Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41/2021)“
Der 19. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41/2021)“ ist da!
Es gibt eine neue Kategorie: Künstliche Intelligenz und Ethik
Und apropos Kategorien, diese Woche haben wir wieder zu jeder Kategorie Themen. Wobei es tatsächlich immer noch mehr Veröffentlichungen als normal sind. Die urlaubsbedingte Warteschlange ist immer noch vorhanden. Und auch bei Franks Zugabe sind noch „Oldies but Goldies“ mit dabei (bei dem Stau wird es noch länger dauern, bis das alles veröffentlicht wurde…).
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Sondierungspapier für Ampel-Koalition
- TTDSG und aktuelle Fragen
- Zentrales Einwilligungsmanagement
- Drittstaatenübermittlung und der risikobasierte Ansatz
- Anforderungen an Forschungsdaten
- BNetzA: Leitfaden zu Blockchain
- Rechtskonformer Einsatz von Microsoft 365?
- BKA kaufte Pegasus
- IT-Sicherheitsagenda von Teletrust e.V.
- Digitale Modernisierung – Ziele der Union
- ID Wallet
- „Wen kannst du empfehlen?“
- Veranstaltungen
- Reuschlaw Business Brunch digital: „Innovative Datennutzung und Geheimnisschutz“
- Stiftung Datenschutz: „Das TTDSG und neue Wege zur Einwilligungsverwaltung“
- Corporate Digital Responsibility Initiative: „Simple GDPR strength Anonymization“
- Stiftung Datenschutz: „Datenschutz am Mittag: Die Whistleblower-Richtlinie in der Praxis“
- ISiCo Frühstücks-Workshop: Update zum Thema Cookies und Tracking: Das neue TTDSG
- Save-The-Date: re:publica 2022
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Norwegen: Bußgeld wegen unzulässigem Drittstaatentransfer
In dem Verfahren gegen ein Fährunternehmen bleibt die norwegische Aufsicht bei ihrer Ankündigung, ein Bußgeld i.H.v. ca. 500.000 Euro zu verhängen, weil das Unternehmen die personenbezogenen Daten von Autofahrern illegal an einen Datenverarbeiter in China in den Jahren 2017 bis 2019 übermittelt hat. Zudem gab es keine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO. Bis Juni gab die Behörde dem Unternehmen eine Frist zur Stellungnahme. Offensichtlich gab es keine entscheidungserheblichen Gründe, die eine Änderung herbeiführen konnten.
1.2 Irland: Wie geht es mit Facebook weiter?
Irgendwie lässt sich diese Frage nicht so recht beantworten. Legt man die Berichte und Dokumente zugrunde, die noyb zu dem Vorgang veröffentlicht, ahnt man, dass es bald weitere Gerichtsverfahren geben dürfte, ob z.B. bestimmte Dokumente der irischen Aufsicht veröffentlicht werden durften. Inhaltlich sind die datenschutzrechtlichen Fragen auch nicht ohne: Kann ich Datenverarbeitungen, für die ich bislang eine Einwilligung eingeholt, habe als vertragliche Grundlage gestalten, indem ich sie einfach in den Nutzungsvertrag integriere?
Franks Nachtrag: Apropos Facebook. Sie waren ja letztens mal sechs Stunden lang rechtskonform* 😉
* Der Link kann morgen schon veraltet sein, der kommt aus dem noyb-GDPRtoday-Newsletter, der scheinbar nur personalisiert versandt (und nicht auch als PDF oder vergleichbar im Web vorgehalten) wird und von dem ich erwarte, dass regelmäßig die Vorschau geändert wird.
2 Rechtsprechung
2.1 OLG München: Anspruch auf Kopie ist weit auszulegen
So zumindest das OLG München. Die Beklagte muss der Klägerin Kopien der von der Beklagten verarbeiteten personenbezogenen Daten der Klägerin betreffend die Datenkategorien Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails, Briefe und Zeichnungsunterlagen für Kapitalanlagen im Zeitraum vom 01.01.1997 bis ein 31.03.2018 gemäß Art. 15 Abs. 3 DS-GVO übergeben. Interessant ist dabei die Ansicht des Gerichts, dass allein die Verwendung des Namens auf Dokumenten diese in ihrer Gesamtheit zu einem personenbezogenen Datum werden lassen, die dann vom Kopieanspruch umfasst würden.
In RN 15 heißt es dazu:
„(…) Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist. Betreffend den bei den Beklagten befindlichen Daten lässt sich jeweils aus dem Betreff bzw. dem Gesprächspartner eine Verbindung zu der Klägerin ziehen. Schreiben und E-Mails der Klägerin an die Beklagten sind grundsätzlich ihrem gesamten Inhalt nach als personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO anzusehen.“
Es scheint mir so, als wenn in den Niederlanden der Anspruch nicht ganz so weit gesehen würde, es wäre schön, wenn hier durch den EuGH auch mehr Rechtssicherheit gegeben werden könnte – wenn ihm denn mal die entsprechenden Fragen durch ein Gericht vorgelegt würden.
