Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 39/2023)“
Hier ist der 76. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 39/2023)“.
- Aufsichtsbehörden
- EDPS: Aktivitäten zum Cybersecurity Month
- Hamburg: Der HmbBfDI im Gespräch zu KI, Datenschutz und Regulierung
- LfDI Rheinland-Pfalz: Weitere Amtszeit des LfDI Rheinland-Pfalz
- Prüfungsmaßstab Kirchlicher Datenschutz
- BfDI: Pressemitteilung zur FIU
- BSI: Umfrage zu KRITIS
- Norwegen: Bußgeld gegen Grindr bestätigt
- Kanada: Keine Privilegierung der Suchmaschine von Google
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Microsoft: Aktualisierte Subunternehmer
- Microsoft: Betroffen durch den Cyberangriff
- NIST: Privacy Enhanced Distributed Ledger Technology
- Nutzung von Daten Verstorbener
- Wieder mal: Führungskräfte und Vorbildfunktion
- Schadenersatzrisiko bei Nutzung von Daten zu anderen Zwecken
- Berufsrechtliches Handbuch der Steuerberater:innen: Umgang mit personenbezogenen Daten
- Auswertung von WhatsApp-Chatgruppen bei internen Ermittlungen
- Aufzeichnung des „Privacy Ring“ vom September 2023
- Veranstaltungen
- Stiftung Datenschutz – „Rechtssicherheit durch Verhaltensregeln: Trusted Data Processor“
- Politisches Herbstforum des BfDI: „Demokratie und Persönlichkeitsrechte im Metaversum“ -neu-
- Research Institute: „Panel-Diskussion zum Whitepaper zur visuellen Kommunikation“
- Universität Wien: „Data Act vs. DS-GVO“
- LDA Brandenburg: Symposium in Potsdam „Portale, Register, Plattformen – digital und transparent?“ -neu-
- SDTB: Road Show „Digital – aber sicher!“
- Stiftung Datenschutz : Termine im November für Datenschutz im Ehrenamt -neu-
- „Masterclass: Sie fragen, wir antworten!“
- LfDI Baden-Württemberg: Datenpannen-Management
- MfK: Ausstellung in Nürnberg zu Bildern durch KI
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Aktivitäten zum Cybersecurity Month
Der Europäische Datenschutzbeauftragte (EDPS) informiert auf seiner Webseite, dass Datenschutz und Cybersicherheit zusammengehören, um einen wirksamen Schutz zu erwirken. Daher sind Maßnahmen nicht nur auf den Cybersecurity Monat Oktober zu begrenzen, sondern erfordern ein kontinuierliches Management.
1.2 Hamburg: Der HmbBfDI im Gespräch zu KI, Datenschutz und Regulierung
Im Videogespräch mit einer Kanzlei wird der Hamburger Datenschutzbeauftragte zu den Fragen KI, Datenschutz und Regulierungstrends interviewt (Dauer ca. 32. Min.). Thematisiert werden u.a. Beratungsangebote für den öffentlichen Bereich, Pur-Abos für Webseitenangebote, der AI Act, Gesundheitsdaten und Prüfungen durch die Aufsicht. Er äußert sich auch zu den Fragen der Zuständigkeit der Aufsicht bei dem Einsatz von Künstlicher Intelligenz.
1.3 LfDI Rheinland-Pfalz: Weitere Amtszeit des LfDI Rheinland-Pfalz
Der LfDI Rheinland-Pfalz wurde für weitere acht Jahre benannt. Er beginnt diese mit einem Appell, dass öffentliche Stellen von datenschutzrechtlich problematischen Plattformen Abstand nehmen sollen.
1.4 Prüfungsmaßstab Kirchlicher Datenschutz
Kirchlicher Datenschutz nach Art. 91 DS-GVO ist immer noch sehr umstritten. Müssen alle Anforderungen des Art. 91 Abs. 1 erfüllt sein und wie verhält es sich dann mit dem Gleichbehandlungsgrundsatz mit anderen bestehenden Religionsgemeinschaften? Über „Frag-den-Staat“ ist ein Dokument der LDI NRW veröffentlicht worden, aus dem zu entnehmen ist, dass die LDI NRW den Art. 91 DS-GVO als Maßnahme zum Bestandschutz bereits bestehender Reglungen ansieht. Das Dokument umfasst die Prüfung, ist als Teil der Prüfung der Religionsgemeinschaft der Alt-Katholiken gekennzeichnet und daher an einigen Stellen geschwärzt. Eine – wie immer – empfehlenswerte Besprechung dieses Dokuments findet sich hier. Passenderweise ist der Autor dieser Webseite auch zum kirchlichen Datenschutz bei diesem Podcast (Dauer ca. 70 Min.) zu Gast.
