Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28 bis 32/2023) – Die Sommerausgabe 2023, Teil 1“
Hier ist der 73. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28 bis 32/2023) – Die Sommerausgabe 2023, Teil 1“.
Und wieder haben wir eine Mehrfachausgabe. Wir hatten zwar (u.a. auf Grund der Veranstaltungen) ein Zwischenspiel, aber die darauffolgenden Wochen hat sich der zweite Autor mehr dem Urlaub gewidmet. Und deswegen wird dieser Blogbeitrag wieder ein längeres Machwerk…
-.-.-.-.-
Und dann vergingen noch ein paar Wochen, in denen der erste Autor irgendwann auch in den Urlaub entschwand und der zweite Autor auf einmal viele andere Themen auf dem Schreibtisch hatte.
-.-.-.-.-
Deswegen ist das jetzt alles nicht mehr so ganz brandaktuell, aber zumindest eine gute und umfangreiche Zusammenstellung der Themen des Sommers (bis in die KW32). Es wird noch eine zweite Sommerausgabe geben, aber danach sollte es wieder in reguläres Fahrwasser gehen.
Wie heißt es? Abwarten und Tee trinken.
Hier ist auf jeden Fall erst mal die Sommerausgabe 2023, Teil 1.
- Aufsichtsbehörden
- EDPS: Einsatz von WebEx durch EuGH
- LfD Bayern: Bayerisches Personalaktenrecht und unionales Datenschutzrecht
- Bundeskartellamt: Jahresbericht 2022/2023
- BSI: Bedrohungslage hoch wie nie
- Österreich: Prüfungen im Finanzbereich
- CNIL: Programm zur Datenökonomie
- ENISA: Digital Identity Standards
- EDSA: Aussagen zum Angemessenheitsbeschluss zugunsten USA (DPF)
- BfDI: Vertreter im Europäischen Dateninnovationsrat
- LfDI Baden-Württemberg: Podcast mit „dem Neuen“
- LfDI Mecklenburg-Vorpommern: Hinweise zu Dashcam bei Tesla
- Österreich: Blacklisting zulässig
- BaFin: Mindestanforderungen MaRisk
- EU-Kartellverfahren gegen Microsoft wegen Teams?
- EDSA: Überprüfung des Angemessenheitsbeschlusses zugunsten Japans
- EDSA: Behördlicher Zugriff in Drittstaaten
- EDSA: Entscheidung der DPC zu TikTok
- EDPS: Interne Umorganisation
- BfDI: Machtlos gegen Bundeseinrichtung?
- TLfDI: Tätigkeitsbericht 2022
- TLfDI: Tätigkeitsbericht 2022 – DSB als Personalratsmitglied
- TLfDI: Tätigkeitsbericht 2022 – Gastzugang im Onlinehandel
- TLfDI: Tätigkeitsbericht 2022 – Verwendung von „Dark Patterns“
- TLfDI: Tätigkeitsbericht 2022 – Entscheidung über Auskunftsbegehren kann Verwaltungsakt sein
- TLfDI: Tätigkeitsbericht 2022 – Weiterleitung von Beschwerden nur mit Rechtsgrundlage
- TLfDI: Tätigkeitsbericht 2022 – Zulässigkeit der Videoüberwachung des Hauseingangs eines Mehrfamilienhauses
- TLfDI: Tätigkeitsbericht 2022 – Veröffentlichung eines Fotos in einer Unternehmens-WhatsApp-Gruppe
- TLfDI: Tätigkeitsbericht 2022 – Verwendungsmöglichkeit von Informationen aufgrund unzulässiger Akteneinsicht
- Norwegen: Kein risikobasierter Ansatz im Drittstaatentransfer
- Frankreich: Wettbewerbsrechtliche Ermittlungen gegen Apple
- BSI: Zero Trust
- EDSA: TikTok
- DSK: Stellungnahme zum Referentenentwurf nach § 26 Abs. 2 TTDSG
- DSK: Stellungnahme zur Verbesserung des Datenschutzes bei Scoringverfahren
- Berlin: Bußgeldbewehrte Liste von Beschäftigten in der Probezeit
- Sondervorstellung LfD Bayern – Arbeitspapier zu Fotos und Videos in der Schule
- Sondervorstellung LfD Bayern – Bayerische öffentliche Stellen und die Windows-Telemetriekomponente
- Sondervorstellung LfD Bayern – Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework
- LfDI Rheinland-Pfalz: Videoüberwachung von Glascontainern
- BayLDA prüft Worldcoin
- LDI NRW: KI und Entwickler
- Sachsen: Staatskanzlei will weiterhin Facebook nutzen
- Sachsen: Datenschutz in der Schule
- CNIL: Künstliche Intelligenz im Öffentlichen Dienst
- Dänemark: Rechtmäßigkeit des Einsatzes von Google Analytics
- ICO: KI erklären
- ICO: Privacy in the product design lifecycle
- Rechtsprechung
- BGH: Umlaute vor Gericht
- Belastbarkeit von Werbeaussagen
- OLG Karlsruhe: Verweigerung der Empfänger in Auskunft
- EuGH: Vorlage zu exzessiven Beschwerden nach Art. 77 DS-GVO
- AG Passau: Wieder Klage gegen Facebook wegen Messengerdienst
- BVwG Österreich: Zur Verhältnismäßigkeit der Dokumentation von Lärmursachen
- LG Karlsruhe: Maßstab bei Werbung mit Klimaneutralität
- LG Kassel: Bestätigungsmail für Double-Opt-in keine Werbung
- Irland: Klage gegen DPC hinsichtlich Real Time Bidding
- BVwG Österreich: Gastkonto, Vertragserfüllung und Einwilligung
- LAG Baden-Württemberg: Privatnutzung dienstlicher Kommunikationsmittel
- OLG Karlsruhe: Zahlungsverpflichtung bei gefälschter Rechnung
- OLG Brandenburg: Löschfrist bei Wirtschaftsauskunfteien nach CoC
- BFH: Gerichtsverhandlungen und Video
- EuGH-Vorschau: Urteil zur Verwendbarkeit beschlagnahmter Daten
- Besprechung EuGH C-340/21 zu Anforderungen an Schutzmaßnahmen
- Gesetzgebung
- „AI Sandboxes“
- Digital Markets Act: Benennung der Gatekeeper
- Frankreich: Überwachungsmöglichkeit der Smartphones erweitert
- EU: Regelungen zum Einsatz von Algorithmen am Arbeitsplatz?
- EU: Vorschlag zu Datenzugang für Europäische Statistiken
- EU: Regulatorik zu digitalen Themen (Wow!)
- Umsetzung Digitale-Dienste-Gesetz – Bye bye TTDSG, welcome TDDDG?
- Cyber Resiliance Act (CRA): Einigung im Rat
- EU-Verbandsklagerichtlinie anwendbar
- EU: Neuer Vorstoß zur Vorratsdatenspeicherung
- HomeOffice im Ausland: Workation
- New York: Audits für automatisierte Beschäftigungsentscheidungstools
- Verbändeanhörung zur geplanten Änderung des BDSG
- AI Act: Herausforderungen im Trilog
- Umsetzung der Anforderungen von Content-Moderatoren
- Frankreich: Kinderbilder im Netz
- Arbeiten im Ausland
- USA: Zugriff auf biometrische Daten von Europäern
- NIST: Cybersecurity Framework 2.0 (Draft)
- Künstliche Intelligenz und Ethik
- Google: „Unlearn“ durch KI?
- Klagen und Fragen gegen KI-Unternehmen
- Veränderungen durch AI
- CAI: Working Draft of the Framework Convention on AI
- Risiken durch KI
- HinSchG, Steuerberater und LLM
- AI und Angriffe
- Datenschutz-Informationspflichten beim Einsatz von KI
- Die Zukunft des Datenschutzes – Ist die DS-GVO bereit für KI?
- KI und Kreativität
- Beitrag zu Urheberrecht beim Training
- USA: Freiwillige Verpflichtung zur KI
- bitkom: Große Sprachmodelle (LLM)
- KI und Data Protection
- Vor- und Nachteile des Einsatzes von ChatGPT
- ChatGPT 4.0 – Technical Report von OpenAI
- ChatGPT und die Folgen
- KI und Medizin
- „Fair Use“ beim Einsatz von KI
- KI und Tastaturgeräusche
- AI Governance
- KI und LLM in der Rechtsprechung
- AAAS: Decision Tree for Responsible AI
- KI in der Objekterkennung
- KI bei Autorenbetrug eingesetzt
- KI und Demokratie
- Crawler vom GPT-Training ausschließen
- KI und Vergessen
- Veröffentlichungen
- Marktwirtschaft im Schatten
- Schriftenreihe mit daten-rechtlichen Themen
- Datenabzug nach Supply-Chain-Attack
- Street-Photography
- TikTok-Abmahnungen im Umlauf
- Microsoft und Sicherheit
- Anforderungen bei Software-Überlassung
- FAQ zum Angemessenheitsbeschluss der EU-Kommission zum EU-US DPF
- Cybersecurity und Zentralisierung der Angebote
- App einer Auskunftei zu auskunftsfreudig
- Überwachungsgefühl im Datenschutzrecht
- Gesellschaft für Freiheitsrechte
- Vereinbarung zur Auftragsverarbeitung auf einer Seite?
- Weltweite Cookie-Übersicht
- Meldepflicht nach § 5 TKG
- Veranstaltungen
- MfK: Ausstellung in Nürnberg zu Bildern durch KI -neu-
- itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
- Stiftung Datenschutz: DSGVO 2024 – Chance für Entlastungen? -neu-
- BBfDI: Start-up-Beratung zur Webseitengestaltung -neu-
- ULD: Sommerakademie 2023
- TLfDI: “KI und Schule“
- FSFE: Die Welt nach Facebook, Twitter und YouTube
- GI: Designing Feminist Futures – Vorankündigung
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT …
- Apropos KI …
- Ein Update zur Meldung „Die EU-Kommission – Vorbild in Sachen Transparenz?“
- Zehn Jahre Let’s Encrypt
- Pokémon Sleep will Kinder beim Schlafen belauschen
- How not to – Heute Bildermanipulation auf dem Smartphone
- Stimmen aus der Vergangenheit
- 31 Tipps für mehr Sicherheit und Datenschutz im Internet
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Einsatz von WebEx durch EuGH
Der Europäische Datenschutzbeauftragte hat seine Prüfung des Einsatzes des Videokonferenztools WebEx beim EuGH abgeschlossen. Wenig überraschend kommt er zu dem Ergebnis, dass damit die datenschutzrechtlichen Vorgaben eingehalten werden. Die Verarbeitung erfolge nur innerhalb der EU / des EWR. Ab Randnummer 40 der Entscheidung findet sich eine Begründung für den Drittstaatentransfer in die USA im Rahmen der technischen Unterstützung. Und der Vollständigkeit halber: Für Europäische Einrichtungen gilt die DS-GVO nicht, sie haben in der Verordnung 2018/1725 eine vergleichbare gesetzliche Grundlage.
1.2 LfD Bayern: Bayerisches Personalaktenrecht und unionales Datenschutzrecht
Think global, act local: Damit lässt sich auch die Kurzinformation 49 des LfD Bayern beschreiben. Er befasst sich dabei mit der EuGH-Rechtsprechung zu Art. 88 DS-GVO (C-34/21) und informiert dazu, dass sich Befugnisse zur Verarbeitung von Beschäftigtendaten im öffentlichen Dienst alternativ auf Art. 6 Abs. 3 in Verbindung mit Art. 6 Abs. 1 lit. e DS-GVO gestützt werden können. Zudem würden sich zunächst keine unmittelbaren Auswirkungen auf das bayerische Personalaktenrecht ergeben. Er stellt auch fest, dass das Urteil des Europäischen Gerichtshofs jedoch über die Grenzen des Beschäftigtendatenschutzes hinaus als „Weckruf“ verstanden werden kann. Auch andere Öffnungsklauseln enthielten – vielfach zwingende – Vorgaben, in deren Grenzen sich mitgliedstaatliches Recht bewegen müsse. Der Gesetzgeber solle damit die Ausführungen des Europäischen Gerichtshofs in dem hier vorgestellten Urteil im Blick behalten, wenn er künftig von den Öffnungsklauseln der Datenschutz-Grundverordnung Gebrauch machen möchte. Die Entscheidung könne für den Gesetzgeber ferner Anlass sein den bestehenden datenschutzrechtlichen Normenbestand auf etwaigen „Nachbesserungsbedarf“ hin zu überprüfen.
1.3 Bundeskartellamt: Jahresbericht 2022/2023
Das Bundeskartellamt widmet sich in seinem Jahresbericht in einem eigenen Kapitel den Aktivitäten der Digitalwirtschaft. Es berichtet dabei von Prüfungen und Verfahren gegen Anbieter wie Alphabet (Google), Amazon, Apple, Meta, Microsoft und PayPal. Auch wird über Sektoruntersuchungen im Rahmen des Verbraucherschutzes u.a. hinsichtlich Messenger- und Videodiensten oder bezüglich des Scorings beim Online-Shopping berichtet.
1.4 BSI: Bedrohungslage hoch wie nie
Nach diesem Bericht schätzt das BSI die Bedrohungslage durch Cyberangriffe so hoch wie noch nie ein. Als Beispiel zählt der Bericht einige Angriffe der letzten Zeit auf. Das BSI fordere daher, dass Deutschland insgesamt seine Wehrhaftigkeit gegen Cyberattacken erhöhen müsse. So könne das BSI zur Zentralstelle für Cyberabwehr ausgebaut werden.
1.5 Österreich: Prüfungen im Finanzbereich
Die Datenschutzbehörde Österreich kündigt an, dass sie wieder Schwerpunktverfahren durchführt, in welchen Verantwortliche eines bestimmten Sektors einer vertieften Prüfung unterzogen werden. Im Rahmen der Schwerpunktverfahren 2023 werden mehrere Kreditinstitute in Hinblick auf die Einhaltung der DS-GVO untersucht. Die Überprüfungen beginnen in der Regel mit der Anweisung, das Verzeichnis von Verarbeitungstätigkeiten vorzulegen, sowie mit der Versendung eines Fragebogens, in welchem der Verantwortliche aufgefordert wird zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch Einschauen und mündliche Verhandlungen möglich. Dabei werde auch die Rolle der Datenschutzbeauftragten der jeweiligen untersuchten Finanzunternehmens auf Basis des Fragebogens des sogenannten „Coordinated Enforcement Framework“ (CEF) genauer betrachtet.
