Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 18-20/2023)“
Hier ist der 68. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 18-20/2023)“.
Franks Anmerkung (Wie? Jetzt gibt es die Anmerkungen schon vor dem Inhalt?):
Durch die BvD-Verbandstage, den Stress in der Woche davor und meinen Urlaub nach den Verbandstagen hat sich wieder Einiges in den letzten drei Wochen angesammelt. Ich habe die Beiträge innerhalb der Kategorien nach Wochen eingestellt (Sie erkennen es zum Beispiel bei dem Kapitel Aufsichtsbehörden daran, dass es je Woche mit Europa oder der DSK beginnt, mit den deutschen Aufsichtsbehörden weitergeht und mit Aufsichtsbehörden aus europäischen Mitgliedsstaaten oder anderen deutschen Behörden endet).
Zum Verständnis der Arbeitsweise hinter diesen Blogbeträgen: Herr Kramer produziert fleissig und fast durchgängig wöchentliche Beiträge, die ich dann idealerweise am folgenden Wochenende um meine Anmerkungen und Nachträge sowie meine Beiträge (in Kapitel 8) ergänze und hier als Blogbeitrag veröffentliche. Manchmal habe ich zu wenig Zeit und schiebe wenigstens ein Zwischenspiel ein, wenn Ihnen sonst zu viele Fortbildungen entgehen würden. Und manchmal sammelt sich (wie bei diesem Blogbeitrag auch) einiges an und ich bündele mehrere Wochen zu einem Blogbeitrag.
Nun aber viel Vergnügen beim Lesen.
Ach so, und weil es so schön ist: Schauen Sie mal hier!
Ach so, die zweite: Es gibt diese Woche wirklich viele Veranstaltungen!
- Aufsichtsbehörden
- EDSA: Neuwahlen im Vorsitz
- EDPS: Präsentation Tätigkeitsbericht für 2022
- LDA Brandenburg: Fehlversand an vertrauensvolle Person
- LfD Niedersachsen: Nachfolgeentscheidung eingeleitet
- BayLDA (oder auch irgendwie nicht): Fragebogen zu Stellung und Aufgaben der DSB
- ULD Schleswig-Holstein: Vortrag zu Risiko und Rechenschaftspflicht
- Italien: Rückkehr von ChatGPT
- Irland: „Datenschutz am Arbeitsplatz“
- Spanien: Guideline zum Umgang mit Datenschutzverletzungen
- Finnland: Freiwilligkeit der Werbeeinwilligung bei Gewinnspielteilnahme
- Norwegen: Verbot der Verarbeitung personenbezogener Daten für Statistik-Behörde
- DSK: Souveräne Clouds
- DSK: Young Data
- Sachsen-Anhalt: Qualifikationsanforderungen für Aufsichtsleitung
- Berliner BfDI: Umgang mit Datenpannen
- LfD NRW: Bußgeld für Beschäftigte öffentlicher Stellen
- Berlin: Prüfverfahren wegen unzureichender Information
- BaFin: Algorithmuseinsatz bei Kreditvergabe
- Spanien: Sanktionen gegen in Höhe von 75.000 Euro gegen Vermittler von Unterkünften
- Spanien: Tätigkeitsbericht für 2022
- BSI: Große KI-Sprachmodelle
- BSI: Entlastung des früheren Behördenleiters
- EDSA / Irland: Rekordbußgeld für Facebook? (Ja!)
- EDSA: Guideline 05/2022 zur Gesichtserkennung bei der Rechtsdurchsetzung
- EDSA: Vorschau zur nächsten Sitzung
- ULD Schleswig-Holstein im Interview: eHealth und Datenschutz
- Berlin: Start-up-Schule
- LfDI Baden-Württemberg: Landtag entscheidet über neuen LfDI
- Sachsen: Tätigkeitsbericht für 2022
- Sachsen: Tätigkeitsbericht für 2022 – Untersagung des Facebook-Auftritts der Sächsischen Staatskanzlei
- Sachsen: Tätigkeitsbericht für 2022 – Datenschutzrechtliche Einordnung gerichtlich bestellter Sachverständiger
- Sachsen: Tätigkeitsbericht für 2022 – Datenerhebung in sozialen Netzwerken durch Steuerbehörden
- Sachsen: Tätigkeitsbericht für 2022 – Neuausrichtung von Aufbewahrungsfristen für Gewerbeanzeigen
- Sachsen: Tätigkeitsbericht für 2022 – Dienstliche Kommunikation eines Gerichtsvollziehers über WhatsApp
- Sachsen: Tätigkeitsbericht für 2022 – Einwilligungserklärung bei Bestehen einer gesetzlichen Grundlage für die Datenerhebung
- Sachsen: Tätigkeitsbericht für 2022 – Auftragsverarbeitung und Verpflichtungsgesetz
- Sachsen: Tätigkeitsbericht für 2022 – Exzessiver Auskunftsanspruch
- Sachsen: Tätigkeitsbericht für 2022 – Was ist bei der Gestaltung von Websites und Apps zu beachten?/a>
- Sachsen: Tätigkeitsbericht für 2022 – Anbieter dürfen Passwörter nicht im Klartext speichern
- Sachsen: Tätigkeitsbericht für 2022 – Durchsuchungsmaßnahme bei unzulässigem Betrieb von Videokameras
- LfD Niedersachsen: Prüfungen an Schulen
- CNIL: Aktionsplan zu Künstlicher Intelligenz
- Österreich: Maßnahmen gegen Clearview AI
- Rumänien: Bußgeld für Datenschutzverletzung aufgrund unzureichender Tests
- Kroatien: Sanktion für fehlende Formalien und Schutzmaßnahmen
- CNIL: Sanktion gegen Webseitenbetreiber mit Gesundheitsdaten
- BSI: Anforderungen nach § 8a Absatz 5 BSIG
- Bundeskartellamt: Abschlussbericht zu Messenger- und Video-Diensten
- Rechtsprechung
- EuGH zu faktischer Anonymität
- EuGH zu Bagatellgrenzen bei immateriellem Schadenersatz
- EuGH zu Fragen der Kopie bei Auskunftsansprüchen
- EuGH zu Fragen der gemeinsamen Verantwortlichkeit zu Berechnung von Sanktionen
- EuGH: Keine unrechtmäßige Verarbeitung bei unzureichender Dokumentation
- BVerwG: Mitbestimmungspflichtigkeit bei Nutzung sozialer Medien
- OLG Brandenburg zur Motivation bei Auskunftsbegehren
- FG Nürnberg: Verhältnis DS-GVO und Vorlageverlangen der Finanzverwaltung
- AG Frankfurt: Kein Anspruch auf Kopie aus Art. 15 Abs. 3 DS-GVO, wenn …
- LG München: Rechtsmissbräuchlichkeit bei Abmahnungen (Google-Fonts)
- Vorschau: EuGH zu Art. 9 und Art. 82 DS-GVO (C-667/21)
- LG Köln: Untersagung von Google Analytics auf Webseite
- EGMR: Konsequenzen aus EuGH (Zeugen Jehova) verstoße nicht gegen Religionsfreiheit
- Urheberrecht und CoPilot
- EuGH zu Konsequenzen aus unterbliebener Widerrufsbelehrung
- OVG Saarlouis: Wahrung berechtigter Interessen setzt rechtskonformes Verhalten voraus
- LG München: Grundlagen für Positivmeldung an Auskunftei
- BGH: Verwendung von Tagebuchaufzeichnungen
- Spanien: Standortdaten als personenbezogene Daten?
- Gesetzgebung
- Transatlantischer Datentransfer in die USA – wie du mir …
- ePrivacy-VO – wird das noch was?
- EU-Kommission: Roundtable zu Regelungen zum Tracking
- NIS 2 – Referentenentwurf
- EU: EP zu Angemessenheitsbeschluss
- Hinweisgeberschutzgesetz
- EU: Vorschriften für künstliche Intelligenz
- BMWK: Dateninstitut zur Datennutzung
- Luxemburg Cyber Defence Cloud
- Data Act: Aktueller Stand
- Künstliche Intelligenz und Ethik
- KI und Regeln
- Fragen zur KI an Entwickler oder Verwender generativer KI (wie ChatGPT)
- KI und Regelungen in den USA
- Anforderungen an KI in New York
- Hilft beim Gedankenlesen?
- KI und Urheberrecht
- ChatGPT – oder so
- Freigabe des CIO Schleswig-Holstein für ChatGPT
- ChatGPT und Programmierung
- BMDV startet NITD
- Redaktionsleitlinien zum Einsatz von KI
- Gesundheitsdaten und AI
- Diskussion zu AI in den USA
- Google und verantwortungsvolle KI
- PwC: Managing the risks of generative AI
- Ethik der künstlichen Intelligenz
- bidt: ChatGPT und moralisches Urteilsvermögen
- Veröffentlichungen
- Textbuch Anonymisierung und Pseudonymisierung von Daten
- DS-GVO-Evaluierung
- Teletrust: Anforderungen an „Stand der Technik“
- Online Privacy Fatigue
- Nachhilfe zu Compliance im Datenschutz
- Gesundheitsdaten in den USA
- Betrachtung der Bedrohungslage – nicht nur in der Schweiz
- IAB wechselt zu Einwilligung als Werbegrundlage
- Veranstaltungen
- Stiftung Datenschutz: Spannungsfall(e) Datenschutzbeauftragte?
- Deutscher Bundestag: Anhörung zum Thema „Generative Künstliche Intelligenz“ -neu-
- Deutscher Bundestag: Bericht der Bundesregierung zum Angemessenheitsbeschluss für einen sicheren Datenverkehr mit den USA -neu-
- Linz Institute of Technology: ChatGPT & Co: Große Sprachmodelle – große Rechtsprobleme? -neu-
- TH-Nürnberg: „OpenGPT-X – Was kann das große Sprachmodell made in Germany?“ -neu-
- Wirtschaftskammer Österreich: Fünf Jahre DS-GVO – Datenschutz-Vorbild oder Digitalisierungsbremse?
- Stiftung Datenschutz – „Im Normendschungel der EU“
- Hinweisgeberschutzgesetz und Datenschutz -neu-
- itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht -neu-
- Vorankündigung – GI: Designing Feminist Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Neuwahlen im Vorsitz
Es steht die Neuwahl der Position des / der Vorsitzenden und einer / eines stellvertretenden Vorsitzenden des EDSA an. Die Wahl findet in geheimer Wahl am 25. Mai 2023 statt. Der / die Vorsitzende übernimmt die offizielle Vertretung dieses Gremiums. Die Amtszeit der aktuellen Vorsitzenden und eines ihrer zwei stellvertretenden Vorsitzenden enden am 25. Mai 2023. Die Kandidaten für beide Positionen hatten einen Monat vor der Wahl Gelegenheit sich den anderen Mitgliedern des EDSA vorzustellen. Die Personen, die sich für eine Kandidatur bereit erklärt haben, sind auf den Seiten des EDSA hinterlegt.
1.2 EDPS: Präsentation Tätigkeitsbericht für 2022
Der Europäische Datenschutzbeauftragte hat seinen Tätigkeitsbericht für das Jahr 2022 dem Ausschuss für bürgerliche Freiheiten, Justiz und Innere Angelegenheiten (LIBE) des Europäischen Parlaments vorgestellt. Er hebt dabei u.a. hervor, dass sich die Untersuchungsarbeit des EDSB im Jahr 2022 auf die Verträge der EU-Institutionen mit privaten Einrichtungen, insbesondere große IKT-Anbieter wie Cloud-Anbieter, konzentrierte. Gegenwärtig liefen zwei Untersuchungen in diesem Bereich, die die Nutzung von Microsoft Office 365 durch die Europäische Kommission und die Nutzung von Cloud-Diensten umfassen, die von Amazon Web Services (AWS) und von Microsoft angeboten werden. Erst kürzlich sei eine vorläufige Analyse der ersten Untersuchung vorgelegt worden, die im Rahmen der Aktivitäten der Kommission durchgeführt wurde, und er strebe an beide Untersuchungen im 2023 Jahr abzuschließen. Er schließt auch nicht aus, dass dieses Ergebnis die Anwendung seiner Korrekturbefugnisse zur Folge habe.
Auch führt er bei den Ausführungen zu seiner Beratungstätigkeit in Gesetzgebungsprozessen aus, dass darauf zu achten sei, dass die Gesetzgebung nicht unbeabsichtigt die Sicherheit privater Kommunikationskanäle untergrabe, indem sie Verpflichtungen auferlegt, die zu einer Schwächung oder Entmutigung des Einsatzes von Verschlüsselungstechnologien führt. Hierbei weist er auch auf mögliche psychologische Langzeiteffekte solcher Maßnahmen hin.
1.3 LDA Brandenburg: Fehlversand an vertrauensvolle Person
In ihrem Tätigkeitsbericht von 2022 schildert die LDA Brandenburg unter Ziffer IV.2. (Seite 63 ff) den Fehlversand von Gesundheitsdaten an eine im Datenschutz tätige (Fehl-)Empfängerin. Im Rahmen der Bewertung, ob dadurch ein hohes Risiko für die Rechte und Freiheit der betroffenen Personen und damit eine Benachrichtigungspflicht nach Art. 34 DS-GVO ausgelöst würde, berücksichtigt die LDA Brandenburg, dass die unbefugte Offenbarung der personenbezogenen Daten gegenüber einer beruflich im Datenschutzbereich tätigen Person stattfand und geht damit davon aus, dass ein voraussichtlich hohes Risiko hier verneint werden konnte.
1.4 LfD Niedersachsen: Nachfolgeentscheidung eingeleitet
Wie der Landtagsdokumentation unter Ziffer 15 zu entnehmen ist, gibt es einen angenommenen Vorschlag für die Wahl zum Landesbeauftragten für den Datenschutz Niedersachsen.
1.5 BayLDA (oder auch irgendwie nicht): Fragebogen zu Stellung und Aufgaben der DSB
Leider veröffentlicht das BayLDA den Fragenbogen auf seiner Webseite nicht, der scheinbar im Rahmen der europaweiten Aktion des EDSA eingesetzt wird. Aber wozu ist man gut vernetzt? Sie finden ihn hier – zwar mit dem zusätzlichen Logo einer Beratungsfirma, aber es gibt ja Spezialisten im Datenschutz und welche im Urheberrecht und selten in Beidem.
1.6 ULD Schleswig-Holstein: Vortrag zu Risiko und Rechenschaftspflicht
Chapeau, dass ein Vortrag den, die LfD Schleswig-Holstein am 04.05.2023 hielt, noch am gleichen Tag online öffentlich bereitgestellt wurde und bereits ein Urteil des EuGH vom gleichen Tag berücksichtigte! Sie finden die Folien hier.
1.7 Italien: Rückkehr von ChatGPT
Wie die italienische Datenschutzaufsicht Garante auf ihrer Webseite informiert, wird ChatGPT von OpenAI wieder seinen Betrieb aufnehmen dürfen. OpenAI habe Maßnahmen ergriffen, um den Anforderungen der Datenschutzaufsicht nachzukommen. Die Informationen für europäische Nutzer und Nichtnutzer seien erweitert und Mechanismen seien geändert worden, zudem könnten Nutzer und Nichtnutzer nun ihre Rechte ausüben. In ihrer Erklärung vom 28. April 2023 führt die Garante einzelne Details dazu aus. Sie begrüßt dabei die von OpenAI ergriffenen Maßnahmen, erklärt aber auch, dass sie ihre Untersuchungen im Rahmen der Taskforce des EDSA fortsetzen wird. Die Anfragen der deutschen Aufsichtsbehörden sind damit übrigens – zumindest offiziell – noch nicht beantwortet.
1.8 Irland: „Datenschutz am Arbeitsplatz“
Natürlich berücksichtigt der Leitfaden der irischen Aufsicht DPC zu „Datenschutz am Arbeitsplatz“ irisches Arbeitsrecht. Er behandelt aber auch davon losgelöst allgemeine Themen, die auch ohne nationale Sonderregelungen über die DS-GVO behandelt werden, wie z.B. wann E-Mails oder Eintragungen im Outlook-Kalender im beruflichen Umfeld als personenbezogenes Datum von einem Auskunftsanspruch umfasst sind. Es finden sich u.a. auch Ausführungen, dass über Art. 24 Abs. 1 DS-GVO durch den Arbeitgeber die Einhaltung der datenschutzrechtlichen Vorschriften verlangt wird und dazu Maßnahmen wie Pseudonymisierung, Anonymisierung, Beschränkung des Zugangs zu personenbezogenen Daten auf autorisierte Personen, Verschlüsselung, Backups und Tests und Protokolle über den Dateizugriff zählen.
