Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 04/2024)“ – ein Zwischenspiel
Hier ist der 7. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 04/2024)“ – ein Zwischenspiel.
Kaum Zeit, um alle Erkenntnisse zu veröffentlichen. Aber ein Zwischenspiel gibt es, und wenn es nur wegen der Veranstaltungshinweise wäre. Der nächste Blog-Beitrag wird also mindestens wieder eine Doppelausgabe. Nun ja, das wird ja dann auch die 80. Ausgabe…
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Datenpreisgabe
- EU GDPR Casebook
- Veranstaltungen
- Universität Passau: Ringvorlesung „Legal tech“
- DSK: „Digitale Transformation – die Datenschutz-Zukunft gestalten“
- Berlin Kino Filmkunst: Filmvorführung „Total Trust“
- EAID: „Exportschlager AI Act?“
- Universität des Saarlandes: „Datenschutzrechtliches Risikomanagement bei Cyber-Angriffen“
- HmbBfDI: Die 10 größten Datenschutzmythen
- LfDI Baden-Württemberg: Cookie-Banner und Apps -neu-
- Stiftung Datenschutz: EuGH-Urteil zum Schufa-Scoring – Wendepunkt für automatisierter Entscheidungsfindung?
- LfDI Baden-Württemberg: KI und Diskriminierung -neu-
- HBDI: Der EuGH als Gestalter des Datenschutzrechts -neu-
- HSLU: „Datenschutz in Immersive Reality“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BayLDA: KI und Datenschutz
Das BayLDA hat eine eigene Webunterseite zum Thema „Datenschutz und KI“ veröffentlicht. Es finden sich darauf bisher eine 12-seitige Checkliste für die Entwicklung und ein Flyer mit Anforderungen zum datenschutzkonformen Einsatz. Aber auch die Verlinkung zu einer Veröffentlichung der CNIL zu KI.
1.2 LfD Bayern: Identifizierbarkeit einer natürlichen Person
Was einfach klingt, wird komplex, wenn Jurist:innen mitmischen. So behandelt der LfD Bayern die Frage „Wann ist eine natürliche Person identifizierbar?“ in seiner aktuellen Kurz-Information 53 auf insgesamt 9 Seiten die Frage und mögliche Antwortvariationen. Dabei berücksichtigt er gesetzliche Formulierungen ebenso wie die bisherige EuGH-Rechtsprechung, die Diskussion um relatives und absolutes Verständnis des Personenbezugs, die Abgrenzung der Pseudonymisierung und letztendlich die Relevanz für bayerische öffentliche Stellen. Sicher nicht nur für die.
Und da sage noch einer, Jurist:innen hätten keinen Humor: Wie lautet der letzte Satz in dieser Kurz-Information? „Das letzte Wort ist zu diesen Fragen noch nicht gesprochen.“
1.3 Bremen: Wechsel bei der LfD Bremen
Die bisherige LfD Bremen wurde zur neuen Präsidentin des Bremer Landesrechnungshof gewählt. Das wurde vorher schon diskutiert. Die Amtsvorgängerin der neuen Aufgabe scheidet nach diesen Angaben zum 01.02.2024 aus ihrem Amt.
1.4 TLfDI: Nachfolgegespräche
Auch in Thüringen wird die Nachfolge des aktuellen TLfDI geführt, der nicht mehr für eine weitere Amtszeit benannt werden kann. Zumindest scheinen bereits Kandidaten im Gespräch zu sein. Eine spannende Frage am Rande: Wer überwacht eigentlich die Ordnungsmäßigkeit des Auswahlverfahrens? Eine Frage, die ja auch bei anderen Datenschutzbeauftragten der Länder immer wieder aktuell wird.