2.2 EuGH: Fehlerbeseitigung rechtfertigt Dekomplilierung
Ich gebe es sicherlich etwas unsauber wieder: Jemand lizenziert ordnungsgemäß ein Computerprogramm und bemerkt einen Fehler – darf er es zu diesem Zweck dekompilieren? Der EuGH legt Art. 5 Abs. 1 der Richtlinie 91/250/EWG des Rates vom 14. Mai 1991 über den Rechtsschutz von Computerprogrammen in seinem Urteil vom 6. Oktober 2021 dahin aus, dass der rechtmäßige Erwerber eines Computerprogramms berechtigt ist dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen, einschließlich in dem Fall, dass die Berichtigung darin besteht, eine Funktion zu deaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt. Der Erwerber darf eine solche Dekompilierung jedoch nur in dem für die Berichtigung erforderlichen Ausmaß und gegebenenfalls unter Einhaltung der mit dem Inhaber des Urheberrechts an diesem Programm vertraglich festgelegten Bedingungen vornehmen.
2.3 EuGH: Unternehmensbegriff bei Konzernen
Der EuGH befasste sich in seinem Urteil vom 6. Oktober 2021 im Rahmen eines wettbewerbsrechtlichen Verfahrens mit der Frage, wie der Unternehmensbegriff bei Schadenersatzklagen / Sanktionen aufgrund europäischer Regelungen auszulegen sei. Der EuGH nimmt als wesentliches Kriterium die wirtschaftliche Einheit der Mutter- und Tochtergesellschaften an, ein wirtschaftliches Kontrollverhältnis sei nach europäischem Recht für eine Haftungszurechnung nicht erforderlich. Das betraf jetzt zwar „nur“ einen wettbewerbsrechtlichen Sachverhalt, über den Erwägungsgrund 150 Satz 3 der DS-GVO („Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“) ist aber eine Anwendung auf datenschutzrechtliche Sanktionen möglich.
3 Gesetzgebung
3.1 Ratifizierung der überarbeiteten Konvention Nr. 108 durch Deutschland
Deutschland hat das Änderungsprotokoll zur Datenschutz-Konvention 108 des Europarates ratifiziert. Das ist mal eine Meldung über den Tag hinaus, dazu muss ich aber etwas weiter ausholen:
Auf europäischer Ebene war/ist die Konvention Nr. 108 aus dem Jahr 1981 ein Meilenstein gewesen, mit dem sich alle Staaten des Europarates, die diese Konvention ratifizierten, das Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten als völkerrechtlichen Vertrag anerkannten. Bitte beachten: Der Europarat ist institutionell nicht mit der Europäischen Union (EU) verbunden, auch wenn beide die Europaflagge und die Europahymne verwenden. Die zentrale Zuständigkeit des Europarats ist der Schutz der Menschenrechte, bei der EU steht die wirtschaftliche Zusammenarbeit im Vordergrund. Der Europarat ist auch nicht zu verwechseln mit den EU-Institutionen Europäischer Rat (Organ der Staats- und Regierungschefs) und Rat der Europäischen Union (Ministerrat).
Mit dem Übereinkommen wollten die unterzeichnenden Staaten den Datenschutz im Geltungsbereich der Konvention sicherstellen. Angesichts des zunehmenden grenzüberschreitenden Datenverkehrs sollte innerhalb der Unterzeichnerstaaten ein einheitliches Datenschutzniveau hergestellt werden. Im Hintergrund stand aber auch die Erwägung, dass ein übertriebener Datenschutz den Informationsaustausch zwischen den einzelnen Staaten hemmen könnte. Die unterzeichnenden Staaten wurden deshalb durch das Übereinkommen verpflichtet die Rechte und Grundfreiheiten – insbesondere die Persönlichkeitsrechte – der in ihrem Hoheitsgebiet lebenden Menschen bei der automatisierten Verarbeitung personenbezogener Daten zu schützen und zugleich den freien Datentransfer in andere Unterzeichnerstaaten grundsätzlich zu erlauben. Die Konvention wurde am 28. Januar 1981 von den damaligen Mitgliedstaaten des Europarats vereinbart und trat am 1. Oktober 1985 in Kraft. Seit 2007 ist aufgrund dieser Unterzeichnung der 28. Januar der Europäische Datenschutztag.
Soweit der Hintergrund. Diese Konvention wurde nun aber angepasst. Angesichts der gewaltigen technologischen Entwicklungen seit den 1980er Jahren war eine Modernisierung der Konvention 108 einschließlich ihres Zusatzprotokolls aus dem Jahr 2001 erforderlich.
Nach mehrjährigen Verhandlungen haben sich die Konventionsstaaten auf ein Änderungsprotokoll geeinigt, das die Konvention 108 zukunftsfähig macht. So werden etwa die Betroffenenrechte gestärkt und eine Meldepflicht für Verantwortliche bei Verletzungen des Datenschutzes an die Aufsichtsbehörde eingeführt. Die Schaffung einer unabhängigen Aufsichtsbehörde wird für alle Konventionsstaaten verpflichtend.
