Hier ist der 74. Blog-Beitrag "Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 32 bis 36/2023) – Die Sommerausgabe 2023, Teil 2".
Hier nun also wie angekündigt der zweite Teil der Sommerausgabe (es ist ja immer noch sommerlich warm 😅)... Ab jetzt sollte wieder eine gewisse Regelmäßigkeit einkehren.
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1.1 EDSA: FAQs zur DS-GVO für Kleinunternehmen
Der europäische Datenschutzausschuss hat FAQs für die Zielgruppe der kleinen Unternehmen veröffentlicht. Dabei finden sich z.B. auch Beispiele zur gemeinsamen Verarbeitung.
1.2 EDPS: Jahresbericht 2022
Der Europäische Datenschutzbeauftragte (EDPS) hat seinen Jahresbericht 2022 veröffentlicht. Europäische Einrichtungen unterliegen einer eigenen Verordnung zum Datenschutz (VO 2018/1725), die aber in den wesentlichen Aussagen mit der DS-GVO inhaltlich identisch ist. In seinen Kernaussagen (Unparteilichkeit, Integrität, Transparenz und Pragmatismus) kommt er dabei schon sehr den Erwartungen auch der Wirtschaft entgegen. Wer lässt sich schon gerne nachsagen unpragmatisch zu agieren. Unparteilichkeit, Integrität, Transparenz und Pragmatismus. Interessant ist dabei u.a., dass der EDPS mit insgesamt neun KPIs (Key Performance Indicators) arbeitet.
1.3 DSK: Anwendungshinweise zum DPF
Die Datenschutzkonferenz hat Anwendungshinweise zum Angemessenheitsbeschluss „EU-US Data Privacy Framework“ (DPF) veröffentlicht. Auch weil dieser bisher nur auf Englisch veröffentlicht ist und viele Fragen an die Aufsichtsbehörden herangetragen wurden, hat die DSK diese 32-seitige Information erstellt.
Franks Nachtrag: Wer die Fußnote 1 der Anwendungshinweise aufmerksam gelesen hat, mag vielleicht auch diese Pressemitteilung des TLfDI zu den Anwendungshinweisen der DSK zum DPF lesen. Zumindest Verantwortliche aus Thüringen sollten den Inhalt wohl besser beachten...
1.4 DSK: Stellungnahme zum Gesundheitsdatennutzungsgesetz – GDNG (Zuständigkeit)
Die DSK veröffentlichte ihre Stellungnahme insbesondere zu der dabei angedachten Konzentration der Zuständigkeit auf den BfDI bezüglich der Krankenkassen. Hier ist kompetent aufbereitet nachzulesen, was eine Zentralisierung der Aufsicht bei Krankenkassen auf den BfDI bedeuten würde – z.B. auch für Betriebskrankenkassen. Basis war ein Referentenentwurf zu einem Gesundheitsdatennutzungsgesetz (GDNG), in dem auch eine Ergänzung des § 9 BDSG vorgesehen war.
Der HBDI informierte zwischenzeitlich, dass die Bedenken in einer überarbeiteten Fassung berücksichtigt wurden.
1.5 DSK: Stellungnahme zum Gesundheitsdatennutzungsgesetz – GDNG
Die DSK veröffentlichte eine weitere Stellungnahme insbesondere zu den umfassenden Neuregelungen mit dem Schwerpunkt der Nutzung von Gesundheitsdaten zu Forschungszwecken.
1.6 BfDI: Kindervideo zu „Transparenz“
Der BfDI veröffentlichte ein neues Video, in dem kindgerecht der Begriff "Transparenz" erklärt wird. In der Geschichte ärgern sich die „Datenfüchse“ darüber, dass keine Schwimmkurse angeboten werden. Sie werden aktiv, haken bei Verantwortlichen nach und können am Ende doch noch das Seepferdchen machen. Das passende Pixi-Buch kann noch kostenfrei bestellt werden.
1.7 BfDI: Berlin Group zu „Smart Cities“
Der BfDI informiert, dass die Berlin Group ein Arbeitspapier zu Smart Cities veröffentlichte. In "Smart Cities" können Bewohner und Besucher von verbesserten Diensten profitieren, wie etwa einer intelligenten Verkehrssteuerung oder einer intelligenten Verwaltung der städtischen Ressourcen. Dies kann das Leben und den Aufenthalt in der Stadt komfortabler machen. Andererseits kann die allgegenwärtige Erfassung und Verarbeitung personenbezogener Daten, beispielsweise durch intelligente Kameras, nachteilige Auswirkungen haben und Risiken für die Privatsphäre mit sich bringen.
1.8 LDI NRW: Hilfen bei Cyberangriffen
Immer mehr Unternehmen und Behörden sind von IT-Cyberangriffe auf IT-Systeme betroffen. Die LDI NRW hat dazu Informationen veröffentlicht, was bei einem Angriff zu beachten ist, welche Vorgehensweise sie empfiehlt, welche Meldepflichten es gibt und wie Benachrichtigungen an Betroffene erfolgen sollten. Auch weist sie darauf hin, dass Auftragsverarbeiter ihre Auftraggeber unabhängig vom Risiko informieren und sie bei der Erfüllung ihrer gesetzlichen Pflichten unterstützen sollten.
1.9 LfDI Baden-Württemberg: FAQ zum Beschäftigtendatenschutz
Der LfDI Baden-Württemberg hat Antworten zu Fragen nach dem Urteil des EuGH zur Umsetzung des Beschäftigtendatenschutzes in Hessen mit Auswirkungen auf die Regelungen im BDSG veröffentlicht.
1.10 Hamburg: Neue Bilder bei Google Street View
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit informiert über aktuelle Fahrten durch Google und zu den Möglichkeiten des Widerspruchs durch betroffene Personen.
1.11 Berlin: Typische Fehler bei der Datenschutzerklärung
In der Beratungspraxis der BlnBDI wird sie immer wieder mit Fehlern bei der Umsetzung der Datenschutzinformationspflichten konfrontiert. Daher fasste sie auf einem Link auf ihrer Website* zusammen, welche typischen Fehler ihr begegnen und welchen Grad der Umsetzung sie erwartet.
* Franks Anmerkung: Der Link auf der Webseite der Aufsicht funktioniert nicht. Hier gibt es einen Beitrag zur fehlenden Unterlage (in der zumindest schon Beispiele genannt werden). Und beim Stöbern in den Kommentaren zum Beitrag habe ich doch dann gleich auch noch einen Link zu einer Anfrage von fragdenstaat.de gefunden, die die Unterlage bekommen und zur Verfügung gestellt haben. Laut Aussage der Behörde ist sie noch nicht ganz fertig und soll noch überarbeitet werden. Also bitte mit Vorsicht genießen...
1.12 Berlin: Musterschreiben und Vorlagen
Die Berliner BfDI stellt Musterschreiben zur Auskunft, Berichtigung und Löschung sowie zum Widerspruch gegen die Verarbeitung und Weitergabe der Daten zum Download als PDF zur Verfügung. Zudem bietet sie Vorlagen für Verarbeitungsverzeichnisse und für die Prüfung von Auftragsverarbeitungsverträgen sowie für Aushänge beim Einsatz von Videoüberwachung an. Als Adressaten enthalten die Muster nicht nur Berliner Behörden, sondern auch beispielhaft bundesweit tätige Unternehmen.
1.13 LfDI Rheinland-Pfalz: Pressegespräch mit aktuellen Fällen
Da sage nochmal einer, Datenschutz sei langweilig! Der LfDI Rheinland-Pfalz berichtete in einem Pressegespräch über spannende und teilweise kuriose Fälle, mit der seine Behörde befasst wurde. Dabei ging es u.a. um ChatGPT, nicht zugestellte Briefe, Videoaufnahmen durch Katzenhalsbänder, Handyblitzer auf Autobahnen und Telepräsenzroboter an Schulen.
Franks Nachtrag: Wow, ich kann es schon hier im Kapitel 1 schreiben – Apropos ChatGPT...
