Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41&42/2022)“
Hier ist der 53. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41&42/2022)“.
- Aufsichtsbehörden
- EDSA: Wunschliste zur Änderung nationaler Verfahren
- EDSA: Genehmigung von Zertifizierungskriterien (Opinion 28/2022)
- LDI NRW: Genehmigung von deutschen Kriterien für Zertifizierung nach Art. 42 DS-GVO
- Tätigkeitsbericht des BayLDA
- LDI NRW: Einschätzungen zu Metaverse
- LfDI BW: Zum Entwurf der Chatkontrolle
- ULD: Probleme der Durchsetzung von privacy by design
- Sachsen-Anhalt: Versagen der Politik
- KDG: Verzicht auf TOM möglich
- Italien: 45.000 Euro Bußgeld für medizinische App nach Datenpanne
- ICO: Bußgeld gegen TikTok?
- EDSA: Ergänzung der Guideline 9/2022 Meldepflicht bei Datenschutzverstößen
- Umsetzung der Datenschutzanforderungen in der EU
- Italien: Datenschutzaufsicht prüft Cookie-Banner
- BfDI: Impfempfehlungen an über 60-jährige durch das BMG
- TLfDI: Tätigkeitsbericht
- LfDI BW: Icons für die Betroffenenrechte
- BBfDI: Umzug in neue Räumlichkeiten
- LfD Bayern: Wie bekomme ich Cookies unter Kontrolle?
- ICO: Konsultation zu Beschäftigtendatenschutz
- Rechtsprechung
- LG Zwickau: Schadensersatz bei Datenleck gegenüber Meta (Facebook)
- OLG Dresden: Bilder von Beamten im Netz
- LAG Baden-Württemberg: Auskunftserteilung nach Art. 15 DS-GVO durch DSB
- OVG Bautzen: Zeugeneinvernahme nicht über WhatsApp
- LG Darmstadt: Schmerzensgeld gegen Wirtschaftsauskunftei
- LAG Niedersachsen: Videoüberwachung bei Arbeitszeitverstoß
- Niederlande: Keine dauerhaft aktivierte Videokamera im HomeOffice
- OGH Österreich: Anforderung an Einbindung von Datenschutzregelungen
- EuGH: Generalanwalt zu Schadenersatz nach Art. 82 DS-GVO – und überhaupt
- EuGH: Umfang der Auskunft
- EuGH: Zulässigkeit einer weiteren Datenbank zu Sicherheitszwecken
- Schweden: Auskunft über Sprachaufzeichnungen
- ArbG Köln: Impfpasskontrolle durch Arbeitgeber
- VG Bremen: Unzulässige Veröffentlichung von Inhalten einer Videokonferenz
- LG Baden-Baden: Einstweilige Verfügung gegen Forderung aufgrund von Google Fonts
- KDG: Umgang mit Datenschutzbeschwerden
- Texas: Klage gegen Googles Gesichtserkennungsfunktion
- Gesetzgebung
- EU: Digital Markets Act veröffentlicht
- Digital Service Act
- EU: Data Act
- Veröffentlichung der Handelsregistereinträge
- Rahmenbedingungen für ein Dateninstitut
- Drittstaatentransfer in die USA: Nächstes Kapitel
- Anhörung zum Hinweisgeberschutzgesetz
- OECD: Internationaler Datentransfer
- EU-USA Datentransfer
- EU KI-Haftungsrichtlinie
- Österreich: DSFA zu digitalem Führerschein
- Künstliche Intelligenz und Ethik
- KI-Philosophie: Empathie und Sucht
- Nachhaltigkeit der Digitalisierung: Green IT?
- Kanada: Gesichtserkennung und die wachsende Macht der KI
- Amnesty warnt vor Gesichtsscannung
- CDR-Slam zu digitaler Verantwortung
- Wirtschaft: Furcht vor zu starker KI-Regulierung
- Deloitte: Corporate Digital Responsibility
- bidt: Glossar Künstliche Intelligenz
- Künstliche Intelligenz: Haben Maschinen Gefühle?
- KI, Stimmenanpassung und Ethik
- Stimmanalyse in CallCenter
- CNIL und KI
- Veröffentlichungen
- Schadenersatzansprüche nach Cyberattacke
- MS 365 und Anwälte
- Datenschutz vs. Datenmarkt
- Was sind Einwilligungen wert?
- Podcast: Standards für Anonymisierung?
- Podcast: Rechtskonforme Gestaltung neuer Technologien
- Podcast: Zur Digitalisierung, Vermessung und Vernetzung
- Bitkom-Umfrage zur DS-GVO
- Entwicklung von Cybersecurity-Labels für iOT-Devices in den USA
- Psychotricks der Cyberkriminellen
- TikTok-Nutzung
- Risikobasierter Ansatz im Drittstaatentransfer
- BMWK: Anonymisierung im Datenschutz als Chance
- Studie „Digitalisierung und Compliance“
- Gartner: Magic Quadrant für Security Information & Event Management
- Metaverse und Arbeitsrecht
- Metaverse und Datenschutz
- Veranstaltungen
- European Media Literacy Week
- Gesellschaftspolitische Diskussionen
- Meta und MS 365
- BSI und der Cybersicherheitsrat
- Digitalisierung in Dänemark
- Kriegspropaganda über soziale Medien
- ForDaySec – Forschungsverbund in Bayern
- Werbefreie Suchmaschine
- Austausch der Konnektoren in Arztpraxen
- Digitales Nummernschild
- Strecken-Tracking der Uber-Nutzer
- Frankreich: Cloud-Koalitionen
- Keine Wolke ohne Kabel
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Digitale Resilienz von Kindern
- Ein gutes Interneterlebnis in acht einfachen Schritten
- Wenn Sie auf Videoüberwachung stehen, habe ich tolle Reiseziele für Sie!
- Wenn es Seminare über jemand gibt, hat diese Person es dann geschafft?
- Das Kennwortbuch – Eine Diskussion
- Dinge, die mit Windows laufen
- Was ist eigentlich Digitalisierung?
- Digitalisierung und Ransomwareschutz
- Die gute(n) Nachricht(en) zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Wunschliste zur Änderung nationaler Verfahren
Der EDSA hat nach eigener Aussage der EU-Kommission eine Liste gegeben, um Hindernisse außerhalb des Zuständigkeitsbereichs der Aufsichtsbehörden aufzuzeigen, die möglicherweise eine Gesetzesinitiative erfordern. Der derzeitige Flickenteppich nationaler Verfahren und Praktiken wirke sich nachteilig auf die Zusammenarbeit zwischen den Datenschutzbehörden aus. Die Liste befasst sich unter anderem mit dem Status und den Rechten der Parteien an den Verwaltungsverfahren, Verfahrensfristen, Voraussetzungen für die Zulässigkeit oder Abweisung von Beschwerden, Ermittlungsbefugnissen der Datenschutzbehörden und der praktischen Durchführung des Verfahrens der Zusammenarbeit.
1.2 EDSA: Genehmigung von Zertifizierungskriterien (Opinion 28/2022)
Der EDSA hat Zertifizierungskriterien für eine Zertifizierung von Auftragsverarbeitungen des Anbieters EuroPriSE genehmigt. Das genehmigte Verfahren umfasst spezifische Kriterien, die es skalierbar und auf bestimmte Verarbeitungsvorgänge oder Tätigkeitsbereiche anwendbar mache. Diese Genehmigung sei ein weiterer Schritt hin zu einer besseren Einhaltung der DS-GVO. Die Zertifizierung unter dem Datenschutzsiegel hat Gültigkeit in allen EU-Mitgliedstaaten. Es ermöglicht verschiedenen Controllern und Prozessoren in verschiedenen Ländern das gleiche Maß an Compliance für ähnliche Verarbeitungsvorgänge zu erreichen.
1.3 LDI NRW: Genehmigung von deutschen Kriterien für Zertifizierung nach Art. 42 DS-GVO
Die LDI NRW genehmigt erstmals Kriterien für die Zertifizierung von Auftragsverarbeitern des Anbieters EuroPriSe. Damit kann sich das Unternehmen, das die Genehmigung erhalten hat, als Zertifizierungsstelle akkreditieren lassen. Mit einer Zertifizierung kann eine Beurteilung, ob beispielsweise die Dienste eines Rechenzentrums, ausgelagerte Clouddienste oder die Unterstützung mit konkreten Softwareprodukten datenschutzkonform erfolgen, vereinfacht werden. Das Unternehmen geht davon aus nun sehr zeitnah ein offiziell genehmigtes Zertifizierungsverfahren anbieten zu können.