1.6 CNIL: Programm zur Datenökonomie
Die französische Datenschutzaufsicht CNIL kündigt an, dass sie ein neues Team für wirtschaftliche Analysen einrichtet. Dessen Arbeitsprogramm hat sie gleich dazu veröffentlicht. Als Begründung nennt sie, dass der Schutz personenbezogener Daten ein Verständnis der mit ihrer Nutzung verbundenen Geschäftsmodelle und eine Messung der wirtschaftlichen Auswirkungen von Regulierungsentscheidungen erfordere.
1.7 ENISA: Digital Identity Standards
Dieser Bericht der ENISA gibt einen Überblick über die wichtigsten Normen und Normungsorganisationen im Bereich der Digitalen Identität. Er enthält auch eine Analyse der Normen, die sich auf verschiedene Mittel zur Unterstützung der digitalen Identität beziehen. Dies umfasst Mittel, die von Vertrauensdiensten geschaffen und verwaltet werden, elektronische Identifizierungsmittel und die EU-Geldbörse für digitale Identitäten.
1.8 EDSA: Aussagen zum Angemessenheitsbeschluss zugunsten der USA (DPF)
Der EDSA hat Aussagen zum Angemessenheitsbeschluss zugunsten der USA (zum Data Privacy Framework, DPF) veröffentlicht. In diesem Zusammenhang unterstreicht der EDSA, dass alle von der US-Regierung im Bereich der nationalen Sicherheit eingeführten Schutzmaßnahmen (einschließlich des Rechtsbehelfsverfahrens) für alle Daten gelten, die in die USA übermittelt werden, unabhängig vom verwendeten Übermittlungsinstrument. Daher sei bei der Bewertung der Wirksamkeit des gewählten Übermittlungsinstruments nach Art. 46 DS-GVO sollten die Datenexporteure daher die von der Kommission in ihrem Angemessenheitsbeschluss vorgenommene Bewertung berücksichtigen. Etwas freier formuliert: Auch bei der Übermittlung an Empfänger in die USA, die sich nicht nach dem DPF zertifizieren lassen, kann auf eine TIA verzichtet werden, wenn eine andere Übermittlungsgrundlage (etwa Binding Corporate Rules oder die Standarddatenschutzklauseln) vorliegt, weil diese Prüfung die EU-Kommission bereits bei der Bewertung des Angemessenheitsbeschlusses übernahm.
Das ist doch schon mal was!
Die sächsische Datenschutz- und Transparenzbeauftragte verweist in ihrer Info dazu auch auf die FAQ der EU-Kommission.
1.9 BfDI: Vertreter im Europäischen Dateninnovationsrat
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wurde durch den Europäischen Datenschutzausschuss (EDSA) als dessen Vertreter für den Europäischen Dateninnovationsrat (European Data Innovation Board – EDIB) benannt.
1.10 LfDI Baden-Württemberg: Podcast mit „dem Neuen“
Der neue LfDI Baden-Württemberg führt die Tradition des Vorgängers fort in Podcasts über aktuelle Themen zu sprechen. Im ersten Podcast dazu erzählt er vom Wechsel auf diese Position, erläutert aber auch Hintergründe zu der Podiumsdiskussion zum AI Act (siehe unter Ziffer 4.3).
1.11 LfDI Mecklenburg-Vorpommern: Hinweise zu Dashcam bei Tesla
Natürlich gelten die Hinweise nicht nur bei diesem Fahrzeugtyp, die der LfDI Mecklenburg-Vorpommern auf seiner Webseite veröffentlichte, nur erreichen ihn zu diesem Fahrzeugtyp die meisten Beschwerden. Er fährt aus, wie eine Dashcam, die den öffentlichen Raum erfasst, datenschutzkonform betrieben werden kann – und bei welchem Verhalten mit einem Bußgeld gerechnet werden müsse.
1.12 Österreich: Blacklisting zulässig
Wie die österreichische Datenschutzbehörde in ihrem Newsletter informiert, sieht sie die Speicherung von früheren Vertragspartnern, mit denen kein neuer Vertrag abgeschlossen werden soll, als rechtlich zulässig an. Dies sei noch von der Vertragsfreiheit gedeckt und begründe sich auf Art. 6 Abs. 1 lit f DS-GVO.
1.13 BaFin: Mindestanforderungen MaRisk
Die BaFin veröffentlichte mit dem Rundschreiben 5/2023 aktualisierte Mindestanforderungen an die Umsetzung der MaRisk.
1.14 EU-Kartellverfahren gegen Microsoft wegen Teams?
Nach diesem Bericht eröffnet die EU ein Kartellverfahren gegen Microsoft wegen der Software Teams. Der Verdacht stünde im Raum, dass MS damit seine Marktmacht ausnutze.
1.15 EDSA: Überprüfung des Angemessenheitsbeschlusses zugunsten Japans
Der EDSA nahm eine Erklärung zur ersten Überprüfung des Angemessenheitsbeschlusses für Japan an. Die Erklärung konzentriert sich hauptsächlich auf die Bewertung der kommerziellen Aspekte des japanischen Angemessenheitsbeschlusses, da der japanische Rechtsrahmen seit der Veröffentlichung des Angemessenheitsbeschlusses einige Änderungen in diesem Bereich erfahren hat, die zu einer weiteren Annäherung an die DS-GVO führen. Dazu gehören die Ausweitung des Widerspruchsrechts gegen eine Verarbeitung, die Verschärfung der Pflicht zur Meldung von Datenschutzverletzungen an die japanische Datenschutzbehörde und an Einzelpersonen sowie die Ausweitung des Anwendungsbereichs des japanischen Gesetzes über den Schutz personenbezogener Daten (APPI), so dass nun auch personenbezogene Daten umfasst werden, die innerhalb von sechs Monaten gelöscht werden sollen. Gleichzeitig ist der EDSA der Ansicht, dass es einige Bereiche gibt, die einer genaueren Überwachung durch die Europäische Kommission bedürfen, insbesondere in Bezug auf die neue Kategorie „pseudonymisierter“ personenbezogener Daten im japanischen Recht und die Verwendung der Einwilligung in Situationen eines Machtgefälles. Der EDSA begrüßt daher die Zusage der Europäischen Kommission diese Fragen genau zu überwachen.
Insgesamt stimmt der EDSA mit der Bewertung der Europäischen Kommission überein und begrüßt den Vorschlag der Kommission zu einem Überprüfungszyklus von vier Jahren überzugehen.
1.16 EDSA: Behördlicher Zugriff in Drittstaaten
In der Euphorie über den Angemessenheitsbeschluss zugunsten Einrichtungen in den USA über das DPF werden weiterhin TIA (Transfer Risk Assessments) für andere Länder erforderlich bleiben. Daher sei an die Veröffentlichung des EDSA aus dem Jahr 2019 erinnert, in der er sich (auf Basis der damaligen Rechtslage) zu einzelnen Staaten äußerte.
1.17 EDSA: Entscheidung der DPC zu TikTok
Für den 2. August 2023 hat der EDSA seine Bewertung zu den vorgeschlagenen Maßnahmen der irischen Aufsicht DPC bezüglich TikToks auf der Agenda. Insbesondere inwieweit die Rechte minderjähriger Kinder durch das Netzwerk geschützt sowie Altersverifikationen und Informationspflichten umgesetzt werden.
Franks Anmerkung: Am 2. August 2023 hat der EDSA eine bindende Entscheidung für die LSA (Lead Supervisory Authority, also die irische Aufsichtsbehörde DPC) beschlossen. Wir werden da bestimmt in Zukunft noch mehr dazu berichten. Momentan liegt der Ball wieder bei der DPC.
1.18 EDPS: Interne Umorganisation
Um auf die kontinuierlich steigenden Herausforderungen im Bereich des Datenschutzes angemessen reagieren zu können, gestaltet der EDPS seine Behörde um.
1.19 BfDI: Machtlos gegen Bundeseinrichtung?
Wenn der BfDI im Rahmen eines Beschwerdeverfahrens tätig wird, meint man, er könne auch dafür sorgen, dass rechtswidrige Verarbeitungen beendet werden. Dem scheint nicht immer so, wie sich aus einem Post auf LinkedIn* entnehmen lässt.
Die Beschwerde richtete sich gegen die Zentralstelle für Finanztransaktionsuntersuchungen (Financial Intelligence Unit – FIU*). Weil diese einer Löschaufforderung bezüglichen Daten, die im Rahmen des Geldwäschegesetzes verarbeitet wurden, nicht nachkam, stellte der BfDI fest, dass die FIU gegen datenschutzrechtliche Vorgaben verstoße, die ihre Ursache in der Nutzung der Software goAML habe. Zwar habe der BfDI dies gegenüber dem Bundesministerium der Finanzen beanstandet, diese Verarbeitung durch die FIU fällt aber unter die Richtlinie Polizei und Justiz (RL 2016/680), die der deutsche Gesetzgeber im Ersten und Dritten Teil des BDSG umsetzte. Und genau dafür seien zugunsten des BfDI keine verbindlichen Anordnungsbefugnisse übertragen worden.
* Franks Anmerkung: Beide Links stecken hinter einer Login-Aufforderung… Ich habe Screesnhots gesehen, dür diejenigen unter Ihnen, die wie ich nicht bei LinkedIn sind: Der erste Link zeigt auf einen Post bei LinkedIn, in dem der Poster sich darüber beschwert, dass der Staat nicht die gleichen Regeln einhalten müsse wie die Wirtschaft („What’s new Pussycat?„), hinter dem zweiten Link verbirgt sich auf LinkedIn ein Screenshot eines Antwortschreibens des BfDI an eine*n Besxchwerdeführer*in.
1.20 TLfDI: Tätigkeitsbericht 2022
Auch in Erfurt wurde nun der Tätigkeitsbericht für das Jahr 2022 veröffentlicht. Hier einige Themen daraus:
1.21 TLfDI: Tätigkeitsbericht 2022 – DSB als Personalratsmitglied
Aus der Stellung als DSB ergibt sich nach Ansicht des TLfDI (Ziffer 1.9, Seite 25) kein offensichtlicher Interessenkonflikt, der eine Mitwirkung im Hauptpersonalrat der obersten Dienstbehörde grundsätzlich ausschließt, wenn es sich um einen DSB handelt, der DSB einer dieser obersten Dienstbehörde untergeordneten öffentlichen Stelle ist. Um das Konzept einer unabhängigen Selbstkontrolle nicht zu konterkarieren, sollte allerdings Zurückhaltung in datenschutzrechtlich relevanten Fragen geübt werden, die Auswirkungen auf die Datenverarbeitung bei dem Verantwortlichen haben können, dessen Datenschutzbeauftragter das Mitglied ist.
1.22 TLfDI: Tätigkeitsbericht 2022 – Gastzugang im Onlinehandel
Unter Ziffer 1.15 (Seite 38) informiert der TLfDI, dass er der Meinung sei, dass neben der Möglichkeit der Einrichtung eines fortlaufenden Kundenkontos Verantwortliche im Onlinehandel Kunden, die keine dauerhafte Geschäftsbeziehung eingehen wollen oder eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten ablehnen, regelmäßig einen Gastzugang ermöglichen müssten. Er bezieht sich dabei auf Hinweise der DSK zu einem datenschutzkonformen Online-Handel mittels Gastzugang.
1.23 TLfDI: Tätigkeitsbericht 2022 – Verwendung von „Dark Patterns“
Als „Dark patterns“ definiert der TLfDI unter Ziffer 1.18 (Seite 44) Benutzeroberflächen, durch die Nutzer aufgrund des Designs und der Gestaltung möglicherweise unbewusste, unbeabsichtigte und möglicherweise schädigende Entscheidungen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten treffen. Dadurch werden ihr Verhalten und ihre Fähigkeit, ihre Daten effektiv zu schützen, wesentlich beeinträchtigt. Mit Verweis auf die Guidelines des EDSA dazu bringt er etliche Beispiele wie z. B. schlecht strukturierte Informationspräsentationen, wenn in der Dokumentation zu viele Verweise an zu vielen Stellen enthalten seien und wesentliche Informationen erst in unteren Ebenen bereitstellt werden.
1.24 TLfDI: Tätigkeitsbericht 2022 – Entscheidung über Auskunftsbegehren kann Verwaltungsakt sein
Macht ein Betroffener bei einer Behörde seinen Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO geltend, muss die verantwortliche Behörde prüfen, ob sie die Auskunft erteilt. Bei der Entscheidung über den geltend gemachten Anspruch auf Auskunft oder Kopie nach Art. 15 Abs. 1 bzw. Abs. 3 DS-GVO handelt es sich zumindest dann um einen Verwaltungsakt im Sinne des § 35 Satz 1 ThürVwVfG, wenn die Behörde den Antrag nach Prüfung der gesetzlichen Grenzen und Ausnahmen ganz oder teilweise ablehnen will. Soll hingegen dem Antrag der betroffenen Person entsprochen werden, sei die Erteilung der Auskunft beziehungsweise die Herausgabe der Kopie zwar ein Verwaltungsakt, da er aber den Adressaten begünstigt, besteht keine Begründungs- und Rechtsbehelfsbelehrungspflicht. Der TLfDI berichtet dazu unter Ziffer 2.5 ab Seite 68.
1.25 TLfDI: Tätigkeitsbericht 2022 – Weiterleitung von Beschwerden nur mit Rechtsgrundlage
Eine Weiterleitung von Beschwerden an Dritte bedarf einer Rechtsgrundlage. Bei der Weiterleitung an Arbeitgeber ist eine besonders sorgfältige Interessenabwägung erforderlich. Im Ausgangsfall unter Ziffer 2.18 auf Seite 98 richtete eine betroffene Person eine Beschwerde über den eigenen Arbeitgeber an eine Einrichtung, von der sie annahm, dass die Einrichtung über den eigenen Arbeitsgeber eine Kontrollfunktion ausübe. Dies war aber nicht der Fall. Doch anstatt den Beschwerdeführer darauf hinzuweisen leitete die Einrichtung die Beschwerde in nicht anonymisierter Form an den Arbeitgeber weiter. Dies bewertet der TLfDI als Datenschutzverstoß. Dabei sei es unerheblich, ob eine Beschwerde als vertraulich gekennzeichnet oder mit der Bitte um vertrauliche Behandlung versehen sei.
