Der 21. Blog-Beitrag "Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 43/2021)" ist da.
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1.1 DSK: Impfdatenverarbeitung
Zu den datenschutzrechtlichen Aspekten rund um den Impfstatus hat sich die DSK in einer Entschließung bereits im März geäußert. Nun legen sie mit einem Beschluss nach: Ohne gesetzliche Befugnis zur Erhebung bliebe nur die Einwilligung – mit den bekannten Anforderungen insbesondere im Beschäftigungsumfeld.
1.2 Neue Standarddatenschutzklauseln?
Dieses Jahr wurden ja die Standarddatenschutzklauseln nach Art. 46 Abs. 1 lit. c DS-GVO für den Drittstaatentransfer (von manchen immer noch liebevoll als „SCC“ abgekürzt) veröffentlicht, treffen aber wohl noch nicht alle Konstellationen. So geht das Gerücht um, es wäre eine neue Gestaltung im Entstehen. Sind wir mal gespannt.
1.3 LfDI BW: Checkliste für Videokonferenzsysteme
An was muss aus Datenschutzsicht bei Videokonferenzsystemen alles gedacht werden? Hierbei hilft die Infobroschüre, die nicht nur abstrakt die Anforderungen abbildet, sondern auch Besonderheiten bei den gängigsten Angeboten berücksichtigt, die zudem auch in Tabellenform dargestellt werden. Begleitet wird die Veröffentlichung mit einem Podcast des LfDI BW zu diesem Thema. Und wie so oft bei Datenschutzthemen gibt es auch kritische Rückfragen und Hinweise: Von manchen geprüften Videokonferenzsystemen gäbe es aktuellere vertragliche Formulierungen und die Änderungen zum 01.12.2021 im TKG seien nicht abgebildet. Also aufgemerkt: Hinweise und Orientierungshilfen der Aufsichtsbehörden entbinden nicht von der eigenen Pflicht sich eine Meinung zu bilden.
1.4 LDI Niedersachsen: Handreichung für kommunale Abgeordnete
An welche datenschutzrechtlichen Aspekte ist bei der kommunalen Tätigkeit zu denken? Wie kann man damit umgehen und wie sichere ich den Einsatz technischer Geräte ab? Zu diesen Fragen äußert sich die LDI Niedersachsen in ihrer Handreichung, Stand Oktober 2021.
1.5 BNetzA: Hinweise zu § 7a UWG
Durch die Änderung in § 7a UWG sind nun spezielle Dokumentations- und Aufbewahrungsvorschriften bezüglich der Einwilligung zur Telefonwerbung durch Verbraucher zu beachten. Details dazu gibt es bei den Auslegungshinweisen der BNetzA.
1.6 Finnland: Gesprächsaufzeichnungen von Art. 15 Abs. 3 DS-GVO umfasst
Nicht nur bei uns gibt es Unsicherheiten bei der Auslegung des Anspruches auf Auskunft aus Art. 15 DS-GVO. Auch in Finnland gab es hierzu Streit zwischen einer betroffenen Person und einem Unternehmen, der schließlich bei der finnischen Aufsichtsbehörde landete. Diese entschied, dass vom Auskunftsanspruch auch Aufzeichnungen von Telefongesprächen gehören (ab Seite 6). Die Ausnahme, dass das Recht auf Erhalt einer Kopie durch die Beeinträchtigung der Rechte anderer Personen ausgeschlossen sei (Art. 15 Abs. 4 DS-GVO) ließ die Aufsicht nicht gelten, sofern das Telefonat im Rahmen der beruflichen Aufgabe erfolgte. Auch auf das Angebot des Unternehmens, sich die Aufnahme anzuhören, müsse die betroffene Person sich nicht einlassen – die DS-GVO sehe die Überlassung einer Kopie auch in elektronischer Form vor. Da das Unternehmen die Aufnahmen zwischenzeitlich löschte, erging die Anweisung nach Art. 58 Abs. 2 lit. d DS-GVO die internen Prozesse so anzupassen, dass die gesetzlichen Anforderungen zur Auskunftserteilung erfüllt werden können. Alles wieder mal auch hier schön dargestellt.