2 Rechtsprechung
2.1 EuGH: Immaterieller Schadenersatz nach Art. 82 bei unberechtigter Kenntnisnahme Dritter
Im Verfahren C-687/21 (Saturn) hat der EuGH insg. sieben Fragen hinsichtlich der Anforderungen an einen immateriellen Schadenersatz entschieden: Im Rahmen der Übergabe gekaufter Haushaltsgeräte wurden diese zusammen mit Finanzierungsunterlagen an einen anderen Kunden gegeben, aber nach 30 Min. an den eigentlichen Käufer ausgehändigt. Dieser begehrt nun immateriellen Schadenersatz, weil ein Unberechtigter Kenntnis seines Namens und Vornamens wie auch der Anschrift, des Wohnorts, des Arbeitgebers, des entsprechenden Einkommens bei dem Arbeitgeber und der Bankdaten haben konnte. Man ahnt es bereits am Sachverhalt – der Fall stammt aus Deutschland.
Der EuGH stellte dabei nun fest, dass nicht allein ein unbeabsichtigter Verstoß gegen die DS-GVO durch einen Beschäftigten dazu führt, dass die technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO als nicht geeignet im Sinne des Art. 32 DS-GVO anzusehen wären (RN 44). Auch solle ein immaterieller Schadenersatz keine Straffunktion erfüllen (RN 50) und die Schwere des Verstoßes sei bei der Bemessung nicht zu berücksichtigen. Die Person, die immateriellen Schadensersatz verlangt, müsse aber nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden sei (RN 66). In einem Fall wie dem vorliegenden, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, läge nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vor, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar hypothetisch angenommen ein Missbrauch ihrer Daten stattfindet (RN 67 und 68). Mit anderen Worten, „nur weil etwas mal sein könne“, erfülle dies für sich allein nicht die Anforderungen des Art. 82 Abs. 1 DS-GVO.
Die Entscheidung ergänzt die bisherigen Aussagen des EuGH zu Art. 82 DS-GVO, wie Krankenversicherung Nordrhein (C-667/21), “Natsionalna agentsia za prihodite“ (C-340/21), Gemeinde Ummendorf (C-456/22) und Österreichische Post (C-300/21).
2.2 Strafverfahren § 202 a StGB („White Hacking“)
Wir hatten über den Ausgang des Verfahrens am AG Jülich berichtet. Ein „White Hacker“, der ein Unternehmen über von ihm entdeckte Sicherheitsschwachstellen informierte, wurde von diesem angezeigt und nun vom AG Jülich nach § 202a StGB (Ausspähen von Daten) verurteilt. Der Verteidiger des „Hackers“ hat dazu mit Erlaubnis des Mandanten noch weitere Infos auf LinkedIn veröffentlicht (nach Anmeldung). Das Urteil ist noch nicht rechtskräftig.
3 Gesetzgebung
3.1 AI Act
Da ist das Ding! Oder doch: Da ist das Ding?? Ob es das wirklich ist, wird sich zeigen. Auch wenn zunächst eine Synopse erstellt wurde und dann auch eine Fassung des finalen Ergebnisse, gibt es nun doch Gerüchte, dass Frankreich das bisherige Ergebnis nicht mehr mittragen wollte und auch seitens Bürgerrechtsorganisationen gibt es Kritik und die Möglichkeit einen offenen Brief zu unterzeichnen. Aber auch innerhalb der Bundesregierung scheint es Diskussionen zu geben. Gleichwohl gibt es bereits erste Bewertungen im Netz zu finden. Sollte diese Fassung so beschlossen werden, ergäben sich aufgrund Art. 10 Abs. 5 lit. f AIA-E Ergänzungen im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO, dem Verzeichnis der RL Polizei und Justiz nach Art. 24 RL 2016/680 sowie im Verzeichnis nach Art. 31 der VO für die europäischen Einrichtungen 2018/1725.
3.2 Kommission errichtet AI Office
Passend dazu hat die EU-Kommission auch bereits ein AI Office eingerichtet. Das KI-Büro soll eine zentrale Rolle in der Durchsetzungsarchitektur des KI-Gesetzes spielen, das in den kommenden Wochen auf der Grundlage einer im Dezember erzielten politischen Einigung formell verabschiedet werden soll. Der Beschluss dazu fiel dann im Rahmen eines KI-Innovationspakets der EU-Kommission.
4 Künstliche Intelligenz und Ethik
4.1 KI und Datenschutz bei ChatGPT
Alle reden davon und auch das BayLDA hat schon dazu Hinweise (siehe Ziffer 1.1). Hier sind noch Darstellungen aus der Schweiz dazu. Einmal im Vergleich gängiger Tools und einmal mit allgemeinen Ausführungen dazu.
