Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW52/2022 & KW01/2023)“ – Die Jahreswechselausgabe
Hier ist der 58. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW52/2022 & KW01/2023)“ – Die Jahreswechselausgabe.
- Aufsichtsbehörden
- EDSA und das Verfahren gegen Meta
- EDSA: Prüfung des Einsatzes von Cloud-Diensten im öffentlichen Bereich
- LfDI Baden-Württemberg: Abschiedspodcast
- Dänemark: Auskunft nach Art. 15 DS-GVO gegen Auftragsverarbeiter?
- Italien: Bußgeld aufgrund falscher Zahlungsdaten von Kunden
- CNIL: Bußgeld gegen Apple wegen unzureichender Einwilligungsgestaltung
- CNIL: Kein Geschäftsgeheimnis bei Herkunftsangabe bei Auskunft
- CNIL: Hinweis auf das „Auslaufdatum“ der „alten“ Standardvertragsklauseln
- ICO: Hilfsmittel zur Bewertung des Drittstaatentransfers
- Sachsen: Beschwerden zu Beitragsservice des öff.-rechtl. Rundfunks
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Datenschutzverletzungen und Berufsgeheimnisträger
- Nutzung kommunaler Daten und deren Monetarisierung
- Ausblick kirchliches Datenschutzrecht
- MS 365: Neues Jahr – neue Texte
- GDD: Praxishilfe Auftragsverarbeitung
- Verteidigung gegen Bußgelder und andere Sanktionen der Datenschutzaufsichtsbehörden
- Vergleich bei Datenleck bei Mastercard?
- Rechtkonformer Einsatz von Mastodon
- Umfrage zur Cybersicherheit
- Veranstaltungen
- Daten-Dienstag im Museum für Kommunikation Nürnberg
- DATEV: Social Media-Nutzung durch Kinder und Jugendliche
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT
- Ein positiver Jahresrückblick
- Noch ein Jahresrückblick – Sind wir Protagonist oder NPC?
- Ausblick auf KI im Jahr 2023
- Apropos Ausblick – Alte Prognosen
- KI – A holographic conversational video experience created by a startup called StoryFile
- Microsoft und KI – ChatGPT soll es richten
- KI – Lost for words
- TAB: KI – Algorithmen in digitalen Medien und ihr Einfluss auf die Meinungsbildung
- Apropos DoNotPay – AI legal assistant will help defendant fight a speeding case in court
- AI Image Generators are a New Frontier of Copyright Confusion
- Scroogled
- Show. Me. This.
- Eine gute Nachricht zum Jahreswechsel – wieder mal ein Urteil, welches anlasslose und massenhafte Verarbeitung von personenbezogenen Daten untersagt
- LfDI Baden-Württemberg – Auf den letzten Metern
- Breaking RSA with a Quantum Computer?
- Ein Wechsel der Meeting-Kultur?
- Der LastPass-Breach oder: Wie gute Krisen-PR nicht geht
- Apropos Passworte – How Long It Would Take A Hacker To Brute Force Your Password In 2022
- Porn, Piracy, Fraud: What Lurks Inside Google’s Black Box Ad Empire
- Potsdam hat die Internetverbindung der Stadtverwaltung „vorsorglich“ abgeschaltet – Lessons (not) learned?
- Leicht OT – Ein Ring, sie zu knechten…
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA und das Verfahren gegen Meta
Der Europäische Ausschuss hat über das in der DS-GVO vorgesehenen Verfahren die irische Datenschutzaufsicht dazu „bewogen“ gegen Meta einen Bußgeldbescheid über insg. 390 Mio. Euro zu verhängen. Die Summe teilt sich auf zu Verstößen durch Facebook (210 Mio. Euro) und Instagram (180 Mio. Euro). In einem ursprünglichen Entwurf der irischen Aufsicht waren dafür nur 28 bis 36 Mio. Euro vorgesehen. Vorgeworfen wird Meta, dass über die Nutzungsbedingungen der jeweiligen Netzwerke Verarbeitungen „erlaubt“ würden, die nur über eine Einwilligung möglich seien, weil sie mit dem eigentlichen Zweck der Vertragserfüllung nichts zu tun hätten.
Es kann davon ausgegangen werden, dass diese Bewertung durch Meta noch gerichtlich überprüft werden wird. Auch wird berichtet, dass die irische Datenschutzaufsicht überlegt, das Vorgehen des EDSA durch den EuGH überprüfen zu lassen.
Als Konsequenz der Entscheidung müsste nun Meta seine Geschäftspraktiken umstellen und die Nutzer zu einer Nutzung der anfallenden Daten zur Erstellung und Nutzung von personalisierten Werbeprofilen explizit zustimmen lassen.
Die Frage, inwieweit über Nutzungsbedingungen Verarbeitungen personenbezogener Daten geregelt werden können, die mit dem eigentlichen Zweck der vereinbarten Leistung (Nutzung eines sozialen Netzwerks) nichts zu tun hätten, sondern der Finanzierung dienten (Schaltung von Werbung auf Basis von Personenprofilen) liegt bereits als Vorlagefrage beim EuGH (AZ.: C-446/21). Auch dabei geht es übrigens um das Geschäftsmodell von Facebook (jetzt Meta) – und auch hier war Ausgangspunkt eine Beschwerde von noyb.
Franks Nachtrag: Auch die Tagesschau berichtet darüber – und netzpolitik.org betrachtet die möglichen Konsequenzen.
1.2 EDSA: Prüfung des Einsatzes von Cloud-Diensten im öffentlichen Bereich
Zu Beginn des Jahres 2022 kündigte der EDSA eine Prüfung durch 22 Datenschutzaufsichtsbehörden an, die den Einsatz von Cloudangeboten im öffentlichen Bereich umfassen sollte. In Deutschland wollten sich u.a. der BfDI und der LfD Bayern beteiligen. Das Ergebnis war für Ende 2022 angekündigt. Da verschiebt sich wohl noch etwas.
1.3 LfDI Baden-Württemberg: Abschiedspodcast
Zum Abschied veröffentlichte der LfDI Baden-Württemberg einen Abschiedspodcast, in dem er auf die Tätigkeit als LfDI Baden-Württemberg sowie das dabei Erreichte zurückblickt und einen Ausblick auf kommende Aufgaben sowohl der Behörde als auch von ihm selbst gibt.
