Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 48/2021)“
Hier ist der 25. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 48/2021)“. Wow, schon 25 Blog-Beiträge…
- Aufsichtsbehörden
- DSK: Verzicht auf Schutzmaßnahmen möglich?
- Informationen zu Corona
- Aufsichtsbehörden zum TTDSG
- Sachsen-Anhalt: Tipps zum Homeoffice
- BayLDA: Prüfung zu Ransomware
- DSK: Auskunfteien und Handydaten
- ICO: Erwartungen an Online Werbung
- Zertifizierung nach DS-GVO
- Niedersachsen: Datenschutzkonforme Online-Prüfungen
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- TTDSG – immer noch
- TTDSG (1): PIMS – Um was geht es da?
- TTDSG (2): The Good, the Bad and the Ugly
- Open data … geht doch, oder?
- Datenpolitik der neuen Bundesregierung
- Bank kündigt Trennung von Anwaltskanzlei an wegen Datenschutzverstoß
- Veranstaltungen
- Auftaktveranstaltung: Zentrum für vertrauenswürdige Künstliche Intelligenz
- Datenschutz am Mittag: Faires Internet-Marketing: Cookies, Tracking, Datenschutz
- Microsoft 365: Transfer Impact Assessment
- Automated privacy signals: How can technology and regulation work together to put people in control of their data?
- IPEN webinar 2021: “Pseudonymous data: processing personal data while mitigating risks”
- Datentag: Datenschutz und Künstliche Intelligenz
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Advent Reading, die zweite Kerze
- Update zur Sneakerjagd
- So, is phishing via Teams message called “Tishing”?
- Gesichtserkennung
- Die Daten, die wir so digital von uns geben…
- Tracking durch Identitätsprovider
- Wenn Backups einfach funktionieren
- Manchmal kommen sie wieder…
- Virenscanner auf Smartphones, ein Abgesang
- Politische Propaganda von heute: Definition, Beispiele und Erkennungsmerkmale
- „SQL Claus“
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 DSK: Verzicht auf Schutzmaßnahmen möglich?
Die Datenschutzkonferenz hat sich nun in einem Beschluss zu den Anforderungen geäußert, ob und wann eine betroffene Person zu einer Verringerung von Schutzmaßnahmen zustimmen kann. Der häufigste Fall wird sein, wenn eine verantwortliche Stelle über E-Mail kommunizieren möchte, die betroffene Person auf der Empfängerseite aber nicht über die Technik verfügt inhaltsverschlüsselte E-Mails zu empfangen. Darf die verantwortliche Stelle (egal ob Behörde oder nicht öffentlicher Verantwortlicher) nun auch „nur“ mit Transportverschlüsselung versenden?
Die Thematik wurde in den letzten Jahren immer wieder von einzelnen Aufsichtsbehörden thematisiert (z.B. BayLDA 9. Tätigkeitsbericht Ziffer 18.5 oder im Vermerk des Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit vom 18.02.2021.) Die DSK beschloss gegen die Stimmen Sachsens unter dem Titel „Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“ insgesamt vier Punkte: Die Schutzmaßnahmen des Art. 32 DS-GVO stehen nicht zur Disposition der Beteiligten, die Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO sei nicht das taugliche Instrument für eine Herabsenkung des gesetzlich vorgeschriebenen Standards, auf ausdrücklichen, eigeninitiierten Wunsch der informierten betroffenen Person können bestehende Maßnahme in vertretbarem Umfang nicht angewendet werden, die Vorgaben zum Drittstaatentransfer bleiben davon unberührt.
Was sich daraus ergibt: Es müssen angemessene Schutzmaßnahmen bestehen, auf die seitens der betroffenen Person verzichtet werden kann; dieser Verzicht kann jedes Mal neu entschieden werden und sind auch Daten anderer Personen betroffen, dann muss sichergestellt sein, dass eine ordnungsgemäße Vertretung vorliegt.