4.2 WHO zu „Ethics and Governance of AI for Health“
Über 98 Seiten befasst sich die WHO in dieser Guidance über large multi-modal models unter dem Titel “Ethics and governance of artificial intelligence for health” mit den Fragestellungen des Einsatzes von KI mit Gesundheitsdaten. Auch Haftungsthemen werden dabei nicht ausgenommen.
5 Veröffentlichungen
5.1 Datenpreisgabe
Die Vorträge und das Panel der Veranstaltung der Stiftung Datenschutz „DatenTag: Preisgabe von Daten“ sind nun online abrufbar.
5.2 EU GDPR Casebook
Wer sich nicht scheut seine Daten dafür weiterzugeben und ggf. eine Werbeeinwilligung zu erteilen, kann hier auf ein EU GDPR Casebook zugreifen, welches Entscheidungen der Datenschutzaufsichten vorwiegend aus den Niederlanden, Deutschland, Belgien und Dänemark aus dem Zeitraum Mai 2018 bis Mai 2023 darstellt.
5.3 Veranstaltungen
5.3.1 Universität Passau: Ringvorlesung „Legal tech“
Wintersemester 2023/2024, online: Die Veranstaltungsreihe der Universität Passau im Wintersemester zu öffentlichen Vorlesungen, an denen über Zoom teilgenommen werden kann, findet sich hier mit dem vollständigen Programm.
5.3.2 DSK: „Digitale Transformation – die Datenschutz-Zukunft gestalten“
29.01.2024, 12:00 – 17:00 Uhr, Berlin und online: Im Rahmen des Europäischen Datenschutztags 2024 bietet die DSK eine Veranstaltung mit Grußworten und Vortragssessions und der „Staffelübergabe“ im Vorsitz der DSK an Bremen*. Weitere Informationen auch zum Live-Stream hier.
*Franks Anmerkung: Spannend!
5.3.3 Berlin Kino Filmkunst: Filmvorführung „Total Trust“
29.01.2024, 17:30 – 20:00 Uhr, Berlin Kino Filmkunst: „Total Trust“ ist ein zutiefst beunruhigender und bewegender Film über die unheimliche Macht von Big Data und KI, über ihren Gebrauch und Missbrauch im öffentlichen wie im privaten Leben, über Zensur und Selbstzensur. China ist derzeit das am stärksten überwachte Land der Welt. Anhand eindringlicher Schicksale von Menschen, die dort überwacht, eingeschüchtert und sogar gefoltert wurden, erzählt „Total Trust“ von den Gefahren aktueller Technologien in den Händen einer ungezügelten Macht. Grandios gefilmt – mit einzigartigem, anonym gedrehtem Material –, emotional und mit größtem Respekt vor seinen beeindruckenden Protagonist.innen erzählt, stößt der Film eine Debatte über die existenziellen Herausforderungen an, die die auf Big Data und KI basierenden Überwachungstechnologien für Demokratie und Gerechtigkeit darstellen. Begrenzte Teilnehmerzahl. Anmeldung erforderlich. Mehr dazu hier.
Franks Nachtrag: Momentan kann man sich nur auf eine Warteliste setzen lassen. Aber vielleicht hilft es?
5.3.4 EAID: „Exportschlager AI Act?“
29.01.2024, 18:00 – 20:00 Uhr, in Berlin und online: Die Europäische Akademie für Informationsfreiheit und Datenschutz bietet unter dem Titel „Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?“ ein Eingangsstatement mit anschließender Paneldiskussion an. Vertreter des Europäischen Parlaments und der EU-Kommission diskutieren mit Vertreter:innen der Wissenschaft und der Zivilgesellschaft zu aktuellen Fragen rund um die Regulierung von KI. Weitere Informationen und Anmeldung hier.
5.3.5 Universität des Saarlandes: „Datenschutzrechtliches Risikomanagement bei Cyber-Angriffen“
30.01.2024, 18:30 – 20:00 Uhr, online: Die Universität des Saarlandes bietet zu diesem Thema einen Online-Vortrag einer Expertin über MS Teams an. Weitere Informationen und Anmeldung hier.
