Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 04-06/2024)“
Hier ist der 80. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 04-06/2024)“. Es ist dann doch wieder eine Dreier-Ausgabe geworden. Aber wie so oft lohnt es sich, die über 100 Einzelbeiträge zu studieren… Und es gibt auch wieder einen ziemlich zeitkritischen neuen Veranstaltungshinweis.
- Aufsichtsbehörden
- EDSA: Erkenntnisse des EDSA zum DSB
- BfDI veröffentlicht FAQ zum E-Rezept
- BfDI: Nachfolgegespräche
- LfD Bayern: Keine Rechtsgrundlage des Testbetriebs von Palantir
- TLfDI: MS 365 an Schulen – und überhaupt!
- CNIL: Tools zur IT-Sicherheit von Cloudanwendungen und DS-GVO
- CNIL: Unzulässige Videoüberwachung – 32. Mio. Euro Bußgeld
- DSB Österreich: Wechsel der Rechtsgrundlagen (Bußgeld wegen Videoüberwachung)
- DSB Österreich: Unzureichende Mitwirkung nach Art. 31 DS-GVO führt zu Bußgeld
- Irland: Auskunft über Back-up-Daten?
- Italien: Untersuchung von Webseite hinsichtlich Dark Patterns
- Schweiz: Aktualisierter Leitfaden für TOM veröffentlicht
- BSI: Sichere Datenübermittlung in der Registermodernisierung – TR 03176
- EDSA: Tool zur Webseiten-Prüfung
- EDPS: Vertraulichkeit der Kommunikation muss gewahrt bleiben
- LfDI Rheinland-Pfalz: Workshops für Schulen
- HmbBfDI: Stellungnahme zu Abo-Modelle bei Online-Plattformen beantragt
- BayLDA: Pressemeldung zur Prüfung der DSB
- TLfDI: Neuer TLfDI?
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Datenschutz und Künstliche Intelligenz
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Entwicklungen im Beschäftigtendatenschutz
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Bußgeld u.a. bei Tracking in Partnerbeziehung
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Keine privaten E-Mail-Adressen bei Gemeinderat
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Einbindung eines Rechtsanwalts
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Kopplungsverbot auch bei Vereinen
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Statistik der Behörde
- Italien: Löschpflicht bei rechtswidriger Datenerhebung bei Straßenüberwachung
- Italien: Anordnung gegen OpenAI
- CNIL: Bußgeld wegen unzureichender Einwilligung u.a.
- CNIL: Bußgeld wegen nicht-Benennung eines DSB
- Spanien: Altersverifikation bei Kindern im Netz
- Spanien: Handreichung zu digitalisierten Gesundheitsdaten von Kindern
- Spanien: Cookienutzung und Reichweitenmessung
- Dänemark: Anordnung zur rechtskonformen Nutzung von Chromebook
- Niederlande: 10 Mio. Euro Bußgeld gegen Uber
- CNIL: MS 365 und Gesundheitsdaten
- ICO: Rechtskonforme Webseiten-Cookies
- Brasilien: Anonymisierung und Pseudonymisierung
- Neuseeland: Werkzeugkasten für eine DSFA
- BaFin: Aufsichtsmitteilungen zu Auslagerungen an Cloudanbieter
- EDSA: Report der Cookie-Banner-Taskforce
- Auswahl eines BfDI
- DSK: Europäischer Datenschutztag 2024
- LDI NRW: Zertifizierungsstelle genehmigt
- BayLDA: Bescheid zu Adresshandel
- BayLDA: Prüfung von Apps und Cookie-Bannern
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – KI an Schulen
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Vorgesetztenfeedback
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Überwachung des Personalrats durch Datenschutzbeauftragten
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Ausschluss des Personenbezugs bei Videokamera (Wegweiser für Fußgänger)
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Datentreuhand und Anonymisierung
- LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Bußgeldverfahren beim LfDI Baden-Württemberg
- LDI Niedersachsen: FAQ zu Datenschutz im Gesundheitswesen
- LDI Niedersachsen: Merkblatt zum Newsletterversand
- BlnBfDI: Debatte zum Jahresbericht 2021
- Brasilien: Hypothesen zum berechtigten Interesse
- Rechtsprechung
- EuGH: Begriff der Verarbeitung in Art. 80 Abs. 2 DS-GVO für Klagebefugnis
- BGH: Anforderungen an immateriellen Schadenersatz nach Art. 82 DS-GVO
- EuGH-Vorschau: Berechtigung zum Handel mit Daten
- OVG Lüneburg: Antrag auf Zulassung der Berufung abgelehnt
- Österreich: Schadenersatz bei Fotoveröffentlichung in sozialen Netzwerken
- LAG Sachsen: Beweisverwertungsverbot bei unzureichender Information
- OLG Köln: Dark Pattern auch nicht bei § 25 TTDSG
- EuGH-Vorschau: Gemeinsame Verantwortlichkeit im Online-Werbemarkt
- OLG Düsseldorf: Facebook- und Instagram-Abo
- LG Lübeck: QR-Code kann zur Einbeziehung genügen
- OGH Österreich: Anforderungen an eine Einwilligung zu Werbemaßnahmen
- Gesetzgebung
- NRW: Antrag auf rechtsverbindliche Wirkung von DSK-Beschlüssen
- AI Act
- DSA: Zuständigkeit für Online-Werbungsverbote unklar
- BDSG-Änderungen durch Bundeskabinett verabschiedet
- Bundesrat zum Digitale Dienste Gesetz
- Evaluierung der DS-GVO
- AI Act: Hinweise und Erläuterungen
- „Durchsetzung der DS-GVO“
- European Cybersecurity Certification
- DSA: Transparenzdatenbank
- NRW: Antrag auf rechtsverbindliche Wirkung von DSK-Beschlüssen
- Künstliche Intelligenz und Ethik
- AI House Davos
- Irland: Vorläufige Richtlinien für den Einsatz von AI im öffentlichen Dienst
- KI und Gaza
- Zero Trust AI
- KI und Medizin: Recht auf KI?
- AI und Ethics
- KI und unangemessene Inhalte
- Vorschlag zu KI-Richtlinien und Nutzung durch Beschäftigte
- Handreichung zur Anwendung von KI in der Lehre
- Jailbreak Attacks in Large Language Models
- Hamburg: Erprobung eines eigenen LLM „LLMoin“
- House of Lords: LLM
- KI kindgerecht erklärt
- Risiken bei KI beurteilen
- Datenschutz und KI
- Veröffentlichungen
- Neubewertung der datenschutzrechtlichen Einordnung des Betriebsrates?
- Rechtsvergleich zum Datenschutz – Datenintermediäre und Data Governance Act
- Inside the Mind of a Hacker
- Blockchain
- Cybercrime: Alarmstufe Rot – Angebot in der Mediathek
- Openkritis.de
- Weltweite Datenschutzregulatorik
- DSFA erforderlich? Prüfungstool verfügbar
- Google Analytics: Neuer Einwilligungsmodus
- Widerspruchsgründe nach Art. 21 Abs. 1 DS-GVO
- Vertraulichkeitsverpflichtung
- „Datenschutz ist gut fürs Geschäft“
- noyb: Umfrage zum Datenschutztag
- GDD: Checkliste Auskunftsersuchen
- Beweislast bei Sanktionen und Schadenersatz
- bitkom-Umfrage zu Vertrauen in Anbieter
- Corporate Influencer … und Recht
- Übersicht wichtiger Entscheidungen des EuGH und des EuG im Jahr 2023
- Kommentar zu EuGH C-456/22
- Awarenessmaßnahmen: Altersbedingte Risikofaktoren
- Landesärztekammer Hessen zu Aufbewahrungsfristen
- Datenschutz und Datennutz
- Data Altruism im Vergleich im Data Governance Act und in der DS-GVO
- Auskunftsansprüche gegen Plattformen nach DSA und TTDSG
- Veranstaltungen
- Universität Passau: Ringvorlesung „Legal tech“
- HmbBfDI: Kinderbilder im Netz -neu-
- Stiftung Datenschutz: EuGH-Urteil zum Schufa-Scoring – Wendepunkt für automatisierter Entscheidungsfindung?
- LfDI Baden-Württemberg: KI und Diskriminierung
- HBDI: Der EuGH als Gestalter des Datenschutzrechts
- HSLU: „Datenschutz in Immersive Reality“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Erkenntnisse des EDSA zum DSB
Der EDSA hat ja seine Berichte zur Prüfung der DSB in der übergreifenden koordinierten Aktion veröffentlicht, wir berichteten. Es lohnt sich die Details der Rückmeldungen der beteiligten Aufsichtsbehörden anzusehen. Zum Beispiel sieht das BayLDA die Benennung des Datenschutzbeauftragten als zuständige Person für den internen Meldekanal nach der Whistleblowing-Richtlinie als kritisch an, weil dies zu einem Interessenskonflikt führen könne. Auch erwarte das BayLDA eine Benennung eines Stellvertreters, um die Arbeitsfähigkeit auch bei Abwesenheiten sicherzustellen. Das wird die externen DSBs als weiteres Vermarktungsargument freuen.
Es ist davon auszugehen, dass der EDSA die Rückmeldungen nutzen wird, wird seine Anforderungen an die Ausgestaltung des Arbeitsumfeldes der Datenschutzbeauftragten diesbezüglich zu präzisieren.
1.2 BfDI veröffentlicht FAQ zum E-Rezept
Der BfDI hat FAQ zum E-Rezept veröffentlicht. Seit Anfang 2024 werden verschreibungspflichtige Arzneimittel mittels E-Rezept verordnet. Die E-Rezepte mit der elektronischen Gesundheitskarte (eGK), mit einem Papierausdruck oder per E-Rezept-App (sogenannte gematik-App) eingelöst werden Das E-Rezept ist die erste medizinische Pflichtanwendung des deutschen Gesundheitsnetzes, der Telematikinfrastruktur (TI).
1.3 BfDI: Nachfolgegespräche
Die Amtszeit des aktuelle BfDI endete zum 7. Januar 2024, auf Bitten der Bundestagpräsidentin führt er seine Aufgaben vorerst weiter, wir berichteten. Meldungen zufolge verzichtet die SPD auf ihr Vorschlagsrecht und überträgt dies an FDP und Grüne. Entgegen anderen Wahrnehmungen erfolgt dies nicht, weil der bisherige Amtsinhaber dies kompetent, konstruktiv und gewissenhaft ausübte, sondern weil die SPD schon ganz viele andere Beauftragte stellt. Mal sehen, wie sich FDP und Grüne entscheiden. Es hindert sie niemand, den bisherigen für eine zweite Amtszeit vorzuschlagen. Aber wann hat Datenschutz schon mal was mit Humor zu tun?
Franks Nachtrag: Na ja, wie nannte die Opposition dieses hin und her? Ach ja, beschämend…
1.4 LfD Bayern: Keine Rechtsgrundlage des Testbetriebs von Palantir
Der Bayerische Landesbeauftragte für Datenschutz hat der Bayerischen Polizei nach dieser Meldung mitgeteilt, dass er den Betrieb zu Testzwecken mit Echtdaten der Software „VeRa“ des Herstellers Palantir für unzulässig hält. Dass der Einsatz auch zu Testzwecken umstritten ist, dürfte für das Bayerische Innenministerium nichts Neues sein, selbst die Tagesschau wies bereits darauf hin und wir berichteten dazu. Auch auf einen Podcast mit einem Vertreter des Herstellers verwiesen wir. Die Polizei prüft nun das Schreiben des LfD Bayern (eigentlich hätte sie ja die erforderlichen Prüfungen vor Einsatz der Software durchführen müssen, von einer Information der betroffenen Personen mal ganz abgesehen. Aber keine Sorge: Weder kann der LfD Bayern ein Bußgeld gegen öffentliche Stellen verhängen, noch kann er den Betrieb untersagen – dafür hat die Politik in Deutschland und Bayern schon gesorgt). Er kann gemäß Art. 16 Abs. 4 BayDSG aber immerhin beanstanden, Maßnahmen fordern und sogar den Landtag und die Staatsregierung verständigen. Was in Bayern aber immer geht und daher nicht im BayDSG geregelt werde muss – er kann nach Altötting pilgern, um seine Sorgen und Nöte vorzutragen.
1.5 TLfDI: MS 365 an Schulen – und überhaupt!
Vielen ist der amtierende TLfDI nur über seine Aussagen zum Einsatz von MS 365 bekannt geworden, wie zu einem Schreiben aus dem Dezember 2023 welches an Thüringer Schulen adressiert wurde. Daran gab es auch immer wieder Kritik, wie hier in einem LinkedIN-Post.
Die Kritik zu einer pauschalen Unzulässigkeitserklärung von MS 365 und den Verweis auf proprietäre Alternativen kann ich es gut nachvollziehen. Allerdings fehlt mir die Klarstellung, dass eine pauschale Zusicherung eines Lieferanten nicht von der Pflicht des Art. 5 Abs. 2 DS-GVO (Rechenschaftspflicht) vollkommen entlastet, insb. wenn bestimmte Details wie Nutzung zu eigenen Zwecken seit Jahren entsprechend diskutiert werden. Das in der Kritik zitierte OLG Karlsruhe war da auch etwas differenzierter dahingehend, dass eine vertragliche Zusicherung in einem wettbewerbsrechtlichen Verfahren von einem Konkurrenten nur mit substantiiertem Vorbringen angegriffen werden könne. Es bewertete nicht die Anforderungen an Art. 5 Abs. 2 DS-GVO. Was mir in der Kritik an der Haltung des TLfDI zu MS 365 an Schulen der Bewertung eigentlich immer fehlt, ist die Tatsache, dass es sich dabei immer um Daten von Kindern handelt, die durch staatliche Behörden („Schulpflicht“) verarbeitet werden und es in Thüringen das zentrale Angebot einer „Schulcloud“ durch das Kultusministerium gibt. Was aber oft in der Öffentlichkeit und beratenden Einheiten hängen bleibt ist, dass es der TLfDI übertreibt, was MS 365 angeht, und dass doch alles OK sei.
