Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28/2023)“ – ein Zwischenspiel
Hier ist der 6. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28/2023)“ – ein Zwischenspiel.
Wie gesagt, es ist Urlaubszeit (dieser Blogbeitrag wurde mit Meeresrauschen im Hintergrund auf diese Webseite gebracht). Aber rund um das DPF und Meta ist einiges passiert, es gibt spannende Veranstaltungen in den nächsten Tagen, also haben wir uns entschieden mal wieder ein Zwischenspiel zu bringen…
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Phishing in Sachsen
- Veranstaltungen
- EFDPO – Metaverse -neu-
- Webinar – Praxisrelevante Folgen des EuGH-Meta-Urteils
- Tag der offenen Tür im Zentrum für angewandte KI und Transfer, Ansbach -neu-
- HK Oberbayern – Online-Webinar: Das erste halbe Jahr Lieferkettensorgfaltspflichtengesetz -neu-
- itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
- ULD: Sommerakademie 2023
- TLfDI: “KI und Schule“
- FSFE: Die Welt nach Facebook, Twitter und YouTube -neu-
- Vorankündigung – GI: Designing Feminist Futures
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Sachsen: Facebook Fanpage untersagt
Die LfDI Sachsen hat nach eigener Darstellung der Sächsischen Staatskanzlei den Betrieb der Facebook Fanpage untersagt. Dieser Bescheid kann noch gerichtlich überprüft werden. Wird er wahrscheinlich auch. Zur Erinnerung: Bereits der BfDI hatte eine Untersagung ausgesprochen, die seitens des Bundespresseamtes gerichtlich überprüft wird (VG Köln 13 K 1419/23). Weil der mittelbar beteiligte Konzern Meta dem Ganzen wohl nicht traut, wendet er sich im Wege der Drittanfechtungsklage gegen dieselbe Untersagungsverfügung des BfDI gegenüber dem Bundespresseamt (VG Köln 13 K 1515/23).
1.2 Sachsen-Anhalt: Kleine Anfrage zu Sozialen Medien
Dass in Sachsen-Anhalt immer noch kein neuer Landesbeauftragter für den Datenschutz und die Informationsfreiheit gewählt wurde, ist hinlänglich bekannt. Daher scheinen sich nun die Abgeordneten selbst um datenschutzrechtliche Zulässigkeitsfragen zu kümmern, wie hier bei einer kleinen Anfrage zur Nutzung sozialer Medien durch die Landesregierung.
1.3 LfD Niedersachsen: Pur-Abo – aber anders
Dass durch die LfD Niedersachsen Medienwebseiten geprüft wurden, hatten wir bereits berichtet. Wie das NGO noyb informiert, wurde auf dessen Beschwerde hin die Ausgestaltung des „Pur-Abos“ (Stand 2021) eines Fachverlages aus Hannover verwarnt. Aus dem Fachverlag selbst wird dieser Podcast angeboten, der sich u.a. hier in seinem Podcast (Dauer 90 Min.) auch mit Anforderungen an die Gestaltung von Pur-Abos befasst. Insbesondere auch deswegen hörenswert, weil dabei auch gut nachvollziehbar die jeweilige Funktionalität beschrieben wird.
Das könnte auch als Anlass genommen werden die eigene Webseite zu überprüfen, ob nicht erforderliche Cookies wirklich erst nach einer Einwilligung gesetzt werden.
Franks Nachtrag: Die Informationen zu noyb sind aktuell… Deswegen erlauben Sie die Wiederholung.
1.4 TLfDI: Pressemeldung zum DPF
In seiner Pressemeldung zum Data Privacy Framework (DPF) verweist der TLfDI darauf, dass damit eine Rechtsgrundlage für Datentransfer in die USA geschaffen wurde. Andere Kritikpunkte, wie z.B. bzgl. der Transparenzanforderungen beim Einsatz von MS 365 seien damit aus seiner Sicht nicht aus der Welt geschafft. Das hatte das DPF allerdings auch nicht vor.
Franks Nachtrag: Falls Sie das beste Zitat aus der Pressemeldung im Original lesen wollen, hier ist die Quelle. Falls nicht, ich wiederhole es gerne für Sie:
Man sagt, die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und dennoch ein anderes Ergebnis erwartet.
1.5 CNIL: FAQ DPF
Die Abkürzungen in der Überschrift bedeuten nichts anderes, als dass die Französische Datenschutzaufsucht CNIL Fragen und Antworten zu dem Angemessenheitsbeschluss “Data Privacy Framework“ zugunsten Einrichtungen in den USA veröffentlicht hat.