1.26 TLfDI: Tätigkeitsbericht 2022 – Zulässigkeit der Videoüberwachung des Hauseingangs eines Mehrfamilienhauses
Die Inbetriebnahme einer Kamera, mit der die Überwachung des Eingangsbereichs eines Mehrfamilienhauses möglich ist, stellt nach den Ausführungen unter Ziffer 3.1 ab Seite 100 einen erheblichen Eingriff in das allgemeine Persönlichkeits- und Selbstbestimmungsrecht der Mieter und deren Besucher dar. Aufgrund der regelmäßig nicht möglichen Einwilligungseinholung der unbestimmbaren Personen, welche sich im öffentlich zugänglichen Eingangsbereich aufhalten können, ist solch eine Videoüberwachung nur zulässig, insofern die Interessen des Kamerabetreibers gegenüber dem Persönlichkeitsrecht der betroffenen Personen überwiegen und keine milderen Mittel zur Erreichung des beabsichtigten Zwecks der Videoüberwachung zur Verfügung stehen.
1.27 TLfDI: Tätigkeitsbericht 2022 – Veröffentlichung eines Fotos in einer Unternehmens-WhatsApp-Gruppe
Die „Haushaltsausnahme“ gemäß Art. 2 Abs. 2 Buchstabe c) DS-GVO ist mit Verwendung des Begriffs „ausschließlich“ als Tatbestandmerkmal grundsätzlich eng auszulegen und erlaubt im Rahmen der Verarbeitung personenbezogener Daten keine Vermischung privater und beruflicher beziehungsweise wirtschaftlicher Belange. Wird daher eine interne WhatsApp-Gruppe von Beschäftigten eines Unternehmens als Kommunikationsmittel eingesetzt, sei der sachliche Anwendungsbereich der DS-GVO gemäß Art. 2 Abs. 1 DS-GVO eröffnet, wenn in der Gruppe nicht ausschließlich Nachrichten privater Natur versendet werden. Unter Ziffer 3.2 ab Seite 101 berichtet der TLfDI, dass in einer internen Unternehmens-WhatsApp-Gruppe ein Bild geteilt wurde, das eine Person nach einem tätlichen Angriff stark blutend und mit ausgeschlagenem Zahn zeigte. Das Bild sei ohne Kenntnis dieser Person, welche früher einmal selbst Mitarbeiter des Unternehmens gewesen sei, angefertigt und erst an sie übermittelt worden, nachdem es in der WhatsApp-Gruppe veröffentlicht worden war.
Der Fall birgt das Kuriosum, dass dieses Bild durch den DSB des Unternehmens in der Gruppe geteilt wurde. Der TLfDI weist dabei darauf hin, dass eine Abberufung des DSB nur aufgrund fehlender Fachkunde oder Interessenskonflikt möglich sei, nicht bei unzureichender Zuverlässigkeit des DSB. Hinsichtlich der Veröffentlichung des Fotos in der WhatsApp-Gruppe leitete er ein Bußgeldverfahren in dreistelliger Höhe gegen den DSB ein.
1.28 TLfDI: Tätigkeitsbericht 2022 – Verwendungsmöglichkeit von Informationen aufgrund unzulässiger Akteneinsicht
Der Fall unter Ziffer 3.3 ab Seite 108 befasst sich mit der datenschutzrechtlichen Betrachtung, wenn einem Rechtsanwalt im Rahmen der Akteneinsicht mehr Information bereitgestellt werden, als erforderlich ist und unter welchen Umständen dann ein Löschanspruch der betroffenen Person gegen diesen Rechtsanwalt nicht durchsetzbar ist.
1.29 Norwegen: Kein risikobasierter Ansatz im Drittstaatentransfer
In der DS-GVO dominiert der risikobasierte Ansatz hinsichtlich der Rechte und Freiheiten der Personen, deren Daten verarbeitet werden. Umstritten ist, ob dies auch in Kapitel V beim Drittstaatentransfer zu berücksichtigen sei. Die norwegische Datenschutzaufsicht geht in einem Schreiben an ein Unternehmen, gegen das sie auf Basis einer Beschwerde von noyb ermittelte, davon aus, dass es für den risikobasierten Ansatz im Drittstaatentransfer keine Grundlage gäbe (im Schreiben auf Seite 18 unten). Weder der Wortlaut von Kapitel V der DS-GVO noch das EuGH-Urteil bei „Schrems II“ oder die Praxis anderer Datenschutzbehörden ließen einen so genannten „risikobasierten Ansatz“ zu, wonach Daten ohne zusätzliche Maßnahmen übermittelt werden können, wenn nicht mit einem Abfangen zu rechnen ist (z. B., wenn der für die Verarbeitung Verantwortliche der Ansicht ist, dass die Daten für Drittlandsbehörden nicht „interessant“ sind,) oder wenn die Folgen eines Abfangens von dem für die Verarbeitung Verantwortlichen als gering eingeschätzt werden (z. B. aufgrund der wahrgenommenen Art der Daten).
1.30 Frankreich: Wettbewerbsrechtliche Ermittlungen gegen Apple
In Frankreich ermittelt die Wettbewerbsbehörde gegen Apple hinsichtlich des Vorwurfs eine marktbeherrschende Stellung durch diskriminierende, nicht objektive und nicht transparente Bedingungen für die Nutzung von Nutzerdaten für Werbezwecke missbraucht zu haben.
1.31 BSI: Zero Trust
Das BSI veröffentlichte sein Positionspapier zu Zero Trust. Zero Trust beschreibt danach ein aus dem „Assume Breach“-Ansatz entwickeltes Architekturdesign-Paradigma, welches im Kern auf dem Prinzip der minimalen Rechte aller Entitäten in der Gesamtinfrastruktur basiert. Durch Zero-Trust-Ansätze könnten Anwendungszugriffe besser präventiv abgesichert und insbesondere das Schadensausmaß bei Angriffen weiter reduziert werden. Zero Trust vereine dazu bekannte Sicherheitsmaßnahmen und Best-Practices in einem ganzheitlichen Ansatz. Ausgehend von einem datenzentrischen Modell, beziehe sich die Schutzwirkung der Maßnahmen vorrangig auf die Schutzziele Integrität und Vertraulichkeit, nicht aber auf Verfügbarkeit. Eine ganzheitliche, wirksame Umsetzung von Zero-Trust-Prinzipien sei keine Einmalinvestition, sondern ein langfristiges Vorhaben und erfordere ebenso hohen wie dauerhaften finanziellen sowie personellen Ressourcenaufwand. Bei einer organisationsübergreifenden Vernetzung müssten die Zero-Trust-Konzepte zwischen den beteiligten Organisationen verbindlich abgestimmt werden, wobei die Interoperabilität von Produktfunktionalitäten für eine erfolgreiche Zero-Trust-Umsetzung elementar sei.
Franks Anmerkung: Hier gibt es zwei abweichende Bewertungen zu dem BSI-Positionspapier. Falls Sie diese lesen möchten… Meiner Meinung nach lohnt es sich.
1.32 EDSA: TikTok
Erst wenn die irische Aufsicht die Umsetzung veröffentlicht hat, will der EDSA seinen Beschluss veröffentlichen, mit dem er über Art. 65 DS-GVO der irischen Aufsicht Vorgaben zur Bewertung des Verhaltens von TikTok erteilt. Einen Bericht über die Ermittlungen gegen TikTok finden Sie hier.
1.33 DSK: Stellungnahme zum Referentenentwurf nach § 26 Abs. 2 TTDSG
Die DSK veröffentlichte ihre Stellungnahme zum Referentenentwurf zur Einwilligungsverwaltung nach § 26 Abs. 2 TTDSG. Dass sie nicht ganz glücklich damit ist und einige Anmerkungen dazu hat, lässt sich bereits am Umfang (17 Seiten) erahnen.
1.34 DSK: Stellungnahme zur Verbesserung des Datenschutzes bei Scoringverfahren
Hatte ich das bisher übersehen? Dann erst recht hier: Die Datenschutzkonferenz formuliert ihre Hinweise für datenschutzkonforme Scoringverfahren. Dabei versteht sie unter Bonitätsscoring nicht nur das Scoring durch die Kreditwirtschaft, sondern auch durch Verantwortliche weiterer Branchen, die kreditorische Risiken durch Verwendung von Score-Werten absichern. Bei manchen der Empfehlungen wird auch der Gesetzgeber adressiert.
1.35 Berlin: Bußgeldbewehrte Liste von Beschäftigten in der Probezeit
Gegen ein Unternehmen wurde durch die BlnBDI ein Bußgeld in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte laut Pressemitteilung u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.
Ein Weckruf an alle, die interne Dokumentationen als nicht relevant vernachlässigen wollen: Gerade das Verzeichnis der Verarbeitungstätigkeiten lassen sich Aufsichtsbehörden bei Beschwerden gerne vorlegen, um daraus erkennen zu können, ob sich weitere Anhaltspunkte für kritischen Rückfragen ableiten lassen.
1.36 Sondervorstellung LfD Bayern – Arbeitspapier zu Fotos und Videos in der Schule
Aus aktuellem Anlass und passend zum baldigen Schuljahresbeginn in Bayern finden sich beim LfD Bayern Hinweise zu Foto- und Videoaufnahmen in der Schule, insbesondere im Schulunterricht. Ergänzt werden diese durch Fragen und Antworten zum Datenschutz an bayerischen öffentlichen Schulen.
1.37 Sondervorstellung LfD Bayern – Bayerische öffentliche Stellen und die Windows-Telemetriekomponente
In seiner aktuellen Kurz-Information 50 behandelt der LfD Bayern Hinweise zum Umgang mit Windows-Telemetriekomponenten durch bayerische öffentliche Stellen. Lesenswert auch für alle anderen.
1.38 Sondervorstellung LfD Bayern – Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework
Kaum ist es da, braucht es schon die „Erste Hilfe“. Ob mit der Bereitstellung der aktuellen Kurz Information 51 als Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework diese Metapher Pate stand, ist nicht bekannt. Egal, ob nun das DPF als verunglückt wahrgenommen wird oder nicht, die „Erste Hilfe“ gibt Hinweise zum weiteren Vorgehen.
1.39 LfDI Rheinland-Pfalz: Videoüberwachung von Glascontainern
Der LfDI Rheinland-Pfalz widerspricht der Darstellung einer Zeitung, eine vollständige und dauerhafte Videoüberwachung eines Glassammelcontainers sei mit ihm abgesprochen. Er weist dabei auch die missverständliche Zitierung aus der Orientierungshilfe für die Videoüberwachung in Kommunen hin und erläutert die Begrifflichkeit des Monitorings.
1.40 BayLDA prüft Worldcoin
Worldcoin wird schon als neue Weltwährung gesehen, bei der sich Nutzende über einen IRIS-Scan registrieren lassen können. Das bleibt dann auch die Grundlage nicht mit dem guten Namen, sondern mit einem freundlichen Augenaufschlag zahlen zu können. Der Chef von Open AI ist involviert, doch allein die Nutzung biometrischer Daten lässt die Datenschutzaufsicht hellhörig und auch die Finanzaufsichten skeptisch werden. Aufgrund der Zuständigkeiten für eine Tochterfirma in Bayern hat das BayLDA die Zuständigkeit für das Prüfverfahren übernommen. Im Fokus stehen dabei natürlich die Transparenz und Sicherheit der Verarbeitung. Das BayLDA prüft nach eigenen Angaben die Transparenz und Sicherheit der Verarbeitung sowie die Information der Betroffenen. Angesichts des hohen Risikos, das der Missbrauch biometrischer Daten für die Betroffenen darstellt, steht zudem die Cybersicherheit im Fokus des Prüfverfahrens. Einen Audiobeitrag dazu finden Sie hier.
Franks Nachtrag: Immer wenn ich denke „Schlimmer geht’s nimmer!“ kommt jemand daher und beweist das Gegenteil…
1.41 LDI NRW: KI und Entwickler
An was müssen Entwickler bei KI alles denken? Und was denkt die LDI NRW darüber? Antworten dazu im Interview mit ihr. Entwickler stünden bereits heute in der Verantwortung.
1.42 Sachsen: Staatskanzlei will weiterhin Facebook nutzen
Wie hier berichtet wird, möchte die sächsische Staatskanzlei gerichtlich geklärt haben, dass sie weiterhin Facebook nutzen darf. Die Datenschutzaufsicht untersagte ihr die Nutzung.
1.43 Sachsen: Datenschutz in der Schule
Damit die Grundbildung im Umgang und zum Datenschutz auch in Sachsen sichergestellt ist, bietet die sächsische Datenschutz- und Transparenzbeauftragte eine Webseite mit umfangreichen Materialien für Schulen einschließlich einer Liste Häufiger Fragen (mit Antworten) an.
1.44 CNIL: Künstliche Intelligenz im Öffentlichen Dienst
Die französische Datenschutzaufsicht kündigt ein weiteres „Sandbox“-Verfahren an, um drei Projekte zu unterstützen, die künstliche Intelligenz (KI) zum Nutzen der öffentlichen Dienste einsetzen. Die Einreichung von Projekten ist bis zum 30. September 2023 möglich.
1.45 Dänemark: Rechtmäßigkeit des Einsatzes von Google Analytics
Die dänische Datenschutzaufsicht stellt klar, dass allein durch das Data Privacy Framework zugunsten der dabei zertifizierten Unternehmen in den USA nicht alle Fragen der Anforderungen aus Datenschutzsicht geklärt sind. Auch die allgemeinen Anforderungen der DS-GVO seien einzuhalten. Das nennt sich dann zwei Stufen-Prüfung: Gibt es eine Rechtsgrundlage für die Verarbeitung und im zweiten Schritt, gibt eine Zulässigkeitsgrundlage für den Transfer in den Drittstaat.
1.46 ICO: KI erklären
Was ist eine der Hauptforderungen bei dem Einsatz einer KI? Meist wird dabei die Transparenz genannt. Und die britische Aufsicht ICO bietet dazu Erläuterungen, wie diese Technik erklärbar gemacht werden sollte.
1.47 ICO: Privacy in the product design lifecycle
Die ICO erklärt schön nachvollziehbar, was mit der Anforderung „Privacy by design“ gemeint ist (auch wenn die GDPR ja von „data protection by design“ spricht). Aber das ist für die meisten Zielgruppen irrelevant, da freut man sich schon, wenn Anforderungen wie Datenminimierung und Löschmöglichkeiten mitgedacht werden.