1.14 LfD Bayern: Kurzinformation zu Bayerischem Krebsregister
Der LfD Bayern informiert in seiner Kurzinformation 52 zu den Widerspruchsmöglichkeit der Verarbeitung personenbezogener Daten im Bayerischen Krebsregister.
1.15 Schweden: Verarbeitung zur Vertragserfüllung
In einer Entscheidung der schwedischen Datenschutzaufsicht (IMY) äußerte sich diese bereits im Jahr 2022 zur Auslegung des Art. 6 Abs. 1 lit. b DS-GVO, der Verarbeitung zur Vertragserfüllung. Konkret ging es auch um E-Mails, die Teil der Begrüßungsroutine für neu registrierte Benutzer waren und auch den Zweck hatten zu erklären, wie der Dienst funktioniert und welche Funktionen der Dienst enthält. Eine E-Mail mit Informationen zur Optimierung oder Personalisierung eines kostenpflichtigen Online-Dienstes, die durch die Nutzenden abgewählt werden können, seien zur Vertragserfüllung nicht "notwendig" im Sinne einer Vertragserfüllung nach Art. 6 Abs. 1 lit. b DS-GVO), sondern als Direktmarketing zu betrachten.
Ein Bericht dazu findet sich hier.
1.16 Niederlande: Bericht über algorithmische Risiken
Die Direktion für Algorithmus-Koordination innerhalb der niederländischen Datenschutzaufsicht veröffentlichte ihren ersten Bericht über algorithmische Risiken und fordert darin zusätzliche Maßnahmen zur Kontrolle algorithmischer und KI-Risiken.
1.17 CNIL: Anforderungen bei gemeinsamer Verantwortlichkeit
Die Entscheidung der CNIL zu CRITEO wurde durch den EDSA auf Englisch veröffentlicht. Danach ist ein Cookie-Verantwortlicher gemeinsam mit den Webseitenbetreibern nach Art. 26 DS-GVO verantwortlich ist. Der Nachweis der erteilten Einwilligung für die Verarbeitung (einschließlich der Weiterverarbeitung) obläge dadurch beiden (RN 171).
1.18 CNIL: Fernüberwachung von Online-Prüfungen
Die Nutzung von Fernprüfungen in digitaler Form durch öffentliche und private Hochschuleinrichtungen wird immer häufiger. Da die in diesem Rahmen verwendeten Fernüberwachungsgeräte naturgemäß aufdringlich sind, erinnert die CNIL an die Verpflichtungen aus der DS-GVO und fordert zur Einhaltung bewährter Verfahren auf. Dazu bietet sie Hilfen in Form von Materialien an.
1.19 CNIL: Webinar zur Personalbeschaffung
Auch die CNIL bietet in einer Reihe von Webinaren die Möglichkeit ein Thema oder eine Nachricht im Zusammenhang mit dem Datenschutz zu erkunden. In einer Folge (Dauer 59 Min.) geht es um Tools, die im Bereich der Personalbeschaffung angeboten werden. Dazu verweist sie auf entsprechende Materialien, die sie dazu veröffentlicht hat. Leider nur in Französisch.
1.20 ICO: Leitfaden zur Versendung von Massen-E-Mails
Das Information Commissioners Office (ICO) erinnert daran bei der Versendung von Massen-E-Mails mit sensiblen personenbezogenen Daten entsprechende Schutzmaßnahmen einzuhalten. Neben der BCC-Funktion weist es in seinem dazu veröffentlichten Leitfaden auch auf zusätzliche Schutzmaßnahmen hin.
Dies umfasst die Einrichtung von Regeln im E-Mail-System zur Erstellung von Warnmeldungen, wenn das cc-Feld verwendet wird; das Einrichten einer Verzögerung, um evtl. Fehler korrigieren zu können, und die Empfehlung die Funktion des Auto-Vervollständigen von E-Mailadressen zu deaktivieren. Auch wird auf ein Tool des National Cyber Security Center verwiesen, mit dem die Sicherheit des eigenen E-Mailsystems überprüft werden kann.
1.21 ICO: Erklärungen von Datenschutzbehörden zu Daten-Scraping
Die Datenschutzbehörden aus Argentinien, Australien, Kanada, Kolumbien, Hongkong, Jersey, Mexiko, Marokko, Neuseeland, Norwegen, der Schweiz und dem Vereinigten Königreich haben eine gemeinsame Erklärung veröffentlicht, in der sie den Schutz personenbezogener Daten vor unrechtmäßigem Data Scraping fordern. Einen Bericht dazu findet sich hier.
1.22 Polen: Beschwerde zu Open AI
Nach diesem Bericht ging bei der polnischen Aufsicht eine Beschwerde zu Open AI und dessen Angebot ChatGPT ein. Vorgaben der DS-GVO würden nicht beachtet werden.
1.23 BSI: SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette
Am 4. August 2023 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM). Damit bietet das BSI Softwareherstellern eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen. Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen. Software-Stücklisten (SBOM) gehören zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liegt seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren.
1.24 BSI: CAOS
Das BSI will die Sicherheit von Open-Source-Software erhöhen. Dazu hat es im Rahmen eines Projektes zur Codeanalyse von Open Source Software (CAOS) Videokonferenzsysteme und eID-Templates auf deren Sicherheitseigenschaften hin untersucht. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll Entwicklerinnen und Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatanwendern genutzt werden. Die Ergebnisse zu Videokonferenztools und eID-Template hat das BSI auf seiner Seite veröffentlicht.
1.25 BSI: Cyber-Sicherheit in Kommunen
Das BSI hat 18 Checklisten als Community-Draft veröffentlicht. Dies erfolgte im Rahmen des Projekts „Weg in die Basis-Absicherung“ (WiBA). Bis 15. September 2023 können Interessierte den Community Draft auf der BSI-Website zu kommentieren. Ziel ist es Rückmeldungen zu Struktur und Inhalten der Checklisten zu erhalten, um zukünftig den Kommunen ein praxisgerechtes Produkt bereitstellen zu können. In Bayern bietet das dortige Landesamt für Sicherheit in der Informationstechnik übrigens bereits auch Informationen für Kommunen an.
1.26 BSI: Erklärung von KI
Das BSI stellt anschaulich die Funktionsweise von künstlicher Intelligenz dar. Dabei weist es auf die Risiken durch Fehlinterpretation hin, gibt aber auch Tipps wie Künstliche Intelligenz sicher entwickelt werden kann.
2.1 EuGH: Rechtsmittelverfahren nach EuG zur Anonymisierung
Mit dem Aktenzeichen C-413/23 P wird vor dem EuGH das Rechtsmittel des EDPS bearbeitet, in welchem er geklärt haben möchte, welche Anforderungen der EuGH an Anonymisierungen stellt. Infos zur Vorinstanz (T-557/20) lesen Sie hier.
2.2 Klage gegen das DPF?
Ein französischer Abgeordneter informiert, dass er das DPF (Data Privacy Framework) zugunsten des Datentransfers in die USA gerichtlich überprüfen lassen will. Kann er das? Augenscheinlich will er seine Bedenken direkt vor den EuGH gemäß Art. 263 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vorbringen. In Artikel 263 AEUV werden Verfahren zur Anfechtung der Rechtmäßigkeit von EU-Rechtsakten – von Verordnungen und Richtlinien bis hin zu Empfehlungen und, wie hier, Entscheidungen der Europäischen Kommission wie die Angemessenheitsentscheidung in Bezug auf die DPF – geregelt.
Kann da jeder klagen? Voraussetzung dafür ist eine Klagebefugnis. EU-Mitgliedstaaten und die meisten Institutionen können es automatisch nutzen. Bei anderen Personen / Einrichtungen muss der angefochtene EU-Rechtsakt diese unmittelbar und individuell betreffen. Klagen können nur innerhalb von zwei Monaten erhoben werden, diese Frist beginnt mit der Bekanntgabe der betreffenden Handlung.
