Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 01&02/2024)“
Hier ist der 78. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 01&02/2024)“.
Während mein Partner dieser Blogreihe, Rudi Kramer, verlässlich wie ein Metronom jede Woche an anderer Stelle einen neuen Blog-Beitrag produziert, kann es bei mir manchmal länger dauern, bis ich seine Arbeit dann in Form dieses Blogs-Beitrags (inklusive der Anreicherung mit meinen Nachträgen und Anmerkungen) hier produziert bekommen und mein Kapitel dazu geschrieben habe.
Alternativ könnte ich natürlich sagen, dass Sie ja für das Monster von vor den Feiertagen eh genug Zeit gebraucht haben, um das alles zu lesen und zu verdauen. Und ich also absichtlich erst so spät den neuen Blogbeitrag* bringe.
Aber tatsächlich hatte ich einfach nur schon wieder zu viel um die Ohren und so ist es auch dieses Mal (aber immerhin nur) eine Doppelausgabe geworden. Viel Spaß trotz alledem beim Lesen.
Wir haben übrigens reichlich Veranstaltungshinweise, manche recht kurzfristig, also schauen Sie vielleicht besser mal gleich nach…
* Franks Anmerkung: Fragen Sie jetzt bitte nicht nach KW51/2023 und KW52/2023, da hatten wir beide Urlaub. Uns erwähnenswerte Informationen sind im Zweifelsfall in diesem Blog-Beitrag enthalten.
- Aufsichtsbehörden
- EDSA: Information zu Evaluierung nach Art. 97 DS-GVO
- EDSA: Vereinfachung des Umgangs der Verbraucher mit Cookies und personalisierter Werbung
- EDPS: Aufgaben und Tätigkeiten
- EDPS: Aussage zur Nutzung sozialer Medien
- BfDI: Einbettung von YouTube-Videos auf Webseiten
- Gespräch mit Präsident des BayLDA
- BayLDA: Prüfung der Schwellwertanalyse zur Datenschutz-Folgenabschätzung
- HBDI – Interview mit Prof. Roßnagel: Anregungen zur Regelung von Künstlicher Intelligenz
- TLfDI: MS 365 an Schulen
- LDI NRW zu MS Outlook Synchronisation
- Norwegen: Untersuchung von Webseiten öffentlicher Stellen
- Belgien: Löschpflichten für Taufbucheinträge
- SDT: Orientierungshilfe Videoüberwachung durch Kommunen
- Thüringen: Nachfolger:in für TLfDI gesucht
- LfDI Baden-Württemberg: Datenverarbeitungen durch Sicherheitsbehörden
- Estland: Videoaufnahmen in KKH unter Art. 9 DS-GVO?
- DSB Österreich: FAQ zu Cookies und Datenschutz
- DSB Österreich: Neue Rechtsansicht bezgl. Auskunfteien
- Belgien: Einbeziehung des Datenschutzbeauftragten
- CNIL: Durchführung eines TIA
- Spanien: Leitlinien zum Einsatz biometrischer Systeme bei Zeiterfassung und Zutritt
- Irland: Weitere Zuständigkeit für KI-Unternehmen
- BSI: Studie zu Angriffen auf QKD-Systeme
- Kommunikation mit der Aufsicht
- Rechtsprechung
- EuGH: Art.-9-Verarbeitungen und Aussagen zum Schadenersatz nach Art. 82 DS-GVO
- BAG: Schadenersatzanspruch bei unvollständiger Auskunft
- OLG Nürnberg: Auskunftsanspruch und Missbrauchseinwand
- EuGH: Datenschutzrechtliche Verantwortlichkeiten bei einem Amtsblatt
- EuGH-Vorschau: Fragen zur ePrivacy-RL (bei uns im UWG geregelt)
- EuGH-Vorschau: Anwendbarkeit der DS-GVO in Untersuchungsausschuss
- EuGH-Vorschau: Meta gegen vzbv über Zuständigkeiten
- EuGH-Vorschau: Anwendbarkeit des Art. 9 Abs. 1 DS-GVO bei Online-Shop?
- EuGH-Vorschau: Schadenersatz bei unberechtigter Offenbarung von Bewerbungsdaten
- VG Berlin: Auskunftsanspruch bei Videoaufnahmen
- LG Essen: Zulässigkeit einer Videoaufnahme als Beweismittel
- LG Lübeck: Voraussetzung eines immateriellen Schadens aus Art. 82 DS-GVO
- BGH: Haftung eines Organs einer juristischen Person
- Berufungsgericht Amsterdam: Bestätigung des Urteils des Bezirksgerichts gegen Criteo
- Gesetzgebung
- Data Act veröffentlicht
- EU-Kommission: Pay or Consent
- AI Act: Einigung – wirklich?
- Europarat: Framework zu Artificial Intelligence
- EU-Kommission: Fristenberechnung für DS-GVO
- DSA: Schutzmaßnahmen zugunsten Kindern erklärt und Datenbank für AGB
- Data Act – Realitätscheck
- Hinweisgeberschutz und NDA
- Evaluierung DS-GVO
- Bundesregierung: Digitale-Dienste-Gesetz zur Umsetzung des DSA
- EU-Kommission: Joint Controllership bei DSA
- Wärmeplanungsgesetz – Gruppenzusammenfassung
- Data Act
- Stärkung der Durchsetzung der DS-GVO in der EU
- Überwachungsgesamtrechnung
- Einsatz von Palantir in Bayern
- Data Governance Act: Durchführungsverordnungen zur Einwilligung
- Künstliche Intelligenz und Ethik
- ISO 42001 für Managementsystemen mit Künstlicher Intelligenz
- Europarat: Guidelines on the responsible implementation of artificial intelligence systems in journalism
- Klage gegen OpenAI und Microsoft durch New York Times
- Telekom: Whitepaper Metaverse
- ChatGPT plaudert auch gerne
- KI Überwachung: Smart Speaker im Kampf gegen häusliche Gewalt
- OpenAI: Tipps zu Prompts Engineering
- Governance der Künstlichen Intelligenz
- KI in der Verbraucherrechtsdurchsetzung
- Europarat: Guidelines on the responsible implementation of artificial intelligence systems in journalism
- KI (ChatGPT) in der juristischen Ausbildung
- ChatGPT und der Datenschutz
- Bloomberg Law: Risk-Assessment für Künstliche Intelligenz
- Alan Turing Institut: AI Ethics and Governance in Practice
- Klage der New York Times gegen OpenAI und Microsoft (ein Update): Fragen zum Urheberrecht
- Auswirkungen von Künstlicher Intelligenz auf das Urheberrecht im Kulturbereich
- Visualisierung LLM
- Veröffentlichungen
- Podcast zu Pentesting
- Podcast zu Compliance und Managementsystemen
- Standarddatenschutzmodell, Version 3.0
- MS CoPilot
- Beachtenswertes für „Corporate Influencer“
- ATHENE: Studie zu Rechtssicherheit bei Big Data und KI
- Optimierungsmöglichkeiten der Einflussmöglichkeiten bei technischen Neuerungen
- Mobil und sicher unterwegs?!
- Google Tag Manager: Datenlecks und Schwachstellen?
- Bundesmessenger
- Datenschutzrechtliche Bewertung der Protected Audience API von Privacy Sandbox
- Besprechung des Urteil zu PNR – Konsequenzen für ML/AI-Systeme
- Veranstaltungen
- MfK: Ausstellung in Nürnberg zu Bildern durch KI
- Universität Passau: Ringvorlesung „Legal tech“
- TU Wien: „Fostering democracy in the Age of AI” -neu-
- BIHK: Webinarreihe „Daten in der Praxis“ -neu-
- Stiftung Datenschutz: DatenTag zu „Preisgabe von Daten“
- Closing-Event der GI: Roundtable – Reihe ethische Ki-Entwicklung -neu-
- EDPS: „Data Protection Day 2024“
- DSK: „Digitale Transformation – die Datenschutz-Zukunft gestalten“ -neu-
- Berlin Kino Filmkunst: Filmvorführung „Total Trust“ -neu-
- EAID: „Exportschlager AI Act?“ -neu-
- Universität des Saarlandes: „Datenschutzrechtliches Risikomanagement bei Cyber-Angriffen“ -neu-
- HSLU: „Datenschutz in Immersive Reality“ -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- DPF und alles ist gut?
- Apropos Selbstverpflichtung …
- Selbst schuld?
- Enshittification
- Betroffenenrechte? Umsonst?
- Apropos Datenschutz kostet Geld …
- Digitalisierung am Beispiel der Deutschen Bahn
- Streamen ist besser als besitzen?
- Apropos Cloudanbieter …
- Apropos ChatGPT …
- Apropos KI …
- Wie ist denn so Ihr Musikgeschmack?
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Information zu Evaluierung nach Art. 97 DS-GVO
Nach Art. 91 Abs. 1 DS-GVO führt die EU-Kommission in 2024 wieder eine Evaluierung der DS-GVO durch. Nach Art. 97 Abs. 3 kann sie dazu Informationen der Aufsichten anfordern. Braucht sie aber eigentlich gar nicht, die äußern sich auch so. Und haben nun ihren Beitrag dazu auf 98 Seiten als “Contribution of the EDPB to the report on the application of the GDPR under Article 97” veröffentlicht. Natürlich ist die DS-GVO ein Erfolg. Dabei räumt der EDSA auch ein, dass die Umsetzung der DS-GVO für manche Stakeholder, insbesondere für kleine Akteure wie KMU, eine Herausforderung darstelle. Dazu hätten aber die Aufsichtsbehörden mehrere Instrumente entwickelt und bereitgestellt, um diese bei der Einhaltung zu unterstützen. Der Bericht enthält auch mehrere tabellarische Darstellungen, wie z.B. die Einschätzung der jeweiligen Aufsichten hinsichtlich der Ausstattung mit Personal, finanziellen Mitteln und technischen Möglichkeiten (Seite 33) oder die Anzahl der Bußgelder (Seite 52) sowie die Beträge je Land, die als Sanktionen verhängt wurden (Seite 54). Dem Bericht liegen Fragebögen zugrunde, die durch die jeweiligen Aufsichtsbehörden beantwortet und ebenfalls veröffentlicht wurden.
1.2 EDSA: Vereinfachung des Umgangs der Verbraucher mit Cookies und personalisierter Werbung
Der EDSA hat sich in einem Schreiben an die Kommission zu deren Überlegung zu einer Initiative für eine freiwillige Selbstverpflichtung der Unternehmen zur Vereinfachung des Umgangs der Verbraucher mit Cookies und personalisierter Werbung geäußert. Mehr dazu und zum letzten Stand findet sich hier. Der EDSA sieht hier – wenig überraschend – die Anforderungen daran enger als die Kommission. Eine kurze Darstellung der Punkte wurde hier auf LinkedIn zusammengefasst.
Franks Nachtrag: Falls der Link zur Initiative nicht funktioniert, habe ich eine Lösung für Sie. Da scheint ein Zeitstempel im Link zu sein, aber Sie finden die PDF auch über den dritten Link „hier“.
1.3 EDPS: Aufgaben und Tätigkeiten
Hier werden in einem kurzen Video von der „Dauer eines Espresso“ die Aufgaben und Tätigkeiten des Europäischen Datenschutzbeauftragten geschildert.
1.4 EDPS: Aussage zur Nutzung sozialer Medien
Der Europäische Datenschutzbeauftragte veröffentlichte im November seine Stellungnahme zur Nutzung der Überwachung sozialer Medien im Rahmen eines Pilotprojekts, das die manuelle und automatisierte Überwachung sozialer Medien zu Zwecken der Epidemieaufklärung nutze. Spannenderweise kommt er (in RN 41) zu der Aussage, dass die VO 2018/1725 (in der für die europäischen Einrichtungen die datenschutzrechtlichen Anforderungen geregelt werden) nicht zur Anwendung komme. Er begründet dies wie folgt:
„Da die bloße Abfrage dieser Namen und individuellen Identifikatoren jedoch manuell erfolgt und nicht Teil einer Datei ist und auch nicht Teil einer Datei sein soll, fällt sie nicht in den Anwendungsbereich der Verordnung.“
1.5 BfDI: Einbettung von YouTube-Videos auf Webseiten
Der BfDI weist in seinem Rundschreiben Telemedien 02/2023 „Einbindung von Videoinhalten auf Webseiten öffentlicher Stellen des Bundes“ speziell auf die Anforderungen bei der Einbindung von YouTube-Videos hin. Dabei erwartet er u.a. eine rechtskonforme wirksame Einwilligung, die auch eine gleichwertige Alternative voraussetze. Auch bei einer Zwei-Klick-Lösung sieht er Bedenken, wenn es sich um die Erfüllung der Informationspflichten gegenüber der Öffentlichkeit durch eine öffentliche Stelle des Bundes handelt.
