Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 38&39/2022)“
Hier ist der 52. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 38&39/2022)“.
Passend zum längeren Wochenende ein längerer Blogbeitrag…
- Aufsichtsbehörden
- EDSA: Ankündigung zum DSB
- EDPB: Aussagen zur EuroPrise Zertifizierung
- EDPS und AEPD: Zehn Missverständnisse zu Maschinellem Lernen
- BfDI zur Frage der Auftragsverarbeitung durch E-Mail-Provider
- LfDI Baden-Württemberg: Bußgeld aufgrund missbräuchlicher Verwendung von Grundbuchdaten
- LfDI Baden-Württemberg: B.sucht Klaus Staeck
- LfDI Baden-Württemberg: „Schule digital“
- LfDI Baden-Württemberg: Nutzung von Microsoft 365 an Schulen
- LfDI Baden-Württemberg: Wissensquiz zur DS-GVO und zu ihrer Anwendung
- LDI NRW: Digitaler Unterricht in Schulen
- EKD: Schwerpunktprüfung Kindertagesstätten
- CNIL: Materialien zu Künstlicher Intelligenz
- Italien: Bußgeld wegen unzureichender Auskunft gegen Bank
- Irland: Details zu Bußgeld gegen Instagram
- OPC Canada: PIA (DSFA) zu Microsoft 365
- BSI: Mindestanforderungen Mobile Device Management
- BSI: Orientierungshilfe zur Angriffserkennung
- Rechtsprechung
- EuGH zur Vorratsdatenspeicherung
- EuGH: Generalanwalt zum Beschäftigtendatenschutz
- EuGH: Generalanwalt zu Datenschutz im Wettbewerbsrecht
- EuGH: Vorlagefragen des BAG zu Art. 88 DS-GVO und zum Beschäftigtendatenschutz
- BGH: Klagebefugnis von Verbraucherschutzverbänden
- LArbG Sachsen: Verstoß gegen Clean-Desk-Policy als Kündigungsgrund
- Gesetzgebung
- Bundestag: Fragenkatalog zu Künstlicher Intelligenz und Blockchain / Anhörung am 26. September 2022
- Bundesrat: Vorschläge zum Hinweisgeberschutzgesetz
- Bundesregierung: Einsatz von Cloudflare beim Zensus 2022
- Hinweisgeberschutzgesetz
- Neue Covid-Arbeitsschutzverordnung
- EU: Künstliche-Intelligenz-Haftungsregelung
- EU: Produkthaftungsregelung
- Großbritannien und der Cloud Act
- USA: Wasserstandsmeldung zum TADPF
- Künstliche Intelligenz und Ethik
- Ethisches Dilemma: Fighting Big Tech by supporting Big Tech
- CNIL auch die Aufsicht über KI?
- KI und Massenüberwachung
- Kunstprojekt: The Follower
- Bundestagsanhörung zu KI
- Medizinische Trainingsdaten für KI?
- Einsatz von KI beim Ackerbau
- Nachhaltigkeit über ethische Beschaffungsverfahren
- Wie beeinflussen Roboter das menschliche Entscheidungsverhalten?
- Veröffentlichungen
- Verantwortlichkeit in komplexen Daten-Ökosystemen
- Datenschutzzertifizierungen für Informationssysteme im Bildungssektor
- Microsoft: Neue Lizenzregelungen
- Interessenswahrung als Auffangtatbestand?
- “Produktivitätstheater“ dank Microsoft 365?
- KI und privacy by design
- Berufliche Chancen durch Nutzung von LinkedIn?
- Wissenschaftliche Forschung mit medizinischen Daten
- Vorratsdatenspeicherung
- Privacy Ring zu Drittstaatentransfer
- Die Zusammenlegung der Datenschutzaufsichtsbehörden …
- Profiling und Einwilligung
- Musterdatenschutzerklärung für Webseitenbetreiber
- EFDPO: Anforderungen an Controller und Processor
- Veranstaltungen
- Veranstaltung der hiig: Resistance in the datafied society
- LfDI Baden-Württemberg: „Digital souverän bleiben, aber wie?“
- LfDI Baden-Württemberg: „Sicherheitsmanagement für Entscheider“
- CEDPO: Webinar zum Data Act und zum Data Governance Act
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Der Sonnenkönig dekretiert…
- Die Hard, die 7., die 9. oder gar die 15.?
- Sag mir, wo Du wohnst und ich sage Dir, wie sicher bzw. datenschutzkonform Deine Apps sind…
- Malwareinfektion durch Mausbewegung?
- „We deploy a defence-in-depth strategy“
- Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern
- „Die interessieren sich doch eh nicht dafür, was ich persönlich so im Internet mache…“
- Auch das ist eine Meldung zu Tesla…
- Wenn die Rechtschreibprüfung petzt
- Der Preis der Rasterfahndung in NRW
- Handlungsoptionen für Opfer von Rachepornos
- Die gute(n) Nachricht(en) zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Ankündigung zum DSB
Berichten zufolge wird sich der EDSA künftig mit der Benennung und Stellung des DSB in einer zweiten koordinierten Durchsetzungsmaßnahme befassen.
1.2 EDPB: Aussagen zur EuroPrise Zertifizierung
Die DS-GVO gilt seit Mai 2016. Und seitdem warten alle (zumindest diejenigen, die damit beruflich zu tun haben) auf eine Möglichkeit, dass es seriöse Zertifizierungen für Auftragsverarbeiter gibt die Einhaltung der datenschutzrechtlichen Vorgaben bei ihren Leistungen bestätigen zu lassen. Die DS-GVO sieht hier in Art. 28 eine Möglichkeit über Zertifizierungen vor, deren jeweilige Umsetzung in Zusammenspiel zwischen Datenschutzaufsichtsbehörden und nationaler Akkreditierungsstelle abhängt. Umso erfreulicher, wenn nun der EDSA seine Stellungnahme zu einem Zertifizierungskatalog veröffentlicht hat. Dann kann es ja nicht mehr lange dauern, bis es diese und sicher auch weitere Möglichkeiten geben wird.
1.3 EDPS und AEPD: Zehn Missverständnisse zu Maschinellem Lernen
Die EU hat die künstliche Intelligenz (KI) als eine der relevantesten Technologien des 21. Jahrhunderts identifiziert und 1 ihre Bedeutung für die Strategie für den digitalen Wandel der EU hervorgehoben. Mit einer breiten Palette von Anwendungen kann KI in so unterschiedlichen Bereichen wie der Behandlung chronischer Krankheiten, der Bekämpfung des Klimawandels oder der Antizipation von Cybersicherheitsbedrohungen einen Beitrag leisten. Der Europäische Datenschutzbeauftragte hat zusammen mit der spanischen Datenschutzaufsichtsbehörde zehn Missverständnisse rund um das „Maschinelle Lernen“ aufgelistet, um diese zu zerstreuen. Damit soll die Bedeutung der Implementierung dieser Technologien in Übereinstimmung mit EU-Werten, Datenschutzgrundsätzen und uneingeschränkte Achtung des Einzelnen unterstrichen werden.
