Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 24&25/2023)“
Hier ist der 70. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 24&25/2023)“.
Wir haben mittlerweile 70 Blogbeiträge in den letzten 25 Monaten veröffentlicht. Gar nicht schlecht, wie wir finden. Gibt es zur aktuellen Ausgabe noch etwas zu sagen? Ja, eine Veranstaltung ist am Freitag, da wollen Sie vielleicht schnell hingucken. Und ja, wir wissen, momentan zeigen die Links auf das Datenschutz-Wiki auf eine unbefriedigende Seite. Abwarten, sagt der Frank, abwarten…
- Aufsichtsbehörden
- LfD Bayern: Hinweis an Politik bezgl. EU-Datenraum
- LfD Bayern: Tätigkeitsbericht 2022
- LfD Bayern: Tätigkeitsbericht 2022 – Hybridbriefe
- LfD Bayern: Tätigkeitsbericht 2022 – Externe Datenschutzbeauftragte
- LfD Bayern: Tätigkeitsbericht 2022 – Grundsteuer
- LfD Bayern: Tätigkeitsbericht 2022 – Penetrationstests
- LfD Bayern: Tätigkeitsbericht 2022 – Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz
- LfD Niedersachsen: Tätigkeitsbericht 2022
- LfD Niedersachsen: Tätigkeitsbericht 2022 – Kirchlicher Datenschutz
- LfD Niedersachsen: Tätigkeitsbericht 2022 – Amtshilfe ist keine Rechtsgrundlage
- LfD Niedersachsen: Tätigkeitsbericht 2022 – Persönliche Streitigkeiten im Netz
- LfD Niedersachsen: Tätigkeitsbericht 2022 – Prüfung von Webhostern
- LfDI Mecklenburg-Vorpommern: Prüfung von nicht-invasivem Pränataltest
- Prüfung von Werbeagenturen durch Aufsichtsbehörden?
- BSI: Testtool für TLS
- EDSA: Ankündigung eines Leitfadens zu KI und Datenschutz
- EDSA: Templates für Beschwerden und Eingangsbestätigungen
- BfDI: Datenschutz und Telekommunikation
- BfDI: Authentifikation im Telekommunikationsbereich
- BfDI: G7-Treffen u.a. zu Data Free Flow und KI
- DSK: Targeting politischer Werbung
- LDI NRW: Tätigkeitsbericht 2022
- LDI NRW: Tätigkeitsbericht 2022 – Auswirkungen des TTDSG auf Videokonferenzsysteme und die Aufsichten
- LDI NRW: Tätigkeitsbericht 2022 – MS 365 in Schulen
- LDI NRW: Tätigkeitsbericht 2022 – Benennungspflicht eines DSB bei Detekteien
- LDI NRW: Tätigkeitsbericht 2022 – Zulässigkeit des Adresshandels
- LDI NRW: Tätigkeitsbericht 2022 – Schutzanforderungen an verlinkte Dokumente bei Berufsgeheimnisträgern
- LfDI Saarland: Tätigkeitsbericht 2022
- LDA Brandenburg: Wiederwahl der LDA Brandenburg
- Niedersachsen: Neuer LDI darf benannt werden
- Sachsen-Anhalt: Neuer LfD sollte noch vor Sommerpause gewählt werden
- CNIL: Vorhersehbares Bußgeld bei Datenschutzverstößen
- ENISA: Cybersecurity und Privacy bei KI in der Medizin
- CNIL: 40 Mio € Bußgeld für unzulässiges Tracking durch Online-Marketing-Unternehmen
- Bundeskartellamt: Warnung an Google hinsichtlich des Angebots an Fahrzeughersteller
- LSI Bayern: Kommunale Sicherheit 3.0
- Rechtsprechung
- EuGH: Schlussanträge zu Verantwortlichen bei Veröffentlichung durch Amtsblatt
- EuGH: Schlussanträge zu Anforderungen an Zugriff auf Smartphonedaten
- EuGH: Aufgaben der Aufsicht aus der „RL Polizei und Justiz“
- EuGH: Auskunftsanspruch umfasst auch Zugriffe
- EuGH: Freier Zugang zu europäischen Normen der Technik
- BVwG Österreich: Auch ein Schreiben kann ein personenbezogenes Datum sein
- VG Hannover: Speicherdauer von Videoaufnahmen bei Selbstbedienungstankstelle
- LG Lübeck: Weitere Urteile zu Scraping ausstehend
- LG Hildesheim: Ausgestaltung eines Online-Bestellbuttons gegenüber Verbrauchern
- VG Düsseldorf: Prozessunfähigkeit aufgrund krankhaften Querulantentums
- LAG Baden-Württemberg: Zulässigkeit der Auswertung von geschäftlichen E-Mails
- Kirchlicher Datenschutz auf dem Prüfstand
- Gesetzgebung
- EU-Parlament: Positionierung zum AI Act
- Data Act – Um was geht es da?
- Bundesregierung: Nationale Sicherheitsstrategie
- Bayern: Auftragsverarbeitungs-Regelungen per Gesetz
- Auswirkungen der US-UK-Datenbrücke
- AI Act: Vor Beginn des Trilogs
- AI Act – Von was reden wir?
- Universität Stanford: AI Act Compliance mit Sprachmodellen
- Kleine Anfragen im Bundestag zu ChatGPT
- Gesundheitsdatenschutz: Digitalisierung des Gesundheitswesens
- Überblick Datenregulierung
- Transatlantischer Datentransfer
- Künstliche Intelligenz und Ethik
- ChatGPT in der Versicherung
- Google sieht eigene KI kritisch
- KI – Im Kopf des Kunden denken
- Verzögerungen beim EU-Start von Googles KI-Angebot
- Algorithmus statt KI: KitaMatch
- Was ist der Unterschied zwischen CDR und CSR
- Interview zu Ethics and responsible Innovations
- ChatGPT etc. und Urheberrecht
- Organisation der KI-Governance
- Fragetechnik bei ChatGPT
- Korrelation und Kausalitäten
- USA: Center for AI and Digital Policy
- CDR: Nachhaltige Digitalisierung
- KI und Urheberrecht
- Anforderungen an KI
- CEDPO: FAQ AI and Personal Data
- Veröffentlichungen
- Anforderung des EuGH an KI
- Umfang einer Werbedatendatei
- IAB: Nächster Versuch eines rechtskonformen TCF
- Wann ist ein Datum anonym?
- Checkliste für Vereinbarungen zur Auftragsverarbeitungen
- Stiftung Datenschutz: Normendschungel der EU?
- Hackerangriffe nehmen zu, rechtliche Beratung wird immer wichtiger
- Sicherheitsindex von DSiN
- Hinweisgebersystem auf EU-Ebene
- Strategisches Lieferantenmanagement und Veröffentlichungen von DSFA und TIA
- Beschwerden zu Profilen von TK-Nutzern
- bitkom: Große Sprachmodelle
- Kommunale Dienstleister und Open Source
- Datenpanne im Gesundheitssystem
- Datenschutz für Kleinunternehmen
- Veranstaltungen
- DatenTag der Stiftung Datenschutz: Chancen einer Datentreuhand -neu-
- BLM: Der Bann von Social Media auf Jungendliche
- TU Berlin: Kann Digitalisierung in Deutschland gelingen? -neu-
- LfDI BW: „Ist die DS-GVO bereit für KI?“ -neu-
- itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
- ULD: Sommerakademie 2023 -neu-
- Vorankündigung – GI: Designing Feminist Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT…
- Der neueste Trick der irischen Datenschutzaufsicht – Kriminalisieren
- Neuigkeiten aus der KI-Welt
- Today’s AI is artificial artificial artificial intelligence
- EU-US common code of conduct on AI?
- Lesenswerte Essays zur KI
- Long-Covid mal anders – Zero-days in VPN-Appliances
- Google Analytics 4
- Video-based Cryptoanalysis
- AI and sarcasm
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LfD Bayern: Hinweis an Politik bezgl. EU-Datenraum
In diesem Beitrag wird über den Appell des LfD Bayern an die Politik, sich dringend mit den Auswirkungen eines EU-Datenraums zu befassen, berichtet. Dieser soll einen Binnenmarkt für Daten schaffen und in elf fachbezogenen Datenräumen für berechtigte Nutzer den europaweiten Zugriff auch auf personenbezogene Daten ermöglichen. Die Folgen würden nach dem LfD Bayern weitreichender sein als bei der vor wenigen Jahren eingeführten Datenschutzgrundverordnung.
Auf europäischer Ebene befänden sich die Pläne für den Gesundheitsdatenraum bereits in der „finalen Diskussion“. Geplant sei eine einheitliche europäische Gesundheitsakte, die den Austausch personenbezogener Daten durch Gesundheitsdienstleister in allen EU-Staaten über eine gemeinsame Kommunikationsplattform ermögliche. Da die gespeicherten Daten im System blieben und für Patienten einen Zusatznutzen brächten, sei diese Primärnutzung von persönlichen Gesundheitsdaten aus Datenschutzsicht akzeptabel. Bürger könnten dieser Nutzung zudem auch widersprechen. Problematisch sei dagegen die geplante Sekundärnutzung, die nichts mit der unmittelbaren Behandlung zu tun habe. So sollen die Dateninhaber per Gesetz dazu verpflichtet werden nationalen oder regionalen Stellen ihre Gesundheitsdaten unanonymisiert zur Verfügung zu stellen. Nicht nur aus Sicht der IT-Sicherheit sieht der LfD Bayern hier Handlungsbedarf und fordert eine datenschutzfreundlichere Gestaltung.
Die aktuellen Vorkommnisse in der Schweiz scheinen seine Befürchtungen zu unterstützen. Hier scheinen Angreifer nach diesem Bericht über einen Dienstleister auf Daten des Bundes zugegriffen zu haben, umfasst sein sollen Finanzdaten und Steuerinformationen. Dem Bericht nach wurden auch bereits 900 Gigabyte Daten im Darknet veröffentlicht. Es seien auch in den bisher gesichteten Stichproben vorwiegend Dokumentationen und diverse Spezifikationen im Zusammenhang mit der Entwicklung von Software vorhanden: So fänden sich beispielsweise Log-Dateien und Fehlerberichte des im Jahr 2020 neu eingeführten Systems des Bundes, das zur Erfassung von biometrischen Daten wie Fingerabdrücken, Unterschriften und Gesichtsbildern benutzt wird.
1.2 LfD Bayern: Tätigkeitsbericht 2022
Der LfD Bayern hat seinen Tätigkeitsbericht für 2022 veröffentlicht. Freundlicherweise auch hier mit der Möglichkeit der Direktverlinkung auf einzelne Themen. Hier eine kleine Auswahl:
1.3 LfD Bayern: Tätigkeitsbericht 2022 – Hybridbriefe
Der LfD Bayern beschreibt in seiner Ziffer 2.2 die Funktionalitäten und die Anforderungen aus seiner Sicht bei der Nutzung von Hybridbriefen durch öffentliche Stellen.
1.4 LfD Bayern: Tätigkeitsbericht 2022 – Externe Datenschutzbeauftragte
Was bei dem Einsatz eines externen Datenschutzbeauftragten bei öffentlichen Stellen insb. hinsichtlich der Transparenzanforderungen zu beachten ist, beschreibt der LfD Bayern in Ziffer 2.4 seines Tätigkeitsberichts.
1.5 LfD Bayern: Tätigkeitsbericht 2022 – Grundsteuer
Auch bei der Umsetzung der Grundsteueränderungen äußert sich der LfD Bayern z.B. in der Ziffer 8.1 zur Neuregelung der Grundsteuer und zu den ersten Erfahrungen mit dem Bayerischen Grundsteuergesetz ab Ziffer 8.2.
1.6 LfD Bayern: Tätigkeitsbericht 2022 – Penetrationstests
Unter Ziffer 12.1 definiert er im Tätigkeitsbericht die datenschutzrechtlichen Anforderungen für Penetrationstests mit Hinweisen u.a. zur Klassifizierung, Zweckfestlegung, Speicherbegrenzung und Rechenschaftspflicht.
1.7 LfD Bayern: Tätigkeitsbericht 2022 – Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz
Er berichtet auch in Ziffer 12.3 über die Teilnahme und die Ergebnisse der Arbeitsgruppe zu Ethik und Datenschutz bei Künstlicher Intelligenz. Leider ohne Verlinkung auf den dabei zitierten Report der Arbeitsgruppe „Working Group on Ethics and Data protection in Artificial Intelligence“ der Global Privacy Assembly (GPA). Schade – aber dafür mache ich das hiermit.
1.8 LfD Niedersachsen: Tätigkeitsbericht 2022
Die LfD Niedersachsen hat ihren Tätigkeitsbericht für 2022 veröffentlicht, den sie nach verschiedenen Themen gliedert. Gut gefällt mir dabei die Rubrik „Rechtsprechung von grundsätzlicher Bedeutung“. Eine kleine Auswahl zu Einzelthemen aus dem Bericht hier:
1.9 LfD Niedersachsen: Tätigkeitsbericht 2022 – Kirchlicher Datenschutz
Unter Ziffer f.6 auf Seite 69 berichtet sie über das Verfahren mit der Selbständigen Evangelischen Landeskirche (SELK), bei der das VG Hannover ein eigenes Datenschutzrecht verneinte, weil die Voraussetzungen des Art. 91 DS-GVO nicht erfüllt seien – die Revision wurde aber zugelassen (siehe dazu auch 2.12).
