Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 12 bis 14/2024)“
Hier ist der 83. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 12 bis 14/2024)“.
- Aufsichtsbehörden
- EDPS: Bewertung von MS 365 bei der EU-Kommission
- LfDI Baden-Württemberg: Einführung in den Drittstaatentransfer
- BlnBfDI: Datenschutzschulungen für Berliner
- Hessen: Hinweis auf Google Street View – Widersprüche erneuern
- Spanien: Sanktion wegen Verarbeitung biometrischer Beschäftigtendaten
- Österreich: Anforderungen an Videokameras in Wohnanlagen
- Italien: Bußgeld gegen Auftragsverarbeiter, der ohne Weisung agierte
- ICO: Datenschutzrechtliche Zweckbindung bei generativer KI
- Irland: Fallbeispiele zu Datenschutzthemen
- BSI: Warnung vor kritischen Schwachstellen bei Microsoft Exchange Server
- BSI: Zertifizierung für Online-Wahlprodukte für nicht-politischer Wahlen
- DMA: Ermittlungen gegen Plattformen
- USA und TikTok
- Datenpanne bei Kita-App
- Sachsen: Datenschutz und Wahlen
- LfD Niedersachsen: FAQ kommunaler Datenschutz
- CNIL: Praxisleitfaden für Sicherheitsmaßnahmen
- BSI: Hinweise zu Gesundheitsdaten
- ENISA: Cyber Resilience Act Requirements Standards Mapping
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- bitkom: Nervende Cookie-Banner
- Die DSFA als feministische Regelung?
- Polizei schaut sich YouTube-Nutzer an
- Meta senkt die Preise
- Tracking ohne Einwilligung?
- vunk: Infoteilhabe und Bewertungen im Internet
- Abschlussbericht zum Cyberangriff auf die Südwestfalen-IT
- Übersicht zu Schadenersatz-Urteilen nach der DS-GVO
- Vertraulichkeits-Klassifizierung von Daten
- Schleswig-Holstein verabschiedet sich von Microsoft
- Veranstaltungen
- IAW Tübingen: Seminarreihe zu Digitalen Verwaltungsprozessen
- Stiftung Datenschutz: Datenschutz am Mittag – Datenschutzkonformes Onlinemarketing ohne Cookies
- HHN: „Recht & Künstliche Intelligenz – die Zukunft ist interdisziplinär!“
- Stiftung Datenschutz: Datenschutz für Kleinunternehmen – Rechtsgrundlagen
- u.a. Datenschutzberater: „Verantwortungsvoller Umgang mit Daten im Licht neuer Regulierungen“
- Tracking nach § 25 TTDSG – Urteile und behördliches Website-Audit-Tool -neu-
- HSLU: „Datenschutz in Immersive Reality“
- ZEVEDI: Datenzugangsregeln zwischen Freigabe und Kontrolle
- HmbBfDI: Girl´s Day beim HmbBfDI
- LfD Sachsen-Anhalt: Girl´s und Boy´s Day bei der Aufsicht Sachsen-Anhalt
- HmbBfDI: Digitale Vorbilder – TikTok, Instagram, Snapchat und Co.
- Bayerische Landeszentrale für politische Bildungsarbeit: Schülermedientag in Bayern – auch online -neu-
- FAU Nürnberg-Erlangen: Übertragung bestehender Machtstrukturen der Gesellschaft auf die KI -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Vorratsdatenspeicherung, irgendjemand?
- Apropos Microsoft …
- RIP Ross J. Anderson
- Ein lesenswertes Postmortem
- Eine KI-generierte Druckerbewertung?
- The head of Unit 8200 and anonymity in the internet
- Sicheres Whistleblowing
- Apropos KI …
- Automatische Kennzeichenerfassung im Straßenverkehr
- Keine Zeit, um während der Arbeit zum Essen gehen? Wie wäre es mit Board Chow?
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Bewertung von MS 365 bei der EU-Kommission
Nun ist auch die Bewertungsgrundlage des EDPS veröffentlicht, auf deren Basis er die europäischen Einrichtungen aufforderte den Einsatz von MS 365 bis 9. Dezember 2024 an die rechtlichen Anforderungen anzupassen. Auf insg. 180 Seiten werden dazu die Ergebnisse vorgestellt. So bemängelt der EDPS u.a., dass personenbezogene Daten, aber auch die Zwecke der jeweiligen Verarbeitung nicht konkret genug beschrieben würden. Zudem stellt er in Frage, ob die zwischen Microsoft Irland und der Kommission vereinbarte Aggregation der Daten nach der ISO/IEC 19944 tatsächlich zu einer Anonymisierung führe (RN 153 ff). Letztendlich müsse die Kommission als Verantwortlicher nachweisen können, dass die durch Microsoft für eigene Zwecke verarbeiteten Daten anonymisiert seien (RN 167). In Anbetracht seiner Ausführungen und unbeschadet des gemeinsamen oder getrennten Charakters der für die Verarbeitung Verantwortlichen ist der EDPS der Ansicht, dass Microsoft in Bezug auf alle vier Geschäftszwecke von Microsoft im Rahmen des Datenschutzgesetzes als für die Verarbeitung Verantwortlicher handelt (RN 194).
Auch fehlt dem EDPS ein „Transfer-Mapping“, also eine Darstellung, welche personenbezogenen Daten an welche Empfänger, an welche Bestimmungsorte und zu welchen Zwecken übermittelt werden (bzw. übermittelt werden sollen). Dazu gehört nach Meinung des EDPS auch eine Bewertung der Risiken des Fernzugriffs von Drittländern oder internationalen Organisationen auf im EWR gespeicherte personenbezogene Daten und etwaiger Weiterübermittlungen von aus dem EWR übermittelten Daten (RN 231).
Fast schon passenderweise hat Microsoft sein „Privacy Statement“ zum März 2024 aktualisiert. Freundlicherweise gibt es auch eine Übersicht über die Änderungen. Wie gut unterrichtete Kreise berichten, soll es dazu aber auch bald wieder eine überarbeitete Fassung geben.
Franks Nachtrag: Apropos Microsoft …
1.2 LfDI Baden-Württemberg: Einführung in den Drittstaatentransfer
Im Rahmen eines Thementages widmete sich der LfDI Baden-Württemberg dem Thema Drittstaatentransfer. Hier finden sich die Folien des Einführungsvortrags.
1.3 BlnBfDI: Datenschutzschulungen für Berliner
Für Berliner Existenzgründer:innen und Vertreter:innen gemeinnütziger Berliner Vereine sowie Inhabende, Geschäftsführende und Angestellte eigenständiger Klein- und Kleinstunternehmen, die ihren Sitz in Berlin haben, bietet die BlnBfDI kostenlose Schulungen an, die an insgesamt zwölf Terminen in den Räumlichkeiten der BlnBfDI stattfinden. Kenntnisse des Datenschutzrechts werden nicht vorausgesetzt, die Teilnahme ist kostenfrei. Die Termine finden zwischen dem 11. April 2024 und dem 28. November 2024 statt. Informationen dazu inkl. Anmeldung finden sich hier.
1.4 Hessen: Hinweis auf Google Street View – Widersprüche erneuern
In einer Pressemitteilung zum Beginn der erneuten Fahrten für den Dienst Google Street View weist der HBDI darauf hin, dass Widersprüche zu erneuern sind, sollte jemand nicht wünschen, dass Aufnahmen von der Straße auf sein Wohngebäude über Google Street View veröffentlicht werden. Google habe dazu ein Formular ins Netz gestellt.
1.5 Spanien: Sanktion wegen Verarbeitung biometrischer Beschäftigtendaten
Die spanische Datenschutzbehörde aepd verhängt eine Geldstrafe in Höhe von 365.000 Euro gegen ein Unternehmen wegen der Speicherung biometrischer Beschäftigtendaten ohne ausreichende Risikobewertung sowie unzureichender Informations- und Sicherheitsmaßnahmen.