Wer an einer differenzierten und umfassenden Darstellung zu MS 365 interessiert ist, dem sei diese Zusammenfassung empfohlen, auch wenn ich manche Überschrift anders gewählt hätte. Im Ergebnis gilt gerade bei MS 365: „Es kommt darauf an“. Nämlich auf Einsatz, Konfiguration, gewählte Tools und vertragliche Gestaltung. Pauschale Aussagen sind allein deshalb immer mit Vorsicht zu bewerten.
1.6 CNIL: Tools zur IT-Sicherheit von Cloudanwendungen und DS-GVO
Die CNIL hat den Einsatz von Tools zu IT-Sicherheitszwecken eines Cloud-Dienstes unter dem Blickwinkel der DS-GVO betrachtet. Ganz glücklich ist die CNIL dabei nicht, stellte sie doch u.a. fest, dass dabei personenbezogene Daten in Drittstaaten übertragen werden können oder auch eine TLS-Entschlüsselung möglich ist. Details gibt es hier.
1.7 CNIL: Unzulässige Videoüberwachung – 32. Mio. Euro Bußgeld
Für eine unzulässige Videoüberwachung in einem seiner Logistikcenter sanktionierte die CNIL in Frankreich Amazon mit 32. Mio. Euro Bußgeld.
1.8 DSB Österreich: Wechsel der Rechtsgrundlagen (Bußgeld wegen Videoüberwachung)
Die Datenschutzbehörde Österreich hat am 07.12.2023 einen Bescheid gegen einen Gastronomiebetrieb erlassen, in welchem sie eine Sanktion über 20.000 Euro für eine unzulässige Videoüberwachung im Küchenbereich ausgesprochen hat. Die Aufnahmen der Videoanlagen (drei Kameras: Küche, Lager, Eingang) wurden durch das Unternehmen über Smartphone abgerufen und insg. 14 Tage gespeichert. Ausgangspunkt war eine Beschwerde von Beschäftigten. Das Unternehmen reagierte zunächst auf Rückfragen der Aufsichtsbehörde gar nicht, legte dann aber doch die geforderten Screenshots des Aufnahmebereichs vor und verweigerte aber Angaben zum Umsatz. Ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO wurde nicht geführt.
Der Fall hat m.E.n. einige Aussagen, die auch für andere Konstellationen relevant sind.
Als Rechtsgrundlage gab das Unternehmen die Einwilligung nach Art. 7 DS-GVO im Rahmen des Arbeitsvertrages an. Dort wurde geregelt, dass durch die Videoanlage „keine Überwachung der Mitarbeiter beabsichtigt werden, sondern dass ausschließlich dem Schutz der Betriebseinrichtungen des Arbeitgebers sowie dem Schutz der Arbeitnehmer diene. Der Arbeitnehmer erteile seine ausdrückliche Zustimmung zur Durchführung der dargestellten Videoüberwachung.“ Die Datenschutzaufsicht sah damit aber das Merkmal der Freiwilligkeit zu einer Verarbeitung insb. im Rahmen eines Beschäftigungsverhältnisses nicht erfüllt (Ziffer 2.2.1). Der Wechsel auf eine andere Rechtsgrundlage wie z.B. Art. 6 Abs. 1 DS-GVO (Wahrung berechtigter Interessen) sei dann aber nach Ansicht der österreichischen Aufsicht ausgeschlossen. Sie beruft sich dabei auf die Leitlinien des EDSA und ein Urteil des österreichischen BVwG (das allerdings zu Kundenbindungsprogrammen). Aber selbst bei einer Prüfung des Art. 6 Abs. 1 lit. f DS-GVO, lässt dessen Voraussetzungen aber an der Erforderlichkeit scheitern (Ziffer 2.2.2).
Bei der Berechnung der Sanktion wendet die Aufsicht die entsprechenden Leitlinien des EDSA an, schätzt den für die Berechnung erforderlichen Umsatz und legt eine Geldbuße für die rechtswidrige Videoaufnahmen sowie das fehlende Verzeichnis der Verarbeitungstätigkeiten fest, die bei 0,1% des geschätzten Vorjahresumsatz liegt. Im Übrigen berücksichtigt sie die Rechtsprechung des EuGH (C-807/21) zu „Deutsche Wohnen“ und begründet eine zumindest fahrlässige Begehung. Der Bescheid wurde nach dieser Information angefochten und ist noch nicht rechtskräftig.
Und wenn jetzt schon die Angaben zu den Rechtsgrundlagen bei den Informationspflichten und weiteren Dokumentationen geprüft werden sollten: Wer die EuGH-Rechtsprechung beobachtet (ein Angebot dazu lesen Sie ja gerade) und ernst nimmt, kann sich auch gleich überlegen, wie er weitere Aussagen zur Prüfung und Angabe von Rechtsgrundlagen umsetzt.
In seiner Entscheidung C-667/21 (Krankenversicherung Nordrhein) wiederholt der EuGH in RN 75 seine Festlegung aus C-252/21 (dort RN 90), und C-439/19 (dort RN 99), dass Art. 6 Abs. 1 Unterabs. 1 DS-GVO eine erschöpfende und abschließende Liste der Fälle vorsehe, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. Demnach kann Art. 9 Abs. 2 DS-GVO als Rechtsgrundlage nur in Verbindung mit Art. 6 DS-GVO genutzt werden.
Es empfiehlt sich daher ggf. die bisherige Dokumentation der Rechtsgrundlagen zu überprüfen und diese auch bei den Informationspflichten nach Art. 13 Abs. 1 lit. c DS-GVO ggf. anzupassen.
Und auch in dem Urteil des EuGH C-319/22 zur Fahrzeugidentifikationsnummer (FIN) befasst sich der EuGH neben Fragen des Personenbezugs mit der Frage, wann eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DS-GVO) erfolgt! Ab RN 52 ff erläutert der EuGH darin anschaulich, welche Voraussetzungen vorliegen müssen, damit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Pflicht erforderlich ist. Art. 6 Abs. 1 lit. c DS-GVO müsse immer zusammen mit Art. 6 Abs. 3 DS-GVO gelesen werden. Art. 6 Abs. 3 DS-GVO legt fest, welche Mindestanforderungen das EU-Recht oder das nationale Recht (siehe Art. 6 Abs. 3 Satz 1 DS-GVO) erfüllen muss, um hieraus eine rechtliche Pflicht zur Verarbeitung abzuleiten. Diese Mindestanforderungen ergäben sich aus Art. 6 Abs. 3 Satz 2, Abs. 3 Satz 4 DS-GVO. Demgegenüber enthalte Art. 6 Abs. 3 Satz 3 DS-GVO optionale Festlegungen, welche die rechtliche Verpflichtung konkretisieren können, nicht müssen.
Die vier Voraussetzungen des Art. 6 Abs. 3 DS-GVO sind:
- Die Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaates, dem der Verantwortliche unterliegt. Nicht ausreichend ist eine vertragliche Pflicht; diese werden über Art. 6 Abs. 1 lit. b DS-GVO erfasst.
- Der Zweck der Verarbeitung muss im Unionsrecht/nationalen Recht definiert sein.
- Das Unionsrecht/nationales Recht muss ein im öffentlichen Interesse liegendes Ziel verfolgen. Achtung: Es geht nicht um Ausübung öffentlicher Gewalt durch öffentliche Stellen, sondern darum, dass die rechtliche Pflicht im öffentlichen Interesse liegt.
- Die Verarbeitung muss in angemessenem Verhältnis zu dem im öffentlichen Interesse liegenden Ziel stehen.
Im konkreten Fall ging es um Art. 61 Abs. 1 der Verordnung 2018/858: „Die Hersteller gewähren unabhängigen Wirtschaftsakteuren uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu Fahrzeug-OBD-Informationen, […] einschließlich der vollständigen Referenzinformationen […] sowie zu Fahrzeugreparatur- und -wartungsinformationen. […]“
Eine konkrete Vorgabe für den Zweck „Bereitstellung der genannten Informationen für definierte Empfänger“ auch personenbezogene Daten zu verarbeiten, enthält Art. 61 Abs. 1 VO 2018/858 nicht. Das ist nach dem EuGH keine Voraussetzung für eine rechtliche Pflicht. Es genügt, wenn die Verarbeitung der Daten aus der rechtlichen Pflicht folgt und diese den obigen vier Bedingungen entspricht. Die Ansicht, wonach die Verarbeitung unmittelbar durch Unionsrecht/nationales Recht angeordnet werden muss, um eine Rechtspflicht nach Art. 6 Abs. 1 lit. c DS-GVO zu begründen, ist hinfällig.
Im konkreten Fall bejaht der EuGH das Vorliegen der vier Bedingungen bei Art. 61 Abs. 1 VO 2018/858 (ausführlich Rn. 55).
Zusammenfassend: Wer Verarbeitungen auf Art. 6 Abs. 1 lit. c DS-GVO zur Erfüllung einer rechtlichen Verpflichtung stützt, muss vorher prüfen, ob die vier Bedingungen aus 6 Abs. 3 DS-GVO gegeben sind. Das Ergebnis der Prüfung sollte zwecks Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO dokumentiert werden.
1.9 DSB Österreich: Unzureichende Mitwirkung nach Art. 31 DS-GVO führt zu Bußgeld
Die DS-GVO ist in Kapitel und diese in Abschnitte unterteilt. Der Abschnitt 1 „Allgemeine Pflichten“ im Kapitel IV zu Verantwortlicher und Auftragsverarbeiter endet mit Art. 31 „Zusammenarbeit mit der Aufsichtsbehörde“. Er umfasst auch nur einen Satz „Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.“ Eigentlich irgendwie sinnvoll – aber wohl nicht für jeden. Das sah auch der Gesetzgeber so und hat daher auch einen Verstoß gegen Art. 31 DS-GVO über Art. 83 Abs. 4 lit. a DS-GVO bußgeldbewehrt. In Österreich sah sich die Datenschutzbehörde gezwungen, diese Sanktionsmöglichkeit auch anzuwenden, weil ein Verantwortlicher über 8 Monate auf insg. drei Schreiben der Aufsicht nicht reagierte. „Hausinterne Probleme mit der Weiterleitung“ als Erklärung ließ die Datenschutzaufsicht nicht gelten.
Ausgangspunkt war eine Beschwerde einer betroffenen Person, die von einer E-Mail des Verantwortlichen mit offenem Verteiler betroffenen war. Die verhängte Sanktion der Aufsicht beträgt 10.000 Euro (hier ca. 0,1 % des Jahresumsatzes). Einen Bericht zu dem Vorgang können Sie auch hierzurück zum Inhaltsverzeichnis
1.10 Irland: Auskunft über Back-up-Daten?
Werden Daten zu Back-up-Zwecken vom Auskunftsanspruch mitumfasst? Die irische Datenschutzaufsicht äußert sich in ihren FAQ dazu und meint nein. Allerdings ohne Begründung.
1.11 Italien: Untersuchung von Webseite hinsichtlich Dark Patterns
Im Zeitraum vom 29. Januar bis 2. Februar 2024 beteiligt sich die Garante an einer internationalen Untersuchung zu irrführenden Gestaltungen (Dark Patterns). Die Initiative wird vom Global Privacy Enforcement Network organisiert wird organisiert, einem Netzwerk, das 2010 auf Empfehlung der OECD gegründet wurde. Nach den Angaben auf der Webseite der Garante handelt es sich laut der Definition des Europäischen Datenschutzausschusses (EDPB) bei trügerischen Designmustern um Schnittstellen und Benutzerpfade, die versuchen Menschen dazu zu bringen unwissentlich Entscheidungen über die Verarbeitung ihrer personenbezogenen Daten zu treffen, die unbeabsichtigt und potenziell schädlich sind und oft den Interessen der Nutzer zuwiderlaufen, aber denen der Plattformen zugute kommen. Die untersuchten Websites und Apps werden anhand einer Reihe von Indikatoren analysiert, die von der Klarheit des Textes bis hin zur Gestaltung der Benutzeroberfläche reichen und z. B. das Vorhandensein von lästigen Nachrichten, Hindernissen oder erzwungenen Interaktionen bei der Entscheidungsfindung abdecken. Ziel der Untersuchung sei eine Sensibilisierungsmaßnahmen, sie könne aber auch zu Durchsetzungsmaßnahmen der nationalen Datenschutzbehörden führen.
1.12 Schweiz: Aktualisierter Leitfaden für TOM veröffentlicht
Da die Schweiz als Drittland mit einem Angemessenheitsbeschluss gilt, sind behördliche Aussagen von dort auch für eigene Einschätzungen oftmals hilfreich. Sprachliche Anforderungen erleichtern das zusätzlich. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat nun seinen Leitfaden zu technischen und organisatorischen Maßnahmen umfassend überarbeitet und in einer aktualisierten Version auch auf Englisch veröffentlicht.
1.13 BSI: Sichere Datenübermittlung in der Registermodernisierung – TR 03176
Das BSI ist dabei eine Technische Richtlinie im Rahmen der Umsetzung der Registermodernisierung zu verfassen: TR-03176 Sichere Datenübermittlung in der Registermodernisierung. Der erste Teil umfasst Basisdaten. Im Konsultationsverfahren können bis 12. Februar 2024 dazu Hinweise eingereicht werden.
1.14 EDSA: Tool zur Webseiten-Prüfung
Der EDSA hat nach eigenen Angaben ein Website-Audit-Tool eingeführt, mit dessen Hilfe analysiert werden kann, ob Websites mit dem Gesetz konform sind. Das Tool wurde im Rahmen des EDPB-Support Pool of Experts (SPE) entwickelt und kann sowohl von juristischen und technischen Prüfern bei Datenschutzbehörden als auch von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern verwendet werden, die ihre eigenen Websites testen möchten. Das Tool ist eine freie und quelloffene Software unter der EUPL 1.2-Lizenz und steht hier zum Download bereit, dort ist auch der Quellcode verfügbar.
1.15 EDPS: Vertraulichkeit der Kommunikation muss gewahrt bleiben
In seiner Stellungnahme zu den Überlegungen der EU-Kommission, Anbieter digitaler Kommunikation zu verpflichten, Scans der Inhalte durchzuführen, um Fälle sexueller Gewalt gegen Kinder aufzuklären, positioniert sich der Europäische Datenschutzbeauftragte. Er wendet sich in seiner Stellungnahme gegen den Entwurf und begründet dies u.a. mit unzureichenden Maßnahmen gegen Vorverurteilungen. Ein dazu passender Bericht über Hintergründe des Gesetzgebungsverfahren findet sich in der Mediathek des ZDF.
