Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 40-50/2023)“ – The lost episodes…
Hier ist der 77. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 40-50/2023)“ – The lost Episodes.
Wer hat an der Uhr gedreht, ist es wirklich schon so spät? Da sind ja mal ein paar Wochen vergangen seit dem letzten regulären Blog-Beitrag aus unserer Reihe… (und damit meine ich nun nicht den unabsichtlichen Teaser vom dritten Advent.)
Umso umfangreicher ist dieser nun also geworden (innerhalb der Kategorien habe ich, da ich verschiedene Einzelblog-Beiträge zu einem Gesamtblog-Beitrag zusammenfüge, Abstände innerhalb der Themenblöcke 1 bis 7 eingefügt, damit Sie erkennen können, was chronologisch einigermaßen zusammen gehört (oben alt, unten aktuell), wenn es zu einem Einzelblog-Beitrag ein inhaltliches Update im Gesamt-Blog gibt, habe ich dahin verlinkt).
Viel Spaß und Erkenntnisgewinn auf jeden Fall beim Lesen. Über die Weihnachtstage haben Sie ja vielleicht ein bisschen mehr Zeit…
- Aufsichtsbehörden
- DSK: Entschließung zur Chatkontrolle
- HmbBfDI: Umgang mit Data-Breach-Meldungen
- BayLDA zu DPF
- BfDI: Arbeitspapier zu Telemetrie der Berlin Group
- BfDI: Kritik am Finanzkriminalitätsbekämpfungsgesetz – FKBG
- Religionsgemeinschaften ohne irdische Aufsicht?
- BSI: Pflichten von UBI (Unternehmen im besonderen öffentlichen Interesse)
- CNIL: KI und DS-GVO
- Dänemark: Leitfaden für AI-Anwendungen durch Behörden
- UK: Maßnahmen gegen Snap aufgrund Einbindung von KI
- Irland: Besetzung der Aufsicht
- EDSA und EDSB: Stellungnahme zum digitalen Euro
- EDSB: Empfehlungen zum AI Act
- BfDI: Hinweise zu TikTok
- BfDI: Auszeichnung für Bildungsarbeit
- HmbBfDI: Informationen zum Mikrozensus
- HBDI: Erneute Anhörung zu ChatGPT
- BSI: Management Blitzlichter
- Belgien: Keine „Rückwirkung“ von Vereinbarungen über Auftragsverarbeitungen
- Italien: Interessenskonflikt bei DSB
- Spanien: Bußgeld für unzureichende Informationen auf Webseite
- EDSA: Forderungen an Irland bezüglich Meta
- EDPS: Aktivitäten zu KI
- DSK: Cloudbasierte digitale Gesundheitsanwendungen
- LfDI Baden-Württemberg: Diskussionspapier zu KI
- HmbBfDI: 15 Aspekte zum kontrollierten Umgang mit LLM-Chatbots
- Hessen: Nutzung von Videokonferenzsystemen an Hochschulen
- LfDI Baden-Württemberg: FAQ zum HinSchG
- LDI Brandenburg zu Art. 25 DS-GVO und Anforderungen aus BSI-Grundschutz
- LfDI Mecklenburg-Vorpommern: Nominierung für Medienpreis TOMMI
- LfDI Baden-Württemberg: Einfacher Zugang zu amtlichen Informationen durch Transparenzportal
- Liechtenstein: Empfehlungen zu Chatbots
- Spanien: Empfehlungen zu datenschutzrechtlichen Anforderungen bei KI
- BfDI: Forderung nach einheitlichem Informationszugang
- BSI: Lagebericht zur IT-Sicherheit 2023
- BSI: Empfehlungen zu „Security by design und by default“
- Norwegen: Streit mit Meta geht weiter
- Norwegen: Streit um Auslegung mit Grindr
- EDSA: Guidelines zu Tracking-Techniken
- EDSA: Staatliche Zugriffsmöglichkeiten in Drittstaaten
- DSK: Datenschutz in der medizinischen Forschung
- LfD Niedersachsen: Prüfung von Apotheken
- HBDI: Herausgabeanspruch bei Patientenakten
- BlnBfDI: Einsatz der Videoplattform Webex bei FU
- HmbBfdI: Bezahlmodell von Meta
- HmbBfDI: Einordnung des EuGH-Urteils Meta/BKartA
- HmbBfDI: Informationsfreiheitsansprüche gegen Unternehmen
- BlnBfDI: Informationen zur Mietspiegelerhebung
- BfDI: Datenschutzrechtliche Betrachtungen zu TikTok
- DSB Österreich: Datenschutzverletzung bei Reaktion auf Bewertungsportal
- Belgien: Cookie-Checkliste und andere Tracking-Techniken
- Europa Chatkontrolle: Beschwerde durch noyb
- ICO: DSFA zu MS 365
- BfDI: Should I stay or should I go?
- DSK: Regulierung von KI
- Spanien: Biometrische Daten am Arbeitsplatz
- Belgien: Entscheidung zu Videoüberwachung in Läden
- noyb: Beschwerde bei Aufsicht Österreich wg. „pay or okay“
- Malta: Guidelines der Datenschutzaufsicht
- EDSA: Dringlichkeitsverfahren gegen Aufsicht Irland wegen Meta
- Reaktionen zum EuGH-Urteil zu Scorewerten
- DSK: Erkenntnisse aus dem Zwischenprotokoll September 2023
- BfDI: Statement zu Privatsphäre und demokratischen Rechten
- BfDI: Outlook-App bei Bundesbehörden
- BfDI: Er darf etwas weitermachen
- Spanien: Synthetische Daten und Datenschutz
- Dänemark: Patientenbilder auf Instagram nur mit freier Einwilligung
- BSI: Mindestanforderungen für Rechenzentren des Bundes
- BSI: Leitfaden zur Entwicklung sicherer KI-Systeme
- Rechtsprechung
- EuGH: Dringlichkeit der Klage gegen DPF abgelehnt
- EuGH: Weitere Vorlagen zu Art. 82 DS-GVO
- EuG: Klage gegen Kommission zur Auskunft über Drittstaatentransfer
- OLG Düsseldorf: Löschanspruch ist mit anderen Grundrechten abzuwägen
- BVwG: Verantwortlichkeit bleibt bei Unternehmensverschmelzung unberührt
- Bezirksgericht Amsterdam: Intransparente Datenverarbeitung bei Uber
- EuGH: Art. 15 DS-GVO auch bei Patientenakten
- EuG: TikTok gegen EDSA
- BVwG: Auslegung des Begriffs „Treu und Glauben“ aus Art. 5 Abs. 1 lit. a DS-GVO
- ArbG Duisburg: Zuständigkeit des ArbG bei Auskunftsbegehren
- BVwG: Anforderungen an Vollmacht für Betroffenenrechte
- BVwG: Dynamischer Verweis auf Datenschutzerklärungen als Verstoß gegen Transparenzgebot
- BVerfG: Forschungsfreiheit bei Datenerhebungen
- EuGH: Anforderungen an Schadenersatz nach kriminellem Datenabzug?
- EuGH: Anspruch auf kostenlose Kopie aus Art. 15 Abs. 3 DS-GVO
- EuGH: Fahrzeugidentifikations-Nummer als personenbezogenes Datum
- LG Bielefeld: Kein Schadenersatzanspruch bei unerlaubtem Kopieren des Personalausweises
- LG Berlin: Untersagung der Missachtung von „Do-Not-Track“-Einstellungen
- BFH: Aussagen zu § 29b AO
- BVwG: Zweckbindung bei veröffentlichten E-Mail-Adressen
- BVwG: Anforderungen des Art. 14 Abs. 5 DS-GVO bei Nutzung von Apps
- Rechtsprechung zu Datenlöschungen
- EuGH: Klage gegen Anordnungen der Aufsichten möglich
- EuGH: Klage von TikTok gegen EDSA
- VG Berlin: Ausschlussgründe bei Auskunftsbegehren
- EuGH: Vorschau Urteile in Schufa-Verfahren am 7. Dezember 2023
- EuGH-Vorschau: Urteil zu Verarbeitungen nach Art. 9 Abs. 2 und 3 DS-GVO
- EuGH: Klagen gegen die EU-Kommission wegen DMA
- ArbG Duisburg: Interpretation von „unverzüglich“ aus Art. 12 DS-GVO
- LAG Düsseldorf: Kein Schadenersatz bei verspäteter Auskunft
- OLG Stuttgart: Rechenschaftspflicht umfasst mehr als Anforderungen aus Art. 5 Abs. 1 DS-GVO
- KG Berlin: Anforderungen an Schadenersatz nach Art. 82 DS-GVO
- BVwG Österreich: „Erforderlichkeit“ nach ePrivacy-RL und DS-GVO
- EuGH: Haftung der Unternehmen
- EuGH: Gemeinsame Verantwortlichkeit z.B. bei einer App-Entwicklung
- EuGH: Anwendbarkeit des Art. 22 DS-GVO bei Scorewerten
- EuGH: Speicherfristen bei Daten aus öffentlichen Registern
- EuGH: Verantwortlichkeiten bei „Hackerangriff“ und Anforderungen an Schadenersatz
- EuGH: Anforderungen an immateriellen Schadenersatz
- OLG Köln: Anforderungen an Einwilligungen in Cookie-Banner
- Bezirksgericht Amsterdam: Gemeinsame Verantwortlichkeit eines Softwareherstellers
- VG Köln: Keine Nennung sanktionierter Unternehmen durch BNetzA
- Gesetzgebung
- Verbraucherrechtedurchsetzungsgesetz
- Trennungsgebot zwischen Polizei und Nachrichtendiensten
- AI Gesetzgebung USA
- EU: Chatkontrolle
- Österreich: Vorgaben zur DSFA
- UK: Änderungen bei der Aufsicht
- Europa: Data Act
- Europa: eIDAS beschlossen
- Elektronische Patientenakte
- Data Act auf Deutsch
- G7 zu AI
- USA AI
- Europa: AI Act
- Deutschland: Umsetzung der NIS-2-Richtlinie
- Änderung bei § 184b StGB?
- New York: Änderung der Datenschutzregelungen
- Virtuelle Wohnungseigentümergemeinschaften
- Vergleich der Regelungen zu Künstlicher Intelligenz
- Übersicht der europäischen Regulatorik zur Digitalisierung
- Kommunaler Notbetrieb
- AI Act
- Evaluierung der DS-GVO?
- Künstliche Intelligenz und Ethik
- Best Practice bei der Beschaffung von KI-Systemen
- UNESCO: Übersicht über KI-Lehrpläne
- USA: Verbraucher sind wegen KI besorgt
- BBC schützt ihren Content vor KI
- Transparenzindex über Stiftungsmodelle
- KI und Halluzinationen
- Privatheitsverletzungen durch Inferenz mit LLM
- Die menschliche Stimme und die DS-GVO
- Future of life: Können wir AI-Anbietern trauen?
- CEDPO: AI und GDPR
- Hat KI ein Bewusstsein?
- Urheberrechtsverletzung durch Training von KI
- Norwegen: Leitfaden für eigebauten Schutz vor AI-Diskriminierung
- Toolkit für „responsible AI“ in der Strafverfolgung
- ChatGPT und DS-GVO
- CISA: Leitlinie für die Entwicklung sicherer KI-Systeme
- Tipps zu KI in Kanzleien
- Besser prompten ohne Halluzinationen
- Eliza gegen ChatGPT
- Einsatz von KI: Vorurteile bleiben
- Vergleich der Regelungen zu AI in USA
- Keine personenbezogenen Daten in ChatGPT?
- Best Practice bei der Beschaffung von KI-Systemen
- Veröffentlichungen
- A Trusted Framework for Cross-Border Data Flows
- bitkom-Umfrage zur DS-GVO
- Stiftung Datenschutz: Verhaltensregeln nach der DS-GVO
- Fortbildungsumfang – am Beispiel eines Landesministeriums
- BEM und Datenschutz
- IT-Sicherheit: Von Bedarfsanalyen und Wimmelbildern
- Speicherfristen von IP-Adressen – aus Sicht des BKA
- Begrifflichkeiten: Nicht jede Sicherheitslücke ist ein Datenleck
- Gutachten zu Terminvereinbarungssoftware für Gesundheitsdienstleistungen
- AWS: Cloud jetzt souverän genug?
- Podcast zu Datenschutz bei Finanzämtern
- Adblocker von YouTube umstritten
- Rechenschaftspflicht nach DS-GVO
- Nutzung von Werbeprofilen
- Rückblick IDACON
- Podcast zur Schufa
- Zulässigkeit von Pre-Employment-Screenings
- Umfrage zur DS-GVO
- Chatfunktionen und E-Commerce-Webseiten
- FPF: Durchsetzung von Data Protection by Design und by Default
- Ökonomische Methoden im Recht
- Schleswig-Holstein: Forderungen der IHK zum Datenschutz
- bitkom: Haftung der Unternehmensleitung bei Cybervorfällen
- Wegfall der Einwilligung – und dann?
- Passwortsicherheit
- Der DSB in TLoD
- Datenverarbeitung des Betriebsarztes
- Leitfaden Mastodon der Stiftung Datenschutz
- Tagungsband der Gesellschaft für Informatik veröffentlicht
- NIST: Guidelines for Evaluating Differential Privacy Guarantees
- Bericht über die Menschenrechtssituation in Deutschland
- EuGH als Überaufsicht
- MS 365 und CoPilot
- noyb: Beschwerde gegen X / Twitter
- Veranstaltungen
- Universität Passau: Ringvorlesung „Legal tech“ -neu-
- Stiftung Datenschutz: DatenTag zu „Preisgabe von Daten“ -neu-
- MfK: Ausstellung in Nürnberg zu Bildern durch KI
- EDPS: „Data Protection Day 2024“ -neu-
- Gesellschaftspolitische Diskussionen
- Datenleck bei MotelOne
- Führungskräfte und Cybersicherheit
- Datenpanne bei Genanalyse-Unternehmen
- Datenschutz hindert keine Backups
- TikTok und rechte Parteien
- Schweiz: Verhaltenskodex des Bundes für menschenzentrierte Datenwissenschaft
- Datenschutz und Nachhaltigkeit
- Wird TikTok Shopping-Plattform?
- Digitales Moratorium an Schulen?
- Forschung zu den Auswirkungen sozialer Medien
- Datenleck bei MotelOne
- Sonstiges / Blick über den Tellerrand
- Kinderpornos, Mobbing und Strafbarkeit
- Chatkontrolle oder Kapitalismus?
- Gefährliche QR-Codes
- Robocop in New York
- Privatsphäre von Prominenten
- Handbuch Informationsfreiheit
- Meta in US-Bundesstaaten verklagt
- Sammelklage gegen Google
- Google zahlte Milliarden für Platz als Standard-Suchmaschine
- Selbstbestimmungsgesetz
- Auswirkungen der Nutzung von Social Media
- Gendern: Wer regelt Sprachverbote?
- JIM-Studie 2023: Umgang von Jugendlichen mit Medien
- Bildschirmzeit für Kinder
- Verhaftungen wegen Pornographiebesitz
- Kinderpornos, Mobbing und Strafbarkeit
- Franks Zugabe
- Waren NFT nicht durch?
- Falls Sie mal eine Entschuldigung brauchen – AI-wanger
- Fachverlag und Autor*innen nutzen generative KI erstmals erfolgreich zur Veröffentlichung eines Fachbuchs
- European alternatives for digital products
- Aber ich habe doch nichts zu verbergen…
- Was werden uns unserer Kinder und Enkelkinder irgendwann fragen?
- Das wird, das mit der Windenergie
- Halloween-Meldung
- Läuft mit der Digitalisierung im Gesundheitswesen, oder?
- Computer sagt nein
- Ransomwarebefall mal schnell gelöst
- „They demanded research into creating IRL catgirls“
- Passend zu Weihnachten
- Billiges Auto?
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 DSK: Entschließung zur Chatkontrolle
Die DSK hat in einer Entschließung ihre Positionierung zur geplanten „Chatkontrolle“ auf EU-Ebene veröffentlicht. Dabei führt sie aus, dass es nicht darum ginge Maßnahmen gegen den sexuellen Missbrauch einzuschränken. Es wird die Wahl der Mittel kritisiert, denn es würde die digitale Kommunikation sämtlicher Nutzender unterschiedslos und verdachtsunabhängig von einer Überwachung betroffen. Erfasst würden Informationen – auch sensible Daten – aus allen Lebensbereichen der Nutzenden. Anbieter müssten dafür sorgen, dass die mittlerweile für private Kommunikation weitgehend etablierte Ende-zu-Ende-Verschlüsselung aufgebrochen wird. Im Ergebnis bedeutete dies, dass die Sicherheit beim Austausch digitaler Nachrichten geschwächt werde. Gerade in einer Zeit, in der immer wieder Sicherheitslücken für missbräuchliche Zugriffe ausgenutzt werden, warnt die Datenschutzkonferenz davor auch noch absichtlich Bruchstellen in die technischen Infrastrukturen einzubauen.
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
1.2 HmbBfDI: Umgang mit Data-Breach-Meldungen
Es mag an der historischen Entwicklung der germanischen Sprachen liegen, dass die Dialektform „Platt“ Nähe zum Englischen aufweist. Das wäre vielleicht eine Erklärung, warum der HmbBfDI seine Mitteilung nicht mit „Datenschutzverletzung“, sondern mit „Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO“ betitelt. Egal. Er informiert dabei nicht nur über die rechtlichen Anforderungen, sondern fügt auch Beispiele bei und gibt dabei seine Einschätzung zu Meldepflicht nach Art. 33 und Benachrichtigungspflicht nach Art. 34 DS-GVO wieder.
Ob allerdings das genannte Beispiel Nr. XXI in der Praxis tatsächlich so umgesetzt wird, bin ich gespannt – oder wurde schon mal ein EU-Bürger gemäß Art. 34 DS-GVO informiert, weil ein Angriff im EU-Ausland stattfand?