Auch die Einbettung von YouTube-Videos mit der Einstellung „erweiterten Datenschutzmodus“ sei keine verlässliche Alternative zur Gewähr einer datenschutzrechtlich unkritischen Einbettung dieser auf der eigenen Webseite. Schließlich weist er auch auf mögliche Alternativen hin.
1.6 Gespräch mit Präsident des BayLDA
In einem Gespräch mit einem Beratungsunternehmen wurde der Präsident des BayLDA zu seinem Ausblick 2024 zu Datenschutzthemen befragt. Eine kurze Zusammenfassung des Gesprächs findet sich hier.
1.7 BayLDA: Prüfung der Schwellwertanalyse zur Datenschutz-Folgenabschätzung
Das BayLDA hat Ende 2023 einen Fragebogen an ca. 50 nicht-öffentliche Stellen in Bayern versendet. Es möchte damit die Prüfung der Voraussetzungen zur Durchführung einer Datenschutz-Folgenabschätzung umsetzen. Dabei werden Auszüge aus dem Verzeichnis der Verarbeitungstätigkeiten verlangt. Die Unterlagen zur Prüfung sowie die entsprechenden Informationen dazu hat das BayLDA wieder auf seiner Webseite bei der „Schwellwertprüfung Datenschutz-Folgenabschätzung“ bereitgestellt.
1.8 HBDI – Interview mit Prof. Roßnagel: Anregungen zur Regelung von Künstlicher Intelligenz
In einem Interview stellt der HBDI seine Überlegungen zu Regelungen und internen Richtlinien zur Nutzung von KI vor.
1.9 TLfDI: MS 365 an Schulen
Pressemeldungen zufolge irritierte der TLfDI im Dezember thüringische Schulen damit, dass er die Beachtung datenschutzrechtlicher Vorgaben anmahnte. In Thüringen gibt es übrigens unter dem „Schulportal“ auch eine „Schulcloud“, die durch die Schulen genutzt werden können. Leider stehen offensichtlich beiden Seiten nicht alle gewünschten Informationen zur Verfügung, um hier selbst eine belastbare Einschätzung zu geben, wie sich aus diesem LinkedIn-Post schließen lässt.
1.10 LDI NRW zu MS Outlook Synchronisation
Die LDI NRW weist auf die Verantwortlichkeit der Unternehmen hin, die künftig das Funktionsupdate 23H2 in Windows 11 einsetzen. Hinsichtlich der Synchronisation mit der Cloud von Microsoft auch der Zugangsdaten sowie der aus ihrer Sicht unzureichenden Rechtmäßigkeitsgrundlage dafür verwendet sie den Begriff „trübe Transparenz“. Die Bezeichnung „trübe Transparenz“ werde ich in meinen aktiven Wortschatz übernehmen – Anwendungsmöglichkeiten gibt es genügend.
1.11 Norwegen: Untersuchung von Webseiten öffentlicher Stellen
Der norwegische Technologieausschuss Teknologirådet hat in zwei Runden eine Reihe von öffentlichen Websites untersucht, um den Einsatz von Tracking-Technologie zu erfassen. Der erste Bericht wurde im Jahr 2021 veröffentlicht und umfasste 41 Websites. Im aktuellen Bericht wurde nach Angaben der norwegischen Datenschutzaufsicht die Umfrage auf 156 Websites des Staates, der Gemeinden und der Provinzen ausgeweitet. Für die Untersuchung der Nutzung von Tracking-Tools wurde das Blacklight-Tool verwendet. Durch Eingabe einer Webadresse in das Tool untersucht Blacklight die betreffende Website und sucht nach Prozessen, die als Tracking-Tools für die Webnutzung identifiziert werden können, sowie nach Unternehmen, die Informationen über die Aktivitäten des Nutzers erhalten. Das Tool prüft die Startseite der Website sowie eine zufällig ausgewählte Seite. Dabei wurde untersucht, ob die Websites Tracking-Tools von Google verwenden oder Daten mit Google austauschen, Tracking-Tools von Meta verwenden und ob die Websites Daten mit Unternehmen austauschen, die Tastatureingaben protokollieren oder Website-Besuche aufzeichnen.
41,7 % der Websites nutzen Google Analytics. 14,7 % nutzen die Funktion Remarketing Audiences, mit welcher Anzeigen an Kunden gerichtet werden können, die zuvor eine Website besucht haben, und 17,9 % teilen Daten mit dem Anzeigenaustauschprogramm Doubleclick. Keine der 29 Organisationen, die Daten mit Doubleclick austauschen, weisen in ihren Datenschutzerklärungen darauf hin, dass sie dies tun. 5,8 % der untersuchten Seiten verwenden Meta Pixel. 7,7 % zeichnen Website-Besuche auf, 12,2 % verwenden Tools zur Aufzeichnung von Tastatureingaben.
Die Umfrage ist im Anhang des Berichts vollständig in tabellarischer Form wiedergegeben und zeigt den Stand der Nutzung von Tracking-Tools im September-Oktober 2023. Seit der Durchführung der Umfrage können sich Änderungen ergeben haben.
1.12 Belgien: Löschpflichten für Taufbucheinträge
Wir hatten ja schon mal dazu berichtet, dass es problematisch sein kann Taufbucheinträge löschen lassen zu wollen. Hier (wo sonst?!) wird nun über eine Entscheidung der belgischen Datenschutzaufsicht berichtet. Demnach folgt die Aufsicht nicht den Argumenten der Kirche. Selbst wenn die Zwecke der Datenverarbeitung in Kirchenbüchern legitim seien – eine unbegrenzte Speicherung selbst der Daten von Ausgetretenen gehe zu weit.
1.13 SDT: Orientierungshilfe Videoüberwachung durch Kommunen
Die Sächsische Datenschutz- und Transparenzbeauftragte veröffentlichte eine Orientierungshilfe für sächsische Kommunen zur Videoüberwachung. Neben technischen Hinweisen gibt es dabei auch Aussagen u.a. zu Kamera-Attrappen und einzelnen Fallbeispielen wie Schwimmbäder, Straßenfeste, Museen und Webcams zu touristischen Zwecken
1.14 Thüringen: Nachfolger:in für TLfDI gesucht
Wieder endet eine Amtszeit vorhersehbar und wieder gibt es keinen reibungslosen Übergang. Die Amtszeit des aktuellen TLfDI endet am 24. Januar 2024 und noch gibt es keine Nachfolgeentscheidung, wie hier berichtet wird.
Franks Nachtrag: Und da waren es schon drei. Also Aufsichtsbehörden, bei denen der Vositz noch nicht geklärt ist… (die anderen beiden sind der Landesbeauftragte für den Datenschutz Sachsen-Anhalt und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit).
1.15 LfDI Baden-Württemberg: Datenverarbeitungen durch Sicherheitsbehörden
Der LfDI Baden-Württemberg informiert auf seiner Webseite zu vielen Fragestellungen bezüglich der Datenverarbeitungen durch die Sicherheitsbehörden – meist der Polizei.
1.16 Estland: Videoaufnahmen in KKH unter Art. 9 DS-GVO?
Nach diesem Bericht über eine Entscheidung der Datenschutzaufsicht in Estland unterfallen Videoaufnahmen aus den Gängen eines Krankenhauses den Anforderungen des Art. 9 Abs. 1 DS-GVO, so dass eine Grundlage aus Art. 9 Abs. 2 DS-GVO erforderlich würde. Die Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte des europäischen Datenschutzausschusses differenzieren hier genauer, demnach sei Art. 9 DS-GVO nur dann anzuwenden, wenn das Videomaterial dazu verarbeitet wird, um besondere Datenkategorien abzuleiten (RN 62-65).
1.17 DSB Österreich: FAQ zu Cookies und Datenschutz
Die Datenschutzbehörde Österreich veröffentliche FAQ zu Cookies und Datenschutz. Beantwortet werden dabei 14 Fragen wie „Wann sind Cookies „technisch notwendig“? oder „Wie muss ein Cookie-Banner gestaltet sein, sodass eine wirksame Einwilligung vorliegt?“.
1.18 DSB Österreich: Neue Rechtsansicht bezgl. Auskunfteien
Die Datenschutzbehörde (DSB) Österreich hat auf ihrer Webseite ihre vorläufige neue Rechtsansicht bezüglich Auskunfteien über Kreditverhältnisse gemäß § 152 GewO aufgrund der Urteile des EuGH vom 07.12.2023, C-634/21 sowie der verbundenen Rechtssachen C-26/22 und C-64/22 („SCHUFA-Urteile“) veröffentlicht. Bis dahin war es Auskunfteien möglich Insolvenzdaten in der Regel bis fünf Jahre nach Löschung zu verwenden. Vor dem Hintergrund der EuGH-Rechtsprechung und der nationalen Insolvenzordnung können Insolvenzdaten nicht mehr, wie bisher mitunter üblich, fünf Jahre zu Bonitätszwecken gespeichert werden, sondern nur mehr ein Jahr ab Löschung aus der Ediktsdatei (das ist eine Datei mit veröffentlichten gerichtlichen Bekanntmachungen.
1.19 Belgien: Einbeziehung des Datenschutzbeauftragten
In einer Entscheidung der belgischen Datenschutzaufsicht rügt diese die unterbliebene Einbeziehung des Datenschutzbeauftragten. Die Stadt Antwerpen konnte auf Anforderung keine Kopien der von ihrem Datenschutzbeauftragten zur Verfügung gestellten Informationen und Ratschläge in Bezug auf die Sicherheit der Verarbeitung von personenbezogenen Daten, das Register der Verarbeitungstätigkeiten und die Datenschutz-Folgenabschätzung vorlegen. Damit stellte die Aufsicht fest, dass die Stadt Antwerpen nicht ihren Nachweispflichten nachkommen konnte den Datenschutzbeauftragten effektiv und zeitnah einzubinden. Art. 38 Abs. 1 DS-GVO sieht vor, dass sichergestellt wird, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Weitere Ausführungen zu dem Fall finden Sie hier.
1.20 CNIL: Durchführung eines TIA
Die französische Datenschutzaufsicht CNIL hat Hinweise zur Durchführung eines Transfer Impact Assessments (TIA) veröffentlicht und nimmt im Rahmen eines Konsultationsverfahrens Anmerkungen und Anregungen zu ihrem Entwurf dazu über diese Webseite bis 12. Februar 2024 entgegen. Die Bezeichnung TIA hat sich für die Prüfung der rechtlichen Rahmenbedingungen bei einem Drittstaatentransfer in ein Land, für das es keinen Angemessenheitsbeschluss gibt, etabliert. Dies ist eine Konsequenz aus dem Urteil des EuGH vom Juli 2020 (Schrems II, C-311/18). Bereits in den einführenden Texten weist die CNIL darauf hin, dass ein TIA ihrer Ansicht nach auch nicht bei den Ausnahmemöglichkeiten des Art. 49 DS-GVO erforderlich sei.
1.21 Spanien: Leitlinien zum Einsatz biometrischer Systeme bei Zeiterfassung und Zutritt
Eigentlich hat die Leitlinie auch den (übersetzten) Titel „Leitlinien zum Einsatz biometrischer Systeme bei der Zeiterfassung und Anwesenheitskontrolle“, die durch die spanischen Datenschutzbehörde herausgegeben wurden. Das passt aber nicht in die Überschrift. Inhaltlich geht es u.a. um Themen wie Biometrie in einer Zeiterfassungsverarbeitung, Risikomanagement und Datenschutz-Folgenabschätzung (DSFA) und Outsourcing von Arbeitnehmern – freundlicherweise auch auf Englisch.