1.2 Informationen zu Corona
Fast täglich ändern sich die Vorgaben zur Prüfung von Zutrittsmaßnahmen aufgrund von Infektionsschutzmaßnahmen. Das BayLDA hat seine FAQ nun mit Stand 29.11.2021 aktualisiert. Wer sich für die Rahmenbedingungen außerhalb Bayerns interessiert, sollte sich bei den dortigen Gesundheitsministerien und Datenschutzaufsichtsbehörden informieren. Hier eine kleine Auswahl, ohne Gewähr auf Vollständigkeit und Aktualität der Aussagen:
Baden-Württemberg:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/11/Orientierungshilfe-3G_Arbeitsplatz.pdf
Bayern (öffentlich):
https://www.datenschutz-bayern.de/corona/
Berlin:
https://www.datenschutz-berlin.de/infothek-und-service/themen-a-bis-z/anwesenheitsdokumentation
Hamburg:
https://datenschutz-hamburg.de/pages/corona-faq
Hessen:
https://datenschutz.hessen.de/datenschutz/arbeitgeber-und-beschäftigte/empfehlungen-zur-datenschutzkonformen-umsetzung-der-3-g
Rheinland-Pfalz:
https://www.datenschutz.rlp.de/de/themenfelder-themen/corona-datenschutz/
Sachsen:
https://www.saechsdsb.de/images/stories/sdb_inhalt/Pressearbeit/20210928_Stellungnahme_Abfrage_Impfstatus_2G_Optionsmodell.pdf (Stand Sept)
Sachsen-Anhalt:
https://datenschutz.sachsen-anhalt.de/informationen/infopakete/infopaket-corona/
Schleswig-Holstein:
https://www.datenschutzzentrum.de/corona/
BfDI:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2021/16_3G-am-Arbeitsplatz.html
Bundesministerium für Gesundheit und Soziales:
https://www.bmas.de/DE/Corona/Fragen-und-Antworten/Fragen-und-Antworten-ASVO/faq-corona-asvo.html
1.3 Aufsichtsbehörden zum TTDSG
Zwar hat die DSK noch keine Aussagen zur Veröffentlichung freigegeben, aber Sachsen, Niedersachsen und Hamburg haben sich nun auf ihrer jeweiligen Homepage geäußert. Dabei deuten sie an, dass der Begriff der Erforderlichkeit sehr eng ausgelegt werden wird.
Und weils so gut dazu passt: Wer sich über die Instagramseite des ZDF informiert, hat am 30.11.2021 Folgendes erfahren: Was ändert sich ab Dezember: (…) Daten im Netz (z.B. Passwörter, Chatverläufe) werden ab 1. Dezember 2021 gemäß TTDSG an einer zentralen Stelle gesammelt, vereinfacht den Zugriff auf digitales Erbe.“ Jetzt kann man das dahingehend interpretierten, dass der Beitragsservice der öffentlich-rechtlichen Angebote überdacht werden sollte oder dass Instagramm wirklich nichts bringt. Oder beides.
Franks Nachtrag (auf Wunsch von Rudi):
Auch NRW äußert sich zum TTDSG, scheint aber bezüglich der Definition der Erforderlichkeit etwas toleranter zu sein.
1.4 Sachsen-Anhalt: Tipps zum Homeoffice
Aus Sachsen-Anhalt gibt es – und zeitlich perfekt getimt – Hinweise zum Homeoffice, verbunden mit einer Checkliste, an was alles zu denken ist – sei es als Vorgabe des Arbeitgebers oder als Erinnerung an die Beschäftigten.
1.5 BayLDA: Prüfung zu Ransomware
Die neu eingerichtete Stabstelle Prüfverfahren hat eine Prüfung zu Ransomware begonnen (ruhig durchklicken, dort sind auch weitere Unterlagen verfügbar). Zielgruppe sind kleine und mittlere Unternehmen, kleinere Krankenhäuser, Schulen, Arztpraxen. Die Rückmeldungen sollen bis 22.12.2021 erfolgen.
1.6 DSK: Auskunfteien und Handydaten
Was sind die Anforderungen, damit Auskunfteien Handydaten verwenden dürfen? Nach Beschluss der DSK reicht die Wahrung berechtigter Interessen nicht aus, sondern es sei die Einwilligung erforderlich. Dies wird nach einem Bericht auch durch den Verbraucherzentrale Bundesverband (vzbv) so gesehen (auch wenn ich an der Darstellung, deren Vorstand sei Deutschlands oberster Datenschützer, Optimierungsmöglichkeiten sehe).
1.7 ICO: Erwartungen an Online Werbung
Zwar gehört die Datenschutzaufsichtsbehörde des Vereinigten Königreichs nicht mehr zum EDSA, aber deren Aussagen sind immer noch eine Interpretation der DS-GVO, die man zur Kenntnis nehmen oder sogar übernehmen kann. So auch mit der Veröffentlichung „Data protection and privacy expectations for online advertising proposals”, die neben Erläuterungen auch konkrete Erwartungen und Empfehlungen enthält.
1.8 Zertifizierung nach DS-GVO
Alle warten auf die Umsetzung der in der DS-GVO angelegten Möglichkeiten, Zertifizierungen als Faktor einer Nachweisführung einzusetzen. Nun gibt es laut Berichten Hoffnung, dass im Jahr 2022 endlich alle Voraussetzungen, die Artt. 42 und 43 DS-GVO sowie § 39 BDSG vorsehen (und die Anforderungen der DSK) erfüllt sein werden.
Aber auch auf europäischer Ebene bittet der EDSA die ENISA, dass in dem kommenden European Cybersecurity Certification Scheme for Cloud Services (EUCS) Anforderungen der DS-GVO berücksichtigt werden.
1.9 Niedersachsen: Datenschutzkonforme Online-Prüfungen
Was ist an Hochschulen bei Online-Prüfungen zu beachten? Die LDI Niedersachsen hat die Erfahrungen aus einer Befragung genutzt hierzu Eckpunkte zu definieren, die sich insbsondere mit dem Verhältnismäßigkeitsgrundsatz, aber auch mit dem Einsatz von Videosystemen befassen.
