Frank Spaeing
Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21/2021)
Treten Sie näher, hier ist er, der vierte Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21/2021)“:
- Aufsichtsbehörden
- Anforderungen an Impfzentren
- Verfahren gegen Firma mit Gesichtserkennungsdienstleistung
- Anforderungen an kirchliches Datenschutzrecht
- Google Analytics – Tätigkeitsbericht der LfD Niedersachsen
- Rückblick und Ausblick – 3 Jahre DS-GVO
- EDPS prüft Einsatz von AWS und MS Clouddiensten
- Bußgeld gegen Webseitenbetreiber
- CNIL zu Schrems II
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Data Protection Landscape
- Schrems II: Möglichkeiten der USA?
- Datenschutzrechtliche Einwilligung im Gesundheitswesen
- Umfrage zu Icons
- Gemeinschaftsgremium Cybersecurity
- Datenschutz und Künstliche Intelligenz (Süd-Korea)
- Trackingdaten bei Essenslieferanten
- Global Privacy Principles and Definitions
- DSFA für eine Covid-19 App
- Aufzeichnungen der Daten-Dienstage des Museums für Kommunikation
- Ulrich Kelber im Interview
- Veranstaltungen
- Stiftung Datenschutz: „Datenschutz im Ehrenamt: Newsletter versenden“
- Die Demokratie plattformfest machen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- AmaZen Booth
- Facebook und Minderjährigenschutz
- How does bluetooth work?
- Double-Encrypting Ransomware?
- Grand Chamber of the European Court of Human Rights rules UK mass surveillance laws violate privacy and freedom of expression rights
- Digital Rights alliance file legal complaints across Europe against facial recognition company Clearview AI
- #StopStalkerAds!
- Die wunderbare Welt der Digitalisierung
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Anforderungen an Impfzentren
Nach und nach werden wir alle geimpft werden – zumindest diejenigen, die es wollen*.
Dass auch in den Impfzentren mit den Daten der Impflingen rechtskonform umgegangen wird, mahnt der LfDI BW an.
Dabei gibt er auch direkte Tipps, die sicherlich auch für impfende Betriebsärzte herangezogen werden können. Scheinbar kamen für einige die Hinweise nicht rechtzeitig, denn es gibt bereits Meldungen über Datenschutzverletzungen.
* Franks (nicht ganz ernstgemeinter) Nachtrag: Vielleicht kann man die Menschen motivieren sich impfen zu lassen?
1.2 Verfahren gegen Firma mit Gesichtserkennungsdienstleistung
Bilder von Ihnen sind im Netz, in sozialen Netzwerken oder in Berichten, bei denen Sie im Vordergrund oder auch im Hintergrund abgebildet sind? Alles nicht so wild? Sicher, aber wie fühlen Sie sich, wenn ein Unternehmen auch Abbildungen Ihrer Gesichter im Internet nach individuellen Merkmalen scannt und biometrische Daten (also persönliche Merkmale wie Gesichtsform, Augenfarbe oder den Abstand von Mund zu Nase) speichert?
Das Unternehmen PimEyes hatte bis vor Kurzem seinen Sitz in Polen – nun jedoch auf den Seyschellen (warum wohl?) – und laut Pressemeldung des LfDI BW bislang keinen Vertreter innerhalb der EU. So nimmt sich nun die Datenschutzaufsicht Baden-Württemberg der Sache an und informiert, dass sie ein Verfahren einleitet und Fragen u.a. zur Rechtsgrundlage an das Unternehmen stellt.
Franks Nachtrag: Menschen, die diese Nachricht interessant fanden, lesen auch gerne hier weiter…
1.3 Anforderungen an kirchliches Datenschutzrecht
In Art. 91 DS-GVO werden die Anforderungen an eigenständige Datenschutzregelungen der Kirchen festgelegt. Doch das wird nicht nur von der evangelischen und katholischen Kirche in Deutschland in Anspruch genommen, die bereits schon vor der DS-GVO aufgrund deutscher verfassungsrechtlicher Besonderheiten hier eigene Regelwerke hatten. Über einen Streitfall berichtet die niedersächsische LDI in ihrem aktuellen Tätigkeitsbericht (dort Ziffer 10.4.), der jetzt auch über eine Feststellungsklage durch ein Gericht geklärt werden soll.