1.4 Dänemark: Auskunft nach Art. 15 DS-GVO gegen Auftragsverarbeiter?
Die Betroffenenrechte wie ein Auskunftsanspruch richten sich gegen den Verantwortlichen, ein Auftragsverarbeiter muss nur im Rahmen seiner Möglichkeiten dabei unterstützen. Das sollte jeder in einem Kurs zum Datenschutzrecht lernen. In einem Fall der Dänischen Aufsicht ging es nun darum, was eine betroffene Person von einem Auftragsverarbeiter erwarten könne. Neben der Darstellung der Konsequenzen des One-Stop-Shop (Zentralisierung der Bearbeitung bei der federführenden Aufsicht innerhalb Europas) zeigt das Verfahren auch, was die dänische Datenschutzaufsicht von einem Auftragsverarbeiter erwartet. Im vorliegenden Fall nutzte ein ebay-Verkäufer die Möglichkeit Trustpilot zu beauftragen im Nachgang des Kaufs den Käufer bezüglich seines „Kauferlebnisses“ zu befragen. Dies erfolgte unter der beim Kauf durch den Käufer benutzten E-Mail-Adresse. Der Käufer stellte dann unter Verwendung einer anderen E-Mail-Adresse und der Angabe seines Namens und der postalischen Adresse ein Auskunftsbegehren bei Trustpilot. Trustpilot glich aber lediglich die Angaben zur E-Mail-Adresse ab und teilte mit, sie hätte keine Daten über die bei dem Auskunftsbegehren verwandte E-Mail-Adresse. Danach erhielt der Käufer aber erneut eine Befragungs-E-Mail an die E-Mail-Adresse, die bei dem Kauf verwendet wurde – und er beschwerte sich bei einer Datenschutzaufsicht, die dann die Beschwerde an die zuständige dänische Aufsicht weitergab.
Die dänische Aufsicht stellte zunächst fest, dass Trustpilot als Auftragsverarbeiter nicht zuständig für die Auskunft sei. Fraglich sei aber, ob Trustpilot alles getan habe, um seiner Unterstützungspflicht bei Betroffenenrechten, die gegenüber dem Verantwortlichen geltend zu machen sind, nachzukommen. Hier kritisierte die dänische Aufsicht, dass Trustpilot lediglich auf Basis der E-Mail-Adresse einen Abgleich durchführte und nicht weitere (aus Sicht von Trustpilot für die beauftragte Dienstleistung aber nicht relevante Daten wie Name und Adresse) heranzog. Eine schöne Darstellung des Falles finden Sie hier.
1.5 Italien: Bußgeld aufgrund falscher Zahlungsdaten von Kunden
Die italienische Datenschutzaufsucht Garante berichtet, dass sie ein Bußgeld in Höhe von 1 Mio. Euro gegen ein Energieunternehmen verhängte, das über fünf Jahre falsche Zahlungsdaten von Kunden verarbeitete. Dabei wurden Kunden fälschlicherweise als säumige Zahler geführt, was in einem Fall dazu führte, dass ein Kunde nicht den Versorger wechseln und dadurch Einsparungen nicht realisieren konnte. Aufgrund seiner Beschwerde befasste sich die Aufsicht mit dem Fall. Ursächlich seien Fehlanpassungen der unternehmensinternen Systeme gewesen, die dazu führten, dass ein laufender Zahlungsrückstand nicht korrekt an das Integrierte Informationssystem (IIS), die Datenbank, die von den Lieferanten vor der Unterzeichnung eines neuen Vertrags konsultiert wird, gemeldet wurden. Insgesamt seinen ca. 47.000 Kunden betroffen gewesen, die dadurch keinen neuen Vertrag abschließen konnten. Die Aufsicht sah darin insgesamt Verstöße gegen die Rechenschaftspflicht und die technischen und organisatorischen Maßnahmen, die nötig wären, um die Datenverarbeitung rechtskonform durchzuführen.
Anmerkung von mir: Nach dem Sachverhalt könnte dies auch zu Schadensersatzforderungen der betroffenen Personen gegen den Energieversorger führen, dessen falsche Daten ursächlich für die Verweigerungen günstigerer Konditionen waren, aber Schadensersatzansprüche liegen außerhalb der Zuständigkeit der Datenschutzaufsichten.
1.6 CNIL: Bußgeld gegen Apple wegen unzureichender Einwilligungsgestaltung
In Frankreich wurde ein Bußgeld gegen Apple durch die französische Datenschutzaufsicht CNIL in Höhe von 8 Mio. Euro verhängt. Geahndet wird damit die nicht rechtskonforme Gestaltung der Einwilligung bei der Installation der iOS-Version 14.6.
Aufgrund von Beschwerden stellte die CNIL fest, dass unter der alten Version 14.6 des iPhone-Betriebssystems beim Besuch des App Stores Kennungen, die mehrere Zwecke verfolgten, automatisch auf dem Endgerät ausgelesen wurden. Darunter waren standardmäßig Kennungen zum Zwecke der Personalisierung von im App Store geschalteten Werbeanzeigen, ohne dass eine erforderliche Einwilligung eingeholt wurde.
Die Höhe des Bußgeldes rechtfertigt die CNIL mit dem auf den App Store beschränkten Umfang der Verarbeitung, der Anzahl der betroffenen Personen in Frankreich und den Gewinnen, die das Unternehmen aus den Werbeeinnahmen zieht, die indirekt aus den mit diesen Kennungen gesammelten Daten generiert werden. Zudem wurde die Tatsache berücksichtigt, dass das Unternehmen inzwischen die Vorschriften eingehalten habe. Die Zuständigkeit der CNIL ergibt sich aus der Umsetzung der ePrivacy-Richtlinie, die einen „One-Stop-Shop-Mechanismus“ wie in der DS-GVO nicht vorsieht. Der „One-Stop-Shop-Mechanismus“ regelt, dass es nur eine federführende Aufsicht in Europa gibt, sollte eine Leistung oder ein Verfahren europaweit zu Einsatz kommen. Für Verfahren nach der DS-GVO wäre dies die irische Datenschutzaufsicht.
1.7 CNIL: Kein Geschäftsgeheimnis bei Herkunftsangabe bei Auskunft
Im Rahmen eines Verfahrens gegen Verstöße bei der Umsetzung von Betroffenenrechten wie Auskunft und Verletzungen von Schutzmaßnahmen stellte die französische Datenschutzaufsicht CNIL in ihrem Bescheid fest, dass der Ausschlussgrund des Art. 15 Abs. 4 DS-GVO, dass das Recht auf Erhalt einer Kopie gemäß Art. 15 Abs. 3 DS-GVO ausgeschlossen sei, wenn dabei Rechte und Freiheiten anderer Personen beeinträchtigt würden, nicht für das Recht auf Auskunft nach Art. 15 Abs. 1 DS-GVO gilt. Das Unternehmen wollte über die Herkunft der Daten (gemäß Art. 15 Abs. 1 lit. g DS-GVO) keine Auskunft geben, weil dies ein Geschäftsgeheimnis darstelle (RN 36 des Bescheides).
1.8 CNIL: Hinweis auf das „Auslaufdatum“ der „alten“ Standardvertragsklauseln
Die CNIL erinnerte daran, dass die Standardvertragsklauseln der EU-Kommission, die den Drittstaatentransfer in Länder außerhalb der EU/des EWR regelten, bis 27. Dezember 2022 durch die neueren Klauseln, welche am 4. Juni 2021 veröffentlicht wurden, zu ersetzen waren. Die Verwendung der alten Klauseln stellt danach keine Zulässigkeit eines entsprechenden Datentransfers mehr dar. Die österreichische Datenschutzbehörde wies ebenfalls darauf hin.
