Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 37&38/2023)“
Hier ist der 75. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 37&38/2023)“.
Oha, schon 75 Blogbeiträge. Wie schnell die Zeit vergeht… Nun ja, wir freuen uns auf jeden Fall immer (und bedanken uns hiermit dafür), wenn wir für diese Blogreihe gelobt werden, und auch, wenn wir Hinweise zu fehlerhaften Links oder inhaltlichen Fehlern bekommen. So ein bis zwei Menschen scheinen diesen Blog ja dann doch regelmäßig zu lesen (Profitipp: RSS-Feed nutzen!). Bis hierhin hat es knapp 2,5 Jahre gedauert, mal schauen, wann wir die hundert schaffen.
Bis dahin viel Erkenntnisgewinn mit der aktuellen Nr. 75, die wieder eine Doppelausgabe wurde…
- Aufsichtsbehörden
- EDSA: “Legal study on government access to data in third countries”
- EDSA: Guideline zur Durchsetzung bei grenzüberschreitender Verarbeitung (RL 2016/680)
- Österreich und Mecklenburg-Vorpommern: Mündliche Aussagen unterliegen nicht der DS-GVO
- DSK: Austausch mit spezifischen Aufsichtsbehörden
- BfDI: Wirtschaft müsse sich besser vorbereiten
- LDI Niedersachsen: Ernennung umgesetzt
- LDI Niedersachsen: Handreichung zu MS 365
- Hamburg: Kein Streit um Zoom-Einsatz
- TLfDI: Abweichende Ansicht zum DPF
- Sachsen jetzt auch auf Mastondon
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – KI-Anwendung zur Detektion einer Nutzung eines Smartphones in Fahrzeugen
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Anforderungen an E-Mails bei Berufsgeheimnisträgern
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Übermittlung von Fotos zu Ermittlungszwecken
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Keine vertraulichen Daten auf Privathandy mit Cloudsynchronisation
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Datenschutz an Schulen
- LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Rechtsdurchsetzung
- BSI: Branchenlagebild Automotive 2022/2023
- BSI: Allianz für Cybersicherheit mit Podcast zu KI
- Norwegen: Facebook und Instagram europaweit sanktionieren
- Irland: Bußgeld gegen TikTok über 345 Mio. Euro
- Irland: Veröffentlichung von 126 Fallstudien
- Irland: Löschung aus Taufregistern
- Spanien: AI und Transparenz
- EU-Kommission: Cybersecurity-Anforderungen bei Künstlicher Intelligenz
- Rechtsprechung
- EGMR: Ausspähen nicht grenzenlos
- EuGH: Speicherbefugnis und Zugriffsmöglichkeit auf IP-Adressen
- BAG: Kündigung wegen Chatgruppe
- USA: Sammelklage gegen Facebook (Meta)
- Österr. BVwG: Keine vorbeugende Beschwerde bei Datenschutzaufsicht
- Österr. BVwG: Beseitigung von Rechtsverletzungen während des Verfahrens möglich
- Österr. BVwG: Visitenkarteübergabe ist keine Einwilligung in Newsletterversand
- LG Koblenz: Urteil gegen Google zu „falschen Ergebnissen“
- OLG Zweibrücken: Zur Geschäftsführerhaftung im Zusammenhang mit Phishing
- BGH: Vorlage an den EuGH
- BGH: Anspruchsgrundlage zu Auskünften über Prämienanpassungen
- Klagen wegen Datenweitergabe an Schufa
- Gesetzgebung
- EU: Chatkontrolle
- Stellungnahm des vzbv zum DDG
- Verbändeanhörung zu BDSG-Änderungen
- Reform der Financial Intelligence Unit (FIU)
- USA: Databroker delete
- USA: Meldepflicht für Cloudanbieter
- UK: Austausch mit USA – UK-EU Data Bridge
- UK: Plattformkontrolle
- Geltung des Data Act und des Data Governance Act
- Künstliche Intelligenz und Ethik
- USA: Leitlinien zu Kreditverweigerungen bei Einsatz von künstlicher Intelligenz
- DFKI: Trusted AI
- DSFA für KI
- DSFA mit KI (Schweiz und DS-GVO)
- BSI: Hinweise zum Einsatz Künstlicher Intelligenz
- DFG: KI, ChatGPT und die Wissenschaften
- Keine Insellösungen für KI wie ChatGPT
- Knoten zerschlagen
- Deep Fake im Fernsehen
- Klicksafe: Erklärung von Künstlicher Intelligenz
- KI-Avatare an Universität
- Handreichung: KI in der Hochschullehre
- Klagen von Autoren gegen Open AI
- Veröffentlichungen
- E-Mails von Anwälten
- Durchsetzung des Datenschutzes vor Gericht
- Durchsetzung des Datenschutzes durch Aufsichtsbehörden bei Grenzüberschreitungen
- Ist Anonymisierung möglich?
- Rechtsformen für Datentreuhänder
- Sommerakademie: Ist der Datenschutz fit für KI & Co.?
- Umfasst ein Werbewiderspruch auch Staatstrojaner?
- Luftbildaufnahmen und „Panoramafreiheit“
- Verschlüsselten Peer-to-Peer-Datenaustausch in Apps
- Microsoft und ein data leak
- DAV: Stellungnahme zum Digitalen Euro
- Stiftung Datenschutz: Neue Webseiten für KMU
- Was wird gewesen sein? Rechtliche Visionen
- Whitepaper zur visuellen Kommunikation
- Report zu Datenmittlern (Intermediaries)
- Leitfaden zu Tracking und Cookies
- Widerstände in der Digitalisierung und deren Überwindung
- Datenleck beim Lieferanten trifft auch Auftraggeber
- WLAN: Sicher im Netz
- Veranstaltungen
- CDRI: „CDR-Impuls Corporatecare“ -neu-
- LfDI Baden-Württemberg: „KI und Datenschutz“ -neu-
- CDT: „The Future of Speech Online 2023: Generative AI” -neu-
- Forum Privatheit: „Data Sharing – Datenkapitalismus by Default?“ -neu-
- Stiftung Datenschutz – „Rechtssicherheit durch Verhaltensregeln: Trusted Data Processor“ -neu-
- Research Institute: „Panel-Diskussion zum Whitepaper zur visuellen Kommunikation“ -neu-
- Universität Wien: „Data Act vs. DS-GVO“
- SDTB: Road Show „Digital – aber sicher!“ -neu-
- „Masterclass: Sie fragen, wir antworten!“
- LfDI Baden-Württemberg: Datenpannen-Management
- MfK: Ausstellung in Nürnberg zu Bildern durch KI
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ChatGPT …
- Apropos KI …
- Gibt’s das auch mit Cloud? – Heute: Excel
- Social-Media-Nutzung und Entzündungen
- Thermal Attack
- QR-Code Pishing-Attacke
- Manchmal reicht auch ein Telefonat…
- Ein Auto darf keine Wanze sein
- The End of Privacy is a Taylor Swift Fan TikTok Account Armed with Facial Recognition Tech
- Und noch ein paar Informationen zu Telegram
- Ein Abgesang auf NFTs
- Parmesan Anti-Forgery Protection
- Eine Taube ist doch schneller als Gigabit-Internet?
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: “Legal study on government access to data in third countries”
Wer ein Transfer Impact Assessment durchführt, hat vielleicht bisher auf die Aussagen in der Veröffentlichung des EDSA aus dem Jahr 2021 „Legal study on government access to data in third countries“ zurückgegriffen. Dieses soll nun laut TOP 4.3. der Agenda der Sitzung im September einem Update unterzogen werden.
1.2 EDSA: Guideline zur Durchsetzung bei grenzüberschreitender Verarbeitung (RL 2016/680)
Der EDSA hat die „Guideline 01/2023 on Article 37 Law Enforcement Directive” Leitlinien zu Art. 37 der Richtlinie „Polizei und Justiz“ RL 2016/680 („Strafverfolgungsrichtlinie“ „Law Enforcement Diretive“ – LED) angenommen, die eine praktische Anleitung für die Anwendung von Art. 37 der Strafverfolgungsrichtlinie in Bezug auf die Übermittlung personenbezogener Daten durch die zuständigen Behörden der EU-Länder an Drittlandsbehörden oder internationale Organisationen, die für die Strafverfolgung zuständig sind, darstellen soll. Der Anwendungsbereich beschränkt sich daher auf Daten zur Strafverfolgung! Bis zum 8. November 2023 können zur Guideline im Rahmen eines Konsultationsverfahrens Hinweise eingereicht werden.