1.4 Google Analytics – Tätigkeitsbericht der LfD Niedersachsen
Es sollte eigentlich nichts Neues sein, trotzdem lohnt es mal wieder darauf hinzuweisen:
Die LfD Niedersachsen berichtet im Tätigkeitsbericht 2020 (dort unter E7) über die Anforderungen die an den Einsatz von Google Analytics zu stellen sind. Dies umfasst die Umsetzung der gemeinsamen Verantwortlichkeit und das Einholen einer Einwilligung, die die Vorgaben der DS-GVO einhält, sowie eine Widerrufsmöglichkeit der Einwilligung (technisch mindestens gleichschwellig angeboten) sowie die Informationsmöglichkeit über die verarbeitenden Daten und die Kürzung der IP-Adresse.
1.5 Rückblick und Ausblick – 3 Jahre DS-GVO
Natürlich gab es zahlreiche Veranstaltungen, Rückblicke und Ausblicke zu dem dreijährigen Jahrestag der DS-GVO diese Woche. Der LfDI BW äußert sich in seinem Podcast dazu, der Hessische Beauftragte differenziert in seiner Pressemitteilung zu den Erfolgen und Schwächen der DS-GVO und weist auf die Lehren für die KI-Regulierung auf europäischer Ebene hin, dass hierbei die strikte Technik- und Risikoneutralität in der Regulierung aufgegeben werde und bereichs- und anwendungsspezifisch z.B. Risiken für Grundrechte geregelt würden.
Aus Sicht von Verbänden fiel der Rückblick oft nicht rosig aus: Allerdings würde ich auch gerne bei manchen Klagen, dass alle vor drei Jahren überrascht wurden, zurückfragen, warum nicht zwischen 2016 und 2018 die Unterstützungen und Vorbereitungen durch Verbände geleistet wurden, die 2018 dann den Mitgliedsfirmen fehlten.
Bei dem DatenTag der Stiftung Datenschutz war die Bestandsaufnahme differenzierter, hier wurde vor allem die unzureichende Umsetzung durch Datenschutzaufsichtsbehörden gerade gegenüber internationalen Unternehmen kritisiert, deren Ursache in der unzureichenden Ausstattung, aber auch teilweise im Unwillen einzelner Aufsichtsbehörden verortet wurde. Bei der Veranstaltung, die noch als Aufzeichnung verfügbar ist, wurde auch herausgearbeitet, dass die DS-GVO als Orientierung für „Privacy Laws“ auch in anderen Ländern außerhalb Europas dient.
1.6 EDPS prüft Einsatz von AWS und MS Clouddiensten
Der Europäische Datenschutzbeauftragte, der die Aufsicht über die europäischen Einrichtungen wahrnimmt, hat eine Überprüfung der Nutzung der Clouddienste von AWS und MS Cloud sowie des Einsatzes von MS 365 angekündigt. Bereits im Jahr 2020 hatte er kurz vor dem EuGH-Urteil zu Schrems II bereits seine Ergebnisse seiner damaligen Untersuchung hinsichtlich des Einsatzes von Microsoft-Produkten und -Dienstleistungen veröffentlicht. Der EDPS kündigt Untersuchungen zum Einsatz von AWS und MS 365 an. Basis seiner Betrachtungen ist die Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und zum freien Datenverkehr.
1.7 Bußgeld gegen Webseitenbetreiber
Es ist ja nicht so, dass niemand gewarnt hätte: In Deutschland sind zwar Bußgelder aufgrund von Webseiten mit unzureichender Umsetzung der datenschutzrechtlichen Anforderungen selten (auch wenn sich dadurch wahrscheinlich die Pandemiekosten gegenfinanzieren lassen könnten), in Spanien gibt´s da aber schon mal ein Bußgeld. Beim Aufruf der Website erfolgte zwar eine Einblendung, in der über den Einsatz von Cookies informiert wurde. Eine direkte Möglichkeit die Cookies alle oder einzeln abzulehnen bzw. auszuschalten hatte allerdings nicht bestanden. Die Nutzer wurden stattdessen darauf verwiesen die Cookies über ihre Browsereinstellungen zu konfigurieren. Dafür gab es dann eine Sanktion in Höhe von 1.000 Euro, die sich aufgrund der Mitwirkung an Verfahrenserleichterungen allerdings noch um 40% reduzierte.
1.8 CNIL zu Schrems II
Ich hatte bis auf die Aktion in Portugal gegenüber der dortigen Statistik-Behörde schon fast den Eindruck, nur die deutschen Aufsichtsbehörden thematisieren Schrems II innerhalb Europas so hartnäckig. Nun fordert die CNIL eine Änderung bei der Nutzung von US-Kooperationsinstrumenten für Hochschulbildung und Forschung. Sie wurde durch die Konferenz der Universitätspräsidenten und der Konferenz der Grandes Ecoles über die Verwendung von „kollaborativen Bildungssuiten“ angesprochen.