1.22 Irland: Weitere Zuständigkeit für KI-Unternehmen
Dass die irische Datenschutzaufsicht über die Regelung des One-Stop-Shops aus Art. 56 Abs. 1 DS-GVO bereits die Zuständigkeit für Apple, Google, Unternehmen der Meta-Gruppe, von Microsoft und TikTok als federführende Aufsichtsbehörde hat, ist bekannt. Nun hat auch OpenAI seine europäische Niederlassung nach Dublin gelegt, wie hier beschrieben wird. Damit verlieren alle anderen europäischen Aufsichten die Zuständigkeit, die sie bislang hatten, weil OpenAI noch keine Niederlassung in der EU hatte.
1.23 BSI: Studie zu Angriffen auf QKD-Systeme
Das Bundesamt für Sicherheit in der Informationstechnik hat eine wissenschaftliche Studie über Implementierungsangriffe auf Quantum Key Distribution (QKD)-Systeme veröffentlicht. Quantum Key Distribution (QKD) ist eine Technologie, die sichere Schlüsseleinigung basierend auf physikalischen Prinzipien erreichen soll. Derzeit gibt es große nationale und europäische Projekte, die Infrastrukturen zur Nutzung von QKD aufbauen möchten. Darunter das Projekt EuroQCI der EU-Kommission. Für die Implementierung von QKD-Protokollen wird spezialisierte Hardware wie beispielsweise Einzelphotonenquellen oder -detektoren benötigt. Mittlerweile ist in der wissenschaftlichen Literatur eine bedeutende Zahl an Veröffentlichungen über Angriffe zu finden, die Schwächen oder Eigenschaften der Hardware eines QKD-Systems ausnutzen. Diese Studie bietet einen strukturierten und einheitlichen Überblick über alle derzeit bekannten QKD-spezifischen Implementierungsangriffe gegen QKD-Systeme.
1.24 Kommunikation mit der Aufsicht
Hier kommt nun kein Beitrag aus einer Aufsicht, aber lesenswerte Hinweise zur Kommunikation mit einer Datenschutzaufsicht, die vor dem Hintergrund der Entscheidung des EuGH C-807/21 (Deutsche Wohnen) zu den Anforderungen an Sanktionsentscheidungen und zur Beweislast bei Datenschutzverstößen formuliert wurden. Passenderweise in einer Publikation, bei der es gezielt ums Geld geht. 😀
2 Rechtsprechung
2.1 EuGH: Art.-9-Verarbeitungen und Aussagen zum Schadenersatz nach Art. 82 DS-GVO
Der EuGH entschied im Verfahren C-667/21 (Krankenversicherung Nordrhein) Vorlagefragen, die im Rahmen eines Rechtsstreits auftraten, bei denen ein Beschäftigter einer Krankenkasse u.a. überprüfen lassen wollte, ob der eigene medizinische Dienst seines Arbeitgebers seine Arbeitsfähigkeit beurteilen darf. Im Rahmen des Verfahrens forderte der Beschäftigte 20.000 Euro immateriellen Schadenersatz.
Der EuGH entschied dazu, dass, solange die sonstigen Voraussetzungen eingehalten werden, auch Gesundheitsdaten eigener Beschäftigter verarbeitet werden können. Zudem können auch Kolleg:innen Zugang zu diesen Daten bekommen. Die Mitgliedsstaaten können aber weitere Voraussetzungen treffen bzgl. Integrität und Vertraulichkeit bei diesen Verarbeitungen. Der EuGH stellte auch klar, dass bei Daten besonderer Kategorien neben einer Grundlage aus Art. 9 Abs. 2 DS-GVO auch eine Grundlage aus Art. 6 DS-GVO erfüllt sein müsse.
Bei der Berechnung eines immateriellen Schadenersatzes dürfe damit keine abschreckende oder strafend Funktion verfolgt werden. Schließlich urteilte der EuGH auch, dass ein Verschulden Voraussetzung für Schadenersatzanspruch gegen Verantwortliche ist. Das wird vermutet, wenn ein Schaden vorliegt, er kann sich aber entlasten. Der Grad des Verschuldens wirke sich nicht auf die Berechnung des immateriellen Schadenersatzanspruchs aus. Spannend war für mich die Auslegung dazu unter Heranziehung verschiedener Sprachfassungen der DS-GVO durch den EuGH (RN 92 ff). So kommt er in RN 94 zu der Aussage
„Einer kombinierten Analyse dieser verschiedenen Bestimmungen von Art. 82 DS-GVO ist somit zu entnehmen, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen.“
Daher empfiehlt es sich umso mehr, dass bei Verarbeitungen personenbezogener Daten eine ausreichende Dokumentation der rechtmäßigen Verarbeitung und angemessener Schutzmaßnahmen sichergestellt wird.
Eine erste Zusammenfassung des Urteils auf LinkedIn findet sich hier.
Und trotz der Feiertage hat es sich schnell herumgesprochen. Werden sonst EuGH-Urteile zur DS-GVO eher nur in der Fachwelt diskutiert, hat das Urteil des EuGH vom 21.12.2023 auch die breite Öffentlichkeit erreicht. Könnte ja auch viele interessieren. Die Opfer von unrechtmäßigen Datenverarbeitungen wie bei einer Veröffentlichung durch Hacker im Darknet, wie auch die Manager:innen der rechtlichen Einheiten, die datenschutzrechtlich die Verantwortung tragen und sich kaum noch von einem Schuldvorwurf exkulpieren können. Für die einen bieten sich bereits Kanzleien zur Durchsetzung der denkbaren Schadensersatzansprüche an, die anderen sollten evtl. die Deckungszusage der jeweiligen Managerhaftpflicht kritisch überprüfen.
2.2 BAG: Schadenersatzanspruch bei unvollständiger Auskunft
Kann es einen Schadenersatz aus Art. 82 DS-GVO auch bei einer unvollständigen Auskunft geben und wie berechnet sich dieser? Damit darf sich nun das BAG (Az: 8 AZR 91/22) befassen, nachdem gegen das Urteil des LArbG Berlin Revision eingelegt wurde. Da kann z.B. das Urteil des EuGH C-667/21 schon angewandt werden.
2.3 OLG Nürnberg: Auskunftsanspruch und Missbrauchseinwand
Das OLG Nürnberg entschied im Falle eines Auskunftsanspruchs eines früheren Geschäftsführers, dass ein dadurch verursachter großer Aufwand für den früheren Arbeitgeber einer Geltendmachung nicht entgegenstünde (RN 22f). Eine Besprechung des Urteils findet sich hier.
2.4 EuGH: Datenschutzrechtliche Verantwortlichkeiten bei einem Amtsblatt
Im Verfahren aus Belgien C-231/22 (Données traitées par un journal officiel) um Fragen der datenschutzrechtlichen Verantwortlichkeit nach Art. 4 Nr. 7 DS-GVO bei einem öffentlichen Auftrag der Veröffentlichung und Archivierung amtlicher Dokumente hat der EuGH entschieden, dass in der Regel die jeweilige Dienststelle, die mit der Veröffentlichung beauftragt wurde, als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen sei.
Der EuGH formuliert das nur etwas kryptischer: Der Verantwortliche im datenschutzrechtliche Sinne sei „die für das Amtsblatt eines Mitgliedstaats zuständige Dienststelle oder Einrichtung, die nach dem Recht dieses Staates unter anderem verpflichtet ist Urkunden und amtliche Dokumente, die von Dritten in eigener Verantwortung unter Beachtung der geltenden Vorschriften vorbereitet und anschließend bei einer Justizbehörde hinterlegt wurden, die sie ihr zur Veröffentlichung übersendet, unverändert zu veröffentlichen, ungeachtet ihrer fehlenden Rechtspersönlichkeit als „für die Verarbeitung Verantwortlicher“ der in diesen Urkunden und Dokumenten enthaltenen personenbezogenen Daten bezeichnet werden kann, wenn das betreffende nationale Recht die Zwecke und Mittel der von diesem Amtsblatt vorgenommenen Verarbeitung personenbezogener Daten festlegt.
In der RN 30 führt er dazu aus, dass die Vorgabe der Zwecke und Mittel der Verarbeitung und gegebenenfalls die Benennung des Verantwortlichen durch das nationale Recht nicht nur explizit, sondern auch implizit erfolgen könne. Auch eine fehlende Rechtspersönlichkeit sei kein Hinderungsgrund (RN 36).
Dementsprechend sei dann auch diese Stelle für die Einhaltung der Grundsätze des Art. 5 Abs. 1 DS-GVO zuständig.
2.5 EuGH-Vorschau: Fragen zur ePrivacy-RL (bei uns im UWG geregelt)
Vor dem EuGH werden Fragestellungen zur Umsetzung der ePrivacy-RL erörtert. In dem Verfahren C-654/23 aus Rumänien geht es um Fragen der Zulässigkeit von Werbungen im Rahmen eines Online-Benutzerkontos zur Information der breiten Öffentlichkeit über Gesetzesänderungen etc. und um die Übermittlung von Newslettern.
2.6 EuGH-Vorschau: Anwendbarkeit der DS-GVO in Untersuchungsausschuss
Im Verfahren C-33/22 aus Österreich geht es u.a. um die Frage, ob Tätigkeiten eines von einem Parlament eines Mitgliedstaats in Ausübung seines Kontrollrechts der Vollziehung eingesetzten Untersuchungsausschusses unabhängig vom Untersuchungsgegenstand in den Anwendungsbereich der DS-GVO fallen. Dabei wird Art. 16 Abs. 2 erster Satz AEUV entsprechend auszulegen sein. Für den 16. Januar 2024 ist die Urteilsverkündung vorgesehen.
2.7 EuGH-Vorschau: Meta gegen vzbv über Zuständigkeiten
Für den 25. Januar 2024 sind die Schlussanträge des Generalanwalts im Verfahren C-757/22 angesetzt. Es geht dabei um die Frage, ob Verbraucherschutzverbände im Rahmen von Art. 80 Abs. 2 DS-GVO Verletzungen von Informationspflichten nach Art. 13 DS-GVO rügen können, weil der Wortlaut des Art. 80 Abs. 2 DS-GVO die Verletzung der Rechte einer betroffenen Person infolge einer Verarbeitung verlangt. Meta klagt gegen den Verbraucherzentrale Bundesverband und der BGH möchte diese Frage vom EuGH geklärt haben.
2.8 EuGH-Vorschau: Anwendbarkeit des Art. 9 Abs. 1 DS-GVO bei Online-Shop?
Können neben datenschutzrechtlichen Rechtschutzmöglichkeiten auch parallel wettbewerbsrechtliche Klagewege beschritten werden und sind Kundendaten eines Apothekers auf einer Internet-Verkaufsplattform bei nicht verschreibungspflichtigen Medikamenten Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DS-GVO? Diese Fragen behandelte der EuGH im Verfahren C-21/23 (Lindenapotheke) in der mündlichen Verhandlung am 9. Januar 2024.
2.9 EuGH-Vorschau: Schadenersatz bei unberechtigter Offenbarung von Bewerbungsdaten
Auf manche Entscheidungen freut man sich, weil sie Fälle des täglichen Lebens abbilden und auch auf privaten Veranstaltungen das eigene Berufsfeld unterhaltsam darstellen.
Über ein Netzwerkportal fand die Kommunikation mit dem Bewerber statt. Dabei versandte eine Privatbank eine Rückmeldung über die Gehaltsgestaltungen nicht an den Bewerber, sondern an eine unbeteiligte Person, die aber den Bewerber kannte. Dieser fragte den Bewerber, ob das für ihn sei und ob er auf Stellensuche sei. Da sind die Fragen vor dem EuGH zu einem immateriellen Schadensanspruch, die dabei geklärt werden sollen, viel spannender als weitere Fragen, die um Löschansprüche gehen. Der Fall ist beim EuGH unter C-655/23 (Quirin Privatbank AG ) zu finden.