2 Rechtsprechung
2.1 OVG Schleswig-Holstein: Facebook Fanpage war abzuschalten
Da war doch was? Richtig: Jede/r kennt das EuGH-Urteil zu den Facebook Fanpages (oder sollte es kennen). Aber war es das dann schon? Nein, denn der EuGH hatte ja nur über die vorgelegte Frage zur Auslegung europäischen Rechts entschieden (insb. zur gemeinsamen Verantwortlichkeit bei dem Einsatz von Facebook Fanpages). Das war aber kein abschließendes Urteil in dem Fall, in dem über einen entsprechenden Verwaltungsakt des ULD durch das OVG Schleswig-Holstein zu urteilen war. Das OVG traf nun seine Entscheidung unter Berücksichtigung der Auslegung des EuGH, und – welch Wunder: Mit dem Betrieb einer Facebook-Fanpage durch die Wirtschaftsakademie Schleswig-Holstein GmbH zum maßgeblichen Zeitpunkt im Dezember 2011 ging ein schwerwiegender Verstoß gegen datenschutzrechtliche Vorschriften einher. Damit läge ein schwerwiegender Verstoß in der Verwendung der personenbezogenen Daten von im Facebook-Netzwerk registrierten und angemeldeten Personen vor. Diese Datenverwendung sei weder gesetzlich erlaubt, noch hätten die Nutzerinnen und Nutzer in diese eingewilligt. Außerdem seien die betroffenen Personen nicht hinreichend über sämtliche Datenerhebungs- und -verwendungsvorgänge, die durch den Besuch einer Fanpage angestoßen würden, informiert worden. Für diese Verstöße sei die Klägerin als Betreiberin der Facebook Fanpage auch mitverantwortlich.
Natürlich sind die Vereinbarungen zwischen Facebook und den Fanpagebetreibern seitdem (mehrfach) angepasst worden und das Urteil betrifft ja nur den konkreten Fall. Aber dabei sollte nicht vergessen werden, dass der BfDI auch die aktuelle Gestaltung als rechtswidrig einstuft und für nächstes Jahr weitere Maßnahmen nicht ausschließt.
2.2 BGH zu Anspruch auf gerichtlichem Rechtsbehelf nach Art. 79 DS-GVO
Jede betroffene Person hat gemäß Art. 79 Abs. 1 DS-GVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, um prüfen zu lassen, ob infolge einer Verarbeitung ihre Rechte verletzt wurden. Ist damit aber auch der Anspruch auf eine zweite Instanz umfasst? Dies hat der BGH unter Heranziehung des Art. 47 Grundrechte-Charta nun verneint (RN 23). Auch nach der Rechtsprechung zu Art. 47 GrCH sei kein Anspruch auf eine zweite Instanz umfasst.
3 Gesetzgebung
3.1 Einigung über Data Governance Act
Die am Gesetzgebungsverfahren Beteiligten haben sich in der KW 48 auf eine Fassung des finalen Textes des Data Governance Acts geeinigt. Dabei geht es um die Schaffung von EU-weit harmonisierten Bedingungen für die Weiterverwendung geschützter Daten, die im Besitz öffentlicher Stellen sind (erweiterte PSI), die Schaffung eines Anmelde- und Aufsichtsrahmens für die Erbringung von Diensten für die gemeinsame Datennutzung (Datenmittler) und die Schaffung eines Rahmens für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten sammeln und verarbeiten (Datenaltruismus). Die DS-GVO bleibt davon unberührt.
3.2 Norm für sichere Smartphones
Das Europäische Institut für Telekommunikationsnormen (ETSI) hat nach Berichten eine erste Spezifikation für sichere mobile Endgeräte mit globaler Ausrichtung veröffentlicht. „ETSI TS 103 732“ enthält ein Schutzprofil für das Verbrauchersegment (Consumer Mobile Device Protection Profile). Ziel ist es Sicherheits- und Zuverlässigkeitsanforderungen für Smartphones und Tablets aufzustellen, potenzielle Angriffsrisiken abzuschwächen und den Datenschutz zu verbessern. OK, das ist kein Gesetz, aber auch interessant.
4 Künstliche Intelligenz und Ethik
4.1 Ethik bei Künstlicher Intelligenz
Insgesamt 193 Länder übernahmen das erste weltweite Abkommen zu ethischen Anforderungen beim Einsatz von Künstlicher Intelligenz. Der angenommene Text zielt darauf ab die Vorteile der KI hervorzuheben und gleichzeitig die damit verbundenen Risiken zu reduzieren. Es soll sichergestellt werden, dass digitale Transformationen die Menschenrechte fördern und zur Erreichung der Ziele für nachhaltige Entwicklung beitragen, indem sie Fragen der Transparenz, Rechenschaftspflicht und des Datenschutzes mit handlungsorientierten politischen Kapiteln zu Data Governance, Bildung, Kultur, Arbeit, Gesundheitswesen und Wirtschaft behandeln. Eine der Hauptforderungen ist der Schutz von Daten, der über das hinausgeht, was Technologieunternehmen und Regierungen tun, um Einzelpersonen mehr Schutz zu garantieren, indem sie Transparenz, Handlungsfähigkeit und Kontrolle über ihre persönlichen Daten gewährleisten. Die Empfehlung verbietet auch ausdrücklich den Einsatz von KI-Systemen für soziales Scoring und Massenüberwachung.