Dabei geht es um die Verwendung von Tools zur Zusammenarbeit in Hochschulbildung und Forschung, die von bestimmten Unternehmen mit Sitz in den USA angeboten werden. Angesichts des Risikos des illegalen Zugriffs auf Daten fordert die CNIL eine Änderung der Nutzung dieser Instrumente und wird die betroffenen Organisationen bei der Ermittlung möglicher Alternativen unterstützen. In Frankreich hat die Regierung zudem Mitte Mai eine nationale Cloud-Strategie angekündigt, um die in diesen Diensten verarbeiteten Daten besser zu schützen und gleichzeitig die Souveränität Frankreichs zu behaupten.
2 Rechtsprechung
2.1 Brexit
Zuerst stimmte das EU-Parlament vor Pfingsten gegen den Entwurf des Angemessenheitsbeschlusses der EU-Kommission für das Vereinigte Königreich. Nach Pfingsten urteilte der Europäische Menschenrechtsgerichtshof dann (siehe auch 7.5), dass die Massenüberwachungsaktivitäten durch die Geheimdienste in UK gegen die Menschenrechtecharta verstoße (Art. 8 der Europäischen Menschenrechtskonvention – Menschenrecht auf Achtung des Privat- und Familienlebens sowie Art. 10 – Menschenrecht auf Freiheit der Meinungsäußerung). Nun wird es noch spannender, wie bis Ende Juni eine datenschutzrechtliche Regelung für den Datentransfer auf Basis eines Angemessenheitsbeschlusses mit dem Vereinigten Königreich getroffen werden kann.
Gelingt dies nicht, gelten für den Datentransfer nach UK die gleichen Anforderungen wie in die USA. Hinsichtlich der Aktivitäten der Geheimdienste legte der Europäische Menschenrechtsgerichtshof dann auch Anforderungen fest, wie die unabhängige Autorisierung der Massenüberwachung: Ein Richter oder eine andere unabhängige Stelle soll eine aussagekräftige und präzise Ermächtigung erteilen, bei der zudem auch während der Umsetzung Maßnahmen gegen Missbrauch vorgesehen sind. Auch steigen die Anforderungen an die Auswahl der Inhalte, diese müssen ebenso durch eine unabhängige Autorisierung abgesichert werden. Diese Vorgaben sind damit nicht nur für die Geheimdienste in UK als Vorgaben umzusetzen. Evtl. werden nun die Forderungen des EU-Parlaments, die ein No-Spy-Abkommen mit UK fordern, eher Gehör finden.
2.2 Überwachungsermöglichungspflicht eines E-Mail-Dienstleisters
Der E-Mail-Dienstleister Totao GmbH muss nach einem Beschluss des BGH die Überwachung von zwei E-Mail-Adressen ermöglichen. Die beanstandete Anordnung der Telekommunikationsüberwachung und -aufzeichnung sei rechtmäßig. Es komme nicht darauf an, ob das Unternehmen Telekommunikationsdienste im Sinne des § 3 Nr. 24 TKG erbringe, also solche, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Nach § 100a Abs. 1 Satz 1 StPO muss unter bestimmten Umständen Telekommunikation überwacht und aufgezeichnet werden, nach § 100 Abs. 4 StPO müsse jeder TK-Dienstleister Gerichten, Staatsanwaltschaften und Polizei die Überwachung ermöglichen.
2.3 Pressemitteilungen zu Bußgeldern
Die Aufsichtsbehörde hält das Vorgehen eines Unternehmens für rechtswidrig, sanktioniert und will in einer Pressemeldung den Namen des Unternehmens benennen? Dann sollte der Beschluss des OVG NRW beachtet werden, der feststellt, dass amtliche Äußerungen, die einen unmittelbaren Grundrechtseingriff darstellen oder einem solchen Grundrechtseingriff als funktionales Äquivalent gleichkommen, regelmäßig der Rechtfertigung durch eine gesetzliche oder verfassungsunmittelbare Ermächtigungsgrundlage bedürfen.