2.10 VG Berlin: Auskunftsanspruch bei Videoaufnahmen
Das VG Berlin befasste sich mit einem Auskunftsanspruch gegen ein Transportunternehmen über Videoaufnahmen aus einem Zug. Im Ergebnis hob es die datenschutzrechtliche Verwarnung gegen das Unternehmen auf, das keine Auskunft erteilte. Das Gericht stellt dazu fest, dass die Auskunftsverweigerung nicht gegen die DS-GVO verstoßen habe (RN 54). Spannend finde ich die Ausführungen ab RN 55, ob die erhobenen Videoaufnahmen für das Unternehmen personenbeziehbare Daten seien. Das VG Berlin diskutiert dabei die Anforderung, ob eine Person anhand der Aufnahmen durch das Transportunternehmen identifiziert werden kann, auch wenn es die Beantwortung letztendlich offenlässt (RN 59). Es lehnte den Anspruch aber deshalb ab, weil für das Transportunternehmen nicht gesichert gewesen sei, dass die auskunftsbeantragende Person tatsächlich mit der auf den Aufnahmen erkenntlichen Person identisch sei. Dazu reichten allein Angaben wie sie die antragstellende Person machte (Zeitraum der Beförderung, Zugnummer, äußeres Erscheinungsbild und Verhaltensweise der Person) nicht aus. (RN 60). Auch bewertet das Gericht auf Grund der kurzen Speicherdauer (48 Stunden), der eingeschränkten Zugriffsrechte und der automatischen Löschung nach dem Speicherzeitraum sowie auf Grund des geringen feststellbaren Kontrollverlusts den Aufwand für das Transportunternehmen als unverhältnismäßig, was ebenfalls bei der Ablehnung des Auskunftsanspruches berücksichtigt wurde (RN 64).
2.11 LG Essen: Zulässigkeit einer Videoaufnahme als Beweismittel
In einem Kündigungsrechtsstreit wurden nicht heimlich aufgenommene Videoaufnahmen als Beweismittel zugelassen, mit denen dargelegt werden sollte, dass die Mieter sich beleidigend gegenüber den Vermietern äußerten. Das LG Essen sah im Rahmen der Abwägung auch keine Verletzung des Persönlichkeitsrechts der Mieter (ab Seite 5 des hier veröffentlichten Beschlusses).
2.12 LG Lübeck: Voraussetzung eines immateriellen Schadens aus Art. 82 DS-GVO
Das LG Lübeck stellte in einem Verfahren fest, dass ein immaterieller Schaden im Sinne des Art. 82 DS-GVO immer dann vorliege, wenn ein Verstoß gegen die DS-GVO in der Folge zu einer konkreten, vom Verstoß selbst unterscheidbaren Verletzung des Rechts auf informationelle Selbstbestimmung geführt hat. Eine Beschränkung des Schadensbegriffes auf bestimmte Rechtsgüter fände nicht statt.
Eine Rechtsgutverletzung liegt vor, wenn in Folge eines Datenschutzverstoßes personenbezogene Daten rechtswidrig im Darknet veröffentlicht wurden.
2.13 BGH: Haftung eines Organs einer juristischen Person
Wer haftet bei einer juristischen Person für Fehlverhalten? Grundsätzlich natürlich erstmal alle, die mit der Geschäftsführung betraut sind. Ändert sich etwas daran, wenn unterschiedliche Zuständigkeiten innerhalb der Geschäftsführung vereinbart wurden? In einem Fall einer Beteiligungs- und Investitions-AG wird der BGH deutlich: Auch der für Architekturfragen zuständige Geschäftsführer haftet für Fehlentscheidungen in anderen Zuständigkeitsbereichen (hier Finanzbereich und unerlaubte Bankgeschäfte).
Das Gericht stellt im vorliegenden Fall fest, dass die Unzuständigkeit eines Geschäftsführers für den Abschluss von Verträgen seine Verantwortlichkeit dann nicht entfallen lasse, wenn diese Tätigkeit Teil des Geschäftsmodells der Gesellschaft sei. Es ging dabei davon aus, dass „sämtliche entsprechenden Geschäftsabschlüsse mit dem Wissen und Wollen“ des Geschäftsführers erfolgt waren. Bei einer solchen Kenntnis – die hier gerade nicht festgestellt wurde – bestehen nach den dargestellten Maßstäben bereits nicht mehr nur Überwachungspflichten, sondern ist das Organ zum Einschreiten gegen die Geschäftspraxis verpflichtet (RN 25). Die Streitsache wurde daher zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.
Im Ergebnis könnte auch für die Bereiche Datenschutz und IT-Sicherheit keine andere Entscheidung getroffen werden, so dass dann auch Organe einer juristischen Person in ein Haftungsrisiko geraten können, selbst wenn sie explizit nicht die interne Zuständigkeitszuweisung für diese Themenbereiche haben, wenn sie Überwachungspflichten nicht nachkommen.
2.14 Berufungsgericht Amsterdam: Bestätigung des Urteils des Bezirksgerichts gegen Criteo
Über das Urteil des Bezirksgerichts berichteten wir bereits. Nun hat das Berufungsgericht das Urteil bestätigt.
3 Gesetzgebung
3.1 Data Act veröffentlicht
Die finale Fassung des Data Acts ist nun in den Sprachen der EU veröffentlicht. worden. Er tritt damit am 11. Januar 2024 in Kraft und gilt ab 12. September 2025. Interessant, dass in Art. 18 Abs. 4 eine „ordnungsgemäße Anonymisierung“ verlangt wird, aber derzeit keiner ganz sicher sagen kann, was das nun genau ist.
3.2 EU-Kommission: Pay or Consent
Wie hier berichtet wird, überlegt die EU-Kommission über freiwillige Selbstverpflichtungen einen weiteren Weg zwischen Einwilligungen und Bezahlschranken zu finden. Berichte dazu finden sich auch in Medien, die bisher nicht gerade als Speerspitze einer vorbildhaften Umsetzung der Consent-Banner aufgefallen sind.
3.3 AI Act: Einigung – wirklich?
Was haben sich nicht alle gefreut, als es im Dezember hieß, im Trilog hätten sich Parlament und Rat auf europäischer Ebene auf einen Text für den AI Act verständigt. Der Text müsse nur noch redaktionell feinabgestimmt und übersetzt werden. Jetzt steht man vor dem Problem, dass es zwar Verständigung über den Text gab, aber eine Anpassung in den Erwägungsgründen unterblieb (vgl. hier im Podcast auf YouTube ab Minute 30). Was nun? Warten wir es ab, ob es wirklich nur redaktionelle Änderungen anzupassen gibt.
Und die FAQ-Liste der Europäischen Kommission zum AI Act wird dann sicherlich auch noch an die finale Fassung des AI Acts anzupassen sein.
3.4 Europarat: Framework zu Artificial Intelligence
Das Committee on Artificial Intelligence (CAI) des Europarates veröffentlichte seinen Entwurf für ein Rahmenabkommen über Künstliche Intelligenz, Menschenrechte, Demokratie und Rechtsstaaatlichkeit. Und Sozialkunde-Wissen aufgefrischt: Der Europarat ist nicht zu verwechseln mit dem Europäischen Rat! Der Europäische Rat verkörpert die Interessen der aktuelle 27 Mitglieder der Europäischen Union, der Europarat ist eine Organisation europäischer Staaten mit derzeit 47 Mitgliedern.
Und nein, es ist für mich noch nicht erkennbar, ob dieser Entwurf des Rahmenabkommens bereits die grundsätzlichen Elemente des AI Acts berücksichtigt oder ob dazu noch Anpassungen zu erwarten sind.
3.5 EU-Kommission: Fristenberechnung für DS-GVO
Eigentlich sollen mit dem Vorschlag der EU-Kommission ja nur zusätzliche Verfahrensregeln für eine verbesserte Durchsetzung der DS-GVO geschaffen werden. Wie jedoch hier anschaulich informiert wird, finden sich in Art. 29 des Entwurfs auch Vorgaben zur Fristenberechnung. Demnach beginnt eine Frist an dem Arbeitstag, der auf das Ereignis folgt. Dies müsste dann beispielsweise auch auf die 72-Stunden-Frist des Art. 33 DS-GVO anzuwenden sein. Dies führt auf alle Fälle zu einer rechtlichen Klarstellung, gibt es derzeit doch unterschiedliche Aussagen der Aufsichtsbehörden dazu. Der LfD Bayern lässt die Frist des Art. 33 DS-GVO in seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung“ (dort RN 77) unter Verweis auf die Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine (ABl. L 124 vom 8. Juni 1971, S. 1) mit der nächsten Stunde beginnen. Das BayLDA führt dazu in seinen FAQs zu Datenschutzverletzungen zur Frage aus, ab wann der Zeitpunkt der 72-Stundenregelung beginnt, dass das BayLDA die 72 Stunden ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde, berechnet.
Es bleibt zu hoffen, dass im Rahmen des Vorschlags der EU-Kommission auch eine Aussage zur Definition des „Arbeitstages“ erfolgt. Das BAYLDA führt nämlich auch dazu aus, dass bei der Festlegung der 72 Stunden auch Wochenenden/Feiertage mitgezählt und nicht nur Arbeitstage beachtet werden.
3.6 DSA: Schutzmaßnahmen zugunsten Kindern erklärt und Datenbank für AGB
Um was geht es beim Digital Service Act und durch welche Maßnahmen sollen Kinder und junge Menschen online geschützt werden. Niedrigschwellig versucht diese Information der Europäischen Kommission dazu Antworten zu geben.
Auch hat die Kommission eine Datenbank für die Allgemeinen Geschäftsbedingungen der Unternehmen eingerichtet, die dem DSA unterliegen. Der Schwerpunkt liegt dabei auf Online-Plattformen wie sozialen Medien, App-Stores oder -Marktplätzen. Die neu eingerichtete Datenbank verfügt derzeit über ein Archiv von 790 Geschäftsbedingungen verschiedener Dienstleister. Die Datenbank verwendet ein automatisiertes System, das die allgemeinen Geschäftsbedingungen der Datenbank mehrmals täglich prüft und neue Änderungen hervorhebt.
3.7 Data Act – Realitätscheck
Kritisch setzt sich dieser Beitrag mit der Umsetzungsmöglichkeit des Data Acts auseinander. Natürlich gehe es beim Data Act nicht um personenbezogene Daten. Wie dies aber in der Praxis abzugrenzen sei, wird an Beispielen erläutert. Auch wird darauf hingewiesen, dass bei der Gestaltung von sogenannten Datennutzungsverträgen mit Verbraucher:innen manipulatives Design nicht eingesetzt werden dürfe.
3.8 Hinweisgeberschutz und NDA
Seit 17.12.2023 sind auch in Deutschland die Umsetzungen des Hinweisgeberschutzgesetzes für Unternehmen ab 50 Mitarbeiter zu beachten. Mit Fragen von der Werthaltigkeit von Vertraulichkeitsvereinbarungen (NDA) in diesem Zusammenhang befasst sich dieser Beitrag vom November 2022.
3.9 Evaluierung DS-GVO
Wie in Art. 97 DS-GVO vorgesehen ist im Jahr 2024 wieder eine Evaluierung der DS-GVO durchzuführen. Die EU-Kommission lädt dazu ein, bis 8. Februar 2024 dazu Hinweise und Vorschläge einzureichen. Mehr dazu hier.
3.10 Bundesregierung: Digitale-Dienste-Gesetz zur Umsetzung des DSA
Die Bundesregierung hat den Entwurf eines Digitale-Dienste-Gesetz beschlossen, mit dem die Plattformaufsicht in Deutschland neu geregelt werden wird. Es ergänzt den Digital Services Act (DSA) der EU für Deutschland. In der BNetzA ist eine zentrale Stelle vorgesehen, die darüber wachen solle, dass Onlineplattformen und Suchmaschinen die Regeln einhalten und gegen illegale Inhalte vorgehen.
Wer jetzt glaubt, das habe ja mit Datenschutz erstmal nichts direkt zu tun, irrt. In Art. 8 des Gesetzes (im pdf des Entwurfs ab Seite 32) wird das TTDSG in TDDDG umbenannt. Das Wort „Telemedien“ wird grundsätzlich durch die Worte „digitale Dienste“ ersetzt. Wer hier fleißig liest, hatte das schon mal mitbekommen, ebenso wie die Kritik am Zuständigkeitsgerangel.
3.11 EU-Kommission: Joint Controllership bei DSA
Wie stellt sich die EU-Kommission eine Vereinbarung zur gemeinsamen Verarbeitung vor? Für den Digital Service Act gestaltet die Kommission eine „Durchführungsverordnung zu den praktischen und betrieblichen Regelungen für das Funktionieren des Systems für den Informationsaustausch gemäß der Verordnung (EU) Nr. 2022/2065 des Europäischen Parlaments und des Rates (‚Gesetz über digitale Dienste‘)“, die nun im Entwurf als Anlage vorliegt. Dabei geht es um die datenschutzrechtliche Umsetzung von gemeinsamen Untersuchungen durch die Koordinatoren für digitale Dienste gemäß Art. 60 des DSA.