Der französische Abgeordnete gibt an, durch den Angemessenheitsbeschluss direkt betroffen zu sein, weil damit seine Daten in die USA übermittelt werden können. Die Frist von zwei Monaten hält er ein, weil der Angemessenheitsbeschluss am 10. Juli 2023 veröffentlicht wurde. Offen ist, ob der EuGH hier eine unmittelbare Betroffenheit tatsächlich annimmt. Sollte das Gericht dies annehmen, müsste es sich auch mit den Argumenten auseinandersetzen. Bislang steht hier nur die Pressemeldung zur Verfügung. Danach werden formale Versäumnisse wie die fehlende Übersetzung in die Mitgliedssprachen der EU, aber auch Verstöße gegen materiell-rechtliche Anforderungen wie das Fehlen eines der EU gleichwertigen Rechtsbehelfsmechanismus kritisiert.
Einen Bericht dazu finden Sie hier.
2.3 EuGH: Nutzungsbeschränkung von gespeicherten Vorratsdaten
Der EuGH entschied (C-162/22), dass zur Bekämpfung schwerer Kriminalität gespeicherten Vorratsdaten nicht im Rahmen von Untersuchungen wegen Dienstvergehen im Zusammenhang mit Korruption genutzt werden dürfen.
2.4 LG Baden-Baden: Auskunftsanspruch bei privater Nutzung von Kundendaten
Eine Mitarbeiterin eines Elektromarktes kontaktierte eine Kundin über deren privaten Social-Media-Account, um eine fehlerhafte Auszahlung zu korrigieren. Die Kundin beschwerte sich und das LG Baden-Baden gab ihr Recht: Ihr Auskunftsanspruch erstreckt sich auch auf Angaben über Beschäftigte, die ihre Daten entgegen internen Weisungen verarbeiten und dadurch zu Empfängern werden (RN 45 ff). Zudem wurde der Elektromarkt verurteilt seinen Beschäftigten zu untersagen Kundendaten zu privaten Zwecken zu verarbeiten (RN 60 f). Dies schließt die Verwendung privater Geräte ein (RN 62f).
2.5 VG Bremen: Sofortige Vollziehbarkeit der Informationsanfragen der Aufsichten
Der Fall ist noch nicht rechtskräftig, beschäftigt sich aber mit spannenden Fragen. Ein früherer Mandant begehrt Auskunft gegenüber einer Kanzlei, die er mal mandatiert hatte. Dabei bittet er, dass die Daten (auch Gesundheitsdaten) nicht weitergegeben werden. Die Kanzlei beauftragt eine andere Kanzlei die Auskunft zu erteilen. Der frühere Mandant beschwert sich bei der Aufsicht, die nun von der Kanzlei wissen will, auf welcher Grundlage die Daten zur Auskunftserteilung weitergegeben und welche technischen Schutzmaßnahmen dabei verwendet wurden (Weitergabe über E-Mail?). Diese Fragen der Aufsicht wurden bislang nicht beantwortet, die Aufsicht ordnete die sofortige Vollziehbarkeit an und darum geht es nun in dem Verfahren. Das VG Bremen sieht keine Grundlage für die Anordnung der sofortigen Vollziehbarkeit. Die Aufsicht geht daher in die nächste Instanz. Die eigentlich spannende Frage ist aber auch, ob ein Auskunftsanspruch durch den Verantwortlichen selbst erfüllt werden muss und auf Basis welcher Grundlage dieser dazu Daten, die einer berufsrechtlichen Verschwiegenheit unterliegen, weitergeben kann, wenn die betroffene Person (gerade auch im Hinblick auf Daten besonderer Kategorien) einen entgegenstehenden Willen äußerte.
2.6 OLG Hamm: Kaltaquiseanforderungen auch über soziale Medien wie LinkedIn
Nervt es Sie auch, wenn Sie auf LinkedIn von Personen kontaktiert werden, die Ihnen ungefragt ihre Leistungen andrehen möchten? Das OLG Hamm hat dazu entschieden, dass das Werbeverbot mit elektronischer Post nicht nur auf die herkömmliche E-Mail beschränkt sei Der Begriff der "elektronischen Post" umfasse jede über ein öffentliches Kommunikationsnetz verschickte Text-, Sprach-, Ton- oder Bildnachricht, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird (RN 42). Daher fielen unter den Begriff der elektronische Post im Sinne des § 7 Abs. 2 Nr. 3 UWG a.F. neben E-Mails, SMS und MMS auch sämtliche Nachrichten über Social-Media-Dienste wie Xing, Facebook, LinkedIn oder WhatsApp. (RN 45).
Das alles gilt natürlich auch, wenn Sie andere kontaktieren wollen...
Franks Nachtrag: ... Ach nee, ich kommentiere das doch nicht. Was für eine Meinung sollte ich schon zu Social-Media-Accounts haben.
2.7 OLG Hamm: Ausführungen zu Schadenersatzanspruch aus Art. 82 DS-GVO und Vertragserfüllung
Das OLG Hamm hatte über einen Schadenersatzanspruch nach einem Scraping-Vorfall zu entscheiden. Neben einigen prozessualen Fragen gibt es auch Aussagen zu grundsätzlichen Themen aus der DS-GVO. Beispielsweise, dass der Verantwortliche für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DS-GVO generell nach dem in Art. 5 Abs. 2 DS-GVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können muss, dass er die in Art. 5 Abs. 1 DS-GVO festgelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat – dies gelte auch für einen Zivilprozess (RN 90 f).
Auch sei eine automatisierte Ausführung eines Datenabrufs über eine Such- oder Kontaktimportfunktion durch einen Dritten in einem sozialen Netzwerk eine Datenverarbeitung des Netzwerkbetreibers als Verantwortlichem in Form der Offenlegung durch Übermittlung im Sinne des Art. 4 Nr. 2 DS-GVO. Die Verarbeitung auch der Mobilfunktelefonnummer eines Nutzers im Rahmen einer Such- und Kontaktimportfunktion durch das soziale Netzwerk Facebook kann nicht auf den Rechtfertigungsgrund der Vertragszweckerfüllung im Sinne von Art. 6 Abs. 1 Unterabs. 1 lit. b DS-GVO gestützt werden (RN 97 ff). Für die Verarbeitung der Mobilfunktelefonnummer eines Nutzers durch das soziale Netzwerk Facebook im Rahmen einer Such- und Kontaktimportfunktion ist eine Einwilligung im Sinne von Artt. 6 Abs. 1 Unterabs. 1 lit. a, Art. 7 DSGVO erforderlich, die bei unzulässiger Voreinstellung („opt-out“) und unzureichender sowie intransparenter Information über die konkrete Funktionsweise der Such- und Kontaktimportfunktion nicht vorliegen kann (RN 114ff).
Ein für die Datenverarbeitung Verantwortlicher verletzt seine Pflichten aus Art. 32 und Art. 25 Abs. 1 DS-GVO, wenn er bereits konkrete Kenntnis von einem Datenabgriff durch unbefugte Dritte hat und trotzdem bei ex-ante-Betrachtung naheliegende Maßnahmen zur Verhinderung des weiteren unbefugten Datenabgriffs nicht ergreift (RN 132 ff).
Ein Schadensersatzanspruch wegen einer solchen der DS-GVO nicht entsprechenden Datenverarbeitung scheidet gleichwohl aus, wenn bei der betroffenen Person ein konkreter (tatsächlicher), über den durch die unrechtmäßige Datenverarbeitung ohnehin eintretenden Kontrollverlust hinausgehender (immaterieller) Schaden nicht eingetreten sei. Die Darlegungslast für den Eintritt des konkreten immateriellen Schadens liege beim Betroffenen und könne bei behaupteten persönlichen / psychologischen Beeinträchtigungen nur durch die Darlegung konkret-individueller – und nicht in einer Vielzahl von Fällen gleichartiger, dem Beweis zugänglicher Indizien erfüllt werden (RN 156 ff).