4.2 Einsatz von KI gegen die Pandemie
Im Rahmen der Reihe Wortwechsel des Deutschlandfunks Kultur wurde die Frage des Einsatzes von KI aus mehreren Blickwinkeln betrachtet. Der Teufel steckt im Detail und Juristen haben nicht immer Recht.
4.3 Daten-Ethik? Mir egal… Echt?
Das ist zumindest das Ergebnis einer Befragung, die nun veröffentlicht wurde. Zwar wollen 82 % der Befragten ihre Daten-Skills verbessern – dabei priorisieren sie jedoch eher Fertigkeiten rund um das richtige Teilen von Daten, die Visualisierung von Daten oder die Datenbereinigung. 48 % der Arbeitnehmenden in Deutschland, die tagtäglich mit Daten arbeiten, glauben nicht, dass Wissen rund um das Thema Datenethik für ihre Rolle relevant sei.
Wetten, dass sich das noch ändern wird? Ein ethischer Ansatz beim Sammeln oder Verwenden von Daten, oder ein Bewusstsein für möglicherweise diskriminierende Verzerrungen (Confirmation Bias) in den gesammelten Daten wird zunehmend zur Voraussetzung für Mitarbeitende, die mit Daten arbeiten, gehören müssen.
4.4 Koalitionsvertrag: Forschungsdaten
Was sagt der Koalitionsvertrag zu Forschungsdaten, bzw. zu einem Forschungsdatengesetz? Zu dieser Frage werden Sie hier fündig.
4.5 KI und Gerichtsentscheidungen
Wer sich für die spannende Fragestellung zum Einsatz von KI-Methoden von Urteilsprognosen interessiert, dem sei dieser frei verfügbare Beitrag empfohlen.
(Spoiler: „Aus den Überlegungen resultiert ein klares Ergebnis: „Die allgemeine Digitalisierung in der Gesellschaft macht auch vor der Justiz nicht Halt.“)
4.6 DAX-Unternehmen und CDR
DAX-Unternehmen und Verantwortung? Gibt es da mehr als Shareholder-Value? Scheinbar schon, denn die junge Disziplin der Corporate Digital Responsibility (CDR) erreicht auch diese Ebenen. Das BMJV bezeichnet dies als jegliche „freiwillige unternehmerische Aktivitäten im digitalen Bereich, die über das heute gesetzlich Vorgeschriebene hinausgehen und die digitale Welt aktiv zum Vorteil der Gesellschaft mitgestalten“. CDR sei damit die unternehmerische Verantwortung und das Nachhaltigkeitsmanagement im Digitalzeitalter. Dazu gab es nun eine Studie, inwieweit DAX-Unternehmen sich damit befassen und CDR bereits umgesetzt haben. Schauen Sie sich die Studie ruhig an, es sind spannende Ansätze, Fragen und Ergebnisse dabei.
4.7 Schweiz: Ein Rechtsrahmen für Künstliche Intelligenz
Ja, es ist die Schweiz, aber auch die haben ein der DS-GVO vergleichbares Datenschutzrecht und das Autorenteam des Positionspapiers zum Rechtsrahmen für Künstliche Intelligenz besteht aus Mitgliedern des Ad Hoc Komitees des Europarates zu Künstlicher Intelligenz. Dabei wird hervorgehoben, dass die Interessen bei der Verarbeitung personenbezogener Daten mit den Mitteln des Datenschutzrechts durchaus abgebildet werden können. Die Nutzung algorithmischer Systeme führe allerdings auch zu weiteren Herausforderungen. So ist der Einsatz solcher Systeme für die Betroffenen oft nicht erkennbar und ihre Funktionsweise nicht nachvollziehbar. Zudem könnten solche Systeme Menschen diskriminieren und in ihrem Denken und Handeln manipulieren. Außerdem werfe der Einsatz algorithmischer Systeme neue Haftungsfragen auf. In allen diesen Bereichen bestünde Regelungsbedarf. Das gelte auch für die Gewährleistung der Sicherheit autonomer Systeme und für bestimmte Zulassungsverfahren.
5 Veröffentlichungen
5.1 TTDSG – immer noch
Wer sich noch nicht damit befasst hat oder sich mit der Meinung einer Expertin dazu befassen möchte, findet hier die Möglichkeit. Zu den durch das TTDSG geregelten Fragestellungen – und leider auch den dadurch aufgeworfenen Problemen – hilft dieser Beitrag weiter. Was das Fernmeldegeheimnis und das TTDSG miteinander zu tun haben, ist hier schön dargestellt, erfreulicherweise auch mit einer Argumentationshilfe für Unternehmen außerhalb der TK-Branche.