1.7 „TTDSG“ – Wie machen es andere ...
Dass TTDSG setzt nun (endlich) die ePrivacy-Richtlinie aus dem Jahr 2002 und den Änderungen aus 2009 um. In anderen Ländern ist dies schon lange passiert. Und wer nun glaubt, er könne sich ähnlich wie bei der DS-GVO auf ein Vollzugsdefizit verlassen, sei an das Bußgeld in Frankreich erinnert: Dort gab es im Juli ein Bußgeld iHv 50.000 Euro bei einem unzureichend geregelten Cookieseinsatz. Denn auch hier wirken Einrichtungen der Zivilgesellschaft zunehmend auf eine rechtskonforme Umsetzung hin und versuchen Alternativen anzubieten.
1.8 Anforderungen an Art. 91 DS-GVO
Religionsgemeinschaften können ihr eigenes Datenschutzrecht haben, wenn sie die Anforderungen des Art. 91 DS-GVO beachten. Wer als Auftragsverarbeiter schon mal mit Auftraggebern diesbezüglich zu tun hatte, weiß, dass es dann Abstimmungen bedarf, welche Regelungen anzuwenden sind und welche nicht. Es wird aber laut Berichten immer mehr in Zweifel gezogen, dass wirklich alle, die sich auf diese Sonderregelungen berufen, tatsächlich in den Anwendungsbereich des Art. 91 fallen – sei es, dass sie vor dem Inkrafttreten der DS-GVO noch keine eigenes Datenschutzrecht hatten oder weil sie es nicht vollumfänglich an die DS-GVO angepasst hätten. Auch wird in Zweifel gezogen, dass die Fristen des Art. 91 europarechtskonform seien. Ich bin gespannt, wie dies ausgeht und wie dann die kirchlichen Aufsichtsbehörden in die Abstimmrunden der staatlichen Aufsichtsbehörden bundes- aber auch europaweit integriert werden.
2.1 VG Wiesbaden: Weitere Vorlage zum EuGH zum Scoring zu Art. 22 DS-GVO sowie § 31 BDSG
Zunächst dachte ich, es beträfe die Meldung der Vorlage des VG Wiesbaden, die wir hier schon mal hatten. Damals ging es um die Verwendung von Informationen aus einem Register zur Restschuldbefreiung im Rahmen einer Wirtschaftsauskunft und wann diese zu löschen sei.
Diesmal soll geklärt werden, ob die Tätigkeit Erstellung von Score-Werte über natürliche Personen und Übermittlung an Dritte ohne weitergehende Empfehlung oder Bemerkung, unter den Anwendungsbereich des Art. 22 Abs. 1 DS-GVO fällt, wenn dies dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder deswegen davon absehen.
Falls ja, sei die für Wirtschaftsauskunfteien maßgebliche Tätigkeit vom Verbot der automatisierten Einzelfallentscheidung erfasst. Dies hätte zur Folge, dass diese Tätigkeit nur nach den Ausnahmetatbeständen des Art. 22 Abs. 2 DS-GVO zulässig sei. Als diesbezügliche mitgliedsstaatliche Rechtsgrundlage käme nur § 31 BDSG in Betracht. Im Hinblick auf dessen Vereinbarkeit mit Art. 22 Abs. 1 DS-GVO bestünden beim VG Wiesbaden aber durchgreifende Bedenken.
2.2 ÖOGH: Vorlage zum EuGH zum Anspruch auf Kopie
Die Vorlage des Bundesverwaltungsgerichts Österreichs zum Umfang des Anspruchs auf Auskunft ist nun beim EuGH registriert. Insbesondere soll geklärt werden, ob sich der Anspruch auf das gesamte Dokument erstreckt, in dem die Informationen zur betroffenen Person enthalten sind und welche Anforderungen an das elektronische Format zu stellen sind.
