Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 09-11/2024)“
Hier ist der 82. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 09-11/2024)“.
Es sind mal wieder drei Wochen am Stück geworden. Aber Sie haben ja nun die Osterfeiertage, da ist bestimmt Zeit und Muße für Lesestoff. Im Inhaltsverzeichnis signalisieren – wie seit einiger Zeit üblich – die Lücken den Wechsel von einer Woche zur nächsten.
Wir haben auch wieder reichlich Veranstaltungshinweise, den ersten bereits nächste Woche Donnerstag. Haben Sie angenehme Feiertage!
- Aufsichtsbehörden
- LfD Bayern: Kommunale Willensbildung in Livestream und Mediathek
- LfDI Baden-Württemberg: Tipps zu „Mängelmeldern“ in Kommunen
- TLfDI: Auch bei KI den Datenschutz nicht vergessen!
- TLfDI: Neuer TLfDI vereidigt
- BfDI: USB-Geräte
- BfDI: Datenträgervernichtung
- ICO: Anforderungen an Training von KI-Modellen
- BSI: Anforderung an Webbrowser
- BSI: Newsletter-Angebot
- Italien: Bußgeld gegen Bank i.H.v. 2,8 Mio. Euro aufgrund einer Datenpanne
- Italien: Bußgeld für offenen E-Mail-Verteiler mit Gesundheitsdaten und Informationspflichtverletzung
- Italien: Prüfung von ChatGPTs Sora
- Worldcoin: Ansichten der Aufsicht zu Iris-Scan
- Worldcoin: Ansichten der Aufsicht zu Iris-Scan – BayLDA: Prüfung von Worldcoin noch nicht abgeschlossen
- Worldcoin: Ansichten der Aufsicht zu Iris-Scan – Portugal: Die Aufsicht prüft die Verarbeitung durch Worldcoin und rät zur Vorsicht
- Worldcoin: Ansichten der Aufsicht zu Iris-Scan – Spanien: Aufsicht untersagt Worldcoin Verarbeitung für drei Monate
- EDPS: MS 365 und europäische Einrichtungen
- EDSA strebt Leitlinien zur Altersverifikation im Internet an
- LfDT Sachsen: Informationsbroschüre zur Videoüberwachung
- BayLDA: Nachprüfung zu Ransomwareangriffen
- LDI Bremen: Tätigkeitsbericht für 2023
- LDI Bremen: Tätigkeitsbericht für 2023 – Befugnismaßnahmen nach Art. 58 DS-GVO
- LDI Bremen: Tätigkeitsbericht für 2023 – Anforderungen an Datenschutzbeauftragte
- LDI Bremen: Tätigkeitsbericht für 2023 – Drohneneinsatz durch Feuerwehr
- LDI Bremen: Tätigkeitsbericht für 2023 – Zuverlässigkeitsprüfungen bei Bewerbern
- LDI Bremen: Tätigkeitsbericht für 2023 – Datenschutzverletzungen bei Rechtsanwälten und Steuerberatern
- LDI Bremen: Tätigkeitsbericht für 2023 – Anforderungen beim Versand anwaltlicher Schreiben
- Sachsen-Anhalt: Neuer Anlauf zur Wahl einer Landesdatenschutzbeauftragten
- CNIL: Bußgeld wegen unzureichender Rechtsgrundlage für Werbung
- Spanien: Worldcoin
- Ungarn: Sanktion wegen unterbliebener Löschbenachrichtigung
- Polen: Sanktion wegen unterbliebener Benachrichtigung nach Datenpanne
- ENISA: Schutzmaßnahmen personenbezogener Daten in EU-Datenräumen
- EDSA: Europaweite Prüfung des Auskunftsprozesses
- LDI NRW: KI-Verordnung kommt, Datenschutz bleibt
- BfDI: Tätigkeitsbericht für 2023
- BfDI: Tätigkeitsbericht für 2023 – Einsatz von MS 365
- BfDI: Tätigkeitsbericht für 2023 – Kriterien für souveräne Clouds
- BfDI: Tätigkeitsbericht für 2023 – Messengerdienste und Facebook
- BfDI: Tätigkeitsbericht für 2023 – Hinweise zur Änderung des BDSG
- BfDI: Tätigkeitsbericht für 2023 – Speicherdauer der Steuer-ID
- BfDI: Tätigkeitsbericht für 2023 – Erlassene Maßnahmen gegenüber öffentlichen Stellen
- BfDI: Tätigkeitsbericht für 2023 – Erlassene Maßnahmen gegenüber nicht-öffentlichen Stellen
- LfDI Rheinland-Pfalz: Prüfung von Software in Ämtern
- Österreich: Steuerberatervollmacht auch gegenüber Datenschutzaufsicht?
- Belgien: Anforderungen an „Ablehn-Button“
- Belgien: Rechtsgrundlagen an Training von KI mit pbD
- Belgien: Löschanforderungen an E-Mail-Postfächer ausgeschiedener Beschäftigter
- CNIL: Leitfaden für Interessensvertreter
- BaFin: Bußgeld für verspätete Meldung einer IT-Störung
- Italien: Strafe für TikTok
- ICO: Bußgeldberechnung
- Frankreich: Bußgeld gegen Alphabet (Google) wegen Training der KI mit Presseprodukten
- Schweden: Umsetzungsfrist für Werbewiderspruch
- BSI: Liste der zugelassenen IT-Sicherheitsprodukte und -systeme
- ICO: Leitfaden für Privacy Enhanced Technologies (PET)
- Und wieder Worldcoin
- Rechtsprechung
- EuGH: Personenbezug beim TCF und gem. Verantwortlichkeit bei IAB
- EuGH: Personenbezug in einer Pressemitteilung der EU-Kommission
- EuGH: Anwendbarkeit der DS-GVO auch bei mündlichen Weitergaben
- EuGH: Gesamtschuldnerische Haftung zwischen Europol und Mitgliedsstaat
- EuGH: Freier Zugang zu Normen (aber nicht allen!)
- KG Berlin: Veröffentlichung von Videoaufnahmen und Journalismus
- OLG Köln: Gestaltung von Consent-Bannern
- BVwG Österreich: Dateisystem i.S. der DS-GVO
- OLG Stuttgart: Ist Direktwerbung per Post immer zulässig?
- ArbG Heilsbronn: Diskriminierung durch „Digital Native“
- BGH: Kein Anspruch aus Art. 15 Abs. 3 DS-GVO auf Vertragsanpassungsunterlagen
- EuGH: Abhilfebefugnis der Aufsicht nach Art. 58 Abs. 2 DS-GVO
- Schweden: Berufungsgericht bestätigt Sanktion gegen Klarna
- EuGH: Verpflichtung von Fingerabdrücken in Ausweisen
- BVerwG: Informationsfreiheit nur analog
- LG Passau: Klageabweisung bei Scrapingklage
- AG Geilenkirchen: Datenschutzverstoß führt zu Beweisverwertungsverbot
- OLG Dresden: Zweckänderung für Werbung durch Rechtsanwalt zulässig
- LG Freiburg: Immateriellen Schadenersatz durch Datenpanne bei API-Fehler
- EuGH-Vorschau: Fragen rund um Art. 82 DS-GVO
- EuGH-Vorschau: Handlungsverpflichtung einer Datenschutzaufsicht
- EuGH-Vorschau: Nutzungsmöglichkeiten durch Netzwerke zur Werbung
- EuGH-Vorschau: Datenschutz als Wettbewerbsmerkmal und Art.-9-Daten
- Gesetzgebung
- „Exekutiver Fußabdruck“ und „Synopse“ bei Gesetzesänderungen
- Cyber Solidarity Act (CSA)
- UK: Petition zur Verabschiedung von Regelungen zur KI
- BMJ: (weitere) Digitalisierung der Justiz
- AI Act: Textfassung auf Deutsch
- Europarat: Einigung über KI
- EU-Kommission: Bewertung der Angemessenheitsbeschlüsse
- BDSG-Änderungen
- Digitale-Dienste-Gesetz
- Europarat: Konvention zu KI
- EU: Gesundheitsdatenraum
- BDSG-Änderungen: Streichung des § 38 abgelehnt
- EU: VO zu Transparenz und Targeting politischer Werbung
- Künstliche Intelligenz und Ethik
- Anonymisierung und KI
- Der EuGH und seine KI-Strategie
- KI-Strategie der Telekom
- Singapur: Leitfaden zur Nutzung von KI mit personenbezogenen Daten
- KI und Autorenrechte
- Podcast von KI über KI
- KI und Arbeitgeber
- Leitfaden Digitale Verwaltung und Ethik aus Österreich
- KI-Transparenzregister für die Öffentliche Verwaltung
- KI und Aufsichtsrat
- Statistik zu Plagiaten in KI
- Trainingsdaten von Sora
- EU: Ethikleitlinien für vertrauenswürdige KI
- KI und Wasser und Strom
- Microsoft und KI
- OECD: Aktualisierung der Definition eines KI-Systems
- Vertrauenswürdige LLM
- Wer ist schneller? Mensch oder KI?
- Urheberrecht und KI
- Veröffentlichungen
- AWV: „Webseiten rechtssicher gestalten“
- Gesundheitsdatennutzung
- SDM-Usergroup
- Schwachstellenreport 2024
- Verschuldensunabhängige Haftung bei verlorenen Daten?
- EU: Datenportal
- Online-Tracking in Zeiten der DS-GVO
- TikTok: Wer braucht denn das… ?
- Taurus, Militär und Abhöraffäre
- „Alternatives“ Bevölkerungsregister durch LiveRamp
- Legal Tech und Verbraucherrechte
- Niedergang des CIO?
- Stiftung Datenschutz: Videoüberwachung
- Sicherheitsregeln richtig anwenden
- EuGH und Joint Controllership
- noyb: Beschwerde gegen Datenhändler in Schweden
- Besprechung von EuGH C-604/22 (IAB Europe)
- Bußgeldübersichten
- Verbändeanhörung zum Bürokratieabbau
- Einsatz von Microsoft Power BI
- Umfang des Auskunftsrechts
- Wann liegt eine ausreichende Anonymität vor?
- EuGH: Immaterieller Schadenersatz durch Europol
- Mündliche Auskunft als Verarbeitung
- Keine Awareness für Security-Awareness
- Bedeutung verschlüsselter Kommunikation
- Veranstaltungen
- HmbBfDI & LfDI Mecklenburg-Vorpommern: Digitale Vorbilder – Rechte und Pflichten im digitalen Raum -neu-
- IAW Tübingen: Seminarreihe zu Digitalen Verwaltungsprozessen -neu-
- Stiftung Datenschutz: Datenschutz am Mittag – Datenschutzkonformes Onlinemarketing ohne Cookies -neu-
- HHN: „Recht & Künstliche Intelligenz – die Zukunft ist interdisziplinär!“
- Stiftung Datenschutz: Datenschutz für Kleinunternehmen – Rechtsgrundlagen -neu-
- u.a. Datenschutzberater: „Verantwortungsvoller Umgang mit Daten im Licht neuer Regulierungen“ -neu-
- HSLU: „Datenschutz in Immersive Reality“
- ZEVEDI: Datenzugangsregeln zwischen Freigabe und Kontrolle -neu-
- HmbBfDI: Girl´s Day beim HmbBfDI -neu-
- LfD Sachsen-Anhalt: Girl´s und Boy´s Day bei der Aufsicht Sachsen-Anhalt -neu-
- HmbBfDI: Digitale Vorbilder – TikTok, Instagram, Snapchat und Co. -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos Alterskontrollen …
- Apropos Digitalisierung …
- Apropos BSI … „Wie mache ich Alexa, Siri oder Google richtig sicher?“
- Apropos Mikroszensus …
- Thanks FedEx, This is Why we Keep Getting Phished
- Eine Buchbesprechung von Molly White: „Read Write Own“
- NIST Cybersecurity Framework 2.0
- Apropos Sicherheit bei Video-Türsprechanlagen …
- Teil 3 der Serie zu Disneys Datenmacht veröffentlicht
- TLS hat ein Vertrauensproblem
- Kelber Ultras
- Apropos „Ich habe doch nichts zu verbergen“ …
- Pay or OK – Ein Update
- Apropos Worldcoin …
- Die Deutsche Bahn und der Digitalisiserungszwang
- Apropos KI …
- I ♥ Free Software Day
- Was ist schlimmer als eine Rattenplage?
- Ein Bonus nach der Veröffentlichung
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LfD Bayern: Kommunale Willensbildung in Livestream und Mediathek
Es ist ein tolles Angebot zur Partizipation an der demokratischen Gesellschaft: Digitale Möglichkeiten zur Teilnahme an Bürgerversammlungen, Gemeinde- und Stadtratssitzungen. Doch welche Fallstricke aus datenschutzrechtlicher Sicht dabei zu beachten sind und wie diese umgangen werden können, zeigt der LfD Bayern in seinen aktuellen Kurz-Informationen 54. Auch wenn die zitierten Regularien sich speziell auf die bayerische Situation beziehen, sind die Kernaussagen doch auch für andere Bundesländern anwendbar.
1.2 LfDI Baden-Württemberg: Tipps zu „Mängelmeldern“ in Kommunen
Kommunen finden das toll und auch Bürger:innen nutzen es gerne: Über eine App auf Handlungsbedarf im Rahmen der kommunalen Verantwortung hinweisen. Seien es Schlaglöcher auf Straßen oder Gehwegen, illegal entsorgter Müll oder reparaturbedürftige Spielplatzausstattung: Smartphone gezückte, App oder Portal geöffnet und Meldung abgesetzt. Klingt gut – ist es auch, wenn die Tipps des LfDI Baden-Württemberg zur Beachtung datenschutzrechtlicher Vorgaben für Kommunen, die Mängelmelder nutzen (wollen), dabei berücksichtigt werden.
1.3 TLfDI: Auch bei KI den Datenschutz nicht vergessen!
Seine letzte Pressemeldung widmete der scheidende TLfDI dem aktuellen Zukunftsthema in der IT: der Künstlichen Intelligenz. Er geht darin auch auf die Passagen des AI Acts ein, die sich auf die DS-GVO auswirken, und mahnt im Übrigen, dass auch weiterhin datenschutzrechtliche Anforderungen auch beim Einsatz von KI von den zuständigen Aufsichten überwacht werden würden.
1.4 TLfDI: Neuer TLfDI vereidigt
In Thüringen wurde am 1. März 2024 der neue TLfDI, Tino Melzer, im Landtag vereidigt, wie dieser Pressemitteilung entnommen werden kann. Die Amtszeit beträgt sechs Jahre, eine einmalige Wiederwahl wäre möglich.
1.5 BfDI: USB-Geräte
Der BfDI erinnert aktuell wieder daran, welche Datenschutz- und IT-Sicherheitstechnischen Risiken mit der arglosen Verwendung von Geräten an USB-Schnittstellen verbunden sein können.
1.6 BfDI: Datenträgervernichtung
Auch beim Vernichten von Datenträgern müssen die Anforderungen des Datenschutzes berücksichtigt werden. Der BfDI verweist bezüglich der technischen Anforderungen auf die DIN 66399, deren Inhalte im August 2018 auch in die internationale Norm ISO/IEC 21964 übernommen wurden. Er wirkte auch an einem Ratgeber der GDD zur Datenschutzgerechten Datenträgervernichtung mit.
1.7 ICO: Anforderungen an Training von KI-Modellen
Das UK Information Commissioner’s Office (ICO) gibt eine Anleitung zur Rechtsgrundlage für das Scraping von Daten aus dem Internet oder zum Training von KI heraus. Bis Anfang März 2024 konnten dazu Hinweise eingereicht werden. Um fair und rechtmäßig zu sein, dürfe die Datenerhebung nicht gegen Gesetze verstoßen – dies sei nicht der Fall, wenn das Scraping personenbezogener Daten gegen andere Rechtsvorschriften außerhalb des Datenschutzes verstößt, z. B. gegen das Recht des geistigen Eigentums oder das Vertragsrecht. Der ICO äußert sich auch zu berechtigten Interessen, die eine gültige Rechtsgrundlage für das Training generativer KI-Modelle auf Web-Scraping-Daten sein können, aber nur, wenn der Entwickler des Modells sicherstellen kann, dass die Anforderungen bei der Prüfung eines berechtigten Interesses eingehalten werden (legitimes Interesse des Verarbeiters, Erforderlichkeit, Interessensabwägung, bei der das Interesse der Betroffenen nicht überwiegen darf). Im Übrigen enthält das Modell des ICO auch Vorgaben zur Risikominimierung nach Erstellung des Modells.
1.8 BSI: Anforderung an Webbrowser
Welche Mindestanforderungen sind an Webbrowsern zu stellen, damit das Risiko, Daten aus nicht vertrauenswürdigen Quellen zu laden, minimiert wird? Diese Daten können schädlichen Code (Viren, Trojaner, Spyware etc.) enthalten und das IT-Gerät unbemerkt infizieren, so dass ein sicherer Betrieb nicht mehr möglich ist. Dies kann zum Verlust der Verfügbarkeit, Vertraulichkeit und Integrität von schützenswerten Daten führen. Somit stellt eine Nutzung von Webbrowsern erst einmal ein Risiko dar. Durch die Umsetzung und Einhaltung des Mindeststandards des BSI sollen diese Risiken minimiert werden. Dieser Mindeststandard für Webbrowser ist nun in der Version 3.0, Stand Februar 2024, verfügbar.
1.9 BSI: Newsletter-Angebot
Nur nochmal, falls es noch nicht bekannt sein sollte: Das BSI bietet zu verschiedenen Themen und verschiedenen Zielgruppen spezielle Newsletter an.
1.10 Italien: Bußgeld gegen Bank i.H.v. 2,8 Mio. Euro aufgrund einer Datenpanne
Die Strafe wurde durch die Aufsicht Garante aufgrund einer Datenschutzverletzung aus dem Jahr 2018 verhängt. Ursächlich war ein massiver Cyberangriff auf ein Mobile-Banking-Portal, der von Cyberkriminellen verübt wurde. Dadurch wurden Vor- und Nachname, Steuernummer und Identifikationsnummer von etwa 778.000 Kunden und ehemaligen Kunden unrechtmäßig erlangt und bei mehr als 6.800 der „angegriffenen“ Kunden auch die Zugangs-PIN zum Portal ermittelt. Die Daten wurden in der HTTP-Antwort, die die Systeme der Bank dem Browser bei jedem Versuch, auch erfolglos auf das mobile Banking-Portal zuzugreifen, zur Verfügung stellten. Die Aufsicht stellte bei ihren Ermittlungen fest, dass die Bank keine technischen und sicherheitstechnischen Maßnahmen ergriffen hatte, die geeignet waren möglichen Cyberangriffen wirksam entgegenzuwirken und ihre Kunden daran zu hindern schwache PINs (wie solche, die aus Zahlenfolgen bestehen oder mit dem Geburtsdatum übereinstimmen) zu verwenden. Bei der Festsetzung der Geldbuße auf 2,8 Millionen Euro berücksichtigte die Garante die große Zahl der von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen, die Schwere der Verletzung und die wirtschaftliche Leistungsfähigkeit der Bank.