1.9 Spanien: Guideline zum Umgang mit Datenschutzverletzungen
Wie geht man in öffentlichen Einrichtungen mit Datenschutzverletzungen um? Damit befasst sich die Guideline der spanischen Aufsicht AEPD vom März 2023. Empfehlungen, die nicht nur durch öffentliche Stellen genutzt werden können.
1.10 Finnland: Freiwilligkeit der Werbeeinwilligung bei Gewinnspielteilnahme
Erfüllt eine Teilnahmemöglichkeit an einem Gewinnspiel, das zwingend mit der Einwilligung an eine Werbeeinwilligung für Direktmarketing verbunden ist, die Anforderungen an die Freiwilligkeit nach Art. 4 Nr. 11 DS-GVO und Art. 7 Abs. 3 DS-GVO?
Im Rahmen eines Unternehmensjubiläums gab es ein Gewinnspiel für die Kunden, bei dem die Kund:innen für die Teilnahme ihre Zustimmung zu Direktmarketing geben mussten. Die Zustimmung erfolgte durch Ankreuzen eines Kästchens mit der Aufschrift „Ja, ich möchte an der Verlosung teilnehmen und Direktmarketing abonnieren oder ich bin bereits Abonnent“. Nach Erhalt der ersten Marketing-E-Mail oder des ersten Newsletters konnte sich die betroffene Person abmelden, indem sie den Anweisungen in der E-Mail folgte.
Die finnische Aufsicht führt zunächst aus, dass eine Einwilligung nicht freiwillig ist, wenn die betroffene Person nicht die Möglichkeit habe, die Einwilligung zu verweigern, ohne dass dies negative Folgen hat. Sie prüfte auch Art. 7 Abs. 4 DS-GVO, nachdem bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wird, dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Dabei weist die finnische Aufsicht darauf hin, dass der Wortlaut von Art. 7 Abs. 4 DS-GVO nicht absolut sei und dass es einige seltene Fälle geben könne, in denen diese Bedingung die Einwilligung nicht ungültig machen würde. Bei der Beurteilung, ob die Einwilligung gültig ist, hat die Datenschutzbehörde auf den Zweck der Verarbeitung personenbezogener Daten geachtet, der in diesem Fall die freiwillige Teilnahme an der Lotterie betraf. Dabei stellt sie fest, dass es sich in diesem Fall nicht um eine für die betroffene Person notwendige Dienstleistung handele. Nach Ansicht der Datenschutzbehörde hat die Nichtteilnahme an der Lotterie keine negativen Folgen oder Schäden für die betroffene Person zur Folge. Vor diesem Hintergrund entschied die Datenschutzbehörde, dass die von dem Unternehmen angeforderte Einwilligung für Direktmarketing in Verbindung mit der Teilnahme an dem Gewinnspiel freiwillig erteilt wurde und auch eine Widerrufsmöglichkeit gegeben ist, welche die Anforderungen des Art. 7 Abs. 3 DS-GVO erfüllt.
Franks Nachtrag: Wenn Sie finnisch können, ist hier das Original für Sie.
1.11 Norwegen: Verbot der Verarbeitung personenbezogener Daten für Statistik-Behörde
Die norwegische Datenschutzbehörde hat eine Entscheidung erlassen, mit der sie die von Statistics Norway (SSB) geplante Erhebung von Daten über die Lebensmitteleinkäufe der norwegischen Bevölkerung (Bong-Daten) untersagt. Gemäß den Angaben auf ihrer Webseite ist sie dabei der Auffassung, dass es keine ausreichende Rechtsgrundlage für eine solche Verarbeitung personenbezogener Daten gebe. Mit Hilfe von Bong-Daten und Daten über Banktransaktionen hätte das norwegische Statistikamt Informationen darüber erhalten, was ein erheblicher Teil der Bevölkerung an Lebensmitteln kauft. Dies wiederum könnte mit sozioökonomischen Daten wie Haushaltstyp, Einkommen und Bildungsniveau verknüpft werden.
Im Mittelpunkt der Bewertung der Auswirkungen dieser Datenerhebung auf den Schutz der Privatsphäre steht die Frage, was die Behörden über den einzelnen Bürger wissen müssen und welche Anforderungen an eine Rechtsgrundlage für solche umfangreichen Eingriffe gestellt würden. Die norwegische Datenschutzbehörde ist der Ansicht, dass es eine Grenze dafür gibt, welche Daten öffentliche Behörden über Einzelpersonen verarbeiten dürfen, selbst wenn der Zweck gut ist.
Dabei erkennt die Aufsicht den gesellschaftlichen Nutzen von Verbrauchs- und Ernährungsstatistiken an und habe volles Vertrauen, dass das norwegische Statistikamt die Daten intern angemessen verarbeiten würde. Aber selbst wenn der Zweck der Erhebung in anonymen Statistiken besteht, wäre der Eingriff in die Privatsphäre des Einzelnen bereits bei der Erhebung der personenbezogenen Daten erfolgt.
Das norwegische Statistikamt beruft sich bei der Erhebung von Bong-Daten auf Entscheidungen, die es in Bezug auf die Auskunftspflicht gemäß des Statistikgesetzes getroffen hat. Dennoch sieht die Aufsicht darin keine ausreichend klare und vorhersehbare Rechtsgrundlage für eine derart invasive Erhebung personenbezogener Daten. In diesem Fall gehe es beim Recht auf Privatsphäre in erster Linie um das Vertrauen in den norwegischen öffentlichen Sektor und weniger um die Angst vor dem Missbrauch persönlicher Daten. Eine schwerwiegende, langfristige Folge eines unverhältnismäßigen Eingriffs in das Privatleben könne ein geschwächtes Vertrauen in die Behörden und eine geringere Bereitschaft zur Weitergabe von Daten an den öffentlichen Sektor sein – der so genannte Abschreckungseffekt. Die Erhebung von Bong-Daten wäre eine völlig neue Form der Datenerhebung durch private Akteure, die von öffentlichen Stellen durchgeführt wird. Die Bürger hätten nach Ansicht der Aufsicht keine wirkliche Möglichkeit, einer solchen Sammlung zu widersprechen, es sei denn, sie verwenden Bargeld als Zahlungsmittel. Die norwegische Datenschutzbehörde hatte mehrere Beschwerden und Anfragen von Privatpersonen und Unternehmen zu diesem Thema erhalten. Die SSB kann innerhalb von drei Wochen nach Erhalt des Entscheidungsschreibens Widerspruch gegen die Entscheidung einlegen.
Der Fall birgt einige aktuelle Fragestellung: Welche Rechtsgrundlage ist ausreichend, damit eine öffentliche Stelle Zugriff auf Informationen bei nicht-öffentlichen Stellen bekommt, die sie dann auch einzelnen Bürgern zuordnen kann.
1.12 DSK: Souveräne Clouds
Bei ihrer 105. Konferenz befasste sich die Datenschutzkonferenz (DSK) mit unterschiedlichen Themen. So verabschiedete sie eine
- Entschließung „Notwendigkeit spezifischer Regelungen zum Beschäftigtendatenschutz! – Rechtsprechung des Europäischen Gerichtshofs hat Auswirkungen auf zahlreiche deutsche Vorschriften im Beschäftigungskontext“,
- eine weitere Entschließung zu den „Verfassungsrechtlichen Anforderungen bei automatisierter Datenanalyse durch Polizei und Nachrichtendienste“,
- eine Stellungnahme „Daten der Verbraucherinnen und Verbraucher beim Einsatz von Smart Meter zur Erfassung des Kaltwasserverbrauchs durch einheitliche Regelungen schützen“
- und ein Positionspapier „Kriterien für Souveräne Clouds“.
Letzteres enthält MUSS- und SOLL-Hinweise, die sich sowohl an Anbieter wie auch Nutzer von Cloud-Angeboten richten. Die erarbeiteten Kriterien zielen laut DSK auf die digitale Souveränität der Cloud-Anbietenden und Cloud-Anwendenden ab, um die Einhaltung der Rechte und Freiheiten der betroffenen Personen zu unterstützen. Souveräne Clouds müssen es den Verantwortlichen ermöglichen die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen die Punkte „Nachvollziehbarkeit durch Transparenz“, „Datenhoheit und Kontrollierbarkeit“, „Offenheit“, „Vorhersehbarkeit und Verlässlichkeit“ sowie „Regelmäßige Prüfung der aufgestellten Kriterien“.
1.13 DSK: Young Data
Die DSK hat ihr Angebot im Jugendportal mit einem überarbeiteten neuem Webauftritt in komplett neuer Gestaltung unter der bekannten Adresse veröffentlicht: www.youngdata.de. Die Website wurde grundlegend überarbeitet und an das heutige Nutzungsverhalten Jugendlicher angepasst. Insbesondere wurde sie für den schnellen mobilen Zugriff über das Smartphone optimiert. Besonders Jugendliche, aber auch allen anderen Interessierten soll die Möglichkeit gegeben werden, sich über Datenschutzthemen zu informieren“. Dies umfasst neben klassischen Themen wie Sicherheit, Tracking oder Recht am eigenen Bild auch Informationen zu Trends in sozialen Netzwerken, Cybermobbing oder Hate Speech. Zu neuen Entwicklungen wie Künstlicher Intelligenz (KI) und Tools wie ChatGPT vermittelt das Jugendportal, welche Chancen und Risiken damit einhergehen und welche Rolle ihre persönlichen Daten dabei spielen. Wer das Netz aktiv und kreativ nutzen möchte, erfahre hier vieles zu den Vor- und Nachteilen der Dienste und Anwendungen. Auch bestehe für die Jugendlichen die Möglichkeit sich auf der Website über Angebote zum Thema Datenschutz in ihrer Nähe zu informieren.
1.14 Sachsen-Anhalt: Qualifikationsanforderungen für Aufsichtsleitung
Als Beobachter von außen gab es wenig Anlass zu denken, dass es an der Qualifikation bisheriger Kandidaten lag, dass es immer noch keine Nachfolgelösung für den 2020 ausgeschiedenen Landesdatenschutzbeauftragten gab, der eigentlich bereits seit März 2017 im Ruhestand sein sollte, aber dann noch bis Ende 2020 im Amt blieb. Welche Anforderungen das Gesetz vorsieht, darauf weist nun der aktuelle Vertreter hin. Bei Sachsen-Anhalt gilt nach wie vor #moderndenken.
1.15 Berliner BfDI: Umgang mit Datenpannen
Sind betroffene Personen von einer Datenpanne betroffen, sollten diese gemäß Art. 34 DS-GVO informiert werden, wenn dadurch ein hohes Risiko für deren Rechte und Freiheiten entsteht. Das war vielleicht die Motivation, dass seitens der BBfDI über eine technische Unzulänglichkeit informiert wurde, aufgrund der alle Eingaben, die vom 3. bis 8. Mai 2023 über das Online-Beschwerdeformular eingereicht wurden, gelöscht wurden. Die Eingaben konnten nicht daher bearbeitet werden.
1.16 LfD NRW: Bußgeld für Beschäftigte öffentlicher Stellen
Der Gesetzgeber hat sich im Bund und Land entscheiden, dass öffentliche Stellen von Bußgeld-Sanktionen ausgenommen sind (vgl. Art. 83 Abs. 7 DS-GVO iVm § 43 Abs. 3 BDSG). Dies gilt aber laut LDI NRW nicht, wenn durch Beschäftigte öffentlicher Stellen ein vorsätzlicher Datenmissbrauch vorliegt. Fahrlässiges Handeln sei – mangels entsprechender Regelung in NRW – dagegen nicht mit einer Geldbuße bedroht. Es fehlt auch nicht der Hinweis, dass ebenfalls Beschäftigte privater Unternehmen mit einer Geldbuße belegt werden können, wenn sie Exzesse begehen.
1.17 Berlin: Prüfverfahren wegen unzureichender Information
Nach diesem Bericht gibt es ein Untersuchungsverfahren, ob die Angaben in den Datenschutzhinweisen einer Partei ordnungsgemäß erfolgten. Dabei wird zum Beispiel geklärt, welche Empfänger der Daten vorgesehen waren.
Bitte beachten: Unzureichende Informationen können als unzureichende Umsetzung der Transparenzvorgaben bei den Betroffenenrechten sanktioniert werden. Unzureichende Informationen im Rahmen einer Einwilligung können Auswirkungen auf die Rechtmäßigkeitsgrundlage einer Verarbeitung auf Basis einer Einwilligung haben.
1.18 BaFin: Algorithmuseinsatz bei Kreditvergabe
Eine Untersuchung der BaFin zeigt, wo und wie die Institute algorithmenbasierte Entscheidungsverfahren einsetzen – und welche Risiken darin schlummern. Damit informiert die BaFin, dass sich verschiedene Geschäftsbereiche seit einigen Jahren interdisziplinär mit Künstlicher Intelligenz, Big Data und Maschinellem Lernen befassen. Im vergangenen Jahr haben sich BaFin-Expertinnen und –Experten aus dem Verbraucherschutz und dem Bereich der finanztechnologischen Innovationen einen Überblick darüber verschafft, wie Banken in Deutschland Algorithmen im Kundengeschäft einsetzen. Besonders aufschlussreich sei die Analyse des Einsatzes von Algorithmen im Kreditkundengeschäft gewesen. Ergänzend zur Auswertung ihrer eigenen Daten zu weniger bedeutenden Instituten (less significant institutes, LSI) in Deutschland tauschte sich die BaFin dazu mit Bankenverbänden, IT-Dienstleistern und Auskunfteien aus. Diese gewährten ihnen tiefe Einblicke in ihre Verfahren und erläuterten ihre Positionen zu den damit verbundenen technologischen und gesellschaftlichen Unwägbarkeiten. So entstand ein praxisnaher, empirisch gesättigter und problemorientierter Überblick, der als Grundlage für weitere Positionierung der Aufsicht dienen kann. Ausführungen dazu hat die BaFin hier veröffentlicht.
1.19 Spanien: Sanktionen gegen in Höhe von 75.000 Euro gegen Vermittler von Unterkünften
Eine Agentur zur Vermittlung von Unterkünften darf insg. 75.000 Euro Bußgeld an die spanische Aufsicht AEPD zahlen. Die Agentur verlangte beim Online-Check von jedem Gast die E-Mail-Adressen, Telefonnummern und Adressen sowie Fotos von jedem Gast und beide Seiten des Personalausweises anzugeben. Dies führte zu einer Beschwerde und bei der Bearbeitung stellte die Aufsicht AEPD nicht nur einen Verstoß gegen die Pflicht zur Datenminimierung fest, der mit 25.000 Euro geahndet wurde, sondern auch, dass die Informationspflichten nicht ordnungsgemäß erfüllt wurden. Allein dafür bekam das Unternehmen 50.000 Euro Bußgeld. Entgegen landläufiger Ansicht können Verstöße gegen Informationspflichten eben doch auch zu einer Ahndung führen.
1.20 Spanien: Tätigkeitsbericht für 2022
Die spanische Aufsicht AEPD hat ihren Tätigkeitsbericht für 2022 veröffentlicht. Auch für Interessierte außerhalb der iberischen Halbinsel interessant, stammen nach diesem Bericht doch 40% aller Sanktionen europäischer Datenschutzaufsichtsbehörden von dort.
1.21 BSI: Große KI-Sprachmodelle
Das BSI erkennt in KI-Sprachmodellen eine Vielzahl von Anwendungsfällen, die potenziell eine Chance für die Digitalisierung darstellen. Andererseits berge die Verwendung von großen KI-Sprachmodellen neuartige IT-Sicherheitsrisiken und verstärke das Bedrohungspotenzial einiger bekannter IT-Sicherheitsbedrohungen. Dazu zähle insbesondere das Missbrauchspotenzial, das von solchen Modellen durch Generierung von Spam-/ Phishing-Mails oder Schadsoftware ausgeht. Das BSI unterstützt bei der Minimierung dieser Bedrohungspotenziale durch eine Risikoanalyse.
1.22 BSI: Entlastung des früheren Behördenleiters
Wir berichteten über die Berichterstattung zu dem damaligen Leiter des BSI und den Konsequenzen, die gezogen wurden. Nun stellte sich heraus, dass es keinen Vorwurf gab, der ein Disziplinarverfahren rechtfertigen würde. Auch das muss berichtet werden. Und könnte nun auch bei Fake News als Beispiel dienen, wie Informationen erst verifiziert werden sollten, bevor sie verbreitet werden.
1.23 EDSA / Irland: Rekordbußgeld für Facebook? (Ja!)
Wie Berichten zu entnehmen ist, droht Facebook für die jahrelangen Transfers von Daten in die USA ein Rekordbußgeld, das in der Woche ab dem 22. Mai 2023 veröffentlicht werden soll. Das wäre das Ergebnis einer Einflussnahme des EDSA in die Entscheidung der irischen Datenschutzaufsicht, die – wie vieles in dieser Thematik sicherlich auch – durch den EuGH überprüft werden wird.