Das Änderungsprotokoll ist vollständig kohärent mit dem EU-Datenschutzrecht. Langfristig wird das Änderungsprotokoll zu einer Anhebung des Datenschutzniveaus in einer Vielzahl von Staaten beitragen und damit tendenziell auch Übermittlungen personenbezogener Daten aus der Bundesrepublik Deutschland in diese Staaten vereinfachen. Es muss aber erst noch von weiteren Staaten ratifiziert werden. Welche Hoffnungen sich damit verbinden, haben zwei Kollegen bereits im letzten Jahr zusammengefasst, so dass es hilfreich ist, bei der Bewertung des Drittstaatenniveaus hinsichtlich des Datenschutz die Unterzeichnung und Umsetzung der Konvention Nr. 108+ zu beachten. Allerdings weisen sie auch darauf hin, dass beispielsweise die USA bisher weder die Konvention Nr. 108 noch 108+ unterzeichnet haben.
3.2 Personalausweis auf dem Smartphone
Seit dem 1. September 2021 gilt das Smart-eID-Gesetz. Hoffentlich sind die Anwendungen besser konzipiert als der elektronische Führerschein. Dessen Angebot wurde kurz nach Veröffentlichung aufgrund von Schwierigkeiten wieder aus den App-Stores genommen. Nach offizieller Stellungnahme sei die starke Nutzlast der Grund für die Herausnahme aus den App-Stores. Mehr Details unter Ziffer 5.11.
3.3 Privacy Laws in den USA
In welchen Einzelstaaten der USA gibt es schon entsprechende Data Privacy Laws, die durch Privacy-Experten als Datenschutzregelungen betrachtet werden? Hier eine Übersicht.
Verbunden ist bei mir ja damit die stille Hoffnung, dass auch die Stärkung des codifizierten Rechts in den USA dafür sorgt, dass eine bilaterale Lösung zur Datenübermittlung in die USA forciert wird.
3.4 UK: Was änderte sich seit der DS-GVO?
Das Vereinigte Königreich ist nicht mehr Mitglied der EU. Trotzdem gelten die Regelungen der DS-GVO erstmal weiter und UK hat in einem Angemessenheitsbeschluss seitens der EU-Kommission bestätigt bekommen, dass die dortigen Regelungen ein angemessenes Schutzniveau böten. Seitens der Politik kommen aus UK immer wieder Ankündigungen, bei der Regulierung von Datenverarbeitungen eigene Wege zu gehen. Hier eine Übersicht, was in UK bisher geregelt wurde.
4 Künstliche Intelligenz und Ethik
Mit dieser neuen Rubrik bringen wir hier künftig Beiträge, die sich einem oder beiden dieser Themen zuordnen lassen. Einerseits, weil sich die Regulatorik zunehmend mit diesen Fragen beschäftigt, aber auch, weil die Abgrenzung oft nicht trennscharf erfolgt. So lassen sich hier Schnittstellen finden, die beim Datenschutz in den Fragestellungen zu den Rechten und Freiheiten wie Gleichbehandlung oder Vermeidung von Diskriminierung – nicht nur im Rahmen einer Datenschutz-Folgenabschätzung – behandelt werden.
4.1 Übersetzung und künstliche Intelligenz in der öffentlichen Verwaltung
Das Nationale E-Government Kompetenzzentrum e. V. hat eine Studie herausgebracht, die sich mit dem Einsatz von KI in der öffentlichen Verwaltung am Beispiel von Übersetzungen befasst. Dabei ist beispielsweise ein Tool erstellt worden, dass die Komplexität von Sprache bewertet, z.B. abhängig davon, ob Nebensätze verwendet werden und wie sich diese auf die Verständlichkeit auswirken.
4.2 Diskriminierungsrisiken durch Verwendung von Algorithmen
Bereits im Jahr 2019 hat die Antidiskriminierungsstelle des Bundes eine Studie des Institut für Technikfolgenabschätzung und Systemanalyse (ITAS) am Karlsruher Institut für Technologie (KIT) veröffentlicht. Als eine der (vielen) Darstellungen und Feststellungen und enthält sie auch die Forderung, dass insbesondere bei Algorithmen der künstlichen Intelligenz und bei Anwendungen von automatisierten Entscheidungen es durch rechtliche Vorgaben für die Anwendenden erforderlich werden kann, dass sie potenzielle Diskriminierungsrisiken abschätzen, die Erklärbarkeit der Algorithmen sicherstellen sowie die Funktionsweisen von Algorithmen, der Entscheidungsregeln und deren Auswirkungen auf Betroffene – auch in Form von möglichen Diskriminierungen – dokumentieren müssen. Zu diesen Dokumentationen sollten Antidiskriminierungsstellen in Fällen des Verdachts auf Diskriminierung Zugang erhalten, wobei das Zugangsrecht gesetzlich zu regeln sei.