1.5 BfDI: Pressemitteilung zur FIU
Über das Gesetzgebungsverfahren zu Verbesserungen bei der Financial Intelligence Unit (FIU), die für die Datenauswertung zur Bekämpfung von Terrorismusfinanzierung und Geldwäsche zuständig ist, hatten wir bereits berichtet. Nun hat auch der BfDI seine Ansicht dazu veröffentlicht, in der er kritisiert, dass der Gesetzentwurf keine klaren Regeln vorgibt, unter welchen Bedingungen automatisierte Datenanalysen erfolgen dürfen. Mit dem Gesetzentwurf würden auf Bundesebene erstmals Befugnisse für die Durchführung automatisierter Datenanalysen zur Bekämpfung von Straftaten geschaffen. Dies beinhaltet auch den Einsatz selbstlernender Systeme. Die FIU verarbeitet eine immense Anzahl von Geldwäscheverdachtsmeldungen, von denen – neben dem ohnehin schon sehr großen Anteil von Falschalarmen – eine Vielzahl Bagatellfälle oder nicht strafbar sind. Gleichzeitig sei eine Datenanalyse und Auswertung durch die FIU durch ihre umfangreichen Befugnisse ein schwerwiegender Eingriff in das Recht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger. Der Einsatz selbstlernender Systeme erhöhe diese Eingriffsintensität zusätzlich und sollte nur unter besonderen Schutzvorkehrungen in Betracht kommen.
1.6 BSI: Umfrage zu KRITIS
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führte in Zusammenarbeit mit einem Dienstleister für Markt- und Meinungsforschung im Auftrag des Bundesministeriums des Innern und für Heimat (BMI) eine Erhebung bei KRITIS-Betreibern zur Wirksamkeit der gesetzlichen Maßnahmen des IT-Sicherheitsgesetzes durch. Betreiber Kritischer Infrastruktur hatten die Möglichkeit an der Online-Befragung zur Evaluierung des IT-Sicherheitsgesetzes 2.0 teilzunehmen. Insgesamt haben mehr als 45 Prozent der zur Teilnahme eingeladenen Betreiber die Fragen beantwortet. Diese hohe Beteiligungsquote zeigt, welchen Stellenwert das Thema IT-Sicherheit und die entsprechenden gesetzlichen Regelungen haben. Ein zentrales Ergebnis der Befragung ist, dass die Vorgaben des BSI-Gesetzes eine hohe Akzeptanz bei den Betreibern Kritischer Infrastrukturen haben. So halten neun von zehn Betreibern die Maßnahmen für sinnvoll. Ebenfalls bestätigen drei Viertel der Betreiber einen positiven Einfluss auf die IT-Sicherheit in ihrem Unternehmen. Die Befragung hat außerdem gezeigt, dass das Thema Informationssicherheit im Zuge der Digitalisierung für beinahe alle Betreiber eine große Rolle spielt und mehrheitlich von Anfang an mitgedacht wird. Einen Bericht darüber lesen Sie hier.
1.7 Norwegen: Bußgeld gegen Grindr bestätigt
Die Entscheidung der norwegischen Datenschutzaufsicht, den Betreiber einer Dating-App für Homosexuelle mit einem Bußgeld in Höhe von ca. 5,8 Mio. Euro zu belegen, wurde durch die Berufungsinstanz bestätigt. Vorgeworfen wurde Grindr, dass Daten aus der Nutzung wie Standortdaten an Werbepartner weitergegeben wurden, ohne dass die dafür erforderlichen rechtlichen Anforderungen eingehalten wurden.
1.8 Kanada: Keine Privilegierung der Suchmaschine von Google
Die kanadische Datenschutzaufsicht begrüßt die Entscheidung des Bundesberufungsgerichts, dass die Suchmaschine von Google der kanadischen Datenschutzaufsicht unterliegt. Das Gericht stimme mit der Position des Amtes überein, dass Google nicht durch die Ausnahmeregelung für journalistische Zwecke vom Personal Information Protection and Electronic Documents Act (PIPEDA), Kanadas Bundesgesetz zum Schutz der Privatsphäre des privaten Sektors, ausgenommen sei. Das „Recht auf Vergessenwerden“ ist damit auch dort durchsetzbar.
2 Rechtsprechung
2.1 LAG BW: Anwendungsbereich des Art. 26 DS-GVO und Aussagen zur Löschpflicht
Aus dem Urteil des LAG Baden-Württemberg ergeben sich mehrere interessante Aussagen: Nach einem beendeten Ausbildungsverhältnis stritten sich der ehemals Beschäftigte und der frühere Arbeitgeber um die Entfernung einer Abmahnung aus der Personalakte, eine Auskunftserteilung sowie die Zahlung einer Entschädigung wegen unterbliebener Auskunftserteilung. Die Details können Sie im Urteil nachlesen.
Im Ergebnis ist die Abmahnung aus der Personalakte zu entfernen und dem Kläger werden 2.500 Euro immateriellen Schadenersatz zugesprochen, weil ein Auskunftsanspruch nicht erfüllt wurde. Dabei stellt das Gericht fest, dass ein Auskunftsanspruch nicht deshalb unbeachtet bleiben darf, weil für die Erfüllung eine zu kurze Frist gesetzt wurde (hier 9 Tage) (RN 85). Auch sieht es den Alleingesellschafter des Arbeitgebers zusammen mit dem Arbeitgeber als gemeinsamen Verantwortlichen nach Art. 4 Nr. 7 DS-GVO für diesen Anspruch, da dieser dem Kläger einen USB-Stick abgenommen, darauf befindliche Daten gesichert und gelöscht hatte und die Abmahnung mit „Inhaber“ unterzeichnete (RN 82 ff). Das Gericht bejahte für den immateriellen Schadenersatzanspruch auch eine erhebliche immaterielle Beeinträchtigung für den Kläger (RN 97).
