Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21-23/2023)“
Hier ist der 69. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21-23/2023)“.
Auch hier sind wieder mehrere Wochen zusammengefasst. Bei einer Veranstaltung lohnt sich Schnelligkeit, wenn sie Sie interessiert.
- Aufsichtsbehörden
- Irland: Maßnahmen gegen Facebook
- LfDI Baden-Württemberg: Wahl durch Landtag
- Berlin: Tätigkeitsbericht 2022
- Berlin: Tätigkeitsbericht 2022 – Zuständigkeit für Gerichte
- Berlin: Tätigkeitsbericht 2022 – Seltene Personenverwechslung mit fatalen Folgen
- Berlin: Tätigkeitsbericht 2022 – Umfang der Auskunft
- Berlin: Tätigkeitsbericht 2022 – Informationspflichten beim Datenabruf auf Handelsregister
- Berlin: Tätigkeitsbericht 2022 – Stand der Technik bei Authentifizierung
- Berlin: Tätigkeitsbericht 2022 – Pseudonymisierung als zusätzliche Maßnahme im Drittstaatentransfer
- Berlin: Tätigkeitsbericht 2022 – Interessenskonflikt bei einem DSB
- Berlin: Tätigkeitsbericht 2022 – Gemeinsame Verantwortlichkeiten bei Werbemaßnahme einer Partei
- LfD Bayern: Orientierungshilfe Internationaler Datentransfer
- CNIL: Tätigkeitsbericht 2022
- Belgien: Untersagung der Übermittlung von Steuerdaten in die USA
- Dänemark: Verantwortlichkeit des Webseitenbetreibers bei der Übertragung durch Meta
- Irland: Statistik zu One-Stop-Shop – Arbeit als federführende Aufsichtsbehörde
- EDSA: Guidelines 04/2022 on the calculation of administrative fines under the GDPR
- EDSA: Abgestimmte Entscheidungen zu Recht auf Löschen und Widerspruchsrecht
- Hessen und das ULD: Fragenkatalog an OpenAI bezüglich ChatGPT
- Hessen: Beschäftigtendatenschutz nach EuGH-Urteil
- Berlin: Bußgeld nach automatisierter Kreditverneinung – ohne Erklärung
- AEPD: DS-GVO und Künstliche Intelligenz
- Irland: Angekündigte Sanktionen gegen Microsoft
- Finnland: Befragung DPO
- Niederlande: Überwachung von Algorithmen
- Kanada: Privacy in the Workplace
- Spanien: Bußgeld gegen Auftragsverarbeiter wegen eines nicht genehmigten Subprocessors
- Schweden: TLS nicht ausreichend bei besonders schützenswerten Daten
- BSI: Mindeststandard zur Verwendung von TLS
- BSI: Bessere IT-Absicherung für Kommunen
- Schweiz: Tätigkeitsbericht für 2022
- Bundeskartellamt: Facebook führt Kontenübersicht ein
- FTC: Microsoft und Daten von Kindern
- Rechtsprechung
- EuGH: Voraussetzung von Art. 9 Abs. 2 und Verschuldensanforderungen bei Art. 82 DS-GVO
- EuGH: FIN-Nummer als personenbezogenes Datum?
- EuGH: Vorlage zur Klärung der Haftung bei unzulässigen Registerdaten
- LSG Niedersachsen: Anspruchsumfang einer natürlichen Person gegenüber der Aufsicht
- OLG Köln: Art. 15 DS-GVO umfasst keine auslösenden Faktoren einer Beitragsanpassung
- BVwG Österreich: Drittstaatentransfer über eine Webseite
- VG Berlin: Beurteilung eines DSB im Beschäftigungsverhältnis
- LG Hannover: Anforderungen an Online-Coaching nach dem Fernunterrichtungsgesetz
- OLG Hamm: Anspruch auf Herausgabe der E-Mail-Adressen von Mit-Vereinsmitgliedern
- VGH Bayern: Grenzen der Videoüberwachung einer öffentlichen Fläche durch Kommune
- LArbG Baden-Württemberg: Bloßer Ärger reiche für immateriellen Schadenersatz nicht aus
- LG Lübeck: Schadenersatz bei Scraping
- BAG: Betriebsratsvorsitzender als DSB im Interessenskonflikt
- EuGH-Vorschau: Prüfung der Fingerabdrücke in Ausweisdokumenten (C-61/22)
- Gesetzgebung
- Direkte Haftung der Leitungsorgane
- Fünf Jahre DS-GVO
- EU-USA-Datentransfer
- EU: Audio-Chatkontrolle
- EU: Leitfaden zu Standarddatenschutzklauseln / ASEAN
- Bayern: Open Data
- AI-Regulatorik im Vergleich
- Luxemburg Cyber Defence Cloud – und wir
- HinSchG im BGBl. veröffentlicht
- Trans-Atlantic Data Privacy Framework
- BMDV: Entwurf für „PIMS“-Verordnung nach § 26 Abs. 2 TTDSG
- Deutscher Anwaltsverein (DAV): Data Act
- Immer noch: Chatkontrolle und Regulierung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Skript Internetrecht Stand März 2023
- 2FA – Was ist sicherer Schutz?
- Awareness – So machen es andere
- EuG: Besprechungen zu pseudonymen Daten
- Virtuelle Gefahren und der Datenklau
- AGB, Zustimmung (zur Datenschutzerklärung) und rechtliche Folgen
- DAkks: Anpassung der Prozesse für das Akkreditierungsverfahren
- Veranstaltungen
- LfD Niedersachsen: Schulung für Vereine -neu-
- BLM: Der Bann von Social Media auf Jungendliche -neu-
- itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
- Vorankündigung – GI: Designing Feminist Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT…
- Brauchen wir ein neues Grundrecht?
- Chat-Bot gegen Ess-Störungen?
- Tesla-Leaks
- 40 Jahre später…
- Datenleck, die zweite – Jobbörse Pflegia
- Datenleck, die dritte – Microsofts Datenmarktplatz Xandr
- Sie stehen auf KI und Podcasts?
- Wer hat uns gehackt?
- Apropos Jubiläen, apropos Geheimdienste – Zehn Jahre Edward Snowden, irgendjemand?
- Apropos Digitalisierung in Deutschland
- LLMs are good at playing you
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Irland: Maßnahmen gegen Facebook
Es hatte sich ja angekündigt: Meta hat durch die irische Datenschutzaufsicht ein neues Rekordbußgeld zugesprochen bekommen. Vorausgegangen war eine Entscheidung des EDSA, der die irische Aufsicht dazu verpflichtete. Natürlich will Facebook dagegen klagen. Und natürlich wird diese Entscheidung ausreichend kommentiert. Da Meta auch angewiesen wurde, seinen Datentransfer rechtskonform zu gestalten, bleibt abzuwarten, wie sich diese Entscheidung auf andere Transfers auswirkt, sollte sich der Angemessenheitsbeschluss noch verzögern.
Freunde von Facebook müssen sich aber keine Sorgen machen. Beim letzten großen Bußgeld gegen dieses Geschäftsmodell 2019 in den USA über 5 Mrd. US-$ stieg der Börsenkurs am nächsten Tag.
Unabhängig davon finden sich schon zahlreiche Besprechungen der Entscheidung aus verschiedenen Blickwinkeln, wie hier. Aber auch durch eine Kanzlei, die Facebook berät.
1.2 LfDI Baden-Württemberg: Wahl durch Landtag
Der Landtag von Baden-Württemberg hat sich für einen neuen LfDI entschieden, dieser muss nun noch durch die Landtagspräsidentin ernannt werden.
1.3 Berlin: Tätigkeitsbericht 2022
Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit erfreut mit einem Tätigkeitsbericht für das Jahr 2022. Sie veröffentlicht auch gleich passend dazu eine Zusammenfassung ihres Tätigkeitsberichts, so dass ich eigentlich keine weiteren Inhalte hervorheben müsste. Mache ich aber trotzdem. Auch weil sich sehr serviceorientiert auf einzelne Punkte des Berichts verlinken lässt.
1.4 Berlin: Tätigkeitsbericht 2022 – Zuständigkeit für Gerichte
Wann sind die Datenschutzaufsichtsbehörden auch für Gerichte zuständig? Damit befasst sich die BlnBfDI in Ziffer 3.1 und kommt zu dem Ergebnis, dass dies weiterhin im Einzelfall zu klären sei, welche Tätigkeit inhärent justizieller Natur ist.
1.5 Berlin: Tätigkeitsbericht 2022 – Seltene Personenverwechslung mit fatalen Folgen
Sie haben sicher schon mal Ihren Namen in eine Suchmaschine eingegeben und dabei festgestellt, ob es Personen mit identischem Namen gibt. Es kann ja auch schon mal zu Verwechslungen kommen. Ärgerlich ist es dann, wenn diese namensgleiche Person anderen Geld schuldet und nicht zahlt. Dann kann dann auch dazu führen, dass ein Gerichtsvollzieher die Forderung eintreiben möchte. Mit einem sog. Pfändungs- und Überweisungsbeschluss kann dieser – einen vollstreckbaren Titel vorausgesetzt – schnell an die Konten der mutmaßlich Säumigen kommen. Ist ein Konto nicht bekannt, hilft eine Anfrage beim Bundeszentralamt für Steuern (BZSt) im Rahmen des sog. Kontenabrufverfahren. Dort nämlich laufen Informationen zu Kontostammdaten aller Bankkund:innen zusammen. Was ehemals zur Prüfung der Einkünfte aus Kapitalvermögen eingeführt wurde, findet inzwischen vielfach Anwendung, u. a. in der Zwangsvollstreckung. Das alles klingt noch sehr nach Alltagsgeschäft. Was den Fall aus der Ziffer 3.3 aber so außergewöhnlich macht, ist, dass hier eine namensgleiche Person auch noch exakt dasselbe Geburtsdatum hatte. Sie unterschieden sich nur im Geburtsort, der aber bei einer Abfrage an das BZSt nicht mitgeliefert werde. Es braucht nicht viel Phantasie, was es die Person an Aufwand und Widerstand gekostet hat die Pfändungen der Konten rückgängig zu machen. Aus den Ausführungen des Tätigkeitsberichts ist zu entnehmen, dass beim BZSt nun eine Doppelgängerliste geführt werde, in die entsprechende Fälle nach Bekanntwerden aufgenommen würden. Durch gesetzliche Anpassungen stünden für eine eindeutige Identifizierung nunmehr die steuerliche Identifikationsnummer zur Verfügung, auch seien die automatisierten Plausibilitätsprüfungen verbessert worden, indem Zweifelsfälle händisch bearbeitet würden.
1.6 Berlin: Tätigkeitsbericht 2022 – Umfang der Auskunft
Unter Ziffer 10.1 äußert sich die BlnBfDI zum Umfang einer Auskunft. Dies umfasse auch sämtliche zur Person gespeicherte Daten, wie u. a. Bestellhistorie, Bonitätskennzahlen, Log-in-, Klick- und Browserdaten oder die Kommunikation mit der betroffenen Person. Darüber hinaus sind der betroffenen Person weitere Informationen (sog. Metainformationen) mitzuteilen, also z. B. woher die Daten stammen, an wen sie weitergegeben wurden oder wie lange sie gespeichert werden. Sollten einzelne Punkte im konkreten Fall nicht einschlägig sein, etwa weil keine Weitergabe der Daten erfolgt ist, dürfen die Verantwortlichen nicht einfach dazu schweigen, sondern müssen eine entsprechende Negativauskunft erteilen. Anderenfalls wäre für die betroffene Person nicht erkennbar, ob tatsächlich keine entsprechende Datenverarbeitung stattfand oder die Datenauskunft lediglich unvollständig ist.