1.9 ICO: Hilfsmittel zur Bewertung des Drittstaatentransfers
Fassen wir zusammen: Das Vereinigte Königreich hat die EU verlassen, es gilt dort aufgrund eines zunächst befristeten Angemessenheitsbeschlusses ein gleichwertiges Datenschutzniveau. Die ICO stellt hier dar, an was bei einem Transfer aus dem Vereinigten Königreich in einen Drittstaat zu beachten sei. Neben den Standarddatenschutzklausel der EU-Kommission nach Art. 46 Abs. 2 lit. c DS-GVO, die im Juni 2021 veröffentlicht wurden (ja, ich weiß auch, dass die EU-Kommission diese Standarddatenschutzklauseln trotzdem Standardvertragsklauseln nennt, aber ich zitiere lieber die DS-GVO richtig), sind weitere Maßnahmen zu ergreifen. Die britische Datenschutzaufsicht ICO hat hierzu entsprechende Vorgaben und Beispielsfälle erarbeitet und veröffentlicht. Dort finden sich auch die Formulierungen, die als International Data Transfer Agreement (IDTA) zu vereinbaren sind. Zusätzlich ist eine Bewertung durchzuführen, die die ICO „Transfer Risk Assessment“ (TRA) nennt.
Dazu veröffentlicht die ICO auch ein Tool, das bei der Bewertung hilft. Dieses bearbeitet auf 41 Seiten in sechs Frageblöcken Themenfelder, die zu Risiken führen können, gibt dazu Erläuterungen und Beispiele. Es kann m.E.n. auch als Hilfsmittel für eine eigene Bewertung eines Transfers aus der EU heraus in einen Drittstaat herangezogen werden.
1.10 Sachsen: Beschwerden zu Beitragsservice des öff.-rechtl. Rundfunks
Offensichtlich gibt es in Sachsen etliche Anfragen an die dortige Aufsicht, wieso denn Meldedaten an den Beitragsservice zur Finanzierung des öffentlichen Rundfunks weitergegeben werden dürften. Die Aufsicht weist nun zumindest auf ihrer Startseite recht deutlich darauf hin, dass dies in einem Gesetz (§ 11 Abs. 5 Rundfunkbeitragsstaatsvertrag) geregelt sei und an wen sich die betroffenen Personen wenden mögen, wenn sie sich datenschutzrechtliche Beschwerden einbringen möchten (für den Mitteldeutschen Rundfunk ist dieser hier zu finden).
2 Rechtsprechung
2.1 OLG Celle: Umfang des Auskunftsanspruchs
Es wird Zeit, dass der EuGH hier für mehr Klarheit schafft: Umfasst ein Auskunftsanspruch einer betroffenen Person tatsächlich auch alle Dokumente, die mit einer Person zu tun haben könnten? Das OLG Celle musste im Rahmen einer Streitigkeit um die Anpassung von Versicherungsbeiträgen dies bewerten und lässt z.B. auch Mitteilungsschreiben an den Versicherungsnehmer als personenbezogenes Datum dem Auskunftsanspruch zuordnen (RN 120 des Urteils) und interpretiert den Anspruch auch bezüglich der Datenkopien sehr extensiv (RN 125ff). Die Motivationslage des Klägers sei bei einem Auskunftsanspruch nicht zu berücksichtigen (RN 121).
2.2 LG München zu Cookie-Gestaltung
Sie wurden bereits informiert, dass ein Verlag noch während des Verfahrens sein Consentbanner für die Nutzung der Online-Seiten der Zeitschrift „Focus“ änderte. Nun berichtet der klagende verbraucherzentrale Bundesverband, dass auch das Urteil veröffentlicht sei. Die Zeitschrift nutzte ein Banner, das den Nutzer:innen nur die Wahl ließ, durch Klick auf „Akzeptieren“ in die Verarbeitung ihrer Daten und ihres Surfverhaltens durch zahlreiche Drittunternehmen in vollem Umfang einzuwilligen oder durch Anklicken der Schaltfläche „Einstellungen“ eine gesonderte Auswahl zu treffen. In letzterem Fall öffnete sich ein Fenster „Privatsphäre-Einstellungen“, das auf mehr als 140 Bildschirmseiten nach Datennutzung differenzierte Einstellungen für mehr als 100 Drittanbieter enthielt. Die Schaltflächen „Alle akzeptieren“ und „Auswahl speichern“ waren deutlich hervorgehoben. Die Möglichkeit „alle ablehnen“ war dagegen unscheinbar in blasser Schrift in der rechten oberen Ecke des Fensters platziert. Das Landgericht München schloss sich der Auffassung des klagenden verbraucherzentrale Bundesverbandes (vzbv) an, dass die durch das eingesetzte Banner eingeholten Einwilligungen unwirksam sind. Der Einwilligungsmechanismus verstoße gegen die gesetzlichen Anforderungen. Diese setzen für eine wirksame Einwilligung eine freiwillige, in informierter Weise und unmissverständlich abgegebene Willensbekundung der Nutzer:innen voraus. Das Urteil ist noch nicht rechtskräftig und nach ersten Berichten dazu werden Rechtsmittel eingelegt werden.
Für Spezialist:innen unter Ihnen: Das Urteil stellt in der Wiedergabe des Klägervortrags den Sachverhalt eines Real Time Biddings (RTB)* auf Seite 158 gut dar. Das Gericht bewertet die Aktivitäten um den TC-String als Verarbeitung personenbezogener Daten (ab Seit 192). Ein TC-String steht für einen Transparency & Consent String, eine codierte Zeichenkette, die alle relevanten Informationen rund um den Consent des Nutzers enthält und an sämtliche Parteien weitergereicht wird.
Im Übrigen seien laut Gericht Cookies für eine domänenübergreifende Nachverfolgung zu Analyse und Marketingzwecken für den Betrieb eines Nachrichtenportals nicht technisch unbedingt erforderlich (Seite 197). Eine rechtliche Bewertung des Real Time Bidding finden Sie hier.
* Franks Anmerkung: Zum Thema Real Time Bidding hatten wir ja schon das eine oder andere Mal Informationen hier im Blog…
2.3 VG Ansbach: Zulässigkeit der Bildaufnahmen von Falschparkern
Die beiden Urteile, unter welchen Bedingungen Aufnahmen von Falschpartnern angefertigt und an die Behörden zur Verfolgung weitergegeben werden können, sind nun veröffentlicht. Das BayLDA sah dafür die DS-GVO anwendbar und verwarnte in zwei Fällen mit je 100 Euro. Diese Verwarnungen wurden dann gerichtlich überprüft. Das VG Ansbach sah in beiden Fällen die DS-GVO anwendbar und hob in beiden Fällen die Bescheide auf. Die beiden Urteile sind nun veröffentlicht. Das Gericht folgte dabei nicht der Bewertung des BayLDA, dass eine Anzeige auch ohne Bildaufnahmen erfolgen könnte und sah als Rechtsgrundlage die Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO. Allerdings sind bei den Aufnahmen alle Hinweise auf unbeteiligte Personen wie KFZ-Kennzeichen oder andere Hinweise zu entfernen. Im zweiten Fall betont das Gericht dabei, dass eine persönliche Betroffenheit eines Anzeigeerstatters für das Vorliegen eines berechtigten Interesses nicht erforderlich sei.