Spannend ist auf den Zuschauerrängen daher auch, ob die Begründung des Bußgelds auch Einfluss auf die eine oder andere Praxis der Umsetzung der „Schrems II“-Entscheidung haben kann.
Evtl. sollten auch Ansichten, „der EuGH sei auch nur eine Rechtsmeinung“, wie sie u.a. der frühere Bundesverkehrsminister vertrat, als er 500 Mio. Euro in den Sand setzte, überdacht werden. Die Feststellungen in solchen Sanktionsentscheiden der Behörden könnten auch die Basis bilden für immaterielle Schadenersatzansprüche durch betroffene Personen.
Franks Nachtrag: Und da der Blogbeitrag spät genug ist, wird sich hier bereits gefreut.
Franks zweiter Nachtrag: Natürlich hat sich auch der EDSA geäußert! Und hier ist die Binding Decision, der die irische DPC jetzt folgte…
1.24 EDSA: Guideline 05/2022 zur Gesichtserkennung bei der Rechtsdurchsetzung
Der EDSA veröffentlichte seine “Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement” in der Version 2.0. Der EDSA führte vorher eine Konsultation zur Version 1 durch. Auch wenn es dabei um die Nutzung von Gesichtserkennungstechnologie durch Strafverfolgungsbehörden geht, erkennt der EDSA, dass gerade auch in Verbindung mit Möglichkeiten der Künstlichen Intelligenz oder des maschinellen Lernens nicht nur eine Datenverarbeitung in großem Umfang ermöglicht wird, sondern auch das Risiko von Diskriminierung und falschen Ergebnissen.
1.25 EDSA: Vorschau zur nächsten Sitzung
Nach der Agenda für die 80. Sitzung am 24./25.05.2023 wird der EDSA nicht nur die Stelle des/der Vorsitzenden und eines/einer Stellvertretung neu besetzen, sondern sich auch zu folgenden Guidelines austauschen: Der „Guidelines 4/2022 on the calculation of administrative fines (after public consultation)“, der „Guidelines 3/2021 on the application of Article 65(1)(a) (after public consultation)“ und der „Guidelines on the Use of Technologies for Detecting, Removing and Reporting Online Child Sexual Abuse“.
1.26 ULD Schleswig-Holstein im Interview: eHealth und Datenschutz
Die derzeitige Vorsitzende der DSK und Landesdatenschutzbeauftragte Schleswig-Holstein zeigt sich in diesem Interview erschrocken, wie wenig IT-Sicherheit bei öffentlichen Debatten über Gesundheitsdaten mitgedacht werden würde. Als Beispiel nennt sie Beschlagnahmeverbote von Gesundheitsdaten und Zertifizierungspflichten für digitale Gesundheitssysteme. Das ergänzt die Pressemitteilung der DSK zum europäische Gesundheitsdatenraum.
1.27 Berlin: Start-up-Schule
Die Berliner Datenschutzaufsicht bietet in Berlin ansässigen Vereinen und Start-Ups Unterstützung bei der Bearbeitung datenschutzrechtlicher Fragestellungen an. Termine und Themen finden sich auf deren Homepage.
1.28 LfDI Baden-Württemberg: Landtag entscheidet über neuen LfDI
Der Landtag Baden-Württemberg schlägt die Wahl eines neuen Landesbeauftragten für den Datenschutz und Informationsfreiheit für den 24.05.2023 vor.
1.29 Sachsen: Tätigkeitsbericht für 2022
Die sächsische Datenschutz- und Transparenzbeauftragte veröffentlichte ihren Tätigkeitsbericht für 2022. Hervorzuheben ist die klare Gliederung, die Verlinkung aus dem Inhaltsverzeichnis heraus und im Text auf Gesetze. Natürlich enthält der Bericht Angaben zu Statistiken und Entwicklungen sowie viele Einzelfälle. Nachfolgend einige subjektiv ausgewählte Ausführungen:
1.30 Sachsen: Tätigkeitsbericht für 2022 – Untersagung des Facebook-Auftritts der Sächsischen Staatskanzlei
Gleich unter 1.1 widmet sich der Bericht der Thematik der Nutzung von Facebook-Fanpages durch öffentliche Stellen. Sie hat gegenüber der Staatskanzlei Fristverlängerung zur Beantwortung der Fragen zur Zulässigkeit gewährt und will im nächsten Tätigkeitsbericht über den Fortgang berichten.
1.31 Sachsen: Tätigkeitsbericht für 2022 – Datenschutzrechtliche Einordnung gerichtlich bestellter Sachverständiger
Unter Ziffer 2.1.1 begründet die sächsische Aufsicht die Einordnung gerichtlich bestellter Sachverständiger als eigenständige Verantwortliche. Durch den Gutachtenauftrag des Gerichts werde der oder dem Sachverständigen eine relativ eng begrenzte und vorgegebene Aufgabe (Auftrag) übertragen. Die bzw. der Sachverständige bestimme aber selbst, welche Mittel sie bzw. er zur Beantwortung der Fragen einsetzt und ob und gegebenenfalls welche Daten dazu noch (über die vom Gericht erhaltenen hinaus) verarbeitet werden müssen. Als Sachverständiger habe sie bzw. er das Gutachten selbst und eigenverantwortlich und – abgesehen vom Auftrag – weisungsfrei zu erstatten. Zudem wurde mit § 839a BGB eine eigene Schadenersatzvorschrift für gerichtlich benannte Sachverständige geschaffen. Deren Handeln fällt damit nicht als „Gerichtshandlung“ unter § 839 BGB. Demnach erfolgt die personenbezogene Datenverarbeitung auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 lit. f DS-GVO. Soweit die oder der Sachverständige nach Abschluss ihrer bzw. seiner Tätigkeit für das Gericht über keine Daten bzw. Unterlagen zu den Betroffenen mehr verfügt, verarbeite sie bzw. er in dieser Hinsicht auch keine personenbezogenen Daten und sei dann kein Verantwortlicher mehr.
1.32 Sachsen: Tätigkeitsbericht für 2022 – Datenerhebung in sozialen Netzwerken durch Steuerbehörden
Steuerbehörden dürfen nach Ansicht der sächsischen Datenschutzaufsicht Daten aus sozialen Netzwerken (hier Facebook) erheben, um Angaben zur Zweitwohnsteuerpflicht zu ermitteln (siehe 2.2.18). Ob betroffene Personen, die Facebook bewusst nutzen, sich überhaupt noch auf Datenschutzrechte berufen dürfen, wurde offensichtlich nicht erörtert.
1.33 Sachsen: Tätigkeitsbericht für 2022 – Neuausrichtung von Aufbewahrungsfristen für Gewerbeanzeigen
Wie lange darf eine Behörde Daten aus Abmeldungen von Gewerben noch aufbewahren? Die Darstellung unter Ziffer 2.2.4 zeigt schön auf, wie argumentativ die jeweiligen Zwecke geprüft und verargumentiert werden können – und wie hier auch Begründungen aufgrund technischer Veränderungen Anpassungen ermöglichen.
1.34 Sachsen: Tätigkeitsbericht für 2022 – Dienstliche Kommunikation eines Gerichtsvollziehers über WhatsApp
Auch in Sachsen hat es noch nicht alle erreicht: Die dienstliche Nutzung von WhatsApp ist aus Gründen des Datenschutzes unzulässig. Details sind im Tätigkeitsbericht unter Ziffer 2.2.15 nachzulesen.
1.35 Sachsen: Tätigkeitsbericht für 2022 – Einwilligungserklärung bei Bestehen einer gesetzlichen Grundlage für die Datenerhebung
Nach Ansicht der sächsischen Aufsicht (unter Ziffer 2.3.1) verstoße es gegen Treu und Glauben (Art. 5 Abs. 1 lit. a DS-GVO), wenn, obwohl eine gesetzliche Grundlage zur Verarbeitung besteht, daneben um eine Einwilligung dazu gebeten wird. Entweder wird eine Datenerhebung oder Datenübermittlung auf eine gesetzliche Grundlage gestützt, oder sie erfolgt auf der Grundlage einer Einwilligungserklärung. Eine „Kombination“ beider Rechtsgrundlagen sei nicht zulässig.
1.36 Sachsen: Tätigkeitsbericht für 2022 – Auftragsverarbeitung und Verpflichtungsgesetz
Unter Ziffer 4.2.2 befasst sie sich mit Fragestellung der Auslagerung hoheitlicher Aufgaben an private Unternehmen. Hoheitliche Tätigkeiten können danach ohne gesetzliche Regelung (Beleihung) nicht von privaten Stellen ausgeübt werden. Öffentliche Aufgaben nichthoheitlicher Art können grundsätzlich ganz oder teilweise auch von privaten oder anderen Stellen durchgeführt werden.
Bei der übertragenen Tätigkeit handelte es sich im konkreten Fall um eine nichthoheitliche Aufgabe. Die Auftragsverarbeitung wurde für noch zulässig erachtet und daher nicht beanstandet. Sie weist jedoch darauf hin, dass beim Abschluss eines Auftragsverarbeitungsvertrags durch eine Behörde, beispielsweise durch ein Landratsamt, darauf zu achten sei, ob für die Wahrnehmung der Aufgabe seitens des Auftragsverarbeiters eine Verpflichtung gemäß dem Verpflichtungsgesetz vorzunehmen ist und verweist zur Umsetzung auf eine Veröffentlichung des LfD Bayern.
Die öffentliche Stelle sollte die förmliche Verpflichtung immer dann erwägen, wenn sie externen Personen einen tatsächlichen Zugang zu personenbezogenen Daten eröffne, der nicht einer Vorabkontrolle im Einzelfall (durch eine entsprechende zugangsgewährende Entscheidung) unterliegt. Dies gelte insbesondere dann, wenn es sich um Daten im Sinne von Art. 9 Abs. 1 DS-GVO handelt. Soll ein nichtöffentlicher Auftragsverarbeiter für eine verpflichtungsberechtigte öffentliche Stelle besondere Kategorien personenbezogener Daten verarbeiten, sollte diese Stelle vertraglich den Einsatz von förmlich verpflichtetem Personal fordern. Dies gelte auch dann, wenn Unter-Auftragsverarbeiter Zugang zu personenbezogenen Daten erhalten sollen oder können. Die Verpflichtung sei von der verpflichtungsberechtigten öffentlichen Stelle durchzuführen.
1.37 Sachsen: Tätigkeitsbericht für 2022 – Exzessiver Auskunftsanspruch
Die sächsische Aufsicht thematisiert in den Ausführungen unter Ziffer 3.2.4 zu einem exzessiven Auskunftsbegehren, das dann aufgrund der Ausnahmeregelunge aus Art. 12 Abs. 5 DS-GVO nicht bearbeitet werden müsste, auch den Fall der Motivation zur Auskunft.
Hier sei ergänzt, dass diese Frage dem EuGH unter C-307/22 vorliegt und der Generalanwalt in seinem Schlussantrag davon ausgeht, dass der Anspruch aus Art. 15 DS-GVO auch dann besteht, wenn die betroffene Person die Kopie nicht für die im 63. Erwägungsgrund der DS-GVO genannten Zwecke, sondern für einen anderen, datenschutzfremden Zweck beantragt (siehe dazu auch hier).
1.38 Sachsen: Tätigkeitsbericht für 2022 – Was ist bei der Gestaltung von Websites und Apps zu beachten?
Der aktuelle Meinungsstand aus Sicht der Aufsicht wird unter Ziffer 4.1.1 dargestellt.
1.39 Sachsen: Tätigkeitsbericht für 2022 – Anbieter dürfen Passwörter nicht im Klartext speichern
Als Verstoß gegen Art. 32 DS-GVO sieht sie unter Ziffer 4.3.1 die Speicherung von Passwörtern im Klartext an. Dies betrifft auch verschlüsselte Passwörter, wenn der Schlüssel bei der Anbieterin oder dem Anbieter liegt. Die Authentifizierung muss mittels Hashwerten erfolgen. Auch wenn in einem Portal die Passörtern den Nutzern in Klartext angezeigt würden, wäre dies zu beanstanden. Eine Lösung sei, dass die Anzeige mit einem Masterpasswort verschlüsselt werde, das nur die Kundin bzw. der Kunde kennt. Diese Lösung sei zwar etwas unorthodox, aber akzeptabel – das Prinzip von Passwortmanagern sei etabliert.
1.40 Sachsen: Tätigkeitsbericht für 2022 – Durchsuchungsmaßnahme bei unzulässigem Betrieb von Videokameras
Wann dürfen zur Ermittlung bei Verdacht auf unzulässige Videoüberwachung Durchsuchungsmaßnahmen in Gewerbe- und Wohnräumen durchgeführt werden? Damit befasst sich der Bericht ausführlich unter Ziffer 6.4.4.
1.41 LfD Niedersachsen: Prüfungen an Schulen
Insgesamt 50 allgemeinbildende Schulen und Berufsschulen wurden bei einer Prüfung durch die LfD Niedersachsen hinsichtlich ihres Datenschutzniveaus betrachtet. Wie sie berichtet, seien diese in den Bereichen Datenschutzbeauftragte, Verzeichnisse von Verarbeitungstätigkeiten, Datenpannen- und Löschkonzepte überwiegend zufriedenstellend aufgestellt. Problematischer sei die Nutzung von Lernsoftware, zwar biete das Kultusministerium dazu zentrale Lizenzen, versäume es aber sich auch um die datenschutzrechtlichen Aspekte zu kümmern, wenn dabei Lernleistungen der Schüler:innen beim Anbieter verarbeitet werden. Der vollständige Bericht wurde auch veröffentlicht.
1.42 CNIL: Aktionsplan zu Künstlicher Intelligenz
Die französische Datenschutzaufsicht CNIL hat ihren Aktionsplan zur Künstlichen Intelligenz veröffentlicht. Freundlicherweise auch auf Englisch, so dass viele zur Übersetzung nicht auf technische Hilfsmittel (womöglich mit KI) zurückgreifen müssen.
1.43 Österreich: Maßnahmen gegen Clearview AI
Wie der EDSA berichtet, hat die Datenschutzbehörde Maßnahmen gegen Clearview AI getroffen. Clearview besitzt Berichten zufolge eine Datenbank mit über 30 Milliarden Gesichtsbildern aus der ganzen Welt, die mittels Web Scraping aus öffentlichen Webquellen (Medien, soziale Medien, Online-Videos) extrahiert werden. Das Unternehmen bietet einen hochentwickelten Suchdienst an, der es ermögliche mit Hilfe von KI-Systemen Profile auf der Grundlage der aus den Bildern extrahierten biometrischen Daten zu erstellen. Die Profile können durch Informationen angereichert werden, die mit diesen Bildern verknüpft sind, wie z. B. Bild-Tags und Geolocation oder die Quell-Webseiten. Die Datenschutzbehörde stellte fest, dass Clearview AI damit gegen die Anforderungen an Rechtmäßigkeit, Fairness und Transparenz, der Anforderung an die Zweckbindung, der Datenminimierung, die Vorgaben aus Art. 9 Abs. 1 DS-GVO und den Vorgaben aus Art. 6 Abs. 1 DS-GVO verstoßen habe. Clearview AI wurde angewiesen die personenbezogenen Daten des Beschwerdeführers zu löschen und einen Vertreter in der Europäischen Union zu benennen.
1.44 Rumänien: Bußgeld für Datenschutzverletzung aufgrund unzureichender Tests
Die rumänische Behörde verhängte laut diesem Bericht gegen zwei Unternehmen Geldstrafen in Höhe von 1.500 Euro bzw. 1.000 Euro wegen einer Datenschutzverletzung, die durch unzureichende Tests ihrer Online-Anwendung vor der Bereitstellung verursacht wurde. Sie setzten als Versicherungsanbieter eine Software ein, die zuvor nicht ausreichend getestet wurde, so dass einige Benutzer unbefugten Zugang zu den personenbezogenen Daten von zwei anderen Benutzern (z. B. Name, Personalnummer, Adresse, E-Mail, Telefonnummer) bekamen. Die Aufsicht stellte bei ihren Untersuchungen fest, dass beide Unternehmen unzureichende Tests der Software vor deren Einsatz vornahmen.
1.45 Kroatien: Sanktion für fehlende Formalien und Schutzmaßnahmen
Aufgrund einer anonymen Beschwerde untersuchte die kroatische Datenschutzaufsicht den Fall, ob ein Inkassobüro unzulässigerweise Daten von Schuldnern verarbeitete. Die Aufsicht stellte nach dieser Darstellung dabei fest, dass die betroffenen Personen über die Abtretung an das Inkassobüro nicht informiert wurden, dass keine ausreichende Vereinbarung vorlag und die Schutzmaßnahmen unzureichend waren. In Summe berechnete die Aufsicht dafür eine Strafe in Höhe von 2,265 Mio. Euro.
