berichten.

  1. Aufsichtsbehörden
    1. EDSA: Kritik an geplanter „Chatkontrolle“
    2. EDSA: „Auswahl und Priorisierung von wichtigen Fragestellungen“
    3. EDSA: Veröffentlichung der Schreiben an Access Now und BEUC bzgl. TikTok
    4. LDI NRW: Handreichung zu Online-Prüfungen an Hochschulen (und Aussagen zu Videokonferenzsystemen)
    5. LfD Bayern: 2. Newsletter
    6. BAFin: Wertschöpfungsketten im Finanzsektor – und Ausblicke
    7. Liechtenstein: Kein Anspruch der betroffenen Person auf Offenlegung der TOM
  2. Rechtsprechung
    1. EuGH: Weite Auslegung bei Art.-9-Daten
    2. LAG BW: Weitergabe von Art.-9-Daten an Betriebsrat
    3. VG Wiesbaden: Rechtsanwälte als Verantwortliche
    4. VG Stuttgart: Zur Anonymisierung von Gerichtentscheidungen
    5. VG Stuttgart: Befristung des DSB
  3. Gesetzgebung
    1. Zur Cyberagenda
  4. Künstliche Intelligenz und Ethik
    1. Umweltbilanz von Deep Learning und KI
    2. Fairness and Data Protection Impact Assessments
  5. Veröffentlichungen
    1. Städte und Gemeindetag: Digitalisierungsradar
    2. Sanktionen durch DS-GVO und weitere EU-Gesetze
    3. Rechtsgutachten zu Doctolib
    4. Visualisierung der Länge von Nutzungsbedingungen
    5. Geschäftszahlen von Meta
    6. Rückzug von Facebook?
    7. Der amerikanische Datenschutz ist lockerer?
    8. Veranstaltungen
      1. Workshopreihe im Rahmen von „Eine Welt NRW“
  6. Gesellschaftspolitische Diskussionen
    1. Einsatz von Huawei
    2. Amazon und Gesundheit
    3. Meta Human Rights Report
  7. Sonstiges / Blick über den Tellerrand
    1. Einschränkung von Chrome an niederländischen Schulen
    2. Datenschutz an bayerischen Schulen (inkl. Musterformularen für Einwilligungen)
    3. Datenschutz an österreichischen Schulen (mit Hinweisen zur Cloudnutzung)
    4. Digitalisierung an Schulen
    5. Gefährdungsatlas für jugendgefährdende Medien
    6. Entdecke Europa
  8. Franks Zugabe
    1. 42?
    2. Digitale Schulbücher als NFTs?
    3. Post-Quantum-Kryptografie, die nächste Runde
    4. Ein Update zur Warnung des BSI vor Kaspersky
    5. Der Upload von Kontaktdaten über WhatsApp ist illegal?
  9. Die gute Nachricht zum Schluss
    1. Zweitnamenergänzung wegen Sprachassistenten



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Kritik an geplanter „Chatkontrolle“

Zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern plant die EU-Kommission einige Maßnahmen, die u.a. vorsehen, dass Kommunikation stärker kontrolliert werden würde. Dazu haben nun EDSA und EDPS gemeinsam Position bezogen. Eine Überwachung der privaten Kommunikation sei ein flächendeckender Eingriff in das Fernmeldegeheimnis. Das Durchbrechen von verschlüsselter Kommunikation werde zum Risiko für alle werden, weil Sicherheitslücken beispielsweise von Kriminellen genutzt werden könnten. Die Fehlerquoten bei den einzusetzenden Technologien seien zu hoch, was zu einer Vielzahl unrechtmäßiger Verdächtigungen führe und der Verordnungsentwurf der EU-Kommission verstoße gegen die europäische Grundrechte-Charta. Der BfDI ergänzte die Stellungnahme mit einer eigenen Pressemeldung, laut der anlasslose Massenüberwachung nur aus autoritären Staaten bekannt sei. Weitere Kritikpunkte sind u.a. die Altersprüfung über Bilderkennungssoftware oder das nicht ausgeschlossen sei, dass Sprachnachrichten und Telefonate überwacht würden.

Franks Nachtrag: Hier gibt es einen Beitrag zur gemeinsamen Position.

zurück zum Inhaltsverzeichnis

1.2 EDSA: „Auswahl und Priorisierung von wichtigen Fragestellungen“

Zumindest würde ich das so übersetzen, der EDSA nennt sein Papier „selection of cases strategic importance“. Und dort führt er auf sieben Seiten aus, nach welchen Kriterien der EDSA sich priorisiert mit Fragestellungen befasst. Um das Ganze zu prozessualisieren, ist auch das Template für die Entscheidungsvorbereitung beigefügt.

zurück zum Inhaltsverzeichnis

1.3 EDSA: Veröffentlichung der Schreiben an Access Now und BEUC bzgl. TikTok

Der EDSA veröffentliche seine Schreiben an Access Now und BEUC bezüglich deren Beschwerden zu TikTok.