Das BayLDA hebt in seiner Pressemitteilung zur Veröffentlichung der Urteilgründe dazu hervor, dass das Gericht seiner Argumentation des Anwendungsbereichs der DS-GVO gefolgt sei und ein Anzeigenerstatter damit auch die Betroffenenrechte sicherstellen müsse. Der Klägervertreter weist dagegen auf seiner Homepage darauf hin, dass er die Anwendbarkeit des Datenschutzrechts auf die Zusammenstellung von Daten zur einer Anzeige noch dem Haushaltsprivileg aus Art. 2 Abs. 2 lit. c DS-GVO zuordnen würde.
2.4 OGH Österreich: Zulässigkeit von Datenschutzklauseln
Der Oberste Gerichtshof in Österreich hatte über die Zulässigkeit der Einbindung von Datenschutzklausen zu entscheiden. Dabei wurden Fragen der Zulässigkeit der Klage durch eine Verbraucherschutzorganisation besprochen, aber eben auch die Frage, welche Rechtsfolgen sich aus einer Gestaltung der Hinweise zu Datenschutzinformationen ergeben können.
Hier wurden die Datenschutzinformationen in einem weiteren Dokument aufgeführt und im Rahmen des Vertragsabschlusses zu einer Versicherungsleistung musste der Nutzer bestätigen, dass er sie zur Kenntnis genommen hatte. Hierzu kommt das Gericht zu dem Ergebnis, dass diese Datenschutzhinweise nicht um ein bloßes Informationsdokument ohne Rechtsfolgewille handele (RN 23 des Urteils). Damit unterliegen diese Datenschutzhinweisen der Klauselkontrolle (bei uns würden wir wohl AGB-Kontrolle sagen und damit die Transparenzregelungen der verbraucherschützenden gesetzlichen Vorgaben meinen).
Das Gericht hält dann die Formulierung in den Klausen
5: Die Bereitstellung Ihrer personenbezogenen Daten sowie gegebenenfalls von Dritten, die Sie namhaft machen, ist zur Prüfung Ihres Versicherungsrisikos, zur Begründung unseres Versicherungsverhältnisses und zur Erfüllung Ihrer Leistungsansprüche erforderlich.
6: Sollten Sie uns diese Daten nicht oder nicht im benötigten Umfang bereitstellen, so können wir das von Ihnen gewünschte Versicherungsverhältnis unter Umständen nicht begründen oder Ihren Leistungsfall nicht erfüllen. Bitte beachten Sie, dass dies nicht als vertragliche Nichterfüllung unsererseits gelten würde.
für unzulässig, weil sie nicht transparent genug aus Sicht des jeweiligen Verbrauchers seien (RN 50 ff).
2.5 Schweden: Umfang des Auskunftsanspruchs
In einem Verfahren zur Überprüfung der Maßnahmen der schwedische Datenschutzaufsicht gegen KLARNA über den Umfang der Auskunftspflicht hinsichtlich der Empfänger der Daten, schloss sich das Verwaltungsgericht der Ansicht der Aufsicht an. Soweit möglich, sind auch die Empfänger zu beauskunften und nicht nur die Kategorein von Empfängern.
2.6 EuGH: Umfang des berechtigten Interesses
Der EuGH darf sich mit einer Vorlage aus den Niederlanden befassen, bei der im Verfahren (C-621/22) geklärt werden soll, ob das berechtige Interesse aus Art. 6 Abs. 1 lit. f DS-GVO auch wirtschaftlich Interessen umfasse.
3 Gesetzgebung
3.1 EU: NIS-2-Richtlinie veröffentlicht
Die Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) wurde im europäischen Amtsblatt am 27. Dezember 2022 veröffentlicht. Sie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Bis zum 17. Oktober 2024 erlassen und veröffentlichen die Mitgliedstaaten die erforderlichen Vorschriften, um dieser Richtlinie nachzukommen. Anzuwenden sind dann diese Vorschriften ab dem 18. Oktober 2024.
3.2 BMJ: Korrektur der Anforderungen an Handelsregistereinträge
Das Bundesministerium der Justiz wies darauf hin, dass nun eine Änderung der Handelsregisterverordnung klarstellt, welche Dokumente und Informationen im Rahmen der Veröffentlichungspflicht berücksichtigt werden sollten. Durch eine Änderung in § 9 Handelsregisterverordnung sei nun auch die Möglichkeit eines Dokumententausches geregelt, dass neue Dokumente eingereicht werden könnten, wenn in einem bisherigen Dokument Angaben enthalten seien, die nicht in den Registerordner gehören. Mir ist dabei leider nicht ganz nachvollziehbar, warum sich diese Fragen nicht über die Anwendung der Grundsätze der Datenminimierung und des Berichtigungsanspruches hätten regeln lassen.
Franks Nachtrag: Hier ist Kontext.
Franks zweiter Nachtrag: Und wenn Sie über ein Vereinsamt im Handelsregister enthalten sind, möchten Sie vielleicht hier schauen. Da können Sie selbst aktiv werden…
4 Künstliche Intelligenz und Ethik
4.1 Drei Verteidigungslinien gegen Risiken der Künstlichen Intelligenz
Three Lines of Defense (3LoD) sind mittlerweile bei der Abwehr von Risken bei der Informationssicherheit oder im Datenschutz oft praktiziert. Dabei nehmen die Aufgaben der 1st-Line oft operative Bereiche wahr, die 2nd-Line übernimmt strategische Vorgaben und die Einhaltung und die interne Revision überwacht die Umsetzung der beiden ersten Linien in der 3rd-Line. Wie sich dieses Konzept bei der Abwehr von Risiken durch den Einsatz von Künstlicher Intelligenz einsetzen lässt, wird in diesem Beitrag betrachtet, der hier veröffentlicht wurde.
4.2 Erleichterungen durch synthetische Daten?
Alle, die Daten verarbeiten, wissen um die Dokumentationspflichten und Anforderungen, wenn dabei ein Personenbezug hergestellt werden kann (zumindest im Idealfall wissen das alle). Ob dabei synthetische Daten eine Erleichterung, wenn nicht gar eine Lösung sein können, wird in diesem Artikel behandelt.
Passend dazu wird in einem anderen Beitrag ein Dienstleister beschrieben, der synthetische Daten für Testläufe anbietet.