4.3 Artificial Intelligence (AI) Personal Information Protection Self-Checklist
Die Personal Information Protection Commission der Republik Korea (dortige Datenschutzaufsicht) hat ein Papier herausgebracht, das nicht nur die Belange des Datenschutzrechts berücksichtigt, sondern auch die Informationen liefern soll, die erforderlich sind, um zu prüfen, ob und welche Daten für die Verwendung bei einer KI eingesetzt werden sollten.
4.4 KI vergleicht Wahlprogramme
Macht Sie sich keine Hoffnungen, Sondierungsgespräche und Verhandlungen über Koalitionen der Parteien werden dadurch nicht ersetzt – eine Software vergleicht aber Übereinstimmungen und Gegensätze aus den Wahlprogrammen und kann diese auch unter Gewichtung bewerten. Das Schöne daran: Es wird definitiv nur als Hilfsmittel gesehen, das nicht die Entscheidung durch Menschen ersetzt, die sich darüber verständigen* müssen.
* Franks Anmerkung: Oder darüber aufregen, dafür könnten wir doch mal eine KI brauchen. Wobei, nachher bekommen wir noch Tics?
5 Veröffentlichungen
5.1 Sondierungspapier für Ampel-Koalition
Noch rechtzeitig für unseren Blog wurde das Sondierungspapier veröffentlicht und symbolträchtig werden Digitalisierungsthemen unter Ziffer 1 mit der Überschrift „Moderner Staat und digitaler Aufbruch“ angesprochen. Das hat noch nichts darüber zu sagen, was davon in einem Koalitionsvertrag münden wird und ob es dann auch tatsächlich umgesetzt wird, aber immerhin.
Franks Nachtrag: Andere sind vom Sondierungspapier nicht so begeistert…
5.2 TTDSG und aktuelle Fragen
Auch die aktuelle Folge des „10-Min-Podcasts“ eines bekanntes Medienrechtprofessors dauert wieder etwas länger (nur 44 Min): Es lohnt sich aber auch in diesem Fall: Das Gespräch behandelt die Änderungen, die sich durch das TTDSG ab dem 1. Dezember 2021 ergeben werden („Toaster als Dienste der Informationsgesellschaft?“), aber auch Fragen, ob und wann durch soziale Netzwerke Schadensersatz geleistet werden muss.
5.3 Zentrales Einwilligungsmanagement
Auch das TTDSG sieht in § 26 vor, dass ein Personal Information Management System (PIMS) eingesetzt werden könnte, um eine zentrales Einwilligungsmanagement zu organisieren. Dieser Gedanke wird kritisch betrachtet. Im TTDSG sind die Details einer Verordnung vorbehalten für deren Konzeption das BMWi derzeit eine Studie beauftragt. Warten wir ab, was dabei herauskommt. Diskussionen gibt es zu dem Thema ausreichend (siehe auch unter 5.13.2). Es wäre ja schön, wenn es hier Lösungen gäbe, die Rechtssicherheit für beide Seiten schaffen, damit Verarbeitungen ohne Grundlage und ohne Sanktion die Ausnahmen bleiben.
5.4 Drittstaatenübermittlung und der risikobasierte Ansatz
Greift der risikobasierte Ansatz auch beim Drittstaatentransfer? Was der EuGH noch nicht zur Entscheidung bekam, ist derzeit umstritten: Reichen mir reduzierte Schutzmaßnahmen, wenn ich das Risiko für die Rechte und Freiheiten der betroffenen Person gering einschätze oder sind entsprechende Anforderungen unabhängig davon zu treffen? Damit befasst sich ein Aufsatz zweier Experten, die für eine differenziertere Sichtweise plädieren.
5.5 Anforderungen an Forschungsdaten
Der Verbund Forschungsdaten-Bildung hat Hinweise zur Anonymisierung von qualitativen und quantitativen Daten veröffentlicht. Dabei weisen sie darauf hin, dass Anonymisieren nur ein Aspekt zur Einhaltung datenschutzrechtlicher Bestimmungen sei und im Zusammenspiel mit anderen Aspekten betrachtet werden sollte, wie der Einwilligungen der Studienteilnehmenden, den Verfahren des Zugriffsschutzes und den Überlegungen dazu, ob sich die Erhebung von personenbezogenen Daten vermeiden lässt.
5.6 BNetzA: Leitfaden zu Blockchain*
Die Bundesnetzagentur (BNetzA) hat einen Leitfaden für den Einsatz von Blockchain-Technologie veröffentlicht. Das 34-seitige Dokument bietet eine Einführung und richtet sich insbesondere an Behörden und Unternehmen aus dem Mittelstand, die über den Einsatz einer Blockchain-Architektur nachdenken. Mit einem Katalog von zehn Fragen sollen Interessenten zunächst prüfen, ob ein möglicher Einsatz von Blockchain auch tatsächlich sinnvoll ist. Der Leitfaden ist Teil des Infoportals der Bundesnetzagentur zu Blockchain, auf dem sich auch die deutsche Blockchain-Strategie, Gutachten sowie die Ergebnisse verschiedener Roundtables finden lassen.