Daneben verhängte die Garante auch 800.000 Euro Bußgeld gegen das mit der Durchführung von Sicherheitstests beauftragte (Tochter-)Unternehmen. Es stellte sich insbesondere heraus, dass dieses erst nach Ablauf der in der Verordnung festgelegten Frist und erst nachdem die Bank durch ihre internen Überwachungssysteme davon Kenntnis erlangt hatte, über die Verletzung der personenbezogenen Daten ihrer Kunden informierte. Zudem hatte es ein anderes Unternehmen mit der Durchführung von Schwachstellenanalysen und Penetrationstests beauftragt, ohne dass die Bank als für die Verarbeitung Verantwortliche dies vorher genehmigt hatte, da sie die Weitervergabe solcher Tätigkeiten an Dritte ausdrücklich untersagt hatte.
1.11 Italien: Bußgeld für offenen E-Mail-Verteiler mit Gesundheitsdaten und Informationspflichtverletzung
In Italien, so berichtet die dortige Aufsicht Garante, gab es 250.000 Euro Bußgeld, weil ein Medizintechnikunternehmen aus einer App für Diabetiker heraus unverschlüsselte E-Mails an Hunderte von Diabetikern mit offenem E-Mail-Verteiler und lesbaren Adressen verschickte. Weitere 50.000 Euro Bußgeld gab es, weil Informationspflichten verletzt wurden. So wurde in der Informationsbroschüre nicht angegeben, auf welcher Rechtsgrundlage die Übermittlung personenbezogener Daten von Patienten, die ihr persönliches Konto mit dem des Arztes als für die Datenverarbeitung Verantwortlichem verknüpfen wollten, erfolgte, was einen Verstoß gegen den Grundsatz der Fairness und Transparenz darstellt.
Wer jetzt nochmal jammert, in Deutschland seien die Datenschutzaufsichtsbehörden so streng, möge das hier im Vergleich lesen.
1.12 Italien: Prüfung von ChatGPTs Sora
Die italienische Datenschutzbehörde (Garante) hat eine Untersuchung gegen das US-Unternehmen OpenAI eingeleitet, das in den letzten Wochen die Einführung eines neuen KI-Modells, „Sora“, angekündigt hat, das laut der Ankündigung in der Lage ist, aus kurzen Textanweisungen dynamische, realistische und fantasievolle Szenen zu erstellen.
In Anbetracht der möglichen Auswirkungen, die der „Sora“-Dienst auf die Verarbeitung personenbezogener Daten der Nutzer in der Europäischen Union und insbesondere in Italien haben könnte, hat die Behörde OpenAI aufgefordert, eine Reihe von Klarstellungen vorzunehmen. Das Unternehmen muss innerhalb von 20 Tagen klären, ob das neue KI-Modell der Öffentlichkeit bereits zur Verfügung steht und ob es Nutzern in der Europäischen Union, insbesondere in Italien, angeboten wird oder werden soll.
OpenAI muss gegenüber der Datenschutzbehörde auch eine Reihe von Fragen klären:
- Wie der Algorithmus trainiert wird,
- welche Daten zum Trainieren des Algorithmus erhoben und verarbeitet werden, insbesondere ob es sich um personenbezogene Daten handelt,
- ob besondere Datenkategorien (religiöse oder philosophische Überzeugungen, politische Meinungen, genetische Daten, Gesundheit, Sexualleben) erhoben werden
- und welche Quellen genutzt werden.
Für den Fall, dass der Dienst Nutzern in der EU angeboten wird oder werden soll, forderte die Datenschutzbehörde OpenAI auf anzugeben, ob die geplanten Methoden zur Information von Nutzern und Nicht-Nutzern über Daten über die Datenverarbeitungsverfahren und die Rechtsgrundlagen für diese Verarbeitung mit der europäischen Verordnung übereinstimmen.
Franks Nachtrag: Sie möchten auch das hier lesen…
1.13 Worldcoin: Ansichten der Aufsicht zu Iris-Scan
Eine neue Technologie namens „Worldcoin“ startete mit Einführung einer gleichlautenden Kryptowährung im Jahr 2023 (wir berichteten). Laut Anbieter soll es mit der Technologie möglich sein, dass Nutzerinnen und Nutzer die Einzigartigkeit ihrer Person nachweisen können, was insbesondere einen Schutz vor automatisierten Bots, die künstliche Intelligenz einsetzen, ermöglich soll. Dazu ist ein spezieller Registrierungsprozess notwendig, bei dem die Nutzenden an vorgegebenen Orten ihre Iris scannen müssen. Na, allein beim Thema Iris-Scan werden die Datenschutzaufsichten doch ein Auge darauf werfen – und wie:
1.13.1 Worldcoin: Ansichten der Aufsicht zu Iris-Scan – BayLDA: Prüfung von Worldcoin noch nicht abgeschlossen
Sieh an: Die Betreiberfirma hat ihren Sitz im mittelfränkischen Erlangen. Und somit im Zuständigkeitsbereich des BayLDA. Dieses prüft laut Ziffer 16.2. des Tätigkeitsberichts von 2023 aufgrund der hohen Sensibilität der verarbeiteten biometrischen Daten das Vorgehen des Unternehmens und führte im Rahmen der Prüfung im Berichtszeitraum Vor-Ort-Kontrollen, die zum Standardvorgehen bei derartigen innovativen Technologien mit sehr großer Zielgruppe gehören, durch: Zum einen wurde ein Standort in Berlin besucht, an dem Nutzende sich registrieren konnten, zum anderen kontrollierte ein Team des BayLDA den Firmensitz der primär für die Entwicklung und Testung der Technologie zuständig ist.
Die Prüfung ist noch andauernd, weswegen das BayLDA für weitere Details auf zukünftige Veröffentlichungen verweist. Prüfungsschwerpunkte sind neben der Frage nach der grundsätzlichen datenschutzrechtlichen Zulässigkeit unter anderem die Sicherstellung der Betroffenenrechte sowie das vorhandene Schutzniveau bei der Verarbeitung der anfallenden biometrischen Daten.
1.13.2 Worldcoin: Ansichten der Aufsicht zu Iris-Scan – Portugal: Die Aufsicht prüft die Verarbeitung durch Worldcoin und rät zur Vorsicht
Die portugiesische Datenschutzaufsicht CNPD rät Bürgern die Herausgabe ihrer biometrischen Daten sehr sorgfältig zu überdenken. Bei ihr seien mehrere Beschwerden von Bürgern über die besonderen Bedingungen, unter denen biometrische Daten durch das Worldcoin-Projekt gesammelt werden, eingegangen. Die Beschwerden beziehen sich auf die Erhebung biometrischer Daten durch das Worldcoin-Projekt und betreffen insbesondere die Erhebung von biometrischen Daten von Minderjährigen ohne Erlaubnis der Eltern sowie die Befürchtung, wie diese biometrischen Daten verwendet werden könnten.
Zudem haben sich Menschen an die CNPD gewandt und Zweifel an der Möglichkeit zur Ausübung ihrer Rechte geäußert und mitgeteilt, dass sie keine Informationen über die Verarbeitung ihrer biometrischen Daten erhalten hätten. Der CNPD untersucht derzeit die Verarbeitung von personenbezogenen Daten durch das Worldcoin Project in Portugal.
1.13.3 Worldcoin: Ansichten der Aufsicht zu Iris-Scan – Spanien: Aufsicht untersagt Worldcoin Verarbeitung für drei Monate
Die spanische Aufsicht AEPD berichtet, dass sie eine einstweilige Verfügung anordnet, die Worldcoin an der weiteren Verarbeitung personenbezogener Daten in Spanien hindert. Die AEPD, die die Einstellung der Erhebung und Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Sperrung bereits erhobener Daten verlangt, hat mehrere Beschwerden erhalten, in denen unter anderem unzureichende Informationen, die Erhebung von Daten von Minderjährigen oder die Unzulässigkeit des Widerrufs der Einwilligung beanstandet wurden. Diese Entscheidung beruhe auf außergewöhnlichen Umständen, in denen es notwendig ist, Maßnahmen zu ergreifen, die auf die sofortige Einstellung der Verarbeitung abzielen, um die mögliche Weitergabe von Daten an Dritte zu verhindern und das Grundrecht auf den Schutz personenbezogener Daten zu wahren. Das vorübergehende Verbot der Tätigkeit in Spanien gilt für einen Zeitraum von höchstens drei Monaten.
Die Betreiberfirma mit Sitz im bayerischen Erlangen klagt nach diesem Bericht gegen die Entscheidung und sieht das BayLDA als federführende zuständige Datenschutzaufsicht, mit dem es seit Sommer 2023 im Gespräch ist.
Hier ist der letzte Stand dazu.
Franks Nachtrag: Sie möchten auch hier und hier lesen.
1.14 EDPS: MS 365 und europäische Einrichtungen
Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben durch europäische Institutionen. Nun hat er diesen auferlegt nach dem 9. Dezember 2024 alle Datenströme an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR auszusetzen, die sich aus der Nutzung von Microsoft 365 ergeben, aber nicht unter einen Angemessenheitsbeschluss fallen.
Der EDSB hat außerdem beschlossen die Kommission anzuweisen die Verarbeitungen, die sich aus ihrer Nutzung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen. Die Kommission muss die Einhaltung beider Anordnungen bis zum 9. Dezember 2024 nachweisen. Diese Verordnung gilt für die europäischen Einrichtungen und ist in den wesentlichen Aussagen mit der DS-GVO identisch.
Die EU-Kommission findet das alles echt wichtig und prüft das Schreiben und das weitere Vorgehen. Ok, das ist etwas frei übersetzt, die Stellungnahme gibt es hier in einem Video der Pressebereiches. Eine schöne Darstellung dazu findet sich auch hier („Laut dem EU-Datenschutzbeauftragten verstößt die Kommission gegen ihre eigenen Regeln – und muss nun bis Dezember Nachbesserungen vornehmen.“)
Der EDPS hat zwar noch nicht seine Erkenntnisse aus seiner Untersuchung im Detail veröffentlicht, aber es gibt aus dem Jahr 2020 seine Einschätzung zu einer anlasslosen Bewertung des Einsatzes von Produkten von Microsoft.
Franks Nachtrag: Und dann hat er seine Erkenntnisse doch veröffentlicht.
1.15 EDSA strebt Leitlinien zur Altersverifikation im Internet an
Nach der Meldung der spanischen Aufsicht aepd übernimmt der EDSA auf ihren Antrag hin die Aufgabe Leitlinien zur Altersverifikation im Internet festzulegen.
Franks Nachtrag: Apropos Alterskontrollen …
1.16 LfDT Sachsen: Informationsbroschüre zur Videoüberwachung
Unter dem Titel „Achtung Kamera“ veröffentlichte die Sächsische Datenschutz- und Transparenzbeauftragte Hinweise zur Videoüberwachung für Bürgerinnen und Bürger, Wirtschaft und Behörden. Sie ist als PDF oder auch in gedruckter Fassung erhältlich.
1.17 BayLDA: Nachprüfung zu Ransomwareangriffen
Das BayLDA hat eine Nachprüfung vonn Unternehmen gestartet, die von einem Ransomwareangriff betroffen waren. Diese erhalten einen Fragebogen, um zu sehen, ob sich etwas gebessert hat. Sie finden das Anschreiben, die Fragen und Hintergrundinformationen hier. So etwas kann auch zum Eigenaudit genutzt werden.
1.18 LDI Bremen: Tätigkeitsbericht für 2023
Die LDI Bremen bzw. der aktuelle Stellvertreter veröffentlichte den Tätigkeitsbericht für das Jahr 2023. Hier ein paar subjektiv ausgewählte Themen daraus:
1.18.1 LDI Bremen: Tätigkeitsbericht für 2023 – Befugnismaßnahmen nach Art. 58 DS-GVO
Welche Maßnahmen hat die LDI Bremen bisher nach Art. 58 DS-GVO erlassen? Diese Anfrage nach dem Informationsfreiheitsgesetz beantwortet sie unter Ziffer 2.51. Dazu verhängte sie im Jahr 2023 insg. Bußgelder in Höhe von 147.465 Euro (vgl. Ziffer 4.1 des Berichts), davon 35.100 Euro bei Verstößen im Rahmen von Werbung, 29.440 Euro bei Telemedien und 17.650 Euro gegen Rechtsanwält:innen.
1.18.2 LDI Bremen: Tätigkeitsbericht für 2023 – Anforderungen an Datenschutzbeauftragte
In Ziffer 5.2 beschreibt die LDI Bremen die Anforderungen an die Benennung von Datenschutzbeauftragten. Dabei weist sie darauf hin, dass externe Datenschutzbeauftragte, deren Benennung auf der Grundlage eines Dienstleistungsvertrags erfolgt, auch an die Laufzeit des Vertrags gebunden sind. Um die Amtsausübung der DS-GVO entsprechend nicht zu gefährden, müssen diese Dienstleistungsverträge nach Ansicht der LDI Bremen ausreichend lang, das heißt für mehrere Jahre vereinbart sein.
1.18.3 LDI Bremen: Tätigkeitsbericht für 2023 – Drohneneinsatz durch Feuerwehr
Nutzt eine Feuerwehr Drohnen für die Erfüllung ihrer Aufgaben, muss dazu nach Ansicht der LDI Bremen (vgl. Ziffer 6.2.4) eine vorherige Datenschutz-Folgenabschätzung durchgeführt werden. Ich unterstelle mal, dass die Drohnen auch Kamerafunktionen hatten.
1.18.4 LDI Bremen: Tätigkeitsbericht für 2023 – Zuverlässigkeitsprüfungen bei Bewerbern
Die LDI Bremen weist in Ziffer 6.4 darauf hin, dass eine Zuverlässigkeitsprüfung nur aufgrund einer gesetzlichen Legitimationsprüfung durchgeführt werden kann.
1.18.5 LDI Bremen: Tätigkeitsbericht für 2023 – Datenschutzverletzungen bei Rechtsanwälten und Steuerberatern
In Ziffer 7.1 berichtet die LDI Bremen über die ihr gemeldeten Fälle durch Rechtsanwält:innen und Angehörige der steuerberatenden Berufe. Von Letzteren wurde in vier Fällen vorsorglich eine Datenschutzverletzung gemeldet, weil ein IT-Dienstleister dieser Kanzleien Opfer eines Hacking-Angriffs geworden war.
1.18.6 LDI Bremen: Tätigkeitsbericht für 2023 – Anforderungen beim Versand anwaltlicher Schreiben
Ihre Hinweise zur angemessenen Absicherung anwaltlicher Kommunikation erläutert die LDI Bremen in Ziffer 7.2 dabei führt sie auch aus, dass sich bereits im Jahr 2023 bremische Rechtsanwaltskanzleien an sie wandten, die entsprechende Lösungen entwickelt hatten. Die LDI Bremen bot an, bei der Beratung der RAK zu solchen und anderen Lösungen die informationstechnische Expertise einzubringen, und sie habe zur Kenntnis genommen, dass entsprechende Lösungen nicht bis Ende 2023 bei allen Kammermitgliedern vorhanden sein können. Konkreten Beschwerden Betroffener, die diesen Gegenstand betreffen, werde sie unabhängig davon nachgehen.
1.19 Sachsen-Anhalt: Neuer Anlauf zur Wahl einer Landesdatenschutzbeauftragten
Wie auch der Presse zu entnehmen ist, gibt es eine neue Kandidatin für das Amt der Landesdatenschutzbeauftragten, das seit 2018 unbesetzt ist. Die Wahl sei für April vorgesehen.
Wir wünschen viel Glück!
1.20 CNIL: Bußgeld wegen unzureichender Rechtsgrundlage für Werbung
Die CNIL verhängte 310.000 Euro Bußgeld gegen ein Unternehmen, dass personenbezogene Daten ohne Rechtsgrundlage für Marketingzwecke nutze. Das Unternehmen konnte bei den zugekauften Daten keine Rechtsgrundlage (Einwilligung!) für die Werbezwecke nachweisen. Im großen und Ganze nichts Neues, aber dennoch empfehlenswert, sich damit genauer zu befassen. Eine schöne Zusammenfassung liest sich hier.
1.21 Spanien: Worldcoin
Nach “ target=“_blank“ rel=“noopener“>dieser Meldung hat ein Gericht den Antrag Worldcoins gegen die Anordnung der spanischen Aufsicht abgewiesen. Mal sehen, ob es dabei bleibt oder ob das Verfahren in die nächste Instanz geht.
1.22 Ungarn: Sanktion wegen unterbliebener Löschbenachrichtigung
Nach einer Beschwerde löschte eine verantwortliche Stelle Daten der betroffenen Person, unterrichtete diese Person aber nicht über die Löschung. Laut der Darstellung auf den Seiten des EDPB war aber diese unterblieben Benachrichtigung der Ausgangspunkt für ein Sanktionsverfahren, weil dadurch gegen die Transparenzvorgaben des Art. 12 Abs. 3 DS-GVO verstoßen worden sei. Nicht nur ich bin da etwas irritiert (Link zu LinkedIn).
1.23 Polen: Sanktion wegen unterbliebener Benachrichtigung nach Datenpanne
Aufgrund einer fehlversandten E-Mail erhielt ein Versicherungsnehmer Kenntnis von Ausgleichsdaten im Rahmen eines Kfz-Schadens einer anderen Person. Konkret waren dies personenbezogene Daten wie Vorname, Nachname, Postanschrift, Marke, Modell und Kennzeichen des Fahrzeugs sowie die Policennummer, die Schadensnummer und die Höhe des zugesprochenen Schadensersatzes. Er informierte die versendende Versicherungsgesellschaft. Diese schätzte das Risiko für die Person, deren Daten betroffen waren, nach einer Risikoanalyse als gering ein und informierte diese nicht, aber auch nicht die zuständige Aufsicht nach Art. 33 Abs. 1 DS-GVO. Die zuständige polnische Aufsicht ahndete diesen Verstoß mit 24.000 Euro.
1.24 ENISA: Schutzmaßnahmen personenbezogener Daten in EU-Datenräumen
Die European Union Agency for Cybersecurity (ENISA) hat für die europäische Datenräume eine Broschüre veröffentlicht, wie der Schutz personenbezogenen Daten in den europäischen Datenräumen umgesetzt werden kann. Dabei wird versucht die wichtigsten Gestaltungsprinzipien zum Schutz personenbezogener Daten in einen Kontext zu stellen und anhand von zwei Anwendungsfällen eines geplanten EU-Datenraums im pharmazeutischen Bereich zu zeigen, wie der Schutz personenbezogener Daten gestaltet werden kann.
1.25 EDSA: Europaweite Prüfung des Auskunftsprozesses
Falls jemand von Ihnen Interesse an der Lektüre des Fragebogens zur CEF 2024, der gemeinsamen anlasslosen Prüfungsaktion europäischer Aufsichtsbehörden, an der sich sieben deutsche Aufsichtsbehörden beteiligen, hat, habe ich hier einen Link für Sie aus einer Anfrage an das ULD bei FragdenStaat. Wir berichteten bereits über die Prüfaktion.
1.26 LDI NRW: KI-Verordnung kommt, Datenschutz bleibt
Die LDI NRW betont angesichts der Zustimmung zur KI-Verordnung im Europäischen Parlament, dass datenschutzrechtliche Anforderungen unberührt bleiben und verweist auf frühere Veröffentlichungen des EDSA dazu.
1.27 BfDI: Tätigkeitsbericht für 2023
Der BfDI hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Dies nahmen etliche Organisationen zum Anlass, um in einem offenen Brief darauf hinzuweisen, wie beschädigt dieses Amt durch die noch ausstehende Entscheidung zur Neubesetzung werde, weil kein sachlicher Grund ersichtlich sei den bisherigen Stelleninhaber nicht für eine weitere Amtszeit dem Bundestag vorzuschlagen.