1.16 LfDI Rheinland-Pfalz: Workshops für Schulen
Anlässlich des Safer Internet Day berichtet der LfDI Rheinland-Pfalz über seine Aktivitäten in der Sensibilisierung von Schülerinnen und Schülern. Interessierte Schulen in Rheinland-Pfalz erhalten hier mehr Informationen. Finanziert werden die Sensibilisierungen aus öffentlichen Mitteln.
1.17 HmbBfDI: Stellungnahme zu Abo-Modelle bei Online-Plattformen beantragt
Der HmbBfDI regt zusammen mit den Datenschutzbehörden Norwegens und der Niederlande beim EDSA an eine Klärung der Vereinbarkeit solcher Angebote mit der Datenschutz-Grundverordnung herbeizuführen. Das Ergebnis wird in spätestens vierzehn Wochen vorliegen. Die Rechtsgrundlage zu der Beantragung einer Stellungnahme und der Berechnung der Reaktionsfrist ergibt sich aus Art. 64 Abs. 2 und 3 DS-GVO.
1.18 BayLDA: Pressemeldung zur Prüfung der DSB
Das BayLDA hat auf seiner Webseite eine Pressemeldung zur durchgeführten Prüfung der Tätigkeiten der Datenschutzbeauftragten (siehe auch) veröffentlicht. Die Prüfung erfolgte im Rahmen einer Aktion der europäischen Datenschutzaufsichtsbehörden, wobei in Deutschland allerdings nur das BayLDA teilnahm. In Bayern waren bei dieser förmlichen Prüfung mehr als 30 bayerische Unternehmen beteiligt. Europaweit wurden im Rahmen der koordinierten Prüfung und Befragung bei Organisationen und Datenschutzbeauftragten (sowohl öffentlicher als auch privater Einrichtungen) mehr als 17.000 Einzelfragen beantwortet und analysiert.
Laut BayLDA zeigte die Prüfung zu einzelnen Merkmalen wie den Ressourcen, den Aufgaben oder Zusatzfunktionen oder auch der Art und Weise, wie Datenschutzbeauftragte der obersten Führungsebene Bericht erstatten können, dass in mehreren Fällen Missverständnisse offengelegt oder auch mangelndes Bewusstsein dafür gezeigt wurde, wie Datenschutzbeauftragte in die Compliance-Mechanismen von Unternehmen integriert werden sollten. Auf der Grundlage weiterer Informationen wird nun geklärt, ob die Datenschutzorganisation der geprüften Unternehmen den Anforderungen der Datenschutz-Grundverordnung genügen.
1.19 TLfDI: Neuer TLfDI?
Die Amtszeit des bisherigen TLfDI kann nicht noch einmal verlängert werden (wir berichteten). Laut Pressemeldungen soll sich die Landesregierung auf eine Nachfolge verständigt haben, die Ende Februar 2024 dann das Amt übernimmt.
1.20 LfDI Baden-Württemberg: Tätigkeitsbericht 2023
Auch der aktuelle Tätigkeitsbericht des LfDI Baden-Württemberg bietet wieder einen bunten Strauß an Beispielen und Zahlen rund um Datenschutzaktivtäten in „the Länd“. Nachfolgend eine subjektive Auswahl (siehe auch die zweite subjektive Auswahl weiter unten):
1.20.1 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Datenschutz und Künstliche Intelligenz
Der LfDI Baden-Württemberg widmet diesem Themenfeld ein eigenes Kapitel (ab Seite 23) u.a. mit Ausführungen zu Art. 22 DS-GVO, KI an der Schule, in der Medizin und zu Veranstaltungen zu Künstlicher Intelligenz
1.20.2 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Entwicklungen im Beschäftigtendatenschutz
Neben FAQ zum Urteil des EuGH zum hessischen Beschäftigtendatenschutz, FAQ zum Hinweisgeberschutzgesetz und FAQ zu Datenschutz in Schwerbehindertenvertretungen finden sich ab Seite 39 u.a. auch Hinweise zu Datenverarbeitungen durch den Personalrat. Auch zum need-to-know-Prinzip hinsichtlich des Zugriffs auf Personaldaten finden sich Aussagen.
1.20.3 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Bußgeld u.a. bei Tracking in Partnerbeziehung
Was man nicht machen sollte und was mit einem Bußgeld bewehrt wurde, findet sich ab Seite 74, wie z.B. die Darstellung und Bewertung eines Sachverhalts, bei der eine Frau versuchte über ein Bewegungstrackingtool am Kraftfahrzeugs der vermeintlichen außerehelichen Beziehung ihres Mannes deren Standort zu vermitteln. Auch die Klassiker der Vorkommnisse wie unzureichende Entsorgung von Kundendaten und Dashcam-Einsatz kamen vor (Seite 75 ff).
1.20.4 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Keine privaten E-Mail-Adressen bei Gemeinderat
Aufgemerkt: Auch hier schlägt das Datenschutzrecht durch und die Verwendung privater E-Mail-Adressen bei der Gemeinderatsarbeit entspricht nicht den datenschutzrechtlichen Anforderungen (ab Seite 79). Der LfDI Baden-Württemberg verweist dazu auch auf seine Broschüre zum Datenschutz bei Gemeinden.
1.20.5 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Einbindung eines Rechtsanwalts
Ausführungen, welchen datenschutzrechtlichen Anforderungen die Übermittlung von Kundendaten an Rechtsanwälte und Gerichte zu Zwecken der Prozessführung unterliegt, finden sich ab Seite 107.
1.20.6 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Kopplungsverbot auch bei Vereinen
Dass es für Vereine keine Ausnahme bei der Einholung von Einwilligungen insbesondere hinsichtlich des sog. Kopplungsverbotes gibt, lässt sich ab Seite 109 nachlesen. Dabei befasst sich der LfDI Baden-Württemberg auch mit dem Umfang eines solchen „Verbotes“, bei dem viele Faktoren zu beachten sind. Im Ergebnis befindet der LfDI Baden-Württemberg im bewerteten Fall die Verbindung von Gewinnspiel und Newsletter als zulässig.
1.20.7 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Statistik der Behörde
Natürlich gibt es auch Zahlen zu statistischen Aussagen der Behörde – wie die Entwicklung der Beschwerden oder gemeldeter Datenpannen – diesmal auf Seite 121.
1.21 Italien: Löschpflicht bei rechtswidriger Datenerhebung bei Straßenüberwachung
Die italienische Datenschutzaufsicht Garante gab bekannt, dass sie einer Gemeinde eine Geldstrafe über 50.000 Euro auferlegt hat, weil diese bei der Verwendung von Künstlicher Intelligenz in Straßenüberwachungsprojekten gegen die DS-GVO verstoßen habe, so z.B. sei die Verarbeitung ohne ausreichende Rechtsgrundlage erfolgt und es sei die erforderliche Information nicht erteilt worden. Die italienische Datenschutzbehörde ordnete außerdem an alle Daten zu löschen, die im Rahmen zweier von der Europäischen Union finanzierter Projekte („Marvel“, „Protector“) gesammelt wurden.
1.22 Italien: Anordnung gegen OpenAI
Die italienische Datenschutzaufsicht ist weiterhin skeptisch, dass OpenAI mit seinem Angebot ChatGPT die gängigen Datenbestimmungen einhält und hat OpenAI nach eigenen Angaben eine Frist von 30 Tagen gesetzt, um auf aufgeführte Mängel zu reagieren. Was konkret bemängelt wurde, geht aus der Mitteilung nicht hervor.
Auf einen Einsatz in Deutschland wirkt sich dies bislang nicht aus. Die deutschen Datenschützer prüfen weiterhin die Rückmeldung von OpenAI auf einen Fragenkatalog und mit einem Ergebnis sei im Frühjahr zu rechnen. Es gehe u.a. noch um die datenschutzrechtliche Zulässigkeit der Nutzung von Trainingsdaten (auch von Prompts) und um die Datenschutzinformationen, die bislang nur in Englisch verfügbar waren.
Franks Nachtrag: Apropos ChatGPT …
1.23 CNIL: Bußgeld wegen unzureichender Einwilligung u.a.
Im Verfahren gegen eine Gewinnspielgestaltung sanktioniert die CNIL ein Unternehmen mit 75.000 Euro und weiteren 1.000 Euro / Tag, wenn nicht binnen eines Monats die Formulare angepasst werden. Es fehlte u.a. im Zustimmungsformular die Verweigerungsmöglichkeit auf der gleichen Ebene und die CNIL kritisiert die Gestaltung als unzulässiges Dark Pattern. Zudem wurden Daten trotz fehlender Zustimmung an Werbepartner weitergegeben. Ein Verzeichnis der Verarbeitungstätigkeiten gab es (natürlich) auch nicht.
Interessant ist für mich, dass es die Möglichkeit gibt festzulegen, ob solche Entscheidungen unter Nennung des Unternehmens veröffentlicht werden, bzw. nach welcher Zeit eine namentliche Nennung zu unterbleiben hat.
1.24 CNIL: Bußgeld wegen nicht-Benennung eines DSB
Gegen eine Kommune mit 25.000 Einwohnern verhängt die CNIL ein Bußgeld in Höhe von 5.000 Euro, weil die Gemeinde weder einen Datenschutzbeauftragten benannt hatte, noch auf Fragen der Aufsicht reagierte. Nun hat die Kommune zwei Monate Zeit den Mangel abzustellen, ansonsten drohen 150 Euro Zwangsgeld pro Tag. Interessanter Aspekt: Der Kommune wurde auch aufgegeben den Bescheid für vier Tage sichtbar auf der eigenen Homepage zu veröffentlichen.
Nettes Nebendetail: Die Kommune befindet sich nicht in Europa, sondern in Französisch-Guayana – und sie unterliegt damit auch französischem / europäischem Recht. Ich kenne einige externe Datenschutzbeauftragte, die das Mandat wohl reizen würde…
1.25 Spanien: Altersverifikation bei Kindern im Netz
Die spanische Datenschutzaufsicht veröffentlichte eine Handreichung zur Thematik der Altersverifikation bei Kindern. Darin stellt sie zehn Prinzipien vor, die beachtet werden sollten, um Kindern von unangemessenen Inhalten im Internet fernzuhalten.
1.26 Spanien: Handreichung zu digitalisierten Gesundheitsdaten von Kindern
Um bei Zirkusmetaphern zu bleiben, dieses Thema ist dann schon Hochseilakrobatik: Gesundheitsdaten und Kinder, da kommen fast sämtliche im Zirkus erforderlichen Geschicklichkeiten – wie Jonglieren auf dem Hochseil mit verbundenen Augen – zusammen. Die spanische Aufsicht stellt in ihrer Veröffentlichung u.a. zehn Schwerpunkt mit 35 Maßnahmen dar.
1.27 Spanien: Cookienutzung und Reichweitenmessung
Und wieder Spanien: Eine Veröffentlichung der aepd zum Einsatz von Cookies und Reichweitenmessung. Danach könnten zur Erstellung von Verkehrs- oder Leistungsstatistiken auch Cookies unter bestimmten Bedingungen von der Einwilligungsanforderung ausgenommen werden. Auch äußert sich die aepd zu den Anforderungen an die Informationspflichten und zu den Löschfristen der aus dien Cookies gewonnenen Informationen. Wem das alles spanisch vorkommt, sollte dazu ein Übersetzungstool für den Leitfaden nutzen…
1.28 Dänemark: Anordnung zur rechtskonformen Nutzung von Chromebook
In Dänemark hat die Datenschutzaufsicht Kommunen angewiesen den Einsatz von Chromebook durch Schulen rechtskonform zu gestalten. Insbesondere bemängelt sie, dass Daten von Schulkindern an Google übermittelt werden, um Produkte von Google zu verbessern, für Leistungsmessungen und zur Entwicklung neuer Produkte durch Google. Die Kommunen können nun darlegen, wie sie einen rechtskonformen Einsatz sicherstellen wollen. Zum Beispiel könnte die Weitergabe an Google zu deren eigenen Zwecken unterbunden werden oder es wird eine gesetzliche Rechtsgrundlage für diese Verarbeitungen geschaffen.
1.29 Niederlande: 10 Mio. Euro Bußgeld gegen Uber
Eigentlich schien es nur eine Frage der Zeit: Nun kommt es aus den Niederlanden, ein Bußgeld gegen Uber in der Höhe von 10 Mio. Euro. Vorgeworfen wird unzureichende Transparenz über die Speicherdauer der Daten der Fahrer und darüber, in welche Drittstaaten die Daten übermittelt werden.
1.30 CNIL: MS 365 und Gesundheitsdaten
Die CNIL hat sich zum Einsatz einer MS-Cloud-Lösung für Gesundheitsdaten geäußert. Für Forschungszwecke sollen Gesundheitsdaten durch ein öffentliches Institut in einer Cloudlösung von Microsoft gespeichert werden. Dabei geht die CNIL davon aus, dass nur pseudonymisierte und strukturierte Daten verwendet werden. Sie bemängelt, dass sich keine französischen oder europäischen Cloudanbieter fanden, die diese Leistung angeboten hätten. Dabei macht sie auch Ausführungen zu der Auswahl und zum Einfluss US-amerikanischer Sicherheitsbehörden. Zudem spielen hier auch französischen Besonderheiten eine Rolle, wie die Vorgabe bestimmte Zertifizierungen (SecNumCloud-Zertifizierung) zu verlangen. Leider sei laut CNIL die Chance vertan worden, einen französischen oder europäischen Anbieter auszuwählen. Für die Dauer von drei Jahren „genehmigt“ sie den Einsatz.
1.31 ICO: Rechtskonforme Webseiten-Cookies
Die britische Aufsicht ICO weist darauf hin, dass sie ihre im letzten Jahr begonnenen automatisierte Prüfung von Webseiten fortsetzen wird. Bei der Prüfung der ersten 100 Webseiten gab es einige Nachbesserungen durch die Betreiber, bei einigen sind die Diskussionen noch nicht beendet. Es arbeiten auch einige der betroffenen Einrichtungen an der Entwicklung alternativer Lösungen, darunter kontextbezogene Werbung und Abonnementmodelle.