So umfasst eine Auskunft gemäß ihren Ausführungen in Ziffer 10.2 auch die Pflicht Datenkopien, wie bspw. Telefonaufzeichnungen, zu übermitteln. Ein Auskunftsersuchen könne nicht mit dem Einwand, es diene datenschutzfremden Zwecken, verweigert werden, wenn kein offenkundig unbegründeter oder exzessiver Antrag oder rechtsmissbräuchliches Verhalten vorliegt.
1.7 Berlin: Tätigkeitsbericht 2022 – Informationspflichten beim Datenabruf auf Handelsregister
Der Abruf personenbezogener Daten aus dem Handelsregister durch kommerzielle Plattformen kann im Einzelfall rechtmäßig sein, schildert die BlnBfDI unter Ziffer 10.3. Wer sich für das Geschäftsmodell der Massendatenveröffentlichung entscheidet, muss auch die daraus resultierenden Pflichten erfüllen. Ein solches Unternehmen kann sich in der Regel nicht auf die Ausnahme des unverhältnismäßigen Aufwands berufen.
1.8 Berlin: Tätigkeitsbericht 2022 – Stand der Technik bei Authentifizierung
Recht deutlich wird die BlnBfDI mit der Aussage in dem Bericht unter Ziffer 10.5, dass Benutzername und Passwort für den Schutz personenbezogener Daten nicht mehr dem Stand der Technik entsprechen. Sie macht dabei noch Ausführungen, dass sie ein Verfahren für ausreichend erachtet, wenn die Person, die sich als berechtigt ausweisen möchte, ein Gerät (wie z. B. ein Smartphone) besitzt, das ein komplexes kryptografisches Geheimnis verwahrt, wie z.B. beim FIDO2-Standard.
1.9 Berlin: Tätigkeitsbericht 2022 – Pseudonymisierung als zusätzliche Maßnahme im Drittstaatentransfer
Um Daten in ein Land zu exportieren, das keinen ausreichenden Schutz der Persönlichkeitsrechte über einen Angemessenheitsbeschluss bietet, sind tiefgreifende technische Maßnahmen nötig, die einen Missbrauch exportierter Daten ausschließen. Pseudonymisierung kann dies leisten. Doch müssen nach den Ausführungen unter Ziffer 10.10 alle Möglichkeiten, pseudonymisierte Daten wieder Einzelpersonen zuzuordnen, berücksichtigt werden. So sah dies auch ein Handelsunternehmen vor, das Dienstleister für die Abwicklung der Geschäfte seines Onlineshops einsetzen wollte. Dieser Dienstleister hat seinen Sitz in den USA und verarbeitet dort auch vornehmlich die Daten, die ihm anvertraut werden. Auf dem Weg von den Kund:innen über den Onlineshop zum Dienstleister sollten die Daten so verändert werden, dass die Kund:innen weder für den Dienstleister noch für Behörden, die die Aushändigung der Daten des Dienstleisters hätten verlangen können, erkennbar sind. Die BlnBfDI erinnert dann daran, dass der EDSA daher in seinen Empfehlungen die Anforderung aufstellt, dass keine der zusätzlichen Informationen, die der Zuordnung von pseudonymisierten Daten zu einzelnen Personen dienen können, in dem Land verfügbar sein dürfen, in das diese exportiert werden. Anderenfalls bestünde kein wirksamer Schutz für die Daten.
Sie führt dazu aus, dass dabei die Möglichkeiten, die US-amerikanischen Behörden zur Erkennung von Personen in Datenbeständen zur Verfügung stünden und von denen vermutet werden könne, dass sie auch tatsächlich einsetzen, nicht zu unterschätzen seien. Es sei nicht unwahrscheinlich, dass die Strategie einiger dieser Behörden darin bestünde sich Daten aus vielen Quellen zunächst auf Vorrat anzueignen und bei Bedarf miteinander zu vernetzen. Hierfür kämen etwa die Datenströme in Betracht, die aus Bezahlvorgängen stammen. Viele Bezahldienstleister:innen hätten ihren Sitz in den USA. Die von ihnen verarbeiteten Daten unterlägen dem Zugriff US-amerikanischer Behörden. Auch die Society for Worldwide Interbank Financial Telecommunication (SWIFT) mit Sitz in Belgien, die weltweit besonders viele Transaktionen abwickelt, sei zur Herausgabe von Daten verpflichtet. Handelsgeschäfte, die elektronisch bezahlt werden, wie die aus dem Geschäft des Handelsunternehmens, ließen sich mit derart aufgezeichneten Transaktionen abgleichen und damit die Identität zumindest eines Teils der Kund:innen aufdecken.
Dementsprechend wies die BlnBfDI die von dem Unternehmen vorgesehene Maßnahme als unzureichend zurück.
1.10 Berlin: Tätigkeitsbericht 2022 – Interessenskonflikt bei einem DSB
Jede/r weiß: Datenschutzbeauftragte dürfen bei ihrer Tätigkeit in keinen Interessenskonflikt geraten. Eine Unternehmensgruppe darf auch einen gemeinsamen DSB ernennen (Art. 37 Abs. 2 DS-GVO), was z.B. bei Konzerndatenschutzbeauftagten oft genutzt wird. Unter Ziffer 12.5 ging es um einen Interessenskonflikt eines Datenschutzbeauftragten einer Tochtergesellschaft eines E-Commerce-Konzerns. Die Person war zugleich Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag desjenigen Unternehmens, für die sie als Datenschutzbeauftragter benannt war, personenbezogene Daten verarbeiteten. Die von dieser Person geführten Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns, umfassten den Kundenservice und führten Bestellungen aus. Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Das Bußgeld ist noch nicht rechtskräftig.
1.11 Berlin: Tätigkeitsbericht 2022 – Gemeinsame Verantwortlichkeiten bei Werbemaßnahme einer Partei
Der Fall unter Ziffer 14.1 ist noch nicht rechtskräftig entschieden. Ein Bürger erhielt eine an ihn persönlich adressierte Wahlwerbung des Landesverbands einer politischen Partei in seinen Briefkasten. Er hatte der werbenden Partei weder seine Adresse genannt, noch sonst mit ihr in Verbindung gestanden. Die Angaben im Impressum der Werbebroschüre brachten ihn nicht weiter, denn sie führten lediglich zu einem Adresshändler. Auf seine Nachfrage bei der Partei sah sich diese zunächst als nicht zuständig an und stellte sich auf den Standpunkt, dass man die Adressen zugekauft und die Werbung über einen sog. Lettershop vom Adressdienstleister versenden habe lassen. Selber habe man die Adressen nie in der Hand gehabt, sondern nur Inhalte beigesteuert. Im Rahmen der Prüfung der BlnBfDI stellte sich heraus, dass die Partei den Listeneigner insbesondere damit beauftragt hatte Adressen zu übermitteln, die bestimmten Selektionskategorien entsprachen: So sollten die Angeschriebenen bspw. „Performer-ähnliche Merkmale“ aufweisen, „[Partei-]affin und jünger als 60 Jahre“ sein. Aus den Datensätzen sollten zudem bestimmte politische Einstellungen und die Zugehörigkeit zu bestimmten sozialen Milieus ersichtlich werden. Der Landesverband der Partei wurde aus mehreren Gründen verwarnt: Adresshändler und Partei waren vorliegend gemeinsam Verantwortliche, da weder der Adresshändler noch die Partei ohne den jeweils anderen Teil über die Auswahl der Adressen abschließend entscheiden konnte. Dafür spiele es keine Rolle, ob die Partei unmittelbaren Zugriff auf die Daten hatte. Die Daten seien ohne Rechtsgrundlage verarbeitet worden, da keine Einwilligung des Angeschriebenen in den Empfang von Parteiwerbung vorlag. Gleichzeitig sei die Partei ihren Informations- und Auskunftspflichten nicht nachgekommen. Die Partei hat gegen die Verwarnung Klage beim Verwaltungsgericht erhoben, über die noch nicht entschieden wurde.
1.12 LfD Bayern: Orientierungshilfe Internationaler Datentransfer
In Bayern hat die Aufsicht für den öffentlichen Bereich eine neue Orientierungshilfe zum Internationalen Datentransfer veröffentlicht. Zumindest für bay. öffentlichen Stellen ist diese interessant. Positiv hervorzuheben sind praxisnahe Beispiele und deren Bewertung wie Backup durch einen Clouddienstleister aus einem Drittstaat (RN 73) oder Einsatz eines Videokonferenzsystems im Bewerbungsverfahren (RN 115). Aber wenn sich selbst Aufsichtsbehörden nicht auf eine einheitliche Interpretation und Veröffentlichung verständigen können, wie soll man dazu noch motiviert beraten?
1.13 CNIL: Tätigkeitsbericht 2022
Die französische Datenschutzaufsicht CNIL hat ihren Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Dabei betonte sie ihre Kampagnen in 2022, die sich u.a. auch an Schulklassen richteten. Sie habe auch mehr Beschwerden abgearbeitet als eingingen und damit den bisherigen „Berg“ etwas abarbeiten können. Dieses Ergebnis sei auch auf die Eröffnung eines Portals zurückzuführen, das den Nutzern die Möglichkeit bietet ihre Akte zu verfolgen und den Austausch mit der CNIL zu vereinfachen und zu sichern.
Sie verweist auch auf ihre Leitfäden, Benchmarks und Empfehlungen und die kostenlose Schulungsmöglichkeit (MOOC Atelier RGPD), die allen offen stünden.
Bei der Durchsetzung erwähnt sie 21 Sanktionen und 147 förmliche Aufforderungen wie auch in Bezug auf den kumulativen Betrag der Geldbußen, der mehr als 100 Millionen Euro betrage. Seit dem Inkrafttreten der DS-GVO im Jahr 2018 übersteigt der Gesamtbetrag der verhängten Sanktionen eine halbe Milliarde Euro.
Bei ihren Sanktionsverfahren führte sie vereinfachtes Verfahren ein, bei dem Fälle, die keine besonderen rechtlichen oder technischen Schwierigkeiten aufweisen, besser bearbeitet werden könnten. Bei diesen vereinfachten Verfahren sei die Geldbuße auf maximal 20.000 Euro begrenzt.
1.14 Belgien: Untersagung der Übermittlung von Steuerdaten in die USA
Nach ihrer eigenen Pressemeldung untersagt die belgische Datenschutzaufsicht die Übermittlung von personenbezogenen Daten in die USA an dortige Steuerbehörden. Dabei handelt es sich um die personenbezogenen Daten belgischer „Accidental Americans“ durch den belgischen Föderalen Öffentlichen Dienst Finanzen (FÖD Finanzen) an die US-Steuerbehörden im Rahmen des zwischenstaatlichen FATCA-Abkommens. Dies hält die belgische Aufsicht für rechtwidrig und kündigt an dies zu verbieten. Nach Ansicht der belgischen Datenschutzbehörde entspricht die im Rahmen dieses Abkommens durchgeführte Datenverarbeitung nicht allen Grundsätzen der Datenschutz-Grundverordnung (DS-GVO), einschließlich der Vorschriften für Datenübermittlungen in Länder außerhalb der EU. Sie fordert den FÖD Finanzen außerdem auf den zuständigen Gesetzgeber auf die von der Datenschutzbehörde festgestellten Mängel hinzuweisen. Im Detail geht es u.a. auch um die Anwendbarkeit des Art. 96 DS-GVO, der internationalen Übereinkünfte zur Datenübermittlung in Drittländer eine Art Bestandsgarantie gibt, sofern diese mit dem damaligen Recht vor der DS-GVO in Einklang standen.