zurück zum Inhaltsverzeichnis

1.4 LDI NRW: Handreichung zu Online-Prüfungen an Hochschulen (und Aussagen zu Videokonferenzsystemen)

Denken Sie nicht, das hat nichts mit Ihnen zu tun! Denn Online-Prüfungen finden nicht am Telefon statt, sondern oftmals mit einem Videokonferenzsystem und dabei gibt es einige Aussagen in der veröffentlichten Handreichung, die sich auch auf Nicht-Prüfungssituationen beziehen lassen.
Insbesondere der Hinweis in den Empfehlungen unter Ziffer drei, dass die Betreiber von Videokonferenzsystemen nunmehr nach der Einführung des TTDSG über § 3 Nr. 24 TKG und § 29 Abs. 1 TTDSG der Aufsicht des BfDI unterliegen, Nutzer dann keine Vereinbarung zur Auftragsvereinbarung bräuchten, aber weiterhin der Aufsicht der LDI NRW unterliegen. Aber sofern dann im Rahmen der Nutzung des Videokonferenzsystems auch die Verwaltung/Speicherung von Dokumenten verbunden ist, wird dann dafür für diesen Mischbetrieb doch wieder eine Vereinbarung zur Auftragsverarbeitung benötigt. Damit bleibt die LDI NRW bei den bereits im Tätigkeitsbericht 2021 (dort Seite 30) veröffentlichten Aussagen. Die Zuständigkeit des BfDI nach § 29 TTDSG beziehe sich nur auf geschäftsmäßig erbrachte Telekommunikationsdienste. Geschäftsmäßig werden Dienste nur erbracht, sofern sie einerseits nachhaltig erbracht und andererseits an außerhalb der Sphäre des Anbieters liegende Dritten gerichtet seien. Von den Hochschulen selbst betriebene Dienste (hierzu gehörten auch E-Mail-Dienste) würden, solange sie ausschließlich durch die jeweilige Hochschule betrieben und durch sie selbst genutzt werden, nicht geschäftsmäßig erbracht. Dies gilt sicherlich auch für andere Einrichtungen, die nicht öffentlich-rechtlich organisiert sind.
Dabei wird auch angekündigt, dass derzeit von der DSK eine neue Orientierungshilfe „Datenschutzgerechte Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz“ erarbeitet werde, in der die damit verbundenen Fragen vertieft aufgegriffen werden sollen.

zurück zum Inhaltsverzeichnis

1.5 LfD Bayern: 2. Newsletter

Der Bayerische Landesbeauftragte für Datenschutz hat seinen zweiten Newsletter veröffentlicht.

zurück zum Inhaltsverzeichnis

1.6 BAFin: Wertschöpfungsketten im Finanzsektor – und Ausblicke

Vielleicht wird der Bezug zum Datenschutz deutlicher, wenn das Stichwort „ausgelagerte Tätigkeiten“ fällt. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) geht von drei Zukunftsszenarien aus: Zunächst, dass durch die Digitalisierung die Zahl der Schnittstellen zwischen Kreditinstituten und Dritten stark zunehme. Die Komplexität der IT-Infrastruktur steige dadurch enorm. Dadurch vergrößern und vermehren sich auch die potenziellen Angriffsflächen, die Cyber-Kriminelle ausnutzen könnten. Dann, dass dank neuer technischer Möglichkeiten und aufgrund des Wettbewerbsdrucks Finanzinstitute verstärkt Systeme, Tätigkeiten oder Prozesse an branchenspezifische IT-Dienstleister auslagerten, um von den Kosten-Nutzen-Vorteilen skalierbarer IT-Dienste zu profitieren. Viele dieser IT-Dienstleister wiederum nutzten über mehrere Auslagerungsebenen hinweg die IT-Infrastruktur eines gemeinsamen dritten IT-Dienstleisters. Hierdurch könne eine weitere Konzentration von IT-Infrastruktur entstehen – zum Beispiel bei Cloud-Anbietern. Schließlich könnten durch die oben beschriebene Auslagerung die Cloud-Anbieter auf die Daten und Geschäftsideen ihrer Kundinnen und Kunden, der beaufsichtigten Finanzinstitute, zugreifen. Dadurch könnten sie zunehmend weitere Teile der IT sowie Finanzdienste selbst anbieten. So könnte sich die Kontrolle nicht nur über die IT-Infrastruktur, sondern auch sukzessive über die Finanzdienstleistungslandschaft auf Big-Tech-Unternehmen verschieben. Banken und andere Finanzinstitute würden so auf eine risikotragende Hülle reduziert, während die Produkte und Dienstleistungen im aufsichtsfreien Raum produziert würden. Über eine beauftragte Studie der Universität Innsbruck wurden verschiedene Möglichkeiten identifiziert, wie die IT-Aufsicht den zukünftigen Herausforderungen begegnen könne. Dies umfasst die Erstellung einer umfassenden Sektorlandkarte, eine engere Zusammenarbeit mit Datenschutzbehörden und der Wettbewerbsaufsicht und eine Analyse der tatsächlichen Nutzung und Schwachstellen von PSD2-Schnittstellen.

zurück zum Inhaltsverzeichnis

1.7 Liechtenstein: Kein Anspruch der betroffenen Person auf Offenlegung der TOM

Muss ein Verantwortlicher oder ein Auftragsverarbeiter konkrete Angaben über die technischen und organisatorischen Maßnahmen machen? Weder aus den Informationspflichten noch aus dem Auskunftsanspruch geht dies hervor. Wenn dies trotzdem gefordert wird, kann dieses Begehren abgelehnt werden, so auch die Datenschutzaufsicht in ihrem Tätigkeitsbericht auf Seite 19.
Dass im Verarbeitungsverzeichnis gemäß Art. 30 DS-GVO eine allgemeine Beschreibung der TOM zu erfolgen hat, führt ebensowenig zu einer Offenlegungspflicht gegenüber betroffenen Personen wie eine Konkretisierung innerhalb einer Vereinbarung zur Auftragsverarbeitung.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Weite Auslegung bei Art.-9-Daten

