Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 05&06/2023)“
Hier ist der 61. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 05&06/2023)“.
- Aufsichtsbehörden
- EDSA: Der BfDI ist Mitglied der TaskForce zu Bußgeldern
- EDSA: Einheitliches Meldeformular bei Datenschutzverletzungen nach Art. 33 DS-GVO
- DSK zum Zugriff öffentlicher Stellen aus Drittstaaten
- DSK: Erarbeitung von Vorschlägen zu „Scoring“
- Hessen: Videokonferenzsystem für die Schulcloud
- LfDI Rheinland-Pfalz: KI, ChatGPT und der Datenschutz
- LfD Bayern: Verhältnis Kommunalaufsicht und Datenschutzaufsicht
- BfDI: Die DS-GVO und der Data Act
- LfDI Rheinland-Pfalz bestätigt
- BSI mit neuer Leitung
- EDSA: Umgang mit Cookie-Bannern
- CNIL: Ausführliche Informationen zu Gesundheitsdaten
- Estland: Bußgeld gegen Admin einer Facebook-Gruppe
- Finnland: Löschanordnung zu Daten aus Google Analytics
- CNIL: Abteilung für Künstliche Intelligenz
- Italien: Voruntersuchung zu Patientenwarteliste
- ICO: Checklisten zu Privacy by Design and by Default
- Rechtsprechung
- EuGH: Europarechtskonforme Gestaltung des Kündigungsschutzes des DSB
- Gericht der Europäischen Union: Keine Klagebefugnis gegen Entscheidungen des EDSA durch Unternehmen
- OLG Hamm: Schadenersatz bei Fehlversand einer E-Mail
- OLG Hamm: Schadenersatz bei unzulässiger Speicherung personenbezogener Daten
- Saarländische OLG: Kein Beweisverwertungsverbot bei ANOM-App
- LG München: Unzulässige Cookie-Banner-Gestaltung
- LG Stuttgart: Schadenersatz bei Scraping wegen Verstoß gegen Art. 25 DS-GVO
- Wettbewerbsklagen in USA gegen Google
- EuGH verhandelt zu Auskunfteien – und deren Berechtigung zu Speicherfristen
- Gesetzgebung
- EU: Berechnung der Anzahl der Plattformnutzer im DSA (Digital Service Act)
- HinSchG: Wie entscheidet sich der Bundesrat?
- EU: Evaluierung der DS-GVO
- Wozu kirchlicher Datenschutz?
- Risk Management in the AI Act
- Angemessenheitsbeschluss UK und Geheimdienstdaten
- Daten-Transatlantiktransfer und digitale Signaturen
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- GDD: Praxishilfe „ePrivacy und Datenschutz beim Onlineauftritt“
- MS 365 und die Schulen
- Strafe an Mitarbeiter für Nutzung von WhatsApp
- bitkom: TIA-Tool für Mitglieder
- bitkom: Arbeiten aus dem Ausland
- bitkom Sicherheitsmapping
- TUM München: Quick Guide zur Social-Media-Nutzung im öffentlichen Bereich
- Bundesärztekammer: Handreichung zu Sozialen Medien
- TikTok rechtskonform nutzen?
- Wissenschaftlicher Dienst: Bevollmächtigungen bei einem Auskunftsanspruch (Art. 15 DS-GVO)
- Kündigungsbutton im Verbraucherrecht
- Was macht Palantir und wozu hilft ein „VVT“?
- Unzulässige Zugriffe auf Paypal-Konten
- Neue Masche bei WhatsApp-Betrug
- Gesichtserkennung durch das Europäische Parlament?
- Apple und der Datenschutz
- NIST: Ankündigung eines Updates
- Veranstaltungen
- IT-Sicherheit: So reagieren kleine Unternehmen richtig auf aktuelle Risiken
- „Datenschutz für Gründende“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Der BfDI ist Mitglied der TaskForce zu Bußgeldern
Der EDSA hat eine „Finung-Tasc-Force“ (FTF) eingerichtet, die sich um ein einheitliches Bußgeld-Modell kümmern soll. Gemäß der Meldung auf den Seiten des BfDI übernimmt dieser zusammen mit Schweden den Vorsitz und damit die Verantwortlichkeit für die Vorbereitung und Leitung der Sitzungen sowie etwaige Berichterstattungen an das Plenum des EDSA. Bei der Ausübung dieser Aufgabe lässt sich der BfDI durch den stellvertretenden Referatsleiter seines Justitiariats unterstützen.
1.2 EDSA: Einheitliches Meldeformular bei Datenschutzverletzungen nach Art. 33 DS-GVO
Wie aus dem Protokoll der 104. DSK-Sitzung von Ende November 2022 unter TOP 4 hervorgeht, sei der EDSA dabei ein einheitliches Meldeformular für Datenschutzverletzungen gegenüber Datenschutzaufsichtsbehörden gemäß Art. 33 DS-GVO zu erarbeiten.
1.3 DSK zum Zugriff öffentlicher Stellen aus Drittstaaten
Die DSK hat ihren Beschluss zur rechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten veröffentlicht. Der Beschluss ist für EU-Tochtergesellschaften von Unternehmen in Drittländern sowie deren Kunden interessant und betrifft insbesondere die Möglichkeiten von Datenzugriff auf Basis des US-amerikanischen CLOUD Act.
Dabei kommt die DSK zu Aussagen, dass die bloße Gefahr einer Datenübermittlung in ein Drittland noch keine Drittlandsübermittlung im Sinne der DS-GVO darstelle. Allerdings könne eine solche Gefahr dazu führen, dass ein Auftragsverarbeiter dann keine ausreichende Zuverlässigkeit habe, soweit nicht diese – oder auch der Verantwortliche – technische und/oder organisatorische Maßnahmen ergreift, die hinreichend Garantien dafür bieten, dass der Auftragsverarbeiter seinen Pflichten nachkommt, insbesondere was das Unterlassen von Verarbeitungen personenbezogener Daten ohne oder gegen die Weisung des Verantwortlichen angeht. Dies erfordere eine Bewertung sämtlicher Umstände des Einzelfalls, ob der Auftragsverarbeiter und/oder die von ihm verarbeiteten Daten unter diese drittstaatliche Norm oder Praxis fallen und wenn ja, ob der Auftragsverarbeiter dennoch hinreichend Garantien dafür bietet, dass es nicht zu Verarbeitungen kommt, die nach den Maßstäben der DS-GVO bzw. des anwendbaren mitgliedstaatlichen Rechts unzulässig sind. Dazu empfiehlt die DSK Aspekte die dabei zu berücksichtigen sind.
Allerdings wird bereits darauf hingewiesen, dass in den Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten des EDSA unter Ziffer 2.1 in Ziffer 13 die Zugriffs- und Drittstaatenthematik nicht gegeben sei, wenn der Cloud-Provider im EWR niedergelassen ist und im Vertrag ausdrücklich angegeben hat, dass keinerlei Verarbeitung der Daten in Drittländern stattfindet.
Doch es gibt auch schon weitergehende Kritik bezüglich der Umsetzbarkeit der Anforderungen der DSK. Beispielsweise, dass nach einem Angemessenheitsbeschluss zugunsten der USA eine Übermittlung in die USA dann der seitens der DSK geforderte Aufwand umgangen werden könnte.
1.4 DSK: Erarbeitung von Vorschlägen zu „Scoring“
Die DSK hat sich dazu entschlossen Vorschläge für künftige Handlungsempfehlungen oder Regelungen im Bereich „Scoring“ zu erarbeiten (vgl. Protokoll der DSK-Sitzung vom Ende November 2022, TOP 18). Es erging ein Arbeitsauftrags an den Arbeitskreis Kreditwirtschaft – unter Beteiligung des Arbeitskreises Auskunfteien und Inkasso – auf Basis einer Ausarbeitung des AK Kreditwirtschaft und unter Berücksichtigung aller Einsatzbereiche von Kreditscoring, Handlungsempfehlungen für die Bundesregierung zur Verbesserung von Scoringverfahren zu erarbeiten. In der 105. DSK soll über das Ergebnis beschlossen werden. (Ergänzung: Hierzu sind auch die Verfahren beim EuGH interessant, vgl. Ziffer 2.9)
1.5 Hessen: Videokonferenzsystem für die Schulcloud
Geht doch. Nach mehreren Anläufen gibt es laut Pressemeldung des HBDI in Hessen nun ein Videokonferenzsystem (VKS) für die Schulen, bei dem die datenschutzrechtlichen Anforderungen Gegenstand der Ausschreibung waren. Das Schulportal Hessen basiert auf Open-Source-Anwendungen, zu denen nun auch ein VKS gehört, das ebenfalls dem Open-Source-Standard entspricht. Ob und in welchem Umfang das VKS darüber hinaus auch für die Schulverwaltung eingesetzt werden kann, entscheidet das Hessische Kultusministerium.
