Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 07&08/2024)“
Hier ist der 81. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 07&08/2024)“.
- Aufsichtsbehörden
- EDSA: Stellungnahme zur Chatkontrolle zum Kinderschutz
- EDSA: Stellungnahme zum Begriff der Hauptniederlassung nach Art. 4 Nr. 16 lit. a DS-GVO
- EDSA: Abo-Modelle „Pay or ok”
- DSK: Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen
- LDI NRW: Zahlen und Daten
- LfD Bayern: Orientierungshilfe Datenschutz als Kriterium im Vergabeverfahren
- LfDI Baden-Württemberg: FAQ zu Datenweitergabe durch Meldebehörden
- LfDI Baden-Württemberg: Aktualisierung des Praxisratgebers zum LIFG
- HmbBfDI: Grundlagen einer Bezahlkarte für Asylbewerber:innen
- TLfDI: Aufräumen mit Datenschutzirrtümern
- Berlin: Herausgabe von Mitgliederlisten an Vereinsmitgliedern
- DSB Österreich: Gestaltung von Cookie-Bannern und Rechtsfolgen rechtswidriger Verarbeitung
- CNIL: Bußgeld gegen Webseitenbetreiber i.H.v. 100.000 Euro
- Dänemark: Google Chromebook bei Schülern und unzulässige Datenweitergabe
- CNIL und MS 365 und Gesundheitsdaten
- BSI: Bildungsnachweise und digitale Zeugnisse
- BSI: TR-03182 E-Mail-Authentifizierung
- BSI: TR-03179-1 Central Bank Digital Currency
- Akteneinsicht bei Aufsichten
- ICO: Leitfaden zur biometrischen Erkennung
- FTC: Heimliche Änderung von Datenschutzregelungen sei unlauter
- CNIL: Statistik für 2023
- EDSA: Beginn der koordinierten Aktion zum Auskunftsrecht
- LfDI Baden-Württemberg: Handreichung zu Kapitel V der DS-GVO (Drittstaatentransfer)
- BayLDA: Tätigkeitsbericht 2023
- BayLDA: Tätigkeitsbericht 2023 – Betroffenenrechte / Auskunft
- BayLDA: Tätigkeitsbericht 2023 – Rechtsanwälte und E-Mail-Kommunikation
- BayLDA: Tätigkeitsbericht 2023 – Webtracking nach TTDSG – Bußgeld möglich
- BayLDA: Tätigkeitsbericht 2023 – Drittstaatentransfer in die USA
- BayLDA: Tätigkeitsbericht 2023 – Einsatz von KI
- BayLDA: Tätigkeitsbericht 2023 – Europaweite Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten
- BayLDA: Tätigkeitsbericht 2023 – Bußgelder
- BayLDA: Tätigkeitsbericht 2023 – Keine Aussage zu MS 365
- BSI: Untersuchung zu Steuererklärungsapps
- Rechtsprechung
- EGMR: Aussagen zur Chatkontrolle und Vorratsdatenspeicherung
- EuGH: Verkauf einer Datenbank durch Gerichtsvollzieher
- EuGH: Speicherdauer von biometrischen Daten in Strafverfahren
- EuGH: Nutzungsregelungen von sozialen Netzwerken u.a.
- BFH: Auskunftsanspruch nach Art. 15 DS-GVO gegenüber Finanzbehörden
- OLG München: Urheberrechtlicher Schutz bei Datenschutzhinweisen möglich
- OLG München: Nachweispflicht bei Cyberangriff zum Schaden
- VG Berlin: Auskunftsanspruch nach Art. 15 DS-GVO scheinbar grenzenlos
- ArbG Hamburg: Zum Mitbestimmungsrecht des Betriebsrats bei ChatGPT
- OLG Düsseldorf: Anforderungen bei Fake-Bewertungen im Wettbewerbsverfahren
- ArbG Mannheim: Kündigung bei Datenschutzverletzung durch Wahlvorstand
- OLG Hamburg: Löschverlangen und Nachvollziehbarkeit bei Kununu
- AG Jülich: Ausführungen zu Schutzmaßnehmen § 202a StGB
- Urteilsübersichten zum Datenschutzrecht
- EuGH-Vorschau: DS-GVO auch bei mündlichen Weitergaben
- FG Köln zu rechtsmissbräuchlichem Auskunftsanspruch
- BFH: Kein Auskunftsanspruch einer Ein-Mann-GmbH aus Art. 15 DS-GVO
- BayVGH: Drohnenüberflug zur Geschoßermittlung ist unzulässig
- OLG Hamburg: Anwendbarkeit des FernUSG auf Online-Coaching ohne Lernerfolgsüberwachung
- EuGH-Vorschau: Abhilfebefugnis der Aufsicht nach Art. 58 Abs. 2 DS-GVO
- EuGH-Vorschau: Verpflichtung von Fingerabdrücken in Ausweisen
- Gesetzgebung
- Recht auf Verschlüsselung ins TTDSG?
- Bundesregierungsanfrage: Datensparsamkeit bei Webseiten und Treibhausgasreduzierung
- ESA veröffentlicht Regelwerk für DORA
- Produkthaftung für Software
- DSA: Welche Regelungen gelten jetzt?
- Kanada: Algorithmic Impact Assessment Tool
- Strafbarkeit des Besitzes von Bildern mit sexueller Gewalt an Kindern
- USA: EO zum Schutz von Daten
- Künstliche Intelligenz und Ethik
- Stanford: Evaluierung von LLM
- Stanford HAI: Rethinking privacy in the AI era
- Ethik-Check-KI des Ethikbeirats HR-Tech
- Interview zur Technologischen Verantwortung
- EY: Generative AI Risk and Governance
- bitkom: Künstliche Intelligenz im digitalen Marketing
- KI Governance im Unternehmen – Wer ist verantwortlich, etc.
- App zur KI-Beratung
- Nachhaltigkeit und KI
- srf: KI-Richtlinien für publizistische Tätigkeiten
- KI und deutsches Urheberrecht
- VDE SPEC 90012 V1.0
- Zürich: KI in der öffentlichen Verwaltung und Datenschutz
- Reddit liefert Trainingsmaterial für KI
- Veröffentlichungen
- IT-Sicherheit bei Banken und Versicherungen
- Herausgabepflichten von Daten und Informationen an US-amerikanische Sicherheitsbehörden
- Zulässige Zweckänderung von Lohnsteuerdaten bei Kirchenaustritt
- Cyberangriff in Frankreich auf Gesundheitsdaten
- Berechtigtes Interesse bei … Webseitengestaltung
- Beispiel eines Angriffs
- Vertraulichkeit im Homeoffice
- noyb: Beschwerde gegen Schufa wegen „BonitätsAuskunft”
- DIHK-Umfrage zur DS-GVO
- Einwilligung als Rechtsgrundlage weg und dann?
- BSI: Krisenkommunikation – Schaden begrenzen, Reputation erhalten
- bitkom: Generative KI im Unternehmen
- Google Analytics: Consent Mode
- Veranstaltungen
- HBDI: Der EuGH als Gestalter des Datenschutzrechts
- BfDI: Ausschließlich digital? Wie weit geht das Recht auf ein analoges Leben -neu-
- HHN: „Recht & Künstliche Intelligenz – die Zukunft ist interdisziplinär!“ -neu-
- HSLU: „Datenschutz in Immersive Reality“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT …
- Apropos KI …
- FragDenStaat-Chefredakteur angeklagt … Die Ursprünge des Straftatbestands liegen im Kaiserreich
- Ein Update zum gesuchten Windows 3.11-Administrator
- Natürlich brauchen M&M-Automaten Gesichtserkennung …
- So geht Awareness!
- Aus der beliebten Kategorie: Aber für meine Daten interessiert sich doch niemand …
- Warum Apple Bing nicht gekauft hat …
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Stellungnahme zur Chatkontrolle zum Kinderschutz
Der EDSA hat seine Position zum Einsatz von Kommunikationsüberwachungsmaßnahmen zum Schutz von Kindern gegen sexuelle Gewalt in seinem Statement 1/2024 on legislative developments regarding the Proposal for a Regulation laying down rules to prevent and combat child sexual abuse bekräftigt. Zwar begrüßt der EDSA die zahlreichen vom Parlament vorgeschlagenen Verbesserungen, wie z.B. die Ausnahme von Ende-zu-Ende-verschlüsselter Kommunikation von Detektionsanordnungen. Der EDSA bedauert jedoch, dass der vom Parlament vorgeschlagene Text wichtige Fragen, die EDSA und EDSB im Zusammenhang mit der allgemeinen und willkürlichen Überwachung privater Kommunikation, insbesondere in Bezug auf die Erteilung von Ermittlungsanordnungen, aufgeworfen haben, nicht vollständig zu lösen scheint.
Auch der BfDI bestätigt die Kritik an der vom Europäischen Parlament formulierten Ausgestaltung von sogenannten Aufdeckungsanordnungen.
1.2 EDSA: Stellungnahme zum Begriff der Hauptniederlassung nach Art. 4 Nr. 16 lit. a DS-GVO
Auf seiner letzten Plenartagung nahm der EDSA eine Stellungnahme zum Begriff der Hauptniederlassung und zu den Kriterien für die Anwendung des One-Stop-Shop-Mechanismus an (Opinion 04/2024 on the notion of main establishment of a controller in the Union under Art. 4.16(a) GDPR). Vorausgegangen war ein Ersuchen der französischen Datenschutzbehörde CNIL nach Art. 64 Abs. 2 DS-GVO. In der Stellungnahme wird der Begriff der „Hauptniederlassung“ eines für die Verarbeitung Verantwortlichen in der EU erläutert, insbesondere für Fälle, in denen Entscheidungen über die Verarbeitung außerhalb der EU getroffen werden.
Der EDSA vertritt dabei die Auffassung, dass der „Ort der zentralen Verwaltung“ eines für die Verarbeitung Verantwortlichen in der EU als Hauptniederlassung gemäß Art. 4 Nr. 16 lit. a DS-GVO nur dann als Hauptniederlassung angesehen werden kann, wenn er die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten trifft und die Befugnis hat diese Entscheidungen durchzusetzen. Der EDSA führt dazu aus, dass der Mechanismus der einzigen Anlaufstelle nur dann Anwendung finden kann, wenn nachgewiesen wird, dass eine der Niederlassungen des für die Verarbeitung Verantwortlichen in der Union über die Zwecke und Mittel der betreffenden Verarbeitungen entscheidet und die Befugnis hat diese Entscheidungen umzusetzen. Dies bedeutet, dass es keine Hauptniederlassung des für die Verarbeitung Verantwortlichen in der Union geben sollte, wenn die Entscheidungen über die Zwecke und Mittel der Verarbeitung außerhalb der EU getroffen werden, so dass das One-Stop-Shop-Verfahren nicht zur Anwendung kommen sollte. Das könnte z.B. viele Unternehmen betreffen, die ihre europäische Niederlassung nach Irland legten und nun nachweisen müssten, dass dort auch die Entscheidungen über Zweck und Mittel der Verarbeitung getroffen werden.
Eine Bewertung der Stellungnahme findet sich bereits hier.
1.3 EDSA: Abo-Modelle „Pay or ok”
Dass Aufsichtsbehörden beim EDSA eine Klärung von Abo-Modellen bei Online-Plattformen herbeiführen, hatten wir bereits berichtet. Flankiert wird dies nun noch durch Aktivitäten von 28 europäischen NGO, die in einem offenen Brief* den EDSA und die nationalen Behörden auffordern das Grundrecht des Datenschutzes zu wahren.
* Franks Anmerkung: Ich hätte da auch eine deutsche Übersetzung des offenen Briefs für Sie…
1.4 DSK: Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen
Es ist auch ein Zeichen für die Marktverhältnisse im Wohnungsmarkt: Das Erfordernis einer dreizehnseitigen Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen, die die DSK mit Stand Januar 2024 veröffentlichte. Die Beispiele der Fragen, die hierbei behandelt werden, scheinen dies zu bestätigen. Die OH behandelt aber auch Löschpflichten und schließt mit einem Musterfragebogen für Mietinteressierte ab.
1.5 LDI NRW: Zahlen und Daten
Auf ihrer Webseite informiert die LDI NRW über statistische Zahlen ihrer Behörde. Dabei sind nicht nur das Budget und die personellen Ressourcen, sondern z. B. die Anzahl der abgeschlossenen oder erlassenen Bußgeldfälle und die Gesamthöhe der Bußgelder in NRW für die letzten Jahre aufgeführt.
Franks Nachtrag: Andere Länder, andere Sitten?