In Litauen gibt es eine Behörde, die Oberste Ethikkommission, der gegenüber Angaben zu privaten Interessen abzugeben sind, die sie dann zu kontrollieren hat. Die betroffene Person ist Leiter einer Umweltorganisation, die öffentliche Mittel erhält. Er macht einerseits geltend, dass er über seine Einrichtung nicht zum Personenkreis gehöre, die eine Erklärung abgeben müssten, anderseits aber auch, dass die Veröffentlichung dieser Erklärung jedenfalls sowohl sein eigenes Recht auf Achtung seines Privatlebens als auch das der anderen Personen, die er gegebenenfalls in seiner Erklärung angeben müsste, verletzen würde.
Der EuGH sieht die Offenlegungspflicht privater Interessen als schwerwiegenden Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten der betroffenen Personen an (RN 105). Die Schwere dieses Eingriffs ist gegen die Bedeutung der Ziele der Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor abzuwägen (RN 106). Der EuGH kommt dann zunächst zum Ergebnis, dass einer Veröffentlichung namensbezogener Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person oder über ihr nahestehende oder bekannte Personen, die einen Interessenkonflikt begründen können, oder von Daten über jede in den letzten zwölf Kalendermonaten abgeschlossene Transaktion (mit einem Wert von über 3.000 Euro) Art. 6 Abs. 1 lit. c und Abs. 3 der DS-GVO entgegensteht (RN 116).
Das Gericht beantwortet aber auch die zweite gestellte Frage, inwieweit das nationale Recht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart und dann auf der Webseite öffentlich zugänglich werden können, aufgrund derer Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen möglich sind? Hier geht der EuGH im vorliegenden Fall zwar davon aus, dass die personenbezogenen Daten im Rahmen der hier vorgesehenen Offenlegung ihrer Natur nach keine sensiblen Daten im Sinne der DS-GVO seien; jedoch sei es möglich aus den namensbezogenen Daten über den Ehegatten, Lebensgefährten oder Partner der erklärungspflichtigen Person bestimmte Informationen über das Sexualleben oder die sexuelle Orientierung dieser Person und ihres Ehegatten, Lebensgefährten oder Partners abzuleiten. Unter diesen Umständen ist zu prüfen, ob Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer natürlichen Person geschlossen werden kann, unter die besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 der DS-GVO fallen (RN 120).
Unter Berücksichtigung der Auslegung nach dem Kontext und den Zielen kommt der EuGH letztendlich zu einer weiten Auslegung. Würden indirekte sensible Informationen über eine natürliche Person ausgenommen werden, würde die praktische Wirksamkeit dieser Regelung und der von ihr bezweckte Schutz der Grundrechte und Grundfreiheiten natürlicher Personen beeinträchtigt (RN 127). Der EuGH greift damit die Darstellung des Generalanwalts auf, dass die Verwendung des Verbs „hervorgehen“ in Art. 9 Abs. 1 DS-GVO dafür spricht, dass auch Verarbeitungen erfasst werden, die sich nicht nur auf ihrem Wesen nach auf sensible Daten bezieht, sondern auch auf Daten, aus denen sich mittels eines Denkvorgangs der Ableitung oder des Abgleichs indirekt sensible Informationen ergeben, wohingegen aber die Präpositionen „zu“ und „über“ bzw. die Verwendung eines Kompositums zum Ausdruck zu bringen scheinen, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten, bei denen auf ihr originäres Wesen abzustellen ist, bestehen muss.
Abschließend kommt der EuGH zu dem Ergebnis, dass eine Veröffentlichung personenbezogener Daten, die geeignet ist die sexuelle Orientierung einer natürlichen Person indirekt zu offenbaren, auf der Website dieser Behörde eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne dieser Bestimmungen darstellt (RN 128).
Oder einfacher in meinen Worten: Wenn sich ein gedanklicher Zusammenhang mit sensiblen Daten ergibt, sind diese Daten als sensible Daten auszulegen.

Franks Nachtrag: Es gibt auch schon erste Versuche „einer (irgendwie handhabbaren) Interpretation des EuGH-Urteils“. Dies ist aber tatsächlich wohl nur ein erster Versuch.
Vielleicht ist es doch so, wie es Buzz Lightyear Woody sagt? (Quelle)

zurück zum Inhaltsverzeichnis

2.2 LAG BW: Weitergabe von Art.-9-Daten an Betriebsrat

Im Rahmen der geplanten Wahl einer Schwerbehindertenvertretung hatte das Landesarbeitsgericht Baden-Württemberg zu entscheiden, was bei der Weitergabe der entsprechenden Daten an den Betriebsrat zu beachten sei. Der Arbeitgeber habe aufgrund der Unabhängigkeit als Strukturprinzip der Betriebsverfassung keinen unmittelbaren Einfluss, daher müsse der Betriebsrat sicherstellen, dass angemessene Schutzmaßnahmen eingehalten werden und dies ggf. dem Arbeitgeber darlegen. Nebenbei stellte das Gericht auch fest, dass auch der Betriebsrat den Überwachungsmaßnahmen des Datenschutzbeauftragten unterliege. Eine Besprechung des Urteils finden Sie hier.