3 Gesetzgebung
3.1 Betriebsrätemodernisierungsgesetz
Vor Pfingsten stimmte der Bundestag noch einem Gesetz zur Betriebsrätemodernisierung zu. Die datenschutzrechtliche Klassifizierung des Betriebsrats (§ 79a BetrVG) wird ebenso geregelt wie das Recht bei der Bewertung des Einsatzes von KI einen Sachverständigen hinzuziehen zu dürfen (§ 80 nach Abs. 3 BetrVG). Dies sollten Hersteller von Personalverwaltungssoftware berücksichtigen, damit sie bereits bei der Konzeption denkbare Fragestellungen berücksichtigen. Durch eine Erweiterung der Änderung wurde in § 79a auch die Verschwiegenheitspflicht des Datenschutzbeauftragten gegenüber dem Arbeitgeber hinsichtlich des Meinungsbildungsprozesses innerhalb des BR geregelt. Eine Differenzierung, ob der DSB aufgrund einer gesetzlichen Vorgabe wie Art. 37 DS-GVO oder § 38 Abs. 1 BDSG oder nur freiwillig benannt wurde, erfolgt hierbei nicht.
„§ 79a Datenschutz: Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“
Ergänzung:
„Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. Die §§ 6 Absatz 5 Satz 2, 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“
Auch können Betriebsräte künftig bei der Beurteilung Künstlicher Intelligenz einen Sachverständigen hinzuziehen (Ergänzung nach § 80 Abs. 3 BetrVG). Es sollten daher Anbieter von Personalverwaltungssystemen auch darauf achten, dass bei dem Einsatz von künstlicher Intelligenz im Rahmen der Mitbestimmung entsprechende Fragen entstehen können und nicht nur bei einer Datenschutz-Folgenabschätzung durch die einsetzende Stelle. Evtl. bietet sich auch an nicht gleich jeden Algorithmus als „Künstliche Intelligenz“ vermarkten zu wollen, um nicht Missverständnisse und unter Umständen auch Verzögerungen bei der Einführung von Systemen zu riskieren.
Die Befassung des Bundesrates ist für den 28. Mai vorgesehen*.
* Franks Nachtrag: Der Bundesrat hat keinen Antrag auf Einberufung des Vermittlungsausschusses gestellt und damit dem Gesetz zugestimmt. Da das Gesetz am Tag nach der Verkündung in Kraft tritt (siehe Artikel 5), ändert sich da wohl recht bald etwas für uns…
3.2 TTDSG
Kaum wurde das TTDSG letzte Woche im Bundestag verabschiedet, schon gibt es erste Hinweise auf kritische Interpretationsmöglichkeiten. Bei dem räumlichen Anwendungsbereich lassen sich schnell Gestaltungen finden, bei denen die Geltung auch für Webseiten außerhalb Deutschland Anwendung fände. Auch bei weiteren Regelungen wie § 24 (Auskunftsverfahren bei Nutzungsdaten) oder bei der neuen Cookie-Regelung in § 25 werden sich Fragen auftun, die idealerweise bis 01.12.2021 geklärt sein sollten. Für die anerkannten Dienste für das Einwilligungsmanagement nach § 26 sind durch die Bundesregierung erst noch die erforderlichen Anforderungen über eine Rechtsverordnung festzulegen.
Zwar wird das Gesetz durch die Werbewirtschaft stark kritisiert, ob aber der Bundesrat tatsächlich Nachbesserungen einfordert, wird angesichts des verbleibenden Kürze der Legislaturperiode fraglich sein*.
Wer sich noch nicht verstärkt mit PIMS (Personal Information Management Services) befasst hat, kann sich über die Studie der Stiftung Datenschutz aus dem Jahr 2017 dazu einen Überblick über die dahinterstehenden Zielsetzungen verschaffen.
* Franks Nachtrag: Offensichtlich hatte der Bundesrat keinen Nachbesserungsbedarf, er hat am Freitag dem Gesetz auch zugestimmt. Next Stop: Unterschrift des Bundespräsidenten und Verkündung.
3.3 ePrivacy: Trilog-Verhandlungen starten
Fast schon passend zum TTDSG beginnen in diesen Tagen die Verhandlungen zum Trilog der ePrivacy-VO. Fragen zur Dauer des Trilog, was letztendlich dabei rauskommt und ob es eine evtl. Übergangszeit geben wird sind nun reine Spekulation. Spannend wird es, inwieweit Gestaltungen aus dem TTDSG dann bereits als Erfahrungswerte berücksichtigt werden können. Manche rechnen mit einer Anwendung der ePrivacy-VO nicht vor 2024.
3.4 China Data Privacy Law
Es wurde durch uns bereits darüber berichtet: Auch China ist dabei ein Privacy Law zu verabschieden. Jetzt darf man sich nicht erwarten, dass der Staat, der den Bürgern Hongkongs die Freiheitsrechte einschränken möchte und in dem Uiguren verfolgt werden, nun über Nacht zu einem Paradebeispiel für die Übernahme der Werte aus der DS-GVO werden könnte.