Diesem Bericht zufolge will die Regierung nun diese Datenübermittlung einstellen.
1.15 Dänemark: Verantwortlichkeit des Webseitenbetreibers bei der Übertragung durch Meta
Im Rahmen der Bearbeitung einer Beschwerde von noyb aus dem Jahr 2020 zum Einsatz von „Facebook Connect“-Tools, einschließlich „Facebook Login“ und „Facebook Pixel“, auf einer Webseite bewertet die dänische Aufsicht nach diesem Bericht auch die Verantwortlichkeit des Webseitenbetreiber für die Aktivitäten von Meta. Dabei kommt sie zu dem Ergebnis (ab Ziffer 3.2 ff), dass allein ein gemeinsames Interesse einen Webseitenbetreiber auch zum Verantwortlichen für einen rechtkonformen Datentransfer in einen Drittstaat werden lässt:
“Followingly, the Danish DPA considers that by integrating these tools on its website, Boligportal has enabled the collection and transmission of personal data of the complainant as this processing activity is performed in the economic interest of both Boligportal and Meta Ireland, whereas the latter’s access to this data for the purpose of evaluating and determining the preferences and behaviour of the complainant contributes to the efficacy of Meta Ireland’s advertising platform which also benefits Boligportal in the form of improved marketing opportunities on Facebook.
In light of the foregoing, it is the view of the Danish DPA that Boligportal and Meta Ireland jointly determine the purposes and means for the collection and transmission of personal data of the complainant and shall be considered as joint controllers for these processing operations.”
1.16 Irland: Statistik zu One-Stop-Shop – Arbeit als federführende Aufsichtsbehörde
Ist die Erfolgsquote der irischen Datenschutzaufsicht doch besser als ihr Ruf? Auf Basis ihrer Darstellung der Tätigkeiten in einem aktualisierten Bericht kann sich nun jede/r selbst ein Urteil bilden. Die Aktivitäten umfassen die Beschwerden, die im grenzüberschreitenden Bereich an sie im Zeitraum von Mai 2018 bis April 2023 herangetragen wurden. So seien über 22.000 Beschwerden eingegangen und 20.000 abgeschlossen worden. Der Bericht ist hier verlinkt. Und keine Überraschung: 34 % der Beschwerden betreffen Meta, die Beschwerden zu WhatsApp (7%) werden extra ausgewiesen. Und sicher auch keine Überraschung: Die meisten Beschwerden (19%) kamen aus Deutschland.
1.17 EDSA: Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Der EDSA hat die Leitlinie 04/2022 für die Berechnung von Geldbußen in einer überarbeiteten Fassung veröffentlicht. Damit soll eine Harmonisierung der Berechnung von Geldbußen erreicht werden. Dabei werden drei Elemente berücksichtigt: die Kategorisierung der Verstöße nach ihrer Art, die Schwere des Verstoßes und der Umsatz eines Unternehmens. In der Leitlinie wird eine fünfstufige Methodik dargelegt, bei der die Anzahl der sanktionierbaren Verhaltensweisen, die möglicherweise zu mehreren Verstößen führen, der Ausgangspunkt für die Berechnung der Geldbuße, erschwerende oder mildernde Faktoren, die gesetzlichen Höchstbeträge für Geldbußen sowie die Anforderungen der Wirksamkeit, Abschreckung und Verhältnismäßigkeit berücksichtigt werden. Im Anschluss an die öffentliche Konsultation wurde ein Anhang mit einer Referenztabelle hinzugefügt, in der die Methodik zusammengefasst ist, begleitet von einer ausführlichen Lesehilfe, um klarzustellen, dass die Leitlinien bei der Berechnung der Geldbuße führend sind und dass die Tabelle nur zur Veranschaulichung dient, sowie zwei Beispiele, die die Funktionsweise und Anwendung der Tabelle veranschaulichen sollen.
Natürlich kommen dann auch mal Rückfragen, wie viel Bußgeld bei welchem Verstoß erwartet werden kann, die Vorgabe aus Art. 83 Abs. 1 DS-GVO, dass jedes Bußgeld in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein sollte, reicht nicht jede:r. Ob dann sogenannten Bußgeldrechnern vertrau werden sollte, muss dann auch jede:r selbst entscheiden, einige haben gleich angekündigt, ihr Modell an die Überarbeitungen der Guideline anzupassen. Empfehlenswert scheint es allemal, es gar nicht erst soweit kommen zu lassen, zumal das Risiko, dass betroffenen Personen Schadenersatz fordern können, davon nicht umfasst wird.
1.18 EDSA: Abgestimmte Entscheidungen zu Recht auf Löschen und Widerspruchsrecht
Der EDSA hat Entscheidungen auf Basis einer One-Stop-Shop-Grundlage zusammenstellen lassen, um zu zeigen, wie innerhalb des EDSA eine zielorientierte Zusammenarbeit erfolgt.
Der One-Stop-Shop-Mechanismus (OSS) erfordert die Zusammenarbeit zwischen der federführenden Aufsichtsbehörde (LSA für Lead Supervisory Authority) und den betroffenen Aufsichtsbehörden (CSAs für Concerned Supervisory Authorities). Die LSA leitet die Untersuchung und spielt eine Schlüsselrolle bei der Erreichung einer koordinierten Entscheidung zwischen den SAs. Die LSA untersucht den Fall unter Berücksichtigung der nationalen Verfahrensvorschriften und stellt sicher, dass Einzelpersonen ihre Rechte wahrnehmen können. Sie arbeitet mit den anderen betroffenen Aufsichtsbehörden zusammen und bemüht sich einen Konsens zu erzielen. Insbesondere kann sie Informationen einholen von einer anderen Aufsichtsbehörde im Wege der gegenseitigen Amtshilfe oder durch die Durchführung einer gemeinsamen Untersuchung einholen. Das Binnenmarkt Informationssystem (IMI) unterstützt die Behörden beim Austausch von relevanten Informationen. Die LSA arbeitet dann einen Entscheidungsentwurf aus, den sie den CSAs vorlegt. Diese haben das Recht Einspruch zu erheben. Dies führt entweder zu einem überarbeiteten Entscheidungsentwurf oder der EDPB wird, wenn kein Konsens gefunden werden kann, als Streitbeilegungsgremium tätig und erlässt eine verbindliche Entscheidung. In einem solchen Fall muss die LSA seine endgültige Entscheidung auf der Grundlage der Entscheidung des EDSB treffen. Die Beispiele umfassen die Themenbereiche Recht auf Löschen und Widerspruch. Die Zusammenstellung findet sich hier.
1.19 Hessen und das ULD: Fragenkatalog an OpenAI bezüglich ChatGPT
Eine der Aufsichten aus Deutschland, die Fragen an OpenAI hinsichtlich des Einsatzes von ChatGPT stellten, ist Hessen. Der Fragenkatalog wurde nun veröffentlicht. OpenAI hat demnach eine Fristverlängerung zur Beantwortung bis 30. Juni 2023 erhalten. Auch das ULD hat Fragen gestellt.
1.20 Hessen: Beschäftigtendatenschutz nach EuGH-Urteil
Welche Folgen hat das EuGH-Urteil (C-34/21), dass zwar eine Regelung aus dem HDSiG betraf, aber auch auf § 26 BDSG anwendbar ist? Damit befasst sich diese Handreichung des HBDI.
1.21 Berlin: Bußgeld nach automatisierter Kreditverneinung – ohne Erklärung
Die Berliner Aufsicht hat nach eigenen Angaben ein Bußgeld in Höhe von 300.000 Euro gegen eine Bank aufgrund mangelnder Transparenz einer automatisierten Ablehnung eines Kreditkartenantrags verhängt. Die Bank hatte sich demnach geweigert einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Anhand der abgefragten Informationen und zusätzlicher Daten aus externen Quellen lehnte der Bank-Algorithmus den Antrag des Kunden ohne besondere Begründung ab. Der Algorithmus basiert auf zuvor von der Bank definierten Kriterien und Regeln. Der Kunde hatte aber aus seiner Sicht positive Vermögensverhältnisse, dennoch machte die Bank auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich auch ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Kunde konnte somit nicht nachvollziehen, welche Datenbasis und Faktoren der Ablehnung zugrunde lagen und anhand welcher Kriterien sein Kreditkartenantrag dementsprechend abgelehnt worden ist. Ohne diese Einzelfallbegründung war es ihm aber auch nicht möglich die automatisierte Einzelentscheidung sinnvoll anzufechten.
Bei automatisierten Entscheidungen also immer beachten, dass diese selbst im Nachhinein noch nachvollziehbar dargestellt werden können.
1.22 AEPD: DS-GVO und Künstliche Intelligenz
Bereits im Februar 2020 veröffentlichte die spanische Aufsicht ihre Hinweise zur Umsetzung der DS-GVO bei Verarbeitungen, die künstliche Intelligenz einsetzen. Auch in Englisch. Nun wurden diese Aussagen um weitere Hilfestellungen auf der Webseite ergänzt.
1.23 Irland: Angekündigte Sanktionen gegen Microsoft
Berichten zufolge wurde Microsoft informiert, dass die irische Aufsicht ein Bußgeld verhängen will. Ursächlich sei eine frühere Praxis bei LinkedIn gewesen Werbung zuzuspielen. Microsoft hätte deshalb bereits 425 Mio. US-$ in Rückstellungen berücksichtigt.
1.24 Finnland: Befragung DPO
Dass die europäischen Datenschutzaufsichten eine koordinierte Befragung zum Datenschutzbeauftragten durchführen, hatten wir bereits berichtet. Auch dass sich in Deutschland nur das BayLDA beteiligt und dass der Fragebogen zwischenzeitlich durch einen betroffenen DSB veröfentlicht wurde. Die finnische Aufsicht veröffentlicht dazu auch die Stellen, an die sie den Fragebogen geschickt hat.
1.25 Niederlande: Überwachung von Algorithmen
Die niederländische Aufsicht informiert, dass sie im Jahr 2023 mit neuen Aufgaben ausgestattet wurde, um die Aufsicht über die Entwicklung und Nutzung von Algorithmen zu stärken. Damit werde die breitere gesellschaftliche Aufgabe erfüllt den Einsatz von Algorithmen besser zu überwachen, Diskriminierung und Willkür entgegenzuwirken und Transparenz zu fördern.
1.26 Kanada: Privacy in the Workplace
Die kanadische Aufsicht veröffentlicht überarbeitete Hinweise zur Beachtung der Datenschutzanforderungen im Arbeitsverhältnis.
1.27 Spanien: Bußgeld gegen Auftragsverarbeiter wegen eines nicht genehmigten Subprocessors
Im Rahmen der Beschwerde aufgrund eines Werbeanrufes stellte die spanische Aufsicht fest, dass ein eingesetzter Auftragsverarbeiter für die Callcenteraufgaben einen weiteren Auftragsverarbeiter einsetzte, zu dessen Einsatz er keine vorherige Genehmigung des Verantwortlichen einholte. Aufgrund der unzureichenden Zusammenarbeit bei der Aufklärung gab es neben den 10.000 Euro Bußgeld für den Verstoß gegen Art. 28 Abs. 2 DS-GVO auch noch 5.000 Euro wegen Verstoßes gegen Art. 58 Abs. 1 DS-GVO gegen den Auftragsverarbeiter.