1.10 LfD Niedersachsen: Tätigkeitsbericht 2022 – Amtshilfe ist keine Rechtsgrundlage
Im Rahmen der Überprüfung einer beanstanden Rechnung eines selbständigen Rechtsberaters übermittelte eine Berufskammer diese an eine bereits im Klageverfahren beteiligte Unfallkasse weiter, ohne dass der Bürger hierin eingewilligt hatte. In dem Klageverfahren geht es u.a. um die Erstattung dieser Rechnung. Die Berufskammer berief sich auf die Amtshilfe als Rechtsgrundlage. Die LfD Niedersachsen konnte dieser Argumentation laut den Ausführungen in Ziffer 3.8, Seite 135, nicht folgen, da die allgemeinen Regelungen zur Amtshilfe in den §§ 4 ff. Verwaltungsverfahrensgesetz keine Übermittlungsbefugnis für personenbezogene Daten darstellten. Vielmehr müsse sich eine solche Übermittlungsbefugnis gemäß Art. 6 Abs. 2 und 3 DS-GVO bereichsspezifisch und hinreichend konkret aus dem jeweiligen Fachrecht ergeben.
1.11 LfD Niedersachsen: Tätigkeitsbericht 2022 – Persönliche Streitigkeiten im Netz
Dass mit der Veröffentlichung von personenbezogenen Daten im frei zugänglichen Internet der Anwendungsbereich des Datenschutzrechts eröffnet wird, ist vielen noch nicht klar. Im Fall der Veröffentlichung von personenbezogenen Daten im Internet wegen persönlicher Streitigkeiten verweist die LfD Niedersachsen unter H.5, Seite 92 auf ihre Veröffentlichung dazu.
1.12 LfD Niedersachsen: Tätigkeitsbericht 2022 – Prüfung von Webhostern
Zusammen mit anderen Aufsichtsbehörden wurden Webhoster geprüft. Gemäß den Ausführungen unter Ziffer 5.2, Seite 147, wurde die Prüfung im Dezember 2022 beendet und bis dahin beanstandete Mängel an den Vereinbarungen zur Auftragsverarbeitung konnten beseitigt werden. Dabei kündigt sie auch Prüfungen in anderen Branchen an.
1.13 LfDI Mecklenburg-Vorpommern: Prüfung von nicht-invasivem Pränataltest
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat nach eigenen Angaben mehrere Praxen und Kliniken in Mecklenburg-Vorpommern für eine stichprobenartige Umfrage ausgewählt. Dabei geht es um die Frage, ob bei der Analyse von sensiblen Daten, die bei einem nicht-invasiven Pränataltest (kurz: NIPT) verarbeitet werden, alle datenschutzrechtlichen Vorgaben eingehalten werden. Da die Berufsverbände keine Informationen zur Anwendung des Tests im Land haben, sei diese Umfrage erforderlich und für die ausgewählten Praxen und Kliniken grundsätzlich verpflichtend.
Das Verfahren des nicht-invasiven Pränataltests (NIPT) werde vielen Schwangeren im ersten Trimester nach einem ärztlichen Aufklärungs- und Beratungsgespräch in einer gynäkologischen Praxis oder Klinik angeboten – dabei wird eine Blutprobe genommen. Diese Probe enthält genetische Daten (die DNA) der Schwangeren und auch Bruchstücke von Erbinformationen des Fötus. Die DNA-Bruchstücke des Fötus werden im Labor aus der Probe herausgefiltert und auf mögliche genetische Anomalien untersucht, vor allem auf Trisomien. Es gibt zahlreiche Anbieter von nicht-invasiven Pränataltests. Da die Praxis bzw. die Klinik den Anbieter auswählt, die Proben bei der Schwangeren erhebt und die Analyse in Auftrag gibt, ist sie Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DS-GVO) für die Verarbeitung dieser sensiblen Daten. Bei den genetischen Proben handelt es sich um besonders sensible personenbezogene Daten, für deren Verarbeitung hohe Schutzanforderungen gelten. Laut Medienberichten gibt es einen Anbieter für einen NIPT, der mutmaßlich genetische Proben in Drittstaaten außerhalb des Europäischen Wirtschaftsraums sendet, um sie dort analysieren zu lassen. Auch das ist Gegenstand des Fragebogens.
1.14 Prüfung von Werbeagenturen durch Aufsichtsbehörden?
Hier beschäftigen wir uns mit dem Umfang einer Werbedatei. Nach diesem Bericht scheinen sich auch die Datenschutzaufsichtsbehörden in Deutschland darum kümmern zu wollen. Es werden dabei Zweifel an eine wirksame Einwilligung formuliert und es wird z.B. angeregt, dass Personen gegenüber diesen Unternehmen von ihrem Auskunftsbegehren Gebrauch machen sollten.
Franks Nachtrag: Schauen Sie sich zu Ihrem Recht auf Auskunft meinen Nachtrag zur anderen Meldung an…
1.15 BSI: Testtool für TLS
Das BSI hat ein Testtool zur Prüfung der Einhaltung der Vorgaben an eine Transportverschlüsselung veröffentlicht. Damit ergänzt es seine Aktivitäten und Vorgaben zu Schutzmaßnahmen beim E-Mailverkehr (wir berichteten).
1.16 EDSA: Ankündigung eines Leitfadens zu KI und Datenschutz
Wie hier zu lesen ist, diskutierten die Mitglieder des EDSA auf einer Sitzung am 20. Juni 2023 unter anderem über einen neuen Leitfaden zu künstlicher Intelligenz (KI) und Datenschutz. Die dänische Datenschutzbehörde wird zusammen mit einer Reihe anderer Mitgliedstaaten federführend an dem Leitfaden mitarbeiten.
1.17 EDSA: Templates für Beschwerden und Eingangsbestätigungen
Auf den ersten Blick mag es irritieren, wenn sich der EDSA mit Vorlagen für das Einreichen von Beschwerden und der Empfangsbestätigung befasst. Überlegt man aber, dass mit einer einheitlichen Dokumentationsstruktur der behördliche Austausch bei der Einbeziehung weiterer Aufsichten erleichtert wird, dann kann diese die Bearbeitungszeit wesentlich beschleunigen, wenn alle relevante Informationen gleich strukturiert erfasst werden, gleich bei welcher Aufsichtsbehörde.
1.18 BfDI: Datenschutz und Telekommunikation
Telekommunikation ist das Rückgrat der modernen Informationsgesellschaft. In einem ständig im Wandel befindlichen Marktumfeld ist es der Datenschutz, der dazu einen wesentlichen Vertrauensanker schafft. Mit der neuen Info 5 bietet der BfDI daher eine Handreichung für diese komplexe Materie. Die Broschüre adressiert dabei insbesondere typische rechtliche und technische Fragestellungen, die in der täglichen Beratungspraxis des BfDI von Bedeutung sind. Die Broschüre kann als PDF-Datei heruntergeladen oder als gedruckte Version beim BfDI bestellt werden.
1.19 BfDI: Authentifikation im Telekommunikationsbereich
SIM-Swapping bezeichnet Fälle, in denen sich eine fremde Person in betrügerischer Weise die Kontrolle über eine Mobilfunknummern einer anderen Person verschafft. Besonders brenzlig wird es, wenn die Opfer diese Mobilfunknummer über smsTAN-Verfahren als Zugangsfaktor für andere Online-Dienste nutzen. Der Betrug funktioniert z. B. mit gestohlenen Zugangsdaten für den Online-Account bei einem Telefonanbieter. Mit diesen Daten lässt sich der Betrüger eine Ersatz-SIM-Karte ausstellen. Noch einfacher funktioniert dies mit der eSIM, bei der nicht einmal mehr eine SIM-Karte per Post zugesandt werden muss.
Bereits dieses Beispiel zeigt: Es ist wichtig, dass risikobehaftete Geschäftsprozesse der Telekommunikationsunternehmen nur nach einer sicheren Authentifizierung des Nutzers erfolgen. Entscheidend sind hier angemessene Schutzmechanismen für die Authentifikation, sei es im Callcenter, aber auch beim Online-Account des Mobilfunkanbieters oder im Handy-Shop. Ein neues Arbeitspapier des BfDI gibt Hinweise, welche Parameter hierfür zu bedenken sind.
1.20 BfDI: G7-Treffen u.a. zu Data Free Flow und KI
Zum dritten Mal sind die Datenschutzbehörden und Privacy-Behörden der G7-Staaten für Gespräche zusammengekommen. Diese behandelten insbesondere die Angleichung internationaler Datenschutzstandards. Für das Prinzip eines freien und vertrauensvollen Datenaustausches (Data Free Flow with Trust, DFFT) wollen die G7 nun konkrete Vorschläge erarbeiten. Außerdem veröffentlichten die Datenschutzbeauftragten und Privacy-Behörden ein gemeinsames Statement zu generativer Künstlicher Intelligenz, in dem sie betonen, dass auch für neue technologische Entwicklungen und konkrete Anwendungen in diesem Bereich das bestehende Datenschutzrecht vollumfänglich gilt.
1.21 DSK: Targeting politischer Werbung
Die Datenschutzkonferenz (DSK) positioniert sich zur Absicherung der Einwilligung durch gesetzliche Flankierungen im Zusammenhang mit dem Verordnungsvorschlag über die Transparenz und das Targeting politischer Werbung. Nach Artikel 2 Nr. 8 des Vorschlags für eine Verordnung des Europäischen Parlaments und des Rates über die Transparenz und das Targeting politischer Werbung (COM(2021)0731) werden Verfahren zum Targeting oder Amplifizieren verwendet, um eine maßgeschneiderte politische Anzeige nur an eine bestimmte Person oder Personengruppe zu richten oder um den Umlauf, die Reichweite oder die Sichtbarkeit einer politischen Anzeige zu erhöhen.
Die DSK regt gegenüber den Trilogparteien daher an die freie Entscheidung über die Verarbeitung der eigenen personenbezogenen Daten durch gesetzliche Flankierungen so abzusichern, dass die in Artikel 8 Absatz 2 Satz 1 EU‐Grundrechtecharta primärrechtlich verankerte Einwilligung als Instrument der informationellen Selbstbestimmung wieder Wirksamkeit entfalten kann.
1.22 LDI NRW: Tätigkeitsbericht 2022
Die LDI NRW hat ihren Tätigkeitsbericht für 2022 veröffentlicht. Neben der Möglichkeit, dass auf einzelnen Seiten verlinkt werden kann, gibt es auch ein Interview dazu in der WDR-Mediathek (ca. 10:30 Min). Nachfolgend einige Auszüge aus dem Bericht:
1.23 LDI NRW: Tätigkeitsbericht 2022 – Auswirkungen des TTDSG auf Videokonferenzsysteme und die Aufsichten
Unter Ziffer 4.3 ab Seite 37 beschreibt die LDI NRW, dass seit Dezember 2021 die Anbieter von Videokonferenz-Diensten (VK-Dienste) als TK-Diensteanbieter für die Verarbeitung der Metadaten (wer kommuniziert wann und wie oft mit wem) und den Transport der dem Fernmeldegeheimnis unterliegenden Kommunikation (Inhaltsdaten) verantwortlich sind – und nicht mehr diejenigen, die den VK-Dienst in ihrem Unternehmen, ihrer Behörde oder sonstigen Stelle einsetzen. Für die datenschutzrechtliche Aufsicht über TK-Anbieter ist der BfDI zuständig (vgl. § 29 TTDSG). Damit sind die VK-Diensteanbieter für die Verarbeitung der Metadaten und den Transport der Inhaltsdaten datenschutzrechtlich verantwortlich. Die Stellen, die VK-Dienste nutzen, müssen nun keine Auftragsverarbeitungsverträge mehr mit den Anbietern schließen. Sie müssen sich allerdings nach wie vor darum kümmern, dass die in ihrem Einflussbereich stattfindenden Verarbeitungen personenbezogener Daten DS-GVO-konform sind.
1.24 LDI NRW: Tätigkeitsbericht 2022 – MS 365 in Schulen
Den Einsatz von MS 365 in Schulen sieht die LDI NRW unter Ziffer 5.3 ab Seite 51 weiterhin kritisch. Aufgrund der unzureichenden Transparenz hinsichtlich eigener Zwecke der Nutzung der Daten durch Microsoft sieht die LDI NRW einen rechtskonformen Einsatz nicht gegeben. Sie berichtet, dass durch eine Arbeitsgruppe verschiedener Datenschutzbehörden eine Handreichung für Schulen erarbeitet wird, um Schulen dabei zu unterstützen einen datenschutzgerechten Auftragsverarbeitungsvertrag mit Microsoft abzuschließen. Hinsichtlich der Einbeziehung der Schüler:innen in die Entscheidung zur Nutzung von MS 365 legt sie derweil in der Kommunikation mit Schulen Wert darauf, dass die Schüler*innen, die bzw. deren Eltern sich über den Einsatz von Microsoft 365 beschwert haben, nicht schutzlos gestellt sind und diskriminiert werden. Daher fordert sie diese Schulen auf für die Klasse oder Kurse dieser Schüler*innen Alternativlösungen bereitzustellen, die allen gleichermaßen eine adäquate Teilnahme am Unterrichtsgeschehen ermöglichen.
Sie empfiehlt weiterhin allen Verantwortlichen im Schulbereich datenschutzfreundlichere Alternativen für die Gestaltung des digitalen Unterrichts einzusetzen. Wenn sich mit Microsoft keine datenschutzgerechten Lösungen erreichen lassen, schließt sie weitere Aufsichtsmaßnahmen nicht aus.