1.4 Tätigkeitsbericht des BayLDA
Nun hat auch das BayLDA seinen Tätigkeitsbericht für 2021 veröffentlicht. Darin finden sich ausführliche Aussagen zum Umfang der Auskunftspflicht nach Art. 15 DS-GVO, Ausführungen zum Einsatz von Google Analytics und zu den Anforderungen, die sich auch dem EuGH-Urteil zu Schrems II ergeben. Aber auch er rügt den Einsatz von WhatsApp gerade bei Berufsgeheimnisträgern oder auch die Offenlegung von vollständigen Arbeitsunfähigkeitsbescheinigungen gegenüber Vorgesetzten. Im Berichtszeitraum gab es beim BayLDA immerhin elf Bußgeldverfahren. Die Pressekonferenz zur Veröffentlichung fand in der Hochschule Ansbach vor Studierenden des Studiengangs „Datenschutz und IT-Sicherheit“ statt. Dann wissen die schon mal, was auf sie zukommt!
1.5 LDI NRW: Einschätzungen zu Metaverse
Welche Aspekte sind beim Einsatz von Metaverse zu beachten, dem neuesten Angebot aus dem Zauberkasten von Meta? Die LDI NRW verweist auf eine Ausarbeitung des Wissenschaftlichen Dienstes des Europäischen Parlaments, der sich darin auch zu datenschutzrechtlichen Anforderungen äußert.
1.6 LfDI BW: Zum Entwurf der Chatkontrolle
Der LfDI BW kritisiert die geplante anlasslose und umfassende Durchforstung aller privaten Chats als einen beispiellosen und völlig unverhältnismäßigen Angriff auf unsere Freiheit unüberwacht zu kommunizieren.
1.7 ULD: Probleme der Durchsetzung von privacy by design
Dieses Mal aus Sicht einer Datenschutzaufsichtsbehörde. Die Folien eines Vortrags der Datenschutzbeauftragten des Landes Schleswig-Holstein in Schweden sind nun veröffentlicht.
1.8 Sachsen-Anhalt: Versagen der Politik
Der Titel ist noch wohlmeinend formuliert, wenn sich die politischen Vertreter im Landtag seit 2018 nicht auf eine Person für die Leitung der Landesdatenschutzaufsicht verständigen können.
1.9 KDG: Verzicht auf TOM möglich
Kann eine betroffene Person auf die Einhaltung gesetzlich vorgeschriebener Schutzmaßnahmen verzichten? Die Antwort ist bei den staatlichen Datenschutzaufsichtsbehörden an sehr enge Rahmenbedingungen geknüpft. Die Konferenz der Diözesan-Datenschutzbeauftragten Deutschlands haben hierzu nun auch ihre Meinung geändert und einen Beschluss zum kirchlichen (d.h. katholischen) Datenschutzrecht verfasst, der ein Dispositionsrecht zulässt.
1.10 Italien: 45.000 Euro Bußgeld für medizinische App nach Datenpanne
Die italienische Aufsicht sanktionierte ein US-Unternehmen, das in Italien eine medizinische App anbot und dabei unbefugt medizinische Daten über einen E-Mail-Verteiler weitergab. Hinzu kam, dass es keinen Vertreter in der EU gemäß Art. 27 DS-GVO benannt hatte.
1.11 ICO: Bußgeld gegen TikTok?
In Großbritannien droht TikTok ein Bußgeld in Höhe von ca. 30 Mio. Euro, weil der Schutz der Privatsphäre von Minderjährigen mangelhaft ausgestaltet sei. Die Verarbeitung sei ohne Einwilligung der Eltern erfolgt.
1.12 EDSA: Ergänzung der Guideline 9/2022 Meldepflicht bei Datenschutzverstößen
Der EDSA hat seine Guideline zu Data Breaches hinsichtlich der Mitteilungspflicht konkretisiert: Das One-Stop-Shop-System greife nicht, wenn ein Verantwortlicher nach Art. 27 DS-GVO einen Vertreter benannt habe. Eine Meldung eines Datenschutzverstoßes sei dann bei jeder Aufsicht von betroffenen Personen zu melden. Die Passage ist markiert (RN 73). Bis 29.11.2022 können dazu Rückmeldungen an den EDSA eingereicht werden.
1.13 Umsetzung der Datenschutzanforderungen in der EU
Die EU-Kommission hat das Europäische Parlament und den Rat informiert, wie die Datenschutzanforderungen in europäischen Einrichtungen umgesetzt wurden. Zunächst nochmal zur Erinnerung: Für europäische Einrichtungen gilt die VO 2018/1725 (im Bericht als EU-DSVO bezeichnet), da die DS-GVO hierfür über Art. 2 Abs. 3 DS-GVO keinen sachlichen Anwendungsbereich schafft. Dabei finden sich interessante Erkenntnisse, z.B. in Ziffer 3.6, dass bei Drittstaatentransfers bei Online-Schulungen auf den Ausnahmetatbestand gestützt wird. Auch dass die Datenübermittlung in Drittländer für gewöhnlich durch die Auftragsverarbeiter durchgeführt würden, die dann dazu die Standarddatenschutzklauseln der EU-Kommission abschließen. Zudem sei die Kommission dabei ebenfalls Standarddatenschutzklauseln nach Art. 48 Abs. 2 lit. b der VO 2018/1725 zu erarbeiten, die dann direkt durch EU-Einrichtungen verwendet werden können. Zu den Umsetzungen der Anforderungen des EuGH an Drittländerübermittlungen („Schrems II“) schweigt sich der Bericht aus.
Interessant finde ich auch die Aussage in Tabelle 1 des Anhangs, dass es in 2021 insgesamt fünf vorherige Konsultationen beim EDSB im Rahmen einer DSFA gab und keines der Projekte dabei aufgegeben wurde.
1.14 Italien: Datenschutzaufsicht prüft Cookie-Banner
Grundsätzlich schließe es die die europäische Gesetzgebung zum Schutz personenbezogener Daten nicht aus, dass der Betreiber einer Website den Zugriff auf die Inhalte durch die Nutzer vorbehaltlich der von ihnen erteilten Zustimmung zu Profiling-Zwecken (durch Cookies oder andere Tracking-Tools) oder alternativ zur Zahlung eines Geldbetrags gewährt. Die italienische Datenschutzaufsicht Garante prüft aber nun, ob bei der Umsetzung die entsprechenden Vorschriften beachtet wurden.
1.15 BfDI: Impfempfehlungen an über 60-jährige durch das BMG
Derzeit erhalten über 60-jährige Post mit einer Aufmunterung sich erneut gegen Covid-19 impfen zu lassen. Als Absender tritt das Bundesgesundheitsministerium (BMG) auf. Dass dies datenschutzrechtlich unbedenklich ist, klärt der BfDI auf. Das BMG hat nur den Text verfasst und die Krankenkassen gebeten dies an die jeweilige Mitgliedergruppe zu versenden. Also keine Panik, es kommt keiner aus dem BMG zu Ihren künftigen runden Geburtstagen zum Gratulieren oder Kuchenessen vorbei!
1.16 TLfDI: Tätigkeitsbericht
Im Tätigkeitsbericht für 2021 wird u.a. thematisiert, wann Maklertätigkeiten z.B. zur betrieblichen Altersversorgung als Auftragsverarbeitung zu klassifizieren sind (Ziffer 1.9, Seite 32).
Mit Verweis auf die überarbeitete Orientierungshilfe der DSK zu Schutzmaßnahmen im E-Mail-Verkehr, weist er auch darauf hin, dass Berufsgeheimnisträger dann die End-to-End-Verschlüsselung wählen sollen, wenn besonders schützenswerte Daten in einer E-Mail enthalten sind (Ziffer 1.18., S. 67 ff). Ansonsten sei die TLS-Verschlüsselung das Mittel der Wahl.
Hinsichtlich der Verarbeitung besonderer Kategorien von Daten führt er aus, dass diese sensiblen Daten nach Art. 9 Abs. 2 lit. h i.V.m. Abs. 3 DS-GVO für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin nur verarbeitet werden dürfen, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt. Bezüglich der Berufsgeheimnispflicht nach § 203 Abs. 1 Strafgesetzbuch (StGB) weist der TLfDI darauf hin, dass auch die Verarbeitung durch „eine andere Person“ erlaubt sei, wenn diese ebenfalls einer Geheimhaltungspflicht unterliegt. Dies sei zum Beispiel bei Rechtsanwälten, Steuerbevollmächtigten oder Angehörigen eines Unternehmens der privaten Versicherung oder einer Verrechnungsstelle (wie auch bei allen anderen in § 203 Abs. 1 StGB genannten Schweigepflichten) gegeben, wenn sie in ihrer beruflichen Funktion tätig werden. (Ziffer 3.8, Seite 175).