* Franks Anmerkung: Bingo!
Franks Nachtrag: Vielleicht haben die auch das hier (drei mal Bingo: Blockchain, Smartphone und Digitale Zeugnisse!) begleitet?
5.7 Rechtskonformer Einsatz von Microsoft 365?
Die Telekom bietet nun einen Service an, mit dem sie versucht die datenschutzrechtlichen Bedenken hinsichtlich der Zugriffsmöglichkeit von Microsoft auszuschließen. Unter dem Vertriebsnamen „Cloud-Privacy-Service“ bietet sie Berichten zufolge den Betrieb an. Aber auch andere versuchen eine rechtkonforme Cloudlösung für Bürokommunikationsanforderungen anzubieten, wie z.B. Phoenix von dataport, die über Open-Source-Lösungen ein Komplettangebot* offerieren.
* Franks Anmerkung: Da der Artikel hinter einer Paywall liegt, hier zumindest der Link aufs Produkt.
5.8 BKA kaufte Pegasus
Kurz vor der Wahl wurde bekannt, dass das Bundeskriminalamt nun doch eine Nutzungslizenz der sogenannten „Staatstrojaner“-Software „Pegasus“ erworben hat. Jetzt wird berichtet, dass es sogar eine maßgeschneiderte Lösung für das BKA gab. Der zuständige BMI hatte – diesmal seinen eigenen Angaben zufolge – keine Ahnung.
Franks Nachtrag: Auch wenn es ja schon ein wenig länger her ist (Mitte September 2021), hier noch ein wichtiger Hinweis in dem Zusammenhang für iPhone-Nutzer.
5.9 IT-Sicherheitsagenda von Teletrust e.V.
Während die Parteien in munteren Farbenspielen Koalitionsmöglichkeiten sondieren, haben andere ihre Vorstellungen positioniert. Anstatt leerer Worthülsen zur souveränen Gestaltung der digitalen Zukunft präferiert Teletrust, dass Deutschland im Bereich der IT-Sicherheit eine Vorreiterrolle einnimmt und stellt hierzu in seiner „IT-Sicherheitsagenda 2029“ wichtige und dringende Forderungen auf.
5.10 Digitale Modernisierung – Ziele der Union
Durch die Sommerpause kommt diese Info etwas verspätet, aber die Union hat ein Papier vor der Wahl zur digitalen Modernisierung von Staat und Wirtschaft vorgelegt. Natürlich kommt (gerade bei älteren Lesen) beim Durchlesen zu dem „Aufholbedarf“ auch der Gedanke, warum dies in den letzten 16 Jahren nicht gemacht wurde, aber wie es aussieht, können in den nächsten Jahren nun andere Personen ihre Kompetenz hier zeigen – oder auch nicht.
Franks Nachtrag: Oder auch nicht, indeed!
5.11 ID Wallet
Was war geschehen…? Das groß angekündigte Projekt, dass es eine Möglichkeit gibt, online eine Identität nachzuweisen, würde ja vielen Branchen helfen, auch online eine Nachvollziehbarkeit herzustellen. „Das Ende der Zettelwirtschaft“ sollte es werden, z.B. beim Hoteleinchecken, wie noch im Mai über die ID Wallet angekündigt. Gerade erst wurde die Funktionalität um den digitalen Führerschein erweitert – aber nun bereits wieder aus dem Shop genommen. Zunächst sei die Nachfrage so groß gewesen, dann wurden aber doch Sicherheitsmängel bekannt, die das Projekt derzeit weiterhin ausbremsen. Mehr Details hier (Podcast, Dauer ca. 70 Minuten).
Franks Nachtrag: Wurde auch die neue Biometriedatenbank abgeschaltet?
5.12 „Wen kannst du empfehlen?“
Wer bekommt nicht manchmal im persönlichen Umfeld solche Fragen gestellt, wenn es um vertrauenswürdige Anbieter geht. Wer hier auf Expertenrat zurückgreifen möchte, kann über diese Seite seinen Horizont erweitern. Natürlich sind diese Angaben auch ohne Gewähr, aber über ein Changelog ist auch erkennbar, wann die letzte Änderung erfolgte.
Franks Nachtrag: Darauf hatte ich auch schon hingewiesen, aber das können wir ja ruhig öfter machen…
5.13 Veranstaltungen
5.13.1 Reuschlaw Business Brunch digital: „Innovative Datennutzung und Geheimnisschutz“
02.11.2021, 10:30 – 12:00 Uhr, „Die Mehrzahl der kostenlos im Internet angebotenen Dienste finanziert sich über die Nutzung von Daten, insbesondere für Werbe- und Analysezwecke. Durch die zunehmende Digitalisierung von Produkten, z.B. durch das Internet of Things (IoT) und das Themenfeld der Künstlichen Intelligenz (KI), entstehen aktuell jedoch innovative und vielversprechende Wertschöpfungsmodelle, wie etwa die Nutzung und Weitergabe von Nutzerdaten zum Training von KI-Systemen. Vor diesem Hintergrund erscheint es nicht unwahrscheinlich, dass zukünftig IoT-Geräte im Austausch für die Bereitstellung von Nutzerdaten günstiger oder gar kostenlos angeboten werden. Die weitere Entwicklung hängt dabei maßgeblich von den rechtlichen Rahmenbedingungen ab.“, Teilnahme kostenlos, Anmeldung erforderlich.