Für die Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten kommt dabei ein von der Kommission im Rahmen der Beaufsichtigung, Untersuchung, Durchsetzung und Überwachung des DSA eingerichtete und unterhaltene Informationsaustauschsystem zur Unterstützung der gesamten Kommunikation (AGORA) zum Einsatz.
3.12 Wärmeplanungsgesetz – Gruppenzusammenfassung
Ich hätte es alleine wahrscheinlich nie entdeckt – aber dank eines Hinweises in einem beruflichen Netzwerk hab selbst ich es mitbekommen. Im Wärmeplanungsgesetz (WPG) sind „planungsverantwortliche Stellen“ (§ 3 Abs. 1 Nr. 9 WPG) verpflichtet bestimmte Tätigkeiten für die Wärmeplanung durchzuführen. Cleverer Weise regelt der Gesetzgeber auch in Teil 2 Abschnitt 3 des WPG Vorgaben zur Datenverarbeitung. Und in § 10 Abs. 2 WPG legt er fest, dass Endenergieverbräuche von Gas oder Wärme durch die planungsverantwortliche Stelle nur erhoben werden dürfen, soweit sie keine personenbezogenen Daten beinhalten. Hierzu kann die Datenerhebung insbesondere aggregiert für mindestens fünf benachbarte Hausnummern oder Anschlussnutzer, Messeinrichtungen oder Übergabepunkte erfolgen.
Im Umkehrschluss ist dann davon auszugehen, dass laut Gesetzgeber eine Aggregierung von fünf Einheiten den Personenbezug ausschließt. So, das ist doch mal eine Hausnummer.
Übrigens unterscheidet er dann aber nicht, wie viele Personen jeweils einer konkreten Hausnummer dabei zuzuordnen sind. Weitere Aspekte dazu sind hier nachzulesen.
3.13 Data Act
Der Data Act trat zum 11. Januar 2024 in Kraft und kommt dann ab 12. September 2025 zur Anwendung, vgl. Art. 50 des Data Acts. Auch wenn einige Punkte zur Anwendbarkeit noch nicht geklärt sind, wie z.B. inwieweit Art. 18 als eigene Rechtsgrundlage für eine Datenübertragung heranzuziehen sei, sollten sich verantwortliche Stellen frühzeitig mit entsprechenden Prozessen befassen.
3.14 Stärkung der Durchsetzung der DS-GVO in der EU
Wie bereits berichtet, plant die EU-Kommission für die Aufsichtsbehörden Änderungen, um die Durchsetzbarkeit in der EU zu stärken. Diese sollen über eine weitere Verordnung definiert werden, die im Februar im Europäischen Parlament behandelt werden soll. Eine Zusammenfassung der Maßnahmen und Darstellung der Bedeutung für die Verteidigung betroffener Unternehmen findet sich hier.
3.15 Überwachungsgesamtrechnung
Bereits im Jahr 2010 hatte das Bundesverfassungsgericht in einem seiner Urteil zur Vorratsdatenspeicherung darauf verwiesen, dass eine „Überwachungsgesamtrechnung“ die anlasslose Speicherung von Bürger:innen reduzieren könne. Die Bundesregierung hat nun über das BMJ und BMI das Max-Planck-Institut for den Study of Crime, Security and Law beauftragt eine wissenschaftliche Studie durchzuführen und die Auswirkungen behördlicher Befugnisse zu analysieren.
Je nach persönlichem Erfahrungswert oder politischer Grundhaltung wird sich das Ergebnis der Studie sicher den Sparten Crime, Security oder Law des Instituts zurechnen lassen.
3.16 Einsatz von Palantir in Bayern
Dass in Bayern Software der Firma Palantir durch die Polizei eingesetzt wird, hatten wir schon berichtet. Nun gibt es einen Antrag im Bayerischen Landtag, dass die Staatsregierung dem Landtag zu vier Fragen Bericht erstattet. Na, mal sehen, ob der Landtag das auch beschließt.
3.17 Data Governance Act: Durchführungsverordnungen zur Einwilligung
Die EU-Kommission beginnt ein Verfahren zur Erstellung einer Durchführungsverordnung zum Data Governance Act, mit der ein europäisches Formular für die Einwilligung in den Datenaltruismus eingeführt werden soll, das von Organisationen, die Daten von natürlichen Personen erheben und diese Daten für Ziele von allgemeinem Interesse zur Verfügung stellen wollen, freiwillig verwendet werden kann. Durch die Verpflichtung zur Entwicklung einer digitalen Lösung neben einem Papierformular soll das Einwilligungsformular sicherstellen, dass die Dateninhaber ihre Einwilligung leicht erteilen und widerrufen können.
Parallel wird auch über eine weitere Durchführungsverordnung im Rahmen des Data Governance Act ein europäisches Formular für die Einwilligung in die Datenübermittlung eingeführt, mit dem von der EU anerkannte Organisationen Daten in den Mitgliedstaaten in einem einheitlichen Format erheben können. Das Einwilligungsformular wird sicherstellen, dass Dateneigentümer ihre Einwilligung problemlos erteilen und widerrufen können. Das Formular wird modular aufgebaut sein, so dass es auf die Bedürfnisse bestimmter Sektoren und Zwecke zugeschnitten werden kann, und sowohl in druckbarer als auch in elektronischer Form verfügbar sein.
Aber keine Panik, zumindest hier wurde noch nichts verpasst, das Ganze beginnt erst.
4 Künstliche Intelligenz und Ethik
4.1 ISO 42001 für Managementsystemen mit Künstlicher Intelligenz
Mit der ISO 42001 ist ein neuer Standard für Managementsysteme in Unternehmen entstanden, die KI enthalten sollen. AWS will die Entwicklung maßgeblich unterstützt haben. Einen Bericht dazu lesen Sie hier und eine kurze Einführung dort.
4.2 Europarat: Guidelines on the responsible implementation of artificial intelligence systems in journalism
Der Lenkungsausschuss für die Medien- und Informationsgesellschaft (CDMSI) des Europarates hat sich auf einen Leitfaden für die verantwortliche Implementierung von Künstlicher Intelligenz im Journalismus verständigt.
4.3 Klage gegen OpenAI und Microsoft durch New York Times
Es lässt sich gelegentlich auch innerhalb von Unternehmen beobachten: Leistungen anderer werden für die eigene Positionierung benutzt. Je nach Unternehmenskultur führt dies dann zu Gesprächen oder dem Wechsel von Leistungsträgern. Im wirtschaftlichen Kontext führt es zu Klagen. Wie im Fall der der New York Times (NYT), die OpenAI und Microsoft verklagt. Diese Klage könnte einige rechtliche Fragen klären: Die NYT macht dabei geltend, dass die Verwendung der Informationen aus den Webseiten der NYT nicht rechtmäßig erfolgte. Ein Urteil kann sich essentiell auswirken, auch unabhängig von personenbezogenen Daten. Hier findet sich ein schönes Zitat, das das ganze Dilemma zusammenfasst:
„Es ist nichts ,transformativ‘ daran, die Inhalte der Times ohne Bezahlung zu nutzen, um Produkte zu schaffen, die die Times ersetzen.“
Würde aufgrund eines Urteils beispielsweise die Menge der Trainingsdaten von „Künstlicher Intelligenz“ um die Daten reduziert, die „teuer“ wären, weil sie entsprechende Qualitätssicherungsmaßmahmen durchlaufen hatten, griffen die „günstigen“ KI-Modelle auf weniger inhaltlich ausgewogene Informationen zurück, was sich dann natürlich auch auf die Qualität der generierten Ergebnisse auswirkt. Müssten die KI-Betreiber für die Verwendung der durch andere geschaffen Inhalte bezahlen, verteuerte sich auch das Angebot für die Nutzung von KI. Methoden zur Optimierung der KI werden dann noch wichtiger.
Bezüglich der Anforderungen aus der DS-GVO zu Nutzung personenbezogener Daten zum Training von LLM ändert sich dadurch natürlich nichts, wie z.B. die CNIL hier darstellt. Auch darauf hatten wir bereits hingewiesen.
4.4 Telekom: Whitepaper Metaverse
Vor lauter Hype um Künstliche Intelligenz geriet das Thema Metaverse etwas aus der breiten öffentlichen Wahrnehmung. Nicht bei der Telekom, die ihre Vision für ein ethisch verantwortungsvolles Metaverse in nun einem Whitepaper veröffentlichte. Aber keine Sorge, es sind keine starren Leitplanken, sondern Impuls-Leitplanken.
4.5 ChatGPT plaudert auch gerne
Wahrscheinlich hat bereits jedes Unternehmen interne Vorgaben dazu in den Prompts bei der Nutzung von Künstlicher Intelligenz keine vertraulichen Informationen zu verwenden oder diese als Trainingsdaten zu verwenden. Wird dann KI bei der Nutzung von Suchmaschinen eingesetzt, stellten Forscher der Indiana Universität fest, dass dann auch Kontaktdaten von Journalisten der New York Times, die nicht für die Öffentlichkeit bestimmt waren, als Ergebnis zu finden waren. Und natürlich berichten dann Journalisten darüber, wie hier.
Franks Nachtrag: Apropos ChatGPT …
4.6 KI Überwachung: Smart Speaker im Kampf gegen häusliche Gewalt
Häusliche Gewalt ist meist schwer nachzuweisen, denn sie findet oft nur zwischen zwei Personen statt. Statistiken zufolge wird jede dritte Frau im Laufe ihres Lebens Opfer von Gewalt in der Partnerschaft. Kann der Einsatz von Smart Speakern hier helfen? Damit befasst sich dieser Beitrag, der sich auf die ethischen Aspekte fokussiert, die dabei entstehen können.
4.7 OpenAI: Tipps zu Prompts Engineering
Tipps zum Engineering von passenden Prompts gibt nun auch OpenAI.
4.8 Governance der Künstlichen Intelligenz
Wie Aufgaben der Governance innerhalb einer Organisation umgesetzt werden können, ist Thema dieses Artikels des Responsible AI Instituts.
Dazu passt auch gut die Veröffentlichung des World Privacy Forums zu AI Governance Tools zur Risikobewertung beim Einsatz von KI.
4.9 KI in der Verbraucherrechtsdurchsetzung
Das Projekt „KIVEDU“ konzentriert sich auf die Entwicklung einer KI-basierten Legal-Tech-Lösung, die Unterlassungserklärungen überwacht und so die Durchsetzung von Verbraucherrechten unterstützt. KIVEDU steht dabei für Künstlich-intelligente Verbraucherdurchsetzung und hat eine Projektlaufzeit an der Hochschule Pforzheim von 2023-2025. Dabei soll ein KI-basiertes System entwickelt werden, das im Bereich des sogenannten „Private Enforcement“ unter anderem Unterlassungsgläubiger in die Lage versetzt ihre Rechte und die Durchsetzung ihrer Ansprüche automatisiert sicherzustellen. Mehr dazu hier.
4.10 Europarat: Guidelines on the responsible implementation of artificial intelligence systems in journalism
Der Lenkungsausschuss für die Medien- und Informationsgesellschaft (CDMSI) des Europarates hat sich auf einen Leitfaden für die verantwortliche Implementierung von Künstlicher Intelligenz im Journalismus verständigt.
4.11 KI (ChatGPT) in der juristischen Ausbildung
Eine Studie der University of Minnesota Law School befasste sich mit den Auswirkungen von KI auf die Ausbildung. Dabei bearbeiteten parallel zwei Gruppen mit und ohne KI-Unterstützung (ChatGPT) entsprechende Aufgaben. Diese umfassten Entwürfe von Klagen, Verträgen, einem Mitarbeiterhandbuch und eines Schreibens an Mandanten. Als Ergebnis konnte ein deutlicher Zeitgewinn festgestellt werden, die Qualität der Arbeiten verbesserte sich kaum. Schwächere Studierende profitierten von der Qualitätsverbesserung am meisten. Eine Schlussforderung war auch, dass Studierende das juristische Handwerkszeug ohne KI lernen sollten, nur dann könnten sie KI sinnvoll einsetzen.