Um Signaturen erstellen zu können, verlangte das Unternehmen von seinen Mitarbeitern biometrische Daten in Form ihrer Fingerabdrücke in die internen Systeme einzuspeisen. Es wurde jedoch nicht ausreichend darüber informiert, dass alle erfassten biometrischen Daten in einem Teil des Beschäftigtenportals gespeichert waren. Auch sei die vom Unternehmen im Rahmen der Datenschutz-Folgenabschätzung (DSFA) vorgelegte Risikobewertung nicht ausreichend und auch die getroffenen Sicherheitsmaßnahmen nicht ausreichend, um einen möglichen Zugriff durch Unbefugte vollständig auszuschließen. Die Höhe des Bußgeldes setzt zusammen aus 200.000 Euro wegen Verstoß gegen die Informationspflichten gemäß Art. 13 DS-GVO, 65.000 Euro wegen unzureichender Schutzmaßnahmen gemäß Art. 32 DS-GVO und 100.000 Euro wegen Verstoß gegen die Anforderungen bei einer DSFA nach Art. 35 DS-GVO.
1.6 Österreich: Anforderungen an Videokameras in Wohnanlagen
Die österreichische Datenschutzbehörde hat in einem Fall über mehrere Fragen beim Einsatz von Videokameras zu entscheiden. U.a. ging es um die Frage, wer dafür die verantwortliche Stelle sei und welche Zwecke an welchen Stellen vertretbar seien. Anlass waren 38 Kameras in einer größeren Wohnanlage, darunter auch Kameraattrappen, die durch die Mehrheitseigentümerin einer Liegenschaft eingesetzt wurden.
1.7 Italien: Bußgeld gegen Auftragsverarbeiter, der ohne Weisung agierte
Die italienische Datenschutzbehörde Garante verhängte ein Bußgeld in Höhe von 5.000 Euro gegen einen IT-Dienstleister, weil dieser seine Rolle als Auftragsverarbeiter überschritten hatte. Der Auftragsverarbeiter sammelte unter anderem selbstständig Daten zum Zweck des Betriebs seiner digitalen Plattform, ohne Anweisungen des für die Verarbeitung Verantwortlichen und ohne die Einhaltung der Informationspflichten gegenüber betroffenen Personen dafür nachweisen zu können. Einen Bericht dazu finden Sie hier.
1.8 ICO: Datenschutzrechtliche Zweckbindung bei generativer KI
Die britische Aufsicht setzt ihre Konsultation zu datenschutzrechtlichen Fragestellungen fort. Nun geht es um die Zweckbindung im Lifecycle von generativer KI. Dabei bietet die ICO ihre derzeitigen Standpunkt auf Basis der vor ihr durchgeführten Analyse und der politischen Position an und bittet dazu um Rückmeldung. Dazu führt die ICO aus, dass der Lebenszyklus eines generativen KI-Modells mehrere Phasen umfasst. In jeder Phase können unterschiedliche Arten personenbezogener Daten für unterschiedliche Zwecke verarbeitet werden. Datenschutzerwägungen sind für jede Tätigkeit relevant, bei der personenbezogene Daten verarbeitet werden. So würden zum Beispiel für das Training eines Kernmodells Trainings- und Testdaten benötigt, während für die Anpassung des Kernmodells Feinabstimmungsdaten von einem Dritten, der seine eigene Anwendung entwickelt, erforderlich sein können. Unterschiedliche Organisationen können die Kontrolle über diese verschiedenen Zwecke haben (z. B. ob ein Modell für den Betrieb einer Anwendung feinabgestimmt wird), was dazu beiträgt die Grenzen der Zwecke abzugrenzen.
Die ICO betrachtet dabei auch die Grundlage der Zweckänderung. Ein Schlüsselfaktor, der zu berücksichtigen sei, ist die Frage, was die Person, deren Daten wiederverwendet werden, zum Zeitpunkt des Beginns der Verarbeitung vernünftigerweise erwarten konnte. Wenn die Weiterverarbeitung nicht mit dem ursprünglichen Zweck vereinbar ist, muss der für die Verarbeitung Verantwortliche einen neuen, separaten Zweck festlegen. Diese Vereinbarkeitsprüfung kann für Organisationen einfacher sein, die eine direkte Beziehung zu den Personen haben, deren personenbezogene Daten die generative KI beim Training kodiert. Wenn der Entwickler keine direkte Beziehung zu dieser Person hat, könnten öffentliche Informationskampagnen und auffällige Datenschutzinformationen dazu beitragen, das Bewusstsein der Personen zu schärfen, sowie Schutzmaßnahmen (Anonymisierung oder der Einsatz von Technologien zur Verbesserung des Datenschutzes), um die möglichen negativen Folgen für die Personen abzumildern. Wenn die Weiterverarbeitung nicht mit dem ursprünglichen Zweck vereinbar ist, müsse der für die Verarbeitung Verantwortliche einen neuen, separaten Zweck festlegen.
Eine Vielzahl von generativen KI-gestützten Anwendungen wie Chatbots, Bildgeneratoren und virtuellen Assistenten können sich alle auf ein zugrunde liegendes Modell stützen, das als Grundlage dient. Nach dem anfänglichen Training des generativen KI-Modells wird eine Anwendung auf der Grundlage dieses Modells oder einer fein abgestimmten Version des Modells erstellt, die dann in der realen Welt eingesetzt werden kann.
Das bedeutet nach der ICO, dass ein einziges Kernmodell zu vielen verschiedenen Anwendungen führen kann. So könnte ein und dasselbe große Sprachmodell zur Erstellung einer Anwendung verwendet werden, die bei der Ideenfindung hilft, oder einer Anwendung, die E-Mails von Kunden beantwortet, einer Anwendung, die juristische Verträge erstellt, oder sogar einer Allzweckanwendung, die letztendlich für jede dieser Aufgaben verwendet werden kann.
Mehr dazu auf den Seiten der ICO, auf denen man auch weitere Infos zur Rückmeldung an das ICO finden kann.
1.9 Irland: Fallbeispiele zu Datenschutzthemen
Auf der Seite der irischen Aufsicht finden sich 50 Beispiele zum rechtskonformen Umgang mit personenbezogenen Daten.
1.10 BSI: Warnung vor kritischen Schwachstellen bei Microsoft Exchange Server
Das BSI informiert, dass mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar sind. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor. Das BSI ruft die Betreiber der Instanzen dazu auf aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren.
Franks Nachtrag: Apropos Microsoft …
1.11 BSI: Zertifizierung für Online-Wahlprodukte für nicht-politischer Wahlen
Das BSI informiert über die Möglichkeit Online-Wahlprodukte für nicht-politische Wahlen zertifizieren zu lassen. Das BSI geht dabei davon aus, dass Online-Wahlen Barrieren zur Teilnahme an einer nichtpolitischen Wahl senken können und damit die mögliche Beteiligung erhöhen. Dabei seien zertifizierte Wahlprodukte wichtig, um das Vertrauen von Wählerinnen und Wählern in die digitale Durchführung von Wahlen zu stärken. Daher veröffentlicht das BSI Schutzprofil BSI-CC-PP-0121-2024 („Protection Profile for E-Voting Systems for non-political Elections“). Damit sei eine Zertifizierung für Online-Wahlprodukte für nichtpolitische Wahlen ab sofort möglich. Dieses Schutzprofil legt Funktionalitäten und Anforderungen fest, die beispielsweise zur Erpressungsresistenz beitragen sollen. Gleichermaßen würden Maßnahmen für die Umsetzung von Ende-zu-Ende-Verifizierbarkeit gefordert, die die Transparenz und damit den Öffentlichkeitsgrundsatz in einer Wahl adressieren. Das Schutzprofil stelle zudem Anforderungen an die Umsetzung kryptografischer Wahlverfahren durch ein Online-Wahlprodukt. Die im Schutzprofil definierten Anforderungen haben eine gleichmäßige Gewichtung der drei im Rahmen einer Online-Wahl besonders relevanten Wahlrechtsgrundsätze – geheim, frei und öffentlich – zum Ziel.