5.13.2 Stiftung Datenschutz: „Das TTDSG und neue Wege zur Einwilligungsverwaltung“
03.11.2021, 13:00 – 19:00 Uhr, „Zum Dezember 2021 wird das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, kurz TTDSG, in Kraft treten. Was diese nachträgliche Umsetzung der ePrivacy-Richtlinie für den Umgang mit Cookies bedeutet, wird mit Akteuren aller Seiten bei dieser Veranstaltung thematisiert.“, Teilnahme kostenlos, Anmeldung erforderlich.
Franks Nachtrag: Boah, eine Veranstaltung IRL!
5.13.3 Corporate Digital Responsibility Initiative: „Simple GDPR strength Anonymization“
03.11.2021, 16:00 – 16:45 Uhr, „Der Vortrag findet auf Englisch statt und wird von Prof. Dr. Paul Francis, Scientific Director, Max-Planck-Institut für Softwaresysteme, gehalten. Bei der digitalen Veranstaltungsreihe „CDR Impuls“ besteht jede Veranstaltung aus einem Impulsvortrag sowie einem anschließenden Austausch, in welchem Fragen der Teilnehmenden beantwortet werden. Den roten Faden stellen dabei die von der CDR-Initiative identifizierten Handlungsfelder dar: Umgang mit Daten, Klima- und Ressourcenschutz, Bildung, Mitarbeitenden-Einbindung und Inklusion. Die Veranstaltungsreihe richtet sich an Personen aus Unternehmen, Wissenschaft, Politik und Verbänden sowie interessierte Verbraucherinnen und Verbraucher und wird von ConPolicy GmbH moderiert.“, Teilnahme kostenlos, Anmeldung erforderlich.
5.13.4 Stiftung Datenschutz: „Datenschutz am Mittag: Die Whistleblower-Richtlinie in der Praxis“
09.11.2021, 13:00 – 14:00 Uhr, „Als Diskussionsplattform bringt die Stiftung Datenschutz relevante Beteiligte zusammen, wenn es um Datenschutz geht. Am 16.12.2019 ist die Hinweisgeberschutz-Richtlinie 2019/1937 (EU) in Kraft getreten; nach nunmehr zwei Jahren müssen ab dem 17.12.2021 auch deutsche Unternehmen ein Hinweisgebersystem bereitstellen, damit Whistleblower berechtigt, aber auch verpflichtet sind, Misstände zunächst vertraulich an unternehmenseigene Kanäle zu melden. Thematisiert wird, welche Unternehmen in den Anwendungsbereich der Richtlinie fallen, wie ein vertrauliches Meldesystem eingerichtet wird und funktioniert, und welche datenschutzrechtlichen Anforderungen dabei zu berücksichtigen sind.“, Teilnahme kostenlos, Anmeldung erforderlich.
5.13.5 ISiCo Frühstücks-Workshop: Update zum Thema Cookies und Tracking: Das neue TTDSG
23.11.2021, 09:00 – 10:30 Uhr, „Die Suche nach einheitlichen Regelungen für Cookies und Tracking geht in die nächste Runde: Das Telekommunikations-Telemedien-Datenschutzgesetz soll nun für Rechtsklarheit sorgen. An Unternehmen werden damit neue Anforderungen gestellt: Unter anderem wird die Einwilligungspflicht für das Setzen von Cookies umfangreich geregelt. Es gibt einen ausführlichen Überblick über das TTDSG und Hinweise, wo Handlungsbedarf besteht.“, Teilnahme kostenlos, Anmeldung erforderlich.
5.13.6 Save-The-Date: re:publica 2022
08.-10.06.2022, diese Veranstaltung sollte nicht groß erklärt werden müssen. Mehr dazu hier.
6 Gesellschaftspolitische Diskussionen
6.1 Apple und der Datenschutz
In den letzten Wochen fiel Apple zweimal auf: Einerseits hatten das Unternehmen vor Bilddateien auf Auffälligkeiten zu untersuchen*, die auf den sexuellen Missbrauch Minderjähriger hindeuten. Andererseits versuchte es das Einwilligungserfordernis zum Werbetracken bei Apps durchzusetzen.
Und will es wohl jetzt auch selbst umsetzen**.
Welche Erkenntnis man/frau dabei mitnehmen kann? Geschäftspolitiken können sich ändern und die öffentliche Reaktion bei den Bilddateien zeigte zumindest, dass auch dies Einfluss auf Entscheidungen nehmen kann.
Übrigens ist es auch interessant, wie sich das Image von Apple bezüglich der Privatsphäre bei der Nutzung von iPhones bei einer genaueren Untersuchung bewährt.