Franks Nachtrag: Geht das nur mir so, oder wird da relativ wenig über das konkret eingesetzte System gesagt („… zu denen nun auch ein VKS gehört, das ebenfalls dem Open-Source-Standard entspricht.“? Ist ja nicht so, dass das auch für andere interessant sein könnte, oder?
1.6 LfDI Rheinland-Pfalz: KI, ChatGPT* und der Datenschutz
Anlässlich des Safer Internet Day 2023 befasste sich auch die Datenschutzaufsicht Rheinland-Pfalz mit den Auswirkungen von KI und den datenschutzrechtlichen Aspekten. Dabei kündigte er für 2023 an weitere Informationen bereitzustellen, die gerade die Schülerinnen und Schülern den Einblick in die Welt der KI und den Schutz ihrer persönlichen Daten erfahrbarer machen sollen.
* Franks Anmerkung: Sie ahnen es, oder? Apropos ChatGPT…
1.7 LfD Bayern: Verhältnis Kommunalaufsicht und Datenschutzaufsicht
In seinem Kurzpapier 45 befasst sich der LfD Bayern mit den Fragen des Verhältnisses dieser beiden Zuständigkeiten. Dabei kommt er zu den Ergebnissen, dass die Datenschutzaufsicht die Rechts- oder Fachaufsicht über bayerische Kommunen nicht begrenzt. Datenschutzaufsicht sowie Rechts- und Fach-aufsicht stünden in einem Verhältnis wechselseitiger Effektivierung zueinander.
1.8 BfDI: Die DS-GVO und der Data Act
Bei der Übergabe des Vorsitzes in der DSK gab es eine Veranstaltung, bei der sich mit den Auswirkungen und gegenseitigen Beeinflussungen zwischen DS-GVO und Data Act befasst wurde. Die Veranstaltung wurde aufgezeichnet und ist nun online auf den Seiten des BfDI abrufbar.
1.9 LfDI Rheinland-Pfalz bestätigt
Der bisherige LfDI wurde durch den Landtag Rheinland-Pfalz wiedergewählt. Die Amtszeit beträgt nach § 14 Abs. 2 Satz 3 LDSG Rheinland-Pfalz acht weitere Jahre.
1.10 BSI mit neuer Leitung
Das BSI bekommt eine neue Leitung, wie das BSI auch selbst auf seiner Homepage ausführt.
1.11 EDSA: Umgang mit Cookie-Bannern
Auf die Ergebnisse der EDSA-Taskforce zu Cookie Bannern hatten wir bereits hingewiesen. Hier nun eine qualifizierte Befassung mit der Aussage, die der EDSA dabei zu den Anforderungen an die Ablehnmöglichkeit für Cookies trifft.
1.12 CNIL: Ausführliche Informationen zu Gesundheitsdaten
Die Französische Datenschutzaufsicht CNIL veröffentlichte umfangreiche Hinweise zur Verarbeitung von Gesundheitsdaten. Diese umfassen jeweils ein Merkblatt mit FAQs zur Verarbeitung von Gesundheitsdaten im Forschungsbereich und außerhalb, eine Handreichung für die Erstellung von Datenbanken mit Gesundheitsdaten, ein Leitfaden zur Verarbeitung von Gesundheitsdaten in Arztpraxen und medizinischen Berufen; eine Übersicht zu Aufbewahrungsfristen im Gesundheitsbereich wieder unterteilt innerhalb des Forschungsbereiches und außerhalb des Forschungsbereiches. Vorsichtshalber gleich der Hinweis, dass sich manche Aussage auf nationale Gesundheitsvorgaben referenziert.
1.13 Estland: Bußgeld gegen Admin einer Facebook-Gruppe
In Estland wurde ein Bußgeld in Höhe von 5.000 Euro gegen einen Admin einer Facebook-Gruppe verhängt, in der Daten über Zahlungsrückstände von natürlichen Personen hinterlegt wurden.
1.14 Finnland: Löschanordnung zu Daten aus Google Analytics
Die finnische Datenschutzaufsichtsbehörde ordnete gegenüber Kommunen, die auf ihrer Webseite Google Analytics einsetzten, an, dass diese ihre Verarbeitungstätigkeiten mit der Datenschutz-Grundverordnung in Einklang bringen, einschließlich der Löschung aller mit Google Analytics und Tag Manager erhobener Daten sowie der Aktualisierung der Informationen für die betroffenen Personen. Details dazu finden Sie hier.
1.15 CNIL: Abteilung für Künstliche Intelligenz
Die CNIL richtet eine Abteilung für künstliche Intelligenz ein, um ihr Fachwissen über diese Systeme und ihr Verständnis der Risiken für die Privatsphäre zu stärken und gleichzeitig das Inkrafttreten der EU-Verordnung über KI vorzubereiten. Darüber hinaus wird sie in den kommenden Wochen erste Empfehlungen zum Thema Lerndatenbanken vorlegen.
1.16 Italien: Voruntersuchung zu Patientenwarteliste
Die italienische Datenschutzaufsicht kündigt an eine Untersuchung für ein Wartelistensystem der Region Venetien einzuleiten. Über einen Algorithmus, der auf Künstlicher Intelligenz beruhen soll, werden Hausarzttermine zugeteilt, die auf einer Zuweisung einer Prioritätsklasse (dringend, kurzfristig, aufgeschoben, geplant) beruhen. Im Wesentlichen handelt es sich dabei um einen Algorithmus, der die Wartezeiten für vorgeschriebene Leistungen ermittelt. Die Region muss nun Auskunft geben über die der Verarbeitung zugrunde liegende Rechtsvorschriften, die Art des verwendeten Algorithmus, die Datenbanken und die Arten von Informationen und klinischen Dokumenten, die verarbeitet werden sollen. Zudem müssen die Methoden zur Information der Patienten über die Initiative, die durchgeführte Datenschutz-Folgenabschätzung und die Zahl der an der Behandlung beteiligten Patienten angegeben werden.
1.17 ICO: Checklisten zu Privacy by Design and by Default
Weil es momentan wieder sehr intensiv diskutiert wird, auch angesichts der ISO 37100: Die ICO hat Informationen und Checklisten zu den Anforderungen zu Privacy by Design and by Default veröffentlicht. Sie finden sie hier.
2 Rechtsprechung
2.1 EuGH: Europarechtskonforme Gestaltung des Kündigungsschutzes des DSB
Der EuGH (C-453/21) hat die deutsche Regelung zum Kündigungsschutz des DSB betrachtet. Er hatte zu entscheiden, ob der Kündigungsschutz aus § 38 Abs. 1 i.V.m. § 6 Abs. 4 Satz 1 BDSG europarechtskonform sei. Erstreckt sich der Abberufungsschutz auch auf Gründe, die nicht in der Ausübung der Tätigkeit als Datenschutzbeauftragter beruhen? Der EuGH hat damit kein Problem. Die Grenze sieht er, wenn ein strengerer Schutz im nationalen Recht die Verwirklichung der Ziele der DS-GVO beeinträchtigen. Dies wäre nach dem EuGH der Fall, wenn dieser Schutz jede durch einen Verantwortlichen oder einen Auftragsverarbeiter ausgesprochene Abberufung eines Datenschutzbeauftragten verböte, der nicht mehr die für die Erfüllung seiner Aufgaben gemäß Art. 37 Abs. 5 DS-GVO erforderliche berufliche Qualifikation besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt (RN 32). Letztendlich stellt der EuGH auch fest, dass ein „Interessenkonflikt“ im Sinne des Art. 38 Abs. 6 DS-GVO bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. (RN 46). Ob das im konkreten Fall vorlag, kann nun das BAG entscheiden.
Ein Bericht zum Urteil findet sich schon hier.
2.2 Gericht der Europäischen Union: Keine Klagebefugnis gegen Entscheidungen des EDSA durch Unternehmen
In seinem Beschluss (T 709/21) hat der EuGH festgestellt, dass keine Klagebefugnis von Unternehmen gegen Entscheidungen des EDSA besteht, sofern das klagende Unternehmen davon nicht direkt und unmittelbar betroffen ist. Details dazu in diesem Blogbeitrag.