1.12 BSI: Zertifizierung für Online-Wahlprodukte für nicht-politischer Wahlen
Die Europäische Kommission prüft Verstöße gegen den Digital Markets Act, der Betreibern digitaler Plattformen wettbewerbsrechtliche und kartellrechtliche Rahmenbedingungen schafft. Betroffen sind Alphabet Inc. (Google-Suche), Apple und Meta, Details zu den Vorwürfen finden Sie in der Pressemeldung der Kommission und in den Äußerungen der zuständige Kommissare.
1.13 USA und TikTok
Diesem Bericht zufolge scheinen in den USA neben den politischen Diskussionen auch die Aktivitäten der Aufsicht Federal Trade Commission (FTC) gegenüber TikTok zuzunehmen. Demnach hat die FTC TikTok wegen angeblich fehlerhafter Datenschutz- und Datensicherheitspraktiken untersucht und könnte in den kommenden Wochen entscheiden, ob sie Klage erhebt oder einen Vergleich anstrebt.
1.14 Datenpanne bei Kita-App
Die Datenschutzverletzung bei einer bundesweit eingesetzten App für Informationen und Verwaltung rund um den Kita-Alltag bringt die Aufsichten dazu hier gezielt zu informieren, wie z.B. in Baden-Württemberg und Nordrhein-Westfalen.
1.15 Sachsen: Datenschutz und Wahlen
In Sachsen finden dieses Jahr drei Wahlen statt: neben Kommunalwahlen, findet die Europa-Wahl und die Landtagswahl statt. Grund genug für die Sächsische Datenschutz- und Transparenzbeauftragte hierzu Hinweise aus Datenschutzsicht für Wähler:innen, Wahlhelfer:innen und Kandidat:innen zu veröffentlichen.
1.16 LfD Niedersachsen: FAQ kommunaler Datenschutz
Der LDI Niedersachsen hat FAQ zum kommunalen Datenschutz veröffentlicht.
1.17 CNIL: Praxisleitfaden für Sicherheitsmaßnahmen
Die CNIL erinnert mit ihrem Praxisleitfaden für die Sicherheit personenbezogener Daten an zu ergreifenden Sicherheitsmaßnahmen. Diese neue Version überarbeitet den vorherigen Leitfaden und führt neue Merkblätter ein, darunter solche zu künstlicher Intelligenz, mobilen Anwendungen, Cloud Computing und Anwendungsprogrammierschnittstellen (APIs). So hält die CNIL eine Speicherdauer von sechs bis zwölf Monaten von Log-Daten für vertretbar und begründet dies mit Anforderungen an die Compliance aus Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO (Factsheet 16). Sie finden die 64-seitige englische Fassung hier.
1.18 BSI: Hinweise zu Gesundheitsdaten
Das BSI veröffentlicht Hinweise zu Sicherheitsanforderungen bei Gesundheitsdaten, sowohl, wenn diese KRITIS-Anforderungen erfüllen, wie auch generell im Tätigkeitsbericht Gesundheit.
1.19 ENISA: Cyber Resilience Act Requirements Standards Mapping
Um die Annahme der Bestimmungen des Cyber-Resilience-Acts (CRA) zu erleichtern, müssen diese Anforderungen in Form von harmonisierten Normen umgesetzt werden, die die Hersteller einhalten können. Zur Unterstützung der Normungsbemühungen wird in einer Studie der ENISA versucht die wichtigsten bestehenden Cybersicherheitsnormen für jede CRA-Anforderung zu ermitteln, die bereits angebotene Abdeckung des beabsichtigten Anwendungsbereichs der Anforderung zu analysieren und mögliche zu schließende Lücken aufzuzeigen. Sie finden sie hier.
2 Rechtsprechung
2.1 LG Offenburg: Schadenersatz bei Übermittlung von Positivdaten
Dass das LG Offenburg einem Kläger 5.000 Euro immateriellen Schadenersatz zusprach, weil ein Mobilfunkanbieter sog. Positivdaten an die Schufa übermittelte, ist das eine. Letztes Jahr informierten wir Sie über das Urteil des LG München, dass die Weitergabe von Positivdaten durch Mobilfunkanbieter nicht rechtskonform durch einen Mobilfunkbetreiber erfolgte (weder nach Art. 6 Abs. 1 lit. b noch nach Art. 6 Abs. 1 lit. f DS-GVO). Nun wird unter Bezugnahme auf ein erstes Urteil um weitere „Opfer“ geworben und 5.000 Euro immaterieller Schadenersatz in Aussicht gestellt, weil es dieses Urteil vom LG Offenburg vom 21.02.2024, Az. 3 O 17/24, gibt.
Aber Rechtskundige wissen: Es ist „nur“ ein Versäumnisurteil, d.h. die beklagte Partei erschien nicht, es fand also keinerlei inhaltliche Auseinandersetzung statt. Trotzdem wird es sicher wahrgenommen werden und ermuntert evtl. einige sich doch etwas mehr um Rechtskonformität zu bemühen.
2.2 LAG Nürnberg: Berechtigtes Interesse einer Gewerkschaft an Beschäftigtendaten
Kann eine Gewerkschaft dienstliche Kontaktdaten der Beschäftigten eines Unternehmens verlangen? Das kommt darauf an, sagt das LAG Nürnberg. Eine Gewerkschaft kann nicht alleine aus der institutionellen Garantie des Art. 9 Abs. 3 GG ein berechtigtes Interesse ableiten, die Namen aller Mitarbeiter eines Betriebes zu erfahren, in dem sie vertreten ist (RN 68). Ihr stehe ebenfalls kein Anspruch auf Einrichtung einer dienstlichen E-Mail-Adresse zu, von der aus automatisiert dort von ihr eingehende E-Mails vervielfältigt und an alle Mitarbeiter des Betriebs weitergeleitet werden (Rn. 74 – 85). Auch habe sie keinen Anspruch auf Zugang zum Netzwerk des Arbeitgebers, mit dem ein Zugriff auf alle dienstlichen E-Mail-Adressen von dessen Mitarbeitern verbunden wäre (RN 92-99).
Der Ausgangsfall beruht auf einem durch den Arbeitgeber eingerichteten Arbeitsplatzkonzept, das auf Grundsätzen des Konzeptes des „activity based working“ beruht und mit Konzepten des „desk sharing“ und des „clean desk“ einhergeht. Es besteht eine Betriebsvereinbarung „off-campus working“, die vorsieht, dass die Mitarbeiter bis zu 20% ihrer individuellen Wochenarbeitszeit mobil arbeiten können.
2.3 LG Mannheim: Anforderungen an Schutzmaßnahmen und Schadenersatz
In einem Verfahren, bei dem es um Scraping von personenbezogenen Daten aus einem sozialen Netzwerk ging, befasst sich das LG Mannheim u.a. mit Fragen zu den Anforderungen an Schutzmaßnahmen und dem immateriellen Schadenersatz. Zwar stellt das Gericht fest, dass der Betreiber des sozialen Netzwerkes gegen Art. 25 und Art. 32 DS-GVO verstoßen habe (RN 79-83). Ein Verstoß allein reiche aber für einen immateriellen Schadenersatz nicht aus. (RN 95). Allerdings sieht das LG Mannheim keine Gründe vorgetragen, die einen immateriellen Schadenersatz rechtfertigen würden. Der Wegfall der „Unbeschwertheit“ bei der Nutzung des Internets sei aber gerade kein immaterieller Schaden. Von weiterhin bestehenden Befürchtungen oder Sorgen habe die Klägerin nicht berichtet (RN 102).
2.4 EuGH: Amazon muss Werbearchiv offenlegen
Der EuGH entschied im einstweiligen Verfahren C 639/23, dass die übergeordneten Ziele des Digital Services Act (DSA) vorerst wichtiger als Eigeninteressen Amazons seien. Eine Aussetzung würde die Bemühungen der EU-Gesetzgeber, Online-Portale sicherer zu machen, gefährden. Würde der DSA, wie von Amazon gewünscht, vorläufig nicht angewandt, könnte laut dem entscheidenden Richter ein Online-Umfeld bestehen bleiben oder sich weiterentwickeln, „das eine Bedrohung für die Grundrechte darstelle“.