In seinem Tätigkeitsbericht widmet sich der BfDI Schwerpunktthemen wie der Digitalisierung im Gesundheitsbereich, der Künstlichen Intelligenz, der Gesetzgebung im Sicherheitsbereich, aber auch den Digitalen Identitäten. Ferner berichtet er aus seiner Gremientätigkeit wie der DSG, dem EDSA, aber auch der Berlin Group und weiteren.
Der Tätigkeitsbericht ist als PDF so aufgebaut, dass die einzelnen Kapitel direkt verlinkt sind und bei einigen Meldungen wird auf die zitierten Kontrollberichte direkt verlinkt und zudem als QR-Code zugänglich gemacht. Hier eine kleine subjektive Auswahl an Themen:
1.27.1 BfDI: Tätigkeitsbericht für 2023 – Einsatz von MS 365
In Ziffer 4.1.1 seines Tätigkeitsberichts befasst sich der BfDI mit dem Einsatz von MS 365. Das Ergebnis des Dialogs mit Microsoft bewertet der BfDI ernüchternd. Zwar konnten aus Sicht der DSK einige Probleme behoben werden, die gravierendsten blieben aber weiterhin bestehen. Bezüglich des Drittstaatentransfer verweist er auf den zwischenzeitlichen Angemessenheitsbeschluss zugunsten Einrichtungen in den USA und den vertraglichen Nachtrag von Microsoft vom 2. Januar 2024, wonach große Teile der Verarbeitung nun innerhalb der EU stattfinden sollen.
Weiterhin sei aber die Nutzung personenbezogener Daten aus der Auftragsverarbeitung für eigene Zwecke von Microsoft besonders problematisch. Für diese Nutzung sei eine tragfähige Rechtsgrundlage notwendig. Die Prüfung einer solchen Rechtsgrundlage setze Kenntnis über die Art der verarbeiteten Daten sowie den korrespondierenden konkreten Zweck der Verarbeitung voraus. Auf Grundlage des aktuellen Datenschutznachtrages vom 1. Januar 2023 lasse sich diese Prüfung auch weiterhin nicht abschließend durchführen. Verantwortliche, die MS 365 einsetzen wollen, stünden daher in der Pflicht die datenschutzkonforme Nutzung nachzuweisen, zum Schutz der nutzenden Mitarbeiter, aber auch zum Schutz der mit MS 365 bearbeiteten Inhalte, die personenbezogene Daten Dritter enthalten können. Solange Microsoft die hierfür notwendige Transparenz nicht herstelle, bliebe unklar, was mit den Daten geschehe. Damit sei eine datenschutzkonforme Nutzung nach Auffassung des BfDI auch weiterhin regelmäßig nicht möglich.
1.27.2 BfDI: Tätigkeitsbericht für 2023 – Kriterien für souveräne Clouds
Souveräne Clouds sollen die digitale Souveränität von Cloud-Anwendenden stärken und ihre Abhängigkeit von einzelnen Cloud-Anbietenden reduzieren. Der BfDI äußert sich in Ziffer 4.1.2 zu den Anforderungen und Rahmenbedingungen aus seiner Sicht. Zentrale Prämissen seien dabei, dass die Rechte und Freiheiten der betroffenen Personen im Kontext der Verarbeitung ihrer personenbezogenen Daten im Mittelpunkt stehen und dass digitale Souveränität die Befolgung des anwendbaren Datenschutzrechts voraussetze, wobei die Anforderungen selbst über eine reine Datenschutzkonformität hinausgehen. Aus seiner Sicht sei die Feststellung besonders wichtig, dass in einer souveränen Cloud Verarbeitungen ausgeschlossen sind, die einzig im Interesse der Anbietenden erfolgen. Dies schließe Finanzierungsmodelle aus, in denen letztlich mit personenbezogenen Daten gezahlt werde. Eine entsprechende Zusicherung muss dabei mindestens so weit in die Zukunft wirken, dass Anwendende die Möglichkeit haben auf ein ihre Souveränität wahrendes Cloudangebot zu wechseln. Um diese Wechselmöglichkeit überhaupt zu schaffen, sei die Nutzung offener Standards, zumindest aber die Verfügbarkeit dokumentierter Schnittstellen, unabdingbar. Diese Schnittstellen ermöglichen idealerweise auch den Austausch einzelner Komponenten des angebotenen Clouddienstes, sodass Anwendende die für sie am besten geeignete Implementierung wählen können. Möglicherweise könne so dank verfügbarer Quelltexte die Möglichkeit zum eigenen Audit gegeben werden.
1.27.3 BfDI: Tätigkeitsbericht für 2023 – Messengerdienste und Facebook
Mit den datenschutzrechtlichen Anforderungen und Regulatorien bei Messengerdiensten befasst er sich in Ziffer 8.4. Ergänzend informiert der BfDI, dass er im Oktober 2023 zum ersten Mal den „Jour fix Messenger“ ausgerichtet hat. in dem er mit für Messengerdiensten Verantwortlichen künftig regelmäßig zusammenkommen will. Um die konkreten datenschutzrechtlichen Anforderungen an Messengerdienste systematisch zu evaluieren, rechtlich einzuordnen und für Dienstanbieter übersichtlich darzustellen, hat er zunächst für das Frontend eines Messengerdienstes im Rahmen eines sogenannten SPE-Projekts in Zusammenarbeit mit einem Experten einen Prüfkatalog erarbeitet. Zudem hat er neben der Aufklärungs- und Grundsatzarbeit in 2023 drei Kontroll- und Beratungsbesuche bei Messengerdiensten durchgeführt.
In seinen Ausführungen zum Einsatz von Facebook Fanpages (Ziffer 8.5) informiert er, dass das Verfahren noch beim VG Köln liegt, in welchem das Bundespressamt seinen Bescheid gerichtlich überprüfen lässt.
Er ist inhaltlich weiterhin der Ansicht, dass Betreiber einer Facebook-Fanpageseite und Meta als Betreiber des sozialen Netzwerks gemeinsame Verantwortliche für die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb der Facebook-Seite sind. Dies gelte auch bei deaktivierter Insight-Funktion, mit der Meta den Betreibenden von Seiten Statistiken über die Nutzung bereitstellt. Diese gemeinsame Verantwortlichkeit ergebe sich bereits daraus, dass im konkreten Fall das Bundespresseamt (BPA) mit der Erstellung und dem Betrieb der Facebook-Seite die primäre Ursache setzt, die es Meta erlaube personenbezogene Daten der Benutzerinnen und Benutzer der Seite zu erheben. Und zwar unabhängig davon, ob es sich um bei Facebook registrierte Nutzer handele. Das BPA habe ein eigenes Interesse an der Datenverarbeitung zu Zwecken der Profilerstellung und darauf aufbauend der gezielten Werbeansprache, da dieses Geschäftsmodell von Meta dem BPA eine kostenfreie Nutzung erlaube. Zudem folgt ein Interesse des BPA daraus, dass es mit der Facebook-Seite durch dieses Geschäftsmodell eine große Anzahl an Nutzenden gezielt ansprechen kann.
Auch habe das BPA gegen § 25 TTDSG verstoßen, indem für auf der Fanpage gesetzte Cookies keine wirksamen, aber erforderlichen Einwilligungen eingeholt wurden. Schließlich habe das BPA personenbezogene Daten der Besucherinnen und Besucher verarbeitet, ohne dass dies nach seiner Auffassung durch eine Rechtsgrundlange erlaubt wäre. Die (seitens öffentlicher Stellen oft aufgeführte) gesetzliche und wichtige Aufgabe der Öffentlichkeitsarbeit legitimiere keine Datenverarbeitungen zu Profiling- und Marketingzwecken für sich selbst oder Dritte. Der BfDI drückt sich hierzu einfach aus: „Der Zweck heilige nicht die Mittel“.
1.27.4 BfDI: Tätigkeitsbericht für 2023 – Hinweise zur Änderung des BDSG
Bei seinen Ausfügrungen zum Änderungsgesetz des BDSG in Ziffer 5.1 weist er u.a. auf seine Vorschläge zur Erweiterung der Befugnisse des BfDI hin, um auch gegenüber öffentlichen Stellen die Durchsetzung von Maßnahmen zu ermöglichen, wie z.B. die Streichung des § 20 Abs. 7 BDSG, mit der eine Ausnahme der sofortigen Vollziehbarkeit von Maßnahmen gegenüber Behörden geregelt wird.
1.27.5 BfDI: Tätigkeitsbericht für 2023 – Speicherdauer der Steuer-ID
Bei seinen Kontrolltätigkeiten prüfte der BfDI laut Ziffer 9.2.3 auch die Speicherdauer der Steuer-ID, die für immer mehr Anwendungsbereiche durch den Gesetzgeber vorgesehen werde. Zunächst befasst er sich mit der Bedeutung der Steuer-ID, um dann an Beispielen aufzuzeigen, wo er Optimierungsmöglichkeiten bei der Speicherdauer sehe.
1.27.6 BfDI: Tätigkeitsbericht für 2023 – Erlassene Maßnahmen gegenüber öffentlichen Stellen
In der Anlage 2 führt der BfDI auf, welche Maßnahmen wie Beanstandungen oder Verwarnungen er gegenüber öffentlichen Stellen und aufgrund welchen Gründen erlassen hat. Der Bundesdeutsche Gesetzgeber hat in § 43 Abs. 3 BDSG von der Option der DS-GVO in Art. 87 Abs. 7 Gebrauch gemacht und festgelegt, dass es gegen öffentliche Stellen keine Bußgelder geben darf. Sieht man sich die umfangreiche Liste an, lässt sich ahnen, warum.
1.27.7 BfDI: Tätigkeitsbericht für 2023 – Erlassene Maßnahmen gegenüber nicht-öffentlichen Stellen
Aber er ist auch zuständig für einige nicht-öffentliche Stellen wie bei Post- oder Telekommunikationsdienstleistungsunternehmen und führt in Anlage 3 auch hier seine Maßnahmen, wie Verwarnungen oder Anweisungen, auf aber auch die Festsetzung von Zwangsgeldern.
1.28 LfDI Rheinland-Pfalz: Prüfung von Software in Ämtern
Wie dieser Meldung zu entnehmen ist, prüft der LfDI Rheinland-Pfalz anlässlich einiger Medienberichte den Einsatz einer Software in Gesundheitsämtern. Es sollen möglicherweise sensible Gesundheitsdaten auch für Mitarbeiter einsehbar gewesen sein, die keine Berechtigung dazu hatten. Es sollen auch bereits schon Schwachstellen durch Update behoben worden sein.
1.29 Österreich: Steuerberatervollmacht auch gegenüber Datenschutzaufsicht?
Aufgemerkt: Dieses Thema spielt sich in Österreich ab, auf Basis der dortigen rechtlichen Rahmenbedingungen. Und es geht um die Frage, ob eine Vollmacht, die einem Wirtschaftstreuhänder (= Steuerberater) ausgestellt wird, auch die Vertretung vor den Datenschutzaufsichtsbehörde (DSB) umfasst. Die Datenschutzbehörde meinte nein, der Wirtschaftstreuhänder meinte ja und das Österreichischen Bundesverwaltungsgericht gab ihm nach den Angaben im Newsletter 01/2024 der DSB Recht. Zur selbstständigen Ausübung des Wirtschaftstreuhandberufes berechtigte Personen seien gemäß § 3 Abs. 3 WTBG zur Beratung und Vertretung in allen Verwaltungsverfahren befugt, soweit sie mit den für den gleichen Auftraggeber durchzuführenden wirtschaftstreuhänderischen Arbeiten unmittelbar zusammenhängen. Dazu gehörten u.a. die Sanierungsberatung, die nicht nur die Beratung in Zusammenhang mit konkreten Sanierungsverfahren, sondern sämtliche Beratungsleistungen, die auf die Wiederherstellung der wirtschaftlichen Leistungsfähigkeit abzielen. Die wirtschaftstreuhänderische Tätigkeit zur Wiederherstellung der Bonität durch Bereinigung von Einträgen bei Kreditauskunfteien und die Vertretung in diesbezüglichen Verfahren stünden somit in unmittelbarem Zusammenhang mit der wirtschaftstreuhänderischen Tätigkeit, weshalb eine Vertretungsberechtigung gegeben sei.
Nun wird laut Newsletter die Frage in der Revision vor dem Verwaltungsgerichtshof behandelt, ob der Berechtigungsumfang aus § 2 WTBG von Wirtschaftsprüfern und Steuerberatern (vgl. § 1 WTBG) auch die Vertretung vor der Datenschutzaufsicht umfasse.
1.30 Belgien: Anforderungen an „Ablehn-Button“
Muss ein Consent-Banner immer auch einen Ablehn-Button auf der ersten Ebene haben? Die belgische Datenschutzbehörde wies eine Cookie-Beschwerde ab, die das Fehlen einer Schaltfläche „Alle ablehnen“ auf der ersten Ebene des Cookie-Banners betraf, da die Schaltfläche „Meine Auswahl bestätigen“ bedeutete, dass keine Cookies platziert wurden, die nicht unbedingt erforderlich seien, da keine Kategorien von nicht unbedingt erforderlichen Daten standardmäßig angekreuzt waren.
Eine von noyb vertretene betroffene Person beschwerte sich bei der belgischen Aufsicht APD darüber, dass eine Website auf der ersten Ebene des Cookie-Banners keine „Ablehnen“-Option vorsah. Die APD stellte fest, dass der Cookie-Banner keine Option „Alle ablehnen“ enthielt, sondern die betroffene Person zwischen der „Annahme aller Cookies“ und der „Bestätigung der Standardauswahl“ wählen musste. Der APD stellte außerdem fest, dass keine der Kategorien nicht wesentlicher Daten standardmäßig vorab angekreuzt war. Das Anklicken der Schaltfläche „Meine Auswahl bestätigen“ bedeute daher, dass keine Cookies gesetzt wurden und sei gleichzusetzen mit einer Schaltfläche, die die Ablehnung nicht wesentlicher Cookies ermöglichte. Die APD stellte auch fest, dass das Cookie-Banner jederzeit während des Besuchs über ein schwebendes Symbol in der linken unteren Ecke der Webseite aufgerufen werden konnte, um die Cookie-Einstellungen zu ändern.
1.31 Belgien: Rechtsgrundlagen an Training von KI mit pbD
In dieser Entscheidung befasst sich die belgische Aufsicht mit Fragen der Informationspflichten und der Rechtsgrundlagen, wenn personenbezogene Daten auch zum Training von Machine Learning bzw. KI und die anschließende, separate Nutzung dieser Modelle für kommerzielle Zwecke verwendet werden.
Die Datenschutzbehörde ist der Ansicht, dass die Vereinbarkeit der Nutzung (Art. 6 Abs. 4 DS-GVO) nicht gegeben sei, da der Zweck der Schulung nicht von Anfang an klar gewesen sei (RN 30-33). Sie stellte fest, dass für die Schulung ein (übergeordnetes) berechtigtes Interesse bestehe und die anschließende Nutzung eine eigene Rechtsgrundlage erfordere (RN 47). Im vorliegenden Fall hat der Verantwortliche seinen Kunden das Recht eingeräumt der Verwendung von Daten für das Modelltraining zu widersprechen (Opt-out), so dass dann die beanstandeten Daten beim erneuten Training weggelassen würden. Dass dies einen Monat dauert, wurde von der Datenschutzbehörde angesichts der Komplexität einer solchen Verarbeitung gebilligt (RN 50).
1.32 Belgien: Löschanforderungen an E-Mail-Postfächer ausgeschiedener Beschäftigter
Die belgische Datenschutzaufsicht weist auf die Notwendigkeit der rechtzeitigen Löschung des E-Mail-Postfaches eines ehemaligen Mitarbeiters hin. Das E-Mail-Postfach sei am letzten Arbeitstag zu deaktivieren und die automatische Antwort mit weitergehenden Informationen innerhalb eines Monats oder in einigen Ausnahmen innerhalb von 3 Monaten. Einen Bericht dazu lesen Sie hier.
1.33 CNIL: Leitfaden für Interessensvertreter
Die CNIL veröffentlichte zusammen mit Branchenexperten einen Leitfaden für „Public Affairs“ und „Lobbying“. Wie sind deren Tätigkeiten mit der DS-GVO vereinbar und auf was ist im Detail zu achten? Den Leitfaden gibt es derzeit nur auf Französisch und er findet sich hier.
1.34 BaFin: Bußgeld für verspätete Meldung einer IT-Störung
Aufgrund einer Störung beim Onlinezugang der Postbank bekam die Deutsche Bank nach dieser Meldung nun durch die BaFin ein Bußgeld, weil sie diese Störung verspätet meldete. Die hierfür gesetzlich vorgesehene Frist von 24 Stunden konnte nicht eingehalten werden.
1.35 Italien: Strafe für TikTok
Diesmal geht es nicht um datenschutzrechtliche Themen, aber TikTok ist auch im Visier der italienischen Wettbewerbsbehörde. Diese stellt nun fest, dass TikTok u.a. auch nicht Anforderungen an Minderjährigenschutz, wie bei den algorithmisch hinterlegten Empfehlungssystemen, einhält (RN 68 ff). Insgesamt gibt es ein Bußgeld in Höhe von 10 Mio. Euro.
1.36 ICO: Bußgeldberechnung
Das Information Commissioner’s Office hat einen neuen Leitfaden für die Verhängung von Bußgeldern im Bereich des Datenschutzes veröffentlicht, in dem dargelegt wird, wie das Amt über die Verhängung von Strafen entscheidet und Bußgelder berechnet. Der Leitfaden soll den Organisationen mehr Transparenz darüber verschaffen, wie das ICO seine Bußgeldbefugnisse einsetzt. Er erläutert unter anderem den rechtlichen Rahmen, der dem ICO die Befugnis zur Verhängung von Bußgeldern gibt, wie das ICO an Grundsatzfragen herangeht, wie z. B. die Identifizierung des größeren „Unternehmens“ oder der wirtschaftlichen Einheit, zu der der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter gehört, ermittelt wird, und die Methodik, die durch das ICO zur Berechnung der angemessenen Höhe der Geldbuße anwenden wird.
1.37 Frankreich: Bußgeld gegen Alphabet (Google) wegen Training der KI mit Presseprodukten
Die französische Wettbewerbsaufsicht (Autorité de la concurrence) informiert, dass sie gegen Google ein Bußgeld in Höhe von 250 Mio. Euro verhängte, weil beim Training der KI „Bard“ presserechtliche Urheberegelungen nicht beachtet wurden.
1.38 Schweden: Umsetzungsfrist für Werbewiderspruch
Widerspricht eine Person der Direktwerbung, so dürfen diese Daten nicht mehr für diese Zwecke verarbeitet werden, so Art. 21 Abs. 3 DS-GVO. Die schwedische Aufsicht hatte sich damit zu befassen, wie schnell dieser Widerspruch zu berücksichtigen sei, und geht dabei in dem konkreten Fall von zwei Tagen aus. Dabei berücksichtigte sie, dass das betroffene Modehaus ein automatisiertes Verfahren zur Umsetzung von Widersprüchen implementiert hatte. Einen Bericht dazu finden Sie hier.