4.12 ChatGPT und der Datenschutz
Fast könnte bei dem Thema schon an den Satz von Karl Valentin gedacht werden „Es ist zwar schon alles gesagt, aber noch nicht von jedem“. Dennoch hier der Hinweis auf die Aufzeichnung einer Diskussionsveranstaltung der Universität des Saarlandes auch mit einem Vertreter einer Datenschutzaufsichtsbehörde, der die Task Force Künstliche Intelligenz der DSK leitet. Dauer der Aufzeichnung ca. 1:55 Std., die ersten 9 Minuten beschäftigen sich allerdings erst mal mit den Fortbildungsangeboten der Universität.
4.13 Bloomberg Law: Risk-Assessment für Künstliche Intelligenz
Eine US-amerikanische Rechtsanwaltskanzlei hat einen Leitfaden für die Durchführung eines Risk-Assessments für den Einsatz künstlicher Intelligenz veröffentlicht. Dabei werden auch die rechtlichen Quellen für einzelne „Unacceptable or Prohibited Risk“ aufgeführt.
4.14 Alan Turing Institut: AI Ethics and Governance in Practice
Das Alan Turing Institut hat eine Reihe von Arbeitsbüchern herausgebracht, die den öffentlichen Sektor bei der Anwendung von KI-Ethik und -Sicherheit bei der Konzeption, Entwicklung und dem Einsatz von algorithmischen Systemen unterstützen sollen. Die ersten vier veröffentlichten Arbeitsmappen umfassen Themen wie
- KI-Ethik in Governance und Praxis: Eine Einführung,
- KI-Nachhaltigkeit in der Praxis Teil eins: Grundlagen für nachhaltige KI-Projekte,
- KI-Nachhaltigkeit in der Praxis Teil zwei: Nachhaltigkeit im gesamten KI-Workflow und
- KI-Fairness in der Praxis.
4.15 Klage der New York Times gegen OpenAI und Microsoft (ein Update): Fragen zum Urheberrecht
Aus dem Rechtsstreit der New York Times (NYT) gegen OpenAI und Microsoft wegen der Nutzung von Werken der NYT zu Trainingszwecken gibt es neue Details. OpenAI legt nach diesem Bericht* dar, dass die Ergebnisse, die die NYT zu ihrer Klage veranlasste, unter Verstoß gegen die Nutzungsbedingungen von ChatGPT zustande gekommen seien. Die NYT hatte mit Beispielen dargelegt, dass ChatGPT wortgleiche Ergebnisse zu Artikeln der NYT erstellte.
* Franks Anmerkung: Ich hätte da auch die Original-Quelle.
Franks Nachtrag: An anderer Stelle hingegen… „OpenAI Pleads That It Can’t Make Money Without Using Copyrighted Materials for Free“. Denken die, dass niemand in den USA liest, was in UK geschrieben und gesagt wird?
4.16 Auswirkungen von Künstlicher Intelligenz auf das Urheberrecht im Kulturbereich
Nehmen wir mal an, ihr seid Grafiker:in und ein Teil oder fast alle eure Werke sind über das Netz verfügbar. Nun merkt ihr, dass eure Aufträge immer weniger werden, weil jeder Depp (wie gendert man „Depp“??) sich nun über Bildgeneratoren auf Basis künstlicher Intelligenz selbst Abbildungen gestalten lässt. Und die verwendeten als Trainingsmaterial eure Werke. Vor so einem Hintergrund wurde eine Anfrage aus dem Bundestag zu den Auswirkungen Künstlicher Intelligenz auf das Urheberrecht im Kulturbereich durch die Bundesregierung beantwortet.
Ein Teil der Fragen wird unter Verweis auf die Richtlinie (EU) 2019/790 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt (DSM-Richtlinie) und deren Evaluierung im Jahr 2026 beantwortet. Auch will sich die Bundesregierung dafür einsetzen, dass das Thema „KI und Urheberrecht“ in das nächste Arbeitsprogramm der Kommission aufgenommen wird. Weitere Details zu den Antworten zu den insgesamt 36 Fragen finden sich hier.
4.17 Visualisierung LLM
Wie kann ein Large Language Model visualisiert werden, dem ChatGPT zugrunde liegt? Eine mögliche Antwort findet sich hier auf den Webseiten eines Software Engineers.
5 Veröffentlichungen
5.1 Podcast zu Pentesting
In diesem Podcast (ca. 75 Min) wird nicht nur kenntnisreich erklärt, was Pentesting ist und welche Rahmenbedingungen dabei zu beachten sind, sondern es werden auch die rechtlichen Anforderungen, damit es keinen Ärger gibt, niedrigschwellig dargestellt. Und besonders hervorzuheben: Auf der verlinlten Seite sind auch die wesentlichen Aussagen mit Angaben der Minuten abgebildet!
5.2 Podcast zu Compliance und Managementsystemen
Keine Sorge, auch Datenschutz kommt dabei nicht zu kurz! Und es geht mir dabei wirklich um die Inhalte des Gesprächs und nicht nur um stillen Applaus für die Musikauswahl des Gastes! Allein die Kernaussage „Regulierung heißt nicht alles zu verbieten“, ist bereits zitierfähig. Der Podcast erschien im Rahmen eines Podcast-Adventskalenders in Österreich und findet sich bei Spotify und bei Apple Podcast.
5.3 Standarddatenschutzmodell, Version 3.0
Wer sich mit dem Standarddatenschutzmodell (SDM) befassen darf, kann zur Einführung und Vertiefung die Sendung des „Datenkanals“ anhören (Dauer 1:26 Std.). Dabei geht es nicht nur um die Entstehung des SDM, sondern auch um dessen Umsetzung und um die Relevanz für Datenschutz-Folgenabschätzungen und für das Verzeichnis von Verarbeitungstätigkeiten.
5.4 MS CoPilot
Datenschutzrechtliche Aspekte und Erklärungen rund um den CoPilot von Microsoft werden hier erörtert.
5.5 Beachtenswertes für „Corporate Influencer“
Hier finden sich aktuelle Hinweise auf rechtliche Leitplanken auch aus Datenschutzsicht bei der Nutzung von Social Media, speziell LinkedIn.
5.6 ATHENE: Studie zu Rechtssicherheit bei Big Data und KI
ATHENE, das Nationale Forschungszentrum für angewandte Cybersicherheit (Forschungseinrichtung von Fraunhofer-Instituten) haben eine Studie zur fehlenden Rechtssicherheit für Big Data und KI unter dem Titel „Systematic Privacy for large, real-life Data Processing Systems“ veröffentlicht. Dabei befassen sich die Autor:innen mit Fragen, wie Big-Data- und KI-Anwendungen gewinnbringend genutzt werden können ohne Datenschutz und IT-Sicherheit zu verletzen. Sie untersuchten dabei geltende Vorschriften aus den Rechtsbereichen Datenschutz, IT-Sicherheitsrecht und Urheberrecht in Bezug auf Big Data und betrachteten dabei auch den damaligen Entwurf zum AI Act.
Das Fazit: Der aktuelle Rechtsrahmen reiche für eine sichere Verarbeitung von Big Data nicht aus und sorge für Verunsicherung bei Bürgerinnen und Bürgern sowie Rechtsunsicherheit bei Unternehmen. Sie fordern einen ganzheitlichen, rechtlich-technischen Rahmen und entwickeln konkrete Lösungsvorschläge sowie Handlungshilfen.
5.7 Optimierungsmöglichkeiten der Einflussmöglichkeiten bei technischen Neuerungen
Wie deutsche Universitäten ihren Einfluss bei der Frage über KI-Governance und deren Regulierung stärken können, wird in diesem Workshopbericht am Beispiel der US-amerikanischen Universitäten betrachtet.
5.8 Mobil und sicher unterwegs?!
Wer jetzt noch ein bestimmtes Modell eines sportlichen SUV aus Zuffenhausen haben will, sollte sich beeilen. Meldungen zufolge wird das Model frühzeitig vom Markt genommen, weil es Vorschriften zur Cybersicherheit ab dem 1. Juli 2024 nicht mehr erfüllt.
Hintergrund seien Regeln für Cybersecurity der „United Nations Economic Commission for Europe (UNECE), also die für Europa zuständige Wirtschaftskommission innerhalb der Vereinten Nationen. Sie verabschiedete im Sommer 2020 ein neues Regelwerk, das Automobilherstellern klare und international harmonisierte Anforderungen in Bezug auf die IT-Sicherheit und Software-Updates ihrer Produkte vorgibt und vier Bereiche umfassen:
- Die gesamte Fahrzeugflotte muss Cyberangriffe erkennen und abwehren können.
- Sichere Software-Updates müssen bereitgestellt und eine Rechtsgrundlage für Over-the-Air-Updates eingeführt werden.
- Bereits bei der Entwicklung muss die Fahrzeug-IT so umfassend abgesichert werden, dass Risiken entlang der Wertschöpfungskette gemindert werden.
- Das Regelwerk fordert ein Management der Cyber-Risiken für Fahrzeuge.
Ein Trost kann sein, dass das Modell laut Bericht noch außerhalb der EU vertrieben wird. Aber auch andere Marktsegmente wie bei diesem Kleinwagen erfüllen Cybersecurity-Anforderungen nicht und werden vom Markt genommen.
Vielleicht fällt das aber gar nicht weiter auf, wenn Onlineangebote der KFZ-Zulassungsstellen aufgrund von Sicherheitsmängeln sowieso nicht genutzt werden können.
5.9 Google Tag Manager: Datenlecks und Schwachstellen?
Ich zögerte kurz diese Meldung zu dieser Studie wirklich zu bringen, denn irgendwie enthält sie ja eigentlich nicht wirklich etwas Neues, oder hätte jemand tatsächlich etwas anderes erwartet?
5.10 Bundesmessenger
Dass viele Messenger im beruflichen Einsatz manche rechtlichen Anforderungen nicht meistern, braucht hier sicher nicht wiederholt werden. Für Bundesbehörden gibt es nun eine Alternative, den Bundesmessenger. Er basiert auf dem Open-Source-Protokoll Matrix und mit ihm können auch Texte, Dokumente und Mediendateien, aber auch Sprachnachrichten verschickt werden. Den Bericht dazu lesen Sie hier.
5.11 Datenschutzrechtliche Bewertung der Protected Audience API von Privacy Sandbox
Das war das Thema einer Dissertation an der University of Edinburgh, die hier veröffentlicht wurde und zu der es hier eine Zusammenfassung des Verfassers findet.
5.12 Besprechung des Urteil zu PNR – Konsequenzen für ML/AI-Systeme
Bereits bei Veröffentlichung des Urteils des EuGH C-817/19 zu Fluggastdatensätzen (PNR für Passenger Name Records) hatten wir darauf hingewiesen, dass sich daraus Ableitungen ergeben und dass sich auch der Wissenschaftliche Dienst damit befasst hat. Nun gibt es einen Beitrag, der sich sehr kritisch mit den Ausführungen des Generalanwalts und des EuGH im Rahmen dieses Verfahrens auseinandersetzt, aber auch darauf hinweist, dass sie klarstellten, dass die Verwendung von unerklärlichen und daher nicht überprüfbaren und unanfechtbaren „Black-Box“-Systemen mit maschinellem Lernen und künstlicher Intelligenz (ML/AI) gegen das Wesen des Rechts auf einen wirksamen Rechtsbehelf verstoße.
5.13 Veranstaltungen
5.13.1 MfK: Ausstellung in Nürnberg zu Bildern durch KI
Bis 21.01.2024 in Nürnberg: Allen, die sich mit den Konsequenzen der Künstlichen Intelligenz bei der Gestaltung von Bildern befassen wollen, sei die Ausstellung „New Realities“ im Nürnberger Museum für Kommunikation empfohlen, die bis 14. Januar 2024 zu sehen ist. Sie führt Besucher auf eine interaktive Reise durch drei Bilderserien, die mit KI errechnet wurden.
5.13.2 Universität Passau: Ringvorlesung „Legal tech“
Wintersemester 2023/2024, online: Die Veranstaltungsreihe der Universität Passau im Wintersemester zu öffentlichen Vorlesungen, an denen über Zoom teilgenommen werden kann, findet sich hier mit dem vollständigen Programm.