Die ICO kündigt aber zusätzlich an, dass sie derzeit eine KI-Lösung entwickeln, die dabei helfen soll Websites zu identifizieren, die nicht-konforme Cookie-Banner verwenden. Anfang 2024 will sie einen „Hackathon“ veranstalten, um herauszufinden, wie diese KI-Lösung in der Praxis aussehen könnte.
1.32 Brasilien: Anonymisierung und Pseudonymisierung
Brasilien? Ja, Brasilien. Während wir uns hierzulande noch in seliger Erinnerung an Volkszählungsurteile, Gesetze aus Hessen aus den 70ern und in erwartungsvollen Blicken nach Brüssel schwelgen, ob der EDSA nun doch mal was zur Anonymisierung und Pseudonymisierung zustande bringt, machen andere einfach. Die Datenschutzaufsicht in Brasilien hat eine Konsultation eröffnet, die sich mit deren Ansicht zu den Anforderungen an Anonymisierung und Pseudonymisierung befasst. Bis 28. Februar 2024 können Hinweise eingereicht werden. Begleitet wird dies durch eine Fallstudie zur Anonymisierung und eine technische Studie zur Anonymisierung von Daten. Warum das interessant ist? Weil wir ein weltweites Verständnis von Anonymisierung brauchen, um nicht wieder alle paar 100 km überlegen zu müssen, was noch anonym ist und was nicht.
1.33 Neuseeland: Werkzeugkasten für eine DSFA
Eigentlich heißt es ja „Privacy Impact Assessment Toolkit“, was die neuseeländische Datenschutzaufsicht auf ihrer Homepage anbietet. Neben einem Template zur Risikoanalyse finden sich auch Templates, wie Risiken minimiert werden können.
1.34 BaFin: Aufsichtsmitteilungen zu Auslagerungen an Cloudanbieter
Die Finanzaufsicht BaFin veröffentlichte eine Aufsichtsmitteilung für Auslagerungen an Cloud-Anbieter. Sie basiert auf der Orientierungshilfe aus dem November 2018. Die Aufsichtsmitteilung zeigt, wie die BaFin Auslagerungen an Cloud-Anbieter einschätzt. Außerdem enthält die Aufsichtsmitteilung Hilfestellungen für beaufsichtigte Unternehmen. Lobenswerter Service ist die Veröffentlichung einer Fassung mit Änderungsmarkierung im Vergleich zur Fassung aus dem Jahr 2018. So geht Service! Machen statt Quatschen. Bei der Barrierefreiheit wird das sicher auch noch.
1.35 EDSA: Report der Cookie-Banner-Taskforce
Mit Datum Januar 2023 gibt es einen achtseitigen Bericht der Taskforce des EDSA zum Einsatz von Cookies (stellvertretend zu anderen technischen Trackingmethoden). Die Kernaussagen umfassen u.a. das Erfordernis eines Ablehnbuttons auf erster Ebene und die Möglichkeit von jeder Seite aus die Einwilligung widerrufen zu können.
1.36 Auswahl eines BfDI
Laut EU-Recht müssten die Datenschutzbeauftragten der Mitgliedsstaaten in einem transparenten Verfahren gewählt werden. Praktisch gibt es aber meist nur einen hinter den Kulissen bestimmten Kandidaten. In diesem Podcast des Deutschlandfunks (9:30 Min) wird u.a. die Gefahr politischer Einflussnahme thematisiert.
1.37 DSK: Europäischer Datenschutztag 2024
Die Aufzeichnung der Veranstaltung der DSK unter der Schirmherrschaft des ULD ist nun auf der Webseite des ULD verfügbar.
1.38 LDI NRW: Zertifizierungsstelle genehmigt
Nachdem die LDI NRW bereits Ende 2022 die vorgelegten Zertifizierungskriterien der EuroPriSe Cert GmbH genehmigt hat, hat sie nun das mit der Deutschen Akkreditierungsstelle GmbH (DAkkS) durchgeführte Akkreditierungsverfahren abgeschlossen und der EuroPrise Cert GmbH die Befugnis erteilt Zertifizierungen nach diesem Verfahren für ein Zertifikat „European Privacy Seal“ (EuroPriSe) durchzuführen. Diese Akkreditierung ist zeitlich auf fünf Jahre befristet, eine Re-Akkreditierung ist möglich.
1.39 BayLDA: Bescheid zu Adresshandel
Der eigentliche Bescheid ist m.W.n. noch nicht veröffentlicht, aber einer der Prozessbeteiligten berichtet darüber: Das BayLDA soll danach einer Auskunftei die Weitergabe wegen Verstoßes gegen die Zweckbindung untersagt haben.
1.40 BayLDA: Prüfung von Apps und Cookie-Bannern
Das BayLDA hat im Rahmen einer anlasslosen, teils automatisierten Prüfung mehr als 350 Webseiten und 15 Apps von bayerischen Betreibern untersucht. Im Fokus der App-Prüfung stand die Einbindung von Diensten ohne die erforderliche Einwilligung. Bei den geprüften Webseiten lag der Schwerpunkt auf der Frage, ob eine Ablehnen-Möglichkeit auf erster Ebene des sog. Cookie-Banners vorhanden ist. Details dazu hat das BayLDA wieder auf seiner Homepage veröffentlicht. Es finden sich dort Anschreiben, ein Informationsblatt zu Apps sowie eine Information zu Ablehnungsvoraussetzungen.
Also, wer jetzt in Bayern hektisch seine Seite checkt, ist u.U. dafür zu spät dran, aber es schadet sicherlich nicht seine Umsetzung mit den Anforderungen abzugleichen. Das verkürzt im Zweifel den Schriftverkehr mit dem BayLDA im Nachgang.
1.41 LfDI Baden-Württemberg: Tätigkeitsbericht 2023
In der letzten Woche war der Tätigkeitsbericht 2023 noch ganz frisch, so dass ich hier gerne noch ein paar weitere Highlights erwähnen möchte. Das soll aber niemanden davon abhalten sich selbst ein Bild davon zu machen.
1.41.1 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – KI an Schulen
Nach dem LfDI Baden-Württemberg kann KI an Schulen dann eingesetzt werden, wenn das Moodle-Modul fAIrchat verwendet wird, das als Vermittler zwischen Moodle-Nutzer:innen und ChatGPT dient, so dass keine Metadaten an den Betreiber von ChatGPT, OpenAI, abfließen. Durch die Nutzung des Application Interfaces (API) werden entsprechend den Vertragsbedingungen mit OpenAI diese Daten nicht zur Weiterentwicklung oder Verbesserung verwendet. Mittels der Nutzungsordnung von fAIrchat wird die Verwendung von personenbezogenen Daten untersagt, wobei die Lehrkraft auch nachträglich die Anfragen der Lernenden in Moodle nachlesen kann.
Sofern zusätzlich die jeweilige Lehrkraft die Schüler:innen auch ausdrücklich und für sie verständlich darüber aufklärt, dass sie keine personenbezogenen Daten in das System eingeben dürfen, und die Lehrkraft die Eingaben der Schüler:innen nachträglich überprüfen kann und die nachträgliche Kontrolle durch die Lehrkraft auch tatsächlich risikoangemessen zumindest stichprobenhaft erfolgt, scheint dem LfDI Baden-Württemberg unter diesen Voraussetzungen eine Verwendung dieser KI im Rahmen des Unterrichts datenschutzrechtlich vertretbar (Seite 26).
Und bitte genau Lesen: Das sind viele „wenn“ und „sofern“ – bevor eine KI mit Daten von Minderjährigen in einem staatlichen Verhältnis benutzt werden könnten. Also nicht „KI ist erlaubt“, sondern, KI ist erlaubt, wenn die Risiken für natürliche Personen auf ein vertretbares Maß reduziert werden.
1.41.2 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Vorgesetztenfeedback
Der LfDI Baden-Württemberg berichtet auch ab Seite 44 über seine Einschätzung zum „Vorgesetztenfeedback“, das in Teilen der Landesverwaltung eingesetzt wird. Die Mitarbeitenden sollen mit einem Online-Fragebogen über die Führungssituation und die Führungsqualitäten ihrer unmittelbaren Vorgesetzten (Führungskraft) befragt werden. Die Teilnahme ist den Mitarbeitenden freigestellt; die Antworten der Mitarbeitenden sollen anonymisiert werden. Zudem kann die Führungskraft entscheiden, ob sie ein solches Feedback durchführen möchte. Die Führungskraft hat zwingend das Befragungsergebnis mit den Mitarbeitenden zu besprechen. Sie kann zudem eigene Vorgesetzte über die Durchführung des Feedbacks informieren. Mitarbeitende müssen den Inhalt dieses Feedbacks vertraulich behandeln. Um die Anonymität auch während der Auswertung und Präsentation der Ergebnisse zu gewährleisten, ist eine Auswertung nur möglich, wenn mindestens fünf Befragungsteilnehmende ihre Antworten für die Auswertung durch aktives Abschließen der Befragung bereitgestellt haben und sie dann ihre Antworten nicht mehr widerrufen können.
Der LfDI Baden-Württemberg kritisiert daran, dass die zwingende Verpflichtung, die Ergebnisse der Befragung gegenüber allen Beteiligten vorzustellen, nicht mit den Grundsätzen der Freiwilligkeit (§ 26 Abs. 2 BDSG) und jederzeitigen Widerruflichkeit (Art. 7 Abs. 3 DS-GVO) in Einklang zu bringen sei.
Auch die optionale Information der eigenen Vorgesetzten durch die Führungskraft sei datenschutzrechtlich nicht unproblematisch. Es muss grundsätzlich verhindert werden, dass die Führungskraft Nachteile bei Nichtteilnahme befürchtet, andernfalls könnte sich hieraus ein faktischer Zwang ergeben, so dass eine Freiwilligkeit nicht mehr angenommen werden könne.
Hinsichtlich des Konzepts zur Anonymität der Befragten, die gewährleistet sein soll, wenn ein Zugang zur Auswertung für die Führungskraft nur dann erfolgt, wenn mindestens fünf Mitarbeitende die Befragung abgeschlossen haben, empfiehlt der LfDI Baden-Württemberg, dass keine Freitextfelder verwendet werden sollen, die eine leichtere Identifizierbarkeit (z.B. durch Rückschlüsse auf Grund gewählter Formulierungen) mit sich brächten, anderenfalls solle die Gruppengröße erhöht werden.
Zudem sollte in der Freitexteingabe ausgeschlossen sein, dass sich die Befragten über Dritte äußern können. Eine solche Äußerung würde nämlich eine Verarbeitung personenbezogener Daten dieser dritten Person darstellen, welche einer Rechtsgrundlage bedürfe. Zudem sei die Ergebnisbesprechung in der Gruppe mit Blick auf die zu gewährleistende Anonymität kritisch zu hinterfragen.
1.41.3 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Überwachung des Personalrats durch Datenschutzbeauftragten
Mit der Frage, inwieweit ein behördlicher Datenschutzbeauftragter in Baden-Württemberg seine Überwachungsaufgaben gegenüber einem Personalrat ausüben darf bzw. muss, befasst sich der LfDI Baden-Württemberg ab Seite 46. Er prüft zunächst, ob der Personalrat eine eigene Verantwortlichkeit haben kann, lehnt dies ab und bringt dann auch konkrete Vorschläge, wie ein DSB und ein Personalrat diese Situation lösen können, ohne dass eine der beiden Seiten die gesetzlich vorgeschriebene Vertraulichkeit verletzt.
1.41.4 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Ausschluss des Personenbezugs bei Videokamera (Wegweiser für Fußgänger)
In Stuttgart wurden digitale Wegweiser für Fußgänger aufgestellt, die ihre Informationen ändern können. Doch nehmen die Passanten dies zur Kenntnis oder laufen sie achtlos daran vorbei? Dies sollte in einer Untersuchung durch Videokameras erschlossen werden. Dazu macht der LfDI Baden-Württemberg auf Seite 53 Aussagen, ab welcher Punktdichte in Pixel für ihn ein Personenbezug ausgeschlossen sei (Spoiler: bei Punktdichte unterhalb von 16 mm/Pixel).
1.41.5 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Datentreuhand und Anonymisierung
Im Rahmen der Gestaltung einer Datentreuhänderschaft zu Mobilitätsdaten (Treuhandstelle für Mobilitätsdaten) äußert sich der LfDI Baden-Württemberg ab Seite 55 zu den Anforderungen, die er dabei sieht, insbesondere zur Anonymisierung. So könne die Anonymisierung als Auftragsverarbeitung gestaltet werden, wenn der Datengeber weiterhin die Zwecke und Mittel der Verarbeitung bestimme, und zudem müsse sichergestellt werden, dass immer wieder geprüft werde, ob bereits anonymisierte Daten immer noch ohne Personenbezug seien.
1.41.6 LfDI Baden-Württemberg: Tätigkeitsbericht 2023 – Bußgeldverfahren beim LfDI Baden-Württemberg
Der LfDI Baden-Württemberg führt auf Seite 74 aus, dass im Berichtszeitraum die Erledigungszahl der Verfahren um 25% im Vergleich zum Vorjahreszeitraum gestiegen sei. Viele kleinere Fälle konnten abgeschlossen werden, bei denen ein Bußgeld nicht in Betracht kam, da sich entweder Hinweise auf gravierendes Fehlverhalten nicht erhärteten oder da festgestellt wurde, dass die Verantwortlichen einsichtig waren und glaubhaft darlegen konnten, dass sie aus ihren datenschutzrechtlichen Verfehlungen gelernt hätten.
Für das kommende Jahr kündigt er jedoch den Abschluss einiger Bußgeldverfahren gegen Unternehmen an, da durch das Urteil des EuGH (Deutsche Wohnen) nun rechtliche Unklarheiten aufgelöst wurden.
1.42 LDI Niedersachsen: FAQ zu Datenschutz im Gesundheitswesen
Der LDI Niedersachsen veröffentlichte FAQs für Fragen im Gesundheitswesen mit datenschutzrechtlichem Bezug. Er adressiert sie an alle Leistungserbringerinnen und Leistungserbringer im Gesundheitswesen, wie Ärztinnen und Ärzte, Zahnärztinnen und Zahnärzte, Psychotherapeutinnen und Psychotherapeuten, Physiotherapeutinnen und Physiotherapeuten sowie sonstige heilberuflich tätige Personen. Apothekerinnen und Apotheker, Pflegedienste und ähnliche Einrichtungen sowie Patientinnen und Patienten sollten sich an den Antworten ebenfalls orientieren.