Aber die Parallelität zu einigen Gestaltungen der DS-GVO lässt hoffen, dass sich daraus doch eine Basis entwickelt, die bei einem weltweiten gemeinsamen Standard der Datenverarbeitung Berücksichtigung finden kann.
4 Veröffentlichungen
4.1 Data Protection Landscape
Ein kleines Highlight kommt hier an prominenter Stelle: die inhaltlich wie graphische gelungene Darstellung einer Data Protection Landscape. Gelungen schon allein deshalb, weil sich nicht auf die Eindimensionalität einer „Privacy Landscape“ eingelassen wurde, sondern auch die Rahmenbedingungen der Gestaltung einer Datenverarbeitung durch die Bezeichnung sehr weit gefasst wurde.
Dabei erhebt die Darstellung natürlich keinen Anspruch auf Vollständigkeit, sondern soll nur als Beitrag einer Diskussion über die vielen noch offenen Fragestellungen zur DS-GVO dienen. Die Unterteilung gliedert sich in Recht, Ökonomie und Ethik, umfasst eine Suchfunktion und Verknüpfungen zu „verwandten“ Kacheln.
4.2 Schrems II: Möglichkeiten der USA?
Ein interessantes Papier wurde in den USA veröffentlicht. Welche Möglichkeiten gibt es innerhalb der USA ohne Maßnahmen des Kongresses Überwachungsmaßnahmen im Sinne des Schrems-II-Urteils zu minimieren? Unabhängig davon, dass ein europäischer Exporteur darauf keinen Einfluss nehmen könnte, es lässt hoffen, dass die Diskussion innerhalb der USA eine politische Lösung forciert.
4.3 Datenschutzrechtliche Einwilligung im Gesundheitswesen
Die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) und der Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) haben eine Praxishilfe zur datenschutzrechtlichen Einwilligung im Gesundheitswesen (Stand vom 30.04.2021) herausgegeben. Sie steht unter einer Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) und beinhaltet neben den datenschutzrechtlichen Grundlagen Ausführungen zum „Broad Consent“ ebenso wie z.B. zur Einwilligung von Kindern oder im Beschäftigungsverhältnis aber auch eine FAQ-Liste.
4.4 Umfrage zu Icons
Die Universität von Maastrich führt eine Umfrage zu Icons durch, die Informationspflichten nach der DS-GVO erleichtern soll. Es wäre schön, wenn die Möglichkeiten der Erleichterungen aus Art. 12 DS-GVO endlich auf einen europäischen Standard gehoben werden könnten.
4.5 Gemeinschaftsgremium Cybersecurity
DIN und DKE haben das Gemeinschaftsgremium „Cybersecurity“ gegründet. Damit werden die Kompetenzen im Bereich Cybersicherheits-Normung in Deutschland zukünftig gebündelt.
Die deutschen Stakeholder aus Wirtschaft, Wissenschaft, öffentlicher Hand und Verbraucherschutz erhalten bei den zu erwartenden Normungsaktivitäten durch bevorstehende EU-Regulierungen so besseren Zugang zur Mitgestaltung. Das neue Gemeinschaftsgremium soll als nationales Spiegelgremium für die Konsolidierung der deutschen Meinung sowie die Entsendung der deutschen Delegation in die europäischen Gremien zuständig sein.
4.6 Datenschutz und Künstliche Intelligenz (Süd-Korea)
Süd-Korea steht kurz vor einem Angemessenheitsbeschluss durch die EU-Kommission, womit dann Datentransfers nach Süd-Korea aus der EU heraus unproblematischer zu behandeln sein werden. Nun wurde in Süd-Korea erstmal eine Sanktion gegen ein Unternehmen verhängt, das in einem Chatbot mit Nutzern unangemessene, d.h. homophobe, rassistische und diskriminierende Sprache zum Einsatz brachte.
4.7 Trackingdaten bei Essenslieferanten
Ein Bericht des Bayerischen Rundfunks brachte den Stein ins Rollen: Werden bei einem Essenslieferanten detaillierte Tracking-Daten seiner Fahrer – teils jahrelang – gespeichert? Was wäre die rechtliche Grundlage für eine engmaschige Überwachung? Der Fall wurde an die Aufsichtsbehörde in den Niederlanden abgegeben, in denen die Firma ihren Sitz hat.