1.25 LDI NRW: Tätigkeitsbericht 2022 – Benennungspflicht eines DSB bei Detekteien
Dass Detekteien bei bestimmten Tätigkeiten zur Benennung eines Datenschutzbeauftragten verpflichtet sind, beschreibt sie unter Ziffer 9.2 ab Seite 117. Gemäß Art. 37 Abs. 1 lit. a DS-GVO ist ein DSB zu benennen, wenn die Kerntätigkeit in einer Datenverarbeitung besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
Die LDI NRW geht von einer umfangreichen, regelmäßigen und systematischen Überwachung im Rahmen der Kerntätigkeit dann aus, wenn Observationen von Personen öfter als in einer niedrigen einstelligen Anzahl pro Jahr durchgeführt werden. Hierbei sei ebenso die Dauer einzelner Observationen (etwa Dauerbeobachtungen) zu berücksichtigen. Sie weist aber auch darauf hin, dass es Detekteien gibt, die ihre Kerntätigkeit so ausgerichtet haben, dass sie keine regelmäßige und systematische Überwachung erfordert. Dann gibt es insoweit auch keine Pflicht zur Benennung von Datenschutzbeauftragten. Das ist zum Beispiel so bei Detekteien, die sich auf die Recherche von Wirtschaftsinformationen oder Urheberrechtsverstößen oder auf den Objektschutz spezialisieren und dafür keine Observationen oder andere Überwachungen von Personen durchführen.
1.26 LDI NRW: Tätigkeitsbericht 2022 – Zulässigkeit des Adresshandels
Unter welchen Rahmenbedingungen ein Adresshandel noch möglich ist, führt sie in Ziffer 9.5 ab Seite 124 aus. Der Handel mit öffentlich gemachten Adressen stellt nach der Auffassung der LDI NRW ein berechtigtes Interesse dar, um Direktwerbung zu ermöglichen. Betroffene haben allerdings die Möglichkeit unerwünschter Werbung zu widersprechen. Ein solcher Widerspruch kann gegen Adresshändler*innen und/oder werbende Unternehmen gerichtet werden. Darüber hinaus gibt es Informations- und Löschungspflichten. Betroffene können sich außerdem in eine sog. Robinsonliste eintragen. In ihren Ausführungen nennt sie auch entsprechende Fundstellen.
1.27 LDI NRW: Tätigkeitsbericht 2022 – Schutzanforderungen an verlinkte Dokumente bei Berufsgeheimnisträgern
Ein Link auf Dokumente, die bei einem Dienstleister hinterlegt sind und die einem Berufsgeheimnis unterliegen, muss zusätzlich abgesichert werden. In dem Fall unter Ziffer 10.2 ab Seite 143 konnte auf Dokumente eines Anwalts allein über einen Link mit einer Zeichenkette, den der speichernde Dienstleister bereitgestellt hatte, aufgerufen werden. Zusätzliche Authentifizierungs- oder sonstige Schutzmaßnahmen fehlten. Die LDI NRW erwartet hier z.B. eine Zwei-Faktor-Authentifizierung („2FA“).
1.28 LfDI Saarland: Tätigkeitsbericht 2022
Auch die LfDI Saarland vom Unabhängigen Datenschutzzentrum Saarland (UDZ) hat ihren Tätigkeitsbericht veröffentlicht. Aus der Pressemittteilung dazu ergibt sich bereits ein Kurzbericht zu einigen ausgewählten Themen, daher halte ich mich etwas zurück.
1.29 LDA Brandenburg: Wiederwahl der LDA Brandenburg
In Brandenburg wurde die bisherige Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht erneut für weitere sechs Jahre wiedergewählt.
1.30 Niedersachsen: Neuer LDI darf benannt werden
Die Entscheidung im Eilverfahren, mit dem die Übergabe der Ernennungsurkunde an den Nachfolger der bisherigen LDI Niedersachsens verhindert werden sollte, hatte keinen Erfolg. Das VG Hannover sah in der Vorgehensweise der Auswahl und Entscheidung hinsichtlich des Nachfolgers keinen Verstoß gegen die Vorgaben der DS-GVO.
1.31 Sachsen-Anhalt: Neuer LfD sollte noch vor Sommerpause gewählt werden
Die Regierungsfraktionen des Landtag Sachsen-Anhalts wollen einen neuen LfD wählen. Die Amtszeit des Vorgängers endete bereits 2017, er übte dann mangels Nachfolger dieses Amt noch bis 2020 aus. Seitdem wurde das Amt durch den Stellvertreter geleitet. Es gab mehrere gescheiterte Wahlversuche. In der letzten Sitzungswoche vor der Sommerpause wurde nun ein neuer Wahlversuch angesetzt.
Franks Nachtrag: So als direkt davon (in Sachsen-Anhalt lebender) Betroffener habe ich mich (wie auch in der Vergangenheit schon) mit dieser never-ending story zur Wahl einer/s neuen Landesbeuaftragten natürlich genauer beschäftigt. Und es war und bleibt spannend:
- Fangen wir erst mal mit Störfeuer der Opposition an: Berichten zufolge soll der CDU-Vize-Fraktionsvorsitzende im Landtag bei der Opposition versucht haben Stimmen für die Wahl zu organisieren, was er zurückweist (ein Anfang der Woche noch verfügbarer Videobeitrag aus der ARD-Mediathek dazu scheint nicht mehr da zu sein, warum auch immer).
- Anfang dieser Woche wurde bekannt, dass ein anderer Bewerber um das Amt des Landesbeauftragten die Wahl vor dem Verwaltungsgericht Magdeburg in dieser Woche per Eilantrag verhindern wollte.
- Den Eilantrag hat das Verwaltungsgericht Magdeburg abgelehnt.
- Am heutigen Mittwoch (28.06.2023) soll als 5. Tagesordnungspunkt (Top 10?) die Wahl stattfinden.
- Da ich ja hier am PC sitze und diesen Blogbeitrag fertigstelle (bei dem schönen Wetter!), dachte ich mir, ich schaue online bei diesem Tagesordnungspunkt zu. Was zum Start der Sitzung auf Grund technischer Probleme natürlich erst mal nicht klappte… Digitalisierung in Deutschland, hach ja… Aber nach einem Anruf beim Landtag teilte mir die nette Dame von der Abteilung Öffentlichkeitsarbeit mit, dass mit Hochdruck an dem bekannten Problem, dass der Livestream nicht wolle, gearbeitet werde und sie half mir auch den Zeitplan zu finden, nach dem dieser 5. Tagesordnungspunkt (Nr. 10) erst für 14:20 Uhr angesetzt sei. Mittlerweile läuft der Stream aber, sie diskutieren gerade über Investitionen in Sachsen-Anhalt, also Top 2 (skurilerweise spricht gerade der Noch-Chef des aktuell zur Wahl stehenden Kandidaten).
- Ab ca. 14:30 Uhr habe ich das Landtags-TV (aktiv) live geschaut, vorher lief es nur nebenbei (solange ich an diesem Blog-Beitrag gearbeitet habe), da noch andere Themen behandelt wurden. Tatsächlich habe ich es sogar auf dem Smartphone weiterlaufen lassen, da ich zu einem Termin musste, und während der Fahrt (über das Onboard-Entertainment-System im Auto) weiter zugehört (das Smartphone lag verkehresregelkonform in der Ladeschale). So konnte ich hören, wie gegen halb vier der erste Wahlgang zuende ging und die Wahl das erste mal scheiterte. Dann hatte ich meinen Termin, kurz nach 17:00 Uhr konnte ich während der Rückfahrt wieder auf dem Smartphone weiterhören und bekam das erneute Scheitern eines Wahlgangs mit. Um 20:00 Uhr hörte ich dann im Radio, dass die Wahl dreimal gescheitert ist. Immerhin sind sie sich treu geblieben und haben wieder mal keinen neuen Landesdatenschutzbeauftragten gewählt. Wenigstens konsequent ist unser Landtag.
- Während der Hinfahrt zu meinem Termin hörte ich vor der Wahl, das der andere Bewerber auch noch einen Eilantrag vor dem nächsthöheren Gericht gestellt hatte, dass die heutige Wahl untersagt werden sollte, auch dort war er aber gescheitert, weswegen die Wahl durchgeführt werden konnte, aber dann selbst scheiterte… go figure…
Franks zweiter Nachtrag: Mein erster Nachtrag (s.o.) war der bisher längste Nachtrag, den ich bisher produziert habe…
1.32 CNIL: Vorhersehbares Bußgeld bei Datenschutzverstößen
Die französische Datenschutzaufsicht verhängte ein Bußgeld gegen ein Unternehmen, das Webseiten betreibt, um seinen Kunden „Hellsehen“ über einen Online-Chat oder per Telefon anzubieten. Nach einer Datenschutzverletzung untersuchte die CNIL das Geschäftsmodell und stellte dabei mehrere Verstöße fest, insbesondere in Bezug auf die systematische Aufzeichnung von Telefongesprächen, die Sammlung von Gesundheitsdaten und Informationen über die sexuelle Ausrichtung, die Speicherung von Bankdaten ohne Zustimmung der betroffenen Person, die Meldepflicht bei Datenschutzverletzungen oder die Vorschriften über Cookies. Die CNIL sanktionierte diese Vergehen mit einem Bußgeld in Höhe von insg. 150.000 Euro (davon 30.000 für unzureichende Einbindung von Cookies).
1.33 ENISA: Cybersecurity und Privacy bei KI in der Medizin
Die European Union Agency for Cybersecurity (ENISA) hat einen Bericht zu den Anforderungen an Cybersicherheit und Datenschutz beim Einsatz von KI in der Medizin veröffentlicht. Obwohl der Aufgabenschwerpunkt der ENISA auf dem Themenfeld der Cybersecurity liegen sollte, umfassen ihre Ausführen auch datenschutzrechtliche Aspekte. Am Beispiel einer Modellanalyse zur Diagnose von Osteoporose wird dargelegt, welche Risiken bestehen, wenn KI-gestützte Bilderkennungssoftware eingesetzt wird.
1.34 CNIL: 40 Mio € Bußgeld für unzulässiges Tracking durch Online-Marketing-Unternehmen
Die französische Aufsicht CNIL sanktioniert Tracking. Das Unternehmen Criteo betreibt Online-Marketing-Player und sammelte über Cookies Daten von Nutzen, um deren Interessen zu ermitteln, um dann Anzeigen über eine Real-Time-Bidding-Engine gezielt auf diesen Nutzer auszurichten (Behavioural Targeting). Dabei sei Criteo der konkrete Name der jeweiligen Person nicht bekannt, insbesondere würden keine E-Mail-Adressen oder Namen gespeichert. Die CNIL moniert z.B. den fehlenden Nachweis, dass die betroffenen Personen ihre Einwilligung erteilt haben, die fehlende Information in der Datenschutzerklärung von Criteo, die unzureichende Umsetzung bei Auskunftsansprüchen, die Nichtlöschung der Daten bei Widerruf der Einwilligung und die unzureichende Umsetzung der Anforderungen bei der gemeinsamen Verantwortlichkeit. Es ist noch offen, ob Criteo die Entscheidung gerichtlich überprüfen lassen will.
1.35 Bundeskartellamt: Warnung an Google hinsichtlich des Angebots an Fahrzeughersteller
Das Bundeskartellamt (BKartA) sprach eine formelle Warnung gegen mehrere Google-Praktiken im Zusammenhang mit der Lizenzierung und Bündelung von Android-basierten Betriebssystemen für Autos und Google Maps aus. Die Warnung stützt sich auf die neue deutsche Regelung für Unternehmen mit überragender marktübergreifender Bedeutung für den Wettbewerb (§ 19a GWB).
Die Google Automotive Services sind ein Produktbündel, das Google Fahrzeugherstellern zur Lizensierung anbietet. Es umfasst den Kartendienst Google Maps, eine Version des App-Stores Google Play und den Sprachassistenten Google Assistant. Als Betriebssystem wird eine von Google entwickelte Variante von Android, das Android Automotive Operating System (AAOS) verwendet. Die Kombination der drei Dienste mit AAOS, die GAS Infotainment Plattform, stellt ein im Wesentlichen vollständiges Infotainmentsystem für Fahrzeuge dar. Es unterstützt Fahrer und Fahrerinnen bei der Navigation, gewährt Zugang zu Medieninhalten, erlaubt die Nutzung von Sprachtelefonie- und Messengerdiensten und ermöglicht die sprachgestützte Steuerung von Fahrzeugfunktionen. Google bietet Fahrzeugherstellern die drei Dienste grundsätzlich nur als Bündel an und macht weitere Vorgaben für die Präsentation dieser Dienste im Infotainmentsystem, damit diese bevorzugt genutzt werden.
Nach vorläufiger Einschätzung des Bundeskartellamtes erfüllt Googles Verhalten die Voraussetzungen mehrerer Tatbestände des neugeschaffenen § 19a GWB, auf dessen Grundlage das Bundeskartellamt die Adressaten der Vorschriften dazu verpflichten kann die jeweiligen Praktiken zu beenden, sofern sie nicht sachlich gerechtfertigt sind.