1.43 LDI Niedersachsen: Merkblatt zum Newsletterversand
Der LDI Niedersachsen hat auch ein Merkblatt zum Newsletterversand mit den wichtigsten datenschutzrechtlichen Anforderungen veröffentlicht. Konstruktive Hinweise im Änderungsmodus finden sich bereits hier.
1.44 BlnBfDI: Debatte zum Jahresbericht 2021
Es klingt unglaublich: Anfang Februar 2024 debattiert das Abgeordnetenhaus des Landes Berlin über den Tätigkeitsbericht der BlnBfDI aus dem Jahr 2021. Die Rede der BlnBfDI dazu hat sie hier veröffentlicht.
1.45 Brasilien: Hypothesen zum berechtigten Interesse
Die Aufsicht in Brasilien hat auf 53 Seiten ihre Sichtweisen und Hypothesen zum berechtigten Interesse veröffentlicht. Es beinhaltet auch ein Template zur Dokumentation der durchgeführten Abwägung.
2 Rechtsprechung
2.1 EuGH: Begriff der Verarbeitung in Art. 80 Abs. 2 DS-GVO für Klagebefugnis
Der Generalanwalt beim EuGH geht in seinen Schlussanträgen im Verfahren C-757/22 (Meta/vzbv) davon aus, dass Verbraucherzentralen auch dann nach Art. 80 Abs. 2 DS-GVO klagebefugt sind, wenn die Klage im Zusammenhang mit einer Verarbeitung personenbezogener Daten darauf gestützt wird, dass der Verantwortliche die Informationspflicht gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 lit. c und e DS-GVO verletzt hat, da eine solche Verletzung die Verarbeitung rechtswidrig machen kann. Auf der Seite von Facebook befinde sich ein App-Zentrum, in dem Meta Platforms Ireland ihren Nutzern kostenlose Spiele von Drittanbietern zugänglich macht. Wenn der Nutzer des App-Zentrums bestimmte dieser Spiele aufruft, erscheint der Hinweis, dass die Nutzung der betreffenden Anwendung es der Spielegesellschaft ermögliche, eine Reihe von personenbezogenen Daten zu erheben, und sie dazu berechtige im Namen dieses Nutzers Informationen, wie etwa seinen Punktestand, zu veröffentlichen. Mit der Nutzung stimmt der Nutzer den Allgemeinen Geschäftsbedingungen der Anwendung und der Datenschutzpolitik der Spielegesellschaft zu. Außerdem wird bei einem bestimmten Spiel darauf hingewiesen, dass die Anwendung im Namen des Nutzers Statusmeldungen, Fotos und weitere Informationen veröffentlichen dürfe.
Der Bundesverband Verbraucherzentrale rügte dies und stellte in Frage, ob Art. 80 Abs. 2 DS-GVO ihn nur hinsichtlich fraglicher Verarbeitungen berechtigte oder ob bereits Mängel bei der Umsetzung der Informationspflicht eine Klagebefugnis auslösen.
(Der Fall war bereits beim EuGH zu einer Frage einer möglichen Kollision mit einer nationalen Regelung, C-319/20, wir berichteten.)
Der Generalanwalt befasst sich dabei mit der Frage, ab wann die Informationspflicht Teil der Verarbeitung sein kann (ab RN 30) und ab RN 45 bewertet er den vorliegenden Fall. Letztendlich komme es darauf an, ob ein Zusammenhang zwischen der Wahrung der fraglichen Rechte und der betreffenden Verarbeitung bestehe. Das sei der Fall, wenn eine Verletzung dieser Rechte die Verarbeitung rechtswidrig mache. Die Rechtswidrigkeit der Verarbeitung ergebe sich aus der Verletzung der Informationspflicht. Beide seien untrennbar miteinander verknüpft. (RN 51).
Der EuGH muss sich nicht dieser Bewertung anschließen.
2.2 BGH: Anforderungen an immateriellen Schadenersatz nach Art. 82 DS-GVO
Der EuGH entscheidet über Auslegungsfragen, die Anwendung obliegt dann den nationalen Gerichten. Und hier hat der BGH in einem Beschluss vom 12. Dezember 2023 schon Auslegungen des EuGH berücksichtigt – auch wenn das Urteil des EuGH erst zwei Tage später veröffentlicht wurde (C-340/21). Der BGH befasst sich mit Fragen zur Darlegungslast. So führt der BGH aus, dass derjenige, der den immateriellen Schaden geltend mache, auch darlegen müssen, dass der Verstoß gegen die DS-GVO negative Folgen für ihn gehabt habe, die einen immateriellen Schaden darstellen könnten. Diese negativen Folgen müsse er also zumindest benennen.
Aktuelle Entscheidungen des EuGH zu Art. 82 DS-GVO finden Sie im 7. Zwischenspiel.
2.3 EuGH-Vorschau: Berechtigung zum Handel mit Daten
Im Fall C-693/22 (Vente d’une base de données) darf sich der EuGH damit befassen, ob Daten auf Basis einer nationalen Vorschrift im Rahmen eines Vollstreckungsverfahrens aus einer Datenbank im Sinne von Art. 1 Abs. 2 der Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken (ABl. 1996, L 77, S. 20) heraus verkauft werden dürfen, auch wenn die betroffene Person dem nicht zugestimmt hat.
Der Generalanwalt hat für den 22. Februar 2024 seine Schlussanträge angekündigt.
2.4 OVG Lüneburg: Antrag auf Zulassung der Berufung abgelehnt
Das Urteil des VG Hannover aus der ersten Instanz stammt noch aus dem Jahr 2021. Damals kritisierte die LDI Niedersachsen, dass in einem Onlineshop einer Apotheke bei allen Produkten Daten abgefragt wurden, die nicht erforderlich waren, z.B. das Geburtsdatum. Das Urteil soll nun rechtskräftig geworden sein.
2.5 Österreich: Schadenersatz bei Fotoveröffentlichung in sozialen Netzwerken
In Österreich bekam eine Person einen immateriellen Schadenersatz zugesprochen, weil Bilder von ihr in sozialen Medien gepostet wurden. Ausnahmetatbestände aus den Rahmenbedingungen (Gemeinderatssitzung) konnten nicht berücksichtigt werden. Das Urteil selbst habe ich nicht gefunden, aber einen guten Bericht dazu.
Ergo: Nicht jedes Bild gleich hochladen, nur weil es andere auch tun!
2.6 LAG Sachsen: Beweisverwertungsverbot bei unzureichender Information
In einem Kündigungsrechtstreit um Arbeitszeitbetrug befasst sich das LAG Sachsen u.a. mit Fragen der Beweisverwertung von Daten der Beschäftigten. Dabei kommt es zu dem Schluss, dass die Aufzeichnungen aus der Zutrittserfassung nicht verwendet werden können, weil über deren Nutzung die Beschäftigte nicht transparent genug informiert gewesen sei. Das LAG Sachsen wies daher die Berufung des Arbeitsgebers ab, da dieser eine schwerwiegende Arbeitspflichtverletzung der Beschäftigten nicht nachweisen konnte. Ein vorsätzlicher Verstoß der Beschäftigten gegen die bestehende Verpflichtung einer ordnungsmäßen Dokumentation ihrer geleisteten Arbeitszeiten sei nicht mit verwertbaren Unterlagen zu belegen gewesen.
2.7 OLG Köln: Dark Pattern auch nicht bei § 25 TTDSG
Auch bei einer Einwilligung, die nach § 25 TTDSG benötigt wird, um nicht unbedingt erforderliche Cookies zu verwenden, ist der Einsatz von „manipulativen Gestaltungen (Dark Patterns) unzulässig. Das musste sich ein Online Wetterdienst vom OLG Köln aufgrund einer Klage der Verbraucherzentrale NRW sagen lassen. Konkret ging es um ein Cookie-Banner, das über ein „X“-Symbol in der rechten oberen Ecke des Banners geschlossen werden kann und mit dem Schriftzug „Akzeptieren & Schließen“ versehen war. Das genügt nicht den gesetzlichen Anforderungen an eine wirksame Einwilligung. Es fehlte außerdem eine dem Akzeptieren-Button gleichwertige Ablehnmöglichkeit.
2.8 EuGH-Vorschau: Gemeinsame Verantwortlichkeit im Online-Werbemarkt
Der EuGH hat für den Fall C-604/22 (IAB Europe) das Verkündungsdatum festgelegt. Am 7. März 2024 will er sich zu den vorgelegten Fragen des Verfahrens aus Belgien äußern. Es geht u.a. um die Auslegung des Personenbezugs. Konkret, ob eine Zeichenfolge, die die Präferenzen eines Internetnutzers im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten auf strukturierte und maschinenlesbare Weise erfasst, aus Sicht (1) einer Branchenorganisation, die ihren Mitgliedern einen Standard bereitstellt, mit dem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge in praktischer und technischer Hinsicht generiert, gespeichert und/oder verbreitet werden muss, und (2) der Parteien, die diesen Standard auf ihren Websites oder in ihren Anwendungen implementiert und daher auf diese Weise Zugang zu dieser Zeichenfolge haben, ein personenbezogenes Datum im Sinne dieser Bestimmung darstellt. Darüber hinaus werden auch Fragen zur Verantwortlichkeit entschieden.
2.9 OLG Düsseldorf: Facebook- und Instagram-Abo
Die Verbraucherzentrale NRW berichtet, dass sie in einer einstweiligen Verfügung vor dem OLG Düsseldorf mehrere Verstöße bei den Meta-Produkten Facebook und Instagram erfolgreich bemängelte. Die Bestellbuttons für die kostenpflichtigen „werbefrei“-Abos der Dienste Instagram und Facebook waren unzulässig gestaltet.
2.10 LG Lübeck: QR-Code kann zur Einbeziehung genügen
Nach Ansicht des LG Lübeck kann eine Honorartabelle, die auf einer Internetseite abgebildet ist, über eine Linkangabe bzw. über einen QR-Code auf dem Formular rechtswirksam in eine Auftragserteilung eingebunden werden. Dieses genügt zur Überzeugung der Kammer, damit der allein maßgebliche Durchschnittskunde zumutbar Kenntnis erlangen kann. Es zitiert dabei Angaben des Statistischen Bundesamtes, dass bereits 2018 77% der Haushalte über ein Smartphone verfügten. Der Durchschnittskunde sei damit ohne weiteres in der Lage eine auf der Auftragsbestätigung genannte Internetadresse aufzurufen. Zudem vermittele auch der QR-Code für den Durchschnittskunden unschwer den Zugang zu der Tabelle, weshalb eine zumutbare Möglichkeit der Kenntnisnahme nach Auffassung der Kammer vorliege (RN 43).
Die Kammer verkenne dabei nicht, dass es naturgemäß auch noch eine signifikante Anzahl an Personen ohne Smartphone bzw. ganz ohne Internetzugang gibt. Maßstab nach § 305 BGB sei jedoch nicht, dass jedermann zumutbar Kenntnis nehmen kann, sondern dass der Durchschnittskunde zumutbar Kenntnis nehmen kann. Dieser auf den Durchschnittskunden abstellende Maßstab impliziere, dass es nach dem Willen des Gesetzgebers im Einzelfall in Kauf zu nehmen sei, dass es Personen gibt, die unterdurchschnittlich gut zur problemlosen Teilnahme am allgemeinen Geschäftsverkehr ausgestattet sind, und die in der Folge Schwierigkeiten haben werden Kenntnis von den fraglichen Dokumenten zu nehmen. Dies wiege hier allerdings nicht weiter schwer, da es vorliegend Personen ohne Internetzugang – die den Auftrag entsprechend regelmäßig vor Ort erteilen werden – auch ohne weiteres zumutbar ist im Einzelfall auf diesen Umstand hinzuweisen und um Ausdruck der gewünschten Informationen zu bitten (RN 44).
Auch wenn es in dem Urteil nur um die Einbeziehung von einer Information als Bestandteil eines Auftrags handelt, wird zu überlegen sein, inwieweit dies auch bei der Kenntnisnahmemöglichkeit datenschutzrechtlicher Informationspflichten Berücksichtigung finden könnte. Vor allem auch noch mit dem Hinweis, dass Europarecht nicht auf Basis von nationalem Recht auszulegen ist.
2.11 OGH Österreich: Anforderungen an eine Einwilligung zu Werbemaßnahmen
Der Oberste Gerichtshof Österreichs hat in einer Revisionsentscheidung die Bewertung der Vorinstanzen bestätigt, dass in Verträgen über Reiseleistungen Regelungen zur Nutzung der Daten zu Marketingzwecken unwirksam sind. Diese Gestaltung erfülle nicht die Anforderungen, die an eine freiwillige Einwilligung zu stellen sind (RN 55).
3 Gesetzgebung
3.1 NRW: Antrag auf rechtsverbindliche Wirkung von DSK-Beschlüssen
Zahlreiche Stimmen aus der Wirtschaft fordern verbindlicher und einheitlichere Beschlüsse der staatlichen Datenschutzaufsichten in Deutschland. Nun gibt es einen Vorstoß in NRW, dass den Beschlüssen der Datenschutzkonferenz mehr Rechtsverbindlichkeit zugeschrieben werden solle. Ob dafür aber der politische Wille für eine Grundgesetzänderung bei allen Beteiligten vorhanden ist, geht aus dem Antrag nicht hervor.
3.2 AI Act
Der Eiertanz um das Gesetzgebungsverfahren scheint beendet. Nun geht der Eiertanz um die Interpretation weiter. Rechtssicherheit stelle ich mir anders vor. Es kursiert eine Fassung des vermeintlichen Endstandes (wir berichteten) im Netz (auch redaktionelle Änderungen sind immer möglich). In den Jubelgesängen mischen sich zunehmend Misstöne, die auf Kollisionen mit der DS-GVO hinweisen.