1.46 CNIL: Sanktion gegen Webseitenbetreiber mit Gesundheitsdaten
Die französische Datenschutzbehörde CNIL gab bekannt, dass sie gegen eine französische Website für Gesundheitsinformationen, die personenbezogene Daten von Millionen von Menschen in Frankreich verarbeitet, eine Geldstrafe in Höhe von 280.000 Euro verhängte sowie wegen Verstoß gegen die Vorgaben der ePrivacy Richtlinie zusätzliche 100.000 Euro.
Die Webseite bietet hauptsächlich Artikel, Tests, Quize und Diskussionsforen im Zusammenhang mit Gesundheit und Wohlbefinden an. Die CNIL stellte u.a. fest, dass Daten aus der Beantwortung von Tests sowie die IP-Adressen für 24 Monate gespeichert wurden, in einer Datei waren beispielsweise die Antworten aus den Darmkrebstests der Nutzer zusammen mit ihrer IP-Adresse gespeichert. Auf der Webseite wurde den Nutzer auch der Hinweis gegeben, dass sie dies Ergebnisse der Tests mit Freunden teilen könnten und dass dadurch eine aggregierte statistische Auswertung ermöglicht werde.
Allerdings werde das Testergebnis unmittelbar nach Abschluss des Ablaufs der gestellten Fragen angezeigt, so dass eine Speicherung der Antworten des Nutzers auf den Fragebogen sowie seiner IP-Adresse nach der Mitteilung des Ergebnisses an den Nutzer und dessen eventueller Weitergabe an seine Freunde nicht notwendig erscheint. Diese Zwecke könnten in keinem Fall eine 24-monatige Speicherung der betreffenden personenbezogenen Daten rechtfertigen. Auch wurde festgestellt, dass die aggregierten Statistiken bereits unabhängig von den Antworten auf die Fragebögen mithilfe von Tools zur Messung der Einschaltquoten erstellt werden. Die Aufbewahrung der Antworten auf die Fragebögen nach Abschluss des Tests sei daher nicht für die Erstellung von aggregierten Statistiken über die Nutzung der Tests erforderlich. Zudem sei die durchgeführte Anonymisierung der Test durch einen Dienstleister nicht ausreichend genug erfolgt. Auch wurden nicht unbedingt erforderliche Cookies genutzt, auch wenn Nutzer „Alles ablehnen“ wählten. Interessant auch, dass die CNIL einen Antrag des Unternehmens auf Beratung und Begleitung ablehnte, weil bereits ein Kontrollverfahren lief.
1.47 BSI: Anforderungen nach § 8a Absatz 5 BSIG
Das BSI hat seine Anforderungen an die Ausgestaltung von Sicherheitsaudits, Prüfungen und Zertifizierungen nach § 8a Abs. 5 BSIG (Grundsätzliche Anforderungen im Nachweisverfahren – GaiN) veröffentlicht.
1.48 Bundeskartellamt: Abschlussbericht zu Messenger- und Video-Diensten
Das Bundeskartellamt (BKartA) legte seinen Abschlussbericht zur Sektoruntersuchung von Messenger- und Video-Diensten vor. Die Untersuchung des BKartA befassten sich ausführlich mit den technischen und rechtlichen Rahmenbedingungen für Messenger- und Video-Dienste. Ein besonderer Schwerpunkt lag dabei auf Datenschutz- und Datensicherheitsfragen. Natürlich wurden dabei auch Angebote wie Microsoft Teams oder Zoom betrachtet. Das BKartA bietet auch eine Checkliste mit Aspekten des Datenschutzes zu dieser Untersuchung an.
2 Rechtsprechung
2.1 EuG zu faktischer Anonymität
Im Rahmen der Abwicklung einer spanischen Bank kam es zu unterschiedlichen Ansichten zwischen dem Einheitlichen Abwicklungsausschuss (Single Resolution Board – SRB) und dem Europäischen Datenschutzbeauftragten (EDPS), ob Informationspflichten verletzt wurden. Der SRB kodierte eingegangene Stellungnahmen im Rahmen Konsultationsverfahren von Gläubigern und Schuldnern anlässlich eines Abwicklungsverfahrens einer Bank mit einem alphanumerischen Code, der aus einer 33-stelligen eindeutigen Identifikationsnummer, die nach dem Zufallsprinzip generiert und beim Eingang des beantworteten Fragebogens vergeben wurde. Der alphanumerische Code wurde für Audit-Zwecke entwickelt, um nachprüfen und gegebenenfalls nachträglich beweisen zu können, dass jede Stellungnahme bearbeitet und ordnungsgemäß berücksichtigt wurde.
Die Stellungnahmen gab er dann mit diesem Code an zwei weitere Empfänger weiter. An den EDPS wandten sich dann fünf Personen mit einer Beschwerde, diese Weitergabe sei nicht aus den datenschutzrechtlichen Informationen des SRB ersichtlich gewesen. Der EDPS musste sich daher mit der Bewertung der Weitergabe befassen und war der Auffassung, darin läge eine Verarbeitung personenbezogener Daten vor, denn auch eine Weitergabe pseudonymisierter Daten sei eine Verarbeitung. Der SRB war der Ansicht, es handelte sich bei den Stellungnamen nicht um personenbezogene Daten, auch nicht um pseudonymisierte Daten, da weder aus dem Inhalt noch aus den Identifikationsnummern für die Empfänger ein Rückschluss auf natürliche Personen gegeben sei. Auch haben die Empfänger kein Recht gehabt, auf die Informationen zuzugreifen, die Rückschlüsse ermöglicht hätten. Auch bei dem SRB sei eine Zuordnung nur einem sehr eingeschränkten Kreis möglich.
Der EDSB war der Ansicht, der Umstand, dass die Empfänger keinen Zugang zu den vom SRB gespeicherten Informationen zur Rückidentifizierung gehabt habe, führe nicht dazu, dass die an diese übermittelten „pseudonymisierten“ Daten anonyme Daten geworden seien. Es brauche nicht festgestellt zu werden, ob die Empfänger anhand der übermittelten Informationen rückidentifizieren könne, von wem diese stammten, oder ob diese Rückidentifizierung hinreichend wahrscheinlich sei. „Pseudonymisierte“ Daten blieben dies selbst dann, wenn sie an einen Dritten übermittelt würden, der nicht über die zusätzlichen Informationen verfüge.
Nach Auffassung des EDSB bedeutet die Verwendung des Begriffs „indirekt“ in Art. 3 Nr. 1 der Verordnung 2018/1725, dass es für die Einstufung einer Information als personenbezogenes Datum nicht notwendig sei, dass sie als solche die Identifizierung der betroffenen Person ermögliche. Überdies sei es in Bezug auf die Mittel, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt würden, nicht erforderlich, dass alle eine Identifizierung der betroffenen Person ermöglichenden Informationen in der Hand einer einzelnen Person gebündelt seien.
Das EuG urteilte (T-557/20), dass der EDPS nicht ausreichend dargelegt habe, dass in diesem Fall den Empfängern eine Identifikation möglich sei. Es beruft sich dabei auf das „Breyer-Urteil“ (C-582/14), dass für die Bestimmung, ob es sich bei den an Empfänger übermittelte Informationen um personenbezogene Daten handelte, auf das Verständnis abzustellen ist, das die Empfänger bei der Bestimmung der Frage hatten, ob die ihr übermittelten Informationen sich auf „identifizierbare Personen“ beziehen.
Der EDSB hätte daher untersuchen müssen, ob die Empfänger anhand der übermittelten Informationen deren Verfasser rückidentifizieren könnten oder ob diese Rückidentifizierung hinreichend wahrscheinlich sei.
Für die Bewertung, ob anonyme Daten vorliegen, ist daher erforderlich auch zu prüfen, ob Empfänger in der Lage sind, aus den übermittelten Informationen einen Personenbezug herzustellen. In dem Fall stellte die Verordnung 2018/1725 die rechtliche Basis dar, in welcher die Verarbeitung personenbezogener Daten durch Einrichtungen der EU geregelt wird.
Ergänzend dazu:
Das Urteil kann noch durch den EuGH überprüft werden. Es gibt auch schon Analysen des Urteils, die dessen Bedeutung für die Praxis herausstellen, wie hier und hier.
Auch in der Schweiz kam ein Gericht zu einer ähnlichen Bewertung. Das Handelsgericht Zürich entschied, dass eine Pseudonymisierung für denjenigen, der die pseudonymisierten Daten keiner bestimmten Person zuordnen kann, wie eine Anonymisierung wirkt. Bericht dazu hier.
2.2 EuGH zu Bagatellgrenzen bei immateriellem Schadenersatz
Der EuGH hat sich im Fall C-300/21 (Österreichische Post) zu den Anforderungen an die Bemessung eines Schadenersatzes nach Art. 82 DS-GVO bei der Verletzung der DS-GVO geäußert. Als Voraussetzungen für einen Schadenersatz legt er dazu drei Anforderungen fest:
Neben einem Verstoß gegen die DS-GVO muss ein materieller oder immaterieller Schaden, der aus diesem Verstoß resultiert, und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß vorliegen. Nicht jeder Verstoß gegen die DS-GVO eröffne für sich genommen einen Schadenersatzanspruch.
Der EuGH stellt auch fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DS-GVO werde ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DS-GVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.
Es obliegt aber die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes dem Recht der einzelnen Mitgliedsstaaten. Dabei sind der Äquivalenz- und der Effektivitätsgrundsatz zu beachten. Der EuGH betont dabei auch die Ausgleichsfunktion des in der DS-GVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.
Natürlich gibt es gleich verständige Bewertungen des Urteils wie hier – und diese werden nicht die letzten sein.
Franks Nachtrag: Hier ist noch eine, sozusagen ein Update zur ersten oben verlinkten….
2.3 EuGH zu Fragen der Kopie bei Auskunftsansprüchen
Im Verfahren C-487/21 („Österreichische Datenschutzbehörde und CRIF“) hat der EuGH entschieden, dass das Recht nach Art. 15 Abs. 3 DS-GVO, eine „Kopie“ der personenbezogenen Daten zu erhalten, bedeutet, dass der betroffenen Person eine originalgetreue und verständliche Reproduktion aller dieser Daten bereitgestellt wird. Dies impliziere das Recht, eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken, die diese Daten enthalten, zu erlangen, wenn dies unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DS-GVO verliehenen Rechte zu ermöglichen. Dabei sind die Rechte und Freiheiten anderer zu berücksichtigen.
Der in Art. 15 Abs. 3 Satz 3 DS-GVO verwendete Begriff „Informationen“ beziehe sich ausschließlich auf personenbezogene Daten, von denen der für die Verarbeitung Verantwortliche gemäß Satz 1 dieses Absatzes eine Kopie zur Verfügung stellen muss.
Bezüglich der Begrifflichkeit „Kopie“ in Art. 15 Abs. 3 Satz 1 DS-GVO stellt der EuGH fest, dass diese Bestimmung zwar keine Definition des Begriffs „Kopie“ enthalte, dass aber der gewöhnliche Sinn dieses Begriffs zu berücksichtigen sei, der die originalgetreue Reproduktion oder Abschrift bezeichne, so dass eine rein allgemeine Beschreibung der Daten, die Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten nicht dieser Definition entspräche. Daher geht der EuGH davon aus, dass diese Bestimmung der betroffenen Person das Recht verleiht, eine originalgetreue Reproduktion ihrer personenbezogenen Daten im Sinne einer weiten Bedeutung zu erhalten, die Gegenstand von Vorgängen sind, die als Verarbeitung durch den für diese Verarbeitung Verantwortlichen eingestuft werden müssen.
Art. 15 Abs. 3 sei im Übrigen kein anderes Recht als das in Absatz 1 vorgesehen sei. Daher beziehe sich der Begriff „Kopie“ nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind.
2.4 EuGH zu Fragen der gemeinsamen Verantwortlichkeit zu Berechnung von Sanktionen
Im Verfahren C-683/21 (Nacionalinis visuomenės sveikatos centras) geht es um Fragen der Verantwortlichkeiten und gemeinsamen Verantwortlichkeiten nach Art. 4 Nr. 7 DS-GVO und die Bestimmung der für Datenschutzverstöße haftenden Einrichtung. Der Ausgangsfall beruht auf dem Einsatz einer App zur Infektionsnachverfolgung in der Pandemie, die ohne Ausschreibung beschafft wurde und bei der die Nutzer bei einer Infektion bestimmte Fragen täglich zu beantworten hatten. In dem Verfahren geht es einerseits darum, ob es sich um einen Verantwortlichen und einen Auftragsverarbeiter handelte oder um zwei gemeinsame Verantwortliche und wie das Merkmal der Bußgeldberechnung („wirksam, verhältnismäßig und abschreckend“) aus Art. 83 Abs. 1 DS-GVO bei der Haftung mehrere Einrichtungen auszulegen ist. Der Generalanwalt empfiehlt in seinen Schlussanträgen,
- dass der „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DS-GVO dahin auszulegen sei, dass eine Stelle, die die Entwicklung einer mobilen Anwendung veranlasst, nur dann als „für die Verarbeitung Verantwortlicher“ im Sinne dieser Bestimmung angesehen werden kann, wenn hinreichende tatsächliche und nicht nur formale Elemente vorliegen, aus denen geschlossen werden kann, dass eine solche Stelle einen tatsächlichen Einfluss sowohl auf die „Zwecke“ als auch auf die „Mittel“ dieser Verarbeitung ausgeübt und der Freigabe der mobilen Anwendung für die Öffentlichkeit und damit der Verarbeitung der personenbezogenen Daten tatsächlich zugestimmt hat und
- dass der Begriff „Verarbeitung“ auch eine Situation erfasst, in der personenbezogene Daten während der Testphase einer mobilen Anwendung verwendet werden, es sei denn, diese Daten sind so anonymisiert worden, dass die betroffene Person nicht oder nicht mehr identifizierbar ist. Ob personenbezogene Daten zum Zweck des Testens der in eine mobile Anwendung eingebetteten IT-Systeme oder zu einem anderen Zweck erhoben werden, habe seinerseits keinen Einfluss auf die Frage, ob der betreffende Vorgang als „Verarbeitung“ zu qualifizieren ist.
- Das Tatbestandsmerkmal der gemeinsamen Verantwortlichkeit in Art. 26 Abs. 1 DS-GVO sei dann erfüllt, wenn zwei Voraussetzungen erfüllt sind: Zum einen müsse jeder für die Verarbeitung Verantwortliche die in der Definition des Begriffs „für die Verarbeitung Verantwortlicher“ in Art. 4 Abs. 7 der Verordnung genannten Kriterien unabhängig voneinander erfüllen, und zum anderen muss der Einfluss der für die Verarbeitung Verantwortlichen auf die „Zwecke und Mittel“ der Verarbeitung gemeinsam ausgeübt werden. Darüber hinaus aber auch kann das Fehlen einer Vereinbarung oder auch nur einer Koordinierung zwischen den für die Verarbeitung Verantwortlichen für sich genommen nicht die Feststellung ausschließen, dass die für die Verarbeitung Verantwortlichen „gemeinsam für die Verarbeitung Verantwortliche“ im Sinne dieser Bestimmungen sind.
Er ist auch der Ansicht, dass gemäß Art. 83 DS-GVO dahin auszulegen sei, dass eine Geldbuße nur verhängt werden könne, um einen Verstoß gegen die Vorschriften dieser Verordnung zu ahnden, der „vorsätzlich oder fahrlässig“ begangen wurde. Außerdem könne gegen einen für die Verarbeitung Verantwortlichen in Anwendung dieser Bestimmung eine Geldbuße verhängt werden, auch wenn die rechtswidrige Verarbeitung von einem Auftragsverarbeiter vorgenommen wird. Diese Möglichkeit besteht, solange nachgewiesen ist, dass der Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen handelt. Verarbeitet der Auftragsverarbeiter jedoch personenbezogene Daten außerhalb oder entgegen den rechtmäßigen Weisungen des für die Verarbeitung Verantwortlichen und verwendet er die erhaltenen personenbezogenen Daten für seine eigenen Zwecke und steht fest, dass die Parteien nicht „gemeinsam für die Verarbeitung Verantwortliche“ im Sinne von Art. 4 Nr. 7 und Art. 21 Abs. 6 DS-GVO sind, könne gegen den für die Verarbeitung Verantwortlichen keine Geldbuße in Anwendung von Artikel 83 DS-GVO in Bezug auf die unrechtmäßige Verarbeitung verhängt werden.