1.3 BayLDA zu DPF
In einem Interview für ein IHK-Mitglieder-Magazin äußert sich der Präsident des BayLDA zum Data Privacy Framework mit den USA, dessen Vorteile, das Vorgehen, wenn bayerische Bürger:innen ihre Rechte wahrnehmen wollen und worauf bei der Nutzung US-amerikanischer Cloudanbieter zu achten ist.
1.4 BfDI: Arbeitspapier zu Telemetrie der Berlin Group
Die Berlin Group ist eine internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) unter Vorsitz des BfDI, die nun ein Arbeitspapier zu Telemetrie angenommen hat. Das (englischsprachige) Papier will mit praktischen Empfehlungen insbesondere Hersteller bei der Gestaltung von datenschutzfreundlicheren Telemetrie- und Diagnosefunktionen unterstützen. Bei den Randnummern 45 bis 60 finden sich Empfehlungen für Entwickler und Hersteller.
1.5 BfDI: Kritik am Finanzkriminalitätsbekämpfungsgesetz – FKBG
Mit dem Entwurf eines Gesetzes zur Verbesserung der Bekämpfung von Finanzkriminalität (Finanzkriminalitätsbekämpfungsgesetz – FKBG) wird ein Maßnahmenpaket zur Geldwäsche–bekämpfung geschnürt. Der BfDI kritisiert, dass einige der Vorschriften datenschutz- und verfassungsrechtlichen Anforderungen nicht genügen. Es würden wieder massive neue Eingriffsbefugnisse geschaffen, ohne dass die im Koalitionsvertrag bis Ende 2023 vereinbarte Evaluierung der Sicherheitsgesetze in Form einer Überwachungsgesamtrechnung abgeschlossen sei. Die Pressemitteilung dazu lesen Sie hier.
1.6 Religionsgemeinschaften ohne irdische Aufsicht?
Manche Unternehmen hätten es sicher auch gerne so: Keine Datenschutzaufsicht, die sich zuständig fühlt. Nach der Darstellung bei www.artikel91.eu trifft dies aber für Religionsgemeinschaften zu, die keine eigenen Datenschutzaufsichten haben und ihren Sitz in Bayern und Thüringen haben. Da fühle sich wohl keine Aufsicht zuständig. Mal sehen, ob das so bleibt.
1.7 BSI: Pflichten von UBI (Unternehmen im besonderen öffentlichen Interesse)
Das BSI hat einen Flyer auf seiner Homepage veröffentlicht, der zum Inhalt hat, welche Pflichten sich für Unternehmen im besonderen öffentliche Interesse ergeben. Mit dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) ergeben sich neue Regelungen für Unternehmen im besonderen öffentlichen Interesse (UBI). Die konkreten Pflichten für UBI sind in § 8f BSIG aufgeführt. Dabei gibt es drei Kategorien von „UBI“ (§ 2 Abs. 12 BSIG):
- Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen oder für die IT-Sicherheitsfunktion wesentlicher Komponenten solcher Produkte tätig sind,
- Unternehmen, die nach ihrer inländischen Wertschöpfung größten Unternehmen Deutschlands sowie wesentliche Zulieferer für diese Unternehmen sind,
- und Betreiber „eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung“ oder Betreiber, die „nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“
1.8 CNIL: KI und DS-GVO
Die französische Datenschutzaufsicht CNIL veröffentlichte allgemeine Hinweise zum Einsatz von KI aus Datenschutzsicht. So weist sie darauf hin, dass der Grundsatz der Zweckbindung in angepasster Form auch für KI-Systeme gilt, die für allgemeine Zwecke eingesetzt werden. Der Grundsatz der Zweckbindung schreibt vor, dass personenbezogene Daten nur für einen bestimmten Zweck verwendet werden dürfen, der im Voraus festgelegt wurde. Im Bereich der KI lässt die CNIL zu, dass ein Betreiber im Stadium des Algorithmustrainings nicht alle zukünftigen Anwendungen festlegen kann, sofern die Art des Systems und die wichtigsten denkbaren Funktionen genau definiert wurden.
Der Grundsatz der Datenminimierung verhindere laut CNIL nicht, dass Algorithmen auf sehr großen Datenbeständen trainiert werden. Die verwendeten Daten müssen hingegen grundsätzlich so ausgewählt worden sein, dass das Training des Algorithmus optimiert wird und gleichzeitig die Verwendung unnötiger personenbezogener Daten vermieden wird. In jedem Fall sind bestimmte Vorsichtsmaßnahmen zur Gewährleistung der Datensicherheit unerlässlich.
Der Grundsatz der Speicherbegrenzung würde auch nicht grundsätzlich verhindern, dass lange Laufzeiten für Trainingsdatenbanken festgelegt werden, die eine erhebliche wissenschaftliche und finanzielle Investition erfordern und manchmal zu Standards werden, die von der Gemeinschaft weitgehend genutzt werden.
Die CNIL ist schließlich der Ansicht, dass die Weiterverwendung von Datensätzen, insbesondere von Daten, die im Internet öffentlich zugänglich sind, möglich sei, um KI zu trainieren, vorausgesetzt, es werde überprüft, dass die Daten nicht offensichtlich unrechtmäßig erhoben wurden und dass der Zweck der Weiterverwendung mit der ursprünglichen Erhebung vereinbar ist. Diesbezüglich ist die CNIL der Ansicht, dass die Bestimmungen zu Forschung und Innovation in der DS-GVO eine angepasste Regelung für innovative KI-Akteure ermöglichen, die Daten von Dritten nutzen.
Im Ergebnis könnte es sich die CNIL damit vorstellen, dass sich eine Entwicklung von KI-Systemen mit den Herausforderungen des Datenschutzes vereinbaren lasse. Mehr noch, die Berücksichtigung dieses Imperativs wird die Entstehung von Geräten, Werkzeugen und Anwendungen ermöglichen, die ethisch vertretbar sind und den europäischen Werten treu bleiben. Nur dann werden die Bürger Vertrauen in diese Technologien haben.
Die CNIL veröffentlicht dazu sieben Arbeitsblätter, die auch auf Englisch verfügbar sind. Zu der Thematik stößt die CNIL ein Konsultationsverfahren an, zu dem bis 16. November 2023 Hinweise und Anregungen eingereicht werden können. Die Aussagen der CNIL sind für andere Aufsichtsbehörden nicht bindend, geben aber im Einzelfall die Diskussionsmeinung wieder. Einen Bericht zu den Aussagen lesen Sie hier.
1.9 Dänemark: Leitfaden für AI-Anwendungen durch Behörden
Die dänische Datenschutzaufsicht veröffentlichte einen Leitfaden für den Einsatz von KI durch öffentliche Behörden. Dabei wirft sie einen genaueren Blick auf die künstliche Intelligenz und die grundlegenden Überlegungen, die Behörden anstellen müssen, bevor sie mit der Entwicklung von KI-Lösungen beginnen. Dazu gehören Fragen wie die Rechtsgrundlage für die Verarbeitung, die Auskunftspflicht und die Folgenabschätzung.
1.10 UK: Maßnahmen gegen Snap aufgrund Einbindung von KI
Die Datenschutzaufsicht ICO des vereinigten Königsreichs verhängt einen vorläufigen Durchsetzungsbescheid gegen Snap wegen möglicher Versäumnisse bei der ordnungsgemäßen Bewertung der von seinem generativen KI-Chatbot „My AI“ ausgehenden Datenschutzrisiken. Die Untersuchung der ICO stellte vorläufig fest, dass Snap es versäumt habe die Risiken für mehrere Millionen „My AI“-Nutzer in Großbritannien, darunter auch Kinder im Alter von 13 bis 17 Jahren, angemessen zu ermitteln und zu bewerten.
1.11 Irland: Besetzung der Aufsicht
Während in Deutschland über die Transparenz bei Auswahlentscheidungen für die Leitungspersonen der Datenschutzaufsichten diskutiert wird, ist man in Irland weiter. Hier wird eine Auswahlgremium zusammengestellt, dass die Leistungsperson auswählen soll. Und wieder wird nur kritisiert. Tja.
1.12 EDSA und EDSB: Stellungnahme zum digitalen Euro
Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) haben eine gemeinsame Stellungnahme zu der vorgeschlagenen Verordnung über den digitalen Euro als digitale Zentralbankwährung abgegeben. Der digitale Euro soll Einzelpersonen die Möglichkeit bieten Zahlungen elektronisch, sowohl online als auch offline, als zusätzliches Zahlungsmittel neben Bargeld zu tätigen. Der EDSA und der EDSB erkennen an, dass die vorgeschlagene Verordnung viele Datenschutzaspekte des digitalen Euro aufgreift, insbesondere indem sie eine Offline-Modalität vorsieht, um die Verarbeitung personenbezogener Daten auf ein Minimum zu reduzieren. Insbesondere begrüßen der EDSA und der EDSB nachdrücklich, dass die Nutzer des digitalen Euro immer die Wahl haben werden, ob sie mit digitalen Euro oder mit Bargeld bezahlen wollen. Gleichzeitig sprechen der EDSA und der EDSB mehrere Empfehlungen aus, um die höchsten Standards für den Schutz personenbezogener Daten und der Privatsphäre für den künftigen digitalen Euro besser zu gewährleisten.
1.13 EDSB: Empfehlungen zum AI Act
Der Europäische Datenschutzbeauftragte hat seine Initiativstellungnahme zum AI Act veröffentlicht. Er unterbreitet dabei konkrete Vorschläge, die sich auf die künftigen Aufgaben des EDSB als Behörde konzentrieren, die für die Beaufsichtigung von KI-Systemen in den EU zuständig ist.
1.14 BfDI: Hinweise zu TikTok
Der BfDI weist bezüglich der Nutzung von TikTok auf seine Bedenken hin. Er regt an zu überlegen, ob man eine derartige Nutzung und deren potenziellen Folgen für sich selbst und gegebenenfalls andere verantworten möchte. Die Kritikpunkten drehen sich nicht zuletzt auch um mangelnden Daten- und unzureichenden Jugendschutz. In der Europäischen Union werde sogar erörtert, ob TikTok in Europa nicht verboten werden könne. Vor diesem Hintergrund hätten aktuell einige EU-Institutionen die Nutzung von TikTok als Social-Media-Plattform inzwischen eingestellt. In seiner Veröffentlichung dazu verweist er auch auf sein Rundschreiben zur Facebook-Nutzung durch Bundeseinrichtungen.
1.15 BfDI: Auszeichnung für Bildungsarbeit
Der BfDI wurde für seine Arbeit hinsichtlich der Sensibilisierung von Kindern ausgezeichnet. Der Preis für die Pixi-Reihe wurde im Rahmen der diesjährigen GPA-Konferenz übergeben. Der BfDI sieht die Auszeichnung in der Kategorie „Bildung und öffentliche Wahrnehmung“ als Bestätigung seiner kontinuierlichen Arbeit im Bereich der Informationsfreiheit und des Schutzes personenbezogener Daten von Kindern und Jugendlichen an. Glückwunsch!
1.16 HmbBfDI: Informationen zum Mikrozensus
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit informiert zur Durchführung des Mikrozensus auf seinen Webseiten u.a. mit einer FAQ-Liste.
1.17 HBDI: Erneute Anhörung zu ChatGPT
Nach seiner Pressemitteilung hat der HBDI OpenAI einen weiteren Fragenkatalog zur Datenverarbeitung beim KI-Dienst ChatGPT zukommen lassen. Basis sei die bisherige Bearbeitung des im Juni durch OpenAI bereits beantworteten ersten Fragebogens. Daraus ergaben sich weitere 79 Fragen zu dem generativen Sprachmodell ChatGPT.
Auch Rheinland-Pfalz berichtet über den neuen erweiterten Fragenkatalog.
1.18 BSI: Management Blitzlichter
Das BSI veröffentlicht an das Management gerichtete „Blitzlichter“ zu Fragen und Anforderungen der IT-Sicherheit. Hier sind die Ausgaben zu Grundlagen des Cyber Supply Chain Risk Management und zu Zero Trust. Niedrigschwelliger ist kaum noch vorstellbar.
1.19 Belgien: Keine „Rückwirkung“ von Vereinbarungen über Auftragsverarbeitungen
In einer veröffentlichten Entscheidung kritisiert die belgische Datenschutzaufsicht, dass bereits Leistungen einer Auftragsverarbeitung erbracht wurden, obwohl die Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO noch nicht abgeschlossen war. Und die Kammer für Streitsachen der Datenschutzbehörde gibt ihr diesbezüglich Recht. Nach der DS-GVO könnten dadurch sowohl Auftraggeber wie auch Auftragnehmer mit einer Sanktion belegt werden. Im konkreten Fall war der Auftraggeber eine öffentliche Stelle und Belgien hatte von der Option in der DS-GVO Gebrauch gemacht Bußgelder gegen öffentliche Stellen auszuschließen. Das bedeutet aber nicht, dass nicht auch in solchen Fällen Bußgelder gegen nicht-öffentliche Auftragsverarbeiter verhängt werden könnten.
1.20 Italien: Interessenskonflikt bei DSB
In Deutschland sollte dies schon lange bekannt sein, in Italien ist es noch eine Meldung wert: Datenschutzbeauftragte dürfen keinen Interessenskonflikten bei ihrer Tätigkeit ausgesetzt sein. Dort war innerhalb eines Konzerns der DSB gleichzeitig der Verantwortliche für die Leistungserbringung bei einem konzerneigenen Auftragsverarbeiter. Bericht dazu hier.
1.21 Spanien: Bußgeld für unzureichende Informationen auf Webseite
In Spanien gab es ein Bußgeld gegen einen Webseitenbetreiber in Höhe von 5.000 Euro, weil seine Gestaltung zur Umsetzung datenschutzrechtlicher Vorgaben nicht den gesetzlichen Anforderungen entsprach. So wirft ihm die Aufsicht vor, dass er „Dark Pattern“ verwendete und dass die Datenschutzerklärung nicht auf einfache Weise zu erreichen und zu verstehen war. Details zu der Meldung lesen Sie hier.
1.22 EDSA: Forderungen an Irland bezüglich Meta
Der EDSA folgt dem Vorschlag Norwegens und fordert von Irland die Werbeaktivitäten der Meta-Unternehmen Instagram und Facebook den Vorgaben anzupassen, wie u.a. hier berichtet wird. Das war auch der einzige Agendapunkt bei der Sitzung Ende Oktober. In diesem Podcast wird die Thematik fachkundig behandelt.
1.23 EDPS: Aktivitäten zu KI
In seinem Newsletter berichtet der Europäische Datenschutzbeauftragte u.a. zu seinen Hinweisen im Gesetzgebungsverfahren zum AI Act und zu den Fragen der Haftung beim Einsatz von KI. Dazu gibt es auch ein Fact Sheet.
1.24 DSK: Cloudbasierte digitale Gesundheitsanwendungen
Die Datenschutzkonferenz hat ihr Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen veröffentlicht. Darin geht sie u.a. auf die Rahmenbedingungen aus dem SGB V, aber auch auf Forschungszwecke und den Zweck der Qualitätssicherung ein.
1.25 LfDI Baden-Württemberg: Diskussionspapier zu KI
Der LfDI Baden-Württemberg hat ein Diskussionspapier zu Rechtsgrundlagen bei der Verarbeitung pbD durch eine KI veröffentlicht. Er betrachtet dabei auch den Einsatz von Auftragsverarbeitern. Bis zum 01.02.2024 können Kommentare und Vorschläge gemacht werden.
1.26 HmbBfDI: 15 Aspekte zum kontrollierten Umgang mit LLM-Chatbots
Auch aus Hamburg gibt es eine Veröffentlichung zu Künstlicher Intelligenz – als Checkliste zum Einsatz LLM-basierter Chatbots. Sie umfasst 15 Aspekte zum kontrollierten Umgang mit LLM-Chatbots.
1.27 HBDI: Nutzung von Videokonferenzsystemen an Hochschulen
Seine Anforderungen und Möglichkeiten des Einsatzes von Videokonferenzsystemen an Hochschulen in Hessen beschreibt der HBDI auch unter Berücksichtigung des Data Privacy Frameworks zugunsten der USA auf seiner Homepage. Dabei verweist er auch auf die Orientierungshilfe der DSK zu Videokonferenzsystemen und die entsprechende Checkliste.
1.28 LfDI Baden-Württemberg: FAQ zum HinSchG
Der LfDI Baden-Württemberg hat auf seiner Webseite eine FAQ-Liste zu datenschutzrechtlichen Themen im Zusammenhang mit dem Hinweisgeberschutzgesetz veröffentlicht. Sie umfasst derzeit 17 Fragestellungen.
1.29 LDI Brandenburg zu Art. 25 DS-GVO und Anforderungen aus BSI-Grundschutz
In diesem Beitrag wird über eine Abhilfemaßnahme der LDI Brandenburg berichtet, in dem Beitrag äußert sie sich bezogen auf Upload-Möglichkeiten auf Webseiten zum Stand der Technik. Dabei orientiert sie sich bei der Auslegung des Stands der Technik am BSI-Grundschutz.
1.30 LfDI Mecklenburg-Vorpommern: Nominierung für Medienpreis TOMMI
Der LfDI Mecklenburg-Vorpommern informiert, dass die Informationsseite der DSK für junge Menschen „Young data“ für den Medienpreis TOMMI nominiert wurde. Im Laufe des Monats November können junge Nutzerinnen und Nutzer noch in öffentlichen Bibliotheken über die Nominierten abstimmen. Die Bekanntgabe der Gewinner ist für den 3. Dezember 2023 vorgesehen.
1.31 LfDI Baden-Württemberg: Einfacher Zugang zu amtlichen Informationen durch Transparenzportal
Der LfDI Baden-Württemberg informiert, dass über ein zentrales Transparenzportal der Zugang zu amtlichen Informationen erleichtert werden soll. Er selbst unterstützt dabei durch eine Handreichung zur Ausgestaltung öffentlicher Transparenzportale.
1.32 Liechtenstein: Empfehlungen zu Chatbots
Die Datenschutzstelle des Fürstentums Liechtenstein hat Informationen zum Einsatz von Chatbots veröffentlicht. Neben Hinweisen zu den Anforderungen zu Rechtsgrundlagen und Informationspflichten bietet sie dabei auch Ausführungen zu den derzeitigen Rechtsunsicherheiten und weiterführende Informationen an.