2.3 OLG Hamm: Schadenersatz bei Fehlversand einer E-Mail
Das OLG Hamm sprach einer betroffenen Person 100 Euro Schadenersatz zu, weil versehentlich eine Fehlversendung einer E-Mail erfolgte. Absender war ein Impfzentrum, bei dem trotz entsprechender Anweisung und Vorgabe eines Vier-Augen-Prinzips und Versendungsanweisung in BCC, es aufgrund einiger Abweichungen im Prozess zu einer Fehlversendung anlässlich der Information über geänderte Öffnungszeiten eines Impfzentrums. Unbeabsichtigt war noch eine Excelliste mit den Angaben „Name“, „Vorname“, Geburtsdatum, Impfstoff und ob die erste oder zweite Impfung vorgesehen war. Die E-Mail ging an 1.200 Empfänger und enthielt in einer Anlage Daten von 13.000 Personen. Bei 500 Adressaten konnte die E-Mail noch zurückgerufen werden. Der Kläger, forderte zunächst von dem Impfzentrum immateriellen Schadenersatz in Höhe von 20.000 Euro und stellte den Betrag im Klageantrag dann aber in das Ermessen des Gerichts. Bei ihm war noch seine Mobilfunknummer und der Impftermin enthalten. (Details zum Sachverhalt sind im Urteil ausführlicher dargestellt). Das OLG Hamm bestätigte den Anspruch auf 100 Euro immateriellen Schadenersatz, den bereits das LG Hamm feststellte und begründet dies damit, dass ein Datenschutzverstoß hinsichtlich der Verarbeitung besonderer Kategorien nach Art. 9 Abs. 1 DS-GVO vorlag. Eine Erheblichkeitsschwelle für den Anspruch auf immateriellen Schadenersatz lehnt das Gericht ab (RN 112f) und kommt in seinen Erwägungen zu dem Ergebnis, dass die 100 Euro, die das Landgericht zusprach, nicht korrigiert zu werden brauchen (RN 137 und 155).
Auch wenn die Organisationsstruktur nach den Ausführungen im Urteil ausreichend erschien und die Ursache scheinbar nur in einer kurzfristigen Leichtsinnigkeit lag, ist bei der Anzahl der betroffenen Personen leicht auszurechnen, warum nicht Bußgelder durch Aufsichtsbehörden zu einer fast schon intrinsischen Sehnsucht nach Vermeidung von Datenschutzverletzungen bei Verantwortlichen und Auftragsverarbeitern führen sollten.
2.4 OLG Hamm: Schadenersatz bei unzulässiger Speicherung personenbezogener Daten
Das Gericht hatte im Rahmen einer Beschwerde über die Versagung einer Prozesskostenhilfe die Erfolgsaussichten der Klage zu bewerten. Ein Jobcenter speicherte Personen- und Adressdaten, obwohl die Person keinen Antrag auf Leistungen gestellt hatte. Das OLG Hamm stellte dazu fest, dass eine rechtswidrige Verarbeitung personenbezogener Daten, auch in einer rechtswidrigen Speicherung im Bereich der öffentlich-rechtlich tätigen Arbeitsverwaltung grundsätzlich (auch) als Amtspflichtverletzung zu bewerten sein könnte. Aus einem Datenmissbrauch insoweit könne sich eine Verletzung des Rechts auf informationelle Selbstbestimmung ergeben, die einen Anspruch auf immateriellen Schadensersatz zur Folge haben kann. Allerdings sei hier die Bagatellgrenze für eine Amtspflichtverletzung nicht überschritten.
Das Gericht sah aber in seiner Prüfung einen Anspruch auf immateriellen Schadenersatz als vertretbar an. Zwar sei der Anspruch aus Art. 82 DS-GVO weit auszulegen und es sei aktuell noch ungeklärt, ob eine erhebliche Persönlichkeitsverletzung erforderlich sei, dies sei aber in einem Prozesskostenhilfeverfahren nicht zu Lasten der antragstellenden Partei zu beantworten. Das Gericht hält im Weiteren einen immateriellen Schadenersatzanspruch in Höhe von 50 Euro in diesem Fall für gerechtfertigt.
2.5 Saarländische OLG: Kein Beweisverwertungsverbot bei ANOM-App
Das Saarländische OLG entschied in einem Beschluss, dass die mittels der ANOM-App des FBI erhobenen Daten keinem Beweisverwertungsverbot unterliegen. Die Messenger-App wurde laut Berichten jahrelang vom FBI betrieben und wurde gerne von Kriminellen benutzt. In einem Verfahren um Betäubungsmitteldelikte ging es u.a. auch um die Frage, ob die Erkenntnisse aus der Kommunikation über die ANOM-App verwendet werden durften.
Das Gericht stellte dazu fest, dass das Inverkehrbringen der App nicht dazu diente die Persönlich-keit der Nutzer durch Eindringen in deren Privat- oder Intimsphäre auszuspähen. Vielmehr sei absehbar gewesen, dass die durch die Nutzung ermöglichte, vermeintlich abhörsichere Kommunikation, neben der eine normale Nutzung des Mobilfunkgerätes zum Telefonieren und mit Zugang zum Internet nicht mehr möglich war, nahezu ausschließlich im Bereich organisierter Kriminalität eingesetzt werden würde.
2.6 LG München: Unzulässige Cookie-Banner-Gestaltung
Der Verbraucherzentrale Bundesverband (vzbv) hat das Urteil im Volltext veröffentlicht, das über die Gestaltung der Cookie-Banner für ein Verlagsprodukt erging. Die Startseite des Banners ließ demnach den Nutzer:innen nur die Wahl durch Klick auf „Akzeptieren“ in die Verarbeitung ihrer Daten und ihres Surfverhaltens durch zahlreiche Drittunternehmen in vollem Umfang einzuwilligen oder durch Anklicken der Schaltfläche „Einstellungen“ eine gesonderte Auswahl zu treffen. In letzterem Fall öffnete sich ein Fenster „Privatsphäre-Einstellungen“, das auf mehr als 140 Bildschirmseiten nach Datennutzung differenzierte Einstellungen für mehr als 100 Drittanbieter enthielt. Die Schaltflächen „Alle akzeptieren“ und „Auswahl speichern“ waren deutlich hervorgehoben. Die Möglichkeit „alle ablehnen“ war dagegen unscheinbar in blasser Schrift in der rechten oberen Ecke des Fensters platziert.
Das LG München entschied, dass die durch das eingesetzte Banner eingeholten Einwilligungen unwirksam seien. Der Einwilligungsmechanismus verstoße gegen die gesetzlichen Anforderungen. Diese setzen für eine wirksame Einwilligung eine freiwillige, in informierter Weise und unmissverständlich abgegebene Willensbekundung der Nutzer:innen voraus.
Aufgrund der Gestaltung des Cookie-Banners beruhe die Einwilligung bereits nicht auf einer freiwilligen Entscheidung. Die Einwilligung zu verweigern sei mit mehr Aufwand verbunden als das schnelle Akzeptieren der Datenverarbeitung und werde durch die Vielzahl der Einstellungsmöglichkeiten auf der zweiten Ebene des Banners zusätzlich erschwert. Für die unterschiedliche Behandlung der Wahlmöglichkeiten „Einwilligung erteilen“ und „Einwilligung verweigern“ gebe es keine sachliche Rechtfertigung.
2.7 LG Stuttgart: Schadenersatz bei Scraping wegen Verstoß gegen Art. 25 DS-GVO
In den Fällen, dass bei Facebook Daten in 2019 abgezogen wurden, gab es schon mehrere Urteile, die den Klägern mal immateriellen Schadenersatz zusprachen oder ablehnten (wir berichteten). Nun hat das LG Stuttgart am 26.01.2023 (Az. 53 O 95/22) (bislang nur hinter Paywall veröffentlicht) in einem Fall immateriellen Schadenersatz zugesprochen und zwar wegen des Verstoßes gegen Art. 25 DS-GVO (RN 46 ff). Zwar „nur“ 300 Euro, aber das Urteil umfasst auch den Ersatz durch alle künftigen materiellen Schäden, die durch das unbefugte Verwenden der abgezogenen Daten wie Telefonnummer entstehen.
2.8 Wettbewerbsklagen in USA gegen Google
Ältere erinnern sich: Es gab mal einen Marken-Claim von Google … „Don´t be evil“. Liest man diesen Bericht über eine Klage der US-Regierung und acht Staaten in den USA mit den Vorwürfen, dass Google seit Jahren den Werbemarkt manipuliere, mögliche Mitbewerber aufkaufe und andere wett-bewerbsverhindernde Maßnahmen einsetzt, ahnt man, warum Google diesen Claim nicht mehr nutzt. Inzwischen dominiere Google den Online-Werbemarkt mindestens dreifach: durch Google Ads bei Software für Werbetreibende, durch die Reklamebörse Google AdX, und auf Seiten von Webseiten- und App-Betreibern durch den Adserver DFP (Doubleclick for Publishers).