1.4 BfDI zur Frage der Auftragsverarbeitung durch E-Mail-Provider
Im Rahmen einer Anfrage zur datenschutzrechtlichen Einstufung des E-Mail-Nutzers und E-Mail-Providers über FragdenStaat ist eine Antwort des BfDI nun veröffentlicht worden. Der Absender sei Verantwortlicher. Der E-Mail-Diensteanbieter aber auch. Es laufen derzeit aber auch noch Abstimmungen innerhalb der DSK, um einheitliche Maßstäbe für alle Telekommunikationsdienstleistungen nach TKG und TTDSG zu entwickeln. Den ganzen Vorgang aus FragdenStaat finden Sie hier.
1.5 LfDI Baden-Württemberg: Bußgeld aufgrund missbräuchlicher Verwendung von Grundbuchdaten
Ein Bauunternehmen verwendet Daten der Eigentümer aus dem Grundbuch, um sein Ankaufinteresse zu äußern und ohne zu offenbaren, dass ihm ein Vermessungsingenieur diese Daten organisiert hat. Wie geht es aus? In Baden-Württemberg gibt es dafür 50.000 Euro Bußgeld für das Bauunternehmen und 5.000 Euro für den Vermessungsingenieur. Wichtig in der Argumentation der Aufsicht dabei: Die Hinterlegung der Daten im Grundbuch sind nicht dazu gedacht für eine werbliche Ansprache genutzt zu werden.
1.6 LfDI Baden-Württemberg: LfDI BW B.sucht Klaus Staeck
Der LfDI BW unterhält sich mit dem bekannten Grafiker Klaus Staeck über Plakatkunst und aktuelle Entwicklungen (ca. 1 Sunde). Bitte beachten Sie bei Anblick des Schreibtisches die Info zu Ziffer 2.4.
1.7 LfDI Baden-Württemberg: „Schule digital“
Der LfDI Baden-Württemberg bietet zu verschiedenen Lebenssituationen und Blickrichtungen Seminare für Eltern, Lehrkräfte, Schulsekretariate und Kindertagesstäten an.
1.8 LfDI Baden-Württemberg: Nutzung von Microsoft 365 an Schulen
Zu 40 Schulen lagen dem LfDI Baden-Württemberg zur Nutzung von Microsoft 365 Beschwerden vor und diese schrieb er an. Nach seiner Pressemitteilung muss er nun diesbezüglich keine Anordnungen aussprechen. Die Schule stellen bis zum Schulhalbjahr 2022/2023 um oder haben bereits umgestellt.
1.9 LfDI Baden-Württemberg: Wissensquiz zur DS-GVO und zu ihrer Anwendung
Bei einer Veranstaltung in der KW 39 hat der LfDI Baden-Württemberg Teilnehmer:innen für ein Quiz auf die Bühne geholt. Die Quizfragen (und Lösungen) wurden nun veröffentlicht. Bei einigen Fragen hätte ich Rückfragen gehabt, bei einigen Lösungen Diskussionsbedarf.
1.10 LDI NRW: Digitaler Unterricht in Schulen
Die LDI NRW möchte verantwortliche Stellen dabei unterstützen die Persönlichkeitsrechte der Schüler:nnen im digitalen Unterricht zu wahren. Flexibilität, weniger Unterrichtsausfälle sowie die Vorbereitung der Schüler*innen auf ein Leben im digitalen Zeitalter – so lauten einige der guten Argumente dafür, die die LDI zu ihrer Veröffentlichung bewegten. Und keine Sorge: Produkte werden nicht namentlich genannt, außer den offiziell bereitgestellten. Es lassen sich aber aus den allgemeinen Ausführungen z.B. zum Drittstaatentransfer oder zur Nutzung von Metadaten auch Hinweise genug herauslesen.
1.11 BfD EKD: Schwerpunktprüfung Kindertagesstätten
Der Datenschutzbeauftragte der evangelischen Kirche hat seinen Schwerpunktprüfbericht zu Kindertagesstätten zusammen mit dem Fragebogen veröffentlicht. Die evangelische Kirche hat von der Möglichkeit des Art. 91 DS-GVO Gebrauch gemacht und nutzt ihr eigenes Datenschutzrecht für ihre Einrichtungen. Die nächste Schwerpunktprüfung soll evangelische Krankenhäuser betreffen.
1.12 CNIL: Materialien zu Künstlicher Intelligenz
Die Französische Datenschutzaufsicht CNIL veröffentlicht Materialien, um die Herausforderungen der künstlichen Intelligenz (KI) in Bezug auf Privatsphäre und Datenschutz zu beleuchten und bei der Einhaltung datenschutzrechtlicher Regelungen zu unterstützen. Diese umfassen derzeit Ausführungen zur Rechtskonformität und ein Self-Assessment für die Beurteilung des Reifegrades bezogen auf die DS-GVO sowie Best-Practice-Beispiele.
1.13 Italien: Bußgeld wegen unzureichender Auskunft gegen Bank
Unzureichende Auskunft gegenüber den eigenen Beschäftigten führten in Italien zu einem Bußgeld in Höhe von 70.000 Euro. Die Bank forderte eine Antragstellung über ein nach Ansicht der Aufsicht unzureichendes Formular. Dabei stellte die Aufsicht auch fest, dass ein Auskunftsanspruch nicht durch Verweis auf die Informationen nach Artt. 13, 14 DS-GVO erfüllt werden könne.
1.14 Irland: Details zu Bußgeld gegen Instagram
Wir hatten schon darüber berichtet, nun sind weitere Details zu dem Bußgeld in Höhe von 405 Mio. Euro gegenüber Meta (Instagram) zugänglich. Die Gesamtsumme ergibt sich aus einzelnen Verletzungen, die auf Seite 245 des Dokuments dargestellt sind. Die Grundlage ist ein Beschluss des EDSA nach Art. 65 DS-GVO. Mit einer interessanten Frage zu einer Bußgelderhöhung aufgrund einer Verletzung des Art. 24 DS-GVO befasst sich dieser Beitrag.
1.15 OPC Canada: PIA (DSFA) zu Microsoft 365
Zu viele kryptische Abkürzungen in der Überschrift? Das Office des Privacy Officers of Canada (OPC) veröffentlichte seine PIA (Privacy Impact Assessment) zum Einsatz von Microsoft 365 (Microsoft dreihundertfünfundsechzig). Die PIA entspricht einer DSFA (Datenschutz-Folgenabschätzung).
1.16 BSI: Mindestanforderungen Mobile Device Management
Das BSI veröffentlichte seine aktualisierte Fassung seiner Hinweise zu Mindeststandrads beim Mobile Device Management. Erfreulicherweise mit einer Änderungsübersicht und FAQs. Ein Bericht dazu findet sich hier.