1.17 LfDI BW: Icons für die Betroffenenrechte
Der LfDI BW hat nun Icons veröffentlicht, die bei der Umsetzung der Betroffenenrechte helfen können. Er will diese auch auf europäischer Ebene im EDSA einbringen.
1.18 BBfDI: Umzug in neue Räumlichkeiten
In ihrer Pressemeldung weist die BBfDI auch darauf hin, dass ggf. die Angaben in den Datenschutzinformationen aktualisiert werden sollten, wenn dabei bisher die Adresse der Datenschutzaufsicht aufgeführt wird.
1.19 LfD Bayern: Wie bekomme ich Cookies unter Kontrolle?
Der vollständige Titel sprengt die Überschriftenzeile: „Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle?“. Und dann wird schnell klar, dass auch eine Antwort mittels eines Tutorials auch 14 Seiten umfassen kann, auch wenn sie aus Bayern kommt. Der Beitrag bietet einen Überblick über die einschlägigen Regelungen der DS-GVO und des TTDSG und umfasst die Inhalte, die der LfD Bayern im Oktober im Rahmen einer Themenwoche behandelte. Eingeschlossen sind auch Hinweise, wie die eigene Webpräsenz überprüft werden kann. Zu beachten ist, dass manchen Links händisch über den Zeilenumbruch geholfen werden muss, damit sie funktionieren.
1.20 ICO: Konsultation zu Beschäftigtendatenschutz
Noch zählt das Vereinigte Königreich zu Drittländern mit einem angemessenen Datenschutzniveau und noch orientieren sich deren Vorgaben an der DS-GVO. Daher ist es auch berichtenswert, dass dort die Datenschutzaufsicht ein Konsultationsverfahren zum Beschäftigten-Datenschutz durchführt.
2 Rechtsprechung
2.1 LG Zwickau: Schadensersatz bei Datenleck gegenüber Meta (Facebook)
Einer betroffenen Person wurde durch das LG Zwickau aufgrund eines im April 2021 bekanntgewordenen Datenabzugs bei Facebook ein immaterieller Schadenersatz in Höhe von 1.000 Euro zugesprochen, Details dazu hier. Aber: Es ist ein Versäumnisurteil, das noch nicht rechtskräftig ist, weil Meta (Facebook) dagegen Einspruch eingelegt hat. Das Gericht prüft nun erneut unter Berücksichtigung des Vorbringens von Meta. Woraus sich die Zuständigkeit des Landgerichts ergibt ist hier beispielhaft nachzulesen.
Eine Entscheidung des EuGH zu den Fragen der Anforderungen an einen immateriellen Schadensersatz steht noch aus, der Generalanwalt hatte gerade erst seine Stellungnahme dazu veröffentlicht.
2.2 OLG Dresden: Bilder von Beamten im Netz
Das OLG Dresden befasste sich mit der Frage, wann es ein Beamter hinnehmen muss bei der Ausübung seiner Tätigkeit in der Öffentlichkeit abgebildet zu werden. Im konkreten Fall wollte ein Beamter des gemeindlichen Vollzugsdienst nicht auf einem Bild in der Zeitung erscheinen. Dabei war er laut Feststellungen des Gerichts nur im Hintergrund erkennbar. Das Gericht hielt die Darstellung noch für gerechtfertigt, weil im Rahmen der Gesamtabwägung dieses Ereignis der Zeitschichte bebildert werden soll und das Bildnis den Vorgang an sich erfasst ohne den Beamten gezielt in den Vordergrund zu rücken. Seine rechtlichen Erwägungen beruhten dabei auf den Ausnahmen des § 23 KUG.
2.3 LAG Baden-Württemberg: Auskunftserteilung nach Art. 15 DS-GVO durch DSB
In einem Kündigungsschutzverfahren wurden vor dem Landesarbeitsgericht Baden-Württemberg auch Aspekte zur Auskunft behandelt. Danach kann die Beantwortung eines Auskunftsbegehren auch durch die Datenschutzbeauftragte als Erfüllungsgehilfin des Verantwortlichen erbracht werden (RN 99), auch wenn die Verpflichtung den Verantwortlichen trifft. Eine Auskunftserteilung über E-Mail war im vorliegenden Fall ausreichend (RN 100ff). Auch ein Begehren auf Aushändigung von Kopien muss hinreichend bestimmt sein (RN 105ff).
2.4 OVG Bautzen: Zeugeneinvernahme nicht über WhatsApp
In einem Veraltungsverfahren hat es das OVG Bautzen abgelehnt einen benannten Zeugen über ein WhatsApp-Telefonat zu vernehmen „bei dem der Zeuge auf dem Bildschirm zu sehen ist“. Dieser Beweisantrag wurde abgelehnt, weil es sich um ein untaugliches Beweismittel handele, da die Identität des benannten Zeugen mittels Whats-App-Telefonat nicht nachgewiesen werden könne.
Mir wären noch weitere Gründe eingefallen, die dagegensprächen.
Franks Anmerkung: Mir auch!
2.5 LG Darmstadt: Schmerzensgeld gegen Wirtschaftsauskunftei
Laut dieser Kanzlei hat sie am LG Darmstadt für ihren Mandanten ein Schmerzensgeld in Höhe von 7.000 Euro erstritten. Ursächlich seien falsche Auskünfte über das Unternehmen gewesen, die bei deren Mandanten zu einer schlechteren Bonitätsauskunft führten. Auf das Urteil selbst wird dabei nicht verlinkt, einige Details würden mich dazu noch interessieren. Ich bleibe dran.
2.6 LAG Niedersachsen: Videoüberwachung bei Arbeitszeitverstoß
Das LAG Niedersachsen hatte sich mit Fragen der Nutzung der Aufnahmen einer Videokamera zu befassen, die zum Nachweis eines Arbeitszeitbetrugs vorgelegt wurden. Deren Verwendung sei unzulässig, weil der Arbeitgeber sich dabei nicht an seine eigenen Aussagen gegenüber den Beschäftigten (wie Aufbewahrungsfrist, Zweckangabe) hielt (ab RN 58).
(Dabei habe ich ein neues Wort kennengelernt: „Privatheitserwartung“.)
2.7 Niederlande: Keine dauerhaft aktivierte Videokamera im HomeOffice
Als er sich weigerte während der HomeOffice-Arbeitszeit seine Videokamera dauerhaft zu aktivieren, kündigte der Arbeitgeber in Florida das Arbeitsbehältnis mit dem Mitarbeiter in den Niederlanden. Das fand dieser nicht gut, klagte und bekam nach dieser Meldung nun Recht. Die dauerhafte Videoüberwachung verletze in diesem Fall seine Menschenrechte. Neben der Kostenübernahme für die prozessualen Auslagen des Klägers darf der Arbeitgeber auch eine Entschädigung in Höhe von 50.000 Euro zahlen.
2.8 OGH Österreich: Anforderung an Einbindung von Datenschutzregelungen
Der Oberste Gerichtshof in Österreich beurteilte die Einbindung der Datenschutzklauseln in einen Mietvertrag über ein vernetztes Fahrzeug. Die Regelung zur Aktivierung, bis sie der Kunde deaktiviert, sei unwirksam. Zudem sei die Regelung zur Einwilligung nicht transparent genug dargestellt gewesen.
2.9 EuGH: Generalanwalt zu Schadenersatz nach Art. 82 DS-GVO – und überhaupt
Wir hatten nur ganz kurz zur Stellungnahme des Generalanwalts berichtet. Die Verursachung von Ärger oder Zorn bei der betroffenen Person aufgrund einer unrechtmäßigen Verarbeitung reichten danach nicht aus, um einen immateriellen Schadensersatz zu begründen. Natürlich ist dies noch nicht das endgültige Urteil und so gehen auch einige sehr kritisch mit der Stellungnahme um, wie z.B. der Verein für Konsumenteninformation in Österreich, der dazu auf eine ausführliche Stellungnahme verweist oder auch noyb. Mal sehen, was der EuGH daraus macht.