1.39 BSI: Liste der zugelassenen IT-Sicherheitsprodukte und -systeme
Das BSI hat die Liste der zugelassenen IT-Sicherheitsprodukte und -systeme in seiner BSI-Schrift 7164 veröffentlicht. Die jeweiligen Zulassungsurkunden mit den beigefügten Einsatz- und Betriebsbedingungen zu allen Produkten stellt das BSI berechtigten Anwendern im Internen Bereich zur Verfügung.
1.40 ICO: Leitfaden für Privacy Enhanced Technologies (PET)
Der ICO hat mit den Datenschutzbehörden der G7-Staaten zusammengearbeitet, um eine neue Fallstudie zum Einsatz von Technologien zum Schutz der Privatsphäre (PET) zu entwickeln. Die Fallstudie erklärt, wie man synthetische Daten, die aus Verschreibungsdaten generiert wurden, zur Entwicklung und zum Testen eines Systems für die Planung öffentlicher Dienstleistungen nutzen kann, ohne sensible Patientendaten weitergeben zu müssen. Diese Fallstudie zeigt, welche Vorteile PETs haben können und wie sie die persönlichen Daten der Menschen schützen können. Die Fallstudie findet sich hier.
Der erste Teil des Leitfadens richtet sich an die behördlichen Datenschutzbeauftragten (DSB) und diejenigen, die in größeren Organisationen besondere Verantwortung für den Datenschutz tragen. Im Mittelpunkt steht die Frage, wie sie mit Hilfe von Technologien zum Schutz der Privatsphäre die Einhaltung der Datenschutzvorschriften erreichen können.
Der zweite Teil richtet sich an ein eher technisches Publikum und an behördliche Datenschutzbeauftragte, die mehr über die derzeit verfügbaren PET-Typen erfahren möchten. Er gibt eine kurze Einführung in acht Arten von PETs und erläutert deren Risiken und Vorteile.
1.41 Und wieder Worldcoin
Nach dieser Meldung scheinen die Aufsichtsbehörden nun beruhigter zu sein, Worldcoin habe sein Konzept angepasst. Na, geht doch. Also im Zweifel vor einem Projekt sich besser fachkundig beraten lassen.
Franks Nachtrag: Sie möchten auch hier lesen…
2 Rechtsprechung
2.1 EuGH: Personenbezug beim TCF und gem. Verantwortlichkeit bei IAB
Im Urteil C-604/22 (IAB Europe) hat der EuGH entschieden, dass die Kennzeichnung mittels String im Rahmen des Transparency & Consent Framework (TCF) ein personenbezogenes Datum darstellen kann. Der TCF-String ist eine Zeichenfolge, die die Präferenzen eines Internetnutzers im Zusammenhang mit der Verarbeitung seiner personenbezogenen Daten auf strukturierte und maschinenlesbare Weise erfasst. Dieser TCF-String wird durch die Branchenorganisation IAB ihren Mitgliedern als Standard bereitstellt, mit dem sie ihnen vorschreibt, auf welche Weise diese Zeichenfolge in praktischer und technischer Hinsicht generiert, gespeichert und/oder verbreitet werden muss. Sowohl für IAB wie auch für Parteien, die diesen Standard auf ihren Websites oder in ihren Anwendungen implementieren und daher auf diese Weise Zugang zu dieser Zeichenfolge haben, sei der TCF-String ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DS-GVO (RN 44 ff).
Auch bestätigt der EuGH in dem Verfahren seine Auslegung zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO, dass es ausreicht, dass die Entscheidung über die Zwecke und Mittel der Verarbeitung verschiedene Formen annehmen kann und sich sowohl aus einer gemeinsamen Entscheidung von zwei oder mehr Einrichtungen als auch aus übereinstimmenden Entscheidungen solcher Einrichtungen ergeben könne. Im letzten Fall müssen sich diese Entscheidungen in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und -mittel auswirkt (RN 59).
Zudem stellt der EuGH zur gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO fest, dass – vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen – davon ausgegangen werden könne, dass IAB Europe aus Eigeninteresse auf die im Ausgangsverfahren in Rede stehenden Verarbeitungen personenbezogener Daten Einfluss nimmt und damit gemeinsam mit seinen Mitgliedern die Zwecke solcher Vorgänge festlegt (RN 64). Zudem ergebe sich hinsichtlich für eine solche Verarbeitung personenbezogener Daten eingesetzten Mittel (vorbehaltlich der vom vorlegenden Gericht vorzunehmenden Prüfungen aus den dem Gerichtshof vorliegenden Akten), dass das TCF einen Regelungsrahmen darstellt, an den sich die Mitglieder von IAB Europe halten müssen, wenn sie diesem Verband beitreten (RN 65).
Das Urteil wurde angesichts der Bedeutung für die Online-Werbeindustrie entsprechend aufgenommen, auch IAB hat dazu veröffentlicht.
Franks Nachtrag: Sie möchten auch das hier lesen…
2.2 EuGH: Personenbezug in einer Pressemitteilung der EU-Kommission
Die Zuordnung und Subsumtion zu einem personenbezogene Datum ist scheinbar tatsächlich nicht immer einfach, was sich auch an einem anderen Urteil des EuGH zeigt (EuGH C-479/22 P). Dabei ging es um ein Rechtsmittel gegen ein Urteil des EuG, und um eine der Streitfragen, ob und inwieweit durch einer Pressemitteilung der Europäischen Kommission über Unregelmäßigkeiten bei einer Forschungsförderung eine natürliche Person identifizierbar sei. Die betroffene Person verklagte daraufhin die EU-Kommission auf immateriellen Schadenersatz, weil diese keine Befugnis gehabt hätte ihre Identität in der Pressemittteilung offenzulegen. Der Begriff des Personenbezugs in der VO 2018/1725 ist nach dessen ErwGr 5 in Art. 3 Nr. 1 dem der DS-GVO gleichgestellt. Das Europäische Gericht (EuG) wies ihre Klage in vollem Umfang ab, der EuGH befasste sich nun mit deren Rechtsmittel.
Dabei ging es u.a. um die Frage, ob die Pressemitteilung für sich allein, aber auch mit Mitteln, die von einem Leser nach allgemeinem Ermessen wahrscheinlich genutzt würden, die Identifizierung der Klägerin ermöglicht habe, so dass die in dieser Mitteilung enthaltenen Informationen unter den Begriff „personenbezogene Daten“ fielen.
Der EuGH führt dazu aus, dass das EuG davon ausging, dass nur Handlungen oder Verhaltensweisen, die einem Organ oder einer Einrichtung der Union zuzurechnen seien, die Haftung der Union begründen könnten und daraus gefolgert habe, dass sich die Identifizierung der Klägerin aus der streitigen Pressemitteilung ergeben müsse und sich nicht aus externen Elementen ergeben dürfe. (RN 52). Dazu stellt der EuGH fest, dass Informationen über das Geschlecht einer von einer Pressemitteilung betroffenen Person, über ihre Staatsangehörigkeit, über die Tätigkeit ihres Vaters, über die Höhe der Finanzhilfe für ein wissenschaftliches Projekt und über den geografischen Standort der dieses wissenschaftliche Projekt betreuenden Einrichtung bei einer Gesamtschau Informationen enthalten, die die Identifizierung der von dieser Pressemitteilung betroffenen Person ermöglichen, insbesondere durch Personen, die auf demselben wissenschaftlichen Gebiet arbeiten und ihren beruflichen Werdegang kennen.
Daher kommt der EuGH in diesem Punkt zu dem Ergebnis, dass der EuG zu Unrecht befunden habe, dass die in der Pressemittteilung enthaltenen Informationen keine personenbezogenen Daten enthielten und die datenschutzrechtlichen Regelungen aus der VO 2018/1725 nicht anzuwenden wären (RN 65).
2.3 EuGH: Anwendbarkeit der DS-GVO auch bei mündlichen Weitergaben
Im Verfahren C-740/22 (Endemol Shine Finland) hat der EuGH entschieden, dass auch eine mündliche Mitteilung von Informationen über etwaige laufende oder bereits verbüßte strafrechtliche Verurteilungen einer natürlichen Person eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DS-GVO darstelle, wenn diese Informationen in einer Datei enthalten sind oder enthalten sein sollen.
Das Gericht argumentiert diesbezüglich, dass die DS-GVO „jeden Vorgang“ abdecken wollte und dies daher weit auszulegen sei (RN 29). Der Begriff der mündlichen Übermittelung sei auch vom Begriff der Verarbeitung umfasst (RN 30). Die Möglichkeit, die Anwendung dieser Verordnung dadurch zu umgehen, dass personenbezogene Daten mündlich statt schriftlich übermittelt werden, liefe diesem Ziel nämlich offensichtlich zuwider, so der EuGH in RN 31. Da die mündliche Übermittlung als solche eine nicht automatisierte Verarbeitung darstellt, ist somit erforderlich, dass die Daten, die Gegenstand dieser Verarbeitung sind, in einem „Dateisystem“ „gespeichert“ sind oder „gespeichert werden sollen“, damit diese Verarbeitung in den sachlichen Anwendungsbereich der DS-GVO fällt. Was den Begriff „Dateisystem“ betrifft, bestimme Art. 4 Nr. 6 DSGVO, dass er „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“, erfasst (RN 35 ff). Die Entscheidung wird bereits heftig diskutiert, ob eine mündliche Übermittlung wirklich als „Verarbeitung“ zu klassifizieren sei oder ob es nicht einfach als Bruch der Vertraulichkeit zu bewerten gewesen wäre.
Im Übrigen hat sich der EuGH auch dazu geäußert, dass der Zugang zu Daten über strafrechtliche Verurteilungen einer natürlichen Person, die in einer von einem Gericht geführten Datei enthalten sind, nach Art. 6 Abs. 1 lit. e i.V.m. Art. 10 DS-GVO nicht jedermann mündlich mitgeteilt werden können, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten zu gewährleisten, ohne dass die Person, die die Mitteilung beantragt, ein besonderes Interesse am Erhalt dieser Daten nachweisen muss, wobei es insoweit unerheblich ist, ob es sich bei dieser Person um eine Handelsgesellschaft oder eine Privatperson handelt.
2.4 EuGH: Gesamtschuldnerische Haftung zwischen Europol und Mitgliedsstaat
Der EuGH entschied im Fall C-755/21 P, dass bei einer widerrechtlichen Datenverarbeitung im Rahmen der Zusammenarbeit zwischen Europol und einem Mitgliedstaat beide haften, wenn dadurch ein Schaden eingetreten ist. Eine betroffene Person, die von Europol oder dem betreffenden Mitgliedstaat vollständigen Ersatz ihres Schadens begehrt, muss lediglich nachweisen, dass anlässlich der Zusammenarbeit zwischen diesen beiden Stellen eine widerrechtliche Datenverarbeitung vorgenommen wurde, durch die ihr ein Schaden entstanden ist. Es ist nicht erforderlich, dass sie darüber hinaus nachweist, welcher dieser Stellen die widerrechtliche Verarbeitung zuzurechnen ist.
Die dazugehörige Pressemitteilung dazu finden Sie hier.
2.5 EuGH: Freier Zugang zu Normen (aber nicht allen!)
Der EuGH entschied im Verfahren C-588/21 (Malamut), dass zu harmonisierten Normen, die im Rahmen eines Gesetzgebungsverfahren beauftragt wurden, kostenfreier Zugang ermöglicht werden muss. Das betrifft also nicht alle Normen. Der EuGH stellte fest, dass ein überwiegendes öffentliches Interesse an der Offenlegung der harmonisierten Normen gemäß der Verordnung 1049/2001 bestehe und erklärt daher die Entscheidung der Europäischen Kommission, den Zugang zu den vier beantragten Normen zu verweigern, für nichtig. Das wird sogar von denen begrüßt, die damit ihr Geld verdienen.
2.6 KG Berlin: Veröffentlichung von Videoaufnahmen und Journalismus
Im Rahmen eines Strafverfahrens befasst sich das KG Berlin mit datenschutzrechtlichen Fragen anlässlich mittels einer Videokamera aufgenommenen Aufnahmen durch eine Person, während diese durch Polizisten befragt wurde. Danach wurden die Aufnahmen durch den Angeklagten zunächst auf seinem Instagram-Profil und danach auf seinem unter einem Künstlernamen „betriebenen Y-Kanal einer breiten Öffentlichkeit zugänglich, wobei er einen Weichzeichner verwendete, um die beiden Beamten unkenntlich zu machen“, die Stimmen wurden durch Sprachverzerrungen bearbeitet. Das KG befasst sich bei der Rechtmäßigkeitsprüfung u.a. mit der Rechtmäßigkeitsgrundlage der journalistischen Tätigkeiten, lehnt dies aber im vorliegenden Fall eines alltäglichen Routinepolizeieinsatzes ab, weil dazu kein derartiges Interesse bestünde, dass in den Medien hätte verbreitet werden müssen. Zu beachten ist auch, dass die Mehrzahl von Fotoveröffentlichungen im Internet, z.B. auf Websites, Blogs oder Social-Media-Plattformen, zwar Ausdruck von persönlichen Ansichten ist oder der Selbstdarstellung dient. Journalistische Zwecke werden damit jedoch nicht verfolgt.
2.7 OLG Köln: Gestaltung von Consent-Bannern
Das OLG Köln hat (wieder mal) zur Gestaltung von Cookie-/Consent-Bannern geurteilt. Wieder war das Ablehnen des Einsatzes von Cookies nicht gleichwertig einfach gestaltet wie die Einwilligung zum Setzen. Weitere Details im Urteil.
2.8 BVwG Österreich: Dateisystem i.S. der DS-GVO
Im Rahmen der Beschwerde zu einer vermeintlich unzureichenden Auskunft befasst sich das österreichische BVwG mit den Anforderungen an ein Dateisystem. Die betroffene Person begehrte Auskunft aus Bauakten inkl. der sie betreffenden Statistiken und Schriftverkehr.
Das Gericht stellt dazu unter Ziffer 3.3.1 fest, dass nur Informationen von einem Auskunftsanspruch umfasst sind, die in einem Dateisystem gespeichert sind. Für die Annahme eines Dateisystems muss dabei ein Ordnungsgrad erreicht werden, der eine gezielte Suche nach personenbezogenen Daten ermöglicht. Eine Sortierung (bloß) nach Ordnungsnummern oder Zeit sei hierfür nicht ausreichend. Auch seien Papierakten per se keine manuellen Dateisysteme (Datei) und damit nach Art. 2 Abs. 1 DS-GVO vom Anwendungsbereich der DS-GVO ausgenommen. Allerdings habe der EuGH ausgesprochen, dass bei der Beurteilung, ob eine Datei vorliegt, auf das Kriterium der leichten Wiederauffindbarkeit abzustellen ist. Papierakten können damit zwar grundsätzlich dem datenschutzrechtlichen Auskunftsrecht unterliegen. Akten von Behörden (Bescheid inkl. Spruch, Sachverhaltsfeststellungen, andere Teile der Bescheidbegründung sowie das diesem zugrunde liegende gesetzliche Ermittlungsverfahren) unterliegen jedoch nach traditioneller Auffassung keinem Auskunftsanspruch, auch wenn der entsprechende Text – wie auch im konkreten Fall – mit Hilfe automationsunterstützter Datenverarbeitung erstellt worden sei.
2.9 OLG Stuttgart: Ist Direktwerbung per Post immer zulässig?
Das OLG Stuttgart hat in einem Hinweisbeschluss geäußert, dass sich aus Erwägungsgrund 47 der DS-GVO ergäbe, dass der Gesetzgeber die Direktwerbung beispielhaft als berechtigtes Interesse im Sinne der genannten Norm anerkennt. Unter diesem Begriff verstehe die Verordnung – etwa in Art. 21 Abs. 2 DS-GVO – jede unmittelbare Ansprache der betroffenen Person, etwa durch Zusendung von Briefen. Das OLG Stuttgart sieht in seinem Beschluss in der Berufung wenig Aussichten. Was war passiert? Ein Kläger hatte Schadenersatz eingeklagt, weil seine öffentlich zugängliche Anschrift ohne seine Einwilligung zur Versendung postalischer Werbung verwendet wurde. Auch meinte er, dass für die Anwendung der Vorgaben zur Direktwerbung ein Kundenverhältnis erforderlich sei. Das Landgericht Stuttgart wies bereits die Klage ab (Besprechung dazu hier). Die dagegen eingelegte Berufung wurde nun mit Beschluss des OLG Stuttgart vom 23. Februar 2024 als „offensichtlich“ unbegründet zurückgewiesen. Dies begründete der Senat in seinem Hinweisbeschluss.
2.10 ArbG Heilsbronn: Diskriminierung durch „Digital Native“
Liegt eine Altersdiskriminierung vor, wenn in Stellenanzeigen zu den Bewerbenden „Digital Natives“ gefordert würde? Konkret lautete die Formulierung in einer Stellenanzeige
„als Digital Native fühlst Du Dich in der Welt der Social Media, der Datengetriebenen PR, des Bewegtbilds …. zu Hause“.
Dies stellt nach Ansicht des ArbG Heilsbronn ein Indiz für eine unmittelbare Benachteiligung wegen des Alters dar. Es sprach einem 51-jährigen Bewerber daher eine Entschädigung in Höhe 7.500 Euro zu (laut Begründung das 1,5-fache des mutmaßlichen Monatsgehalts der ausgeschriebenen Stelle). Das ist natürlich Wasser auf die Mühlen derjenigen, die sich bereits jetzt schon verbal verletzt fühlen angesichts des inflationären Bullshit-Denglish in Stellenanzeigen und Unternehmenskommunikationen. Abhalten wird dies in den entsprechenden Bereichen aber sicherlich auch niemanden davon diese Begriffe trotzdem zu verwenden.
2.11 BGH: Kein Anspruch aus Art. 15 Abs. 3 DS-GVO auf Vertragsanpassungsunterlagen
Der BGH verwies auf Revision der beklagten Versicherung den Fall an das OLG zurück, allerdings mit dem Hinweis, dass sich aus Art. 15 Abs. 3 DS-GVO in diesem Fall kein Anspruch auf eine Reproduktion von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken begründen ließe (RN 15).
2.12 EuGH: Abhilfebefugnis der Aufsicht nach Art. 58 Abs. 2 DS-GVO
Eine Datenschutzaufsicht darf auch ohne Antrag der betroffenen Person eine Löschung von personenbezogenen Daten im Rahmen ihrer Kompetenzen nach Art. 58 Abs. 2 lit. c, d und g DS-GVO anordnen. Dies entscheid der EuGH im Verfahren C-46/23 (Újpesti Polgármesteri Hivatal) Im Ausgangsverfahren ging es um die Löschungsanordnung der Datenschutzaufsicht gegenüber einem Bürgermeisteramt in Ungarn. Die Befugnis zur Löschanordnung von unrechtmäßig verarbeiteten Daten ist unabhängig davon, ob diese Daten von der betroffenen Person oder aus anderen Quellen stammen.
2.13 Schweden: Berufungsgericht bestätigt Sanktion gegen Klarna
Nach dieser Meldung sah es ein schwedisches Berufungsgericht als erwiesen an, dass das Unternehmen gegen die Informationspflichten der DS-GVO verstoßen habe und bestätigte das Bußgeld in Höhe von umgerechnet 670.000 Euro.