1.6 LfD Bayern: Orientierungshilfe Datenschutz als Kriterium im Vergabeverfahren
Der LfD Bayern hat seine Orientierungshilfe Datenschutz als Kriterium im Vergabeverfahren in einer aktualisierten Fassung mit Stand 1. Februar 2024 veröffentlicht.
1.7 LfDI Baden-Württemberg: FAQ zu Datenweitergabe durch Meldebehörden
Der LfDI Baden-Württemberg veröffentlichte eine FAQ zur Thematik der Datenweitergabe durch Meldebehörden.
1.8 LfDI Baden-Württemberg: Aktualisierung des Praxisratgebers zum LIFG
Der LfDI Baden-Württemberg hat seinen Praxisratgeber zum Landesinformationsfreiheitsgesetz (LIFG) aktualisiert. Der Praxisratgeber bietet Tipps und Hilfestellungen, die sich an wiederkehrenden Fragen und Fallkonstellationen aus der Praxis orientieren. Alle Interessierten können den Praxisratgeber nutzen, um zielgerichtet Anfragen zu stellen. Auskunftspflichtige Stellen erhalten mit dem Praxisratgeber Unterstützung, um zielgerichtet Anfragen zu beantworten. Die neue Auflage berücksichtigt auf über 130 Seiten nicht nur die aktuelle Rechtsprechung, sondern geht auch auf die aktuelle Entwicklung der Informationsfreiheit in Baden-Württemberg ein.
1.9 HmbBfDI: Grundlagen einer Bezahlkarte für Asylbewerber:innen
Der HmbBfDI hat seine Position zu den datenschutzrechtlichen Grundlagen einer Bezahlkarte für Asylbewerber:innen veröffentlicht. Im Ergebnis sei die SocialCard in der jetzt in Hamburg eingeführten Ausgestaltung datenschutzrechtlich vertretbar. Weitere eingriffsintensive Maßnahmen, wie insbesondere der behördliche Einblick in das Kontoguthaben, sind ohne eigene gesetzliche Regelung nicht möglich. Bei der Schaffung solcher Regelungen sind verfassungsrechtliche Grenzen zu beachten.
1.10 TLfDI: Aufräumen mit Datenschutzirrtümern
Anlässlich des Safer Internet Day 2024 veröffentlichte der TLfDI eine Stellungnahme zu 20 unterschiedlichen Behauptungen („Datenschutzirrtümern“) rund um den Datenschutz, die er klarstellt.
Franks Nachtrag: Und wo haben Sie es zuerst gelesen? Na ja, vielleicht hatten Sie es ja noch nicht wahrgenommen, hier vorne ist es ja deutlich präsenter… 😁
1.11 Berlin: Herausgabe von Mitgliederlisten an Vereinsmitgliedern
Zur Ausübung der Minderheitenrechte des Vereinsrechts muss für einzelne Mitglieder die Möglichkeit bestehen andere Mitglieder zu erreichen und sie so z. B. von der Einberufung einer außerordentlichen Mitgliederversammlung zu überzeugen. Gleichzeitig stellt die DS-GVO differenzierte Regelungen auf, unter welchen Voraussetzungen Organisationen Daten Dritten gegenüber offenlegen dürfen. Das nimmt die BlnBfDI zum Anlass in einer Pressemitteilung hierzu Empfehlungen zu geben. Insbesondere wenn sich aus einer Mitgliedschaft Rückschlüsse auf politische Meinungen, die Gesundheit, religiöse oder weltanschauliche Überzeugungen, die sexuelle Orientierung oder auch die Zugehörigkeit zu einer Gewerkschaft ziehen lassen sei eine Weitergabe untersagt. Neben der Einholung einer individuellen Einwilligung der Mitglieder sieht sie in diesen Fällen auch die Einschaltung eines Treuhänders als Möglichkeit an.
1.12 DSB Österreich: Gestaltung von Cookie-Bannern und Rechtsfolgen rechtswidriger Verarbeitung
In einer Entscheidung zur Gestaltung von sog. Cookie-Bannern über die die Information und Einwilligung zum Setzen von Cookies geregelt wird, hat die Datenschutzbehörde Österreich entschieden, dass auf der ersten Ebene des Banners neben dem Akzeptieren auch eine optisch gleichwertige Option vorhanden sein muss, um den Cookie-Banner ohne Abgabe einer Einwilligung zu schließen. Auch solle die Gestaltung so erfolgen, dass der Widerruf der Einwilligung für die eingesetzten Cookies und die damit im Zusammenhang stehende Verarbeitung personenbezogener Daten einfach möglich ist. Hierfür ist zumindest ein Hinweis, wo das Widerrufsrecht ausgeübt werden kann, ausdrücklich in die Information im Cookie-Banner aufzunehmen. Die bisher erhobenen personenbezogenen Daten sind zu löschen und die bisherigen Empfänger dieser Daten darüber zu informieren.
1.13 CNIL: Bußgeld gegen Webseitenbetreiber i.H.v. 100.000 Euro
Die CNIL hat gegen ein Unternehmen, dass auf seiner Webseite Immobilienanzeigen für Privatpersonen anbietet, aufgrund mehrerer Verstöße ein Bußgeld in Höhe von 100.000 Euro verhängt. Unter anderem wurde dem Unternehmen vorgeworfen, dass es Speicherdauern für Daten festgelegt habe, ohne dass die Speicherdauer begründet werden konnte, dass Informationspflichten nicht ordnungsgemäß erfüllt wurden und dass keine Vereinbarung nach Art. 28 DS-GVO vorlag. Zudem seien einige Schutzmaßnahmen unzureichend gewesen.
1.14 Dänemark: Google Chromebook bei Schülern und unzulässige Datenweitergabe
Die dänische Aufsicht hat festgestellt, dass 53 Kommunen unrechtmäßig personenbezogene Daten von Schülern an Google für einige von Googles eigenen Entwicklungszwecken weitergegeben und damit gegen Art 6 Abs.1 lit. e DS-GVO verstoßen habe. Weitere Details finden Sie hier.
1.15 CNIL und MS 365 und Gesundheitsdaten
Darüber, dass die CNIL zwar nicht begeistert war, dass Gesundheitsdaten bei MS 365 verarbeitet werden, aber trotzdem noch ein Auge zudrückte, hatten wir berichtet. Gegen diese Entscheidung wendet sich die Internet Society France und fordert die Annullierung des CNIL-Beschlusses, der Microsoft das Hosting der Gesundheitsdaten von Franzosen erlaubt.
1.16 BSI: Bildungsnachweise und digitale Zeugnisse
Mit ihrer Handreichung „Digitale Zeugnisse“ möchte das BSI eine Hilfestellung zur Digitalisierung von Zeugnissen und Bildungsnachweisen beisteuern und verweist dazu auf Technische Richtlinien des BSI und europäische Standards. Die Handreichung entstand in Zusammenarbeit mit Expertinnen und Experten aus Bildungseinrichtungen, Digitalunternehmen und Schul- bzw. Bildungsministerien und liegt in der Version 1.0 vor.
Das Anforderungsprofil ergab sich daraus, dass das weitverbreitete eigenhändig eingescannte Zeugnis durch den Scanvorgang Sicherheitsmerkmale verliere. Die Verwendung eines geeigneten Papiers und dokumentenechter Tinte ist einem gescannten Dokument nicht mehr anzusehen. Durch den Verlust der Stofflichkeit geht der Integritätsschutz verloren und nachträglich vorgenommene Änderungen sind kaum feststellbar. Zuverlässig prüfbare Digitale Bildungsnachweise können bereits heute auf Basis existierender Regularien und erprobter technischer Standards und Richtlinien realisiert werden. Hierzu werden standardisierte (auch: maschinenlesbare) Datenformate mit elektronischen Signaturen und Siegeln kombiniert und der Beweiswert kann so für lange Zeiträume erhalten werden.
Und weil es so gut dazu passt: Das BSI hat auch viele Infos und Erklärungen zu Cybersicherheit in der Schule, in Bildungseinrichtungen und zuhause.
1.17 BSI: TR-03182 E-Mail-Authentifizierung
Das BSI veröffentlichte die TR-03182, die prüfbare Anforderungen an E-Mail-Diensteanbieter definiert. Ziel sei eine Erhöhung der Vergleichbarkeit und Verbreitung authentischer E-Mail-Kommunikation. Ein „E-Mail-Diensteanbieter“ oder „Betreiber eines E-Mail-Dienstes in seiner Organisation“ könne mit der Konformität zur TR auch einen unabhängigen Nachweis über die Sicherheitsleistung seines E-Mail-Dienstes erbringen. Idealerweise werden die Maßnahmen für E-Mail-Authentifizierung durch Maßnahmen für Sicheren E-Mail-Transport ergänzt. Hierzu wurde durch das BSI die Technische Richtlinie BSI TR-03108 Sicherer E-Mail-Transport veröffentlicht. Weitere Informationen des BSI und Schemadateien finden sich hier.
1.18 BSI: TR-03179-1 Central Bank Digital Currency
Das BSI hat die TR-03179-1 veröffentlicht, als deren Zielgruppe es unter anderem die Anbieter sowie Entwicklerinnen und Entwickler von CBDC-Bezahlsystemen sieht, denen die TR als Leitfaden für eine sichere Implementierung gemäß dem Grundsatz „Security by Design“ dienen kann. Die TR wird aufgeteilt in zwei Teile: Backend-Systeme und Frontend-Systeme (in Vorbereitung).
1.19 Akteneinsicht bei Aufsichten
Ist zwar kein direktes Thema von den Aufsichten, aber wer sich für Aufsichten interessiert, sollte auch wissen, was beachtenswert sein kann, sollte in die Kommunikation mit ihnen eingetreten werden. So finden sich hier praxisnahe Erläuterungen, speziell auch für Nicht-Jurist:innen.
1.20 ICO: Leitfaden zur biometrischen Erkennung
Die britische Datenschutzaufsicht ICO veröffentlichte eine erste Fassung eines Leitfadens zur biometrischen Erkennung. Vorausgegangen war eine Phase der Konsultation. Dabei wurden Meinungen zur Biometrie eingeholt, einschließlich der Forschung des British Youth Council und des Ada Lovelace Institute sowie des Citizens‘ Biometrics Council. Zeitgleich veröffentlicht der ICO auch den Entwurf einer zusammenfassenden wirtschaftlichen Folgenabschätzung für diese Leitlinien.
1.21 FTC: Heimliche Änderung von Datenschutzregelungen sei unlauter
Die US-amerikanische Federal Trade Commission (FTC) stört sich daran, wenn Unternehmen „heimlich“ oder gar rückwirkend in Nutzungsbedingungen die Verwendung der Daten zum Training von AI verwenden. Eine „stille“ Änderung der Nutzungsbedingungen könnte unlauter oder irreführend sein. Ein Unternehmen, das Nutzerdaten auf der Grundlage einer Reihe von Datenschutzverpflichtungen sammelt, könne diese Verpflichtungen nicht einseitig aufkündigen, nachdem es die Daten der Nutzer gesammelt hat. Vor allem angesichts der Tatsache, dass bestimmte Merkmale digitaler Märkte es den Nutzern erschweren können, problemlos zwischen verschiedenen Diensten zu wechseln, hätten die Nutzer unter Umständen keine Möglichkeit Rechtsmittel einzulegen, wenn ein Unternehmen sie mit attraktiven Datenschutzverpflichtungen zu einem Produkt gelockt hat, um sich dann wieder von diesen Verpflichtungen zu lösen. Die FTC werde auch weiterhin gegen Unternehmen vorgehen, die unlautere oder irreführende Praktiken anwenden – auch gegen solche, die versuchen die „Spielregeln“ für die Verbraucher zu ändern, indem sie ihre Datenschutzrichtlinien oder Nutzungsbedingungen heimlich umschreiben, um sich freie Hand bei der Nutzung von Verbraucherdaten für die Produktentwicklung zu verschaffen (siehe dazu auch unter 4.14). Letztendlich sei es nicht intelligent eine künstliche Zustimmung zu erhalten.
1.22 CNIL: Statistik für 2023
Die CNIL informiert darüber, dass sie im Jahr 2023 insgesamt 42 Sanktionen in Höhe von fast 90 Millionen Euro verhängte. Außerdem wurden 168 Fristsetzungen und 33 Erinnerungen an gesetzliche Verpflichtungen zugestellt. In 2023 zeichnete sich die Strafverfolgungstätigkeit der CNIL durch einen Anstieg der Anzahl der ergriffenen Maßnahmen aus. Hier finden sich Ausführungen der CNIL zu einzelnen Sanktionen. Für 2024 nimmt sich die CNIL Kontrollen bei den Daten von Minderjährigen, der Datenverarbeitung bei den Olympische Spielen, dem Auskunftsrecht und den papierlose Kassenbons vor.