1.3 Österreich und Mecklenburg-Vorpommern: Mündliche Aussagen unterliegen nicht der DS-GVO
Unterfällt eine mündliche Weitergabe von Informationen über eine Person den Regularien der DS-GVO? Damit hatten sich in einem grenzüberschreitenden Fall die Aufsichten aus Österreich und Mecklenburg-Vorpommern zu befassen. Der Sachverhalt konnte nicht ganz aufgeklärt werden, ob jemand einer anderen Person nun mündlich oder auf andere Weise etwas mitteilte. Aber selbst, wenn es mündlich gewesen wäre, so die Aufsichten in ihrer Entscheidung (dort auf Seite 4), wird damit die Anforderung an „Verarbeiten“ aus Art. 4 Nr. 2 DS-GVO nicht erfüllt, da sich keine Anhaltspunkte ergeben, dass die personenbezogenen Daten der Beschwerdeführer an ein Dateisystem übermittelt worden sind und dort in einem Dateisystem gespeichert worden sind oder gespeichert werden sollten.
1.4 DSK: Austausch mit spezifischen Aufsichtsbehörden
Es gibt ja nicht nur die staatlichen Aufsichten zum Datenschutz, es gibt daneben noch die Aufsichten über Rundfunk- und Fernsehanstalten, aber auch die der religiösen Gemeinschaften nach Art. 91 Abs. 2 DS-GVO. Und sieht man sich die Auflistung bei Artikel91.eu an, sind dass etliche. Im Sommer 2023 gab es einen Austausch dazu und die DSK veröffentlichte nun das Protokoll.
1.5 BfDI: Wirtschaft müsse sich besser vorbereiten
In einem Beitrag eines Fachverlages wird der BfDI zitiert, dass Wirtschaftsverbände erst schlecht auf die DS-GVO vorbereitet gewesen seien und nun Firmen deren Vorteile nicht nutzen. In diesem Beitrag wird aber auch berichtet, dass der BfDI im Jahr 2024 erste Richtlinien zu den DS-GVO-Prinzipien wie Einwilligung, Zweckbindung und Datenminimierung beim Training von lernenden Systemen herausbringen will, die eine referatsübergreifende Strategiegruppe innerhalb seiner Behörde erstelle.
1.6 LDI Niedersachsen: Ernennung umgesetzt
Nach dem Beschluss des Oberverwaltungsgerichts Niedersachsen mit der Zurückweisung einer Beschwerde zum Verfahren gegen die Auswahl konnte der neue LDI Niedersachsen ernannt werden.
Wer sich zu den Auswahlanforderungen für Landesbeauftragte informieren möchte, sei diese Podcastfolge empfohlen, die auch das Thema Niedersachsen bespricht.
1.7 LDI Niedersachsen: Handreichung zu MS 365
Anknüpfend an die bisherigen Aussagen der DSK zu MS 365 haben mehrere Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erarbeitet, um diese dabei zu unterstützen auf entsprechende vertragliche Änderungen hinzuwirken. Sie thematisieren u.a. die im DPA aufgeführten Löschfristen und die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern. Ein weiterer wichtiger Aspekt ist der Umgang mit der Verarbeitung personenbezogener Daten zu eigenen Geschäftszwecken durch Microsoft. Es wird auch darauf hingewiesen, dass die Umsetzung der in der Handreichung enthaltenen Empfehlungen insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von „Microsoft 365″ ersetzt, die dem Verantwortlichen potenziell zur Verfügung gestellt werden. Eine solche Bewertung muss der Verantwortliche in Abhängigkeit davon vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.
Leider ist nicht ersichtlich, welche Datenschutzaufsichten sich noch daran beteiligen und warum diese Handreichung nicht von der DSK veröffentlicht wurde.
1.8 Hamburg: Kein Streit um Zoom-Einsatz
Der HmbBfDI informiert, dass das Klageverfahren zwischen Aufsicht und Hamburger Verwaltung beendet wurde, weil mittlerweile die Thematik des Drittstaatentransfers in die USA durch den Angemessenheitsbeschluss (DPF) geklärt sei.
Heißt das nun im Umkehrschluss, dass es ansonsten keine grundsätzlichen Bedenken der Aufsicht gegen den Einsatz dieses Videokonferenztools gebe?
1.9 TLfDI: Abweichende Ansicht zum DPF
Alle reden von der Einheitlichkeit der Aufsichten in Deutschland, warum dies ein Thema ist, zeigt sich auch hier. Der TLfDI weicht vom Votum der DSK ab und veröffentlicht eine eigene Stellungnahme dazu.
1.10 Sachsen jetzt auch auf Mastondon
Auch Sachsen kommuniziert jetzt über Mastodon und bietet für öffentliche Stellen des Freistaates Sachsen unter social.sachsen.de eine eigene Instanz des Kurznachrichtendienstes an.
1.11 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022
In seinem Tätigkeitsbericht für das Jahr 2022 berichtet der LfDI Rheinland-Pfalz u.a. über die versuchte Verbesserung der Entscheidungsfindung innerhalb der DSK (Kapitel I), Statistiken (Kapitel II) und Einzelfälle aus verschiedenen Sachgebieten (Kapitel III). Einige habe ich für Sie herausgepickt. Aber aus Kapazitätsgründen sicher nicht alle Ausführungen, die interessant sind.
1.12 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – KI-Anwendung zur Detektion einer Nutzung eines Smartphones in Fahrzeugen
Die Originalüberschrift unter III. 1.2 (Seite 25) lautet „KI-Anwendung zur Detektierbarkeit von Ablenkungsverstößen“ und es geht um das Verfahren „MonoCam“, bei dem mittels Kamera und technischer Messungen die Nutzung eines Smartphones durch die fahrende Person während der Fahrt ermittelt wird. Der LfDI RP führt aus, unter welchen Prämissen er bei einem halbjährlichem Probetrieb keine datenschutzrechtlichen Probleme sieht.
1.13 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Anforderungen an E-Mails bei Berufsgeheimnisträgern
Auch er weist unter III. 2.2 (Seite 30) darauf hin, dass abhängig von der Sensibilität des Inhalts eine Transportverschlüsslung bei Berufsgeheimnisträgern nicht ausreicht, z.B. bei Gesundheitsdaten sollte es eine Ende-zu-Ende Verschlüsselung sein.
1.14 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Übermittlung von Fotos zu Ermittlungszwecken
Selbst in Rheinland-Pfalz werden vermeintliche Parksünder von Passanten fotografiert und die Aufnahmen an Behörden zur Prüfung und gff. Ahndung übermittelt. Unter III. 5.4 (Seite 40 f) befasst sich der LfDI RP damit – und hält es für zulässig.
1.15 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Keine vertraulichen Daten auf Privathandy mit Cloudsynchronisation
Unter III. 6.4 (Seite 44 f) führt er aus, dass er ein Personalratsmitglied angewiesen hat eigenmächtig angefertigte Fotografieren eines vertraulichen Sitzungsprotokolls von seinem Smartphone zu löschen, und informiert dabei auch, dass über Cloud-Synchronisationen ansonsten Daten, die dem Personalaktengeheimnis unterliegen, dem Cloudanbieter oder sonstigen unbefugten Dritten bekannt werden könnten.
1.16 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Datenschutz an Schulen
Auf die Informationen zu Datenschutz an Schulen in Rheinland-Pfalz verweist er in seiner Ziffer III. 12.4 (Seite 57). Dort findet sich auch der Link auf https://schulemedienrecht.bildung-rp.de/startseite/.
1.17 LfDI Rheinland-Pfalz: Tätigkeitsbericht 2022 – Rechtsdurchsetzung
In Ziffer III. 14. (Seite 63) berichtet er über die Maßnahmen bei der Rechtsdurchsetzung. So wurden in 50 Fällen ein Zwangsgeld zur Umsetzung der Mitwirkungspflichten gegen Verantwortliche (überwiegend Verfahren wegen Videoüberwachung) von durchschnittlich 500,00 € angedroht. In 13 Fällen mussten die Zwangsgelder auch bereits festgesetzt werden. In 63 Fällen (größtenteils wegen Auskunfts- und Löschbegehren) wurde gegenüber Verantwortlichen eine Anweisung erlassen und in 46 Fällen eine Verwarnung ausgesprochen. Es wurden vier Bußgeldbescheide erlassen. Die Bußgeldverfahren wurden ab Mai 2022 mit der „Guideline 04/2022 on the calculation of administrative fines under the GDPR“ auf eine europäische Grundlage gestellt.
1.18 BSI: Branchenlagebild Automotive 2022/2023
Das vorliegende Branchenlagebild Automotive 2022/2023 des BSI gibt einen Überblick über die Cybersicherheitslage in der Automobilindustrie und im Straßenverkehr für den Berichtszeitraum Juli 2022 bis Juni 2023. Es werden unter anderem die Bereiche Cyber-Kriminalität, IT-Sicherheit der Lieferketten und Produktionsprozesse, Schwachstellen von digitalen Komponenten im Straßenverkehr und neue gesetzliche Regelungen beleuchtet.
1.19 BSI: Allianz für Cybersicherheit mit Podcast zu KI
Auf den Webseiten des BSI informiert die Allianz für Cybersicherheit in Podcasts („CYBERSNACS“) zu Themen rund um Digitalisierung und Cyber-Sicherheit in der Wirtschaft. Ab Folge 21 (ca. 34 Min.) beginnt eine vierteilige Sonderreihe “let’s talk KI“, in der die unterschiedliche Aspekte rund um das Thema künstliche Intelligenz beleuchtet werden. In der Auftaktfolge werden u.a. Sicherheitsaspekte und die Chancen der KI angesprochen.