In der Stellungnahme gibt es aber noch weitere interessante Ausführungen, die gerade für die bisherige deutsche Interpretation des Datenschutzrechts interessant sind. Ab RN 68 und insb. ab RN 78 befasst sich der Generalanwalt auch mit der Zielrichtung der DS-GVO und erinnert, dass die Kontrolle des Bürgers über seine Daten kein isoliertes Ziel sei, sondern mit der DS-GVO nach den Veröffentlichungen der EU-Kommission auch das Potenzial der digitalen Wirtschaft ausgeschöpft werden sollte. Dazu folgende Zitate aus der Stellungnahme:
RN 81: Da der Wert der (personenbezogenen und nicht personenbezogenen) Daten für den wirtschaftlichen und sozialen Fortschritt in Europa auf der Hand liegt, zielt die DSGVO nicht darauf ab, dass die Kontrolle des Einzelnen über die ihn betreffenden Informationen zum Maß aller Dinge wird, indem sie sich schlicht seinen Präferenzen beugt, sondern sie soll das Recht auf Schutz der personenbezogenen Daten jedes Einzelnen mit den Interessen Dritter und der Gesellschaft in Einklang bringen.
RN 82: Es ist hervorzuheben, dass die DSGVO nicht bezweckt, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen legitimieren soll. Insoweit dient sie zunächst der Förderung des Vertrauens der betroffenen Person darauf, dass die Verarbeitung in einem sicheren Kontext erfolgen wird, wozu sie selbst beiträgt. Dadurch wird ihre freiwillige Bereitschaft gefördert den Zugang zu ihren Daten und deren Nutzung u. a. bei Online-Geschäftsvorgängen zu gestatten.
2.10 EuGH: Umfang der Auskunft
Nein, es gibt noch keine weitere Stellungnahme des Generalanwalts oder gar eine Entscheidung des EuGH dazu. Diese Woche fand nur die mündliche Verhandlung zu einem Fall statt, dessen Ausgang den künftigen Umfang von Auskunftsbegehren mitbestimmen wird. Im Fall C-579/21 geht es um das Auskunftsbegehren eines Bankmitarbeiters, der bei seinem Arbeitgeber auch sein Konto unterhielt. Im Rahmen seines Auskunftsbegehrens geht es nun um die Fragen, ob vom Anspruch auf Auskunft über die eigenen Daten auch die Informationen umfasst sind, wer wann und zu welchem Zweck auf diese Daten zugegriffen hat und auch ob diese Personen in diesem Zusammenhang dann als „Empfänger“ im Sinne des Art. 15 Abs. 1 lit. c DS-GVO zu betrachten sind. Zu Ende gedacht, würde dies jeden Auskunftsanspruch ins Absurde führen.
2.11 EuGH: Zulässigkeit einer weiteren Datenbank zu Sicherheitszwecken
Der EuGH hält eine Speicherung von Daten in einer weiteren Datenback zu Sicherheitszwecken unter den Voraussetzungen einer Zweckänderung über Art. 6 Abs. 4 DS-GVO grundsätzlich für darstellbar. Die Speicherdauer darf die Speicherdauer für den ursprünglichen Zweck nicht übersteigen.
2.12 Schweden: Auskunft über Sprachaufzeichnungen
Das Urteil des Berufungsgerichts hat zwei Aussagen: Der Rechtsweg ist für betroffenen Personen auch ohne vorherige Einschaltung der Aufsichtsbehörde zulässig und ein Auskunftsbegehren umfasst auch Sprachaufzeichnungen.
2.13 ArbG Köln: Impfpasskontrolle durch Arbeitgeber
Die Kontrolle der Impfeintragungen im Impfpass einer Arbeitnehmerin bezüglich Covid-19 durch einen Arbeitgeber kann nach dem Urteil des ArbG Köln zulässig sein. Im vorliegenden Fall erfolgte dies im Abgleich mit öffentlich zugänglichen Informationen über Verfügbarkeiten von Impf-Chargen, um einen etwaigen Verstoß gegen die gesetzlichen Regeln über den Zutritt zum Betrieb aufzudecken. Die Vorlage eines unrichtigen Impfnachweises („gefälschter Impfausweis“) rechtfertigte hier auch die fristlose Kündigung des Arbeitsverhältnisses.
2.14 VG Bremen: Unzulässige Veröffentlichung von Inhalten einer Videokonferenz
Das VG Bremen (Urteil vom 10.10.2022 – 4 K 1338/21) bestätigte eine Entscheidung der Datenschutzaufsichtsbehörde, dass Ausschnitte und Screenshots einer Videokonferenz eines Beirats von einer öffentlich zugänglichen Webseite zu entfernen sind. Der Betreiber der Webseite hätte keine datenschutzrechtliche Befugnis dazu darlegen können. Mehr als diese Info habe ich aktuell auch nicht, das Ergebnis überrascht nicht wirklich.
2.15 LG Baden-Baden: Einstweilige Verfügung gegen Forderung aufgrund von Google Fonts
Es passt nicht alles in die Überschrift, daher hier etwas ausführlicher: Bundesweit gibt es Forderungen und Abmahnungen gegen Webseitenbetreiber mit der Darlegung, dass immer derselbe Mandant durch die Einbindung von Google Fonts auf den Webseiten „geschädigt“ sei und nun „Schmerzensgeld“ fordere. Das LG Baden-Baden untersagte dies aber für die Kläger und dessen Partnerbetriebe. Mehr ist mir dazu auch nicht bekannt, aber immerhin.
Franks erster Nachtrag: U.a. hier gibt es ein Hilfen für von der Abmahnung Betroffene.
Franks zweiter Nachtrag: Die Abmahner hatten zwischendurch Whitewashing probiert, hat aber nicht geklappt.
2.16 KDG: Umgang mit Datenschutzbeschwerden
Dass über Art. 91 DS-GVO kirchliche Vereinigungen unter bestimmten Voraussetzungen ein eigenes Datenschutzrecht unterhalten dürfen, ist hier schon öfter angesprochen worden. Anscheinend wird mit Beschwerden durch die jeweiligen Aufsichten und den zuständigen kircheninternen Gerichten auch ordentlich umgegangen. Dennoch lassen manche Vorgänge Zweifel an kirchlichen Unfehlbarkeitstheorien entstehen. Und datenschutzrechtlich stellt sich dazu die Frage, inwieweit hier das kirchliche Datenschutzrecht tatsächlich die DS-GVO auch hinsichtlich eines immateriellen Schadenersatzanspruchs ausreichend umgesetzt habe.
2.17 Texas: Klage gegen Googles Gesichtserkennungsfunktion
Es sind nicht immer nur die europäischen Regulatorien, die „innovative“ Nutzungen kritisch sehen. In Texas wird Google (Alphabet-Konzern) verklagt, weil sie biometrische Profile von Personen ohne deren Zustimmung erstellten und damit gegen texanische Gesetze verstießen. Dabei ginge es um Gesichts- und Stimmerkennung. Die Klage nehme dabei Googles Foto-Dienst, den Sprachassistenten „Google Assistant“ sowie Technik der zum Konzern gehörenden Smarthome-Marke Nest ins Visier. Unter anderem werde darauf verwiesen, dass der Assistant etwa Stimmen aller in einem Raum anwesenden Personen aufnehmen könne, auch wenn diese der Verarbeitung ihrer Daten nicht zugestimmt hätten.
Franks Nachtrag: Woher hätte das auch jemand ahnen können, dass die soetwas tun? Don’t be evil? Ja nee, is klar…
3 Gesetzgebung
3.1 EU: Digital Markets Act veröffentlicht
Und damit ist auch klar, ab wann er gilt und ab wann er zur Anwendung kommt: Er tritt nach dem 20. Tag nach Veröffentlichung (12.10.2022) in Kraft und gilt ab dem 02.05.2023.
Bin ich der Einzige, der bei „Torwächter“ an Ghostbusters denken muss*?
* Franks Anmerkung: Nein 🙂
3.2 Digital Service Act
Wie kann die Plattformregulierung darunter aussehen? Damit befassen sich diese Empfehlungen der Stiftung Neue Verantwortung.
3.3 EU: Data Act
Zum Data Act gibt es nun einen Bericht eines Berichterstatters. Der Berichterstatter aus dem Ausschuss IMCO (Internal Market und Consumer Protection) hat seinen Vorschlag veröffentlicht.
3.4 Veröffentlichung der Handelsregistereinträge
Das scheint dann einflussreichen Kreisen doch zu viel Datennutzung gewesen zu sein, und so will sich Berichten zufolge das BMJ nun wieder auch um den Datenschutz kümmern – bezüglich dieser Klientel.
3.5 Rahmenbedingungen für ein Dateninstitut
Mit einem Positionspapier zur Errichtung eines Dateninstituts in Deutschland bringt sich die „Kommission Zukunft Statistik“ des Statistischen Bundesamtes in die Diskussion mit ein.