5.3.6 HmbBfDI: Die 10 größten Datenschutzmythen
30.01.2024, 19:00 – 20:30 Uhr, online: Wer kennt es nicht? Schnell alle Cookies akzeptieren, Fotos im Messenger rumschicken und überall dieselben Passwörter. Ist das problematisch oder eigentlich doch gar nicht so schlimm? Im Gespräch mit Bekannten und im Freundeskreis oder Kollegium fehlen dann plötzlich oft die Informationen und die Argumente. Das wollen wir mit diesem Webinar ändern. Informationen hier und Anmeldung da.
5.3.7 LfDI Baden-Württemberg: Cookie-Banner und Apps
01.02.2024, 14:00 – 16:30 Uhr, Stuttgart und online: Viele Webseiten begrüßen ihre Nutzenden mit einem „Cookie-Banner“. Aber sind solche überhaupt notwendig? Wenn ja, wie sollten sie inhaltlich und optisch gestaltet sein? Die Teilnehmenden des Seminars lernen, wie Tracking-Tools funktionieren, welche Fallstricke beim Einsatz von Drittanbieter-Tools, Analyse-Diensten und Tracking-Technologien lauern, welche Fehler Verantwortliche häufig machen und nach welchen Prüfkriterien der LfDI vorgeht. Weitere Informationen und Anmeldung hier.
5.3.8 Stiftung Datenschutz: EuGH-Urteil zum Schufa-Scoring – Wendepunkt für automatisierter Entscheidungsfindung?
14.02.2024, 13:00 – 14:00 Uhr, online: Der EuGH hat in seinem Urteil zu den Schufa Scorewerten (C-634/21) Aussagen getroffen, die sich auch auch auf weitere automatisierte Entscheidungen anwenden lassen (wir berichteten bereits). Dies wird hier im Austausch mit einer Expertin und einem Experten im Rahmen der Reihe Datenschutz am Mittag diskutiert. Anmeldung hier.
5.3.9 LfDI Baden-Württemberg: KI und Diskriminierung -neu-
21.02.2024, 14:00 – 15:30 Uhr, Stuttgart und online: Die KI-Verordnung der EU ist ein wichtiger Schritt, um die Regulierung von künstlicher Intelligenz voranzutreiben. Der Vortrag geht der Frage nach, warum KI reguliert werden muss und beleuchtet die Aspekte, die die Verordnung umfasst, um Herausforderungen wie Bias und Diskriminierung, automatisierte Entscheidungen sowie Deep Fakes anzugehen. Weitere Informationen und Anmeldung hier.
5.3.10 HBDI: Der EuGH als Gestalter des Datenschutzrechts -neu-
07.03.2024, 10:00 – 15:30 Uhr, Wiesbaden: Das 26. Wiesbadener Forum Datenschutz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit befasst sich mit o.g. Thematik u.a. mit folgenden Fragen: Welche Rolle spielt der Europäische Gerichtshof bei der praktischen Fortentwicklung der Datenschutz-Grundverordnung? Welche Akzente setzt das Gericht bei der Interpretation der häufig abstrakten Regelungen? Mehr Informationen dazu hier.
5.3.11 HSLU: „Datenschutz in Immersive Reality“
18.04.2024, 12:00 – 17:30 Uhr, „Privacy Ring“ in Luzern: Die Referate werden über die Präsentationsform des „Pecha Kucha“ gehalten. Es besteht zu Beginn der Veranstaltung auch die Möglichkeit an einer Führung im Immersive Reality Center (IRC) der Hochschule Luzern teilzunehmen. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Let´s Talk about Porno
So lautet das Motto des Safer Internet Day 2024. In Deutschland wird diese europäische Initiative von klicksafe betreut, die rund um den Aktionstag am 6. Februar 2024 etliche Informationsmaterialen dazu anbietet. Auf einer interaktiven Karte kann auch nachgesehen werden, welche Veranstaltung im eigenen Umfeld angeboten wird.