1.20 Norwegen: Facebook und Instagram europaweit sanktionieren
Wir hatten bereits berichtet, dass in Norwegen die Datenschutzaufsicht Facebook und Instagram untersagte Werbung ohne vorherige Einwilligung einzuspielen und dies durch das Gericht bestätigt wurde. Nun bringt die norwegische Aufsicht nach ihrer Meldung dieses Thema in den EDSA, um eine gemeinsame Haltung und Übernahme dieser Untersagung innerhalb der EU zu erreichen.
1.21 Irland: Bußgeld gegen TikTok über 345 Mio. Euro
Wie berichtet wurde, verhängte die irische Aufsicht mit aktiver meinungsbildender Beteiligung des EDSA ein Bußgeld über 345 Mio. Euro gegenüber TikTok. Vorgeworfen wird vor allem die Missachtung der Anforderung an die Gestaltung zum Schutz von Kindern.
Der LfDI Baden-Württemberg weist in diesem Zusammenhang auf seine Aktivitäten in diesem Verfahren hin, dass Deceptive Design Patterns auch unter dem Gesichtspunkt von Fairness und Treu und Glauben (Art. 5 Abs. 1 lit. a DS-GVO) besonders zu betrachten seien und gegenüber TikTok die Unterlassung anzuordnen sei.
1.22 Irland: Veröffentlichung von 126 Fallstudien
Die irische Datenschutzaufsicht hat eine Broschüre erstellt, die 126 ihrer Fallstudien aus den ersten fünf Jahren der DS-GVO enthält. Die Fallstudien wurden nach Kategorien gegliedert und indexiert, um das Auffinden relevanter Beispiele zu erleichtern. Sie helfen als Nachschlagewerk, wenn es darum geht, wie der irische Datenschutzbeauftragte an Beschwerden herangeht.
1.23 Irland: Löschung aus Taufregistern
Können Personen, die aus der Kirche ausgetreten sind, die Löschung aus dem Taufregister nach der DS-GVO verlangen? In Irland befasst sich die dortige Aufsicht damit. In ihrer jetzt veröffentlichten Entscheidung, die 183 Seiten umfasst*, kommt sie letztendlich zu dem Ergebnis, dass Eintragungen im Taufregister zu Lebzeiten der Person keiner Löschverpflichtung nach der DS-GVO unterliegen. Wer Näheres dazu wissen will schaut sich die detaillierte Auseinandersetzung auf www.artikel91.eu an, die generell bei Interesse an kirchlichem Datenschutz Maßstäbe setzt. Dort findet sich auch eine grundsätzliche Darstellung dieser Thematik über Irland hinaus mit Verweisen auf bisherige Entscheidungen in anderen Ländern.
* Franks Anmerkung: Ach, damit beschäftigen die sich so intensiv. Dann verstehe ich ja, warum die für die ganzen US-amerikanischen Abieter keine Zeit mehr haben…
1.24 Spanien: AI und Transparenz
In dem aktuellen Teil ihrer Reihe zur KI befasst sich die spanische Aufsicht mit den Anforderungen an die Transparenz. Sie weist darauf hin, dass sich der Transparenzbegriff im geplanten AI Act von dem der DS-GVO unterscheide, denn ein Personenbezug sei nicht erforderlich.
Beide Transparenzbegriffe bezögen sich auf unterschiedliche Akteure und unterschiedliche Informationen, die für unterschiedliche Empfänger bestimmt seien. Bei der Transparenz im Sinne des AI Acts handele es sich um Informationen, die hauptsächlich von den KI-Anbietern von KI-Systemen an die KI-Nutzer/Einsetzer gehen. Wenn KI-Systeme in die Verarbeitung personenbezogener Daten einbezogen würden oder ein Mittel zur Verarbeitung dieser Daten seien, sollten die für die Verarbeitung Verantwortlichen genügend Informationen über sie erhalten, um ihre verschiedenen Verpflichtungen in Bezug auf die DS-GVO erfüllen zu können: Um Transparenz und die Ausübung von Rechten durchzusetzen, um den Grundsatz der Rechenschaftspflicht zu erfüllen sowie um die Anforderungen der Aufsichtsbehörden in Bezug auf ihre Untersuchungsbefugnisse zu erfüllen. Das Gleiche gelte für die Zertifizierungs- und Verhaltenskodex-Überwachungsstellen. Die Details dazu finden Sie hier.
1.25 EU-Kommission: Cybersecurity-Anforderungen bei Künstlicher Intelligenz
Dieser Bericht der Europäischen Kommission konzentriert sich auf die Cybersicherheitsanforderungen für KI-Systeme mit hohem Risiko, wie sie in Art. 15 des Vorschlags der Kommission für den KI-Gesetzentwurf festgelegt sind. Er enthält eine Analyse im Kontext der sich schnell entwickelnden KI-Landschaft und bietet eine Reihe wichtiger Leitprinzipien, um die Einhaltung des KI-Gesetzes zu erreichen. Der Schwerpunkt des vorgeschlagenen KI-Gesetzes liegt auf KI-Systemen. Obwohl KI-Modelle wesentliche Bestandteile von KI-Systemen sind, stellten sie für sich genommen keine KI-Systeme dar. Die Cybersicherheitsanforderung des KI-Gesetzes gelte für das KI-System als Ganzes und nicht direkt für seine internen Komponenten.
Um die Einhaltung der Vorschriften zu gewährleisten, sollte eine Sicherheitsrisikobewertung durchgeführt werden, bei der die Konzeption des Systems berücksichtigt wird, um Risiken zu ermitteln und die erforderlichen Abhilfemaßnahmen zu ergreifen. Dieser Prozess erfordere einen integrierten und kontinuierlichen Ansatz, der bewährte Cybersicherheitspraktiken und -verfahren mit KI-spezifischen Kontrollen kombiniert. Obwohl der Stand der Technik bei der Absicherung von KI-Modellen Grenzen hat, könnten KI-Systeme die Anforderungen des KI-Gesetzes an die Cybersicherheit dennoch erfüllen, solange ihre Cybersicherheitsrisiken durch andere Maßnahmen, die nicht ausschließlich auf der Ebene des KI-Modells eingesetzt werden, wirksam gemindert werden. Dies sei jedoch nicht immer möglich, und für einige KI-Systeme mit hohem Risiko, die neue KI-Technologien nutzen, ist es möglicherweise nicht möglich die Cybersicherheitsanforderungen des KI-Gesetzes zu erfüllen. Mehr dazu im Bericht selbst.
2 Rechtsprechung
2.1 EGMR: Ausspähen nicht grenzenlos
Der Europäische Gerichtshof für Menschenrechte entschied in einem Fall aus Großbritannien, dass das Ausspähen von Personen im Ausland auch Rechenschaftspflichten unterliegt. Einen Bericht dazu lesen Sie hier.
2.2 EuGH: Speicherbefugnis und Zugriffsmöglichkeit auf IP-Adressen
In seinen Schlussanträgen im Fall „La Quadrature du Net“ (C-470/21) hat der Generalanwalt seine Stellungnahme veröffentlicht. Demnach kann auch unter Berücksichtigung der Vorgaben aus Art. 15 Abs. 1 der ePrivacy-RL dann eine beschränkte Vorratsdatenspeicherung (Identitätsdaten, die IP Adressen zugeordnet sind) erlaubt werden, wenn damit einer Verwaltungsbehörde der Zugang gestattet wird und diese Behörde die Aufgabe hat das Urheberrecht und verwandte Schutzrechte vor im Internet begangenen Verletzungen zu schützen, wenn diese Daten den einzigen Anhaltspunkt darstellen, der es ermöglicht die Identität der Personen zu ermitteln, denen diese Adressen zugewiesen waren, als die Tat begangen wurde. In diesen Fällen brauche dieser Zugang keine vorherige Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle.
Klingt kompliziert, ist es irgendwie auch.
Das Besondere daran ist, dass es bereits schon einmal Schlussanträge gab, aber danach die Große Kammer des EuGH einberufen wurde. Und auch hier gilt: Der EuGH ist nicht an die Schlussanträge gebunden. Hier geht es zur entsprechenden Pressemeldung, hier zu unserer Ankündigung.
Franks Nachtrag: Schön, dass nun auch durch den EuGH (zumindest aber durch den zuständigen Generalanwalt) deutlich gemacht wird, wofür die Vorratsdatenspeicherung wirklich gebraucht wird… was hier u.a. kommentiert wird.