2.9 EuGH verhandelt zu Auskunfteien – und deren Berechtigung zu Speicherfristen
Nach diesem Bericht verhandelt der EuGH seit Ende Januar zu der Frage, inwieweit Informationen aus Auskunfteien den Anforderungen des Art. 22 DS-GVO unterliegen (C-634/21). In dem Verfahren wird auch die Zulässigkeit des § 31 BDSG thematisiert. Zudem befasst sich der EuGH damit, ob sich Auskunfteien auf längere Speicherfirsten berufen können als dies für die Veröffentlichung von Insolvenzbekanntmachungen gesetzliche vorgesehen ist (C 26/22 und C 64/22). Außerdem wird auch in den Vorlagefragen angesprochen, ob Verhaltensregeln, die von den Aufsichtsbehörden nach Art. 40 DS-GVO genehmigt worden sind und die Prüf- und Löschfristen vorsehen, die über die Speicherfristen öffentlicher Register hinausgehen, die nach Art. 6 Abs. 1 lit. f DS-GVO vorgegebene Abwägung aufheben können? Den Verfahren liegen Vorlagebeschlüsse des VG Wiesbaden vom September 2021 und Oktober 2021 zugrunde. Mit einem Urteil soll noch in diesem Jahr bzw. Anfang 2024 gerechnet werden können.
3 Gesetzgebung
3.1 EU: Berechnung der Anzahl der Plattformnutzer im DSA (Digital Service Act)
Im Digital Service Act sind einige Vorgaben davon abhängig, welche Reichweite die Plattform hat. Doch wie berechnen sich die Nutzerzahlen dazu? Und was ist ein „aktiver Nutzer“? In einem unverbindlichen Papier hat die Kommissionsdienststelle nun in FAQs dazu Hinweise veröffentlicht. Klarstellend wird darauf hingewiesen, dass dieses Dokument den Standpunkt der Kommissionsdienststellen wiedergibt und für die Europäische Kommission nicht bindend ist. Es enthält keine verbindliche Auslegung des Gesetzes über digitale Dienste und lässt etwaige Beschlüsse oder Standpunkte der Kommission oder delegierte Rechtsakte, die die Kommission in Zukunft gemäß Artikel 33 Absatz 3 des DSA erlassen kann, unberührt. Nur der Gerichtshof der Europäischen Union ist befugt das Unionsrecht auszulegen.
3.2 HinSchG: Wie entscheidet sich der Bundesrat?
Lehnt der Bundesrat das HinSchG noch ab? Dies vermitteln Berichte, wonach die unionsgeführten Länder im Bundesrat nicht zustimmen werden, sollte nicht auf ihre Vorstellungen eingegangen werden. Und … wie im Bericht erwartet haben die unionsgeführten Länder nicht zugestimmt, Details finden Sie hier.
3.3 EU: Evaluierung der DS-GVO
Im Jahr 2024 steht die nächste Evaluierung der DS-GVO an. Im Jahr 2020 wagte keiner Änderungen vorzuschlagen, mal sehen, ob sich nächstes Jahr jemand traut. Interessant wird es zudem, ob die Kommission aus den Erkenntnissen über das Verhalten der irischen Aufsicht Änderungen in der DS-GVO erwägen wird. Zumindest bittet sie die Datenschutzaufsichten Erkenntnisse über grenzüberschreitende Untersuchungen mitzuteilen und hält sich offen, dies in ihrem nächsten Bericht zu berücksichtigen.
3.4 Wozu kirchlicher Datenschutz?
Damit befasst sich eine Dissertation, über die hier berichtet wird. Und die Antwort bleibt offen. In Art. 91 DS-GVO sind die Anforderungen geregelt, um bestehende kirchliche Datenschutzregelungen auch neben dem Regime der DS-GVO zur Anwendung bringen zu können. Doch wenn ich dann z.B. in § 4 Nr. 2 Kirchliches Datenschutzgesetz lese, dass die kath. Kirche festlegt, dass die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft keine besondere Kategorie personenbezogener Daten sei, dann bezweifle ich, ob Art. 91 DS-GVO so eine gute Idee war.
3.5 Risk Management in the AI Act
Der aktuelle Entwurf des AI Acts sieht eine Risikomanagementanforderung vor. In diesem Beitrag wird dessen Art. 9 analysiert und ein Überblick über das Regelungskonzept geboten. Er bestimmt seinen Zweck und Anwendungsbereich, bietet eine umfassende Auslegung der spezifischen Risikomanagementanforderungen und zeigt Wege auf, wie die Anforderungen durchgesetzt werden können. Ziel ist, den Anbietern von Hochrisikosystemen zu helfen die in Art. 9 festgelegten Anforderungen zu erfüllen.
3.6 Angemessenheitsbeschluss UK und Geheimdienstdaten
Der britische Geheimdienst MI5 habe rechtswidrig massenhaft Daten gespeichert, so diese Meldung. Ob sich das jedoch auf die Verlängerung des Angemessenheitsbeschlusses zugunsten des vereinigten Königreichs auswirken wird, wenn es soweit ist, wird sich zeigen.
3.7 Daten-Transatlantiktransfer und digitale Signaturen
Wie wirkt sich der angestrebte Angemessenheitsbeschluss für die USA auf die Anerkennung digitaler Signaturen aus? Damit befasst sich dieser Beitrag.
4 Künstliche Intelligenz und Ethik
4.1 Wettbewerb CDR-Award 2023
Erneut wird ein CDR-Award ausgeschrieben. Zum zweiten Mal werden Unternehmen ausgezeichnet, die zum Thema Corporate Digital Responsibility in der DACH-Region im Bereich CDR Herausragendes geleistet haben. Dadurch soll die Sichtbarkeit des Themas erhöht und ein Wettbewerb um mehr CDR angeregt werden. Prämiert werden praxisorientierte Ansätze ebenso wie theoretische Arbeiten, interne Prozesse sowie Ideen, die die gesamte Lieferkette (B2B2C) in den Blick nehmen. Der Preis wird in den Kategorien „CDR und Verbraucherbelange“, „CDR und Mitarbeitende“ sowie „CDR und Neue Geschäftsmodelle“ im Rahmen einer Fachkonferenz vergeben. Die Einreichungsphase läuft offiziell bis zum 28. April 2023.
4.2 CDR-Wettbewerb: Digital Future Challenge von D21
Es wird langsam schwer die verschiedenen Aktivitäten zu Corporate Digital Responsibility (CDR) auseinander zu halten. Da hilft es schon mal Begrifflichkeiten mal auf Deutsch oder auf Englisch zu verwenden. Die Initiative D21, laut eigener Darstellung Deutschlands größtes gemeinnütziges Netzwerk für die Digitale Gesellschaft, bestehend aus Wirtschaft, Politik, Wissenschaft und Zivilgesellschaft, sieht sich seit über 20 Jahren als relevanter Begleiter der Digitalisierung. In dem e.V. tummeln sich rund 140 Unternehmen und Institutionen zusammen mit politischen Partnern aus Bund, Ländern und Kommunen und setzen sich für die Zukunftsfähigkeit Deutschlands ein. Sie finanziert sich vor allem durch Mitglieds- und Förderbeiträge, Zuschüsse von Behörden und Spenden. Jetzt gab es das Finale der mittlerweile dritten Edition der Digital Future Challenge (DFC).
Studierende verschiedener Lehrstühle und Universitäten aus ganz Deutschland konnten im Wintersemester 2022/2023 an dem Hochschulprojekt teilnehmen und eigene Ideen und Lösungsansätze zum Thema Corporate Digital Responsibility (CDR) entwickeln. Dafür liefern Organisationen und Unternehmen aus verschiedenen Branchen konkrete Fallbeispiele aus der Praxis, die die Studierenden über eine Online-Plattform zur Bearbeitung wählen können. Zur Frage, wie wir als Verbraucher:innnen nachhaltiger leben können, pitchten die fünf besten Teams des diesjährigen Wettbewerbs ihre Projektideen zu CDR und deren Weiterentwicklung. Gewonnen hat das Team “CorporateCare“ von der Technischen Universität Dortmund für seine Idee einer Integration, die es Mitarbeitenden ermöglicht ihren Arbeitstag selbstbestimmt zu gestalten! Vor dem Team “WeledaVerse“ von der Technischen Universität München für die Idee, wie Unternehmen ihre Mitarbeitenden in digital-ethische Fragestellungen einbinden können. Platz drei ging an das Team „RE_Mote“ von der Universität Witten/Herdecke für seine Idee einer Value Academy für sinnstiftende Unternehmenskultur.