7 Sonstiges/Blick über den Tellerrand
7.1 Tracking über Apps
Langsam komme ich nicht nur in das Alter, bei dem ich mich öfter ertappe Sätze mit „Früher…“ zu beginnen, nein, oft verkneife ich mir auch ein „Ich habe es ja schon immer gesagt …“.
Meldungen wie diese sind dann oftmals ein entsprechender Anlass: Sei es, wenn es um die Nutzung von Smartphone-Daten, die über Apps gesammelt und nicht nur zu Werbezwecke genutzt werden, geht oder auch bei Beiträgen, die darstellen, wie leicht ein Tracking der Handynutzer durchgeführt werden kann.
8. Franks Zugabe
8.1 Apropos Neubesetzung … LfD Sachsen-Anhalt?
Auch in Sachsen-Anhalt soll (mal wieder) ein Anlauf gestartet werden, damit irgendwann endlich die Stelle des Landesbeauftragten für den Datenschutz neu besetzt wird.
Ich bin nur mäßig optimistisch. Aber … warten wir es ab.
8.2 Apropos Neubesetzung … nochmal zum BfDI
Wenn selbst die CDU/CSU das Vorgehen beschämend findet (seit wann sind die die Speerspitze des Datenschutzes? OK, sie sind es nicht…) frage ich mich, was genau der bitkom möchte. Eine Marionette?
8.3 Apropos Stellenbesetzung … Spezialist gesucht
Hier wird ein Spezialist gesucht … für Windows 3.11*/**! Remote? (Bitte, lasst das den Namen der Projektgruppe und nicht die Beschreibung des Zugriffs sein!). Hoffentlich geht es nicht um wichtige, kritische Systeme… Lesen wir mal nach:
Das Ergebnis Ihrer Arbeit ist eine hochwertige Display-Software, deren Schnittstellen zur Fahrzeugsteuerung bzw. Fahrzeugleittechnik reibungslos funktionieren.
Auf den Führerstand-Displaysystem der Hochgeschwindigkeits- und Regionalzüge werden dem Fahrer die wichtigsten technischen Daten in Echtzeit angezeigt.
Ähhh 🫣…
* Franks Anmerkung, nur zu Erinnerung: Windows 3.11 (click to begin)… Und ja, die 90er haben angerufen, sie wollen ihre Software endlich nur noch alleine nutzen!
** Franks zweite (nachträgliche) Anmerkung: Wenn die natürlich denken, dass die Seite zu löschen hilft, dann irren sie. Hier ist sie (als Screenshot) immer noch zu sehen.
8.4 Ich bin kein Roboter … oder doch?
Es kann ja nicht alles ernst sein… oder doch? Schauen Sie selbst.
9. Die gute Nachricht zum Schluss
9.1 Spielerisch zum Datenschutz
Wenn es um Datenschutz und Spiele geht, denkt unsereins angesichts der Benennungen von DSB auf Landes- und Bundesebene gleich an „Mensch ärgere dich nicht!“. Dem wirkt die BlnBfDI entgegen, indem sie zum Europäischen Datenschutztag auf eine Aktualisierung ihrer Seite www.data-kids.de hinweist, auf der sie auf vier neue interaktive Spiele verlinkt.
Die Spiele richten sich an Kinder zwischen 6 und 13 Jahren und sind für den Einsatz am Smartphone, Computer oder Tablet geeignet. Die Bandbreite reicht von einem klassischen Richtig-oder-falsch-Quiz über ein Memory, bei dem Bilder und Aussagen miteinander kombiniert werden müssen, bis hin zu einem Fehlersuchbild und einem Kreuzworträtsel über Begriffe, die für den Datenschutz wichtig sind. Kinder können damit spielerisch überprüfen, was sie schon alles über Datenschutz wissen und was zum Schutz ihrer Daten sowie ihrer Privatsphäre zu beachten ist. Sie lernen beispielsweise, dass sie ihre Daten im Internet nicht leichtfertig weitergeben sollten, und über ihr Recht selbst zu entscheiden, ob sie fotografiert werden wollen oder nicht. Erkenntnisse, die auch manchem Erwachsenem sicher nicht schaden können.