zurück zum Inhaltsverzeichnis

2.3 VG Wiesbaden: Rechtsanwälte als Verantwortliche

Nach dem VG Wiesbaden sind Rechtsanwälte hinsichtlich ihres Vortrags in Gerichtsverfahren Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO. Sie tragen als unabhängige Organe der Rechtspflege in ihrer Berater- und Vertretereigenschaft selbst die Verantwortung für den Inhalt der Schriftsätze hinsichtlich der Haftung und der Gestaltung. Der Fall liest sich etwas komplex, im Prinzip geht es um arbeitsrechtliche Fragestellungen, der Kläger hatte sich nur zudem auch bei der Datenschutzaufsicht beschwert, weil er der Ansicht war, die Rechtsanwältin seiner Arbeitgeberin hätte Gesundheitsdaten von ihm nicht im Arbeitsgerichtsprozess verwenden dürfen. Die zuständige Datenschutzaufsicht folgte jedoch seiner Interpretation nicht, und so kam die Fragestellung vor das VG. Diese stellte fest, dass Rechtsanwälte bei ihrem Vortrag das berechtigte Interesse verfolgen, die vertragliche Verpflichtung mit dem Mandanten zu erfüllen (vgl. § 3 Abs. 3 BRAO). Die Tätigkeit eines Rechtsanwalts wäre unmöglich, wenn er nicht grundsätzlich das vortragen dürfte, was ihm der Mandant mitteilt. Er würde sich sogar seinerseits der Gefahr der Anwaltshaftung aussetzen, wenn er entgegen § 138 Abs. 2, Abs. 3 ZPO nicht den Vortrag der gegnerischen Partei bestreitet und den Sachverhalt aus der Perspektive seines Mandanten darstellt. Art. 9 Abs. 2 lit. f) DS-GVO diene der Sicherung des Justizgewährleistungsanspruchs. Lässt sich ein rechtlicher Anspruch nur unter Verarbeitung von Gesundheitsdaten durchsetzen, so dürften diese auch genutzt werden. Der Schutz dieser Daten solle nicht so weit gehen, dass die legitime Durchsetzung von Rechten unmöglich ist. Dasselbe muss vor dem Hintergrund der Waffengleichheit und des effektiven Rechtschutzes auch für die Abwehr von Ansprüchen gelten. Eine Besprechung des Urteils findet sich hier.

zurück zum Inhaltsverzeichnis

2.4 VG Stuttgart: Zur Anonymisierung von Gerichtentscheidungen

Das VG Stuttgart urteilte, dass eine Veröffentlichung einer Gerichtsentscheidung auch dann noch gerechtfertigt sein kann, wenn eine Prozesspartei ohne großen Aufwand mithilfe anderer Informationen identifiziert werden könne und die Entscheidung damit nicht im datenschutzrechtlichen Sinne anonymisiert sei. Voraussetzung sei ein überwiegendes Informationsinteresse der Öffentlichkeit. Die datenschutzrechtliche Grundlage finde sich in der kraft nationalen Verfassungsrechts allen Gerichten obliegenden Verpflichtung zur Veröffentlichung von veröffentlichungswürdigen Gerichtsentscheidungen. Diese stelle eine den Anforderungen des Art. 6 Abs. 3 DS-GVO genügende rechtliche Verpflichtung im Sinne des Art. 17 Abs. 3 Buchst. b Var. 1 DS-GVO dar, die das Recht auf Löschung nach Art. 17 Abs. 1 DS-GVO ausschließen kann. Die Pflicht zur Veröffentlichung von Gerichtsentscheidungen folge dabei aus dem Rechtsstaatsgebot einschließlich der Justizgewährungspflicht (Art. 19 IV, Art. 20 III GG), dem Demokratiegebot (Art. 20 I GG) und auch aus dem Grundsatz der Gewaltenteilung (Art. 20 II 2 GG).

zurück zum Inhaltsverzeichnis

2.5 VG Stuttgart: Befristung des DSB

Der Fall ist etwas erklärungsbedürftig: Ein befristet eingestellter DSB wandte sich nicht an das Arbeitsgericht, um die Wirksamkeit seiner Befristung überprüfen zu lassen, sondern fragte bei der räumlich zuständige Datenschutzaufsicht an und erwartete, dass dies die Befristung auflöse. Die Aufsicht verwies ihn an das Arbeitsgericht. Damit war er nicht zufrieden und verklagte die Aufsicht. Das Verwaltungsgericht befasste sich daher im Rahmen der Zulässigkeit der Klage zunächst mit den Aktivitäten der Datenschutzaufsicht, und dann inhaltlich damit, inwieweit eine Befristung eines DSB nach der DS-GVO zulässig wäre. Das Gericht konnte dabei aus der geforderten Unabhängigkeit des DSB kein grundsätzliches Verbot einer Befristung und somit in der Befristung keinen Verstoß erkennen.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Zur Cyberagenda

Ich will Ihnen nicht die Stellungnahme des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. zur angekündigten Cyberagenda der Bundesregierung vorenthalten.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Umweltbilanz von Deep Learning und KI

Lohnt sich der Einsatz von Rechenzentren mit Deep Learning in NLP zur Ressourceneinsparung oder verbraucht der Einsatz mehr Ressourcen, als sich mit den Erkenntnissen einsparen lässt? Wissenschaftler der University of Massachusetts Amherst veröffentlichten ihre Forschungsergebnisse bereits im Jahr 2019. Aktueller ist der folgende Zeitungsbeitrag, der sich mit den klima-technischen Aspekten der KI befasst. Und weil´s so gut dazu passt, hier noch ein Beitrag, auf was man bei Werbeaussagen zur Umweltbilanz achten sollte (Stichwort „Greenwashing“) und ergänzend ein Urteil zur Werbeaussage „klimaneutral“.