1.17 BSI: Orientierungshilfe zur Angriffserkennung
Das BSI veröffentlichte eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. Die Orientierungshilfe liefert Anhaltspunkte für die Anforderungen an Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen. Sie steht nach einer öffentlichen Kommentierungsrunde nun als finale Fassung zur Verfügung. Natürlich können ihre Empfehlungen auch in anderen Branchen nützlich sein.
2 Rechtsprechung
2.1 EuGH zur Vorratsdatenspeicherung
Wieder einmal ein Urteil des EuGH über eine seitens eines Mitgliedsstaates vorgenommene Vorratsdatenspeicherung. Und wieder einmal hatte ein Mitgliedsstaat eine unzulässige Gestaltung gewählt. Und wieder einmal war es Deutschland. Doch der EuGH stellte dabei auch klar, dass er dennoch eine Möglichkeit sieht, dass eine allgemeine und unterschiedslose Vorratsdatenspeicherung von Verkehrs- und Standortdaten unionsrechtskonform bei ernster Bedrohung für nationale Sicherheit zulässig sein könnte (RN 72 ff, speziell 75). Dadurch ist damit zu rechnen, dass es eine erneute gesetzgeberische Gestaltung geben wird – die dann sicher eines Tages wieder vor dem EuGH landet.
2.2 EuGH: Generalanwalt zum Beschäftigtendatenschutz
Es geht um die Umsetzung der Gestaltungsmöglichkeit aus Art. 88 Abs. 1 DS-GVO, der Mitgliedsstaaten erlaubt eigene („spezifischere“) Regelungen zum Beschäftigtendatenschutz zu erlassen. Wie diese Umsetzung zu gestalten ist, wird in Abs. 2 definiert. Und es geht in der Vorlage speziell um Regelungen aus dem hessischen Datenschutz- und Informationsfreiheitsgesetz (§ 23 HDSIG). Nun kann das viele außerhalb Hessens nicht tangieren, beachtet man jedoch, dass diese Regelung gleichlautend mit der Fassung des § 26 Abs. 1 BDSG ist, wird es doch spannender. Der Generalanwalt des EuGH geht in seiner Stellungnahme davon aus, die Regelungen in § 23 HDSIG seien nicht „spezifisch“ und berücksichtigen nicht die Anforderungen des Art. 88 Abs. 2. DS-GVO. Er kommt dabei zu dem Ergebnis, § 23 HDSIG sei insoweit irrelevant bzw. überflüssig, als er streng genommen keine spezifischeren Bestimmungen enthielte, die das Recht der Beschäftigten auf Schutz ihrer personenbezogenen Daten im Beschäftigungskontext gewährleisten. Im Beschäftigungskontext (Arbeitsverhältnisse) seien grundsätzlich und unmittelbar die Bestimmungen der allgemeinen Regelung aus der DSGVO anzuwenden.
Nun ist diese Stellungnahme für den EuGH in seiner Bewertung nicht bindend. Sie gibt aber schon Hinweise, die in einem Gesetzgebungsverfahren für ein künftiges Beschäftigungsdatenschutzgesetz beachtet werden könnten.
2.3 EuGH: Generalanwalt zu Datenschutz im Wettbewerbsrecht
In einem Verfahren, in dem es um wettbewerbsrechtliche Bewertungen auf Basis von Datenschutzgestaltungen geht, hat der Generalanwalt seine Stellungnahme veröffentlicht. Er ist der Ansicht, dass auch Wettbewerbshüter datenschutzrechtliche Gestaltungen prüfen können (vgl. FN 18 der Stellungnahme). Es geht um eine Entscheidung des Bundeskartellamtes gegenüber Meta (Facebook) zur Gestaltung von Nutzungsbedingungen. Das Bundeskartellamt ist der Auffassung, dass die in Rede stehende Verarbeitung eine missbräuchliche Ausnutzung der beherrschenden Stellung von Meta Platforms auf dem Markt für soziale Netzwerke für private Nutzer in Deutschland darstelle.
Der Generalanwalt ist der Auffassung, dass eine Wettbewerbsbehörde zwar nicht befugt ist einen Verstoß gegen die DS-GVO festzustellen, sie jedoch in Ausübung ihrer eigenen Zuständigkeiten berücksichtigen könne, ob eine Geschäftspraxis mit der DS-GVO vereinbar ist. Die Vereinbarkeit oder Unvereinbarkeit einer Praxis mit der DS-GVO unter Berücksichtigung aller Umstände des Einzelfalls sei ein wichtiges Indiz für die Feststellung, ob diese Praxis einen Verstoß gegen die Wettbewerbsvorschriften darstelle. Eine Wettbewerbsbehörde könne die Einhaltung der DS-GVO nur inzident prüfen und dies würde die Anwendung dieser Verordnung durch die zuständigen Datenschutzaufsichtsbehörden nicht präjudizieren. Folglich müsse die Wettbewerbsbehörde alle Entscheidungen oder Untersuchungen der zuständigen Aufsichtsbehörde berücksichtigen, diese über jedes sachdienliche Detail informieren und sich gegebenenfalls mit ihr abstimmen. Der Generalanwalt äußert sich dann auch zu den datenschutzrechtlichen Gestaltungen der Facebook Nutzungsbedingungen, insbesondere, dass sich der Nutzer voll bewusst sein muss, dass er durch eine ausdrückliche Handlung personenbezogene Daten öffentlich macht. Nach Ansicht des Generalanwalts kann ein Verhalten, das im Aufruf von Websites und Apps, der Eingabe von Daten in diese Websites und Apps sowie in der Betätigung von in diese eingebundenen Schaltflächen besteht, grundsätzlich nicht einem Verhalten gleichgestellt werden, das die sensiblen personenbezogenen Daten des Nutzers offensichtlich öffentlich macht.
Zur Auslegung der besonderen Kategorien nach Art. 9 Abs. 1 DS-GVO stellt er in RN 78 fest, dass das Verbot der Verarbeitung sensibler personenbezogener Daten die Datenverarbeitung durch den Betreiber eines sozialen Online-Netzwerks umfassen kann, die darin besteht Daten eines Nutzers zu erheben, wenn dieser andere Websites oder Apps aufruft oder diese Daten dort eingibt, diese Daten mit dem Nutzerkonto des sozialen Netzwerks zu verknüpfen und sie zu verwenden, sofern die verarbeiteten Informationen, einzeln oder aggregiert betrachtet, die Erstellung eines Profils des Nutzers im Hinblick auf die Kategorien ermöglichen, die sich aus der in dieser Bestimmung enthaltenen Aufzählung sensibler personenbezogener Daten ergeben.