1.23 EDSA: Beginn der koordinierten Aktion zum Auskunftsrecht
Nachdem der EDSA bereits eine koordinierte europaweite Prüfung zum DSB durchführte, kündigt er nun den Beginn der europaweiten Prüfung zum Auskunftsrecht an. Den Verantwortlichen werden dazu Fragebögen zugesandt. Die Ergebnisse der gemeinsamen Initiative werden in koordinierter Weise analysiert und die Datenschutzbehörden werden über mögliche weitere Aufsichts- und Durchsetzungsmaßnahmen entscheiden. Darüber hinaus werden alle Ergebnisse aggregiert, was einen tieferen Einblick in das Thema ermöglicht und gezielte Folgemaßnahmen auf EU-Ebene erlaubt. Der EDSA wird einen Bericht über die Ergebnisse dieser Analyse veröffentlichen, sobald die Maßnahmen abgeschlossen sind.
In Deutschland nehmen laut der Pressemeldung der DSK die Landesdatenschutzaufsichtsbehörden aus Bayern (LDA), Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, dem Saarland und Schleswig-Holstein sowie der BfDI teil.
1.24 LfDI Baden-Württemberg: Handreichung zu Kapitel V der DS-GVO (Drittstaatentransfer)
Der LfDI Baden-Württemberg hat vor dem Hintergrund des Angemessenheitsbeschlusses zugunsten der USA seine Handreichung zum Internationalen Datentransfer aktualisiert. Im Gegensatz zu manch anderen Interpretationen wird hier z.B. der Ausnahmevorschrift des Art. 49 DS-GVO auch die Zulässigkeit einer regelmäßige und nicht nur gelegentlichen Übermittlungen zugestanden.
1.25 BayLDA: Tätigkeitsbericht 2023
Das BayLDA hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. In seiner Pressemeldung dazu führt das BayLDA aus, dass die DS-GVO für neue technische oder rechtliche Themen, wie die Nutzung von Künstlicher Intelligenz oder die neuen EU-Rechtsakte zum Teilen von Daten, das Fundament für den Schutz personenbezogener Daten bleibt. Je verlässlicher die Strukturen und Prozesse zur Erfüllung der DS-GVO z.B. bei Betroffenenrechten oder der Einbindung betrieblicher Datenschutzbeauftragter etabliert seien, desto leichter wären auch neue Fragestellungen bei der Nutzung von Copilot, ChatGPT und Co. zu bewältigen. Wie bisher bleibe es Ziel des BayLDA Unternehmen genauso wie Vereine mit praxisgerechten Hilfestellungen zu begleiten. Allerdings sei dazu eine personelle Anpassung der Ressourcen erforderlich.
Dieses Jahr wurde der Tätigkeitsbericht mal nicht, wie die letzten Jahre, mit einer Online-Präsentation vorgestellt, sondern mit einem Podcast (Direktlink zum Podcast), der in Kooperation mit der Hochschule Ansbach entstand. Ergänzt wird der Podcast, in dem einige Schwerpunkte angesprochen werden, durch entsprechende Shownotes. Auch der Bayerische Rundfunk berichtet zum Tätigkeitsbericht. Nachfolgend ein paar subjektiv ausgewählte Themen aus dem Tätigkeitsbericht:
1.25.1 BayLDA: Tätigkeitsbericht 2023 – Betroffenenrechte / Auskunft
Das BayLDA äußert sich in Ziffer 5.1 zu den kumulativen Anforderungen der Ausnahmeregelung zu Auskunftsverpflichten nach § 34 BDSG. Hinweise zu Auskunftsbegehren bei Webseitenbesuchen gibt es in Ziffer 5.3. Um Auskunftsersuchen bzgl. eines Webseitenbesuchs erfüllen zu können, werden oft mehr Daten gebraucht, als vorhanden sind, da Verantwortliche u.U. nur eine IP-Adresse oder eine Cookies-ID gespeichert haben. Im Tätigkeitsbericht heißt es dazu, es sei erforderlich weitere Daten einzufordern. Das BayLDA informiert unter Ziffer 5.4, dass es keine Beschwerde von Betroffenen zur verweigerten Auskunft bearbeitet, wenn diese darauf beruht, dass Verantwortliche sich weigern eine Auskunft zu erteilen, weil der Betroffenen vorher anbot auf die Auskunft gegen eine Zahlung eines Betrags zu verzichten. Begründet wird die verweigerte Unterstützung, dass das BayLDA darin eine exzessive Ausübung des Auskunftsrechts sieht.
1.25.2 BayLDA: Tätigkeitsbericht 2023 – Rechtsanwälte und E-Mail-Kommunikation
Das BayLDA befasst sich in Ziffer 13.1 auch mit den Anforderungen an technische Schutzmaßnahmen bei der E-Mail-Kommunikation durch Rechtsanwälte. Eine Transportverschlüsselung sei dabei immer mindestens zu verwenden, bestehe im Einzelfall ein hohes Risiko, müsse zusätzlich eine Inhaltsverschlüsselung vorgenommen werden. Der Umstand, dass Rechtsanwälte berufsrechtlich zur Verschwiegenheit verpflichtet sind, führe jedoch nicht dazu, dass bei jeglichem E-Mail-Versand durch Rechtsanwälte von einer Hochrisikoverarbeitung auszugehen wäre. So könne beispielsweise eine Terminerinnerung auch lediglich transportverschlüsselt versandt werden.
1.25.3 BayLDA: Tätigkeitsbericht 2023 – Webtracking nach TTDSG – Bußgeld möglich
Das BayLDA stellt in Ziffer 14.2 klar, dass bei einem Web-Tracking ohne Einwilligung durch einen Webseiten- oder App-Betreiber die Verhängung eines Bußgelds geprüft werde. Die Rechtslage sei mittlerweile eindeutig. Eingaben im Bereich Internet betrafen zum überwiegenden Teil Webseiten, die einwilligungspflichtige Dienste wie Google Analytics oder Facebook Pixel ohne eine Einwilligung einsetzten. Eine Interessensabwägung reiche als Rechtsgrundlage nicht aus.
1.25.4 BayLDA: Tätigkeitsbericht 2023 – Drittstaatentransfer in die USA
Fragestellungen zum Drittstaatentransfer insb. an Empfänger in den USA behandelt das BayLDA in mehreren Ziffern (im Kapitel 15). Aufgrund der Formulierung in Art. 46 DS-GVO wird davon ausgegangen, dass die Standarddatenschutzklauseln nur dann anzuwenden sind, wenn kein Angemessenheitsbeschluss aus dem Data Privacy Framework (DPF) vorliegt. Für den Transfer in die USA also nur, wenn entweder kein Angemessenheitsbeschluss vorliegt (Art. 46 Abs. 1 DS-GVO), oder dieser nicht die transferierten Daten („HR“ / „Non-HR“) umfasst. Darüber ist dann jeweils in der Umsetzung der Informationspflichten nach Art. 13 Abs. 1 lit. f DS-GVO zu informieren.
Die Regelungen innerhalb der Standarddatenschutzklauseln, die die Anforderungen des Art. 28 DS-GVO umsetzen, können parallel zum Angemessenheitsbeschluss weiter gelten. Die Transferregelungen aus den Standarddatenschutzklauseln könnten dann aufschiebend bedingt vereinbart werden für den Fall, dass das DPF unwirksam werde oder das Empfängerunternehmen nicht mehr zertifiziert sei. Allerdings müsste dann eine TIA durchgeführt werden, weil ein Verweis auf die Erkenntnisse aus dem DPF entfalle.
Neben dem DPF sind weiterhin die Anforderungen an die AV einzuhalten. Zwar beinhalten die Standarddatenschutzklauseln auch die Anforderungen der AV – sie werden zwar bzgl. der Übermittlungsanforderungen in den Drittstaat durch das DPF verdrängt, können aber weiterhin die Anforderungen für die AV nach Art. 28 DS-GVO abbilden.
1.25.5 BayLDA: Tätigkeitsbericht 2023 – Einsatz von KI
Unter der Ziffer 16.1 beschreibt das BayLDA die Herausforderungen und Aktivitäten des BayLDA zu Fragestellungen der Künstlichen Intelligenz und Datenschutz. Eine weitere Herausforderung sei die Prüfbarkeit und Bewertung von KI-Modellen. Eine datenschutzfreundliche KI muss personen-bezogene Daten fair und transparent verarbeiten. So könnte Voreingenommenheit einer KI beim Einsatz zur Entscheidungsfindung zur Diskriminierung einer betroffenen Person führen. Das BayLDA befasst sich diesbezüglich derzeit mit dem „holistic framework for evaluating foundation models“ (HELM) der Stanford University.
Ergänzend sei hier auf die Ausführungen auf Seite 2 der Einführung zum Tätigkeitsbericht verwiesen, nach der das BayLDA trotz personeller Engpässe und noch fehlender gesetzlicher Klärungen ab März 2024 die Funktion eines KI-Beauftragten einrichten wird.
1.25.6 BayLDA: Tätigkeitsbericht 2023 – Europaweite Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten
Bei den Schilderungen zum Vorgehen im Rahmen der europaweiten Prüfung der Datenschutzbeauftragten informiert das BayLDA unter der Ziffer 17.2, dass es aus den 36.000 in Bayern gemeldeten Datenschutzbeauftragten für die bayerische Wirtschaft repräsentative Unternehmen unterschiedlicher Branchen und Organisationsformen aufgenommen habe, um so zu einem möglichst breit gefächerten europäischen Gesamtbild beizutragen. Die aus der gemeinsamen Prüfaktion gewonnen Erkenntnisse sollen sowohl auf europäischer Ebene durch eine Überarbeitung der EDSA-„Leitlinien in Bezug auf Datenschutzbeauftragte“ als auch durch die Fortentwicklung der Handreichungen des BayLDA für die Datenschutzpraxis nutzbar gemacht werden.
1.25.7 BayLDA: Tätigkeitsbericht 2023 – Bußgelder
Das BayLDA berichtet in Ziffer 18 über einzelne Fälle, in denen Bußgeldern verhängt wurden. Details werden aber nur bei Privatpersonen z.B. wegen des Einsatzes von AirTags oder wegen Kontaktaufnahmen zu anderen (privaten) Zwecken weiter ausgeführt. Insgesamt sei ein Sanktionsbetrag in der Gesamthöhe von 3,8 Mio. Euro verhängt worden, darunter ein siebenstelliger Betrag gegen ein Unternehmen. Nachdem das BayLDA die relevanten Urteile des EuGH zur Festlegung von Sanktionen erläuterte, wie zu den handelnden Personen, den Anforderungen an das Verschulden und der Berechnung der Sanktionen (Vorjahresumsatz bei Konzernen) kündigt es an vor dem Hintergrund dieser Entscheidungen und der damit gewonnenen Rechtssicherheit bußgeldwürdige Verstöße von Unternehmen weiterhin konsequent mit Bußgeldern zu sanktionieren.
1.25.8 BayLDA: Tätigkeitsbericht 2023 – Keine Aussage zu MS 365
Warum es keine Aussage zum MS 365 im Tätigkeitsbericht gibt, wird im bereits erwähnten Podcast thematisiert. (Simple Antwort: Weil es dazu keine Tätigkeit gegeben habe.)
1.26 BSI: Untersuchung zu Steuererklärungsapps
Das BSI hatte im letzten Jahr Apps getestet, die durch Bürger:innen zur Erstellung der Steuererklärung genutzt werden können, und nun den Bericht veröffentlicht. Im Rahmen der Untersuchung wurden 97 IT-Sicherheitsmängel in den untersuchten Apps identifiziert und im Wesentlichen behoben. Auch Datenschutzaspekte wurde betrachtet, wie z.B. das Benutzertracking. Den gesamten Bericht finden Sie hier.
2 Rechtsprechung
2.1 EGMR: Aussagen zur Chatkontrolle und Vorratsdatenspeicherung
In einem Verfahren eines russischen Staatsbürgers am Europäischen Gerichtshof für Menschenrechte (EGMR) gegen die Russische Föderation ging es um Zugriff auf Kommunikationsdaten. Der Staat verpflichtete den Betreiber der App Telegram unter anderem dazu Kommunikationsdaten während eines Jahres zu speichern und diese den Strafverfolgungsbehörden zur Verfügung zu stellen – inklusive Informationen, die zur Entschlüsselung von verschlüsselten Nachrichten nötig sind. Der Gerichtshof urteilt diesbezüglich (RN80), dass die angefochtene Regelung, die die Vorratsspeicherung der gesamten Internetkommunikation aller Nutzer, den unmittelbaren Zugriff der Sicherheitsdienste auf die gespeicherten Daten ohne angemessene Garantien gegen Missbrauch und die Verpflichtung zur Entschlüsselung der verschlüsselten Kommunikation vorsieht, wie sie auf die Ende-zu-Ende-verschlüsselte Kommunikation angewandt wird, in einer demokratischen Gesellschaft nicht als notwendig angesehen werden kann. Soweit diese Gesetzgebung den Behörden einen generellen und unzureichend abgesicherten Zugriff auf den Inhalt der elektronischen Kommunikation ermöglicht, beeinträchtigt sie den Kern des Rechts auf Achtung des Privatlebens nach Artikel 8 der Konvention.