2.2 VGH München: Berichtigungsanspruch auf Geburtsdatum
Der VGH München hatte einen Fall zu entscheiden, unter welchen Voraussetzungen ein Geburtsdatum im Melderegister über Art. 16 DS-GVO korrigiert werden könnte. Genaugenommen behandelte der VHG München die Frage, ob Prozesskostenhilfe zu Unrecht versagt wurde. Dazu prüft das Gericht die Erfolgsaussichten der eigentlichen Klage. Und in Bezug auf das Verlangen, dass ein Geburtsdatum im Melderegister geändert wird, stellt der VGH fest, dass sich aus Art. 5 Abs. 1 Buchst. d i.V.m. Abs. 2 DS-GVO eine Beweislastregel für die Richtigkeit des nach dem Begehren der betroffenen Person neu einzutragenden Datums ergebe. Der für die Datenverarbeitung Verantwortliche kann nur zur Verarbeitung solcher personenbezogenen Daten verpflichtet sein, deren Richtigkeit sich feststellen lässt. Ist dies nicht der Fall, könne der Anspruchsteller keine Berichtigung verlangen und die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung er verlangt, gehe zu seinen Lasten. Da dem VGH München die Darstellung für eine Änderung der Eintragung nicht überzeugend genug erschien, wurde die Beschwerde gegen die Ablehnung der Prozesskostenhilfe zurückgewiesen.
2.3 Frankreich: Haftstrafe für Datenmissbrauch
Hier wird über einen Fall aus Frankreich berichtet, in welchem eine ehemalige Personalchefin eines Unternehmen zu sechs Monaten Haft auf Bewährung verurteilt wurde, weil sie ohne Wissen der betroffenen Personen Daten zu 180 Beschäftigten in einer Excelliste sammelte, bei denen es um persönliche und meist diffamierende Kommentare zu diesen Personen ging, wie „Faulpelz“ oder „Verdacht auf Alkoholismus“, „schlechte Lebenshygiene“. Der Fall sei damit jedoch noch nicht abgeschlossen. Die Anwälte von rund 100 Vinci-Beschäftigten fordern nun, dass der Fall wegen zivilrechtlicher Ansprüche weiterverfolgt werde und dass auch das Unternehmen zur Zahlung von Entschädigungen an die illegal registrierten Arbeitnehmer verurteilt werden sollte.
Eine Strafvorschrift bezogen auf unberechtigte Verarbeitung personenbezogener Daten gibt es auch im BDSG (§ 42 BDSG), wird aber selten angewandt
2.4 BVwG Österreich: Bilder von falsch parkenden Kfz
Nicht nur in Bayern und Rheinland-Pfalz ist es ein Thema, ob Fotoaufnahmen durch Privatpersonen zur Dokumentation von Parkverstößen zulässig sind und welche Regulatorik dabei anzuwenden ist. Auch in Österreich gelangte bereits 2022 ein Fall vor das Bundesverwaltungsgericht. Dabei spielte es offenbar keine Rolle, dass das fotografierte und mutmaßlich falsch geparkte Fahrzeug ein deutsches Kennzeichen hatte. Das BVwG nahm die Zulässigkeit zur Wahrung berechtigter Interessen an (Ziffer 2.2.1) und stellte auch fest, dass die aufnehmende Person im Wesentlichen auch den Informationspflichten aus Art. 13 DS-GVO nachkam, indem der Zweck erläutert wurde und die Identität des Verantwortlichen über spätere Akteneinsicht im Verfahren wahrgenommen werden konnte. Festgehalten wurde zudem, dass es der aufnehmenden Person aufgrund der aufgeheizten Konfliktsituation nicht zumutbar gewesen sei den betroffenen Personen sämtliche Informationen unmittelbar, explizit und detailliert mitzuteilen (Ziffer 2.2.2).
2.5 Kalifornien: Streitbeilegung mit Google über Täuschung der Verbraucher
Berichten zufolge erreichte Google durch die Zahlung von 93 Mio $ eine Streitbelegung mit Kalifornien in einem Verfahren, in welchem Google vorgeworfen wurde Verbraucher über seine Praktiken der Standortverfolgung irregeführt zu haben. Google hätte die Personen in dem Glauben gelassen, sie hätten die Kontrolle darüber, wie Google ihre persönlichen Daten sammelt und verwendet. Google sei in der Lage gewesen Profile von Menschen zu erstellen und sie mit Werbung anzusprechen, selbst wenn sie ihre Einstellungen für den Standortverlauf deaktiviert hatten, und dass es die Menschen darüber täuschte, dass sie unerwünschte Werbung blockieren konnten.
3 Gesetzgebung
3.1 BMI: NIS2-Diskussionspapier
Das Bundesministerium des Innern und für Heimat hat eine Diskussionspapier für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie mit Stand 27.09.2023 erstellt. Die Fassung des § 38 BSIG-E weicht nun doch etwas ab (im Diskussionspapier auf Seite 16), von der bisher diskutierten Version (hier auf Seite 118). Die Einschränkung aus der früheren Fassung in Abs. 1 „Die Beauftragung eines Dritten zu Erfüllung der Verpflichtungen nach Satz 1 ist nicht zulässig.“ ist nun nicht mehr vorhanden.