2.3 Digitalisierung wirkt
Über eine App bestellen und dann wird es schnell geliefert – durch Menschen, die meist nur befristet beschäftigt sind. Natürlich werden dann auch die entsprechenden Arbeitsverträge elektronisch abgeschlossen. Dummerweise (für den Arbeitgeber) ohne elektronische Signatur, was nach der Ansicht des ArbG Berlin zu einer Unwirksamkeit der Befristung führte und damit zu einem unbefristeten Arbeitsverhältnis. Noch nicht rechtskräftig.
2.4 BVerwG: Twittermeldungen eines Ministeriums nicht aktenrelevant
Ein Ministerium twittert fröhlich darauf los. Unabhängig von den datenschutzrechtlichen Fragestellungen, befasste sich nun auch das Bundesverwaltungsgericht mit diesen Aktivitäten: Sind dies Informationen, die von den Informationsfreiheitsrechten umfasst und somit auch herauszugeben sind? Nein, meint das BVerwG, da diese Informationen keine Aktenrelevanz hätten.
3.1 Evaluierungsbericht des BMI zum BDSG
Gerade noch im Oktober veröffentlichte das BMI seinen Bericht zur Evaluierung des BDSG. Neben redaktionellen Klarstellungen werden auch die Umsetzung einiger inhaltlicher Klarstellungen geprüft (ab Seite 139).
3.2 Vorratsdatenspeicherung ...
... ich kann es fast schon nicht mehr hören: immer wieder Anläufe, immer wieder Korrekturen durch Gerichte. Nun gibt es wohl wieder politische Aktivitäten auf europäischer Ebene für die Einführung der anlasslosen Speicherung von Kommunikationsdaten. Und wenn man schon dabei ist, so soll dies auch auf Messengerdienste und Videokonferenzen erstreckt werden.
3.3 Data Governance Act
In der Praxis muss durch Unternehmen und Behörden das Zusammenspiel vieler einzelner Rechtsnormen beachtet werden. Manchmal führt das zu Kollisionen, wie z.B. bei der elektronischen Patientenakte, was dann bei den Anwendern zu der unschönen Situation führt zwei konträren behördlichen Vorgaben ausgesetzt zu sein. Schön, wenn solche Kollisionen schon frühzeitig erkannt werden. Hier wird schön ausgeführt, zu welchen Konsequenzen es führen würde, wenn die Vorstellung einer Zustimmung zur „Datenspenden“ im Data Governance Act, über die Anforderungen an die Einwilligung nach der DS-GVO geregelt wird. Details zum Data Governance Act finden Sie auch hier.
3.4 Nachfolge EU-US Privacy Shield?
Deutsche Unternehmen sind immer noch in großer Sorge und wenden sich laut Berichten an die Bundesregierung, damit diese endlich eine Lösung für die Situation seit Schrems II fände. Vielleicht bringen ja Fortschritte im Digitalhandel auch hier die Parteien einander wieder näher. Zu wünschen wäre es.
3.5 DMA: Digital Market Act
Das Gesetzgebungsverfahren zur Regulierung von Plattformen geht voran und nach Berichten scheint sich der Ministerrat geeinigt zu haben, Spannend dabei sind auch die Erkenntnisse, die dabei bekannt wurden, wie große Unternehmen versuchen auf die Gesetzgebung Einfluss zu nehmen und wer sich dabei schließlich (vorerst) durchsetzt.
3.6 Vereinigtes Königreich – Umgestaltung des Datenschutzrechts
Welche Änderungen sind in UK (Vereinigtes Königreich) vorgesehen? Informationen dazu gibt dieser Bericht. Fraglich wird dann allerdings die Reaktion der EU-Kommission, die ihren Angemessenheitsbeschluss nur befristete und sich vorbehielt einzugreifen, sollte es maßgebliche Änderungen im Datenschutzrecht geben.