[Inwieweit hier tatsächlich Art. 21 Abs. 6 DS-GVO gemeint ist, hat sich mir noch nicht ganz erschlossen.]
Franks Nachtrag: Und auch hier gab es recht schnell Ausführungen zu den Schlussanträgen…
2.5 EuGH: Keine unrechtmäßige Verarbeitung bei unzureichender Dokumentation
Der EuGH beurteilte im Verfahren C-60/22 (Boîte électronique judiciaire) die Frage, ob ein fehlendes bzw. unvollständiges Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DS-GVO oder eine fehlende Vereinbarung zur gemeinsamen Verarbeitung nach Art. 26 DS-GVO dazu führen kann, dass eine Verarbeitung unrechtmäßig ist und welche Rechtsfolgen sich daraus ergeben. Im Ergebnis stellt der EuGH fest, dass ein Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und Art. 30 DS-GVO keine unrechtmäßige Verarbeitung darstelle, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleiht. Ein solcher Verstoß als solcher bedeute nicht, dass der Verantwortliche gegen den Grundsatz der „Rechenschaftspflicht“ im Sinne von Art. 5 Abs. 2 in Verbindung mit Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 Unterabs. 1 DS-GVO verstößt.
Im Übrigen stellt das Gericht fest, dass auch bei einer unzureichenden Dokumentation eine Einwilligung der betroffenen Person nicht erforderlich ist, wenn eine Verarbeitung aufgrund der Rechtmäßigkeitsgrundlage aus Art. 6 Abs. 1 lit. e DS-GVO (im öffentlichen Interesse liegende Aufgabe) erfolgt und erforderlich ist. Die Berücksichtigung dieser Daten sei dann auch durch ein Gericht rechtmäßig.
Auch wenn die Folgen einer unzureichenden Dokumentation nach diesem Urteil nicht unmittelbar zu einer rechtswidrigen Verarbeitung führen, stellt eine unzureichende Dokumentation auch einen Verstoß gegen die DS-GVO dar, der durch Aufsichtsbehörden sanktioniert werden kann.
2.6 BVerwG: Mitbestimmungspflichtigkeit bei Nutzung sozialer Medien
Das BVerwG musste entscheiden, wann die Nutzung von sozialen Medien durch öffentliche Stellen eine Mitbestimmungspflicht des Personalrats begründet. In seinem Beschluss kommt das BVerwG laut der eigenen Pressemeldung zu dem Ergebnis, dass, wenn eine Stelle der öffentlichen Verwaltung in sozialen Medien eigene Seiten oder Kanäle betreibt, wegen der für alle Nutzer bestehenden Möglichkeit dort eingestellte Beiträge zu kommentieren, eine technische Einrichtung zur Überwachung des Verhaltens und der Leistung von Beschäftigten vorliegen kann, deren Einrichtung oder Anwendung der Mitbestimmung des Personalrats unterliegt. Eine Beurteilung könne aber nicht generell, sondern nur nach Maßgabe der Umstände des jeweiligen Einzelfalles erfolgen.
Dieser Schutzzweck der Mitbestimmungspflicht gebiete es bereits das Speichern von Nutzerkommentaren mit verhaltens- oder leistungsbezogenen Angaben als selbstständige (Überwachungs-)Leistung einer technischen Einrichtung anzusehen. Denn es berge grundsätzlich die Gefahr in sich, dass die Dienststelle diese Daten auch auswerte, wodurch ein Überwachungsdruck bei den Beschäftigten erzeugt werden könne. Das Speichern der in Rede stehenden Kommentare kann zudem zur Überwachung der Beschäftigten „bestimmt“ sein. Für ein solches Bestimmtsein reicht es aus, dass die Datenspeicherung objektiv zur Überwachung geeignet sei.
Ob dies der Fall sei, hängt beim Betreiben der in Rede stehenden sozialen Medien (Facebook, Instagram, Twitter) wegen der ungewissen, nur möglichen Eingabe entsprechender Verhaltens- oder Leistungsdaten durch Dritte in tatsächlicher Hinsicht davon ab, ob bei objektiver Betrachtung im konkreten Fall eine nach Maßgabe des Schutzzwecks des Mitbestimmungstatbestandes hinreichende Wahrscheinlichkeit für das Einstellen entsprechender Nutzerkommentare gegeben ist. Hierfür sei zunächst die Konzeption des von der Dienststellenleitung verantworteten Auftritts der Dienststelle in den sozialen Medien von Bedeutung. Berichtet die Dienststellenleitung beispielsweise selbst über konkrete Beschäftigte und ihr Tätigkeitsfeld und lenkt damit den Blick des Publikums auf das dienstliche Verhalten und die Leistung von Beschäftigten, können hierauf bezogene Nutzerkommentare erwartet werden. Demgegenüber wird von einer hinreichenden Wahrscheinlichkeit für die Anbringung entsprechender Kommentare in der Regel nicht auszugehen sein, wenn Auftritte der Dienststelle in sozialen Medien sachbezogen in allgemeiner Form lediglich über Aufgaben der Dienststelle oder etwa ohne Bezüge zu bestimmten Beschäftigten in Form von Pressemitteilungen über die Tätigkeit der Dienststelle informieren. Darüber hinaus ist das tatsächliche Verhalten der Nutzer in eine Gesamtbetrachtung einzubeziehen. Kommt es insbesondere erst im Verlaufe des Betriebs zu einer nennenswerten Zahl verhaltens- oder leistungsbezogener Nutzerkommentare, kann die Überwachungseignung eine gegenüber der ursprünglichen Prognose andere Relevanz erhalten und zu bejahen sein. Dabei ist auch zu berücksichtigen, ob aus der maßgeblichen Sicht eines objektiven Betrachters das Entstehen eines Überwachungsdrucks deshalb nicht anzunehmen ist, weil die Dienststellenleitung derartige Kommentare ohne vorherige Auswertung schnellstmöglich löscht.
Leider ist der Pressemeldung nicht zu entnehmen, ob die Gestaltung des Einsatzes eines Accounts bei einem sozialen Netzwerk zur Bewertung einer gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO Auswirkungen auf eine auch arbeitsrechtliche Zulässigkeit haben kann, wenn dadurch Bewertungen der Beschäftigten über die Kommentarfunktionen dem Netzwerk zu eigenen Zwecken ermöglicht wird.
2.7 OLG Brandenburg zur Motivation bei Auskunftsbegehren
Dient ein Auskunftsersuchen nach Art. 15 DS-GVO nicht der Überprüfung der datenschutzrechtlichen Zulässigkeit einer Verarbeitung, sei dies laut OLG Brandenburg rechtsmissbräuchlich. Der Beklagten stünde dann ein Weigerungsrecht zu.
Nur der Vollständigkeit halber: Im Verfahren C-307/22 am EuGH vertritt der Generalanwalt die Ansicht, dass es einem Anspruch auf eine Kopie nach Art. 15 Abs. 3 DS-GVO nicht entgegen steht, wenn die Kopie für einen anderen datenschutzwidrigen Zweck angefordert wird.
2.8 FG Nürnberg: Verhältnis DS-GVO und Vorlageverlangen der Finanzverwaltung
Verstößt eine Anforderung der Finanzverwaltung gegenüber einem Vermieter, im Rahmen seiner Steuererklärung Unterlagen seiner Mieter vorzulegen, aus denen deren Nebenkosten etc. ersichtlich sind, gegen Vorgaben der DS-GVO? Damit befasste sich das FG Nürnberg und sieht keine Einschränkung der Aufforderung des Finanzamtes zur Vorlage zum Zwecke der Prüfung der in der Steuererklärung gemachten Angaben.
Das Gericht befasste sich dabei mit den Grundlagen aus § 29b AO, der Vorlage von Urkunden aus § 97 AO und der Rechtmäßigkeitsgrundlage aus Art. 6 Abs. 1 lit. c DS-GVO. Unter Berücksichtigung dieser Grundsätze sei laut FG Nürnberg im Streitfall die Entscheidung des Finanzamts, die Steuerpflichtige zur Abgabe der Mietverträge und eventueller Schreiben über Mietänderungen zum Zwecke der Prüfung der in der Steuererklärung gemachten Angaben aufzufordern, nicht zu beanstanden. Die Revision wurde zugelassen.
2.9 AG Frankfurt: Kein Anspruch auf Kopie aus Art. 15 Abs. 3 DS-GVO, wenn …
… eine Herausgabe einer Kopie gegen Geheimhaltungsinteressen der verantwortlichen Stelle verstößt. So urteilte das AG Frankfurt im Fall eines Auskunftsanspruchs auf eine Kopie der Prüfungsfragen eines Sprachtests. Nach einem Sprachtest bei dem Verantwortlichen genügte einer Klägerin nicht die Einsichtnahme in die Prüfungsdokumentation in den Geschäftsräumen der Beklagten, sondern sie forderte eine Zurverfügungstellung der Prüfungsarbeit. Die Beklagte argumentierte dagegen, dass sie ein entgegenstehendes Geheimhaltungsinteresse nach Art. 15 Abs. 4 DS-GVO habe. Die Erstellung der von ihr angebotenen Sprachtests, die auch in Einbürgerungsverfahren Verwendung finden, erforderten wirtschaftliche Investitionen in erheblicher Höhe und bedürften zur Gewährleistung der Integrität und Verlässlichkeit der Ergebnisse der Geheimhaltung.
Zwar bejahte das AG Frankfurt, dass ein Anspruch auf eine unentgeltliche Kopie von verarbeiteten personenbezogenen Daten nach Art. 15 Abs. 3 DS-GVO grundsätzlich auch Prüfungsleistungen und die dazugehörigen Prüfergutachten umfasse. Dass die Klägerin mit der Kopie im Wesentlichen eine Überprüfung der Rechtmäßigkeit ihrer Prüfungsbewertung begehrt, stünde dem auch nicht entgegen und lässt das Begehren nicht als rechtsmissbräuchlich erscheinen.
Die Beklagte berufe sich jedoch mit Recht auf ein dem Anspruch im Ergebnis entgegenstehendes Geheimhaltungsinteresse nach Art. 15 Abs. 4 DS-GVO.
Die Beklagte sei auch Trägerin der Grundrechte auf unternehmerische Freiheit und geistiges Eigentum nach Art. 16, 17 Abs. 2 der Charta der Grundrechte der Europäischen Union (GRCh), die gemäß Art. 52 Abs. 1 GRCh mit dem Grundrecht der Klägerin auf Schutz ihrer personenbezogenen Daten nach Art. 8 Abs. 1 und 2 GRCh in praktische Konkordanz zu bringen sind. Die Prüfungsfragen stellten danach auch in rechtlicher Hinsicht Geschäftsgeheimnisse i.S.v. § 2 Nr. 1 GeschGehG und urheberrechtlich geschützte Sprachwerke i.S.v. § 2 Abs. 1 Nr. 1 UrhG dar.
Dem sei im Rahmen der Abwägung des Auskunftsanspruchs der Klägerin und den von der Beklagten geltend gemachten entgegenstehenden Interessen Rechnung zu tragen. Dabei ist auch zu beachten, dass in Erwägungsgrund 63 zur DS-GVO weiter ausgeführt ist, dass die Rechte anderer Personen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.
In der Gesamtschau setzten sich laut dem AG Frankfurt danach die Geheimhaltungsinteressen der Beklagten durch, da nach dem hier zu entscheidenden Sach- und Streitstand die Zurverfügungstellung einer Kopie der Prüfungsarbeit notwendig mit einer Verletzung der Geheimhaltungsinteressen hinsichtlich der Prüfungsfragen einhergehe, ohne dass diese auf mildere Art und Weise, wie etwa einer Schwärzung Letzterer, verhindert werden kann. Da die Beklagte unstreitig die Einsichtnahme in die Prüfungsunterlagen in ihren Geschäftsräumen anbiete, werde der Auskunftsanspruch der Klägerin nach Art. 15 Abs. 1 DS-GVO durch die Nichtzurverfügungstellung einer Kopie auch nicht in Gänze vereitelt.
2.10 LG München: Rechtsmissbräuchlichkeit bei Abmahnungen (Google-Fonts)
Laut LG München I stellt das automatisierte Erstellen und Versenden von Abmahnschreiben wegen angeblicher Datenschutzverstöße eine missbräuchliche Nutzung dieses Rechts dar. Daher könne bezüglich der Einbindung von Google Fonts durch den Webseitenbetreiber in diesem Fall weder eine Verletzung des Persönlichkeitsrechts noch Schmerzensgeld geltend machen. Das Gericht stellt u.a. darauf ab, dass es nicht darum ging einen rechtswidrigen Zustand zu beseitigen, sondern von den Abgemahnten die geforderten 170 Euro zu erhalten (im Urteil ausführlicher dargestellt). Entscheidend für den vorliegenden Rechtsstreit sei auch die Frage, welchen Eindruck der Beklagte nach dem objektiven Empfängerhorizont bei den Adressaten seiner Schreiben erwirkte, nicht die Erfüllung von Anforderungen an Abmahnschreiben, um eine Erstattung vorgerichtlicher Rechtsanwaltskosten für diese zu erlangen. Bezüglich eines geltend gemachten Schadenanspruchs führt das LG München I aus, dass es nicht Sinn und Zweck des allgemeinen Persönlichkeitsrechts oder der Datenschutzvorgaben nach der DS-GVO sei Personen wegen behaupteter Verletzungen ihres allgemeinen Persönlichkeitsrechts eine Erwerbsquelle zu verschaffen. Wer einen Verstoß gegen sein Persönlichkeitsrecht gezielt provoziere, um daraus hernach Ansprüche zu begründen, verstößt gegen das Verbot selbstwidersprüchlichen Verhaltens.
2.11 Vorschau: EuGH zu Art. 9 und Art. 82 DS-GVO (C-667/21)
Am 25.05.2023 sind die Schlussanträge des Generalanwalts im Fall C-667/21 (Krankenversicherung Nordrhein) angekündigt, Dabei geht es u.a. um die Frage, ob die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Art. 9 Abs. 1 DS-GVO-Daten zudem davon abhängt, dass mindestens eine der in Art. 6 Abs. 1 DS-GVO genannten Voraussetzungen erfüllt ist. Auch wird der EuGH gefragt, ob Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter habe und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden müsse. Ebenso soll geklärt werden, ob es auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankomme. Eigentlich geht es im Ausgangsfall primär um die Frage, ob Art. 9 Abs. 2 lit. h DS-GVO auch als Erlaubnisnorm bezogen auf Beschäftigte des Medizinischen Dienstes herangezogen werden kann, wenn es sich um dessen eigene Beschäftigte handelt.
2.12 LG Köln: Untersagung von Google Analytics auf Webseite
Das LG Köln untersagte einem TK-Anbieter auf seiner Webseite personenbezogene Daten zu Analyse- und Marketingzwecken in die USA zu übermitteln. Konkret ging es um die IP-Adresse, Informationen über den genutzten Browser und das verwendete Endgerät. Bei Aufruf der Webseite würden personenbezogene Daten an Google LLC in die USA übermittelt, um deren Analyse- und Marketingdienste Google Ad Services zu nutzen. Das LG Köln berücksichtigt dabei die Rechtsprechung des EuGH („Schrems II“ C-311/2018). Eine einfache Zustimmung im Cookie-Banner über den Button „Alle akzeptieren“ reiche für eine ausdrückliche Einwilligung für die Drittlandübermittlung in die USA zudem nicht aus. Eine Zulässigkeit des Datentransfers auf Basis einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO verlange eine ausdrückliche Einwilligung, der zudem eine besondere Informiertheit zugrunde liegen müsste, die auch alle Drittländer und alle Empfänger umfassen müsse. Das Urteil ist nicht rechtskräftig.
Die Veröffentlichung dieses Urteils durch die verbraucherzentrale NRW während der #OMR2023 hat auch was!
2.13 EGMR: Konsequenzen aus EuGH (Zeugen Jehova) verstoße nicht gegen Religionsfreiheit
Das Urteil des EuGH C-25/17 („Zeugen Jehovas“) gehört zum Basiswissen, wenn es um Art. 26 DS-GVO (Gemeinsame Verantwortlichkeit) geht. Der EuGH legt darin Interpretationen zu persönlichen oder familiären Tätigkeiten, zum Dateibegriff, aber eben auch, wann eine gemeinsame Verantwortlichkeit angenommen werden kann. In diesem Fall sieht der EuGH eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Daten an. Die Mitglieder erhoben im Rahmen einer Verkündigungstätigkeit von Tür zu Tür Daten, die Verkündungstätigkeit wurde von dieser Religionsgemeinschaft organisiert und koordiniert und zu der sie ermunterte. Es sei für eine gemeinsame Verantwortlichkeit nicht erforderlich, dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat.