* Franks erster Nachtrag: Da auch dieser Link scheinbar auf eine Paywall zeigt, hier unsere bisherigen Berichte dazu: 1 und 2 und 3 und 4
** Franks zweiter Nachtrag: Was so ein bisschen Druck ausmachen kann 😉
6.2 Tesla und der Datenverkehr
Gilt schon bei uns „der Datenschutz“ als Spaßbremse, wenn auf bestimmte Eigenschaften von elektronischen Fahrzeugen hingewiesen wird, was soll dann erst Tesla in den USA denken? Bei uns reden Aufsichtsbehörden nur davon, dass es Probleme geben kann, in den USA besteht laut Berichten nachhaltiges Interesse detaillierte Informationen zur Funktionsweise des Fahrerassistenzsystems „Autopilot“ zu bekommen. Geklärt werden soll, wie sichergestellt wird, dass trotz Aktivierung der Funktion „Autopilot“ der Fahrer weiterhin aufmerksam den Verkehr beobachtet und es nicht zu Fehlfunktionen kommt. Tesla hatte vor einigen Monaten proaktiv auf die Vorfälle reagiert und in den Modellen 3 und Y schließlich die Kamera über dem Rückspiegel aktiviert. So soll die Software in Zeiten, in denen der Autopilot aktiviert ist, „Unaufmerksamkeit des Fahrers erkennen und melden“.
Franks Nachtrag: Ach so, erst das Umfeld, jetzt den Innenraum? Sympatisches System…
Franks zweiter Nachtrag: Und dann war da doch noch das mit dem Verpfeifen, oder? Sehr sympatisches System, das…
Franks dritter Nachtrag: Aber wenigstens haben sie es doch bei Tesla mit den Updates im Griff, richtig? Wie, auch nicht? Na, das ist doch mal ein sympatisches System!
Franks vierter Nachtrag: Die Beobachtung des Umfeld macht ja nicht nur Tesla, aber andere informieren wenigsten besser darüber.
6.3 Mobilsicher: Apps von Lieferdiensten
Lieferando, Wolt, Gorillas, Flink – Liefer-Apps sind das große Ding der Stunde. Dass die beim Bestellen gesagt bekommen, wo Sie wohnen und wohin Ihnen geliefert werden soll, ist dabei ganz normal. Und dann? Mobilsicher hat sich die Apps von innen angeschaut.
Franks Nachtrag: Das gibt es auch als Video, auch bei peertube!
6.4 Passwortmüdigkeit?
Wo legt die richtige Balance zwischen Benutzerfreundlichkeit und Datensicherheit? Keine Sorge, ich weiß es auch nicht. Und wenn ich es wüsste, würde mir wieder keiner glauben. Aber eine entsprechende Studie eines IT-Sicherheitsanbieters aus den USA zeigt nun laut Berichten auf, dass Marken und Hersteller, denen es nicht gelingt, die richtige Balance zwischen Benutzerfreundlichkeit und Datensicherheit zu finden, Gefahr laufen Kunden an die Konkurrenz zu verlieren.
Franks Nachtrag: Wie gut, dass Microsoft da schon geliefert hat. Hat der Chef ja auch so gesagt… (Nähere Erläuterungen zur OMIGOD getauften Sicherheitslücke gibt es hier.)
Franks zweiter Nachtrag: Bei dem Namen war es ja klar, dass die auch bald ausgenutzt wurde…
6.5 „Responsible Disclosure“
Sie finden ein datensicherheitstechnisches Problem und informieren den Verantwortlichen. Was erwarten Sie? Rückfragen, ein Dankeschön oder eine Anzeige? Letzteres scheint sich nicht nur bei der Union zu ereignen. Wieder gab es polizeiliche Aktivitäten gegen einen Programmierer, der bei einer Problembearbeitung eine weitere, größere Lücke entdeckte. Wie es hier ausgeht, ist noch offen. Bei der Union wurde das Verfahren eingestellt, weil es keinen Schutz (!) gab, der umgangen werden konnte.
Franks Nachtrag: Ach, deswegen…
7 Sonstiges/Blick über den Tellerrand
7.1 Smartphone zum Schulstart?
Die Fragestellung zeigt schon, dass es sich nun nicht mehr um Distanzunterricht handelt. Bei Klicksafe gibt es dazu Tipps aus medienpädagogischer Sicht, die nicht nur zu Schuljahresbeginn, sondern auch für das Christkind – oder sonstige erfreuliche Anlässe – interessant sein könnten.
7.2 Klage gegen Tesla wegen Update erfolgreich
Keine Sorge, diesmal gibt es eine Geschichte nur als Lektion, an was bei Updates alles gedacht werden sollte: Ein Teslabesitzer konnte seine Elektrofahrzeug zurückgeben, weil durch ein Update die Leistung verändert wurde, ohne, dass er darüber informiert wurde. Was folgt daraus: Bei Updates auch die Sichtweise des Nutzers einnehmen, mit welchen Änderungen muss er rechnen und ihn besser bei Veränderungen, die er als Verschlechterungen zum vereinbarten Zustand wahrnehmen könnte, ausreichend informieren.