Das Hauptverfahren gegen die im April 2023 erfolgte Einstufung als „sehr große Online-Plattform“ im DSA-Sinne läuft dort weiter (Az. T-367/23). Mit der Einstufung hat die EU-Kommission Amazon mehrere Pflichten zur Minderung systemischer Risiken auferlegt. Ein Bericht dazu findet sich hier.
2.5 EGMR: Factsheet zu personenbezogenen Daten
Der Europäische Gerichtshof für Menschenrecht hat im Februar 2024 sein Factsheet zu personenbezogenen Daten aktualisiert. In ihm listet er ohne Anspruch auf Vollständigkeit oder irgendeine Bindungsverpflichtung Beispiele und Fälle mit Bezug zu personenbezogenen Daten auf.
Und weil es dazu passt: Auch das Europäische Parlament pflegt ein Factsheet zu dem Thema. Und auch der EuGH hat was dazu, allerdings mit Stand Nov. 2021.
3 Gesetzgebung
3.1 Überblick AI-Regulatorik
Zur Gesamtbetrachtung der Regulatorik zur Künstlichen Intelligenz gehören sowohl der AI Act, der die Zulässigkeit von KI-Systemen bzw. formale Voraussetzungen bei riskanten KI regelt, bevor diese genutzt werden können. Es gehört aber auch die Richtlinie zur KI-Haftung dazu, mit der europaweit in das Zivilrecht Vermutungen für ein Verschulden bei Schäden durch KI-Einsatz aufgenommen werden. Kombiniert wird dies mit einer Pflicht zur Offenlegung, die bei Verstoß wiederum zur Vermutung des Verschuldens führt. Dies wiederum wird ergänzt durch eine neue geplante Produkthaftungsrichtlinie, über die Software ausdrücklich als Produkt angesehen wird und die verschuldensunabhängig die Haftung bei Datenverlust oder ungewollter Datenveränderung eröffnen soll. Das ist dann noch nicht alles, durch die Reglungen zu Digitalen Diensten im Zivilrecht, wie in § 327 ff BGB, kommen im Verbrauchergeschäft noch weitere Regularien, die bei digitalen Produkten zu beachten sind, dazu.
3.2 AI Regulatorik: Kalifornien
Es wird nicht alle betreffen, kann aber helfen, wenn man mal wieder hört, „die Europäer übertreiben es mit der Regulierung“. Andere regulieren auch und Kalifornien hat gerade eine Risikobewertung für den Einsatz von Generative AI (GenAI) entwickelt, die für öffentliche Stellen anzuwenden ist. Die Executive Order N-12-23 (Sept 6, 2023) wird vom California Dept of Technology (CDT) verlangt. Danach ist eine Bewertung erforderlich, um festzustellen, ob eine Funktion oder ein Dienst der GenAI-Technologie als geringes, mittleres oder hohes Risiko eingestuft wird. Beschaffungen mit GenAI-Technologie, die als mäßiges oder hohes Risiko eingestuft werden, müssen vor der Vergabe mit dem CDT abgestimmt werden. Beschaffungen mit GenAI-Technologie, die als geringes Risiko eingestuft werden, erfordern keine Konsultation des CDT. Der Leitfaden unterscheidet zwischen einem „zufälligen GenAI-Kauf“ (eine Teilkomponente der Beschaffung, bei der GenAI-Werkzeuge zur Unterstützung der Lösung eingesetzt werden) und einem „beabsichtigten GenAI-Kauf“ (ein Antrag auf den Kauf eines bestimmten GenAI-Produkts oder einer Lösung zu Beginn einer Beschaffung). Der Teil 1 der Bewertung dient der Bestimmung des mit einem GenAI-System verbundenen Risikos. Dies bezieht sich auf die GenAI-Beschreibung, den Anwendungsfall und die GenAI-Risikostufe. Der Teil 2 muss nur ausgefüllt werden, wenn das Risiko des GenAI-Systems als mäßig oder hoch eingestuft wird. Hier muss der Antragsteller Informationen zu Qualitäts-, Sicherheits- und Schutzkontrollen, Angaben zum Anbieter, zur Transparenz und zu Aufsicht und Überwachung durch Personen liefern.
3.3 Barrierefreiheit der Webseiten und Apps (nicht nur) öffentlicher Stellen
In diesem Beitrag wird die bestehende Verpflichtung öffentlicher Stellen für einen barrierefreien Zugang der Webseiten und Apps öffentlicher Stellen dargestellt. Die Umsetzung hat für nicht-öffentliche Stellen bis 25. Juni 2025 zu erfolgen. In dem Beitrag wird sowohl auf die Vorgaben zum e-Commerce eingegangen, wie auch Verlinkungen auf technische Umsetzungsmöglichkeiten, Leitlinien bis hin zu Folien aus einem Webinar zum Thema angeboten werden.
3.4 Anforderungen bei Gesundheitsdaten an die IT-Sicherheit
Der bisherige § 79c SGB V wird in § 391 SGB V überführt. Hinzugekommen sind nun die Verpflichtungen für Security-Awareness-Maßnahmen für Beschäftigte. Die Anforderungen an die IT-Sicherheit bei Vertragsärzten werden nun in § 390 SGB V geregelt. Hier findet sich ein Beitrag dazu, der auch ausführt, warum ohne Erfüllung der Anforderungen aus C5 keine Patientendaten mehr verarbeitet werden dürften, allerdings zitiert der Bericht auch einen § 393 SGB V, den ich nicht finden konnte…
3.5 Impressumspflicht bei Webseiten
Aus der Beschlussempfehlung und Bericht des Ausschusses für Digitales (23. Ausschuss) des Deutschen Bundestages geht u.a. hervor, dass dieser empfiehlt, dass die Impressumspflicht auf Webseiten (Digitalen Diensten) überarbeitet wird. Bislang müssten dabei Personen ihre Wohnanschrift angeben, wenn sie diese privat betreiben, was auch zu Belästigungen und Bedrohungen führen kann.
3.6 Bundesrat: Datenschutz-Konformitätsprüfungen durch Hersteller / Anbieter?
In seinem Beschluss zur Evaluierung der DS-GVO nach Art. 97 DS-GVO weist der Bundesrat u.a. darauf hin, die datenschutzrechtlichen Belastungen für KMU eine unverhältnismäßige Belastung darstellen (Ziffer 4). Auch blieben Rechtsunsicherheiten hinsichtlich Geschäftsgeheimnissen bei dem Auskunftsanspruch (Ziffer 5) und sie erwarten Anwendungsmöglichkeiten von der Verpflichtung zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten.
Einen längeren Abschnitt widmen sie in Ziffer 12 der Forderung nach der Möglichkeit einer Konformitätsbescheinigung durch Hersteller / Anbieter, weil ein Anknüpfen der datenschutzrechtlichen Verantwortung allein bei Verantwortlichen und Auftragsverarbeiter zu kurz greife.
Aus Sicht des Bundesrates sollten Hersteller selbst gewährleisten müssen, dass die von ihnen in Verkehr gebrachten Produkte datenschutzkonform sind, um dadurch alle Anwender, wie beispielsweise auch kleine und mittlere Unternehmen, die diese Produkte einsetzen, zu entlasten.
Die DS-GVO sollte daher dahingehend überprüft werden, ob eine Verpflichtung von Herstellern und Anbietern digitaler Produkte und Dienste im Unionsrecht getroffen werden könnte, wonach diese ihre Produkte und Dienste verpflichtend zu zertifizieren hätten oder auf sonstige Weise sicherstellen müssten, dass nur Produkte und Dienste auf den Markt gebracht werden, die nach ihren Voreinstellungen im typischen Kreis ihrer Nutzer beziehungsweise datenschutzrechtlich Verantwortlichen den Anforderungen der DS-GVO genügen. Zur Erfüllung solcher Verpflichtungen wären zum Beispiel hinreichende Einwilligungs- oder Löschprozesse vorzusehen, Datensicherheitsstandards „ab Werk“ zu aktivieren oder im Falle etwaiger Drittstaatentransfers hinreichende Garantien vorzusehen.