5.2 TTDSG (1): PIMS – Um was geht es da?
Um was geht es bei PIMS, wie ist der Stand, an was ist da zu denken? Auch hier gibt die data-protection-Landscape einen umfassenden Überblick. Wer sich zu der grundsätzlichen Frage, inwieweit hier Einwilligungen überhaupt das taugliche Mittel sind, informieren möchte, sollte diesen Beitrag lesen.
5.3 TTDSG (2): The Good, the Bad and the Ugly
Natürlich gibt es immer noch Veröffentlichungen zu den Änderungen im TTDSG. Grundlage dafür ist das Verständnis, wie Tracking erfolgt. Dazu will ich Ihnen diesen Beitrag nicht vorenthalten, weil er sich nicht auf dröge rechtliche Ausführungen begrenzt, sondern auch anschauliche bunte Bildchen verwendet.
5.4 Open data … geht doch, oder?
Alle reden über open data. Damit Sie sich vorstellen können, was da sogeht, hier ein Beispiel aus Schleswig-Holstein zu Verkehrsdaten. Die Verkehrslage wird je Fahrtrichtung bereitgestellt. Ein Versatz der Geokoordinaten von der eigentlichen Fahrbahn verhindert eine Überlagerung mit anderen Geodaten in einer Kartendarstellung. Die Daten werden alle 3 Minuten aktualisiert. Die Eigenschaft „status“ gibt die Verkehrslage auf dem jeweiligen Abschnitt an. Dabei kommen folgende Werte vor: frei, dicht, zähfließend, gestaut, Datenausfall.
(Klingt toll – ich habe den Link probiert und kam auf eine Wartungsmeldung des Servers – sechs Stunden später ging es dann wieder…)
Franks Nachtrag: Beim Testen des Links beim Einstellen dieses Blog-Beitrags bekam ich den gleichen Fehler. Ich warte jetzt aber keine sechs Stunden…
5.5 Datenpolitik der neuen Bundesregierung
In einem Podcast äußert sich der Präsident der Stiftung Datenschutz zu der Datenpolitik der künftigen Bundesregierung in der Analyse des Koalitionsvertrages.
5.6 Bank kündigt Trennung von Anwaltskanzlei an wegen Datenschutzverstoß
Gibt es Regelungen, wenn Daten außerhalb der Betriebsstätten transportiert werden? Richtig – meist werden Beschäftigte mit solchen Selbstverständlichkeiten genervt. Solche Regelungen gab es sicherlich auch bei einer internationalen Rechtsanwaltskanzlei. Nur hatte da jemand dann Unterlagen in einem öffentlichen Verkehrsmittel liegen lassen und darüber war eine Schweizer Bank so erzürnt, dass sie nun überlegt den Vertrag mit der weltweit agierenden Kanzlei zu beenden, das Mandat umfasste auch nur ein Honorarvolumen von ca. 29 Mio. Euro (in der Schweiz).
5.7 Veranstaltungen
5.7.1 Auftaktveranstaltung: Zentrum für vertrauenswürdige Künstliche Intelligenz
07.12.2021, 09:30 – 12:15 Uhr: Vertrauen ist eine unabdingbare Voraussetzung dafür, dass Technologie dem Menschen dient und keine negativen Effekte hat. Das Zentrum für vertrauenswürdige Künstliche Intelligenz (ZVKI) will hierfür in Zukunft einen wichtigen Beitrag leisten. Mit Unterstützung des BMJV wird in Zusammenarbeit mit den Fraunhofer-Instituten AISEC und IAIS und der Freien Universität Berlin das ZVKI aufgebaut. Als nationale und neutrale Schnittstelle zwischen Wissenschaft, Wirtschaft, Politik und Zivilgesellschaft soll es über alle verbraucher:innenrelevanten Aspekte von Künstlicher Intelligenz informieren, einen öffentlichkeitswirksamen Diskussionen ermöglichen und ein Zertifizierungsschema für vertrauenswürdige KI entwickeln. Im Rahmen der Auftaktveranstaltung stellt sich das ZVKI vor, um verschiedene Perspektiven auf vertrauenswürdige Künstliche Intelligenz kennenzulernen und zu diskutieren. Anmeldung erforderlich.
5.7.2 Datenschutz am Mittag: Faires Internet-Marketing: Cookies, Tracking, Datenschutz
07.12.2021, 13:00 – 14:00 Uhr: Rund um die Zulässigkeit von Cookies, Website-übergreifendem Tracking und (un-)wirksamen Einwilligungen gibt es vielfältige Diskussionen, Lösungsvorschläge und Stellungnahmen. Worin bestehen denn genau die Probleme oder gar Gefahren für die Privatsphäre? Wie kann faires Marketing im Internet aussehen? Anmeldung erforderlich.