4.8 Global Privacy Principles and Definitions
Die Global Data and Marketing Alliance (GDMA) hat ihre Global Privacy Principles and Definitions veröffentlicht. Die DDV hat diese auch auf Deutsch zugänglich gemacht. Mit ihnen soll ein weltweit passender Rahmen für die Kundenkommunikation, der alle rechtlichen und kommerziellen Ansätze abdecken soll, geschaffen werden. Sie sind als Best-Practice-Instrument konzipiert und sollen als Leitfaden für Selbstregulierung und Gesetzgebung dienen. Über sieben Punkte wird darauf abgezielt vertrauenswürdiges und erfolgreiches wirtschaftliches Handeln zu kultivieren, indem sie jedem Einzelnen mit Fairness, Transparenz und Respekt vor der Privatsphäre zur Seite stehen. Das Leitprinzip des Respekts und der Achtung der Privatsphäre erzeuge Vertrauen innerhalb der Kundenkommunikation – im Sinne des Austauschs von Werten zwischen einer erfolgsorientierten Organisation und einem an Nutzen interessierten Individuum.
Franks Nachtrag: Und jetzt bitte „nur noch“ den Worten Taten folgen lassen @GDMA und @DDV
4.9 DSFA für eine Covid-19 App
Hier geht es weder um die Corona-Warn-App noch um die Luca-App, sondern um die App, die durch das Department of Health and Social Care (DHSC) im Vereinigten Königreich eingesetzt wird und für die dort ein Data Protection Impact Assessment (DPIA) durchgeführt wurde. Das DPIA berücksichtigt weder das SDM aus Deutschland noch die ISO 29134. In der DPIA werden Ziele, Funktionen und Anforderungen der App beschrieben, um dann auf einzelne Risiken einzugehen, die in einem Risk Register abgebildet werden.
4.10 Aufzeichnungen der Daten-Dienstage des Museums für Kommunikation
Die Aufzeichnungen der Veranstaltungen des Museums für Kommunikation, die zusammen mit dem BayLDA und dem BvD angeboten werden, sind nun im Netz verfügbar [Vimeo].
- Alexander Filip: „Datenschutz in Zeiten der Pandemiebekämpfung“ (mit aktuellem Exkurs zu Schrems II) – 21.07.2020
- Frederick Richter: „Chancen der Anonymisierung“ – 22.09.2020
- Kristin Benedikt: „Webseiten ohne Bußgeldrisiko“ – 17.11.2020
- Prof. Dr. Thomas Petri, „40 Jahre Europäisches Datenschutz-Übereinkommen 1981: Rückblick und Perspektive“ – 26.01.2021
- Tobias Zobel: „Nutzung klinischer Daten“ – 23.02.2021
4.11 Ulrich Kelber im Interview
Auf Phoenix war der BfDI im Interview (Dauer 1:02 Std.) und äußerte sich u.a. zu Anforderungen an die Corona-Warn-App, zur Einbindung in Gesetzgebungsverfahren, zu der Unterscheidung zwischen Pseudonymisierung und Anonymisierung, zu dem Förderalismus und zur Zusammenarbeit der Aufsichtsbehörden. Aber auch sein persönlicher Werdegang und sein zweiten Aufgabengebiet, die Informationsfreiheit, werden thematisiert
4.12 Veranstaltungen
4.12.1 Stiftung Datenschutz: „Datenschutz im Ehrenamt: Newsletter versenden“
31.05.2021, 17:00 – 18:00 Uhr, kostenlos, Anmeldung erforderlich.
4.12.2 Die Demokratie plattformfest machen
02.06.2021, 20:00 – 21:30 Uhr, Social Media Councils als Werkzeug zur gesellschaftlichen Rückbindung der privaten Ordnungen digitaler Plattformen, kostenlos, Anmeldung erforderlich.
5 Gesellschaftspolitische Diskussionen
5.1 Impfpass
Jetzt wird er kommen. Litauen fängt an, Italien folgt und in Deutschland diskutieren wir die datenschutzrechtlichen Anforderungen. Zumindest wissen wir jetzt schon mal, wie er heißen wird: „CovPass“. Ein Testlauf findet in Brandenburg statt. Die Zertifikate für die „CovPass“-App sollen nach Angaben des BMG auch mit der Corona-Warn-App des Bundes funktionieren. Sie soll entsprechend erweitert werden, um auch Impfungen anzeigen zu können. Die App soll Ende Juni / Anfang Juli in Betrieb gehen. Dann sollten auch alle Impflinge bei ihrer Zweitimpfung ein entsprechendes Zertifikat erhalten. Für Menschen, die bis dahin schon komplett geimpft wurden, soll es mehrere Möglichkeiten geben, die Impfungen in die App hochzuladen. Wer in einem Impfzentrum geimpft wurde, soll den dafür nötigen QR-Code nach Einführung der App automatisch per Post erhalten. Wer in einer Arztpraxis zweitgeimpft wurde, solle ihn da oder alternativ in einer Apotheke erhalten. Allerdings kritisierte der BfDI auch diese Woche, dass ihm noch nicht alle Unterlagen zur technischen Umsetzung vorlägen, um eine qualifizierte Unterstützung / Bewertung beisteuern zu können.