4.3 Einsatz von Gesichtserkennung
Dass neue Technologien oftmals Risiken für die Rechte und Freiheiten natürlicher Personen bedeuten können, ist die Grundannahme der DS-GVO. Ein praktisches Beispiel dafür ist dieser Bericht über einen Fall aus New York City, bei dem der Betreiber von Veranstaltungen alle Besucher über eine Gesichtserkennung überprüft. Danach wurde einer Anwältin der Zutritt zu einem Weihnachtsmusical verwehrt, weil ihre Kanzlei einen Mandanten gegen das Betreiberunternehmen vertritt, auch wenn sie persönlich gar nicht mit dem Fall betraut war.
Franks Nachtrag: MSG verteidigt übrigens den Rausschmiss. Ballsy… Und zumindest eine Rechtsanwaltsfirma will sich kreativ revanchieren…
4.4 „Corporate Digital Responsibility“ bei DAX-Unternehmen
Der von KPMG veröffentlichte „DAX-Digital-Monitor“ herausgegebene Forschungsbericht betrachtet zum ersten Mal das Reporting zu „Corporate Digital Responsibility“ (CDR) in den Geschäftsberichten 2021 der DAX-Unternehmen. Das Ergebnis mag für die einen ernüchternd, für die anderen erwartungskonform sein: Keines der 40 Unternehmen wird in seinem Bericht konkret. Dabei waren zwei Unternehmen mit einem eigenen CDR-Bericht bei der CDR-Initiative vertreten. Zu einem positiveren Ergebnis kam eine andere Studie, die neben den Geschäftsberichten auch Nachhaltigkeitsberichte sowie die Websites miteinbezog und eine andere Methodik anwandte.
4.5 ChatGPT in der digitalen Lehre
Bringt Künstliche Intelligenz – wie z.B. ChatGPT eine Wende in der Lehre? Damit befasst sich dieser Beitrag. Empfehlenswert ist aber auch dieser YouTube-Beitrag zu ChatGPT in der modernen Lehre (Dauer ca. 1:02 Std.).
Franks Nachtrag: Apropos ChatGPT
5 Veröffentlichungen
5.1 Datenschutzverletzungen und Berufsgeheimnisträger
Hier finden Sie einen umfassenden Beitrag einer wissenschaftliche Auseinandersetzung mit der Melde- und Dokumentationspflicht aus Art. 33 Abs. 1 und Abs. 5 DS-GVO unter Berücksichtigung reaktiver sowie präventiver Aspekte am Beispiel der Anwaltschaft. Dieser kann natürlich auch für andere Berufe mit einer berufsrechtlichen Verschwiegenheitspflicht herangezogen werden.
5.2 Nutzung kommunaler Daten und deren Monetarisierung
Nicht nur für Personen, die Kommunen zur Datennutzung beraten, ist dieser freizugängliche Fachbeitrag interessant. Er vermittelt auch Einblick und Abgrenzungskriterien für andere Konstellationen, wie Daten seitens öffentlicher Stellen monetarisiert werden dürften.
5.3 Ausblick kirchliches Datenschutzrecht
Wer sich für kirchliches Datenschutzrecht interessiert, kennt die Seite www.artikel91.eu sicherlich: Hier findet sich ein Ausblick, was im Jahr 2023 innerhalb des kirchlichen Datenschutzrechts an Entscheidungen und Entwicklungen zu erwarten sein wird.
5.4 MS 365: Neues Jahr – neue Texte
Microsoft veröffentlichte mit dem Januar 2023 vertragliche Texte als neue DPA (Data Protection Addendum, bisher nur in englisch). Jetzt war Microsoft ja schon von seinen Texten Stand September 2022 überzeugt (Aussage vom 25.11.2022, letzter Satz) mit den damaligen vertraglichen Zusagen und insbesondere dem Anhang C über die rechtlichen Anforderungen hinauszugehen, um die Daten seiner Kunden zu schützen. Warum nun erneute Änderungen? Egal. Hier finden Sie eine erste Darstellung eines Rechtsanwalts auf LinkedIn, was sich geändert hat, z.B. dass für personenbezogene Daten, die Microsoft als Anbieter von Telekommunikationsdiensten erfasst und die daher nicht der DS-GVO unterfallen, klargestellt werde, dass Microsoft die einschlägigen gesetzlichen Vorgaben umsetze. Hierzu zählten insbesondere das Fernmeldegeheimnis (§ 3 TTDSG).
Unabhängig von den neuen Texten (und wahrscheinlich auch in Unkenntnis des genauen Wortlauts dieser Texte) empfiehlt der scheidende LfDI Baden-Württemberg in einem Interview gerade öffentlichen Stellen zu hinterfragen, ob sie wissen, wie ihr Dienstleister diese Daten nutzt.
5.5 GDD: Praxishilfe Auftragsverarbeitung
Ja, wir waren unserer Zeit voraus und hatten bereits darauf hingewiesen. Daher nur eine Erinnerung, weil der Stand der Praxishinweise für Auftragsverarbeiter der GDD mit Januar 2023 angegeben wird.
5.6 Verteidigung gegen Bußgelder und andere Sanktionen der Datenschutzaufsichtsbehörden
Wer hier nicht aufpasst und / oder sich nicht auf die Empfehlungen der eigenen Expert*innen hört, kann oft mit einem Bußgeld oder einer anderweitigen Sanktion einer Datenschutzaufsichtsbehörde konfrontiert sein. Aber auch selbst diese müssen nicht immer richtig liegen. Gerichte sind in ihrer Bewertung nicht an Leitlinien des EDSA oder Orientierungshilfen der DSK gebunden. Eine schöne Darstellung des Ablaufs eines Sanktionsverfahren mit Praxistipps, die ihren Namen verdienen, finden Sie hier.
5.7 Vergleich bei Datenleck bei Mastercard?
Gibt es einen Anspruch auf (immateriellen) Schadenersatz bei einer Datenpanne? Und wenn ja, wie hoch ist dieser? Und brauche ich über den Vorfall hinaus eine Art „Beeinträchtigung“? Alles Fragen, die durch den EuGH noch nicht geklärt sind und bei denen daher entsprechende Rechtsunsicherheit herrscht, welche Ansprüche in welcher Höhe bestehen. Laut diesem Bericht gibt es nun ein Vergleichsangebot an Betroffene der Datenschutzverletzung bei Mastercard in Höhe von 300 Euro.
5.8 Rechtkonformer Einsatz von Mastodon
An was ist bei einem rechtskonformen Einsatz von Mastodon zu denken? Nutzungsbedingungen, Datenschutz, Digital Service Act? Informationen dazu hören Sie in diesem Podcast (Dauer ca. 2:29 Std.).
5.9 Umfrage zur Cybersicherheit
PwC führt derzeit eine Umfrage zur Cybersicherheit in Deutschland durch. Bei Interesse: Für die Teilnahme solltren Sie ca. 10 Min. Dauer einplanen.