5.13.3 TU Wien: „Fostering democracy in the Age of AI” -neu-
16.01.2024, 18:30 – 20:00 Uhr, Wien und online: Die Auswirkungen des Einsatzes von KI auf Gesellschaft und Demokratie werden von Wissenschaftlern gemeinsam mit der US-amerikanischen Botschafterin in Österreich diskutiert, Veranstaltung auf Englisch. Weitere Informationen hier inkl. Angaben zu Einwahldaten über Zoom.
5.13.4 BIHK: Webinarreihe „Daten in der Praxis“ -neu-
ab 17.01.2024, tagsüber, online: Die bayerischen IHKs bieten zusammen mit dem Bayerischen Staatsministerium für Digitales eine Webinarreihe (in den Monaten Januar und Februar 2024) an. Verschiedene Themen an verschiedenen Tagen, meist zwischen 11:00 und 12:00 Uhr. Details mit Links zur Anmeldung hier.
5.13.5 Stiftung Datenschutz: DatenTag zu „Preisgabe von Daten“
19.01.2024, 10:00 – 15:00 Uhr, Berlin und gestreamt: „Daten sind der Rohstoff für viele Geschäftsmodelle.“ Wenn es schon so beginnt, dann ist aus Datenschutzsicht meist nicht viel Gutes zu erwarten. Anders wohl bei dieser Veranstaltung der Stiftung Datenschutz: Um Verarbeitungen zu ermöglichen, wird oft die Einwilligung der betroffenen Personen erforderlich. Das Forschungsprojekt „Vektoren der Datenpreisgabe“ geht diesen Fragen nach, verknüpft Erkenntnisse der Kulturwissenschaften, Wirtschaftsinformatik und Rechtswissenschaften und stellt seine Ergebnisse vor. Dies stellt dann die Basis der Diskussion dar. Weitere Informationen und Anmeldung hier.
5.13.6 Closing-Event der GI: Roundtable – Reihe ethische Ki-Entwicklung -neu-
24.01.2024, 18:00 – 20:00 Uhr, Berlin: Künstliche Intelligenz verändert unseren Alltag. Um zu beeinflussen, wie sie das tut, wird vermehrt über notwendige Regeln für die Entwicklung und Anwendung von KI-Systemen diskutiert. Noch jedoch fehlt es an etablierten Richtlinien und selbst mit dem Inkrafttreten verbindlicher regulatorischer Rahmenbedingungen wie dem AI Act bleibt einiges offen: Wie lassen sich Prinzipien für die verantwortungsbewusste Gestaltung von KI praktisch umsetzen? Was genau fordern wir von der Technik und was vom Menschen? Und wie schaffen wir die Voraussetzungen dafür, ethische Werte in die KI-Entwicklung zu bringen? Das sind die Themen, zu denen Sie weitere Informationens und die Anmeldung zur Veranstaltung der Gesellschaft für Informatik (GI) hier finden.
5.13.7 EDPS: „Data Protection Day 2024“
25.01.2024: Der Europäische Datenschutzbeauftragte lädt zusammen mit dem Rat zu einer Veranstaltung anlässlich des europäischen Datenschutztages ein. Weitere Informationen und Anmeldung hier.
5.13.8 DSK: „Digitale Transformation – die Datenschutz-Zukunft gestalten“ -neu-
29.01.2024, 12:00 – 17:00 Uhr, Berlin und online: Im Rahmen des Europäischen Datenschutztags 2024 bietet die DSK eine Veranstaltung mit Grußworten und Vortragssessions und der „Staffelübergabe“ im Vorsitz der DSK an Bremen. Weitere Informationen dazu hier.
5.13.9 Berlin Kino Filmkunst: Filmvorführung „Total Trust“ -neu-
29.01.2024, 17:30 – 20:00 Uhr, Berlin Kino Filmkunst: „Total Trust“ ist ein zutiefst beunruhigender und bewegender Film über die unheimliche Macht von Big Data und KI, über ihren Gebrauch und Missbrauch im öffentlichen wie im privaten Leben, über Zensur und Selbstzensur. China ist derzeit das am stärksten überwachte Land der Welt. Anhand eindringlicher Schicksale von Menschen, die dort überwacht, eingeschüchtert und sogar gefoltert wurden, erzählt „Total Trust“ von den Gefahren aktueller Technologien in den Händen einer ungezügelten Macht. Grandios gefilmt – mit einzigartigem, anonym gedrehtem Material –, emotional und mit größtem Respekt vor seinen beeindruckenden Protagonist.innen erzählt, stößt der Film eine Debatte über die existenziellen Herausforderungen an, die die auf Big Data und KI basierenden Überwachungstechnologien für Demokratie und Gerechtigkeit darstellen. Begrenzte Teilnehmerzahl. Anmeldung erforderlich. Mehr dazu hier.
Franks Nachtrag: Momentan kann man sich nur auf eine Warteliste setzen lassen. Aber vielleicht hilft es?
5.13.10 EAID: „Exportschlager AI Act?“ -neu-
29.01.2024, 18:00 – 20:00 Uhr, in Berlin und online: Die Europäische Akademie für Informationsfreiheit und Datenschutz bietet unter dem Titel „Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?“ ein Eingangsstatement mit anschließender Paneldiskussion an. Vertreter des Europäischen Parlaments und der EU-Kommission diskutieren mit Vertreter:innen der Wissenschaft und der Zivilgesellschaft zu aktuellen Fragen rund um die Regulierung von KI. Weitere Informationen und Anmeldung hier.
5.13.11 Universität des Saarlandes: „Datenschutzrechtliches Risikomanagement bei Cyber-Angriffen“ -neu-
30.01.2024, 18:30 – 20:00 Uhr, online: Die Universität des Saarlandes bietet zu diesem Thema einen Online-Vortrag einer Expertin über MS Teams an. Weitere Informationen und Anmeldung hier.
5.13.12 HSLU: „Datenschutz in Immersive Reality“ -neu-
18.04.2024, 12:00 – 17:30 Uhr, „Privacy Ring“ in Luzern: Die Referate werden über die Präsentationsform des „Pecha Kucha“ gehalten. Es besteht zu Beginn der Veranstaltung auch die Möglichkeit an einer Führung im Immersive Reality Center (IRC) der Hochschule Luzern teilzunehmen. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Social Media und Suchtfolgen
Mit den Folgen der Nutzung von Social Media – gerade auch bei Kindern – befasst sich dieser Hörfunkbeitrag des Deutschlandfunks, der auch nur 7:46 Minuten dauert. Dazu passend auch dieses Positionspapier des Rates für digitale Ökologie zu „Social Media als Verhaltenssucht.
6.2 „Digitale Souveränität“ ohne Open Source
Wieder eine Illusion weniger: Anstatt über verstärkten Einsatz von Open-Source-Produkten die eigene digitale Souveränität zu stärken und Abhängigkeiten von proprietären Anbietern (aus dem Ausland) zu verringern, werden nach diesem Bericht und dieser Pressemitteilung langjährige Rahmenverträge mit US-amerikanischen Herstellern geschlossen.
Franks Nachtrag: Apropos Open Source …
6.3 Forschungsvorhaben zu „Digitaler Transformation und Resilienz“
Das Bayerische Forschungsinstitut für Digitale Transformation (bidt) der Bayerischen Akademie der Wissenschaften fördert ab 2024 vier neue Forschungsvorhaben an bayerischen Hochschulen und Forschungseinrichtungen. Die Projekte starten im ersten Halbjahr 2024 und behandeln Forschungsfragen zum Schwerpunkt „Digitale Transformation und Resilienz“. Denn um Wohlergehen, Souveränität und Regenerationsfähigkeit in Zeiten von Unsicherheit oder Krisen zu erhalten, ist die Widerstands- und Anpassungsfähigkeit von Individuen, Unternehmen, Gesellschaft und Staat ein zentraler Faktor. Mehr dazu auf deren Webseite.
6.4 Gemeinwohl im Digitalen
Welche Möglichkeiten bietet gemeinwohlorientierte Digitalpolitik für ein gerechteres Internet? Dies ist eine der Fragen, die einer Ökonomin, die sich dafür einsetzt dies in digitalpolitischen Steuerungsprozessen zu verankern, in diesem Interview gestellt wurden.
6.5 Sammelndes Spielzeug
Vielen Kindern hat das Christkind Spielzeug gebracht. Ob das auch immer so im Sinne des Kindes sein muss, wenn das Spielzeug dann munter Daten der Kinder sammelt und für obskure Zwecke nutzt, sollte vor der Beschaffung geprüft werden. Evtl. regt auch dieser Bericht dazu an nochmal zu prüfen, ob das Christkind die richtige Auswahl getroffen hat.
7 Sonstiges/Blick über den Tellerrand
7.1 Bedrohung aus dem Netz
Nach einer Umfrage des bitkom fühlt sich fast jeder aus dem Internet bedroht. Und das scheinbar nicht durch die Mitglieder des bitkom, sondern vor allem gelten Russland und China als Bedrohung. Telefonisch befragt wurden dazu 1.018 Internetnutzerinnen und -nutzer ab 16 Jahren in Deutschland. Die Fragestellungen lauteten: „Wodurch fühlen Sie sich im Internet bedroht?“, „Von welchen Akteuren fühlen Sie sich bedroht?“, „Aus welchen Ländern geht Ihres Erachtens nach im Internet die größte Bedrohung aus?“ und „Wer ist Ihrer Meinung nach vorrangig für Ihre Sicherheit im Internet zuständig?“ Bei der letzten Frage sehen nur 74% die eigene Zuständigkeit selbst den Beitrag für die eigene Sicherheit zu leisten.
Einen Beitrag zur Meldung von verdächtigen sms bietet die Telekom ihren Kunden an: IPhone-Nutzer können verdächtige sms leicht melden. Wie, lesen Sie hier.
7.2 Jugend und Demokratie: Buzzard
Auch wenn der eigentliche Unterstützungszeitraum bereits abgelaufen ist: Das Thema ist leider noch aktuell. In einer Zeit, in der Menschen immer mehr in ihren Denkmustern verharren und Verschwörungsmythen soziale Netzwerke überfluten, versucht das Projekt „Buzzard“ an Schulen zu vermitteln, wie es gelingt den Überblick zu behalten – und verschiedenste Perspektiven kritisch prüfen und einordnen zu können. Dabei werden über die App „Buzzard“ Medienstimmen des ganzen Meinungsspektrums in einer App gebündelt und diese journalistisch eingeordnet. Eine Registrierung kann als Lehrkraft oder Schüler:in erfolgen. Für einzelne regionale Bereiche gibt es Förderungen, um daran kostenlos teilnehmen zu können.
7.3 BMBF: Roadmap Datenkompetenz und Datenkultur
Das Bundesministerium für Bildung und Forschung (BMBF) informiert auf seiner Webseite, dass es im Rahmen der Digitalstrategie einen wesentlichen Beitrag zu Datenkompetenzen und Datenkultur leiste. Die Roadmap Datenkompetenzen und Datenkultur des BMBF ist ein bedeutsamer Teil der Datenstrategie der Bundesregierung. Ziel der Datenstrategie ist es eine innovative Datenpolitik für Deutschland auf den Weg zu bringen. Dieses Ziel unterstützt das BMBF durch die Roadmap, mit der Entwicklungsperspektiven entworfen und der Prozess, konkrete Einzelziele sowie Maßnahmen zur Erhöhung von Datenkompetenzen und zur Etablierung einer Datenkultur formuliert werden. Für den Entwurf der Roadmap wurden über 20 Expertinnen und Experten aus unterschiedlichen Arbeitsbereichen an Hochschulen, Verbänden, Vereinen, Think-Tanks, Start-Ups und Unternehmen konsultiert, die miteinander diskutiert und ein gemeinsames Impulspapier für die Weiterentwicklung der Vermittlung von Datenkompetenzen und Zielgruppenerreichung erarbeitet haben. Genau danach sieht dann auch das Ergebnis aus.
7.4 Risiken und Nebenwirkungen digitaler Informationstechnik in der Bildung
Fast schon passend dazu: Ein Vortrag auf YouTube (1:47 h) zu denkbaren Folgen digitaler Informationstechnik in der Bildung. Der Redner ist vielen noch als Autor eines Beitrags zur digitalen Demenz bekannt, dessen Thesen damals durch die Wirtschaft sehr kritisiert wurden. Ein weiterer Beitrag zur Debatte der digitalen Bildung.