Mit dieser Vorgabe ging der Fall zurück an das finnische Verwaltungsgericht, das dann ohne weitere mündliche Verhandlung entschied. Damit gingen die Zeugen Jehovas vor den Europäischen Gerichtshof für Menschenrechten (EGMR) und sahen ihr Recht auf ein faires Verfahren verletzt.
Der EGMR sieht durch die Entscheidung des finnischen obersten Verwaltungsgerichts keine Verletzung der Europäischen Menschenrechtskonvention. Der Verzicht auf eine mündliche Verhandlung durch das Verwaltungsgericht habe nicht gegen das Recht auf ein faires Verfahren (Art. 6 GrRCh) verstoßen. Der EuGH hatte im Vorabentscheidungsverfahren geklärt, dass sich die Religionsgemeinschaft bei der Datensammlung bei der Haustürmission nicht auf die Haushaltsausnahme berufen kann. Auf dieser Grundlage hat das finnische Gericht entschieden. Einen Verstoß gegen die Gedanken-, Gewissens- und Religionsfreiheit (Art. 10 GrRCh) hat der EGMR nun verneint. Die Kammerentscheidung ist noch nicht rechtskräftig. Die beteiligten Parteien können innerhalb von drei Monaten die Verweisung an die Große Kammer beantragen.
Das geht aus der am Dienstag veröffentlichten Pressemeldung zur Entscheidung im Fall »Jehovah’s Witnesses v. Finland« hervor (ECHR 136 (2023) vom 9. Mai 2023). Aber mitbekommen habe ich es über den tollen Service von www.artikel91.eu.
2.14 Urheberrecht und CoPilot
Welche Auswirkungen hat KI bei der Nutzung von CoPilot auf die Rechte derer, auf deren Werke zur Generierung der Antworten zurückgegriffen wird? Damit befasst sich nach diesem Bericht derzeit ein Gericht in den USA. Eine Klage vom November werfe Github, Microsoft und OpenAI unter anderem vor gegen Urheberrechts-, Vertrags-, Datenschutz- und Geschäftsgesetze zu verstossen. Die Klage richtet sich gegen das KI-Modell Codex, respektive das Tool Copilot, das unter anderem Code vorschlagen oder vervollständigen kann.
2.15 EuGH zu Konsequenzen aus unterbliebener Widerrufsbelehrung
Der EuGH hat festgestellt (C-97/22), dass ein Verbraucher auch noch bis zu einem Jahr von seinem Widerruf Gebrauch machen kann, wenn eine Widerrufsbelehrung bei einem Fernabsatzgeschäft unterblieb. Bei einer Rückabwicklung sei dann keine Nutzungsentschädigung zu zahlen.
Ja, eher Verbraucherschutzrecht und kein direkter Fall aus dem Datenschutzbereich, aber auch ein deutliches Zeichen, dass auch die Vernachlässigung von Formalien wirtschaftliche Konsequenzen haben kann.
2.16 OVG Saarlouis: Wahrung berechtigter Interessen setzt rechtskonformes Verhalten voraus
Es dürfte keine Überraschung sein. Schon Datenschutzaufsichtsbehörden gingen davon aus, dass bei der Prüfung der Rechtsgrundlage der Wahrung des berechtigten Interesses aus Art. 6 Abs. 1 lit. f DS-GVO eine Verarbeitung nicht begründet werden kann, wenn dabei gegen Vorgaben des UWG (Gesetz gegen den unlauteren Wettbewerb) verstoßen wird. Das sieht auch das OVG Saarlouis bei einem Streit um telefonische Werbeansprache so.
2.17 LG München: Grundlagen für Positivmeldung an Auskunftei
Die Verbraucherzentrale NRW begehrte von einem TK-Anbieter in München, dass dieser keine Positivdaten an eine Auskunftei weitergibt, ohne dass die betroffenen Personen dem zugestimmt hätten. Positivdaten sind in diesem Fall personenbezogene Daten, die keine negativen Zahlungserfahrungen oder sonstiges, nicht vertragsgemäßes Verhalten zum Inhalt haben, sondern Informationen über die Beantragung, Durchführung und Beendigung eines Vertrages darstellen. Das LG München gab der Klage Recht. Die Datenverarbeitung sei nicht von Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO gedeckt, weil die Beklagte mit den Kunden auch ohne Übermittlung von Positivdaten an Auskunfteien Verträge abschließen könne und diese Datenübermittlung zur Erfüllung des Vertrages bzw. zur Durchführung vorvertraglicher Maßnahmen nicht erforderlich sei. Auch sei die Verarbeitung nicht von Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO gedeckt, da die Interessen der Betroffenen an dem Schutz ihrer Daten und deren Grundrechte die Interessen der Beklagten an der Übermittlung der Positivdaten an die Auskunftei überwiegen.
Die Begründung ist u.a. deshalb lesenswert, weil sich das Gericht auch mit der Auflistung von etwaigen berechtigten Interessen der Betroffenen befasste, dass beispielweise Interessen der Verbraucher nicht nur in günstigen Verträgen, Steigerung ihrer Marktchancen, Schutz vor Identitätsdiebstahl oder Schutz vor Überschuldung etc. bestünden, sondern auch und insbesondere in der Abwesenheit von Beeinträchtigungen eigener Rechte.
2.18 BGH: Verwendung von Tagebuchaufzeichnungen
Hat eine Person einen Unterlassungsanspruch gegenüber einer Zeitung, wenn diese aus Passagen ihren Tagebuchaufzeichnungen zitiert, die vorher beschlagnahmt wurden und die Gegenstand eines Untersuchungsausschusses sind? Der BGH lehnt es in diesem Fall ab, wie hier nachzulesen ist. Der BGH gewichtete das Interesse an der Meinungs- und Medienfreiheit in diesem Fall höher.
2.19 Spanien: Standortdaten als personenbezogene Daten?
Sie konnten bereits lesen, dass in Österreich das dortige Bundesverwaltungsgericht einen Auskunftsanspruch hinsichtlich der Standortdaten einer SIM-Karte verneinte, weil nicht sichergestellt werden könne, wer das Gerät jeweils benutzt habe. Hier wird über eine Entscheidung berichtet, bei der ein spanisches Gericht zu einem anderen Ergebnis kommt: Standortdaten seien personenbezogene Daten und daher im Rahmen des Auskunftsrechts offenzulegen.
3 Gesetzgebung
3.1 Transatlantischer Datentransfer in die USA – wie du mir …
Können sich europäische Bürger:innen auf rechtstaatliche Verfahren bei der Verarbeitung ihrer Daten in den USA auch durch Nachrichtendienste verlassen? Das ist eine der Kernfragen bei der Thematik um Schrems II und den folgenden Verhandlungen zu einem Angemessenheitsbeschluss zum Datentransfer in die USA. Diese Gretchenfrage stellen nun auch die USA der EU im umgekehrten Fall. Welche Überwachungsmaßnahmen sind Daten innerhalb der Europäischen Union ausgesetzt – gerade auch seitens der Sicherheitseinrichtungen und Nachrichtendienste?
Und um neben der „Gretchenfrage“ bei einem Zitat aus Faust zu bleiben, in welchem Goethe Mephisto sagen lässt: „Ich bin ein Teil von jener Kraft, die stets das Böse will und stets das Gute schafft.“
Unabhängig davon wird in den USA und in Europa heftig diskutiert, inwieweit der Kampf gegen sexuellen Mißbrauch von Kindern zur Einschränkung der Privatsphäre bei der Online-Kommunikation („Chatkontrolle“) führen darf.
3.2 ePrivacy-VO – wird das noch was?
Man hörte schon lange nichts mehr von dem Gesetzgebungsverfahren um die ePrivacy-Verordnung. Berichten zufolge soll die derzeitige schwedische Ratspräsidentschaft einen Abschluss der Verhandlungen auch nicht anstreben. Damit erhöhe sich die Wahrscheinlichkeit, dass der ganze Vorschlag durch die EU-Kommission zurückgezogen würde. Ein Neuanfang würde auch durch die Verbraucherzentrale Bundesverband begrüßt werden. Damit könnten dann auch unabhängig von technischen Verfahren ein grundsätzliches Verbot von Profilbildung zu Werbezwecken bei der elektronischen Kommunikation geregelt werden.
3.3 EU-Kommission: Roundtable zu Regelungen zum Tracking
Während noch offen ist, was aus der ePrivacy-Verordnung wird, überlegt die EU-Kommission, wie sie Verbraucherrechte beim Werbetracking besser schützen kann, indem Verbraucher wirksame Entscheidungen über trackingbasierte Werbemodelle treffen können. Dazu wurde ein Roundtable einberufen, der sich dazu austauschte. Mit den relevanten Interessengruppen soll an freiwilligen Lösungen gearbeitet werden, die Verbraucherfragen im Zusammenhang mit Cookies und gezielter Werbung behandeln. Diese Roundtabletermine stünden nur Handels- und Verbraucherverbänden auf EU-Ebene sowie globalen Unternehmen offen, da die Kommission die Gespräche nicht auf nationale Handelsverbände oder Unternehmen ausweiten könne. Bisher (Ende April, Anm. der Red.) ist nur das Diskussionspapier für die Runde Ende April bekannt, das Protokoll soll aber hier auch noch hochgeladen werden (was es auch wurde, weitere Anm. der Red.).
3.4 NIS 2 – Referentenentwurf
Wie sieht er aus und welche Änderungen beinhaltet er? Fragen, auf die sich im Referententwurf vom 3. April 2023 einige Antworten finden lassen.
3.5 EU: EP zu Angemessenheitsbeschluss
Das Europäische Parament hat seine Kritik an dem Entwurf eines Angemessenheitsbeschlusses im Rahmen einer Entschließung dokumentiert. Allerdings hat dies keine unmittelbare Auswirkung auf eine Entscheidung der EU-Kommission.
3.6 Hinweisgeberschutzgesetz
Was lange währt, muss nicht immer gut werden. Nach dem Bundestag hat auch der Bundesrat dem Ergebnis aus dem Vermittlungsausschuss zugestimmt. Das Gesetz wird nun dem Bundespräsidenten zur Unterzeichnung vorgelegt und danach im Bundesgesetzblatt verkündet. Gemäß den in der Einigung vorgesehenen neuen Vorschriften zum Inkrafttreten soll es zum weit überwiegenden Teil einen Monat nach der Verkündung in Kraft treten – möglicherweise also etwa Mitte Juni 2023.
3.7 EU: Vorschriften für künstliche Intelligenz
Das Europäische Parlament hat sich in den beteiligten Ausschüssen auf Formulierungen verständigt. In ihren Änderungsanträgen zum Kommissionsvorschlag fordern die Europaabgeordnete nach dieser Darstellung insbesondere eine Ausweitung verbotener KI-Praktiken auf biometrische Überwachung, Emotionserkennung und vorausschauende Polizeiarbeit.
3.8 BMWK: Dateninstitut zur Datennutzung
Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) informiert, dass der Haushaltsausschuss des Bundestags auf Basis eines von der Bundesregierung eingereichten Konzepts (PDF, 563 KB) die Finanzmittel für das Dateninstitut freigegeben hat, mit denen nun umgehend mit den Aufbauarbeiten für ein Dateninstitut begonnen werden könne. Das Konzept zum Aufbau des Dateninstituts wurde vom BMWK und dem Bundesministerium des Innern und für Heimat (BMI) unter enger Einbindung des Bundesministeriums für Bildung und Forschung (BMBF) erstellt und innerhalb der Bundesregierung abgestimmt.
Datenverfügbarkeit und Datennutzung stoßen in Deutschland zum Teil noch auf hohe Hürden und Hindernisse. Hier soll das Dateninstitut mit konkreten Lösungen ansetzen. Es soll eine zentrale Anlaufstelle für Akteure aus Wirtschaft, Wissenschaft, Staat/Verwaltung, Politik und Zivilgesellschaft bilden, die interdisziplinär Expertise bündelt, praxisnah Methodenkompetenz zur Verfügung stellt und Lösungsvorschläge für Herausforderungen bei der Datennutzung erarbeitet und zur Verfügung stellt. Es soll dabei auf den zahlreichen vorhandenen Initiativen zum besseren Nutzen oder Teilen von Daten aufsetzen und mit diesen partnerschaftlich zusammenarbeiten, so dass keine Doppelstrukturen aufgebaut werden. Um das datenschutzkonforme Datenteilen zu gewährleisten, sollen die Datenschutzbehörden eng in die Tätigkeiten des Dateninstituts eingebunden werden.
Der nächste Schritt wird ein Marktdialog sein, bei dem sich relevante Akteure sowie Expertinnen und Experten zur Umsetzung eines ersten Pilot-Use-Cases und zu Fragen der Governance des Dateninstituts äußern und eigene Ideen vorbringen können. Der Marktdialog soll noch in diesem Quartal geführt werden.
3.9 Luxemburg Cyber Defence Cloud
Anbei die kleine Anfrage der Opposition im Bundestag zur Luxemburg Cyber Defence Cloud (LCDC) und welche Planungen die Bundesregierung diesbezüglich hat. Die LCDC soll in Luxemburg in sicheren Datenzentren an geheim gehaltenen Standorten gehostet werden. Ich bin schon gespannt, ob die Antwort länger wird als die Anfrage (vier Seiten).
3.10 Data Act: Aktueller Stand
Der Wissenschaftliche Dienst des Europäischen Parlaments beschreibt hier den aktuellen Stand vor Beginn des Trilogs. Der Data Act ist ein wesentlicher Teil der Digitalen Strategie und nach dem Entwurf der EU-Kommission hat auch das Parlament seine Vorstellungen verabschiedet.
Nachdem Vertreterorganisationen der Wirtschaft seit Jahren proklamieren, dass „Daten das neue Öl“ der Wirtschaft seien, stellen sie offenbar nun fest, dass es durchaus auch Interessen geben könnte Daten nicht allen bereit zu stellen. Der Ruf nach freiem Zugang betrifft scheinbar immer nur die Daten anderer.
4 Künstliche Intelligenz und Ethik
4.1 KI und Regeln
Welche Initiativen gibt es, welche Rahmenbedingen werden dabei diskutiert, was spricht auch gegen bestimmte Regelungen? Damit befasst sich dieser Beitrag.
Ein KI-Experte schlägt übrigens laut diesem Bericht vor, den Einsatz so KI so zu regulieren wie Atomwaffen.
4.2 Fragen zur KI an Entwickler oder Verwender generativer KI (wie ChatGPT)
Die GDD hat zehn Fragen veröffentlicht, die verwendet werden können, um spätere Streitigkeiten um einen rechtskonformen Einsatz generativer KI aus Datenschutzsicht zu minimieren. Ich würde diese Liste gerne noch um eine weitere ergänzen: Sind urheberrechtliche Fragen an der Nutzung der Trainingsdaten und an den Ergebnissen geklärt?
4.3 KI und Regelungen in den USA
Anscheinend wird es Einigen auch langsam in den ach so innovationsfreudigen USA bange, was durch einen ungeregelten Einsatz von KI passieren kann. Und so trafen sich diesem Bericht zufolge mit der Vice-Präsidentin Vertreter der Unternehmen Alphabet, Microsoft, OpenAI und Antrophic, um relevante KI-Themen anzusprechen.
Passend dazu ist auch die Veröffentlichung der FTC (Federal Trade Commission) zum Vertrauen der Verbraucher wahrzunehmen, die bei der Bewertung der Aussagen durch KI vor einer „Automatisierungsverzerrung“ warnt, weil Menschen den Antworten von Maschinen, die neutral oder unparteiisch zu sein scheinen, unangemessen viel Vertrauen entgegenbringen. Die FTC verweist dabei darauf, dass nach dem FTC Acteine Praxis unlauter sei, wenn sie mehr Schaden als Nutzen verursacht. Genauer gesagt sei eine Praxis dann unlauter, wenn sie den Verbrauchern einen erheblichen Schaden zufügt oder zufügen kann, der von den Verbrauchern nicht mit vertretbarem Aufwand vermieden werden kann und der nicht durch gegenläufige Vorteile für die Verbraucher oder den Wettbewerb aufgewogen wird.
4.4 Anforderungen an KI in New York
Nur in Europa sind die Empfindlichkeiten beim Einsatz von KI so hoch, dass jeglicher Fortschritt gebremst würde? Wird im Einstellungsprozess eine Software eingesetzt, welche z.B. für die Überprüfung der Bewerbenden eingesetzt wird, müssen zumindest in New York nach dieser Meldung Arbeitgeber auch dafür Sorge tragen, dass dieses Tool durch einen unabhängigen Prüfer auf Voreingenommenheit geprüft wird. Die Ergebnisse der Prüfung sind zu veröffentlichen und die betroffenen Bewerber im Voraus über den Einsatz automatischer Entscheidungshilfen bei der Einstellung zu informieren.