3.2 DSA: Wer ist „sehr große Plattform“?
Der Digital Service Act (DAS) soll Plattformen regulieren., Wer darunterfällt, richtet sich nach dem Umfang der Aktivitäten (z.B. Nutzerzahlen), die durch die EU-Kommission geprüft und veröffentlicht werden. So fallen Plattformen wie Alibaba, AliExpress, Amazon, der App Store von Apple, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube und Zalando nach der Entscheidung der EU-Kommission im April 2023 darunter. Diese müssen u.a. nach Art. 39 DSA ein Online-Verzeichnis angezeigter Reklame führen, das Auskunft über Auftraggeber und Zielgruppen gibt.
Na ja – nicht ganz: Amazon hat einen Beschluss des EuGH (T-367/23 R) erreicht, nach dem Amazon vorerst kein Anzeigenverzeichnis nach Art. 39 des DSA öffentlich zugänglich machen muss.
3.3 AI Act – KI-Verordnung: Synopse auf Deutsch
Als Hilfestellung für das Verständnis der Diskussionen im Trilog hat eine Kanzlei die Fassung der Kommission, des Europäischen Parlamentes sowie des Rates in einer Synopse zusammengefasst und in einer deutschen Fassung veröffentlicht. Auch der Hinweis, dass dies keine offizielle Fassung sei, darf natürlich nicht fehlen.
3.4 Wissenschaftlicher Dienst: Zur Publizität des Handelsregisters
Im letzten Jahr gab es viel Verdruss über öffentlich zugängliche Angaben zu Personen im Handels- und Vereinsregister (wir berichteten), nachdem diese Daten online öffentlich abrufbar wurden. Gerade Vertreter:innen der Wirtschaft, die sonst nicht müde werden die Bedeutung des Zugangs zu Daten als wertvolle Ressource zu preisen, haben eine andere Einschätzung, wenn es um eigene Daten geht, und erhielten dazu Tipps zu ihren Rechten als betroffene Person. Doch auch die Politik erkannte das Dilemma und bemühte sich Abhilfe zu schaffen. Mit dieser Thematik befasst sich auch ein Gutachten des Wissenschaftlichen Dienstes des Bundestags mit dem Titel „Die Publizität des Handelsregisters im Lichte des Datenschutzrechts“. Im Ergebnis wird der Eingriff in Datenschutzrechte der betroffenen Personen durch die Eintragung ihrer Personalien in das Handelsregister als verhältnismäßig und gerechtfertigt angesehen. Letztendlich solle dies aber auf das absolut erforderliche Maß begrenzt werden. Scheint also doch über die datenschutzrechtlichen Anforderungen der Datenminimierung und Datensparsamkeit lösbar zu sein.
3.5 Empfehlungen der EU-Kommission für kritische Technologiebereiche („Horizont Europa“)
Die EU-Kommission hat in ihrem Durchführungsbeschluss zu einem Rechtsakt (C (2022)7550) ein Arbeitsprogramm zur Durchführung von „Horizont Europa“ mit den Zielen, Prioritäten, Budgets und Ausschreibungen für verschiedene Bereiche festgelegt, wie z.B. Gesundheit, Klima, Energie, Mobilität, Kultur, Sicherheit und Digitalisierung. Das Arbeitsprogramm soll die wissenschaftliche Exzellenz fördern, die gesellschaftlichen Herausforderungen angehen und die Wettbewerbsfähigkeit der Union stärken. Für die Technologiebereiche, die für die wirtschaftliche Sicherheit der EU von entscheidender Bedeutung sind, wurden nun die Empfehlungen der Kommission veröffentlicht, um mit den Mitgliedsstaaten die weitere Risikobewertung durchzuführen.
4 Künstliche Intelligenz und Ethik
4.1 Sechs ethische Aspekte künstlicher Intelligenz
Gerade in der medizinischen Nutzung von Daten ist das Vertrauen in eine ethische Nutzung schier unerlässlich. Die Aspekte Transparenz, Zuverlässigkeit, Diskriminierungsfreiheit, Barrierefreiheit, Schutz der Privatsphäre und Verantwortlichkeit bilden das Herzstück dieser Diskussion über die ethischen Dimensionen der KI. Näheres dazu hier in einem Newsletter aus dem Jahr 2022. Wer sich mit Datenschutzthemen befasst, dürfte über diese Aspekte nicht überrascht sein.
4.2 IBM: AI Governance
Zunehmend befassen sich fast alle großen Hard- und Softwarehersteller mit der erforderlichen Regulatorik beim Einsatz von KI. IBM hat dazu eine spezielle Webseite erstellt, ein Papier veröffentlicht und geht auch öffentlichkeitswirksam mit diesem Thema um.
4.3 EY: Global AI Regulatory Landscape
Das Beratungsunternehmen EY veröffentlichte im September 2023 eine Darstellung der weltweiten Entwicklung regulatorischer Maßnahmen und Vorhaben zum Einsatz von Künstlicher Intelligenz. Sie finden den Report hier.
4.4 Evaluierung von LLM
Wie evaluiert man LLM? Darüber haben sich zwei Wissenschaftlerinnen an der Princeton University Gedanken gemacht und dazu Folien veröffentlicht. Sie betreiben übrigens auch den Snakeoil-Newsletter. In ihren Folien gehen sie von drei Herausforderungen bei der Evaluierung aus: 1. Die Sensitivität der Prompts, 2. die Konstruktvalidität und 3. das Kontaminationsproblem. Damit beschreiben sie (stark verkürzt), dass die Bewertung durch die Qualität der Prompts erschwert wird (1), dass die Aussagekraft der Messung auch von Nutzerinteraktionen und der Verteilung der Abfragen abhängt (2) und sie beschreiben die Gefahr, dass LLMs Antworten auswendig lernen anstatt Konzepte wirklich zu verstehen (3).