7.3 Einsatz von YouTube in der Schule?
Die nächsten Zeilen stellen sich wahrscheinlich für viele erwartungskonform dar: Warnungen und Bedenken. Dabei wird nur die geltende Rechtslage berücksichtigt. Was dabei zu beachten ist und unter welchen Voraussetzungen der Einsatz von YouTube möglich ist, erläutern klicksafe und die Seiten von „Internet-ABC“ anschaulich. Kleiner Tipp: Wenn die Empfehlungen beginnen mit „Streng genommen“, denken Sie den Rest mal auf einen anderen Sachverhalt, um es selbst zu bewerten, z.B. „Streng genommen darf jemand nur dann Auto fahren, wenn diese Person eine gültige Fahrerlaubnis hat“ – das hilft gelegentlich beim Einordnen der Aussagen.
7.4 Bewertung von TikTok
TikTok steht immer wieder in der Kritik, gerade auch hinsichtlich der Nutzung durch Minderjährige. So freut man sich, wenn jugendschutz.net dazu auf seinem Portal „Kompass Social Media“ eine Bewertung abgibt. Dass aber die Erfüllung einer gesetzlichen Informationspflicht (Art. 13 Abs. 2 lit. b DS-GVO) als ein Kriterium herangezogen wird, um beim „Datenschutz“ mit „gut“ bewertet zu werden, führt bei mir eher dazu, insgesamt etwas genauer hinzusehen. Wäre etwa so, wie wenn beim Bild-Autotest bei den Pluspunkten „hat Bremsen“ stehen würde. Aber man findet dort neben der Bewertung auch Tipps zu den gängigen Fragen bei der Nutzung.
7.5 Nürnberg und digital
Wer die freudige Nachricht vernommen hat, dass Nürnberg nun im Digitalranking des bitkom unter den ersten 20 Plätzen gelandet ist, aber auch schon mal versucht hat hier einen Personalausweis zu Coronazeiten zu beantragen, kann ein weiteres Beispiel beitragen zu Lücken zwischen Theorie und Praxis. Dabei besteht die Bewertung des bitkom aus den Kategorien Verwaltung, IT und Kommunikation, Energie und Umwelt, Mobilität und Gesellschaft. Spitzenreiter bleibt dabei Hamburg.
8. Franks Zugabe
8.1 Apropos Forderungen an die neue Bundesregierung
8.2 Damals war’s … vor 40 Jahren – der erste IBM-PC
Nein, es geht mir nicht um die Sendung gleichen Namens, sondern tatsächlich um den PC. Im August hatte das Urmodell Geburtstag, passend zum Verkaufsstart des IBM-PCs gab es bei heise.de einen Artikel und ein Quiz.
8.3 IMSI & IMEI
Nachdem wir in dieser Ausgabe ja schon einen Beitrag von Mobilsicher zu Lieferdiensten hatten und ich eher für das Technische zuständig bin: Wenn Sie sich schon immer mal gefragt haben, was es eigentlich mit IMSI & IMEI auf sich hat, hilft Ihnen vielleicht diese Erläuterung (wie gesagt, auch bei peertube…).
8.4 Cybersecurity – Evil Maid Attack
Wie berichtet, dauert es nicht wirklich lange einen per TPM-Chip gesicherten Rechner zu übernehmen und über diesen Zugriff auf ein dazugehöriges Firmennetzwerk zu erlangen. Knapp eine halbe Stunde, also zeit genug für das „böse Reinigungspersonal“.
Hier gibt es den dazugehörigen Artikel, hier den Original-Blogpost. Spooky.
8.5 Cybersecurity – Wie man Bitlocker in knapp zehn Minuten knackt
Wie, das geht noch schneller? … das dauert bei etwas Übung nur knapp 10 Minuten? Uff…
8.6 Cybersecurity – Post-Mortem-Analyse
Wie in vielen anderen Bereichen auch gibt es auch bei der IT-Security Post-mortem-Analysen.
Facebook hat zum Ausfall am 04.10.2021 ein Postmortem veröffentlicht.
Tatsächlich wird berichtet, sie hätten die Post-Mortem-Analyse wohl recht ordentlich gemacht. Das ganze liest sich auf jeden Fall amüsant und ist auch informativ.
Beim Support hingegen braucht es bei Facebook eine gewisse Kreativität, um den schnell zu bekommen. Und im Zweifelsfall auch ein bisschen Geld. Genauer gesagt $299.
8.7 Apropos Popcorn – Was war denn nun am Samstag?
Ob es damit Zusammenhänge gab? Auf jeden Fall gab es wohl ein wenig Chaos bei der Deutschen Bahn.
Nein, es war wohl ein Problem, welches nicht mit dem oben erwähnten Bug zusammenhing und soll wohl auch nicht nur exklusiv die Deutsche Bahn getroffen haben. Außerdem trat es schon Freitag auf. Hier gehts zu einer technischen Erläuterung.