Angesichts des Vorbildcharakters der Hersteller- und Anbieterverantwortung in den Vorschlägen zum Cyber-Resilience-Act und zur KI-Verordnung erscheine eine Initiative zur datenschutzrechtlichen Hersteller- und Anbieterverantwortung fünf Jahre nach Geltungsbeginn der DS-GVO mittlerweile als eine der wirksamsten und systemkonformsten Impulse zur Verbesserung des Schutzes personenbezogener Daten.
Am Beispiel von MS 365 weist der Bundesrat darauf hin, dass wiederholt Rechtsunsicherheiten bei der Frage aufgezeigt hatten, durch wen und nach welchen Maßstäben die Erfüllung datenschutzrechtlicher Anforderungen durch ein bestimmtes Produkt oder einen einzelnen IT-Service nachzuweisen ist. Eine gesetzliche Konformitätsverpflichtung von Herstellern oder Anbietern von IT-Dienstleistungen würde auch insoweit einen nachhaltigen Beitrag zu mehr Rechtssicherheit und datenschutzgerechter Digitalisierung leisten und den Vollzug durch die Datenschutzaufsichtsbehörden effektivieren.
4 Künstliche Intelligenz und Ethik
4.1 Beeinflussung durch Chatbots?
Können uns personalisierte Chatbots leichter beeinflussen als ein menschlicher Kommunikationspartner? Neue Forschungsergebnisse zeigen, dass große Sprachmodelle (Large Language Models, LLMs) wie GPT-4 in personalisierten Debattensituationen Menschen in ihrer Überzeugungskraft deutlich übertreffen können sollen. Mehr dazu hier.
4.2 Ankündigung AI Index Report 2024
Wer sich für den am 15.04.2024 erscheinenden Report des Human Centered Artificial Intelligence der Stanford University vormerken lassen will, bitte sehr, hier entlang.
4.3 Think Tanks und KI
Hier ist eine Auflistung mit Fundstellen der Veröffentlichung internationaler Think Tanks und Forschungseinrichtungen zu KI. Erstellt vom Wissenschaftlichen Dienst des Europäischen Parlaments.
4.4 Retrieval-Augmented Generation for Large Language Models
Retrieval-Augmented Generation (RAG) ist das KI-Stichwort, mit dem derzeit viele Firmen den unternehmenseigenen Datenschatz heben wollen. Mit den eigenen Unternehmensdaten chatten? Das domänenspezifische Wissen des Unternehmens heben? Schlüsse aus unstrukturierten Daten ziehen und unbekannte Zusammenhänge herstellen? Das alles und noch mehr soll mit dem RAG-Ansatz möglich sein. Hier fasst ein aktuelles Papier „Retrieval-Augmented Generation for Large Language Models: A Survey“ den Stand der Technik zusammen.
5 Veröffentlichungen
5.1 bitkom: Nervende Cookie-Banner
Nach einer Umfrage des bitkom sind 75 % der Befragten (ab 16 Jahren) genervt von den Cookie-Bannern. Immerhin seien rund einem Drittel der Befragten (34 Prozent) diese Einstellungen, über die sie selbst entscheiden können, wichtig. Knapp ein weiteres Drittel (31 Prozent) versteht sie allerdings gar nicht. Man hätte es auch etwas klarer formulieren können als in dem Pressetext: Webseiten müssen nur dann eine aktive Einwilligung ihrer Nutzenden einholen, wenn sie mit den dabei gewonnen Daten mehr vorhaben, als sie für die Nutzung der Webseite technisch benötigen.
Die Aussage
„Die gesetzlichen Vorgaben zwingen die Anbieter zu Hinweisen und Einstellmöglichkeiten, die offenbar so von der Mehrheit der Nutzerinnen und Nutzer gar nicht gewünscht sind.“
wirkt da doch etwas irritierend.
5.2 Die DSFA als feministische Regelung?
Ein auf den ersten Blick vollkommener unerwarteter Aspekt: Kann die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DS-GVO als feministisches Instrument betrachtet werden? Sie soll ja das Machtungleichgewicht zwischen denjenigen, die die Kontrolle über die Informationen haben, und den am meisten gefährdeten und marginalisierten Personen, auf die sich diese Informationen beziehen, beseitigen. Dieser Beitrag befasst sich mit diesem Konzept mit dem Blickwinkel einer feministischen Kritik daran, die für eine umfassende Bewertung, ob dieser Optimismus gerechtfertigt ist, unerlässlich sei. Er möchte diese Wissenslücke durch eine Kombination aus doktrinärer und nicht-doktrinärer Analyse, feministischen juristischen Methoden und Intersektionalität schließen. Letztendlich kommt die Ausarbeitung zu dem Ergebnis, dass eine DSFA nicht als feministisches Instrument an sich betrachtet werden könne. Dennoch könnte sie feministischen Zielen dienen und ein Instrument zur Stärkung der Betroffenen werden. Zu diesem Zweck schlägt die Autorin vor feministische juristische Methoden und Intersektionalitätsprinzipien in den Prozess einzubeziehen und ein „Recht auf DPIA“ zu konzipieren.
5.3 Polizei schaut sich YouTube-Nutzer an
Nach diesem Bericht erhofft sich die Polizei in den USA aus der Übermittlung und Auswertung aller Nutzer, die ein bestimmtes YouTube-Video angesehen haben, Erkenntnisse über eine Person hinter einem YouTube-Account, der Geldwäsche vorgeworfen wird. Hier schon mal ein unverbindlicher Link zu einem Beitrag, was bei Hausdurchsuchungen zu beachten ist.
5.4 Meta senkt die Preise
„Drei, zwei, eins, meins“ – halt, das waren die anderen: Hier geht es nach diesem Bericht um die Produkte von Meta wie Facebook und Instagram, die nun noch billiger angeboten werden sollen, um personalisierte Werbung auszuschließen.
5.5 Tracking ohne Einwilligung?
Warum nicht, wenn es nicht rückverfolgbar auf eine nutzende Person erfolgt? Das wäre beispielsweise in aggregierbarer Form denkbar, wie hier in einem kurzen Video (ca. 5 Min) auf YouTube dargestellt. Dabei werden auch die Ansichten der Datenschutzaufsichten berücksichtigt.
(Passend dazu dieser Comic, den auch der BfDI im Tätigkeitsbericht 2023 genutzt hat.)
5.6 vunk: Infoteilhabe und Bewertungen im Internet
Bewertungsportale haben eine hohe Bedeutung für Konsumentscheidungen und sind ein wesentliches Element für den Erfolg von Internetvermarktern. Allerdings ist es oft leicht die Ergebnisse der Bewertungen zu manipulieren. Auch werden Bewertungen überwiegend abgegeben, wenn Kunden ganz begeistert sind und seltener, wenn ihre Erwartungen gröblich enttäuscht wurden, nicht dagegen bei mittleren Erfahrungen. So entsteht ein verzerrtes Bild über die tatsächlichen Meinungen der Kunden. Ein umfangreiches Forschungsprojekt des vunk (Institut für Verbraucherforschung und nachhaltigen Konsum an der Hochschule Pforzheim) analysiert die juristischen und wirtschaftlichen Hintergründe und hat hierdurch und durch ausführliche Marktforschung ermittelt, welche Stellschrauben betätigt werden müssen, damit Bewertungsportale echte Mitbestimmungstools für Verbraucher*innen werden und NGO diese als ein neues Instrument der gesellschaftlichen Meinungsbildung nutzen können. Die bisherigen Ergebnisse gibt es in einer Kurzfassung und einer Fassung der wesentlichen Ergebnisse. Übrigens wurde aus dem „Zentrum vunk“ nun das „vunk-Institut“. Glückwunsch!
5.7 Abschlussbericht zum Cyberangriff auf die Südwestfalen-IT
Ende Oktober 2023 wurde die Südwestfalen-IT Opfer einer kriminellen Cyberattacke. Nun legt das Unternehmen den forensischen Abschlussbericht über den Tathergang vor. Demnach konnten die Angreifer über eine VPN-Lösung eindringen und weitere Hürden überwinden, um die Ransomware auszuführen. Es kam laut Angaben der Südwestfalen-IT mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten, auch die Back-Ups seien nicht betroffen gewesen. Der Bericht zum Vorfall wurde durch die Südwestfalen-IT veröffentlicht. Es irritiert nur, dass der Bericht mit der Klassifikation „vertraulich“ ins Netz gestellt wurde.