2.3 BAG: Kündigung wegen Chatgruppe
Wegen einer Äußerung in einer Chatgruppe bestehend aus sieben Personen, davon fünf Betriebsangehörige, wurde einem Arbeitnehmer fristlos gekündigt. Das Bundesarbeitsgericht bestätigte die Kündigung. Der Arbeitnehmer hatte sich in stark beleidigender, rassistischer, sexistischer und zu Gewalt aufstachelnder Weise über Vorgesetzte und andere Kollegen geäußert. Eine Vertraulichkeitserwartung hinsichtlich der Kommunikation sei nur dann berechtigt, wenn die Mitglieder der Chatgruppe den besonderen persönlichkeitsrechtlichen Schutz einer Sphäre vertraulicher Kommunikation in Anspruch nehmen könnten. Das wiederum sei abhängig von dem Inhalt der ausgetauschten Nachrichten sowie der Größe und personellen Zusammensetzung der Chatgruppe. Sind Gegenstand der Nachrichten – wie vorliegend – beleidigende und menschenverachtende Äußerungen über Betriebsangehörige, bedarf es einer besonderen Darlegung, warum der Arbeitnehmer berechtigt erwarten könnte, deren Inhalt werde von keinem Gruppenmitglied an einen Dritten weitergegeben. Dies wird nun das Landesarbeitsgericht prüfen müssen. Eine Besprechung des Urteils lesen Sie hier.
2.4 USA: Sammelklage gegen Facebook (Meta)
Diesem Bericht zufolge sieht sich Meta für die Datenverarbeitung von Gesundheitsdaten in den USA einer Sammelklage ausgesetzt. In der Klageschrift werde behauptet, Meta habe über das Programm Facebook Pixel, das in den Patientenportalen verschiedener Gesundheitsdienstleistern eingebettet ist, gesundheitsbezogene Daten von Personen gesammelt.
2.5 Österr. BVwG: Keine vorbeugende Beschwerde bei Datenschutzaufsicht
Kann eine Beschwerde bereits vor der fraglichen Verarbeitung bei einer Aufsicht eingereicht werden? Damit hatte sich das BVwG im Fall einer „drohenden“ Videoüberwachungsanlage zu befassen. Eine Wohnungseigentümergemeinschaft beschloss in ihrer Wohnhausanlage eine Videoüberwachung zu installieren und in Betrieb zu nehmen. Allein durch diesen Beschluss sei die Beschwerdeführerin aber nach Ansicht des BVwG noch nicht beschwert, da noch keine Verarbeitung personenbezogener Daten erfolgt sei.
2.6 Österr. BVwG: Beseitigung von Rechtsverletzungen während des Verfahrens möglich
Im österreichischen Datenschutzrecht gibt es eine Besonderheit: Dort können Beschwerdegegner im laufenden Verfahren mit der Datenschutzaufsicht die behauptete Rechtsverletzung noch nachträglich beseitigen, indem sie den Anträgen der Beschwerdeführer entsprechen (§ 24 Abs. 6 DSG). Also: Kommt ein Unternehmen / eine Behörde im Rahmen des Verfahrens den Anforderungen der Aufsicht vollumfänglich nach, hat sich das Thema erledigt. Das hat nun auch das BVwG in diesem Urteil (ab Ziffer 3.3.3) hinsichtlich der Diskussion um unzureichende Informationen nach Artt. 13, 14 DS-GVO festgestellt.
Eine entsprechende Reglung gibt es im deutschen BDSG nicht!
Nehmen Sie das ggf. zum Anlass, die Anforderungen an Transparenz, Erreichbarkeit und Vollständigkeit der von Ihnen bzw. Ihren Mandanten verantworteten Informationspflichten zu überprüfen…
2.7 Österr. BVwG: Visitenkarteübergabe ist keine Einwilligung in Newsletterversand
In Österreich wurde durch das dortige BVwG der Fall entschieden, dass alleine die Übergabe einer Visitenkarte nicht die Anforderungen erfüllt, die an eine Einwilligung zum Empfang eines Newsletters geknüpft sind. Eine konkludente Einwilligung (ein schlüssiges Verhalten) liege in der Übergabe einer Visitenkarte nicht vor. Es brauche dazu schon mehr und für die Einhaltung der Anforderungen ist der Versender des Newsletters nachweispflichtig. Der Geschäftsführer des versendenden Unternehmens muss 250 Euro Geldbuße zzgl. 25 Euro Verfahrenskosten tragen. Es gab am gleichen Tag übrigens noch ein weiteres Urteil des BVwG mit vergleichbarer Thematik.
Merksatz: Nicht jeder, der Kontakt halten will, will auch unerbetene Werbung haben…
2.8 LG Koblenz: Urteil gegen Google zu „falschen Ergebnissen“
Dazu kenne ich nur die Veröffentlichung der Kanzlei des Klägers, das Urteil wurde noch nicht veröffentlicht. Bei der Google-Suche wurde neben den Findungen auch weitere Fragen angezeigt, die hinsichtlich eines Schulträgers falsche Kosten aufwiesen. Nachdem Google trotz Hinweise nichts änderte, wurde der Klageweg beschritten. Erfolgreich.
2.9 OLG Zweibrücken: Zur Geschäftsführerhaftung im Zusammenhang mit Phishing
Haftet ein Geschäftsführer, wenn aufgrund einer Phishingattacke letztendlich eine Zahlung an eine geänderte Kontoverbindung ausgeführt wird? Das OLG Zweibrücken meint nein.
Eine Beauftragung von Geldüberweisungen aufgrund einer gefälschten Mitteilung einer geänderten Kontoverbindung sei keine Verletzung einer spezifisch organschaftlichen Pflicht des Geschäftsführers. Denn diese Tätigkeit wäre üblicherweise eine solche der Buchhaltung gewesen. Die einem Geschäftsführer übertragene Unternehmensleitung als solche sei hiervon nicht berührt, auch nicht in Form einer Verletzung von Überwachungspflichten (RN 45). Auch über die Grundsätze der Arbeitnehmerhaftung scheide ein Haftungsanspruch aus (RN 54).
2.10 BGH: Vorlage an den EuGH
Auch der BGH will mal was an den EuGH zur Entscheidung über die DS-GVO geben. Die Info, dass die Gehaltsvorstellungen nicht erfüllt werden können, gehen fälschlicherweise auch an einen Bekannten des Bewerbers. Rechtfertigt dies immateriellen Schadenersatz? Mehr dazu erstmal in der Pressemeldung des BGH.
2.11 BGH: Anspruchsgrundlage zu Auskünften über Prämienanpassungen
Was hat das die letzten Jahre genervt: Wie kann ein Versicherungsnehmer überprüfen, wie Versicherungsprämien in der Vergangenheit zustande kamen? Ziemlich oft wurde dabei auf Art. 15 DS-GVO zurückgegriffen, um sich nochmal alle Unterlagen vorlegen zu lassen, was zu vielen Fragen führte, z.B. ob Art. 15 nur auf die personenbezogenen Daten begrenzt wird oder auch eine Kopie umfasst. Der BGH zieht hier in seinem Urteil vom 27. September 2023 – IV ZR 177/22* nun klare Grenzen: Ein Anspruch auf die Darlegung der Prämienentwicklung ergebe sich aus Treu und Glauben. Aus Art. 15 DS-GVO ergebe sich grundsätzlich kein Anspruch auf Abschriften der Begründungsschreiben zu den Prämienanpassungen samt Anlagen. Hier gibt es die Pressemeldung dazu.
* Franks Anmerkung: Wenn es das Urteil online gibt, gibt es dieses hier (momentan ist da nur ein Platzhalter, aber immerhin)…
2.12 Klagen wegen Datenweitergabe an Schufa
Auf Basis welcher Grundlage können Unternehmen Daten an eine Wirtschaftsauskunftei weitergeben? Einwilligung oder doch auch Interessenswahrung. Mit dieser Frage befasst sich diese Meldung über drohende Klagen gegen Mobilfunkanbieter.
Wer glaubt, das sei ja nur interessant, sollte auch die Rahmenbedingungen betrachten: Ein Prozessfinanzierer sucht klagebereite Mobilfunkkunden, die dann scheinbar risikolos Klagen initiieren können. Das kann dann vielleicht doch auch Anreiz sein sich im Zweifel dann eher rechtskonform zu verhalten, wenn Unternehmen im Massengeschäft tätig sind.
3 Gesetzgebung
3.1 EU: Chatkontrolle
Kommt sie, kommt sie nicht? Soll, um mögliche Fälle von sexueller Gewalt gegen Kinder aufdecken zu können, keine verschlüsselte Kommunikation mehr möglich sein, ohne dass Ermittlungsbehörden dazu einen technischen Zugang hätten? Der Punkt wurde aber laut diesem Bericht von der Agenda des EU-Rats gestrichen. Muss aber inhaltlich keine Entwarnung sein.
Franks Nachtrag: Kennen Sie Cui bono? Nach diesem Bericht (hier zusammengefasst, hier aus einer zweiten Quelle) muss diese Frage erlaubt sein. Ich befürchte, dass das Argument Schutz der Kinder wohl nur vorgeschoben ist… Wäre ja insgesamt keine wirklich neue Strategie. Ach ja, auch netzpolitik.org berichtet…
Und weil ich immer noch nicht mit dem gesamten Blogbeitrag fertig bin, ergänze ich weitere Quellen: EDRi gibt eine Presseerklärung heraus (in dieser sind weitere Quellen aus Europa enthalten), ein US-Medium berichtet (leider hinter einer Paywall).