4.5 Schweiz: Externes Ethik Board
An welche Punkte sollte organisatorisch und inhaltlich gedacht werden, wenn ein externes Ethik-Board für digitale Fragestellungen eingerichtet wird? Damit befasst sich diese Publikation, die durch das Centre for Digital Responsibility veröffentlicht wurde und Beispiele und Handlungsempfehlungen für die Praxis enthält.
4.6 KI im Beschäftigungskontext
Welche Aspekte sind zu beachten, wenn Künstliche Intelligenz im Beschäftigungskontext eingesetzt wird? Damit befasst sich das Future of Privacy Forum und veröffentlicht über 18 Seiten Hinweise, die in 10 Highlights zusammengefasst werden.
4.7 Nachhaltigkeit bei Künstlicher Intelligenz
Auch vor der Künstlichen Intelligenz machen Nachhaltigkeitsüberlegungen nicht Halt. Und da sind sie sicher mehr als berechtigt. Details dazu lesen Sie hier.
4.8 Künstliche Intelligenz im Strafvollzug
Die Doppeldeutigkeit des Titels dieses Projektes gefällt mir, dabei geht es nur um Untersuchungen, wie Künstliche Intelligenz im Strafvoll sinnvoll und zur Entlastung eingesetzt werden kann. Projektteilnehmer waren u.a. das research institut in Wien.
4.9 KI im CallCenter
Der Einsatz wurde bisher eher nur in Fachkreisen diskutiert: Spracherkennung im Telefonkontakt. Nun erreicht die Diskussion auch breitere Bereiche der Gesellschaft. So nun auch hier in diesem ARD-Radio-Feature (51 Min.) und in diesem journalistischen Beitrag.
4.10 KI in der Schule
Mit welchen Hürden der Einsatz von KI in der Schule zu kämpfen hat, beschreibt dieser Beitrag. Dabei wird aber auch ein positives Beispiel genannt, wo ein KI-Assistent über einen Drittanbieter zentral angeboten wird und dadurch eine datenschutzkonforme Nutzung ermöglicht wird.
Franks Nachtrag: Apropos ChatGPT …
5 Veröffentlichungen
5.1 Microsoft: Aktualisierte Subunternehmer
Microsoft hat eine neue Sub-Liste, Stand 28.9.2023, veröffentlicht. Hier findet sich eine nicht-offizielle Gegenüberstellung der Änderungen zur Vorfassung.
5.2 Microsoft: Betroffen durch den Cyberangriff
Keiner weiß es genau, aber nach diesem Bericht sollen 60.000 Regierungsmails aufgrund des abhandenen gekommenen Keys von Microsoft unerlaubter Kenntnisnahme ausgesetzt gewesen sein. Und weil es keiner (außer den Angreifern natürlich) genau weiß, spricht der Bericht auch „von ersten Zahlen“ dazu.
5.3 NIST: Privacy Enhanced Distributed Ledger Technology
Das National Institut of Standards and Technology (NIST) der USA hat umfangreiche Arbeit in die Entwicklung einer datenschutzfreundlichen verteilten Ledger-Technologie investiert, die als Data Block Matrix (DBM oder Blockmatrix) bezeichnet wird. Eine Blockchain kann aufgrund der Unveränderlichkeit ein Problem aus Datenschutzsicht darstellen, wenn personenbezogene Daten in einer Blockchain nicht gelöscht werden können. Die Unveränderlichkeit kann aber auch ein Problem für die Sicherheit darstellen, wenn sicherheitsrelevante Informationen (insbesondere biometrische Daten) nicht gelöscht werden können. Die Lösung könnte in einer Hyperledger Fabric liegen, einer neuen Form der Distributed Ledger Technology (DLT), für die eine Datenblockmatrix entworfen und implementiert wurde, die die Integritätsgarantie von Blockchain bietet, aber eine kontrollierte Überarbeitung oder Löschung von Daten ermöglicht. Ihr findet die Erklärungen und Darstellung hier.
5.4 Nutzung Daten Verstorbener
Einfach gesagt gilt das Datenschutzrecht nur für Daten noch lebender („natürlicher“) Personen. Für verstorbene Personen gibt es noch einen „postmortalen Persönlichkeitsschutz“. Doch welche Datenschutzrechte gelten für Verstorbene? Dazu finden Sie hier Ausführungen. Und diese Überlegungen thematisieren die Nutzung der Daten, die sich in einer Cloud befinden aus US-Sicht. In Deutschland wurde zumindest in § 4 TTDSG geregelt, dass das Fernmeldegeheimnis der Wahrnehmung von Rechten der Erben gegen über Anbietern von Telekommunikation nicht entgegensteht.