Laut der geleakten Fassung sind z.B. nach Art. 10 Abs. 5 lit. f künftig in den datenschutzrechtlichen Verarbeitungsverzeichnissen auch Angaben zur Erforderlichkeit der Verarbeitung personenbezogener Daten besonderer Kategorien (Art. 9 Abs. 1 DS-GVO) zu erfassen, um Verzerrungen aufzudecken und um Verzerrungen zu erkennen und zu korrigieren, wenn dieses Ziel nicht durch die Verarbeitung anderer Daten erreicht werden konnte.
Andererseits sollte der AI Act laut Erwägungsgrund 72a (geleakte Fassung) unter bestimmten Bedingungen auch eine Rechtsgrundlage bieten, um in einer Sandbox für künstliche Intelligenz die Verwendung personenbezogener Daten zu ermöglichen, die für andere Zwecke erhoben wurden, um die Entwicklung bestimmter KI-Systeme im öffentlichen Interesse innerhalb des KI-Sandkastens zu gewährleisten.
Da liegt noch einiges vor denjenigen, die die datenschutzkonforme Umsetzung des Einsatzes von Künstlicher Intelligenz zu verantworten haben. Und die dazu beraten dürfen.
Zurückgreifen wird man dabei sicher auf die vielen Veröffentlichungen, die dann versuchen, den Nebel zu lichten wie diese hier, die sich mit der Regelung von General-Purpose AI befasst und freundlicherweise ohne Paywall verfügbar ist (siehe auch hier).
3.3 DSA: Zuständigkeit für Online-Werbungsverbote unklar
Wie hier (erwartungskonform) umfassend berichtet wird, gibt es im Gesetzgebungsverfahren zur Umsetzung des DSA Diskussionen zwischen Bundesregierung und Bundesrat darüber, wem die Aufsicht über die Anbieter von Online-Plattformen übertragen wird, damit Nutzern keine Werbung angezeigt wird, die auf Profiling nach der DS-GVO unter Verwendung besonderer Kategorien personenbezogener Daten beruht. Der Bundesrat sieht hier eher die Aufsichtsbehörde der Länder und nicht den BfDI als geeignet an. Warten wir mal ab (siehe auch).
3.4 BDSG-Änderungen durch Bundeskabinett verabschiedet
Das BMI stellt den durch das Bundeskabinett verabschiedeten Entwurf zur Änderung des BDSG vor. Wesentliche Änderungen des Entwurfs betreffen Regelungen zur Datenschutzkonferenz und zum Scoring von Verbrauchern. Eine Besprechung der Änderungen u.a. bei der Videoüberwachung und zum Auskunftsanspruch findet sich hier.
3.5 Bundesrat zum Digitale Dienste Gesetz
Der Bundesrat schlägt in seiner Stellungnahme zum Digitale Dienste Gesetz u.a. vor, dass als Aufsicht über die Ordnungsmäßigkeit der Werbemaßnahmen auf Plattformen (Art. 26 der Verordnung über Digitale Dienste (VO 2023/2065) nicht der BfDI, sondern die Datenschutzaufsichten der Länder übernehmen sollen (siehe auch).
Wetten, dass damit natürlich keine Ressourcenaufstockung in den Aufsichten der Länder verbunden sein würde?
Franks Nachtrag: Und dann kommen hinterher wieder solche Umfrageergebnisse heraus…
3.6 Evaluierung der DS-GVO
Bis 8. Februar 2024 konnten bei der EU-Kommission Hinweise zur Evaluierung der DS-GVO gemäß Art. 97 Abs. 1 DS-GVO eingereicht werden. So haben z.B. der Bundesrat Ideen oder auch die Gesellschaft für Informatik Vorschläge eingereicht. Die Hinweise des Bundesrates betreffen u.a. den Wunsch nach Klarstellungen zur gemeinsamen Verantwortlichkeit, Erleichterungen bei der Dokumentationspflicht für KMU und mehr Rechtssicherheit bei der Anonymisierung. Weitere Stellungnahmen finden sich auf der Seite der EU-Kommission.
3.7 AI Act: Hinweise und Erläuterungen
Noch gibt es keine finale Fassung, es kursiert nur eine Fassung als finale Fassung der Trilog-Verhandlungen mit Stand 26. Januar 2024 (siehe auch hier). Diese muss aber nun noch redaktionell überarbeitet und in die Sprachen der Mitgliedsstaaten übersetzt und dann im Amtsblatt der EU veröffentlicht werden. Ganz zu schweigen davon, dass die Zustimmung des EU-Parlaments noch aussteht, diese aber wohl nur Formsache sein dürfte.
Dennoch finden sich bereits jetzt Darstellungen der Anforderungen und Umsetzungen wie hier und da. Viele, viele weitere werden folgen.
3.8 „Durchsetzung der DS-GVO“
Der Ausschuss LIBE des Europäischen Parlaments hat seine Hinweise zum Entwurf der Kommission zur Durchsetzung der DS-GVO Ende Dezember 2023 formuliert. Dabei geht es auch um einige Änderungen der DS-GVO, um sie „zu modernisieren“.
3.9 European Cybersecurity Certification
Die EU-Kommission hat in einer Verordnung die Aufgaben, Regeln und Pflichten sowie die Struktur des auf gemeinsamen europäischen Kriterien beruhenden Cybersicherheitszertifizierungssystems im Einklang mit dem in der Verordnung (EU) 2019/881 festgelegten europäischen Rahmen für die Cybersicherheitszertifizierung festgelegt. Dazu hat sie vorerst zwei Dokumente veröffentlicht.
3.10 DSA: Transparenzdatenbank
Die Kommission hat Ende Januar 2024 eine neue Benutzeroberfläche für die Transparenzdatenbank DSA sowie ein neues interaktives Dashboard eingeführt, das den Zugang zu zusammengefassten Informationen über die von Anbietern von Online-Plattformen eingereichten Begründungen erleichtert. Bei der Transparenzdatenbank handelt es sich um ein neuartiges „regulatorisches Gedächtnis“, das die Begründungen sammelt, die Online-Plattformen gemäß dem Digital Services Act (DSA) vorlegen müssen, um den Nutzern zu erklären, warum der Zugang zu Inhalten entfernt oder eingeschränkt wurde. Die Transparenzdatenbank ist ein wichtiges Transparenzinstrument im Rahmen des DSA und bietet der Öffentlichkeit einen beispiellosen Zugang zu Daten über die Moderation von Online-Inhalten.
4 Künstliche Intelligenz und Ethik
4.1 AI House Davos
Natürlich war auch die AI-Gesetzgebung auf europäischer Ebene Thema in Davos. Hier ein Panel dazu auf YouTube (Dauer ca. 59 Min.). Erwähnenswert die Einschätzung eines der Mitverhandelnden in der Min 18-32 zu seinen Erwartungen und Enttäuschungen.
4.2 Irland: Vorläufige Richtlinien für den Einsatz von AI im öffentlichen Dienst
In Irland wurden Vorläufige Richtlinien für den Einsatz von AI im öffentlichen Dienst veröffentlicht. Gemäß den Aussagen der veröffentlichenden Behörde wurden sie von einer abteilungsübergreifenden Arbeitsgruppe für vertrauenswürdige KI im öffentlichen Dienst entwickelt. Das Dokument enthält vorläufige Leitlinien und Fragen, die von Organisationen des öffentlichen Dienstes zu berücksichtigen sind, wenn sie den Einsatz von KI-Tools in Betracht ziehen. Es umreißt das Engagement der Regierung für den ethischen Einsatz von KI. Außerdem rege es die Durchführung von Risikobewertungen an und umreiße die Sicherheitsvorkehrungen und Überlegungen, die bei der Erkundung des Einsatzes von KI-Tools relevant sind.
4.3 KI und Gaza
Bei der Verwendung von KI dominiert in der öffentlichen Diskussion die Hoffnung auf friedliche, wertschöpfende Nutzung. Bei dem Bericht über die Nutzung von KI zur Identifizierung von Zielen im Gaza-Streifen durch die israelische Armee, um Stellungen etc. der terroristischen Hamas auszuschalten, beschleichen einen auch andere Überlegungen, eher etischer Natur.
4.4 Zero Trust AI
Kaum versuche ich verstehen, was unter Zero Trust in der IT zu verstehen ist, kommen andere mit Zero-Trust LLMs daher. Details dazu lesen Sie hier.
4.5 KI und Medizin: Recht auf KI?
Dass der Einsatz von KI bei der Beurteilung von Situationen oftmals mehr Erkenntnisse bringen kann als ein einzelner Mensch sie hätte, muss ich hier nicht ausführen. Bei der Beobachtung und Diagnose von Hautkrebs soll dies z.B. so sein. Aber gibt es deshalb ein Recht auf Behandlung mit KI? Damit befasst sich dieser Beitrag.
4.6 AI und Ethics
Wir kommen kaum zu den rechtlichen Fragen beim Einsatz von KI hinterher, aber es sollten auch ethische Aspekte nicht zu kurz kommen. Damit befasst sich diese Veröffentlichung. Unter dem Titel „Artificial Intelligence and Ethics“ werden darüberhinausgehende Betrachtungen angestellt.
4.7 KI und unangemessene Inhalte
Es fiel mir schwer, hier einen passenden Titel zu finden…
Oder was nimmt man, wenn es um Meldungen geht, in denen es um Werbung auf der Google-Schwester und zum Alphabet-Konzern gehörenden Plattform YouTube für den Einsatz einer KI geht, bei dem Bilder von Personen sexualisiert bearbeitet werden – noch dazu, wenn es sich um Schüler:innen handelt?
Wer denkt da noch an Überregulierung von Innovationen?
Franks Nachtrag: Wie war das noch mal mit Google und der Ethik? Das passt ja auch zu diesen Meldungen, oder?
4.8 Vorschlag zu KI-Richtlinien und Nutzung durch Beschäftigte
Welche Richtlinien können intern helfen, dass Beschäftigte im Sinne des Unternehmens mit KI umgehen? Und wie kann dies transparent dargestellt werden? Wieder mal aus der Schweiz gibt es zu beiden Fragen Umsetzungsempfehlungen, sowohl für Aspekte einer internen Regelung wie auch zu deren Visualisierung. Im Kern geht es darum, dass Transparenz zu schaffen ist, wo sie erforderlich ist, dass KI nur mit freigegebenen Daten genutzt werden darf und dass der Output der KI manuell auf Richtigkeit zu prüfen ist.
4.9 Handreichung zur Anwendung von KI in der Lehre
Künstliche Intelligenz hat auch maßgeblichen Einfluss auf die Lehre. Welche Aspekte dabei zu beachten sind, hat eine Arbeitsgruppe der HafenCity Universität Hamburg in einer Handreichung zur didaktischen Nutzung von KI-Generatoren formuliert.
4.10 Jailbreak Attacks in Large Language Models
Große Sprachmodelle (Large Language Models, LLMs) erfreuen sich aufgrund ihrer fortschrittlichen Texterstellungsfähigkeiten in verschiedenen Bereichen zunehmender Beliebtheit. Wie jede Software sind sie jedoch mit Sicherheitsproblemen konfrontiert, einschließlich des Risikos von „Jailbreak“-Angriffen, bei denen LLMs manipuliert werden, um verbotene Inhalte zu erzeugen. Diese Veröffentlichung befasst sich unter dem Titel „A Cross-Language Investigation into Jailbreak Attacks in Large Language Models“ ausführlich mit den jeweiligen Aspekten dazu.
4.11 Hamburg: Erprobung eines eigenen LLM „LLMoin“
Zum Thema KI in der Verwaltung beteiligt sich Hamburg nun auch unter dem hintersinnigen Projektnamen „LLMoin“ und erprobt eigene Large Language Model Anwendungen. Ab sofort stehen rund 100 Testerinnen und Testern vier Funktionen zur Verfügung. Ziel sei es Erkenntnisse für eine mittelfristige LLM-Strategie der Stadt Hamburg zu gewinnen.
4.12 House of Lords: LLM
Der Ausschuss für Kommunikation und Digitales des House of Lords in London veröffentlichte ein Positionspapier zum Einsatz von LLM und generativer AI.
4.13 KI kindgerecht erklärt
Manche bemühen sich um leichte Sprache, um komplexe technische oder rechtliche Fakten darzustellen. Das ZDF hat sich hier dem Thema KI gewidmet und erklärt in 23 Minuten niedrigschwellig, was mit Künstlicher Intelligenz bereits gemacht wird und auf was bei Bildern geachtet werden sollte.
4.14 Risiken bei KI beurteilen
An Ideen für Anwendungen (insbesondere mit generativer KI) fehlt es in vielen Unternehmen nicht. Dazu müssen aber rechtliche Vorgaben und Risiken angemessen berücksichtigt werden. Hier finden Sie einen Vorschlag, wie entsprechende Risiko- und Compliance-Beurteilungen durchgeführt werden können. Dazu finden sich auch kostenlose Hilfsmittel für kleinere und größere KI-Projekte.
4.15 Datenschutz und KI
Ich lasse mal meine persönliche grundsätzliche Skepsis gegenüber der synonymen Verwendung von Privacy und Datenschutz beiseite, weil dieser Beitrag aus den USA kommt. In ihm wird versucht ein grundlegendes Verständnis der Überschneidung zwischen künstlicher Intelligenz (KI) und Privatsphäre zu schaffen und die aktuellen Probleme zu skizzieren, die KI für die Privatsphäre aufwirft.
Im Ergebnis reiche zwar das bestehende Datenschutzrecht bei weitem nicht aus, um die Datenschutzprobleme im Zusammenhang mit KI zu lösen, aber ein richtig konzipiertes und gestaltetes Datenschutzrecht würde einen großen Beitrag zur Lösung dieser Probleme leisten.
5 Veröffentlichungen
5.1 Neubewertung der datenschutzrechtlichen Einordnung des Betriebsrates?
Anlässlich der Ausführungen aus dem Urteil des EuGH vom 11. Januar 2024 (C-231/22), bei dem es eigentlich um die Eigenschaft eines Amtsblattes als Verantwortlichen geht, wird hier die Frage gestellt, ob sich daraus auch Hinweise für eine gemeinsame Verantwortlichkeit zwischen Betriebsrat und Unternehmen ableiten lassen. Mal sehen, ob sich das in der Diskussion um ein Beschäftigtendatenschutzgesetz und einer Neubewertung der Rolle des § 79a BetrVG auswirkt.