2.8 SG Hamburg: Schutzbedarf bei E-Mails – Dispositionsbefugnis
Das Urteil des Sozialgerichts Hamburg zur Versendung von E-Mails ohne Vollverschlüsselung hat einige Besonderheiten. Eine sehbehinderte Person kann sich nur unverschlüsselte E-Mails vorlesen lassen und begehrte daher die Übersendung seiner Bescheide und alle das beiderseitige Sozialrechtsverhältnis betreffenden Formulare auch in barrierefreier Form, d.h. als PDF-Dokument durch unverschlüsselte E-Mail. Das Jobcenter berief sich aber auf Anforderungen an einen entsprechenden Schutz nach der DS-GVO und die behördeninternen Vorgaben dazu. Unter Berücksichtigung der entsprechenden landesrechtlichen Vorgaben zur Integration sehbehinderter Personen gibt das SG Hamburg der Klage statt. Eine Besprechung dazu finden Sie hier.
2.9 BVerwG: Unzulässigkeit der Vorratsdatenspeicherung
Das BVerwG setzt in diesem Urteil die Vorgaben des EuGH um und erklärt Vorratsdatenspeicherung und Bestanddatenauskunft für rechtswidrig. Hier finden Sie die Pressemeldung zu dem Urteil und entsprechende Berichterstattung.
Franks Nachtrag: Und ... wir haben wieder einen Politiker, der sagt: "Aber irgendwie kriegen wir es doch hin, oder?"
Wie heißt es so schön in der Anglospähre? It's pathetic!
2.10 BVwG Österreich: Anforderungen an Artt. 13, 14 DS-GVO bei Apps
Das BVwG Österreich stellt fest, dass zur Erfüllung der Informationspflichten nach Artt. 13, 14 DS-GVO eine Verlinkung der Datenschutzerklärung bei Download und Installation der App sowie dessen Bereitstellung innerhalb der Applikation ausreichend sei (unter Ziffer 3.3.3).
Und noch als Ergänzung von mir: Die Bestätigung der Kenntnisnahme oder die Bestätigung der Akzeptanz der Informationspflichten ist durch die DS-GVO nicht gefordert, sondern birgt weitere rechtliche Risiken!
2.11 Landesgericht für Strafsachen Graz: Privatsphäre auch für Ehegatten
Nach dieser Meldung wurde ein Ehemann zu einer dreimonatigen Bewährungsstrafe verurteilt. Ihm wurde vorgeworfen mind. drei AirTags an dem Fahrzeug seiner Frau befestigt zu haben, ohne deren Einverständnis zu haben, um sie zu überwachen. Das Urteil ist noch nicht rechtskräftig.
2.12 Oslo: Untersagung gegen Meta (Facebook, Instagram) bestätigt
Die norwegische Datenschutzaufsicht informiert, dass das Gericht in Oslo* die Rechtmäßigkeit der Entscheidung gegenüber Meta bestätigte. Damit wurde Meta vorübergehend untersagt Behavioral Marketing auf Facebook und Instagram einzusetzen.
Dabei informiert die Aufsicht auch, dass sie erwägt die Entscheidung dem Europäischen Datenschutzausschuss vorzulegen, um das Verbot auf die gesamte EU/EWR auszuweiten. Diese Verfahren sind noch nicht abgeschlossen.
* Franks Anmerkung: Ich hätte eine inoffizielle maschinelle Übersetzung ins Englische anzubieten...
2.13 EuGH-Vorschau: 14.09.2023 – Schlussanträge zu C-115/22 (NADA) zu Art. 9 DS-GVO
Fallen Angaben zu Dopingverstößen in den Anwendungsbereich des Art. 9 Abs. 1 DS-GVO und welche rechtlichen Folgen ergäben sich daraus? Die Schlussanträge des Generalanwalts aus dem Verfahren C-115/22 (NADA) sind für den 14.09.2023 angekündigt.
Franks Nachtrag: Nicht nur der geneigten Leserin wird auffallen, dass der 14.09.2023 in der Vergangenheit liegt 🫣... Aber nun gibt es bereits die veröffentlichten Schlussanträge. Und Kollege Kramer kommentiert sie bestimmt in einem der nächsten Blogbeiträge.
2.14 EuGH-Vorschau: 21.09.2023 – Verhandlung zu C-604/22 (IAB Europe)
Der Sitzungstermin für das Verfahren (C-604/22) wurde für den 21.09.2023 angekündigt. Zu klären ist, ob IAB Europe als Verantwortlicher angesehen werden kann und inwieweit bzw. für wen ein „Transparency and Consent-String“ (TC-String) aus dem Transparency and Consent Framework (TCF) ein personenbezogenes Datum darstellt.
2.15 EuGH-Vorschau: 28.09.2023 – Schlussanträge zu C-470/21 (La Quadrature du Net)
Für den 28.09.2023 sind die Schlussanträge des Generalanwalts im Fall C-470/21 (La Quadrature du Net) angekündigt. Das Besondere daran ist, dass es bereits Schlussanträge gab, auf Antrag der großen Kammer dann aber zu einer Sitzung im Plenum des EuGH am 16. Mai 2023 einberufen wurde. Es geht im Verfahren u.a. um die Frage, ob Identitätsdaten, die einer IP-Adresse zugeordnet sind, zu den Verkehrs- oder Standortdaten gehören, die grundsätzlich einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle, deren Entscheidung bindend ist, unterliegen müssen.
3.1 Wechsel in der Wettbewerbskommission
Nach 10 Jahren bat die bisherige Kommissarin für Wettbewerb Margrethe Vestager um unbezahlten Urlaub, um sich auf die Bewerbung auf die Präsidentschaft der Europäischen Investitionsbank (EIB) zu konzentrieren. Übergangsweise übernimmt der bisherige EU-Justizkommissar Didier Reynders diese Aufgabe mit. Einen Bericht dazu gibt es hier.
3.2 Verbändeanhörung zur Änderung des BDSG
Zu der Verbändeanhörung des BMI zur beabsichtigten Änderung des BDSG gingen einige Stellungnahmen ein, wie z.B. die des BvD, die des bitkom, oder die des DAV.
Franks Nachtrag: Im wahrsten Sinne des Wortes habe ich da auch noch eine Stellungnahme (der DVD)...
3.3 HinSchG: Speicherfristen bei Syndikusanwälten
Ja, es ist kein aktuelles Gesetzgebungsverfahren. Aber da sich derzeit etliche Unternehmen in der Umsetzung des HinSchG mit allerlei Fragen befassen, hier eine weitere, an die nicht alle denken: Beauftrage ich einen internen Juristen, der als Syndikusrechtsanwalt zugelassen ist, mit den Aufgaben der internen Meldestelle, welche Speicherfristen gelten dann? In diesem Beitrag gibt da dazu auch Überlegungen und Antworten.
3.4 Bundeskabinett: Nationale Datenstrategie
Das Bundeskabinett hat eine neue Nationale Datenstrategie beschlossen, die gemeinsam vom Bundesministerium für Digitales und Verkehr (BMDV), vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) und vom Bundesministerium des Innern und für Heimat (BMI) vorgelegt wurde. Die Strategie mit dem Titel "Fortschritt durch Datennutzung – Strategie für mehr und bessere Daten für neue, effektive und zukunftsweisende Datennutzung" knüpft an die zuvor bestehende Nationale Datenstrategie an und soll diese weiter entwickeln. Natürlich gibt es auch Aussagen zum Datenschutz. Unter Ziffer 1.2.5 findet man die Ankündigung „Wir vereinfachen den Datenschutz und erleichtern die praktische Umsetzung“ und darin dann alle derzeit gängigen Schlagworte.
3.5 Änderungen bei Aufbewahrungsfristen?
Aus dem Eckpunktepapier der Bundesregierung zur Bürokratieentlastung ergibt sich, dass Änderungen bei den Aufbewahrungsfristen vorgesehen sind (dort auf Seite 4). Die handels- und steuerrechtlichen Aufbewahrungsfristen für Buchungsbelege sollen von zehn auf acht Jahre verkürzt werden.