1.6 Norwegen: Untersagung an Facebook und Instagram von verhaltensorientiertem Marketing
Die norwegische Datenschutzbehörde hat nach Informationen auf ihrer Webseite ein vorübergehendes Verbot für Meta verhängt Werbung auf der Grundlage von Überwachung und Profiling von Nutzern in Norwegen anzupassen. Auf den Facebook- und Instagram-Plattformen von Meta würden die Aktivitäten der Nutzer im Detail verfolgt. Die Nutzer werden anhand von Informationen wie ihrem Standort, der Art der Inhalte, für die sie sich interessieren, und dem, was sie posten, profiliert. Die persönlichen Profile werden dann für Marketingzwecke – das so genannte verhaltensbasierte Marketing – verwendet. Die norwegische Datenschutzbehörde hält die Praxis von Meta für rechtswidrig und hat nun ein vorübergehendes Verbot des verhaltensbasierten Marketings auf Facebook und Instagram verhängt.
Im Dezember erließ die irische Datenschutzbehörde eine Entscheidung, in der sie feststellte, dass Meta illegales verhaltensbasiertes Marketing betrieben hat. Seitdem hat Meta einige Änderungen vorgenommen, aber das Urteil des Europäischen Gerichtshofs (C-252/21) besagt, dass Metas Behavioural Marketing immer noch nicht legal und mit den Vorschriften vereinbar ist. Daher hat die norwegische Datenschutzbehörde nun eingegriffen und die Praxis vorübergehend untersagt.
Die Entscheidung gilt ab dem 4. August 2023 und hat eine Laufzeit von drei Monaten bzw. so lange, bis Meta nachweisen kann, dass es der Entscheidung in rechtmäßiger Weise nachgekommen ist. Wenn Meta der Entscheidung nicht nachkommt, riskiert das Unternehmen eine Zwangsstrafe von bis zu 1 Million NOK pro Tag. Die Entscheidung der norwegischen Datenschutzbehörde gilt nur für Nutzer in Norwegen. Die Plattformen können weiterhin in Norwegen tätig sein.
Viele Menschen in Norwegen nutzen und genießen soziale Medien – aktuelle Zahlen zeigen, dass 82 Prozent der erwachsenen norwegischen Bevölkerung ein Nutzerkonto bei Facebook und 65 Prozent ein Nutzerkonto bei Instagram haben.
Die Entscheidung der norwegischen Datenschutzbehörde bedeute kein Verbot von Facebook oder Instagram in Norwegen. Die norwegische Datenschutzbehörde verbietet nicht das personalisierte Marketing auf Facebook oder Instagram als solches. Die Entscheidung hindere Meta beispielsweise nicht daran gezieltes Marketing auf der Grundlage von Informationen zu betreiben, die die Nutzer in ihr Profil eingeben, wie Wohnort, Geschlecht und Alter, oder auf der Grundlage von Interessen, die die Nutzer selbst angegeben haben und zu denen sie Werbung sehen möchten. Die Entscheidung hindert Meta auch nicht daran Nutzern, die dem zugestimmt haben, verhaltensbezogene Werbung zu zeigen.
Franks Nachtrag. Das macht Mut, dass sich eine andere europäische Aufsichtsbehörde (als die eigentlich zuständige irische) hier so klar positioniert. Das findet auch noyb. Natürlich dürften die Tagessätze höher sein, aber es ist ein Anfang. Wer ist die nächste europäische Aufsichtsbehörde? Freiwillige vor?
2 Rechtsprechung
2.1 Besprechung EuGH Meta / BKartA
Was bedeutet das Urteil des EuGH im Fall Meta/BKartA (C-252/21)? Das wird in diesem Podcast mit einer wettbewerbsrechtlichen Expertin und einem irischen Bürgerrechtler diskutiert (Dauer ca. 39 Min).
3 Gesetzgebung
3.1 Data Privacy Framework: Einblick, Ausblick und Rückblick
Was bedeutet die Veröffentlichung des Angemessenheitsbeschlusses zugunsten der USA? Unzählige Veröffentlichungen gibt es dazu, hier eine kleine Auswahl:
Innerhalb der Community eines Fachverlages (Beck), dort gab es bereits vorher interessante Diskussionen dazu. Auch bei Taylor/Wessing, Baer.legal, haerting.de, isico und bei Piltz.legal finden sich Analysen dazu, diese hier auch mit Prognosen.