5.2 Rechtsvergleich zum Datenschutz – Datenintermediäre und Data Governance Act
Hier ein Hinweis nicht nur für diejenigen, die im internationalen Bereich unterwegs sind: Unter dem Titel des „Global and Comparative Data Law<7a>“ ist eine Sammlung mehrerer Veröffentlichungen mit freiem Zugang hinterlegt, die von „African Data Protection Law“ über „Data Disclosure“, „The Transfer of Personal Data from the European Union to the United Kingdom post-Brexit“ bis zu „Datenmärkte, Datenintermediäre und der Data Governance Act“ reichen. Besonders letzteres bietet mit einer im Rahmen einer Dissertation erstellten Analyse der europäischen Regulierung von B2B-Datenvermittlungsdiensten auf über 600 Seiten eine umfangreiche Betrachtung der Thematik.
5.3 Inside the Mind of a Hacker
In diesem 43-minütigen Podcast (Spotify, hier bei Apple) sind interessante Einblicke in und aus dem Leben eines der bekanntesten Hacker zu erfahren, der Anonymous mitgründete, für das FBI arbeitete und der in keine Schublade passt. Auch so kann Cybersecurity sein.
5.4 Blockchain
Es verschwand schon fast aus meiner Wahrnehmung; Metaverse und Künstliche Intelligenz drängten Themen wie Blockchain in den Hintergrund. Aktuelle Betrachtungen inkl. zivilrechtlichen Aspekten werden in diesem bei YouTube hinterlegten Vortrag „Blockchain und Recht“ (Dauer ca. 1:21 Std.) thematisiert.
5.5 Cybercrime: Alarmstufe Rot – Angebot in der Mediathek
Schön niedrigschwellig befasst sich dieser Beitrag „Cybercrime – Alarmstufe Rot“ (ca. 45 Min.) des Hessischen Rundfunks mit erfolgreichen Angriffen, den Folgen und Möglichkeiten der Gegenwehr. Und weil es gut dabei passt: Welche Empfehlungen bekommen Sie von der ARD-Mediathek dazu „Weil Sie »Cybercrime – Alarmstufe Rot« gesehen haben“?
5.6 Openkritis.de
Informationen zu Anforderungen und Umsetzungen sowohl zur NIS2 wie auch zur neuen Kritis-Regulierung findet sich u.a. hier.
5.7 Weltweite Datenschutzregulatorik
„Die Deutschen übertreiben es beim Datenschutz“ ist eine beliebte Floskel, wenn es um den Hinweis auf die Einhaltung von einfachsten Vorgaben geht. Dass es aber mittlerweile fast weltweit Regularien zum Datenschutz (bzw. „Privacy“) gibt, lässt sich an dieser Karte* aus diesem Beitrag schön feststellen. Inhaltlich ist dazu anzumerken, dass es in den USA zunehmend in einzelnen Bundesstaaten bereits entsprechende Gesetz gibt, aber eben noch kein Bundesgesetz dazu.
* Franks Anmerkung: Aus Gründen 🤷♂️ will bei mir das direkte Verlinken der PDF nicht dauerhaft funktionieren. Es geht um die PDF auf der Zielseite. Klicken Sie bitte im Bedarfsfall dort selbst…
5.8 DSFA erforderlich? Prüfungstool verfügbar
Hier wurde unter dem Namen DSFA-Check eine halbautomatische Vorlage veröffentlicht, um festzustellen, ob eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DS-GVO erforderlich ist. Sollte dann eine DSFA durchzuführen sein, gibt es weitere Templates und Hilfsmittel dazu.
Passend dazu finden Sie aktuelle Prüfungsaktivitäten des BayLDA zu der Thematik mit weiteren Hinweisen auf den Seiten des BayLDA unter „Schwellwertprüfung Datenschutzfolgenabschätzung“.
5.9 Google Analytics: Neuer Einwilligungsmodus
Google will ab März 2024 einen neuen Einwilligungsmodus einführen. Informationen und Tipps dazu finden sich hier.
5.10 Widerspruchsgründe nach Art. 21 Abs. 1 DS-GVO
Dieser Fachbeitrag behandelt die Frage, welche Gründe, die sich aus der besonderen Situation einer natürlichen Person ergeben, können bei einem Widerspruch nach Art. 21 Abs. 1 DS-GVO tatsächlich erfolgversprechend sein. Berücksichtigt werden dabei Urteile des LSG Hessen und des BVwG Österreich.
5.11 Vertraulichkeitsverpflichtung
Das Datengeheimnis aus dem alten § 5 BDSG entfiel und blieb im BDSG nur noch im Rahmen der Umsetzung der RL Polizei und Justiz in § 53 BDSG. Wer seine Beschäftigten trotzdem auf die Vertraulichkeit verpflichten möchte (und vor allem sollte!), findet hier im Norden eine Vorlage, die auch auf individuelle Anforderungen angepasst werden kann.
5.12 „Datenschutz ist gut fürs Geschäft“
Das hätte ich auch in der Rubrik „Die guten Nachrichten zum Schluss“ bringen können: Viele (86%) der bei einer Umfrage befragten Unternehmen gaben an, dass sich Datenschutzgesetze positiv auf ihr Geschäft auswirken. Näheres zu der Studie von Cisco in diesem Beitrag.
5.13 noyb: Umfrage zum Datenschutztag
noyb führte anlässlich des europäischen Datenschutztages 2024 eine Umfrage durch. Danach geben 74% der befragten „Insider“ an, dass Behörden bei einer Überprüfung „relevante“ Verstöße feststellen könnten. Die vollständige Studie wurde auch veröffentlicht.
5.14 GDD: Checkliste Auskunftsersuchen
Anlässlich des Europäischen Datenschutztages veröffentlichte die GDD eine aktualisierte Praxishilfe Checkliste „Auskunftsersuchen nach Art. 15 DS-GVO“.
5.15 Beweislast bei Sanktionen und Schadenersatz
Der EuGH hat bei Ansprüchen auf Schadenersatz und bei Sanktionen durch Aufsichtsbehörden im letzten Jahr zu der Beweislast geäußert. Dieser Beitrag befasst sich mit diesen Urteilen und den Folgen für Unternehmen in beiden Fällen.
5.16 bitkom-Umfrage zu Vertrauen in Anbieter
Laut einer bitkom-Umfrage vertrauen zwei Drittel der befragten Personen deutschen Anbietern. Nur jeder Fünfte halte seine Daten im Netz für sicher. Seitens des bitkom erfolgt aber der Rückschluss, dass es immer noch zu viele Auslegungsfragen und lebensfremde Umsetzungsvorschläge gäbe. Offen bleibt für mich, ob die Auslegungsfragen und Umsetzungsvorschläge der Grund sind, dass das Vertrauen derart niedrige Werte erhielt oder ob nicht vielleicht doch das Geschäftsmodell des einen oder anderen bitkom-Mitglieds und die unzureichende Durchsetzung der Datenschutzanforderungen durch die europäischen Aufsichten den Grund für die niedrigen Vertrauenswerte bilden.
Franks Nachtrag: Wie war das noch mal, wenn der Datenschutz klein gemacht werden soll? Ach ja, beschämend…
5.17 Corporate Influencer … und Recht
An was nicht nur von Unternehmensleitungen insbesondere bei der beruflichen Nutzung von Social Media oder bei der Selbsteinschätzung als Influencer aus – auch datenschutzrechtlicher Sicht – zu denken ist, wird in diesem Podcastgespräch (Dauer ca. 1:02 Std.) ausführlichst dargelegt. Wie so oft gilt: Vorher nachdenken verhindert Probleme hinterher.
5.18 Übersicht wichtiger Entscheidungen des EuGH und des EuG im Jahr 2023
Was waren die wichtigsten Entscheidungen des EuGH und des EuG im Jahr 2023 zum Datenschutzrecht? Das listet diese Webseite einer Kanzlei auf. Gut, ich hätte noch C-683/21 und C-807/21 oder C-456/21 aufgenommen, aber dafür haben Sie ja unsere Blog-Reihe.
5.19 Kommentar zu EuGH C-340/21
Um was geht es bei dem EuGH-Urteil im Fall Natsionalna agentsia za prihodite (C-340/21), als über Verantwortlichkeiten, zumutbare Schutzmaßnahmen und immateriellen Schadenersatz verhandelt wurde und wie ordnet sich dies für künftige Beratungen ein? Damit befasst sich dieser Kommentar nach dem Urteil. Eine meiner Lieblingsstellen daraus:
„Die Ausführungen des Generalanwalts in Rn. 43 der Anträge lesen sich vor diesem Hintergrund wie ein mahnender Eintrag ins Poesiealbum der Compliance-Abteilungen von Verantwortlichen, deren Aufgabe es ist, auch präventiv wirksam zu agieren und einen effektiven Plan-Do-Check-Act-Zyklus zu etablieren.“
5.20 Awarenessmaßnahmen: Altersbedingte Risikofaktoren
Ich ertappe mich immer öfter dabei, Sätze – auch in Gedanken – mit „Früher …“ zu beginnen. „Früher war alles einfacher …“, „Früher gab es noch Vorbilder …“, „Früher … war ich jünger“. Ob es wirklich auch am Alter liegt, muss jeder selbst für sich entscheiden. Hier legt ein Artikel nahe, dass auch Awarenessmaßnahmen sich nach dem Alter richten sollten, wenn Anforderungen an die Cybersicherheit durch die sogenannte Generation „Z“ anders (nämlich risikoreicher) bewältigt werden als durch die „Boomer“. Auch wenn es nun wenig trösten mag, ich kenne auch Personen, die nicht zur Generation Z gehören und trotzdem gesetzliche Vorgaben nicht einhalten. Wie hätte man da früher wohl reagiert?
5.21 Landesärztekammer Hessen zu Aufbewahrungsfristen
Gesetzliche Aufbewahrungsfristen stellen in Verbindung mit Art. 6 Abs. 1 lit. c i.V.m. Art. 9 Abs.2 lit. h DS-GVO eine Rechtsgrundlage dar, um auch Gesundheitsdaten speichern zu können. Klingt einfach – ist es auch, wenn man nur weiß, welche Daten wie lange und warum aufzubewahren sind. Bei diesen dann doch wieder mitunter komplizierten Fragen versucht die Landesärztekammer Hessen mit dieser Veröffentlichung zu unterstützen.
5.22 Datenschutz und Datennutz
Schon ein bisschen älter, aber immer noch aktuell, ist die Fragestellung, warum das EU-Grundrecht auf Datenschutz im Widerspruch zum Handel mit personenbezogenen Daten steht. Antworten dazu liefert dieser Artikel aus dem Jahr 2022 (Priceless data).
5.23 Data Altruism im Vergleich im Data Governance Act und in der DS-GVO
Nicht erschrecken, wenn der Link aufgerufen wird: Die meisten Seiten der hinterlegten PDF-Datei sind auf Türkisch, hier wird vor allem auf den Beitrag ab Seite 295 bis 308 des PDF verwiesen. Darin werden – in Englisch – die Unterschiede im Data Goverance Act und der DS-GVO betrachtet und es wird eine eher pessimistisches Vorhersage hinsichtlich der Erreichung ursprünglichen Ziele des Data Governance Acts skizziert.
5.24 Auskunftsansprüche gegen Plattformen nach DSA und TTDSG
Mit den aktuellen Auskunftsansprüchen nach dem DSA und dem TTDSG befasst sich dieser Beitrag. Zusammenfassend: Richtig glücklich wird der Verfasser mit der aktuellen Rechtslage nicht, macht aber auch Vorschläge, was anzupassen wäre.
5.25 Veranstaltungen
5.25.1 Universität Passau: Ringvorlesung „Legal tech“
Wintersemester 2023/2024, online: Die Veranstaltungsreihe der Universität Passau im Wintersemester zu öffentlichen Vorlesungen, an denen über Zoom teilgenommen werden kann, findet sich hier mit dem vollständigen Programm.
5.25.2 HmbBfDI: Kinderbilder im Netz -neu-
13.02.2024, 19:00 – 20:30 Uhr: Das Onlineseminar mit einer Referentin der Koordinierungsstelle Kinderrechte des Deutschen Kinderhilfswerkes, einer Kinderrechtsaktivistin und Social-Media-Expertin sowie einem Vertreter des LKA Prävention und Opferschutz gibt praktische Tipps. Weitere Informationen dazu hier. Veranstaltung über BigBlueButton.
5.25.3 Stiftung Datenschutz: EuGH-Urteil zum Schufa-Scoring – Wendepunkt für automatisierter Entscheidungsfindung?
14.02.2024, 13:00 – 14:00 Uhr, online: Der EuGH hat in seinem Urteil zu den Schufa Scorewerten (C-634/21) Aussagen getroffen, die sich auch auch auf weitere automatisierte Entscheidungen anwenden lassen (wir berichteten bereits). Dies wird hier im Austausch mit einer Expertin und einem Experten im Rahmen der Reihe Datenschutz am Mittag diskutiert. Anmeldung hier.
5.25.4 LfDI Baden-Württemberg: KI und Diskriminierung
21.02.2024, 14:00 – 15:30 Uhr, Stuttgart und online: Die KI-Verordnung der EU ist ein wichtiger Schritt, um die Regulierung von künstlicher Intelligenz voranzutreiben. Der Vortrag geht der Frage nach, warum KI reguliert werden muss und beleuchtet die Aspekte, die die Verordnung umfasst, um Herausforderungen wie Bias und Diskriminierung, automatisierte Entscheidungen sowie Deep Fakes anzugehen. Weitere Informationen und Anmeldung hier.
5.25.5 HBDI: Der EuGH als Gestalter des Datenschutzrechts
07.03.2024, 10:00 – 15:30 Uhr, Wiesbaden: Das 26. Wiesbadener Forum Datenschutz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit befasst sich mit o.g. Thematik u.a. mit folgenden Fragen: Welche Rolle spielt der Europäische Gerichtshof bei der praktischen Fortentwicklung der Datenschutz-Grundverordnung? Welche Akzente setzt das Gericht bei der Interpretation der häufig abstrakten Regelungen? Mehr Informationen dazu hier.