3.6 Identifikationsnummerngesetz (IDNrG)
Mit der Veröffentlichung im BGBl. vom 31.08.2023 wurde bekannt gegeben, dass die technischen Voraussetzungen für den Betrieb nach dem Identifikationsnummerngesetz (IDNrG) und die Verarbeitung der Identifikationsnummer gem. Art. 22 Sätze 2 und 3 des RegMoG vorliegen. Damit kann die Steueridentifikationsnummer aus § 139b AO auch für diese Zwecke verwendet werden. Damit kommt nun auch das „Datenschutzcockpit" aus § 10 OZG (Onlinezugangsgesetz) bei Verwaltungsleistungen zum Einsatz.
3.7 Digital Service Act: Russian Desinformation
Das Büro für Öffentlichkeitsarbeit der EU veröffentlichte Informationen zu Rahmenregelungen zum Risikomanagement bei Desinformation aus Russland. Insbesondere auf „X“ (vormals Twitter) käme es nach dieser Meldung häufig vor.
Franks Nachtrag: Also, das überrascht mich jetzt aber... Desinformationen bei X? Unglaublich...
3.8 Vorbereitung zum Data Act
Wie können sich Unternehmen auf den Data Act vorbereiten? Ausführungen dazu und eine Checkliste dazu finden sich hier.
3.9 Wissenschaftlicher Dienst in den USA zur Regulatorik von Social Media
Der Wissenschaftliche Dienst im Kongress der USA hat sich dort zu Fragen der Regulatorik der Algorithmen von Social-Media-Angeboten, dem Einwilligungserfordernis und der Moderation von unerwünschten Inhalten befasst.
3.10 AI Act – Was ist Künstliche Intelligenz?
In dem öffentlichen zugänglichen Diskussionsbereich eines Fachverlages wird zu der Diskussion um die Definition von Künstlicher Intelligenz im Rahmen des AI Acts berichtet.
4.1 KI-Podcastreihe der ARD
Hier bietet die ARD eine Podcastreihe an, die sich nur mit Fragen rund um KI befasst.
4.2 BSI: Podcast zu Künstlicher Intelligenz
Das BSI befasst sich in diesem Podcast (ca. 33 Min.) mit Fragen zur Künstlicher Intelligenz: Sei es, ob ganze Berufszweige künftig entfallen oder welche Chancen diese Technologie bietet, aber auch wie KI durch Cyberkriminelle genutzt wird.
4.3 BSI: Indirect Prompt Injections
Das BSI informiert zu intrinsischen Schwachstellen in anwendungsintegrierten KI-Sprachmodellen. Große KI-Sprachmodelle (Large Language Model (LLM)) erfreuen sich zunehmender Beliebtheit und werden beispielsweise eingesetzt, um Textdokumente automatisiert zu verarbeiten und Anwenderinnen sowie Anwendern mittels Chatbots und autonomer Agenten zu assistieren. Hierbei wird die Funktionalität fortlaufend erweitert. So sei es zum Beispiel Chatbots mittlerweile möglich mittels Plugins Internetseiten oder Dokumente automatisiert auszuwerten sowie auf Programmierumgebungen oder E-Mail-Postfächer zuzugreifen. Bei vielen der antizipierten Anwendungsfälle werden ungeprüfte Daten aus unsicheren Quellen verarbeitet. In diesem Fall sind LLMs anfällig für sogenannte Indirect Prompt Injections: Angreifende können die Daten in diesen Quellen manipulieren und dort unerwünschte Anweisungen für LLMs platzieren. Das BSI sensibilisiert hier zu diesem Thema.
4.4 Einführung in die KI für den Politikbetrieb
Warum geht das bei uns nicht? Politische Entscheidungsträger und deren unmittelbares Umfeld mal auf den aktuellen technischen Stand bringen. Neuland war gestern? Ich fürchte, die Ursache an dem aktuellen Stand in der Digitalisierung liegen bei uns vor allem an der unzureichenden Bereitschaft sich mit neuen Gegebenheiten zu befassen. Oder warum gibt es in den USA einen dreitägigen Kurs für Kongressmitarbeitende und Politiker:innen zu KI und bei uns findet die Fortbildung augenscheinlich (subjektiv gesehen nur) über Talkshows statt?
4.5 Wie politisch ist KI?
Eine Studie zeigt nun, dass die GPT-Modelle von Open AI eher linksliberal seien, während Metas LLama eher rechts einzuordnen wären und Googles Modelle sozial-konservative Antworten gäben. Das läge einerseits an den verwendeten Trainingsdaten, andererseits an der Methode, wie die KI Antworten generiert sowie dem Finetuning. Die Studie findet sich hier, ein Bericht dazu dort.
4.6 CSET: A Matrix for Selecting Responsible AI Frameworks
In der Studie des Centers for Security and Emerging Technologiy (CSET) werden 40 bestehende Frameworks für verantwortungsvolle KI untersucht, um Organisationen dabei zu helfen verantwortungsvolle KI-Frameworks zu verstehen, auszuwählen und zu nutzen, die ihren Bedürfnissen entsprechen.
4.7 Google: Kennzeichnungspflicht bei Wahlwerbung mit KI
Wie hier berichtet wird, verlangt Google nun eine Kennzeichnungspflicht bei Wahlwerbung, die mit KI generiert wurde.
4.8 KI und Datenschutz
Mit den datenschutzrechtlichen Aspekten des Einsatzes von KI, wie zum Beispiel zur Vertragserfüllung, befassen sich diese Ausführungen einer Kanzlei. Der Beitrag ist Teil einer Reihe zu dem Thema.
4.9 Copyright-Regelungen bei der Nutzung von Copilot-Funktionen
Um auf die Sorgen der Nutzer hinsichtlich ihrer Rechte an Inhalten zu reagieren, kündigt Microsoft eine neue Urheberrechts-verpflichtung an. Im Übrigen bietet Microsoft nach dieser Meldung an Nutzer von Urheberrechtsansprüchen Dritter aufgrund der Nutzung von Copilot-Funktionen freizustellen, wenn bestimmte Vorgaben eingehalten werden.
4.10 Was darf KI – Rechtsfragen in den USA
Genau! Damit haben wir schon beste Erfahrungen gemacht: Erst entwickeln und veröffentlichen und dann rechtliche Fragen klären...
Nun versucht die US-Behörde für Copyright anhand einer Konsultation rechtliche Fragen um den Einsatz von KI zu klären wie hier berichtet wird. Bis 18. Oktober 2023 können Rückmeldungen gegeben werden.
4.11 Klage gegen Microsoft und Open AI
In einer zweiten Sammelklage in den USA müssen sich Microsoft und Open AI mit Vorwürfen der unbefugten Nutzung von Informationen und personenbezogenen Daten bei Training der KI befassen. Die Klage findet sich hier, ein Bericht dazu über diesen Link.
4.12 Checkliste für den Einsatz einer KI
An was ist alles zu denken, wenn generative KI eingesetzt wird? Dazu gibt es hier (wieder) eine weitere Checkliste, die dabei unterstützt, diesmal vom Future of Privacy Forum. Sie ergänzt andere, auf die wir teilweise bereits hingewiesen haben, wie die von PwC oder die der CNIL.
4.13 Daten-Fairness in einer digitalisierten Welt
In welche Rubrik bringe ich das unter? Ich habe mich für „Ethik“ entschieden. Eine Reihe renommierter Autoren befasst sich mit diesen Fragen („Daten-Fairness in einer digitalisierten Welt") und freundlicherweise ist das Ergebnis frei zugänglich. Nun ja, erfolgte ja auch mit Förderung des BMBF.
4.14 „KI statt K.O.“
So lautete der Titel einer Veranstaltung der DIHK, deren Impressionen hier hinterlegt sind. Es sind auch die Aufzeichnungen der Veranstaltung (in mehreren Videos) verfügbar.
4.15 Leitfaden zur Verwendung generativer KI (Schweiz)
Es wurde ein Leitfaden zur Verwendung generativer KI unter dem Geltungsbereich des Schweizer Datenschutzrechts veröffentlicht.