7.5 40 Jahre Volkszählungsurteil
Kurz vor Weihnachten jährte sich der Geburtstag des Volkszählungsurteils zum 40. Mal. Hier ein Bericht dazu.
7.6 Meta, Threads und Deutungshoheit
Meta ist ja nun auch im Segment der Kurznachrichtendienste aktiv. Auch hier scheut sich der Konzern nach diesem Bericht nicht Einfluss auf die Wahrnehmung und Meinungsbildung zu nehmen. Bei Begriffen wie „porn“ mag das noch nachvollziehbar sein, bei Begriffen wie „long covid“ oder „vaccines“ erscheint das nicht mehr hinnehmbar. Scheint aber auch keinen irgendwie richtig zu stören.
8. Franks Zugabe
8.1 DPF und alles ist gut?
Nun haben wir ja seit letzten Jahr das DPF (wir berichteten regelmäßig darüber, u.a. hier, hier und hier), also den Angemessenheitsbeschluss der EU für Datentransfers in die USA an Empfänger, die sich nach dem DPF selbst verpflichtet haben. Hier gibt es nun eine Stimme, die ausführt, warum das DPF vielleicht doch nicht der Weisheit letzter Schuss ist und warum damit immer noch nicht alle Probleme beim Einsatz von US-amerikanischen Dienstleistern gelöst sind.
Vielleicht wollen Sie mal mit Hilfe solcher Argumente und Fakten eine Diskussion führen…
Franks Nachtrag (Ich finde das lustig zu meinen eigenen Beiträgen Nachträge zu schreiben, also lassen Sie mich bitte…): Bin ich eigentlich der Einzige, der sich wundert, warum zum Beispiel für Microsoft auf der DPF-Seite der US-Regierung steht, dass Microsoft sein „EU-U.S. Data Privacy Framework“-Erstzertifikat am 12.08.2016 erhalten hat? 🤔
8.2 Apropos Selbstverpflichtung …
Sie wissen es natürlich, das DPF ist für die US-Unternehmen, die in der EU IT-Dienstleistungen anbieten (wie Microsoft, s.o.), im Kern eine Selbstverpflichtung.
Auch das BSI wird nun auf Selbstverpflichtungen setzen und für Verbraucherinnen und Verbraucher mit einem IT-Sicherheitskennzeichen für Transparenz sorgen.
Nicht nur ich bin von der Idee der Selbstverpflichtung nicht überzeugt…
8.3 Selbst schuld?
Wir haben ja schon über die Datenpannen bei 23andme berichtet… Warum schreibe ich erneut darüber?
23andme hat nun eine Begründung geliefert, warum sie ja gar nicht schuld sind: Die Nutzer sind selbst schuld. Gut, dass wir das jetzt geklärt haben.
8.4 Enshittification
Hatten wir das nicht auch schon mal? Ach ja, hier und hier… Und warum schreibe ich wieder davon? Die American Dialect Society hat es zum Wort des Jahres 2023 gekürt. Da sag noch mal einer, dass Autoren nicht Einfluss haben. Glückwunsch, Cory Doctorov!
Apropos Enshittification: Amazon hat gemäß dem Autor dieses Beitrags für die Steigerung der Enshittification von Smart-TVs Ideen…
8.5 Betroffenenrechte? Umsonst?
Nicht in Österreich, zumindest nicht, wenn es nach dem Gläubigerschutzverband KSV1870 geht, berichtet noyb. Weswegen noyb eine Beschwerde bei der zuständigen österreichischen Datenschutzaufsicht (DSB) eingebracht hat und den Gläubigerverband außerdem anzeigen will. Gut so!
8.6 Apropos Datenschutz kostet Geld …
noyb ist nicht untätig. Und trotzdem haben sie immer noch reichlich Zeit für „alte Bekannte“ und so haben sie (wie schon so oft) mal wieder Meta im Fokus. Dieses Mal geht es ihnen um das Pay-or-Okay-Modell. Und auch hier gab es eine Beschwerde bei der zuständigen österreichischen Datenschutzaufsicht (DSB).
Ich finde, dass noyb unterstützenswerte Arbeit leistet… Sie auch?
8.7 Digitalisierung am Beispiel der Deutschen Bahn
Kurz vor Weihnachten hat sich der Autor der nachvolgend verlinkten drei Blogbeiträge mit der Digitalisierung bei der Deutschen Bahn (konkret am Beispiel der Umsetzung des Deutschlandtickets) beschäftigt. Wobei er eigentlich nur damit anfängt, die Bahn schlecht zu finden und einen Beitrag verlinkt, aus dem deutlich wird, warum das bei den Schweizer Bahnen grundsätzlich besser funktioniert.
Dann gibt er Leserbriefe wieder, die das Ausmaß der Digitalisierungsprobleme darstellen. Erst einen, dann noch einen. So funktioniert Digitalisierung nicht wirklich zuverlässig.
Und warum schreibe ich das jetzt, fragen Sie?
Na, wegen der neuesten Idee der Deutschen Bahn: Wir digitalisieren auch die BahnCard. Die Freude darüber ist erwartbar verhalten. Stichwort Digitalzwang und so.
Und um den Bogen zurück zum Anfang dieses Beitrags zu schlagen: Der Beitrag hinter dem vorherigen Link wurde von einem Schweizer gescrieben, der Kunde der Deutschen Bahn ist. Ich will Ihnen seine (ungekürzten) Ausführungen nicht vorenthalten. Darin finden Sie übrigens auch einen Musterbeschwerdebrief.
Tja, die Schweizer wieder…
P.S.: Ich bin Besitzer einer BahnCard, wenn auch nur einer BahnCard 25. Wenn es die BahnCard tatsächlich irgendwann nur noch digital gibt, dann bin ich ziemlich sicher mit dem nächsten Ablauf meiner Plastik-BahnCard ein gewesener Besitzer einer BahnCard. Ich verweigere mich überwiegend konsequent der „gibt’s da auch ’ne App für?“-Philosophie.
8.8 Streamen ist besser als besitzen?
Mal abgesehen davon, dass streamen definitiv nicht gut für das Klima ist (siehe auch diese Tipps):
Wenn ich etwas bei einem der großen Anbieter streame (weil ich bei diesem ein Abo habe), dann bedeutet das nicht, dass ich (zeitlich) uneingeschränkt darauf Zugriff habe. Es sei denn, der Anbieter erbarmt sich noch einmal seiner zahlenden Kunden…
Also, bei meinen physikalischen Film-Datenträgern zu Hause (von Videokassetten bis hin zu 4K-UHD-BluRays) habe ich solche Probleme nicht. 📼/📀=👍
Zum Thema passend habe ich auch noch mit dem Titel „The end of ownership“ ein etwas längeres Essay. Lesenswert!
8.9 Apropos Cloudanbieter …
Mir ist keine andere sinnvolle Überschrift eingefallen, deswegen finden Sie hier ein Update zum Rekordbußgeld gegen Amazon (Spoiler, sie klagen dagegegen…) und eine Meldung über Google Drive. „Gehen Sie in die Cloud.“ sagen sie, „Die kennen sich damit aus.“ meinen sie…
Nun ja. Kannstemachen…
8.10 Apropos ChatGPT …
Nicht mehr an ganz so prominenter Stelle, aber in diesem Blogbeitrag habe ich wieder ein paar Meldungen rund um ChatGPT:
- Hier ein etwas längerer Beitrag zur Sicherheit und KI, rund um die Bedrohung, die sich aus dem einfachen Satz „ChatGPT, stell‘ Deutschland mal den Strom aus.“ ergeben kann
- Hier freut sich Bruce Schneier über die GDPR (zumindest für die EU). Warum? Weil diese Auswüchse, wie sie in den USA nur eine AGB-Änderung entfernt sind, deutlich besser verhindert, als es der Rechtsrahmen in den USA kann. „OpenAI Is Not Training on Your Dropbox Documents—Today…“
- Es wird als epochale Änderung rauf- und runterbesprochen: Microsoft plant eine neue Taste auf PC-Tastaturen einzuführen: Die Copilot-Taste. Und dazu passend: „Wie bei Microsoft üblich, stellt sich nicht die Frage, ob Datenschutzverstöße vorliegen, sondern in welchem Umfang.“
- Erst hat das österreichische Arbeitsamt einen ChatGPT-Chatbot von OpenAI gekauft. Dann entwickelte sich alles recht schnell wie erwartet. Das hatten wir ja auch schon mal so ähnlich…
- Wieviele Click-Worker sind nötig, um Künstliche Intelligenz möglich zu machen? Scheinbar viele, auch bei OpenAI. Weswegen die Arbeitsbedingungen solcher Click-Worker nach einer Studie verbessert werden sollten. (Ich bin jetzt zu faul, die konkrete Meldung herauszusuchen, aber ich meine mich zu erinnern, dass ich mal eine Meldung hatte, nach der die Click-Worker selbst wieder KI-Systeme genutzt haben… Sowas kommt von sowas, oder wie weiter oben schon geschrieben: Kannstemachen…
- Und zum Abschluss: Die Wettbewerbshüter in Brüssel prüfen, ob Microsofts Investition in OpenAI schon marktverzerrend ist.
8.11 Apropos KI …
Und auch zur KI allgemein sind ein paar Meldungen meiner Meinung nach erwähnenswert:
- Daten von Bauhaus-Kunden entwickelten ein Eigenleben bei Bing Chat. Tja, wer hätte das ahnen können?
- Nackt mit KI – Ein Analyse-Unternehmen sieht einen Trend. Oh, happy days! Welche Chance haben wir im Internet Aktiven uns davor zu schützen? Mir fällt nichts ein…
- Die Geister, die ich rief… Elon Musk wollte eine KI erzeugen, die nicht woke ist, „so wie die ganzen anderen KI“. Hat wohl nicht so gut geklappt.
- Ein Roboter lernt durch verstärkendes Lernen ein Geschicklichkeitsspiel zu bewältigen – und dabei sogar zu schummeln. Ist das nun ein weiterer Schritt auf dem Weg zu Apokalypse?
- Gewöhnen wir uns doch einfach an KI-generierte Fakes! So zumindest findet der Meta-CTO. Besser als Wasserzeichen. Und das hat sicherlich nichts damit zu tun, dass Meta nun auch eine „Vertrauenswürdigere und sicherere KI“ hat?
- KI vernichtet Jobs, heute: Influencer. Das passt irgendwie zur zweiten Meldung der Liste, oder?
8.12 Wie ist denn so Ihr Musikgeschmack?
Wenn Sie sich das schon immer mal gefragt haben, können Sie (quasi, um eine unabhängige Meinung zu bekommen) eine KI dazu befragen. Disclaimer: Die KI will sich in Ihren Apple- oder Spotify-Account einloggen. Ob Sie das mögen?
9. Die guten Nachrichten zum Schluss
9.1 Tommi – Kindersoftwarepreis 2023
Bei der Auszeichnung des Kindersoftwarepreises 2023 im Bereich Bildung hat einige erwähnenswerte Preisträger ausgezeichnet. Unter anderem auch die Seite der Datenschutzaufsichten in Deutschland Young Data.
9.2 Linksammlung der Stiftung digitalen Chancen
Im Rahmen des digitalen Weihnachtsgrusses versandte die Stiftung digitale Chancen auch eine Sammlung mit Informationen und weiterführenden Links rund um KI, zu den Rubriken „Digital mobil im Alter“, „Gutes Aufwachsen mit Medien“, „Podcasts zum Thema KI“, Ethik der KI“ und zu vielem mehr.
9.3 Routenplaner Digitale Bildung
Es ist schon etwas älter, aber weiterhin empfehlenswert: Als Orientierungshilfe im digitalen Wandel kann die Veröffentlichung des Routenplaners Digitale Bildung auf dem Weg zu zeitgemäßem Lernen herangezogen werden.
9.4 Lernmaterialien zu digitaler Selbstverteidigung
Hier finden sich über verschiedene Kapitel verteilt Wissen und Handlungskompetenzen in verschiedenen Bereichen rund um IT-Sicherheit und Datenschutz in einzelnen Onlinekursen unter dem Schlagwort „Digitale Selbstverteidigung“.