2 Rechtsprechung
2.1 BGH: Umlaute vor Gericht
Kann ein Schriftsatz über das besondere Anwaltspostfach nicht zugestellt werden, weil in der Betreffzeile ein Umlaut verwendet wurde, rechtfertigt dies nach dem BGH die Wiedereinsetzung in den vorherigen Stand, wenn ansonsten alle Voraussetzungen eingehalten wurden. Wie hier berichtet wird, legte ein Anwalt im Namen seines Mandanten über das besondere Anwaltspostfach Berufung beim Oberlandesgericht Bamberg ein. Die Betreffzeile lautete „Berufungsbegründung“. Damit kam die virtuelle Poststelle des Gerichts offenbar nicht zurecht. Das Problem: Der Justizrechner mochte keine Umlaute und war daher über das „ü“ gestolpert. Es kam zu einem Übermittlungsfehler. Die Folge: Das Dokument kam nicht an und die Berufung wurde abgelehnt, weil die Frist nicht eingehalten worden sei. Der Anwalt wollte dieses vermeintliche Fristversäumnis nicht auf sich sitzen lassen und schickte alle Dokumente inklusive Screenshot der ersten Übermittlung auf allen Kanälen erneut, schließlich sogar per Fax – allein um zu beweisen, dass er die Berufung ordnungsgemäß abgesandt hatte. Das half aber nicht. erst der Bundesgerichtshof stellte fest, dass elektronische Dokumente auch Umlaute enthalten dürfen, ohne dass dies zu einem Fristversäumnis führt, wenn der Rechner den Umlaut nicht erkennt.
2.2 Belastbarkeit von Werbeaussagen
Zwar nicht direkt aus dem Datenschutz- oder IT-Sicherheitsbereich, aber trotzdem nützlich: Wie belastbar und nachweisbar Werbeaussagen sein müssen, wird hier anschaulich am Beispiel von Angaben zur Klimaneutralität gemacht. Anlass ist ein Urteil des OLG Düsseldorf, dass Verbraucher:innen bei einer Produktwerbung mit der Angabe „klimaneutral“ nicht im Unklaren gelassen werden dürfen, ob diese Klimaneutralität bereits während des Herstellungsprozesses oder doch nur durch kompensatorische Maßnahmen erreicht werde. Das OLG Düsseldorf lies hier die Revision zu, weil die Frage um die zulässige Werbung mit dem Begriff „klimaneutral“ noch nicht höchstrichterlich entschieden wurde. Auch wenn es noch nicht rechtskräftig ist, kann es auch bei Aussagen zu klimaneutralen Rechenzentren oder bestimmten IT-Leistungen berücksichtigt werden.
2.3 OLG Karlsruhe: Verweigerung der Empfänger in Auskunft
Das Urteil des OLG Karlsruhe ist umfangreich. Kurzgesagt geht um den Streit eines Nutzers gegen ein soziales Netzwerk. Dieses schränkte seinen Account ein, nachdem es Beschwerden gegen seine Posts gab und ließ einige Beiträge löschen (Details erspare ich Euch hier). Er machte verschiedene Ansprüche geltend, die jedoch alle abgelehnt wurden. Für uns hier herausgreifen möchte ich die Argumentation des Gerichts zur Bestätigung der Weigerung des Netzwerks im Rahmen des Auskunftsanspruchs auch die Empfänger zu benennen, die die Löschung durchführten. Auch in Kenntnis des EuGH-Urteils (C-154/21), dass auch die Empfänger von Daten, soweit konkret bekannt, im Rahmen eines Auskunftsanspruches zu benennen sind, schließt sich das Gericht der Argumentation des Netzwerkes an.
Einer solchen Auskunftserteilung zu den Dienstleistern, welche Löschungen vornehmen, steht nach Ansicht des OLG Karlsruhe Art. 15 Abs. 4 DS-GVO (dort RN 278) entgegen, wonach das Recht auf Auskunft „die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ dürfe. Das Netzwerke habe hierzu unwidersprochen vorgetragen, dass die Offenlegung der Identität ihrer Diensteanbieter die Sicherheit der jeweiligen Diensteanbieter und damit auch diejenige der Nutzer gefährde. Sie mache die betreffenden Diensteanbieter anfällig für Cyberangriffe und könne die Diensteanbieter dem Risiko von Vergeltungsmaßnahmen durch Nutzer aussetzen, die von etwaigen Maßnahmen betroffen und damit nicht einverstanden seien. Weiterhin könne ein möglicher Schädiger anhand der Informationen über die Identität der Diensteanbieter, zusammen mit Einzelheiten zu den spezifischen Aufgaben oder der Art der ihnen von der Beklagten zugewiesenen Aufgaben nachvollziehen, wie das Netzwerk ihre Überprüfungsprozesse durchführt. Dies könne es solchen Personen ermöglichen Durchsetzungsmaßnahmen des Netzwerkes zu umgehen. Schließlich würde eine Offenlegung der Identität und Aufgaben der Diensteanbieter das Netzwerk zur Preisgabe von Geschäftsgeheimnissen zwingen und ihr so schaden. Auf der Grundlage der damit anhand dieser unstreitigen Tatsachen vorzunehmenden umfassenden Abwägung der gegenläufigen Interessen der Beteiligten könne der Kläger keine Auskunftserteilung verlangen, weil die von der Beklagten angeführten (und unstreitigen) Belange das Informationsinteresse des Klägers an der konkreten Person des Empfängers seiner Daten überwiegen, zumal dieser diese Information zur Durchsetzung etwaiger sonstiger Rechte nicht benötige.
Angesichts des Anstiegs der Cyberangriffe über Wartungspartner m.E.n. keine so schlechte Begründung.
2.4 EuGH: Vorlage zu exzessiven Beschwerden nach Art. 77 DS-GVO
Gemäß Art. 57 Abs. 4 DS-GVO kann eine Aufsichtsbehörde bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern aufgrund der Anfrage tätig zu werden. Ist diese Regelung auch auf Beschwerden nach Art. 77 Abs. 1 DS-GVO anwendbar? Und ab wann liegt so ein Fall von exzessiven Anfragen (Beschwerden) vor und wenn ja, kann die Aufsichtsbehörde wählen, ob sie Verwaltungskosten geltend macht oder kann sie sich einfach weigern auf die Beschwerde hin tätig zu werden?
Allein die Fragestellung klingt wie ein Teaser zu einem abendfüllenden Programm. Tatsächlich ist es schwer zu beurteilen, ob ein Krimi oder eine Komödie dahintersteckt, wahrscheinlich eher eine Tragikkomödie. Nach dem Sachverhalt in der Vorlagenentscheidung wurde die Datenschutzaufsicht immer wieder mit Beschwerden einer Person belangt, bei denen die Reaktionszeit bei Auskunftsersuchen dieser Person bei unterschiedlichen Verantwortlichen die Frist des Art. 12 Abs. 3 DS-GVO überschritten hatte. Bevor Sie weiterlesen, ab wann würden Sie von einer exzessiven Beanspruchung ausgehen?
Hier wurde zwischen August 2018 bis Anfang April 2020 insgesamt 77 Datenschutzbeschwerden bei der Datenschutzbehörde eingebracht und zwar 4 Datenschutzbeschwerden im Jahr 2018, 53 im Jahr 2019 und weitere 20 im ersten Quartal 2020. Darin wurde in 46 Fällen das Recht auf Löschung und in 29 Fällen das Recht auf Auskunft geltend gemacht. Überdies wurde die Datenschutzbehörde regelmäßig telefonisch kontaktiert, um weitere datenschutzrechtlich relevante Sachverhalte zu schildern und zu erfragen, ob diese in Form von Datenschutzbeschwerden bei der Datenschutzbehörde geltend gemacht werden könnten. Durch das stetige Einbringen von neuen Beschwerden, deren Gesamtzahl beträchtlich sei, binde der Mitbeteiligte „die knappen Personalressourcen der Datenschutzbehörde seit mittlerweile eineinhalb Jahren“ gegenüber anderen BeschwerdeführerInnen, die weniger Beschwerden einbringen würden, „zu seinem Vorteil und in unverhältnismäßig großem Ausmaß“. Eine nach Art. 57 Abs. 4 DS-GVO immanente „Grundschutzbedürftigkeit“ sei „nicht (mehr) anzunehmen“.
Der mit dem Fall befasste Verwaltungsgerichtshof möchte nun die eingangs dargestellten Fragen durch den EuGH geklärt haben.
2.5 AG Passau: Wieder Klage gegen Facebook wegen Messengerdienst
Wieder ein Verfahren mit Beteiligung von Facebook und wieder auf der Beklagtenseite. Diesmal wird Facebook vorgeworfen, dass es bei dem Betrieb seines Messengerdienstes u.a. das Fernmeldegeheimnis nicht einhalte. Zusammen mit einem Facebooknutzer wird die Klage durch die Gesellschaft für Freiheitsrechte betrieben. Ein Vorwurf in der Klageschrift ist, dass Facebook das Fernmeldegeheimnis nicht einhalte (Seite 37). Natürlich werden auch Verstöße gegen die DS-GVO geltend gemacht. Warten wir mal ab, was dabei herauskommt.
2.6 BVwG Österreich: Zur Verhältnismäßigkeit der Dokumentation von Lärmursachen
Sollen Nachweise für Lärmbelästigungen angefertigt werden, sind dazu auch die Vorgaben der Datenminimierung zu beachten, insb. wenn dabei Minderjährige betroffen sind. Das BVwG Österreich sieht die Anwendbarkeit der DS-GVO gegeben, als ein Mitbewohner Kinder aufnahm, denen er lärmendes Verhalten vorwarf. Dabei berücksichtigt das BVwG bei der Bewertung das Alter einer der betroffenen Personen. Eine Besprechung der Entscheidung findet sich hier.
2.7 LG Karlsruhe: Maßstab bei Werbung mit Klimaneutralität
Das LG Karlsruhe stellt in seinem Urteil fest, dass bei der Verwendung der Begriffe „klimaneutral“ und „umweltneutral“ wesentliche Informationen gemäß § 5a Abs. 1 UWG zu erteilen sind, damit Verbraucher oder sonstige Marktteilnehmer sich ein konkretes Bild davon machen können, damit diese Werbung nicht als unlauter eingestuft wird. Eine Besprechung des Urteils findet sich hier.
2.8 LG Kassel: Bestätigungsmail für Double-Opt-in keine Werbung
Boah, ist das fies, die Verunsicherung im Email-Newslettergestalten zu schüren und dreist auf Kostenerstattung hoffen! Doch lesen Sie selbst: Das Double-Opt-In-Verfahren bei der Newsletteranforderung gilt als Stand der Technik, um abzusichern, dass die Verfügungsberechtigten über ein E-Mailpostfach auch mit der Zusendung einverstanden sind. Solange damit keine weiteren Hinweise als auf Absender und die Widerspruchs-/Widerrufsmöglichkeit übermittelt werden, gelte diese Zusendung auch nicht als Werbung. Dies sah ein Kläger anders, der gegen den Newsletterversender ein Klageverfahren anstrengte und dabei auch Kostenerstattung einforderte. Zunächst das AG Kassel, wie nun wohl auch das LG Kassel, lehnten die Klage jedoch ab. Das AG Kassel ging dabei noch von einer missbräuchlichen Anwendung aus, weil der Beklagtenvertreter über Internetrecherchen darlegte, dass der Kläger eine Vielzahl von Abmahnungen bei vergleichbaren Fällen anstrengte. Das LG Kassel lehnte nun am 13.07.2023 unter dem Az. 1 S 92/22 ebenfalls die Klage ab, allerdings mit der Begründung, dass eine Bestätigungsmail keine Werbung darstelle.
2.9 Irland: Klage gegen DPC hinsichtlich Real Time Bidding
In Irland findet derzeit ein Klageverfahren gegen die dortige zuständige Datenschutzaufsicht statt, der vorgeworfen wird gegen das Real Time Bidding (RTB) von Google keine Untersuchungsmaßnahmen einzuleiten. Ein Bericht dazu findet sich auf der Webseite der Klägerseite.
2.10 BVwG Österreich: Gastkonto, Vertragserfüllung und Einwilligung
Das Bundesverwaltungsgericht in Österreich hatte zu entscheiden, ob eine Verknüpfung der anfallenden Daten bei einem Bestellkonto mit der Verarbeitung der Daten zu Werbezwecken durch die Rechtsgrundlage Vertragserfüllung gedeckt sei oder ob eine unzulässige Verknüpfung vorläge. Das BVwG verneint dies. Da den Kunden parallel auch ein Gastkonto ohne diese Verarbeitungsgrundlage angeboten wurde, subsumiert es die Regelung zur Verarbeitung der Bestelldaten im registrierten Konto unter eine Einwilligung. Es käme lediglich auf den Vergleich „Ware gegen Geld“ an, nicht auf den Aufwand zur Bestellung. Eine Besprechung des Urteils findet sich hier.
2.11 LAG Baden-Württemberg: Privatnutzung dienstlicher Kommunikationsmittel
Es kann nicht oft genug gesagt werden: Die Gestattung der Privatnutzung dienstlicher Kommunikationsmittel kann zu erheblichen Problemen führen, weil dadurch Rechte des Arbeitgebers durch Persönlichkeitsrechte der beschäftigten eingeschränkt werden können. So stellt das Landesarbeitsgericht Baden-Württemberg in einem Urteil u.a. fest, dass bei erlaubter Privatnutzung eines dienstlichen E-Mail-Accounts eine verdachtsunabhängige Überprüfung durch den Arbeitgeber in aller Regel nicht verdeckt erfolgen darf. Vielmehr müsse dem Arbeitnehmer angekündigt werden, dass und aus welchem Grund eine Verarbeitung von E-Mails stattfinden soll. Es müsse ihm die Gelegenheit gegeben werden, private Nachrichten in einem gesonderten Ordner zu speichern, auf den kein Zugriff erfolgt. Zudem stellt es fest, dass, wenn einem Arbeitnehmer ein Smartphone als umfassendes Kommunikations- und Organisationsgerät überlassen wird und wenn im Hinblick auf bestimmte Kommunikationsformen (WhatsApp; SMS; Telefon) ausdrücklich eine einvernehmliche Mischnutzung erfolgt, der Arbeitnehmer annehmen dürfe, dass sich die Erlaubnis auch auf andere Kommunikationsformen (E-Mail) bezieht.