1.33 Spanien: Empfehlungen zu datenschutzrechtlichen Anforderungen bei KI
Bereits 2021 veröffentlichte die spanische Datenschutzaufsicht ihre Hinweise zu datenschutzrechtlichen Anforderungen bei Künstlicher Intelligenz. Das Dokument ist nun auch auf Englisch verfügbar.
1.34 BfDI: Forderung nach einheitlichem Informationszugang
Im Rahmen der 45. Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) unter Leitung des BfDI wurde die zentrale Entschließung als Forderung an die Bundes- und die Landesgesetzgeber formuliert, dass deutschlandweit ein einheitlicher und hoher Standard in Sachen Informationszugang etabliert werden soll.
1.35 BSI: Lagebericht zur IT-Sicherheit 2023
Das BSI veröffentlichte seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2023. Bei Cyberangriffen mit Ransomware sei eine Verlagerung der Attacken zu beobachten: Nicht mehr nur große, zahlungskräftige Unternehmen stehen im Mittelpunkt, sondern zunehmend auch kleine und mittlere Organisationen sowie staatliche Institutionen und Kommunen. Insbesondere von erfolgreichen Cyberangriffen auf Kommunalverwaltungen und kommunale Betriebe sind die Bürgerinnen und Bürger unseres Landes oft auch unmittelbar betroffen: So kann es dazu kommen, dass bürgernahe Dienstleistungen eine Zeit lang nicht zur Verfügung stehen oder persönliche Daten in die Hände Krimineller gelangen.
1.36 BSI: Empfehlungen zu „Security by design und by default“
Die Empfehlungen zu „security-by-design“ und „security-by-default“, die das BSI im April 2023 mit verschiedenen internationalen Partnerbehörden veröffentlichte, haben weitere Unterstützer gefunden. Mitte Oktober haben sich die nationalen Cybersicherheitsbehörden aus Israel, Japan, Korea, Norwegen, Singapur und Tschechischen Republik dem Unterstützerkreis der zuerst am 13. April 2023 veröffentlichten Handreichung angeschlossen. Auch CSIRTAmericas, das Netzwerk der Cyber Incident Response Teams (CSIRT) der Organisation Amerikanischer Staaten (OAS) zeichnete mit. Das Dokument liegt nun in einer aktualisierten Version vor. Die Cybersicherheitsbehörden appellieren gemeinsam an Hersteller von IT-Produkten Sicherheitsaspekte bereits in der Produktentwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern.
1.37 Norwegen: Streit mit Meta geht weiter
Wie berichtet lehnte das Bezirksgericht Oslo die beantragte einstweilige Verfügung Metas gegen die norwegische Datenschutzaufsicht ab. Mittlerweile befasste sich der EDSA mit dem Antrag Norwegens, wie die norwegische Datenschutzaufsicht berichtet. Da Meta der Entscheidung der Datenschutzbehörde nicht nachgekommen ist, hat die Aufsicht seit dem 14. August 2023 ein tägliches Zwangsgeld in Höhe von 1 Million NOK verhängt. Meta ist der Ansicht, dass auch das Zwangsgeld aufgehoben werden muss. Dazu berichtet die norwegische Datenschutzaufsicht nun, dass parallel zu den laufenden Gerichtsverfahren Meta mehrere Beschwerden gegen die Entscheidung der norwegischen Datenschutzbehörde beim Ministerium für Kommunalverwaltung und Bezirksangelegenheiten sowie beim Datenschutzausschuss eingereicht habe. Das Gerichtsverfahren wird voraussichtlich irgendwann im Jahr 2024 stattfinden.
1.38 Norwegen: Streit um Auslegung mit Grindr
Der Vermittlungsdienst für Homosexuelle, Bi-, Trans-, und Queer-Personen Grindr geht gerichtlich gegen die Entscheidung der norwegischen Datenschutzaufsicht vor. Diese verhängte ein Bußgeld, weil der Dating-Dienst personenbezogene Daten wie GPS-Standort, IP-Adresse, Werbe-ID des Mobiltelefons, Alter und Geschlecht für verhaltensbezogene Werbung an Dritte weitergegeben habe – ohne Einverständnis der Betroffenen. Grindr macht nun geltend, dass die Weitergabe von Daten mit einem Industriestandard zusammengehangen habe, der nicht mehr in Gebrauch sei. Die Entscheidung würde aber auch andere Aktivitäten wie Betrugsbekämpfung und kontextbezogene Werbung betreffen und deswegen lasse Grindr die Entscheidung gerichtlich überprüfen, wie in diesem Bericht ausgeführt wird.
1.39 EDSA: Guidelines zu Tracking-Techniken
Der EDSA informiert, dass Guidelines zum Anwendungsbereich des Art. 5 Abs. 3 der ePrivacy-RL angenommen wurden. Die Leitlinien sollen klären, welche technischen Vorgänge, insbesondere neue und aufkommende Tracking-Techniken, von der Richtlinie erfasst werden, und den für die Verarbeitung Verantwortlichen und den Betroffenen mehr Rechtssicherheit bieten. Dass es gemäß der RN 41 bei der Nutzung von Geräteinformationen im Sinne von Art. 5 Abs. 3 der ePrivacy Richtlinie nicht darauf ankommen soll, wer die Übermittlung initiiert (Nutzer oder Betreiber), ist dabei eine Aussage, die Auswirkung auf die Interpretation des § 25 TTDSG haben kann. Dazu läuft ein Konsultationsverfahren bis 28.12.2023. Anmerkungen können beim EDSA hier eingereicht werden.
1.40 EDSA: Staatliche Zugriffsmöglichkeiten in Drittstaaten
Bei einem Drittstaatentransfer in ein Drittland ohne Angemessenheitsbeschluss braucht es für eine Bewertung der Auswirkungen des Datentransfer (Transfer Impact Assessment – TIA) Kenntnisse der Rechtslage in diesem Empfängerland. Der EDSA hat hier die Zugriffsmöglichkeiten staatlicher Stellen in Brasilien dargestellt, für Mexiko und die Türkei, für China, Indien und Russland (Stand Nov. 2021) sowie USA (Stand November 2021) zusammengestellt.
1.41 DSK: Datenschutz in der medizinischen Forschung
Die DSK befasste sich auf ihrer 106. Tagung mit Fragestellungen von Datenschutz in der medizinischen Forschung und zum Datenschutz in medizinischen Registern.
1.42 LfD Niedersachsen: Prüfung von Apotheken
Der LfD Niedersachsen hat seine Datenschutzprüfungen von Apotheken abgeschlossen und die Ergebnisse zu den fünf geprüften Apotheken in einer Pressemitteilung veröffentlicht. Sein Fazit: Die Apotheken gehen gut mit diesen sensiblen Daten um – an einigen Stellen gibt es aber Verbesserungspotenzial.
1.43 HBDI: Herausgabeanspruch bei Patientenakten
Der hessische Beauftragte für Datenschutz und Informationsfreiheit hat eine Information zum EuGH-Urteil C-307/22 veröffentlicht. Dabei geht es um einen Anspruch auf Herausgabe einer Kopie aus Art. 15 Abs. 3 DS-GVO bei Patientenakten.
1.44 BlnBfDI: Einsatz der Videoplattform Webex bei FU
Nach ihrer eigenen Mitteilung darf die Freie Universität Berlin die Videoplattform WebEx nutzen. Die Berliner BfDI habe die Zulässigkeit der Nutzung der Videokonferenzplattform „Webex“ an der Freien Universität Berlin bestätigt. Ein Prüfverfahren wegen möglicher datenschutzrechtlicher Bedenken sei von der Behörde abgeschlossen worden. Und bei solchen Meldungen immer kritisch bleiben, und lieber klären, welche Konfiguration für welche Einsatzzwecke von solchen Aussagen betroffen sind.
1.45 HmbBfdI: Bezahlmodell von Meta
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit informiert über die Änderungen des Geschäftsmodels bei Facebook und Instagram durch die Möglichkeit werbereduzierter Angebote gegen Bezahlung. Eine abschließende Bewertung sei aber derzeit noch nicht möglich.
1.46 HmbBfDI: Einordnung des EuGH-Urteils Meta/BKartA
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte seine Einordnung zum EuGH-Urteil (C-252/21), das wesentliche Aussagen zur Grundfragen bei Datenverarbeitung zu Werbezwecken trifft. Neben der Zusammenfassung auf der Webseite bietet er auch eine Langfassung an.
1.47 HmbBfDI: Informationsfreiheitsansprüche gegen Unternehmen
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Beanstandung gegen die Hamburger Hafen und Logistik AG (HHLA) ausgesprochen. Auch für sie gelten die Vorgaben zur Informationsfreiheit, obwohl sie privatrechtlich organisiert sei, weil sie nach seiner Ansicht öffentliche Aufgaben übernehme.
1.48 BlnBfDI: Informationen zur Mietspiegelerhebung
Die Berliner BfDI gibt auf ihrer Webseite Hinweise zu datenschutzrechtlichen Fragestellungen bei der Datenerhebung zum Mietspiegel 2024.
1.49 BfDI: Datenschutzrechtliche Betrachtungen zu TikTok
Der BfDI hat auf seiner Webseite Informationen zu Zuständigkeiten und Fragestellungen bei Einsatz der Plattform TikTok zusammengestellt. Sie sei mehrfach negativ aufgefallen. Er führt auch die bisher veröffentlichten Verfahren gegen TikTok auf.
1.50 DSB Österreich: Datenschutzverletzung bei Reaktion auf Bewertungsportal
Ein Arzt reagiert auf eine schlechte Bewertung einer Patientin auf einem Bewertungsportal. Dabei offenbart er auch seine Diagnose. Die zuständige Datenschutzaufsicht sanktioniert dies mit 10.000 Euro Geldbuße. Diesbezüglich ist die Entscheidung noch nicht rechtskräftig.
1.51 Belgien: Cookie-Checkliste und andere Tracking-Techniken
Die belgische Datenschutzaufsicht veröffentlichte eine Checkliste zum Einsatz von Cookies und eine Information zu anderen Tracking-Techniken. Sie tat dies im Rahmen der Information zur Guideline des EDSA zu Art. 5 Abs. 3 der ePrivacy-RL.
1.52 Europa Chatkontrolle: Beschwerde durch noyb
Nach diesem Bericht hat noyb eine Beschwerde gegen das Innenkommissariat von Ylva Johansson beim Datenschutzbeauftragten der EU eingereicht. Zur Meinungsbildung zugunsten ihrer politischen Aktivitäten hinsichtlich der Befürwortung der Einführung einer Chatkontrolle habe diese Microtargeting bezüglich Nutzenden von sozialen Medien eingesetzt.
1.53 ICO: DSFA zu MS 365
Hier der Hinweis auf durch die britische Datenschutzaufsicht ICO veröffentlichte Dokumente zu einer DSFA zum Einsatz von MS 365. Allerdings sind diese nur als Template und eben bereits im Dezember 2022 veröffentlicht worden. Im Begleitschreiben wurde damals bereits betont, dass diese teilweise nur als Draft beigefügt sind und auch noch Änderungen unterliegen können.
1.54 BfDI: Should I stay or should I go?
Wird seine Amtszeit verlängert oder muss er gehen? Derzeit gibt es keine deutlichen Signale aus der Bunderegierung, dass die am 31.12.2023 endende Amtszeit des BfDI um weitere fünf Jahre verlängert wird. Verärgerung hinsichtlich seiner Stellungnahmen zur Gesundheitsdatenpolitik sei eine der Ursachen. Der zwischenzeitlich als Kronprinz der FDP gehandelte Nachfolger Dr Stefan Brink lehnt ab. Zunehmend immer mehr Verbände* fordern die Wiederernennung Kelbers. Sollte es nicht rechtzeitig eine Entscheidung geben, regelt § 12 Abs. 2 Satz 6 BDSG:
„Endet das Amtsverhältnis mit Ablauf der Amtszeit, ist die oder der Bundesbeauftragte verpflichtet, auf Ersuchen der Präsidentin oder des Präsidenten des Bundestages die Geschäfte bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers für die Dauer von höchstens sechs Monaten weiterzuführen.“
*Franks Anmerkung, eine Auswahl der Forderungen: PE der DVD, PE der EAID und PE des BvD
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
1.55 DSK: Regulierung von KI
Die Datenschutzkonferenz fordert klare Verantwortlichkeit für Hersteller und Betreiber einer Künstlichen Intelligenz. Nach dem Vorschlag des Parlaments sollten die Anbieter von Basismodellen bestimmte Mindestanforderungen erfüllen, etwa mit Blick auf die Datenqualität, die Erklärbarkeit und die Cybersicherheit. In ihrer Pressemitteilung nimmt die DSK Bezug zu einem Positionspapier der EU-Mitgliedstaaten Deutschland, Frankreich und Italien, die sich gegen verbindliche Vorgaben für Basismodelle aussprachen und ein sanktionsloses Konzept der Selbstregulierung in die Diskussion einbrachten.
1.56 Spanien: Biometrische Daten am Arbeitsplatz
Die spanische Aufsicht veröffentlichte Guidelines bei der Verarbeitung biometrischer Daten im Beschäftigungsverhältnis.
1.57 Belgien: Entscheidung zu Videoüberwachung in Läden
Die belgische Aufsicht hat ihre Entscheidung veröffentlicht, dass eine dauerhafte Überwachung von Beschäftigten in einem Laden nicht zulässig sei.
1.58 noyb: Beschwerde bei Aufsicht Österreich wg. „pay or okay“
Gegen die Entscheidung des Konzerns Meta, für soziale Netzwerke wie Facebook nun eine Bezahlmodell als Alternative anzubieten, gibt es eine Beschwerde von noyb bei der Aufsicht in Österreich. Aber auch die Verbraucherschutzorganisationen halten das Modell für unfair und gehen dagegen vor.
1.59 Malta: Guidelines der Datenschutzaufsicht
Die Datenschutzaufsicht aus dem Inselstaat im Mittelmeer läuft meist unterhalb der Radare der „Datenschutzszene“. Dabei gibt es dort mit Guidelines für Banken, für die Gaming-Anbieter, für Auskunfteien (credit referencing institutions) und für die Verarbeitung durch für Kandidaten für politische Ämter auch etliche Vorgaben zu aktuellen Themen.
1.60 EDSA: Dringlichkeitsverfahren gegen Aufsicht Irland wegen Meta
Nun ist auch der Text der Entscheidung des Europäischen Datenschutzausschusses mit der verpflichtenden Vorgabe an die irische Datenschutzaufsicht, den Antrag Norwegens gegen Meta hinsichtlich der Verwendung personalisierter Werbung umzusetzen, veröffentlicht. Seine Grundlage findet dieser Beschluss in Art. 65 DS-GVO, in diesem Fall sogar in Form eines Dringlichkeitsverfahrens nach Art. 66 Abs. 2 DS-GVO. Und sicher wird dieser Beschluss wieder Gegenstand von Verfahren vor dem EuGH.
1.61 Reaktionen zum EuGH-Urteil zu Scorewerten
Die Entscheidungen des EuGH zur datenschutzrechtlichen Bewertung von wirtschaftlichen Scorewerten in den Verfahren C-26/22, C-64/22 und C-634/21 sind auch Gegenstand von Veröffentlichungen deutscher Aufsichtsbehörden. Sowohl die Aufsicht in Hessen, Niedersachsen wie in Hamburg interpretieren die Aussagen, teilweise auch mit Hinweisen auf die Auswirkungen beim Einsatz von KI.
1.62 DSK: Erkenntnisse aus dem Zwischenprotokoll September 2023
Erfreulich ist, dass die DSK offenbar künftig Dokumente frühzeitiger veröffentlichen will, wie sich aus TOP 3 des Zwischenprotokolls ergibt. Erfreulich auch deshalb, weil die meisten Aufsichten auch für die Informationsfreiheit die Aufsicht innehaben und hier mit gutem Beispiel vorangehen können. Dem TOP 8 ist zu entnehmen, dass die DSK ein Positionspapier zur „Audiovisuellen Umgebungserfassung“ im Zusammenhang mit Beratungen der Automobilindustrie verabschiedet hat. In TOP 10 wird eine Taskforce beauftragt eine Entschließungsformulierung zu dem Thema „Datenschutzrechtliche Anforderungen an gesetzliche Rechtsgrundlagen zur Verarbeitung von Genomdaten, insbesondere im Rahmen der Sekundärnutzung“ zu entwerfen. Die Darstellungen in TOP 12 zu dem Austausch über den Austausch mit der Rechtsanwaltskammer Bremen sind bedauerlicherweise sehr knappgehalten. Bei dem Thema geht es um die konkreten Anforderungen an die Verschlüsselungsanforderung im E-Mailverkehr durch Rechtsanwälte. Neben vielen anderen Themen aus dem Protokoll sind sicher die Überlegungen zum Austausch von Prüfkonzepten sowie zur Überarbeitung der gemeinsamen Webseite hervorzuheben.
1.63 BfDI: Statement zu Privatsphäre und demokratischen Rechten
Der BfDI informiert, dass sich in einer gemeinsamen Erklärung die Global Privacy Assembly und die Vereinten Nationen zum Recht auf Privatsphäre bekannt haben. Anlässlich des Tages der Menschenrechte am 10. Dezember und des 75. Jahrestages der Proklamation der Allgemeinen Erklärung der Menschenrechte wurde im Namen der 30 Mitglieder der Arbeitsgruppe „Datenschutz und andere Rechte und Freiheiten“ der Global Privacy Assembly durch den kanadischen Datenschutzbeauftragten eine gemeinsame Erklärung zum Thema Datenschutz und demokratische Rechte unterzeichnet.
1.64 BfDI: Outlook-App bei Bundesbehörden
Nach seinen eigenen Angaben hat der BfDI alle Bundesbehörden angeschrieben und um Rückmeldung gebeten, ob die neue Outlook-App eingesetzt wird. Die Rückmeldefrist beträgt vier Wochen.