3.6 Drittstaatentransfer in die USA: Nächstes Kapitel
Ende März verkündeten der US-Präsident und die EU-Kommission, sie hätten sich in einem Trans-Atlantik Data Privacy Framework (TADPF) geeinigt, wie die Anforderungen des EuGH aus dem Schrems-II-Urteil umzusetzen seien. Durch eine Executive Order des US-Präsidenten würden die rechtlichen Rahmenbedingungen dazu in den USA geschaffen, auf deren Basis dann der Prüfungsprozess der EU-Kommission für einen (sektoralen) Angemessenheitsbeschluss beginnen könne. Sektoral heißt, dass es nur für die Unternehmen/Einrichtungen anzuwenden sein wird, die die Voraussetzungen der Vorgaben akzeptieren und umsetzen.
Nun hat das Weiße Haus die Executive Order für ein EU-US Data Privacy Framework veröffentlicht. Wie das Teil künftig abgekürzt werden wird, wird sich hoffentlich noch klären (EU-US DPF?). Auch die EU-Kommission informierte dazu. Der EDSA wird den Entwurf der EU-Kommission prüfen, wenn er ihn vorgelegt bekommt.
Erste Reaktionen darauf ließen nicht lange auf sich warten. noyb sieht es kritisch, weil bestimmte Begrifflichkeiten (z.B. „verhältnismäßig“ und „gerichtlicher Rechtsbehelf“) nach deren Ansicht nicht eindeutig genug verwendet werden. Andere sehen es positiver.
Abgeschlossen wird der Prozess erst durch eine entsprechende Entscheidung der Kommission nach Einbindung der vorgesehenen Stakeholder. Zu klären wird bis dahin die Frage sein, ob allein durch den Erlass der Executive Order bei Verwendung der Standarddatenschutzklauseln („SCC“) der EU-Kommission damit weitere zusätzliche Maßnahmen entfallen würden, die bislang durch Datenexporteure zu ergreifen und zu dokumentieren sind.
Franks erster Nachtrag: Wenn Sie nun ein Déjà-vu haben, dann sind Sie ein*e fleißige*r Leser*in, auch der Zwischenspiele. Gut so!
Franks zweiter Nachtrag: Da hier wieder zwei Blogbeiträge zu einem gebündelt wurden, möchten Sie auch 3.9 lesen.
3.7 Anhörung zum Hinweisgeberschutzgesetz
Im Bundestag fand die Anhörung statt. Die Aufzeichnung ist online verfügbar.
3.8 OECD: Internationaler Datentransfer
Alle reden von globalen Problemen, aber allein beim Datentransfer gucken wir wie verhext auf nationale Grenzen und Anforderungen. Damit befasst sich auch die OECD. Sie hat eine 22-seitige Darstellung veröffentlicht, wie* internationale Datenflüsse vertrauensvoll gestaltet werden können. Mal sehen, ob wir ein internationales Commitment dazu noch erleben.
* Franks Anmerkung: Der Link scheint zeitlich limitiert zu sein. Wenn Sie auf der gleichen Seite wie beim ersten Link landen, wir wollten Ihnen mit diesem Link nur den Klick aufs PDF abnehmen… Das hat dann wohl nicht funktioniert.
3.9 EU-USA Datentransfer
Die Auswirkungen der Executive Order sind nach wie vor umstritten. Einerseits gibt es Kritik, andererseits wird sie auch in Fachkreisen wohlwollend aufgenommen und diskutiert. Warten wir mal ab, wie die EU-Kommission ihn in einem Entwurf eines Angemessenheitsbeschlusses bewertet.
3.10 EU KI-Haftungsrichtlinie
Hier findet sich eine kurze Darstellung der vorgeschlagenen Regelungen.
3.11 Österreich: DSFA zu digitalem Führerschein
Im Oktober 2022 wurde in Österreich der digitale Führerschein als erster elektronischer Ausweis vorgestellt, der nun im Rahmen der eAusweise-App verfügbar ist. Das System baut auf der ID Austria auf und ermöglicht es Führerscheininhaber*innen, bei Verkehrskontrollen im Inland den Führerschein via App vorzuweisen, wenn sie das gegenüber dem Vorweisen des physischen Führerscheins bevorzugen. Das Verwenden physischer Ausweise bleibt weiterhin unverändert möglich. Darüber hinaus kann die eAusweise-App auch genutzt werden, um den Führerschein gegenüber Privaten vorzuweisen. Diese können die Gültigkeit des Führerscheins ihrerseits mit der eAusweise-App überprüfen, oder dazu die separat erhältliche App eAusweis Check verwenden, deren Nutzung ohne ID Austria und somit anonym möglich sei. Ein wesentliches Gestaltungselement des Systems im Sinne des Prinzips „Privacy by Design“ ist, dass der Vorgang des Vorweisens des digitalen Führerscheins gegenüber Privaten zur Gänze offline auf den Endgeräten der beiden beteiligten Personen ohne Einbeziehung eines Servers erfolge. Dadurch sei eine zentrale Protokollierung dieser Vorgänge bereits auf technischer Ebene ausgeschlossen und somit könne an keiner Stelle nachvollzogen werden, wer mit wem interagiert hat. Dazu gab es auch eine Datenschutz-Folgenabschätzung, die auch veröffentlicht wurde.
4 Künstliche Intelligenz und Ethik
4.1 KI-Philosophie: Empathie und Sucht
Hier verlinke ich auf einen Teil einer Serie, die sich mit philosophischen Aspekten der KI und unserem Verhältnis zu ihr befasst. Es geht um Empathie zu Maschinen (Das kenne ich noch von meinem ersten Auto!). Der Beitrag befasst sich aber zudem mit den Algorithmen, wie bei Instagram oder TikTok, die darauf abzielen Nutzende möglichst lange am Bildschirm zu halten. TikTok treibe seine User:innen beispielsweise gezielt in eine Sucht* anstatt ihnen die für sie tatsächlich relevanten Inhalte anzubieten.
* Franks Anmerkung: Da dieser Link zumindest hinter einer Anmeldeschranke lauert, hier ein alternativer Link einer Selbsthilfeseite, der wahrscheinlich Ähnliches beleuchtet.
Franks Nachtrag: Und apropos TikTok… und außerdem wollen Sie vielleicht auch 5.11 lesen.
4.2 Nachhaltigkeit der Digitalisierung: Green IT?
Digitalisierung schreitet voran, strafft Prozesse, nutzt Synergien, verbraucht aber auch Energie. Wie die dadurch entstehenden Probleme gelöst werden, beschreibt dieser Beitrag über die Studie „Digital Reset“.
4.3 Kanada: Gesichtserkennung und die wachsende Macht der KI
So wird ein Bericht des Standing Committee on Access to Information, Privacy and Ethics aus Kanada betitelt, der sich mit den Chancen und Risiken von Gesichtserkennung und KI befasst, Empfehlungen für die Regulierung formuliert und ein Moratorium dazu anregt.
4.4 Amnesty warnt vor Gesichtsscannung
„Unscan my Face“ heißt die aktuelle Kampagne, mit der sich Amnesty International für ein Verbot der Herstellung, des Einsatzes und des Exports von Gesichtserkennungstechnologie in Deutschland, der EU und weltweit einsetzt. Die Argumente sind dabei nicht neu, es wird nur angesichts der Entwicklungen wie in China oder im Iran nun mehr Menschen bewusst, wie diese Technik eingesetzt werden kann.
4.5 CDR-Slam zu digitaler Verantwortung
Beim Corporate Digital Responsibility (kurz: CDR)-Slam versuchten die führenden Köpfe der CDR-Community das Publikum zugespitzt und kurzweilig davon zu überzeugen, was der wichtigste Aspekt einer verantwortlichen, nachhaltigen Digitalisierung ist. Denn CDR hat viele Dimensionen – von Verbraucher*innenschutz, über Mitarbeitendenbelange bis hin zur Cybersecurity oder zu nachhaltigen Geschäftsmodellen. Die Aufzeichnung der Veranstaltung ist nun online.
4.6 Wirtschaft: Furcht vor zu starker KI-Regulierung
Richtig überraschend ist es nicht: Führende Wirtschaftsverbände fordern nach dieser Meldung Künstliche Intelligenz nicht zu eng zu definieren. Sonst würden Innovationen erschwert und der globale Wettbewerb geschwächt. Es müsse neben den Risiken auch die immensen Chancen der KI-Technologie gesehen werden.
4.7 Deloitte: Corporate Digital Responsibility
Hier finden sich die Ergebnisse einer Umfrage zu unternehmerischer Verantwortung im digitalen Zeitalter. Grundlage der Studie ist eine im November 2021 durchgeführte Online-Befragung, an der 200 deutsche Digitalexperten in Führungspositionen teilgenommen haben. In ihrem Tätigkeitsfeld tragen sie Verantwortung für die Verwendung oder die Entwicklung von digitalen Produkten/Dienstleistungen. Die von ihnen repräsentierten Unternehmen stammen aus den unterschiedlichsten Branchen und haben einen unterschiedlichen regionalen Fokus.