1.28 Schweden: TLS nicht ausreichend bei besonders schützenswerten Daten
Eine Versicherung kommunizierte medizinische Daten mittels einer TLS-Verschlüsselung und nicht mit einer Ende-zu-Ende-Verschlüsselung. Der schwedischen Aufsicht genügt das gemäß diesem Bericht nicht. Sie verwarnte die Versicherung, die nach dem Hinweis die Sicherheit der Kommunikationslösung erhöht hatte.
1.29 BSI: Mindeststandard zur Verwendung von TLS
Das BSI aktualisiert den Mindeststandard zur Verwendung von Transport Layer Security (TLS). Damit formuliert es klare Vorgaben zum Einsatz sicherer TLS-Versionen und einer sicheren Konfiguration für die IT der Bundesverwaltung. Es sieht die Verwendung von TLS-abgesicherter Kommunikationen als einen essentiellen Bestandteil an, gerade auch bei der Tätigkeit im Home-Office bzw. bei mobiler Arbeit. Zudem bietet es begleitend ein Hilfsdokument sowie eine Referenztabelle dazu an.
1.30 BSI: Bessere IT-Absicherung für Kommunen
Zusammen mit kommunalen Spitzenverbänden startet das BSI ein Pilotprojekt für die bessere IT-Absicherung in Kommunen. Für kleinere Kommunen sei die Umsetzung der IT-Grundschutz-Standards des BSI zu komplex, daher soll diesen mit dem Pilotprojekt „Weg in die Basis-Absicherung“ (WiBA) eine neue Einstiegsebene in den IT-Grundschutz angeboten werden. Sie würden mit Checklisten, Prüffragen und Hilfsmitteln versorgt, mit denen sie die dringlichsten Maßnahmen selbst identifizieren und umsetzen können.
1.31 Schweiz: Tätigkeitsbericht für 2022
Ja, in der Schweiz gilt die DS-GVO nicht unmittelbar. Dennoch versucht das Nachbarland gleichwertigen Datenschutz umzusetzen, um den Angemessenheitsbeschluss der EU-Kommission nicht zu gefährden. Der Tätigkeitsbericht für 2022 der Datenschutzbeauftragten des Kantons Zürich wurde sogar primär online vorgestellt. Es finden sich darin viele Aussagen, z.B. dass die Auslagerung von Berufsgeheimnissen (hier durch ein Hochschulinstitut der Psychologie) in die MS-365-Cloud auch unter Verwendung einer Kunden-Lockbox nicht als rechtskonform angesehen werde.
1.32 Bundeskartellamt: Facebook führt Kontenübersicht ein
Das Bundeskartellamt vermeldet, dass Facebook es Betroffenen nun im Rahmen einer „Kontenübersicht“ ermöglicht selbst darauf Einfluss nehmen zu können, welche Angebote des Konzerns Meta (Instagram, WhatsApp, Facebook) miteinander vernetzt werden („Crossposting“). Facebook wäre nicht Facebook, wenn damit nicht auch das Nutzungsrecht für Werbung verknüpft wäre. Aber immerhin.
1.33 FTC: Microsoft und Daten von Kindern
Auch in den USA gerät Microsoft ins Visier der Aufsicht. Die FTC (Federal Trade Commission) plant nach eigenen Angaben ein Bußgeld in Höhe von 20 Mio. US-$, weil Microsoft bei der Nutzung der Xbox Daten von Kindern verarbeitete ohne das vorherige Einverständnis der Eltern sicherzustellen. Dabei stellt sie klar, dass Avatare, biometrische Daten und Gesundheitsdaten nicht vom Children’s Online Privacy Protection Act (COPPA) ausgenommen seien. Darüber hinaus werden Microsoft weitere Maßnahmen aufgegeben wie Informationspflichten nachzuholen und Löschroutinen für die Daten zu implementieren.
2 Rechtsprechung
2.1 EuGH: Voraussetzung von Art. 9 Abs. 2 und Verschuldensanforderungen bei Art. 82 DS-GVO
„Darf ein Medizinischer Dienst Daten seiner eigenen Beschäftigten verarbeiten und wie ist dabei das Verhältnis zwischen Art. 9 Abs. 1 DS-GVO-Daten und einer der in Art. 6 Abs. 1 DS-GVO genannten Voraussetzungen?“ ist eine der Fragen im Fall C-667/21 (Krankenversicherung Nordrhein). Eine andere ist, ob Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter habe und ob dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden müsse. Ebenso soll geklärt werden, ob es auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters ankomme. Der Generalanwalt hat nun seine Schlussanträge veröffentlicht.
Er ist nicht der Ansicht, dass es einem Medizinischen Dienst einer Krankenkasse nicht untersagt sei, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten. Er geht auch davon aus, dass die Ausnahme vom Verbot der Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 DS-GVO) voraussetzt, dass mindestens eine der in Art. 6 Abs. 1 DS-GVO genannten Bedingungen erfüllt ist (RN65).
Der Grad des Verschuldens des Verantwortlichen oder des Auftragsverarbeiters sei weder für deren Haftung noch für die Bemessung der Höhe des nach Art. 82 Abs. 1 DS-GVO zu ersetzenden immateriellen Schadens von Bedeutung. Allerdings könne eine Beteiligung der betroffenen Person an dem Umstand, aus dem sich die Verpflichtung zum Schadenersatz ergibt, je nach Lage des Falles zu einer Befreiung des Verantwortlichen oder Auftragsverarbeiters von der Haftung gemäß Art. 82 Abs. 3 DSGVO führen.
2.2 EuGH: FIN-Nummer als personenbezogenes Datum?
Ist die Fahrzeug-Identifikationsnummer ein personenbezogenes Datum? Mit dieser Frage befasst sich der EuGH im Rahmen einer Fragestellung um die Offenlegung von Daten zur Wartung und Reparatur von Fahrzeugen (C-319/22). Der Generalanwalt bejaht in seinen Schlussanträgen, dass die FIN ein personenbezogenes Daten im Sinne von Art. 4 Nr. 1 DS-GVO sei, sofern derjenige, der Zugang zu ihnen hat, über Mittel verfügen kann, die es ihm bei vernünftiger Betrachtung ermöglichen sie zur Identifizierung des Eigentümers des jeweiligen Fahrzeugs zu nutzen. Es ist Sache des vorlegenden Gerichts zu prüfen, ob dem im konkreten Fall so ist (RN 42).
Das liegt meines Erachtens nach genau in der Argumentationslinie des EuG im Fall T-557/20.
2.3 EuGH: Vorlage zur Klärung der Haftung bei unzulässigen Registerdaten
Der EuGH darf im Verfahren C-200/23 (Agentsia po vpisvaniyata) u.a. den Haftungsumfang klären für im Rahmen einer Veröffentlichungspflicht unzulässigerweise veröffentlichte Daten (hier handschriftliche Unterschriften). Keine Sorge, die Vorlage kommt aus Bulgarien. Aber ich bin sicher nicht der Einzige, der sich an die ähnliche Thematik in Deutschland erinnert fühlt, als im Handelsregister mehr Daten auftauchten als erforderlich, wir berichteten (dort gerne die vorherigen Links verfolgen).
2.4 LSG Niedersachsen: Anspruchsumfang einer natürlichen Person gegenüber der Aufsicht
Welchen Anspruch hat eine natürliche Person gegenüber einer Datenschutzaufsicht, wenn sie sich über das Verhalten einer anderen Einrichtung beschwert? Diese Frage war im Rahmen eines Rechtsstreits einer versicherten Person zu klären. Die versicherte Person beschwerte sich über die Offenlegung von bestimmten Informationen aus einem Schreiben durch ihre Krankenkasse gegenüber ihrem Zahnarzt beim BfDI. Nach datenschutzrechtlicher Prüfung kam dieser zu dem Ergebnis, dass die Beschwerde teilweise gerechtfertigt sei und ein datenschutzrechtlicher Verstoß durch die Krankenkasse vorliege. Diese habe eingestanden, dass die Erwähnung eines Schreibens gegenüber der Zahnarztpraxis nicht erforderlich gewesen sei. Insoweit sei der Beschwerde stattzugeben. Die ebenfalls beanstandeten möglichen Falschaussagen stellten demgegenüber keinen eigenständigen Verstoß gegen datenschutzrechtliche Bestimmungen dar. Über die Richtigkeit zur Feststellung der Leistungspflicht habe das zuständige Sozialgericht zu entscheiden. Datenschutzrechtlich seien die möglicherweise fehlerhaften telefonischen Auskünfte des Mitarbeiters der Krankenkasse unbeachtlich. Insoweit werde die Beschwerde abgewiesen. Im weiteren Verfahren begehrte die betroffene Person, dass der Bescheid des BfDI aufzuheben sei und seiner Beschwerde stattzugeben sei.
Das Landessozialgericht Niedersachsen stellte dazu fest, dass Art. 77 DS-GVO den Datenschutzbehörden nicht nur die Pflicht auferlegt Beschwerden zu prüfen, zu untersuchen und die betroffene Person innerhalb einer angemessenen Frist zu informieren. Er begründet auch ein vollwertiges subjektives Recht auf eine Entscheidung, die frei von Ermessensfehlern ist.
Er widerspricht damit einer anderen Interpretation, bei der teilweise vertreten wird, dass aus Art. 78 Abs. 2 DS-GVO folge, dass ein Beschwerdeführer nur beanspruchen kann, dass sich die Aufsichtsbehörde mit seiner Beschwerde überhaupt befasse und ihn innerhalb der dort genannten Zeiträume über den Stand und das Ergebnis der Beschwerde unterrichte. Denn bei Art. 78 Abs. 1 DS-GVO einerseits und Art. 78 Abs. 2 DS-GVO andererseits handelt es sich um zwei unterschiedliche Rechtsbehelfe. Während Art. 78 Abs. 2 DS-GVO als Untätigkeitsklage ausgestaltet sei und sich darauf richte, dass die Behörde überhaupt tätig werde, garantiere Art. 78 Abs. 1 DS-GVO gerichtlichen Rechtsschutz gegen die getroffene Entscheidung selbst.
2.5 OLG Köln: Art. 15 DS-GVO umfasst keine auslösenden Faktoren einer Beitragsanpassung
Im Streit um Anpassungen von Versicherungsprämien sieht das OLG Köln wie das LG vorher in der Höhe der auslösenden Faktoren einer Beitragsanpassungen keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DS-GVO, so dass insofern Art. 15 DS-GVO als Anspruchsgrundlage ausscheide. Dies sieht auch das OLG Dresden so (dort RN 60).
2.6 BVwG Österreich: Drittstaatentransfer über eine Webseite
Das Bundesverwaltungsgericht (BVwG) Österreich hatte über eine Klage gegen eine Beanstandung im Drittstaatentransfer über die Einbindung eines Webseitenanalyse-Tools zu entscheiden. Dabei äußert es sich auch zu den zusätzlichen Maßnahmen, die seitens des Webseitenbetreibers und des Betreibers des Webanalysetool vorgebracht wurden.