5.5 Wieder mal: Führungskräfte und Vorbildfunktion
Die Metapher „der Fisch stinkt vom Kopf her“ wird oft gebraucht, wenn Missstände in Organisationen mit Verhalten der obersten Führungsebene begründet werden sollen. Nach diesem Bericht könnte dies auch bei den Organisationen herangezogen werden, die Gegenstand einer Untersuchung zum Verhalten auf Phishing-E-Mail-Attacken waren. Danach wächst zwar in Unternehmen die Sensibilisierung für IT-Sicherheit, es fallen aber immer noch viele auf Phishing-Mails herein – vor allem in den Führungsetagen. Origineller Weise gibt es den Report, auf den sich der Bericht beruft, nur gegen Angabe von Daten, die sich auch hervorragend für Phishing-E-Mails nutzen ließen. Also daher die Empfehlung: Kritische Wachsamkeit fördern und vorleben – in jeder Hierarchiestufe!
5.6 Schadenersatzrisiko bei Nutzung von Daten zu anderen Zwecken
Dass derzeit eine Klagewelle gegen Mobilfunkanbieter droht, die vermeintlich unzulässigerweise Daten der Kunden an Wirtschaftsauskunfteien wie die Schufa weitergeben, haben wir bereits berichtet. Nun gibt es erste Kanzleien, die auf die Klagemöglichkeiten hinweisen und über kostenlose Formulare für Verbraucher:innen eine Betroffenheitsprüfung anbieten und Ansprüche bis 5.000 Euro in Aussicht stellen.
Dies sollte für Verantwortliche und Auftragsverarbeiter zum Anlass genommen werden jede (!) Weitergabe und Nutzung von personenbezogenen Daten sorgfältig auf Zulässigkeit und Transparenz zu prüfen und zu dokumentieren.
5.7 Berufsrechtliches Handbuch der Steuerberater:innen: Umgang mit personenbezogenen Daten
Die Bundessteuerberaterkammer hat zusammen mit dem Deutschen Steuerberaterverband ihre Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater:innen und Steuerberatungsgesellschaften in einer aktualisierten Fassung veröffentlicht. Die Änderungen sind erfreulicherweise hervorgehoben. Zu einigen Punkten daraus gibt es hier eine Darstellung.
5.8 Auswertung von WhatsApp-Chatgruppen bei internen Ermittlungen
Darf ein Arbeitgeber E-Mail- und WhatsApp-Korrespondenz seiner Beschäftigten im Rahmen interner Untersuchungen auswerten? Damit befasst sich dieser Blog-Beitrag, der das Urteil des LAG Baden-Württemberg berücksichtigt, über das wir schon berichtet hatten.
5.9 Aufzeichnung des „Privacy Ring“ vom September 2023
Die Aufzeichnung der Veranstaltung zum Rahmenthema „Human Privacy“ wurde nun bei Ars Boni in der Folge 443 auf YouTube veröffentlicht (Dauer insg. ca. 2:48 Std.).
5.10 Veranstaltungen
5.10.1 Stiftung Datenschutz – „Rechtssicherheit durch Verhaltensregeln: Trusted Data Processor“
11.10.2023, 13:00 – 14:00 Uhr: Verhaltensregeln gelten als wichtiges Instrument, um Rechtssicherheit in rechtlichen Umsetzungen sicherzustellen. Wie dies bei der Beauftragung von Auftragsverarbeitern eingesetzt werden kann, wird am konkreten Beispiel des Trusted Data Processors online erläutert. Weitere Informationen und Anmeldung hier.
5.10.2 Politisches Herbstforum des BfDI: „Demokratie und Persönlichkeitsrechte im Metaversum“ -neu-
11.10.2023, ab 19:00 Uhr in Berlin und per Livestream: Nach einem Auftaktimpuls über die Potentiale und Risiken des Metaverse werden u.a. Vertreter:innen der Wirtschaft und Datenethikkommissionen mit dem BfDI über die Entwicklungen im Metaversum diskutieren. Im Anschluss besteht die Möglichkeit für Fragen und Statements. Weitere Informationen, Anmeldung und Link zum Livestream hier.
5.10.3 Research Institute: „Panel-Diskussion zum Whitepaper zur visuellen Kommunikation“
12.10.2023, ab 13:00 Uhr: Wie unter 5.14 bereits berichtet wurde durch das Research Institute ein Whitepaper zu den datenschutzrechtlichen Rahmenbedingungen bei visueller Kommunikation mittels Bildern und Videos veröffentlicht. Am 12.10.2023 findet eine Panel-Diskussion zum Whitepaper statt. Weitere Informationen und Anmeldung hier.
5.10.4 Universität Wien: „Data Act vs. DS-GVO“
12.10.2023, 17:00 – 19:30 Uhr in Wien: Unter dem Dach des Instituts für Innovation und Digitalisierung im Recht der Universität Wien wird die Veranstaltungsreihe „Forum Datenrecht“ ins Leben gerufen. Der Titel des ersten Treffens lautet: „Data Act vs. DS-GVO – schaffen wir ein innovationsfreundliches Umfeld?“ Dabei tauschen sich Experten aus Wirtschaft, Wissenschaft und Aufsicht aus. Weitere Informationen zu Teilnehmenden und Anmeldung hier.
5.10.5 LDA Brandenburg: Symposium in Potsdam „Portale, Register, Plattformen – digital und transparent?“ -neu-
16.10.2023, 09:00 – 17:30 Uhr: Einen Tag lang befasst sich die LDA Brandenburg im Rahmen eines internationalen Symposiums mit Fragen der Portale, Register und Plattformen. Ziel ist einen Überblick über die entstandene Vielfalt für Behörden und Nutzer:innen zu vermitteln. Dabei unterstützen internationale Expertinnen, deren Perspektive darüber hinaus interessante Einblicke in erfolgreiche Open-Data-Strategien und Best Practices bietet. Weitere Informationen und Anmeldung hier.