5.10 Veranstaltungen
5.10.1 Daten-Dienstag im Museum für Kommunikation Nürnberg
24.01.2023, 19:00 – 20:30 Uhr: Der Eröffnungsvortrag des Jahres 2023 von Aline Blankertz gibt Einblicke in die ökonomischen Perspektiven des Daten-Teilens. Aline Blankertz ist angewandte Ökonomin und aktuell Referentin für Politik bei Wikimedia sowie Co-Founder und Co-Chairwoman bei der SINE Foundation. Anhand der Bereiche IoT (Internet of Things/Internet der Dinge), Mobilität und Gesundheit zeigt sie aktuelle Entwicklungen und Potentiale auf, die entstehen können, wenn Organisationen Daten teilen. Sie setzt damit einen Auftakt-Impuls für das Datenschutz-Jahr 2023, in dem nicht nur die Datenschutz-Grundverordnung ihren fünften Geburtstag feiert, sondern zugleich auch die Politik nach neuen Modellen und Regeln für eine stärkere Datennutzung sucht. Anmeldung erforderlich.
5.10.2 DATEV: Social Media-Nutzung durch Kinder und Jugendliche
06.02.2023, 18:30 – 20:00 Uhr: Kinder und Jugendliche nutzen die sozialen Medien immer früher und in einem immer größer werdenden Ausmaß. Am Beispiel der beliebten Plattform TikTok erläutert Lisa Pommerening, LL.B., den datenschutzrechtlichen Rahmen und was es trotz dessen bei der Nutzung zu beachten gibt. Danach zeigt der Medienpädagoge Christof Thönelt Chancen und Gefahren bei der Social Media-Nutzung im Jugendalter (Sekundarstufe 1) auf und gibt konkrete Tipps und Maßnahmen für den Erziehungsalltag von Eltern und Erziehungsberechtigten. Im Rahmen des Safer-Internet-Day 2023 bietet die DATEV diese Veranstaltung kostenlos auch für Personen außerhalb der DATEV an. Externe Teilnehmer können sich unter DSUS-Veranstaltungen@datev.de für die Veranstaltung in der Fürther Str. 111 in Nürnberg anmelden. Die Veranstaltung findet nicht hybrid statt.
6 Gesellschaftspolitische Diskussionen
6.1 Barrierefreie Bildbeschreibungen
Das Bewusstsein für barrierefreie Webseitengestaltung steigt immer mehr. Hier finden sich Empfehlungen zu alternativen Bildbeschreibungen.
6.2 TikTok im Fokus der Kritik
Nach diesem Bericht überlegt man auch in den USA TikTok aus den App-Stores zu verbannen. Ähnlich wie in Indien werden negative Einflüsse auf die nationale Sicherheit sowie Souveränität befürchtet. So wurde bereits die Nutzung auf den offiziellen Geräten der Abgeordneten im US House of Representatives untersagt.
Franks Nachtrag: Dass scheint ja keine ganz so schlechte Idee zu sein, so wie TikTok agiert…
6.3 „Datenschutz-Navigator“
Deutschland-sicher-im-Netz hat mit Unterstützung des BfDI einen „Datenschutz-Navigator“ veröffentlicht. Der Datenschutz-Navigator führt über Standardfragen durch praxisrelevante Themen und soll dabei aufzeigen, worauf zu achten sei. Zusätzlich ist nach Abschluss der Fragen ein kleines Berichtsheft erhältlich. Dieses gibt einen ersten Überblick, welche Themen einer zusätzlichen Beachtung bedürfen, kann aber natürlich eine sachverständige Beratung nicht ersetzen.
(Auch das eigesetzte Cookiebanner der Webseite würde ich unter diesen Vorbehalt stellen.)
7 Sonstiges/Blick über den Tellerrand
7.1 Biometriedaten in Afghanistan
Hier wieder ein schönes Beispiel, dass wir nicht zu wenig Regulatorik haben, sie müsste nur angewendet werden. Biometrische Daten und sicherheitspolitische Einsatzzwecke – da denkt jeder, der schon mal was von Datenschutz gehört hat, an Schutzmaßnahmen, Zugriffsanforderungen, Löschroutinen. Nicht aber beim Einsatz durch Nato-Truppen in Afghanistan. Da tauchen laut Berichten nun Geräte mit biometrischen Daten auf ebay auf und gefährden damit Leib und Leben nicht nur derjenigen, die noch in Afghanistan sind, sondern aller, die evtl. mit ihren biometrischen Daten anderswo noch Zugang zu Daten oder Gebäuden erlangen möchten und Teil der Truppen in Afghanistan waren.
Franks Nachtrag: Ich will ja nicht sagen „Das haben wir schon vorher gesagt.“, aber doch, haben wir irgendwie schon…
Franks zweiter Nachtrag: Hier sind noch passend zum Thema ein Artikel und zwei Podcasts, zum einen das ARD Radiofeature „Verräterische Daten – Doku über die Gefahren der Biometrie“ (50 Minuten) und zum anderen „Verräterische Daten – R. Ciesielski und M. Zierer im Gespräch“ (30 Minuten), ein Gespräch mit den Autor*innen des Radiofeatures.
Wie gesagt: „Told you so…“
7.2 Wer traut welchem Messenger – und warum?
Es ist schwer einen Messenger zu empfehlen, der dauerhaft alle Anforderungen an Vertraulichkeit und Zweckbestimmung einhält. Signal galt bislang als einer, der diesbezüglich oft genannt wurde. Hier fand ich einen Gast-Beitrag, der sich kritisch mit der Philosophie hinter Signal – dass jede Kommunikation vertrauensvoll sei und daher auch jede Form der Überwachung auch durch stattliche Stellen auszuschließen sei, auch, wenn in einem Rechtsstaat ein entsprechender Beschluss der Strafverfolgungsbehörden vorläge – auseinandersetzt.
Franks Nachtrag: Ich habe da noch einen knappen Messenger-Feature-Vergleich…
7.3 Digitalisierungsgrad innerhalb der EU
Wie hoch ist der Digitalisierungsgrad in Deutschland im Vergleich zu anderen EU-Staaten? Damit befasst sich diese Statistik, die Deutschland im gesicherten Mittelfeld ansiedelt. Die Europäische Kommission veröffentlicht jährlich den Index für die digitale Wirtschaft und Gesellschaft (DESI), der die Fortschritte der Mitgliedstaaten in den fünf wesentlichen Bereichen Konnektivität, digitale Kompetenzen, Internetnutzung durch Privatpersonen, Integration digitaler Technik durch Unternehmen und digitale öffentliche Dienste verfolgt.
8. Franks Zugabe
8.1 Apropos ChatGPT
Ok, das wird wohl ein längerer Beitrag. Alle reden oder schreiben gerade von oder spielen mit ChatGPT. Deswegen ist da in den letzten zwei Wochen einiges zusammen gekommen. Also, hinsetzen, anschnallen, festhalten, die Fahrt geniessen:
(Ich stelle das mal am Besten in Listenform da.)