2.2 EuGH: Verkauf einer Datenbank durch Gerichtsvollzieher
Im Verfahren C-693/22 geht es um den Verkauf einer Datenbank durch einen Gerichtsvollzieher. Der Generalanwalt hat dazu seine Schlussanträge gestellt. Seiner Ansicht nach fallen die von dem Gerichtsvollzieher zur Schätzung des Werts der betreffenden Datenbanken und zu ihrer Versteigerung vorgenommenen Handlungen in den Anwendungsbereich der DS-GVO. Diese Handlungen umfassten das Auslesen, das Abfragen und die Verwendung der personenbezogenen Daten und ihre Bereitstellung an den Erwerber und seien daher als eine „Verarbeitung“ dieser Daten im Sinne dieser Verordnung anzusehen. Zudem meint der Generalanwalt, dass der Gerichtsvollzieher als der für diese Verarbeitung Verantwortliche eingestuft werden müsse. Außerdem sei in Rede stehende Verarbeitung rechtmäßig, wenn sie für die Wahrnehmung einer dem Gerichtsvollzieher übertragenen Aufgabe, die in Ausübung öffentlicher Gewalt erfolge, erforderlich sei. Schließlich stellt der Generalanwalt fest, dass sich der Zweck der von dem Gerichtsvollzieher vorgenommenen Verarbeitung von dem ursprünglichen Zweck unterscheide, der darin bestanden habe die Nutzung der in Rede stehenden Online-Plattform zu ermöglichen. Damit diese weitere Verarbeitung als mit der DS-GVO vereinbar angesehen werden könne, müsse sie eine in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zur Erreichung eines der mit dieser Verordnung verfolgten Ziele im öffentlichen Interesse darstellen. Dies könne daher grundsätzlich die Verarbeitung der vorliegend in Rede stehenden Daten rechtfertigen. Zur Prüfung der Verhältnismäßigkeit, die dem vorlegenden Gericht obliege, sei eine Abwägung zwischen dem Eigentumsrecht der Gläubigergesellschaft und dem Recht der Nutzer der in Rede stehenden Online-Plattform auf Schutz personenbezogener Daten vorzunehmen.
2.3 EuGH: Speicherdauer von biometrischen Daten in Strafverfahren
Der EuGH stellt im Verfahren C-118/22 fest, dass nationale Regelungen, die eine unbegrenzte Speicherung von biometrischen und genetischen Daten vorsieht, nicht mit Art. 4 Abs. 1 lit. c der RL Polizei und Justiz (2016/680) vereinbar ist. Bei Speicherungen von personenbezogenen und insbesondere von biometrischen und genetischen Daten durch Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, sollten die Verantwortlichen verpflichtet werden regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist. Zudem sei diesen Personen das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.
2.4 EuGH: Nutzungsregelungen von sozialen Netzwerken u.a.
Wieder mal Meta (Facebook), wieder mal Max Schrems, wieder Mal der Oberste Gerichtshof Österreich, der sich mit Vorlagefragen an den EuGH (C-446/21) wendet. Im Februar 2024 fand nun die mündliche Verhandlung vor dem EuGH statt.
Der EuGH soll zu folgenden Auslegungsfragen Stellung nehmen, inwieweit Verarbeitungen zum Zwecke der Werbeanzeige und vorherigen Aggregation und Analyse auf Art. 6 Abs. 1 lit. b DS-GVO anstatt auf Art. 6 Abs. 1 lit. a DS-GVO gestützt werden können, inwieweit eine Verarbeitung ohne Einschränkung nach Zeit oder Art, bei der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können, noch mit den Anforderungen der Datenminimierung vereinbar sei und ob Art. 9 Abs. 1 DS-GVO auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert und schließlich, ob eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt oder gegen die Vorgaben aus Art. 5 Abs. 1 lit. b DS-GVO i.V.m. Art. 9 Abs. 2 lit. e DS-GVO verstößt? Die Vorlagefragen habe ich etwas umformuliert, im Original lesen Sie sie hier.
Zumindest haben einige schon die Konsequenzen der möglichen Antworten zu den Fragen mitbekommen.
2.5 BFH: Auskunftsanspruch nach Art. 15 DS-GVO gegenüber Finanzbehörden
Der Bundesfinanzhof stellte in seinem Beschluss fest, dass ein Insolvenzverwalter keinen datenschutzrechtlichen Auskunftsanspruch aus Art. 15 DS-GVO gegenüber den Finanzbehörden habe.
2.6 OLG München: Urheberrechtlicher Schutz bei Datenschutzhinweisen möglich
Das OLG München stellte in einem Beschluss fest, dass es sich auch bei Datenschutzerklärungen im Sinne von Art. 12 Abs. 1 Satz 1 DS-GVO nach den Umständen des Einzelfalls um ein Werk im Sinne von § 2 Abs. 1 Nr. 1, Abs. 2 UrhG handeln kann. Die Urheberrechtsschutzfähigkeit von Schriftwerken, die einem „Gebrauchszweck“ dienen, erfordere dabei kein deutliches Überragen des Alltäglichen, des Handwerksmäßigen, der mechanisch-technischen Aneinanderreihung des Materials.
2.7 OLG München: Nachweispflicht bei Cyberangriff zum Schaden
Das OLG München sieht keine Kausalität zwischen einem Cyberangriff und dem Missbrauch von personenbezogenen Daten, auch wenn unstreitig bleibt, dass der Betroffene mehrfach von einem Datenabfluss betroffen war.
2.8 VG Berlin: Auskunftsanspruch nach Art. 15 DS-GVO scheinbar grenzenlos
Nach dem Urteil des VG Berlin ist ein Auskunftsanspruch gemäß Art. 15 Abs. 1, Abs. 3 DS-GVO gegen eine öffentlich-rechtliche Stelle auch dann weder rechtsmissbräuchlich noch unverhältnismäßig, wenn geschätzt mehr als 5.000 Seiten Akten gesichtet und anonymisiert werden müssen (vgl. RN 9 und 37).
2.9 ArbG Hamburg: Zum Mitbestimmungsrecht des Betriebsrats bei ChatGPT
In dem Beschluss im Rahmen des einstweiligen Rechtsschutzes vor dem ArbG Hamburg stellt dieses fest, dass es kein Mitbestimmungsrecht des Betriebsrates beim Einsatz von Künstlicher Intelligenz, hier ChatGPT, gibt. Aber: Dabei ist zu beachten, dass es in diesem Verfahren darum ging, dass die Nutzung über die Browserfunktion den Beschäftigten freigestellt wurde, dies über private Accounts zu nutzen hatte und der Arbeitgeber zudem auch keine ggf. anfallende Kosten übernehmen wollte. Er stellte zwar Informationsmaterial und interne Leitlinien und ein Handbuch zur Verfügung, hatte aber außer über eine Browserprotokollierung keinerlei Einfluss oder Auswertungsmöglichkeit. Empfehlenswerte Berichte dazu finden Sie hier und da.
2.10 OLG Düsseldorf: Anforderungen bei Fake-Bewertungen im Wettbewerbsverfahren
Wenn sich Anwälte untereinander vor Gericht streiten, kann der Unterhaltungswert nicht unterschätzt werden. Hier ging es in einem wettbewerbsrechtlichen Streit um Bewertungen, die ein Anwalt auf seiner Facebook-Fanpage veröffentlichte. Diese Aussagen standen im Verdacht gefaked zu sein, so dass ein Mitbewerber dem Anwalt vorwarf mit vorgetäuschten Online-Bewertungen zu arbeiten. Dieser zog sich auf ein pauschales Bestreiten und den Verweis auf seine anwaltliche Verschwiegenheitspflicht nach § 2 BORA zurück und kam der Aufforderung des Gerichts nicht nach, um dem vom Kläger erhobenen Vorwurf, es handele sich bei den streitbefangenen Bewertungen um Fake-Bewertungen, substantiiert entgegen zu treten. Er hätte ihm dazu im Rahmen seiner sekundären Darlegungslast oblegen konkret vorzutragen, dass Personen mit diesem Namen mit seiner Rechtsanwaltskanzlei oder ihm tatsächlich in Kontakt standen oder dass er die Bewertung anderweitig einem konkreten Kontakt/Mandatsverhältnis zuordnen könne (Ziffer II. 3.3a im Urteil). Das hatte er nicht, so dass er hier durch das OLG Düsseldorf auf Unterlassung in Anspruch genommen wurde.
2.11 ArbG Mannheim: Kündigung bei Datenschutzverletzung durch Wahlvorstand
Ein Arbeitnehmer, der als Betriebsratsmitglied die Funktion des Wahlvorstands innehatte, machte gegenüber seinem Arbeitgeber einen Anspruch auf Auskunft nach Art. 15 DS-GVO inkl. Kopien dieser Daten geltend. Bei der Zusammenstellung dieser Daten entdeckte der Arbeitgeber eine E-Mail des Arbeitnehmers an seine private E-Mail-Adresse mit der Wählerliste, welche der Arbeitgeber im Zusammenhang mit der bevorstehenden Betriebsratswahl dem Wahlvorstand per Mail an den Vorsitzenden des Wahlvorstandes sowie in Kopie an die stellvertretende Wahlvorstandsvorsitzende geschickt hatte und welche von der stellvertretenden Wahlvorstandsvorsitzenden am gleichen Tag an den Kläger weitergeleitet worden war. Die Wählerliste enthielt folgende Datenfelder von 542 Personen: Personalnummer; Anrede; Titel; Nachname, Vorname, Straße und Hausnummer, PLZ, Ort, Geburtsdatum; Mitarbeiterkreis (Leasing, Azubi, Gewerblich etc.); Eintrittsdatum; Vertragsende (wenn anwendbar), Nationalität, Organisationseinheit/Abteilung.
Das ArbG Mannheim bewertet dieses Vorgehen als wichtigen Grund im Sinne von § 626 Abs. 1 BGB. Durch die Versendung der ihm überlassenen Wählerliste mit den höchstpersönlichen Daten von über 500 Beschäftigten des Arbeitgebers an seine private E-Mail-Adresse habe der Arbeitnehmer einen eklatanten Vertragsverstoß begangen. Dass es sich dabei um äußerst sensible und in höchstem Maße schützenswerte Daten handelt, kann nicht in Abrede gestellt werden. Selbst wenn die Weiterleitung der Daten durch den Arbeitnehmer – was er behauptet und was von dem Arbeitgeber bestritten wird – hierbei subjektiv dem Zweck der Ausübung seines Amtes als Mitglied des Wahlvorstands dienen sollte, hat der Arbeitnehmer mit seinem Verhalten zumindest eine gravierende (und erschreckende) Sorglosigkeit an den Tag gelegt. Auch bei Unterstellung des Prozessvortrags des Arbeitnehmer als richtig, dass der von ihm zu Hause genutzte Computer passwortgeschützt ist, über eine Laufwerksverschlüsselung verfügt und nur für ihn selbst in seiner Wohnung zugänglich gewesen ist, bleibt doch der berechtigte Vorwurf, dass der Arbeitnehmer die Daten durch deren Weiterleitung an seinen privaten E-Mail-Account dem Schutz und der Kontrolle des Arbeitgebers, die für den sorgsamen Umgang mit diesen Daten verantwortlich ist, entzogen hat. Dieses Verhalten ist für den Arbeitgeber – auch und gerade im Interesse seiner Beschäftigten, die ihm die höchstpersönlichen Daten zu treuen Händen überlassen haben und auf deren Schutz durch den Arbeitgeber vertrauen durften – nicht hinnehmbar.