5.7.3 Microsoft 365: Transfer Impact Assessment
09.12.2021, 10:00 – 11:00 Uhr: Microsoft gibt Hinweise zu internationalen Datentransfers: Handhabung von Transfer Impact Assessments (TIA) zur rechtsicheren Nutzung von Microsoft 365 im Kontext der neuen SCCs. Anmeldung erforderlich.
5.7.4 Automated privacy signals: How can technology and regulation work together to put people in control of their data?
09.12.2021, 12:30 – 14:00 Uhr: „Join us for a discussion about technology solutions that aim to give people user-friendly and effective ways to express their privacy preferences, including Advanced Data Protection Control (ADPC) and Global Privacy Control (GPC). Our panel – Speakers: Max Schrems (noyb), MEP Sophie in ‘t Veld, Peter Eberl (European Commission), Anna Buchta (European Data Protection Supervisor) and Robin Berjon (The New York Times), moderated by Catherine Armitage (AWO) – will explore how these solutions could work in practice, what role regulation could play in making them more effective and the impact they could have on helping people better manage their digital privacy.“ Anmeldung erforderlich.
5.7.5 IPEN webinar 2021: “Pseudonymous data: processing personal data while mitigating risks”
09.12.2021, 14:40 – 17:50 Uhr: Der Europäische Datenschutzbeauftragte weist auf eine Veranstaltung hin, bei der Möglichkeiten der Pseudonymisierung wie z.B. auch Kryptographie oder im Bereich des Gesundheitswesens dargestellt und diskutiert werden. Anmeldung erforderlich.
5.7.6 Datentag: Datenschutz und Künstliche Intelligenz
13.12.2021, 10:00 – 18:00 Uhr: „Wie lässt sich Künstliche Intelligenz verantwortungsvoll und vor allem datenschutzgerecht einsetzen? Wir erläutern die Chancen und Risiken von Künstlicher Intelligenz für das Datenschutzrecht und das Antidiskriminierungsrecht und stellen Initiativen aus Forschung und Praxis vor.“ Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Lush – Ohne social media geht es auch?
Muss man als Unternehmen wirklich auf jeder Plattform präsent sein, auch wenn die noch so sinnentleert sei? Nein, meint zumindest eine US-amerikanische Kette und verabschiedete sich davon. Ob es dabei tatsächlich um die psychische Hygiene der eigenen Fans geht wird man schwer nachprüfen können, aber es gab schon schlimmere Begründungen, um auf diesen Plattformen zu bleiben.
6.2 Twitter löscht Privatfotos
Egal was man macht: als soziales Netzwerk kann man es kaum richtig machen: Twitter kündigt an, dass man nun Bilder und Videos von Privatpersonen nun entfernen lassen kann. Kritiker sehen darin Raum für Manipulationen und fürchten um die freie Meinungsäußerung. Es ist wohl schwer, es tatsächlich jedem recht zu machen.
6.3 FBI, WhatsApp und Apple
Ein bisher unveröffentlichtes FBI-Dokument enthüllt laut diesem Bericht, wie schnell und einfach Strafverfolgungsbehörden die Messaging-Apps WhatsApp und iMessage durchsuchen können. Wie das dann genau funktioniert, können Sie hier entnehmen.
6.4 Überwachung in der Partnerschaft
Eine Online-Umfrage der IT-Sicherheitsfirma Kaspersky zeige, dass ein Drittel der Befragten bereit sei den eigenen Partner mit Stalkerware online zu überwachen – natürlich immer nur unter bestimmten Umständen. Dass der Partner oder die Partnerin fremdgehen könnte, zähle zu den Hauptgründen. Bevor jetzt welche schon über passende Weihnachtsgeschenke nachdenken: Der Bericht darüber geht aber auch kritisch mit der zugrunde liegenden Datenbasis der Online-Umfrage um.
6.5 Nutzungsrechte an Gesicht und Stimme?
Sie haben ein sympathisches Aussehen, eine angenehme Stimme und sind nicht älter als 25 Jahre? Dann könnten Sie die Nutzungsrechte an Ihrer Stimme und Ihrem Aussehen laut diesem Bericht an eine Firma übertragen, die damit eine Figur ausstatten möchte, die über eine künstliche Intelligenz dann agiert. Laut Webseite heißt es, dass das Unternehmen „Technologien im Bereich der Gesichtserkennung sowie Sprache, autonome Navigation, künstliche Intelligenz und anderen Bereichen der Robotik entwickelt“. (Na dann, Blockchain fehlt noch.)
Franks Nachtrag: Apropos Gesichtserkennung…
Franks zweiter Nachtrag: Und da meldet sich jemand? Really? $150.000,00 scheinen da wohl zu reichen…
7 Sonstiges/Blick über den Tellerrand
7.1 Digitale Adventskalender
Es gibt zahlreiche digitale Adventskalender, die jeden Tag mit neuen Infos aufwarten, hier der Hinweis auf zwei:
https://www.sicher-im-advent.de/
https://www.renn-netzwerk.de/sued/adventskalender-2021
Franks Ergänzung:
Da habe ich doch auch noch einen: Der Digitalcourage-Adventskalender
Und passend dazu ein (zugegebener Maßen bereits etwas älterer) Beitrag dazu, was beim Einsatz von Online-Adventskalendern bei der Einhaltung des Datenschutzes so alles zu beachten ist.