Die Verarbeitungsgrundlage des Art. 9 Abs. 2 Buchst. e dieser Verordnung sei dahin auszulegen, dass ein Nutzer die Daten, die er beim Aufruf von Internetseiten und Apps hinterlässt oder in diese Internetseiten oder Apps eingibt oder die sich aus der Betätigung von in diese eingebundenen Schaltflächen ergeben, nicht offensichtlich öffentlich macht.
Etwas einfacher übersetzt heißt das in meinen Worten: Sensible Daten können auch durch die Zusammenführung einzelner Informationen aus der Nutzung von Apps und Internetseiten entstehen und die Nutzung von Apps und Internetseite steht nicht einer offensichtlichen Öffentlichkeitmachung durch die betroffene Person gleich.
Auch hier gilt, der EuGH muss den Ausführungen der Stellungnahme des Generalanwalts nicht folgen, macht es aber oft.
2.4 EuGH: Vorlagefragen des BAG zu Art. 88 DS-GVO und zum Beschäftigtendatenschutz
Kaum hat der Generalanwalt seine Stellungnahme zu einer Vorlage zu Art. 88 DS-GVO abgegeben, legt das BAG nach und legt dem EuGH weitere Fragen zur Umsetzung des Beschäftigtendatenschutzes vor. Darin geht es um die Zulässigkeit der Verarbeitung besonderer Kategorien von Daten auf der Basis von Kollektivvereinbarungen und um Fragen hinsichtlich des Anwendungs- und der Berechnungsgrundlagen für einen Schadensersatzanspruch nach Art. 82 DS-GVO.
2.5 BGH: Klagebefugnis von Verbraucherschutzverbänden
Der BGH behandelt die Frage, ob Verbraucherschutzverbände datenschutzrechtliche Fragen auch gerichtlich überprüfen dürfen, auch wenn sie dabei keine natürliche Person vertreten. Nun fand die mündliche Verhandlung statt, bei der die Vorgaben des EuGH zu berücksichtigen sind.
2.6 LArbG Sachsen: Verstoß gegen Clean-Desk-Policy als Kündigungsgrund
Eine Kreditsachbearbeiterin Baufinanzierung wurde bei einer Bank wiederholt auf die Clean-Desk-Policy und die entsprechenden Vorgaben in internen Anweisungen hingewiesen und ermahnt diese einzuhalten. Tat sie aber nicht. Was folgte, war die Kündigung. Das LAG Sachsen sah es als ausreichend an, dass eine Kündigung (auch) darauf gestützt wird. Als unbefugte Dritte seien auch auf den Datenschutz verpflichtete Mitarbeiter anzusehen, die also nichts über Kunden erfahren dürften, was sie nicht ihrer eigenen Arbeitsaufgabe wegen angeht, selbst wenn sie es nicht weitersagen dürfen (RN 135).
3 Gesetzgebung
3.1 Bundestag: Fragenkatalog zu Künstlicher Intelligenz und Blockchain / Anhörung am 26. September 2022
Sie Interessieren sich für Fragen rund um Künstlicher Intelligenz und Blockchain? Macht auch der Bundestag auch und hat dazu eine öffentliche Anhörung am 26. September 2022 von 14:00 bis 16:00 Uhr. Die öffentliche Sitzung hat den Titel „EU-Verordnung zu Künstlicher Intelligenz unter Einbeziehung von Wettbewerbsfähigkeit im Bereich Künstlicher Intelligenz und Blockchain-Technologie“. Neben der Liste der Sachverständigen finden Sie die Fragen an diese über diesen Link.
3.2 Bundesrat: Vorschläge zum Hinweisgeberschutzgesetz
Die Vorschläge des Bundesrates zum Hinweisgeberschutzgesetzes finden Sie hier. Hinsichtlich der Verarbeitung besonderer Kategorien nach Art. 9 Abs. 1 DS-GVO würde danach über eine Ergänzung in § 10 HinSchG-E auch eine Rechtsgrundlage geschaffen.
3.3 Bundesregierung: Einsatz von Cloudflare beim Zensus 2022
Die Antworten der Bundesregierung zu datenschutzrechtlichen Fragestellungen beim Zensus 2022 u.a. zum Einsatz von Cloudflare liegen vor. Dabei wird angegeben (ab Frage 10b), dass mit dem Dienstleister Cloudflare das ITZBund einen Vertrag zu CDN-Dienstleistungen abgeschlossen habe. Vertragsgegenstand sei u. a. die Data-Localization-Option. Mit dieser Option sichere Cloudflare vertraglich zu, dass Daten im Rahmen der Beauftragung zur Absicherung der Webseite www.zensus2022.de ausschließlich in europäischen Rechenzentren verarbeitet werden. Zusätzlich seien nach Art. 46 Abs. 2 lit. c DS-GVO die Standardvertragsklauseln (eigentlich ja Standarddatenschutzklauseln) nach aktuellem EU-Muster vereinbart. Übrigens sei laut Antwort zur Frage 10a) der BfDI einbezogen worden.
Franks Nachtrag: Wir hatten damals entsprechend berichtet, dass der BfDI prüfe…
3.4 Hinweisgeberschutzgesetz
Der Bundesrat hatte seine Anmerkungen abgegeben und der Bundestag für den 26.09.2022 die erste Lesung vorgesehen. Ob es im weiteren Gesetzgebungsverfahren noch zu Verbesserungen kommt, wird sich zeigen. Bislang unterlässt es die Bundesregierung hier durch eine zentrale Datenschutz-Folgenabschätzungen im Gesetz gemäß Art. 35 Abs. 10 DS-GVO aktive Bürokratieentlastung zu betreiben.
3.5 Neue Covid-Arbeitsschutzverordnung
Durch die ab 01.10.2022 bis 07.04.2023 geltende Sars-CoV-2-Arbeitsschutzverordnung werden neue Grundlagen geschaffen, um zum Zwecke des Infektionsschutzes Maßnahmen zu ergreifen die in einem betrieblichen Hygienekonzept festzulegen und umzusetzen sind. Die aktuelle Fassung der Verordnung enthält keine direkte Verpflichtung zur Nachweiserhebung einer Impfung allerdings ist Beschäftigten zu ermöglichen sich während der Arbeitszeit gegen das Coronavirus impfen zu lassen. Eine Verarbeitung des Impfstatus der Beschäftigten darf nach wie vor nur aufgrund einer ausdrücklichen gesetzlichen Ermächtigung erfolgen (vgl. Tätigkeitsbericht des BfDI für 2021, Ziffer 3.1.4.2) und dann auch nur zu den dabei festgelegten Zwecken.
3.6 EU: Künstliche-Intelligenz-Haftungsregelung
Auf EU-Ebene werden Haftungsregelungen für den Einsatz von KI diskutiert. Dabei handelt es sich um einen Richtlinienvorschlag der EU-Kommission zur außervertraglichen zivilrechtlichen Haftung beim Einsatz von KI, um Opfern von Schäden im Zusammenhang mit KI europaweit den Erhalt einer Entschädigung zu erleichtern. Der Vorschlag soll andere regulatorische Regelungen wie den AI Act oder die DS-GVO ergänzen. Berichte dazu finden Sie bereits hier und dort.