- Eine Mitarbeiterin der Wall Street Journals nutzt ChatGPT – Cheating With ChatGPT: Can OpenAI’s Chatbot Pass AP Lit? (youtube, ca. 7 Min.)
- Das GQ Magazin nimmt sich der Frage an, was ChatGPT tatsächlich für uns tun kann – 5 ways ChatGPT could change your life (and not necessarily for the better)
- Passend dazu will uns dieses Video (youtube, ca. 7 Min.) über die Gefahren von ChatGPT informieren – The Real Danger Of ChatGPT
- Irgendwie auch noch passend zum Thema – New York City: Größter US-Schulbezirk sperrt Zugang zu ChatGPT
- Business Insider lässt Bewerbungen von ChatGPT schreiben und schaut sich an, wie gut das funktioniert – I asked ChatGPT to write my cover letters. 2 hiring managers said they would have given me an interview but the letters lacked personality.
- Diskussionen mit einem Wackelpudding – Unterhaltungen mit ChatGPT – dem Sprachmodell auf die Zunge geklopft – zur Frage, ob ChatGPT sich Gesprächsverläufe merkt.
- Nicht unerwartet, aber trotzdem – ChatGPT: Aufmerksam, aber nicht ohne Diskriminierung
Und da diese Meldung nicht direkt über sondern nur zu ChatGPT ist, bekommt sie einen eigenen Text außerhalb der Liste aber keine eigene Überschrift:
Ein Student hat eine Software entwickelt, die feststellen kann, ob ein Text von ChatGPT erstellt wurde. Hier ist die Meldung vom 4. Januar 2023 von TheDailyBeast, hier eine heise.de-Meldung zum gleichen Thema vom 8. Januar 2023.
8.2 Ein positiver Jahresrückblick
Es gab sicherlich viele Jahresrückblicke zum Jahreswechsel 2022/2023, nicht alle waren positiv, da ja nun vieles im letzten Jahr nicht positiv war.
Aber es gab positive Entwicklungen. 22 davon werden in diesem Video (youtube, ca. 28 Min.) aus den USA vorgestellt. Sie müssen nur die deprimierenden ersten 45 Sekunden durchhalten, dann wird es besser…
8.3 Noch ein Jahresrückblick – Sind wir Protagonist oder NPC?
Eine wirklich gute Frage. Ich sehe mich auch eher als Protagonist…
8.4 Ausblick auf KI im Jahr 2023
Und passend zu einem Jahresrückblick habe ich natürlich auch einen Ausblick, auf KI im konkreten (aus US-amerikanischer Perspektive), dieser ist nicht nur rosig für die KI-Szene und auch nicht für alle von KI Betroffenen. In Kurzform werden fünf Trends ausgemacht:
- Es wird mehr (problematische) Kunst-erzeugende KI-Applikationen geben.
- Künstler und Kreative werden große Anstrengungen unternehmen, um ihre Kreationen aus den Data-Sets, mit denen die KI arbeiten, herauszuhalten oder herauszubekommen.
- Open Source und dezentrale Ansätze werden im KI-Umfeld stärker werden.
- KI-Unternehmen beäugen kritisch die europäischen Ansätze KI zu regulieren (siehe u.a. hier, hier und hier).
- Für KI-Unternehmen ist die Finanzierung nicht mehr ganz so leicht.
8.5 Apropos Ausblick – Alte Prognosen
Ausblicke sind ja spannend. Wer wagt sich aus der Deckung, wer prognostiziert die Zukunft? Und wer liegt dabei richtig? Ich erinnere immer wieder gerne an das erste Fax in der originalen Star-Trek-Serie.
Aber nicht nur die Star Trek Macher lagen so mit einer Prognose richtig auch andere hatten ein gutes Händchen dabei zukünftige Trends zu benennen: Als Beispiel bietet sich die „You will“-Reihe von AT&T aus dem Jahr 1993 an.
Und einer der ganz Großen der Science Fiction (der auch Autor wirklich vieler guter Sachbücher war) hat es sich nicht nehmen lassen über die konkreten Zukunftsperspektiven und -szenarien zu sprechen. Arte hat Isaac Asimov eine informative Dokumentation gewidmet, die sehenswert ist.
8.6 KI – A holographic conversational video experience created by a startup called StoryFile
Hatten wir so etwas ähnliches nicht schon mal? Ja, hatten wir. Hier geht es zum aktuellen Artikel.
8.7 Microsoft und KI – ChatGPT soll es richten
Und noch eine Meldung zu ChatGPT, aber halt auch zu Microsoft, also…
Microsoft, als einer der ganz großen Geldgeber hinter OpenAI, möchte scheinbar als Rendite die ChatGPT-Technologie in die Bing-Suche einbauen, damit diese besser mit Google konkurrieren kann.
8.8 KI – Lost for words
In diesem Beitrag beschäftigt sich Wendy M. Grossman mit der Frage, ob die relevanten Daten zum Anlernen von KI ausgehen…
8.9 TAB: KI – Algorithmen in digitalen Medien und ihr Einfluss auf die Meinungsbildung
Laut diesem Bericht bemängelt das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag (TAB), dass von Robotern geschriebene Texte in Deutschland bislang nicht als solche gekennzeichnet werden und fordert ein Label für solche Texte. Passend zum Artikel hier die dazugehörige Studie und die zusammengefasste Darstellung der Ergebnisse durch das TAB-Team.
Apropos Rückblicke: Beim Lesen viel mir übrigens noch diese Perle in die Hände. Im Chat mit der größten potenziellen Technologie? – Von interaktiven Begegnungen mit und bleibenden Eindrücken von KI-Systemen im Jahr 2022.
8.10 Apropos DoNotPay – AI legal assistant will help defendant fight a speeding case in court
Laut diesem Artikel soll im Februar 2023 eine KI von DoNotPay einem Verteidiger während einer Gerichtsverhandlung die komplette Gesprächsführung vorgeben. Das finde ich nicht nur wegen der Datenschutzbestimmungen der DoNotpay, Inc spannend, die ausdrücklich darauf hinweist, dass „As DoNotPay is not a law firm, please note that any communications between you and DoNotPay may not be protected under the attorney-client privilege doctrine.“
Mal schauen, ob wir dazu noch ein Update bekommen.
8.11 AI Image Generators are a New Frontier of Copyright Confusion
Ich hatte schon über die urheberrechtlichen Aspekte bei KI-Erzeugnissen berichtet, hier ist ein weiterer Artikel „AI Image Generators are a New Frontier of Copyright Confusion“ zum Thema.
8.12 Scroogled
Ich hatte „zwischen den Jahren“ ein wenig Zeit, ich habe mir ein paar spannende, mitunter im Internet verfügbare Hörbücher angehört. Eines davon möchte ich Ihnen ans Herz legen*. Wenn Sie mal wieder Argumentationshilfen für die Menschen (in Ihrem Umfeld) brauchen, die sagen sie hätten nicht zu verbergen. natürlich ist die Geschichte alt und nicht alles darin entspricht der heutigen Realität. Aber nichts davon hört sich so an, als ob es vollkommen ausgeschlossen ist. Ich sage nur „Meta-Daten bei Google-Mails“. Die Geschichte gehört übrigens zu einer Sammlung, die Sie hier finden können.