2.14 EuGH: Verpflichtung von Fingerabdrücken in Ausweisen
Im Verfahren C-61/22 (Landeshauptstadt Wiesbaden) hat der EuGH entschieden, dass die verpflichtende Aufnahme von zwei Fingerabdrücken im Personalausweis mit den Grundrechten auf Achtung des Privatlebens und auf Schutz personenbezogener Daten vereinbar ist. Allerdings ist die Verordnung, die diese Aufnahme vorsieht, auf eine falsche Rechtsgrundlage gestützt worden. Daher erklärt der Gerichtshof sie für ungültig. Ihre Wirkungen werden jedoch höchstens bis zum 31. Dezember 2026 aufrechterhalten, damit der europäische Gesetzgeber eine auf die richtige Rechtsgrundlage gestützte neue Verordnung erlassen kann.
Nach eingehender Prüfung stellt der Gerichtshof fest, dass die Verpflichtung, zwei vollständige Fingerabdrücke in das Speichermedium von Personalausweisen aufzunehmen, eine Einschränkung der durch die Charta der Grundrechte der Europäischen Union garantierten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellt. Diese Aufnahme ist jedoch durch die dem Gemeinwohl dienenden Zielsetzungen, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Überprüfungssysteme zu gewährleisten, gerechtfertigt. Denn sie ist zur Erreichung dieser Zielsetzungen geeignet und erforderlich und im Hinblick auf diese Zielsetzungen nicht unverhältnismäßig. Insbesondere soweit die Aufnahme von zwei Fingerabdrücken es ermöglicht, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen, vermag sie einen Beitrag sowohl zum Schutz des Privatlebens der betroffenen Personen als auch im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus zu leisten. Da sie es den Unionsbürgern ermöglicht sich auf zuverlässige Weise zu identifizieren, erleichtert sie zudem die Ausübung ihres Rechts auf Freizügigkeit und Aufenthalt in der Europäischen Union. Die mit dieser Aufnahme verfolgten Zielsetzungen haben somit nicht nur für die Union und die Mitgliedstaaten, sondern auch für die Unionsbürger besondere Bedeutung. Die Aufnahme allein eines Gesichtsbilds wäre ein weniger wirksames Identifizierungsmittel als die zusätzlich zu diesem Bild erfolgende Aufnahme von zwei Fingerabdrücken. Alterung, Lebensweise, Erkrankung oder ein chirurgischer Eingriff können nämlich die anatomischen Merkmale des Gesichts verändern. Die in Rede stehende Verordnung wurde jedoch auf die falsche Rechtsgrundlage gestützt und infolgedessen nach dem falschen, d. h. nach dem ordentlichen statt nach einem besonderen, Gesetzgebungsverfahren erlassen, das insbesondere die Einstimmigkeit im Rat erfordert. Der Gerichtshof erklärt die Verordnung daher für ungültig. Die Ungültigerklärung der Verordnung mit sofortiger Wirkung könnte schwerwiegende negative Folgen für eine erhebliche Zahl von Unionsbürgern und für ihre Sicherheit im Raum der Freiheit, der Sicherheit und des Rechts haben. Daher hält der Gerichtshof die Wirkungen der Verordnung bis zum Inkrafttreten einer neuen, auf die richtige Rechtsgrundlage gestützten Verordnung innerhalb einer angemessenen Frist, längstens bis zum 31. Dezember 2026, aufrecht.
Das Gericht sah zwar, dass bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO (wie biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person) eine Folgenabschätzung nach Art. 35 DS-GVO erforderlich ist (RN 65).
Da im vorliegenden Fall die Verordnung 2019/1157 selbst keinen Vorgang im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten durchführt, sondern lediglich vorsieht, dass die Mitgliedstaaten im Fall der Beantragung eines Personalausweises bestimmte Verarbeitungen vornehmen, ist aber festzustellen, dass der Erlass dieser Verordnung nicht von der vorherigen Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge im Sinne von Art. 35 Abs. 1 DS-GVO abhängig war. Art. 35 Abs. 10 DS-GVO enthält insoweit eine Ausnahme von Art. 35 Abs. 1 DSGVO. Nach den vorstehenden Ausführungen war Art. 35 Abs. 1 DS-GVO beim Erlass der Verordnung 2019/1157 nicht anzuwenden, so dass dieser Erlass folglich nicht gegen Art. 35 Abs. 10 der Verordnung 2016/679 verstoßen konnte. Auch dies führe nicht zur Ungültigkeit der Verordnung 2019/1157.
Franks Nachtrag: Die Klageführer sehen die Fingerabdruckpflicht im Wanken. Zwar hat der EuGH eine lange Übergangsfrist gewährt, aber danach muss es ein neues EU-Gesetz geben. Und dank der geänderten Anforderungen, die der EuGH herausgearbeitet hat, muss die Entscheidung dann wohl einstimmig sein. Da werden Chancen ausgerechnet, wie das zu verhindern sein.
Franks zweiter Nachtrag: Eine kritische Stimme fragt, wo Verleihnix ist. Eine gute Frage, den könnten wir öfter brauchen…
2.15 BVerwG: Informationsfreiheit nur analog
Muss eine öffentliche Stelle auch online-Anfragen beantworten bzw. anonyme Anfragen und kann sie eine Postadresse verlangen? Das BVerwG meint: nein und ja. Das betrifft insb. die Plattform FragDenStaat, die hier seit Jahren für Transparenz in Bezug auf Entscheidungen öffentlicher Stellen sorgt. Die Behörde hatte dazu ihre Rechtsgrundlage in der Generalklausel des § 3 BDSG angegeben. Das Verfahren beruhte auf der Überprüfung einer Maßnahme, die der BfDI gegenüber dem BMI verhängte.
„Mehr Fortschritt wagen“ hatte ich mir anders vorgestellt. Kritik dazu auch hier.
2.16 LG Passau: Klageabweisung bei Scrapingklage
Das LG Passau hat im Rahmen einer Klageabweisung einer Schadenersatzforderung nach einem Scrapingvorfall bei Facebook auch Aussagen zum Stand der Technik und zum Drittstaatentransfer gemacht. Beim „Stand der Technik“ handele es sich um den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt; Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein. (RN 27).
Das LG Passau konnte im vorliegenden Fall keine unzulässige Datenübermittlung erkennen. Schließlich sei eine Datenübermittlung bei einer internationalen Plattform zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DS-GVO erforderlich und damit auf Grundlage von Art. 49 Abs. 1 S. 1 lit. b DSGVO zulässig (RN 68). Das LG Passau geht davon aus, dass, wenn beim Zugriff US-Regierungsbehörden einschließlich der Geheimdienste nach US-amerikanischem Recht Auskünfte verlangen können, dies die Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika sei. Diese Möglichkeit stehe der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus nicht entgegen, da sie auch unter europäischem Datenschutzregime nach Art. 6 Abs. 1 lit. c DS-GVO (Erfüllung einer rechtlichen Verpflichtung) zulässig wäre (RN 72).
Es findet sich auch eine Aussage, die eigentlich klar sein dürfte, wenn beim Sozialkundeunterricht nicht geschwänzt wurde, nämlich dass Aussagen der Datenschutzbehörden für Gerichte keine Bindungswirkung entfalten (RN 49).
2.17 AG Geilenkirchen: Datenschutzverstoß führt zu Beweisverwertungsverbot
Eine Klägerin verlangte Schadenersatz, weil ihr geparkter PKV durch einen LKW beschädigt worden sei. Ein Sachverständiger konnte aber die Schäden nicht dem Sattelzug zuordnen. Ein Video der Klägerin wurde durch das AG Geilenkirchen nicht als Beweismittel zugelassen, es sei nicht verwertbar. Es handelt sich um eine den Regelungen des BDSG unterliegende Aufnahme. Die Aufzeichnung durch die am klägerischen Hausobjekt installierte Videokamera stelle eine permanente anlasslose Aufzeichnung des gesamten Geschehens dar, welche zur Wahrnehmung der Interessen der Klägerin nicht erforderlich und deshalb gemäß § 4 Abs. 1 BDSG nicht zulässig gewesen sei.
2.18 OLG Dresden: Zweckänderung für Werbung durch Rechtsanwalt zulässig
Das OLG Dresden ist in diesem Urteil der Überzeugung, dass es im Einzelfall eine datenschutzrechtlich zulässige Zweckänderung darstellen kann, wenn ein Rechtsanwalt durch Akteneinsicht erlangte Daten von Insolvenzgläubigern nutzt, um diese in einem Rundschreiben auf ihre Rechtsschutzmöglichkeiten hinzuweisen, selbst wenn er damit auch Akquisezwecke verfolgt.
Im Fall hatte ein Rechtsanwalt für von ihm vertretene Gläubiger Akteneinsicht in einem Insolvenzverfahren vorgenommen, dabei auch die Anschriften der anderen Gläubiger verwendet, um diese auf ihre Rechte hinzuweisen und sich selbst als Anwalt anzubieten. Einige wurden bereits vertreten, fanden das Vorgehen unpassend und klagten auf Schadenersatz und Unterlassen. In Sachsen scheint das aber machbar zu sein.
2.19 LG Freiburg: Immateriellen Schadenersatz durch Datenpanne bei API-Fehler
Aufgrund einer API-Sicherheitslücke kam es zur Möglichkeit des Datenabzugs bei dem Netzwerk (X, vormals Twitter). Mit geringem Zusatzwissen konnten Unberechtigte dadurch auch den Usernamen eines Nutzers zuordnen und auch Informationen aus der Privatsphäre-Einstellungen einsehen.
Das LG Freiburg wies zwar einen beantragten Unterlassungsanspruch ab (ab RN 47), sprach jedoch dem Betroffenen 100 Euro Schadensersatz zu (ab RN 54).
Das Gericht führt auch aus, dass der Schaden des Klägers nicht in dem vermehrten Aufkommen an Spam-E-Mails liege. Die damit einhergehenden Beeinträchtigungen erschöpfen sich in einer Verärgerung über den Mehraufwand für das Aussortieren unerwünschten Spam-E-Mails. Ebenfalls kein kausaler Schaden liege darin, dass der Kläger in der Vergangenheit vereinzelt wichtige Nachrichten verpasst hat. Das falsche Einsortieren in den Spam-Ordner sei dem Spamfilter seines Mailanbieters zuzurechnen und nicht auf einen Datenschutzvorfall bei der Beklagten zurückzuführen.
Der Schaden des Klägers liege aber in seiner konkret-individuell und damit glaubhaft geschilderten Angst vor einer missbräuchlichen Verwendung seiner E-Mail-Adresse durch Dritte. Der Kläger habe zunächst spontan berichtet, dass er Angst davor hätte, dass unter seiner E-Mail-Adresse Nachrichten an seine Kontakte verschickt würden. Diese Sorge vor einem Missbrauch kann unter den gegebenen Umständen auch als begründet angesehen werden, weil nicht ausgeschlossen werden kann, dass die E-Mail-Adresse des Klägers missbräuchlich verwendet wird (RN 91 f).
Anspruchserhöhend wurde berücksichtigt, dass X noch mehrere schadensursächliche Verstöße begangen habe. Anspruchsmindernd wurde berücksichtigt, dass es sich bei den gescrapten Daten lediglich um die E-Mail-Adresse, nicht jedoch um besonders sensible Informationen wie Gesundheits- oder Kontodaten handelte. Eine Besprechung dazu finden Sie hier.
2.20 EuGH-Vorschau: Fragen rund um Art. 82 DS-GVO
Der EuGH entscheidet am 11. April 2024 in dem Verfahren C-741/21 (Juris) zu Fragen rund um Art. 82 DS-GVO, wie die Berücksichtigung mehrerer gleichgelagerter Verstöße, die Berücksichtigung, ob menschliches Versagen ursächlich war, ob eine Orientierung an den Zumessungskriterien des Art. 83 Abs. 2 und 5 DS-GVO bei der Bemessung des immateriellen Schadenersatzes nach Art. 82 DS-GVO erlaubt sei und wie weit der Begriff des immateriellen Schadens auszulegen ist.
2.21 EuGH-Vorschau: Handlungsverpflichtung einer Datenschutzaufsicht
Die Schlussanträge des Generalanwalts sind für den 25. April 2024 angekündigt im Verfahren C-768/21 (Land Hessen). Dabei geht es um eine eigentlich simple, aber entscheidende Frage:
Sind Art. 57 Abs. 1 lit. a und f sowie Art. 58 Abs. 2 lit. a bis j in Verbindung mit Art. 77 Abs. 1 DS-GVO dahingehend auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist nach Art. 58 Abs. 2 dieser Verordnung einzuschreiten?
2.22 EuGH-Vorschau: Nutzungsmöglichkeiten durch Netzwerke zur Werbung
Wieder mal ein Verfahren mit dem Namen „Schrems“, jedoch nicht primär um Datenübermittlung in die USA. Diesmal geht es in C-446/21 (Schrems) um Fragen zur Rechtsgrundlage bei einem sozialen Netzwerk, ob dieses über Art. 6 Abs. 1 lit. b (Vertragsabwicklung) oder über Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO Nutzungen zu Werbezwecken gestalten darf und inwieweit der Grundsatz der Datenminimierung gegen eine Nutzung für Zwecke der Werbung spricht, wenn dazu auch auf Daten außerhalb der Plattform verarbeitet werden. Auch geht es um die Fragen, ob Art. 9 Abs. 1 DS-GVO dahin auszulegen ist, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert und ob Art. 5 Abs. 1 lit. b in Verbindung mit Art. 9 Abs. 2 lit. e DS-GVO dahin auszulegen ist, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?
Für den 25. April 2024 sind dazu die Schlussanträge des Generalanwalts zu erwarten.
2.23 EuGH-Vorschau: Datenschutz als Wettbewerbsmerkmal und Art.-9-Daten
Im Verfahren C-21/23 (Lindenapotheke) behandelt der EuGH einerseits die Frage, inwieweit datenschutzrechtliche Verstöße auch als Wettbewerbsverstoß bewertet werden können. Er befasst sich aber auch mit der Frage, ob personenbezogenen Daten, die im Rahmen einer Bestellung über eine Onlineplattform bei einem Apotheker verarbeitet werden, wie Name des Kunden, Lieferadresse und für die Individualisierung des bestellten apothekenpflichtigen Medikaments notwendige Informationen, Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DS-GVO darstellen. Bei den Produkten handelt es sich um apothekenpflichtige, nicht aber verschreibungspflichtige Medikamente.
Der Generalanwalt veröffentlicht dazu seine Schlussanträge ebenfalls am 25. April 2024.
3 Gesetzgebung
3.1 „Exekutiver Fußabdruck“ und „Synopse“ bei Gesetzesänderungen
Nach einem Entwurf einer Änderung der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) zur Umsetzung der Vorhaben „Exekutiver Fußabdruck“ und „Synopse“ soll künftig bei gesetzändernden Vorhaben eine Synopse erstellt werden. Zudem soll ersichtlich gemacht werden, wenn Interessenvertreter:innen sowie beauftragte Dritte wesentlich zum Inhalt des Gesetzentwurfs beigetragen haben (Exekutiver Fußabdruck). Jetzt kann gemutmaßt werden, ob irgendein(e) Praktikant:in die Dokumentenvergleichen-Funktion bei Word erklärte oder das behördenintern als KI definiert wird – es ist jedenfalls zu begrüßen.
3.2 Cyber Solidarity Act (CSA)
Die Trilogverhandlungen zum Cyber Solidarity Act (CSA) sind nun abgeschlossen, wie die Kommission mitteilte. Mit dem Cybersolidaritätsgesetz soll die Solidarität auf EU-Ebene gestärkt werden, um die Erkennung, Vorsorge und Bewältigung von Cyberbedrohungen und vorfällen zu verbessern. Es umfasst drei Maßnahmen, die Einrichtung eines europäischen Cybersicherheitswarnsystems, die Einführung eines Cybernotfallmechanismus und einen europäischer Überprüfungsmechanismus für Cybersicherheitsvorfälle. Weitere Informationen dazu finden sich auf den Seiten der Kommission wie hier oder im Factsheet. Die Einschätzung einer Kanzlei lesen Sie hier.
3.3 UK: Petition zur Verabschiedung von Regelungen zur KI
Im Vereinigten Königreich gibt es eine Petition, die darauf abzielt, dass die britische Regierung vergleichbare Regelungen zur EU zur Nutzung von KI und der Berücksichtigung datenschutzrechtlicher Rahmenbedingungen schafft. Damit soll auch vermieden werden, dass sich eine Regulierung aufgrund der nächsten Wahlen verzögern könnte.
3.4 BMJ: (weitere) Digitalisierung der Justiz
Die Bunderegierung hat einen Gesetzentwurf des BMJ beschlossen, um weitere Schritte einzuleiten, um die digitale Kommunikation von Bürgern und Unternehmern mit der Justiz zu erleichtern. Dies betrifft u.a. den Wegfall bislang erforderlicher Unterschriften, ein erleichterter Umstieg auf die E-Akte und weitere Einsatzmöglichkeiten für Videoverhandlungen, im Insolvenzrecht die Möglichkeiten der elektronischen Forderungsanmeldung und der elektronischen Kommunikation mit den Insolvenzgläubigern. Zudem soll das Schriftformerfordernis für Vergütungsberechnungen der Rechtsanwälte entfallen. Das lässt hoffen, hat doch gerade erst der BGH (BGH Beschluss vom 30.11.2023 – III ZB 4/23, RN 14) geklärt, dass ein Dokument nicht erst ausgedruckt werden muss, um als PDF erstellt werden zu können.
3.5 AI Act: Textfassung auf Deutsch
Für die Abstimmung im Europäischen Parlament sind die jeweiligen Sprachfassungen erstellt worden. Die deutsche Fassung finden Sie hier. Die Hinweise des Wissenschaftlichen Dienstes der Europäischen Parlaments dazu finden Sie hier. Aber auch inhaltliche Kritik ist zu vernehmen. Der weitere Zeitplan ist hier abgebildet. Eine Darstellung über die Inhalte ist hier verfügbar.
3.6 Europarat: Einigung über KI
Achtung: Nicht verwechseln, der Europarat ist nicht der Europäische Rat. Der Europarat umfasst mehr Mitglieder und ist ein Forum für Debatten über allgemeine europäische Fragen. Seine Satzung sieht eine allgemeine Zusammenarbeit der Mitgliedstaaten zur Förderung von wirtschaftlichem und sozialem Fortschritt vor. Dieser Europarat hat sich in seinem Ausschuss für Künstliche Intelligenz im Rahmen seiner Aufgabenplanung nun auf eine Konvention zu Künstlicher Intelligenz verständigt. Mitgewirkt haben neben den 46 europäischen Mitgliedstaaten auch Argentinien, Australien, Kanada, Costa Rica, dem Heiligen Stuhl, Israel, Japan, Mexiko, Peru, den Vereinigten Staaten von Amerika, Uruguay und unter kontinuierlicher Beteiligung der Zivilgesellschaft (ALLAI, ENNHRI, CINGO, Algorithmwatch, CAIPD u.a.).
Nach ihrer formellen Verabschiedung soll die KI-Konvention (wie sie heißen soll) ein globales Rechtsinstrument zum Schutz der Menschenrechte, der Demokratie und der Rechtsstaatlichkeit vor negativen Auswirkungen der KI sein. Das Rahmenübereinkommen wird voraussichtlich in der ersten Maiwoche 2024 als erster internationaler Vertrag über künstliche Intelligenz mit globalem Charakter verabschiedet werden. Es muss dann noch durch die einzelnen Staaten ratifiziert werden.