5.10.6 SDTB: Road Show „Digital – aber sicher!“
16.10.2023, 16:30 – 21:00 Uhr: Ab dem 16.10.2023 finden durch die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) zahlreiche Veranstaltungen statt. Neben dem Auftakt am 16. Oktober von 16:30 Uhr bis 21:00 Uhr in Dresden (Details hier) folgen zahlreiche Termine vor Ort, die Sie hier einsehen können.
5.10.7 Stiftung Datenschutz : Termine im November für Datenschutz im Ehrenamt -neu-
Ob Grundlagen-Workshop (6. November 2023) oder die digitale Mitgliederverwaltung (27. November 2023): Die Stiftung Datenschutz bietet dazu kostenlose Webinare an. Beginn jeweils 18:00 Uhr. Weitere Informationen und Anmeldung jeweils hinter den Links.
5.10.8 „Masterclass: Sie fragen, wir antworten!“
10.11.2023, 16:00 – 17:30 Uhr in Düsseldorf: Ein Beratungsunternehmen bietet hier einen Service, der vor Ort kostenlos angenommen werden kann. Details und Anmeldung hier.
5.10.9 LfDI Baden-Württemberg: Datenpannen-Management
13.11.2023, 15:30 – 17:00 Uhr in Stuttgart und online: Wann liegt eine sogenannte Datenpanne vor? Und was ist im Ernstfall zu tun? In welchen Fällen müssen auch Betroffene benachrichtigt werden? Mit diesem Problem sind Sie nicht allein – aufgrund der großen Nachfrage bietet der LfDI Baden-Württemberg seine Grundlagenschulung zum Datenpannen-Management erneut an. Im Mittelpunkt stehen die datenschutzrechtlichen Anforderungen an den Umgang mit Datenpannen und deren praktische Umsetzung im Rahmen eines Datenpannen-Managements. Der Schwerpunkt liegt auf den Bereichen Wirtschaft und Gesundheitswesen mit anschaulichen Beispielen zu den jeweiligen Besonderheiten. Weitere Informationen und Anmeldung sind hier zu finden.
5.10.10 MfK: Ausstellung in Nürnberg zu Bildern durch KI
Bis 14.01.2024 in Nürnberg: Allen, die sich mit den Konsequenzen der Künstlichen Intelligenz bei der Gestaltung von Bildern befassen wollen, sei die Ausstellung „New Realities“ im Nürnberger Museum für Kommunikation empfohlen, die bis 14. Januar 2024 zu sehen ist. Sie führt Besucher auf eine interaktive Reise durch drei Bilderserien, die mit KI errechnet wurden.
6 Gesellschaftspolitische Diskussionen
6.1 Meta: Zahlen oder Werbung?
Berichten zufolge überlegt der Konzern Meta das Geschäftsmodell von Facebook und Instagram umzustellen. Künftig sollen europäische Nutzer die Nutzung entweder aufgrund einer Einwilligung zur Profilbildung oder gegen die Zahlung eines monatlichen Betrags ohne Profilbildung zur Werbung wählen können. In der Diskussion werden dabei Beträge von ca. 120 Euro bis 160 Euro pro Jahr genannt. Sowohl die datenschutzrechtliche Grundlage dieser Entscheidung, die sich scheinbar auf eine Aussage aus dem Urteil des EuGH (C-252/21, RN 150) bezieht, wie auch die Angemessenheit der Höhe dieses Entgelts werden bereits kritisiert.
6.2 Weniger Werbeeinwilligung bei Online-Nutzung
Wer erinnert sich nicht an die selbstbewussten Aussagen der Marketingexpert:innen, die immer davon ausgingen, Nutzer:innen von Webangeboten erwarten für das „bessere Kundenerlebnis“ profilgesteuerte Werbung. Dem widerspricht jedoch das tatsächliche Verhalten der Nutzer:innen, wenn sie über Consentbanner die Möglichkeit haben auch der Nutzung des Trackings zu Werbezwecken zu widersprechen, wie eine Umfrage herausgefunden hat, über die hier berichtet wird. Mittlerweile sollte es sich auch herumgesprochen haben, dass ein Tracking zu Marketingzwecken spätestens nach der EuGH-Entscheidung zu Meta/BKartA (C-252/21 ab RN 97) auch nicht über Art. 6 Abs. 1 lit b DS-GVO zur Vertragserfüllung begründen lässt. Schöne Erkenntnis aus der Umfrage: Verbraucher:innen würden Marken unterstützen, die auf den Gebrauch persönlicher Daten für Werbezwecke verzichten.
6.3 USA: Futter für die Polizei durch Roboter
In den USA ist die Nutzung von Robotern für die Erbringung von Dienstleistungen weiter als bei uns. Dort können „Food Delivery Robots“ (wie dieses Beispiel) bestelltes Essen ausliefern. Dazu werden natürlich Umgebungsaufnahmen durch die Roboter analysiert, um sich auf Hindernisse einzustellen und den Auftrag ausführen zu können. Nach diesem Bericht liefern die Roboter von Uber aber nicht nur Essen aus, sondern auch die Aufnahmen an die Polizei, um Straftaten aufzuklären.