In Deutschland regelt § 80 Abs. 3 Satz 2 BetrVG, dass Betriebsräte einen Sachverständigen hinzuziehen dürfen, wenn sie im Rahmen der Durchführung ihrer Aufgaben die Einführung oder Anwendung von Künstlicher Intelligenz beurteilen müssen. Softwarehersteller für Personalverwaltungsprodukte und deren Marketingpartner sollte sich daher gut überlegen, ob jeder Algorithmus immer gleich als „Künstliche Intelligenz“ vermarktet werden sollte.
4.5 Hilft beim Gedankenlesen?
Es scheint nach diesem Bericht wieder mal gelungen zu sein, dass mittels fMRT-Scan anhand von Hirnaktivitäten bei Probanden festgestellt wurde, welchen Text sie lesen oder welchen Stummfilm sie sehen.
4.6 KI und Urheberrecht
Für mich ist der Sachverhalt noch nicht ganz klar, den ich hier erfahre habe: Ein Fotograf versuchte, dass von ihm gemachte Bilder aus Trainingsdaten für eine KI entfernt werden, die durch eine Einrichtung genutzt werden, die sich als Large-scale Artificial Intelligence Open Network bezeichnet. Klappte nicht, weil laut Rückmeldung die Bilder nun in der KI seien und nicht mehr entfernt werden könnten. Außerdem hat die Anfrage Kosten verursacht, die nun erstattet werden sollen.
Also: Wer KI oder sonst was nutzt, bei dem Informationen verwendet werden, an denen andere Rechte haben (könnten): Transparenz und Nachvollziehbarkeit sind auch außerhalb des Datenschutzrechts oftmals der Schlüssel für ein friedvolles Zusammenleben!
4.7 ChatGPT – oder so
Gibt es kostenlose Alternativen zu ChatGPT? Die soll es geben, wie hier berichtet wird. Aber was haben Sie gelernt, wenn Sie hier regelmäßig lesen? Nur weil etwas umsonst ist, entbindet dies nicht von der Prüfung welche rechtlichen Rahmenbedingungen einzuhalten sind.
4.8 Freigabe des CIO Schleswig-Holstein für ChatGPT
Nicht nur Unternehmen, auch andere Stellen machen sich Gedanken, auf was beim Einsatz von ChatGPT zu achten ist. Während die einen noch überlegen, einbeziehen und abstimmen und sich fragen, wer auf was einzahlt, entscheiden andere. Allerdings arbeiten die wohl nicht so sorgfältig und umfassend, sondern legen sich schon frühzeitig auf Empfehlungen fest. Öffentlicher Dienst halt. Oder es liegt daran, dass dort Ergebnisse zwischen den Gezeiten erforderlich werden, bevor die Flut kommt – egal: In Schleswig-Holstein wurde mit Datum 02.05.2023 eine Freigabeempfehlung für den Einsatz von ChatGPT mit Maßgaben und Festlegungen veröffentlicht.
Franks Nachtrag: Apropos ChatGPT … (ich habe es wirklich lange ausgehalten, oder?)
Franks zweiter Nachtrag: Hat sich eigentlich das ULD schon mal zu ChatGPT geäußert? Nee, oder? Sonst hätten die sich ja vorher abgestimmt… bestimmt.
4.9 ChatGPT und Programmierung
Die Möglichkeiten von ChatGPT scheinen sich negativ auf andere Angebote auszuwirken. Eine beliebte Frage-Antwort-Plattform für Programmierer verzeichnete nach dieser Meldung in den letzten Monaten einen starken Einbruch. Egal auf welcher Plattform: Jede/r Programmierende sollte sich immer gut überlegen, wie Probleme dabei dargestellt werden, um damit nicht unbeabsichtigt Schwachstellen in eigenen Produkten zu offenbaren.
4.10 BMDV startet NITD
Nein, es geht nicht um NKOTB. Das Bundesministerium für Digitales und Verkehr startete nur eine „Nationale Initiative zur KI-basierten Transformation in die Datenökonomie“, kurz NITD. Diese soll die Rahmenbedingungen für KI-Innovationen in Deutschland verbessern. Dazu sollen dort zukünftig die Fäden für drei Arbeitsschwerpunkte zusammenlaufen: Die sektorenübergreifende Vernetzung von Datenräumen, ein KI-Qualitätssiegel und die Förderung von KI-Innovationen. Vorgesehen sei auch, dass die Initiative eng mit bestehenden Datenräumen und dem Dateninstitut zusammenarbeitet. Die Initiative soll die Datenräume unterschiedlicher Sektoren „prototypisch vernetzen und notwendige Impulse zu Standardisierungen setzen“. Dadurch sollen Daten perspektivisch „sektor- und grenzübergreifend“ nutzbar gemacht werden. Als zweiter Schwerpunkt ist der Aufbau eines KI-Qualitäts- und Innovationszentrums geplant, wo einheitliche KI-Prüfansätze erprobt werden sollen. Für das KI-Zentrum seien zwei Standorte vorgesehen, einer davon in Berlin.
Gibt es eigentlich schon irgendein Ergebnis all der anderen KI-Projekte, die auf Bundesebene eingesetzt, unterstützt, protegiert und finanziert wurden, bei denen mehr als ein Abschlussbericht, Empfehlungen und eine Stehparty bei der Präsentation erreicht wurde?
4.11 Redaktionsleitlinien zum Einsatz von KI
Wer am überlegen ist, wie neue Technik verantwortungsvoll eingesetzt werden kann und welche Vorgaben man sich dazu gibt, kann vergleichen, wie es andere machen.
4.12 Gesundheitsdaten und AI
Auf was sollte bei der Nutzung von KI und Gesundheitsdaten geachtet werden? Damit befasst sich dieser anschauliche Beitrag in einer Fachzeitschrift. Spoiler: Es geht um uns Menschen.
4.13 Diskussion zu AI in den USA
Nicht nur in Europa, auch in den USA befassen sich immer mehr Politiker mit den Möglichkeiten und Risiken von Künstlicher Intelligenz. Auf Bundesebene leitete die US-Regierung eine Anhörung des Unterausschusses für Datenschutz, Technologie und Recht des Justizministeriums zum Thema KI ein. Diskutiert werden dabei z.B. Maßnahmen, wie Lizenzierungs- und Testanforderungen für die Entwicklung und Freigabe von KI-Modellen; Bildung einer auf KI ausgerichteten Regulierungsbehörde, die „die Lizenz entziehen und die Einhaltung von Sicherheitsstandards sicherstellen kann“; die Prüfung von Modellen durch unabhängige Prüfer, bevor sie auf den Markt kommen. Haftungsfreistellungen für eingestellte Inhalte wären nicht der richtige Weg, um das System zu regulieren.
Hier z.B. die Stellungnahme des CEO von OpenAI.
4.14 Google und verantwortungsvolle KI
Es fällt schwer, das unkommentiert zu lassen. Google veröffentlichte eine Policy Agenda für verantwortungsvollen Einsatz von KI.
4.15 PwC: Managing the risks of generative AI
Auch PwC befasst sich mit Risiken der Künstlichen Intelligenz und wie ein Umgang damit gestaltet werden könnte. Gut so, wollen sie doch auch 1 Mrd. US-$ investieren.
4.16 Ethik der künstlichen Intelligenz
Hier ein kostenlos zugänglicher Beitrag über KI-Ethik-Fallstudien, die von einem Kommentar und möglichen Lösungen begleitet werden.
4.17 bidt: ChatGPT und moralisches Urteilsvermögen
Das Bayerische Forschungsinstitut für digitale Transformation (bidt) veröffentlichte die Ergebnisse einer Studie über den Einfluss von ChatGPT auf das moralische Urteilsvermögen von Nutzer:innen. Dabei stellt die Studie aber nicht nur die Ergebnisse dar, sondern gibt auch Lösungsmöglichkeiten an die Hand.
5 Veröffentlichungen
5.1 Textbuch Anonymisierung und Pseudonymisierung von Daten
Die Stiftung Datenschutz hat ein Textbuch als Ergebnis ihrer bisherigen Tätigkeit im Umfeld der Anonymisierung und Pseudonymisierung herausgegeben. Zusammen mit dem Projektteam erstellte sie dabei Ausführungen zu rechtlichen und technischen Grundlagen der Anonymisierung und Pseudonymisierung und verband dies mit einer Darstellung dieser Begrifflichkeit in bestehenden und künftigen Gesetzen. Zudem sind der Entwurf von Verhaltensregeln zur Pseudonymisierung und ein Leitfaden zur Anonymisierung enthalten. Die Texte sind in Deutsch und Englisch enthalten. Das Textbuch kann hier bezogen werden.
5.2 DS-GVO-Evaluierung
Für das Jahr 2024 steht eine weitere Evaluierung der DS-GVO an, Bereitsim Jahr 2020 gab es eine, die allerdings zu keinen Änderungen führte. Das sollte 2024 anders werden. Zumindest, was die Durchsetzbarkeit der DS-GVO anbelangt, sind bereits Änderungen im Gespräch. Auch das NGO noyb hat sich dazu Gedanken gemacht – und veröffentlicht.
5.3 Teletrust: Anforderungen an „Stand der Technik“
Der Generalanwalt des EuGH hat im Verfahren C-340/21 seine Ansichten zu dem Anforderungsmerkmal des Stands der Technik nach Art. 32 DS-GVO formuliert. In Randnummer 32 (genau mein Humor) seiner Schlussanträge geht er davon aus, dass „Stand der Technik“ eine Begrenzung des technologischen Niveaus der durchzuführenden Maßnahmen auf das impliziert, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich ist, d. h., die Eignung der Maßnahme zur Gefahrenabwehr muss in einem angemessenen Verhältnis zu den Lösungen stehen, die der aktuelle Stand von Wissenschaft, Technik, Technologie und Forschung bietet. Dabei sind aber auch die Implementierungskosten zu berücksichtigen.
Daraus folgt für ihn (ab RN 36), dass die Beurteilung der Geeignetheit solcher Maßnahmen auf einer Abwägung zwischen den Interessen der betroffenen Person, die generell ein höheres Schutzniveau anstreben, und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen, die zuweilen ein niedrigeres Schutzniveau anstreben, beruhen müsse. Diese Abwägung muss den Anforderungen des allgemeinen Verhältnismäßigkeitsgrundsatzes genügen. In RN 37 ergänzt er dann, dass im Licht einer systematischen Auslegung hinzuzufügen sei, dass der Gesetzgeber die Möglichkeit von Systemverletzungen berücksichtigt habe. Art. 32 Abs. 1 lit. c beziehe unter den vorgeschlagenen Maßnahmen die Fähigkeit ein die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Die Bereitstellung von Sicherheitsmaßnahmen, die ein dem Risiko einer solchen Fähigkeit angemessenes Schutzniveau gewährleisten, seien nutzlos, wenn man davon ausginge, dass allein die Verletzung von Systemen als Beweis dafür ausreichen würde, dass die Maßnahmen ungeeignet sind.
Und nun? Da zeigt sich dann der Unterschied zwischen Theoretiker und Praktiker. Der Theoretiker zitiert den EuGH und der Praktiker dann Teletrust, die gerade ihre Handreichung „Stand der Technik“ aktualisiert und veröffentlicht haben. Auf 115 Seiten werden unterschiedliche Szenarien beschrieben und Hilfestellung zu Methoden und Umsetzungen gegeben. Das Ganze gibt es auch in Englisch und unterstützt von einem Podcast.
5.4 Online Privacy Fatigue
Was erhöht das Risiko des Verlustes der Privatsphäre oder eines Identitätsdiebstahls? Wenn Personen die Möglichkeit des Selbstschutzes nicht ausschöpfen. Unter dem Stichwort Online Privacy Fatigue (Online-Datenschutzmüdigkeit) untersucht diese Übersichtsarbeit bisherige Studien und fasst die Ergebnisse zusammen, um herauszufinden, warum selbst sachkundige Nutzer ihre Privatsphäre nicht schützen. Es wurden fünf Kategorien von auslösenden Ereignissen für Datenschutzmüdigkeit identifiziert: Datenschutzrisiko, Datenschutzkontrolle und -management, Wissen und Informationen, individuelle Unterschiede und Merkmale der Datenschutzpolitik. Die Studie unterstreicht die Notwendigkeit dem methodischen Design und der theoretischen Untermauerung zukünftiger Forschung größere Aufmerksamkeit zu widmen.
5.5 Nachhilfe zu Compliance im Datenschutz
Wem es an intrinsischer Motivation fehlt, Datenschutzvorgaben einzuhalten, sei dieser Beitrag empfohlen. Der Verfasser steht außerhalb des Verdachts einseitig nur Betroffeneninteressen auf „Teufel komm raus“ zu vertreten. Er legt dar, dass die Rechtsprechung des EuGH nun mit der Verneinung des Erfordernisses eines Bagatellschadens für manche Anwaltskanzleien und Legal-Tech-Anwälte einen weiteren Anreiz biete hier Mandate zu generieren. Dabei geht es um den immateriellen Schadenersatz, also Schaden, der nicht in Geld nachzuweisen ist.
Zwar blieben hier auch noch Möglichkeiten der Rechtsverteidigung, am besten ist es jedoch gar nicht erst eine Grundlage entstehen zu lassen.
5.6 Gesundheitsdaten in den USA
Nein, nicht die deutschen Aufsichten nehmen es besonders genau. Wer seine Scheuklappen ablegt, wird eher merken, dass andere Länder mit einer freiheitlichen Grundausrichtung langsam den Schwerpunktsetzungen der DS-GVO nachziehen. So ermittelt die FTC in den USA nach eigenen Angaben gegen eine App, die Gesundheitsdaten ihrer Nutzerinnen ohne deren Kenntnis nach China weitergab.
5.7 Betrachtung der Bedrohungslage – nicht nur in der Schweiz
Die Darstellung der aktuellen Bedrohungslage eines Schweizer Unternehmens lässt auch Erkenntnisse außerhalb des Alpenlandes zu. Der Einsatz von KI bei Angriffsszenarien wirkt sich u.a. auch auf die Erfolgswahrscheinlichkeiten bei Phishingangriffen aus.
5.8 IAB wechselt zu Einwilligung als Werbegrundlage
Wie die IAB (Interactive Advertising Bureau) selbst berichtet, hat ihre Lenkungsgruppe des Rahmens für Transparenz und Einwilligung (Transparency & Consent Framework – TCF) verschiedene Versionen des Rahmens genehmigt. Statt Interessensabwägungen werde nun auf die Einwilligung der Endnutzenden gesetzt. Damit sollen den Akteuren im Online-Ökosystem weiterhin bei der Einhaltung bestimmter Anforderungen der Datenschutzrichtlinie für elektronische Kommunikation und der Datenschutz-Grundverordnung geholfen werden. Die TCF-Arbeitsgruppen hätten intensiv an einer weiteren Standardisierung der Informationen und Wahlmöglichkeiten gearbeitet, die den Nutzern bei der Verarbeitung ihrer personenbezogenen Daten zur Verfügung gestellt werden sollten, sowie an der Art und Weise, wie diese Wahlmöglichkeiten erfasst, mitgeteilt und respektiert werden sollten. Die ständigen Entwicklungen in der Rechtsprechung und in den Leitlinien der Datenschutzbehörden stellten noch höhere Anforderungen an die Marktteilnehmer in Bezug auf den Datenschutz, und das neueste Transparency & Consent Framework v2.2 (TCF v2.2) bringe bedeutende Änderungen mit sich, um den Erwartungen der Regulierungsbehörden und den Bedürfnissen der Endnutzer besser gerecht zu werden. Weitere Details finden sich auf der Seite der IAB.
5.9 Veranstaltungen
5.9.1 Stiftung Datenschutz: Spannungsfall(e) Datenschutzbeauftragte?
23.05.2023, 13:00 – 14:00 Uhr: Die Rolle der Datenschutzbeauftragten umfasst ein breites Spektrum von Aufgaben und kann mitunter zur Herausforderung werden. Denn neben den wachsenden Anforderungen des Datenschutzrechts nimmt auch die Komplexität technischer Systeme und Prozesse zu. Darüber hinaus haben menschliche Faktoren einen wesentlichen Einfluss auf die Effektivität und Qualität der Arbeit der Datenschutzbeauftragten. Zwei Referentinnen stellen verschiedene Spannungsfälle vor, denen Datenschutzbeauftragte gegenüberstehen können, und diskutieren Lösungsansätze. Weitere Informationen und Anmeldung hier.