7.2 Kalender getestet von mobilsicher
Hinweise und Alternativen zum Google-Kalender auf Android-Basis liefern wieder die Kolleg:innen von mobilsicher.
Franks Nachtrag: Auch zu alternativen Fotogalerien lassen sie sich aus…
7.3 Starthilfe digital
Mit den Enkeln chatten, Fotos machen oder in die Stadt navigieren – wenn man einmal weiß, wie das geht, ist es ganz einfach. Die App „Starthilfe“ bietet Übungen und Videos für Senioren, um sich mit dem Smartphone vertraut zu machen. Die App versendet dabei keine Daten und wird von der Landesanstalt für Kommunikation Baden-Württemberg angeboten.
7.4 JIM Studie
Der Medienpädagogische Forschungsverbund Südwest hat die neue JIM-Studie 2021 veröffentlicht. »JIM« steht für Jugend, Information, Medien. Die Studie ist eine der wichtigsten Jugendstudien in Deutschland und erhebt die Mediennutzung von Jugendlichen im Alter von 12–19 Jahren quantitativ. Eine schöne Bewertung findet sich hier:
Interessant war dabei, dass u.a. auch nach der Datensicherheit in der wichtigsten Community gefragt wurde. Die wurde 2015 ambivalent eingeschätzt: »So fühlen sich 47 Prozent sehr sicher oder sicher, 52 Prozent fühlen sich weniger oder gar nicht sicher. Vor allem die jüngsten und unerfahrensten Nutzer vertrauen ihrer Community sehr viel häufiger als die Älteren«, hieß es in JIM 2015. Die Anteile für einzelne Dienste in vergleichbarer Erhebung wie 2021 waren deutlich negativer: 47 Prozent derjenigen, die WhatsApp als wichtigste Community nannten, fühlten sich »sicher« oder »sehr sicher«.
Auch das Fazit der Bewertung ist lesenswert:
Anscheinend habe sich seit 2015 etwas verändert – entweder in der Methodik oder in der Einstellung von Jugendlichen, das geht aus der Studie nicht hervor. Jugendliche fühlen sich eher sicher auf ihren meistgenutzten Plattformen. Leider geben die Daten nicht her, was Jugendliche eigentlich unter Datenschutz und Datensicherheit verstehen – angesichts der positiven Ergebnisse wohl eher nicht das, was der klassische Datenschutz darunter versteht: alle untersuchten Dienste übertragen Daten in Drittländer, bis auf WhatsApp gibt es keine Ende-zu-Ende-Verschlüsselung, Datensammlung und Adressbuchuploads sind in unterschiedlichem Grad Standard.
Jugendliche haben andere Privacy-Bedürfnisse, als der rechtliche Datenschutz gewähren kann. Die immer noch instruktive Studie »It’s complicated« von danah boyd zur Mediennutzung von »networked teens« hob schon 2014 hervor, dass für Jugendliche Freiräume vor der Überwachung durch Eltern, Lehrer*innen und andere Autoritäten mit direkter Macht über sie das wichtigste ist.
8. Franks Zugabe
8.1 Advent Reading, die zweite Kerze
Das passiert, wenn ich mal zu schnell den aktuellen Blog-Beitrag umsetze. Letzte Woche war ich so früh fertig, dass ich erst danach die erste Adventslesung von noyb gesehen habe. Ich habe sogar mit Kollegen Kramer diskutiert, dass ich über die zweite Kerze berichten wolle, da ich ja auch schon von der ersten berichtet habe. Nun ja, das war dann wohl nur Wunschdenken.
Also hole ich das hiermit nach:
Hier geht es zum ersten Advent Reading von noyb: noyb’s first „Advent Reading“ from Facebook and DPC documents!
Ich habe mich sehr amüsiert („Bitte, verklagt uns…“) und voller Vorfreude auf den mittlerweile gestrigen Sonntag gewartet, um das zweite Advent Reading anzusehen.
Dieses ist deutlich kürzer, dafür aber literarisch wertvoller: noyb’s Second „Advent Reading“: How the Irish DPC tried to lobby Facebook’s „GDPR bypass“ into European Guidelines (inspired by „A Christmas Carol“).
Und jetzt warte ich (erneut) voller Vorfreude aufs dritte Advent Reading…
8.2 Update zur Sneakerjagd
Wenn Sie dieser Beitrag interessiert hat, finden Sie vielleicht auch diesen Artikel lesenswert…
8.3 So, is phishing via Teams message called “Tishing”?
Und wieder mal eine Überschrift, die mich ansprechen würde. Wobei ich das tatsächlich geklaut habe, es war der Inhalt eines Tweets als Reaktion auf diesen Tweet, in dem es darum geht, dass Microsoft mal wieder ein Feature eingeführt und scheinbar per default eingeschaltet hat. Wie unerwartet…
8.4 Gesichtserkennung
Scheinbar gibt es Personen, die ihr Konterfei gegen Geld weggeben (siehe 6.5).