Das Gericht stellt zunächst zum Personenbezug fest (unter Ziffer II.3.6.2.1), dass es aufgrund der vorliegenden Umstände – Big Data, Nutzensteigerungen, des Zwecks und der Funktionsweise des Webanalysedienstes und Fingerprinting – von einem faktischen Risiko auszugehen sei, dass der Webanalysedienst als Auftragsverarbeiterin der Webseitenbereiberin nach allgemeinem Ermessen wahrscheinlich Mittel zur Identifizierung der natürlichen Person einsetze. Auch ist das Gericht der Ansicht, dass unabhängig von dem Webanalysedienst das faktische Risiko bestünde, dass US-Behörden nach allgemeinem Ermessen wahrscheinlich Mittel zur Identifizierung des Beschwerdeführers einsetzen. In diesem Zusammenhang führe der Beschwerdeführer nachvollziehbar aus, dass Nachrichtendienste der USA Online-Kennungen (IP-Adresse oder einzigartige Kennnummern) als Ausgangspunkt für die Überwachung von Einzelpersonen heranzögen. So könne insbesondere nicht ausgeschlossen werden, dass diese Nachrichtendienste bereits Informationen gesammelt hätten, mit deren Hilfe die hier übertragenen Daten auf die Person des Beschwerdeführers rückführbar seien. So übermittelt der Webanalysedienst aufgrund von Datenanfragen Metadaten und Inhaltsdaten. Der Umstand, dass es sich hierbei nicht bloß um eine „theoretische Gefahr“ handele, zeige sich am Urteil C-311/18 (Schrems II), mit dem aufgrund der Unvereinbarkeit solcher Methoden und Zugriffsmöglichkeiten der US-Behörden mit dem Grundrecht auf Datenschutz gemäß Art. 8 EU-GRC letztlich auch der EU-US-Angemessenheitsbeschluss („Privacy Shield“) für ungültig erklärt wurde. In diesem Zusammenhang haben weder der Beschwerdeführer noch der Webseitenbetreiber die Möglichkeit zu verifizieren, ob US-Behörden bereits personenbezogene Daten übermittelt worden sind, bzw. ob US-Behörden bereits personenbezogene Daten des Beschwerdeführers besitzen. Dieser Umstand kann der betroffenen Personen, wie hier dem Beschwerdeführer, nicht zur Last gelegt werden.
Das BVwG äußert sich auch zu den zu den zusätzlichen Maßnahmen (II.3.6.2.2.2). In Bezug auf die dargelegten vertraglichen und organisatorischen Maßnahmen sei nicht erkennbar, inwiefern durch eine Überprüfung einer Anfrage von US-Behörden durch Anwälte bzw. durch speziell geschultes Personal, zwecks Einhaltung geltender Gesetze und interner Richtlinien, die in Art. 7, 8 und 47 der Charta verbürgten Grundrechte nicht verletzt werden. Die Einhaltung von US-Gesetzen – also die Verpflichtung zur Herausgabe von Daten – führt gerade zur Verletzung der Grundrechte von betroffenen Unionsbürgern.
Eine zusätzliche Maßnahme sei nur dann als effektiv im Sinne von Schrems II (C-311/18) anzusehen, sofern und soweit sie – für sich genommen oder in Verbindung mit anderen – genau die Rechtsschutzlücken schließt, die der Datenexporteur bei seiner Prüfung der für seine Übermittlung geltenden Rechtsvorschriften und Praktiken im Drittland festgestellt habe. Sollte es dem Datenexporteur letztendlich nicht möglich sein ein der Sache nach gleichwertiges Schutzniveau zu erzielen, dürfe er die personenbezogenen Daten nicht übermitteln.
Ebenso komme der Benachrichtigung von Kunden kein Begründungswert zu, bevor eine ihrer Informationen US-Behörden bekannt gegeben wird. Dies deshalb, da eine Weitergabe von Informationen nach europäischem Recht unverhältnismäßig ist und der betroffene Unionsbürger keine wirksamen Rechtsbehelfe gegen eine Weitergabe habe. Schließlich können auch die Veröffentlichung eines Transparenzberichtes sowie die Veröffentlichung der Politik Webanalysetoolbetreibers im Umgang mit Regierungsanfragen die rechtswidrigen Umstände nicht beseitigen, damit die in Art. 7, 8 und 47 der Charta verbürgten Grundrechte nicht verletzt werden.
Einen risikobasierten Ansatz im Drittstaatentransfer verneint das Gericht unter Ziffer II.3.6.2.2.3:
Soweit der Webanalysetoolbetreiber im verwaltungsbehördlichen Verfahren einen risikobasierten Ansatz unterstellt, sei zu beachten, dass sich dieser Ansatz schon mit dem Wortlaut des Art. 44 DS-GVO nicht vereinbaren lasse. Art. 44 DSGVO erfasse jedwede Übermittlung von personenbezogenen Daten. Die Norm differenziere daher nicht danach, ob äußerst niederschwellige Daten übertragen werden für die ein nur sehr geringes Basisrisiko besteht. Zwar sähe die DS-GVO in einzelnen Bestimmungen einen risikobasierten Ansatz vor (zB Art. 24 Abs. 1 und Abs. 2, Art. 25 Abs. 1, Art. 30 Abs. 5, Art. 32 Abs. 1 und Abs. 2, Art. 34 Abs. 1, Art. 35 Abs. 1 und Abs. 3 oder Art. 37 Abs. 1 lit. b und lit. c DS-GVO), jedoch führe dieser Umstand nicht dazu, dass der risikobasierte Ansatz analog auf Art. 44 DSGVO anzuwenden sei.
Wer jetzt etwas fragend da steht, wie nun weiterhin ein Drittstaatentransfer in die USA außerhalb von Anonymisierungsmaßnahmen rechtkonform erfolgen könne, kann sich damit trösten, dass es ja bald einen Angemessenheitsbeschluss zugunsten Datenempfängern in die USA geben soll und dass zu dem Urteil des BVwG die Revision zugelassen wurde.
2.7 VG Berlin: Beurteilung eines DSB im Beschäftigungsverhältnis
Kann ein im öffentlichen Dienst als Beamter tätiger Datenschutzbeauftragter verlangen, dass er nicht in dieser Tätigkeit von seinem Vorgesetzten beurteilt wird? Das VG Berlin meint dazu: Nein.
Ein Datenschutzbeauftragter einer öffentlichen Stelle kann auch weiterhin im Rahmen der Mitarbeiterführung beurteilt werden. Ein Verbot seiner Beurteilung folge auch nicht aus der Stellung des Datenschutzbeauftragten, insbesondere seiner fachlichen Weisungsfreiheit. Die fachliche Weisungsfreiheit und die damit verbundene gewisse sachliche Unabhängigkeit eines Beamten hindert eine Beurteilung ebenso wenig wie ein etwaiges Benachteiligungsverbot. Die Weisungsfreiheit und das Benachteiligungsverbot können auch beim Inhalt der Beurteilung hinreichend berücksichtigt werden. Denn bestimmte Leistungen sind objektiv messbar und damit beurteilbar (z.B. die Arbeitsmenge). In der Regel ebenfalls beobachtbar und bewertbar dürften soziale und kommunikative Fähigkeiten und Führungskompetenzen sein, ohne dass damit Beeinträchtigungen der Weisungsfreiheit einhergehen. Ob das Benachteiligungsverbot verletzt ist, setze regelmäßig sowieso eine Prüfung des konkreten Einzelfalls voraus.
2.8 LG Hannover: Anforderungen an Online-Coaching nach dem Fernunterrichtungsgesetz
Wer Kurse zum Online-Coaching durchführt, muss nach dem Urteil des LG Hannover die Vorgaben des Fernunterrichtsgesetzes beachten. Da dies im vorliegenden Fall nicht vorlag, sei auch die Geltendmachung des Vergütungsanspruches zu verwehren. Der gegenständliche Vertrag sei wegen Verstoßes gegen das Schriftformgebot aus § 3 Abs. 1 FernUSG (in der bis zum 31.12.2020 geltenden Fassung) gemäß §§ 125, 126 BGB nichtig. Im konkreten Fall wurde nur ein fernmündlicher Vertrag abgeschlossen. Besprechung und Urteil finden Sie hier, weitere Informationen zu Fernunterricht dort.
2.9 OLG Hamm: Anspruch auf Herausgabe der E-Mail-Adressen von Mit-Vereinsmitgliedern
Hat ein Vereinsmitglied Anspruch auf Herausgabe der Kontaktdaten aller anderen Vereinsmitglieder? Das OLG Hamm hat damit kein Problem. Es müsse nur ein berechtigtes Interesse dargelegt werden und keine überwiegenden Geheimhaltungsinteressen des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen.
Ein berechtigtes Interesse sei u. a. dann gegeben, wenn eine Kontaktaufnahme mit anderen Vereinsmitgliedern beabsichtigt ist, um eine Opposition gegen die vom Vorstand eingeschlagene Richtung der Vereinsführung zu organisieren. Der Beitritt zu einem Verein begründe die Vermutung auch zu der damit einhergehenden Kommunikation – auch per E-Mail – bereit zu sein. Eine erhebliche Belästigung gehe damit regelmäßig nicht einher, zumal jedes Vereinsmitglied sich vor dem Erhalt unerwünschter E-Mails schützen könne. Das OLG Hamm sieht die datenschutzrechtliche Grundlage dazu in Art. 6 Abs. 1 lit. b DS-GVO (ab RN 66 des Urteils). Es weist aber auch darauf hin, dass das Mitglied mit Erhalt dieser Daten auch Verantwortlicher nach Art. 4 Nr. 7 DS-GVO wird (RN 77).
2.10 VGH Bayern: Grenzen der Videoüberwachung einer öffentlichen Fläche durch Kommune
Der Bayerische Verwaltungsgerichtshof entschied, dass eine flächendeckende Videoüberwachung eines Parks rechtswidrig sei. Die Videoüberwachung einer kommunalen Einrichtung gemäß Art. 24 Abs. 1 BayDSG sei keine Maßnahme zur Strafverfolgung oder zur Gefahrenabwehr im Sinne von Art. 2 Abs. 2 lit. d DS-GVO (RN 24). Auch die Datenschutz-Richtlinie für Justiz und Inneres (RL EU 2016/680 – sog. JI-Richtlinie) sei dafür nicht einschlägig. Mit den datenschutzrechtlichen Grundlagen befasst sich das Gericht dann dezidiert ab RN 32. Dabei führt der Bay. VGH ab RN 45 aus, dass für eine Videoüberwachung zur Eigensicherung einer öffentlichen Einrichtung erforderlich sei, dass zunächst festgestellt werden müsse, ob und welche Gefahren für die Rechtsgüter im Einzelnen bestehen. Eine bloß theoretische Gefährdungsmöglichkeit oder ein subjektiv empfundenes Unsicherheitsgefühl reiche für eine Videoüberwachung nicht aus. Die Einschätzung der Gefahrensituation setze eine Prognose voraus. Diese Prognoseentscheidung müsse auf einer Tatsachenbasis erfolgen. Hierzu müsse im Regelfall eine Vorfallsdokumentation erstellt werden.
Eine Videoüberwachung könne aber auch zulässig sein, wenn Schäden oder schwere Vorfälle in der Vergangenheit noch nicht aufgetreten sind, dann aber müsse die Erforderlichkeit der Videoüberwachung auf andere Weise dargelegt werden, soweit es sich nicht um einen Ort handele, an dem Gefahren für die Rechtsgüter immanent sind. Im vorliegenden Fall lehnt der Bay VGH dies für eine von allen Seiten einsehbare, überschaubare öffentliche Grünfläche ab (RN 46).
2.11 LArbG Baden-Württemberg: Bloßer Ärger reiche für immateriellen Schadenersatz nicht aus
Im Fall vor dem Landesarbeitsgericht Baden-Württemberg (LArbG BW) ging es in einem Kündigungsrechtsstreit um etliche Fragestellungen, u.a. um die Privatnutzung dienstlicher Kommunikationsmittel und um die Befugnis diese durch den Arbeitgeber ohne Einwilligung des Beschäftigten auszuwerten.