2.12 OLG Karlsruhe: Zahlungsverpflichtung bei gefälschter Rechnung
Hier ein Urteil aus der zivilrechtlichen Ecke mit IT-sicherheitsrechtlich relevantem Sachverhalt. Kann ein Schuldner schuldbefreiend zahlen, wenn die Rechnung durch kriminelle Machenschaften verfälscht wurde? Hier bekam der Schuldner eine erneute Rechnung mit geänderter Kontonummer, auf die er dann zahlte. Dass die Änderungen durch Kriminelle erfolgten, hatte er nicht bemerkt, sich auch nicht rückversichert. Da das Ganze im B2B-Umfeld erfolgte und die Daten keinen Personenbezug aufwiesen, waren Vorgaben der DS-GVO nicht heranzuziehen. Das Gericht stellte dazu fest, dass das Geld nicht dem Gläubiger zufloss und der Schuldner den Betrag noch offen hatte. Es setzt sich auch ausführlich mit der erhobenen Schadenersatzforderung des Schuldners – der Absender hätte die E-Mail nicht ausreichend abgesichert – auseinander. Selbst wenn dies bestätigt würde, müsste sich der Schuldner ein Mitverschulden anrechnen lassen, da die gefälschte Rechnung sprachliche Fehler und gestalterische Abweichungen aufwies, die ein Nachfragen beim Gläubiger erforderlich gemacht hätten. Bevor Missverständnisse aufkommen: Es ging um den Kaufpreis eines PKW im B2B-Umfeld und um die Schutzmaßnahmen zu diesen Informationen. Einen Bericht dazu lesen Sie hier.
2.13 OLG Brandenburg: Löschfrist bei Wirtschaftsauskunfteien nach CoC
Nach diesem Bericht einer Kanzlei berücksichtigte das OLG Brandenburg in einem Verfahren um die Löschfristen die Regelungen aus dem Code of Conduct der Wirtschaftsauskunfteien.
Dezenter Hinweis: Der Generalanwalt am EuGH vertritt in seinen Schlussanträgen (C 26/22 und C 64/22) eine andere Ansicht zu dieser Frage. Das Urteil des EuGH steht noch aus.
2.14 BFH: Gerichtsverhandlungen und Video
Wer behauptet, dass Datenminimierung nicht immer alle glücklich macht, findet hier ein weiteres Beispiel. Während aus Datenschutzgründen immer nur darauf verweisen wird, bei Bild- und Videoaufnahmen doch nur die maßgeblichen Personen abzubilden, stellt der Bundesfinanzhof fest, dass ein Revisionsgrund vorliegt, wenn bei einer mittels Videoübertragung durchgeführten Gerichtsverhandlung nicht ständig alle Richter im Blick seien, um feststellen zu können, dass die beteiligten Richter in der Lage seien der Verhandlung in ihren wesentlichen Abschnitten zu folgen.
Dies erfordere, dass alle zur Entscheidung berufenen Richter während der „Videokonferenz“ für die lediglich „zugeschalteten“ Beteiligten sichtbar sind. Daran fehle es jedenfalls dann, wenn für den überwiegenden Zeitraum der mündlichen Verhandlung nur der Vorsitzende Richter des Senats im Bild zu sehen sei.
Auch aus Datenschutzgründen könnte das m.E.n. gut vertreten werden, dann sind eben für diese Aufnahmen alle Richter maßgeblich (auch wenn sie mal nichts sagen oder fragen). Eine Besprechung des Urteils mit Blick auf die Auswirkungen von Gerichtsverhandlungen, die nach § 128a ZPO per Video durchgeführt werden lesen Sie hier.
2.15 EuGH-Vorschau: Urteil zur Verwendbarkeit beschlagnahmter Daten
In welchem Umfang dürfen auf Vorrat gespeicherte Kommunikationsdaten, die beschlagnahmt wurden, für die Ahndung anderer Vergehen, die dadurch erst bekannt werden, verwendet werden? Darum geht es etwas salopp formuliert im Verfahren C-162/22 (Lietuvos Respublikos generalinė prokuratūra). Der Generalwalt hat sich dazu bereits geäußert und scheint nicht begeistert zu sein, dass auf Vorrat gespeicherte Daten zu Ermittlungsverfahren bezüglich Verstöße von geringerer Schwere verwendet werden dürfen als diejenigen, deren Untersuchung den Zugang zu den Daten seinerzeit rechtfertigen konnte. Der EuGH will am 7. September 2023 sein Urteil verkünden.
2.16 Besprechung EuGH C-340/21 zu Anforderungen an Schutzmaßnahmen
Der Generalanwalt am EuGH hat im Verfahren C-340/21 (Natsionalna agentsia za prihodite) in seinen Schlussanträgen Aussagen zu den technischen und organisatorischen Anforderungen getroffen (Wir hatten hier schon berichtet). Diese Aussagen werden hier besprochen und analysiert.
3 Gesetzgebung
3.1 „AI Sandboxes“
Der vorgeschlagene AI Act der EU definiert laut Rat der Europäischen Union den Begriff „KI-Sandkasten“ als einen konkreten, von einer zuständigen nationalen Behörde geschaffenen Rahmen, der Anbietern oder potenziellen Anbietern von KI-Systemen die Möglichkeit bietet ein innovatives KI-System nach einem bestimmten Plan für eine begrenzte Zeit unter behördlicher Aufsicht zu entwickeln, zu trainieren, zu validieren und zu testen, gegebenenfalls unter realen Bedingungen. Das Europäischen Parlament definiert die „regulatorische KI-Sandbox“ hingegen als eine von einer Behörde eingerichtete kontrollierte Umgebung, die die sichere Entwicklung, Erprobung und Validierung innovativer KI-Systeme für eine begrenzte Zeit vor deren Inverkehrbringen oder Inbetriebnahme gemäß einem spezifischen Plan unter behördlicher Aufsicht erleichtert (vgl. Entwürfe AI Act, Art. 53 und ErwGr. 71 ff). Die Vorschläge der OECD dazu finden sich hier.
3.2 Digital Markets Act: Benennung der Gatekeeper
Die EU-Kommission hat nun sieben Unternehmen als „Gatekeeper“ definiert. Davon betroffen sind die Google-Mutter Alphabet, Amazon, Apple, ByteDance (TikTok), Meta (Facebook), Microsoft und Samsung. Diese unterliegen daher nun besonderen Bedingungen.
Für die Einstufung als Gatekeeper gelten objektive Kriterien: mindestens 7,5 Milliarden Euro Umsatz in den vergangenen drei Jahren innerhalb der EU oder alternativ eine Marktkapitalisierung von 75 Milliarden Euro sowie mindestens 45 Millionen monatlich aktive Endnutzer oder 10.000 aktive Geschäftskunden. Außerdem muss ein Unternehmen in mindestens drei EU-Staaten aktiv sein und seine Produkte anbieten. Unternehmen, welche die entsprechenden Kriterien erfüllen, mussten von sich aus Meldung bei der EU machen.
Bis zum 6. September 2023 will die EU die Meldungen überprüfen und dann offiziell feststellen, welche Unternehmen als Gatekeeper für bestimmte Plattformdienste eingestuft werden. Ab diesem Zeitpunkt haben die Unternehmen dann sechs Monate Zeit die Bedingungen des Digital Markets Act zu erfüllen, wie z.B. dass sie die Nutzer an das eigene Ökosystem binden können, dass sie nicht mehr entscheiden können, welche Apps auf ihren Geräten vorinstalliert sein müssen und welcher App-Store genutzt werden müsse; sie werden nicht mehr in der Lage sein sich selbst zu bevorzugen, d. h. den Vorteil des Gatekeepers auszunutzen, indem sie ihre eigenen Produkte und Dienste vorteilhafter behandeln, ihre Messaging-Apps müssen mit anderen interagieren, etc.
Die Strafen bei Verstößen können massiv sein: Strafzahlungen von bis zu 10 % des gesamten Jahresumsatzes könnten verhängt werden, im Wiederholungsfall sogar 20 %. Zudem kann die EU zusätzliche Auflagen machen oder gar die Aufsplittung von Unternehmen anordnen.
3.3 Frankreich: Überwachungsmöglichkeit der Smartphones erweitert
Vielleicht hat sich die ganze Aufregung um den Datentransfer in die USA auch erübrigt, wenn Regelungen innerhalb Europas ein Datenschutzniveau vorgeben, dass die Unterschiede nivelliert. Zumindest könnte man beim Lesen dieses Artikels den Eindruck gewinnen, wenn in Frankreich die Zugriffsmöglichkeiten der Polizei auf Smartphones erweitert werden, um dort Kameras und Mikrophone zu aktivieren.
Franks Nachtrag: In den USA nimmt man das zur Kenntnis…
3.4 EU: Regelungen zum Einsatz von Algorithmen am Arbeitsplatz?
Kommt da noch was? Wie hier berichtet wird, bereitet die Kommission eine Gesetzesinitiative vor, die den Einsatz von Algorithmen für die Verwaltung, Überwachung und Einstellung von Arbeitnehmern regeln soll. Anfang dieses Jahres habe die Generaldirektion Beschäftigung, Soziales und Integration eine externe Studie in Auftrag gegeben, „die als Grundlage für künftige Forschungsarbeiten und mögliche künftige politische Entwicklungen dienen wird“, heißt es auf der Website der beauftragten Beratungsfirma. Die EU-Richtlinie über Plattformarbeitskräfte enthält bereits ein ganzes Kapitel, das Transparenz bei der Entscheidungsfindung, eine menschliche Überprüfung und die Möglichkeit für Arbeitnehmer, die verwendeten Kriterien anzufechten, vorschreibt. Nach Ansicht des Kommissars sollten diese Bestimmungen zum algorithmischen Management nicht auf Plattformarbeiter beschränkt sein, sondern auch für alle anderen Beschäftigungsbereiche gelten.
Mal sehen, ob parallel neben dem AI Act aus Brüssel demnächst oder später noch etwas kommt.
3.5 EU: Vorschlag zu Datenzugang für Europäische Statistiken
Kaum ist der Data Act beschlossen und die kritischsten Punkte korrigiert, kommt der nächste Vorschlag der EU-Kommission zum Datenzugang. Die EU-Kommission hat einen Verordnungsvorschlag zur Änderung der Verordnung über europäische Statistiken veröffentlicht. Unter anderen sieht der Verordnungsentwurf eine Verpflichtung privater Dateninhaber zur Bereitstellung von Daten für die Entwicklung und Erstellung europäischer Statistiken vor.
3.6 EU: Regulatorik zu digitalen Themen (Wow!)
Wer kennt sich da noch aus? Nicht mehr viele – umso dankbarer dürfen diese dann sein, wenn solche Übersichten veröffentlicht werden, in denen die aktuellen Gesetzgebungsverfahren auf EU-Ebene geclustert nach Zielrichtung, Hinterlegung des Stands im Gesetzgebungsverfahren und mit Verlinkung auf die Originalquellen frei verfügbar ist. Überdies werden dabei auch die jeweiligen Aufsichtsbehörden und Durchsetzungsvorgaben dargestellt.
3.7 Umsetzung Digitale-Dienste-Gesetz – Bye bye TTDSG, welcome TDDDG?
Man könnte es als Mittelfranke fast schon persönlich nehmen. Die binnendeutschen Konsonantenschwächung von stimmlosen (harten) aspirierten Konsonanten wurde hier fast vollständig durchgeführt, so dass t – in der Wahrnehmung standarddeutscher Sprecher – zu d wird, k zu g und p zu b.
Jetzt klingt bei mir als das bisherige TTDSG schon ziemlich gleich – nun überrascht (und provoziert) der bundesdeutsche Gesetzgeber mit einem TDDDG. Das steht für Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Das findet man hier etwas versteckt unter Art. 8 im Rahmen der Umsetzung des EU-Gesetzes zu Digitalen Diensten (2022/2065). Das Wort Telemedien wird durch „Digitale Dienste“ ersetzt.
Laut gut unterrichteten Kreisen berät die Bundesregierung noch über Details der Umsetzung in Deutschland, Ressortabstimmung und Verbändebeteiligung stehen auch noch aus.
3.8 Cyber Resiliance Act (CRA): Einigung im Rat
Nachdem sich der Rat auf eine Fassung verständigt hat, kann der Trilog beginnen. Informationen zum CRA finden Sie auch hier.
3.9 EU-Verbandsklagerichtlinie anwendbar
Seit dem 25. Juni 2023 ist die EU-Verbandsklagerichtlinie in allen EU-Staaten und damit auch in Deutschland anwendbar.
Den Kern der Reform bildet das „Verbraucherrechtedurchsetzungsgesetz“ (VDuG). Dieses eröffnet in Umsetzung der „EU-Richtlinie 2020/1828 über Verbandsklagen zum Schutz der kollektiven Interessen der Verbraucher“ die Möglichkeit der Bündelung im Wesentlichen gleichgelagerter Rechte einer Vielzahl von Verbrauchern in einer einheitlichen Klage. Obwohl gemäß EU-Richtlinie die Umsetzungsfrist am 25.06.2023 endete, hat aufgrund bestehender parlamentarischer Differenzen in einzelnen Punkten der Bundestag erst am 07.07.2023 das Gesetz beschlossen. In Kraft ist es damit entgegen der EU-Vorgabe noch nicht. Die neue Abhilfeklage ist als Verbandsklage ausgelegt. Klageberechtigt sind ähnlich wie bei der Musterfeststellungsklage nur bestimmte zugelassene Verbraucherschutzverbände, u. a. aus den Bereichen Umweltschutz, Verbraucherschutz, Datenschutz und Gesundheitsschutz, § 1 VDuG. Weiteres dazu finden Sie hier.
3.10 EU: Neuer Vorstoß zur Vorratsdatenspeicherung
Irgendwie ist es wie beim Hasen und beim Igel: Immer wieder kommen Gesetzgeber auf nationaler oder europäischer Ebene auf die Idee Kommunikationsdaten auf Vorrat speichern zu lassen. Man könne diese ja mal einsetzen, um ganz schlimme Verbrechen aufzuklären (Hase) und immer wieder kommen dann Gerichte (Igel) dazu dem jeweiligen Gesetzgeber die (verfassungs-) rechtlichen Rahmenbedingungen zu erklären. Wie hier dazu berichtet wird, startet die spanische Ratspräsidentschaft nun einen erneuten Versuch. Dessen Diskussionspapier dazu findet sich hier.