1.65 BfDI: Er darf etwas weitermachen
Da die Entscheidung des Bundestages für die Besetzung des Amtes des BfDI nicht mehr rechtzeitig vor Ablauf der aktuellen Amtsperiode getroffen wird, darf der derzeitige Amtsinhaber nach diesem Bericht noch etwas weitermachen. Nach § 12 Abs. 2 BDSG ginge das sogar bis zu sechs Monaten.
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
1.66 Spanien: Synthetische Daten und Datenschutz
Wer den Personenbezug bei der Verarbeitung von Daten vermeiden möchte, befasst sich oft auch mit synthetischen Daten. Die spanische Aufsicht hat hierzu nun ihre Hinweise veröffentlicht.
1.67 Dänemark: Patientenbilder auf Instagram nur mit freier Einwilligung
Die dänische Datenschutzaufsicht musste ein Krankenhaus darauf hinweisen, dass bei einer Einwilligung des Patienten zur Veröffentlichung seines Bildes auf der Plattform Instagram zu berücksichtigen sei, dass sich dieser bei einem Krankenhausaufenthalt oder einer Behandlung in einem Krankenhaus typischerweise in einer schutzbedürftigen Lage befinde und dadurch eine Ungleichheit zwischen dem Patienten und dem Krankenhaus und dem Krankenhauspersonal bestehe, die dazu führen könnte, dass sich der Patient bei der Einholung der Einwilligung unter Druck gesetzt fühlen könnte. Dies beeinträchtige die Anforderung, dass der Patient tatsächlich eine freie Wahl haben könnte. Das Krankenhaus wurde angeordnet die Bilder zu löschen. Den Bericht dazu lesen Sie hier.
1.68 BSI: Mindestanforderungen für Rechenzentren des Bundes
Das BSI hat seine Mindestanforderungen an Rechenzentren des Bundes aktualisiert. Könnte auch für andere interessant sein.
1.69 BSI: Leitfaden zur Entwicklung sicherer KI-Systeme
Zusammen mit 23 internationale Cybersicherheitsbehörden aus 18 Ländern veröffentlichte das BSI einen Leitfaden zur Entwicklung sicherer KI-Systeme. Die gemeinsame internationale Veröffentlichung verdeutlicht aus Sicht des BSI, dass Fragen der Sicherheit von KI-Systemen nur im Verbund mit gleichgesinnten internationalen Partnern gelöst werden können. Sie unterstreicht zudem die Bedeutung des Themas und den dringenden Handlungsbedarf.
2 Rechtsprechung
2.1 EuGH: Dringlichkeit der Klage gegen DPF abgelehnt
Die Klage gegen das Data Privacy Framework (T-553/23), das die Vorgaben für die Zulässigkeit des Datentransfers in die USA regelt, wurde abgewiesen. Aber das heißt nicht, dass der EuGH die Regelungen und deren Wirksamkeit bewertet hätte, er hat nur die Dringlichkeit abgelehnt.
2.2 EuGH: Weitere Vorlagen zu Art. 82 DS-GVO
Erneut werden dem EuGH Fragen zur Auslegung des Art. 82 Abs. 1 DS-GVO zum Schadenersatz vorgelegt (C-507/23), diesmal aus Lettland. Unter anderem geht es auch darum, ob die Verarbeitung in Schädigungsabsicht erfolgen musste, um einen Anspruch zu begründen und ob ein immaterieller Schadenersatz auch in einer Entschuldigung bestehen kann.
2.3 EuG: Klage gegen Kommission zur Auskunft über Drittstaatentransfer
Im Verfahren T-354/22 (Bindl/Kommission) geht es um Fragen des Drittstaatentransfers durch die EU-Kommission über deren Webseiten und ein diesbezügliches Auskunftsbegehren sowie daraus ggf. ableitbare Schadensersatzansprüche. Am 17. Oktober 2023 fand dazu die mündliche Verhandlung statt. Verfahrensrelevant sind die Vorgaben aus der Verordnung 2018/1725, mit denen datenschutzrechtliche Vorgaben für Einrichtungen der EU geregelt werden, die aber weitgehend inhaltsgleich mit der DS-GVO sind.
2.4 OLG Düsseldorf: Löschanspruch ist mit anderen Grundrechten abzuwägen
Wer sich noch an die Talkshows während der Pandemie erinnert, bei der organisatorisches oder gesetzgeberisches Versagen hinsichtlich unzureichender Datenlage „der Datenschutz“ als Ursache benannt oder Datenschutz „als Supergrundrecht“ bezeichnete wurde, dem alles unterzuordnen sei, sei dieses Urteil des OLG Düsseldorf empfohlen. Denn bereits damals zeigt die Unkenntnis des Erwägungsgrundes 4 der DS-GVO, dass wohl andere Motivationen als Sachkenntnis der Talkshowgäste der Grund der Einladung waren. Im Urteil des OLG Düsseldorf ging es um den Wunsch nach Auslistung („Löschung“) der Daten über der betroffenen Person im Zusammenhang mit einem Strafverfahren aus einer juristischen Datenbank. Das OLG Düsseldorf wägte hier den Löschanspruch aus Art. 17 Abs. 1 DS-GVO mit einem anderen Grundrecht ab, nämlich dem Recht auf Meinungsäußerung und Informationsfreiheit. So ist jeder Fall im Hinblick auf widerstreitende Grundrechtsinteressen abzuwägen, was das Gericht auch vornahm.
Und weil der Unsinn mit dem „Supergrundrecht“ gerne immer noch wiederholt wird, hier das Zitat des Erwägungsgrundes 4 der DS-GVO:
„Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.“
2.5 BVwG: Verantwortlichkeit bleibt bei Unternehmensverschmelzung unberührt
Das österreichische BVwG hat in einem Fall entschieden, dass es sich bei einer Unternehmensverschmelzung um eine Gesamtrechtsnachfolge handelt. Aus datenschutzrechtlicher Sicht sei diese Art der Unternehmensnachfolge bzw. -übernahme unproblematisch, denn es fände keine Weitergabe personenbezogener Daten an Dritte statt. Der Rechtsnachfolger übernimmt auch das Recht zur Datenverwendung in jenem Umfang, wie es bereits dem Rechtsvorgänger zustand; es läge somit keine Datenübermittlung an Dritte vor.
2.6 Bezirksgericht Amsterdam: Intransparente Datenverarbeitung bei Uber
In den Niederlande stellte das Amsterdamer Bezirksgericht nach diesem Bericht fest, dass Uber nicht die Transparenzanforderungen bei der Nutzung seines Algorithmus erfüllt. Es entschied zugunsten von zwei Fahrern, die wegen des Datenzugriffs auf die von ihnen als „Robo-Firings“ bezeichneten Fahrten prozessieren. Der Kern des Problems bezieht sich nicht auf Betrugs- und/oder Risikoprüfungen, die angeblich von (menschlichen) Uber-Mitarbeitern bei markierten Fahrerkonten durchgeführt werden, sondern auf die automatisierten Kontomarkierungen selbst, die diese Prüfungen auslösen. In einem dritten Fall kam das Gericht zu dem Ergebnis, dass dieser Fahrer ausreichend über die Gründe der Vertragsbeendigung informiert hatte, warum der Algorithmus das Konto als potenziell betrügerisch einstufte. Uber konnte das Gericht nicht davon überzeugen die täglichen Geldstrafen von 4.000 Euro zu begrenzen, die bei fortgesetzter Nichteinhaltung der Vorschriften verhängt werden und inzwischen mehr als eine halbe Million Euro (584.000 Euro) betragen.
2.7 EuGH: Art. 15 DS-GVO auch bei Patientenakten
Nach dem Urteil des EuGH (C-307/22) überwiegt die Regelung aus Art. 15 Abs. 3 DS-GVO auf Recht einer Kopie gegenüber einer nationalen Regelung, die einen Kostenerstattungsanspruch hierfür vorsieht. Voraussetzung ist, dass es die erste Kopie ist und dass eine vollständige Kopie der Dokumente zum Verständnis der in diesen Dokumenten enthaltenen personenbezogenen Daten erforderlich ist. Auf die Motivation des Patienten (hier Geltendmachung von Haftungsansprüchen) komme es nicht an.
2.8 EuG: TikTok gegen EDSA
Die Videoplattform TikTok hat Klage gegen die Entscheidung des EDSA eingereicht (T-1030/23). Mal sehen, was dabei herauskommt. Bereits WhatsApp scheiterte ja mit einer Klage vor dem Europäischen Gericht (EuG) gegen eine Entscheidung des EDSA, weil die unmittelbare Betroffenheit verneint wurde (T-709/21). Das Urteil liegt nun beim EuGH mit dem Az. C-97/23 P zur Überprüfung hinsichtlich der Begriffe „anfechtbaren Handlung“ und Fragen zur Auslegung der Begrifflichkeit „verbindlicher Beschluss“. Ein Bericht zu dem Verfahren findet sich hier.
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
2.9 BVwG: Auslegung des Begriffs „Treu und Glauben“ aus Art. 5 Abs. 1 lit. a DS-GVO
Das BVwG Österreich befasste sich in einem Fall mit der Auslegung des Begriffs „Treu und Glauben“ („fair“) in Art. 5 Abs. 1 lit. a DS-GVO. Für die betroffenen Personen müsse demnach erkennbar sein, dass personenbezogene Daten verarbeitet werden, welche Daten verarbeitet werden, zu welchen Zwecken sie verarbeitet werden und von wem sie verarbeitet und gegebenenfalls an wen sie übermittelt werden. Darüber hinaus sollten die betroffenen Personen über Risiken, Regeln, Garantien und Rechte im Zusammenhang mit der Verarbeitung sowie über die Ausübung dieser Rechte informiert werden. Im konkreten Fall verneint das BVwG einen Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO und betrachtet den Gesamtkontext aller Informationen, die den Betroffenen zur Verfügung standen (unter Ziffer 3.4.2 und 3.4.3).
2.10 ArbG Duisburg: Zuständigkeit des ArbG bei Auskunftsbegehren
Das ArbG Duisburg entschied zunächst nur über die Zuständigkeit des Falles vor dem Arbeitsgericht. Im März 2017 bewarb sich der Kläger bei einem Unternehmen und wurde nicht eingestellt. Am 18.05.2023 stellte er einen Auskunftsanspruch gemäß Art. 15 DS-GVO, der am 05.06.2023 nach Erinnerung durch den Kläger als Negativauskunft beantwortet wurde. Der Kläger fordert nun immaterielles Schmerzensgeld (mind. 2.000 Euro), weil der Anspruch nicht unverzüglich beantwortet wurde, das beklagte Unternehmen rügt u.a. die Zuständigkeit des Arbeitsgerichtes für dieses Verfahren. Das ArbG Duisburg entschied, dass für Ansprüche eines ehemaligen Bewerbers auf Auskunft nach Art. 15 DS-GVO und Schadensersatz aus Art. 82 DS-GVO die Arbeitsgerichte sachlich zuständig sind.
2.11 BVwG: Anforderungen an Vollmacht für Betroffenenrechte
Welchen Anforderungen muss eine Vollmacht zur Ausübung der datenschutzrechtlichen Betroffenenrechte wie Auskunft und Löschung genügen? Das BVwG Österreich hat in einem Fall entschieden, dass eine allgemeine Formulierung nicht ausreiche. Der Vertreter wurde ermächtigt Betroffenen gegenüber Behörden zu vertreten, in seinem Namen Erklärungen, Bekenntnisse, Anträge, Berufungen und Beschwerden zu übermitteln, Bescheidbegründungen zu verlangen, Akteneinsicht zu nehmen, Rechtsmittelverzichte zu erklären und in seinem Namen verbindlich zu unterschreiben. Das reiche nicht, es müsse spezifisch bevollmächtigt werden, so dass diese tatsächlich auch konkret ein datenschutzrechtliches Auskunfts- beziehungsweise Löschbegehren beziehungsweise die Geltendmachung datenschutzrechtlich höchstpersönlicher Rechte im Generellen mitumfasse.
Einen Bericht zu dem Fall lesen Sie hier.
2.12 BVwG: Dynamischer Verweis auf Datenschutzerklärungen als Verstoß gegen Transparenzgebot
In dem Verfahren der verbraucherschützenden Arbeiterkammer gegen ein Reiseunternehmen ging es vor dem BVwG Österreich u.a. um die wirksame Einbeziehung von Texten in ein Vertragsverhältnis über Reiseleistungen. Zunächst stellt das BVwG (RN 41) fest, dass das Transparenzgebot sich nicht mit formeller Textverständlichkeit begnüge, sondern verlange, dass Inhalt und Tragweite vorgefasster Vertragsklauseln für den Verbraucher „durchschaubar“ seien. Aus dem Transparenzgebot könne eine Pflicht zur Vollständigkeit folgen, wenn die Auswirkungen einer Klausel für den Kunden andernfalls unklar blieben. Maßstab für die Transparenz sei das Verständnis des für die jeweilige Vertragsart typischen Durchschnittskunden.
Hinsichtlich der Datenschutzerklärung (Klausel 5) war formuliert: „Der Reisende nimmt die D* Datenschutzerklärung, die jederzeit unter INFO-CENTER auf www.*.at einsehbar ist, zur Kenntnis.“ Das Gericht hält diese Klausel für unverbindlich und damit unwirksam nach § 6 Abs. 3 KSchG (Konsumentenschutzgesetz), weil für den Reisenden nicht ersichtlich sei, ob diese Information über die Datenverarbeitung nicht nur zum Zeitpunkt der Buchung der Reise, sondern auch zum Zeitpunkt der Durchführung der Reise zur Anwendung komme (RN 47 f). Nach dem BVwG ergebe sich die Unzulässigkeit der Klausel nämlich schon daraus, dass durch die Klausel selbst unklar bleibt, welche Fassung der Datenschutzerklärung für den Verbraucher verbindlich ist (RN 48).
Auch wenn sich diese Rechtsprechung auf die Bewertung österreichischer rechtlicher Vorgaben beschränkt, könnte dieses Urteil als Anlass genommen werden zu prüfen, inwieweit – gerade gegenüber Verbrauchern – die Transparenzanforderungen der Einbeziehung von Datenschutzerklärungen nachgewiesen werden könnte.
2.13 BVerfG: Forschungsfreiheit bei Datenerhebungen
Ein Professor hat mit seinem Lehrstuhl im Rahmen einer Forschungsfreiheit Befragungen und Interviews bei Strafgefangenen durchgeführt. Thema war die „Islamische Radikalisierung im Strafvollzug“. Prima, dachten sich die Strafverfolgungsbehörden, wir beschlagnahmen dieses Material, weil gegen einen der Beteiligten wegen des Verdachts der Mitgliedschaft in einer terroristischen Vereinigung im Ausland ermittelt wurde.
Nicht schön, dachte der Professor, der den Befragten Vertraulichkeit zusicherte, und beschritt den Rechtsweg. Das OLG München entschied, er habe kein Zeugnisverweigerungsrecht, „die Mitwirkung bei der Erstellung wissenschaftlicher Publikationen im Rahmen von Forschungsvorhaben“ werde von der Forschungsfreiheit nicht erfasst. Das BVerfG stellt zwar fest, dass die Verfassungsbeschwerde zu spät eingereicht wurde, äußert sich aber dennoch zur Sache. Es habe gegen die Durchsuchung und Beschlagnahme „erhebliche Bedenken hinsichtlich der Verfassungsmäßigkeit“. Das OLG habe die Forschungsfreiheit nicht angemessen berücksichtigt, eine vertrauliche Datenerhebung gehöre zur geschützten wissenschaftlichen Methode, insbesondere in der empirischen Forschung sei es notwendig, Daten zu erheben, was oft nur vertraulich möglich sei – gerade bei kriminologischen Forschungen zu Dunkelfeldern oder strafbaren Verhaltensweisen. Einen Bericht dazu lesen Sie hier.
2.14 EuGH: Anforderungen an Schadenersatz nach kriminellem Datenabzug?
Im Verfahren (C-182/22 und C-189/22 – Scalable Capital GmbH) hat der Generalanwalt seine Schlussanträge gestellt. Es geht (wieder mal) um die Frage, wann immaterieller Schadenersatz nach Art. 82 DS-GVO zu leisten ist. Daten wurden in krimineller Absicht von einem Unternehmen abgezogen und die Täter drohen mit Veröffentlichung. Betroffen sind u.a. Namen, Geburtsdaten, Post- und E Mail-Adressen sowie digitale Kopien der Personalausweise. Der Generalanwalt führt dazu aus (RN 24), dass die DS-GVO kein System der verschuldensunabhängigen Haftung vorsehe. Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DS-GVO eingeführten Regelung schließe auch den Zuspruch von Strafschadensersatz aus. Eine solche Entschädigung müsse vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DS-GVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“. Der immaterielle Schaden, den die betroffene Person erlitten hat, brauche keinen bestimmten Grad an Erheblichkeit zu erreichen. Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedürfe es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten habe. Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reiche nicht aus. Er befasst sich zudem ausführlicher mit der Definition und Bewertung eines Identitätsdiebstahls (RN 26-30). Letztendlich kommt er zu dem Schluss, dass aus seinen Erwägungen folge, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder -betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DS-GVO führen könne. Der Nachweis eines immateriellen Schadens könnte einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder -betrugs geworden sei. Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DS-GVO wegen des Diebstahls personenbezogener Daten hänge jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder -betrugs ab. Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DS-GVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.
Er hätte sich auch kürzer fassen können: „Es kommt darauf an“. Aber wieder der Hinweis: Der EuGH muss dem nicht folgen. Das Risiko der Folgen bei einer Datenschutzverletzung durch individuelle Anspräche der Geschädigten bleibt nach wie vor kaum kalkulierbar.