5.2 Emotionenerkennung über Gesichtsanalyse – Chinesische Vorbilder?
Schon länger blicken Trendforscher nach China, um aus den dortigen IT-Entwicklungen Ableitungen auch für europäische Geschäftsmodelle und Strategien zu definieren.
Doch nicht jede Entwicklung sollte auf westliche Märkte übertragbar sein. Die BBC berichtet, dass an Uiguren die Möglichkeiten der emotionalen Bewertung eines Zustandes über Gesichtserkennung in Polizeistationen in Xinjiang getestet werden. Xinjiang hat 12 Millionen Einwohner, die meisten gehören zu der Ethnie der Uiguren, die mehrheitlich muslimisch sind und in China in der Ausübung ihrer Kultur eingeschränkt werden.
So sollten auch IT-Trends aus China weiterhin kritisch bewertet werden, wenn deren Einsatz einer Zielsetzung folgt, die nicht unseren Maßstäben entspricht. Es möchte ja auch sicherlich keiner von der Geschichte rückblickend als „Marketing-Mengele“ bezeichnet werden.
5.3 Interview-Projekt zu Künstlicher Intelligenz und Nachhaltigkeit
Für die “Plattform Lernende Systeme” von Acatech führte eine Fachjournalistin im Auftrag des Bundesministeriums für Bildung und Forschung 15 explorative Interviews mit Expertinnen und Experten. Für jedes Interview gab es vorbereitete Leitfragen, es konnte jedoch im journalistischen Sinne auch nachgehakt und aufgebrachte Fragestellungen weiterverfolgt und eingeordnet werden. Ausgehend von der technikzentrierten Frage, was KI-gestützte Methoden für unterschiedliche Prozesse rund um Fragen der sozialökologischen Nachhaltigkeit beitragen können, wurden Menschen aus Unternehmen, Wissenschaft und Zivilgesellschaft mit theoretischem wie praktischem Domänenwissen im Bereich der Informatik und Ingenieurwissenschaften, der Ökologie und Geografie, der Energie- und Landwirtschaft, Psychologie und Philosophie, Rechts- und Politikwissenschaft sowie Ökonomie einbezogen. Die Interviews werden nach und nach hier veröffentlicht.
6 Sonstiges/Blick über den Tellerrand
6.1 Datenschutz und Digitale Schule
Ein Thema, das seit der Pandemie viele Stakeholder gefunden hat: Datenschutz und Digitale Schule. War dies bislang ein Themengebiet für Experten, Idealisten und Sonntagsreden von Politikern, hat jede Familie mit schulpflichtigen Kindern in der Pandemie begriffen, welche Aufgaben in den letzten Jahrzehnten vernachlässigt wurden und welche noch vor uns liegen. Um hier die Anforderungen, Rahmenbedingungen und Lösungsmöglichkeiten zu skizzieren, hat das Forum Digitalisierung ein Impulspapier Datenschutz und Digitale Schule veröffentlicht. Neben der Darstellung der Ausgangssituation und der Analyse der Herausforderungen werden Lösungsansätze und ein Ausblick auf insgesamt 15 Seiten vorgestellt.
6.2 Sprachassistenten als Beweismittel in Strafverfahren?
Sie wollen Straftaten begehen und dabei vermeiden, dass Aufnahmen von Ihrem Sprachassistenten als Beweismittel verwendet werden? Überlegt Sie es sich lieber zweimal: die Straftat und den Sprachassistenten!
Hier lesen Sie, wann Aufnahmen verwendet werden dürfen und hier [YouTube] sehen Sie im Siegerbeitrag des Datenschutz-Medienpreises 2020, wie vertrauenswürdig Sprachassistenten sind.