Hinsichtlich eines immateriellen Schadenersatzanspruchs ist das LArbG BW der Ansicht, dass der bloße „Ärger“ über den Kontrollverlust an eigenen Daten, das schiere „Unmutsgefühl“ wegen der Nichtbeachtung des Rechts durch einen anderen, nicht ausreichend für das Vorliegen eines immateriellen Schadens seien. Im Rahmen des Art. 82 Abs. 1 DS-GVO sei auch die Relation zu Schmerzensgeldern betreffend Verletzungen der körperlichen Integrität im Blick zu behalten. Etwaige Spannungslagen und Zielkonflikte seien dahingehend aufzulösen, dass (immaterielle) Schäden, die im Zuge von Datenschutzverletzungen entstehen, zwar vollständig kompensiert werden müssten, aber zugleich durch (zu) hohe, überkompensatorische Schadensersatzpflichten keine falschen Anreizwirkungen erzeugt werden dürften.
Wäre mir auch neu gewesen, dass es einen Anspruch auf überkompensatorische Schadensersatzansprüche im europäischen Recht gäbe, ähnlich den „punitive damages“ in den USA.
2.12 LG Lübeck: Schadenersatz bei Scraping
Wieder ein Urteil, bei dem eine betroffene Person von Facebook immateriellen Schadenersatz forderte und durch das LG Lübeck auch 500 Euro zugesprochen wurde. Allein die seitens des Gerichts veröffentlichten Leitsätze reichen aus, um daraus Ableitungen für eigene Gestaltungen treffen zu können.
- Facebook ermöglicht es Dritten andere Facebook-Profile anhand der hinterlegten Mobilfunknummer zu identifizieren, auch ohne dass die hinterlegte Nummer für die Öffentlichkeit freigegeben ist. Diese Funktion ist nicht durch eine Einwilligung der Nutzerinnen und Nutzer gedeckt. Die DS-GVO erfordert nicht die bloße Möglichkeit Voreinstellungen nachträglich zu ändern, sondern die aktive und eindeutige Einwilligung von Anfang an.
- Die Funktion war auch nicht für die Erfüllung des zwischen den Parteien geschlossenen Vertrags erforderlich. Schon der bloße Umstand, dass die Nutzerinnen und Nutzer die fragliche Funktion in ihren Profileinstellungen deaktivieren konnten, ohne dass die Vertragsdurchführung hierdurch von auch nur einer der Parteien als in Frage gestellt gesehen wurde, zeigt, dass es sich um eine möglicherweise praktische aber eben nicht irgendwie notwendige Funktion handelt.
- Facebook hat keine genügenden Schutzmaßnahmen gegen Scraping ergriffen. Die Beklagte trifft insoweit eine sekundäre Darlegungslast zu den von ihr aufgeführten Schutzmaßnahmen konkret vorzutragen.
- Eine für die Bejahung eines Schadens ausreichende Verletzung des allgemeinen Persönlichkeitsrechts in der Ausprägung des Rechts auf informationelle Selbstbestimmung liegt vor. Dieses Recht der Klägerseite wurde und wird bis heute fortlaufend verletzt. Infolge der obigen Verstöße gegen die einschlägigen Bestimmungen der DS-GVO gelangten die streitgegenständlichen Daten inzwischen unstreitig auf jedenfalls eine online betriebene Seite, auf der sie rechtswidrig und massenhaft zum weiteren Vertrieb angeboten werden und damit fortgesetzt das geschützte Recht der Klägerseite selbst zu entscheiden, wo und ob sie diese Daten offenbaren möchte, verletzen.
- Wie sich die Klägerseite dabei fühlt, ist für das Vorliegen eines Schadens unerheblich, da ein solcher bereits in der tatsächlich stattfindenden (und nicht nur befürchteten) Persönlichkeitsrechtsverletzung durch Dritte liegt. Ein Abstellen auf die emotionale Befindlichkeit der Klägerseite wäre nur dann erheblich, wenn die Rechtsgutverletzung maßgeblich in einer Verletzung des Rechts auf körperliche Unversehrtheit zu sehen wäre. Dies ist jedoch nicht der Fall.
2.13 BAG: Betriebsratsvorsitzender als DSB im Interessenskonflikt
Das BAG entschied nach dieser Pressemeldung, dass die Wahl eines Datenschutzbeauftragten zum Betriebsratsvorsitzenden zu einem Interessenskonflikt führt, der eine Abberufung vom Amt des DSB rechtfertigt. Auch wenn das BAG noch die Rechtslage vor der DS-GVO zu bewerten hatte, dürfte sich auch unter der Anwendung der DS-GVO keine andere Bewertung ergeben.
2.14 EuGH-Vorschau: Prüfung der Fingerabdrücke in Ausweisdokumenten (C-61/22)
Verstößt die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gemäß Art. 3 Abs. 5 der Verordnung (EU) 2019/1157 gegen höherrangiges Unionsrecht, insbesondere gegen Art. 77 Abs. 3 AEUV, gegen Art. 7 und 8 der Charta der Grundrechte der Europäischen Union und gegen Art. 35 Abs. 10 der DS-GVO, und ist deshalb aus einem der Gründe ungültig? Damit befasst sich der EuGH im Fall C-61/22. Am 29. Juni 2023 werden die Schlussanträge des Generalanwalts dazu erwartet.
3 Gesetzgebung
3.1 Direkte Haftung der Leitungsorgane
So eine angedachte Änderung bringt wahrscheinlich mehr als 20 Powerpointfolien oder sonstige Events in bunten Formaten hinsichtlich der Awareness bei den Einrichtungen, die davon betroffen sein werden. Nach diesem Artikel sind Änderungen im BSIG in § 38 geplant (in dieser Fassung ab Seite 118). § 38 BSIG-E soll weitere Verschärfungen der Haftung von Leitungsorganen von Wesentlichen Einrichtungen und Wichtigen Einrichtungen erhalten. So darf die Billigung und Überwachung des Risikomanagements nicht mehr auf Dritte übertragen werden. Weiterhin schreibt § 38 Abs. 2 BSIG-E ausdrücklich vor, dass die Geschäftsleiter der Einrichtung für den entstandenen Schaden – damit sind Regressforderungen und Bußgeldforderungen gemeint – haften. Ein Verzicht des Regresses durch das Unternehmen wird von Gesetzes wegen in § 38 Abs. 3 BSIG-E ausgeschlossen, außer der Geschäftsleiter ist insolvent. Die persönliche Haftung der Geschäftsleiter für Schäden aus Verletzungen der Cybersicherheit soll somit massiv ausgeweitet werden.
3.2 Fünf Jahre DS-GVO
Die Bewertungen schwanken zwischen Meilensteincharakter der DS-GVO, der international als „Goldstandard“ der Datenschutzgesetzgebung gelte und unzureichender Umsetzung. Von Aussagen der Wirtschaft, die einerseits einheitliche Interpretationen der Aufsichten fordern, wenn dies dann aber zu Sanktionen führen, wieder weniger Begeisterung zeigen, mal abgesehen. Warten wir mal ab, was die Evaluierung in 2024 nach Art. 97 Abs. 1 DS-GVO noch für Wünsche und Änderungen hervorbringt. Es gab ja bereits 2020 eine.
Franks Nachtrag: Es wurde ja viele Texte mit dem Titel „Fünf Jahre DSGVO – […irgendeine Erkenntnis…]“ veröffentlicht, hier ist noch eine von noyb, die eher nüchtern auf die fünf Jahre DSGVO-Umsetzung und auf die kaum stattfindende (obwohl eigentlich dringende nötige) Santionierung zurückblicken… In die gleiche Richtung geht auch dieser Rückblick.
3.3 EU-USA-Datentransfer
Wie geht es weiter mit Section 702, die maßgeblich die Entscheidung „Schrems II“ des EuGH beeinflusste? IT-Sicherheitsexperten aus den USA sprechen sich in einer Umfrage in den USA für eine Beibehaltung mit Anpassungen aus. Ob dies auch die Nutzung von Geheimdiensttools durch das FBI umfasst, die damit nach Teilnehmer:innen von Black-Lives-Matters-Protesten suchte, geht nicht hervor. Auch Amerikaner scheinen diese Regelung diesem Bericht nach zunehmend als kritisch zu empfinden. Allerdings zielt die Aufregung in der Regel auf die Überwachung von Amerikanern. Europäer haben halt Pech. Es bleibt zu hoffen, dass mit dem Trans-Atlantic Data Privacy Framework eine Lösung gefunden wird, die den Rechten beider Bürgergruppen gerecht wird.
3.4 EU: Audio-Chatkontrolle
Bei dem Argument „Kinderschutz“ scheint es keine Tabus im Rechtsstaat zu geben. So scheint es nach diesem Bericht eine deutliche Mehrheit im EU-Ministerrat zu befürworten die geplante systematische Kontrolle von privaten Chatnachrichten auf Audiokommunikation auszuweiten.
Und ja, das Thema ist wichtig und sollte engagiert verfolgt werden. Aber warum sind dann nicht gleich alle dafür, dass aus diesem Grund jede Wohnung zu jedem Zweck auch ohne richterlichen Beschluss durch Ermittlungsbehörden betreten werden dürfe. Dann verzichten wir doch gleich auch auf Art. 7 der Charta der Grundrechte der Europäischen Union.
3.5 EU: Leitfaden zu Standarddatenschutzklauseln / ASEAN
Die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c DS-GVO, die durch die EU-Kommission Standardvertragsklauseln genannt und folgerichte auch so abgekürzt werden (SCC), erhalten Konkretisierungen. Die EU-Kommission hat gemeinsam mit ASEAN (Association of Southeast Asian Nations) einen Leitfaden entwickelt, in dem die Gemeinsamkeiten zwischen den EU-Standardvertragsklauseln (zu dem Begriff s.o.) und den ASEAN-Mustervertragsklauseln (ASEAN MCC) aufgezeigt werden, um Unternehmen, die in beiden Rechtsordnungen tätig sind, bei ihren Bemühungen um die Einhaltung beider Klauseln zu unterstützen. Dieser Leitfaden wird durch bewährte Praktiken von Unternehmen ergänzt, die diese Vertragsinstrumente für die Übermittlung von Daten nutzen.
3.6 Bayern: Open Data
In Bayern werden jetzt öffentliche Daten auf einer neuen Plattform gebündelt. Ziel von OPEN DATA BAYERN sei das Portal zur zentralen Plattform für offene Daten der Bayerischen Staatsregierung auszubauen. Zunächst gehe die Plattform mit über 700 Datensätzen online, darunter Geodaten und Daten aus Kommunen. Und natürlich fehlt auch nicht der Hinweis, dass Open Data Bayern gerade noch ein “Minimum Viable Product”, also eine erste Version sei. Den Eindruck hat man ja bei politischen Umsetzungen rund um Daten öfter.
3.7 AI-Regulatorik im Vergleich
Das sowohl in den USA wie auf der Ebene der EU über Regulatorik zum Einsatz von Künstlicher Intelligenz diskutiert wird, ist bekannt. Hier vergleicht ein Beitrag beide Ansätze miteinander.