4.8 bidt: Glossar Künstliche Intelligenz
Das bidt (Bayerisches Forschungsinstitut für Digitale Transformation) hat ein Glossar zur Digitalen Transformation veröffentlicht, welches Hilfestellung bei der Zuordnung verschiedener Begriffe bieten soll. Daneben findet sich auch ein Glossar zur Künstlichen Intelligenz mit Begrifflichkeiten, Historie, Kritik und Problemen, Forschung und weiteren Links.
Franks Nachtrag: Oha, die haben aber viele Glossars zusammengestellt. Fleißig…
4.9 Künstliche Intelligenz: Haben Maschinen Gefühle?
In dieser Arte-Dokumentation (ca. 52 Minuten) werden aktuelle Entwicklungen angesprochen, die in den USA und Japan bereits Realität sind: Virtuelle Partner, die mittels KI passende Antworten auf alle Lebenssituationen finden wie www.replika.ai, fordern auch ethische Antworten.
Franks Nachtrag: Denke nur ich bei solchen Produkten an diese „Black-Mirror“-Folge?
4.10 KI, Stimmenanpassung und Ethik
Telefonieren Sie gelegentlich auch mit bundesweiten Ansprechpartner:innen und hören dabei unterschiedliche Dialekte? Manche empfindet man als originell, charmant oder weder noch. In den USA gibt es dazu eine KI gestützte Software, die unterschiedliche Akzente nivilliert, um die Herkunft zu verbergen. Welche ethischen Aspekte dabei zu Diskussionen führen, erfahren Sie in diesem Podcast.
Franks Nachtrag: Da muss ich doch spontan an diese Meldung denken. Ich halte es da mit dem letzten Satz des Podcasts…
4.11 Stimmanalyse in CallCenter
In welcher Stimmung ist ein Anrufer? Liefen etwas auch Anzeichen einer Depression vor? Das sei nach dieser Meldung alles durch Stimmanalyse denkbar und werde auch eingesetzt. Im Idealfall natürlich nur mit Einwilligung der Personen.
4.12 CNIL und KI
Über die Veröffentlichung der CNIL wurde hier schon berichtet, nun finden Sie bei dieser Kanzlei auch eine Darstellung auf Deutsch.
5 Veröffentlichungen
5.1 Schadenersatzansprüche nach Cyberattacke
Ausgehend von einer Studie des bitkom über den Anstieg von Cybervorfällen setzt sich dieser Artikel mit den Folgen auseinander: Meldepflichten, aber auch der Umgang mit Risiken Schadenersatzansprüchen ausgesetzt zu sein.
5.2 MS 365 und Anwälte
Keine Woche ohne irgendeine Kaffeesatzleserei zur Zulässigkeit des Einsatzes von M365. Diesmal ein Beitrag mit etwas mehr Substanz bezüglich der einzelnen Anforderungen, den Sie hier finden.
5.3 Datenschutz vs. Datenmarkt
Aus der Veranstaltung Bits & Bäume 2022 gab es auch einen Beitrag zur Möglichkeit der Verwertung von Daten abseits der bisherigen Verwertungslogik. Hier auch als Aufzeichnung (ca. 44 Min.). Die Einwilligung sei dabei ein faktisch untaugliches Instrument und würde für die Betroffenen in der Gesamtschau eher zum Nachteil gereichen. Wäre eine stärkere Marktregulierung eine Alternative, um Geschäftsmodelle von der Einwilligung zu entkoppeln? Regt zum Nachdenken an, allein deswegen schon empfehlenswert!
5.4 Was sind Einwilligungen wert?
Sie klicken auch gerne bei Consent-Banner auf „Alles akzeptieren“? Und erlauben damit den Betreibern ihr Angebot zu finanzieren? Aber was ist denn Ihre Einwilligung wert? Damit befasst sich diese Studie. Basis der Studie ist die Untersuchung von 2.800 europäischen Webseiten. Neugierig? Dann lesen!
5.5 Podcast: Standards für Anonymisierung?
Mit anonymisierten Daten bin ich raus aus der Regulatorik der DS-GVO, weil der Personenbezug fehlt. Soweit, so gut. Doch wann sind Daten ausreichend anonymisiert? „Kommt darauf an“, sagt dann die juristische Fachkraft. Um hier mehr Rechtssicherheit zu schaffen, wären Standards bei der Anonymisierung hilfreich. Auch darum geht es in diesem Podcast (ca. 60 Min.) mit einem Medienrechtler, dem Präsidenten der Stiftung Datenschutz und einem weiteren Experten (siehe dazu auch 5.13).
5.6 Podcast: Rechtskonforme Gestaltung neuer Technologien
Dieser Podcast behandelt die Fragestellungen, die sich damit verbinden, dass Informationstechnik soziale und wirtschaftliche Innovationen ermöglicht, die weitreichende individuelle und gesellschaftliche Chancen bieten und erhebliche Veränderungen mit sich bringen. Das wiederum bedeutet natürlich auch: Herausforderungen. Und das führt dann u.a. zu der Frage: Wie muss IT eigentlich gestaltet sein, um gesellschaftlich wünschenswerte Innovationen zu schaffen? Mit welchen Methoden lassen sich diese Gestaltungsziele erreichen? Besprochen werden z.B. die Zertifizierung von Bildungstools (directions-cert), Schutzmaßnahmen bei Drittstaatentransfer oder Einsatz von KI beim Katastrophenschutz. Dauer ca. 56 Min.
5.7 Podcast: Zur Digitalisierung, Vermessung und Vernetzung
Nicht Corona, nicht der Ukraine-Krieg. Kein Zweifel, die größte Story unserer Zeit spielt sich seit Jahren unmittelbar vor unseren Augen ab. So groß und so alldurchdringend, dass wir das ganze Ausmaß dieser historischen Zäsur kaum noch wahrnehmen: Die Digitalisierung, Vermessung und Vernetzung unserer Welt ist das zentrale Thema dieses Podcasts aus der Reihe „Die Zeitraffer“. Ein Technologie-Sprung, größer als die Erfindung des Buchdrucks, der Dampfmaschine und des elektrischen Stroms zusammen – und wir alle mittendrin! Dauer ca. 38 Min. Empfehlenswert!
5.8 Bitkom-Umfrage zur DS-GVO
In diesen Zeiten, in denen sich so viele gesellschaftliche Rahmenbedingungen dramatisch ändern, ist es fast schon beruhigend, dass Manches unverändert bleibt. Wie die Einschätzung „der Wirtschaft“ zum Datenschutz, insbesondere zur DS-GVO. Das vermittelt zumindest das Ergebnis einer Umfrage des bitkom. Dabei lohnt es sich, das Ergebnis genauer anzusehen. So wird bemängelt, dass die Rechtssicherheit in vielen Fragen durch uneinheitliche Interpretation der Aufsichten erschwert wird. Einerseits wird auch bemängelt, dass die Auskünfte durch die Aufsichtsbehörden konkreter sein könnten. Andererseits sind mir aber auch Unternehmensvertreter bekannt, die sich weigern mehr Ressourcen für die Aufsichtsbehörden bei den politisch Verantwortlichen einzufordern. Insgesamt gehe es den Unternehmen nicht um weniger Datenschutz, sondern um besseren Datenschutz.
5.9 Entwicklung von Cybersecurity-Labels für iOT-Devices in den USA
Darüber berichtet dieser Beitrag. Das wird sich auch auf unseren Markt auswirken.
5.10 Psychotricks der Cyberkriminellen
Der Titel dieses Beitrags klingt reißerisch, beschreibt aber nichts anderes als die Situationen, die bei Social-Engineering Angriffen verwendet werden. Und nach diesem Bericht scheinen die sogenannten „Digital Natives“ (gerne durch die „Boomer-Generation“ so genannt) doch nicht ganz so medienkompetent, wie gerne unterstellt wird. Merksatz: „Wischen ist nicht Beherrschen!“
Franks Nachtrag: Dazu passt meiner Meinung nach auch gut das hier (siehe 8.1).
5.11 TikTok-Nutzung
Wer nutzt eigentlich TikTok? Ist es tatsächlich nur der pubertierende Bevölkerungsanteil oder versuchen auch ältere Semester durch Hüpfen, Tanzen und gesangsähnliche Geräusche Aufmerksamkeit zu erzielen? Nach den veröffentlichten Ergebnissen einer Umfrage haben 31% der TikTok-Nutzer einen Migrationshintergrund und nutzen 83% der TikTok-Nutzer noch zusätzlich Instagram (im Gegensatz zu 46% der Gesamtbevölkerung). Weitere Erkenntnisse dazu hier.