3.2 Stellungnahm des vzbv zum DDG
Wir hatten schon zum DDG berichtet, durch das das TTDSG zum TDDDG werden soll. Der Verbraucherzentrale Bundesverband (vzbv) hat nun seine Stellungnahme dazu veröffentlicht. Und bemängelt u.a. das Zuständigkeitsgerangel.
3.3 Verbändeanhörung zu BDSG-Änderungen
Das BMI führte eine Verbändeanhörung zum Referentenentwurf zu geplanten Änderungen im BDSG durch. Die Änderungen betreffen vor allem organisatorische Regelungen zur Datenschutzkonferenz, Anpassungen an die Rechtsprechung (§ 4 BDSG) und Beschränkungen beim Auskunftsanspruch. Alle eingegangenen Stellungnahmen hat das BMI hier veröffentlicht.
Übrigens, im Bundesrat werden sich wieder mal durch Einzelne Gedanken zur Entbürokratisierung gemacht. Beim genauen Studieren des Antrags fallen auch Vorschläge zur Entbürokratisierung beim Datenschutz auf. Nun ja. Hoffen wir mal, dass sich Bayern damit nicht durchsetzt. Wobei vielleicht einzelne Ideen aus dem Antrag sinnvoll sein mögen, das mag ich nicht abschließend beurteilen. Die zum Datenschutz sind es (trotz all der „Liebe“, die der umfangreichen Informationspflicht nach Artt. 13, 14 DSGVO entgegenschlägt) sicherlich nicht. Wie schon gesagt: Nun ja…
3.4 Reform der Financial Intelligence Unit (FIU)
Der was? Die Financial Intelligence Unit (FIU) ist für die Datenauswertung zur Bekämpfung von Terrorismusfinanzierung und Geldwäsche zuständig. Wir hatten schon mal berichtet, dass sich selbst der BfDI hier machtlos fühlt. Nun gibt es eine Anhörung im Bundestag im Ausschuss Finanzen zu den Zugriffsrechten der FIU, insbesondere zu deren risikobasiertem Ansatz. Eine Stellungnahme dazu finden Sie hier, eine aktuelle PM des BfDI dort.
3.5 USA: Databroker delete
In Kalifornien sollen Verbraucher gestärkt werden, um von „Data Brokern“ die Löschung ihrer Daten verlangen zu können. Die neue Regelung soll ab 2026 gelten. Details dazu gibt es hier, den Bericht dazu dort.
3.6 USA: Meldepflicht für Cloudanbieter
Nach Meldungen überlegt die US-Regierung Cloud-Anbieter einer Meldepflicht zu unterwerfen, wenn großer Mengen an Rechenressourcen einen bestimmten Schwellenwert überschreiten Ziel der Meldepflicht ist demnach potenzielle KI-Bedrohungen für die USA, insbesondere aus anderen Staaten, frühzeitig zu erkennen.
3.7 UK: Austausch mit USA – UK-EU Data Bridge
Einst bekamen sie sich wegen Teesteuer und Sklavenhandel in die Haare, bei Daten harmonieren sie wieder. Über die UK-US Data Bridge können künftig personenbezogene Daten in die USA transferiert werden. Das Ganze soll ab dem 12. Oktober 2023 wirksam werden*. Ein Fact Sheet dazu gibt es auch. Und ein Explanatory Memorandum. Sowie Supporting Documents des “Department for Science, Innovation and Technology for the UK-US data bridge”. Dieses hat auch die “Safeguards” der US analysiert.
[Und weil´s gut passt, hier eine königliche Version einer „bridge over troubled water“ (bei YouTube).]
* Franks Anmerkung: Wann genau steht das Review des Angemessenheitsbeschlusses der EU für UK an? Darauf sollte diese Brücke ja Einfluss haben, oder?
3.8 UK: Plattformkontrolle
Im Vereinigten Königreich wurde ein Gesetz beschlossen, das Plattformbetreiber zu einer Altersverifikation bei altersunangemessenen Inhalten zwingt. Betreiber fürchten auch, dass das Gesetz sie ihrer Meinung nach dazu zwingen könnte, die Ende-zu-Ende-Verschlüsselung zu brechen. Einen Bericht dazu finden Sie hier.
3.9 Geltung des Data Act und des Data Governance Act
„Daten sind das Öl des 21. Jahrhunderts“ hören und lesen wir seit Jahrzehnten. Der Data Act und der Data Governance Act sollen dafür sorgen, dass dieses Öl auch genutzt werden kann. Um was dabei genau geht, lesen Sie hier. Der Data Governance Act gilt europaweit seit dem 24. September 2023.
Und im Übrigen finde ich, dass die DS-GVO und ein paar weitere Regularien dabei unterstützen, dass Daten nicht zum CO2 des 21. Jahrhunderts werden.
4 Künstliche Intelligenz und Ethik
4.1 USA: Leitlinien zu Kreditverweigerungen bei Einsatz von künstlicher Intelligenz
In den USA hat das Consumer Financial Protection Bureau (cfpb) Leitlinien veröffentlicht, die zu beachten sind, wenn Kreditverweigerungen durch Kreditgeber, die künstliche Intelligenz einsetzen, erfolgen. Die Verbraucher müssen genaue und spezifische Gründe für Kreditverweigerungen erhalten.
4.2 DFKI: Trusted AI
Das DFKI (Deutsches Forschungszentrum für Künstliche Intelligenz) informiert, dass der Kickoff des Europäischen CERTIN-Zentrums für Trusted AI stattfand. Ziel des CERTAIN-Zentrums ist die Entwicklung von KI-Technologien und -Systemen mit starken Garantien (Trusted-AI). Diese erlaube erstmals eine solide Grundlage für echtes Vertrauen in diese neuen Technologien in der Wirtschaft aber auch der Gesellschaft und ermöglicht so einen breiten und nützlichen Einsatz von KI in allen Anwendungsbereichen – selbst in sicherheitskritischen Szenarien. Mittelfristig soll das CERTAIN-Zentrum zu einem in Forschung, Industrie und Gesellschaft eng vernetzten und weithin sichtbaren Kompetenzzentrum in Europa für vertrauenswürdige Künstliche Intelligenz (KI) entwickelt werden und eine führende Rolle in der Forschung und Entwicklung von hochzuverlässigen KI-Technologien und deren Anwendungen einnehmen.
4.3 DSFA für KI
Hier hat ein Beratungsunternehmen Hinweise für eine Datenschutz-Folgenabschätzung beim Einsatz einer KI veröffentlicht.
4.4 DSFA mit KI (Schweiz und DS-GVO)
Eine Datenschutz-Folgenabschätzung durchzuführen ist eigentlich kein Spaziergang. Hier werden für die Umsetzung Hilfsmittel auf Excelbasis angeboten, die eine DSFA nach Schweizer Recht und nach der DS-GVO abbilden und mit dem Einsatz von Künstlicher Intelligenz damit werben. Benötigt werde hierzu lediglich ein (kostenloser) API-Key von OpenAI (für das GPT 3.5-LLM), die Excel-Vorlage mit Makros (.xlsm) und ein Computer, auf welchem Visual-Basic-Makros nicht gesperrt sind. Wo das aus Sicherheitsgründen nicht geht, gibt es auch eine Version ohne AI und Automatisierung (.xslx). Eine einfaches Übersichtsblatt (unten) erklärt den Ablauf auch für Neulinge; auch die Excel-Vorlage enthält eine Anleitung. Die verwendeten KI-Prompts seien frei einsehbar und könnten auf Wunsch angepasst werden. Mehr dazu hier.
4.5 BSI: Hinweise zum Einsatz Künstlicher Intelligenz
Auch das BSI hat Informationen zum Einsatz von KI parat.
4.6 DFG: KI, ChatGPT und die Wissenschaften
Die Deutsche Forschungsgemeinschaft (DFG) formuliert Leitlinien für Umgang mit generativen Modellen zur Text- und Bilderstellung. Auch darüber wird berichtet.
Franks Nachtrag: Apropos ChatGPT …
4.7 Keine Insellösungen für KI wie ChatGPT
Erfrischend unaufgeregt betrachtet dieser frei verfügbare Fachbeitrag die rechtlichen Fragestellungen rund um den Einsatz von KI wie ChatGPT. Datenschutzrechtliche Fragestellungen stehen dabei nicht im Vordergrund.
4.8 Knoten zerschlagen
Welch schönes Bild: Alle warten auf die Person, die einfach mal handelt und mit einem Streich die Probleme löst – wie beim Gordischen Knoten eben. Nur scheint es bei mangelnder Expertise auf der politischen Ebene eben nicht ganz so einfach. Mehr dazu in diesem Artikel.
4.9 Deep Fake im Fernsehen
Fernsehmoderator:innen genießen im Allgemeinen hohes Vertrauen. Es darf ja in der Regel nicht jeder vor die Kamera. Um so gravierender das Missbrauchspotential, wenn diesen Aussagen in den Mund gelegt werden, wie hier beschrieben.