Die E-Mail unterlag auch keinem Verwertungsverbot. Der Sachverhalt wurde von dem Arbeitgeber allein aufgedeckt durch ein Auskunftsersuchen des Arbeitnehmers selbst. Er kann nunmehr nicht die Vertraulichkeit seiner Daten und die Rechtswidrigkeit eines Zugriffs der Beklagten hierauf geltend machen, wenn er selbst den Arbeitgeber um Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und um Herausgabe einer Kopie dieser Daten ersucht hatte. Schließlich steht auch die vom Arbeitnehmer erhobene Rüge der fehlenden Mitwirkung des Betriebsrats beim Zugriff auf die Daten des Arbeitnehmers, selbst wenn die Rüge begründet wäre, einer Verwertung der dadurch (sozusagen als „Zufallsfund“) gewonnenen Erkenntnisse nicht entgegen. Allein die Verletzung eines Mitbestimmungstatbestandes oder die Nichteinhaltung einer Betriebsvereinbarungsregelung begründet grundsätzlich weder ein Beweisverwertungs- noch ein Sachvortragsverwertungsverbot.
2.12 OLG Hamburg: Löschverlangen und Nachvollziehbarkeit bei Kununu
Arbeitgeber müssen in der Lage sein bei Arbeitgeberbewertungsportalen das Vorliegen eines geschäftlichen Kontakts zwischen ihnen und dem Rezensenten nachzuprüfen. Eine Arbeitgeberplattform wurde durch das OLG Hamburg verurteilt Bewertungen zu löschen, sofern sie den Bewertenden gegenüber dem Bewerteten nicht so individualisiert, dass dieser das Vorliegen eines geschäftlichen Kontakts überprüfen könne. Dies gelte auch dann, wenn der Portalbetreiber einwende, aufgrund datenschutzrechtlicher Bestimmungen diese Individualisierung nicht vornehmen zu dürfen.
2.13 AG Jülich: Ausführungen zu Schutzmaßnehmen § 202a StGB
Über das Urteil des Amtsgerichts Jülich hatten wir bereits berichtet. Weil die Dimension gerade in IT-Sicherheitskreisen doch sehr relevant erscheint, hier noch Erläuterungen aus strafrechtlicher Sicht dazu, inwieweit ein Passwort als Zugangssicherung ausreiche.
2.14 Urteilsübersichten zum Datenschutzrecht
Wieder mal ein Hinweis auf übersichtliche und frei zugängliche Darstellungen zu datenschutzrechtlichen Fragestellungen. Sei es zum Auskunftsanspruch, zu Vorlagefragen an den EuGH, zu Berichtigungsansprüchen oder zu Schadenersatzansprüchen, hier finden sich leicht* Entscheidungen zu strittigen Fragen.
* Franks Anmerkung: Hmm, da scheint eine Paywall im Weg zu sein, da müssen wir also unsere Beck-Online-Zugangsdaten bemühen…
2.15 EuGH-Vorschau: DS-GVO auch bei mündlichen Weitergaben
Am 7. März 2024 ist das Urteil des EuGH angekündigt im Verfahren C-740/22 (Endemol Shine Finland), bei dem es um die Frage geht, ob eine mündliche Übermittlung personenbezogener Daten eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DS-GVO darstellt. Zudem geht es darum, ob der Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung auf die von Art. 86 der Verordnung genannte Weise dadurch in Einklang gebracht werden kann, dass aus dem Personenregister eines Gerichts unbeschränkt Informationen über Strafurteile oder Delikte einer natürlichen Person erhältlich sind, wenn beantragt wird, dem Antragsteller die Informationen mündlich zu übermitteln.
2.16 FG Köln zu rechtsmissbräuchlichem Auskunftsanspruch
Das FG Köln hat eine Klage auf Erfüllung eines Auskunftsanspruchs abgelehnt mit der Begründung, der Klägerin fehle das Rechtsschutzbedürfnis, da u.a. die Klage nach Würdigung der Gesamtumstände rechtsmissbräuchlichen Zwecken diene (RN 50).
Darüber hinaus sei die Klage auch unbegründet. Die Klägerin habe ihren Auskunftsanspruch nach Erteilung einer ersten Auskunft nicht weiter spezifiziert und weder in gegenständlicher noch in zeitlicher Hinsicht konkretisiert. Eine solche Konkretisierung ist allerdings bei Verantwortlichen, die große Mengen von Informationen verarbeiten, notwendig. Trotz Aufforderung des Beklagten hat die Klägerin eine solche Präzisierung unterlassen. Der Antrag der Klägerin ist damit als exzessiv im Sinne von Art. 12 Abs. 5 DS-GVO einzustufen, da die Klägerin ihren Auskunftsanspruch weder inhaltlich noch zeitlich beschränkt hat und sie die Zurverfügungstellung gesamter Aktenbestände begehrt (RN 54).
2.17 BFH: Kein Auskunftsanspruch einer Ein-Mann-GmbH aus Art. 15 DS-GVO
Der Bundesfinanzgerichtshof stellt in seinem Urteil fest, dass der datenschutzrechtliche Auskunftsanspruch aus Art. 15 DS-GVO nur natürlichen Personen zusteht. Auch ginge das Akteneinsichtsrecht aus § 78 Finanzgerichtsordnung dem datenschutzrechtlichen Auskunftsanspruch vor. Im vorliegenden Fall stritt sich eine Ein-Mann-GmbH mit der Finanzverwaltung, macht dann aber seinen Auskunftsanspruch nicht als die natürliche Person geltend, die hinter der GmbH stand, sondern als GmbH, so dass der BFH nicht darüber zu entscheiden hatte.
2.18 BayVGH: Drohnenüberflug zur Geschoss-Ermittlung ist unzulässig
In letzter Instanz gab der Bayerische Verwaltungsgerichtshof (BayVGH) einem Eigentümer Recht, der den Überflug durch eine Drohne überprüfen ließ. Seine Kommune setzte Drohnen ein, um die Geschoßflächen der Gebäude berechnen zu lassen. Bereits die erste Instanz gab ihm Recht.
Der BayVGH wies die Beschwerde der Stadt gegen das Urteil der ersten Instanz zurück. Dem Antragsteller stehe ein Unterlassungsanspruch zu, der eine Drohnenbefliegung seines Grundstücks verbiete. Für die geplante Maßnahme fehle es bereits an einer Rechtsgrundlage. Hierfür könne insbesondere nicht die Generalklausel des bayerischen Datenschutzgesetzes herangezogen werden. Diese lässt eine Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zu, wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist. Die Vorschrift erlaube eine Erhebung personenbezogener Daten jedoch nur dann, wenn es sich um einen geringfügigen Eingriff in die Rechte der betroffenen Person handele. Der Einsatz der Drohne stelle aber einen erheblichen Eingriff in das vom Grundgesetz geschützte allgemeine Persönlichkeitsrecht des Antragstellers dar. Auch wenn das Wohngebäude von außen aufgenommen werde, sei die schützenswerte Privatsphäre betroffen. Denn mit der Drohne könnten Aufnahmen von zur Wohnung zählenden Terrassen, Balkonen oder Gartenflächen hergestellt werden. Zudem könnten die sich dort aufhaltenden Personen fotografiert werden. Weiter sei nicht auszuschließen, dass durch Glasflächen auch Innenräume erfasst würde.
2.19 OLG Hamburg: Anwendbarkeit des FernUSG auf Online-Coaching ohne Lernerfolgsüberwachung
Das OLG Hamburg hat entschieden, dass Online-Coaching ohne Überwachung des Lernerfolgs nicht der Zulassung nach § 12 Abs. 1 Satz 1 FernUSG bedarf. Daraus folgt, dass eine Rechtsfolge nach § 7 Abs. 1 FernUSG nicht eintritt, weil für den Coaching-Vertrag keine Zulassung erforderlich war, die einer Rechtswirksamkeit einer vereinbarten Vergütung entgegenstehen könnte, wie z.B. schon mal das OLG Celle entschieden hat.
2.20 EuGH-Vorschau: Abhilfebefugnis der Aufsicht nach Art. 58 Abs. 2 DS-GVO
Darf eine Datenschutzaufsicht auch ohne Antrag der betroffenen Person eine Löschung von personenbezogenen Daten im Rahmen ihrer Kompetenzen nach Art. 58 Abs. 2 lit. c, d und g DS-GVO anordnen? Diese Frage beantwortet der EuGH im Verfahren C-46/23<7a> (Újpesti Polgármesteri Hivatal) am 14. März 2024.
2.21 EuGH-Vorschau: Verpflichtung von Fingerabdrücken in Ausweisen
Eine Woche später, am 21. März 2024, hat der EuGH das Urteil im Verfahren C-61/22 (Landeshauoptstadt Wiesbaden) vorgesehen, bei der es um die Frage der verpflichtenden Speicherung von Fingerabdrücken in Ausweispapieren geht. Insbesondere soll geklärt werden, ob dadurch Art. 35 Abs. 10 DS-GVO verletzt werde.
3 Gesetzgebung
3.1 Recht auf Verschlüsselung ins TTDSG?
Durch einen geleakten Referentenentwurf wurde die Überlegungen im BMDV bekannt u.a. den § 19 TTDSG um einen weiteren Absatz zu ergänzen, um einen Anspruch auf Ende-zu-Ende-Verschlüsselung einzuführen. Die Formulierung lautet:
„Anbieter von Telemedien, deren Dienstleistung darin besteht, vom Nutzer von Telemedien bereitgestellte Informationen für diesen auf einem Datenspeicher zum Abruf bereitzuhalten, informieren den Nutzer über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung der bereitgestellten Informationen, die gewährleistet, dass die Informationen nur vom bereitstellenden Nutzer gelesen werden können.“
Auch wenn noch gar nicht klar ist, welche Formulierung es dann tatsächlich in ein Gesetzgebungsverfahren schafft, wird bereits auf Bedenken hingewiesen.
3.2 Bundesregierungsanfrage: Datensparsamkeit bei Webseiten und Treibhausgasreduzierung
In einer Anfrage an die Bundesregierung (hier Nr. 231, Seite 163) ging es um Datensparsamkeit und die Reduzierung der Emission von Treibhausgasen. Die Bundesregierung beantwortete dies mit dem Hinweis auf verbindliche Vorgaben für die Beauftragung von Leistungen im Auftrag des Bundes, in diesem Fall für die Entwicklung von Websites, die in der Allgemeinen Verwaltungsvorschrift zur Beschaffung klimafreundlicher Leistungen (AVV Klima) enthalten sind. Zudem wird in der Antwort auf weitere Vorgaben. Richtlinien und Standards verwiesen, die dabei einzuhalten seien, wie z.B. den Leitfaden zur umweltfreundlichen öffentlichen Beschaffung von Software (in der Neufassung von 2023) oder die Berücksichtigung der Kriterien des Blauen Engels für Software, die direkte Umwelteffekte erzielen.
3.3 ESA veröffentlicht Regelwerk für DORA
Drei europäische Aufsichten (EBA, EIOPA and ESMA, zusammen ESA) veröffentlichten erste Regelwerke unter DORA für IKT- und Drittanbieter-Risikomanagement und Klassifizierung von Vorfällen. Mit DORA (VO 2022/2554) über die digitale operationale Resilienz im Finanzsektor hat die europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale Resilienz geschaffen. Die Verordnung findet ab dem 17. Januar 2025 Anwendung. Die nun veröffentlichten Regelwerke zielen darauf ab die digitale operationelle Widerstandsfähigkeit des EU-Finanzsektors durch die Stärkung der Informations- und Kommunikationstechnologie (IKT) der Finanzinstitute sowie des Risikomanagements und der Berichterstattung über Vorfälle zu verbessern. Die gemeinsamen endgültigen Entwürfe technischer Standards umfassen:
- Technische Regulierungsstandards (RTS) zum IKT-Risikomanagementrahmen und zum vereinfachten IKT-Risikomanagementrahmen;
- RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen;
- RTS zur Festlegung der Politik für IKT-Dienste, die kritische oder wichtige Funktionen unterstützen und von IKT-Drittanbietern (TPP) erbracht werden; und
- Technische Durchführungsstandards (ITS) zur Festlegung der Vorlagen für das Informationsregister sowie
- RTS zum IKT-Risikomanagement-Rahmen und zum vereinfachten IKT-Risikomanagement.
3.4 Produkthaftung für Software
Wer sich für das Thema interessiert, findet hier den letzten aktuellen Text der Produkthaftungs-Richtlinie aus dem Trilog. Die EU hat sich politisch auf eine Anpassung der Produkthaftungsrichtlinie verständigt. Für Softwarehersteller sind diese weitreichend. Software ist künftig „Produkt“. Für Schäden nach dem Produkthaftungsrecht wird dann verschuldensunabhängig gehaftet, die Produkte müssen fortlaufend überwacht werden. Auch müssen rechtzeitig Sicherheitsupdates bereitgestellt werden, wenn CVEs (Common Vulnerabilities and Exposures) bekannt werden. Eine erste Darstellung und Bewertung finden sich auf dieser Webseite.