Auch bei der sogenannten Chatkontrolle, bei der Zugriffsmöglichkeiten für Ermittlungsbehörden bei verschlüsselter Kommunikation ermöglicht werden sollen, gibt es Bewegung. Nun soll über eine Ergänzung in einem Erwägungsgrund Ausnahmen für Messaging- und Kommunikationssysteme von Behörden und Wirtschaftsunternehmen eingeführt werden – für die restlichen von der Chatkontrolle Betroffenen, wie z.B. auch andere Berufsgeheimnisträger, aber nicht.
Franks Nachtrag: Die Absicht wird klar, findet dieser Kommentator…
3.11 HomeOffice im Ausland: Workation
Beim „HomeOffice“ gibt es nicht nur datenschutzrechtliche Vorgaben zu beachten. Datenschutzrechtliche Themen sind dabei in der Regel organisatorische und technische Schutzmaßnahmen. Spannender sind oftmals sozialversicherungsrechtliche und steuerrechtliche Fragestellungen. Hier finden Sie eine Information zu Änderungen ab dem 1. Juli 2023, die für viele eine Erleichterung darstellen dürften.
3.12 New York: Audits für automatisierte Beschäftigungsentscheidungstools
Wir hatten schon informiert, dass in New York Beschäftigungsentscheidungstools (Automated Employment Decision Tools, AEDT) einer jährlichen Befangenheitsprüfung durch einen unabhängigen Wirtschaftsprüfer unterzogen werden müssen und eine Zusammenfassung dieser Ergebnisse veröffentlicht werden muss. Das Gesetz trat nun am 5. Juli 2023 in Kraft. Arbeitgeber müssen ihre Nutzung von AEDT gründlich analysieren, um das neue Gesetz einzuhalten. Dazu müssen sie wissen, wo Künstliche Intelligenz eingebettet ist und wie sie im Unternehmen eingesetzt wird. Das Bias-Audit muss von einem unabhängigen Prüfer durchgeführt werden, nicht vom Anbieter des Tools, bevor das AEDT verwendet werden kann. Eine Darstellung des Geltungsbereiches findet sich hier.
3.13 Verbändeanhörung zur geplanten Änderung des BDSG
Das BDSG soll geändert werden. Eigentlich werden eher Formalien glattgezogen, ein Urteil zur Videoüberwachung des BVerwG soll berücksichtigt werden, die DSK soll legitimiert werden und es wird versucht Zuständigkeitsregelungen bei mehreren zuständigen Aufsichtsbehörden zu ermöglichen. Zu Details informiert dieser Bericht. Bis Anfang September können Rückmeldungen an das BMI gegeben werden.
3.14 AI Act: Herausforderungen im Trilog
Was sind die herausfordernden Themen im Trilog zum AI Act? Damit befasst sich dieser Beitrag. Es finden sich aber auch Betrachtungen zum AI Act im Rahmen des Einsatzes von Open Source Software.
3.15 Umsetzung der Anforderungen von Content-Moderatoren
Content-Moderatoren müssen sich Seiten ansehen, die andere nicht sehen sollen. Folterungen, Vergewaltigungen, Erschießungen, Enthauptungen. Videos und Fotos dokumentieren im Netz, wozu Menschen fähig sind. Aber auch Hassbotschaften, Beleidigungen, rassistische Darstellungen und Äußerungen sollten im Idealfall gefiltert werden können, bevor andere, insbesondere Jugendliche und Kinder darauf Zugriff haben. Dies Aufgabe übernehmen oft sog. Content-Moderatoren. Oft auch in Ländern mit bewusst niedrigem Lohnkostenfaktor. Psychologische Unterstützung wird dort dabei aber nicht angeboten. Nach diesem Bericht soll für diese Aufgabe auch ChatGPT eingesetzt werden können.
3.16 Frankreich: Kinderbilder im Netz
Dass Kinderbilder im Netz selten die beste Idee sind, hat sich nun endlich etwas herumgesprochen. Setzt man hierzulande noch auf die Vernunft der älteren Generation, versucht Frankreich dazu nun eine gesetzliche Regelung. So können Jugendliche erst ab 15 Jahren ein Konto in einem sozialen Netz anlegen. Mehr dazu hier.
3.17 Arbeiten im Ausland
Datenschutzrechtlich sind zunächst nur die Sicherheitsmaßnahmen relevant und je nach Ausgestaltung der Tätigkeit und dem jeweiligen Land auch Drittstaatenthematiken. Es gibt aber noch mehr rechtliche Klippen zu umschiffen, will ein Unternehmen dabei alle Risiken minimieren. Welche das sind, lesen Sie hier.
3.18 USA: Zugriff auf biometrische Daten von Europäern
Wer bislang in die USA einreisen wollte, musste es akzeptieren, dass im Rahmen des Einreiseprozessen biometrische Daten erhoben werden. Nach diesem Bericht würden die US-Behörden auch gerne auf in europäischen Systemen gespeicherten biometrischen Daten zugreifen, auch wenn die Europäer nicht einreisen wollen. Parallel dazu beginnt in den USA eine Diskussion über die Zugriffsrechte auf Daten durch das FBI, interessant gerade auch vor dem Hintergrund der Anforderungen aus Schrems II.
3.19 NIST: Cybersecurity Framework 2.0 (Draft)
In den USA hat das NIST den Entwurf zum Cybersecurity Framework 2.0 veröffentlicht. Es bittet um Rückmeldung, ob dieser Revisionsentwurf die aktuellen und voraussichtlichen zukünftigen Herausforderungen der Cybersicherheit für Unternehmen adressiert, mit führenden Praktiken und Anleitungsressourcen übereinstimmt und die bisher eingegangenen Kommentare berücksichtigt wurden. Darüber hinaus bittet das NIST um Ideen, wie die Änderungen vom CSF 1.1 zum CSF 2.0 am besten dargestellt werden können, um den Übergang zu unterstützen. Auch sind konkrete Verbesserungsvorschläge für den Entwurf, einschließlich Überarbeitungen des Textes und des Kerns willkommen. Die Rückmeldungen können bis 4. November 2023 eingereiht werden.
4 Künstliche Intelligenz und Ethik
4.1 Google: „Unlearn“ durch KI?
Deep Learning hat in jüngster Zeit enorme Fortschritte in einer Vielzahl von Anwendungen ermöglicht, die von der realistischen Bilderzeugung bis hin zu Sprachmodellen reichen, die menschenähnliche Gespräche führen können. Google gibt an gemäß eigenen Grundsätzen KI-Technologien verantwortungsbewusst zu entwickeln. So sollen potenzielle Risiken wie die Verbreitung und Verstärkung unlauterer Vorurteile gemindert werden.
Die vollständige Löschung des Einflusses der zu löschenden Daten sei dabei eine Herausforderung, da sie nicht nur aus den Datenbanken gelöscht werden müssen, in denen sie gespeichert sind, sondern auch der Einfluss dieser Daten auf andere Artefakte, wie z. B. trainierte maschinelle Lernmodelle, gelöscht werden muss. Darüber hinaus hätten neuere Forschungsarbeiten gezeigt, dass es in einigen Fällen möglich ist mit hoher Genauigkeit zu erkennen, ob ein Beispiel zum Trainieren eines maschinellen Lernmodells verwendet wurde, indem man Angriffe auf die Zugehörigkeitsinferenz einsetzt. Dies kann (selbst bei Google) Bedenken hinsichtlich des Datenschutzes aufwerfen, denn selbst wenn die Daten einer Person aus einer Datenbank gelöscht werden, kann immer noch festgestellt werden, ob die Daten dieser Person zum Trainieren eines Modells verwendet wurden. Mehr dazu, wie Google damit umgehen will, ist hier zu lesen.
4.2 Klagen und Fragen gegen KI-Unternehmen
Wie funktioniert KI im Large Language Model? Indem mit vielen Daten trainiert wird. Wissen diejenigen, die die Daten bereitgestellt haben, davon? Bisher wohl nicht. Freut sie das? Nicht alle – zumindest nicht diejenigen, die in den USA nun Anbieter wie OpenAI und Meta verklagen, wie hier berichtet wird.
Kann ChatGPT Schaden anrichten und wer haftet dafür? Nein, nicht das scheinbar so innovationsfeindliche Europa, sondern die US-amerikanische FTC (Federal Trade Commission) stellt an OpenAI entsprechende Fragen, wie hier nachzulesen ist. Da ist es schon erstrebenswerter die KI mit den eigenen Daten agieren zu lassen. Und wann verstößt Künstliche Intelligenz gegen das Urheberrecht? Und was wird Künstlerinnen und Künstlern geraten? Das sind Fragen, die dieser Podcast aus der Schweiz in ca. 19 Min. anspricht.
Doch auch bei uns wird die Thematik im Blickwinkel datenschutzrechtlicher Anforderungen diskutiert.
Franks Nachtrag: Apropos ChatGPT … (Haben Sie das nicht bereits vermisst?)
4.3 Veränderungen durch KI
Welche Folgen hat der Einsatz von Generativer KI für das Netz, wenn einfacher Content künftig durch KI bereitgestellt werden kann? Die Änderungen werden u.a. hier diskutiert.
4.4 CAI: Working Draft of the Framework Convention on AI
Das Committee on Artificial Intelligence (CAI) hat seinen Entwurf für ein (Rahmen-)Übereinkommen über künstliche Intelligenz, Menschenrechte, Demokratie und Rechtsstaatlichkeit veröffentlicht. Er soll als Grundlage für die weiteren Verhandlungen über das Rahmenübereinkommen dienen und Bestimmungen enthalten, denen bei der ersten Lesung des überarbeiteten Null-Entwurfs vorläufig zugestimmt wurde, sowie Vorschläge, die vom Vorsitzenden mit Unterstützung des Sekretariats ausgearbeitet wurden. Die Veröffentlichung soll dem endgültigen Ergebnis der Verhandlungen im CAI nicht vorgreifen.
4.5 Risiken durch KI
Der vom Europäischen Parlament verabschiedete Vorschlag für ein Gesetz über künstliche Intelligenz definiert „Risiko“ als die Kombination aus der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens. Nach dem vorgeschlagenen EU-AI-Gesetz bedeutet „erhebliches Risiko“ „ein Risiko, das aufgrund der Kombination von Schwere, Intensität, Eintrittswahrscheinlichkeit und Dauer seiner Auswirkungen sowie seiner Fähigkeit, eine Einzelperson, eine Vielzahl von Personen oder eine bestimmte Personengruppe zu beeinträchtigen, erheblich ist“. „Betroffene Person“ bedeutet „jede natürliche Person oder Personengruppe, die einem KI-System unterliegt oder anderweitig von ihm betroffen ist“. Hilft erstmal nicht viel weiter, oder?
Hier sind zwei Berichte über „Schäden“ bei KI, zunächst in einer Veröffentlichung des Norwegischer Verbraucherrats („Ghost in the Machine“) und dann durch das Electronic Privacy Information Center („Generating Harms“).
4.6 HinSchG, Steuerberater und LLM
Wie bewertet der Chatbot Claude von Anthropic das Hinweisgeberschutzgesetz und die Nicht-Berücksichtigung von Steuerberatern bei den Ausnahmen? Was die natürliche Intelligenz im Bundestag und Bundesrat nicht vermochte scheint in diesem Versuch, der auf LinkedIn veröffentlicht wurde, zu gelingen.
4.7 AI und Angriffe
Ich könnte es jede Woche bringen: Die Risiken, Opfer eines Cyberangriffes zu werden, steigen mit der Verwendung von KI sehr stark an. Selbst unerfahrenen Cyberkriminellen ermöglicht es nach dieser Meldung der Einsatz von bspw. ChatGPT schnell und in großem Umfang Angriffe zu starten ohne selbst über die notwendigen technischen Voraussetzungen dafür zu verfügen.
Franks Nachtrag: Nach WormGPT kommt … FraudGPT.
4.8 Datenschutz-Informationspflichten beim Einsatz von KI
An welche datenschutzrechtlichen Informationspflichten muss beim Einsatz von KI gedacht werden und wie können diese umgesetzt werden? Damit befasst sich dieser Beitrag, der auch Empfehlungen zur Umsetzung bereithält.
4.9 Die Zukunft des Datenschutzes – Ist die DS-GVO bereit für KI?
Die Podiumsdiskussion des LfDI Baden-Württemberg zu diesem Thema mit Experten aus Wissenschaft, Wirtschaft und Politik ist nun auch als Aufzeichnung beim LfDI Baden-Württemberg (Dauer ca. 1:45 Std.) verfügbar.
4.10 KI und Kreativität
Wie passen KI und Kreativität zusammen und ist das dann noch Kunst? So lassen sich die Themen in diesem Podcast (ca. 42 Min.) kurz zusammenfassen.
4.11 Beitrag zu Urheberrecht beim Training
In diesem Beitrag des Schweizer Fernsehens wird in 4:41 Min. die Thematik der urheberrechtlichen Problematik beim Trainieren und Kreieren von neuen Ergebnissen dargestellt.
4.12 USA: Freiwillige Verpflichtung zur KI
Unter „Moderation“ des Weißen Hauses verständigten sich US-amerikanische Unternehmen im Bereich der künstlichen Intelligenz auf eine freiwillige Verpflichtung, um von der KI ausgehende Risiken zu bewältigen. Dies wird seitens der US-Regierung als entscheidender Schritt zur Entwicklung verantwortungsvoller KI betrachtet, insbesondere hinsichtlich Sicherheit und Vertrauen. Eingeladen ins Weiße Haus wurden daher die Unternehmen Amazon, Anthropic, Google, Inflection, Meta, Microsoft und OpenAI, um die enormen Chancen und Risiken der Künstlichen Intelligenz zu nutzen und die Rechte und Sicherheit der Amerikaner zu schützen. Und bei aller Freude über das lobenswerte Vorhaben zuckt der / die erfahrene Leser:in bei der Beschränkung der Schutzziele auf Amerikaner. Das hat schon mal zu Entscheidungen des EuGH geführt, die sich nicht markterschließend auf US-amerikanische Anbieter auswirkten. Die freiwillige Selbstverpflichtung unterstreicht drei Grundsätze, die demnach für die Zukunft der KI von grundlegender Bedeutung sein müssen: Sicherheit, Schutz und Vertrauen.
Franks Nachtrag: Hier ist eine weitere Quelle.