2.15 EuGH: Anspruch auf kostenlose Kopie aus Art. 15 Abs. 3 DS-GVO
In dem Verfahren (C-307/22) ging es um die Möglichkeit eine kostenlose Kopie der eigenen Patientenakte zu erhalten. In Deutschland ist diesbezüglich eine Kostenerstattung geregelt (§ 630g Abs. 2 Satz 2 BGB). Der EuGH stellt dazu fest, dass für einen Anspruch aus Art. 15 DS-GVO die Motivation der betroffenen Person, die Auskunft einzufordern, unerheblich sei. Das vorzulegende Gericht habe hinsichtlich eines Anspruchs auf Kostenerstattung zu prüfen, ob die Kosten, deren Erstattung die Ärzte von den Patienten verlangen können, strikt auf die tatsächlich anfallenden Kosten beschränkt sind. Ferner könne aus der Formulierung in Art. 15 Abs. 3 DS-GVO „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“, nicht geschlossen werden, dass im Rahmen eines Arzt-Patienten-Verhältnisses der betroffenen Person ein allgemeines Recht darauf gewährt wird eine vollständige Kopie aller in ihrer Patientenakte enthaltenen Dokumente zu erhalten. Jedoch habe der Verantwortliche der betroffenen Person bestimmte Dokumente teilweise oder vollständig in Kopie zur Verfügung zu stellen, wenn dies erforderlich ist, um sicherzustellen, dass die übermittelten Daten verständlich sind und dass die betroffene Person in der Lage ist zu überprüfen, ob die übermittelten Daten vollständig und richtig sind.
2.16 EuGH: Fahrzeugidentifikations-Nummer als personenbezogenes Datum
Na ja, eigentlich geht es um Fahrzeugidentifikationsnummern (FIN) – und hier bleiben sich Juristen treu: „Es kommt darauf an“. Laut EuGH (C 319/22) sind sie dann ein personenbezogenes Datum, wenn sie einer natürlichen Person zugeordnet werden können – und dies auch demjenigen möglich ist, der die Nummer hat (ab RN 46). Die Bereitstellungspflicht der Hersteller erfüllt auch die Anforderungen des Art. 6 Abs. 1 lit. c DS-GVO. Eine ausführliche Besprechung des Urteils lesen Sie hier.
2.17 LG Bielefeld: Kein Schadenersatzanspruch bei unerlaubtem Kopieren des Personalausweises
Ergibt sich ein Schadenersatzanspruch aus Art. 82 DS-GVO, weil ein Personalausweis unerlaubterweise kopiert wurde? Nein, meint das LG Bielefeld in diesem Fall. Nach der Beweisaufnahme durch das Gericht liege in diesem Fall keine auf das Kopieren des Personalausweises zurückzuführende spürbare Beeinträchtigung der Klägerin vor (RN 39 ff).
2.18 LG Berlin: Untersagung der Missachtung von „Do-Not-Track“-Einstellungen
Der vzbv hat vor dem LG Berlin erreicht, dass dem sozialen Netzwerk LinkedIn untersagt wird Einstellungen der Nutzer, mit denen die Nachverfolgung ihrer Netzaktivitäten unterbunden werden soll, zu missachten. Das Gericht untersagte dem Unternehmen außerdem eine Voreinstellung, nach der das Profil des Mitglieds auch auf anderen Webseiten und Anwendungen sichtbar ist. Der vzbv berichtet dazu.
2.19 BFH: Aussagen zu § 29b AO
Der Bundesfinanzhof äußert sich in einem Verfahren zur Zulässigkeit der Verarbeitung personenbezogener Daten im Besteuerungsverfahren gemäß § 29b AO.
Der Fall (verkürzt): Im Rahmen einer beim Kläger stattfindenden Außenprüfung wurde der Kläger (ein Rechtsanwalt) aufgefordert Kontoauszüge für einen gewissen Zeitraum für ein bestimmtes Konto vorzulegen. Die Durchführung der Außenprüfung wurde mit Prüfungsanordnung verfügt. Nachdem der Kläger diesem Ersuchen nicht nachgekommen ist, wandte sich das Finanzamt an die Bank und ersuchte dort gemäß § 97 AO um Vorlage der vorbezeichneten Kontoauszüge. Das Finanzamt teilte insoweit mit, dass die Voraussetzungen des § 97 Abs. 1 Satz 3 i.V.m. § 93 Abs. 1 Satz 3 AO für das Ermittlungsersuchen erfüllt seien, da die Sachverhaltsaufklärung durch den Steuerpflichtigen nicht zum Ziel geführt habe. Der Kläger wurde mit Schreiben gleichen Datums von dem Vorlageersuchen unterrichtet und erhielt von dem an die Bank gerichteten Vorlageersuchen einen Abdruck. Sein Widerspruch gegen das Vorgehen dagegen wurde abgewiesen (Der ganze Sachverhalt ist im erstinstanzlichen Verfahren dargestellt.).
Das Finanzamt beruft sich bei dieser Verarbeitung und den Zugriff auf das Konto auf § 29b AO. In der Revision prüfte der BFH, ob § 29b AO den Anforderungen der DS-GVO genügt unter verschiedenen Aspekten (Normwiederholungsverbot, Konkretisierung) und hält ihn für rechtmäßig. Im Ergebnis wurde der Zugriff auf das Konto und damit verbundenen Kenntnisnahme von personenbezogenen Daten (auch von Daten nach Art. 9 Abs. 1 DS-GVO) über § 29b AO gerechtfertigt.
Mich irritiert dabei etwas, dass es keine Ausführung zu einer denkbaren Kollision mit der berufsrechtlichen Verschwiegenheit gibt, obwohl deutlich ist, dass aus der Einsichtnahme Honorarrechnungen eines Rechtsanwalts zur Kenntnis genommen werden (RN 36). Und die Verneinung einer Vorlageanfrage an den EuGH, ob § 29b AO eine rechtmäßige Umsetzung der DS-GVO darstellt (RN 82 ff), finde ich mehr als bedauerlich.
2.20 BVwG: Zweckbindung bei veröffentlichten E-Mail-Adressen
Das BVwG Österreich entschied im Rahmen der Ablehnung einer Revision, dass öffentlich zugängliche Daten wie hier eine (personenbezogene) E-Mail-Adresse auch den Regularien des Datenschutzrechts unterworfen sind. Veröffentlicht ein Unternehmen eine E-Mail-Adresse auf seiner Webseite, diene dies lediglich zur Kontaktaufnahme. Es berechtige nicht zur Weitergabe dieser E-Mail-Adresse an Dritte zu anderen Zwecken. Im konkreten Fall wurde eine E-Mail-Adresse aus dem Umfeld eines Baugewerbes jedoch im Kontext der Übermittlung eines ärztlichen Befundes von einer Trägerin einer Krankenanstalt verarbeitet. In der Veröffentlichung der E-Mail-Adresse auf der Unternehmenswebsite kann daher keine Legitimation für die Verarbeitung zum Zweck der Übermittlung an fremde Dritte im Zusammenhang mit der Übermittlung ärztlicher Befunde beziehungsweise Kontakten mit medizinischen Einrichtungen gesehen werden.
2.21 BVwG: Anforderungen des Art. 14 Abs. 5 DS-GVO bei Nutzung von Apps
Wann kann auf eine Information der betroffenen Person verzichtet werden, wenn die Daten nicht direkt von der betroffenen Person erhoben wurden? Art. 14 Abs. 5 DS-GVO bietet hier einige Ausnahmemöglichkeiten. Das BVwG Österreich befasst sich hier mit den Möglichkeiten aus Art. 14 Abs. 5 lit. a und lit. b DS-GVO. Bitte dabei beachten, dass das Urteil noch nicht rechtskräftig ist, es muss noch geklärt werden, ob eine Gesamtrechtsnachfolge oder Einzelrechtsnachfolge vorlag und wie sich dies auf die Bewertung hätte auswirken können.
2.22 Rechtsprechung zu Datenlöschungen
Wer noch zögert ein Löschkonzept umzusetzen, kann hier anhand beispielhaft aufgeführter Urteile nachlesen, welche Konsequenzen dies haben kann.
2.23 EuGH: Klage gegen Anordnungen der Aufsichten möglich
Im Verfahren C-333/22 stellt der EuGH fest, dass eine natürliche Person auch Beschlüsse einer Datenschutzaufsicht, die für sie getroffen werden, gerichtlich überprüfen lassen kann. Damit wird einer von der Verarbeitung ihrer Daten betroffenen Person die Möglichkeit gegeben, den Beschluss einer Aufsichtsbehörde anzufechten, wenn diese Behörde die Rechte dieser Person in Bezug auf die Datenverarbeitung ausübt. Der Ausgangsfall kam aus Belgien.
2.24 EuGH: Klage von TikTok gegen EDSA
Die Klage von TikTok gegen die Entscheidungen des EDSA liegt nun mit dem Az. T-1030/23 vor. TikTok möchte dabei die Zuständigkeit des EDSA prüfen lassen, macht eine eigene Rechtsverletzung (Art. 41 Grundrechtscharta der Europäischen Union) geltend und rügt eine fehlerhafte rechtliche Bewertung der Gestaltung der Pop-Up-Nachrichten.
2.25 VG Berlin: Ausschlussgründe bei Auskunftsbegehren
Ein Fahrgast begehrte im Rahmen eines Auskunftsverfahren die Herausgabe von Videoaufnahmen, die in einer S-Bahn erstellt wurden. Die Aufsichtsbehörde gab ihm Recht, das VG Berlin berücksichtigte die Argumente der Bahn und hob den Bescheid der Berliner Aufsicht mit der Verwarnung auf. Einerseits geht es um eine Identifizierbarkeit anhand von Aufnahmen (ab RN 56), andererseits um den Ausschluss des Rechts auf Kopie nach Art. 15 Abs. 3 DS-GVO auf Basis eines unverhältnismäßigen Aufwandes (ab RN 61).
2.26 EuGH: Vorschau Urteile in Schufa-Verfahren am 7. Dezember 2023
Einen Tag nach Nikolaus beschert uns der EuGH Urteile rund um Verfahren zur Schufa. In C-634/21 geht es u.a. um Fragen zu Art. 22 DS-GVO, in den verbundenen Verfahren C-26/22 und C-64/22 dann um u.a. um Fragen der Gestaltungsmöglichkeiten bei genehmigten Verhaltensregeln und um Speicherfristen bei Restschuldbefreiungen.
Franks Nachtrag: Die Urteile sind natürlich mittlerweile da, Sie möchten unter 2.36 und unter 2.37 weiterlesen…
2.27 EuGH-Vorschau: Urteil zu Verarbeitungen nach Art. 9 Abs. 2 und 3 DS-GVO
Für den 21. Dezember 2023 ist das Urteil im Fall C-667/21 (Krankenversicherung Nordrhein) angekündigt, in dem es u.a. um die Verarbeitung besonderer Kategorien eines Beschäftigten geht, dessen Daten bei dem eigenen Arbeitgeber als medizinischen Dienst verarbeitet werden. Daneben geht es auch um das Verhältnis von Art. 9 DS-GVO zu Art. 6 DS.GVO und (wieder mal) um Fragen zum Schadenersatz nach Art. 82 DS.GVO.
2.28 EuGH: Klagen gegen die EU-Kommission wegen DMA
Beim EuGH gingen bezüglich einiger Entscheidungen der EU-Kommission zum Digital Markets Act von einigen Unternehmen ein: Apple (T-1079/23 und T-1080/23), TikTok / Bytedance (T-1077/23) und Meta (T-1078/23).
2.29 ArbG Duisburg: Interpretation von „unverzüglich“ aus Art. 12 DS-GVO
Wie schnell sind Betroffenenrechte wie bspw. ein Auskunftsbegehren zu erfüllen? Der Gesetzgeber spricht hier in Art. 12 Abs. 3 DS-GVO von „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrag“. Das Arbeitsgericht Duisburg fand in diesem Fall bereits, das eine Dauer von 19 Tagen dagegen verstoßen würde und sprach deswegen einen immateriellen Schadenersatz in Höhe von 750 Euro zu.
Für mich mehr als überraschend – wohlwollend ausgedrückt. Fundiertere Kritik lesen Sie hier.
2.30 LAG Düsseldorf: Kein Schadenersatz bei verspäteter Auskunft
Das LAG Düsseldorf verneint einen Anspruch auf immateriellen Schadenersatz bei einer Überziehung der in Art. 12 Abs. 3 DS-GVO vorgegebenen Frist von einem Monat. Es begründet dies damit, dass aus zwei Gründen kein Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DS-GVO bestehe. Ein Verstoß gegen Art. 15 DS-GVO falle bereits nicht in den Anwendungsbereich von Art. 82 DS-GVO. Die Vorschrift setze haftungsbegründend eine gegen die DS-GVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DS-GVO – sei es, dass diese verzögert oder anfangs unvollständig erfüllt werde. Unabhängig davon setze Art. 82 DS-GVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DS-GVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DS-GVO letztlich identisch. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.
Franks Nachtrag: Also, wenn ich mir 2.29 und 2.30 direkt hintereinander durchlese, kann ich nur wieder an die römische Juristenweisheit denken: „Vor Gericht und auf hoher See…“
2.31 OLG Stuttgart: Rechenschaftspflicht umfasst mehr als Anforderungen aus Art. 5 Abs. 1 DS-GVO
In Verfahren zu Schadenersatzansprüchen bei Datenabzug durch Scraping (Facebook) entschied das OLG Stuttgart, dass sich die Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO auch die sich aus Art. 5 Abs. 1 DS-GVO anknüpfenden speziellen Vorschriften (dort konkret Art. 24, 32 DS-GVO) umfasst (RN 396).
Eine umfassende Übersicht zu den Scraping-Urteilen finden Sie hier.
2.32 KG Berlin: Anforderungen an Schadenersatz nach Art. 82 DS-GVO
Eine Urteilsbesprechung finden Sie hier. Der EuGH wird sich bald auch zu relevanten Fragestellungen zu Art. 82 DS-GVO äußern.
2.33 BVwG Österreich: „Erforderlichkeit“ nach ePrivacy-RL und DS-GVO
In einer Entscheidung des österreichischen Bundesverwaltungsgerichts befasst sich dieses mit der Auslegung des Begriffes der „Erforderlichkeit“ in Art. 5 Abs. 3 ePrivacy-RL und nach Art. 6 Abs. 1 lit. f DS-GVO. Im Ausgangsfall geht es um die Ablehnung eines Code of Conducts nach Art. 40 DS-GVO, weil die österreichische Datenschutzaufsicht das Merkmal der Erforderlichkeit beim Einsatz von Cookies anders interpretierte als die Einreicher der Verhaltensregeln. Das Gericht legt dabei dar, dass es bei der Erforderlichkeit nach Art. 5 Abs. 3 ePrivacy-RL anders als bei Art. 6 Abs. 1 lit. f DS-GVO gerade nicht auf die Interessen des Verwenders ankomme (ab RN 21).
2.34 EuGH: Haftung der Unternehmen
In dem Fall der „Deutsche Wohnen“ (C-807/21) urteilte der EuGH über die formalen Voraussetzungen bei der Sanktionierung von Unternehmen. Dabei trifft er folgende grundsätzlichen Aussagen, dass nur ein schuldhafter Verstoß gegen die Datenschutz-Grundverordnung zur Verhängung einer Geldbuße führen kann sowie dass es nicht erforderlich ist, dass der Verstoß von einem Leitungsorgan begangen wurde oder dass dieses Organ Kenntnis davon hatte, wenn der Verantwortlich eine juristische Person ist. Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen. Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.
Und zusammen mit dem Fall C-683/21 stellt er auch fest, dass gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden kann, die von einem Auftragsverarbeiter durchgeführt wurden, sofern diese Vorgänge dem Verantwortlichen zugerechnet werden können.
Dieses Urteil wurde kurioserweise von mehreren Verfahrensbeteiligten begrüßt: Die Vertreter der „Deutschen Wohnen“ fühlen sich bestätigt, weil der EuGH eben eine verschuldensunabhängige Bewertung („strict liability“) ablehnte; die BlnBfDI fühlt sich bestätigt, weil damit weitere Hemmschwellen im deutschen Recht wie § 30 OWiG im datenschutzrechtlichen Verfahren insoweit nicht zu berücksichtigen sind, als dass ein Verschulden einer Leitungsperson für einen Verstoß gegen datenschutzrechtliche Pflichten nachzuweisen wäre.
Der Fall wird auch hier in diesem Podcast ab Min. 3:38 thematisiert.
2.35 EuGH: Gemeinsame Verantwortlichkeit z.B. bei einer App-Entwicklung
Der Ausgangsfall stammt aus Lettland und ist etwas verwirrend: Bei einem App-Entwickler fragt jemand für eine staatliche Stelle an, ob diese eine App entwickeln können, um Corona-Infektionen zu verfolgen. Der App-Entwickler entwickelt nicht nur, sondern stellt diese auch ohne weitere Abstimmung mit dem Ansprechpartner oder der staatlichen Stelle in die App-Stores. Wer ist nun in welcher datenschutzrechtlichen Rolle als Verantwortlicher, Auftragsverarbeiter oder gemeinsamer Verantwortlicher? Der EuGH führt nun seine weite Auslegung der gemeinsamen Verantwortlichkeit aus Art. 26 DS-GVO in diesem Urteil (C-683/21) fort.
Es reiche, um als Verantwortlicher die Anforderungen des Art. 4 Nr. 7 DS-GVO zu erfüllen, wenn eine Stelle, die ein Unternehmen mit der Entwicklung einer mobilen Computeranwendung beauftragt hat, in diesem Zusammenhang an der Festlegung der Zwecke und Mittel der Verarbeitung personenbezogener Daten mittels dieser Anwendung beteiligt war, auch wenn diese Stelle selbst keine Verarbeitungsvorgänge solcher Daten vorgenommen hat, sie nicht ausdrücklich ihre Einwilligung zur Durchführung der konkreten Vorgänge einer solchen Verarbeitung oder zur öffentlichen Bereitstellung der genannten mobilen Anwendung gegeben hat und sie nicht dieselbe mobile Anwendung erworben hat (ab RN 30).
Eine Ausnahme sieht der EuGH nur dann, wenn die genannte Einrichtung vor dieser öffentlichen Bereitstellung ausdrücklich Widerspruch gegen diese und die daraus resultierende Verarbeitung personenbezogener Daten eingelegt hat (RN 37).
Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen nach Art. 4 Nr. 7 DS-GVO und Art. 26 DS-GVO führt der EuGH aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setze keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus. Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen (RN 39 ff).
Auch äußert sich der EuGH in RN 59 bezüglich der Verwendung personenbezogener Daten für IT-Tests: Auch diese stelle eine Verarbeitung dar, es sei denn, diese Daten wurden in einer Weise anonymisiert, dass die Person, auf die sich die Daten beziehen, nicht oder nicht mehr identifiziert werden kann, oder es handelt sich um fiktive Daten, die sich nicht auf eine existierende natürliche Person beziehen.
Letztendlich stellt er auch klar, dass ein Verantwortlicher auch für Verstöße seines Auftragsverarbeiters einstehen müsse und sanktioniert werden können, es sei denn, der Auftragsverarbeiter hat im Rahmen dieser Verarbeitungsvorgänge Verarbeitungen für eigene Zwecke vorgenommen oder diese Daten auf eine Weise verarbeitet, die nicht mit dem Rahmen oder den Modalitäten der Verarbeitung, wie sie vom Verantwortlichen festgelegt wurden, vereinbar ist, oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte (RN 83 ff).
Eine Besprechung der Entscheidung finden Sie hier.
Auch wenn die Bewertungen des EuGH für sich genommen angesichts bisheriger Entscheidungen wie hinsichtlich der gemeinsamen Verantwortlichkeit zu den Zeugen Jehovas (C-25/17) nicht überraschen, sind sie doch in einer solchen Deutlichkeit, dass manche vertragsrechtliche Gestaltung einer entsprechenden kritischen Überprüfung unterzogen werden sollte.
2.36 EuGH: Anwendbarkeit des Art. 22 DS-GVO bei Scorewerten
In seinem Urteil im Fall C-634/21 (Schufa – Scorewert) stellt der EuGH fest, dass bereits die Ermittlung eines Wahrscheinlichkeitswertes (Scorewert) als Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO einzustufen sei, wenn diese eine maßgebliche Rolle bei einer Kreditgewährung spiele.
Und bei dem Wort „Wahrscheinlichkeitswert“ sollte mittlerweile die Nähe zu sogenannte „KI-Systemen“, die als Large Language Model auch nur textuelle Wahrscheinlichkeiten produzieren, auffallen.
Eine Besprechung des Urteils finden Sie in der entsprechenden Rubrik dieses Blogs einer Kanzlei. Aber auch die Schufa und ein diese im Prozess vertretender Professor äußern sich dazu, letzterer auch mit Hinblick auf die Bedeutung für den Einsatz Künstlicher Intelligenz.
Das vorlegende Gericht (VG Wiesbaden) muss nun prüfen, ob § 31 BDSG – Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften den Anforderungen des EuGH genügt. Ausführungen zu § 31 BDSG sind hier schön nachzulesen, wobei diese deutlich vor dem EuGH-Urteil formuliert wurden.
2.37 EuGH: Speicherfristen bei Daten aus öffentlichen Registern
In den verbundenen Verfahren (C-26/22 und C-64/22) war ebenfalls die Schufa beteiligt. Wie lange dürfen Daten, die aus öffentlichen Registern kommen, durch andere gespeichert werden? Im konkreten Fall ging es um Informationen zur Restschuldbefreiung, also Negativmerkmale, die in Deutschland sechs Monate in den entsprechenden Registern öffentlich zugänglich sind. Wirtschaftsauskunfteien verwendeten diese aber bisher bis zu drei Jahren auf Basis einer Interessensabwägung und hatten dies in genehmigten Verhaltensregeln mit Aufsichtsbehörden abgestimmt.
Der EuGH stellt dazu fest, dass dieses Vorgehen nicht durch Art. 5 Abs. 1 lit. a DS-GVO und Art. 6 Abs. 1 lit. f DS-GVO gedeckt sei. Damit ergäbe sich auch dass die betroffene Person aus Art. 17 Abs. 1 lit. c DS-GVO das Recht habe vom Verantwortlichen die unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe vorliegen, die ausnahmsweise die betreffende Verarbeitung rechtfertigen. Verantwortliche hätten auch über Art. 17 Abs. 1 lit. d DS-GVO die Verpflichtung personenbezogene Daten, die unrechtmäßig verarbeitet wurden, unverzüglich zu löschen. Schließlich sind auch Entscheidungen der Aufsichtsbehörden im Rahmen der Genehmigung von Verhaltensregeln gerichtlich überprüfbar.
Mich irritiert dabei nur die Auslegung zu Art. 21 Abs. 1 DS-GVO, nach dessen Wortlaut eine betroffene Person gegen die Verarbeitung nach Art. 6 Abs. 1 lit. f DS-GVO Widerspruch einlegen können „aus Gründen, die sich aus der besonderen Situation der Person ergeben“. Der EuGH machte dazu keinerlei Ausführungen. Nun kann wieder heruminterpretiert werden, ob nun die betroffene Person dazu nun gar nichts vortragen brauchen oder ob der EuGH das nun für selbstverständlich hielt. Schließlich hat der Gesetzgeber bewusst eine Widerspruchsrecht ohne Begründungspflicht in Art. 21 Abs. 3 DS-GVO eingeräumt. In der Praxis ging dabei meist um Sachverhalte, die dem Verantwortlichen, der eine Abwägung nach Art. 6 Abs. 1 lit. f DS-GVO durchführte, nicht immer bekannt gewesen sein mussten.
2.38 EuGH: Verantwortlichkeiten bei „Hackerangriff“ und Anforderungen an Schadenersatz
Im Verfahren aus Bulgarien (C-340/21) (Natsionalna agentsia za prihodite) geht es um Fragen zur Verantwortlichkeit und um Fragen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO sowie daraus abgeleitete Konsequenzen für Schadenersatzforderungen. Interessant wird es auch dadurch, dass eine unbefugte Offenlegung von personenbezogenen Daten als Folge eines „Hackerangriffs“ im Sachverhalt benannt wird. Der EuGH legt dabei fest, dass
- im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten die Gerichte aus diesem Umstand allein nicht ableiten können, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
- der Verantwortliche die Beweislast dafür trägt, dass die getroffenen Schutzmaßnahmen geeignet waren.
- im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein kann, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
- allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ darstellen kann.
Das vollständige Urteil wird hier veröffentlicht.
2.39 EuGH: Anforderungen an immateriellen Schadenersatz
Der EuGH entschied in dem Fall der Gemeinde Ummendorf (C-456/22), dass für einen Anspruch aus Art. 82 Abs. 1 DS-GVO auf immateriellen Schadenersatz eine „Bagatellgrenze“ im Recht des Mitgliedsstaates unzulässig ist. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet.
2.40 OLG Köln: Anforderungen an Einwilligungen in Cookie-Banner
Das OLG Köln bewertete in einem Verfahren (Urteil vom 03.11.2023 – 6 U 58/23) die Gestaltung eines Cookie-Banners (das Urteil ist noch nicht frei zugänglich, wird aber hier https://www.verbraucherzentrale.nrw/urteilsdatenbank veröffentlicht werden). Einige Anträge der klagenden Verbraucherzentrale wurden nur deshalb abgelehnt, weil sie nach Ansicht des Gerichts nicht konkret genug formuliert waren. Gleichwohl kommt das Gericht zu einigen grundsätzlichen Aussagen:
Streitgegenständlich war ein Cookie-Banner, über das die Einwilligung des Nutzers zur Weitergabe an eine Wirtschaftsauskunftei und die Nutzung personenbezogener Daten durch „Analytische Cookies“ und „Marketing-Cookies“ zu solchen Zwecken geregelt wurde.
Das OLG stellt dazu fest, dass Datenschutzhinweise, die in Erfüllung der sich aus Art. 13 und 14 DS-GVO ergebenden Informationspflichten erfolgen und nicht zum Gegenstand einer vorformulierten Einwilligungserklärung gemacht werden, keine Allgemeinen Geschäftsbedingungen darstellen.
Klauseln zu den Themen „Analytische Cookies“ und „Marketing-Cookies“ in den Datenschutzhinweisen, die in die vorformulierte Einwilligungserklärung auf dem Cookie-Banner einbezogen werden, dienen der Einholung der Einwilligung von Besuchern der Webseite zum Setzen bestimmter Cookies und zur Datenverarbeitung und nähmen von daher am Rechtscharakter der vorformulierten Einwilligungserklärung als AGB (Allgemeine Geschäftsbedingungen) teil. Und in der Prüfung, ob diese Gestaltung einer AGB-Kontrolle unterliegen, kommt das OLG zum Ergebnis, dass hierdurch keine wirksame Einwilligung eingeholt werden konnte.
Ferner stellt das OLG fest, dass Klauseln im Cookie-Banner, die eine Drittlandübermittlung von Daten als durch Art. 49 Abs. 1 S. 1 lit. b DS-GVO gedeckt darstellen, nach § 307 Abs. 2 Nr. 1 BGB unwirksam seien, wenn der Erlaubnistatbestand der DS-GVO nicht einschlägig ist, weil die durch Cookies erhobenen Daten zu Marketing- und Analysezwecken nicht der Vertragserfüllung, sondern eigenen wirtschaftlichen Zwecken des Verantwortlichen dienen sollen.
In meinen Worten heißt das, dass auch eine Einwilligung in den Drittstaatentransfer (hier Übertragung an Google in die USA) von der Problematik der unzureichenden Gestaltung des Einwilligungsbanners betroffen ist.
Im Übrigen äußert sich das OLG noch zu der Frage, wann dynamische IP-Adressen als personenbezogenes Datum angesehen werden können. Bei den Ausführungen zum Drittstaatentransfer (ab Seite 37) muss ich mir mal einen Winterabend reservieren, um das nachzuvollziehen. Laut verbraucherzentrale NRW ist die Entscheidung noch nicht rechtskräftig, die Revision an den BGH wurde zugelassen.
Dass Klauseln in Datenschutzrichtlinien der AGB-Kontrolle unterliegen können, ist nicht neu. Bereits das KG Berlin hatte dies schon festgestellt (hier und da). Auch aus Österreich sind entsprechende Urteile bekannt, bei denen aufgrund der jeweiligen Gestaltungen der Kenntnisnahme der Datenschutzinformationen AGB-Regelungen angewendet wurden, wir berichteten.
2.41 Bezirksgericht Amsterdam: Gemeinsame Verantwortlichkeit eines Softwareherstellers
Criteo ist eine digitale Werbeplattform, die es Unternehmen ermöglicht Kunden durch personalisierte Werbung anzusprechen. Als Teil ihres Geschäftsmodells platziert Criteo über ihre Partner-Websites Tracking-Cookies auf den Geräten der Nutzer. Im September 2023 leitete eine betroffene Person ein Eilverfahren gegen die niederländischen und französischen Niederlassungen von Criteo beim Bezirksgericht Amsterdam (Rechtbank Amsterdam) ein. Ihr ging es dabei um die Untersagung der bisherigen Praxis Cookies ohne Einwilligung zu platzieren, darum einem Auskunftsanspruch zu erfüllen und darum einem Löschbegehren nachzukommen.
Das Gericht stellt nun hierzu fest, dass Criteo und seine Partner gemeinsame Verantwortliche sind (Ziffer 4.25). Criteo als Softwareanbieter muss die Kontrolle der Einholung einer Einwilligung durch den Partner (Webseitenbetreiber) selbstständig und präventiv vornehmen. Ausreichend sei es nicht lediglich auf ein „Signal“ (Beschwerde) durch Nutzer zu reagieren (Ziffer 4.19). Bezüglich des Vorbringens von Criteo, dass die Nutzer zwei Möglichkeiten hätten, mit denen ein Tracking verhindert werden könne (Entfernen unerwünschter Cookies durch Anpassung seiner Browsereinstellungen und/oder Einrichten eines „Opt-out“ für Criteo-Cookies), stellt der Richter klar, dass nicht die Nutzer Maßnahmen ergreifen müssen, sondern Criteo muss sicherstellen, dass die Einwilligung der Nutzenden für das Setzen der Cookies und die Verarbeitung seiner personenbezogenen Daten eingeholt wird (RN 4.22 f). Der Anspruch auf Auskunft umfasse auch die Liste aller Empfänger und nicht nur der Kategorien von Empfängern (Ziffer 4.30).
Berichte zu der Entscheidung finden Sie hier und da.
Die CNIL hatte dazu auch schon 40 Mio. Bußgeld gegen Criteo verhängt. Bereits die CNIL stellte dabei fest, dass ein Cookie-Verantwortlicher gemeinsam mit den Webseitenbetreibern nach Art. 26 DS-GVO verantwortlich ist. Der Nachweis der erteilten Einwilligung für die Verarbeitung (einschließlich der Weiterverarbeitung) obläge dadurch beiden, wir berichteten.
2.42 VG Köln: Keine Nennung sanktionierter Unternehmen durch BNetzA
Der BNetzA wurde durch das VG Köln gerichtlich untersagt ein Unternehmen namentlich in einer Pressemeldung zu nennen, gegen das es Sanktionen wegen unerlaubtem Telefonmarketing verhängte. Durch die namentliche Nennung der Betreiberin werde deren Berufsfreiheit verletzt. Eine gesetzliche Grundlage zur namentlichen Nennung der sanktionierten Unternehmen wie bei Kartellbehörden bestünde für die BNetzA nicht. Die Pressemeldung des VG Köln findet sich hier und ein Bericht dazu da.
3 Gesetzgebung
3.1 Verbraucherrechtedurchsetzungsgesetz
Seit 13. Oktober 2023 gilt nach der Veröffentlichung im BGBl das „Verbraucherrechtedurchsetzungsgesetz“. Damit werden schnellere und einfachere Klagemöglichkeiten für Verbraucher:innen geschaffen. Hier eine Pressemeldung des BMJ dazu und dort eine Darstellung der Änderungen durch eine Kanzlei. Das Gesetz behandelt aber keine speziellen Datenschutzthematiken. Es dient nur zur Durchsetzung bestimmter Rechte – aber eben auch bei Verletzungen einiger Datenschutzregelungen gegenüber Verbraucher:innen. Wer diese einhält, muss nichts fürchten.
3.2 Trennungsgebot zwischen Polizei und Nachrichtendiensten
Der Wissenschaftliche Dienst hat eine Ausarbeitung zum Sachstand des Trennungsgebots zwischen Polizei und Nachrichtendienste bezogen auf die Ausprägungen im Bereich der Cyberabwehr mit Stand September 2023 veröffentlicht. Vergleichend dazugibt gibt es Ausführungen zur Gestaltung in den Niederlanden, Frankreich und USA.
3.3 AI Gesetzgebung USA
Oft wird der unzureichende Einbezug Sachverständiger in den Gesetzgebungsprozess bemängelt. Gerade bei Datenschutzthemen gäbe es ausreichend Beispiele. In den USA scheint der Einbezug der Meinung der Wirtschaft hingegen mehr als ausreichend gesichert, wenn auch nicht immer in der gewünschten Transparenz, wie hier berichtet wird. Zahlreiche Expert:innen stünden in unmittelbarer Nähe zu Unternehmen, deren Geschäftsmodell durch AI-Regulatorik direkt betroffen wäre.
3.4 EU: Chatkontrolle
Das Thema Chatkontrolle lässt uns nicht los: Berichten zufolge sehen es die Finnen auch kritisch.
3.5 Österreich: Vorgaben zur DSFA
In Österreich wurden zwei Verordnungen der dortigen Datenschutzbehörde veröffentlicht, wann eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist und wann nicht. Die Befugnis zur Verordnung erhielt sie über die Regelung in § 21 Abs. 2 im österreichischen Datenschutzgesetz zur Umsetzung der Möglichkeiten aus Art. 35 Abs. 4 und 5 DS-GVO.
3.6 UK: Änderungen bei der Aufsicht
Nach diesem Bericht sind in UK Änderungen bei der Aufsicht vorgesehen. Diese soll durch vertrauenswürdige, nicht geschäftsführende Mitglieder ergänzt werden, denen Befugnisse auch im Bereich des Datenschutzes übertragen werden. Mal warten, wie sich das in der Praxis auswirken könnte.
3.7 Europa: Data Act
Das Europäische Parlament hat eine Fassung des Data Acts beschlossen. Diese muss nun noch durch den Ministerrat bestätigt werden, was nur noch eine Formsache darstellt. Er tritt nach seiner Annahme 20 Tage nach der Veröffentlichung des Amtsblatts in Kraft und kommt nach 20 Monaten zur Anwendung, voraussichtlich also ca. Mitte 2025. Mit dem Data Act soll insbesondere der Datenaustausch zwischen Unternehmen untereinander sowie mit der öffentlichen Hand vorangebracht werden. Außerdem will der Data Act den leichteren Wechsel zwischen Cloud-Providern ermöglichen, so der bitkom in seiner Pressemeldung.
Mal sehen, wie die Unternehmen damit umgehen, wenn sie ihr eigenes „Öl des 21. Jahrhunderts“ nun anderen zur Verfügung stellen sollen. Bei der Veröffentlichung von Daten über das Handelsregister entdeckten ja viele den Datenschutz für sich. Es finden sich bereits Hinweise und Checklisten für Unternehmen zur Umsetzung dazu.
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
3.8 Europa: eIDAS beschlossen
Aus europäischer Ebene wurde Einigung zwischen Parlament und Rat erzielt, um eine EU-weite „digitale Brieftasche“ einzuführen. Alle Beteiligten freuen sich und veröffentlichen Pressemeldungen wie der Rat und die Kommission. Natürlich wäre europäische Digitalpolitik ohne Kritik kaum vorstellbar – die gibt es auch.
3.9 Elektronische Patientenakte
Scheitert die elektronische Patientenakte wieder am Datenschutz? Wohl nicht, wenn man den Ausführungen des BfDI in diesem Interview folgt. Eher an der Missachtung höherwertiger Vorgaben.
3.10 Data Act auf Deutsch
Es gibt nun eine deutsche Fassung des Data Acts. Aber Vorsicht: Maßgeblich wird die im europäischen Amtsblatt veröffentlichte Fassung sein, redaktionelle Änderungen kann es noch geben. Hier ist eine kompakte Darstellung zu Fragestellungen zum Data Act verfügbar.