3.5 DSA: Welche Regelungen gelten jetzt?
Mit dem Digital Service Act (DSA), dem Digitale-Dienste-Gesetz der EU, werden Online-Plattformen reguliert, in Kraft ist er seit dem 17. Februar 2024. Und eigentlich sollte bis dahin auch das TTDSG die Begrifflichkeiten der Digitalen Dienste übernommen haben – aber das ist eine andere Geschichte. Welche Rechte und Meldemöglichkeiten durch den DSA nun dazukommen, welche Vorgaben und Anforderungen bezüglich des Einsatzes von Dark Pattern und der Anforderungen an Online-Werbung formuliert werden, wird hier anschaulich beschrieben.
3.6 Kanada: Algorithmic Impact Assessment Tool
Die Regierung von Kanada veröffentlichte ein Tool zur algorithmischen Folgenabschätzung (Algorithmic Impact Assessment, AIA) als ein obligatorisches Instrument zur Risikobewertung, das die Richtlinie des kanadischen Finanzministeriums über automatisierte Entscheidungsfindung unterstützen soll. Das Instrument ist ein Fragebogen, mit dem die Auswirkungen eines automatisierten Entscheidungssystems ermittelt werden. Er besteht aus 51 Fragen zum Risiko und 34 Fragen zur Risikominderung. Die Bewertungspunkte basieren auf vielen Faktoren, darunter die Gestaltung des Systems, der Algorithmus, die Art der Entscheidung, die Auswirkungen und die Daten. Die AIA wurde auf der Grundlage bewährter Verfahren in Absprache mit internen und externen Interessengruppen entwickelt. Er wurde offen entwickelt und steht der Öffentlichkeit zur gemeinsamen Nutzung und Wiederverwendung unter einer offenen Lizenz zur Verfügung.
3.7 Strafbarkeit des Besitzes von Bildern mit sexueller Gewalt an Kindern
Endlich. Endlich scheint sich der Gesetzgeber daran zu machen, die Fehlkonstruktion aus dem Strafgesetzbuch zu korrigieren, die zu einer großen Anzahl an minderjährigen Straftätern führte, aber auch Bezugspersonen von Opfern machten sich strafbar, wenn sie z.B. Bilder vom Opfer mit der Bitte um Hilfeleistung zugeschickt bekamen. Ursächlich war die Strafverschärfung in § 184b StGB, nach der in besten Absichten – die Strafandrohung bei sexueller Gewalt gegen Kinder – bereits auch der Besitz als Verbrechen mit einer Mindeststrafe von einem Jahr geahndet wird. Damit entsteht für die Strafverfolgungsbehörden das Legalitätsprinzip, d.h. eine Strafverfolgung erfolgt von Amtswegen.
Derzeit bleibt nur die Möglichkeit das entsprechende Material sofort zu löschen, um einer eigenen Strafbarkeit zu entgehen. Weitere Hintergründe und Tipps dazu lesen Sie hier.
Unabhängig davon bemüht sich auch die EU bei der Bekämpfung der Verbreitung von Abbildungen sexueller Gewalt gegen Kinder weiterzukommen und ist dabei, die Ausnahme zur ePrivacy-RL (VO 2021/1232) bis zum 3. August 2026 zu verlängern.
3.8 USA: EO zum Schutz von Daten
Der US-Präsident unterzeichnete eine Executive Order (EO) “Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern”, mit der der Zugang zu sensiblen persönlichen Massendaten von Amerikanern und regierungsrelevanten Daten der Vereinigten Staaten durch betroffene Länder verhindert werden soll.
Die EO ermächtigt den Generalstaatsanwalt, eine groß angelegte Übermittlung personenbezogener Daten der Amerikaner an bedenkliche Länder zu verhindern, und sieht Schutzmaßnahmen für andere Aktivitäten vor, die diesen Ländern Zugang zu den sensiblen Daten der Amerikaner verschaffen können. Sie konzentriert sich auf die persönlichsten und sensibelsten Informationen der Amerikaner, darunter genomische Daten, biometrische Daten, persönliche Gesundheitsdaten, Geolokalisierungsdaten, Finanzdaten und bestimmte Arten von persönlich identifizierbaren Informationen. Ein Bericht dazu finden Sie hier.
4 Künstliche Intelligenz und Ethik
4.1 Stanford: Evaluierung von LLM
Welche Möglichkeiten gibt es den Einsatz von Language Models zu evaluieren? Die Stanford University veröffentlicht dazu dieses Modell: A holistic framework for evaluating foundation models (HELM) (siehe auch hier).
4.2 Stanford HAI: Rethinking privacy in the AI era
Aus dem Stanford University Human-Centered Artificial Intelligence (HAI) kommt auch folgendes Whitepaper “Rethinking Privacy in the AI Era: Policy Provocations for a Data-Centric World”. Dieses Whitepaper untersucht die aktuellen und zukünftigen Auswirkungen der Gesetzgebung zum Schutz der Privatsphäre und des Datenschutzes auf die Entwicklung von KI und gibt Empfehlungen zur Abschwächung der Schäden für die Privatsphäre im Zeitalter der KI.
4.3 Ethik-Check-KI des Ethikbeirats HR-Tech
Der Ethikbeirat HR-Tech hat ein Tool zur Operationalisierung der Richtlinien des Ethikbeirat HR-Tech für einen verantwortungsvollen Umgang mit KI in der Arbeitswelt veröffentlicht. Mit diesem kostenfreien (Open-Source) Tool zur Operationalisierung der Richtlinien für den verantwortungsvollen Einsatz von Künstlicher Intelligenz und weiteren digitalen Technologien in der Personalarbeit als Checkliste des Ethikbeirats HR-Tech (2024) soll ein erster Evaluierungs-Check zum verantwortungsvollen Umgang mit KI in der Arbeitswelt ermöglicht werden.
4.4 Interview zur Technologischen Verantwortung
In diesem (kurzen) Interview mit einer Expertin für Ethik und künstliche Intelligenzgeht es u.a. um Medienethik, Verantwortung und auch darum, was wir aus ethischer Sicht von einer KI lernen können.
4.5 EY: Generative AI Risk and Governance
EY hat ein Papier zu „Generative AI Risk and Governance“ veröffentlicht, in welchem sie sich mit den Risiken und Fragen der Governance bei generativer KI befassen. Dabei bilden sie z.B. auch eine Landkarte mit staatlicher Regulatorik ab.
4.6 bitkom: Künstliche Intelligenz im digitalen Marketing
Der bitkom veröffentlichte ein Whitepaper zum Thema „Künstliche Intelligenz im digitalen Marketing“. Es richtet sich an Marketing-Profis, Managerinnen und Manager sowie Entscheidungsträgerinnen und Entscheidungsträger im Bereich „digitales Marketing“ oder solche, die sich dafür halten und die generative Künstliche Intelligenz (GenAI) nutzen möchten. Das Autorenteam bietet klare Definitionen und Kontext zu generativer Künstlicher Intelligenz, um Verwirrung zu vermeiden. Ziel des Whitepapers sei es durch praxisnahe Beispiele Impulse und Inspiration für den Einsatz von GenAI und analytischer KI im Kontext des digitalen Marketings zu geben. Es werden Use Cases beleuchtet, um alltägliche Marketingaufgaben effizienter und qualitativ hochwertiger zu gestalten. Dabei geben die Autor:innen auch zu, dass KI nicht die Antwort auf alles ist, geben jedoch wichtige Implikationen und erste Schritte für den erfolgreichen Einsatz von GenAI im Bereich des digitalen Marketings.
4.7 KI Governance im Unternehmen – Wer ist verantwortlich, etc.
Aus der beliebten Serie aus der Schweiz der nächste Teil, der sich mit Fragen rund um KI befasst. Wer kennt es nicht, ein neues digitales Spielzeug im Unternehmen, alle wollen es nutzen, aber keiner die Verantwortung dafür übernehmen und die Compliance etc. sicherstellen. Da kann dieser Teil Orientierung geben.
Und wie wir gerade dabei sind, es gibt auch Aussagen dazu, wo KI vor Angreifern geschützt werden sollte und was der AI Act für die meisten Unternehmen bedeutet.
4.8 App zur KI-Beratung
Um bezüglich der Regulatorik auf dem Laufenden zu bleiben, hat eine Kanzlei eine App veröffentlicht, die einen Überblick über den Stand des EU-KI-Gesetzes gibt. Sie enthält den neuesten Textentwurf der europäischen Institutionen mit Links zu den entsprechenden Erwägungsgründen und zum Text des ursprünglichen Vorschlags der Europäischen Kommission zum EU-KI-Gesetz, der im April 2021 veröffentlicht wurde. Im AI Act wird die KI in drei Risikokategorien eingeteilt. Diese reichen von inakzeptablen und risikoreichen Anwendungen, die stark reguliert werden, bis hin zu Anwendungen, die nur begrenzten Regeln unterliegen.
4.9 Nachhaltigkeit und KI
Wenn ich allein mitbekomme, wie viele depperte und teilweise sinnfreie Prompts zum „Erproben“ von KI speziell mit ChatGPT eingesetzt werden, kann man sich fragen, warum es so lang dauert künstliche Intelligenz zu entwickeln, wenn menschliche hier kaum einen Vorsprung nahelegt. Dies bestätigt scheinbar auch dieser Beitrag über das Thema Nachhaltigkeit beim Einsatz von KI.
Nach der Schätzung der International Energy Agency (IEA) könnte sich der Stromverbrauch von Rechenzentren, künstlicher Intelligenz (KI) und dem Kryptowährungssektor bis 2026 verdoppeln. Rechenzentren sind in vielen Regionen ein wichtiger Treiber für das Wachstum der Stromnachfrage. Nachdem im Jahr 2022 weltweit schätzungsweise 460 Terawattstunden (TWh) verbraucht wurden, könnte der Gesamtstromverbrauch von Rechenzentren im Jahr 2026 mehr als 1.000 TWh erreichen. Dieser Bedarf entspricht in etwa dem Stromverbrauch Japans. Aktualisierte Vorschriften und technologische Verbesserungen, auch in Bezug auf die Effizienz, werden entscheidend sein, um den Anstieg des Energieverbrauchs von Rechenzentren zu dämpfen.
4.10 srf: KI-Richtlinien für publizistische Tätigkeiten
Auch der Schweizer Rundfunk aktualisiert seine publizistische Leitlinien um Aussagen zum Einsatz von KI. Neu enthalten die Leitlinien ein Kapitel zum Umgang mit künstlicher Intelligenz. Für die Nutzung von KI gelten künftig spezifische Handlungsanweisungen.
4.11 KI und deutsches Urheberrecht
In einer kurzen Serie von zwei Artikel werden urheberrechtliche Fragen im Zusammenhang mit generativer künstlicher Intelligenz (GenAI) untersucht, von der Beschaffung von Trainingsdaten für GenAI-Modelle über den Trainingsprozess und den Betrieb der Modelle bis hin zur Nutzung ihrer Ergebnisse. Teil 1 „Generative Artificial Intelligence under German Copyright Law“ befasst sich mit einem detaillierten Blick auf die technische Funktionsweise und zeigt, dass GenAI-Modelle auf eine Weise konstruiert sind, die die Möglichkeit von Urheberrechtsverletzungen oft technisch verhindert oder einschränkt. Die Text- und Data-Mining-Ausnahme in § 44b des deutschen Urheberrechtsgesetzes (UrhG) erlaube grundsätzlich ein rechtskonformes KI-Training. Der Erwerb der Trainingsdaten und die Nutzung des KI-Outputs können jedoch immer noch die Rechte Dritter verletzen, entweder durch den GenAI-Entwickler oder durch den Nutzer.
4.12 VDE SPEC 90012 V1.0
Falls ich es noch nicht erwähnt habe: Bei der Vielzahl der derzeitigen Möglichkeiten, sich an Vorgaben und Richtlinien bei der Nutzung von KI zu orientieren, sei noch auf die Veröffentlichung des VDE verwiesen. Deren Aktivitäten gehen bis ins Jahr 2022 zurück, als der VCIO based description of systems for AI trustworthiness characterisation VDE SPEC 90012 V1.0 (en) veröffentlicht wurde. Zielsetzung ist die Messbarmachung der Einhaltung von Werten durch KI-Systeme. Aufbauend auf bestehenden Konzepten, den Vorgaben der EU und intensiver Kooperation mit Unternehmen und Forschung wurde ein AI Trust Label erstellt, um industrieweit Verwendung zu finden. Ergebnis ist ein offener Standard, der auch als Einkaufs-Entscheidungs-Guideline für KMU, Industrie und Behörden dienen kann.