5.9.2 Deutscher Bundestag: Anhörung zum Thema „Generative Künstliche Intelligenz“ -neu-
24.05.2023, 14:30 – 16:30 Uhr: Teilnahme vor Ort möglich, aber auch im Livestream anschaubar. Weitere Details, Informationen und Anmeldung hier.
5.9.3 Deutscher Bundestag: Bericht der Bundesregierung zum Angemessenheitsbeschluss für einen sicheren Datenverkehr mit den USA -neu-
24.05.2023, 16:45 – 18:30 Uhr: Teilnahme vor Ort möglich, aber auch im Livestream anschaubar. Weitere Details, Informationen und Anmeldung hier.
5.9.4 Linz Institute of Technology: ChatGPT & Co: Große Sprachmodelle – große Rechtsprobleme? -neu-
25.05.2023, 09:00 – 17:15 Uhr: In Linz werden vor Ort – aber auch online – Fragestellungen rund um ChatGPT erörtert. Weitere Details, Informationen und Anmeldung hier.
5.9.5 TH-Nürnberg: „OpenGPT-X – Was kann das große Sprachmodell made in Germany?“ -neu-
25.05.2023, 17:00 – 18:30 Uhr in der Hohfederstr. 40 in Nürnberg, 1. Stock, Hörsaal HQ 105. Ein Experte des Fraunhofer Institute for Integrated Circuits IIS informiert zu aktuellen Entwicklungen. Nur vor Ort, Anmeldung nicht erforderlich.
5.9.6 Wirtschaftskammer Österreich: Fünf Jahre DS-GVO – Datenschutz-Vorbild oder Digitalisierungsbremse?
25.05.2023, 17:00 – 18:30 Uhr: Die durch die Wirtschaftskammer Österreich veranstaltete Diskussionsrunde befasst sich mit einer Bestandsaufnahme zur DS-GVO. Weitere Informationen zu den Teilnehmenden und zur Anmeldung zu der Online-Veranstaltung finden sich hier.
5.9.7 Stiftung Datenschutz – „Im Normendschungel der EU“
25./26.05.2023: Das Vorabendprogramm am 25. Mai 2023 (ab 17:30 Uhr) in Hannover widmet sich einem Rückblick und Ausblick zur DS-GVO. Am 26.05.2023 wird dann der Normendschungel der EU bereist (von 08:30 bis ca. 16:00 Uhr). Weitere Informationen und Anmeldung hier (Der Livestream ist weiterhin möglich…).
5.9.8 Hinweisgeberschutzgesetz und Datenschutz -neu-
07.06.2023, 13:00 – 14:00 Uhr: Bei der Online-Veranstaltung einer Kanzlei informieren Experten zur parallelen Umsetzung von Hinweisgeberschutz und Datenschutz in der Praxis. Weitere Informationen und Anmeldung hier.
5.9.9 itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht -neu-
ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei. Mehr dazu hier.
5.9.10 Vorankündigung – GI: Designing Feminist Futures
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).
6 Gesellschaftspolitische Diskussionen
6.1 Was nun mit der Corona-Warn-App?
Viele Funktionalitäten der Corona-Warn-App (CWA) sind mittlerweile obsolet bzw. eingestellt. Nach diesem Bericht könnte sie demnach deinstalliert werden, es sei denn die Nachweise für Impfungen würde noch z.B. für Auslandsreisen benötigt. Dazu könnte aber auch die CovPass-App der Europäischen Union genutzt werden, wenn der Support für die CWA ab Juni 2023 eingestellt wird.
6.2 Facebook bleibt sich treu
Dass das Geschäftsmodell von Facebook Anlass zu Kritik bietet, ist nicht neu. Dass sich Facebook auch nicht an eigene Zusagen hält, auch nicht wirklich. Dass es nun langsam auch der FTC (Federal Trade Commission) der USA zu viel wird, lässt etwas hoffen. Diese wirft Facebook (Meta) vor gegen eigene Zusagen bzw. Auflagen zu verstoßen, die für Dienste wie Instagram, WhatsApp und Oculus gelten. Daher schlägt sie u.a. ein pauschales Verbot der Monetarisierung von Daten von Kindern und Jugendlichen unter 18 Jahren vor. Zudem soll untersagt werden neue oder geänderte Produkte, Dienste oder Funktionen auf den Markt zu bringen, ohne dass durch einen unabhängigen Prüfer schriftlich bestätigt wird, dass das Datenschutzprogramm die Anforderungen der Verordnung vollständig erfüllt und keine wesentlichen Lücken oder Schwachstellen aufweist. Außerdem sollen u.a. die Schutzmaßnahmen auf die künftige Verwendung von Gesichtserkennung ausgeweitet werden.
Erschreckend, dass manche öffentliche Stellen und Marketingverantwortliche bei nicht-öffentlichen Stellen immer noch glauben ihre Produktverbreitung oder eigene Glaubwürdigkeit durch die Nutzung dieser Tools verbessern zu können.
6.3 Hackerangriffe nehmen zu
Nicht nur Geschichtsinteressierte wissen: Das Trojanische Pferd diente dazu unerkannt innerhalb eines geschützten Bereiches zu gelangen. Auch Hacker versuchen zunehmend über Dienstleister an Informationen und Zugangswerge zu gelangen, um Schaden anzurichten. Auch Bundeseinrichtungen sind vor dieser Taktik nicht sicher, wie sich hier entnehmen lässt.
6.4 Maßnahmen zur Bekämpfung von Cybercrime
Der Bayerische Verband für Sicherheit in der Wirtschaft widmet sich dem Themenfeld der Wirtschaftskriminalität und interne Ermittlungen und rät zu effektiven Maßnahmen zur Bekämpfung von Verbrechen in Unternehmen. Dabei verweist er auf den Leitfaden „Leitplanken – interne Ermittlungen“ der Allianz für Sicherheit in der Wirtschaft (ASW).
6.5 Gesundheitsapps
Bei der Verwendung von Apps, die eigene Gesundheitsdaten verarbeiten, sollte man besonders auf deren IT-Sicherheit achten. Wie es darum steht, wird in folgendem Beitrag untersucht.
Franks Anmerkung: Leicht off-topic, aber: Ich bin bestimmt der Einzige, der sich das Deutschlandticket, wenn ich es mir mal hole, als Chipkarte geben lässt… Von wegen: „Gibt’s da auch ’ne App zu?“
6.6 Datenkompetenz
Es ist nicht neu, dass auf allen Ebenen Kompetenz im Umgang mit Daten verbessert werden müsste. Hier ein Beitrag zu dem Aspekt der Interpretation von Studien und Daten. Mangelndes statistisches Wissen in Firmen sorge für Produktivitätseinbußen.
6.7 Gutachten zu Open Source Software und zu der digitalen Souveränität
Bringen Open Source Produkte Vorteile hinsichtlich der IT-Sicherheit und der digitalen Souveränität? Damit befasst sich das „Gutachten zur vorrangigen Beschaffung und Entwicklung von Open Source Software in der Bundesverwaltung“.
6.8 Standards bei Gesundheitsdaten
Das Verwunderliche an dieser Nachricht ist für mich nur der Zeitpunkt: Der Ärzteverband fordert einheitliche IT-Standards bei der Dokumentation von Gesundheitsdaten. Ich hätte erwartet, dass sei die Urthematik in der IT-Interoperabilität. Aber scheinbar war bisher nur die Druckfunktion wichtig, um über die Schnittstelle „Fax“ Daten auszutauschen.
7 Sonstiges/Blick über den Tellerrand
7.1 Widerruf von Verträgen – achten Sie auf sorgfältig erstellte Unterlagen!
Das ist eigentlich kein Datenschutzthema – sondern ein Thema, wie nachlässige Vertragsgestaltung zum Bumerang werden kann. Nicht nur im Verbraucherrecht, sondern auch im Datenschutzrecht. Hier trifft es die Fahrzeuge eines Unternehmers, bei denen beim Bestellprozess Schutzfunktionen mittels einer ordnungsgemäßen Widerrufsbelehrung missachtet wurden. Dies führt nun dazu, dass dieser Widerruf auch noch innerhalb eines Jahres erfolgen kann und bei einer Rückabwicklung kein Nutzungsausgleich berechnet werden muss (Link zu YouTube-Video). So droht z.B. auch bei Einwilligungen, die ohne ausreichende vorherige Information erteilt wurden, dass diese keine ausreichende Rechtsgrundlage für eine Verarbeitung personenbezogener Daten bieten. Betrifft dies dann eine Vielzahl von Personen und spricht sich das herum, gibt es bereits Geschäftsmodelle, die – sagen wir es vorsichtig – daraus eine standardisierte rechtliche Durchsetzung mit minimalem Kostenrisiko anbieten. Durch das Urteil des EuGH (C-300/21) zu den Voraussetzungen eines immateriellen Schadenersatzes werden solche Geschäftsmodelle nicht uninteressanter.
7.2 Schwachstellen bei Schul-IT
Wenn digitale Kompetenzen diskutiert werden, geht es zumeist erstmal darum Schüler:innen zu codenden Beschäftigten für die Zukunft zu motivieren. Manchmal sollten aber auch Verantwortliche in Behörden und Unternehmen den Eindruck unterstützen, sie hätten etwas Ahnung, wenn sie die digitale Transformation vertrauensvoll und nachhaltig gestalten wollen. Im Kultusministerium NRW scheint diese Chance verpasst worden zu sein, wenn wie nach diesem Bericht Systeme für die Benutzerkontenverwaltung offen zugänglich im Netz standen.
7.3 Betroffenenrechte durchsetzen – mit KI und Blockchain?
Wenn wir hier über KI und Blockchain berichten, hat das meist den Aspekt, wie bei deren Einsatz noch Betroffenenrechte gewahrt werden können. Nun berichten wir über KI und Blockchain zur Wahrung der Rechte betroffener Personen. Bei Verstößen gegen ein Verbraucherinnen und Verbraucher schützende Recht (wie Datenschutzrecht, Fernabsatzregelungen und Informationspflichten) können dafür vorgesehene Stellen im Interesse der Verbraucherinnen und Verbraucher zivilrechtlich tätig werden. Im Rahmen des „Private Enforcement“ können sie Unternehmen (durch Abmahnungen) auffordern solche Verstöße abzustellen und zukünftig zu unterlassen. Durch sogenannte „strafbewehrte Unterlassungserklärungen“ versichern die betreffenden Unternehmen sich künftig an geltendes Recht zu halten.
In einem Forschungsprojekt Kivedu soll ein KI-basiertes System entwickelt werden, welches bei Verletzung von Verbraucher-schützenden Regelungen automatisiert Unterlassungserklärungen und Unterlassungsurteile überprüfen und im Falle eines Verstoßes eine entsprechende Nachricht an den Unterlassungsgläubiger senden kann. Das künstlich intelligente System soll auch in der Lage sein gerichtsverwertbare Beweise des Verstoßes zu erstellen und sicher, zum Beispiel in einer Blockchain, zu speichern. Um Verletzungen zu erkennen, werden Algorithmen aus dem Bereich des maschinellen und bestärkenden Lernens trainiert.
Das Zentrum Verbraucherforschung und nachhaltiger Konsum (vunk) der Hochschule Pforzheim definiert im Rahmen des Projekts unter anderem die Anforderungen an das digitale Produkt, begleitet seine Entwicklung rechtlich und rechtswissenschaftlich und übernimmt die Konzeption des Datenschutz- und Datensicherheitskonzepts.
7.4 Wo war ich damals mit meinem Auto?
Wenn Sie ein Auto einer bestimmten japanischen Marke seit Jahren fahren und wissen wollen, wo Sie z.B. am 15. Mai 2015 damit waren – fragen Sie einfach den Hersteller. Es kam nämlich heraus, dass dieser seit 2013 die Standortdaten seiner Fahrzeuge speichert. Nichts ist unmöglich.
7.5 Test von Messengern
Es gibt immer wieder Messenger, von denen man/frau noch nie was gehört hat, die aber in Test gut abschneiden. Hier ein Bericht dazu.
7.6 Verbot von TikToK
Wieder eine Meldung, in der es darum geht den Einsatz von TikTok – diesmal in einem gesamten Bundesstaat – zu verbieten, weil Datenabflüsse und deren Nutzung nicht getraut wird. Das Ganze wird in den USA natürlich begleitet um verfassungsmäßige Rechte wie Meinungsfreiheit.
Franks Nachtrag: Völlig überraschend wehrt sich natürlich TikTok mit einer Klage…
Franks zweiter Nachtrag: Was war eigentlich hiermit?
8. Franks Zugabe
8.1 Apropos ChatGPT …
- KI in den Medien? Gibt es. Und dient dem Erzeugen von Werbeeinnahmen. Wozu auch sonst…
- Eine KI-gesteuerte Katzenklappe? Zumindest ist es kreativ.
- KI-Disruption: Einstellungsstopps, Aktieneinbrüche und Chatbot-Verbote. Endlich mal wieder eine geklaute Überschrift. Wobei die Tatsache an sich ja nun nicht so überraschend ist…
- So’n Computer ist ja auch nur ein Mensch, oder wie? Ein Bericht zu Emotionen bei KI-Modellen und deren Folgen…
- Weiterbildungs-Anbieter will Chat-GPT integrieren. Was soll da schon schief gehen?
- Wenn „meine“ KI versucht die mich abwimmelnde KI zum Handeln zu bewegen.
- Ein bisschen ratlos. Wie, die Kochmagazine wurden vor KI von Menschen geschrieben?
- ChatGPTs dunkler Bruder DarkBERT. Ich wiederhole mich: Was soll da schon schief gehen?
- Apropos Bildung und ChatGPT: Das kann schief gehen
8.2 Google: „We Have No Moat, And Neither Does OpenAI“
Da scheint jemand Probleme vorherzusagen. Interessant, ist das nun gut oder schlecht für uns Nutzende?
8.3 Schule am Bildschirm zu KI
Das ist ja mal eine sehr umfangreiche Liste aus der Schweiz. Ob etwas davon auch datenschutzkonform nutzbar ist? Keine Ahnung, das habe ich nicht geprüft. Aber es ist schon faszinierend zu sehen, was da alles entsteht…
8.4 Gesichtserkennung durch den Supermarkt?
Ist das die Welt, in der wir leben wollen? (Und damit meine ich jetzt nicht Twitter als Plattform, das ist eine ganz andere Kanne Bier, siehe auch den nächsten Beitrag).
8.5 Twitter-Alternative: ARD eröffnet eigene Mastodon-Instanz mit Tagesschau-Account
Schön, wenn sich die Erkenntnis verbreitet, dass Alternativen notwendig sind!
8.6 BBA 2023, eine Nachlese
Zum einen hier die angekündigte Presseschau des BBA.
Und tatsächlich scheint DHL die Kunden in die App zwingen zu wollen. Nun ja. Auch eine Art mit Kunden umzugehen.
8.7 Deutschlandticket
Ich sprach ja weiter oben vom Deutschlandticket und davon, dass ich wenn dann die Chipkarte bevorzugen würde. Wobei diese App wohl datenschutz-freundlich sein soll (wer hätte das gedacht, die Harzer Schmalspurbahn!). Im Gegensatz zu den anderen getesteten (es ist eine Artikelserie, vielleicht finden Sie auch die von Ihnen genutzte?).
9. Die guten Nachrichten zum Schluss
9.1 mobilsicher.de ist zurück
Das Angebot der Seite www.mobilsicher.de wurde ab dem 17.05.2023 wieder aufgenommen. Seitdem gibt es dort wieder aktuelle, praktische und unabhängige Informationen rund ums Smartphone. Neben Sicherheit und Privacy geht es dort in einer Projektphase vor allem um Nachhaltigkeit und Klimaschutz – ein Thema, das den Mitarbeitenden von mobilsicher.de schon lange unter den Nägeln brennt. Sie beginnen mit einer Testreihe der beliebtesten Handyspiele für zwischendurch. Wieviel Energie verbraucht das Netz für Candy Crush & Co. und wieviel geht ausschließlich dafür drauf Werbung anzuzeigen und Nutzer*innen zu tracken? Die Testergebnisse und die besten Spiele-Alternativen mit kleinem CO2-Fußabdruck finden Sie auf hier.
9.2 Star Trek anschauen hilft
Was man aus dem Anschauen von Science-Fiction-Filmen hinsichtlich der Bedrohungslage in der IT-Sicherheit und dem Umgang mit Risiken lernen und umsetzen kann, wird hier anschaulich an einer Folge aus Star Trek vermittelt. Kernerkenntnis für mich in einem Satz: Neue Techniken sollten nur eingesetzt werden, wenn die Risiken bekannt und beherrsch-/verantwortbar sind, sonst sei das Risiko zu groß, dass dadurch Schadsoftware etc. eingeschleust würde.