Natürlich kommentieren es US-amerikanische Anbieter wie Microsoft positiv. Auch finden sich Analysen, die das Risiko unter Berücksichtigung der Stellungnahmen des Europäischen Parlaments und des EDSA darstellen. Aber auch kritische Auseinandersetzungen lassen sich finden, wie hier oder von noyb*. noyb kündigt dabei auch ein weiteres Verfahren vor dem EuGH an. Bis zu einer Entscheidung des EuGH ist dieser Angemessenheitsbeschluss anzuwendendes Recht und damit besteht zunächst Rechtssicherheit, wie auch der BfDI betont.
Die Datenschutzstelle des Fürstentum Liechtenstein verweist in einer überarbeiteten Informationsseite zum Angemessenheitsbeschluss auf die offizielle Internetseite, die bereits nach dem DPF zertifizierte Unternehmen auflistet. Hochgerechnet (Anzeige pro Seite x Anzahl Seiten) gibt es demnach aktuell schon mehr als 2.600 DPF-zertifizierte Unternehmen. Das ist natürlich nicht verwunderlich: Gab es doch Änderungen ausschließlich durch die Executive Order des US-Präsidenten und deren Umsetzung auf US-Behördenseite.
Und erinnern wir uns, dass fast genau vor zehn Jahren die damaligen US-Überwachungspraxis durch Edward Snowden bekannt gemacht wurde und seitdem der Transfer (nicht nur) personenbezogener Daten in die USA zum Politikum wurde.
* Franks Anmerkung: Ein weiteres Zitat aus der noyb-Quelle:
Max Schrems: „Die Kommission soll die ‚Hüterin der Verträge‘ und die Verteidigerin der ‚Rechtsstaatlichkeit‘ in der EU sein. Sie zelebriert diese Rolle, wenn es um die Verletzung von EU-Recht durch die Mitgliedstaaten geht. Jetzt ignoriert die Kommission selbst zum dritten Mal den Europäischen Gerichtshof.“
Ehrlich gesagt macht mich das wütend, dieses Missachten des EuGH. Warum regt sich darüber sonst niemand auf?
3.2 AI Act – Zeitplan
Während in einem Social Network* der Zeitplan für den Trilog nachgelesen werden kann, finden sich in Interviews die ersten Prognosen hinsichtlich des Aufwands und der Umsetzungen.
Spannend war auch die Diskussion zwischen Datenschutzaufsicht, Unternehmen, Politik und Wissenschaft zum AI Act beim LfDI BW (siehe unter Punkt 5.2.3). Wenn ein Video der Veranstaltung verfügbar gemacht wird, berichten wir darüber.
* Franks Anmerkung: Warum eigentlich nur da?
4 Künstliche Intelligenz und Ethik
4.1 ChatGPT – Leitfaden zur Steuer
Zur Funktionsweise und als Anregungen für den Einsatz von ChatGPT im Steuerbereich wurde ein Leitfaden veröffentlicht. Hervorzuheben bei aller Begeisterung für das Thema ist der Disclaimer zu Beginn:
„Mit Blick auf Datenschutz und Transparenz ist ChatGPT derzeit nur begrenzt nutzbar. So sollten weder vertrauliche noch personenbezogene Daten oder Informationen bei der Eingabe verwendet werden. Was zudem fehlt, ist die Angabe der verwendeten Quellen oder die Kennzeichnung rein synthetischer Texte, also von Texten, die rein von der Maschine über eine Aneinanderreihung von Worten geschaffen werden. Schließlich ist ein Halluzinieren der KI bzw. die Ausgabe spezifischer Fehlleistungen nicht auszuschließen. Daher sollten Ergebnisse stets kritisch geprüft und einem Faktencheck unterzogen werden.“
4.2 Recht auf Vergessenwerden in LLM<
Das klingt nach einer Herausforderung: Die Umsetzung des Rechts auf Vergessenwerden in Large Language Models. Aber das war es bei Blockchain auch und hinderte scheinbar niemand daran Fördergelder und Ressourcen zu investieren. Also lohnt sich die Befassung damit erst recht. Unter dem Titel „Right to be Forgotten in the Era of Large Language Models: Implications, Challenges, and Solutions“ befassen sich Wissenschaftler:innen der Australian National University damit.
4.3 Datenschutzrechtliche Rechtsgrundlagen für KI
Was könnte als datenschutzrechtliche Grundlage für die Verarbeitung personenbezogener Daten genommen werden? Einwilligung und Wahrung berechtigter Interessen scheinen sich aufzudrängen. Ginge auch Vertragserfüllung? Oder Zweckänderung? Mit diesen Fragen befasst sich die „Guidance on AI and data protection/ How do we ensure lawfulness in AI?”<7a> des britischen ICO.