4.13 Zürich: KI in der öffentlichen Verwaltung und Datenschutz
Für den Kanton Zürich in der Schweiz wurde diese Auslegeordnung erstellt, die über 79 Seiten datenschutzrechtliche Fragen bei Einsatz von KI in der öffentlichen Verwaltung behandelt. Es finden dabei nicht nur rechtstheoretische Erwägungen, sondern praxisnahe use cases vom Einsatz biometrischer Daten bis hin zu Maßnahmen der sozialen Hilfe oder Predictive Policing. Der Kanton Zürich widmet dem Thema auch eine Webseite mit Informationen zum Einsatz Künstlicher Intelligenz in der Verwaltung.
4.14 Reddit liefert Trainingsmaterial für KI
Berichten zufolge hat die Diskussionsplattform Reddit einen Lizenzvertrag mit einem ungenannten KI-Unternehmen* abgeschlossen. Danach habe Reddit mit einem Unternehmen einen Lizenz-Vertrag in Höhe von jährlich 60 Millionen Dollar abgeschlossen, um diesem beim KI-Training zu helfen – mit den Beiträgen der Nutzer. Der Vertrag ermögliche es der bislang unbekannten KI-Firma ihre Modelle auf Reddits Inhalten und Konversationen zu trainieren. Ob die FTC dies mit ihrer Meldung meinte?
*Franks Anmerkung: Na ja, mittlerweile scheint das KI-Unternehmen bekannt zu sein…
Franks Nachtrag: Auch bei Tumblr und WordPress scheint der Wert der Nutzeraktivitäten mittlerweile durch interessierte KI-Unternehmen vergoldet zu werden. Da auch dieser Artikel irgendwann vor dem Ende ein Login verlangt, hören Sie doch einfach den dazugehörigen Podcast (48 Min.), wenn Sie sich für mehr Informationen (weil Sie z.B. vielleicht Ihre Webseite direkt bei wordpress.com hosten?) interessieren.
5 Veröffentlichungen
5.1 IT-Sicherheit bei Banken und Versicherungen
G-Data führte eine Untersuchung zur IT-Sicherheit bei Banken durch. In zahlreichen Grafiken werden die aussagekräftigen Ergebnisse auf 55 Seiten anschaulich dargestellt. Das Magazin “Cybersicherheit in Zahlen” gibt es hier zum Download kostenlos gegen Abgabe der persönlichen Daten
5.2 Herausgabepflichten von Daten und Informationen an US-amerikanische Sicherheitsbehörden
Die Frage beschäftigt ja viele und dies immer wieder: Inwieweit können Konzernunternehmen US-amerikanischer Mütter durch US-Behörden zur Herausgabe von Informationen veranlasst werden? Damit befasst sich nun auch der Wissenschaftliche Dienst des Bundestages und sein Ergebnis vom 19.01.2024 findet sich hier.
5.3 Zulässige Zweckänderung von Lohnsteuerdaten bei Kirchenaustritt
Dass Kirchen sich Maßnahmen vorbehalten, sollten Beschäftigte aus der Kirche austreten, hat eine lange Tradition und sich in den letzten Jahrzehnten auch etwas relativiert. Hier wird anschaulich dargestellt, inwieweit kirchliche Einrichtungen als Arbeitgeber von einem Kirchenaustritt erfahren können und inwieweit diese Information dann auch weiterverwendet werden dürften.
5.4 Cyberangriff in Frankreich auf Gesundheitsdaten
Über einen erfolgreichen Angriff auf die Gesundheitsdaten von 33 Mio. Franzosen berichtet dieser Beitrag. Demnach sollen die Daten der Krankenkassen-Dienstleister Viamedis und Almerys kompromittiert worden sein. Bei den betroffenen Daten handelt es sich bei den Versicherten und ihren Familien um den Familienstand, das Geburtsdatum und die Sozialversicherungsnummer, den Namen des Krankenversicherers sowie die Garantien des abgeschlossenen Vertrags. Daten wie Bankinformationen, medizinische Daten, Gesundheitsrückerstattungen, Postanschrift, Telefonnummern oder auch E-Mails waren laut CNIL von der Verletzung nicht betroffen.
5.5 Berechtigtes Interesse bei … Webseitengestaltung
Die Untersuchung von 10.000 Webseiten zu der Verwendung der Angaben des berechtigten Interesses brachte in der Studie Investigating Deceptive Design in GDPR’s Legitimate Interest vom April 2023 u.a. folgendes Ergebnis. 474 Webseiten (4,74 %) enthielten in ihren Datenschutzhinweisen „berechtigtes Interesse(e)“. 42,41 % der Websites erwähnen ein berechtigtes Interesse nur in der zweiten Ebene eines Datenschutzhinweises, und 31 % der Websites enthielten einen rechtlich zweifelhaften Umschalter zwischen Einwilligung und berechtigtem Interesse. Nur 86,3 % der Websites legten die Zwecke ihres berechtigten Interesses offen, aber nicht alle Websites ermöglichten es den Nutzern einer solchen Verarbeitung problemlos zu widersprechen. Daher erfolgt die Annahme der Ersteller der Studie, dass vielen Nutzern wahrscheinlich nicht bewusst sei, dass berechtigte Interessen dazu verwendet werden Daten ohne ihre Zustimmung zu sammeln.
5.6 Beispiel eines Angriffs
Alle warnen davor und hinterher wissen es alle besser. Doch wie sieht so eine erfolgreicher Cyberangriff dann aus der Innenperspektive aus? Dazu ein Bericht eines schweizer Medienhauses zu einem erfolgreichen Angriff.
5.7 Vertraulichkeit im Homeoffice
Wer hat das nicht schon mal erlebt aus dem Bereich Datenschutz / Informationssicherheit: Weltfremd, Sesselpupser, Paragraphenreiter – nur wenn auf denkbare Risiken auch im Homeoffice hingewiesen wurde und dass auch dort die Vertraulichkeit zu wahren sei – gerade als während der Pandemie mehrere Personen die Schul- und Arbeitszeit zuhause verbringen mussten. Die Warnungen wären auch bei einem Ehepaar angebracht gewesen, bei dem sich nach dieser Meldung nun herausstellte, dass der Ehemann mitgehörtes Insiderwissen für Aktienkäufe nutzte, die so erfolgreich waren, dass die Börsenaufsicht stutzig wurde. Vorläufiges Ende der Geschichte: Das Ehepaar trennte sich, der Frau wurde gekündigt und der Mann wurde angezeigt und sieht neben einer Strafzahlung auch einer Gefängnisstrafe entgegen.
5.8 noyb: Beschwerde gegen Schufa wegen „BonitätsAuskunft”
Die Schufa kommt nicht zur Ruhe. Hat sie gerade erst ein EuGH-Urteil zu Art. 22 DS-GVO zur Kenntnis nehmen müssen (C-634/21 – wir berichteten), gibt es nun eine Beschwerde und Anzeige durch noyb bei der für die Schufa zuständigen Datenschutzbehörde in Hessen. Begründet wird diese mit dem Angebot der Schufa für Mietinteressente eine entgeltliche Bonitätsauskunft für Vermieter anzubieten, obwohl diese Informationen auch über Art. 15 DS-GVO kostenfrei zu erhalten sein müssten. noyb bemängelt, dass die Möglichkeit zur kostenlose Auskunftserteilung nach Art. 15 DS-GVO nicht transparent genug dargestellt werde und dass diese zudem nicht die gleichen Inhalte wie die kostenpflichtige Version aufwies. Zudem werden bei der kostenpflichtigen Version die Inhalte schneller bereitgestellt.
5.9 DIHK-Umfrage zur DS-GVO
Die Deutsche Industrie- und Handelskammer hat bei 4.900 Zwangsmitgliedsunternehmen nach den größten Bürokratietreibern für deutsche Betriebe gefragt. Demnach verursache die Umsetzung der seit Mai 2018 geltenden DS-GVO im betrieblichen Alltag laut der DIHK-Umfrage „Datenschutz praktikabel und rechtssicher gestalten“ noch immer bei mehr als drei Viertel der Betriebe einen „hohen bis extremen“ Aufwand. Auch schließt die DHIK daraus, dass in Fällen mit nur wenigen Daten oder geringem bis normalen Risiko umfassende Dokumentationspflichten unverhältnismäßig seien. Sie brächten mehr Aufwand, aber nicht mehr Datenschutz. Zwar messen laut der DIHK die Betriebe dem Datenschutz einen hohen Stellenwert bei. Mehr als 60 Prozent gäben an, dass die Bedeutung des Themas etwa aufgrund drohender Cyberangriffe in den vergangenen drei Jahren für sie zugenommen habe. Allerdings hätte ich da gerne nachgefragt, ob den Fragern und Befragten der Unterschied zwischen Datenschutz und Datensicherheit geläufig sei. Trotz mancher scheinbaren Suggestivfragen bringt die Umfrage Erkenntnisse über den Stand der Umsetzung der DS-GVO und die Bewertung durch die DIHK.
5.10 Einwilligung als Rechtsgrundlage weg und dann?
Mit einer sehr praxisnahen Fragestellung befasst sich dieser Blogbeitrag: Die betroffene Person widerruft die Einwilligung (oder diese verliert aus anderen Gründen ihre Rechtswirksamkeit) – was nun? Ist dann der Wechsel auf eine andere Rechtmäßigkeitsgrundlage zulässig? Und sehr praxisnah ist dabei der Hinweis, dass in den Informationspflichten nach Art. 13 Abs. 1 lit. c DS-GVO, 14 Abs. 1 lit. c DS-GVO ja auch die Rechtsgrundlage aufzuführen ist. Diese Angaben sind dann anzupassen und die betroffene Person darüber in Kenntnis zu setzen.
5.11 BSI: Krisenkommunikation – Schaden begrenzen, Reputation erhalten
Diese Folge des Podcasts des BSI (ca. 30 Min.) widmet sich dem Thema Krisenkommunikation. Im Umgang mit der Außenwelt sei in der Ausnahmesituation einer Krise wichtig nicht zu viel zu versprechen und keine zu hohen Erwartungen zu schüren.
5.12 bitkom: Generative KI im Unternehmen
Der bitkom veröffentlichte einen Leitfaden „Generative KI im Unternehmen“, da derzeit große Unsicherheit bei der gewerblichen Nutzung von KI herrsche. Nach einer kurzen Einführung in die technischen Grundlagen und Anwendungsmöglichkeiten generativer KI werden zunächst rechtliche Aspekte bei der Beschaffung von Künstlicher Intelligenz erörtert und eine Checkliste dazu an die Hand gegeben. Danach werden zahlreiche Fragen behandelt und beantwortet, die sich beim KI-Einsatz in der Praxis stellen, etwa welche Rolle die DS-GVO spielt und was bei der Datenverarbeitung zu beachten ist, wie KI-Systeme abzusichern sind und wie es um Haftungsrisiken steht. Zudem werden Schutzrechtsfragen, insbesondere zum Urheber-, Geschäftsgeheimnis- und Markenschutzrecht diskutiert. Schließlich werden auch arbeitsrechtliche Aspekte behandelt, bevor ethische Überlegungen zum KI-Einsatz den Leitfaden abrunden.
5.13 Google Analytics: Consent Mode
Auf was ist zu achten und welche Empfehlungen gibt es dazu? Das findet sich in diesem Beitrag mit FAQ zum Einwilligungsmodus.
5.14 Veranstaltungen
5.14.1 HBDI: Der EuGH als Gestalter des Datenschutzrechts
07.03.2024, 10:00 – 15:30 Uhr, Wiesbaden: Das 26. Wiesbadener Forum Datenschutz des Hessischen Beauftragten für Datenschutz und Informationsfreiheit befasst sich mit o.g. Thematik u.a. mit folgenden Fragen: Welche Rolle spielt der Europäische Gerichtshof bei der praktischen Fortentwicklung der Datenschutz-Grundverordnung? Welche Akzente setzt das Gericht bei der Interpretation der häufig abstrakten Regelungen? Mehr Informationen dazu hier.
5.14.2 BfDI: Ausschließlich digital? Wie weit geht das Recht auf ein analoges Leben -neu-
20.03.2024, 18:30 – 21:00 Uhr, Berlin und Live-Stream: Im Rahmen seines Politisches Frühjahrsforums lädt der BfDI zum Thema „Ausschließlich digital? Wie weit geht das Recht auf ein analoges Leben?“ in seinem neuen Verbindungsbüro ein, mit interessanten Gästen dem Phänomen des sog. Digitalzwangs nachzugehen. Weitere Informationen und die Anmeldung finden sich hier.