4.16 Open AI: Leitfaden für Lehrkräfte
Open AI veröffentlicht einen Leitfaden für Lehrkräfte, Schülerinnen und Schüler in Form von FAQs.
4.17 X: Nutzung der Daten für KI
Anscheinend wollen jetzt alle irgendwelche Daten für das Training einer KI nutzen. Selbst das Netzwerk, das als Twitter begeisterte und als „X“ nur noch Verwunderung auslöst, tendiert nach dieser Meldung in diese Richtung. Also wer nicht will, dass seine Nachrichten, seine Likes oder sonstige Reaktionen mal irgendwo als Antwort einer KI auftauchen: Es gilt die Empfehlung, die schon immer fürs Internet galt: „Think before you post“!
4.18 Arbeitgeber und KI
Auf was sollte aus Arbeitgeber- oder Arbeitnehmersicht beim Einsatz von Künstlicher Intelligenz geachtet werden? Diese Ausgabe eines Newsletters befasst sich mit den entsprechenden Fragestellungen.
4.19 Ethics and Responsible Research and Innovation in Practice
Innovations- und Forschungszentren, Universitäten und ihre Forscher müssen Ergebnisse in einem sehr wettbewerbsintensiven Umfeld erzielen, da sie zunehmend unter hohem Druck stehen, was zu inakzeptablen Verhaltensweisen führen kann. Zugleich wächst das Bewusstsein für die Notwendigkeit solche Forschungs- und Innovationstätigkeiten mit Ehrlichkeit und Integrität durchzuführen und dabei anerkannte Praktiken und gemeinsame ethische und soziale Werte zu respektieren. In diesem Zusammenhang wird zunehmend über die Verantwortung diskutiert, die Institutionen in Bezug auf die Förderung von Strategien, die der Integrität der Forschung, der Einbeziehung der Öffentlichkeit, dem offenen Zugang und der Gleichstellung der Geschlechter in Forschungsprozessen förderlich sind, haben. Verschiedene ethische Managementinstrumente – wie Ethikkodizes und bewährte Praktiken oder Ethikausschüsse – können eine wichtige Rolle bei der Erreichung der oben genannten Ziele spielen. In diesem Projekt werden verschiedene Ansätze dazu untersucht, bewertet und hier unter dem Titel „Ethics and Responsible Research and Innovation in Practice“ veröffentlicht.
5.1 Privacy Red Teams
Im Bereich der IT-Security gibt es bereits „Red Teams“. In diesem Beitrag wird dies auch für den Bereich „Privacy“ empfohlen. Wobei sich „Privacy“ natürlich nicht auf den Zuständigkeitsbereich der ePrivacy-RL begrenzen lassen sollte. Aber an die Ungenauigkeiten in den Bezeichnungen kann nicht immer Rücksicht genommen werden.
5.2 Was tun bei Cyberangriffen?
Um rechtliche Anforderungen und Maßnahmen geht es in diesem Whitepaper einer Kanzlei, das auch die präventive Seite nicht vergisst.
5.3 DS-GVO 2024 – Chancen für Entlastungen
Die Vorträge der Veranstaltung der Stiftung Datenschutz und des BvD sind nun wie auch die Aufzeichnungen aller Diskussionen, Impulse und Interviews online verfügbar.
5.4 Anforderungen an Schutzmaßnahmen
Welche Schlussfolgerungen hinsichtlich der Angemessenheit von technischen und organisatorischen Maßnahmen ergeben sich aus den Schlussanträgen des Generalanwalts im Fall C-340/21 (Natsionalna agentsia za prihodite)? Damit befasst sich dieser Beitrag, da nach Ansicht des Generalanwalts nicht aus jeder Datenschutzverletzung auf unzureichende Schutzmaßnahmen geschlossen werden kann.
5.5 Nutzung eines Scores
Noch ist nicht sicher, ob der EuGH den Schlussanträgen des Generalanwalts im Fall C-634/21 folgen wird, der u.a. bei Art. 22 DS-GVO davon ausgeht, dass dieser auch für Aussagen anzuwenden ist, wenn andere Stellen diese dann zur Grundlage ihrer Entscheidung machen. Nun wird darüber berichtet, dass die Schufa bei ihren Vertragspartnern sicherstellen will, dass der von ihr ermittelte Score nicht das ausschlaggebende Kriterium bei Entscheidungen sei.
5.6 Rechtmäßigkeitsgrundlage Vertragserfüllung bei Beschäftigten
Nachdem der EuGH im Verfahren C-34/21 Vorgaben zur Umsetzung des Beschäftigungsdatenschutz formulierte, veröffentlichte die Hessische Datenschutzaufsicht Hinweise zur Anwendbarkeit der Artt. 6 Abs. 1 lit. a und lit. b DS-GVO.
Erlaubt sei danach die Verarbeitung nach Art. 6 Abs. 1 lt. a DS-GVO, wenn sie zur Erfüllung des Arbeitsvertrags oder für vorvertragliche Maßnahmen erforderlich ist. Hierzu zählen die Verarbeitung von personenbezogenen Daten wie Name, Kontaktdaten und Bankverbindung der Beschäftigten sowie Bewerbungsunterlagen im Rahmen der Eingehung des Beschäftigungsverhältnisses ebenso wie die Datenverarbeitungen bei der Nutzung von IT- und Telefoninfrastruktur zur Erfüllung der sich aus dem Arbeitsvertrag ergebenden Aufgaben. Im Beschäftigtenkontext sei zu unterscheiden, in welchem Umfang die Verarbeitung zur Erfüllung des Arbeitsvertrags notwendig ist und welche Nebenabreden nicht den eigentlichen Vertragszweck betreffen. Entscheidend sei, ob eine Datenverarbeitung im Vertrag so deutlich angelegt war, dass der Verantwortliche sich, vermittelt über den Vertragsschluss, letztlich auf die Willensentschließung der betroffenen Person stützen könne. Die betroffene Person würde sich im Umkehrschluss somit treuwidrig verhalten, wenn sie die Verarbeitung der Daten verweigern würde. Grundsätzlich seien alle Verarbeitungsvorgänge als erforderlich anzusehen, mit denen die betroffene Person bei Vertragsverhältnissen der jeweiligen Art üblicherweise rechnen müsse, da ohne sie eine Vertragsdurchführung nicht möglich ist, oder sie im konkreten Vertrag angelegt sind.
Bei der Grundlage nach Art. 6 Abs. 1 lit. f DS-GVO ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Begriff des berechtigten Interesses ist weit zu verstehen und umfasst sowohl rechtliche als auch wirtschaftliche und ideelle Interessen. Der Erlaubnistatbestand käme danach für Verarbeitungsvorgänge in Betracht, die sich nicht direkt aus dem Arbeitsvertrag ergeben, z.B. Maßnahmen zur Sicherstellung der IT-Sicherheit, bei denen auch Beschäftigtendaten verarbeitet werden.
5.7 Datenschutz in der Versicherungswirtschaft
Die Folien zu zwei Vorträgen einer Veranstaltung des Instituts für Versicherungsrecht an der Heinrich-Heine Universität sind nun öffentlich verfügbar: „Datenschutz in Versicherungsunternehmen – ein Hindernis für die Digitalisierung?“ und „Datenschutzrechtliche Anforderungen an den Einsatz künstlicher Intelligenz“.
5.8 DSB durch juristische Person?
Können mit den Aufgaben eines externen Datenschutzbeauftragten auch juristische Personen betraut werden oder ist das nur für natürliche Personen zulässig? In diesem YouTube-Videoausschnitt mit einem ehemaligen Landesdatenschutzbeauftragten sieht dieser keine Gründe, die dagegen sprächen und sieht Parallelen zu Wirtschaftsprüfern. Anders sieht es hingegen die Veröffentlichung des LfDI Baden-Württemberg aus dem Jahr 2019 (dort Seite 5), danach könnten bei einer externen Verpflichtung juristische Personen selbst nicht Beauftragte werden, da die Regelungen auf eine natürliche Person zugeschnitten seien.