Letztendlich befasst sich ja auch der EDSA in seiner Taskforce mit diesem Thema.
… Und weil´s so gut dazu passt: Hier ist der Link auf den Tagungsband der Veranstaltung des ULD zum Thema „Diskriminierungsfreie KI“ mit dem Kapitel 5 unter dem Titel „Datenschutzrechtliche Anforderungen an diskriminierungsfreien KI-Einsatz“.
5 Veröffentlichungen
5.1 Phishing in Sachsen
Sie wollten nichts schuldig bleiben. Und zahlten dann eben auf eine Rechnung, bei der die Zahlungsdaten geändert wurden. Ein Trick, vor dem bereits schon vorher gewarnt wurde. Aber bei Cyberattacken verbietet sich in der Regel Besserwisserei. Daher: Informiert ein Lieferant unerwartet per Mail, dass sich die Kontoverbindung geändert habe, lieber telefonisch (über die vorher bekannten Rufnummern) vergewissern, ob das korrekt ist. Ob als Konsequenz dann unbedingt – wie im Bericht geschildert – die Rechnung per E-Mail eingeschränkt werden müsse, könnte nochmal überdacht werden.
5.2 Veranstaltungen
5.2.1 EFDPO – Metaverse -neu-
20.07.2023, 13:00 – 14:00 Uhr: Durch die EFDPO wird diese Online-Veranstaltung für BvD-Mitglieder angeboten: “Metaverse from the perspective of legal regulation and data protection”. Weitere Information und Anmeldung hier.
5.2.2 Webinar – Praxisrelevante Folgen des EuGH-Meta-Urteils
20.07.2023, 14:00 – 15:00 Uhr: Welche Auswirkungen hat das Urteil auf Rechtsgrundlagen und die Verarbeitung von Gesundheitsdaten, insb. auf Webseiten. Bestimmt geht es auch um Fragen, ob Tracking noch unter Vertragserfüllung fallen kann. Darüber informieren Experten einer Kanzlei. Informationen und Anmeldung hier.
5.2.3 Tag der offenen Tür im Zentrum für angewandte KI und Transfer, Ansbach -neu-
22.07.2023, 10:00 – 14:00 Uhr (nur vor Ort): Nicht nur Roboter wie Pepper, Furhat und Niryo können in Aktion erlebt werden, auch kann mit VR-Brillen direkt in faszinierende virtuelle Welten eingetaucht werden. Das ist nur ein kleiner Ausschnitt, keine Anmeldung erforderlich, mehr dazu hier.
5.2.4 IHK Oberbayern – Online-Webinar: Das erste halbe Jahr Lieferkettensorgfaltspflichtengesetz -neu-
27.07.2023, 10:00 – 11:30 Uhr: Die IHK Oberbayern zieht eine erste Zwischenbilanz über das Lieferkettensorgfaltspflichtengesetz. Weitere Informationen und Anmeldung hier.
5.2.5 itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei. Mehr dazu hier.
5.2.6 ULD: Sommerakademie 2023
11.09.2023 in Kiel: Die Anmeldung zur Sommerakademie 2023 ist nun möglich. Inhaltlich wird es auch hier um Datenschutz und KI gehen. Alles weitere dazu in der Ankündigung, hier geht es zur Anmeldung.
5.2.7 TLfDI: “KI und Schule“
13.09.2023, 10:00 – 16:00 Uhr, in Erfurt (nur vor Ort): Mit „Hausaufgaben“ aus dem Publikum soll der Einsatz von ChatGPT direkt vor Ort getestet werden. Die Fragen beschäftigen sich u.a. auch mit der KI als Werkzeug zur Förderung des Unterrichts: Was macht KI mit den Schulen? Können die Schüler*innen das verarbeiten? Woran orientieren sie sich? Was sagen die Lehrer*innen? Wie muss sich Schule umorientieren? Wie wird der Datenschutz beim Einsatz von KI in der Schule tangiert? Mit prominenten Gästen werden Antworten auf diese Fragen gesucht. Weitere Informationen und Anmeldung hier.
5.2.8 FSFE: Die Welt nach Facebook, Twitter und YouTube
22.09.2023, 19:00 – 20:30 Uhr (nur vor Ort): In Köln findet dieser Fachtag der Free Software Foundation Europe (FSFE) unter dem Titel „Die Welt nach Facebook, Twitter und YouTube. Eine neue Generation des Internets?” statt. Weitere Information und Anmeldung hier.
5.2.9 GI: Designing Feminist Futures – Vorankündigung
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier.