4.1 Vertrauenswürdige KI
Wie kann man die Ziele einer vertrauenswürdigen KI erreichen? Diese Frage und wie dies unter den gegebenen technischen Bedingungen erreicht werden, ist Thema dieser Studie.
4.2 AI Act
Einen schönen Überblick zu den Zielen und dem aktuellen Stand des Gesetzgebungsverfahrens zur künstlichen Intelligenz bietet dieser Beitrag, der auch auf die sieben ethischen Hauptprinzipien für die Beurteilung und Einstufung von algorithmischen Systemen eingeht.
4.3 New York City: Strategie für den Einsatz von KI
Die Stadt New York hat ihre Strategie zum Einsatz von KI formuliert und veröffentlicht. Sie gibt damit die Rahmenbedingungen vor, unter welchen sie den Einsatz von KI gestaltet. Das 116-seitige Papier erläutert, wie die Stadt vom Einsatz der künstlichen Intelligenz profitieren kann – auf Basis einer ethischen und verantwortungsvollen Vorgehensweise. Dabei wird auf das Bild von KI als Bedrohung verzichtet und stattdessen auf verantwortungsvollen Optimismus gesetzt.
4.4 Künstliche Intelligenz im Einstellungsinterview
Wer sich dafür interessiert, bekommt in diesem 15 Minuten YouTube-Video einen schönen Einblick aus Expertensicht zu den Anforderungen, aber auch zur Aussagekraft diesbezüglich.
4.5 Podcast zur KI aus Rheinland-Pfalz
Weil´s so gut hierher passt noch der Hinweis auf eine Podcastserie aus Rheinland-Pfalz aus dem Sommer dieses Jahres:
- KI Folge 1: Was heißt hier intelligent? Künstliche Intelligenz und wo sie schon drin steckt (5. Juli 2021)
- KI Folge 2: Er versteht mich nicht! - Künstliche Intelligenz bei Sprachassistenten (6. Juli 2021)
- KI Folge 3: Wagen hol den Harry - Künstliche Intelligenz beim autonomen Fahren (7. Juli 2021)
- KI Folge 4: Konsum voll automatisch – Künstliche Intelligenz beim Online-Handel (8. Juli 2021)
- KI Folge 5: Ein Blick zurück und ein Blick voraus – Künstliche Intelligenz im Alltag heute und morgen (9. Juli 2021)
4.6 Einsatz von Gesichtserkennung in Europa
In welchen europäischen Ländern erfolgt bereits Gesichtserkennung zur Rechtsdurchsetzung und welche Länder planen die Einführung? Laut einem Bericht erfolgt Gesichtserkennung bereits in 11 Ländern und 8 weiteren stünden kurz davor. Dagegen wurde wohl offensichtlich im Vereinigten Königreich die Gesichtserkennung im Rahmen der Bezahlvorgangs in Schulkantinen wieder beendet.
5.1 Beschwerde über Adresshandel
Das NGO noyb hat eine weitere Beschwerde zu Kreditscores eingereicht, diesmal in Deutschland und speziell gegen zwei Unternehmen, die laut Vorwurf Daten aus Direktmarketing zur Bildung einer Kreditwürdigkeitsaussage nutzen.
5.2 Gedanken zur Zweckbindung
Wie lässt sich die Zweckbindung aus Art. 8 Grundrechtecharta in der DS-GVO umsetzen, wie wirkt sie und wie wirkt sie sich bei der Datenschutz-Folgenabschätzung aus? Das sind nur einige der Fragen, mit denen sich dieser Beitrag befasst.
5.3 DSFA zu MS365 und mobilen Office Apps
Bevor Euphorie ausbricht: Das Dokument ist über ein Jahr alt und es entbindet niemanden davon sich nicht selbst über das Erfordernis und die Umsetzung einer Datenschutz-Folgenabschätzung (DSFA) beim Einsatz von MS365 Gedanken zu machen und dies zu dokumentieren. Aber man kann zur Kenntnis nehmen, wie andere damit umgehen, noch dazu, wenn es eine solch prominente Stelle ist, wie das Niederländische Justizministerium.