5.14.3 HHN: „Recht & Künstliche Intelligenz – die Zukunft ist interdisziplinär!“ -neu-
11.04.2024, 15:00 – 17:00 Uhr, online: Die Hochschule Heilbronn (HHN) bietet vier Fachvorträge an, um juristische, technische und gesellschaftliche Themen rund um das Thema Künstliche Intelligenz aus der Perspektive verschiedener Fachdisziplinen zu beleuchten. Weitere Informationen und Anmeldung hier.
5.14.4 HSLU: „Datenschutz in Immersive Reality“
18.04.2024, 12:00 – 17:30 Uhr, „Privacy Ring“ in Luzern: Die Referate werden über die Präsentationsform des „Pecha Kucha“ gehalten. Es besteht zu Beginn der Veranstaltung auch die Möglichkeit an einer Führung im Immersive Reality Center (IRC) der Hochschule Luzern teilzunehmen. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 EU-Kommission: Influencer selten rechtskonform
Richtig überraschend ist das irgendwie nicht: Laut einer Untersuchung der Kommission zusammen mit Verbraucherschutzbehörden machen Online-Influencer kommerzielle Inhalte selten transparent. Zum Beispiel veröffentlichen demnach fast alle Influencerinnen und Influencer (97 %) kommerzielle Inhalte, aber nur jede/r fünfte gibt systematisch an, dass es sich bei diesem Content um Werbung handelt. Weitere Zahlen dazu finden Sie in der Meldung. Für das weitere Vorgehen wurden 358 Influencerinnen und Influencer für weitere Untersuchungen vorgemerkt. Die nationalen Behörden werden sich nun mit ihnen in Verbindung setzen, um sie zur Einhaltung der geltenden Vorschriften aufzufordern. Im Einklang mit den einzelstaatlichen Verfahren könnten, falls erforderlich, weitere Durchsetzungsmaßnahmen ergriffen werden. Die Kommission wird die Ergebnisse der Untersuchung auch vor dem Hintergrund der rechtlichen Verpflichtungen der Plattformen im Rahmen des Gesetzes über digitale Dienste analysieren und gegebenenfalls die erforderlichen Durchsetzungsmaßnahmen ergreifen. Übrigens bietet die Kommission auch Informationen für Influencer, oder die, die sich dafür halten oder welche werden wollen, auf ihrem Influencer Legal Hub an.
Letztenedlich kann man sich nur der Empfehlung dieser Kanzlei anschließen: Influencer sollten im Zweifel Posts durch eine Person mit Rechtskenntnissen gegenchecken lassen.
6.2 Podcast: Kinder und das Netz
In einem Podcast des BSI (Dauer ca. 35 Min.) befasst sich das BSI mit der Gefährdung von Kindern und Jugendlichen im digitalen Alltag durch gewaltverherrlichende, demokratiefeindliche, pornografische oder homophobe Inhalte. In der Folge werden auch Tipps besprochen, wie Kinder und Jugendliche besser geschützt werden können.
7 Sonstiges/Blick über den Tellerrand
7.1 Studie zur Social-Media-Sucht bei Kindern
Das Deutsche Zentrum für Suchtfragen des Kindes- und Jugendalters (DZSKJ) am Universitätsklinikum Hamburg Eppendorf (UKE) führte im Auftrag der DAK-Gesundheit eine Längsschnittstudie zum Mediennutzungsverhalten von Kindern und Jugendlichen in Deutschland durch. Danach hat sich die Mediensucht bei Kindern und Jugendlichen in Deutschland in und nach der Pandemie deutlich verändert. Aktuell nutzen knapp 25 Prozent der Minderjährigen soziale Medien riskant. Das sind hochgerechnet 1,3 Millionen Mädchen und Jungen – dreimal so viele wie im Jahr 2019. Diese weltweit einzigartige Studie fragte in bundesweit 1.200 Familien in sechs Wellen die digitale Mediennutzung von Kindern und deren Eltern ab. Die zentralen Ergebnisse finden sich hier.
Es wird auch auf eine Anlaufstelle unter www.mediensuchthilfe.info verwiesen, bei denen Betroffene und deren Angehörige Informationen und Hilfestellungen rund um die Themen Online-, Gaming- und Social-Media-Sucht finden.
8. Franks Zugabe
8.1 Apropos ChatGPT …
Ein neuer Blogbeitrag, neue Meldungen rund um ChatGPT und OpenAI:
- OpenAIs neuestes Produkt: Der KI-Videogenerator Sora
- Microsofts KI lügt…
- Aber ChatGPT ist ja stabil, also eine kleine Lüge unter Freunden… Es ist doch stabil, oder? Oder?
- Aber zumindest Microsofts Umsetzung (aka Copilot) macht das besser, oder? Oder?
- Apropos Microsofts Copilot: Microsofts Copilot für Office ist eine Frechheit…
- Zürcher Schüler müssen das Zehnfingersystem nicht beherrschen… Dafür gibt es ja Spracherkennung und für die Interpunktion und Rechtschreibung ChatGPT. Politiker. Immer wieder eine Freude, wie viel Kompetenz da zusammenkommt.
- Wenn Sie Elon Musk sind und ein Problem bei der Installation eines Laptops mit Windows machen, was tun Sie? Klar, Sie kontaktieren Satya Nadella. (Was hat das mit KI oder ChatGPT zu tun, fragen Sie? Wenig, aber immerhin steht im Artikel, dass er (Elon Musk) ja einen Microsoft-Account bei der Installation anlegen müsse (ach?) und dass er dadurch Microsofts KI Zugriff auf seinen Computer gewähre (ach?)…)
- Hier erklärt OpenAI die Funktionsweise von ChatGPT. Ein Zitat: „LLMs generate responses by randomly sampling words based in part on probabilities.“ Das ist also diese vielzitierte KI…
8.2 Apropos KI …
Auch zur KI allgemein habe ich wieder ein paar lesenswerte Beiträge gesammelt:
- Fangen wir an mit der KI-Brille, die Superkräfte verspricht…
- Fahren wir fort mit einem Trend aus Fernost: „Twenty-five-year-old Chinese office worker Tufei says her boyfriend has everything she could ask for in a romantic partner: he’s kind, empathetic, and sometimes they talk for hours. Except he isn’t real.“
- Gruselig: Atomwaffen für den Frieden. Im echten Leben hatten wir in den letzen Wochen ja schon Diskussionen rund um den möglichen Einsatz von Atomwaffen im aktuellen Ukraine-Krieg. Auch KI-Systeme scheinen einer Untersuchung zufolge dieser Option gegenüber nicht abgeneigt zu sein.
- Hmmm, wie kommen wir jetzt von diesem düsteren Thema weg? Am Besten mit Nagetieren. Die gehen doch immer, oder? Wobei, wenn sie so proportioniert sind?
- Was haben KI und Fax-Geräte gemein? Sie kommen in den Aussagen von Bayerns Staatsminister für Digitales vor: „Man müsse sich ‚von der Technik des letzten Jahrhunderts verabschieden‘, die nicht KI-fähig und ein Sinnbild für digitale Rückständigkeit sei“. Im verlinkten Artikel geht es um den langen Abschied in Deutschland vom Faxgerät (Hey, ich habe noch eines und nutze es sogar noch…). Aber der Satz mit der KI-Fähigkeit hat für einen Eintrag in dieser Liste gesorgt. KI-fähiges Fax… Wer will denn sowas?
- Erkennung von Fehlverhalten beim Autofahren ist ja seit einiger Zeit auch in Deutschland ein Thema. Hier ist ein Beispiel, bei dem die KI-gestütze Erkennung von Fehlverhaltung beim Fahren in den Niederlanden nicht so gut funktioniert hat.
- Na ja, aber es gibt doch Beispiele, wo KI deutlich besser ist als menschliche Experten. Zum Beispiel bei der (Früh-)Erkennung von Krebs auf Röntgenaufnahmen, oder? In den USA fordert die zuständige Behörde jetzt mehr Ressourcen, um solche KI-gestützten Verfahren besser überwachen zu können. Denn laut diesem Artikel sind nicht alle KI-Entscheidungen wirklich immer besser.
- KI ist zumindest in einem Aspekt scheinbar sehr menschenähnlich: Wenn ich es nicht genau weiß, gebe ich einfach möglichst schnell möglichst viele verschiedene Antworten in der Hoffnung, das zumindest eine davon passt. Bei Menschen manchmal erwartbar, bei KI-Systeme vielleicht nicht so sehr?
- Aber wenigstens haben wir doch bei den KI-Systemen auch den Vorteil der Evolution, oder?
Sie kennen das Prinzip: Gute Ideen (Wege, Gene) setzen sich durch, schlechte sterben eher aus. In der Wissenschaft nennt sich das (bezogen auf wissenschaftliche Erkenntnisse) das Planck-Prinzip. Spätestens ein, zwei Generationen später sind abstruse Ideen verschwunden, da die Menschen, die sie verbreitet haben, nicht mehr da sind. Bei KI scheint es da vielleicht einen „Fehler im System“ zu geben. Ich sage nur: Trainingsdaten. - OK, kommen wir zu etwas ganz anderem. Eine Forderung an Unternehmen und Organisationen, die KI einsetzen wollen, ist ja, dass sie sich ein KI-Regelwerk geben. REWE hat eines. Haben Sie das erwartet?
- OK, kommen wir nun aber wirklich zu etwas ganz anderem. In Kanada darf jetzt eine Fluglinie für KI-gestütze Flugempfehlungen haften. Spannend…
- Aber wenn ich mir von KI-Systemen Bilder generieren lasse, dann könnten die doch faktenbasiert und historisch korrekt sein, oder? Oder?
- Dieser Autor ist nicht so glücklich über die 3,2 Mrd Euro-KI-Initiative von Microsoft in Deutschland.
- Früher(TM) hieß es immer: Bringt den Kindern und Jugendlichen das programmieren bei. Das scheint sich gerade dank KI zu ändern. Dann kann es ja nur besser werden… Wobei, KI-Demenz scheint ja real zu sein?
- Es war nur eine Frage der Zeit: LLM Prompt Injection Worm.
- Und wo wir gerade beim Kollegen Schneier waren, noch eine zum Abschluss: KI können laut dieser Studie autonom Webseiten hacken. Gruselig.
8.3 FragDenStaat-Chefredakteur angeklagt … Die Ursprünge des Straftatbestands liegen im Kaiserreich
Wenn die Überschrift Ihr Interesse geweckt hat, geht es hier zum Artikel. Ich wünsche Herrn Semsrott maximale Erfolge beim Verfahren!
8.4 Ein Update zum gesuchten Windows 3.11-Administrator
Erinnern Sie sich noch? Die Bahn suchte einen Windows 3.11-Administrator? Es gibt ein Update. Nicht ganz ernstgemeint, aber immerhin.
8.5 Natürlich brauchen M&M-Automaten Gesichtserkennung …
Wait, what? Aber immerhin (ein Zitat aus dem Artikel): „These machines are fully GDPR compliant and are in use in many facilities across North America“. Na dann…
8.6 So geht Awareness!
Nicht!
Und es ist auch noch umweltschonend? Ein Kommentar (U.a. warum USB-Sticks vielleicht doch gefährlich sind).
8.7 Aus der beliebten Kategorie: Aber für meine Daten interessiert sich doch niemand …
Doch. Heute: Autohersteller
8.8 Warum Apple Bing nicht gekauft hat …
Weil sie es getestet haben 🤣
9. Die gute Nachricht zum Schluss
9.1 Jugendwettbewerb myDigitalWorld
Seit 2015 würdigt der Jugendwettbewerb myDigitalWorld jedes Jahr das Engagement junger Menschen für mehr Sicherheit im Netz. Dabei werden herausragende Beiträge von der Jury unter Schirmherrschaft des BMDV mit attraktiven Sach- und Geldpreisen prämiert – die Gewinner lockt sogar eine Klassenfahrt nach Berlin! Möglichkeiten zur Teilnahme gibt es in der offenen Kategorie „Dein Beitrag für mehr Sicherheit im Netz!“: Sei es ein unterhaltsames Musikvideo zum Thema Datenschutz, ein Aufklärungsangebot für Mitschüler:innen oder eine eigene App für den Unterricht.
Alternativ kann auch ein Beitrag bei der jährlich wechselnden Aufgabenstellung eingereicht werden: Dieses Jahr dreht sich alles um Inhalte, die mit Hilfe von Künstlicher Intelligenz generiert werden. Die Überschrift lautet: „Ist das Kunst oder kann das KI?“ Einsendeschluss ist der 30. April 2024. Mehr dazu und zu den Teilnahmebedingungen findet sich hier.