6 Gesellschaftspolitische Diskussionen
6.1 WhatsApp – nächster Zug
Nachdem die irische Aufsicht unter dem sanften Druck der anderen europäischen Aufsichten dezent darauf hinwies, dass gewählte Gestaltungen nicht so ganz den europäischen Regulatorien entsprechen, änderte WhatsApp nun in seinen Nutzungsbedingungen die rechtliche Grundlage: Nunmehr sei Wahrung berechtigter Interessen die Grundlage der Verarbeitung der Daten, insbesondere, wenn es um die Verbesserung von WhatsApp geht, etwa um nachvollziehen zu können, wie Benutzer:innen mit Funktionen interagieren, und um neue Funktion zu entwickeln oder auch zum Schutz der Benutzer:innen, etwa durch das Erkennen von und Reagieren auf missbräuchliches Verhalten mithilfe von Benutzerberichten. Weitere Hintergründe lesen Sie hier.
Und bevor wieder Zweifel aufkommen – die nicht-private Nutzung ist gemäß den Nutzungsbedingungen nur nach vorheriger Genehmigung durch WhatsApp zulässig – also weiterhin keine Nutzung im dienstlichen Umfeld!
Franks Nachtrag: Hatte nicht das BKartA gerade dem berechtigten Interesse eine Absage erteilt, die der EuGH bestätigt hatte?
7 Sonstiges/Blick über den Tellerrand
7.1 Einmal volltanken, bitte!
Ging es jahrelang mit diesem Spruch nur darum, dass der Sprit aufgenommen wird, scheint es in Zeiten von elektrisch betriebenen Fahrzeugen auch die Informationsaufnahme in die andere Richtung ein maßgeblicher Treiber des Geschäftsmodells zu sein, wie diesem Bericht zu entnehmen ist. Die Supercharger von Tesla würden demnach auch Daten der angeschlossenen Fahrzeuge abziehen – selbst, wenn diese nicht dem „Ökosystem“ von Tesla angehören.
8. Franks Zugabe
8.1 Die EU-Kommission – Vorbild in Sachen Transparenz?
Wir regen uns über intransparente Wahlverfahren bei der Besetzung der Stellen der Landesbeauftragten für den Datenschutz auf (zuletzt hier). Und verweisen auf die Regelungen der DSGVO. Auf ein Regelwerk, welches die EU-Kommissionj maßgeblich mitgestaltet hat. Gut, wenn sich die EU-Kommission dann auch an solche regelungen bei der Besetzung wichtiger Posten hält, oder?
Ach, machen sie nicht?
Warum wird bitte dieser Posten „Chefökonomin in der Generaldirektion Wettbewerb, zuständig für Wettbewerbsfragen bezüglich US-Tech-Konzernen“ an eine US-Amerikanerin vergeben, die für eben jene US-Tech-Konzerne gegen reichlich Geld in der Vergangenheit tätig war?
Und nein, mit nationalistischem Denken hat das nichts zu tun, egal was manche Politiker so schreiben…
(Seit wann gehen eigentlich Twitter-Links wieder?)
8.2 Ein KI-Witz
Anstelle „Apropos ChatGPT…“ heute zumindest ein Witz, bei dem ChatGPT beteiligt ist… Und ja, die Quelle, aber nun ja…
8.3 Artificial Escalation
Wenn Sie sich die Laune verderben wollen, habe ich hier einen dystopischen Kurzfilm samt begleitendem Text. Sehens- und Lesenswert!
8.4 Hacking Google Maps?
Gehört habe ich den Podcast noch nicht, aber den dazugehörigen Text gelesen. Das Hören kommt noch. Eine schräge Geschichte.
Ich hinterfrage Angaben in Google Maps jetzt noch mehr (wenn ich diesen Dienst denn mal ausnahmsweise nutze).
8.5 Eine IBM-Folie aus dem Jahr 1979
Manchmal sind Weisheiten durchaus älter. Auch der erste Kommentar ist relevant.
9. Die gute Nachricht zum Schluss
9.1 Datenschutz im Verein
Die Anforderungen im Datenschutz sind komplex, überdimensioniert und für ehrenamtlich engagierte Personen im Verein nicht zu schaffen? Probieren Sie es mal hiermit: Die Stiftung Datenschutz bietet genau für diese Zielgruppe eine kompakte Information an, die online eingesehen, aber auch bestellt werden kann. Es gibt die Karten zum Download, aber auch zum Bestellen.
Franks Nachtrag: Einige deutsche Aufsichtsbehörden hatten ja auch erst kürzlich wieder Hilfreiches für Vereine veröffentlicht.