5.4 Lexikon zu Cyberkriminalität
Es ist nicht neu, ich kannte es aber noch nicht, daher hier der Hinweis: Der Bankenverband hat ein Lexikon zur Cyberkriminalität und dass Schöne daran: Es wird nicht nur gewarnt, es enthält konkrete Tipps zum richtigen Umgang, um Schäden zu vermeiden!
5.5 Datenübermittlung durch Apps
Es könnte auch eine eigene Rubrik werden: Unerwartete Datenübermittlungen durch Apps, diesmal Tracking nicht nur von Postsendungen sondern auch der Benutzer.
Franks Nachtrag:
Da immer noch Wochenende ist (ich habe den Blog-Beitrag der letzten Woche ja schließlich noch nicht veröffentlicht, hüstel), gibt es mittlerweile schon eine Reaktion der Post, nachzulesen hier...
5.6 Vereinigtes Königreich und AWS
Statt UK, AWS und KI hier die Langfassung: Das Vereinigte Königreich plant nach Berichten Amazon Web Services mit Künstlicher Intelligenz zur Spionageanalyse einzusetzen. Der / die versierte Datenschützer:in mag sich nun denken: „Wie erkläre ich denn so etwas meinen Verantwortlichen?“ Ich weiß es auch nicht...
5.7 Veranstaltungen
09.11.2021, 18:00 – 19:30 Uhr, "Das Europäische Integrationszentrum Rostock e.V. lädt alle Interessierten zu einer hybriden Informationsveranstaltung über die Corona-Warn-App und die Luca-App ein. Wir wollen uns mit der Funktion der beiden Apps und ihrer Art der Datenerhebung und –Verarbeitung beschäftigen. Gibt es möglicherweise Gefahren für die Sicherheit der Nutzerdaten? Darüber hinaus wollen wir uns die Nutzung im Ausland und die Verwendung von Warn-Apps in anderen europäischen Ländern anschauen. Neben dem Vortrag gibt es noch einige praktische Tipps zum Umgang mit Apps und natürlich die Möglichkeit, Fragen an die Referentin Miriam RUHENSTROTH zu stellen. Sie ist Projektleiterin beim Infoportal mobilsicher.de.
5.7.2 Health Loft – Talk of pioneers: Knackt KI den Krebs?
17.11.2021, 16:30 – 18:00 Uhr, "Schulterschluss von privater und öffentlicher Forschung für die Krebstherapie der Zukunft. Künstliche Intelligenz (KI) hat das Potenzial, die Versorgung von Menschen mit Krebs auf das nächste Level zu heben. Wo können Synergien in der datengetriebenen Krebsforschung und Behandlung geschaffen werden und welche Hürden gilt es zu überwinden? Expert:innen diskutieren.", Teilnahme kostenlos, Anmeldung erforderlich.
30.11.2021, 15:00 – 17:00 Uhr, "Die Vereinigung der Bayerischen Wirtschaft führt in Kooperation mit dem US-amerikanischen Generalkonsulat in München und dem Bayerischen Landesamt für Datenschutzaufsicht seit dem Jahr 2012 regelmäßig einen Deutsch-amerikanischen Datenschutztag durch. Es diskutieren hochrangige Vertreter aus Politik, Behörden und Wirtschaft aktuelle Rechtsunsicherheiten sowie Perspektiven für eine Nachfolgevereinbarung zwischen EU und USA, dieses Jahr nur online.".
6.1 Alle Jahre wieder ...
... haben wir nicht nur die Weihnachtszeit, sondern es scheint auch die Unsitte verbreitet zu werden, dass „dem Datenschutz“ keine Leckereien, sondern jeder Blödsinn in die Schuhe geschoben wird. Sei es, dass der Nikolaus nicht mehr erfährt, wo Kinder wohnen, dass Notfallpatienten aus „Datenschutzgründen“ nicht behandelt werden dürften. Verwunderlich war dann noch eher der Beitrag eines ansonsten von mir als sehr differenziert wahrgenommen Journalisten, der diesbezüglich zum Nachdenken anregt.