Franks Nachtrag: Hier lesen Sie mehr dazu…
3.7 EU-Kommission: Bewertung der Angemessenheitsbeschlüsse
Die Kommission überprüft und bewertet regelmäßig die unter der damaligen Regelung der Richtlinie 95/46 (Art. 25 Abs. 6) verfassten Angemessenheitsbeschlüsse. Nun hat sie ihren Bericht veröffentlicht.
Dies betrifft die Entscheidungen hinsichtlich Andorra, Argentinien, Kanada (in Bezug auf kommerzielle Betreiber), die Färöer Inseln, Guernsey, die Ilse of Man, Israel, Jersey, Neuseeland, die Schweiz und Uruguay.
Die erste Überprüfung habe gezeigt, dass sich die in jedem der elf Länder bzw. Gebiete geltenden Datenschutzrahmen seit der Annahme der Angemessenheitsfeststellungen weiter an den Rahmen der EU angeglichen haben. Auch stellte die Kommission fest, dass das Recht dieser Länder bzw. Gebiete angemessene Garantien und Beschränkungen sowie Aufsichts- und Rechtsbehelfsmechanismen im Bereich des Zugangs von Behörden zu personenbezogenen Daten vorsieht. In einer Anlage zum Bericht* sind detaillierten Feststellungen zu jedem der elf Länder bzw. Gebiete dargelegt.
* Franks Anmerkung: Der gedachte Link funktioniert nicht, Handarbeit ist angesagt, die EU verhindert leider (soweit für mich ersichtlich) das direkte Verlinken… Deswegen klicken Sie bitte auf der sich öffnenden Seite von Hand auf das Dokument „Arbeitsdokument der Dienststellen – SWD(2024)3“. 🤷♂️
3.8 BDSG-Änderungen
Der Bundesrat bringt einige Hinweise und Änderungsvorschläge in das Gesetzgebungsverfahren ein. Das betrifft z.B. viele Hinweise zum neuen §37a (Scoring), aber auch zur Zuordnung von Religionsgemeinschaften, wenn diese keine eigene Aufsicht haben oder auch Änderungen bei der Einschränkung der Auskunftsanspruchs. Diskussionswürdig ist auch der Vorschlag den § 38 BDSG (Benennungspflicht des DSB) zu streichen.
Franks Nachtrag: Wir wissen natürlich bereits mehr…
3.9 Digitale-Dienste-Gesetz
Im Bundestag ist das Digitale-Dienste-Gesetz durch, jetzt geht es noch durch den Bundesrat, ist aber nur noch Formsache. Damit ist nun die Regelung zum Binnenmarkt für digitale Dienste und zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten in Umsetzung des Digital Service Acts (DSA) verabschiedet. Eine Darstellung der Inhalte findet sich hier.
Für die Durchsetzung der Kinder- und Jugendrechte richtet die Bundeszentrale für Kinder- und Jugendmedienschutz eine eigene Stelle ein.
Das Paket im Digitale-Dienste-Gesetz umfasst in Art. 8 auch die Änderungen des TTDSG zu einem TDDDG, weil die Begrifflichkeit „Telemedien“ durch „Digitale Dienste“ ersetzt wird. Eine inhaltliche Änderung ist damit nicht verbunden. (Sie ist aber parallel geplant und befindet sich in der Ressortabstimmung, geleakte Überlegungen dazu finden sich hier.)
Nicht geregelt wurde auch die Verabschiedung von der Impressumspflicht auf Blogseiten von Privatpersonen, die derzeit auch diskutiert wird. Weiteres zu diesem Thema findet sich hier.
3.10 Europarat: Konvention zu KI
Hier findet sich nun die finale Fassung. Und hier die passende Kritik dazu: Die Konvention zur KI richte sich nur an Staaten, nicht an die Wirtschaft, wichtige Bereiche sind ausgenommen (=> KI-Theater). Wie es weitergeht, lesen Sie hier.
3.11 EU: Gesundheitsdatenraum
Wie der Europäische Rat bekannt gab, hat man sich mit dem Parlament auf eine Fassung verständigt. Sie findet sich am Ende der Pressemitteilung.
3.12 BDSG-Änderungen: Streichung des § 38 abgelehnt
Etwas Aufregung gab es* wegen einer Fassung einer Empfehlung des Innenausschusses des Bundesrates zur Änderung des BDSG, insb. zur Streichung des § 38 BDSG. Dieser Teil-Antrag aus der Empfehlung wurde aber nicht angenommen, so dass der § 38 BDSG nicht auf Basis dieses Antrags** gestrichen wird.
* Franks Anmerkung: Zu Recht! Wenn die DSB (gerade) in den KMU nicht mehr benannt werden müssen, werden sie auch nicht benannt werden. Und wer kümmert sich dann darum den Unternehmen die Pflichten der DS-GVO, die ja ansonsten alle bestehen bleiben, zu erklären und dafür zu sorgen, dass Betroffenenansprüche und -rechte umgesetzt werden?
** Franks zweite Anmerkung: Das wird bestimmt nicht der letzte Anlauf sein die Benennungspflicht loszuwerden. Manchmal kommen sie (immer) wieder…
3.13 EU: VO zu Transparenz und Targeting politischer Werbung
Am 20. März 2024 wurde die VO 2024/900 über die Transparenz und das Targeting politischer Werbung im Amtsblatt veröffentlicht. Sie gilt ab dem 10. Oktober 2025, allerdings gelten die Begriffsbestimmungen in Art. 3 und die Vorgaben für politische Werbedienstleister in der Union aus Art. 5 Abs. 1 am 20. Tag nach Veröffentlichung. Die VO hat (u.a.) das Ziel, die in der Charta der Grundrechte der Europäischen Union verankerten Grundrechte und Grundfreiheiten zu schützen, insbesondere das Recht auf Privatsphäre und auf Schutz personenbezogener Daten (Art. 1 Abs. 4 lit. b). Unter anderem gilt diese VO unbeschadet der ePrivacy-RL (Art. 2 Abs. 2 lit. b). der EDSA darf mit Leitlinien unterstützen (Art. 22 Abs. 2). Sanktionen gibt es natürlich auch (Art. 25).
In ErwGr. 81 wird darauf hingewiesen, dass in Anbetracht des Urteils des EuGH C-252/21 (Meta BKartA) es den betroffenen Personen freistehen sollte, im Zusammenhang mit politischer Werbung ihre Einwilligung zu bestimmten Datenverarbeitungsvorgängen zu verweigern, ohne ganz auf den Zugang zu einer Dienstleistung verzichten zu müssen. Nach Auffassung des Gerichtshofs sollte diesen Nutzern eine gleichwertige Alternative angeboten werden, die nicht mit solchen Datenverarbeitungsvorgängen einhergeht. Na, da sind wir mal gespannt!
4 Künstliche Intelligenz und Ethik
4.1 Anonymisierung und KI
Würden Sie Ihre Daten nach einer Anonymisierung für das Training für ein KI freigeben? Bei der Umfrage im Auftrag des Verbands der Internetwirtschaft konnten die Teilnehmenden zwischen verschiedenen Datenarten wählen. Zwei Drittel wählten dabei „keine der genannten Daten / Weiß nicht“.
Die Frage, die mich dabei umtreibt: Kann / darf ich nach einer Anonymisierung überhaupt noch Einfluss nehmen auf die Verwendung?
4.2 Der EuGH und seine KI-Strategie
Der Gerichtshof der Europäischen Union (EuGH) hat kürzlich seine Strategie für künstliche Intelligenz (KI-Strategie des EuGH) veröffentlicht. Daraus geht nicht nur hervor, welche Bedeutung er der KI zuspricht, sondern auch, wie diese eingesetzt werden könnte.
4.3 KI-Strategie der Telekom
Welche Auswirkungen haben die Möglichkeiten der Künstlichen Intelligenz auf die Anforderungen des Datenschutzes? Schließt das eine das andere aus? Damit befasste sich auch die Telekom und kam zu einem anderen Ergebnis: Privacy-by-Strategy, welches sie neben den internen Datenschutzanforderungen zu Künstlicher Intelligenz platziert.
4.4 Singapur: Leitfaden zur Nutzung von KI mit personenbezogenen Daten
Eigentlich ja weit weg. Es gibt aber vergleichbare Fragestellungen: Die Datenschutzaufsicht in Singapur veröffentlichte einen Leitfaden zur Nutzung von personenbezogenen Daten in KI-gestützten Empfehlungs- und Entscheidungssystemen.
4.5 KI und Autorenrechte
Es wird für viele keine Überraschung sein und die ersten Warnungen sind auch schon ein paar Jahre alt. Aber hier wird durch das Netzwerk-Autorenrechte anschaulich beschrieben, welche Auswirkungen der Einsatz von KI auf kreative Berufe haben wird bzw. bereits schon hat.
4.6 Podcast von KI über KI
Ein spannendes Experiment: Eine KI verfasst einen Podcast. Dieser ist vollständig KI-generiert. Einzig und allein der Inhalt ist kuratiert. Die beiden Experten wählen passende Nachrichten aus. Danach wird sowohl das Manuskript als auch die Audio-Datei vollständig automatisiert erstellt. Und zwar auch nach den Stimmmodellen der Autoren. Dementsprechend wird auch nicht immer für die Richtigkeit garantiert. Auch wenn dabei eine Studie angesprochen wird, die sich mit dem Einsatz von LLM bei der Bug Detection befasst. Vielleicht hören Sie mal rein (Dauer ca. 4:45 Min).
4.7 KI und Arbeitgeber
In straffen 12 Minuten befasst sich dieser Podcast mit Fragen rund um KI und Arbeitsrecht, insbesondere damit, was Arbeitgeber wissen müssen.
4.8 Leitfaden Digitale Verwaltung und Ethik aus Österreich
Nicht nur in der Schweiz, auch in Österreich findet sich ein Leitfaden zur Umsetzung von Verwaltung und Ethik. Und zwar hier.
4.9 KI-Transparenzregister für die Öffentliche Verwaltung
Die VolkswagenStiftung fördert ein gemeinsames Projekt des Deutschen Forschungsinstituts für öffentliche Verwaltung Speyer mit AlgorithmWatch und NExT Netzwerk zur Entwicklung eines KI-Transparenzregisters für die Öffentliche Verwaltung mit über 179.000 Euro. Auf der Grundlage einer Folgenabschätzung wird das Register Informationen über wesentliche Eigenschaften von KI-Systemen liefern. Dies dient nicht nur der Zivilgesellschaft, sondern auch der Verwaltung, denn es bietet entscheidende Informationen, die bisher fehlten.
Ziel ist ein tragfähiger Rahmen für ein KI-Transparenzregister und die Entwicklung rechtlicher Anforderungen für dessen Umsetzung. Die Forschenden sehen den Bedarf einer umfassenden politischen und zivilgesellschaftlichen Debatte über den staatlichen KI-Einsatz. Denn durch die rasche Einführung von KI-basierten Systemen in der öffentlichen Verwaltung kommen ethische und rechtliche Fragen bezogen auf die Integrität demokratischer Gesellschaften und der Rechtsstaatlichkeit insgesamt auf.
Aber auch die anderen Projekte klingen spannend!
4.10 KI und Aufsichtsrat
Diese Thematik behandelt ein Beratungsunternehmen in einer 60-seitigen Broschüre. Diese ist als PDF erhältlich, wenn man bereit ist, auch einen Newsletter zu erhalten.
4.11 Statistik zu Plagiaten in KI
Wie hier zu lesen ist, fand ein neuer Bericht des Plagiatsdetektors Copyleaks heraus, dass 60% der GPT-3.5-Ausgaben von OpenAI irgendeine Form von Plagiaten enthielten*. Nachdem Urheber von Inhalten, von Autoren und Songschreibern bis hin zur New York Times, vor Gericht argumentieren, dass generative KI, die auf urheberrechtlich geschütztes Material trainiert wurde, am Ende exakte Kopien ausspuckt, kann damit geprüft werden, ob urheberrechtlich geschützte Inhalte genutzt wurden.
* Franks Anmerkung: Ach was, wie unerwartet… (Schauen Sie sich einfach den nächsten Beitrag an, es ist die gleiche Firma…)
4.12 Trainingsdaten von Sora
Die Ergebnisse sind atemberaubend und teilweise auch erschreckend: Videos durch KI erstellt. Das Angebot Sora von OpenAI verblüfft mit eindrucksvollen Ergebnissen. Wie kamen diese zustande? Tja, das wurde auch die verantwortliche Person bei OpenAI gefragt und ihre Antworten in diesem YouTube-Video (ca. 10 Min.) werden viele überraschen: Es schien keine Grenzen bei der Nutzung von Videos aus dem Internet oder Portalen gegeben zu haben.
Franks Nachtrag: Sie möchten auch das hier lesen… und die Meldung direkt hier drüber… wie gesagt, total unerwartet.
4.13 EU: Ethikleitlinien für vertrauenswürdige KI
Angesichts des fortschreitenden Gesetzgebungsprozesses sei nochmal an die Ethikleitlinien für vertrauenswürdige KI der EU aus dem Jahr 2019 erinnert, die drei Elemente voranstellt:
- rechtmäßig – Einhaltung aller geltenden Rechts- und Verwaltungsvorschriften
- Ethik – Achtung ethischer Grundsätze und Werte
- robust – sowohl aus technischer Sicht als auch unter Berücksichtigung des sozialen Umfelds
Daraus leiten sich dann sieben Kernanforderungen ab, die KI-Systeme erfüllen sollten, um als vertrauenswürdig zu gelten. Eine spezifische Bewertungsliste soll dazu beitragen, die Anwendung der einzelnen Kernanforderungen zu überprüfen. Die Ethiklinie ist auf Deutsch hier zu finden.
4.14 KI und Wasser und Strom
Information und Zahlen bietet die Webseite der Tagesschau zur Frage, wieviel Strom und Wasser und wofür bei der Nutzung von KI verbraucht wird. Einschließlich engagierter Zitate von Microsoft, allerdings ohne belastbare Zahlen.
4.15 Microsoft und KI
Wer gerade dabei ist zu versuchen den Einsatz von verschiedenen Tools von Microsoft regulatorisch zu begründen, ist vielleicht ganz froh, wenn er sieht, wie sich Microsoft Mühe gibt hier Hinweise zu geben: KI-Zugangsgrundsätze: Unsere Verpflichtungen zur Förderung von Innovation und Wettbewerb in der neuen KI-Wirtschaft. Aber dabei nicht vergessen: Die datenschutzrechtliche Verantwortung inkl. ausreichender Informationspflichten verbleiben bei der einsetzenden Einrichtung.
4.16 OECD: Aktualisierung der Definition eines KI-Systems
Im November 2023 genehmigten die OECD-Mitgliedsländer laut Angaben der OECD eine überarbeitete Version der Definition eines KI-Systems der Organisation. Es wurde nun Stand März 2024 durch die OECD veröffentlicht. Es enthält vorgeschlagene Klarstellungen zur Definition eines KI-Systems in der OECD-Empfehlung zur KI aus dem Jahr 2019 (die „KI-Grundsätze“), um deren weitere Relevanz und technische Solidität zu unterstützen. Das Ziel der Definition eines KI-Systems in der OECD-Empfehlung sei es zu formulieren, was für die Zwecke der Empfehlung als KI-System angesehen wird.
Generell bietet die OECD weiter Angebote wie ihre Principles zu AI oder auch das OECD AI Policy Observatory (OECD.AI), das Ressourcen aus der gesamten OECD und ihren Partnern aus allen Interessengruppen bündelt. Es soll den Dialog erleichtern und bietet multidisziplinäre, evidenzbasierte politische Analysen und Daten zu den Wirkungsbereichen der KI. Es sei eine einzigartige Quelle für Echtzeit-Informationen, Analysen und Dialoge, um die KI-Politik weltweit zu gestalten und zu verbreiten. Über die Länder-Dashboards können Hunderte von KI-Initiativen in über 60 Ländern und Gebieten durchsucht und verglichen werden. Das Observatorium beherberge auch den AI Wonk Blog, in dem das OECD-Expertennetzwerk für KI und Gastautoren ihre Erfahrungen und Forschungsergebnisse austauschen.
4.17 Vertrauenswürdige LLM
Wie können LLM hinsichtlich ihrer Vertrauenswürdigkeit bewertet werden? Die Veröffentlichung „Trustworthy LLMs: a Survey and Guideline for Evaluating Large Language Models‘ Alignment“ vom August 2023 wurde nun aktualisiert.
4.18 Wer ist schneller? Mensch oder KI?
Ich fürchte fast, der Mensch gewönne diese Frage, die sich für mich aus der Meldung ergibt, dass ein US-Regierungsbericht im Oktober 2022 im Rahmen einer Risikobewertung von KI auch das Ergebnis nicht ausschloss, dass allgemeine KI auch die Menschheit auslöschen könne. Er wurde nun veröffentlicht und beschreibt einige „katastrophale Risiken“ von allgemeiner Künstlicher Intelligenz. Diese hypothetische KI sei in der Lage jede intellektuelle Fähigkeit zu verstehen bzw. zu erlernen. So ein System sei noch Zukunftsmusik, es könnte „Menschen aber in einem breiten Spektrum wirtschaftlicher und strategischer Bereiche übertreffen“. Das Unternehmen Gladstone, das mit der Berichterstellung beauftragt wurde, führte Umfragen mit 200 Interessensvertreten der Branche durch, darunter auch Mitarbeiter von OpenAI, Google DeepMind, Anthropic und Meta. Dabei kamen sie zum Entschluss, dass KI ein hohes Risiko habe bei der Entwicklung von Biowaffen, massiven Cyberattacken, Desinformationskampagnen und autonomen Robotern eingesetzt zu werden. Der Bericht wies auch auf ein hohes Risiko eines Kontrollverlusts hin. Sollte dies geschehen, könnte es zu „Massenunfällen“ oder „globaler Destabilisierung“ führen, so der Bericht.
4.19 Urheberrecht und KI
Es gab schon mehrere Ausarbeitungen zu Fragen rund um den Einsatz von KI auf dieser Webseite. Im aktuellen Thema geht es in Teil 10 um Fragen rund ums Urheberrecht und KI: Verantwortlichkeit von Anbietern und Nutzern.
5 Veröffentlichungen
5.1 AWV: „Webseiten rechtssicher gestalten“
Die Arbeitsgemeinschaft für wirtschaftliche Verwaltung e. V. (AWV) bietet auf ihrer Webseite eine kostenlose Broschüre mit Informationen zur rechtskonformen Gestaltung von Webseiten an. Dabei wird auch auf die Themen TTDSG, ePrivacy und Datenschutz in der Praxis eingegangen. Die Broschüre kann nach Angabe der E-Mail-Adresse kostenlos heruntergeladen werden. Das ermöglicht eine Reichweitenmessung ohne Cookies.
5.2 Gesundheitsdatennutzung
Wer sich zum aktuellen Stand der Nutzung von Gesundheitsdaten informieren möchte, kann hier fündig werden. Darin geht es u.a. um zwei deutsche Gesetze und eine geplante EU-Verordnung, die die Nutzung sensibler Daten erheblich erleichtern sollen.