Franks Nachtrag: Tja, wenn Verwaltungen so wie immer agieren, kann sich das schon mal ziehen. In Villarriba derweil… Die waren nur fünf Tage offline.
5.8 Übersicht zu Schadenersatz-Urteilen nach der DS-GVO
Was sind die Anforderungen zu immateriellen Schadenersatz nach Art. 82 DS-GVO und wie haben bislang Gerichte in Deutschland dazu entschieden? Das sind Fragen, die sich eigentlich gar nicht stellen sollten, will man sich von vornherein rechtskonform verhalten. Dennoch ist diese Zusammenstellung einer Kanzlei ganz hilfreich, zeigt sie einerseits die Entwicklung an, vermittelt aber andererseits auch das Bewusstsein, dass vielleicht Sanktionen der Datenschutzaufsicht (in Deutschland) sicher nicht der einzige Anreiz sein sollten, um Rechtsverstöße zu vermeiden. Die Auflistung zeigt Gericht, Datum, Art des Verstoßes und den zugesprochenen Betrag an. Über Aufklappfunktionen können auch Verlinkungen auf das Urteil abgerufen werden.
5.9 Vertraulichkeits-Klassifizierung von Daten
Wer sich noch nicht mit der Klassifizierung von Daten befasst hat, kann sich hier informieren bzw. seinen aktuellen Stand überprüfen. Es finden sich dazu neben einem Glossar auch eine Checkliste zur Umsetzung. Die Klassifizierung nach Stufen der Vertraulichkeit hilft, um jeweils angemessene Maßnahmen abhängig vom Schutzbedarf zu definieren und anwenden zu lassen.
5.10 Schleswig-Holstein verabschiedet sich von Microsoft
Nach dieser Meldung beschloss die Landesregierung von Schleswig-Holstein 30.000 Arbeitsplätze von Landesbedienstete:n mit LibreOffice statt Microsoft Office auszustatten.
Franks Nachtrag: Apropos Microsoft …
5.11 Veranstaltungen
5.11.1 IAW Tübingen: Seminarreihe zu Digitalen Verwaltungsprozessen
10.04.2024, 12:30 – 13:30 Uhr, online: Sicherlich nicht nur für Interessierte aus Baden-Württemberg spannend befasst sich diese kostenlose Seminarreihe mit Aspekten der Digitalen Verwaltung. Details zu den Terminen und Themen finden sich hier. Nächster Temin ist am 10. April 2024 zu besseren Prozessen durch kritische Betrachtung von Signaturen.
5.11.2 Stiftung Datenschutz: Datenschutz am Mittag – Datenschutzkonformes Onlinemarketing ohne Cookies
10.04.2024, 13:00 bis 14:00 Uhr, online: Die Online-Werbebranche steht vor umfassenden Veränderungen. Bisher basierten zahlreiche Marketing-Anwendungen auf sogenannten 3rd-Party-Cookies. Nun hat Google angekündigt, dass Chrome-Browser ab Herbst keine Drittanbieter-Cookies mehr akzeptieren werden. Andere Browseranbieter werden sich anschließen. Das bedeutet aber nicht das Ende von Cookies für Werbezwecke. Für bestimmte Anwendungsfälle können 1st-Party-Cookies weiterhin genutzt werden.
Die Zukunft sind sogenannte ID-Solutions, die als Nachfolge- und Schlüssel-Technologien die notwendige Kommunikation zwischen Webseiten, Apps und Werbeplattformen sicherstellen werden. Anhand erster praktischer Erfahrungen sollen technologische Grundlagen, verknüpfte Risiken, Alternativen wie die Google Privacy Sandbox sowie die Nutzung von Privacy Enhancing Technologies als Schlüssel für den rechtskonformen Einsatz diskutiert werden. Weitere Informationen und Anmeldung hier.
5.11.3 Stiftung Datenschutz: Datenschutz für Kleinunternehmen – Rechtsgrundlagen
11.04.2024, ab 14:00 Uhr, online: Jede Verarbeitung von personenbezogenen Daten braucht eine Rechtsgrundlage, quasi eine „Erlaubnis“. In diesem Modul des Angebots der Stiftung Datenschutz werden die Rechtsgrundlagen in Art. 6 Abs. 1 DS-GVO betrachtet. Das Webinar richtet sich an diejenigen, die sich in Kleinst- und Kleinunternehmen oder als Selbstständige um den Datenschutz kümmern. Weitere Informationen und Anmeldung dazu hier. Die bisherigen Module können hier auch noch als Video (am Ende der Webseite, Dauer ca. jeweils 1 Stunde) angesehen werden.
5.11.4 HHN: „Recht & Künstliche Intelligenz – die Zukunft ist interdisziplinär!“
16.04.2024, 15:00 – 17:00 Uhr, online: Die Hochschule Heilbronn (HHN) bietet vier Fachvorträge an, um juristische, technische und gesellschaftliche Themen rund um das Thema Künstliche Intelligenz aus der Perspektive verschiedener Fachdisziplinen zu beleuchten. Weitere Informationen und Anmeldung hier.
5.11.5 u.a. Datenschutzberater: „Verantwortungsvoller Umgang mit Daten im Licht neuer Regulierungen“
16.04.2024, 15:30 – 19:00 Uhr, München: Als Angebot einer Fachzeitschrift, einem Datenschutz-Dienstleister und einer Beratungsgesellschaft befassen sich Expert:innen mit dem Überblick über die sich wandelnden Gesetze und Vorschriften, um rechtskonform mit sensiblen Daten während des gesamten Datenlebenszyklus umzugehen. Insbesondere wird das Zusammenspiel zwischen bestehenden Datenschutzverpflichtungen und zukünftigen AI-Regulierungen, die praktische Umsetzung von Regulierungen in Unternehmen sowie die Herausforderungen beim verantwortungsvollen Umgang mit Daten von der Erhebung bis zur Löschung besprochen. Weitere Informationen – auch zur Anmeldung – finden sich hier.
5.11.6 Tracking nach § 25 TTDSG – Urteile und behördliches Website-Audit-Tool -neu-
17.04.2024, 09:00 – 10:30 Uhr, online: Die Anwendung der Regelungen zum Tracking sowie zum Einsatz von Cookies und ähnlichen Technologien ist nach wie vor mit erhöhter Rechtsunsicherheit verbunden. § 25 TTDSG normiert seit 2021 eine Einwilligungspflicht, die beispielsweise auf Webseiten und Apps mit Einwilligungsbannern umgesetzt wird. In den letzten Monaten hat sich in diesem Bereich wieder einiges getan. So wurden Urteile des OLG Köln, des LG Köln und des EuGH veröffentlicht. Und auch die europäischen Datenschutzaufsichtsbehörden waren nicht untätig – so gibt es seit Januar 2024 ein Website-Audit-Tool, mit dem Behörden, Unternehmen und Privatpersonen die Website auf Tracking untersuchen können. In dem Workshop wird dargestellt, was Behörden künftig mit dem Website-Audit-Tool prüfen können, wann und wie eine Einwilligung eingeholt werden muss und welche neuen Aussagen Gerichte und Behörden zur Anwendung des § 25 TTDSG und der DSGVO beim Tracking getroffen haben. Weitere Informationen und Anmeldung finden Sie hier.
5.11.7 HSLU: „Datenschutz in Immersive Reality“
18.04.2024, 12:00 – 17:30 Uhr, „Privacy Ring“ in Luzern: Die Referate werden über die Präsentationsform des „Pecha Kucha“ gehalten. Es besteht zu Beginn der Veranstaltung auch die Möglichkeit an einer Führung im Immersive Reality Center (IRC) der Hochschule Luzern teilzunehmen. Weitere Informationen und Anmeldung hier.