Franks Anmerkung: Da passt ja dieser Ratgeber auch irgendwie dazu. Projektstart: Wie Klimaschädlich sind deine Apps? Welcome back, mobilsicher.de!

zurück zum Inhaltsverzeichnis

4.2 Fairness and Data Protection Impact Assessments

Inwieweit sind Gedanken der Fairness bei Datenschutz-Folgenabschätzungen zu berücksichtigen? Die Studie aus Australien kommt zu dem Ergebnis, dass der Grundsatz der Fairness des Datenschutzes eine wichtige Rolle bei der Anforderung spielt eine DSFA durchzuführen und bei der Durchführung dieses Prozesses. In der Literatur würde aber Fairness jedoch selten erwähnt. Daher bestünde ein klarer Bedarf für weitere Forschungen, die die Gründe für diese Auslassung untersuchen und auch bei der Analyse, wie dies in den Leitlinien der Datenschutzbehörden einfließen könnte.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Städte und Gemeindetag: Digitalisierungsradar

Der Deutsche Städte- und Gemeindebund (DStGB) veröffentlichte den durch das Institut für Innovation und Technik (iit) in der VDI/VDE Innovation + Technik GmbH erstellten Ergebnisbericht „Zukunftsradar Digitale Kommune“.
Auszug aus dem Fazit: „Die Kommunen machen Fortschritte bei der Digitalisierung – aber nur wenige Kommunen schätzen den eigenen Digitalisierungsstatus positiv ein.“
Ein Beispiel aus einer Freitextantwort: „Durch die Pandemie kamen zahlreiche Aufgaben hinzu und ohne Fachleute ist das Arbeitspensum nicht mehr fristgerecht umzusetzen. Generell wird der IT-Bereich Jahr für Jahr wichtiger und größer. Gerade auch Sicherheitsaspekte und Datenschutz.“
(Kurze persönliche Anmerkung, es muss – auch hier! – teilweise nur nachgeholt werden, was in den letzten Jahrzehnten vernachlässigt wurde). Mehr Details in dem Ergebnisbericht.

zurück zum Inhaltsverzeichnis

5.2 Sanktionen durch DS-GVO und weitere EU-Gesetze

Dieser Beitrag befasst sich mit der Frage, inwieweit Handlungen sowohl die DS-GVO wie auch eines der neuen Regulatorien wie DSA oder DMA verletzen können und welche Überlegungen sich daraus ableiten lassen.

zurück zum Inhaltsverzeichnis

5.3 Rechtsgutachten zu Doctolib

Termine mit Ärzten zu vereinbaren ist manchmal zeitaufwendig – wer hat wann zu welchem Thema Zeit. Gerade auch bei der Vereinbarung von Impfterminen kann eine App helfen. Inwieweit dabei die App Doctolib auch datenschutzrechtliche Vorgaben einhält, untersucht dieser Beitrag. Schließlich bekam Doctolib 2021 den BigBrotherAward (was aber leider auch nichts heißen muss), reagierte aber zumindest mit neuen vertraglichen Texten darauf. Ein Rechtsgutachten des Netzwerks Datenschutzexpertise befasst sich nun damit.
Meine Kurzfassung des Ergebnisses: Der Datenschutz krankt dabei immer noch.

zurück zum Inhaltsverzeichnis

5.4 Visualisierung der Länge von Nutzungsbedingungen

Wer liest die Nutzungsbedingungen der sozialen Netzwerke und anderen, bevor sie akzeptiert werden? Sie erschlagen einen manchmal richtig. Deutlich wird dies bei dieser Darstellung aus dem Jahr 2020, in dem die Längen visualisiert werden. Sie können danach die Bedingungen von Microsoft für die damalige Produktpalette lesen oder in nur acht Minuten mehr den gesamten Macbeth von Shakespeare.

zurück zum Inhaltsverzeichnis

5.5 Geschäftszahlen von Meta

Seit Jahren höre ich von Marketingvertretern, die Kunden und Internetnutzer wollten getrackt werden, speziell auf sie zugeschnittene Angebote erhalten und „ihre Nutzungserlebnisse verbessern“. Bietet dann ein Anbieter wie Apple die entsprechenden Informationen und Wahlmöglichkeit an, entscheiden sich die Nutzer aber offensichtlich ganz anders. Dies sei laut Berichten wohl neben der Wettbewerbssituation mit TikTok ein Grund, warum die Geschäftszahlen von Meta in den letzten Monaten zurückgingen. Tja, auch eine Art Kundenerlebnis für Meta.