4.3 Themen rund um CDR
Wer sich für CDR interessiert, sollte mal reinblicken: Ein online CDR-Magazin, dass sich mit verschiedenen Aspekten des Themas befasst. Lesenswert ist z.B. auch ein Interview mit dem BDI-Vize-Präsidenten, ehemaligen Präsidenten des bitkom und langjährigen DATEV-Vorstandsvorsitzenden.
4.4 Algorithmic Bias and Risk Assessments: Lessons from Practice
Mit dem Thema der algorithmischen Verzerrungen und Risikobewertungen befasst sich diese frei zugängliche Arbeit. Darin wird unterschieden zwischen verschiedenen Arten der Bewertung von algorithmischen Systemen. Angesichts der besonderen Art und Funktion einer Prüfung durch Dritte und der unsicheren und sich verändernden Regulierungslandschaft wird vorgeschlagen, dass Bewertungen durch Dritte derzeit die primären Mechanismen zur Analyse der sozialen Auswirkungen von Systemen sind, die künstliche Intelligenz beinhalten. Anschließend wird eine ethische Risikobewertung und eine engere, technische Bewertung der algorithmischen Verzerrung erörtert. Dabei wird erklärt, wie die beiden Bewertungen voneinander abhängen und wie wichtig es sei den Algorithmus in seinen besonderen soziotechnischen Kontext zu stellen. Zudem werden Lehren und Herausforderungen für Algorithmus-Bewertungen und möglicherweise auch für Algorithmus-Audits vorgestellt.
4.5 Forschungsprojekt zu künstlicher Intelligenz und betrieblicher Mitbestimmung
Das Forschungsprojekt „Künstliche Intelligenz und betriebliche Mitbestimmung“ mit dem Aspekt der sich daraus ergebenden Herausforderungen und Handlungsmöglichkeiten für Arbeitnehmer*innenvertretungen ist Teil der Fokusgruppe “Künstliche Intelligenz in der Arbeitswelt” des Bundesministeriums für Arbeit und Soziales. Deren Ziel es ist, Handlungsempfehlungen für den Umgang mit KI in interdisziplinärer Zusammenarbeit mit Expert*innen aus Politik, Wissenschaft und Industrie zu entwickeln. Das Forschungsprojekt Künstliche Intelligenz in der Wissensarbeit untersucht den Einsatz von Künstlicher Intelligenz (KI) am Arbeitsplatz von Wissensarbeiter*innen in Deutschland. Hierbei wird der Frage nachgegangen, mit welchen Intentionen und Strategien KI-Anwendungen am Arbeitsplatz eingesetzt werden, welche Veränderungen von den Beteiligten wahrgenommen werden und wie Belegschaft, Unternehmen und Mitbestimmungs-Akteure darauf reagieren. Methodisch geleitet wird die Arbeit durch ein empirisch qualitatives sozialwissenschaftliches Forschungs-Design mit einem mixed-method-Ansatz. Das Projekt schließt sich damit der bestehenden Forschung zur Digitalisierung der Arbeitswelt an. Die Ergebnisse des Workshops sind nun veröffentlicht.
4.6 Die Deutschen und KI
Der Beitrag ist schon etwas älter, aber nichts desto weniger interessant: Wie hat sich das Verhältnis in Deutschland zu Algorithmen und KI entwickelt? Schlussfolgerungen aus der Befragung sind u.a., dass teil(automatisierte) Entscheidungen zunehmend akzeptiert, aber auch, dass der Einfluss von Algorithmen und Künstlicher Intelligenz auf das eigene Leben kaum wahrgenommen werden. Letztendlich seien ein breiter Kompetenzaufbau, eine differenzierte Berichterstattung und mehr gemeinwohlorientierte Algorithmeneinsätze nötig.
4.7 US-EU-Vereinbarung zu KI
Die USA und die EU haben laut dieser Agenturmeldung eine Vereinbarung angekündigt, die den Einsatz künstlicher Intelligenz zur Verbesserung der Landwirtschaft, des Gesundheitswesens, der Notfallhilfe, der Klimavorhersage und des Stromnetzes beschleunigen und verbessern soll. Dies sei das erste umfassende KI-Abkommen zwischen den Vereinigten Staaten und Europa. Dabei sei vorgesehen, dass die US-Daten in den USA und die europäischen Daten in Europa bleiben, aber es könnte ein Modell gebaut werden, das mit den europäischen und den US-Daten kommuniziert.
5 Veröffentlichungen
5.1 GDD: Praxishilfe „ePrivacy und Datenschutz beim Onlineauftritt“
Die GDD hat in ihrer Reihe der Praxishilfen nun Hinweis zum Umgang und zur Umsetzung der rechtlichen Vorgaben zu Onlineaufritten veröffentlicht. Dabei wird auf 16 Seiten erläutert, auf welche Verhaltensweisen des Websitebetreibers § 25 TTDSG bzw. die DS-GVO konkret Anwendung finden, also ihr sachlicher Anwendungsbereich. Zudem wird der Rechtsrahmen dargestellt, der sich aus § 25 TTDSG bzw. der DS-GVO ergibt, also was konkret mit den personenbezogenen Daten der Websitenutzer/-innen gemacht werden bzw. unter welchen Voraussetzungen beim Einsatz von Cookies und Co. auf deren Endgeräte zugegriffen werden darf.
5.2 MS 365 und die Schulen
Microsoft freut sich im hauseigenen Netzwerk, dass die niederländischen Behörden sie darauf hingewiesen habe wie europäisches Recht umzusetzen sei. Auch Google und Zoom profitierten* laut diesem Bericht von dem niederländischem Engagement. In Frankreich scheint dagegen für Behörden eine eigene Cloud-Lösung angestrebt zu werden. In NRW behilft man sich hingegen in den FAQs des Schulministeriums nach einem pauschalen Hinweis auf die datenschutzrechtlichen Bedenken gegen die Nutzung von MS-365-Produkten, zunächst auf das landesseitig zur Verfügung gestellte Angebot LOGINEO NRW zu verweisen. Nicht jedoch ohne dann zu berücksichtigen, dass es sich bei der Produktfamilie MS 365 um in Wirtschaft und Verwaltung weit verbreitete Anwendungen handele und insofern der Bildungs- und Erziehungsauftrag von Schule (§ 2 SchulG) auch den Aspekt des digitalen Kompetenzerwerbs beinhalte, um für ein Studium und für berufliche Handlungsfähigkeit in einer digitalisierten Welt zu befähigen. Aus Sicht des Ministeriums für Schule und Bildung NRW ist somit insgesamt ein generelles Verbot der Verwendung von MS-365-Produkten weiterhin derzeit nicht angezeigt. Eigentlich hätten sie nur schreiben brauchen „Der Zweck heiligt die Mittel“, aber das klingt weniger akademisch.
* Franks Anmerkung: Das ist dann wohl ein Euphemismus bei der Übersetzung? „Taming Big Tech“ = „Big Tech profitiert“? Aber es ist schon spannend zu sehen, wie die Holländer die Großen antreiben…
5.3 Strafe an Mitarbeiter für Nutzung von WhatsApp
Sie hatten es schon gelesen: Im Bankenumfeld ist WhatsApp auch keine gute Empfehlung für dienstliche Kommunikation, was zu einem Bußgeld führen kann, kann doch so keine nachvollziehbare Archivierung durchgeführt werden. De Konsequenzen dürfen nun die Beschäftigten selbst tragen: Das Bußgeld wird nach diesem Bericht aufgeteilt. Als Zuweisungsschlüssel dient der Anteil des Kommunikationsvolumens. Dass auch aus Datenschutzsicht WhatsApp keine gute Idee ist, haben Aufsichtsbehörden immer wieder klargestellt. Sowohl Bußgeld wie auch Verteilungsschlüssel aus dem Bankenumfeld könnten Hinweise geben, wie aus Empfehlungen auch für Datenschutzaufsichtsbehörden durchgesetztes Recht wird.
5.4 bitkom: TIA-Tool für Mitglieder
Über die Webseite www.bitkom.org/tia erhalten Mitglieder des bitkom mit ihrem Portal-Login Zugang, um ihre Drittstaatentransfers mit dem Modell eines Transfer-Impact Assessment (TIA)-Tool zu prüfen. Im aktuellen Stadium ist das Tool für Übermittlungen in folgende fünf Länder konzipiert: USA, Brasilien, Indien, Kolumbien und Australien. Eine Haftung kann der bitkom dafür (natürlich) nicht übernehmen, aber es hilft sicherlich vielen bei der eigenen Einschätzung.