So könnte die Bündelung von Diensten eine erhebliche Gefahr für den Wettbewerb darstellen, weil Google damit seine Machtposition auf noch nicht vermachteten Märkte ausweiten könnte. Weiterhin könnte die mit einigen Fahrzeugherstellern vereinbarte Beteiligung an Werbeeinnahmen aus der Nutzung des Google Assistant unter der Bedingung, dass ausschließlich der Google Assistant als Sprachassistent in der GAS Infotainment Plattform installiert wird, problematisch sein. Nach vorläufiger Einschätzung des Bundeskartellamtes könnten darüber hinaus vertragliche Regelungen, mit denen Google GAS-Lizenznehmer dazu verpflichtet die Google-Dienste als Standard einzustellen bzw. sie in der Bildschirmanzeige vor anderen Anwendungen darzustellen, den Tatbestand der Behinderung beim Marktzugang erfüllen. Derartige Voreinstellungen bergen die Gefahr, dass alternative Dienste kaum wahrgenommen und dementsprechend wenig genutzt werden. Google hat solche Praktiken bereits bei mobilen Endgeräten erfolgreich zum Ausbau bzw. zur Absicherung seiner Marktposition eingesetzt. Schließlich könnte Google nach vorläufiger Einschätzung des Bundeskartellamtes die Interoperabilität ihrer Dienste in der GAS Infotainment Plattform mit Diensten Dritter erschweren bzw. verweigern. Dies führt dazu, dass die Funktionen der von Googles Wettbewerbern bereitgestellten Dienste, z.B. eines Sprachassistenten zur Steuerung der Navigationsfunktion in Google Maps, nicht oder nur eingeschränkt nutzbar sind.
1.36 LSI Bayern: Kommunale Sicherheit 3.0
Bayerischen Bezirke, Landkreise, Gemeinde, Märkte und Städte können seit dem 1. Juni 2023 mittels aktualisierten Fragebogen, welcher ab dem 01. Juni 2023 beim Bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) angefragt werden kann, das Siegel „Kommunale IT-Sicherheit“ 3.0 erwerben.
Das Siegel „Kommunale IT-Sicherheit“ ist auf die Bedürfnisse von kleineren Städten und Gemeinden ausgerichtet und unabhängig von einem ISMS-Standard. Das Siegel kann als Vorstufe zu Einführung eines ISMS-Standards betrachtet werden. Um der aktuellen Sicherheitslage gerecht zu werden und um die schrittweise Verbesserung der Informationssicherheit in Bayern weiter zu unterstützen, wurden für das Siegel „Kommunale IT-Sicherheit 3.0“ bestehende Maßnahmen angepasst und andere neu hinzugefügt – neben der Betrachtung von IoT-Geräten / Haus-IT, Vorkehrungen bei exponierten Servern oder SSL-Analyse, flossen Erkenntnisse aus kommunalen Sicherheitsvorfällen ein. Die Infos, die das LSI Bayern dazu anbietet, sind sicherlich nicht nur für Bayerische Kommunen interessant.
2 Rechtsprechung
2.1 EuGH: Schlussanträge zu Verantwortlichen bei Veröffentlichung durch Amtsblatt
Wer gilt datenschutzrechtlich als Verantwortlicher, wenn eine Stelle (belgisches Amtsblatt: Moniteur belge) amtliche Dokumente in Papierform und in elektronischer Form veröffentlicht? Darum geht es in dem Fall C-231/22 (Belgian State – Données traitées par un journal officiel). Nachdem der Datenschutzbeauftragte eines Notars festgestellt hatte, dass eine Passage eines notariell beglaubigten Gesellschafterbeschlusses, die neben den nach belgischem Recht erforderlichen Angaben personenbezogene Daten einer natürlichen Person enthielt, versehentlich veröffentlicht worden war, beantragte er beim Amtsblatt die Löschung dieser Daten. Diesen Antrag lehnte der Service Public Fédéral Justice (Föderaler Öffentlicher Dienst Justiz), die zuständige Verwaltungsbehörde des Amtsblattes, jedoch ab. In ihren Schlussanträgen geht die Generalanwältin davon aus, dass das Amtsblatt als Verantwortliche nach Art. 4 Nr. 7 DS-GVO gilt, da ihm nach dem anwendbaren nationalen Recht der Auftrag der Veröffentlichung und Archivierung amtlicher Dokumente übertragen wurde.
Auch wenn der Auftrag die Veröffentlichung in unveränderter Form umfasse, habe der nationale Gesetzgeber diesem Amtsblatt die Befugnis zur Entscheidung über die Mittel der Digitalisierung, Veröffentlichung, Verbreitung und Speicherung der in Rede stehenden Dokumente übertragen und weit gefasste Zwecke der Veröffentlichung und Verbreitung festgelegt. Was jedoch die fehlende Benennung des Verantwortlichen in Bezug auf die Entfernung oder Löschung der Daten angeht, ist es im Hinblick darauf, dass die in Rede stehenden Daten öffentlich verfügbar bleiben, Sache des nationalen Gerichts im Ausgangsverfahren den Akteur zu benennen, der die aus der DS-GVO ergebenden Pflichten einhalten muss. Aus der in Rede stehenden Verarbeitung ergebe sich keine gemeinsame Verantwortlichkeit; das Amtsblatt sei für die Verarbeitungsvorgänge, zu denen es durch das nationale Recht verpflichtet wird, allein verantwortlich.
2.2 EuGH: Schlussanträge zu Anforderungen an Zugriff auf Smartphonedaten
Im Fall C-178/22 (Procura della Repubblica presso il Tribunale di Bolzano) geht es um die Fragen, wann und unter welche Voraussetzungen Ermittlungsstellen Zugang zu Daten eines Mobiltelefons bekommen können. Zu beachten sind dabei die Vorgaben aus der ePrivacy-Richtlinie 2002/58 in der durch die RL 2009/136 geänderten Fassung. Gemäß Art. 15 Abs. 1 der ePrivacy-RL können Mitgliedsstaaten Beschränkungen des Schutzes der Vertraulichkeit der Kommunikation regeln, sofern dies für die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Das Tribunale di Bolzano (Landesgericht Bozen) bittet den Gerichtshof zwei Aspekte eines Urteils zu klären: den Begriff der „schweren Kriminalität“ und den Umfang der vorherigen Kontrolle, die einem Gericht gemäß einer nationalen Regelung obliegt, wonach es den Zugang zu den von Betreibern elektronischer Kommunikationsdienste gespeicherten Daten zu genehmigen hat.
Die Generalanwältin hat nun ihre Schlussanträge vorgelegt. Darin geht sie davon aus, dass Art. 15 Abs. 1 ePrivacy-RL einer nationalen Regelung nicht entgegenstünde, wenn es um die Zwecke der Aufklärung des Sachverhalts gehe und hinreichende Anhaltspunkte für die Begehung einer schweren Straftat im Sinne des nationalen Rechts vorliegen, die mit einer Freiheitsstrafe im Höchstmaß von mindestens drei Jahren bedroht seien. Dann könne ein Gericht verpflichtet sein der Staatsanwaltschaft Zugang zu den von den Betreibern elektronischer Kommunikationsdienste rechtmäßig gespeicherten Daten zu gestatten, aus denen genaue Schlüsse auf das Privatleben eines Nutzers gezogen werden könnten. Vor der Gewährung des Zugangs müsse das nationale Gericht im Einzelfall konkret prüfen, ob der mit der Gewährung dieses Zugangs verbundene Eingriff in die Grundrechte in Anbetracht u. a. der Schwere der spezifischen Straftat und des jeweiligen Sachverhalts verhältnismäßig sei.
2.3 EuGH: Aufgaben der Aufsicht aus der „RL Polizei und Justiz“
Im Verfahren C-333/22 (Ligue des droits humains – (Vérification du traitement des données par l’autorité de contrôle) geht es um die Regelung in Art. 17 der Richtlinie „Polizei und Justiz“, durch die die Aufsicht nur dazu verpflichtet wird die betroffene Person darüber zu unterrichten, „dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind“, sowie „über ihr Recht auf einen gerichtlichen Rechtsbehelf“, obgleich eine derartige Unterrichtung keine nachträgliche Kontrolle des Handelns und der Beurteilung der Aufsichtsbehörde im Hinblick auf die Daten der betroffenen Person und die Pflichten des Verantwortlichen gestattet. In ihren Schlussanträgen sieht die Generalanwältin Art. 17 noch als vereinbar mit den in der Charta der Grundrechte der Europäischen Union verankerten Grundrechten auf Schutz personenbezogener Daten und auf einen wirksamen Rechtsbehelf, soweit a) die Aufsichtsbehörde je nach den Umständen über die Angabe hinausgehen dürfe, dass alle erforderlichen Prüfungen vorgenommen worden seien, und b) der betroffenen Person eine gerichtliche Kontrolle des Handelns und der Beurteilung der Aufsichtsbehörde im Hinblick auf diese betroffene Person im Licht der Pflichten des Verantwortlichen zur Verfügung stehe.
Für die Arbeit von Datenschutzbeauftragten ist dieses Urteil nicht direkt relevant, es lassen sich daraus aber indirekte Aufgabenbefugnisse der Aufsichten ableiten.
2.4 EuGH: Auskunftsanspruch umfasst auch Zugriffe
Für den 22. Juni 2023 war das Urteil im Verfahren C-579/21 (Pankii S.) angekündigt. Dabei ging es darum, ob vom Auskunftsanspruch nach Art. 15 DS-GVO auch umfasst sei, wer intern bei einem Verantwortlichen als Empfänger Kenntnis von personenbezogenen Daten der betroffenen Person hatte. Der Generalanwalt sah das in seinen Schlussanträgen noch nicht so.
Der EuGH hat entschieden (C-579/21, „Pankki S“), dass Art. 15 DS-GVO auch die Information umfasst zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die eigenen personenbezogenen Daten abgefragt wurden. Im Ausgangsfall ging es um einen ehemaligen Arbeitnehmer einer Bank, der dort auch sein Konto führte und wissen wollte, wer auf sein Konto zugegriffen hatte.
Der EuGH stellte dabei fest, dass die Rechte aus Art. 15 DS-GVO auch Daten und Informationen umfassen, die vor dem Inkrafttreten der DS-GVO verarbeitet wurden (RN 36). Der Auskunftsanspruch umfasst auch die Vorgänge zur Abfrage der personenbezogenen Daten einer Person sowie über die Daten und Zwecke dieser Vorgänge (RN 69, 70). Arbeitnehmer des Verantwortlichen sollten jedoch nicht als „Empfänger“ im Sinne von Art. 15 Abs. 1 lit. c DS-GVO angesehen werden, wenn sie personenbezogene Daten unter der Aufsicht dieses Verantwortlichen und im Einklang mit seinen Weisungen verarbeiten (RN 73).
Sollte die in den Protokolldateien enthaltenen Informationen über die Personen, die die Abfragen der personenbezogenen Daten der betroffenen Person vorgenommen haben, erforderlich sein, um die betroffenen Person in die Lage zu versetzen die Rechtmäßigkeit der Verarbeitung ihrer Daten zu überprüfen und sich insbesondere davon zu überzeugen, dass die Verarbeitungsvorgänge tatsächlich unter der Aufsicht des Verantwortlichen sowie im Einklang mit seinen Weisungen durchgeführt wurden, dann ist eine Abwägung durchzuführen, dass das Auskunftsrecht nicht die Rechte und Freiheiten anderer Personen beeinträchtigen sollte. Nach Möglichkeit sind dann Modalitäten zu wählen, die die Rechte und Freiheiten anderer Personen nicht verletzen, wobei zu berücksichtigen ist, dass diese Erwägungen nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird (RN 74-80).
Vgl. auch die Pressemeldung zu der Entscheidung.
2.5 EuGH: Freier Zugang zu europäischen Normen der Technik
In dem Berufungsverfahren C 588/21 P empfiehlt die Generalanwältin in ihren Schlussanträgen dem EuGH die Entscheidung des EuG aufzuheben. Normen des Unionsrechts unterlägen keinem urheberrechtlichen Schutz. Harmonisierten europäischen Normen der Technik müssen wegen ihrer besonderen Rechtsnatur als Rechtsakte, die Teil des Unionsrechts sind, kostenlos frei zugänglich sein.
2.6 BVwG Österreich: Auch ein Schreiben kann ein personenbezogenes Datum sein
Im Streitfall geht es u.a. um die Weitergabe eines Schreibens, in dem Name und Funktion einer Person genannt sind. Im Urteil (unter Ziffer II.3.2.3) kommt das BVwG Österreich zu dem Ergebnis, dass Informationen in einem Schreiben als personenbezogene Daten zu qualifizieren sind, wenn das Schreiben den Name und die Funktion einer Person enthält, weil damit die im Schreiben enthaltenen Informationen mit dieser Person verknüpft sind.
2.7 VG Hannover: Speicherdauer von Videoaufnahmen bei Selbstbedienungstankstelle
Das VG Hannover wies eine Klage gegen eine Anordnung der LDI Niedersachsen ab, in der diese dem Betreiber einer Selbstbedienungstankstelle keine längere Regelspeicherdauer der Videoaufnahmen als 72 Stunden anordnete. In Ausnahmefällen könne diese Zeit auch verlängert werden (z.B. Feiertagen). Die seitens der klagenden Tankstelle vorgebrachten Argumente ließ das Gericht nicht gelten: § 4 BDSG bezüglich nicht-öffentlichen Stellen sei europarechtswidrig, zudem sei eine Tankstelle auch dann keine öffentliche Stelle, nur weil sie Treibstoff veräußere und damit eine öffentliche Aufgabe im Rahmen der Daseinsvorsorge wahrnehme: § 4 BDSG sei ausdrücklich nur auf öffentliche Stellen anzuwenden. Das Gericht bestätigt jedoch das Interesse der Tankstelle eine Videoüberwachung durchzuführen, um Vandalismusschäden abzuwehren bzw. aufzuklären. Hinsichtlich der Nachverfolgung zivilrechtlicher Forderungen gegen nicht zahlende Kunden sei kein ausreichender substantiierter Vortrag dazu erfolgt, auch weil die Ausgabe von Treibstoffen erst nach Freischaltung des Zahlungsmittels erfolge.