5.11.8 ZEVEDI: Datenzugangsregeln zwischen Freigabe und Kontrolle
19.04.2024, 10:00 – 17:00 Uhr, Symposium in Darmstadt: Die hochumstrittene Frage der Zuweisung von Daten(-rechten) hat Auswirkungen auf Zugangsoptionen und beeinflusst damit unsere Möglichkeiten Daten möglichst effektiv und gemeinwohlverträglich zu nutzen. Die Projektgruppe hinterfragt daher traditionelle Vergabe- und Zugangsvorgaben. Sie untersucht zum einen konkrete Möglichkeiten, wie der Datenzugang so gestaltet werden kann, dass er akteursübergreifende Verantwortung widerspiegelt und einzelne Datenanbieter weder überfordert noch überschätzt. Zum anderen ist vor dem Hintergrund systematisch-philosophischer Konzeptionen von „Rechten“ zu fragen, inwieweit Datenzugänge ein sinnvolles Anwendungsfeld bilden, um traditionelle Subjektvorstellungen und darauf aufbauende Rechtsvorstellungen zu modifizieren.
Klingt sehr akademisch? Ist es sicher auch – aber nicht minder spannend! Es geht einfach um die Frage, wer auf (Forschungs- oder Gesundheitsdaten-)Daten zugreifen darf und wie dieser Zugang reguliert wird? Wie muss sich der Schutz subjektiver Rechte wandeln, und gibt es Alternativen zum subjektbezogenen Schutzkonzept? Welche Datenzugänge müssen erleichtert, welche strikter kontrolliert werden? Wer trägt dafür Verantwortung? Diese Fragen wurden in der Projektgruppe Datenzugangsregeln des Zentrums verantwortungsbewusste Digitalisierung (ZEVEDI) intensiv verhandelt und an dem Tag im interdisziplinären Symposium zum Abschluss der Projektgruppe werden sie von externen Expert:innen kommentiert und gemeinsam mit diesen diskutiert. Weitere Informationen und Anmeldung hier.
5.11.9 HmbBfDI: Girl´s Day beim HmbBfDI -neu-
25.04.2024, 09:00 – 13:30 Uhr, Hamburg: Der HmbBfDI bietet am Girl´s Day für Mädchen ab 12 ein buntes Programm rund um das Thema „Als Datenschützerin arbeiten“. Weitere Informationen und Anmeldung hier.
5.11.10 LfD Sachsen-Anhalt: Girl´s und Boy´s Day bei der Aufsicht Sachsen-Anhalt
25.04.2024, 08:00 – 13:00 Uhr, online: In Sachsen-Anhalt gibt es gleich zwei parallel stattfindende Angebote, einmal für Mädchen und einmal für Jungs. Für die Heldinnen gibt es ein Angebot „Datenschutz-Heldinnen: Gemeinsam sicher im Internet!“ für die Jungs „Datenschutz-Detektive: Sicher im Netz!“ Weitere Informationen hinter den Links. Nach Angabe auf der Webseite sind beide Angebote ausgebucht…
5.11.11 HmbBfDI: Digitale Vorbilder – TikTok, Instagram, Snapchat und Co.
25.04.2024, 19:00 – 20:30 Uhr, online: Bei der Veranstaltung im Rahmen der „Digitalen Vorbilder“ der Datenschutzaufsicht Hamburg geht es am 25. April 2024 um Fragen rund um die Apps, die Kinder und Jugendliche gerne nutzen, was diese können und welche Themen oder Gefahren es dabei gibt, über die ich mit meinem Kind sprechen sollte? Expert:innen diskutieren und geben Ratschläge. Weitere Informationen und den Link zum Stream gibt es hier.
Franks Nachtrag: (Ja, die gehen auch bei Veranstaltungshinweisen…) Apropos Snapchat. Hoffentlich wird das im Rahmen der Veranstaltung auch thematisiert…
5.11.13 Bayerische Landeszentrale für politische Bildungsarbeit: Schülermedientag in Bayern – auch online -neu-
29.04 bis 03.05.2024, tagsüber, online: Während der digitalen Schülermedientage 2024 stellen sich bekannte Journalist*innen aus ganz Bayern per Livestream den Fragen der Teilnehmer:innen. Die Schülermedientage 2024 sind eine gemeinsame Veranstaltung der Bayerischen Landeszentrale für politische Bildungsarbeit, Mediaschool Bayern und vielen weiteren Partnern. Weitere Informationen und das detaillierte Programm finden sich hier.
5.11.14 FAU Nürnberg-Erlangen: Übertragung bestehender Machtstrukturen der Gesellschaft auf die KI -neu-
30.04.2024, ab 16:00 Uhr, online: Im Rahmen der Vortragsreihe Gender Lectures an der FAU Nürnberg-Erlangen werden an diesem Tag komplexe Fragen zur Verteilung von Macht und Privilegien auch beim Einsatz von KI betrachtet. Häufig verstärken gegenwärtige KI-Systeme bestehende Machtungleichgewichte und benachteiligen marginalisierte, unterrepräsentierte und unterprivilegierte Menschen. Das sei auch im Gesundheitswesen und in der Medizin der Fall: Die traditionelle Machtverteilung, fehlende und verzerrte Daten – Stichwort Gender Data Gap – führen zu automatisierter Benachteiligung von Frauen, queeren und anderen marginalisierten Personen. In dem Vortrag geht es um Ursachen, Ideen zum Wandel und Beispiele aus dem Gesundheitswesen und der Medizin. Weitere Informationen und auch der Link zu Zoom finden sich hier.
6 Gesellschaftspolitische Diskussionen
6.1 Bahn frei – ich komme? Datenminimierter Fahrkartenkauf
Fahrkartenkauf bei der deutschen Bahn wird immer datenintensiver. Stark rabattierte Fahrkarten sind auch am Schalter nur noch gegen Angabe von bestimmten Daten erhältlich. Damit befasst sich dieser Beitrag, der auch Hinweise gibt, wie am Schalter datenminimiert vergünstigte Karten erworben werden können.
Franks Nachtrag: Hier finden Sie weiterführende Informationen (um nicht „Erster“ zu sagen).
7 Sonstiges/Blick über den Tellerrand
7.1 Facebook wird / bleibt übergriffig
Nach diesem Bericht hat Facebook im Jahr 2016 begonnen im Rahmen seines Projekts „Ghostbusters“ den Snapchat-Netzverkehr seiner Nutzer auszuspionieren, um Nachrichten abzufangen und zu entschlüsseln. Das Ziel sei es gewesen das Verhalten der Nutzer zu verstehen und Facebook dabei zu helfen mit Snapchat zu konkurrieren. Der Projektname referenziere auf das Logo von Snapchat. Die Dokumente wurden im Rahmen einer Verbraucherschutzklage in den USA bekannt.
Manchmal ist einfach nicht schön, wenn aus Vorurteilen Erfahrungswerte werden.
Franks Nachtrag: (ich weiß, doppelt, hatte ich schon bei den Veranstaltungshinweisen…) Apropos Snapchat. Wollen die bei Meta da auch (so wie Snapchat es macht) argumentieren, dass sie nicht verantwortlich sind, wenn sie Kinder mit für sie schädlichen Personen verbinden?
7.2 Medienkompetenz gegen Fake-News
Hier ein kurzer Bericht (ca. 8:45 Min) aus der ARD-Mediathek, wie Schüler:innen zu Fake-News sensibilisiert werden können und wie Schulen in Einzelfällen damit umgehen.
7.3 Informationen zum Umgang mit Desinformationen und Informationsmanipulation
Wie geht man in Wahlzeiten mit Desinformationen um, die sich beeinflussend auf Wahlen auswirken können. Damit befassen sich diese Handlungsempfehlungen.