4.13 bitkom: Große Sprachmodelle (LLM)
Der bitkom veröffentlicht eine Übersicht großer Sprachmodelle (Large Language Models). Damit soll eine fundierte Diskussion über die Konsequenzen dieser technologischen Entwicklung ermöglicht werden. Die Funktionsweise sowie zentrale Aspekte im Kontext der Modelle werden daher beleuchtet und allgemeine Anwendungsfälle skizziert. Dazu werden konkrete Use Cases beispielhaft dargestellt und Möglichkeiten diskutiert, wie Unternehmen von dieser technischen Entwicklung profitieren können. Auch fehlen nicht Empfehlungen für die Entwicklung und Nutzung der Modelle.
4.14 KI und Data Protection
Wer sich dafür interessiert, wie sich Künstliche Intelligenz auch auf Backup und Recovery auswirken kann, sollte diesen Beitrag lesen.
4.15 Vor- und Nachteile des Einsatzes von ChatGPT
Hier ist mit der Angabe von Beispielen mit ChatGPT nachzulesen, dass ein Einsatz von Künstlicher Intelligenz hilfreich sein könne, der Output aber stets kritisch reflektiert werden müsse.
4.16 ChatGPT 4.0 – Technical Report von OpenAI
Lesen Sie nicht gleich den nächsten Artikel – in diesem „technischen Report“ von Open AI finden sich Beispiele der Leistungssteigerungen von 3.5 auf 4.0 ebenso wie Verbesserungen hinsichtlich der Vermeidung von rassistischen und diskriminierenden Ergebnissen. Auch werden Erkenntnisse und Abhilfemaßnahmen zu Sicherheitsproblemen geschildert, die sich aus GPT-4 ergeben.
4.17 ChatGPT und die Folgen
Wie funktionieren Sprachmodelle, speziell ChatGPT, welche Herausforderungen ergeben sich daraus für die Gesellschaft und welche Regulatorien sind erforderlich – dazu unterhalten sich in diesem Podcast (ca. 52 Min) kompetent und souverän zwei Expertinnen.
4.18 KI und Medizin
In diesem kurzen Fernsehbericht (3:50 Min.) geht es um die Möglichkeiten beim Einsatz von KI (maschinelles Lernen) am Beispiel von Hirndruckmessungen, aber es wird auch gut dargestellt, wie darauf geachtet werden muss, dass über die Auswahl der Trainingsdaten Verzerrungen in den Ergebnissen vermieden werden können.
4.19 „Fair Use“ beim Einsatz von KI
Generative KI behauptet neue Sprache und Bilder zu erzeugen, aber wenn diese Ideen auf urheberrechtlich geschütztem Material beruhen, wer profitiert dann davon? Ein neues Papier der Stanford University sucht nach Antworten.
4.20 KI und Tastaturgeräusche
Es war nur eine Frage der Zeit: Jetzt können über KI auch Tastaturgeräusche nachvollzogen werden. Mehr dazu in diesem Bericht. Dann klassifiziere ich meine Tippfehler künftig als Schutzmaßnahme.
4.21 AI Governance
Wie erfolgt eigentlich die Governance zu KI? Mit der regulatorischen Seite befasst sich dieser Beitrag. Mit der unternehmensinternen befassen sich zunehmend auch Beratungsunternehmen wie sich an dieser und jener Veröffentlichung zeigt.
4.22 KI und LLM in der Rechtsprechung
Zu diesem Thema finden Sie einen fachkundigen Beitrag einer Richterin und eines Wissenschaftlers. Und natürlich ist hier jeder verlinkte Beitrag fachkundig.
4.23 AAAS: Decision Tree for Responsible AI
Die American Association for the Advancement of Service (AAAS) hat einen Entscheidungsbaum (decision tree) zum Einsatz ethischer Grundsätze beim Einsatz von KI veröffentlicht<7a>. Eine Aufzeichnung in die Einführung ist dazu auch* verfügbar.
* Franks Anmerkung: Nach einer Registrierung bei einem US-amerikanischen Anbieter von Videokonferenzlösungen…
4.24 KI in der Objekterkennung
Das wäre auch was für das Kapitel der guten Nachrichten. Neue Technologien können nicht nur zu manipulativen Zwecken eingesetzt werden. Maschinelle Objekterkennung kann auch eingesetzt werden, um Geschehnisse nachzuvollziehen und aufzudecken. Wie hier am Beispiel von Kriegsverbrechen beschrieben wird.
4.25 KI bei Autorenbetrug eingesetzt
Warum nutzen Sie nicht einfach die eBooks, die Sie haben, lassen eine KI eine Fortsetzung schreiben und veröffentlichen dies unter dem Namen der Autorin Ihres eBooks bei Onlineplattformen? Wenn diese das dann mitbekommt und sich an die Plattformen wendet, muss die Autorin ja erstmal beweisen, dass die Werke nicht von ihr sind. Kann man sich nicht ausdenken – passiert aber.
4.26 KI und Demokratie
Selbst das BMI konstaniert: Desinformationen werden zunehmend für die Destabilisierung von Gesellschaften und politischen Strukturen eingesetzt. Doch auch allein der Einsatz von KI könne sich negativ auf Demokratien auswirken, wenn dadurch die Marktfähigkeit eines kritischen Journalismus, der in einer pluralen Gesellschaft Basis einer Meinungsbildung ist, beeinträchtigt wird, wie hier ausgeführt wird.
Ob in einer KI mehr Chance oder Gefahr liegt, ist auch der Titel einer vom ifo-Schnelldienst veröffentlichten Zeitschrift, die hier frei zugänglich verfügbar ist.
4.27 Crawler vom GPT-Training ausschließen
Und fast passend dazu: Nach diesem Bericht stellt Open AI einen Code bereit, der den Zugriff durch Crawler für das Training von GPT ausschließen soll.
4.28 KI und Vergessen
KI-Technologien wie ChatGPT greifen auf bekannte Informationen zurück, wenn sie Antworten errechnen. Aus Datenschutzsicht hätten wir gerne, dass bestimmte Informationen nach dem Anspruch des „Rechts auf Vergessenwerden“ nicht mehr erscheinen. Und das macht es nicht einfach, wie hier in dem Beitrag beschrieben wird.
5 Veröffentlichungen
5.1 Marktwirtschaft im Schatten
Wie entwickelt sich der Markt für Zugangsdaten? Wer sich dafür interessiert, sollte diesen Bericht lesen.
5.2 Schriftenreihe mit daten-rechtlichen Themen
Wer sich für aktuelle Themen mit digitalem Bezug interessiert, sollte sich hier umsehen: Im Weg des Gold Open Access werden über das Institut für Recht und Digitalisierung Trier herausgehobene Dissertationen und andere wissenschaftliche Schriften veröffentlicht.
5.3 Datenabzug nach Supply-Chain-Attack
Angriffe über die Infrastruktur oder die Wartungsmöglichkeiten von Dienstleistern scheinen rapide zuzunehmen. In der Schweiz befürchtet man die Offenlegung von streng vertraulichen Informationen, in Deutschland sind Kunden von Direktbanken betroffen. In den USA sind Rechtsanwaltskanzleien hingegen von der MOVEit-Schwachstelle betroffen.
5.4 Street-Photography
Bitte lächeln – oder nicht? Dürfen auf der Straße fremde Personen fotografiert werden? Jetzt mal unabhängig von dem Zweck der Aufnahme und rein unter datenschutzrechtlichen Aspekten betrachtet? Damit befasst sich dieser Beitrag eines Datenrechtsexperten, der selbst gerne (und gut!) fotografiert und sich hier aber ausgiebig der Thematik der sogenannten Haushaltsausnahme widmet.
5.5 TikTok-Abmahnungen im Umlauf
Eigentlich gelten als die größten Risiken bei der Nutzung von TikTok das Suchtpotenzial des Algorithmus, der zum Weitersehen verleitet, das Risiko der Radikalisierung, die Ansprache durch Pädophile, der Einfluss fremder Regierungen und die Datensammelwut des Anbieters. Nun kommt noch ein neuer Schrecken hinzu: Das Abmahnrisiko bei Verwendung nicht genehmigter Musik. Aber wer die obigen Risiken eingeht, dem wird auch das egal sein.
5.6 Microsoft und Sicherheit
Wer kennt sie nicht, die Argumente: „Geh in die Cloud, die kennen sich aus, die sind sicher.“ Stimmt wahrscheinlich auch. Wahrscheinlich. Umso wichtiger, dass jeder selbst seinen Beitrag leistet: Berücksichtigung der Passwortanforderungen des BSI, Mehrfaktorauthentifizierung sind da dann schon das Mindeste.
Franks Nachtrag: Oh weia, wo fange ich da nur an? Am Besten hier…
5.7 Anforderungen bei Software-Überlassung
In dem hier beschriebenen Fall geht es um funktionale Anforderungen und die Aufklärungspflicht des Anbieters, die das Gericht in einem Ausmaß als verletzt ansah, dass es eine fristlose Kündigung des Vertrages über eine Hotelbuchungssoftware durch den Kunden bestätigte. Lässt sich gedanklich sicher auch auf datenschutz- und IT-sicherheitsrechtliche Anforderungen abbilden, wenn vom Auftragnehmer hier besondere Kenntnisse erwartet werden.
5.8 FAQ zum Angemessenheitsbeschluss der EU-Kommission zum EU-US DPF
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) befasst sich über sechs Seiten in acht Fragen mit dem Angemessenheitsbeschluss der EU-Kommission und den SCC.
5.9 Cybersecurity und Zentralisierung der Angebote
In diesem Kommentar werden die Auswirkungen von zentralisierten Angeboten und deren Auswirkungen auf die Sicherheit von IT-Systemen am Beispiel von Microsoft diskutiert. Doch das ist nur der Aufhänger, im Prinzip geht es um das gesamte Tech-Ökosystem.
5.10 App einer Auskunftei zu auskunftsfreudig
Wie eine Sicherheitsforscherin herausfand, war eine App, die zu einem Auskunfteikonzern gehört, zu auskunftsfreudig, indem sie kurzzeitig zu viele Daten preisgab. Das zog dann auch die Aufmerksamkeit von Medien außerhalb des Nerd-Spektrums auf sich.
5.11 Überwachungsgefühl im Datenschutzrecht
Über die Studie hatten wir bereits hier berichtet. Welche Auswirkungen hat Überwachung auf Verhaltensveränderungen und -anpassungen? Daraus werden oft normative Folgen wie Schutzbereichseröffnung und Eingriffstiefe abgeleitet. Nun wurden die Ergebnisse auch in einem öffentlich zugänglichen Zeitschriftenbeitrag zusammengefasst.
5.12 Gesellschaft für Freiheitsrechte
Die Gesellschaft für Freiheitsrechte taucht immer wieder auf, wenn es um Prozesse einzelner Betroffener oder auch um gesellschaftspolitische Grundsatzentscheidungen geht. In diesem Podcast (Dauer ca. 1:08 Std.) geht es um das Konzept der strategischen Klageführung, Hass im Netz, Chatkontrolle und die Arbeit des Vereins.
5.13 Vereinbarung zur Auftragsverarbeitung auf einer Seite?
Es gibt ja schon einige Vertragsmuster, die Unterstützung bei der Umsetzung der Vorgaben aus Art. 28 DS-GVO versprechen. Hier findet sich ein Muster, das versucht dies auf eine Seite zu begrenzen.
Franks Nachtrag: Jetzt fehlt nur noch, dass in dem Muster die Schriftgröße auf 3 Punkte eingestellt ist (ist sie nicht). Denn anders passt ja nie der notwendige Text in die Formularfelder. Also wenn ich solch einen Vertrag zur Prüfung vorgelegt bekomme, kann sich die Gegenseite auf Diskussionen einstellen…
5.14 Weltweite Cookie-Übersicht
Wer mehrere Einheiten betreut, die Webseiten für unterschiedliche Länder verantworten, freut sich sicher über diese Zusammenstellung der rechtlichen Anforderungen für europäische Länder sowie ausgewählte Staaten aus Asien, Nord- und Südamerika.
5.15 Meldepflicht nach § 5 TKG
Mit der letzten Novelle wurden auch die Zuordnungen der sogenannte OTT (Over-The-Top-Dienste) wie E-Mail oder Messengerangebote geändert. Wenn diese die Voraussetzungen als Telekommunikationsdienst erfüllen, leiten sich weitere Verpflichtungen, wie die Meldepflicht nach § 5 TKG, ab. Diese werden hier beschrieben.
5.16 Veranstaltungen
5.16.1 MfK: Ausstellung in Nürnberg zu Bildern durch KI -neu-
Bis 14.01.2024 in Nürnberg: Allen, die sich mit den Konsequenzen der Künstlichen Intelligenz bei der Gestaltung von Bildern befassen wollen, sei die Ausstellung „New Realities“ im Nürnberger Museum für Kommunikation empfohlen, die bis 14. Januar 2024 zu sehen ist. Sie führt Besucher auf eine interaktive Reise durch drei Bilderserien, die mit KI errechnet wurden.
5.16.2 itm: Zusatzausbildung Informations-, Telekommunikations- und Medienrecht
Ab September 2023: Personen, die sich für Rechtsfragen rund um die Themen künstliche Intelligenz, soziale Medien und Datenschutz interessieren haben, sollten sich mit einer Zusatzausbildung zum Informations-, Telekommunikations- und Medienrecht befassen. Hier bietet sich ein Einblick in die Grundlagen und aktuellen Entwicklungen des Informations- sowie öffentlichen Medienrechts. Sowohl die Lehrveranstaltungen als auch die Prüfungen werden online stattfinden. Das Angebot ist kostenfrei. Mehr dazu hier.
5.16.3 Stiftung Datenschutz: DSGVO 2024 – Chance für Entlastungen? -neu-
05.09.2023, 15:00 – 18:00 Uhr in Berlin und online: Es diskutieren Vertreter:innen aus Politik, Gesetzgebung und Anwender bei einer gemeinsamen Veranstaltung des BvD und der Stiftung Datenschutz. Weiterte Informationen und Anmeldung hier.
5.16.4 BBfDI: Start-up-Beratung zur Webseitengestaltung -neu-
06.09.2023, 15:00 – 18:00 Uhr in Berlin: Für Berliner Start-ups bietet die BBfDI diesmal zur Webseitengestaltung und Cookieeinbindung eine Onlineschulung an. Weiterte Informationen und Anmeldung hier.
5.16.5 ULD: Sommerakademie 2023
11.09.2023 in Kiel: Bei der Sommerakademie 2023 wird es inhaltlich um Datenschutz und KI gehen. Alles weitere dazu in der Ankündigung, hier geht es zur Anmeldung.