3.8 Luxemburg Cyber Defence Cloud – und wir
Über die kleine Anfrage im Bundestag zur Luxemburg Cyber Defence Cloud haben wir berichtet. Dazu liegt nun die Antwort vor. Eine Beteiligung der Bundesregierung an der Luxemburg Cyber Defence Cloud sei derzeit nicht beabsichtigt. Der Bundesregierung stünde mit der R-VSK-Cloud Plattform ein vergleichbares Angebot zur Verfügung. Innerhalb der Bundesregierung wurde im Rahmen der Bundesmaßnahme „Resssortübergreifende VS-Kommunikation“ (R-VSK) in den Jahren 2021 und 2022 eine hochsichere und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) [vorläufig] zugelassene Cloud-Plattform für Verschlusssachen (VS) bis zur Einstufung GEHEIM aufgebaut. Die Anschlussfähigkeit für die Länder besteht. Für diese Cloud Plattform befinden sich drei georedundante hochverfügbare geheime Rechenzentren im Aufbau. Darüber hinaus plant die Bundesregierung den weiteren Ausbau für die Kommunikation mit Partnerländern und die geheimschutzbetreute Wirtschaft. Bericht dazu auch hier.
3.9 HinSchG im BGBl. veröffentlicht
Das Hinweisgeberschutzgesetz wurde am 2. Juni 2023 im BGBl. veröffentlicht.
3.10 Trans-Atlantic Data Privacy Framework
Alle warten darauf. Was aber, wenn es dann tatsächlich da ist? Was welcher Akteur nach derzeitigem Stand dann zu tun hat, wird hier anschaulich beschrieben. Europäische Akteure, die im Datenübermittlungsprozess als Verantwortlicher oder Auftragsverarbeiter eingebunden sind, sollten sich bewusst werden, dass allein die Verkündung eines Angemessenheitsbeschlusses (TADPF – oder wie auch immer) nicht davon befreit zu prüfen, ob die Voraussetzungen im konkreten Fall auch eingehalten werden.
3.11 BMDV: Entwurf für „PIMS“-Verordnung nach § 26 Abs. 2 TTDSG
Das Bundesministerium für Digitales und Verkehr hat den Entwurf veröffentlicht, mit dem die Rahmenbedingungen des § 26 Abs. 2 TTDSG ausgefüllt werden sollen. Damit wird ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement angestrebt. Und schon können wir uns an eine weitere Abkürzung gewöhnen: EinwV für Einwilligungsverwaltungsverordnung. Durch die Einbindung sog. anerkannter Dienste zur Einwilligungsverwaltung sollen nutzerfreundliche und wettbewerbskonforme Verfahren zur Einholung und Verwaltung der nach § 25 Abs. 1 TTDSG erforderlichen Einwilligungen geschaffen werden. Bislang gab es dafür Bezeichnungen wie Personal Information Management Services (PIMS) oder Consent Management System/Service (CMS). Anerkannte Dienste können kommerziell sein und etwa von den gleichen Dienstleistern angeboten werden, die das Consent-Management für Telemedienanbieter konfigurieren. Bis zum 14. Juli 2023 besteht Gelegenheit zum Verordnungsentwurf Stellung zu nehmen. Hier findet sich auch bereits eine erste Bewertung des Entwurfs.
3.12 Deutscher Anwaltsverein (DAV): Data Act
Der DAV hat sich in seiner zweiten Stellungnahme Nr. 38/2023 zu dem laufenden Gesetzgebungsverfahren zum Data Act, dem europäischen Datengesetz, positioniert. Darin hält er einige der bereits in seiner ersten Stellungnahme Nr. 40/2022 geäußerten Kritikpunkte aufrecht. Das betrifft etwa das nach wie vor klärungsbedürftige Verhältnis zur DS-GVO. Für nicht weitgehend genug erachtet der DAV nach wie vor die vorgesehenen Regelungen zum Geschäftsgeheimnisschutz. Der Verordnungsentwurf („Data Act“) soll einen allgemeinen Regelungsrahmen für einen fairen Zugang zu sowie eine faire Nutzung von Daten sowohl seitens Verbraucher:innen als auch Unternehmen sicherstellen. Dabei geht es in erster Linie um Daten vernetzter Produkte und Cloud-Diensteanbieter.
3.13 Immer noch: Chatkontrolle und Regulierung
Das leidige Thema der Chatkontrolle ist immer noch nicht vom Tisch. Der aktuelle Stand wird hier besprochen. Passend dazu auch das Interview mit der Präsidentin der Signal Foundation, die sich zu den Anforderungen an eine vertrauliche Kommunikation und den Regulierungsanforderungen zur KI äußert, und ein Gutachten zum digitalen Briefgeheimnis.
4 Künstliche Intelligenz und Ethik
4.1 Security Implications of ChatGPT
Dieses Positionspapier Security Implications of ChatGPT der Cloud Security Alliance (CSA) enthält eine Analyse des Einsatzes von ChatGPT in vier Dimensionen: Wie er der Cybersicherheit zugute kommen kann, wie er böswilligen Angreifern zugute kommen kann, wie ChatGPT direkt angegriffen werden könnte und Richtlinien für eine verantwortungsvolle Nutzung. Das Papier behandelt nicht nur den Umgang mit den Risiken bei der Nutzung von ChatGPT, es identifiziert auch über ein Dutzend spezifischer Anwendungsfälle für die Verbesserung der Cybersicherheit innerhalb einer Organisation.
Franks Nachtrag: Apropos ChatGPT…
4.2 CIO von Open AI an der TUM
Welch Coup, dass der CIO von Open AI an die TUM nach München kam und bei seinem Besuch in Deutschland nicht nur dem Bundeskanzler zur Verfügung stand. Der Termin ist auf YouTube noch nachvollziehbar (ca. 33 Min).
4.3 Bedrohung durch KI?
Viele kennen ihn noch aus seiner Zeit als CIO von Google. Nun ist er Vorsitzender der „National Security Commission on Artificial Intelligence“ und befasst sich laut dieser Mitteilung mit Risiken, die durch Künstliche Intelligenz entstehen könnten. Und sieh da: Er wiederholt die Warnungen (Video, 2:19 min.), die bereits in dem Bericht 2021 der Commission formuliert waren.
4.4 „AI-Imperium schlägt zurück“
Wie in einem schlechten Film: So liest sich der Bericht, dass eine KI-gesteuerte Drohne ihren Vorgesetzten angriff. Dass dies nur bei einer Simulation geschah, erscheint wenig tröstlich.
Franks Nachtrag: Hier noch eine ausführlichere Quelle, nach der es keine Simulation war, sondern „nur“ ein Gedankenexperiment („We’ve never run that experiment, nor would we need to in order to realise that this is a plausible outcome”), hier auch eine deutsch-sprachige Quelle dazu.
4.5 Three Lines of Defence gegen die Risiken der Künstlichen Intelligenz
Bei der Organisationform der „drei Linien“ gibt es unterschiedliche Aufgaben und Befugnisse, um Risiken einzudämmen und die Umsetzung zu überwachen. Wie dieses Konstrukt bei dem Einsatz von Künstlicher Intelligenz gestaltet werden kann, wird in diesem Beitrag beschrieben.
4.6 Benchmarking und Erklärungsmethoden bei Black-Box-Modellen
Ich fürchte schon bei dem Abstract für diesen Beitrag an meine Grenzen zu kommen. Wie können Funktionsweisen von hochentwickelten maschineller Lernmodelle in Systemen der künstlichen Intelligenz erklärt werden? Und dann noch Entscheidungsträgern, die womöglich nur nach einem „One-Pager“ verlangen? Diesen Fragen widmet sich dieser Beitrag “Benchmarking and survey of explanation methods for black box models” mit dem Ziel Forschern und Praktikern einen Kompass an die Hand zu geben. Die Verfasser schlagen eine Kategorisierung der Erklärungsmethoden aus der Perspektive der Art der Erklärung vor, die sie liefern, und berücksichtigen dabei auch die verschiedenen Eingangsdatenformate. Eine begleitende Website zu diesem Papier verspricht eine kontinuierliche Aktualisierung neuer Erklärungen, sobald sie erscheinen. Darüber werde eine Teilmenge der robustesten und am weitesten verbreiteten Erklärer anhand eines Repertoires quantitativer Metriken verglichen.
4.7 Auswirkungen des AI Act
Welche Konsequenzen hätte es für den Einsatz von Künstlicher Intelligenz, wenn der AI Act zum Einsatz käme? Damit befasst sich ein Versuch von Digital Europe, bei dem auf Basis des letzten Entwurfstandes des AI Acts verschiedene „Einhörner“ Europas damit konfrontiert wurden. Die Ergebnisse sind unter „Sandboxing, the AI Act“ veröffentlicht.
4.8 KI, Ethik und Innovation
Wie bekommt man in der Beratungspraxis Anforderungen an den Einsatz von Künstlicher Intelligenz und Ethik so unter einen Hut, dass dabei auch noch Innovationen ermöglicht werden? In diesem Interview wird behandelt, was einen „responsible Innovator“ ausmacht.
5 Veröffentlichungen
5.1 Skript Internetrecht Stand März 2023
Wer sich für rechtliche Themen rund um das Internet interessiert, findet hier eine stabile Grundlage. Im Skript „Internetrecht“ finden sich in Kapitel sechs auch ausreichende datenschutzrechtliche Fragestellungen (und Lösungen). Merci nach Münster!
5.2 2FA – Was ist sicherer Schutz?
Hier ist nachzulesen, dass und warum Microsoft Schutzmaßnahmen zur Anmeldung nicht mehr allen den Nutzern überlässt. Und dass es auch innerhalb der Methoden einer Zwei-Faktor-Authentifizierung Unterschiede gibt. Ein belastbarer Zeitplan für die Umstellung scheint aber noch nicht veröffentlicht.
5.3 Awareness – So machen es andere
Manchmal ist der Blick über den Zaun hilfreich und motivierend. So versuchen auch andere Unternehmen zu Schutzmaßnahmen und vor Angriffen zu sensibilisieren. Sei es im Bankenumfeld oder bei einem Cloud-Anbieter.
5.4 EuG: Besprechungen zu pseudonymen Daten
Wann sind Daten personenbezogen? Abhängig davon, wer aus pseudonymen Daten einen Bezug zu Personen herstellen kann? Dies wird nach dem Urteil des EuG (Europäischer Gerichtshof, T-557/20), über das wir schon berichtet hatten, diskutiert, z.B. hier.
5.5 Virtuelle Gefahren und der Datenklau
Ein bekanntes Beratungsunternehmen hat eine „Datenklaustudie 2023“ veröffentlicht. Die Angabe der eigenen Daten zum Erhalt der Studie ist da sicher nur ein Teil der Awarenessmaßnahmen, zu denen dann die Studie selbst rät.
5.6 AGB, Zustimmung (zur Datenschutzerklärung) und rechtliche Folgen
Wir hatten bereits dazu berichtet, dass manche Gerichte (in Österreich) die Bestätigung der Kenntnisnahme oder die „Anerkennung“ zu Datenschutzerklärungen als Grundlage für die AGB-Kontrolle der Datenschutz-Informationen nutzten. Hier nun ein Beitrag, der auch unter Berücksichtigung der Aussagen des EDSA dazu informiert.
5.7 DAkks: Anpassung der Prozesse für das Akkreditierungsverfahren
Das sind doch mal gute Nachrichten von der Deutsche Akkreditierungsstelle (DAkks). Sie kündigt an beginnend zum 1. Juli 2023 mit der Umsetzung angepasster Prozesse in der Bearbeitung von Akkreditierungsverfahren zu starten. Mit der kontinuierlichen Optimierung der Prozesse folge die DAkkS ihrem grundlegenden Anliegen eine kompetente, professionelle und effiziente Dienstleistung für Konformitätsbewertungsstellen zu erbringen. Gleichzeitig würden mit den angepassten Prozessen die Voraussetzungen geschaffen den Akkreditierungsprozess zukünftig schrittweise zu digitalisieren. Na, dann hoffen wir, dass künftige Zertifizierungsverfahren schneller den Durchlauf schaffen.