Das Urteil befasst sich auch noch mit weiteren Argumenten der Klägerin unter Bezugnahme von anderweitigen Äußerungen von Aufsichten und Gerichten, vermochte aber damit in diesem Fall die Meinung des Gerichts nicht zu überzeugen.
2.8 LG Lübeck: Weitere Urteile zu Scraping ausstehend
Sie hatten es hier schon erfahren, dass das LG Lübeck in einem Verfahren des Scraping bei Facebook einen immateriellen Schadenanspruch in Höhe von 500 Euro zusprach. Hier informiert das LG Lübeck nun, dass allein in dem Zuständigkeitsbereich des LG Lübeck noch weitere 50 Verfahren anhängig sind.
2.9 LG Hildesheim: Ausgestaltung eines Online-Bestellbuttons gegenüber Verbrauchern
Das LG Hildesheim stellt in einem Verfahren der Verbraucherzentrale gegen einen Onlinehändler fest, dass gemäß § 312j Abs. 3 BGB bei einer Bestellung durch einen Verbraucher ein Button in der Gestaltung die Vorgaben einhalten muss und diese Schaltfläche gut lesbar mit nichts anderem als den Wörtern „zahlungspflichtig bestellen“ oder mit einer entsprechenden eindeutigen Formulierung beschriftet werden muss. Eine Vermischung von Auswahl der Zahlungsart und Auslösen des Bestellvorgangs sei daher unzulässig.
2.10 VG Düsseldorf: Prozessunfähigkeit aufgrund krankhaften Querulantentums
Das VG Düsseldorf hatte in Verfahren zu einer Verpflichtungsklage eines Auskunftsbegehrens gegenüber dem Landtagspräsidenten und dem Präsidenten des Verwaltungsgerichts Düsseldorf zu entscheiden. Es lehnt die Klage ab, weil es bei dem Kläger eine partielle Prozessunfähigkeit aufgrund eines krankhaften Querulantenwahns feststellte. Ausnahmsweise könne die Feststellung der Prozessunfähigkeit auch ohne Einschaltung eines Sachverständigen durch das Gericht erfolgen, wenn eindeutige Symptome vorliegen, die auch einem medizinisch nicht vorgebildeten Laien zweifelsfreie Schlüsse gestatteten (RN 27).
Dazu macht es dann im Urteil ausführliche Ausführungen zu den Aktivitäten des Klägers, wie dass dieser von 2017 bis 2022 insg. 91 Beschwerden bei der LDI NRW einreichte, die LDI NRW nehme zudem an, dass unter Pseudonymen weitere Beschwerden eingingen. Nicht nur die bloße Masse der Anträge, sondern auch der Schriftverkehr und die Anzahl der Telefonanrufe des Klägers innerhalb der einzelnen Verfahren habe vor allem in den Jahren 2019 und 2020 ein Ausmaß angenommen, dass die LDI NRW an die Grenzen ihrer Arbeitsfähigkeit gelangt sei. Zudem wurden durch ihn zahlreiche Verfahren gegenüber dem Petitionsausschuss des Landtags und vor Gerichten angestrengt. Aber nicht nur die Anzahl der vom Kläger initiierten behördlichen und gerichtlichen Anträge, sondern auch die Art und Weise seiner Prozessführung belege nach Ansicht des Gerichts, dass er kein sachliches Interesse verfolge, sondern dass es ihm um die Auseinandersetzung an sich gehe. Dies zeige sich daran, dass der Kläger in gerichtlichen Verfahren fortwährend Nebenstreitigkeiten unterschiedlichster Art eröffnete, die von vornherein offensichtlich haltlos, dafür aber geeignet seien den jeweiligen Rechtsstreit unnütz aufzublähen, gerichtliche Kapazitäten ohne Not zu binden und das Geschehen auf eine nicht erforderliche Konfrontationsebene zu verlagern.
Das Gericht weist aber auch darauf hin, dass bei der Feststellung einer partiellen Geschäftsfähigkeit allerdings besondere Vorsicht geboten ist, zumal die Grenze zwischen rechthaberischer Verbohrtheit und krankhafter Querulanz fließend sei (RN 23).
2.11 LAG Baden-Württemberg: Zulässigkeit der Auswertung von geschäftlichen E-Mails
Ein Arbeitgeber hatte E-Mails eines Mitarbeiters ohne dessen Wissen ausgewertet und ihm wegen darin gefundener privater Nachrichten gekündigt. Der Mitarbeiter machte im Kündigungsschutzprozess geltend, dass es kein ausdrückliches Verbot durch den Arbeitgeber gegeben habe, und die Mischnutzung anderer Kommunikationsmittel wie des dienstlichen Mobiltelefons erlaubt gewesen sei – mit Erfolg. Das LAG Baden-Württemberg verurteilte den Arbeitgeber wegen Datenschutzverstößen zur Zahlung eines Schmerzensgelds in Höhe von 3.000 Euro; die ausgewerteten E-Mails unterliegen einem Beweisverwertungsverbot. Damit war die Kündigung unwirksam.
Ob das Fernmeldegeheimnis im Arbeitsverhältnis Anwendung findet, wie immer wieder diskutiert wird, hat das Gericht indes offengelassen.
Es wird jedoch klargestellt, dass eine Auswertung der Kommunikation bei Mischnutzung eine verschärfte Verhältnismäßigkeitsprüfung erfordert; die verdeckte Auswertung ist in der Regel unzulässig. Bei erlaubter Privatnutzung müssen verdachtsunabhängige Kontrollen angekündigt werden, damit private Nachrichten vorher gesondert gespeichert werden können.
Insgesamt macht die Entscheidung noch einmal deutlich, wie wichtig klare Regeln und deren Überprüfung hinsichtlich der Einhaltung für die Nutzung von betrieblicher IT sind.
2.12 Kirchlicher Datenschutz auf dem Prüfstand
Wie gewöhnlich gut unterrichtete Kreise berichten (der Newsletter unter www.artikel91.eu ist ein Muss für alle, die am kirchlichen Datenschutz ein nur irgendwie geartetes Interesse haben!), gibt es weitere Verfahren, bei den die staatlichen Aufsichten die Ordnungsmäßigkeit kirchlichen Datenschutzrechts prüfen. Nachdem das VG Hannover die Einhaltung der Vorgaben des Art. 91 DS-GVO im Falle der Selbstständigen Evangelischen Kirchen (SELK) verneinte und die rechtlichen Fragen in die nächste Instanz gehen, befassen sich nun weitere Aufsichtsbehörden mit Fragen der rechtmäßigen Umsetzung der Anforderungen. So befasse sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit mit den Zeugen Jehovas und in Niedersachsen steht eine weitere freikirchliche Gemeinschaft auf dem Prüfstand.
3 Gesetzgebung
3.1 EU-Parlament: Positionierung zum AI Act
Mit dem Beschluss des Europäischen Parlaments zu einer Fassung des AI Acts hat dieses seine Position zum Beginn des Trilogs verabschiedet. Damit soll u.a. auch bei der Nutzung von Künstlicher Intelligenz ein risikobasierter Ansatz eingeführt werden. Eine Darstellung des Inhalts finden Sie hier oder ein Schaubild dazu hier.
Ein Knackpunkt in den Trilogverhandlungen wird voraussichtlich die Definition von KI sein. So wird z.B. bei KI-Systemen mit allgemeinem Zweck (General Purpose AI Systems, GPAIS) versucht zwischen Systemen mit und ohne festen Zweck zu unterscheiden. In diesem Beitrag werden diese Unterschiede operationalisiert durch ein Konzept der „eindeutigen Aufgaben“. Dabei werden vier Ansätze (Quantität, Leistung, Anpassungsfähigkeit und Entstehung) untersucht, um zu bestimmen, ob ein KI-System als GPAIS eingestuft werden sollte. Dies wird als Vorschlag an die EU-Akteure betrachtet diese vier Ansätze als Ausgangspunkt für die Unterscheidung zwischen zweckgebundenen und GPAIS zu verwenden.
Bei all der Freude über den Fortschritt im Gesetzgebungsverfahren wird dezent daran erinnert, dass nicht jeder Algorithmus eine KI darstellt und dass für Schäden durch KI bereits spezielle Vorgaben zur Haftung beim Einsatz von KI im Gespräch sind. Auch eine Studie von Start-ups zeigt sich nicht begeistert von den Regularien in Europa zum Einsatz von Künstlicher Intelligenz.
Franks Nachtrag: Siehe auch 3.6.
3.2 Data Act – Um was geht es da?
Wer fürchtet, langsam den Überblick zu verlieren, hat hier eine gute Adresse, um diesen zu behalten. Auch wenn der Entwurf des Data Acts in Art. 1 Abs. 3 postuliert, dass die DS-GVO unberührt bleibt, gibt es doch z.B. über Art. 20 DS-GVO Berührungspunkte oder über Art. 4 Abs. 5 oder Art. 5 Abs. 7 des Entwurfs. Auch sollen weiterhin die Aufsichtsbehörden, die die Einhaltung der DS-GVO überwachen, auch beim Data Act hinsichtlich personenbezogener Daten zuständig bleiben (Art. 31 des Entwurfs). So verwundert es auch nicht, dass auch bezüglich der Sanktionen auf die DS-GVO verwiesen wird (Art. 33 Abs. 3 des Entwurfs).
3.3 Bundesregierung: Nationale Sicherheitsstrategie
Die Bundesregierung hat ihre nationale Sicherheitsstrategie veröffentlicht. Im Kapitel zur Resilienz gibt es auch Positionen und Aussagen zur digitalen Souveränität und zum Schutz vor Bedrohungen aus dem Cyberraum.
3.4 Bayern: Auftragsverarbeitungs-Regelungen per Gesetz
Nach Art. 38 BayDiG erfolgt die Auftragsverarbeitung zwischen staatlichen Stellen auf Grundlage eines Vertrages im Sinne des Art. 28 Abs. 3 Satz 1 Alt. 1 DS-GVO oder § 62 Abs. 5 Satz 1 Alt. 1 des BDSG und mit dem Vertragsinhalt, wie er nach Maßgabe dieses Artikels bestimmt wird, wenn und soweit die Auftragsverarbeitung nicht anderweitig gesetzlich geregelt ist. Nun hat der Freistaat Bayern eine anderweitige Regelung im Bayerischen Ministerialblatt veröffentlicht. In diesen Allgemeine Nutzungsbedingungen Auftragsverarbeitungsverhältnis (ANB-AVV) werden die Rechte und Pflichten im Falle einer datenschutzrechtlichen Auftragsverarbeitung im Anwendungsbereich des Art. 38 Abs. 1 Satz 1 BayDiG konkretisiert. Manche Regelung verwundert, weil dies mEn bereits gesetzlich in der DS-GVO geregelt ist, wie die Führung eines Verzeichnisses durch den Auftragverarbeiter (unter Ziffer 3) oder die Angabe, dass bestimmte Vorgaben nicht gelten, wenn ein Zugriff auf personenbezogene Daten ausgeschlossen wird (Ziffer 7.7).
3.5 Auswirkungen der US-UK-Datenbrücke
In alter traditioneller Verbundenheit (die Bostoner Teaparty und den Unabhängigkeitskrieg mal außen vorgelassen) planen die Regierungen der USA und UK eine bilaterale Vereinbarung zum transatlantischen Datentransfer. Welche Auswirkungen dies noch haben könnte, wird in diesem Beitrag (insb. in den Kommentaren) diskutiert.
3.6 AI Act: Vor Beginn des Trilogs
Kaum gibt es eine Fassung des AI Act, der das Europäische Parlament zugestimmt hat und mit der nun der Trilog beginnen kann, gibt es auch schon Berichte über die Einflussnahme von Unternehmen auf die Formulierungen.
Übrigens gehen Vertreter der EU-Kommission im Rahmen eines Gespräches mit dem Digitalausschuss davon aus, dass im Trilog das Projekt bis Jahresende abgeschlossen werden könne.
3.7 AI Act – Von was reden wir?
Haben wir dasselbe Verständnis, wenn wir uns zu Begrifflichkeiten der AI zwischen Europäern und US-Amerikanern austauschen? Im Anschluss an die Vorschläge des AI-Fahrplans für konkrete Aktivitäten zur Angleichung der risikobasierten Ansätze der EU und der USA hat eine Expertengruppe einen ersten Entwurf für AI-Terminologien und -Taxonomien erarbeitet. Unter Bezugnahme auf Schlüsseldokumente aus der EU und den USA wurden insgesamt 65 Begriffe identifiziert.
3.8 Universität Stanford: AI Act Compliance mit Sprachmodellen
Die Uni Stanford veröffentlichte durch ihr Center for Research on Foundation Models eine Studie, die Compliance der wichtigsten Sprachmodelle (inkl. ChatGPT) gegenüber dem EU AI-Act Entwurf analysiert hat. Das dazu passende Interview mit Studienbeteiligten hören Sie hier (Dauer ca. 24 Min.).