7. Franks Zugabe
7.1 AmaZen Booth
Wie heißt es so schön zu Beginn des verlinkten Artikels? Selbst eine Dystopie würde wegen Amazons „ZenBooth“ wimmern…
Bin ich froh, dass jetzt hoffentlich bald die Geschäfte wieder öffnen werden und so alle wieder vor Ort einkaufen können, also im wahrsten Sinne des Wortes IRL.
7.2 Facebook und Minderjährigenschutz
Ups, they did it again… Facebook scheint den Minderjährigenschutz doch nicht ganz so ernst zu nehmen. Na, wenn das mal keinen Shitstorm gibt … (doch, doch. bitte!)
7.3 How does bluetooth work?
Gemäß dem beruflichen Leitbild der Datenschutzbeauftragten des BvD (hier in der vierten Auflage zu finden) müssen Datenschutzbeauftragte über technisches Verständnis verfügen und Sachverhalte der Informationstechnologien verstehen (siehe 1.2.2 IUK-Fachwissen). Deswegen könnten wir die Frage natürlich sofort vertieft und umfassend beantworten.
Aber wenn wir mal keine Zeit (oder Lust) haben und die Fragenden des Englischen mächtig sind? Dann zeigen wir ihnen dieses Video [YouTube]…
7.4 Double-Encrypting Ransomware?
Ransomware – nun auch doppelt effektiv dank double encryption? Wie Bruce Schneier in seinem Blog darstellt, scheint es eine neue Taktik beim Monetarisieren von Ransomware zu geben. Nicht schön.
An anderer Stelle gibt er einen unorthodoxen aber scheinbar nicht schlechten Tipp: Russische Tastaturen (Link zu Brian Krebs, einem anderen Sicherheitsexperten). Ob das natürlich jetzt noch lange hilft, nachdem die Information nun bekannt ist?
Das Cybercrime ein Problem ist, welches nicht weggehen wird, sollte bekannt sein…
(Ja, jedes Wort ist ein anderer Link. Und ja, fast alles ist aus der vergangenen Woche.)
7.5 Grand Chamber of the European Court of Human Rights rules UK mass surveillance laws violate privacy and freedom of expression rights
Wie unter 2.1 bereits geschrieben hat die Große Kammer des Europäischen Gerichtshofs für Menschenrechte am 25.05.2021 ihr Urteil im Verfahren „Big Brother Watch and Others v. the United Kingdom (application nos. 58170/13, 62322/14 and 24969/15)“ gesprochen (wir hatten es letzte Woche angekündigt).
Privacy International gibt eine gute Zusammenfassung zum Urteil (inklusive der „geschichtlichen Herleitung“). Zivilgesellschaftlichen Organisationen sind in ihren Bewertungen nicht durchgängig positiv (1 und 2).
Zu Recht, denn im Grundsatz scheint dieses Urteil z.B. nationale oder europäische Überlegungen zur Vorratsdatenspeicherung nicht zu verneinen. Schade…
7.6 Digital Rights alliance file legal complaints across Europe against facial recognition company Clearview AI
Mehrere europäische (oder auch in Europa tätige) Bürgerrechtsorganisationen haben in ihren jeweiligen Staaten bei den jeweils zuständigen Aufsichtsbehörden Beschwerde gegen die Massenüberwachung durch das Gesichtserkennungsunternehmen ClearView AI eingelegt. Gut so!
7.7 #StopStalkerAds!
Real-Time-Bidding ist ja eigentlich schon ein alter Hut, leider aber immer noch top-aktuell. Deswegen gibt es weiterhin Aktivitäten, die aktuelleste ist #StopStalkerAds! Auf deren Seite können wir den MEPs auch unseren Unmut über die StalkerAds gleich mit auf den Weg geben… Mitmachen!
7.8 Die wunderbare Welt der Digitalisierung
Digitalisierung soll ja helfen. Nur wem?
Cory Doctorov berichtet, wie spannend es war, die Zahnreinigung seiner Tochter (in den USA) zu bezahlen. Lesenswert, wenn wir immer hören, dass Digitalisierung und Marktöffnung für alle nur Vorteile bringt, wie man in den USA sehen könne.
Digitalisierung first, bedenken second, irgendjemand?
Aber eigentlich sollte diese Meldung ja den Stand der Digitalisierung bei uns darstellen.
Wobei das, was geplant ist, nicht immer wirklich funktionieren muss…
Und das geht jetzt nicht gegen Oberfranken. Das kann der Bund noch viel besser!
Ich befürchte, dass ist auf allen Ebenen in allen Regionen möglich.
Ich glaube, ich beende diesen Blogbeitrag jetzt. Habe spontan keine Motivation mehr, noch irgendetwas zu schreiben…