4.10 Klicksafe: Erklärung von Künstlicher Intelligenz
Wer auf niedrigschwelliges Material bei der Vermittlung von Wissen zur Künstlichen Intelligenz zurückgreifen möchte, wird bei Klicksafe fündig. Hier wird mit vielen Fragen und Antworten das Wichtigste erklärt.
4.11 KI-Avatare an Universität
An der Hamburger Open University wird die Macht der KI genutzt, um Wissenschaftler:innen von ihren Forschungen erzählen zu lassen. Lesen Sie in diesem Beitrag, wie mit moderner Software KI-Avatare erstellt werden, die nicht nur informieren, sondern auch inspirieren sollen. Damit verbunden ist ein Einblick in die Fusion von Geschichte, Technologie und Bildung, es werden aber die Gefahren, die sich hinter KI-Avataren verbergen können, erläutert.
4.12 Handreichung: KI in der Hochschullehre
Speziell für die Hochschullehre ist nun an der Katholischen Universität Eichstätt-Ingolstadt eine Handreichung entstanden, die Einblicke in die Funktionsweise von ChatGPT gibt, die Einsatzmöglichkeiten didaktisch und rechtlich einordnet sowie grundlegende Empfehlungen für die Dozierenden formuliert. Das Dokument ist auch für Interessierte frei verfügbar, die nicht in der Hochschullehre tätig sind.
4.13 Klagen von Autoren gegen Open AI
Neben den bisher bekannte Klagen gegen Open AI (wir berichteten) gibt es weitere Klagen von renommierten Autoren. Sie fürchten, dass durch die Nutzung ihrer bisherigen Werke für das Training künftige Werke entstehen, die aus ihren schöpferischen Ideen gespeist werden, ohne dass sie inhaltlich Einfluss nehmen können oder auch nur dafür entlohnt werden.
5 Veröffentlichungen
5.1 E-Mails von Anwälten
Rechtsanwälte sind es gewohnt Recht zu haben. Sie haben es schließlich studiert. Und eine eigene Berufsordnung haben sie auch. Darin regeln sie, wie sie ihren Beruf ausüben und auch mit den Daten der Mandanten umgehen wollen. Andere haben dabei nicht mitzureden. Das ist salopp formuliert der aktuelle Streit zwischen der Datenschutzaufsicht Bremen und den Anwälten. Konkret geht es um die Absicherung von E-Mails mit Inhalten von Mandatsverhältnissen. Müssen diese vollverschlüsselt sein oder reicht eine TLS-Verschlüsselung? Daneben geht es auch um die Frage, ob ein Mandant in ein geringeres Schutzniveau (z.B. TLS) einwilligen könne. Einen Bericht zum Streit lesen Sie hier. Zum eigentlichen Ausgangsfall des Streits hatten wir bereits berichtet.
5.2 Durchsetzung des Datenschutzes vor Gericht
Wer wissen will, welche Aspekte bei der Durchsetzung von datenschutzrechtlichen Anforderungen zu beachten sind, kann sich bei dieser Aufzeichnung eines Vortrags aus dem Chaos Communication Camp 2023 über das Vorgehen gegen „Dark Pattern“ informieren. Dauer ca. 45 Min.
5.3 Durchsetzung des Datenschutzes durch Aufsichtsbehörden bei Grenzüberschreitungen
Wie kann die DS-GVO durchgesetzt werden, wenn mehrere Beteiligte grenzüberschreitend betroffen sind? Damit befasst sich auch die EU-Kommission. Der BfDI berichtet dazu über seine Mitwirkung an der Meinungsbildung und dieser Beitrag betrachtet die Thematik aus Sicht eines Experten, der als Verwaltungsrichter durch Vorlageanfragen an den EuGH bereits selbst zur Klarheit in Auslegungsfragen sorgte.
5.4 Ist Anonymisierung möglich?
Damit befasst sich dieser Fachbeitrag, der dies auch am Beispiel von unstrukturierten Daten betrachtet.
5.5 Rechtsformen für Datentreuhänder
Wie können Datennutzungsmöglichkeiten vertrauensvoll ausgeschöpft werden? Immer wieder taucht dabei der Begriff „Datentreuhänder“ auf. Das BMBF fördert nun ein Forschungsprojekt, um herausfinden zu lassen, welche Rechtsformen sich dafür anbieten. Die Pressemeldung dazu finden Sie hier.
5.6 Sommerakademie: Ist der Datenschutz fit für KI & Co.?
Die Vorträge der diesjährigen Sommerakademie sind nun als pdf auf den Seiten des ULD verfügbar.
5.7 Umfasst ein Werbewiderspruch auch Staatstrojaner?
Die Frage drängt sich fast auf, wenn wie hier darüber berichtet wird, dass mittels eingespielter Werbung auf Webseiten auch Trojaner im Auftrag der Regierung auf Geräten platziert werden. Aber die Antwort kann ich mir fast schon denken.
5.8 Luftbildaufnahmen und „Panoramafreiheit“
Was für juristische Laien etwas kryptisch klingt behandelt einfach folgende Frage: Sind bei Luftbildaufnahmen Rechte anderer z.B. aus dem Urheberrecht zu beachten? Die Rechtsprechung ist da bisher uneins. Den aktuellen Stand dazu lesen Sie hier.
5.9 Verschlüsselten Peer-to-Peer-Datenaustausch in Apps
Wie gelingt ein verschlüsselter Peer-to-Peer-Austausch? Das Hackerkollektiv „Cult oft he Dead Cow“ hat dazu Hilfestellungen laut diesem Bericht veröffentlicht. Basis ist dafür das frisch veröffentlichte „Decentralized Application Framework“ Veilid.
5.10 Microsoft und ein data leak
Bis wir hier so etwas berichten, ist es sicher nicht mehr ganz neu. So auch diese Information zum Umfang einer Datenpanne bei Microsoft. Auf eine Datenpanne mehr oder weniger kommt es jetzt auch nicht mehr an.
5.11 DAV: Stellungnahme zum Digitalen Euro
In seiner Stellungnahme zum Vorschlag für eine Verordnung zur Einführung des digitalen Euro kritisiert der DAV u.a. die unzureichenden Absicherung vor einer unangemessene Überwachung des Zahlungsverkehrs und sieht bei der Umsetzung datenschutzrechtlicher Anforderungen deutlichen Verbesserungsbedarf.
5.12 Stiftung Datenschutz: Neue Webseiten für KMU
Die Stiftung Datenschutz hat ihre Webseiten mit Informationen für kleine Unternehmen neu gestaltet. In zwölf Schritten werden die Anforderungen der DS-GVO mit Erläuterungen und Arbeitshilfen vermittelt.
5.13 Was wird gewesen sein? Rechtliche Visionen
Welche reizvolle Idee! Ein Rückblick aus der Zukunft auf die Gegenwart. Und dabei auch die disruptiven Änderungen auf technischer Ebene im Blick. Nicht ohne Grund wird auch ein Kapitel mit „Drohender Wirkungsverlust des Rechts: Die normative Kraft des Faktischen“ formuliert. Aber der Beitrag befasst sich auch mit Vorschlägen dem Steuerungsverlust des Rechts zu begegnen. Das frei verfügbare Werk finden Sie hier.
5.14 Whitepaper zur visuellen Kommunikation
Was ist bei der visuellen Kommunikation mittels Bildern und Videos datenschutzrechtlich zu beachten? Damit befasst sich dieses Whitepaper, zu dem es auch eine Kurzversion und eine kostenlose Veranstaltung am 12.10.2023 gibt (siehe 5.20.6).
5.15 Report zu Datenmittlern (Intermediaries)
In einem Bericht der EU-Kommission werden die verschiedenen Arten von Datenvermittlern analysiert. Damit soll ein Beitrag zur Schaffung eines gemeinsamen Vokabulars zwischen EU-Politikern, Experten und Praktikern geleistet werden. Sechs Arten werden detailliert vorgestellt: Persönliche Informationsmanagementsysteme (PIMS), Datenkooperativen, Datentrusts, Datenunionen, Datenmarktplätze und Datenaustauschpools. Für jeden dieser Typen enthält der Bericht Informationen über die Funktionsweise, die wichtigsten Merkmale, Schlüsselbeispiele und Überlegungen zum Geschäftsmodell. Der Bericht stützt sich auf mehrere Perspektiven aus soziologischen, rechtlichen und wirtschaftlichen Disziplinen. Die Analyse stützt sich auf den Begriff der integrativen Datenverwaltung, der im jüngsten EU-Datenverwaltungsgesetz verankert ist, und wird anhand der wirtschaftlichen Literatur über Geschäftsmodelle problematisiert. Den 75-seitigen Bericht finden Sie hier.