5.12 Risikobasierter Ansatz im Drittstaatentransfer
Gibt es ihn, gibt es ihn nicht? Generell wurde mit der DS-GVO ein risikobasierter Ansatz eingeführt, der sich an den Risiken der Rechte und Freiheiten der natürlichen Personen orientiert, deren Daten durch eine Verarbeitung betroffen sind. Das findet sich zitierfähig in einigen Artikeln wie Artt. 24, 32, 35 DS-GVO. Nur im Kapitel 5 der DS-GVO, in dem es um den Datentransfer in Drittländer geht, findet sich diese Formulierung nicht explizit. Und schon erfüllen (vor allem) Juristen etliche Vorurteile: „Das kommt darauf an“, „zwei Juristen, fünf Meinungen“. Auch der EDSA hat sich hierzu geäußert und lehnt eine Anwendung eines risikobasierten Ansatzes dazu ab. Mit dieser Thematik befasst sich auch dieser Beitrag, der mit der Einschätzung des EDSA kritisch umgeht.
5.13 BMWK: Anonymisierung im Datenschutz als Chance
Hier findet sich beim Bundesministerium für Wirtschaft und Klima eine Darstellung, inwieweit Anonymisierung im Datenschutz als Chance für Wirtschaft und Innovationen eingesetzt werden können. Das Diskussionspapier stammt zwar aus dem April 2020, aber damals ging die öffentliche Wahrnehmung wohl im Lockdown unter. Die Diskussion gibt es ja immer noch.
5.14 Studie „Digitalisierung und Compliance“
Manchmal gehört es zu den Privilegien eines im Datenschutz beratenden Menschen, wenn aus Vorurteilen Erfahrungswerte werden. Zumindest hatte ich dieses Gefühl beim Überfliegen einer Compliance-Studie 2022 zum Thema „Digitalisierung und Compliance“. Auch wenn es sich speziell um Betrachtungen bei Aufsichtsräten handelt, decken sich die Aussagen mit meinen Wahrnehmungen – oder wie es das Vorwort zusammenfasst: Es besteht noch Handlungsbedarf.
5.15 Gartner: Magic Quadrant für Security Information & Event Management
Gartner veröffentlicht seine aktualisierte Übersicht für ein SIEM (Security Information & Event Management) und empfiehlt dies als wichtiges Managementtool, durch das die Ereignisdaten aggregiert werden, die durch Überwachungs-, Bewertungs-, Erkennungs- und Reaktionslösungen entstehen, die in Anwendungs-, Netzwerk-, Endpunkt- und Cloud-Umgebungen eingesetzt werden. Zu den Funktionen gehören die Erkennung von Bedrohungen durch Korrelation und Analyse des Benutzer- und Entitätsverhaltens (UEBA) sowie Reaktionsintegrationen, die üblicherweise durch Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) verwaltet werden.
Franks Nachtrag: Oh weia! Unabhängig vom konkreten Inhalt, aber wenn das mal nicht die perfekte Vorlage für Bullshit-Bingo ist – kombiniert mit einem AKüFi.
5.16 Metaverse und Arbeitsrecht
Sollte jemand sich mit dem Gedanken befassen, dass ihm/ihr reale Arbeitsumgebungen nicht mehr ausreichen und er/sie sich im Metaverse mit Arbeit befassen sollte, sind Gedanken zu den dortigen Arbeitsbedingungen interessant. Ein Beispiel dazu findet sich hier.
5.17 Metaverse und Datenschutz
In seinem Metaverse bietet der Konzern nach dieser Meldung nun auch eine spezielle VR-Brille an, die den Avataren der Nutzer in Meetings eine natürliche Mimik verleihen soll. Dazu werden Augenbewegungen und Mimik getrackt. Natürlich auch nur um die Erfahrungen zu personalisieren und die Werbeaktivitäten zu verbessern.
5.18 Veranstaltungen
5.18.1 European Media Literacy Week
24.-28.10.2022: Unter diesem etwas kryptischen Motto gibt es verschiedenen Angebote und Veranstaltungen, die im Rahmen einer UNESCO-Initiative umgesetzt werden, an der sich auch „Deutschland sicher im Netz“ engagiert.
Franks Nachtrag: Alle anderen Veranstaltungen sind leider der etwas verspäteten Veröffentlichung dieses Blogs zum Opfer gefallen… Aber Sie waren sicher auch so gut beschäftigt, oder?
6 Gesellschaftspolitische Diskussionen
6.1 Meta und MS 365
Microsoft und Meta verkünden, dass sie künftig eng zusammenarbeiten möchten. Dann wäre MS 365 auch dort nutzbar. Wird spannend werden, wenn dazu noch ein beruflicher Kontext kommt.
Franks Nachtrag: Verstehe ich das richtig, dass die Videokonferenzen in virtuellen Meetings abhalten wollen? Also Avatare, die qn virtuelle Videokonferenzen teilnehmen? Das ist m.M.n. im wahrsten Sinne des Wortes Meta… Da hoffe ich ja nur, dass es im virtuellen Windows 365 auch ein virtuelles Solitär gibt, damit es realistisch ist. 🤦♂️
6.2 BSI und der Cybersicherheitsrat
Ausgelöst durch eine Fernsehsendung am 07.10.2022 kam ein früheres Engagement des derzeitigen* Präsidenten des BSI wieder in den Fokus. Dabei sollen Verbindungen zu Unternehmen, die unter russischem Einfluss stehen, aber auch ein Cybersicherheitsrat e.V., der mit dem Nationalen Cybersicherheitsrat der Bundesrepublik nicht identisch ist, eine Rolle spielen. Unabhängig davon, ob diese nun eine Zertifizierung für ihr Produkt durch das BSI erhalten haben oder nicht: Berichten zufolge soll es nun Veränderungen beim BSI geben*. Das BSI fühlt sich allein im Regen stehen gelassen.
* Franks Anmerkungen: Dieser Bericht ist durchs längere liegenlassen nicht aktueller geworden. Mittlerweile wissen wir ja, wie es mit dem BSI-Chef weiterging.
6.3 Digitalisierung in Dänemark
Hier lässt sich nachlesen, wie Digitalisierung auch bei Behörden geht. In Dänemark ist dafür die Basis eine entsprechende ID der Bürger. Es gibt aber auch Schattenseiten bei der Priorisierung der Digitalisierung, ältere Bürger fühlen sich ausgegrenzt. Eine schöne Erinnerung daran die Balance für alle zu erhalten.
6.4 Kriegspropaganda über soziale Medien
Medienkompetenz beinhaltet zunehmend auch die Bewertung von Informationen. Der datenschutzrechtliche Bezug lässt sich in vielen Fällen auch durch eine Profilbildung herstellen, über die ausgewählt wird, welche Person für welche Art der Fehlinformation anfällig ist. Das ist in Friedenszeiten nicht anders, als in Zeiten militärischer Auseinandersetzung. Dass dabei wieder (u.a.) Facebook und Instagram genannt werden, überrascht auch nicht wirklich, hat Facebook schon bei der Fehlinformation zum Brexit über Werbeanzeigen kräftig mitgewirkt und mitverdient.
6.5 ForDaySec – Forschungsverbund in Bayern
Eine neue (weitere) Initiative in Bayern, um Belange der IT-Sicherheit unters Volk zu bringen, hatte nun seine Auftaktveranstaltung. Mit dabei bei dem Forschungsverbund ForDaySec sind z.B. die Universität Erlangen-Nürnberg, die Universität Passau, die Technische Universität München, die Otto-Friedrich-Universität Bamberg und die Universität der Bundeswehr München, aber auch das BayLDA. Keiner würde ein Auto fahren, wenn er dabei jedes Mal um sein Leben fürchten müsse, weil es keine Bremsen hat. Und so wird die digitale Transformation im Alltag auch nur gelingen, wenn die Risiken durch Sicherheitsvorfälle beherrschbar bleiben.
6.6 Werbefreie Suchmaschine
Bei der gängigsten Suchmaschine weiß jeder, dort „wird für die Leistung mit Daten gezahlt“. Doch was wäre es denn uns wert eine gute Suchmaschine ohne Werbung nutzen zu können? Eine Suchmaschine, für deren Nutzung gezahlt wird, will nun nach diesem Artikel nach den USA auch in Europa auf den Markt kommen. Ich bin gespannt, ob sich das Geschäftsmodell bewährt.