3.7 EU: Produkthaftungsregelung
Auch bezüglich der Produkthaftung will die EU-Kommission die rechtliche Situation für die Verbraucher verbessern und legt einen entsprechenden Vorschlag vor. Ausgehend von Entwicklungen im Zusammenhang mit neuen Technologien (u.a. Produkte, die Software oder digitale Dienste benötigen, um zu funktionieren, wie intelligente Geräte und autonome Fahrzeuge) sieht sie eine Überarbeitung der Haftungsvorschriften der 40 Jahre alten Produkthaftungsrichtlinie als notwendig an.
Ergänzend dazu erwähnt die Ergebnisse des Sachverständigenrats für Verbraucherfragen zum Recht auf Reparatur.
3.8 Großbritannien und der Cloud Act
Das Vereinigte Königreich ist nicht mehr in der EU, für den Datentransfer gibt es einen zeitlich befristeten Angemessenheitsbeschluss der EU. Doch nun hat GB mit den USA ein Abkommen (CLOUD Act agreement – US-UK Agreement) geschlossen, das einen gegenseitigen Datenaustausch vorsieht. Wie könnte sich dies auf den Angemessenheitsbeschluss auswirken? Damit befasst sich dieser Beitrag.
3.9 USA: Wasserstandsmeldung zum TADPF
Quellen zufolge soll die Executive Order des US-Präsidenten als Grundlage für das Trans-Atlantik Data Privacy Framework Anfang Oktober veröffentlicht werden. Das würde auch gut ins Bild passen, da in den USA der Trend zu einer bundesweiten einheitlichen Regelung des Umgangs mit „data privacy und data protection“ auch nach anderen Aussagen voranschreitet. Sollte sich die EU-Kommission mit den USA über ein TADPF verständigt haben, finden Sie hier den dann zu absolvierenden Prozess für einen Angemessenheitsbeschluss der EU-Kommission.
Franks Nachtrag: Laut diesem Bericht ist Max Schrems nicht überzeugt. Schrems III, irgendjemand?
Franks zweiter Nachtrag: Die Voraussetzungen sind auf jeden Fall nicht so gut…
4 Künstliche Intelligenz und Ethik
4.1 Ethisches Dilemma: Fighting Big Tech by supporting Big Tech
Wie geht man mit dem Dilemma um, dass die Analyse von Sozialen Medien oft nur über Werkzeuge dieser möglich sind? Damit befasst sich dieser Beitrag.
4.2 CNIL auch die Aufsicht über KI?
Gemäß ihrer Webseite soll die französische Datenschutzaufsicht CNIL auch die nationale Aufsichtsbehörde für die Regulierung von KI-Systemen gemäß der künftigen europäischen Verordnung zuständig sein.
4.3 KI und Massenüberwachung
Über die Zusammenhänge zwischen KI und dem „Überwachungsmonopol“ der Tech-Firmen geht es u.a. in dem Interview mit einer früheren Mitarbeiterin bei Google, die dort das Thema KI betreute.
4.4 Kunstprojekt: The Follower
Sie posten von sich ein Bild auf Instagram – wenn dies an einem Ort passiert, der von einer freizugänglichen Videokamera erfasst wird, könnten Sie Teil einer als Kunstprojekt bezeichneten Aktion werden. Dabei werden Bilder aus Instagram mittels KI mit den Ausnahmen von öffentlich zugänglichen Aufnahmen abgeglichen – und gegenüber gestellt. Somit soll auf die allgegenwärtige Überwachung aufmerksam gemacht werden.
4.5 Bundestagsanhörung zu KI
Der Entwurf für eine EU-Verordnung zur Regulierung Künstlicher Intelligenz (KI) wird von Sachverständigen unterschiedlich bewertet. Das wurde während einer öffentlichen Anhörung des Ausschusses für Digitales letzte Woche deutlich. Die Anhörung, der Fragenkatalog und die Stellungnahmen der Sachverständigen können hier an- und eingesehen werden.
4.6 Medizinische Trainingsdaten für KI?
In den USA hat eine Künstlerin Bilder aus ihrer privaten Krankenakte in einer Bilddatenbank gefunden, die zum Training von KI-Modellen dient. Wie sie dorthin gelangten, ist noch nicht geklärt. Bei der Recherche half ihr diesem Bericht nach eine Datenbank, in der man nach eigenen Bildern suchen könne.
Franks Nachtrag: Hier gibt es noch einen ähnlichen (aber dann auch wieder ganz anderen) Erfahrungsbericht eines Betroffenen.
4.7 Einsatz von KI beim Ackerbau
Wie KI auch zu landwirtschaftlichen Zwecken eingesetzt werden kann, zeigt dieses Beispiel, bei dem durch KI erkanntes „Unkraut“ erkannt und dann beseitigt wird (Ich will jetzt hier keine Diskussion über Monokulturen, sondern nur zeigen, dass KI auch vorteilhaft eingesetzt werden kann.).
4.8 Nachhaltigkeit über ethische Beschaffungsverfahren
Bei einem Blick in die Zukunft nennen die KMU-Teilnehmer einer Studie laut diesem Bericht vor allem die Nachhaltigkeit als Ziel: 37 Prozent wollten ihren ökologischen Fußabdruck verringern. 30 Prozent nennen hier Vielfalt und Inklusion, genauso viele Firmen wollen mehr Arbeitsplätze schaffen. Auch hier gäbe es laut Studie wieder einen großen Unterschied zwischen dem hiesigen Mittelstand und dem Mittelstand anderer Länder: Der hiesige Mittelstand sei stärker an „ethischen Beschaffungsverfahren“ interessiert. In der Studie* gibt es auch Aussagen zur Bereitschaft mit der IT in die Cloud zu wechseln. Natürlich ist da Deutschland wieder unterdurchschnittlich.
Franks Anmerkung: Da die Studie von Microsoft kommt war diese Aussage ja zu erwarten. Zumindest aber, dass diese Frage adressiert wurde.
4.9 Wie beeinflussen Roboter das menschliche Entscheidungsverhalten?
MIt dieser Fragestellung befasst sich u.a. eine Masterarbeit an der TU Dresden und führt dazu ein Online-Experiment durch. Dafür werden noch Proband:innen gesucht. Im Online-Experiment für die Masterarbeit „Social Pepper“ wird eine Situation geschildert, in der im Rahmen der Tätigkeit eine Entscheidung getroffen werden muss. Vorab erhält man per Video einen Ratschlag von einem Roboter. Im Anschluss werden Fragen zu der Entscheidung und zu dem Roboter gestellt. Es gibt hierbei keine richtigen oder falschen Antworten. Bitte dabei stets die Antwort auswählen, die aus Ihrer Sich am ehesten zutrifft.