6.2 Facebook wird jetzt Meta
Inmitten der Schlagzeilen über Facebook, die sich mit dessen Rolle bei Fake News und der Unterstützung von Manipulationen beschäftigen, ändert Facebook seinen Namen. Die bisherigen bekannten Details zu den Unzulänglichkeiten in der Geschäftsphilosophie („Philosophie“ erscheint fast schon ein Widerspruch bei Facebook) könnten in den nächsten Wochen mehr werden. Gut, wenn Facebook dann nicht mehr Facebook heißt... sondern Meta. Was ändert sich noch? Um mit den technischen Entwicklungen Schritt zu halten und das soziale Netzwerk auch für Personen unter 50 wieder attraktiv werden zu lassen versucht der Konzern seine Kunden (Opfer?) in eine Parallelwelt zu überführen, die aus digitalen Spielewelten schon bekannt zu sein scheint. Statt in dem bisherigen realen Universum tummeln sie sich dann im Metaversum, unterstützt von Virtual Reality. Wie so etwas aussehen kann, wurde schon vor einiger Zeit prognostiziert (Video ca. 5:20 Min lang).
[Für Datenschutzberater sicher auch unterhaltsam, wenn sich dann dort auch Unternehmen (und Behörden) tummeln wollen, dafür die Anforderungen an eine rechtskonforme Verarbeitung der personenbezogenen Daten erst zu ermitteln und dann zu vermitteln...]
Diese Kategorie bleibt diese Woche leer.
8.1 Update zu REvil
Erinnern Sie sich noch an REvil?
Es gibt seit September Updates. und ich möchte Sie auf den aktuellen Stand bringen.
Es fing Anfang September 2021 damit an, das REvil wieder auftauchte.
Nachfolgenden Berichten zufolge war das Abtauchen wohl nicht so freiwillig geschehen, wie es früher bei der REvil-Gruppe üblich war.
Eines der Mitglieder sei verschwunden und Teile ihrer Infrastruktur kompromittiert worden.
Allerdings scheinen die Geschäftsgebahren der REvil-Gruppe auch nicht für Solidarität in ihrem Umfeld gesorgt zu haben.
Deren "Opfer" waren sowieso meist gebeutelt. Wobei es ja meist irgendwann Hilfe gibt.
Bei der Gelegenheit, es gibt ja immer mal wieder Entschlüsselungstools für Ransomware. Außerdem gibt es ab und zu auch einfach schlecht gemachte Ransomware.
Andererseits gibt es manchmal auch Entschlüsselungsmöglichkeiten für die Betroffenen, nur werden diese (zumindest zeitweise) nicht herausgegeben.
Nun könnten wir uns ja die Fragen stellen, warum Ransomware so erfolgreich ist?
Zum einen werden deren Drohungen einem Whitepaper zufolge immer perfider. Print Bombing, auch nett...
Zum anderen werden die Cyberkrimminellen einer Studie zufolge auch einfach nur professioneller.
Aber kommen wir noch mal zum Titelgeber dieses Beitrags, der REvil-Gruppe, zurück:
Diese ist mittlerweile wohl wieder weg. Scheinbar sollen im Zusammenhang mit REvil auch deutsche Ermittler aktiv sein.
Was bleibt jetzt zu tun? Was ist die Erkenntnis?
Mindestens, dass Kontrollen und Tests nicht schaden können... Solange gut gemachte Tests und Kontrollen (die idealerweise von den Verantwortlichen selbst veranlasst werden, just sayin...) dann auch Konsequenzen haben.
8.2 Syniverse-Hack
Wollen Sie sich mal fragen, ob Sie persönlich betroffen waren? Möglich wäre es... beim Syniverse-Hack.