5.3 SDM-Usergroup
Für das „Standard-Datenschutzmodell“ (SDM) hat sich eine User-Group formiert, die sich als Verein um die Etablierung von einheitlichen Standards, Erarbeitung von Praxishilfen, Aus- und Weiterbildung von SDM relevanten Berufsgruppen für die praktische Umsetzung des SDM, Bereitstellung von Informationen, Durchführung von Fachveranstaltungen und Symposien sowie Vernetzung von Akteurinnen und Akteuren kümmern möchte. Als „Standard-Datenschutzmodell“ (SDM) bezeichneten zunächst die norddeuten Datenschutzaufsichten und dann auch andere deutschen Datenschutzaufsichtsbehörden eine Methode, mit der für den Bereich des operativen Datenschutzes sichergestellt werde, dass eine einheitliche Datenschutz-Beratungs- und Prüfpraxis in Bezug insbesondere zur Bestimmung von technisch-organisatorischen Maßnahmen der DS-GVO erreicht werden kann. Das SDM wird auch durch den EDSA als ausreichende Möglichkeit der Durchführung einer Datenschutz-Folgenabschätzung aufgeführt. Hier hatten wir schon mal einen Podcast zum SDM verlinkt.
5.4 Schwachstellenreport 2024
Ein IT-Sicherheitsunternehmen hat seinen Schwachstellenreport 2024 veröffentlicht. Kennen Sie das Gefühl, wenn eigene Wahrnehmungen bestätigt werden, man aber trotzdem nicht erfreut darüber ist? Das Gefühl hatte ich beim Überfliegen dieser Details.
5.5 Verschuldensunabhängige Haftung bei verlorenen Daten?
Der aktuelle Diskussionsstand bei der Entstehung der Produkthaftungsrichtlinie auch für Software ist hier wiedergegeben. Zwar wird eine Haftung für Verlust von Daten aufgrund fehlerhafter Software noch auf private Daten begrenzt, aber es werden auch der erweiterte Adressatenkreis, der ausdrücklichen Einbeziehung von Software als „Produkt“ und Beweislasterleichterungen für Anspruchsteller sowie auch die ersatzfähigen Schäden thematisiert.
5.6 EU: Datenportal
Für manche mag es der richtige Einstieg sein: Surft man auf die Seite der EU https://data.europa.eu/de, erfährt man die Möglichkeit den „EU sanctions tracker“ zu discovern. Es finden auch aber auch Tipps zur Visualisierung von Daten, der Link zum Podcast „Open Data Café“ oder die Option sich einen Newsletter zu diesen Themen zu abonnieren.
5.7 Online-Tracking in Zeiten der DS-GVO
Die derzeitige Diskussion und Entwicklung rund ums Online-Tracking behandelt dieser Beitrag, der dabei auch die Aussagen des EDSA wie auch der Werbewirtschaft berücksichtigt.
5.8 TikTok: Wer braucht denn das … ?
… offenbar der Bundeskanzler. Und das wohl nicht nur der. Etliche Unternehmen glauben ja auch nur dann noch jüngere Mitmenschen zu erreichen, wenn eine Plattform benutzt wird, deren Geschäftsmodell wie auch Schutzmaßnahmen immer wieder in der Diskussion stehen. Öffentliche Einrichtungen stehen dann natürlich besonders im Fokus, gerade auch wegen den Anforderungen aus dem Grundgesetz wie Art. 20 Abs. 3, dass die Gesetzgebung an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung an Gesetz und Recht gebunden sind. So hat sich auch der BfDI entsprechend geäußert, dass er sich nun näher mit dieser Plattform befasst, richtig gut fand er sie noch nie. Übrigens gibt es in unserem Grundgesetz nicht die Vorgabe „der Zweck heiligt die Mittel“, das sind dann eher Prinzipien, die wir (auch) nicht von staatlichen Stellen haben sollten. Anforderungen wie bei Art. 20 Abs. 3 Grundgesetz gibt es bei Unternehmen dann eigentlich auch, da nennt es sich dann Compliance (Ältere erinnern sich, das war früher mal „Dienst nach Vorschrift“) und es reicht aber in der Regel, wenn behauptet wird, man verlange gesetzeskonformes Handeln.
5.9 Taurus, Militär und Abhöraffäre
Es ist zwar schon alles gesagt / geschrieben, aber wohl noch nicht von jedem. Womit ich auch schon wieder ein Zitat von Karl Valentin untergebracht habe. Wenn man aus dem ganzen Vorgang etwas Positives ziehen will, dann, dass nun ein Beispiel bereitsteht, welches zeigt, wie wichtig die Klassifizierung von Information nach Vertraulichkeit, Integrität und Verfügbarkeit ist und wie wichtig es ist, dass es für jede Skalierung die passenden technischen und organisatorischen Vorgaben gibt. Auch wenn die wenigsten sicher mit Themen der nationalen Sicherheit auf dem Niveau zu tun haben werden, wie im Ausgangsfall, allein, dass wieder erinnert wird sich in Video- oder Telefonkonferenz zu vergewissern, ob auch alle Teilnehmenden tatsächlich diejenigen sind, die dazu eigeladen wurden, kann schon helfen. Im Übrigen sind z.B. auf europäischer Ebene in den veröffentlichten Verzeichnissen der Verarbeitungstätigkeiten auch die Systeme genannt, die dabei eingesetzt werden, so setzt beispielsweise auch der EDPS für Videokonferenzen WebEx ein. Und nochmal klarstellend: Alleine die Verwendung eines Produktes sagt noch nichts über die Zulässigkeit aus, es kommt auf die Anforderungen an die Schutzmaßnahmen zu den Inhalten und die jeweilige Konfiguration der Systeme an. Und an die Einhaltung der Vorgaben durch beteiligte Personen.
5.10 „Alternatives“ Bevölkerungsregister durch LiveRamp
Wie hier berichtet wird, nennt sich das frühere Unternehmen Acxiom nun LiveRamp, bezeichnet sich liebevoll als Datenkollaborations-Plattform und sammelt und verknüpft Daten, so dass laut dieser Studie quasi eine Art Bevölkerungsregister entsteht, in dem Einzelpersonen und Haushalten eine Identifikationsnummer zugeordnet wird. Nach den bereits länger bekannten Recherchen von netzpolitik.org werden dabei auch Targeting-Kategorien wie Brustkrebs, Blasenkrebs oder Depression bereitgestellt. Das NGO Open Rights Group reichte nun diesbezüglich Beschwerde bei der britischen Aufsicht ICO und der französischen CNIL ein.
5.11 Legal Tech und Verbraucherrechte
Die Verbraucherzentrale Bundesverband (vzbv) veröffentlichte ein Gutachten mit gesetzlichen Schwachstellen beim Einsatz von Legal Tech-Angeboten. Ein eigenes Kapitel in dem 81-seitigen Gutachten mit dem Titel „Verbraucherpolitischer Handlungsbedarf bei Legal Tech“ befasst sich auch mit Verbesserungsvorschlägen.
5.12 Niedergang des CIO?
„Es kann nur einen geben“ war mal ein Claim aus einem vermeintlichen Heldenepos*. Danach klingt es auch bei diesem Beitrag, der sich mit der Verschiebung der Bedeutung innerhalb von Organisationen bei der Verantwortung für IT-Systeme befasst. War die Aufgabe eines Chief Information Officers bisher dadurch geprägt, dass er die Verantwortung für die Betreuung der Computersysteme und der gesamten IT-Infrastruktur eines Unternehmens übernahmen, komme nun mit dem Chief Information Security Officer (CISO) eine Rolle des Gesamtverantwortlichen für Informationssicherheit in einer Organisation, die den CIO oft verdrängt.
* Franks Anmerkung: Hey, Nerd-Anspielungen sind meine Baustelle. Aber: Well done, well done indeed!
5.13 Stiftung Datenschutz: Videoüberwachung
Die Stiftung Datenschutz hat die Aufzeichnung und die gezeigten Folien zum Thema Videoüberwachung auf ihrer Homepage veröffentlicht.
5.14 Sicherheitsregeln richtig anwenden
Bei der Bundeswehr merkt man jetzt auch, dass es nicht ausreicht, entsprechende Vorgaben zu IT-Sicherheit zu haben, sondern, dass diese auch angewendet werden müssen. Zumindest werden jetzt nach dieser Meldung auch die Bundestagsabgeordneten sensibilisiert, wie sie z.B. Verschlüsselungen bei Videokonferenzen aktivieren können.
Ältere erinnern sich: Auch bei uns war es ein längerer Prozess, bis die Akzeptanz durch alle Hierarchieebenen vorhanden war, alle Informationen zu klassifizieren und auch dies dann bei der Versendung durch E-Mail zu beachten. Aber angesichts des Vorfalls bei der Bundeswehr erklärt sich auch die damalige Reaktion einzelner Personen.
5.15 EuGH und Joint Controllership
Es schreibt sich immer so umständlich „gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO„. Hier findet sich eine schöne Darstellung der Rechtsprechung des EuGH dazu, die bereits seit 2018 die Leitplanken einer weiten Auslegung nahelegt. Die Ausführungen beschreiben die Urteile aus den Jahren 2018 und 2019 und bringen diese in den Kontext der Urteile aus den Jahren 2023 und 2024. Sehr empfehlenswert, gerade auch im Hinblick auf abzugrenzende Gestaltungen zur Auftragsverarbeitung oder getrennte Verantwortlichkeiten. Dazu gibt es von den Autoren auch ein passendes Schulungsvideo (auf YouTube).
5.16 noyb: Beschwerde gegen Datenhändler in Schweden
Nach der Meldung von noyb würde in Schweden durch einen Datenhändler die Rechtslage umgangen, indem dieser („MrKoll“) sich eine Medienlizenz besorgt und damit Privilegierungen genießt. Über die Regelung in Art. 85 DS-GVO können Mitgliedsstaaten Sonderregelungen zur Ausgestaltung der Pressefreiheit von der DS-GVO gestalten. nyob lässt dies über eine Beschwerde bei der schwedischen Aufsicht überprüfen.
5.17 Besprechung von EuGH C-604/22 (IAB Europe)
Welche Kernaussagen hat der EuGH in dem Urteil getroffen und wie sind die Auswirkungen auf die Online-Werbebranche? Damit befasst sich dieser Beitrag einer Kanzlei inkl. Praxistipps abhängig von der Entscheidung des vorlegenden Gerichts.
Franks Nachtrag: Sie möchten auch das hier lesen…
5.18 Bußgeldübersichten
Manchmal reicht es für Entscheidungsempfehlungen nicht aus, nur darzulegen, dass etwas nicht den Regeln entspreche. Manche Entscheidungsträger benötigen als weitere Unterstützung auch noch Referenzen, ob dieser mutmaßliche Verstoß bereits sanktioniert wurde.
Hier einige Fundstellen für entsprechende Möglichkeiten:
- https://www.enforcementtracker.com/
- https://gdprhub.eu
- https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/
Ergänzend noch die Leitlinie 04/2022 für die Berechnung von Geldbußen im Sinne der DS-GVO des Europäischen Datenschutzausschusses.
5.19 Verbändeanhörung zum Bürokratieabbau
Die Veröffentlichung ist zwar schon ein Jahr alt, aber bürokratische Belastungen gibt es immer noch. Hier schön zusammengestellt durch destatis, welche Verbände sich durch welche bürokratischen Anforderungen belastet fühlen, und teilweise auch mit deren Vorschlägen zur Änderung in der Verbändeabfrage zum Bürokratieabbau. Alleine die Verwendung der Suchfunktion und bestimmter Worte führen zu unerwarteten Ergebnissen. Ich hätte beispielsweise nicht erwartet, dass sich der Bund der Arbeitgeber durch Regelungen aus dem Dritten Teil des BDSG belastet fühlt. Ernster zu nehmen sind dann schon Ausführungen von Organisationen, die weniger Manpower zur Umsetzung ihrer Interessen haben, wie bei ehrenamtlich Tätigen.
5.20 Einsatz von Microsoft Power BI
Die datenschutzrechtlichen Aspekte der Nutzung von Microsoft Power BI werden in diesem Beitrag betrachtet. Dabei befasst sich die Autorin auch mit den Rechtsgrundlagen der Nutzung und den Hinweisen, beim Einsatz durch verschiedene Rollen wie Designer und Nutzer oder auch zur Deaktivierung der Weitergabe von Telemetriedaten.
5.21 Umfang des Auskunftsrechts
Inwieweit wirkt sich die Rechtsprechung des EuGH (C-487/21) auf die Reichweite des Rechts auf Erhalt einer Kopie nach Art. 15 Abs. 3 DS-GVO aus? Damit befasst sich dieser Beitrag. Der Autor geht davon aus, dass der EuGH mit seiner Entscheidung in der Rechtssache C-487/21 die Rechte der betroffenen Personen mit Blick auf das Recht auf Datenkopie nach Art. 15 Abs. 3 S. 1 DS-GVO eindeutig gestärkt, entscheidend ausgeweitet und zudem wichtige Rechtsfragen in Bezug auf den Art. 15 DS-GVO geklärt habe.
5.22 Wann liegt eine ausreichende Anonymität vor?
Juristen diskutieren schon seit langem, wann eine ausreichende Anonymisierung vorliegt. Der Beitrag „Towards more accurate and useful data anonymity vulnerability measures” befasst sich mit den mathematischen Fragen dieses Themas. Er konzentriert sich auf starke Anonymisierungs-mechanismen und untersucht eine Reihe prominenter Angriffspapiere und findet mehrere Probleme, die alle zu einer Überbewertung des Risikos führen.
5.23 EuGH: Immaterieller Schadenersatz durch Europol
Immaterieller Schadenersatz ist nicht nur bei der DS-GVO ein spannendes Thema. Hier wird das Urteil des EuGH im Verfahren C-755/21 gegen eine europäische Einrichtung betrachtet, bei der es zwar 2.000 Euro immateriellen Schadenersatz gab – für die unbefugte Weitergabe intimer personenbezogener Daten mit sexuellem Charakter. Es ging um die Weitergabe von abgehörten und transkribierten Telefonaten an die Presse, die zwischen dem Kläger und seiner Freundin stattfanden.
5.24 Mündliche Auskunft als Verarbeitung
Damit werden wir uns auch befassen müssen: Welche Auswirkungen hat das EuGH-Urteil C-740/22 für die Praxis? Der EuGH erklärte die finnische Praxis, dass beim zuständigen Strafgericht eine mündliche Auskunft über strafrechtliche Verurteilungen zu erhalten sei, für unzulässig. Das Bemerkenswerte dabei: Er begründet dies damit, dass die mündliche Weitegrabe eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO sei. Und damit befasst sich dieser Beitrag ausführlich.
5.25 Keine Awareness für Security-Awareness
Wie sich hier nachlesen lässt, gibt es in zu vielen Unternehmen immer noch Vorbehalte gegen Awareness-Maßnahmen zu Security-Themen. Wenn jemand jemanden kennt, der von unzureichenden Awareness-Maßnahmen betroffen ist, kann dieses hier oder das evtl. argumentativ helfen.
5.26 Bedeutung verschlüsselter Kommunikation
Wir hatten über das Urteil des EMGR (Podchasov v. Russi, 33696/19) berichtet. Hier befasst sich nun ein Beitrag mit dessen Bedeutung für verschlüsselte Kommunikation.
5.27 Veranstaltungen
5.27.1 HmbBfDI & LfDI Mecklenburg-Vorpommern: Digitale Vorbilder – Rechte und Pflichten im digitalen Raum -neu-
04.04.2024, 19:00 – 20:30 Uhr, online oder vor Ort in Hamburg: Bei der Veranstaltung im Rahmen der „Digitalen Vorbilder“ der Datenschutzaufsichten Hamburg und Mecklenburg-Vorpommern geht es am 4. April 2024 um Fragen, wie Familienmitglieder digitale Vorbilder sein können. Expert:innen diskutieren und geben Ratschläge. Weitere Informationen und der Link zum Stream finden sich hier.
5.27.2 IAW Tübingen: Seminarreihe zu Digitalen Verwaltungsprozessen -neu-
10.04.2024, 12:30 – 13:30 Uhr, online: Sicherlich nicht nur für Interessierte aus Baden-Württemberg spannend befasst sich diese kostenlose Seminarreihe mit Aspekten der Digitalen Verwaltung. Details zu den Terminen und Themen finden sich hier. Nächster Temin ist am 10. April 2024 zu besseren Prozessen durch kritische Betrachtung von Signaturen.
5.27.3 Stiftung Datenschutz: Datenschutz am Mittag – Datenschutzkonformes Onlinemarketing ohne Cookies -neu-
10.04.2024, 13:00 bis 14:00 Uhr, online: Die Online-Werbebranche steht vor umfassenden Veränderungen. Bisher basierten zahlreiche Marketing-Anwendungen auf sogenannten 3rd-Party-Cookies. Nun hat Google angekündigt, dass Chrome-Browser ab Herbst keine Drittanbieter-Cookies mehr akzeptieren werden. Andere Browseranbieter werden sich anschließen. Das bedeutet aber nicht das Ende von Cookies für Werbezwecke. Für bestimmte Anwendungsfälle können 1st-Party-Cookies weiterhin genutzt werden.
Die Zukunft sind sogenannte ID-Solutions, die als Nachfolge- und Schlüssel-Technologien die notwendige Kommunikation zwischen Webseiten, Apps und Werbeplattformen sicherstellen werden. Anhand erster praktischer Erfahrungen sollen technologische Grundlagen, verknüpfte Risiken, Alternativen wie die Google Privacy Sandbox sowie die Nutzung von Privacy Enhancing Technologies als Schlüssel für den rechtskonformen Einsatz diskutiert werden. Weitere Informationen und Anmeldung
hier.
5.27.4 Stiftung Datenschutz: Datenschutz für Kleinunternehmen – Rechtsgrundlagen -neu-
11.04.2024, ab 14:00 Uhr, online: Jede Verarbeitung von personenbezogenen Daten braucht eine Rechtsgrundlage, quasi eine „Erlaubnis“. In diesem Modul des Angebots der Stiftung Datenschutz werden die Rechtsgrundlagen in Art. 6 Abs. 1 DS-GVO betrachtet. Das Webinar richtet sich an diejenigen, die sich in Kleinst- und Kleinunternehmen oder als Selbstständige um den Datenschutz kümmern. Weitere Informationen und Anmeldung dazu hier. Die bisherigen Module können hier auch noch als Video (am Ende der Webseite, Dauer ca. jeweils 1 Stunde) angesehen werden.
5.27.5 HHN: „Recht & Künstliche Intelligenz – die Zukunft ist interdisziplinär!“
16.04.2024, 15:00 – 17:00 Uhr, online: Die Hochschule Heilbronn (HHN) bietet vier Fachvorträge an, um juristische, technische und gesellschaftliche Themen rund um das Thema Künstliche Intelligenz aus der Perspektive verschiedener Fachdisziplinen zu beleuchten. Weitere Informationen und Anmeldung hier.
5.27.6 u.a. Datenschutzberater: „Verantwortungsvoller Umgang mit Daten im Licht neuer Regulierungen“ -neu-
16.04.2024, 15:30 – 19:00 Uhr, München: Als Angebot einer Fachzeitschrift, einem Datenschutz-Dienstleister und einer Beratungsgesellschaft befassen sich Expert:innen mit dem Überblick über die sich wandelnden Gesetze und Vorschriften, um rechtskonform mit sensiblen Daten während des gesamten Datenlebenszyklus umzugehen. Insbesondere wird das Zusammenspiel zwischen bestehenden Datenschutzverpflichtungen und zukünftigen AI-Regulierungen, die praktische Umsetzung von Regulierungen in Unternehmen sowie die Herausforderungen beim verantwortungsvollen Umgang mit Daten von der Erhebung bis zur Löschung besprochen. Weitere Informationen – auch zur Anmeldung – finden sich hier.