Franks Anmerkung: Meinungen können sich im Laufe der Zeit halt auch mal ändern...
5.9 Urheberrechtsschutz bei Datenschutzerklärungen
Darauf muss man erstmal kommen: Unterliegen Datenschutzerklärungen auch dem Urheberrechtsschutz? Warum nicht, wenn sie eine gewisse schöpferische Tiefe aufweisen, fasst dieser Beitrag zusammen. Also nicht nur stupide irgendwas abschreiben, was andere charmant formulierten, sondern erst gucken, welche Verarbeitungen tatsächlich vorgenommen werden und dies dann in einfacher und klarer Sprache formulieren. Mehr ist es dann aber auch nicht, oder? Doch: Regelmäßig prüfen, ob die Angaben noch aktuell sind!
5.10 DPF und SCC
Welche Unterschiede es zwischen dem Data Privacy Framework (DPF) und den Standarddatenschutzklauseln (SCC) gibt, wird hier durch eine Kanzlei zusammengestellt.
5.11 Autos mit Daten
Eigentlich wundert es nicht: Das Ergebnis einer Studie der Mozilla Foundation hinsichtlich der Umsetzung der Datenschutzanforderungen durch 25 Herstellern kommt einem Crashtest gleich: Kein einziger erfüllt die Anforderungen. Nur bei Renault und Dacia seien Löschungen möglich. Ansonsten übertreffen sich alle hinsichtlich des Sammelns von allen möglich Datenkategorien – selbst bei den besonderen Kategorien gibt es kein Halten. Über die Studie wurde auch außerhalb der Datenschutz-Community ausführlich berichtet. Hersteller sehen dies anders, wie hier BMW.
5.12 Zahlen mit Daten
In diesem Beitrag geht es um rechtliche Konsequenzen, wenn mit Daten gezahlt wird.
5.13 BvD: Marktübersicht Software zu Webseiten-Audits
Der BvD hat eine Marktübersicht von Software für Webseiten-Audits veröffentlicht.
5.14 Angriff über Windows 7
Eigentlich sollte ein Hersteller eines Sicherheitselements selbst darauf achten, dass seine Produkte nicht manipuliert werden können. Umso verwunderlicher lesen sich Berichte, dass ein Hersteller eines Sicherheitszauns in Großbritannien über das eingesetzte Betriebssystem Windows 7 angegriffen werden konnte.
5.15 Angriff über Router und SmartHome
Angriffe auf deutsche Bundesbehörden gibt es laut dieser Meldung auch aus China, die Hacker nutzen dazu Router und SmartHome-Anwendungen aus, um bei ihren Angriffen über zweckentfremdete Privatgeräte die eigenen Spuren zu verwischen.
5.16 NIS2 – Betroffenheitsprüfung
Hier gibt es eine Checkliste zur Anwendbarkeit der neuen EU-Richtlinie für Cybersicherheit.
5.17 Beschwerde über Fitbit
Das NGO noyb berichtet, dass es drei Beschwerden gegen Fitbit in Österreich, in den Niederlanden* und in Italien* eingereicht habe. Eine Nutzung sei nur bei einer Zustimmung des Datentransfers in die USA möglich, diese könne auch nicht widerrufen werden.
Franks Anmerkung: Die Beschwerden sind in der jeweiligen Landessprache unter dem ersten Link zu finden. Die österreichsiche Beschwerde haben wir wegen der leichten Lesbarkeit direkt verlinkt.
5.18 Speicherdauer von Logfiles / Protokolldateien
Ein Dauerbrenner ist die Frage nach der Speicherdauer von Logfiles / Protokolldateien. Natürlich geht es auch dabei um eine Speicherdauer bis zur Zweckerfüllung. Hier befasst sich ein Beitrag damit und mit den entsprechenden Fragestellungen und Ansichten dazu.
5.19 Widerspruch zu Werbereglung bei WhatsApp
Wer WhatsApp nutzt und trotzdem noch den Versuch machen will von nervigen Werbemaßnahmen und Profilbildung verschont zu werden, kann sich hier informieren, wie das angestellt werden kann.
Franks Anmerkung: Aber nur, wenn vorher das werbefinanzierte Modell der verlinkten Quelle akzeptiert wird... Das hat schon eine besondere Form von Humor.
5.20 Warnung zu falschen Bescheiden der Steuerbehörden
Ich kann mir den Kalauer nicht verkneifen, dass Viele sicherlich Anschreiben der Finanzbehörden schon an sich als Angriff empfinden.
Doch sind nun tatsächlich nach Angaben der Polizei-Prävention Niedersachsen vermehrt gefälschte Schreiben und E-Mails von vermeintlichen Finanzbehörden unterwegs, die zu Zahlungen auffordern.
5.21 Third Party Risc Assessment
Was darunter zu verstehen ist und was dabei alles zu beachten ist, wird hier erläutert, im Wesentlichen geht es um die Eindämmung der Risken, wenn Dritte eingeschaltet werden.
5.22 Microsoft und der Angriff durch Storm-0558
Viel weiß man nicht, eine Zusammenfassung dazu findet sich hier.
Franks Nachtrag: Na ja...
5.23 Veranstaltungen
Ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei.
22.09.2023, 19:00 – 20:30 Uhr (nur vor Ort): In Köln findet dieser Fachtag der Free Software Foundation Europe (FSFE) unter dem Titel „Die Welt nach Facebook, Twitter und YouTube. Eine neue Generation des Internets?” statt.
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier.
30.09.2023, 14:00 – 18:00 Uhr in Schwerin: Zum Projektstart von „Digitale Vorbilder – Familien gehen online“ laden die Datenschutzaufsichtsbehörden Mecklenburg-Vorpommerns und Hamburgs zusammen mit ihrem Kooperationspartner TIDE am Samstag, den 30. September 2023, zu einem Medienaktionstag für die ganze Familie ein. Details zu den Angeboten an dem Tag und den beteiligten Kooperationspartnern finden sich hier. Weitere Medienaktionstage sind für den 04.11.2023 in Torgelow (Oase Haus an der Schleuse) und für den 02.12.2023 in Güstrow (Uwe Johnson-Bibliothek) geplant.
12.10.2023, 17:00 – 19:30 Uhr in Wien: Unter dem Dach des Instituts für Innovation und Digitalisierung im Recht der Universität Wien wird die Veranstaltungsreihe "Forum Datenrecht" ins Leben gerufen. Der Titel des ersten Treffens lautet: "Data Act vs. DS-GVO – schaffen wir ein innovationsfreundliches Umfeld?" Dabei tauschen sich Experten aus Wirtschaft, Wissenschaft und Aufsicht aus. Weitere Informationen zu Teilnehmenden und Anmeldung hier.
10.11.2023, 16:00 – 17:30 Uhr in Düsseldorf: Ein Beratungsunternehmen bietet hier einen Service, der vor Ort kostenlos angenommen werden kann. Details und Anmeldung hier.
13.11.2023, 15:30 – 17:00 Uhr in Stuttgart und online: Wann liegt eine sogenannte Datenpanne vor? Und was ist im Ernstfall zu tun? In welchen Fällen müssen auch Betroffene benachrichtigt werden? Mit diesem Problem sind Sie nicht allein – aufgrund der großen Nachfrage bietet der LfDI Baden-Württemberg seine Grundlagenschulung zum Datenpannen-Management erneut an. Im Mittelpunkt stehen die datenschutzrechtlichen Anforderungen an den Umgang mit Datenpannen und deren praktische Umsetzung im Rahmen eines Datenpannen-Managements. Der Schwerpunkt liegt auf den Bereichen Wirtschaft und Gesundheitswesen mit anschaulichen Beispielen zu den jeweiligen Besonderheiten.
Bis 14.01.2024 in Nürnberg: Allen, die sich mit den Konsequenzen der Künstlichen Intelligenz bei der Gestaltung von Bildern befassen wollen, sei die Ausstellung „New Realities“ im Nürnberger Museum für Kommunikation empfohlen, die bis 14. Januar 2024 zu sehen ist. Sie führt Besucher auf eine interaktive Reise durch drei Bilderserien, die mit KI errechnet wurden.