Die Teilnahme ist freiwillig, anonym, ab 18 Jahren und dauert ca. 10-15 Minuten. Die Daten werden vertraulich behandelt und nur zu wissenschaftlichen Zwecken ausgewertet. Spezielle Branchenkenntnisse werden nicht erwartet.
Mehr dazu hier.
Warum teilgenommen werden sollte? Weil wir einerseits bemängeln, dass manche Folgen technischer Entwicklung nicht ausreichend erforscht seien, andererseits zu oft zögern unseren Beitrag dazu zu leisten.
5 Veröffentlichungen
5.1 Verantwortlichkeit in komplexen Daten-Ökosystemen
Mit dieser Thematik befasst sich eine Dissertation, die auch online frei zugänglich ist. Ausführlich werden u.a. die Thematiken zur die Akteurspluralität im digitalen Raum, die datenschutzrechtliche Verantwortlichkeit, die bedingte Diffusion von Kontrolle betrachtet.
5.2 Datenschutzzertifizierungen für Informationssysteme im Bildungssektor
Auf was können sich Bildungseinrichtungen bei der Auswahl digitaler Tools verlassen, um datenschutzkonforme Angebote zu machen? Diese Lücke im Rahmen der Auswahlentscheidung möchte die Initiative zur Zertifizierung von Educational Systems (directions-cert.de) schließen.
5.3 Microsoft: Neue Lizenzregelungen
Mal wieder beglückt Microsoft mit neuen Lizenzregelungen. Zudem wind nun die seitens Microsoft durchgeführten Unterlagen zur TIA (Transfer Impact Assessment) zugänglich.
5.4 Interessenswahrung als Auffangtatbestand?
Die Überschrift muss für Nicht-Juristen etwas übersetzt werden: Kann/darf die Grundlage der Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO neben einer anderen Rechtsgrundlagen herangezogen werden, falls diese dann (aus welchen Gründen auch immer) entfällt? Dazu gibt es (wie bei Juristen häufig) unterschiedliche Ansichten. Hier finden Sie einen guten Beitrag zu der Thematik, der die Aussagen des EDSA im Rahmen einer Aussage zu Meta (Instagram) im Verhältnis zu einer Einwilligung dazu berücksichtigt. Bis zu einer Entscheidung des EuGH zu dieser Frage wird es wohl auch weiterhin unterschiedliche Ansichten geben – und selbst dessen Entscheidung könnte dann auch wieder von „Experten“ nur „als Rechtsmeinung“ bezeichnet werden.
5.5 “Produktivitätstheater“ dank Microsoft 365?
Mitarbeiter im Homeoffice bzw. bei Remotetätigkeiten sollten nicht ausspioniert werden, meint der CEO von Microsoft. Nach einer Studie von Microsoft hat die zeitliche Belastung durch (Online-) Meetings in der Pandemie bei den Bürotätigkeiten zugenommen. Gleichzeitig gehe eine überwiegende Mehrheit von Führungskräften davon aus, dass die Umstellung auf hybride Arbeit es schwierig gemacht habe Vertrauen in die Produktivität der Mitarbeiter zu haben. Und da einige Unternehmen Technologie verwenden, um Aktivitäten und nicht Ergebnisse der Beschäftigten zu tracken, fehle den Mitarbeitern der Kontext darüber, wie und warum sie getrackt werden, was das Vertrauen untergraben und zu „Produktivitätstheater“* führen könne. Die Studie entstand übrigens durch die Befragung von 20.000 Menschen in elf Ländern und durch die Analyse von Unmengen von Microsoft-365-Produktivitätssignalen sowie LinkedIn-Arbeitstrends und Glint-People-Science-Ergebnissen. Aber das scheint der CEO von Microsoft dann wohl nicht gemeint zu haben und schon gar nicht die Nutzung von Microsoft Graphs.
* Franks erste Anmerkung: Beim Erstellen dieses Blogbeitrags scheint die ganze Quell-Webseite aus Gründen offline zu sein. Hier geht es zum Archive.org-Backup vom 23.08.2022.
Franks Nachtrag: Also ist das Ausspionieren durch den Arbeitgeber schlecht und das durch Microsoft gut. Na, dann…
5.6 KI und privacy by design
Wie können bei KI und bei maschinellem Lernen die Anforderungen an privacy by design berücksichtigt werden? Das lesen Sie in diesem Beitrag.
5.7 Berufliche Chancen durch Nutzung von LinkedIn?
Beeinflussen Ihre Aktivitäten auf LinkedIn Ihre beruflichen Chancen? Das wollte LinkedIn auch wissen. Dazu führten sie nach diesem Bericht eine Studie durch, um eine Theorie aus der Soziologie zu überprüfen, die besagt, dass Menschen eher durch fremde Bekannte als durch enge Freunde eine Beschäftigung und andere berufliche Möglichkeiten erhalten. Die Forscher analysierten dabei, wie sich die algorithmischen Änderungen von LinkedIn auf die berufliche Mobilität der Nutzer ausgewirkt hatten. Sie fanden heraus, dass sich relativ schwache soziale Bindungen auf LinkedIn als doppelt so effektiv bei der Sicherung von Arbeitsplätzen erwiesen wie stärkere soziale Bindungen. In einer Erklärung sagte Linkedin laut dem zitierten Bericht während der Studie, dass es „konsequent mit“ der Benutzervereinbarung, der Datenschutzrichtlinie und der Mitgliedereinstellungen des Unternehmens gehandelt habe. Die Datenschutzerklärung weise darauf hin, dass LinkedIn die personenbezogenen Daten der Mitglieder zu Forschungszwecken verwende.
5.8 Wissenschaftliche Forschung mit medizinischen Daten
Nicht nur zu Zeiten der Pandemie wurden datenschutzrechtliche Fragestellungen als Hindernis bei der wissenschaftlichen Forschung mit medizinischen Daten dargestellt. An was dabei zu denken ist und welche Verbesserungsmöglichkeiten es dazu gibt, behandelt dieser ausführliche Fachbeitrag eines ehemaligen Landesdatenschutzbeauftragten.
5.9 Vorratsdatenspeicherung
Welche Folgen ergeben sich aus dem Urteil des EuGH zur Vorratsdatenspeicherung aus Sicht eines Medienrechtlers? Dies erfährt man bei der Lektüre dieses Beitrags. Ob der Staat welchen Rahmen ausfüllen muss, wird allerdings „der Staat“ selbst entscheiden. Müssen tut er erstmal gar nichts.
5.10 Privacy Ring zu Drittstaatentransfer
Die Veranstaltung der Universität Wien im Rahmen des Privacy Rings gibt es nun auch als Aufzeichnung (Dauer ca. 1:21 Std. – das Video ist witzigerweise auf YouTube – im Drittstaat). Thema der Veranstaltung mit Vertretern verschiedener Aufsichtsbehörden, Verbänden und Teilnehmern aus der Wissenschaft war der Drittstaatentransfer.