Dabei gibt es doch gute Alternativen: This Person does not exist.
Es gibt allerdings Methoden, um Computer-generierte Gesichter zu erkennen, es liegt wohl in den Augen.
Wobei, sind (u.a.) die oben verlinkten Computer-generierten Gesichter wirklich einzigartig? Laut diesem Bericht und der zugrunde liegenden Studie können mitunter die ursprünglichen Gesichter, mit denen die KI trainiert wurde, um die künstlichen Gesichter zu erzeugen, wiedererkannt und die dazugehörigen Personen somit identifiziert werden. Dann ist es schon besser, wenn diese Person wenigstens die $150.000,00 dafür bekommen hat…
Unabhängig davon ist es aber immer eine gute Idee gegen biometrische Überwachung zu sein. Also bitte mitmachen!
8.5 Die Daten, die wir so digital von uns geben…
… können wir uns anzeigen lassen:
- https://ipleak.net/
- https://dnsleaktest.com/
- https://browserleaks.com/
- https://arthuredelstein.github.io/tordemos/keyboard.html
- http://browserspy.dk/
- https://coveryourtracks.eff.org/
Ausprobieren schadet nicht…
8.6 Tracking durch Identitätsprovider
Ein sehr lesenswerter Gast-Beitrag setzt sich im Kuketz-Blog mit dem Thema Identitätsprovider auseinander. Wenn Sie also wissen wollen, wie die Webewirtschaft ohne Cookies und die anderen heutzutage üblichen Trackingmechanismen weitermachen möchte…
8.7 Wenn Backups einfach funktionieren
Dann kann das auch mal schmerzhaft sein. Fragen Sie den Ex-Kanzler Österreichs, Sebastian Kurz. Dem hat nach diesem Bericht ein lokales iTunes-Backup das Genick gebrochen.
Wobei in diesem Zusammenhang (also im Zusammenhang mit den Ermittlungen, die (nicht nur) zum Rücktritt von Sebastian Kurz führten) die Änderung der Einstellung der ÖVP zu Briefgeheimnis und Chatüberwachung schon lustig anzuschauen ist:
Noch im Jahr 2017 beklagte die ÖVP zu enge Fesseln durch den Datenschutz. Das sieht heuer ganz anders aus.
Aber nicht nur Politiker ändern bei solchen Themen ab und zu ihre Meinung:
Aus einer privaten Nachricht zu zitieren, das sei schon „eine Grenzüberschreitung“, so sagt Mitte Oktober 2021 Herr Döpfner. Er muss es wissen…
Und was will ich damit eigentlich sagen?
Politiker sollten darüber nachdenken, ob dieses ständige alles-überwachen-müssen nicht auch negative Effekte haben kann. Und die Polizei darf sich ruhig auf die alte Weisheit verlassen, dass die Kette immer so schwach ist wie das schwächste Glied. Es braucht meist keine technische Zauberei. Irgendein Schussel ist immer dabei
Und natürlich: Nix Illegales tun.
Und außerdem: Wenn Daten auf Medien gespeichert werden (und sei es auch nur als Backup), dann bitte verschlüsselt.
Dazu passt dann auch die Meldung, dass VeraCrypt in neuer Version erschienen ist.
Uff, welche Übergänge das in diesem Text wieder waren…
8.8 Manchmal kommen sie wieder…
Hatten wir nicht erst letzte Woche einen Beitrag zu Zombie-Exchange-Servern?
Passend zum Sujet der ersten Überschrift kommen sie scheinbar manchmal wieder (oder sind noch gar nicht weg gewesen)…
CERT-Bund warnt auf jeden Fall immer noch. Nur lauter.
8.9 Virenscanner auf Smartphones, ein Abgesang
Das Wort Schlangenöl habe ich ja auch schon genutzt. Hier eine ausführliche Darstellung, warum Virenscanner auf mobilen Geräten mit Android oder iOS nicht hilfreich sind sondern ggf. sogar schädlich sein können.
Franks Nachtrag (ja, ich mache das immer noch): Das ist nicht nur in diesem Zusammenhang lustig!
8.10 Politische Propaganda von heute: Definition, Beispiele und Erkennungsmerkmale
Wenn Sie den Beitrag zu Desinformationen letzte Woche lesenswert fanden, dann möchten Sie diesen Beitrag sicherlich auch lesen.
8.11 „SQL Claus“
(Nicht nur) ich bekomme momentan bei jeder passenden und unpassenden Gelegenheit Weihnachtsmusik zu hören, also ist jetzt auch die richtige Zeit für „SQL Claus“… 🎅🏻🎄