8. Franks Zugabe
8.1 Vorratsdatenspeicherung, irgendjemand?
Geredet wird ja immer wieder darüber. Aber wie sieht es denn nun weltweit so aus zum Thema Vorratsdatenspeicherung? Privacy International hat da mal etwas vorbereitet. Die Haupterkenntnisse (aus den zehn untersuchten Staaten Argentinien, Belgien, Brasilien, Frankreich, Deutschland, Griechenland, Libanon, Mexiko, Tunesien und Südafrika) sind:
- Data retention legislation imposing blanket obligations to telecommunication companies and Internet service providers persist
- EU members have been slow in adapting their legislation in light of the most recent jurisprudence of the Court of Justice of the European Union
- Other countries across the globe introduce similar legislation
- Data retention frameworks examined in the briefing are vague, lacking procedural safeguards
Hier geht es zum Bericht (mit Stand Dezember 2023).
Erschreckend, aber nicht unerwartet.
8.2 Apropos Microsoft …
Da war so viel die letzten Tage, dass sich hier mal eine Auflistung lohnt:
- Fangen wir mit der Klatsche an: DHS wie auch CISA stellen Microsoft ein sehr schlechtes Zeugnis bezogen auf ihre IT-Security aus. DHS ist das Department of Homeland Security, CISA ist die Cybersecurity and Infrastructure Security Agency der USA. Also Behörden, die sich eher vor US-amerikanische Cloudanbieter stellen (da sie deren Daten liebend gerne auch nutzen) als sie öffentlich zu kritisieren. Was sie aber mit ihren Berichten zum Report gemacht haben. Deutlich. Eine Meldung dazu. Aber da gibt es wohl viele…
Hier ein übersetztes Zitat aus den Presseerklärungen:„Die Untersuchung des CSRB ergab, dass das Eindringen von Storm-0558, einer Hackergruppe, die als mit der Volksrepublik China verbunden eingeschätzt wird, vermeidbar gewesen wäre. Das CSRB stellte eine Reihe operativer und strategischer Entscheidungen von Microsoft fest, die auf eine Unternehmenskultur hindeuten, die Investitionen in die Unternehmenssicherheit und ein rigoroses Risikomanagement vernachlässigt, was im Widerspruch zu der zentralen Stellung des Unternehmens im Technologie-Ökosystem und dem Vertrauen steht, das die Kunden in das Unternehmen hinsichtlich des Schutzes ihrer Daten und Abläufe setzen.“
Wie war das noch mal? Wir geben die Daten in die Cloud, weil die Anbieter von Cloud-Lösungen die IT-Sicherheit besser im Griff haben als wir? Vielleicht doch nicht? Vielleicht sind sie nur besser in der Gewinnmaximierung?
- Scheinbar haben sie ja genug Gewinne, sie wollen auf jeden Fall tüchtig investieren: Stargate – Microsoft soll KI-Rechenzentrum für 100 Milliarden Dollar planen. Wenigstens haben sie es nicht Skynet genannt…
- Was war der Grund für die Probleme mit Windows Servern im März 2024? Der Autor hat seine Meinung dazu.
- Microsoft tut mal wieder Microsoft-Dinge.
- Mit KI wird alles schlechter. Moment, gehört das nicht in die Kategorie „Apropos KI …“? Eigentlich schon, aber der Chatbot, um den es geht, wird durch die „Azure AI services“ betrieben, also Microsoft. Es geht um den Chatbot von New York City. Hilfreich, das… Na ja, Hauptsache digitalisiert.
- Da wirkt diese Qualifizierungsoffensive doch gleich noch vertrauenserweckender, oder?
- Und dann haben wir noch etwas über die Überwachung durch die neue Outlook-App.
- Und in diesem Kommentar wird die Entbündelung von Teams aus Office besprochen. Nicht wirklich positiv. Der Kommentator könnte Ihnen bekannt sein.
- Wir wollen ja manchmal auf einer positiven Note enden: Die absichtlich in den xz Utils versteckte Backdoor wurde durch einen Microsoft-Ingenieur entdeckt. Gut so! Hier geht es zu einem Bericht.
8.3 RIP Ross J. Anderson
Wenn Sie Ross J. Anderson nicht kannten, haben Sie etwas verpasst. Seien das seine Vorträge (als Videos), sei das sein Klassiker der IT-Sicherheit „Security Engineering“. Er wird vermisst, Weggefährten erinnern sich, viele berichten über ihn.
Vielleicht nutzen Sie (so wie ich) die Chance Versäumtes nachzuholen.
8.4 Ein lesenswertes Postmortem
Wie bereits früher geschrieben, ein Postmortem ist eine nachträgliche Betrachtung der Krise, nachdem sie bewältigt wurde, inklusive Fehleranalyse und Lessons learned. Das der British Library ist lesenswert.
8.5 Eine KI-generierte Druckerbewertung?
Es ist empörend… oder nicht? Tatsächlich ist der Artikel ein Kunstwerk. Zum einen stellt er die wirklich weit verbreitete Unsitte dar, das SEO mittlerweile meist KI-generiert ist. Zum anderen nutzt der Autor genau das, um seine eigene, tatsächlich von Hand geschriebene Bewertung zu pushen. Hier wird er auf deutsch kommentiert.
Und tatsächlich ist mir der Drucker wie auch die Marke egal, aber der Umstand, wie Werbung im Internet gerade so läuft, das ist informativ…
8.6 The head of Unit 8200 and anonymity in the internet
Warum Anonymität im Internet wirklich schwer ist, wie auch der Chef der Unit 8200 feststellen musste.
8.7 Sicheres Whistleblowing
Die Vorgaben des HinSchG hin oder her, Sie erwarten, dass Ihnen etwas wirklich Brisantes geleakt werden kann und wollen definitiv keine hackbaren Systeme für den Empfang eben dieser Informationen nutzen? Dann sollten Sie mal beim Guardian nachlesen, wie die das so machen…
8.8 Apropos KI …
Und weil sich auch hier wieder einiges gesammelt hat:
- Fangen wir mit einem Videopodcast zum Thema „AI and Trust“ an. Bruce Schneier in 15 sehenswerten Minuten auf Youtube.
- Apropos Bruce Schneier: Hier ist ein Essay mit dem Titel „AI and the Evolution of Social Media“, welches ursprünglich in der „MIT Technology Review“ erschienen ist.
- Oben bei den Meldungen zu Microsoft hatten wir schon mmal den Satz „Mit „KI“ wird alles schlechter“. Hier ein Beispiel ohne Microsoft: „Können wir nicht Pakete unter vorher von „KI“ halluzinierten Namen publizieren? Why not? YOLO.“
- KI und Datenschutz: Eine kritische Betrachtung. Da sagt der Titel doch schon, was uns beim Lesen erwartet. Lesenswert ist es allemal.
- KI klappt doch nicht? Amazon stellt kassenlose Supermärkte ein. Ach, das war gar keine KI, das waren nur mehr als 1.000 arme Menschen in Indien, die das per Video überwachten?
- Da scheint also doch Geld drin zu stecken: OpenAI beginnt mit Monetarisierung von GPTs. Damit wird dann bestimmt alles besser. jetzt, wo ChatGPT ein Gedächtnis bekommen soll…
- Und nochmal zum Schluss, mit KI wird alles schlechter: X / Twitter-KI so: Iran greift Israel an. Danke, Elon…
8.9 Automatische Kennzeichenerfassung im Straßenverkehr
Immer häufger bieten bei uns in Deutschland Parkhausbetreiber an, dass nach Eingabe des Kennzeichens das Parkticket bezahlt werden kann, natürlich um den Preis, dass – Sie ahnen es – die Kennzeichen besagter Fahrzeuge per Videokamera gefilmt und erkannt werden. In anderen Staaten (auch in Europa) werden so auch Mautgebühren kilometergenau abgerechnet. In den USA haben Autofahrer nun scheinbar aufgerüstet…
8.10 Keine Zeit, um während der Arbeit zum Essen gehen? Wie wäre es mit Board Chow?
Board Chow, fragen Sie? Bitte sehr… Letztendlich geht es um Hygiene am Arbeitsplatz. Denn diese ist nötig.
9. Die gute Nachricht zum Schluss
9.1 KI, Demokratie und Ärzte
Wie ein demokratieermunterndes Lied der Ärzte mittels eines KI-basierten Videos wieder aktuell wird, können Sie hier auf YouTube sehen. Richtig out war das Thema aber ja noch nie.