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
3.11 G7 zu AI
Die Mitgliedsstaaten des G7 haben sich auf grundsätzliche Prinzipien bei KI-Systemen verständigt. Diese umfassen insgesamt elf Punkte und empfehlen auch die Einführung eines Code of Conducts.
3.12 USA AI
Auch die USA haben hier durch eine Executive Order des Präsidenten Leitplanken für den Einsatz von AI gezogen. Da verwundert es auch nicht, dass selbst das US-Außenministerium eine eigene AI-Strategie vorweist.
3.13 Europa: AI Act
Berichten zufolge haben sich Deutschland, Frankreich und Italien auf eine gemeinsame Position zum AI Act verständigt, allerdings scheint diese nicht auf das Wohlwollen des Europäischen Parlaments zu stoßen. Eine qualifizierte Zusammenfassung der Meinungen dazu findet sich hier.
3.14 Deutschland: Umsetzung der NIS-2-Richtlinie
Die Mitgliedsstaaten haben bei der Umsetzung der NIS-2-Richtlinie einen gewissen Spielraum. Der IT-Planungsrat hat nun der Bundesregierung empfohlen Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen von den Vorgaben zur IT-Sec auszunehmen. Angesichts steigernder (erfolgreicher) Angriffe auf kommunale Stellen eine eher irritieren Forderung. So hat auch Teletrust einen offenen Brief initiiert diese Empfehlung nicht umzusetzen.
3.15 Änderung bei § 184b StGB?
Nach Berichten überlegt das BMJ (endlich) Änderungen beim § 184b StGB durchzuführen. Die Verschärfung in 2021 bei der Strafbarkeit von Besitz von „kinderpornografischem Material“ führte dazu, dass selbst Kinder durch Aufnahmen, die sie selbst von sich anfertigten, oder auch Personen, an die sie sich wandten, in den Fokus der Ermittlungsbehörden gerieten. Durch Absenkung der Mindeststrafe bei diesem Delikt haben Ermittlungsbehörden wieder mehr Spielraum bei der Einleitung eines Strafverfahrens – die Höchststrafen bleiben bestehen.
3.16 New York: Änderung der Datenschutzregelungen
Im Rahmen der Änderung von Cybersicherheitsvorgaben gab es auch Änderungen bei Datenschutzregelungen in New York. Details dazu lesen Sie hier.
3.17 Virtuelle Wohnungseigentümergemeinschaften
Der Bundesrat bringt lebensnahe Hinweise zu einer gesetzlichen Regelung zur Umsetzung der Möglichkeit digitaler Wohnungseigentümerversammlungen.
3.18 Vergleich der Regelungen zu Künstlicher Intelligenz
Was ist den Regularien oder den Überlegungen dazu aus der Executive Order des US-Präsidenten und der europäischen Gesetzgebung zum Einsatz von KI gemein oder wo unterscheiden sie sich. Aufschluss dazu gibt diese Übersicht.
3.19 Übersicht der europäischen Regulatorik zur Digitalisierung
Und wenn wir schon bei Übersichten sind: Hier ist (erneut) der Verweis auf eine Übersicht europäischer digitaler Gesetzgebungsvorhaben. Und das Tolle daran: Die Gesetzestexte dazu sind verlinkt.
3.20 Kommunaler Notbetrieb
Wer die sich häufenden Meldungen über Störungen in der IT der lokalen Verwaltungen wahrnimmt, wundert sich über die Forderungen des IT-Planungsrats diese von Vorgaben zur IT-Sicherheit auszunehmen. Ich unterstelle diesem mittlerweile auch nicht mehr sich dumm zu stellen. Wer wissen will, warum, schaut sich diese Karte der Notfälle auf kommunaler Ebene an, schön gekennzeichnet nach Ursache.
3.21 AI Act
Der Trilog ist abgeschlossen. Details sind vorerst nur aus den Pressemeldungen dazu ersichtlich. Der abgestimmte Text wird noch erstellt und übersetzt. Freundlicherweise hat jemand hier in der Google-Cloud einige Dokumente dazu zusammengefasst. Natürlich gibt es nicht nur Jubel, sondern auch kritische Stimmen von Bürgerrechtlern oder vom BDI.
Und langsam tauchen auch immer mehr Zusammenfassungen und Darstellungen der Ergebnisse des Trilogs auf, wie hier, die auf diese (LinkedIn) zurückzuführen ist oder dieser Podcast mit einem Experten für das Thema.
3.22 Evaluierung der DS-GVO?
Im Jahr 2024 wäre nach Art. 97 Abs. 1 DS-GVO mal wieder der Zeitpunkt, um im Rahmen einer Evaluierung der DS-GVO Anpassungen und Änderungen vorzuschlagen, wenn nicht gar umzusetzen. Aber wer wollte die Büchse der Pandora tatsächlich öffnen, auch wenn es etliche Formulierungen und Vorgaben gibt, die in der Praxis Umstände bereiten ohne einen tatsächlichen Mehrwert für die betroffenen Personen zu bringen. Zu dem Ergebnis scheint auch der Rat der EU zu kommen, wenn auch mit einer etwas anderen Begründung, wie hier nachzulesen ist. Er hält das europäische Datenschutzgesetz für einen Erfolg. Daher fordere er keine Wiederaufnahme der Gesetzgebungsverhandlungen, sondern eine umfassende Bewertung der Kommission im nächsten Jahr.
Und schon veröffentlicht die Kommission die Ankündigung dazu, dass sie im zweiten Quartal 2024 ihren Bericht über die Anwendung der DS-GVO plant.
4 Künstliche Intelligenz und Ethik
4.1 Best Practice bei der Beschaffung von KI-Systemen
An was ist aus Einkaufssicht bei der Beschaffung von KI-Systemen zu denken? Hierzu finden sich in dieser Veröffentlichung des „Centers for inclusive Change“ entsprechende Hinweise und Anmerkungen für Einkaufsverantwortliche (Procurement). Die Beschaffung von KI-Systemen beginnt mit der Definition akzeptabler (und inakzeptabler) Verwendungszwecke des Systems und durchläuft einen Weg, der die Erwartungen an Datenqualität, Datenrechte, Systemqualität, Transparenz, Erklärbarkeit, Systemüberwachung, laufendes Risikomanagement und hochspezialisierte technische Audits und Inspektionen festlegen sollte. Die Bewertung und Kontrolle dieser Faktoren ist für die KI-Beschaffungs- und -Auftragsvergabeverfahren von wesentlicher Bedeutung. Dies sei besonders wichtig für Systeme, die auf die Bedürfnisse im Zusammenhang mit den Menschenrechten, der Menschenwürde und den bürgerlichen Freiheiten ausgerichtet sind. Die Veröffentlichung dieses „Playbooks“ (Link auf Google Drive), das weitgehend auf der Arbeit der Stadt Amsterdam basiert, bietet Einkaufsbereichen eine Reihe hilfreicher Überlegungen zur Auftragsvergabe bei der Evaluierung und Beschaffung von KI-Systemen mit hohem Risiko.
Aber auch die EU macht sich Gedanken, welche Formulierungen bei der Beschaffung von KI-Systemen Anwendung finden sollten und hat den Entwurf von Vorschlag für Standardvertragsklauseln für die Beschaffung von Systemen der künstlichen Intelligenz durch öffentliche Einrichtungen sowie einen Vorschlag für Standardvertragsklauseln für die Beschaffung von Systemen der künstlichen Intelligenz durch öffentliche Einrichtungen mit weniger Risiko (vereinfachte Version) veröffentlicht.
4.2 UNESCO: Übersicht über KI-Lehrpläne
Die UNESCO-Einheit für Technologie und künstliche Intelligenz im Bildungswesen erstellte innerhalb des Futures of Learning and Innovation Teams einen Bericht über Inhalte von Lehrplänen zur Künstlichen Intelligenz. Berücksichtigt wurde u.a. Input aus Katar, Österreich, Wallonie-Bruxelles in Belgien, Portugal und China.
4.3 USA: Verbraucher sind wegen KI besorgt
Nicht nur bei uns, auch in den USA beunruhigen die Veränderungen, die der Einsatz von Künstlicher Intelligenz mit sich bringt, Verbraucher:innen. So berichtet es zumindest die FTC (Federal Trade Commission).
4.4 BBC schützt ihren Content vor KI
Wie schütze ich meinen Content im Internet vor der Nutzung durch eine KI? Die britische BBC hat nun ihren Ansatz für den Einsatz generativer KI im Journalismus dargelegt und dabei das Potenzial der KI, dem Publikum einen größeren Nutzen zu bieten, hervorgehoben. Die drei wichtigsten Grundsätze sind das Handeln im Interesse der Öffentlichkeit, die Rechte der Künstler zu respektieren und gleichzeitig die Kreativität zu fördern und Transparenzanforderungen bei KI-produzierten Inhalten.
4.5 Transparenzindex über Stiftungsmodelle
Wissenschaftler:innen vom Stanford Center for Research on Foundation Models (CRFM) und Stanford Institute for Human-Centered Artificial Intelligence (HAI) haben eine Studie vorgelegt, wie über Stiftungsmodelle Transparenzanforderungen erfüllt werden können.
4.6 KI und Halluzinationen
Ergebnisse von KI-Sprachmodellen, die inhaltlich keine Substanz haben, werden gerne als „Halluzinieren“ bezeichnet. Diese Studie untersucht Halluzinationen in großen Sprachmodellen, ihre Definition, Quantifizierung aber auch präskriptive Abhilfemaßnahmen.
4.7 Privatheitsverletzungen durch Inferenz mit LLM
Noch eine Studie, diesmal mit dem Thema, wie durch große Sprachmodelle Verletzungen der Privatsphäre entstehen können. Die Studie befasst sich damit, ob aktuelle LLMs die Privatsphäre von Personen verletzen könnten, indem sie persönliche Attribute aus dem zum Zeitpunkt der Inferenz gegebenen Text ableiten. Sie konstruiert einen Datensatz, der aus echten Reddit-Profilen besteht, und zeigt, dass LLMs ein breites Spektrum an persönlichen Attributen ableiten können (z.B. Standort, Einkommen, Geschlecht) und dabei eine Top-1-Genauigkeit von bis zu 85 % und eine Top-3-Genauigkeit von 95,8 % bei einem Bruchteil der Kosten (100×) und der Zeit (240×), die ein Mensch benötigt. Da Menschen zunehmend mit LLM-gesteuerten Chatbots in allen Lebensbereichen interagieren, wird auch die aufkommende Bedrohung durch in die Privatsphäre eindringende Chatbots, die versuchen persönliche Informationen durch scheinbar harmlose Fragen zu erhalten, untersucht. Gängige Abhilfemaßnahmen, d.h. Textanonymisierung und Modellanpassung seien derzeit unwirksam, um die Privatsphäre vor LLM-Inferenz zu schützen. In Ermangelung von funktionierenden Schutzmaßnahmen plädieren die Verfasser für eine breitere Diskussion über die Auswirkungen von LLMs auf die Privatsphäre über das Auswendiglernen hinaus und streben einen umfassenderen Schutz der Privatsphäre an.
4.8 Die menschliche Stimme und die DS-GVO
Mit diesen Aspekten befasst sich dieser Beitrag. Insbesondere die Möglichkeiten, mit KI die Stimme anderer zu imitieren, bietet neue Fragestellungen, die dabei auch betrachtet werden.
4.9 Future of life: Können wir AI-Anbietern trauen?
Ein alte Jurist:innenregel lautet: Lies dir vorher durch, was du unterschreibst. So ist es hilfreich, wenn hier mal die Zusagen der gängigsten KI-Anbieter auf belastbare Zusagen geprüft werden.
4.10 CEDPO: AI und GDPR
Wie passen Künstliche Intelligenz und Datenschutz zusammen? Damit befasst sich der Zusammenschluss unternehmensnaher Datenschutzverbände in einer 32-seitigen Veröffentlichung.
4.11 Hat KI ein Bewusstsein?
Mit dieser zunehmend spannenden Frage befasst sich dieser wissenschaftliche Beitrag.
4.12 Urheberrechtsverletzung durch Training von KI
Inwieweit das Kopieren von urheberrechtlich geschützten Werken zum Trainieren und Betreiben generativer künstlicher Intelligenzsysteme eine Urheberrechtsverletzung und keine faire Nutzung darstellt, wird in diesem Whitepaper beschrieben.
4.13 Norwegen: Leitfaden für eigebauten Schutz vor AI-Diskriminierung
In Norwegen hat der Ombudsmann für Gleichstellung und Antidiskriminierung einen Leitfaden für den eingebauten Schutz vor AI-Diskriminierung vorgestellt. Er ist hier auf norwegisch abrufbar.
4.14 Toolkit für „responsible AI“ in der Strafverfolgung
Das Zentrum für KI und Robotik des UNICRI hat zusammen mit Interpol und mit finanzieller Unterstützung der Europäischen Kommission ein Toolkit für verantwortungsvolle KI-Innovationen in der Strafverfolgung entwickelt. Sie finden es hier.
4.15 ChatGPT und DS-GVO
Noch nicht als Peer-Review, sondern als Preprint ist diese Veröffentlichung „ChatGPT: how many data protection principles do you comply with?“ erschienen, die kritisch die komplizierte Beziehung zwischen den Datenschutzgrundsätzen der DS-GVO und LLMs am Beispiel von ChatGPT bewertet, wobei sowohl rechtliche als auch technische Auswirkungen berücksichtigt werden. Darüber hinaus befasst sich die technische Analyse mit möglichen Lösungen zur Verbesserung des Datenschutzes bei LLMs, wobei die Machbarkeit und die Vorteile des Hostings von LLMs hervorgehoben werden.
4.16 CISA: Leitlinie für die Entwicklung sicherer KI-Systeme
Die amerikanische Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) veröffentlichte eine „Leitlinie für die Entwicklung sicherer KI-Systeme“. Die Leitlinie wurde von insgesamt 23 internationalen Behörden gemeinsam verabschiedet: Australien, Frankreich, Kanada, Norwegen, Singapur – und auch unser deutsches BSI.
4.17 Tipps zu KI in Kanzleien
Praxistipps zum Einsatz von Künstlicher Intelligenz finden sich (neben vielen weiteren Informationen) hier.
4.18 Besser prompten ohne Halluzinationen
Über ein neues Prompting-Verfahren System2Attention sollen sich „Halluzinationen“ beim Einsatz von LLM-reduzieren lassen – Meta stellte es vor und hier wird es besprochen. Das LLM wird zunächst angewiesen den initialen Prompt um irrelevante Informationen zu bereinigen. Mit dem bereinigten Kontext wird das LLM erneut mit der Fragestellung geprompted. Im Ergebnis soll man mit dem zweitstufigen Prompting deutlich wahrheitsgemäßere Ableitungen erhalten.
4.19 Eliza gegen ChatGPT
Fast schon ernüchternd erscheint das Ergebnis, das in diesem Artikel beschrieben wird: Eliza aus den 60er Jahren des letzten Jahrhunderts liefert bessere Ergebnisse als ChatGPT in Bezug auf Glaubwürdigkeit, dass ein Mensch „auf der anderern Seite“ interagiert.
4.20 Einsatz von KI: Vorurteile bleiben
Auch der Einsatz von Künstlicher Intelligenz aus Europa scheint nicht das Allheilmittel zu sein, wenn es darum geht Diskriminierungen und radikale Aussagen außerhalb der Ergebnisse einer KI zu halten. Aber es lässt hoffen, dass es als Problem erkannt wird.
4.21 Vergleich der Regelungen zu AI in USA
Seit Juli 2023 haben nach diesem Bericht acht US-Bundesstaaten (Kalifornien, Kansas, New Jersey, Oklahoma, Oregon, Pennsylvania, Virginia und Wisconsin) und das Weiße Haus Durchführungsverordnungen (Executive Orders, EOs) veröffentlicht, um den verantwortungsvollen und ethischen Einsatz von Systemen der künstlichen Intelligenz (KI), einschließlich generativer KI, zu unterstützen. Als Reaktion auf die sich entwickelnde KI-Landschaft signalisieren diese Anordnungen eine wachsende Anerkennung der rasanten Entwicklung von KI und der Notwendigkeit potenzielle Risiken für die Daten von Einzelpersonen zu managen und die algorithmische Diskriminierung von Randgruppen zu verringern.
Hier werden die Gemeinsamkeiten und Unterschiede der Durchführungsverordnungen tabellarisch gegenübergestellt.
4.22 Keine personenbezogenen Daten in ChatGPT?
Dass es trotz Angaben von OpenAI möglich ist ChatGPT Aussagen mit personenbezogenen Daten zu entlocken, ist hier nachzulesen. Dies sei auch OpenAI bekannt, werde aber hingenommen.
5 Veröffentlichungen
5.1 A Trusted Framework for Cross-Border Data Flows
Der „German Marshall Fund“ und das „Technology, Law & Security Program der AU Law School“ haben gemeinsam einen Bericht mit dem Titel „A Trusted Framework for Cross-Border Data Flows“ verfasst. Der Bericht bietet einen Fahrplan, um auf den jüngsten multilateralen Durchbrüchen bei der OECD, der G7 und den bilateralen Abkommen zwischen der EU und den USA aufzubauen, und ruft die Beteiligten dazu auf rasch einen transparenten Prozess auf multilateraler Ebene und unter Beteiligung zahlreicher Interessengruppen einzuleiten, wobei der Schwerpunkt zunächst auf dem kommerziellen Datenschutz und dem vertrauenswürdigen Zugang der Behörden liegt. Zu den Schlüsselelementen dieses Rahmens gehören u.a. Rechtsstaatlichkeit, Schutz der Rechte, sinnvolle Garantien und Durchführbarkeit.