5.8 Veranstaltungen
5.8.1 LfD Niedersachsen: Schulung für Vereine -neu-
20.06.2023, 16:00 – 18:00 Uhr: Die LfD Niedersachsen bietet wieder eine Fortbildungsveranstaltung für ehrenamtlich Tätige als Online-Seminar an, Teilnahme kostenlos, Anmeldung (bis 13.06.2023!) erforderlich.
5.8.2 BLM: Der Bann von Social Media auf Jungendliche -neu-
12.07.2023, 14:30 – 16:30 Uhr: Der Originaltitel wäre zu lang gewesen: „Wie Social-Media-Anwendungen versuchen, junge Nutzerinnen und Nutzer in den Bann zu ziehen“ wird vom BLM veranstaltet und online durchgeführt. Präsentiert werden Forschungsergebnisse, die sich mit Ursachen hoher Nutzungszeiten von sozialen Plattformen wie TikTok, Instagram und Co befassen. Details und Anmeldung hier.
5.8.3 itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei. Mehr dazu hier.
5.8.4 Vorankündigung – GI: Designing Feminist Futures
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).
6 Gesellschaftspolitische Diskussionen
6.1 Angriff aus dem Netz
Regierungen, Privatpersonen, Firmen, Banken – und sogar die NATO – werden zunehmend Opfer von Cyberangriffen. Cyberkriminalität verursacht global dreimal so viel wirtschaftlichen Schaden wie Naturkatastrophen. Die Angreifer sind häufig einzelne Menschen oder kleine Gruppen. Wie viel Macht sie haben und welchen Schaden sie anrichten können, erzählt diese Dokumentation in der Mediathek von arte (ca. 52 Min).
6.2 Gesichtserkennung mit Lufthansa im BER
Bislang wurde der Flughafen Berlin-Brandenburg (BER) nicht mit Innovation und Verlässlichkeit in Verbindung gebracht. Ob sich das mit der Meldung, dass nun die Lufthansa dort mit einer Zugangsfreigabe mittels biometrischer Gesichtserkennung beginnt, ändert, wird sich zeigen. Voraussetzung für die Teilnahme an dem Programm sei eine einmalige Anmeldung und Registrierung der persönlichen biometrischen Daten in einer speziellen App des niederländischen Anbieters FastID, der die Lösung bereitstellt. In einem nächsten Schritt sollen im BER auch die Nutzung der Selbstbedienungsautomaten, das Boarding am Gate und der Zutritt zur Lufthansa-Lounge per Gesichtserkennung möglich sein. Ein Zeitplan dazu wurde nicht benannt.
Und der obligatorische Satz wird natürlich auch zitiert:
„Wir verbessern das Reiseerlebnis unserer Fluggäste nachhaltig durch biometrische, berührungslose Angebote“.
Ich warte nur noch darauf, bis auch mal Aufsichtsbehörden in ihren Tätigkeitsberichten davon schwärmen das Sanktionserlebnis bei Unternehmen zu verbessern.
6.3 Unvergessliche Familienfeiern
Photoshop und sonstige Software machen Bildveränderungen richtig leicht und lassen sie sehr professionell wirken. Und so manche Hochzeitszeitung von Freunden wird dadurch wohlwollend garniert. Weniger unterhaltsam fanden die Schwägerinnen und die Schwiegermutter eines Mannes aber, dass dieser Aufnahmen aus Familienfeiern benutzte, um sie auf die Körper von Pornodarstellerinnen zu montieren und die Ergebnisse auf einschlägigen Online-Portalen hochzuladen. Konsequenz war nicht nur eine gestörte Harmonie innerhalb der Familie, sondern auch Strafanzeige und Schadenersatzforderungen. Bezüglich der Strafanzeige kam der Täter noch mit 300 Euro über § 153a StPO sehr günstig weg, eine der Schwägerinnen erstritt aber noch 15.000 Euro Schmerzensgeld. Details und weitere Beispiele, dass man bei Fotomontagen auch jenseits jeglichen Humors unterwegs sein kann, lesen Sie hier*.
* Franks Anmerkung: Eine Leseempfehlung für alle, die Opfer von Deepfakes beraten mmüssen oder wollen.
6.4 FTC: Amazon verletzt Kinderrechte
Weil Aufnahmen der Kinderstimmen bei ihrem Sprachassistenten Alexa zu lange gespeichert und Löschanforderungen der Eltern missachtet wurden, kündigt die FTC (Federal Trade Commission) eine Strafe in Höhe von 25 Mio. US-$ an.
Franks Nachtrag: Schön, dass die FTC etwas macht. Schade, dass die Unternehmen so günstig davon kommen…
7 Sonstiges/Blick über den Tellerrand
7.1 TikTok verklagt Montana
Kaum hat der Staat Montana beschlossen, dass TikTok dort nicht mehr angeboten werde dürfe, klagt TikTok dagegen.
7.2 Dabei sein ist nicht alles – man muss auch gesehen werden
Nach der Zeit der pandemiebedingten Einschränkung freue sich viele wieder auf Großveranstaltungen, insbesondere, wenn die Jugend der Welt sich friedlich zum Sport trifft. So wie in 2024 zu den Olympischen Spielen in Paris. Früher konnte man sagen, das sei ein Ereignis, dass man gesehen haben muss, jetzt kann man sagen, ein Ereignis, bei dem man gesehen wird. Das französische Verfassungsgericht gestattete nämlich nach diesem Bericht eine KI-gestützte Videoüberwachung. Damit wird eine breite experimentelle Anwendung Algorithmen-gestützter Kamerasysteme auch mithilfe von Drohnen und Flugzeugen zur Erkennung verdächtigen Verhaltens in Echtzeit rund um die Olympischen Spiele ermöglicht. Mit dem Vorhaben will die Regierung es Sicherheitsbehörden ermöglichen, vor allem im Kampf gegen den Terror „verdächtiges Verhalten“, unbeaufsichtigtes Gepäck und Menschenansammlungen alarmierenden Ausmaßes ausfindig zu machen. Das Überwachungsprogramm soll über die Wettkämpfe hinaus bis März 2025 laufen.
Franks Nachtrag: Als ein Vertreter einer der NGO, die einen offenen Brief gegen das geplante Gesetz mitgezeichnet hatten, betrübt mich das Ergebnis.
7.3 Schrems II – oder: Wie alles begann…
Es gibt zahlreiche Erzählungen, wie der Mitbegründer von noyb und Namensgeber zweier EuGH-Urteile zum Datenschutz kam und auf Facebook aufmerksam wurde. Hier eine etwas ausführlichere Variante.
Franks Nachtrag: Money Quote aus dem verlinkten Text*:
[…] Since those Annexes need to be completed and signed ASAP.
Who knows, possibly even read them?
Franks Anmerkung zu Franks Nachtrag: Der verlinkte Text ist schon älter (Stand Juli 2019, kurz nach Schrems II), aber trotzdem lesenswert!
Franks zweiter Nachtrag: Eine interessante Perspektive hat L da, viele Quellen werden im Anschluss verlinkt, eingeteilt in Sections. Money Quote daraus:
“Crazy takes“ section
[Yes, unfortunately, we need one section for this…]
Und dort stehen (natürlich) u.a. zwei Executive Orders der Trump-Präsidentschaft.
7.4 Bedeutung von Bargeld
Die Bedeutung des Bargelds wurde nach diesem Bericht durch die Vorständin der verbraucherzentrale Bundesverband auf der Internetkonferenz re:publica hervorgehoben.
8. Franks Zugabe
8.1 Apropos ChatGPT…
- In den USA dachte sich ein Rechtsanwalt „Wie wäre es, wenn ich diese tolle neue künstliche Intelligenz, über die alle reden, einfach mal für mich die Arbeit machen lasse?“, beauftragte ChatGPT mit der Urteils-Recherche in einem aktuellen Fall und ging dann mit den ungeprüften Ergebnissen vor Gericht, wo ihm ein Richter die zusammenhalluzinierten Urteile um die Ohren schlug. Nachzulesen u.a. hier.
- Heute nein, morgen ja? Die Frage könnte gestellt werden, wenn diese zwei Aussagen von Herrn Altmann (Chef von OpenAI) zu ChatGPTs Zukunft in Europa übereinander gelegt werden… Nun ja, es gibt ja erratischere Chefs.
- Auf Grund hoher Nachfrage (und vieler Fake-Apps) gibt es nun die offizielle ChatGPT-iPhone-App. Super.
- Apropos Fake-Apps: DeppGPT – Ich mag den Postillion… Und jetzt simuliere ich mir einen Flughafen…
- Hier gibt es einen Erfahrungsbericht zum eigenen ChatGPT ohne Internet.
- Wie wäre es, wenn wir ChatGPT einen Roboter konstruieren lassen? Erstes Ergebnis? Ein Tomatenpflückroboter…
- KI und Copyright und ein kreativer Ansatz von Github, tja 🤷♂️…
8.2 Brauchen wir ein neues Grundrecht?
Digitalcourage sagt ja, ein Grundrecht auf analoges Leben. Das hat einiges für sich, finde ich…
8.3 Chat-Bot gegen Ess-Störungen?
Kann klappen, muss es aber nicht… Und moralisch verwerflich (als Gegenmaßnahme zur Bildung einer Gewerkschaft) war es im konkreten Fall dann wohl auch noch. Aber das ist ja ein ganz anderes Thema.
8.4 Tesla-Leaks
Apropos erratischer Chef, kennen Sie die Tesla-Leaks? Falls nicht, bitte sehr, hier geht zum passenden Podcast.
8.5 40 Jahre später…
Vor 40 Jahren kam der Film WarGames in die Kinos.
8.6 Datenleck, die zweite – Jobbörse Pflegia
Was es alles für verschiedene Jobbörsen gibt. Dumm, wenn die nicht sicher arbeiten.
8.7 Datenleck, die dritte – Microsofts Datenmarktplatz Xandr
Wer findet nochmal den globalen Datenhandel für die digitale Werbung gut? Hier gibt es Details.
8.8 Sie stehen auf KI und Podcasts?
Dann hat heise.de da etwas für Sie …
8.9 Wer hat uns gehackt?
Erst eine Ransomware-Gang, dann der Geheimdienst? Naja, wenn das so im Gesetz steht…
Wehret den Anfängen, sage ich nur, wehret den Anfängen!
8.10 Apropos Jubiläen, apropos Geheimdienste – Zehn Jahre Edward Snowden, irgendjemand?
Wenn Sie sich nicht mehr erinnern, in diesem Beitrag gibt es einiges zum Jubiläum, inkl. verlinkter Rückblicke…
8.11 Apropos Digitalisierung in Deutschland
De-Mail ist dann bald auch mal weg.
8.12 LLMs are good at playing you
Wenn Sie die Überschrift interessiert, möchten Sie hier weiterlesen. Lesenswert ist es allemal.
9. Die gute Nachricht zum Schluss
9.1 Datensparen ist auch Klimaschutz
Die beiden Themen lassen sich in diesen Zeiten gut verbinden – es muss einem nur bewusst sein. Darauf macht mobilsicher.de aufmerksam. So wird beim Streaming eines YouTube-Videos über das Smartphone nicht nur der Strom aus dem Akku benötigt, sondern auch in den Netzen, die unsere Geräte mit Daten versorgen. Also lieber mal nochmal überlegen, ob jede Nutzung des Smartphones oder anderer Geräte tatsächlich erforderlich ist.
Franks Nachtrag: Das ist jetzt das neue Hauptthema von mobilsicher.de. Deswegen gibt es dazu reichlich Artikel.