6.4 Google Bard: Private Daten schützen
Mit der Einbindung einer KI als Google Bard Chatbot erschließt Google weitere Anwendungsszenarien. Wie es möglich sein soll eigene Daten und den Standort vor der Nutzung zu bewahren, wird hier und dort beschrieben. Ob es hilft? Sie können ja Google Bard fragen…
6.5 Entsperren des Einkaufswagens mittels App
Das kennt jede:r: Die erforderliche Münze für das Entsperren eines Einkaufswagen ist nicht zur Hand. Hier überlegt sich eine Discounterkette testweise eine Alternative: Das Entsperren über eine App. Warum und was dabei zu beachten sein könnte, schildert dieser Bericht auch. Nach den ihm bislang bekannten Informationen sei dafür auch keine Datenschutz-Folgenabschätzung erforderlich, wird dabei das BayLDA zitiert.
6.6 Klone und KI
Sind Sie Follower von Personen, die online präsent sind? Und wer garantiert Ihnen, dass diese Personen real sind? Meist sind Bilder bereits digital bearbeitet, dann fehlt nicht mehr viel, um gleich nur synthetische Figuren zu präsentieren. Damit befasst sich dieser Beitrag unter dem Titel „Falsche Freunde“.
7 Sonstiges/Blick über den Tellerrand
7.1 BlueSky statt X (Twitter)?
Nach dem Wechsel der Eigentümer und des Geschäftsmodells suchen viele eine neue Plattform zum Austausch. Neben Mastodon empfehlen viele nun BlueSky. Um was es dabei geht ist u.a. hier nachzulesen. Ob das auf kurze oder lange Sicht tatsächlich zu empfehlen ist, wird sich zeigen, wenn auch Aussagen über die langfristige Finanzierung möglich sind.
7.2 Änderungen beim Personalausweis
Wie hier anschaulich beschrieben wird, kann nach dem Gesetz zur Modernisierung des Pass-, des Ausweis- und des ausländerrechtlichen Dokumentenwesens ein Personalausweis auch per Post zugestellt werden und Sicherheitsbehörden wie Polizei, Zoll und Geheimdienste können jederzeit auf die biometrischen Passbilder des Personalausweises zugreifen. Die weiteren Nutzungszwecke werden auch geregelt. Aus dem Bericht geht nicht hervor, ob diese Zugriffe protokolliert und die Einhaltung der Vorgaben überwacht wird. Aber was haben diese Stellen denn schon zu verbergen?
7.3 Digitale Barrierefreiheit ist wichtig – auch bei Datenschutzhinweisen!
Irgendwann schlägt es bei allen zu. Spätestens im Alter sind wir darauf angewiesen, dass z.B. Schriften größer und deutliche oder Lautstärken skalierbar sind. Dies muss auch bei digitalen Angeboten gewährleistet sein, wie hier ausführlich ausgeführt wird. Denken Sie aber bei der Umsetzung der datenschutzrechtlichen Informationspflichten daran, dass auch diese für Personen mit Einschränkungen wahrnehmbar sind. Art. 12 Abs. 1 DS-GVO fordert eine transparente, verständliche und leicht zugänglicher Form in einer klaren und einfachen Sprache. So bietet bereits die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen ihre Datenschutzinformationen auf der Webseite in „leichter Sprache“ an. Ein weiteres Beispiel findet sich auch bei der Lebenshilfe NRW.
8. Franks Zugabe
8.1 Apropos ChatGPT …
Heute mal nur zwei Meldungen:
- Wie hier berichtet wird hat OpenAI ChatGPT Ende September 2023 mit Sprachführung und der Option Bilder wahrzunehmen erweitert.
- Derweil engangiert ChatGPT Menschen, um die lästigen Captchas zu lösen (und lügt dabei noch über die Gründe…). Beruhigend, oder?
8.2 Apropos KI …
Und auch hier nur ein paar wenige Meldungen:
- KMU würde ihre Webseite laut diesem Bericht nach einer Umfrage von KI designen lassen. Webdesigner hören das bestimmt gerne, oder? Und wenn die KI an bestehenden Webseiten trainiert werden, vervielfachen sich dann die ganzen datenschutzrechtlich (wie sage ich das freundlich) nicht so optimalen Seiten? Schade um die Webentwickler, die verstanden haben, wie Webseiten datenschutzkonform und gut gebaut werden können…
- Leider ist das Thema noch aktueller als ich es erwartet hätte, als ich mir den Link heraussuchte, da wir ja einen neuen Krieg haben (neben vielen anderen aktuellen Kriegen auf unserer Welt). Aber was solls, lesenswert ist der Artikel tatsächlich: Inside the messy ethics of making war with machines.
8.3 23andme
Tja, hätten die Nutzervon 23andme nur vorher gewusst, dass so etwas pasieren kann…
8.4 Die komplexe Welt der Metadaten
Ein lesenswerter Artikel, wenn Sie mal wieder disktuieren dürfen, warum das denn schlimm ist, wenn Unternehmen wie Meta die Metadaten auswerten (können)…
9. Die gute Nachricht zum Schluss
9.1 Tag des Lächelns
Wer wissen will, warum der erste Freitag im Oktober als Tag des Lächelns gefeiert wird, kann es hier lesen. Hat auch was mit dem Schöpfer der graphischen Gestaltung eines Smileys zu tun, das über die digitale Variante das weltweit meistgenutzte Emoji wurde.