3.9 Kleine Anfragen im Bundestag zu ChatGPT
Auch im Bundestag ist Künstliche Intelligenz ein Thema, wie hier bei der Anfrage aus der AfD-Fraktion, welche die Bundesregierung so beantwortet hat. Es ging u.a. um den Einsatz von Künstlicher Intelligenz wie ChatGPT und diesbezügliche Fragen zu Datenschutz und Datensicherheit.
Bereits vorher gab es das Frage- / Antwortspiel hinsichtlich des Einsatzes künstlicher Intelligenz im Geschäftsbereich der Bundesregierung.
3.10 Gesundheitsdatenschutz: Digitalisierung des Gesundheitswesens
Über das Digitalgesetz und das Gesundheitsdatennutzungsgesetz soll die Digitalisierung des Gesundheitswesens gefördert werden. Damit würden Prozesse schlanker und Zugang zu Daten für Forschungszwecke erleichtert. Es gibt aber auch Kritik am Digitalgesetz wie auch am Gesundheitsdatennutzungsgesetz. Neben der Kritik des Zugriffs auch durch Krankenkassen wird die Rechtsgrundlage über reine Opt-out-Gestaltung in Frage gezogen, Versicherte müssen aktiv widersprechen, wenn sie nicht wollen, dass ihre Daten dazu genutzt werden.
Wer die datenschutzrechtliche Aufsicht bei Gesundheitsdaten künftig haben soll, sei laut der Darstellung auch noch offen. Nach dieser Pressekonferenz scheint der BMG von einem derzeitigen Vetorecht des BSI und BfDI auszugehen, dass eben künftig unter Einbindung „anderer medizinischer Experten“ das „Einvernehmen“ hergestellt werden soll.
3.11 Überblick Datenregulierung
Wer in dem Dschungel der europäischen Gesetzgebung zur Datenregulierung fürchtet den Überblick zu verlieren, ist damit sicher nicht allein. Allein die Abkürzungen der Gesetzgebungen DMA, DSA, DA, DGA, AIA und EHDS verwirren. Hier werden alle kurz und nachvollziehbar vorgestellt.
3.12 Transatlantischer Datentransfer
Wir hatten es ja schon mal angesprochen: Was wäre, wenn es illegal wäre Daten in die USA zu transferieren? Damit befasst sich dieser Beitrag. Von Vollverschlüsselung bis hin zu den Anforderungen an die Gesetzgeber werden verschiedene Szenarien beleuchtet.
4 Künstliche Intelligenz und Ethik
4.1 ChatGPT in der Versicherung
Welche Anforderungen und Rahmenbedingungen sind bei ChatGPT zu beachten, z.B. beim Einsatz in einer Versicherung? Jetzt ist diese Branche sowieso schon sehr stark reguliert, so dass allein deshalb das Whitepaper einer Versicherungsgruppe zu dem Thema zahlreiche Aspekte abdeckt.
Franks Nachtrag: Apropos ChatGPT…
4.2 Google sieht eigene KI kritisch
Ja, ich hätte es auch anders formulieren können, nur konnte ich nicht widerstehen, wenn ein Unternehmen den eigenen Beschäftigten die Nutzung des eigenen Produktes untersagt. Denn laut dieser Meldung legt Google und die Konzernmutter Alphabet den Mitarbeitenden nahe auf die Eingabe vertraulicher Daten in Chatbots zu verzichten. Sie sollten damit erzeugten Programmcode nicht verwenden.
4.3 KI – Im Kopf des Kunden denken
Es tut richtig gut zu sehen, dass es Unternehmen gibt, die beim Einsatz von KI auch die Kundenperspektive einnehmen. Das ist zumindest für mich der Eindruck aus diesem Beitrag, in dem geschildert wird, wie ein Anbieter von Vertriebstools aus den USA (Salesforce) versucht sein Angebot so zu gestalten, dass einige Bedenken bei den Kunden berücksichtigt werden. So scheint es doch auch Software-Unternehmen zu geben, bei denen Datenschutzbewusstsein auch außerhalb von Marketingsprüchen zu einem Vertriebsmehrwert führen kann – wenn er auch umgesetzt wird. Im Übrigen fehlt bei dem Artikel auch nicht der Hinweis, dass dabei natürlich trotzdem eine Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) beim Kunden vorzunehmen ist.
4.4 Verzögerungen beim EU-Start von Googles KI-Angebot
Berichten zufolge verzögert sich der Start von Googles KI-Angebot in Europa aufgrund der Hinweise der irischen Aufsicht zu den datenschutzrechtlichen Anforderungen.
4.5 Algorithmus statt KI: KitaMatch
In dem allgemeinen Hype um „Künstliche Intelligenz“ fällt immer wieder auf, dass scheinbar jeder Algorithmus oder statistische Verfahren als KI bezeichnet wird, sei es, um Fördergelder zu bekommen oder um technisch auf der Höhe der Zeit zu scheinen oder einfach nur um den Besuch von teuren Veranstaltungen rechtfertigen zu können. Angenehm unaufgeregt erscheint daher ein Angebot, dass bei der komplexen Vergabe von Plätzen an Kindertagesstätten unterstützt. Mehre Faktoren sind zu berücksichtigen, die allerdings unterschiedlich zu gewichten sind: Nähe zum Wohnort, Situation der Eltern (Alleinerziehend), Kostenfaktor und evtl. auch Geschwisterkinder. Das Angebot von KitaMatch verspricht hier eine algorithmusbasierte Lösung, bei der die Vergabekriterien erst definiert und damit auch nachvollziehbarer für die Eltern gestaltet werden. Und keiner spricht bei dem Angebot von Künstlicher Intelligenz.
4.6 Was ist der Unterschied zwischen CDR und CSR
Was CDR von CSR unterscheidet und warum sich nicht nur Unternehmen der Digitalwirtschaft damit auseinandersetzen sollten, wird in diesem Podcast (Dauer ca. 33 Min) diskutiert. Anhand konkreter Beispiele aus der Praxis wird CDR greifbar gemacht. Exklusiv gibt es auch Einblicke in den diesjährigen CDR-Award und wie sich das Thema in den zwei Jahren seit dem letzten Award weiterentwickelt hat.
4.7 Interview zu Ethics and responsible Innovations
Wer sich dafür interessiert, wie verantwortungsvoll Innovationen vorangetrieben werden können, sollte sich dieses Interview durchlesen. Schön fand ich die dabei empfohlenen fünf Schritte bei der Entwicklung neuer Technologien.
4.8 ChatGPT etc. und Urheberrecht
Eine Fragestellung bei der Nutzung von KI-Systemen wie ChatGPT betrifft die Verwertung fremder Inhalte, die urheberrechtlich geschützt sind, durch ChatGPT. Nach dieser Meldung* gibt es bereits Gespräche von Google, Open AI, Microsoft und Adobe mit den Interessensverbänden und Verlagen über mögliche Abgabegestaltungen. Mal sehen, ob dadurch nicht die Machtkonzentration hinsichtlich der Meinungsbildung verstärkt wird anstatt den demokratischen Pluralismus zu fördern.
* Franks Anmerkung: Das ist mal eine clevere Idee kreativ mit einer Paywall umzugehen…
4.9 Organisation der KI-Governance
Wie können theoretische Ansätze zur KI in die Praxis umgesetzt werden? Damit befasst sich diese Arbeit „Putting AI Ethics into Practice: The Hourglass Model of Organizational AI Governance“ vom Februar 2023. Sie stellt ein Framework für die organisationale KI-Governance vor, das Organisationen dabei unterstützen soll ethische KI-Prinzipien in die Praxis umzusetzen und ihre KI-Systeme und -Prozesse mit dem kommenden europäischen KI-Gesetz in Einklang zu bringen. Diese KI-Governance umfasst Werkzeuge, Regeln, Prozesse, Verfahren und Werte, die darauf abzielen eine rechtskonforme und ethisch ausgerichtete Entwicklung und Nutzung von KI zu gewährleisten. In der Regel berühren KI-Governance-Modelle bestimmte Aspekte wie Fairness oder Transparenz und konzentrieren sich auf bestimmte Phasen der Systementwicklung, wie z. B. das Systemdesign. Unternehmen müssen jedoch KI-Systeme über ihren gesamten Lebenszyklus hinweg steuern und die gesamten Anforderungen an Ethik, Gesetzgebung und Stakeholder berücksichtigen sowie die verschiedenen Elemente der KI-Governance und ihre eigene Rolle in den verantwortungsvollen KI-Ökosystemen mit mehreren Akteuren verstehen. Das Sanduhrmodell der organisatorischen KI-Governance ist ein umfassender Ansatz, der alle Governance-Anforderungen auf Umwelt-, Organisations- und KI-Systemebene umfasst. KI-Ethikprinzipien sowie rechtliche und gesellschaftliche Anforderungen gewährleisten nicht automatisch einen verantwortungsvollen Umgang mit KI, sondern müssen von Organisationen in praktikable KI-Governance-Prozesse und -Mechanismen übersetzt werden. Die Sanduhr-Metapher bezieht sich auf den Fluss von Governance-Anforderungen von der Umweltebene zu KI-Systemen über die vermittelnde Organisationsebene.
4.10 Fragetechnik bei ChatGPT
ChatGPT soll auf bestimmte Fragen keine vertraulichen Daten preisgeben. Aber es kommt auch vor, dass – abhängig von der Fragestellung – auch Lizenzkeys offengelegt werden.
4.11 Korrelation und Kausalitäten
Das meiste, was als KI bezeichnet wird, ist eine Mustererkennung innerhalb der eingesetzten Trainingsdaten und dann eine Wahrscheinlichkeitsrechnung bei neuen Aufgaben. Es geht daher oft um Korrelation und nicht um Kausalität zwischen zwei Ereignissen. So prüfen Large Language Models nicht den Wahrheitsgehalt ihrer Aussagen (Kausalität), sondern machen nur statistische Vorhersagen (Korrelation). Das führt dann zu Unsinn (oder auch Halluzinationen) durch Systeme wie ChatGPT. Wer Beispiele für Korrelationen sucht, findet diese hier.
4.12 USA: Center for AI and Digital Policy
Das Center for AI and Digital Policy (Zentrum für KI und Digitalpolitik) hat sich zum Ziel gesetzt eine bessere, gerechtere Gesellschaft zu fördern – eine Welt, in der die Technologie eine breite soziale Integration auf der Grundlage von Grundrechten, demokratischen Institutionen und Rechtsstaatlichkeit fördert. Diese Ziele sollen durch Stellungnahmen und Veranstaltungen gefördert werden. Die Webseite verknüpft zahlreiche Aktivitäten und Aussagen.
4.13 CDR: Nachhaltige Digitalisierung
Im Forum Wirtschaftsethik werden im Rahmen der Reihe “Corporate Digital Responsibility – für eine faire und gerechte Zukunft” sechs Thesen zur nachhaltigen Digitalisierung vorgestellt.
4.14 KI und Urheberrecht
Der Deutsche Kulturrat hat seine Stellungnahme zur Thematik „Künstliche Intelligenz und Urheberrecht“ veröffentlicht. So führt er u.a. aus, dass Text und Data Mining für kommerzielle Zwecke nach § 44b UrhG erlaubt sein kann. Zulässig seien nach § 44b Abs. 2 UrhG aber nur Vervielfältigungen von rechtmäßig zugänglichen Werken. Es erscheint völlig unklar, wie im Rahmen des sog. Webscraping zur Gewinnung von Trainingsdaten zwischen rechtmäßig zugänglichen und illegal vorhandenen Werken im Internet unterschieden werden soll. Voraussetzung ist nach § 44b Abs. 3 UrhG ferner, dass der Rechtsinhaber sich die Nutzungen nicht vorbehalten hat (sog. „opt out“). Ein Nutzungsvorbehalt bei online zugänglichen Werken ist dabei nach § 44b Abs. 3 S. 3 UrhG nur wirksam, wenn er in maschinenlesbarer Form erfolgt.
4.15 Anforderungen an KI
Alle verlangen nach Richtlinien und Verfahren für die Beschaffung und Implementierung von KI. Das World Economic Forum hat dazu einen Leitfaden („Adopting AI Responsibly: Guidelines for Procurement of AI Solutions by the Private Sector“) veröffentlicht, der auch einen entsprechenden Fragebogen enthält. Jedes Thema wird mit einem Fragebogen zu den jeweiligen Anforderungen ergänzt.
4.16 CEDPO: FAQ AI and Personal Data
Die Confederation of European Data Protection Organisations (CEDPO) veröffentlichte einen Leitfaden, den sie an Datenschutzbeauftragte richten und der für sie die grundlegenden Fragen beantworten soll, die bei der Befassung mit Künstlicher Intelligenz aufkommen. Der Leitfaden ist in Englisch veröffentlicht worden.
5 Veröffentlichungen
5.1 Anforderung des EuGH an KI
Wir hatten schon vor einem Jahr darauf hingewiesen, dass sich aus dem Urteil des EuGH im Fall der Fluggastdaten (C-817/19) Aussagen zum Einsatz von Machine Learning bzw. KI ableiten lassen. Hier wird nun die Thematik entsprechend erläutert.