* Franks Anmerkung: Ich liebe alle Hörbücher, wenn sie von Wil Wheaton gelesen werden.
8.13 Show. Me. This.
Cory Doctorov (siehe auch den vorherigen Beitrag) hat sich wieder mal mit Social Media auseinandergesetzt: Warum wir mit „Show me this.“ nicht „Show me things like this.“ meinen. Lesenswert.
8.14 Eine gute Nachricht zum Jahreswechsel – wieder mal ein Urteil, welches anlasslose und massenhafte Verarbeitung von personenbezogenen Daten untersagt
So urteilt nach diesem Artikel das Verwaltungsgericht Wiesbaden. Wobei, ist diese Nachricht wirklich uneingeschränkt gut? a) Vorratsdatenspeicherung ist wie ein Zombie, die kommt immer wieder. b) Im Artikel selbst wird über geplante Tricksereien der EU-Mitgliedsstaaten berichtet. Und c) Sowas (siehe Update zum Blogpost) geht natürlich auch immer.
Franks Nachtrag: Ha! Dass ich mal was zur Kategorie Rechtsprechung bringe…
8.15 LfDI Baden-Württemberg – Auf den letzten Metern
Dr. Brink im Interview zu dem ersten sanktionierten Doxing-Fall im Südwesten.
Franks Nachtrag: Ha! Dass ich mal was zur Kategorie Aufsichtsbehörden bringe…
8.16 Breaking RSA with a Quantum Computer?
Chinesische Forschende haben eine Studie publiziert, nach der sie zumindest eine Möglichkeit aufgezeigt haben, wie RSA mit Hilfe von Quantencomputing zu knacken sei. Selbst Bruce Schneier schreibt, dass das meiste aus der Studie „over his head“ sei. Soweit wie ich es verstehe, haben die Chinesen nicht RSA geknackt, aber sie haben eine idee, wie es über Skalierung knackbar sei. Und da liegt wohl bei dieser Annahme der Hase im Pfeffer. Hier gibt es eine Diskussion dazu. Und in dem Artikel von Bruce Schneier ist das aktuellste Update (vom 07.01.2023) mit den Worten „no need to panic“ umschrieben. Nun ja, in dem verlinkten Artikel zu dem Update wird es ein wenig ausgeführt (das liest sich wie ein guter Plan):
- Don’t panic
- Don’t procrastinate in your migration to quantum-safe cryptography
- Plan a migration to post-quantum public-key cryptography, and ALSO be prepared for an unexpected break that works
8.17 Ein Wechsel der Meeting-Kultur?
Wenn sich das hier durchsetzt, würde das Ihnen auch gefallen?
8.18 Der LastPass-Breach oder: Wie gute Krisen-PR nicht geht
Ich glaube, wir hatten über den LastPass-Breach nicht berichtet. Wer kann da auch den Überblick behalten, bei all den ungewollten Abflüssen von schützenswerten Daten. Hier gibt es auf jeden Fall eine Bewertung des Vorfalls. Und hier eine Überlegung, wieso dieser Breach (obwohl dort scheinbar keine Passworte verloren gegangen sind) doch Passwort-Safes gefährden kann. Nämlich dann, wenn ein schwaches Masterpasswort genutzt wird. Was häufiger der Fall sein soll, als bisher allgemein vermutet wurde.
Aber deswegen habe ich diesen Beitrag eigentlich gar nicht geschrieben. Eigentlich geht es mir um die Bewertung der Krisen-PR von LastPass und was da hätte besser laufen sollen. Falls Sie mit Krisen-PR zu tun haben ist das für Sie lesenswert.
8.19 Apropos Passworte – How Long It Would Take A Hacker To Brute Force Your Password In 2022
Solche Auswertungen sind für Sensibilisierungen immer gut zu gebrauchen.
8.20 Porn, Piracy, Fraud: What Lurks Inside Google’s Black Box Ad Empire
Hatten wir nicht schon was zu Google? Nun ja, in diesem längeren Artikel wird versucht das Geschäftsmodell von Googles Anzeigen-Imperium ein wenig zu durchleuchten. Lesenswert.
8.21 Potsdam hat die Internetverbindung der Stadtverwaltung „vorsorglich“ abgeschaltet – Lessons (not) learned?
Laut diesem Bericht gab es ein Déjà-vu in Potsdam: Die Server der Verwaltung der brandenburgischen Hauptstadt waren kurz vor dem Jahreswechsel 2022/2023 größtenteils nicht erreichbar. Was wohl auch im Jahr 2020 schon mal ein Problem in Potsdam war. Nun ja, solange sie bei der Auswertung des Cybersicherheitsvorfall nicht den albanischen Weg gehen…
8.22 Leicht OT – Ein Ring, sie zu knechten…
OK, Ok, zugegeben. Mit Datenschutz oder IT-Sicherheit hat das nun wirklich gar nichts zu tun. Aber als alter „Herr der Ringe“-Fan kann ich diese Meldung nicht einfach so vorbeiziehen lassen lassen.
Wobei im Ukraine-Krieg skurilerweise russische Soldaten wohl als Orks bezeichnet werden und Russland mit Mordor gleichgesetzt wird.
Aber zurück zur Meldung: Putin hat tatsächlich nur acht Ringe heraus gegeben (und einen zusätzlich für sich behalten), im original Ringgedicht ist von neun Ringen für die Sterblichen die Rede. Ob er den Herrn der Ringe kennt, sich der Symbolik bewusst ist und ob die anderen Staatschefs wissen, was das dann bedeuten könnte?
Und weil es so schön ist, hier das Ringgedicht:
Drei Ringe den Elbenkönigen hoch im Licht,
Sieben den Zwergenherrschern in ihren Hallen aus Stein,
Den Sterblichen, ewig dem Tode verfallen, neun,
Einer dem Dunklen Herrn auf dunklem Thron
Im Lande Mordor, wo die Schatten drohn.
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
9. Die gute Nachricht zum Schluss
9.1 Umgang mit Geschenken mit Internetzugang
Das Christkind, der Weihnachtsmann oder sonst wer brachte im Dezember Geschenke mit Internetzugang und Sie wollen sich informieren, wie Sie sich oder die Kinder nun vor Risiken schützen können? Hier kommen Sie zu einem Interview, in dem Experten auf den Seiten von Deutschland-sicher-im-Netz im Rahmen des Digitalführerscheins Hinweise zum Umgang mit den Risiken und konkrete Tipps geben.
Franks Nachtrag: Ich hätte da auch noch eine (wie ich finde schon ein wenig unspezifische) Warnung zum Thema Geschenke mit Internetzugang.