6.7 Austausch der Konnektoren in Arztpraxen
Müssen nun wirklich alle Konnektoren in den Praxen (für viel Geld) ausgetauscht werden oder geht das auch billiger? Der Chaos Computer Club zeigte auf, wie durch eine Softwareänderung ein aufwändiger Austausch vermieden werden könnte.
Franks Nachtrag: Mittlerweile hält auch das BSI einen kompletten Austausch nicht für notwendig.
6.8 Digitales Nummernschild
Statt eines Blechschildes wird in Kalifornien nun auch ein digitales Nummernschild angeboten. Dies kann dann auch anzeigen, wenn das Fahrzeug gestohlen wurde. Im Gegensatz zum Blechschild ist es aber mit einer Einmalzahlung nicht getan, es gibt dazu unterschiedliche Lizenzmodelle.
6.9 Strecken-Tracking der Uber-Nutzer
Über die neu eingeführte Mobilitätsmedienabteilung von Uber sollen Anzeigen verfügbar sein, um Vermarktern zu helfen, Fahrgäste basierend auf ihrer jüngsten Reisegeschichte und ihrem geografischen Ziel anzusprechen. „Journey Ads“ ermögliche es auch einzelnen Marken, die gesamte Reise eines Fahrers zu sponsern, indem verschiedene Anzeigen geschaltet werden, während der Benutzer auf das Auto wartet, reist und wenn er sein Ziel erreicht. Eine Uber-Sprecherin wird dahingehend zitiert, dass aggregierte Daten, nicht die individuellen Daten der Nutzer, mit Werbetreibenden geteilt werden und Nutzer das Anzeigen-Targeting jederzeit ablehnen könnten.
6.10 Frankreich: Cloud-Koalitionen
„Wer mit wem“ ist jetzt Thema, das sich nicht nur in der Regenbogenpresse zu Celebreties behandelt wird, sondern auch bei Cloud-Partnerschaften* in Frankreich. So arbeiten künftig Atos mit Amazon und Google mit Microsoft zusammen, um eigene Angebote in Frankreich möglichst vertrauenswürdig anbieten zu können.
* Franks Anmerkung: Je ne parle pas français…
6.11 Keine Wolke ohne Kabel
Zuerst habe ich mich bei dieser Meldung geärgert: Shetlandinseln ohne Internet, wohl aufgrund deiner Sabotage. Einer der weiteren Gedanken war dann schon wieder juristisch geprägt: Wie würde sich das auf „New Work“-Modelle auswirken, bei denen Beschäftigte remote arbeiten, wenn aufgrund solcher Aktionen die Arbeit „in den Clouds“ nicht möglich wäre?
7 Sonstiges/Blick über den Tellerrand
7.1 Weitklick: Digitale Medien und Meinungsbildung
Wer eine Sammlung kostenloser Materialien für den Unterricht sucht, kann hier fündig werden. Das Angebot kann nach Schulform und Fächergruppen gefiltert werden. Bei den finanziellen Unterstützern kann die jeweilige Toleranzgrenze getestet werden.
7.2 Infektionsschutz in Unternehmen und Gemeinschaftseinrichtungen
Es scheint so wieder so lange her: Die Nachweispflicht von Teststati, Impfungen, 2G, 3G etc. und die damit verbundenen datenschutzrechtlichen Fragestellungen. Geht es nach diesem Vorschlag zur Änderung des § 34 Infektionsschutzgesetzes, entfiele künftig der Testnachweis bei einer Covid-19 Infektion für Gemeinschaftseinrichtungen nach § 33 (wie Kindertageseinrichtungen, Schulen etc.). Das dort eingesetzte Personal unterliegt dann auch bei einer Covid-19-Infektion nicht mehr den Vorgaben des § 34 und Kinder dürfen dann auch mit einer Infektion die Einrichtung betreten. Die datenschutzrechtlichen Aspekte der Testdurchführung und Ergebnisbekanntgabe haben sich dann auch erübrigt.
7.3 Lehrkraftbildung
Welche Anforderungen es bei der Ausbildung der Lehrkräfte für die digitale Transformation gibt, behandelt dieser Podcast (Dauer ca. 1:40h).
7.4 Datenschutz an Schulen – Wie wirken sich datenschutzrechtliche Anforderungen aus?
Wie wirken sich datenschutzrechtliche Anforderungen auf den Schulalltag aus? Welche Lösungen gab es für den Distanzunterricht? Wird es Zertifizierungen für Software geben, die datenschutzrechtliche Anforderungen abgedecken? Zu alldem wurde der TLfDI in diesem Podcast (Dauer ca. 1:05h) befragt.
7.5 Verpflichtender Informatik-Unterricht
In einem Gutachten zur Digitalisierung des Bildungssystems fordert laut diesem Bericht eine Kommission der Kultusministerkonferenz verpflichtenden Informatikunterricht. Ich fordere Datenschutzgrundkenntnisse für die Kultusministerkonferenz.
8. Franks Zugabe
8.1 Digitale Resilienz von Kindern
Ein lesenswerter Artikel zur Frage, was wir den Kindern beim Internetkonsum mitgeben sollten.
8.2 Ein gutes Interneterlebnis in acht einfachen Schritten
Dieser Beitrag ist zwar schon älter aber deswegen nicht falsch.
8.3 Wenn Sie auf Videoüberwachung stehen, habe ich tolle Reiseziele für Sie!
Es gibt da nämlich eine Reihenfolge der am meisten von Videoüberwachung betroffenen Städte. Es sollte nicht wirklich wundern, dass Städte Chinas außerhalb der Wertung laufen, da es dort eh noch viel besser ist. Aber lesen Sie doch selbst…
8.4 Wenn es Seminare über jemand gibt, hat diese Person es dann geschafft?
Nach diesem Maßstab hat es Max Schrems wohl geschafft (wobei es in den Seminaren um noyb geht, aber…).
8.5 Das Kennwortbuch – Eine Diskussion
Ach ja, hier könnten wir jetzt echt lang und breit diskutieren, ob das eher eine gute oder eine schlechte Idee ist, ein Kennwortbuch zu haben.
Oh, der Link ist nicht gut gealtert, der Originalposter hat den Beitrag eingeschränkt. Aber die Diskussion wird noch gezeigt. Und ja, es war ein Buch aus dem Umfeld der Bundeswehr. Aber ich halte mich mit meiner persönlichen Meinung hier gerade echt zurück. Lesen Sie nur die Diskussion. Da sind interessante Apsekte drin.
Und damit Sie sich trotzdem etwas amüsieren können, hier stattdessen der PasswordMinder.
8.6 Dinge, die mit Windows laufen
Hätte ich Panzer auf die Liste gesetzt?
8.7 Was ist eigentlich Digitalisierung?
Die Antwort könnte die Bevölkerung … verwirren?
Aber in Hessen liegt das wohl in guten Händen…
8.8 Digitalisierung und Ransomwareschutz
So geht das ntürlich auch… Aber ob es so auch gut ist?
9. Die gute(n) Nachricht(en) zum Schluss
9.1 Doch keine Kampfroboter?
Frühere Meldungen riefen Unbehagen hervor, als es darum ging Roboter als Kampfmaschinen in kriegerische Situationen gegen Menschen einzusetzen. Nun gibt es Meldungen, dass zumindest ein Hersteller darauf verzichten will.
9.2 Auszeichnung für Pingunauten
Manche Untersuchungen sind beklemmend. Auch für Erwachsene. Besonders in „der Röhre“, die auch unter dem eigentlichen Namen Magnetresonanztomographen (MRT) nichts von ihrem Schrecken verliert. Dies gilt erst Recht für Kinder, die damit untersucht werden. Um hier Abhilfe zu schaffen, hat ein gemeinsames Projekt vom Lehrstuhl für Medieninformatik | Entertainment Computing und dem Zentrum für Kinder- und Jugendmedizin am Uniklinikum Essen eine App „Pingunauten Trainer – Furchtlos im MRT“ entwickelt. Sie ist kostenlos und frei verfügbar und kann bei Google Play oder im Apple App Store heruntergeladen werden. Den Pingunauten Trainer gibt es auf Deutsch, Englisch und Spanisch, eine französische Version ist in Arbeit. Sie kann auch von Erwachsenen genutzt werden. Weil´s so gut ist, wurde diese Idee und Umsetzung vom Deutschen Institut für Virtuelle Realität (DIVR) in Dortmund mit dem XR Science Award 2022 in der Kategorie „Athletic Performance, Psychology and Health“ ausgezeichnet. Der Begriff XR fasst alle Technologien rund um Mixed Reality, Augmented Reality und Virtual Reality zusammen.