5.2 Umfang einer Werbedatendatei
Wer fröhlich Cookie- oder sonstigen Trackingmaßnahmen im Netz zustimmt, um künftig ein besseres Kundenerlebnis zu erhalten, kann nach diesem Bericht* nur erahnen, auf welcher umfangreichen Basis Werbeprofile erschlossen werden. Danach seien bis zu 650.000 Kategorien möglich, um den globalen Datenhandel für die digitale Werbung möglichst effektiv zu gestalten. Dies gehe aus einer Datei hervor, die von Xandr stamme, einem der größten Datenmarktplätze der Werbewelt, und die frei im Netz zur Verfügung stand. Die Datei sei auf Mai 2021 datiert. Das Unternehmen Xandr wurde im Jahr 2022 von Microsoft übernommen.
* Franks Anmerkung: Erster… Aber hier sind es schönere Begleitsätze.
Franks Nachtrag: Und beim Lesen der Quellen aus dieser Meldung finden Sie dann den Link zu dieser Selbsthilfeseite. Falls Sie also Ihre Rechte wahrnehmen wollen, nun wissen Sie, wie es konkret in diesem Fall am Besten geht.
5.3 IAB: Nächster Versuch eines rechtskonformen TCF
Das Interactiv Advertising Bureau (IAB) hat eine aktualisierte Fassung des Transparancy & Consent Framework (TCF) veröffentlicht. Unter Berücksichtigung der Aktivitäten der belgischen Aufsicht (die IAB als eigenen Verantwortlichen einstufte und etliche Aktivitäten für rechtwidrig erklärte), versucht die IAP nun mit dem TCF2.2 die regulatorischen Anforderungen aus der ePrivacy-RL und der DS-GVO treffsicherer zu erfüllen. Begleitet wird die Aktualisierung durch eine FAQ-Liste. Durch das Verfahren des TCF soll die rechtliche Basis für die Anwendung des RealTimeBidding (RTB) ermöglicht werden, bei dem automatisiert Online-Auktionen für den Verkauf und den Kauf von Online-Werbeflächen erfolgen. Konkret bedeutet dies, dass, wenn eine Person auf eine Website oder Anwendung zugreift, die eine Werbefläche enthält, diese Werbefläche durch ein automatisiertes Online-Auktionssystem und Algorithmen sofort (in Echtzeit) versteigert wird, um gezielte, speziell auf das (Werbe-)Profil dieser Person zugeschnittene Werbung anzuzeigen.
5.4 Wann ist ein Datum anonym?
Diese eigentlich simple Frage wird oft falsch beantwortet. Eine schöne Darstellung der Problematik findet sich hier bei der IAPP, in der herausgestellt wird, dass es unter der DS-GVO und dem Recht in UK und den USA doch auch differenzierende Darstellungen dazu gibt. Also kann auch hier auf die Eingangsfrage klassisch als Jurist geantwortet werden: „Das kommt darauf an.“
5.5 Checkliste für Vereinbarungen zur Auftragsverarbeitungen
Wer fünf Jahre nach Anwendung der DS-GVO immer noch keine hat, kann sich an dieser nun veröffentlichten Checkliste zur Prüfung eines Auftragsverarbeitungsvertrages orientieren oder sie nutzen, die eigene damit abzugleichen.
Franks Nachtrag: Ich mag ja mehr die Checkliste der Berliner Aufsicht, auch wenn sie Hostinganbieter als Fokus hat.
5.6 Stiftung Datenschutz: Normendschungel der EU?
Die Beiträge, die im Mai bei der Veranstaltung des Privacy Rings zusammen mit der Stiftung Datenschutz angeboten wurden, sind nun online verfügbar. Schwerpunkt war die EU-Datenpolitik, auch im Hinblick auf das Zusammenspiel mit der DS-GVO.
5.7 Hackerangriffe nehmen zu, rechtliche Beratung wird immer wichtiger
Jetzt scheint es sich auch in den oberen Managementetagen herumzusprechen, zumindest, wenn sie diesen Beitrag lesen: Die Risiken für Unternehmen durch Hackerangriffe nehmen zu. Dabei wird auch auf die Nachfrage an juristischer Unterstützung verwiesen. Wird auch nötig sein, insbesondere wenn das BSIG wie hier geschildert geändert wird.
5.8 Sicherheitsindex von DSiN
Die seitens der Bundesregierung finanzierte und von etlichen Mitgliedsunternehmen getragene Initiative „Deutschland sicher im Netz“ (DSiN) hat ihren aktuelle Sicherheitsindex für die Sicherheitslage der Verbraucher:innen in Deutschland veröffentlicht. Um den DsiN-Sicherheitsindex zu ermitteln, vergleicht die Studie die Bedrohungslage und das Schutzniveau der Nutzer. Bei einem Indexwert über 50 überwiegt das Schutzniveau, bei einem Wert darunter die Bedrohungslage. Die Bedrohungslage umfasst erlebte IT-Sicherheitsvorfälle und das persönliche Gefährdungsgefühl bei verschiedenen digitalen Anwendungen. Das Schutzniveau fragt nach Wissen zu Schutzmaßnahmen und deren tatsächliche Anwendung.
Weil nicht alle Internetnutzende gleich sind, unterscheidet der Index auch unterschiedliche Verbrauchertypen mit individuellen Sicherheitslagen – abhängig vom persönlichen Risikoverhalten, dem Wissenstand sowie der Bereitschaft Schutzvorkehrungen anzuwenden. Außerdem werden Nutzer:innen nach Einstellung und Motivation zur Verbesserung ihrer IT-Sicherheit befragt. Gleichzeitig bildet der DsiN-Sicherheitsindex unterschiedliche Lebenswelten aus dem digitalen Alltag ab. Das Schwerpunktthema des DSiN Sicherheitsindex 2023 umfasst das Thema „Soziale Medien“, erwartungsgemäß beinhaltet er den Begriff „Datenschutz“ an zwei Stellen.
5.9 Hinweisgebersystem auf EU-Ebene
Die EU-Kommission unterhält ein eigenes Whistleblowersystem, um Verstöße gegen europäisches Recht notfalls auch anonym melden zu können. Das EU Sanctions Whistleblower Tool schützt daher nach Angaben der EU die Identität und ermöglicht es die Kommission anonym zu kontaktieren und Verstöße gegen EU-Sanktionen zu melden.
5.10 Strategisches Lieferantenmanagement und Veröffentlichungen von DSFA und TIA
In Deutschland gibt es eine Bundesverwaltung und 16 Landesverwaltungen, die alle IT-Systeme einsetzen. Bei der Suche nach Entscheidungen und Bewertungen zu datenschutzrechtlichen Fragen lohnt aber trotzdem ein Blick in die Niederlande. Dort initiiert das staatliche strategische Lieferantenmanagement seit 2014 die behördenweite Vertragsvereinbarungen und Einkaufsbedingungen für Software und Cloud Services. Dies erfolgt aus der Überzeugung heraus, dass der Einsatz von Produkten und Dienstleistungen nur dann wirklich optimal und auch wirklich rechtskonform sein kann, wenn wir unsere Kräfte regierungsweit und international gebündelt werden. Damit nicht genug. Sie veröffentlichen auch ihre Unterlagen zur DSFA und TIA zum Einsatz von Produkten US-amerikanischer Anbieter wie Microsoft, AWS und Google. Sie finden diese in den öffentlichen Fassungen hier.
5.11 Beschwerden zu Profilen von TK-Nutzern
Gegen ein Unternehmen, dem vorgeworfen wird heimlich Profile von Handynutzern anzufertigen, wurde Beschwerde bei der belgischen Datenschutzaufsicht eingereicht. Die Beschwerde richtet sich nach diesem Bericht gegen das US-Unternehmen TeleSign, eine Auskunftei, die Mobilfunknutzer mit einem statistischen Wert zwischen 0 und 300 Punkten einschätzt und diesen „Reputationsscore“ an Kunden wie Amazon, TikTok, Microsoft oder Salesforce weiterverkauft. Der „Vertrauensindex“ selbst würde mittels Künstlicher Intelligenz erstellt.
noyb wirft der Firma vor dazu heimlich Profile von Millionen Handynutzern weltweit zu erstellen und Daten von der Telekommunikationsplattform Belgacom International Carrier Services (BICS) zu beziehen. Die belgische Datenschutzbehörde ist für BICS- und TeleSign-Muttergesellschaft Proximus zuständig.
5.12 bitkom: Große Sprachmodelle
Der Branchenverband bitkom hat einen Überblick zu den großen Sprachmodellen veröffentlicht.
5.13 Kommunale Dienstleister und Open Source
Nach diesem Bericht orientieren sich immer mehr Kommunen und öffentliche Stellen bei Verwaltungstätigkeiten an Open-Source-Produkten. Damit soll nicht nur die Abhängigkeit von quasi-monopolistischen Herstellern verringert werden, auch die Abhängigkeit von Handelsregulatorien anderer Staaten stünde im Fokus. Allerdings scheint es auch Ausnahmen zu geben, wie die TU Wien.
5.14 Datenpanne im Gesundheitssystem
Wieder gab es einen erfolgreichen Angriff auf einen Anbieter im Gesundheitswesen und wieder waren unzureichende Schutzmaßnehmen bei der Einbindung von Dienstleistern das Einfallstor. Dabei nehmen gerade auch solche Angriffsszenarien über Lieferketten zu, wie diese Darstellung einer Studie bestätigt.
5.15 Datenschutz für Kleinunternehmen
Die Stiftung Datenschutz bietet für kleine Einheiten übersichtliche, aber trotzdem umfassende Informationen zur Einhaltung datenschutzrechtlicher Vorgaben an. Über eine eigene Webseite wird Datenschutz für Kleinunternehmen dargestellt. Mit Erklärungen, „Schritt für Schritt“ und der Vermittlung von Basiswissen werden die wichtigsten Vorgaben und Anforderungen erläutert. Ergänzt durch Arbeitshilfen und Praxisbeispiele können damit niedrigschwellig die rechtlichen Vorgaben umgesetzt werden.
5.16 Veranstaltungen
5.16.1 DatenTag der Stiftung Datenschutz: Chancen einer Datentreuhand -neu-
30.06.2023, ab 10:00 Uhr in Berlin und online: Zu den Chancen einer Datentreuhand wird durch Expert:innen mit unterschiedlichen Perspektiven informiert. Datentreuhandstrukturen könnten es deutlich erleichtern auf sensible Daten wie Gesundheitsdaten zuzugreifen und sie zu nutzen. Weitere Informationen und Anmeldung hier.
5.16.2 BLM: Der Bann von Social Media auf Jungendliche
12.07.2023, 14:30 – 16:30 Uhr: Der Originaltitel wäre zu lang gewesen: „Wie Social-Media-Anwendungen versuchen, junge Nutzerinnen und Nutzer in den Bann zu ziehen“ wird vom BLM veranstaltet und online durchgeführt. Präsentiert werden Forschungsergebnisse, die sich mit Ursachen hoher Nutzungszeiten von sozialen Plattformen wie TikTok, Instagram und Co befassen. Details und Anmeldung hier.
5.16.3 TU Berlin: Kann Digitalisierung in Deutschland gelingen? -neu-
13.07.2023, ab 18:00 Uhr in Berlin nur vor Ort: Der vollständige Titel lautet sogar „Das Untermaß aller Dinge. Kann Digitalisierung in Deutschland überhaupt gelingen?“ Und damit bewusst wird, dass dies nicht nur in Berlin ein Thema ist: Einer der namhaften Referent:innen kann auf eine fundierte Beobachtungslage aus Bayern zurückblicken. Weitere Informationen zur Veranstaltung gibt es hier.
5.16.4 LfDI BW: „Ist die DS-GVO bereit für KI?“ -neu-
13.07.2023, ab 18:30 Uhr in Stuttgart und online diskutiert der neue LfDI BW mit Experten im Bildungszentrum des LfDI zur „Die Zukunft des Datenschutzes – Ist die DS-GVO bereit für KI?“. Details dazu und Hinweise zur Anmeldung finden Sie hier. Anmeldung (für die Teilnahme vor Ort) erforderlich.
5.16.5 itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei. Mehr dazu hier.
5.16.6 ULD: Sommerakademie 2023 -neu-
11.09.2023 in Kiel: Die Sommerakademie 2023 ist immerhin schon als Save-the-date angekündigt. Inhaltlich wird es auch hier um Datenschutz und KI gehen. Alles weitere dazu in der Pressemeldung.
5.16.7 Vorankündigung – GI: Designing Feminist Futures
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier (mittlerweile gibt es mehr Informationen, auch wurde der Titel leicht angepasst).
6 Gesellschaftspolitische Diskussionen
6.1 Straßenaufnahmen durch Google und Apple
Derzeit werden wieder Aufnahmen aus der Straßenperspektive durch Fahrzeuge von Apple und Google durchgeführt, um damit online verbesserte Dienste anbieten zu können. Informationen dazu, was zu tun ist, wenn Sie das nicht wollen, finden sich bei der verbraucherzentrale. Aber auch die LDI NRW weist darauf hin, und verlinkt auf die Angaben von Apple zu den Fahrten und auf die Seiten des dazu zuständigen BayLDA. Bei Google ist für die deutschen Fahren der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit zuständig, der auch auf die „Fahrpläne“ von Google verlinkt und auf die Widerspruchsmöglichkeiten verweist.