5.27.7 HSLU: „Datenschutz in Immersive Reality“
18.04.2024, 12:00 – 17:30 Uhr, „Privacy Ring“ in Luzern: Die Referate werden über die Präsentationsform des „Pecha Kucha“ gehalten. Es besteht zu Beginn der Veranstaltung auch die Möglichkeit an einer Führung im Immersive Reality Center (IRC) der Hochschule Luzern teilzunehmen. Weitere Informationen und Anmeldung hier.
5.27.8 ZEVEDI: Datenzugangsregeln zwischen Freigabe und Kontrolle -neu-
19.04.2024, 10:00 – 17:00 Uhr, Symposium in Darmstadt: Die hochumstrittene Frage der Zuweisung von Daten(-rechten) hat Auswirkungen auf Zugangsoptionen und beeinflusst damit unsere Möglichkeiten Daten möglichst effektiv und gemeinwohlverträglich zu nutzen. Die Projektgruppe hinterfragt daher traditionelle Vergabe- und Zugangsvorgaben. Sie untersucht zum einen konkrete Möglichkeiten, wie der Datenzugang so gestaltet werden kann, dass er akteursübergreifende Verantwortung widerspiegelt und einzelne Datenanbieter weder überfordert noch überschätzt. Zum anderen ist vor dem Hintergrund systematisch-philosophischer Konzeptionen von „Rechten“ zu fragen, inwieweit Datenzugänge ein sinnvolles Anwendungsfeld bilden, um traditionelle Subjektvorstellungen und darauf aufbauende Rechtsvorstellungen zu modifizieren.
Klingt sehr akademisch? Ist es sicher auch – aber nicht minder spannend! Es geht einfach um die Frage, wer auf (Forschungs- oder Gesundheitsdaten-)Daten zugreifen darf und wie dieser Zugang reguliert wird? Wie muss sich der Schutz subjektiver Rechte wandeln, und gibt es Alternativen zum subjektbezogenen Schutzkonzept? Welche Datenzugänge müssen erleichtert, welche strikter kontrolliert werden? Wer trägt dafür Verantwortung? Diese Fragen wurden in der Projektgruppe Datenzugangsregeln des Zentrums verantwortungsbewusste Digitalisierung (ZEVEDI) intensiv verhandelt und an dem Tag im interdisziplinären Symposium zum Abschluss der Projektgruppe werden sie von externen Expert:innen kommentiert und gemeinsam mit diesen diskutiert. Weitere Informationen und Anmeldung hier.
5.27.9 HmbBfDI: Girl´s Day beim HmbBfDI -neu-
25.04.2024, 09:00 – 13:30 Uhr, Hamburg: Der HmbBfDI bietet am Girl´s Day für Mädchen ab 12 ein buntes Programm rund um das Thema „Als Datenschützerin arbeiten“. Weitere Informationen und Anmeldung hier.
5.27.10 LfD Sachsen-Anhalt: Girl´s und Boy´s Day bei der Aufsicht Sachsen-Anhalt -neu-
25.04.2024, 08:00 – 13:00 Uhr, online: In Sachsen-Anhalt gibt es gleich zwei parallel stattfindende Angebote, einmal für Mädchen und einmal für Jungs. Für die Heldinnen gibt es ein Angebot „Datenschutz-Heldinnen: Gemeinsam sicher im Internet!“ für die Jungs „Datenschutz-Detektive: Sicher im Netz!“ Weitere Informationen hinter den Links. Nach Angabe auf der Webseite sind beide Angebote ausgebucht…
5.27.11 HmbBfDI: Digitale Vorbilder – TikTok, Instagram, Snapchat und Co. -neu-
25.04.2024, 19:00 – 20:30 Uhr, online: Bei der Veranstaltung im Rahmen der „Digitalen Vorbilder“ der Datenschutzaufsicht Hamburg geht es am 25. April 2024 um Fragen rund um die Apps, die Kinder und Jugendliche gerne nutzen, was diese können und welche Themen oder Gefahren es dabei gibt, über die ich mit meinem Kind sprechen sollte? Expert:innen diskutieren und geben Ratschläge. Weitere Informationen und den Link zum Stream gibt es hier.
Franks Nachtrag: (Ja, die gehen auch bei Veranstaltungshinweisen…) Apropos Snapchat. Hoffentlich wird das im Rahmen der Veranstaltung auch thematisiert…
6 Gesellschaftspolitische Diskussionen
6.1 Schule und KI
Auf den Bildungs-Seiten des Landes Sachsen-Anhalt finden sich etliche Informationen zum Einsatz und zur Einbindung von Künstlicher Intelligenz im schulischen Umfeld. Neben der Handreichung „Sprachmodelle im Schulunterricht: Chancen und Herausforderungen“ umfasst dies Hinweise auf Kurse, aber auch weitere Angebote und Informationen wie die ethischen Leitlinien über die Nutzung von KI und Daten für Lehr- und Lernzwecke der EU, die Lehrkräften helfen sollen das Potenzial von KI-Anwendungen und Datennutzung in der Bildung zu begreifen und sie für die möglichen Risiken zu sensibilisieren, damit sie in der Lage sind sich positiv, kritisch und ethisch mit KI-Systemen auseinanderzusetzen und deren Potenzial vollständig auszuschöpfen. Es finden sich aber auch weitere Links, u.a. zum Angebot der Telekom-Stiftung zu Lehren und Lernen mit Künstlicher Intelligenz oder auch zu einer PDF mit 101 kreativen Ideen zur Einbindung von KI in den Unterricht.
Übrigens gibt es seitens der EU auch „Leitlinien für Lehrkräfte und pädagogische Fachkräfte zur Bekämpfung von Desinformation und zur Förderung der digitalen Kompetenz durch allgemeine und berufliche Bildung“, diese stehen hier in den verschiedenen Sprachen der EU zum Download bereit.
6.2 Fahndung und Datenschutz
Wieso gelang es scheinbar einem ausländischen Journalisten eine Person aufzuspüren, die seit Jahrzehnten von der Polizei gesucht wurde? Er verwendete ein Tool, dass über Gesichtserkennungssoftware Personen im Netz identifiziert. Ist sowas legal? Dürften das Strafverfolgungsbehörden auch? Und um welche Software handelt sich dabei? Informationen zum aktuellen Fall finden Sie hier und zur Software dort und zum grundsätzlichen Thema der biometrischen Erkennung auf diesen Seiten.
6.3 Immer wieder TikTok
Fast kein Tag vergeht, an dem uns nicht irgendeine Meldung rund um TikTok erreicht. Sei es warnend, oder dass wieder jemand nun TikTok nutzen möchte. Hier ist ein Beitrag einer Talkshow aus der ARD-Mediathek (ca. 1:15 Std), der sich damit ausführlich befasst.
6.4 Miss Marple oder Frankenstein? Betrachtungen zu PimEyes
Welche Folgen es haben kann, wenn jede Person nun versucht Personen im Netz zu finden, analysiert dieser Beitrag unter dem rechtsstaatlichen Gesichtspunkt „verbotener Früchte“ und dem Gesetzesvorbehalt in polizeilichen Ermittlungsverfahren.
7 Sonstiges/Blick über den Tellerrand
7.1 Autonomes Fahren
Irgendwie klingt der Grundtenor dieses Beitrags nach dem „Fahren Sie mal rechts ran“ bei der Fahrprüfung. Aber ganz so schlimm ist es nicht. Dennoch scheint nun nach der Euphorie der letzten Jahre etwas Realismus einzukehren bei den Hoffnungen auf vollkommen autonom fahrende Fahrzeuge. Und ich wunderte mich sowieso, wie man hoffte dies jemals umsetzen zu können in einem Land, in dem es mehr Funk- als Schlaglöcher auf den Straßen gibt – wobei, das scheint sich langsam anzugleichen: Die Zahl der Schlaglöcher steigt.
Franks Nachtrag: Auch hier wird darüber berichtet und hier kommentiert.
7.2 Deep Fake – Veränderung unserer Kommunikation
Das liest sich nicht mal so nebenbei: Wie verändert Künstliche Intelligenz zusammen mit Social Media unsere Kommunikation. Damit befasst sich der Beitrag. Auch wenn es zunehmend mehr Personen gibt, die es mit mehr Lebenszeit und weniger Bildschirmzeit versuchen, wie gehen wir damit um, wenn Nachrichten und Meldungen durch KI erstellt und auch in Social Media präsentiert werden? Eine Generationenaufgabe!
7.3 Hass im Internet – Gefahr und Gegenmaßnahmen
Und das liest sich nicht besser. Eine Publizistin beschreibt, wie Hass im Internet ihr Leben verändert und wie sie damit umgeht. Vielleicht auch mal nur als Anregung, auch jemandem virtuell beizustehen und bei Hasskommentaren darauf hinweisen, dass man damit nicht einverstanden ist.
7.4 Politische Manipulation über Netzwerke
Sie lesen es hier, Sie hören es da: Informieren Sie sich vielseitig, Sie haben die Möglichkeit. Demokratie fällt nicht von den Bäumen, sie lebt von informierten Mitgliedern der Gesellschaft.
8. Franks Zugabe
8.1 Apropos Alterskontrollen …
Weiter oben wurde ja über Bestrebungen, dass sich der EDSA mit Fragen der Altersverifikation beschäftigen soll, berichtet. Hoffentlich nimmt der EDSA dabei auch solche Informationen zur Kenntnis und berücksichtigt sie.
8.2 Apropos Digitalisierung …
Hier wird in einem Essay den Ursachen der Umsetzungsprobleme bei der Digitalisierung nachgespürt…
8.3 Apropos BSI … „Wie mache ich Alexa, Siri oder Google richtig sicher?“
(Nicht nur) meine Meinung: Nicht einsetzen, aber wenn Sie es trotzdem versuchen wollen? Hier gehts zu den Empfehlungen des BSI.
8.4 Apropos Mikroszensus …
Hier ist jemand mit der Umsetzung der aktuellen Iteration des Mikrozensus nicht zufrieden.
8.5 Thanks FedEx, This is Why we Keep Getting Phished
Tja, so geht Digitalisierung in der Distribution, also die vertrauenserweckende Variante. Da ich relativ wenig online bestelle habe ich wenig Erfahrungen mit Lieferdiensten. Aber die wenigen, die ich habe, sehen auch nicht viel besser aus.
Das sträkt die Awareness, so als ob jemand AGB auf USB-Sticks versenden würde… Ach, Moment, ich erinnere mich…
8.6 Eine Buchbesprechung von Molly White: „Read Write Own“
Wow, hier kriegt aber jemand sein Fett weg. Und informativ ist es außerdem. Wenn Sie mögen, sogar auf deutsch.
8.7 NIST Cybersecurity Framework 2.0
Neben einer kurzen Besprechung (inklusive verlinkten Nachrichten dazu) habe ich natürlich auch die Quelle für Sie.
Franks Nachtrag: Apropos USA und Cybersecurity: Top US cybersecurity agency hacked and forced to take some systems offline
8.8 Apropos Sicherheit bei Video-Türsprechanlagen …
Immer eine gute Idee, so etwas. Ich möchte nicht wissen, wie viele der gemäß dem ursprünglichem Artikel in den USA angebotenen Systeme auch bei uns verkauft werden. Da muss ich doch gleich an diese Geschichte denken…
8.9 Teil 3 der Serie zu Disneys Datenmacht veröffentlicht
Hier finden Sie den dritten Teil der Artikelserie zur Datenmacht des Disney-Konzerns („Die Antwort der französischen Aufsichtsbehörde“). Wenn Sie die ersten beiden verpasst haben, kein Problem, hier gehts lang.
8.10 TLS hat ein Vertrauensproblem
Wie der Autor kurz, knapp und auch für mich verständlich hier ausführt. Darum immer E2E-Verschlüsselung, denn TLS … nun ja.
8.11 Kelber Ultras
Wie heißt es so schön im verlinkten Shop: Tasse „Kelber Ultras“ – Bekenntnis auf dem Schreibtisch. Also, als T-Shirt würde ich es tragen…
8.12 Apropos „Ich habe doch nichts zu verbergen“ …
Das sehen manche Autofahrer wohl mittlerweile anders? Zumindest in den USA? (Hier auch aus deutscher Quelle.)
Na ja, bei uns in Europa wird ja selten kopiert, was dort vorgemacht wird … Also ist ja alles gut, oder? Oder?
(Den Verweis auf diese Meldung bringe ich nun nur der Vollständgkeit halber…)
8.13 Pay or OK – Ein Update
Nachdem wir ja über den offenen Brief von 28 NGO zur erwarteten Stellungnahme des EDSA zu Abomodellen berichteten gibt es zu dem Thema zwei aktuellere Updates:
- Zum einen hat noyb nochmal nachgelegt und vorgerechnet.
- Zum anderen gab es noch einen zweiten offenen Brief von mehreren NGO, dieses Mal betitelt mit „Pay or Consent“.
8.14 Apropos Worldcoin …
So einig sind sich die Datenschutzaufsichten dann wohl doch nicht. Scheinbar will auch Portugals Datenschutzaufsicht kein Worldcoin in ihrem Land…
8.15 Die Deutsche Bahn und der Digitalisiserungszwang
Auch dazu gibt es neue Erkenntnisse: Zum einen Tipps, wie es momentan doch noch werden kann mit dem anonymen Sparticket (in dem Zusammenhang mag auch die Anleitung zum datensparsamen Paypalaccount helfen). Zum anderen einen Artikel, der die Kritik an dem Digitalzwang kompakt darstellt. Und hier werden (der Deutschen Bahn) mögliche Alternativen zum Digitalisierungszwang aufgezeigt und es wird die Frage gestellt: „Liebe Bahn, geht es etwa gar nicht um Plastikvermeidung, sondern um trackingbasiertes Marketing?“
8.16 Apropos KI…
Natürlich gibt es auch dieses Mal wieder eine kleine Liste von Themen rund um KI, die ich erwähnenswert fand:
- Gehen wir alphabetisch vor, beginnen wir mit Alexa: Amazon Is Teaching Alexa to Analyze Your Emotions – What could possibly go wrong? Eine gute Frage meiner Meinung nach…
- Das Hacken von KI-Systemen ist der neue Volkssport: New Image/Video Prompt Injection Attacks, A Taxonomy of Prompt Injection Attacks und Jailbreaking LLMs with ASCII Art.
- Nerven Sie auch immer diese geschwärzten Stellen in veröffentli8chen Dokumenten. KI kann helfen. Na prima.
- Derweil legen öffentliche Verwaltungen ihre Skepsis bezgl. KI-basierten Chatbot-Systemen ab. Wahrscheinlich getreu der Idee der UN-Generalversammlung: Mehr KI für Gutes, keine KI für Schlechtes. Na dann ist ja alles geklärt, findet nicht der Kommentator.
- Meanwhile: Nvidia Wants to Replace Nurses With AI for $9 an Hour… Dazu passt finde ich gut der „Dead Salmon Denial of Service„.
- Ein lesenswertes Essay: How the “Frontier” Became the Slogan of Uncontrolled AI.
- Microsoft Is Spying on Users of Its AI Tools. Der Begriff Spying (so wie ihn Bruce Schneier nutzt) wird kommentiert. Und dabei ein Perspektivenwechsel, der erschreckend ist, erkannt.
- Hier habe ich noch einen Beitrag zum Thema Public AI für Sie. Und ein Mini-Essay.
- Hier ist eine Empfehlung, wo Risikokapitalgeber demnächst ihr Geld hinkippen können.
- Hier wird die Frage gestellt, wer eigentlich genau KI-unterstützte Suchmaschinen haben möchte. Sehr lesenswert!
- Und zum Abschluss habe ich noch einen Comic für Sie. Ehh, nein, warten Sie, Sie können sich selbst KI-unterstützt einen Comic kreieren lassen. So wars.
8.17 I ♥ Free Software Day
Ja, ich weiß, der war schon im Februar, aber da hatte ich andere Themen. Hier eine Liste „Unsere(r) liebsten Open-Source-Tools„. Vielleicht hilft es Ihnen ja mal bei Gelegenheit?
8.18 Was ist schlimmer als eine Rattenplage?
Eine rattenscharfe Party, bei der alle high sind…
8.19 Ein Bonus nach der Veröffentlichung
Kaum habe ich Veröffentlichen geklickt, finde ich den nachfolgenden Link. Was der mit Datenschutz zu tun hat, oder IT-Sicherheit, fragen Sie? Exakt gar nichts.
Aber mit grandioser Science Fiction, als Hörbuch-/Podcast-Reihe, kostenlos in der ARD-Audiothek: „Cixin Liu: Trisolaris-Trilogie“. Und das nehmen Sie bitte einfach als Empfehlung, wenn Sie mal Abwechslung vom ganzen Datenschutz brauchen.
9. Die guten Nachrichten zum Schluss
9.1 Kein Handy im Beichtstuhl!
Wie im (immer empfehlenswerten) Newsletter zum kirchlichen Datenschutz berichtet wird, hat der polnische Bischof der griechisch-katholischen Kirche der Ukraine seinen Klerikern die Verwendung von Büchern statt digitalen Geräten für die Liturgie mit einem Erlass vorgeschrieben (ähnliche Dekrete gäbe es auch in den beiden anderen griechisch-katholischen Diözesen Polens). Konkret wird es bei der Beichte, danach müssen während der Spendung des Bußsakraments alle digitalen Medien (Mobiltelefon, Smartphone, Uhr, Tablet usw.) außerhalb des Beichtstuhls bleiben. Lassen wir mal interne Regelungen zu Nutzung und Beachtung von Sprachassistenten in Behörden und Unternehmen außen vor, erinnert das vehement nicht nur daran, dass Technik immer ihre Tücken hat, sondern auch daran, dass es bei der Beichte wirklich um Vertrauen und Verschwiegenheit geht.
Wäre ja auch noch schöner, wenn die digitale Transformation nicht auch doch irgendwo ihre Grenzen im Zwischenmenschlichen hätte.
9.2 Kinder und Grundlagen der IT-Sicherheit
SuperCyberKids heißt ein von der EU im Rahmen von Erasmus+ finanziertes Projekt, das ein pädagogisches Spiel zum Thema Cybersicherheit für Kinder im Alter von 8 bis 13 Jahren bieten soll. Ein Wirtschaftspädagoge von der Universität Mannheim hat das dem Spiel zugrunde liegende Kompetenzmodell erstellt. Bisher ist aber noch nicht viel daraus entstanden – aber es beginnt ja erst…
9.3 April, April
Zum Abschluss gebe ich Euch Vorschläge für den 1. April 2024, der dieses Jahr auf den Ostermontag fällt:
- Die DSK richtet sich eine Hauptstadtrepräsentanz im Gebäude von Microsoft „Unter den Linden“ ein und nutzt demonstrativ WordPerfekt.
- Um ihre Zielgruppen zu erreichen, beschließt der EDSA seine Leitlinien auch über TikTok in 20 sek. Videoclips zusammenzufassen, frei nach dem Motto „Der Köder muss dem Fisch schmecken, nicht dem Angler“.
- Die FDP schlägt Claus Weselsky als neuen BfDI vor.
- Die USA bereiten eine Executive Order zum Datentransfer vor, die als Voraussetzung eines Datentransfers in die EU einen entsprechenden Angemessenheitsbeschluss der Sicherheitsgesetze eines jedes Mitgliedsstaates umfasst.
Das Irritierende ist, eigentlich kann keine Meldung davon wirklich ausgeschlossen werden.