5.16.6 TLfDI: “KI und Schule“
13.09.2023, 10:00 – 16:00 Uhr, in Erfurt (nur vor Ort, ggf. online?): Mit „Hausaufgaben“ aus dem Publikum soll der Einsatz von ChatGPT direkt vor Ort getestet werden. Die Fragen beschäftigen sich u.a. auch mit der KI als Werkzeug zur Förderung des Unterrichts: Was macht KI mit den Schulen? Können die Schüler*innen das verarbeiten? Woran orientieren sie sich? Was sagen die Lehrer*innen? Wie muss sich Schule umorientieren? Wie wird der Datenschutz beim Einsatz von KI in der Schule tangiert? Mit prominenten Gästen werden Antworten auf diese Fragen gesucht. Weitere Informationen und Anmeldung hier (momentan sind alle Plätze vor Ort vergeben, der TLfDI denkt über eine Streaming-Variante nach…).
5.14.7 FSFE: Die Welt nach Facebook, Twitter und YouTube
22.09.2023, 19:00 – 20:30 Uhr (nur vor Ort): In Köln findet dieser Fachtag der Free Software Foundation Europe (FSFE) unter dem Titel „Die Welt nach Facebook, Twitter und YouTube. Eine neue Generation des Internets?” statt. Weitere Information und Anmeldung hier.
5.16.8 GI: Designing Feminist Futures – Vorankündigung
28.09.2023, 10:00 – 16:30 Uhr: In der Medizinforschung werden Daten überwiegend von männlichen Versuchspersonen erhoben, maschinelle Übersetzungen bedienen Geschlechterstereotype und Smart Home Gadgets sind bisher auf eine eingeschränkte männliche Zielgruppe ausgerichtet. Welches gesellschaftliche und wirtschaftliche Potential eröffnet sich durch Erweiterung auf eine weibliche Sichtweise? Welche Möglichkeiten der Einflussnahme und welche Verantwortung haben Frauen als Gestalter:innen und Produzent:innen von digitalen Artefakten und sozio-technischen Systemen? Welche Tools oder Methoden gibt es, um Frauen gleichberechtigt zu machen, damit aus einer Feminist Future einfach nur die Future wird? Die Gesellschaft für Informatik kündig eine Veranstaltung an und ruft zu Vorschlägen für Beiträge auf. Weiteres finden Sie hier.
6 Gesellschaftspolitische Diskussionen
6.1 Tests von Antivirensoftware
Manchmal sollte man Tests kritisch hinterfragen, wie hier Empfehlungen zu Antivirensoftware. Daher verweisen wir gerne darauf. Entscheiden muss eh jeder selbst.
6.2 Australien: Fehlerhafter Algorithmus führte zu Suiziden
Routinemäßige Tätigkeiten können auch durch Algorithmen ausgeführt werden. So können Berechnungen und darauf aufbauende Schreiben selbstständig durchgeführt und die entsprechenden Ergebnisse versandt werden. Wenn dies dann zu Rückforderung führt, müsste in Europa gemäß Art. 22 Abs. 3 DS-GVO noch eine Person einwirken können. In Australien nicht. Und dies führte nach diesem Bericht dazu, dass dort durch das System Robodebt zwischen 2016 und 2019 automatisierte Programme Rückzahlungen von Sozialhilfeempfängern einforderte, wie nun eine Untersuchungskommission feststellte. Betroffen waren demnach eine halbe Million Australier. Sie erhielten von dem System Briefe, die sie zur Zahlung von Tausenden Dollar aufforderte. Dadurch sei die ohnehin prekäre Lage dieser Sozialhilfe-Empfänger noch verschlimmert worden. Sie hätten etwa Kredite aufgenommen, ihre Altersvorsorge aufgelöst, um die falschen Schulden zu begleichen, einige wählten den Suizid.
6.3 Freiheitsrechte schützen (auch) Kriminelle
So lässt sich die Kernaussage dieses Artikels über Forderungen von Interpol nach Zugriff auf verschlüsselte Kommunikation und der Wunsch nach Speicherung aller Internetzugriffe auf Vorrat zusammenfassen, über die hier berichtet wird. Schließlich werde Cyberkriminalität immer professioneller durchgeführt.
Funfact: Ich wollte auf den im Bericht zitierten und verlinkten Bericht von Europol auch direkt verlinken – und wurde durch den dienstlichen Admin darauf hingewiesen, dass der Zugriff aus Sicherheitsgründen unterbunden wird. Das Böse ist eben immer und überall.
Franks Nachtrag: Versuchen Sie es selbst, hier ist der direkte Link auf den Europol-Bericht.
6.4 Billig, schäbig
In unserer Sprache wird „billig“ meist auch mit „minderwertig“ oder „schäbig“ gleichgesetzt. Wie sich dies auch auf die Praktiken einer Airline anwenden lässt, zeigt sich auch an deren Vorhaben buchende Reisende über Gesichtserkennung zu verifizieren. Allerdings nur, wenn nicht das eigenen Reiseportal benutzt wird. noyb reicht nach diesem Bericht dazu eine Beschwerde in Spanien ein.
6.5 KI im Unterricht
Kultusminiserien bieten auch Unterstützung zum Einsatz von Künstlicher Intelligenz im Unterricht an, wie hier in Bayern als Orientierungsrahmen oder in Hessen als Handreichung oder allgemein eine Übersicht verfügbarer Quellen vom Deutschen Bildungsserver.
7 Sonstiges/Blick über den Tellerrand
7.1 Managerhaftpflicht
Vielleicht helfen Meldungen über den Verlust einer Managerhaftpflicht aufgrund einer Serienschadensklausel, damit bestimmte Schutzmaßnahem oder organisatorische Schwachstellen „empathischer“ angegangen werden.
7.2 Bußgeldberechnung
Wer abwägen will, was ein Verstoß gegen die DS-GVO als Bußgeld kosten würde, kann sich hier schlau machen. Auf Basis der Guideline der Datenschutzaufsichtsbehörden wird die Berechnung vorgestellt. Es soll ja eigentlich auch abschreckend sein.
7.3 Drucken und Speichern und Vertrauen
In einer Untersuchung von US-amerikanischen Druckdienstleistern und Druckerherstellern kam heraus, was diese teilweise noch mit den Druckdaten machen, z.B. auch wenn diese über die Cloud an den lokalen Drucker gesendet werden.
Franks Nachtrag: Apropos, was mit „Druckdaten“ gemacht wird…
7.4 Unterricht von KI
Der deutsche Philologenverband informiert, wie Textgeneratoren als Werkzeuge der Individualisierung und Arbeitsorganisation eingesetzt werden können.
7.5 Datenschutz in Kindergarten und Kita
Passend zu dem nahenden Beginn des neuen Schuljahres, an dem sich auch Kindergärten und Kindertagesstätten orientieren, wurde hier eine Zusammenfassung zu allen damit zusammenhängenden datenschutzrechtlichen Fragestellungen veröffentlicht.
7.6 Freie Software für den Schuleinsatz
Lehrkräfte und Schulleitungen, die sich für den Einsatz geeigneter Schulsoftware interessieren, finden hier Fortbildungen zum Einsatz freier Software auch als Alternative zu Cloudsystemen.
8. Franks Zugabe
8.1 Apropos ChatGPT …
Und es ist mal wieder so weit: Es gab einige Meldungen zu ChatGPT, so dass sich eine kurze Auflistung lohnt. Los geht’s:
- Ein durch KI (ChatGPT und Bard) erstellter Artikel zu Star Wars sorgt bei einer Online-Redaktion für reichlich Ärger. Hätte die Redaktionsleitung doch mal auf die eigenen Mitarbeiter:innen gehört…
- Zur Meldung unter 4.2 habe ich auch noch eine Quelle… In diesem Zusammenhang, hochrangige Mitarbeiter verlassen (aus rein privaten Gründen natürlich) das Unternehmen? Zumindest einer…
- Nicht in allen Redaktionen scheinen durch ChatGPT erstellte Artikel Ärger zu erzeugen. Zumindest deutet das diese Gegenüberstellung an…
8.2 Apropos KI …
Da sich auch zu dem Thema KI allgemein in den letzten Wochen einige Meldungen gesammelt haben, hier als etwas längere Auflistung:
- „Eklig“, „abscheulich“ und „ein Schlag ins Gesicht“ – So werden von den Synchronsprechern die von Moddern per KI erzeugten Sprachspuren (basierend auf ihren Originalbeiträgen fürs Hauptspiel) für ein Mod eines beliebten Rollenspiels laut diesem Bericht bewertet. Zu Recht. Unethisch wäre auch noch ein Adjektiv, welches mir dazu einfällt.
- Bill Gates denkt übrigens, dass die Risiken durch KI zu managen sind…
- „Googles KI Bard: Kann es sein, dass du ein bisschen dumm bist?“ Und wieder eine geklaute Überschrift…
- Warum Cloud-Dienste so schön verlässlich sind (Unterschiede in den Nutzungsbedingungen innerhalb von zehn Tagen…) – Und ja, es geht in dem Beitrag um KI, konkret um Änderungen in den Nutzungsbedingungen von Google, die Google in die Lage versetzen Nutzer:innen-Daten zum Training der Google-KI-Systeme zu nutzen.
- Wie Black Mirror in einer Episode der aktuellen Staffel die Realität vorwegnimmt (waren deren Dystopien nicht meist eher weiter in der Zukunft, also mindestens Jahre und nicht nur Monate?) lesen Sie hier.
- Brite lässt Wahlprogramm von künstlicher Intelligenz erstellen. Ob es deswegen schlechter ist als die anderen?
- Hier ein interessantes Essay über KI und Mikrodirektiven (konkrete individualisierte Anweisungen für spezifische Szenarien). Spannend!
- Early Adopters für KI-Technologie? Na klar, die Polizei… Und das nicht nur in den USA, sondern auch bei uns in Deutschland… Besonders perfide die Begründung für den KI-Einsatz in Hamburg: Nur die KI sei aufgrund der großen Menge an Videomaterial in der Lage die Auswertung effektiv vorzunehmen. Ach, ach was? Erst hängen wir unverhältnismäßig viele Kameras auf, dann schaffen wir KI an, um diese unnötig vielen Videoaufzeichnungen auszuwerten, weil das ohne KI eh nicht geht und damit die ganze Aufzeichnerei von vorne herein sinnlos und unverhältnismäßig war? Hrmpf… Aber wenigstens ist die Verbrechensbekämpfung per Gesichtserkennung in den USA doch effektiv, oder? Oder?!? Und was hat Gesichtserkennung mit KI zu tun fragen Sie? In New York City scheinbar einiges. Na ja, wenn es keine minderen Mittel gibt, wie zum Beispiel Beamte, die direkt vor Ort aufpassen und eingreifen…
- World-of-Warcraft-Spieler bringen KI dazu in einem durch selbige KI verfassten Artikel Unfug zu schreiben. Wie unerwartet. Aber Bonus-Punkte für Kreativität. Da es den Artikel direkt auf der Webseite nicht mehr gibt, hilft das Internet-Archiv…
- Vielleicht ist eine Lösung beim Erkennen von KI-generierten Inhalten die Kryptgrafie?
- John Cleese äußert sich zu den Überlegungen der Filmstudios Schauspieler:innen und Drehbuchschreiber:innen durch KI ersetzen zu wollen.
- Apropos Schauspieler und KI, hier äußert sich ein Schauspieler zu seiner Erwartungshaltung an eine Vergütung bei der Nutzung von KI.
- Ich möchte auch mal etwas zum BfDI bringen: Oberster Datenschützer spricht sich für EU-Sammelklagen aus (im Zusammenhang mit KI).
- Und wo wir doch schon etwas zu geänderten Nutzungsbedingungen zum Ermöglichen des Tranings von KI hatten. Auch Zoom ändert seine AGB entsprechend… Wobei sie versprechen die Daten dafür nicht nutzen zu wollen… nun ja, ich sag nur Zoombies.
- Und zum Abschluss des KI-Teils noch ein lustiges kleines Online-Spiel, bei dem Sie versuchen müssen einer KI ein Passwort durch geschickte Fragestellung zu entlocken. Ich habe es im Urlaub (ohne Ausdauer, ich war ja im Urlaub) bis Level 5 geschafft.
8.3 Ein Update zur Meldung „Die EU-Kommission – Vorbild in Sachen Transparenz?“
Nachdem ich mich im letzten Blog noch ein wenig über die Art der Postenvergabe aufregte, bin ich nun wieder entspannter. Die designierte EU-Chefökonomin hat auf den Posten verzichtet. Gut so.
8.4 Zehn Jahre Let’s Encrypt
8.5 Pokémon Sleep will Kinder beim Schlafen belauschen
Das ist gruselig!
8.6 How not to – Heute Bildermanipulation auf dem Smartphone
Wenn Sie mal Informationen in Bildern verstecken wollen, sollten Sie es nicht so machen.
8.7 Stimmen aus der Vergangenheit
Zum einen Aldous Huxleys Warnung vor der wachsenden Macht von Technologie in diesem Interview aus dem Jahr 1961, zum anderen sagt der Philosoph Marshall McLuhan im Jahr 1977 voraus, wie Überwachungstechnologien die Privatsphäre zersetzen werden.
8.8 31 Tipps für mehr Sicherheit und Datenschutz im Internet
Für den Monat Juli 2023 hatte sich Mike Kuketz eine besondere Mastodon-Aktion ausgedacht. Hier können Sie darüber lesen.
9. Die guten Nachrichten zum Schluss
9.1 Vermittlung digitaler Kompetenzen
Kann ich das als gute Nachricht am Schluss bringen? Dass Eltern laut dieser Umfrage mehr digitale Kompetenzen im Unterricht an ihre Kinder vermittelt bekommen haben wollen? Wäre ein wirklich gute Nachricht nicht eher, dass die Eltern auch mehr Bescheid wissen wollen, wie etwas funktioniert, welche Risiken es gibt und wie sie diese selbst eindämmen können und dies auch ihren Kindern durch Vorleben vermitteln wollen?
Franks Nachtrag: Ohne genügend ausgebildete Medienkompetenz passiert sonst so etwas…
9.2 Smartphone und Kids
Wenn bei vielen Kindern die Einschulung oder der Schulwechsel im Zeitplan der technologischen Aufrüstung eine Rolle spielt, versucht diese Initiative hier altersgerechte Möglichkeiten zu unterstützen. Den Kids wird damit zumindest auch die Problematik der frühzeitigen Strafbarkeit genommen.