5.5 bitkom: Arbeiten aus dem Ausland
Und weil alle darüber sprechen, bringt der bitkom auch was dazu zu Papier bzw. PDF: „Arbeiten aus dem Ausland“. Dazu gehören natürlich auch datenschutzrechtliche Aspekte, wenn auch nicht sehr tiefgehend dargestellt. Daher hier noch eine Ergänzung, die der EDSA in seiner Guideline 5/2021 zur Begrifflichkeit der Übermittlung in RN 14, Beispiel 5, anführt: Der Zugriff eines eigenen Beschäftigten aus einem Drittstaat über den Dienstlaptop bewertet der EDSA nicht als Übermittlung in einen Drittstaat, sofern der Beschäftigte und der Betreiber des Laptops als sein Arbeitgeber dieselbe datenschutzrechtliche Einheit als Verantwortlicher bilden.
5.6 bitkom Sicherheitsmapping
Hier finden sich überblicksartig die Darstellung verschiedener Rechtsgrundlagen mit Auswirkungen und Sanktionen zu Sicherheitsvorgaben (Stand Oktober 2022) des bitkom.
5.7 TUM München: Quick Guide zur Social-Media-Nutzung im öffentlichen Bereich
An was ist bei der Nutzung von Social Media durch Beschäftigte öffentlicher Stellen zu denken? Die TUM München hat einen Leitfaden für Beschäftigte im öffentlichen Dienst veröffentlicht. Die Ausführungen des Quick Guides befassen sich damit, wie man sich auf Social-Media-Plattformen rechtskonform verhält bzw. was im Umgang mit Social Media erlaubt oder nicht erlaubt ist. Unklarheiten sollen beseitigt werden und einen ersten Einblick geben, was bei der privaten Nutzung von Social Media aus rechtlicher Sicht zu beachten ist. Dabei wurde sich an insgesamt zwölf in der Praxis besonders häufig auftretenden Fragen orientiert. Neben einem Glossar finden sich Fragen zur Betätigung während der Arbeitszeit, Ausführungen zur Meinungskundgabe, aber auch zur Veröffentlichung von Bildern von Events der Behörde. Es gibt den Quick Guide auch in einer barrierefreien Version.
5.8 Bundesärztekammer: Handreichung zu Sozialen Medien
Was hat medizinisches Personal in sozialen Medien zu beachten? Nicht nur wegen der berufsrechtlichen Verschwiegenheit? Dazu veröffentlichte die Bundesärztekammer eine Handreichung, die sich auf 21 Seiten auch mit der Vernetzung mit Patienten auseinandersetzt.
5.9 TikTok rechtskonform nutzen?
Weil offensichtlich Marketingexperten in der Midlife-Crisis sich gerne an den Tools Pubertiernder orientieren, wird die Nutzung von TikTok nicht nur in Pädophilenkreisen immer beliebter*. Da stört es dann auch nicht, dass dem Betreiber Spionage gegen Journalisten vorgeworfen wird. So finden sich trotz aller rechtlicher Bedenken und verhängter Bußgelder europäischer Datenschutzaufsichten gegen TikTok auch immer noch Begründungen wie diese in einem Magazin für selbsternannte Social Media Helden (Seite 59):
„Die Ansichten der Rechtsabteilungen oder Datenschutzbeauftragten zur Datenschutzproblematik bei TikTok sind zwar nicht von der Hand zu weisen. Allerdings müssen ihre Ansichten ins Verhältnis zu den praktischen Risiken gesetzt werden. Es ist dabei durchaus ein hehres Ziel den Ansichten der Aufsichtsbehörden zu folgen. Zu bedenken ist aber, dass diese selbst nicht unternehmerisch denken müssen und in PR-Angelegenheiten gerne mit dem Säbel rasseln. Am Ende wissen aber auch die Datenschutzbehörden um verheerende wirtschaftliche Konsequenzen, wenn sie ihre Ansichten konsequent verfolgen würden. Daher halten sie sich insoweit zurück, solange zumindest die möglichen Maßnahmen ergriffen werden und so ein hinreichender Datenschutz gewährleistet ist. Dazu gehört die Beachtung der Prüf- und Protokollpflichten, die Einholung von Einwilligungen beim Einsatz des TikTok Pixels und die Ergänzung der Datenschutzhinweise.“
Diese Begründung ließe sich sicher auch für Drogenplattformen etc. verwenden. Allerdings befasst sich der Bericht auch nicht mit denkbaren Ansprüchen betroffener Personen.
* Franks Anmerkung: Bevor jetzt jemand „Polemik“ ruft: Eine Quelle.
5.10 Wissenschaftlicher Dienst: Bevollmächtigungen bei einem Auskunftsanspruch (Art. 15 DS-GVO)
Der Wissenschaftliche Dienst des Deutschen Bundestages hat im Dezember 2022 eine Kurzinformation veröffentlicht, in der er sich mit der Bevollmächtigung eines Auskunftsanspruches nach Art. 15 DS-GVO auseinandersetzt.
5.11 Kündigungsbutton im Verbraucherrecht
Auch im digitalen Geschäftsverkehr gibt es im Verbraucherrecht Besonderheiten, wie z.B., dass gemäß § 312k BGB ein Kündigungsbutton bei online geschlossenen Verträgen eine Kündigung genauso leicht ermöglichen muss, wie der Vertragsabschluss erfolgte. Doch wie lässt sich dies rechtskonform umsetzen? Zumal das LG Köln es für vertretbar hält, dass ein vorheriges Einloggen in einen Account als unzulässige Erschwernis bewertet werden könnte. Details finden sich hier in dem Beitrag einer renommierten Kanzlei darüber, wie dies umgesetzt werden kann.
Und weil es gut zum Thema passt: Hier noch Hinweise auf die ISO 31700 zu Anforderungen an Privacy by Design für Verbraucherprodukte und Dienstleistungen (siehe auch 1.17) und auf den Beschluss der DSK zu den Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht.
5.12 Was macht Palantir und wozu hilft ein „VVT“?
In einem Podcast wird ein datenschutzrechtlicher Berater der Firma Palantir befragt, was diese Firma und für welche Zwecke anbietet. Ins Gespräch kam sie insbesondere aufgrund des Einsatzes ihrer Software „Gothem“ durch die Polizei, die durch Verknüpfung von Datenbanken Gefährder herausfiltern möchte. Einen weiteren Schwerpunkt des 48 min. Podcasts bildet das „VVT“ – das Verzeichnis für Verarbeitungs-tätigkeiten. Dieses ist eine gesetzliche Dokumentationsvorgabe aus Art. 30 DS-GVO für Verantwortliche und Auftragsverarbeiter. Wer sich für das Thema interessiert: Ich warte auch noch auf die angekündigte Hinterlegung der Folien eines tollen Vortrags einer hybriden Vorlesung im Januar an der Universität des Saarlandes.
5.13 Unzulässige Zugriffe auf Paypal-Konten
Nach Berichten hat PayPal Nutzer über Zugriffe auf deren Konten durch Credential Stuffing informiert. Insgesamt sollen 34.942 Konten bei einem kürzlich aufgetretenen Datenleck kompromittiert worden sein. Eindringlinge verschafften sich zwei Tage lang Zugang zu den vollständigen Namen, Geburtsdaten, Postanschriften, Sozialversicherungsnummern und individuellen Steueridentifikationsnummern der Kontoinhaber. Es ist sicher auch keine gute Frage sich zu erkundigen, wie eine Zwei-Faktor-Authentifizierung abgeschaltet werden kann.
5.14 Neue Masche bei WhatsApp-Betrug
Wie hier berichtet wird, nutzen Betrüger die Möglichkeit den Account zurücksetzen zu lassen, um WhatsApp-Benutzerkonten zu übernehmen.
5.15 Gesichtserkennung durch das Europäische Parlament?
Das Europäische Parlament sieht sich Fragen einer Bürgerrechtsorganisation ausgesetzt, wird doch als ein Zweck der Videoüberwachung im Parlament (u.a.) die Gesichtserkennung angegeben (Seite 63).
5.16 Apple und der Datenschutz
Datenschutz und Datensicherheit scheinen bei Apple oberste Priorität zu haben. Zumindest in den eigenen Werbeaussagen. Nun sieht sich Apple laut dieser Meldung aber in New York einer Sammelklage mit dem Vorwurf ausgesetzt in unzulässiger Weise Analysedaten über die iPhone-Nutzung gesammelt zu haben.