6.1 „Datenschutz-Klimbim“ und Vorbildfunktion
Wenn es nicht so traurig wäre... In diesem Beitrag beklagt sich ein Verbandsvertreter über den Datenschutz-Klimbim an Schulen. Aber anstatt bei dem jeweiligen Dienstherrn und den Schulbehörden Unterstützung bei der Umsetzung einzufordern, um Mehrfachbelastungen zu minimieren und einheitliche Standards zu fördern, wird pauschal und unbelastet von irgendeinem µ an Vorwissen einfach mal die Datenschutzkeule ausgepackt. Das Schlimme daran ist. Wie wollen Unbelehrbare anderen etwas beibringen?
6.2 Anonymisierung von Gerichtsurteilen – Klage gegen OpenJur
Gegen das Portal OpenJur läuft ein Gerichtsverfahren, weil dieses ein Urteil veröffentlichte, das durch das veröffentlichende Gericht nicht ausreichend anonymisiert wurde. Damit treffen mehrere gesellschaftsrelevante Aspekte zusammen: Wie können Entscheidungen der Gerichte schnell und kostenlos bereitgestellt werden, wer trägt das Risiko und die Verantwortung hinsichtlich der Anonymisierung und können Gerichtsentscheidungen überhaupt vollständig anonymisiert werden? Damit befasst sich dieser Beitrag.
7.1 ChatGPT-Leitfaden für Pädagog:innen
Über LinkedIn werden in einem Newsletter Hinweise zur Verwendung von ChatGPT im schulischen Umfeld gegeben.
Franks Nachtrag: Suchen Sie mal nach dem Stichwort Datenschutz in dieser wirklich umfangreich beschriebenen Linkliste... Nicht das Datenschutz bei KI jetzt wirklich ein Thema wäre. Aber wer ist da nicht gerne die/der DSB, welche/r dann erklären darf, warum es aus Datenschutzsicht vielleicht doch nicht ganz so einfach ist, alle diese schönen KI-Dienste mit den Schutzbefohlenen (a.k.a. Schüler:innen) zu nutzen... Ach, was rege ich mich auf, ist doch eh kein Thema...
7.2 Hinweise für Eltern zum Smartphone für das Kind
Hier finden sich Tipps und weitere Links für Eltern, die ihr Kind mit einem Smartphone beglücken wollen. Ergänzend dazu noch von mir der Tipp zu überlegen, ob es wirklich die sozialen Netzwerke sein müssen, die immer wieder dadurch auffallen, dass sie nicht zur Speerspitze der Unternehmen gehören, die durch die Umsetzung der Vorgaben zum Schutz von Personen (und auch speziell von Kindern) auffallen.
8.1 Apropos ChatGPT...
Was haben wir denn noch so zu ChatGPT gehabt in der zweite Sommerhälfte?
- Wie finanziell solide ist eigentlich ChatGPTs Geschäftsmodell?...
- Wie lange genau gibt es schon ChatGPT? Das läuft auf einem C64?
- Wasserverbrauch? Welcher Wasserverbrauch?
- Endlich ChatGPT ohne schlechtes Gewissen alle Geheimnisse anvertrauen?
8.2 Wie sicher ist die Microsoft-Cloud?
Ich glaube, ich habe in den letzten Wochen über 20 Meldungen zum Thema gesammelt, aber die Zeit, die Zeit, um das alles in einen guten Text zu bündeln... Da ich davon wie so oft zu wenig habe, hier drei Quellen zum Microsoft-Debakel:
- Ein Überblicksartikel von Ende August.
- Ein Artikel über die mögliche Ursache für das Debakel...
- Und eine Analyse der von Microsoft veröffentlichten Analyse.
Wie war das? Wir geben unsere Daten zu Microsoft, denn die haben viel mehr Ressourcen und auch mehr Ahnung von Sicherheit?
8.3 Apropos KI...
Auch hier haben sich noch so ein, zwei Artikel gesammelt, also...
- Sie wollen KI-Anwendungen programmieren? Und die sollen auch sicher sein? Schauen Sie doch einfach mal in die OWASP Top 10 for Large Language Model Applications um zu sehen, was Sie besser an Fehlern vernmeiden sollten. Hier gibt es einen erläuternden Artikel auf deutsch.
- Wie, die KI soll nicht nur sicher, sondern auch möglichst rechtskonform sein? Dann schauen Sie bitte hier nach: Prozess zur rechtskonformen Einführung / Einsatz von KI im Unternehmen
- KI und Katzenbilder? Gerne, aber bitte nicht die KI kritisieren! Und zumindest hinterher dafür entschuldigen.
- Apropos KI und Kunst. Gibt es dafür eigentlich auch Urheberrecht? Nö. (Alternativ: Nope.)
- Aber so ein bisschen Kunst geht doch, oder? Nur, wenn Sie mir eine Geschichte erzählen. (Ich bin nicht schuld, wenn Sie jetzt Zeit vertrödeln...)
- Chemtrails? Sollen schädlich sein? Was tun? KI nutzen... A match made in heaven?
- KI-generierte Stimmen werden zum Betrug genutzt? Es wirkt nicht unerwartet. Und ist wie so oft ist es unmoralisch. Quasi der Enkeltrick 2.0...
- Johnny Cash und Barbie? ... Wenn das mal kein Clickbait ist: Johnny Cash singing Barbie Girl. Zwei Anmerkungen: Zu Beginn heißt es: Hello, I am not Johnny Cash (ach!). Und wenn Sie nach diesem Video (welches ja eigentlich nur ein Audiofile ist) dabeibleiben, kommt eine schöne Liste echter Johnny-Cash-Songs...
8.4 Jahresbericht noyb 2022
Wir berichten regelmäßig zu Jahresberichten der Aufsichtsbehörden. Da noyb ja auch bereits das eine oder andere im Datenschutzbereich bewegt hat, hier also der Jahresbericht von noyb für das Jahr 2022.
8.5 Ein paar schöne Longreads zu Autos, Wolken und gebrochenen Versprechen...
Cory Doctorov mal wieder. Einmal auf deutsch zum Sozialen Medienwechsel, einmal zur Autoenshittification und einmal zum Cloudburst. Wie immer lesenswert und umfangreich belegt. Da es ja auch auch um gebrochene Versprechen geht in manchen dieser Artikel, hier noch einer nur zu gebrochenen Versprechen.
8.6 Was tun, wenn das Internet schädlich wird?
Die Verbindung trennen. Findet Google. Na dann...
8.7 Smartphones aus Schulen verbannen?
Die sind aber echt naiv bei der Unesco...
8.8 Wie, die Sachen aus der Cloud gehören gar nicht mir?
Ein Kommentar: "Was wie Vanmoof nur an App und Cloud hängt, gehört Euch nicht"...
8.9 The little search engine that couldn’t
Es hätte alles so schön werden können. Wurde es aber nicht. Spannende Lektüre über einen alternativen Suchmaschinen-Ansatz, der nicht funktionierte.
8.10 Apropos Anhalt-Bitterfeld...
Im Folgenden ein paar Quellen, die den Katastrophenfall in Anhalt-Bitterfeld nachträglich beleuchten. Dazu haben wir zum einen einen Artikel ("Zusammenarbeit war herausfordernd..." 🤣), dann eine Podcast-Reihe (cooler Titel! 👍) und dann noch einen Art Augenzeugenbericht (?) (Ob das wirklich die erste war? 🤔) Und eine Kommentierung (😁), wenn Sie das so nennen mögen. Und hier noch ein Nachschlag zur Kommentierung, Anlass dafür war eine bitkom-Umfrage.
9.1 Nutzung sozialen Netzwerke durch Privatpersonen
Auf was ist bei der Verwendung personenbezogener Daten wie Videos oder Bilder in sozialen Netzwerken durch Privatpersonen zu achten? Antworten finden sich in diesem Beitrag eines Newsletters.