5.16 Leitfaden zu Tracking und Cookies
5.17 Widerstände in der Digitalisierung und deren Überwindung
Welche Widerstände seitens der öffentlichen Verwaltung geltend gemacht werden können und wie damit umgegangen werden kann, soll hier beschrieben werden. Den ersten Widerstand spürte ich bei dem unzulässigen Consentbanner des Links, dem ich durch „Weitersurfen“ dann wohl zustimmte. Die anderen Erlebnisse bei der Nutzung waren dann aber besser.
5.18 Datenleck beim Lieferanten trifft auch Auftraggeber
Offensichtlich scheinen mehr Banken von dem Datenleck eines Kontowechsel-Dienstleisters betroffen zu sein, als anfangs angenommen. Zumindest nach den Berichten dazu.
5.19 WLAN: Sicher im Netz
Wer gerne auf freies WLAN zugreift, um sein mobiles Datenvolumen zu sparen, sollte sich der Sicherheitsrisiken dabei bewusst sein. Hier findet sich eine Darstellung, was passieren kann und wie man diese Risiken reduziert. Könnte meines Erachtens auch zum Anlass genommen werden, um mit dem eigenen Nachwuchs das Thema anzusprechen…
5.20 Veranstaltungen
5.20.1 CDRI: „CDR-Impuls Corporatecare“ -neu-
04.10.2023, 16:00 – 16:45 Uhr: Was versteht man unter der Unternehmensphilosophie „Corporatecare“ und welchen Einfluss hat sie auf die mentale Gesundheit? Dazu informiert die Corporate Digital Responsibility Initiative mit dem Siegerteam der Digital Future Challenge. Anmeldung hier.
5.20.2 LfDI Baden-Württemberg: „KI und Datenschutz“ -neu-
04. bis 06.10.2023: In Stuttgart bietet der LfDI BW an drei Tagen unter dem Titel „Menschendaten – Die Maschine spricht – wer verantwortet KI?“ Diskussionen und Workshops an. Teilnahme ist vor Ort und über das Streamingangebot möglich. Details und Anmeldung hier.
5.20.3 CDT: „The Future of Speech Online 2023: Generative AI” -neu-
04./05.10.2023: Jeweils 18:00 Uhr bis 20:30 Uhr finden Online-Vorträge des CDT (Center for Democracy & Technology) statt, in denen untersucht wird, wie eine „Menschen-)Rechte respektierende Zukunft geschaffen werden kann, in der Menschen von generativer KI profitieren. Es wird beleuchtet werden, wie diese Werkzeuge geschaffen und verwendet werden, welche Art von technischen, politischen und rechtlichen Garantien machbar sind und wie verschiedene Regulierungsansätze die Landschaft für Online-Rede prägen könnten. Weitere Informationen und die Anmeldung finden Sie hier.
5.20.4 Forum Privatheit: „Data Sharing – Datenkapitalismus by Default?“ -neu-
05./06.10.2023: In Berlin findet vor Ort die Jahreskonferenz des Forums Privatheit statt. Das Teilen von Daten (Data Sharing) ist notwendiger Bestandteil jeder Gesellschaft. Es ist die Grundlage gemeinsamer Kommunikation und Aktion. Allerdings werden Nutzer:innen auch aufgrund wirtschaftlicher Interessen der großen Plattformen, auf denen ein Großteil dieser Kommunikation stattfindet, zum (Over-)Sharing verleitet. Auch zahlreiche (wirtschafts-) politische Initiativen (bspw. GAIA-X, Mobility Data Space, European Health Data Space) beziehen sich auf Data Sharing. Das Teilen von Daten in diesem Kontext ist mit wirtschaftlichen Interessen verbunden und soll gleichzeitig Werte für das Gemeinwohl hervorbringen. Es gibt aber auch Ansätze, die es über dezentrale Architekturen und Gemeinschaften, Nutzer:innen, die diese Daten größtenteils produzieren, ermöglichen sollen, selbstbestimmt ihre Daten zu teilen. Allerdings werden die geteilten Daten heute meist von zentralisierten Plattformen beherrscht, die von großen, internationalen Branchenakteuren kontrolliert werden, statt über dezentrale Architekturen und Gemeinschaften, die diese Daten größtenteils produzieren. „Sharing“ bedeutet in diesem Kontext dann zumeist das Zur-Verfügung-Stellen von Nutzungsdaten, mit denen die großen Branchenakteure in der Folge exklusiv arbeiten können. Das alles und noch viel mehr wird auf der Jahreskonferenz vor Ort thematisiert. Details und Anmeldung hier.
5.20.5 Stiftung Datenschutz – „Rechtssicherheit durch Verhaltensregeln: Trusted Data Processor“ -neu-
11.10.2023, 13:00 – 14:00 Uhr: Verhaltensregeln gelten als wichtiges Instrument, um Rechtssicherheit in rechtlichen Umsetzungen sicherzustellen. Wie dies bei der Beauftragung von Auftragsverarbeitern eingesetzt werden kann, wird am konkreten Beispiel des Trusted Data Processors online erläutert. Weitere Informationen und Anmeldung hier.
5.20.6 Research Institute: „Panel-Diskussion zum Whitepaper zur visuellen Kommunikation“ -neu-
12.10.2023, ab 13:00 Uhr: Wie unter 5.14 bereits berichtet wurde durch das Research Institute ein Whitepaper zu den datenschutzrechtlichen Rahmenbedingungen bei visueller Kommunikation mittels Bildern und Videos veröffentlicht. Am 12.10.2023 findet eine Panel-Diskussion zum Whitepaper statt. Weitere Informationen und Anmeldung hier.
5.20.7 Universität Wien: „Data Act vs. DS-GVO“
12.10.2023, 17:00 – 19:30 Uhr in Wien: Unter dem Dach des Instituts für Innovation und Digitalisierung im Recht der Universität Wien wird die Veranstaltungsreihe „Forum Datenrecht“ ins Leben gerufen. Der Titel des ersten Treffens lautet: „Data Act vs. DS-GVO – schaffen wir ein innovationsfreundliches Umfeld?“ Dabei tauschen sich Experten aus Wirtschaft, Wissenschaft und Aufsicht aus. Weitere Informationen zu Teilnehmenden und Anmeldung hier.
5.20.8 SDTB: Road Show „Digital – aber sicher!“ -neu-
16.10.2023, 16:30 – 21:00 Uhr: Ab dem 16.10.2023 finden durch die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) zahlreiche Veranstaltungen statt. Neben dem Auftakt am 16. Oktober von 16:30 Uhr bis 21:00 Uhr in Dresden (Details hier) folgen zahlreiche Termine vor Ort, die Sie hier einsehen können.
5.20.9 „Masterclass: Sie fragen, wir antworten!“
10.11.2023, 16:00 – 17:30 Uhr in Düsseldorf: Ein Beratungsunternehmen bietet hier einen Service, der vor Ort kostenlos angenommen werden kann. Details und Anmeldung hier.
5.20.10 LfDI Baden-Württemberg: Datenpannen-Management
13.11.2023, 15:30 – 17:00 Uhr in Stuttgart und online: Wann liegt eine sogenannte Datenpanne vor? Und was ist im Ernstfall zu tun? In welchen Fällen müssen auch Betroffene benachrichtigt werden? Mit diesem Problem sind Sie nicht allein – aufgrund der großen Nachfrage bietet der LfDI Baden-Württemberg seine Grundlagenschulung zum Datenpannen-Management erneut an. Im Mittelpunkt stehen die datenschutzrechtlichen Anforderungen an den Umgang mit Datenpannen und deren praktische Umsetzung im Rahmen eines Datenpannen-Managements. Der Schwerpunkt liegt auf den Bereichen Wirtschaft und Gesundheitswesen mit anschaulichen Beispielen zu den jeweiligen Besonderheiten. Weitere Informationen und Anmeldung sind hier zu finden.
5.20.11 MfK: Ausstellung in Nürnberg zu Bildern durch KI
Bis 14.01.2024 in Nürnberg: Allen, die sich mit den Konsequenzen der Künstlichen Intelligenz bei der Gestaltung von Bildern befassen wollen, sei die Ausstellung „New Realities“ im Nürnberger Museum für Kommunikation empfohlen, die bis 14. Januar 2024 zu sehen ist. Sie führt Besucher auf eine interaktive Reise durch drei Bilderserien, die mit KI errechnet wurden.
6 Gesellschaftspolitische Diskussionen
6.1 Kinder tracken – Helikoptereltern online
Zum Schulanfang verlassen viele Kinder die gewohnte Umgebung, sei es bei der Einschulung oder beim Übergang zur weiterführenden Schule. Und Eltern fürchten um Kontrollverlust. Dafür gibt es ja Tracking-Techniken, die hier beschrieben werden, nebst einer kurzen Betrachtung der rechtlichen Situation dazu. Was wieder mal nur angeschnitten wird, sind die rechtlichen Rahmenbedingungen der eingesetzten Dienstleister – welche Daten nutzen diese zu welchen Zwecken? Und zwar nicht nur die Standortdaten.