Entgegen den Angaben, dass eine Weitergabe von Geräteanalysen vollständig unterbunden werde, fanden Forscher des Softwareentwicklungsunternehmens Mysk heraus, dass diese Behauptungen nicht zutreffen. Sie stellten fest, dass eine Deaktivierung keine Auswirkungen auf die Analysedaten hatte, die von Apple-Apps wie dem App Store, Apple Music, Apple TV, Books und Stocks gesendet wurden. Diese Daten enthalten detaillierte Informationen über die Aktionen der Nutzer innerhalb dieser Apps, einschließlich der Zeit, die auf bestimmten Seiten verbracht wird, und welche Werbung gesehen wird. Auch wenn Apple behauptet, dass die Informationen nicht zur Identifizierung bestimmter Nutzer dienen, werden sie dennoch mit einer permanenten ID-Nummer übertragen, die mit iCloud-Konten verknüpft ist, wodurch die Daten mit den persönlichen Daten der Nutzer wie Name, E-Mail-Adresse und Telefonnummer verknüpft werden können. Es lohnt sich sicher bei Aussagen über die Einhaltung des Datenschutzes wenig Angriffsfläche zu bieten, auch wenn es in Ney York wohl erstmal nur um 5 Mio. US-$ geht.
5.17 NIST: Ankündigung eines Updates
Das US National Institut of Standards and Technology (NIST) plant dieser Website zufolge ein Update seines Cybersecurity Frameworks. Hinweise und Vorschläge können bis 3. März 2023 eingereicht werden. Details mit Zeitplan etc. entnehmen Sie hier.
5.18 Veranstaltungen
Diesesmal nur zwei, da sich nach europäischem Datenschutztag und Safer Internet Day nun (fast) alle auf den Karneval zu konzentrieren scheinen.
5.18.1 IT-Sicherheit: So reagieren kleine Unternehmen richtig auf aktuelle Risiken
15.02.2023, ab 10:00 Uhr: Die richtigen IT-Sicherheitsmaßnahmen anzustoßen ist gerade für kleine Unternehmen und Ausbildungsbetriebe oft unerlässlich für die Sicherung des Geschäftsbetriebs. Doch was sollte ich zuerst anpacken? Wie setze ich meine Ressourcen klug ein, um die für mich relevantesten Risiken zu managen? In diesem Webinar erfahren Sie, wie sich die aktuelle Gefahrenlage auf kleine Unternehmen auswirkt und wie Sie, ohne riesige Investitionen tätigen zu müssen, einen großen Schritt in Richtung Cybersicherheit machen können. Der Mittelstand. BVMW e.V. berichtet Ihnen von den aktuellen Trends der Cyberkriminellen und zeigt Ihnen in Kooperation mit der Transferstelle für IT-Sicherheit im Mittelstand, präventive Maßnahmen auf. Erfahren Sie außerdem mehr dazu, wie das Projekt mIT Sicherheit ausbilden Ausbildungsbetriebe beim Thema Cybersicherheit unterstützt. Zudem gibt es einen Ausblick auf den neuen Beratungsstandard IT-Sicherheit, welcher explizit auf die Bedarfe von Klein- und Kleinstunternehmen abzielt. Weitere Infos und Anmeldung.
5.18.2 „Datenschutz für Gründende“
15.02.2023, 16:30 – 18:00 Uhr: Im Rahmen eines Einsteiger-Programms für Gründungsinteressierte mit oder ohne konkrete Idee findet eine offene Vortragsreihe der Gründungsakademie Rheingau rund um das Thema Existenzgründung statt. Hier werden für 90 Minuten gründungsrelevante Themen aus der Praxis vorgestellt und anwendungsnah diskutiert. Dieses Programm richtet sich in erster Linie an Studierende mit generellem Interesse am Thema. Gründer*innen und Gäste außerhalb der Hochschulen sind jederzeit willkommen. Am 15.02.2023 beginnt die Reihe mit den Datenschutzanforderungen, die zu beachten sind. Der Vortrag erfolgt durch einen Experten des HBDI. Weitere Infos und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Datenschutz und / oder Datensicherheit?
Leider hat sich noch nicht bei allen rumgesprochen, was der Unterschied zwischen Datenschutz und Datensicherheit ist. So schützt die Datensicherheit auch die Daten, wenn sie keinen Bezug zu Personen haben und Datenschutz schützt Menschen vor einer unangemessenen Nutzung der Daten, die sich auf sie beziehen. Das Missverständnis wird nicht besser, wenn man dann eine andere Sprache benutzt und zudem nicht mal „Data Protection“, sondern Privacy verwendet.
Aber interessant wird es, wenn wir versuchen Datensicherheitsanforderungen umzusetzen und dabei personenbezogene Daten verarbeiten. Und dazu gibt es einen kleinen Podcast (ca. 32 Min), inwieweit sich die Bemühungen zu Datenschutz und Datensicherheit gegenseitig beeinträchtigen, wenn durch Datenschutzregelungen Datensicherheitsmaßnahmen hinsichtlich einer internationalen Zusammenarbeit eingeschränkt werden.
6.2 Gestaltung von Maßnahmen nach Art. 32 DS-GVO
Wie können Maßnahmen nach Art. 32 DS-GVO konzipiert und umgesetzt werden? Dazu gibt es einen umfassenden Beitrag mit tabellarischen Übersichten und Zusammenfassungen.
6.3 UX von Webseiten – Irreführung durch Cookie-Gestaltung
Wie sind Banner zur Einwilligung zu gestalten, damit sie nicht irreführend wahrgenommen werden und wie hat sich der rechtliche Hintergrund dazu entwickelt? Damit befasst sich dieser Beitrag.
6.4 Marketing ohne Social Media?
Glaubt man Marketingaktivisten scheint es ohne Social Media nicht zu gehen, auch wenn sich diese (also die Aktivisten) nur immer gegenseitig liken. Umso spannender, wenn sich ein verbraucherorientiertes Kosmetik-Unternehmen aus den Sozialen Medien verabschiedet. Und was passiert dann? Die Marke gibt es noch – und nach Aussagen der „Strategy Lead“ habe das Geschäft nicht gelitten. Die Entscheidung des Rückzugs sei eine spontane Entscheidung gewesen, der ein längerer Prozess vorausging. Sie hatten sich seit sieben, acht Jahren mit Digital Ethics beschäftigt und verschiedene Initiativen gestartet. Dazu zählte beispielsweise die Zusammenarbeit zum Digital Detox Day mit einer britischen Influencerin, bei der es um Mental Health ging. Ausschlaggebend sei dann die Veröffentlichung der Whistleblowerin Hogan zum Geschäftsmodell bei Facebook gewesen.
6.5 Google und die Demokratie
Sind wir nicht alle manchmal genervt von scheinbar versagenden öffentlich-rechtlichen Planungen und Zuständigkeiten? Zugegebenermaßen manchmal nicht nur scheinbar versagend. Was wäre die Alternative? Zielorientiert agieren wie ein Industrieunternehmen? Oder noch besser effektiv wie ein HighTech-Gigant? (Das Wort agil vermeide ich lieber.) Das dachten sich nach diesen Beitrag auch in Toronto die Verantwortlichen, die Google mit der Restrukturierung eines Stadtteils betrauten. Doch halt – war da nicht was? Private Daten in privaten Händen – für öffentliche Aufgaben? Kann das gut gehen? Wer entscheidet nach welchen Kriterien und wie kann Einfluss genommen werden und sicherlich nicht überspitzt: Wo bleibt da die Demokratie? In Toronto wurde dieses Projekt noch rechtzeitig genug abgebrochen, um die Kontrolle zu behalten, was da mit welchen Daten passiert.
Franks Nachtrag: Bis zum Lesen des verlinkten Artikels kannte ich solche Szenarien nur aus der guten dystopischen Science Fiction. Aber unsere Freunde jenseits des Atlantiks sind ja häufiger für eine Überraschung gut…
6.6 TikTok und die Spionage
Ob nun durch den zwischenzeitlich abgeschossenen Ballon über den USA oder durch die umfassende Nutzung von TikTok mehr Schaden durch Spionage droht, ist noch offen, wird aber diskutiert. Aber keine Sorge, es noch nicht soweit, dass auch TikTok-Nutzer abgeschossen werden sollen, es wird nur über ein Verbot nachgedacht.
7 Sonstiges/Blick über den Tellerrand
7.1 Datenspende zu TikTok
Wir werden das Thema nicht los. Wieder TikTok. Um eine unabhängige Forschung hinsichtlich der schädlichen Auswirkungen von algorithmischen Systemen zu ermöglichen, bittet laut algorithmwatch DataSkop um Datenspenden. DataSkop kann kostenlos heruntergeladen werden. Die DS-GVO-Daten werden dann automatisch im Rahmen einer Auskunft von TikTok angefordert. Sobald TikTok die Daten zur Verfügung stellt (das dauert in der Regel drei bis vier Tage), benachrichtigt DataSkop die Nutzer. Die Daten können dann mithilfe einer Visualisierung ausgewertet werden, um mehr über das eigene Nutzungsverhalten auf TikTok zu erfahren. Erst dann kann der Nutzer entscheiden, ob er die Daten vertraulich spenden möchte, damit diese in der Datenbank von DataSkop gespeichert werden können. Mal sehen, was dabei rauskommt.