Franks Nachtrag: Eigentlich hatte ich genau diese Meldung schon letzte Woche. Aber ich habe meines Mitautoren Beitrag trotzdem noch mal aufgenommen, da ich auch noch diese Meldung („Facebook kann bis zu 52 Prozent der Aktivität aller Internetnutzer verfolgen“) mit aufnehmen wollte. Und diesen Comic 😉 (Quelle)

zurück zum Inhaltsverzeichnis

5.6 Rückzug von Facebook?

Meta droht laut diesem Bericht (wieder einmal) sich mit seinen Angeboten wie Facebook und Instagram zurückzuziehen. Wäre ich zynisch, brächte ich diese Nachricht nun in der Rubrik „Die gute Nachricht zum Schluss“*. Natürlich sind die strengen Vorgaben des Datenschutzes u.a. zum US-Datentransfer schuld – und nicht der Unwillen von Meta und seinen Komplizen in den Marketingbereichen von Unternehmen und den Öffentlichkeitsarbeitsverantwortlichen in Behörden sich an Gesetze zu halten.
Und bei der Meldung, dass Malware Ihren Facebook-Businessaccount übernimmt, könnte man provokativ die Frage stellen, ob nicht bereits das Geschäftsmodell von Facebook selbst als Malware bezeichnet werden müsste.

* Franks Anmerkung: Wo wir die Kategorie doch gerade erst neu eingeführt haben, sollten wir da nur wirklich gute (oder zumindest irgendwie positive?) Nachrichten bringen.

zurück zum Inhaltsverzeichnis

5.7 Der amerikanische Datenschutz ist lockerer?

Darüber kann gestritten werden, sie haben zumindest (bislang) einen anderen Ansatz.
Die FTC (Federal Trade Commission) hat sich im Juli 2022 verpflichtet das Gesetz gegen die illegale Nutzung und Weitergabe hochsensibler Daten wie Standort, Gesundheit und andere sensible Informationen vollständig durchzusetzen. Sie verkündet, dass sie den genauen Standort einer Person und Informationen über ihre Gesundheit zu den sensibelsten Kategorien von Daten, die von angeschlossenen Geräten erfasst werden, zählt. Smartphones, vernetzte Autos, tragbare Fitness-Tracker, „Smart Home“-Produkte und sogar der Browser sind alle in der Lage sensible Informationen über Benutzer direkt zu beobachten oder abzuleiten. Für sich genommen können diese Datenpunkte ein unkalkulierbares Risiko für die Privatsphäre darstellen. Der FTC stehen dafür Sanktionen wie Bußgelder, aber die Untersagung der Nutzung von Daten, zur Verfügung.

zurück zum Inhaltsverzeichnis

5.8 Veranstaltungen

5.8.1 Workshopreihe im Rahmen von „Eine Welt NRW“

Im September bietet „Eine Welt NRW“ eine Workshopreihe zur wirksamen und nachhaltigen Nutzung des digitalen Raumes an, einfach mal anschauen und evtl. vormerken.

Ansonsten ist jetzt Urlaubszeit (in manchen, gerade auch südlicheren Bundesländern)…

Und wenn Sie noch weitere Veranstaltungen für die nächsten Wochen sehen wollen, lesen Sie einfach noch mal hier nach.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Einsatz von Huawei

Laut dieser Meldung bewertet die Bundesregierung die Abhängigkeit von einem chinesischen Hersteller neu. Offenbar scheint sie aus den Abhängigkeiten bei Gaslieferanten gelernt zu haben.

zurück zum Inhaltsverzeichnis

6.2 Amazon und Gesundheit

Sie gehen zu Ihrer Ärztin und die sagt Ihnen: „Patienten die Kopfschmerzen hatten, ließen sich auch gegen Rückenschmerzen behandeln“. Zumindest kam mir das gleich in den Sinn, als ich las, dass Amazon in den USA in den Gesundheitsmarkt einsteigen will und an einer Firma Interesse hat, die 700.000 Patienten betreut. Ein kritischer Bericht dazu hier.

Franks Anmerkung: Na, dann hoffen wir mal, dass dem Amazon Gesundheitsdienst nicht irgendwann das gleiche Schicksal droht wie Amazon Drive. Gesundheitsdaten werden durch Amazon verarbeitet, was soll dabei schon schief gehen…

zurück zum Inhaltsverzeichnis

6.3 Meta Human Rights Report

Wer wissen will, was Meta (Facebook) über Datenschutz denkt, kann im Bericht zu Menschenrechten von Meta ab Seite 35 nachlesen. Dann warten wir doch mal auch die Taten dazu ab. Denn nach dieser Meldung benutzt Facebook seine Nutzer:innen (wieder mal), um gegen TikTok im Kampf um Nutzer:innen aufzuholen und sein Programm umzugestalten, egal welche psycho-sozialen Folgen dies haben mag.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Einschränkung von Chrome an niederländischen Schulen

Die Niederlande wollen den Datenschutz aller Schüler*innen gewährleisten, indem sie die Verwendung von ChromeOS und des Chrome-Webbrowsers an Schulen einschränken. Ersten Berichten zufolge hatte das niederländische Bildungsministerium die beiden Google-Produkte generell verboten. Nun heisst es, dass die beiden Dienste nicht vollständig verboten seien und Schulen die Produkte grundsätzlich weiterhin nutzen könnten. Dafür müssten allerdings einige Schutzmaßnahmen vorgenommen werden.