5.25.6 HSLU: „Datenschutz in Immersive Reality“
18.04.2024, 12:00 – 17:30 Uhr, „Privacy Ring“ in Luzern: Die Referate werden über die Präsentationsform des „Pecha Kucha“ gehalten. Es besteht zu Beginn der Veranstaltung auch die Möglichkeit an einer Führung im Immersive Reality Center (IRC) der Hochschule Luzern teilzunehmen. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Erpressungen mit Nacktaufnahmen
Besonders Jugendliche sind von diesen Straftaten betroffen, bei denen sie erst nach pikanten Fotos gefragt werden, um sie dann damit zu erpressen. Oft sind dabei auch junge Männer das Opfer, die in den üblichen Netzwerken wie Instagram kontaktiert werden. Dass es sich dann dabei um Fake-Accounts handelt und nicht um interessierte Mädchen, wird dann zu spät bewusst. Bezeichnet werden diese strafrechtlichen Handlungen als „Sextorsion“, wenn die Opfer erst verleitet werden, Nacktbilder oder sexuelle Handlungen an sich vor der Kamera aufzunehmen, und dann damit erpresst werden. Einen Bericht dazu lesen Sie hier. Dort gibt es auch Tipps, wie man sich schützt, natürlich durch mehr Achtsamkeit, aber auch an wen man sich wenden sollte, wenn die Erpressung bereits erfolgt. Tipps dazu finden Sie auch bei der watchlist-internet.
6.2 Fake-Nachrichten auf X
Berichten zufolge wurden im Messengerdienst X (vormals twitter) gefakte News eingespielt. Ist das wirklich noch eine Nachricht wert?
6.3 Lernen mit Handschrift
Wer erinnert sich noch an das Sachbuch „Digitale Demenz“? Nach dieser Meldung bestätigen Studien, dass Inhalte, die über handschriftliche Notizen gelernt werden, stärker in Erinnerung bleiben als Inhalte, die über andere Methoden – wie z.B. am Computer lesen – gelernt werden.
Franks Nachtrag: Solche Studien gibt es auch (wenn auch schon etwas älter) aus dem deutschsprachigen Raum…
6.4 Verantwortlichkeit der Big Tech!
Dass Kinder im Netz oft ungeschützt mit unangemessenen Inhalten sowie zudem mit algorithmisch gesteuerten Suchtfaktoren konfrontiert werden, ist kein Geheimnis. Auch wenn nun bei einer Anhörung im Justizausschusses des US-Senats Vertreter:innen von X, TikTok, Meta, Snap und Discord zur Thematik der Kindersicherheit natürlich Besserungen gelobten, bin ich mittlerweile schon so weit, dass ich nicht mehr glaube, dass die sich dumm stellen. Das Transkript der Anhörung ist hier hinterlegt. Und ein Bericht darüber findet sich hier.
6.5 Sexualisierte Gewalt – Verantwortlichkeit der Plattformen
Make Money, make more Money – manchmal scheint dies der alleinige ethische Kompass von Plattformen zu sein, wenn man die Umsetzung von Kinderschutzmaßnahmen der Plattformen von Meta, X und TikTok betrachtet. Diese mussten im US-Senat erklären, wie sie Kinder vor Missbrauch schützen. Aber alles halb so schlimm, wenn am Tag, nachdem sich der CEO von Meta bei den Eltern von Kindern entschuldigt, die sich aufgrund von Cyberbullying etc. das Leben nahmen, der Aktienkurs von Meta um 20,3 % stieg, wie hier berichtet wird.
Dass es bei der Kritik an den Plattformen um gezielte Manipulationen bis hin zu sexualisierter Gewalt und die Verbreitung von Missbrauchsdarstellungen, erklärt hier eine Psychologin im Deutschlandfunk (Dauer 6:30 Min).
7 Sonstiges/Blick über den Tellerrand
7.1 Datenschutz und Diversität
In Zeiten, in denen wieder diskutiert wird, Personen mit Migrationshintergrund gemäß dem Unwort des Jahres 2023 „Remigration“ dahin zu bringen, wo deren Vorfahren mal waren, auch wenn sie deutsche Staatsbürger sind, sind viele Angaben, die Unternehmen mit besten Absichten erheben, um diversen Anforderungen hinsichtlich der Beschäftigten nachzukommen, kritischer zu betrachten. Umso erfreulicher, wenn sich hier fundierte Hinweise finden lassen, wie dabei auch datenschutzrechtliche Anforderungen beachtet werden können.
7.2 Geschichte und Security
In diesen Tagen gedenken wir nicht nur der Befreiung des KZ in Ausschwitz. Sondern auch den Ursachen, die dazu führten. Aber es gibt auch Berichte, die noch aufzeigen, was aus Menschen wurden, die überlebten. Wer sich noch an Commodore 64 oder Atari erinnert, sollte sich diesen Hörfunkbeitrag (ca. 15 Min) nicht entgehen lassen.
7.3 KI-Nacktbilder im Internet
Ich will gar nicht darüber nachdenken, ob KI-generierte Nacktbilder von mir oder einer Lisa Schmidt solche mediale Aufmerksamkeit erhalten hätten, wie von einer US-amerikanischen Sängerin und damit wird das Dilemma deutlich – wer wird wie geschützt? Bei der Sängerin beschleunigt diese Wahrnehmung die gesetzgeberischen Aktivitäten, wenn selbst das BSI darüber berichtet – bei allen anderen wäre es bestenfalls nur eine Randmeldung – schlimmstenfalls nach einem Suizid.
7.4 NSA und Daten von US-Bürgern
Ach, schau an – nein, wir Europäer sind nicht paranoid im Vergleich z.B. zu US-Amerikanern. Die regen sich genauso auf, wenn sie überwacht werden oder herauskommt, dass eine Sicherheitsbehörde Daten über sie erwirbt. Es wäre schön, wenn wir hier irgendwann atlantikübergreifend den gleichen Maßstab fänden. Mit Privatsphären und Sicherheitsinteressen in der Waagschale.
7.5 Demokratie – gemeinsam für alle!
Nachdem es nun die Manipulationen auf Internet-Plattformen und die Gefahr für demokratische Grundlagen auch in die Standardmedien schafften, erfreut auch ein Sachbuchverlag mit einer kostenfrei zugänglichen pdf-Version seiner aktuellen Veröffentlichung unter dem Titel „Demokratie – gemeinsam für alle!“. Sie finden sie hier.
7.6 KI und Kriminelle
Es war nur eine Frage der Zeit, dass mit dem Einsatz von KI auch Angriffe über das Netz laufen. Dass aber nach diesem Bericht eine komplette Videokonferenz gefakt wird, um ein Opfer zu einer Vermögensverfügung zu verleiten, ist mehr erschreckend als begeisternd. Wie kann man sich schützen? Ich habe ja auch gelegentlich Videokonferenzen, in denen Aussagen getroffen werden, die ich nicht für möglich halte – ich werde mir mal Fragen überlegen, die dann eine KI in dem Kontext überfordern würden. Welche das seien werden? Verrate ich doch nicht hier, ich kann ja nicht ausschließen, dass eine KI auf diese Sätze hier zum Training zugreift.
Franks Nachtrag: Hier noch zwei weitere Links zur Videokonferenz…
8. Franks Zugabe
8.1 Apropos ChatGPT …
Warum eigentlich nicht, es sind zwar nicht so viele Meldungen wie zur KI, aber es reicht wieder für eine eigene Liste:
- OpenAI hat scheinbar doch Grundsätze… zumindest wenn es um den US-Wahlkampf geht?
- Und was ist, wenn eine KI über einen lügt? Das fragte sich diese auch für die BBC tätige Reporterin, nachdem Elon Musks KI Grok genau das tat (ChatGPT und Bard wohl nicht laut dem Artikel)…
- Verändern Chatbots wie ChatGPT die Art, wie wir Menschen miteinander sprechen? Wer kennt es nicht, Smileys in Kurznachrichten auf dem Smartphone oder sogar auch in Blogbeiträgen 🫣… So haben Handys bzw. Smartphones und Online-Chats (Lol, irgendjemand?) die Art, wie wir miteinander kommunizieren, verändert. KI-Chatbots haben nun das Potential die nächste Änderung herbeizuführen. Ob zum Besseren oder zum Schlechteren? Dieses Essay mag sich dazu nicht abschließend festlegen, bietet aber viel Food for Thought.
- Unter dem Titel „The LLM Misinformation Problem I Was Not Expecting“ lässt sich die Autorin darüber aus, wie Student:innen und Schüler:innen selbst bei guter Quellenarbeit (und nicht nur stupidem „Fragen wir mal ChatGPT…“) trotzdem mit fehlerhaften Inhalten konfrontiert werden können.
- Apropos Halluzinieren und schlechte Qualität der Antworten: Auch dem Programmieren scheint KI nicht nur gut zu tun… Beweisstück 1: „Schlechte Code-Qualität durch die KI-Assistenten GitHub Copilot und ChatGPT“ und Beweisstück 2: „New GitHub Copilot Research Finds ‚Downward Pressure on Code Quality'“. Tja, kann man nix machen, Softwareproblem das 🤷♂️
- „Linguist Emily M. Bender Has a Word or Two About AI“. Die lesen wir doch gerne. Und ja, Sie ahnen es, es geht schon auch um OpenAI, ChatGPT und Sam Altman.
- Manchmal ist ChatGPT auch einfach nur gesprächig…
- Apropos Sam Altman: Er hat erkannt, das KI zu viel Energie verbraucht… Immerhin macht OpenAI guten Umsatz. Und er denkt, dass sie langfristig viel, viel, wirklich viel Geld in Chips für die KI investieren wollen.
- Wenn Sie einfach nur online (z.B. bei Amazon) etwas kaufen wollen, und dann…
8.2 Apropos KI …
Auch zum Thema KI (wenn wir mal über ChatGPT hinaus schauen) gab es in den vergangenen Wochen reichlich:
- In der letzten Liste zu KI hatte ich ja schon über ChatGPTs geänderte Richtlinien bezgl. militärischen Einsatzszenarien von KI berichtet. Hier ist ein Bericht darüber, wie KI im Gaza-Streifen genutzt wird, um Ziele zu bestimmen.
- Passend zu dieser erschreckenden Entwicklung gibt es dieses NGO: stopkillerrobots.org
- Sie müssen uns ja gar nicht töten, es reicht ja schon, wenn sie uns den Job wegnehmen. Das befürchten nach dieser Quelle (Fox, ihhh…) zwei Drittel der US-Amerikaner…
- Laut dieser Meldung versuchte eine KI Joe Biden den Job zu nehmen.
- Kommen wir nun zu etwas ganz anderem. Wenn man LLM nur vorsichtig genug trainiert, können die doch nicht schlecht werden, oder? Oder?!?
- KI und Taylor Swift… Nein, kein Deepfake-Porno. Werbung für Küchengeräte…
- Kommen wir noch mal zu etwas ganz anderem: Hier verlangt ein Richter von Facebook, dass sie mit Hilfe von KI ähnliche Memes ausfiltern (Nicht falsch verstehen, der Anspruch der Klägerin ist mehr als berechtigt!). Aber wie soll das rein technisch gehen? Das fragt sich auch dieser Kommentator. Irgendwie mit KI?
- Aber Züge werden sie doch fahren können, diese KI-Systeme, oder? (Nein, liebe FDP, können sie nicht…) Apropos Bahn. Wenn Sie mal deprimiert sein wollen ob des Zustands der Deutschen Bahn … dann lesen Sie hier.
- Und Sozialschmarotzer erkennen? Auch nicht?
- Aber liebgewonnene Personen des öffentlichen Lebens, die leider schon verstorben sind, kopieren? Solange die Erben nichts dagegen haben… Wobei da die Frage der Moral bleibt. Und des Urheberrrechts… Aber das führt hier zu weit.
- Und jetzt habe ich auch mal wieder einen Podcast. Und dann auch noch von einem Antivirensoftwarehersteller (Hust, Schlangenöl, hust). Aber dieser ist hörens- und darüber nachdenkenswert: Bruce Schneier predicts a future of AI-powered mass spying. Denn KI wird wohl das Problem der Auswertung der Datenberge, die wir alle durch die Nutzung der „neuen Medien“ (Wir haben ja nichts zu verbergen) erzeugt haben, lösen…
- Irgendwie wirkt es, als ob wir den KI mittlerweile immer mehr zutrauen, auch die Bilder, die solche Artikel illustrieren, wirken fast schon sakral. Na ja, solange die KI nett zu uns ist…
- Wenn Autoren keine Ahnung haben, was im nächsten Krimi passieren soll? Dann starten sie ein Experiment (und ja, das ist wieder ein Podcast, sogar eine Podcast-Reihe).
- Während der BR KI nutzt, um Krimis zu erstellen, setzt Bayern laut dieser Meldung (die auch vom BR ist 😁) gleich auf BayernGPT!
- Und damit es nicht so klingt, als ob ich gar nichts von KI halte, es gibt sicherlich ganz viele nützliche und sinnvolle Anwendungsszenarien. Hier ist eines: KI in der Wettervorhersage – die stille Revolution
8.3 Safer Internet Day 2024 – TLfDI Hasse räumt mit Datenschutzirrtümern auf
Na, da ist der Name doch Programm!
8.4 Und sie bewegt sich … doch?
Die Deutsche Bahn scheint (zumindest teilweise) einzulenken? Es soll wohl weiterhin Bahncards in analog geben…
8.5 Die Zukunft?
9. Die gute Nachricht zum Schluss
9.1 IT-Sicherheit für die Massen
Wenn selbst das ZDF nun schon Sicherheits-Tipps gibt, besteht doch noch etwas Hoffnung, dass Grundlagen nun doch langsam Allgemeinwissen werden. Die Beiträge zu Verschlüsselung etc. finden sich hier.
9.2 Weitere Videoclips veröffentlicht
Mit freundlicher, tatkräftiger Unterstützung des Teams des LfDI Baden-Württemberg wurden für die Webseite www.datenschutz-leicht-erklaert.de weitere Videos erstellt. Sie umfassen nun auch Themen wie „Warum Datenschutz“, Cybergroomingm oder Cookies und bieten zusätzlich auch Unterstützung beim Verständnis der Ansprüche aus der Informationsfreiheit mit Beispielen.