6.2 Hochschulwettbewerb zu Corporate Digital Responsibility
„Shaping the Digital Future“ ist das Motto des Hochschulwettbewerbs, in dem Student:innen an Hochschulen aufgefordert sind innovative Ideen und Ansätze zum Thema Corporate Digital Responsibility zu entwickeln und damit unsere digitale Zukunft wegweisend mitzugestalten! Zu den Themenbereichen Ökologie (Welchen Beitrag kann KI zur ressourcen- und klimaschonenden Nachhaltigkeit leisten?), Soziales (Wie können KI-Systeme so entwickelt werden, dass sie die sozialen Auswirkungen berücksichtigen?) und Governance (Welchen Beitrag kann KI zur resilienteren Governance leisten) können bis 29. November 2023 Lösungsideen zu einem der Use Cases eingereicht werden.
7 Sonstiges/Blick über den Tellerrand
7.1 Mehr Bildschirm – weniger draußen…
… führt vielleicht auch zu mehr Informatiker:innern, sicherer aber wohl eher zu mehr Kurzsichtigkeit bei Kindern und Jugendlichen. Zumindest, wenn es nach dieser Studie geht, über die hier berichtet wird. Die Maßnahmen während der Pandemie waren sicherlich auch nicht immer dazu geeignet den Raum zu verlassen und den Augen etwas Abwechslung zu gönnen.
7.2 Datenkompetenz – Data Literacy Education
In dieser Zusammenstellung werden Formate, Tools und Ressourcen vorgestellt, die zur Vermittlung von Data Literacy genutzt werden können. Zudem wird auf Prozesse, Herausforderungen, Hindernisse und Lösungen für die strukturelle Einbindung von Data Literacy in der Hochschullehre eingegangen. Alle Inhalte stehen unter einer CC BY SA 4.0 Lizenz.
8. Franks Zugabe
8.1 Apropos ChatGPT …
Auch in diesem Blogbeitrag habe ich ein paar Meldungen rund um ChatGPT:
- Onlinebewertungen – „Vertraue keiner Bewertung, die ChatGPT zusammengefasst hat“ ist die Kernthese dieses Beitrags. Wobei, wer vertraut noch unreflektiert Onlinebewertungen?
- Der Bundesbeauftragte für den Datenschutz Ulrich Kelber fordert den Datenschutz gegen die Datensammelei von KI-Systemen (wie ChatGPT) durchzusetzen.
- KI und Pilze? Selten eine gute Idee…
- Und dann war da noch das ChatGPT-powered BotNet in X.
- Wenn ChatGPT mit Dir spricht – Oder: Wie es sich wohl anfühlt, Joaquin Phoenix aus „Her“ zu sein… Ob es auch die Stimme von Scarlett Johansson zur Auswahl gibt?
- The Road to hell is paved with good intentions – OpenAI lässt ChatGPT ins Internet. Was soll da schon schief gehen?
- Und dann noch zum Abschluss das hier: iPhone der KI?
8.2 Apropos KI …
Ebenso wie Meldungen zu KI allgemein:
- KI in der Justiz? Tolle Idee, CDU… Und als nächstes dann RoboCop?
- Meanwhile in Bavaria … Künstliche Intelligenz kämpft gegen Fake Shops im Internet. Na dann…
- Dann können wir ja auch gleich KI nutzen, um Kennzeichen zu scannen, oder?
- Ach ja, gemäß der SPD gibt es im Jahr 2035 keine Arbeitsplätze mehr ohne KI (wann gehe ich nochmal in Rente?)…
- Apropos Berufswelt: So geht es (zumindest manche) KI-gestützte Bewerbungsportale zu hacken. Wobei, deswegen haben Sie ja noch nicht den Job…
- Das ist doch mal ein kreativer Hack: “The researchers’ malware, called EarSpy, used machine learning algorithms to filter a surprising amount of caller information from ear speaker vibration data recorded by an Android smartphone’s own motion sensors—and did so without overcoming any safeguards or needing user permissions.”
- Ach ja, Microsoft und ein data leak, also die 38 TB Daten. Da ging es wohl um Trainingsdaten für KI. Kann man nichts machen und kann ja mal passieren…
- Apropos Businessdaten: Gibts das auch mit KI? 70% Trefferquote? Hört sich toll an…
- So geht Cancel-Culture: Lindner (FDP) cancelt FIU-KI-Projekt… Moment, FIU, da war doch auch was…
- Three books a day keeps the cheating AI away? Wie Amazon versucht, den KI-generierten Büchern Herr zu werden…
- Hier ist ein spannendes Essay zur KI: Sechs Wegmarken, die eine neue Ära von KI angetriebener demokratischer Politik einläuten.
- Und passend dazu dieses Essay: Der Bedarf an vertrauenswürdiger KI.
- Wenn KI-Systeme genutzt werden, um KI-Systeme zu hacken…
- Und zum Abschluss noch ein englischer Videopodcast von dw.com (der Deutschen Welle, ca. 43 Minuten) u.a. darüber, ob die Menschen KI-kontrollierte soziale Roboter akzeptieren werden, die in der Dienstleistungsbranche arbeiten oder diejenigen unterhalten, die Pflege benötigen?
8.3 Gibt’s das auch mit Cloud? – Heute: Excel
Genauer gesagt, Excel mit Python. Na ja, warum auch nicht… Lasst uns ausführbaren Code in Excel-Tabellen aus der Cloud nachladen. Was kann dabei schon schiefgehen…
8.4 Social-Media-Nutzung und Entzündungen
Nach dieser Studie hängt der Umfang von Social-Media-Nutzung vielleicht davon ab, ob wir eine Entzündung im Körper haben, auf die hin die Leber ein spezielles Protein ausschüttet, was die Menschen die Nähe anderer Menschen suchen lässt, woraufhin diese sich verstärkt mit anderen via Social-Media-Diensten austauschen und vernetzen… Oha.
8.5 Thermal Attack
Bei der diesjährigen USENIX Security Symposium Conference in Anaheim, Kalifornien, gab es einen Vortrag mit 15 Strategien gegen thermale Attacken (wenn z.B. per Wäremebildkamera geschaut wird, welche Tasten zuletzt gedrückt wurden).
8.6 QR-Code Pishing-Attacke
Immer wieder gut für Sensibilisierungsveranstaltungen: Angriffe per QR-Code in E-Mails.
8.7 Manchmal reicht auch ein Telefonat…
Zumindest beim MGM-Hack war wohl ein Zehn-Minuten-Telefonat der Start des Debakels.
8.8 Ein Auto darf keine Wanze sein
8.9 The End of Privacy is a Taylor Swift Fan TikTok Account Armed with Facial Recognition Tech
Was für eine Zeit, in der wir da leben… hier können Sie die Geschichte zur Überschrift nachlesen.
8.10 Und noch ein paar Informationen zu Telegram
Einmal von der Polizei (hier kommentiert), einmal ein für Telegram-Nutzer:innen sehenswertes Video (Telegram Isn’t As Private As You Think, knapp zehn Minuten, YouTube).
8.11 Ein Abgesang auf NFTs
Zumindest eine Würdigung mit zeitlichem Abstand: Des Kaisers neue NFTs
8.12 Parmesan Anti-Forgery Protection
Lecker, essbare RFID-Chips. Deswegen, liebe Kinder, essen wir nie die Rinde vom Parmesan!
8.13 Eine Taube ist doch schneller als Gigabit-Internet?
Wir alle kennen diesen Aprilscherz, der als RFC 1149 berühmt wurde. Und natürlich wurde das damals auch getestet.
Aber, heutzutage gewinnt scheinbar die Taube. Warum, fragen Sie? Nun ja, solange die Distanzen nicht zu groß sind (bis ca. 1000 km), hilft die Größe (oder exakter gesagt, die Speicherdichte) moderner Speichermedien (3 TB-Flashmedium). Also, wenn mal alles zusammenbricht… Tauben helfen.
(Zumindest beim Wissenstransfer, nicht bei der Echtzeitkommunikation.)
9. Die guten Nachrichten zum Schluss
9.1 Azubis und der Datenschutz
Das ist doch mal eine gute Nachricht! Azubis wird bei dieser Initiative der IHK Lippe zu Detmold von Anfang an das Thema Datenschutz als gestaltende, erfolgversprechende Rahmenbedingung vermittelt, bevor der Datenschutz wieder zu spät nur als Show-Stopper aufgrund unzureichendem Projektmanagement wahrgenommen wird.
9.2 Medienkompetenz im Gespräch
Das Bewusstsein, dass wir verantwortungsvoller mit den neuen Medien umgehen müssen, die Daten verarbeiten, erreicht immer weitere Kreise. Medienkompetenz bedeutet eben auch mal etwas ablehnen zu können, wenn es nicht (rechts)sicher ist. Hoffen wir, dass diese Erkenntnis auch die Bereiche der Unternehmen erfasst, die zwar die Risiken für Kinder und Jugendliche wahrnehmen und in Sonntagsreden auf Gefahren hinweisen, aber trotzdem munter glauben ohne Facebook Instagram, TikTok etc. nicht wahrgenommen zu werden.