zurück zum Inhaltsverzeichnis

7.2 Datenschutz an bayerischen Schulen (inkl. Musterformularen für Einwilligungen)

Im Juli 2022 erlies das Bayerische Staatsministerium für Unterricht und Kultus eine Vollzugsbekanntmachung, die Vorgaben für die staatlichen Schulen in Bayern, die beim Vollzug der datenschutzrechtlichen Bestimmungen zu beachten sind, enthält. Neben Vorgaben zum Einsatz privater Geräte etc. finden sich auch Musterformulare zur Einholung der Einwilligung in die Veröffentlichung von personenbezogenen Daten (einschließlich Fotos) für minderjährige und volljährige Schülerinnen und Schüler, Mitglieder des Elternbeirats sowie Lehrkräfte und sonstiges an der Schule tätiges Personal.

zurück zum Inhaltsverzeichnis

7.3 Datenschutz an österreichischen Schulen (mit Hinweisen zur Cloudnutzung)

Das österreichische Bundesministerium für Bildung, Wissenschaft und Forschung hat auf seinen Seiten die wesentlichen Informationen zu den datenschutzrechtlichen Fragestellungen veröffentlicht. Erfreulicherweise klammern sie dabei auch nicht aktuelle Fragestellungen wie den Cloudeinsatz US-amerikanischer Anbieter aus, sondern veröffentlichen den Fragebogen aus dem Jahr 2020 zu den zusätzlichen Maßnahmen gemäß Schrems II und die Antworten der Anbieter dazu. Die derzeit veröffentlichen Antworten umfassen den Apple School Manager, Googles G-Suite und M365.

zurück zum Inhaltsverzeichnis

7.4 Digitalisierung an Schulen

Zwei IT-Unternehmen bieten einen Leitfaden an mit dem Thema „Wie verändert die Digitalisierung Schule als Lernort?“. Darin finden sich Tipps und Hinweise, aber auch etliche Links auch nach Bundesländern geordnet. Kann man auch mal in den Ferien lesen.

zurück zum Inhaltsverzeichnis

7.5 Gefährdungsatlas für jugendgefährdende Medien

Die Clearingstelle Medienkompetenz der Deutschen Bischofskonferenz an der Katholischen Hochschule Mainz hat einen Gefährdungsatlas der Bundesprüfstelle für jugendgefährdende Medien veröffentlicht, der zum einen eine systematische Darstellung der Mediennutzung von Kindern und Jugendlichen enthält. Zum anderen gibt er auch Aufschluss über Medienphänomene und die damit verbundenen möglichen Gefährdungen für Heranwachsende. Erstellt wurde der Atlas durch das JFF – Institut für Medienpädagogik in Forschung und Praxis, München, in Zusammenarbeit mit dem Leibniz-Institut für Medienforschung | Hans-Bredow-Institut (HBI), Hamburg. Positiv fällt auf, dass nicht nur die sattsam bekannten Probleme wie Cybermobbing, Hate Speech und Fake News thematisiert werden. Vielmehr werden insgesamt 43 Medienphänomene beschrieben, die auf Problemlagen im Kontext digitaler Medien verweisen, darunter auch algorithmische Empfehlungssysteme, Identitätsdiebstahl, Urheberrechtsverletzungen und „Tasteless“-Angebote. Allerdings geht es den Autor:innen nicht um ein Herausstellen der Gefährdungen als solche: „Neben den Gefährdungen werden auch fördernde Funktionen für die Persönlichkeitsentwicklung von Kindern und Jugendlichen in den Blick genommen. Sie sind teilweise ebenfalls mit den Medienphänomenen assoziiert und begründen gerade den kinderrechtlichen Teilhabeanspruch an der digitalen Mediennutzung“ (S. 3).

zurück zum Inhaltsverzeichnis

7.6 Entdecke Europa

Hier finden Sie ein Angebot der Regionalvertretung der Europäischen Kommission in Bonn, um Kindern die Europäische Union zu erklären. Erster Eindruck auf dem Smartphone war der Hinweis, dass dieses Angebot auf kleinem Bildschirm nicht funktioniert. Nun ja, hoffen wir, dass die Funktionsfähigkeit der Europäische Union nicht auch sonst von kleinen Bildschirmen abhängt.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 42?

Kennen Sie Douglas Adams‘ Buchreihe „Per Anhalter durch die Galaxis“?
Und die Antwort auf die Frage „nach dem Leben, dem Universum und dem ganzen Rest“?
Um es kurz zu erklären (für die paar Leser, die die vorherigen Fragen mit „nein“ beantworten):
Im ersten Buch baut eine fortgeschrittene Zivilisation einen sehr leistungsfähigen Computer (namens Deep Thought), der die Frage „nach dem Leben, dem Universum und dem ganzen Rest“ beantworten soll. Und nach 7,5 Mil. Jahren spuckt er die Antwort 42 aus.
Auf die Nachfrage, warum denn 42, was diese Antwort bedeuten solle, stellt Deep Thought fest, dass „die Frage zwar umschrieben, aber niemals als konkrete Frage formuliert wurde“. Und deswegen schlage er vor, dass ein neuer Computer gebaut werden müsse, der die konkrete Frage ermittelt, auf die die Antwort 42 sei… (Nachzulesen, falls Sie die Bücher nicht selbst lesen wollen, was ein Verlust wäre, hier).
Warum schreibe ich das alles? Weil laut diesem Bericht Forscher eine KI beauftragt haben, Antworten auf eine Frage zu geben, die sie selbst gar nicht konkret formuliert haben. Und jetzt haben sie scheinbar Verständnisprobleme mit der Antwort. Ist das jetzt pro oder kontra KI?
Und da lag meine Assoziation zu 42 – denke ich – nahe.