5.11 Die Zusammenlegung der Datenschutzaufsichtsbehörden …
… für den nicht-öffentlichen Bereich ist immer wieder ein Thema in Deutschland. Ausgehend von der Trennung in Bayern bei den Zuständigkeiten zwischen öffentlichem und nicht-öffentlichem Bereich befasst sich diese Dissertation mit dem „Trennungsmodell“ als Grundlage für eine Zentralisierung der Datenschutzaufsicht im nicht-öffentlichen Bereich. In Bayern gibt es zwei Datenschutzaufsichten, der Landesbeauftragte für Datenschutz ist für den öffentlichen Bereich zu ständig, das Bayerische Landesamt für Datenschutzaufsicht für den nicht-öffentlichen Bereich. Das wird schon mal verwechselt.
5.12 Profiling und Einwilligung
Die veröffentliche Einschätzung der LDI Niedersachsen zur Nutzung von Daten zu einem Werbescoring lässt bei vielen einige Fragen offen, Damit befasst sich dieser Beitrag ausführlich. Und weil die Zielgruppe der Marketingentscheidungsträger:innen wohl für längere Texte nicht prädestiniert erscheint, gibt es ein Online Webinar (ca. 65 Min) noch obendrauf – erwartungskonform bei YouTube (es geht ja auch um Werbescoring..).
5.13 Musterdatenschutzerklärung für Webseitenbetreiber
Es lohnt sich die eigenen Datenschutzhinweise auf der Webseite auf Aktualität zu überprüfen, z.B. weil sich etwas bei den Verantwortlichen oder auch der Name des Datenschutzbeauftragten mal ändert. Aber auch Änderungen bei den Verarbeitungen oder Zwecken oder Empfängern müssen aktuell sein. Wer dabei nach einem Template sucht, kann auch das eines Hochschulinstituts nehmen, das nun wieder mit aktuellem Stand zusammen mit Nutzungshinweisen veröffentlicht wurde. Aber, auch das ist nur ein Muster, das auf die eigene Situation anzupassen ist!
5.14 EFDPO: Anforderungen an Controller und Processor
Die EFDPO (European Federation of Data Protection Officers) hat die Anforderungen zusammengefasst, die bei einer Auftragsverarbeitung zu beachten sind. Ich erlaube mir zu ergänzen, dass bei dem Beispiel der Auslagerung der Lohnbuchhaltung berufsrechtliche Regelungen in einigen Mitgliedsstaaten die Klassifizierung als Auftragsverarbeitung für bestimmte Berufsgruppen dabei ausschließt (z.B. in Österreich für Wirtschaftstreuhänder und in Deutschland für Steuerberater).
5.15 Veranstaltungen
5.15.1 Frankfurt am Main (hybrid), Veranstaltung der hiig: Resistance in the datafied society
06.10.2022, 19:00 – 21:00: Wie kann Widerstand gegen eine „datafizierte“ Gesellschaft umgesetzt werden, in der immer mehr Datenverarbeitung und Datenmissbrauch vorkommen? Damit befasst sich dieser Vortrag auf Englisch. Weitere Informationen finden sich hier.
5.15.2 LfDI Baden-Württemberg: „Digital souverän bleiben, aber wie?“
13.10.2022, 19:00 – 21:00: „Privat sicher im Internet unterwegs“ ist das Thema, bei der besprochen wird, wie wir als Privatpersonen im Internet digital souverän bleiben und bewusst unser informationelles Selbstbestimmungsrecht ausüben können. Konkrete Beispiele und praktische Tipps zeigen, wie sich digitale Datenspuren im Internet vermeiden lassen, wie digitale Daten gesichert werden können und wie man sich vor Angriffen aus dem Internet und vor Schadsoftware schützen kann. Anmeldung erforderlich.
CEDPO: Webinar zum Data Act und Data Governance Act
5.15.3 LfDI Baden-Württemberg: „Sicherheitsmanagement für Entscheider“
14.10.2022, 10:00 – 12:00 Uhr: Entscheider und Verantwortliche, ob in Behörden oder in der Wirtschaft, müssen wissen, wie sie Sicherheitsrisiken in der IT vermeiden können. Datenschutz und Datensicherheit haben manchmal unterschiedliche Vorgehensweisen, aber am Ende die gleichen Ziele. Es geht auch um Beispiele und Tipps zum Informations-Sicherheits-Managementsystem (ISMS) mit Betrieblichem Kontinuitätsmanagement (BCM), beispielsweise dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Anmeldung erforderlich.
5.15.4 CEDPO: Webinar zum Data Act und Data Governance Act
18.10.2022, 16:00 – 18:00 Uhr: Der Entwurf des Data Act soll einen wettbewerbsfähigen Datenmarkt anregen, Möglichkeiten für datengesteuerte Innovationen bieten und Daten für alle zugänglicher machen, während gleichzeitig Fairness im digitalen Umfeld gewährleistet wird. Die bereits verabschiedete Data Governance Act ist ein weiterer wichtiger Legislativvorschlag der europäischen Strategie für Daten und konzentriert sich auf die Schaffung eines Rechtsrahmens durch die Schaffung von Verfahren und Strukturen zur Förderung der gemeinsamen Nutzung von Daten. Dazu werden bei der Online-Veranstaltung die Auswirkungen u.a. auf die datenschutzrechtlichen Aspekte behandelt. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Digitalisierung in Europa
Diesem Artikel lässt sich entnehmen, welchen Stellenplatz Deutschland innerhalb Europas bei der Digitalisierung einnimmt. Will man daran etwas Positives entdecken, könnte man es „erwartungskonform“ bezeichnen.
6.2 Online-Handelsregister
Laut Medien wächst der Druck auf das Justizministerium Abhilfe zu schaffen, dass viele Daten im Handels- und Vereinsregister online frei zugänglich im Netz zu finden sind. Ursächlich sind viele einzelne Missachtungen des Gebots der Datenminimierung und Datensparsamkeit, weil einige beteiligte Stellen alles weitergeleitet haben, was dann schließlich veröffentlicht wurde.
6.3 Vorbildfunktion öffentlicher Auftraggeber?
Wer sich manchmal wundert, wie öffentliche Stellen in Deutschland manchmal mit (datenschutz-)rechtlichen Anforderungen umgehen, kann beruhigt werden. Das ist offenbar kein rein deutsches Problem. Auch Stellen in der Schweiz sind bei der Beauftragung von Cloud-Dienstleistern nach diesem Bericht wenig zimperlich.
6.4 Digitaler Kolonialismus
Der griffige Begriff beschreibt, was Gegenstand dieses Berichts ist: koloniale Prägungen in digitalen Strukturen.