7.2 Bye bye, Münzfernsprecher
Es ist schon generationsabhängig, wenn einen diese Meldung etwas wehmütig werden lässt: Die letzten öffentlichen Telefonzellen werden abgebaut. Waren es einstmals 160.000 in Deutschland, sind es nun nur noch 12.000 und diese werden auch abgebaut. Wer hat die überhaupt noch benutzt? Und sicher haben alle, die etwas älter sind, Erinnerungen an Warteschlange, fehlenden Münzen und den Moment, wenn das Gespräch abbrach. Für letztes sorgen nun ja Funklöcher.
Franks Nachtrag: Wobei zumindest die Telefonzellen nicht überall aus dem Stadtbild verschwinden … solange sie als Bücherzellen weitergenutzt werden. Ich habe darüber schon einige Bücher zur Nachnutzung weitergegeben.
Franks zweiter Nachtrag: Am 14.02.2023 ist der internationale „Verschenk ein Buch“-Tag. Also auf zu den Bücherzellen…
7.3 Verändern oder Erhalten?
Verändern technologische Innovationen oder Erhalten sie Bestehendes? Bei diesem Beitrag dazu kann man/frau schon ins Grübeln kommen. Außerdem passt es gut zu der digitalen Umsetzung in Deutschland: Es reicht eben nicht aus einem Formular ein PDF zu machen und dieses ins Internet zu stellen – damit werden keine Prozesse verbessert – nur Medienbrüche fortgesetzt.
Franks Nachtrag: Und dann gibt es noch solche Schlagzeilen (bzw. die dazugehörigen Artikel) …
8. Franks Zugabe
8.1 Apropos ChatGPT, die vierte
Und da waren es schon vier… Nach letzter und vorletzter sowie vorvorletzter Woche hier erneut ein paar Beiträge zu ChatGPT:
- Hier prüft jemand ChatGPTs Genauigkeit. Die könnte im Einzelfall deutlich besser sein.
- „ChatGPT is speeding up timeline for emulating dead people“ lautet die Schlagzeile dieses Artikels, das Thema hatten wir ja nun auch schon ein paar Male, nun also auch per ChatGPT.
- ChatGPT soll die App mit der am schnellsten wachsenden Nutzerzahl sein.
- Bisher kannte ich Jailbreaks nur im Zusammenhang mit Smartphones, aber solche Jailbreaks scheint es auch für ChatGPT zu geben. Wobei dieser wohl „nur“ die profane Sprache einschaltet.
- ChatGPT’s Inner Magic, Explained Step-by-Step [6:43] – The machine learning and data science behind ChatGPT, explained in simple words. In einem Youtube-Video. Und hier ist die Quelle.
- „ChatGPT isn’t a great leap forward, it’s an expensive deal with the devil“ schreibt jemand in diesem Artikel. Wobei neue Technik für alles Schlimme verantwortlich zu machen nun auch nicht gerade neu ist.
- Wenigsten schmecken die Drinks…
- Und Microsoft scheint eher unabsichtlich die Integration von ChatGPT in Bing gespoilert zu haben. Apropos Microsoft…
8.2 Degitalisierung: Was war nochmal das Problem?
Endlich mal wieder eine geklaute Überschrift von einem spannenden Artikel zu übertriebenen Erwartungen an KI.
8.3 Eine wilde Mischung von Meldungen zur KI
- KI als Hacker – auch eine schöne Vorstellung. Nicht.
- Und dann war da noch der Historical Figures Chat…
- Der Ein-Finger-Ring – Damit sieht die Hand aus, als habe man einen Finger zuviel, was im Moment ein typischer Fehler in KI-generierten Bildern ist. Und somit werden wohl solche Bilder nicht mehr als Beweise zugelassen.
- Apropos austricksen – Wie man Gesichtserkennung durch KI austricksen kann (mit sehr tiefen Zugriff auf die zugrundeliegende KI-Technik) – hier der Artikel, da die dort referenzierte Studie.
- KI – Das ist nicht meine Stimme? Ein Podcast von dw.com (ca. 18 Min.). Hörenswert.
- Hier gibt es Videos zu einer NGO-KI-Konferenz in Tallin – Und hier einen Artikel über die Konferenz.
- KI – Kunst oder Krempl? Am besten gefällt mir der Schnurrbart 😉
8.4 Ein Update zu DoNotPay
Auch zu der Firma, die per KI ein Gerichtsverfahren bestreiten wollte, hatten wir schon mehrfach berichtet. Mittlerweile sieht das alles um den Gründer des Unternehmens nicht mehr so souverän aus…
8.5 Apropos Microsoft
Auch hier haben sich viele Meldungen gesammelt, die vielleicht keinen eigenen Beitrag verdient haben, aber trotzdem berichtet werden wollen:
- Digitalisierung ist wohl nicht immer gut … Oder: Besser auf die Werkzeugauswahl achten? Am Beispiel von Microsoft Hololens.
- Kennen Sie Microsoft Nagware? Nicht? Dann habe ich für Sie einen Artikel dazu. Wenn Sie diesem Link zum dritten „Anstrich“ (es sind drei Sternchen „***“) folgen, finden Sie einen Erklärungsversuch, warum Microsoft penetrant wird…
- Mitunter führt das auch dazu, dass die Microsoft-Nutzer:innen nicht mehr arbeiten können.
- Na ja, kostenlos war halt gestern. Seine klassische Gratisversion von MS Teams hat Microsoft abgekündigt. Nutzer sollen aufs kostenpflichtige Teams Essentials umsteigen. So zumindest dieser Artikel.
- Gründe, warum ich Outlook nicht mag, Nr. 327. Aber ich nutze Outlook ja auch nicht als Mailclient, also ist es mir egal. Und ja, bei Windows-Rechnern war das schon vor Jahren ein Thema.
- Leider muss ich Outlook für ein Kunden-Postfach auf meinem iPhone nutzen (die lassen aus Sicherheitsgründen nur Outlook zu… verdrehte Welt…). Und da brauchte ich tatsächlich (zumindest einmal zur Initialisierung) den Microsoft Authenticator. Auch ein tolles Produkt. Immerhin reicht (nach der initialen obligatorischen Nutzung des Microsoft Authenticators) für das regelmäßige 2FA-Anmelden ein freier Authenticator.
- Und der Gewinner beim Bullshit-Bingo ist: Natively embedding Acrobat PDF technology in Microsoft Edge delivers an enhanced PDF experience for Windows users and a seamless path to even more value. Steht hier. Na dann. Viel Spaß… Hier ist ein Erklärungsversuch, wie solche Meldungen wohl getextet werden.
8.6 Datenschutz im Verein, Teil 2
Im letzten Blogbeitrag hatte ich vergessen den zweiten Teil der Reihe zu erwähnen. Sie finden ihn hier. Für Teil 3 freut sich der Autor auf unseren Input. Na, dann mal los.
8.7 Rückschau zum Jahresendcyber
Wir hatten die Veranstaltung angekündigt, hier nun die Rückschau.
8.8 War da nicht was mit Potsdam?
Doch, war es. Aber es geht immer noch weiter, denn nun sind sie wieder offline (Ende offen), es soll an der HIVE-Bande liegen. Na ja, solange das geklärt ist, ist ja alles gut, oder?
8.9 Off-Topic – Tä-Täterä
Ich hoffe, Sie sehen es mir nach, es ist spät… (oder früh?)
Neulich so bei der Lufthansa. Wobei das nach dieser Quelle nichts Neues ist. Besonders schön finde ich beim zweiten Link die verschriftlichten Aussagen des Flugpersonals.
9. Die guten Nachrichten zum Schluss
9.1 Sichere Ausbildung
Die Webseite mit Sicherheit ausbilden bietet „frisches Methodenwissen“ zu IT-Sicherheit in Unternehmen an und wie es Auszubildenden vermittelt werden kann. Getragen wird es durch die Inititive „mIT Sicherheit ausbilden“, ein Teilprojekt der Transferstelle IT-Sicherheit im Mittelstand (TISiM) und verantwortlich ist laut Impressum „Deutschland sicher im Netz e.V.“. Eventuell teilt den Verantwortlichen auch mal jemand mit, dass der § 55 RStV seit Nov. 2020 durch den § 18 MStV abgelöst wurde.
9.2 Wettbewerb: Digital Autonomy Award
Für den Digital Autonomy Award kann bis zum 26. Februar 2023 für eine der acht Lösungen auf der Shortlist gestimmt werden. Die Nominierten tragen mit ihren pionierhaften Ideen zur Steigerung der digitalen Selbstbestimmung bei.