zurück zum Inhaltsverzeichnis

8.2 Digitale Schulbücher als NFTs?

Kollege Kramer hat ja im „Blick über den Tellerrand“ schon einiges zur Digitalisierung in Schulen gehabt. Da möchte ich ja nicht nachstehen und über ein Idee eines britischen Schulbuchverlags berichten.
Scheinbar ist zumindest dem einen im Bericht genannten Verlagschef (der mal Disney-Chef war) die Nachnutzung von gebrauchten Schulbüchern ein Dorn im Auge. Und da ja alles digital werden soll ist es doch nur folgerichtig die Besitzverhältnisse an digitalen Schulbüchern in der Blockchain zu dokumentieren, die Schulbücher also zu NFTs zu machen.
Im Jahr 2021 soll eine deutche Publishing-Plattform auch solche Ideen gehabt haben (das hier ist ja ganz schlimmer Text, siehe meinen letzten Satz dieses Beitrags).
Also, ich bin ja tatsächlich ein großes Fan gebrauchter Bücher, sprich: Ich tue mich sehr schwer damit Bücher (egal, welche) wegzuschmeissen, lieber verschenke ich sie. Das geht dann nach deren Willen demnächst nicht mehr. Aber Digitalisierung ist halt gut. Nun ja.
Ach, ja klar, und übrigens: Bullshit!

zurück zum Inhaltsverzeichnis

8.3 Post-Quantum-Kryptografie, die nächste Runde

Über den Wettbewerb des NIST hatte ich ja bereits berichtet, auch über die Gewinner, sprich die zur Standardisierung ausgewählten Algorithmen.
Nun stellt sich heraus, dass zumindest ein weiterer Kandidat (SIKE) nicht so gut war (es gibt noch vier weitere Algorithmen, die auch in der engeren Auswahl sind, siehe hier unter der Überschrift „Wettbewerb ist noch nicht vorbei“).
Dass Verfahren, die von offizieller Seite empfohlen werden, mitunter auch mal geknackt werden, ist per se nichts Schlimmes, das ist ja gerade der Charme von Open Source, dass je mehr Augen drauf schauen, um so eher alle (oder zumindest viele, idealerweise die kritischsten) Schwachstellen gefunden werden.
Aber das es jetzt mit einem normalen Laptop wohl nur eine Stunde gedauert hat? Uiuiui, das ist dann wohl doch eher ein wenig peinlich.
Bruce Schneier hat sich auch ausführlicher damit beschäftigt. Und hier auch ein Essay dazu publiziert, in welchem u.a. der gesamte Prozess, welches das NIST im Rahmen des Wettbewerbs durchlaufen hat, beschrieben wird. Lesenswert.

Und noch ein Apropos: Hier hatte ich ja auch schon über die Bemühungen des NIST berichtet und darüber, dass die NSA jegliche Manipulation der Algorithmen von sich weist. Nun ja, nicht alle scheinen den Beteuerungen der NSA zu glauben. Zumindest klagt Daniel J. Bernstein jetzt gegen die US-Regierung. Warum und ob das das erste Mal ist, ist hier nachzulesen.

zurück zum Inhaltsverzeichnis

8.4 Ein Update zur Warnung des BSI vor Kaspersky

Wenn der BR richtg recherchiert hat, stellt sich das aber eher als politisches Manöver üblerer Sorte heraus. Also dass es politisch war, war ja klar, aber so krass? Hier gibt es eine (zugegebenerweise polternde) Bewertung.

zurück zum Inhaltsverzeichnis

8.5 Der Upload von Kontaktdaten über WhatsApp ist illegal?

So zumindest wird hier berichtet.
Da kann ich ja jetzt nur voller Verwunderung rufen:
Was? Ehrlich? Wer hätte das denn ahnen können?
Oder um es mit Louis de Funes zu sagen… Nein, doch, ohhh!

Na ja, das AG Bad Hersfeld ist nicht das erste, und es wird auch nicht das letzte Gericht sein, welches das feststellt. Nur ändern wird sich weiterhin nichts.

zurück zum Inhaltsverzeichnis

Zugegebenermaßen sind das jetzt weniger Beiträge von mir als letzte Woche angekündigt, aber wir wollen diesen Blogbeitrag endlich rauskriegen und ich habe tatsächlich noch eine Terminarbeit, die heute fertig werden soll, deswegen ist hier mal Schluss. Mal schauen, vielleicht klappt es ja beim nächsten Blogbeitrag…

Apropos Schluss:

9. Die gute Nachricht zum Schluss

Zweitnamenergänzung wegen Sprachassistenten

Nehmen wir an, Sie haben einen hübschen Vornamen und irgendeine Firma nennt ihr Produkt wie Ihren Vornamen. Gut, das kam immer schon mal vor (z.B. beim Emmi-Joghurt). Bei einem Sprachassistenten, der wie Ihr Vorname genannt und vor allen Dingen auch so adressiert wird, kann das aber ärgerlich werden. Was tun? Das Verwaltungsgericht Göttingen hatte diesem Bericht zufolge ein Einsehen und gestand einem minderjährigen Mädchen zu sich neben Alexa noch einen weiteren Vornamen zuzulegen.

zurück zum Inhaltsverzeichnis