6.2 Trade und Angemessenheit
„Der Datenschutz macht unsere Geschäftsmodelle kaputt“ oder „Wir sind international damit nicht wettbewerbsfähig“ sind Argumente, die in der politischen Diskussion und nicht nur an Stammtischen immer wieder platziert werden. Die Studie „Digital Trade, Data Protection and EU Adequacy Decisions“ des Robert Schuman Centre for Advanced Studies befasst sich nun diesbezüglich mit dem Aspekt der Auswirkungen einer EU-Angemessenheitsentscheidung für ein Drittland auf die Handelsbeziehungen. Wenig überraschend mag dabei die Erkenntnis sein, dass bei einem Angemessenheitsbeschluss ein Anstieg des digitalen Handels und eine Senkung der Handelskosten zu verzeichnen ist.
Es wurde aber auch festgestellt, dass Länder, für die die EU eine Angemessenheitsentscheidung getroffen hat, einen stärkeren digitalen Handel untereinander aufweisen, was auf einen Netzwerk- oder Clubeffekt hindeute. Eine ergänzende länderspezifische Analyse der Leistung im digitalen Handel nach der Feststellung der Angemessenheit unter Verwendung synthetischer Kontrollmethoden bestätige die positiven Auswirkungen der Angemessenheit.
6.3 Öffentliche Software – Ausblick
Wenn mit öffentlichem Geld Software entwickelt wird, sollte diese auch frei verfügbar sein. So könnte die Zusammenfassung dieses Beitrags lauten. In der Verwaltung sollte freie und offene Software zum Standard gemacht werden. Einerseits reduziere dies die Abhängigkeit bei einer Monopolstellung von Anbietern, andererseits böte ein offener Quellcode auch die Möglichkeit diesen frei und uneingeschränkt zu verwenden, zu verändern und auch in einer veränderten Form wieder weiterzuverbreiten. Dadurch sei diese Software unabhängig überprüfbar, gestaltbar und austauschbar und ermögliche potenziell ein höheres IT-Sicherheits- sowie Datenschutzniveau.
6.4 Machen statt quatschen?
An diese Marketingaussage wurde ich erinnert, als ich diese Stellenausschreibung für ein Forschungsthema las. Meine Wahrnehmung ist eher, dass die Politik hier bereits Fakten schaffen will, bevor rechtliche und technische Fragestellungen hinsichtlich „Staatliche Eingriffe in private Endgeräte zur Strafverfolgung“ geklärt sind. Und ich bin gespannt, ob da bei auch unterschieden wird, ob die Endgeräte Informationen enthalten, die einer berufsrechtlichen Verschwiegenheit unterliegen.
6.5 ChatGPT und gesellschaftlicher Wandel
Die Kernaussagen der Veranstaltung „Smart City Days“ der HS Pforzheim sind nun auch auf YouTube verfügbar. Unter dem Themenschwerpunkt „Digitalisierung und gesellschaftlicher Wandel“ gab es zwei Vorträge zu „Upgrade Digital Skills“ und „KI – Basis des zukünftigen Erfolgs in Ausbildung und Beruf“.
7 Sonstiges/Blick über den Tellerrand
7.1 Erfahrungen mit Zwei-Faktor-Authentifizierungen?
Die verbraucherzentrale (vzbv) propagiert zusammen mit dem BSI den Einsatz von Zwei-Faktor-Authentifizierungen. Bei der Nutzung von biometrischen Merkmalen dabei (also z.B. Gesichtserkennung oder Fingerandrücke) könnte es aber auch Probleme geben. Um Sicherheitsrisiken für Verbraucher:innen weiter zu minimieren, starten das BSI und der vzbv daher eine Umfrage und fragen bei Verbrauchern, ob diese schon einmal Probleme bei der Verwendung biometrischer 2FA hatten und ob sie Beispiele kennen, bei denen das Verfahren nicht nutzerfreundlich umgesetzt wurde. Der Fragebogen kann online ausgefüllt werden.
7.2 Urlaub in Bayern: Wo dürfen Sie fotografieren?
Ich hätte es nicht so kompliziert erwartet. Bayern bietet 45 Schlösser, Burgen und Residenzen sowie weitere Baudenkmäler bzw. Künstlerhäuser, die in die Verwaltung der Bayerischen Schlösserverwaltung fallen und oftmals beliebte Touristenziele sind. Eigentlich hätte ich es einfacher gesehen: Innerhalb der Liegenschaften bestimmt der Hausherr ob und wie fotografiert werden darf (insb. hinsichtlich des Einsatzes von „Blitzen“ zur Objekterleuchtung). Und bei der Verwendung ist zwischen privater und gewerblicher Nutzung (insbesondere hinsichtlich der Veröffentlichung) zu unterscheiden.
Dass es in Bayern komplizierter zugehen kann und was bei dem Posten der Urlaubsbilder im Netz und dabei insb. in sozialen Netzwerken zu beachten ist, erläutert dieser Beitrag ausführlich und anschaulich.
7.3 Texas: Nutzung von Social Media durch Kinder nur mit OK der Eltern
Dieser Meldung zufolge wird für die Nutzung von Social Media durch Jugendliche / Kinder in Texas aufgrund eines Gesetzes die Zustimmung der Eltern erforderlich werden.
8. Franks Zugabe
8.1 Apropos ChatGPT…
- In Australien mussten Ärzte angewiesen werden in ihrer medizinischen Arbeit nicht ChatGPT zu nutzen. Damit soll der Abfluss personenbezogener Patientendaten in den Datenbestand von ChatGPT verhindert werden.
- Da Sprachmodelle wie ChatGPT und Bard über die gut entwickelte Fähigkeit verfügen, fehlende Fakten eloquent zu ergänzen, soll eine Art Wahrheitsserum für große Sprachmodelle entwickelt werden. Technische Details gibt’s in dem erwähnten Preprint-Paper.
- „Coders are no longer safe.“ Im verlinkten Beitrag geht es um ChatGPTs Fähigkeiten zu programmieren und was diese für die Programmier:innen bedeuten.
- Mit ChatGPT Umätze steigern? Zumindest für Domainregistrare funktioniert es…
- Schon im letzten „Apropos ChatGPT…“-Teil war es Thema (im zweiten Punkt): OpenAI Lobbied the E.U. to Water Down AI Regulation.
Um mit Louis de Funès zu sprechen: Nein! Doch! Ohhhh! - In diesem Artikel werden KI-Systeme wie ChatGPT mit einem von H.P. Lovecrafts Monster Namens Shoggoth verglichen. Wenn Sie die Paywall nicht überwinden wollen, hier gibt es ein paar Zitate aus dem Artikel.
- Haben „bad actors“ große Sprachmodelle wie ChatGPT vergiftet? Es ist nach dieser Quelle mathematisch unmöglich das Gegenteil zu beweisen…
- Wenn ich mit ChatGPTs Hilfe meine Hausaufgaben mache, will ich sie dann von Hand abschreiben? Nein. Aber ausgedruckt? Glaubt mir doch keiner, dass ich das alleine am PC geschrieben habe. Die Lösung? Eine in-Handschrift-schreib-Maschine.
- Autor John Scalzi zeigt auf, dass auch Googles Bard mitunter sehr kreativ, aber nicht wirklich wahrheitsliebend ist (am Beispiel einer Beschreibung seines nächsten, noch unveröffentlichten Buches)… Ja, OK, das war jetzt nicht ChatGPT, aber es hätte auch ChatGPT sein können…
- Und dann war da noch der ChatGPT-Gottesdienst in einer Fürther Kirche…
8.2 Der neueste Trick der irischen Datenschutzaufsicht – Kriminalisieren
Mir fehlen die Worte! Aber die Quelle kann das auch viel besser schildern…
Hoffentlich wird das heute Abend nicht so beschlossen!
Hier gibt es einen Aufruf zur geplanten Gesetzesänderung.
Und hier äußert sich Max Schrems noch mal per Tweet.
Franks Nachtrag: Während ich diesen Blogbeitrag finalisiere, lasse ich nebenbei das irische Parlaments-TV live mitlaufen (über oireachtas.ie). Ich verstehe nicht so richtig das Procedere, auch nicht alles gesagte (es wird zweisprachig gesprochen), aber es ist spannend und ich warte nun auf die Entscheidung zur Section26A in DPA 2018. Daumen drücken, dass auch hier die Wahl scheitert!
Franks zweiter Nachtrag: Wenn mir mal jemand gesagt hätte, dass ich irisches Parlaments-TV live schaue 🙄…
Franks dritter Nachtrag: Parlaments-TV ist durch und ich bin nicht schlauer. Haben sie zur Section 26B überhaupt gesprochen? Aber immerhin hatten sie informative Zwischenszenen, in denen die Geschite des irischen Parlaments gezeigt wurde. Warten wir morgen ab, da wird es bestimmt berichtet.
8.3 Neuigkeiten aus der KI-Welt
Mein Kollege erwähnte es schon, Google warnt (u.a.) vor der Nutzung eigener ChatBots. Im verlinkten Artikel wird das auch noch mal ein wenig beleuchtet, zusätzlich gibt es aber auch Informationen darüber, wie Google gegen die Überlegungen einer US-weiten einzelnen Regulierungsbehörde für AI opponiert, dass eine Microsoft-Tochter, die Stimmerkennungsdienste anbietet, wegen eines Verstoßes gegen den California Invasion of Privacy Act verklagt wird sowie dass Microsoft die Bing-Integration trotz der Warnungen von OpenAI übereilt vorgenommen hat.
Der Artikel schließt damit, dass sich Microsoft wie auch OpenAI mit ihrem zugegebener Maßen recht ähnlichen Produkt (bezogen auf KI) wohl in Zukunft das Geschäft gegenseitig abgraben werden, was auf Grund der Besitzverhätnisse spannend werden wird.
8.4 Today’s AI is artificial artificial artificial intelligence
Diese beiden Artikel berichten über eine Untersuchung, die herausgefunden hat, dass Menschen, die für wenig Geld die KIs mit Hilfe von durch sie qualifizierten Input verbessern sollen, diesen Input durch z.B. ChatGPT haben erstellen lassen. Was nicht positiv für die Ergebnisse, die besagte KI liefern sollen, sein muss, um es optimistisch auszudrücken. Alternativ die eher abgeklärte Sicht.
8.5 EU-US common code of conduct on AI?
Laut dieser Quelle soll es einen gemeinsamen freiwlligen Code of Conduct on AI geben. Was da wohl genau drin steht? Und ein freiwilliger Code of Conduct? Nun ja… warten wir es ab.
8.6 Lesenswerte Essays zur KI
OK, ich gebe, das ist jetzt ein wenig faul, aber es sind so viele… Immerhin habe ich die meisten gelesen, lesenswert sind sie allemal:
- Building Trustworthy AI
- Ted Chiang on the Risks of AI mit einem Bonus-Beitrag…
- Von der Notwendigkeit einer öffentlichen Alternative: On the Need for an AI Public Option
- Das ist spannend: AI-Generated Steganography. Aber ist es auch gut für uns?
- Ein positiver Ausblick: Why AI Will Save The World
- Über die Grenzen großes Sprachmodelle: AI And The Limits Of Language – Eine Leseempfehlung
- Und weil nichts ohne OpenSource geht: Open-Source LLMs
8.7 Long-Covid mal anders – Zero-days in VPN-Appliances
Nach diesem Bericht hat die Corona-Krise mit ihrer Pandemie-bedingten überstürzten Einführung vieler Heimarbeitsplätze Lücken in die Sicherheitskonzepte vieler Verantwortlicher gerissen. Und deswegen sehen wir gerade so viel mehr Sicherheitsvorfälle. Das liest sich plausibel. Ach ja, in den USA werden laut der Quelle alle Bundeseinrichtungen angewiesen genau die dadurch entstandenen Randgebiete der IT-Landschaft besser abzusichern.
8.8 Google Analytics 4
Wenn Sie denken, dass Sie ohne Google Analytics nicht leben können: Google Analytics stellt zum 01.07.2023 auf Google Analytics 4 um. Hier sind die Informationen von Google dazu zu finden und hier gibt es eine Zusammenfassung nebst Checkliste eines in diesen Themen erfahrenen Rechtsanwalts.
8.9 Video-based Cryptoanalysis
Hört sich kompliziert an, ist es aber scheinbar gar nicht so sehr? Hier ist ein Bericht dazu, hier eine Bewertung und hier die Original-Quelle. Fangen Sie am Besten mit der Quelle an, dann verstehen Sie es am schnellsten (so ging es mir). Die anderen Quellen sind dann zum „abrunden“… Auf was für Ideen die Menschen so kommen… Ich hänge jetzt alle LEDs aller mit meinem PC verbundenen Geräte mit Tüchern ab… 🫣
8.10 AI and sarcasm
Warum nicht zum Abschluss ein Comic?
9. Die guten Nachrichten zum Schluss
9.1 Absicherung von Daten
Die Verbraucherzentralen bieten umfangreiche Informationen darüber, wie analoge und digitale Daten gesichert und gelagert werden sollten.
9.2 FSJ beim LfDI Mecklenburg-Vorpommern
Tolle Idee: Jugendlichen mit Interesse an Gestaltung, Medien, Datenschutz und Politik die Möglichkeit zu geben innerhalb eines freiweilligen sozialen Jahres (Demokratie/Politik) beim LfDI Mecklenburg-Vorpommern mitzuwirken. Mehr dazu hier.
9.3 Cybersecurity-Awareness für alle
Wenn sich schon das öffentlich-rechtliche Fernsehen eines Themas annimmt, dann muss ja was dran sein. Und so können sich auch alle informieren, wie die Lage bei der Cybersicherheit aussieht. Die 29 Min. in der ZDF-Mediathek zum „Angriff aus dem Cyberspace“ sind dafür gut investiert.