6.5 Goldstandard Datenschutz?
Daran zweifeln nach diesem Bericht Vertreter der Wirtschaft, der u.a. auf einer bitkom-Umfrage beruht. Zwei Drittel meinten danach, es würde mit dem Datenschutz übertrieben, dass der strenge Datenschutz die Digitalisierung erschwere. Aber auch die Politik hadert offenbar damit, zumindest fordern die Innenminister nach dieser Meldung, dass es zur Bekämpfung schwerer Verbrechen im Internet mehr Möglichkeiten zur anlasslosen Speicherung von IP-Adressen als bislang vom Bund geplant geben müsse. Auch in Deutschland sollte diese Möglichkeit aus falsch verstandenem Datenschutz nicht ungenutzt bleiben. Jetzt könnte man süffisant auf die „kreativen“ Gestaltungen dieser Medien bei deren Consent-Banner verweisen oder auf den Aufschrei der Beteiligungsinhaber bei der Veröffentlichung der Handelsregisterdaten oder es wäre auch möglich die Innenminister daran zu erinnern, dass sie auch die Verfassung zu schützen haben. Aber ich befürchte eine gewisse Beratungsresistenz…
7 Sonstiges/Blick über den Tellerrand
7.1 Digitalisierungsbeauftragte an Schulen
Die Digitalisierung schreitet voran. Zumindest, wenn es um die Ämter dazu geht. So werden nun in NRW an den Schulen Digitalisierungsbeauftragte eingeführt, die zumindest eine Stundenreduktion von einer Stunde pro Woche für diese Tätigkeit gutgeschrieben bekommen.
7.2 Nürnberger Kodex zur medizinischen Einwilligung
Im Datenschutzrecht nimmt man das informierte Selbstbestimmungsrecht eigentlich erst seit 1983 so richtig wahr. In der Medizin gibt es dafür den Nürnberger Kodex, der für eine wirksame Einwilligung von Patienten zu Forschungszwecken eine informierte Einwilligung fordert. Wie es vor 75 Jahren dazu kam und was die geschichtlichen Hintergründe dazu waren, behandelt dieser Podcast (24 Minuten).
7.3 IT-Fähigkeiten des BMF
Da hatten sich einige gewundert, als der Bundesminister für Finanzen Ende August bei der Pressekonferenz (ab Minute 34) die Problematik der Zusammenführung von Steuernummer und IBAN darstellte, es würde nach den Angaben von Expertinnen und Experten in seinem Haus (Bundesamt für Steuern) 18 Monate dauern und pro Tag könnten nach den Angaben seiner IT nur 100.000 Überweisungen ausgeführt werden. Jetzt wissen wir ja, dass in seinem Haus das Motto „Digital First, Bedenken Second“ herrscht und so ist die Beantwortung nach den Grundlagen dieser Erkenntnisse sicher für viele interessant. Die erste Antwort einer Anfrage über FragdenStaat findet sich hier*.
* Franks Anmerkung: Ja, nee, is klar…
8. Franks Zugabe
8.1 Der Sonnenkönig dekretiert…
Und wieder eine Überschrift, die mir gefällt. Worum geht es? Um eine Glosse zum beA (dem besonderen elektronischen Anwaltspostfach. Darin enthalten Handlungsoptionen für die Damen und Herren Rechtsanwälte…
Wer Kontext möchte, hier eine Meldung und hier eine Meinung zum Thema.
Ach, und wenn schon beA, dann aber auch – wenn nötig – mit mobilem Hotspot.
Ha! Da hatte ich nun also auch mal ein Urteil…
8.2 Die Hard, die 7., die 9. oder gar die 15.?
Gemäß diesem Bericht hat Bruce Willis eine Deepfake-Lizenz für sein Äußeres vergeben. So sehr das vielleicht Bruce-Willis-Fans (oder zumindest Fans seiner Filme) freuen wird, so sehr ist diese Technik doch trotzdem irgendwie gruselig.
8.3 Sag mir, wo Du wohnst und ich sage Dir, wie sicher bzw. datenschutzkonform Deine Apps sind…
Hört sich komisch an? Ist aber gemäß diesem Bericht so. Sagt diese Studie.
8.4 Malwareinfektion durch Mausbewegung?
Das scheint in PowerPoint ein realistisches Risiko zu sein.
8.5 „We deploy a defence-in-depth strategy“
Das hört sich nicht nur wie eine gehörige Portion Bullshit-Bingo an, das war es wohl auch. Ich sage nur: Password for the internal password vault? Qwerty1234
8.6 Produktbewerbung „DS-GVO-konform“ schützt nicht vor Bußgeldern
Auch wenn das jetzt vielleicht überraschend ist, ist es doch die Auffassung der hessischen Aufsichtsbehörde.
Ha, die Zweite! Und ein Zitat aus einem Tätigkeitsbericht…
8.7 „Die interessieren sich doch eh nicht dafür, was ich persönlich so im Internet mache…“
Es stellt sich (völlig überraschend, ich weiß!) heraus, doch, es interessiert sie. Alles interessiert sie. Und sie kaufen es sich einfach zusammen.
8.8 Auch das ist eine Meldung zu Tesla…
Welche Meldung? Diese Meldung: „Kuriose Szenen: Blockierte Türen sperrten Basler Polizisten in ihrem Tesla ein“
8.9 Wenn die Rechtschreibprüfung petzt
In Browsern kann das (besonders wenn diese (also die Rechtschreibprüfung) cloudbasiert ist) schnell mal zum Problem werden.
8.10 Der Preis der Rasterfahndung in NRW
Der Preis der Rasterfahndung in NRW ist scheinbar teurer als erwartet, wird berichtet. Bewertungen gibt es auch.
8.11 Handlungsoptionen für Opfer von Rachepornos
Zumindest in Deutschland gibt es für Opfer von Rachepornos Handlungsoptionen. Genaueres (Schadenersatz, Medienkompetenz sowie Übersicht der möglichen Straftatbestände) findet sich im Youtube-Video (10 Minuten) eines scheinbar auf solche Fälle spezialisierten Rechtsanwalts.
9. Die gute(n) Nachricht(en) zum Schluss
9.1 Empfehlungen des BfDI
Der BfDI hat Empfehlungen für Eltern herausgegeben, wie sie ihre Kinder bei einer datenschutzkonformen Nutzung des Smartphones, Social Media, Games etc. unterstützen können. Diese gibt es in einer gedruckten Fassung, aber auch als Online-Version mit Erläuterungen.
9.2 Leitfaden für die datenschutzgerechte Gestaltung von Websites und Apps für Kinder
Ein Beispiel für den sektoralen Datenschutz sind die Rundfunkanstalten, denen die Datenschutzaufsicht für Rundfunk- und Fernsehanstalten zugewiesen ist. Auch diese haben die Aufgabe des Kinderdatenschutzes nun für sich entdeckt und veröffentlichen entsprechende EmpfehlungenHinweise für eine kinderdatenschutzgerechte Gestaltung von Webseiten und Apps.