5.2 bitkom-Umfrage zur DS-GVO
Das Ergebnis der Umfrage des bitkom zur DS-GVO zeigt keine Zufriedenheit der befragten Unternehmen mit der DS-GVO. 503 Unternehmen ab 20 Beschäftigten in Deutschland wurden befragt. Danach bekäme die DS-GVO die Note „ausreichend“ (3,9). Immerhin geben zwei Drittel (65 Prozent) der Unternehmen an die Regelungen vollständig oder größtenteils umgesetzt zu haben. Jetzt könnte man fragen, inwieweit man dann die Befragung noch ernst nehmen kann, wenn mind. 30 Prozent der Befragten Regelungen bewerten sollen, die sie nicht beachten. Das erfolgt natürlich nicht. Beklagt wird dabei, dass die DS-GVO Geschäftsprozesse komplizierter mache (78 Prozent) und zu praxisfern sei (77 Prozent). 56 Prozent geben an, dass durch die DS-GVO die Entwicklung neuer Produkte und Dienstleistungen verzögert werde und rund die Hälfte (48 Prozent) stellt fest, dass Innovationen aus anderen Regionen wegen der DS-GVO in der EU nicht genutzt werden können. In allen Unternehmen (100 Prozent) hat die DS-GVO in den vergangenen zwölf Monaten dazu geführt, dass innovative Projekte gescheitert sind oder gar nicht erst angegangen wurden. In 86 Prozent der Unternehmen waren dabei konkrete Vorgaben der DS-GVO die Ursache, in 92 Prozent Unklarheiten in ihrer Anwendung.
Mir fehlt bei diesen Fragen/Antworten immer die konkrete Nachfrage, welcher der Grundsätze der DS-GVO aus Art. 5 Abs. 1 genau zum Scheitern führte: fehlende Rechtsgrundlage, Probleme mit der Zweckbindung, Transparenz, Richtigkeit der Daten, Speicherbegrenzung oder Schutzmaßnahmen? Gut, dass die bitkom dabei dann auf eine eigene Veranstaltung verweist, bei der dann sicherlich diese Themen angesprochen wurden und bei der ein Blick auf die Premium-Partner hilft die Umfrage einzuordnen.
Originellerweise finden sich hier Aussagen der bitkom-Umfrage mit Aussagen des BfDI zur Fragestellung, ob „Datenschutz nun Wettbewerbsvorteil oder Innovationsbremse sei“, gegenübergestellt.
5.3 Stiftung Datenschutz: Verhaltensregeln nach der DS-GVO
Die gestreamte Veranstaltung zu Verhaltensregeln nach der DS-GVO am Beispiel des „Trusted Data Processors“ ist nun online als Aufzeichnung verfügbar.
5.4 Fortbildungsumfang – am Beispiel eines Landesministeriums
Welchen Umfang sollten eigentlich Sensibilisierungsmaßnahmen der Beschäftigten hinsichtlich Datenschutz und IT-Sicherheitsvorgaben haben, das fragen sich viele verantwortliche Stellen und auch deren DSB. Das kommt natürlich darauf an, würden Juristen antworten. Auf Tätigkeit und Kritikalität der Daten und Werkzeuge. Hier lesen Sie die Antwort einer Landesregierung zum Umfang der Aus- und Fortbildungsangebote im Jahr 2022 im Bereich IT-Sicherheit für die Beschäftigten im Geschäftsbereich der Ministerin für Justiz, Gleichstellung und Verbraucherschutz.
5.5 BEM und Datenschutz
Mit den datenschutzrechtlichen Anforderungen im betrieblichen Eingliederungsmanagement (BEM) befasst sich dieser Beitrag.
5.6 IT-Sicherheit: Von Bedarfsanalyen und Wimmelbildern
Gerne werden in Vorträgen zur Digitalisierung Staaten wie Finnland oder Estland als Vorbild genannt. Förderal strukturierte Einheiten haben dabei aber viel mehr Möglichkeiten individuelle Merkmale zu manifestieren. Spannende Einblick gewähren dazu die Veröffentlichungen der Stiftung Neue Verantwortung, wie eine Bedarfsanalyse, um die Informationssicherheit von deutschen Städten zu verbessern, eine Studie zur offiziellen öffentlichen politische Zurechnung von Cyber-Operationen: Aktueller Stand und politische Optionen und eine Darstellung Deutschlands staatlicher Cybersicherheitsarchitektur mit dem Wimmelbild der Regulatorik und Zuständigkeiten auf Seite 16.
5.7 Speicherfristen von IP-Adressen – aus Sicht des BKA
Welche Erwartungshaltung hat das Bundeskriminalamt an eine Speicherung von IP-Adressen, um Straftaten im Netz aufzuklären? Dies geht aus diesem Papier des BKA mit Stand Juli 2023 hervor. Spoiler: Die aktuellen Speicherdauern der Provider reichen nicht.
Franks Nachtrag: Bin ich eigentlich der Einzige, der nicht wirklich einsehen will, dass das BKA seine Dateien bei Adobe hostet?
5.8 Begrifflichkeiten: Nicht jede Sicherheitslücke ist ein Datenleck
Hier geht es nicht um ein Urteil, sondern um einen Vergleich, und trotzdem ist es spannend: Wann ist eine IT-Sicherheitsvorfall gleich ein Datenleck? Ein Unternehmen wehrt sich gegen die Bezeichnung „Datenleck“ in einer Berichterstattung, weil keine Daten abgezogen wurden, es sei „nur“ eine Sicherheitslücke gewesen. Also aufgemerkt, wenn über Vorfälle berichtet wird. Die Prüfung und Einstufung, ob eine Meldepflicht z.B. nach Art. 33 DS-GVO besteht oder nicht, bleibt von dieser Thematik erstmal unberührt.
5.9 Gutachten zu Terminvereinbarungssoftware für Gesundheitsdienstleistungen
Wer einen Arzttermin vereinbaren will, kann dies oft auch über Apps tun. Bequem können Standortvorgaben und Angabe von Beschwerden oder Impfwünschen helfen einen passende/n Arzt/Ärztin zu finden oder bei einer bereits bekannten Praxis einen Termin zu vereinbaren. Das entlastet Praxispersonal und vermeidet schier endlose Warteschleifen am Telefon. Ob dieses Angebot dabei immer compliant zu regulatorischen Vorgaben bleibt, ist oft umstritten. Damit befasst sich ein Gutachten des „Netzwerks Datenschutzexpertise“, das u.a. auf Prüfung der gemeinsamen Verantwortlichkeit und die Anforderungen an die berufsrechtliche Verschwiegenheit eingeht.
5.10 AWS: Cloud jetzt souverän genug?
Amazon Web Services startet nach eigenen Angaben nun seine unabhängige Cloud für Europa in Deutschland. Zielgruppe sind Kunden aus stark regulierten Branchen und dem öffentlichen Sektor.
5.11 Podcast zu Datenschutz bei Finanzämtern
Diese Ausführungen in einem Podcast (ca. 45 Min), u.a. zu Datenschutz in der Finanzverwaltung, sind hörenswert.
5.12 Adblocker von YouTube umstritten
Berichten zufolge gibt es unterschiedliche Interpretationen über die Möglichkeiten Nutzerwünsche technisch zu ignorieren.
5.13 Rechenschaftspflicht nach DS-GVO
Grundlegendes und vertiefende Informationen zur Rechenschaftspflicht nach der DS-GVO wurden hier veröffentlicht.
5.14 Nutzung von Werbeprofilen
Ich schrieb bewusst nicht „Missbrauch von Werbeprofilen“, den allein deren Anlage auf Basis des Online-Verhaltens ist bereits rechtlich fragwürdig. Nach diesen Berichten werden über das RTB (Real Time Bidding) auch Profile über Politiker und andere einflussreiche Personen erstellt und weitergegeben. Es kann naiv sein zu glauben, dass diese Kenntnisse nicht auch zu unlauteren Zwecken genutzt werden können. Dabei betrifft es nicht nur Polikter:innen in Europa, sondern beispielsweise auch in den USA. Mittlerweile wächst auch die Überzeugung, dass sich Marketing-Verantwortliche bei der Auswahl ihrer Tools diesbezüglich nicht dumm stellen.
Übrigens fand am 22. November 2023 in Hamburg eine mündliche Verhandlung vor dem Landgericht Hamburg zur Thematik statt.
5.15 Rückblick IDACON
Wer die IDACON verpasst hat, bekommt über diesen Podcast (Dauer ca. 77 Min) einen guten Eindruck der besprochenen Themen und maßgeblicher Aussagen.
5.16 Podcast zur Schufa
In diesem Podcast (Dauer ca. 35 Min.) werden spannende Fragen zur Schufa behandelt.
5.17 Zulässigkeit von Pre-Employment-Screenings
Ein spannendes Thema, mit dem sich eine Arbeitsrechtskanzlei hier befasst: Wie sind die datenschutzrechtlichen Aspekte dabei zu bewerten? Das Thema ist fast so spannend wie eine datenschutzkonforme Gestaltung von Consentbannern auf Webseiten.
5.18 Umfrage zur DS-GVO
noyb führt eine Umfrage* bei Datenschutzbeauftragten zur DS-GVO durch. Mit erfrischend wenig manipulativen Fragestellungen.
Franks Anmerkung: Die Umfrage ist mittlerweile geschlossen, die Seite bringt nur eine Fehlermeldung. Die Ergebnisse scheinen noch nicht veröffentlicht zu sein (zumindest finde ich sie nicht) und auch die bei archive.org gespeicherte Version der Umfragestartseite ist nur genau das, die Umfragestartseite. Wir warten mal gespannt auf das Ergebnis. Dieser Eintrag ist also tatsächlich „lost“…
5.19 Chatfunktionen und E-Commerce-Webseiten
Erfreulicherweise nicht hinter einer Paywall ist dieser Beitrag zum Einsatz von Chatfunktionen im E-Commerce veröffentlicht. Er beinhaltet auch am Ende eine Checkliste, aus der die fundierte Praxiserfahrung des Autors erkennbar ist.
5.20 FPF: Durchsetzung von Data Protection by Design und by Default
Das Future of Privacy Forum (FPF) hat verschiedene Fälle und Leitlinien aus 16 EWR-Mitgliedstaaten, dem Vereinigten Königreich und dem Europäischen Datenschutzausschuss zu Art. 25 DS-GVO analysiert. Die Ergebnisse wurden in einem Report mit Stand Mai 2023 unter dem Titel „Unlocking Data Protection By Design & By Default: Lessons from the Enforcement of Article 25 GDPR“ veröffentlicht.
5.21 Ökonomische Methoden im Recht
„Das kommt darauf an“ ist eine beliebte Antwort von Jurist:innen, wenn aus der Fragestellung nicht alle Informationen hervorgehen, die für eine Beantwortung benötigt werden. Das Ganze kann noch gesteigert werden, wenn dazu noch ökonomische und sozialwissenschaftliche Aspekte hinzukommen. Hier ist ein öffentlich zugängliches Werk veröffentlicht, dass sich mit ökonomischen Methoden im Recht befasst.
5.22 Schleswig-Holstein: Forderungen der IHK zum Datenschutz
Die IHK in Schleswig-Holstein hat nach eigener Aussage zwei Workshops benötigt, um ihren aktuellen Stand zur Kenntnis der datenschutzrechtlichen Grundlage zusammenzufassen und daraus zehn Forderungen zu formulieren. Dabei scheint u.a. z.B. der Erwägungsgrund 4 überlesen worden zu sein. Auch scheinen Zuständigkeiten, Verantwortlichkeiten und Ansprechpartner zur DS-GVO und nationalen Ausgestaltungen noch nicht angekommen zu sein. Zu den zehn veröffentlichten Thesen soll es auch eine Langfassung geben, diese ist aber nicht verlinkt.
5.23 bitkom: Haftung der Unternehmensleitung bei Cybervorfällen
Wenn es selbst der bitkom sagt, muss ja was dran sein. Hier finden sich auf den Seiten des bitkom eine fundierte Darstellung der Haftungsrisiken der C-Ebene bei erfolgreichen Cyberangriffen. Damit werden wahrscheinlich mehr Adressaten erreicht, als mit sonstigen Hinweisen, die durch interne Stellen seit Jahren erfolgen.
5.24 Wegfall der Einwilligung – und dann?
Können nach dem Wegfall einer Einigung als Rechtmäßigkeitsgrundlage andere Möglichkeiten herangezogen werden oder ist eine Verarbeitung personenbezogener Daten dann ausgeschlossen? Mit dieser Frage befasst sich dieser Blogbeitrag, der die Aussagen des EDSA, von Aufsichtsbehörden und des EuGH dazu analysiert.
5.25 Passwortsicherheit
Wie sicher sind unterschiedlich gestaltete Passwörter? Hier gibt es eine aktuelle Darstellung (mit Stand April 2023), wie lange welche Passwortanforderung welchen Angriffen standhält.
5.26 Der DSB in TLoD
Das Organisationsmodell “Three Lines of Defense” (TLoD) erfreut sich zunehmender Beliebtheit auch bei der internen Organisation des Datenschutzes. Wie und wo dabei die Aufgaben des Datenschutzbeauftragten positioniert werden, behandelt dieser Beitrag. Ergänzend dazu auch ein anderer Beitrag zu der Anwendung dieses Modells bezüglich Künstlicher Intelligenz.
5.27 Datenverarbeitung des Betriebsarztes
Mit den datenschutzrechtlichen Aspekten der Tätigkeit eines Betriebsarztes befasst sich das Netzwerk Datenschutzexpertise, das nun in aktualisierter Fassung seine Hinweise zum datenschutzgerechten Umgang mit Patientendaten durch Betriebsärzte und betriebsärztliche Dienste veröffentlichte.
5.28 Leitfaden Mastodon der Stiftung Datenschutz
Die Stiftung Datenschutz veröffentlichte einen Leitfaden zu datenschutzrechtlichen Fragestellungen beim Betrieb einer Mastodon-Instanz<7a>.
5.29 Tagungsband der Gesellschaft für Informatik veröffentlicht
Designing Futures – Zukünfte gestalten: Mit mehr als 200 Beiträgen gibt es im Tagungsband der „INFORMATIK 2023“ viel zu entdecken. Er ist ab sofort kostenlos verfügbar auf den Seiten der GI in der digitalen Bibliothek der GI*.
*Franks Anmerkung: Komischerweise kommt momentan eine 504-Fehlermeldung, Aber die GI wird das a) sicher mitbekommen und b) kompetent und schnell beheben…
5.30 NIST: Guidelines for Evaluating Differential Privacy Guarantees
Die Veröffentlichung der NIST zu Differential Privacy Guarantees befasst sich mit einer Technologie zur Verbesserung der Privatsphäre, die das Risiko für die Privatsphäre von Einzelpersonen quantifiziert, wenn ihre Daten in einem Datensatz erscheinen. Als Reaktion auf die Executive Order von Präsident Biden über die sichere und vertrauenswürdige Entwicklung und Nutzung von künstlicher Intelligenz soll SP 800-226 Behörden und Praktikern aller Art – Entscheidungsträgern, Geschäftsinhabern, Produktmanagern, IT-Technikern, Softwareingenieuren, Datenwissenschaftlern, Forschern und Akademikern – helfen besser zu verstehen, wie man Versprechungen (und nicht gemachte Versprechungen) beim Einsatz von Differential Privacy bewerten kann, auch für datenschutzfreundliches maschinelles Lernen. Zusätzlich gibt es ein ergänzendes Paket von Python Jupyter Notebooks, welches veranschaulicht, wie differentielle Privatsphäre und andere in der Publikation beschriebene Konzepte erreicht werden können. Rückmeldungen sind bis 25. Januar 2024 willkommen. Alles weitere hier.
5.31 Bericht über die Menschenrechtssituation in Deutschland
Jetzt auch noch das? Passt das Thema hier rein? Bei uns ist doch alles in Ordnung?! Dachte ich mir auch – zuerst. Doch es lohnt sich für alle, die der Begriff der „Rasse“ in Art. 9 Abs. 1 DS-GVO irritiert, auch wenn in Erwägungsgrund 51 Satz 2 (ErwGr) deutlich ausgeführt wird, dass „die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeute“, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt.“ In dem Bericht über die Menschrechtssituation in Deutschland Juli 2022 bis Juni 2023 wird (insb. ab Seite 31) dazu Stellung genommen und die Historie und Zielrichtung der Verwendung dieser Begrifflichkeit anhand der Verwendung in der „Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (JI-Richtlinie) ausgeführt. Der Bericht wurde vom Deutschen Institut für Menschenrechte veröffentlicht.
Mit Bezugnahme auf den ErwGr 37 der JI-Richtlinie, der gleichlautend zu dem ErwGr 51 Satz 2 der DS-GVO formuliert ist, weist der Bericht daraufhin, dass die Formulierung kein biologistisches Verständnis von „rassischer Herkunft“ und „Rasse“ impliziere, sondern dem Schutz vor Rassismus dienen soll. Gleichwohl dominiere in der datenschutzrechtlichen Diskussion die Lesart, dass der Begriff auf biologische Abstammung und vererbbare Eigenschaften abstelle, womit – ähnlich wie durch die traditionell vorherrschende juristische Interpretation des „Rasse“-Begriffs – rassistische Vorstellungen reproduziert werden, obwohl das Datenschutzrecht vor Diskriminierung schützen will (Seite 34). Im Detail befasst sich dann der Bericht damit, wie im Zusammenhang mit polizeilichen Systemen mit dieser Begrifflichkeit und mit weiteren sensiblen Daten umgegangen wird.
5.32 EuGH als Überaufsicht
Natürlich muss der EuGH europäische Normen auslegen, damit eine europaweite gleiche Umsetzung erfolgt. Dass er dabei auch Aufgaben übernimmt, die auch von Datenschutzaufsicht erwartbar gewesen wären, stellt dieser Beitrag u.a. am Beispiel des Umfangs des Auskunftsrechts aus Art. 15 DS-GVO dar, erfreulicherweise ohne Paywall.
5.33 MS 365 und CoPilot
Hier wird der Einsatz des MS 365 CoPilot aus Datenschutzsicht kritisch untersucht.
5.34 noyb: Beschwerde gegen X/Twitter
Begründet wird die Beschwerde gegen X/Twitter, dass dieses Netzwerk politische Einstellungen und religiöse Überzeugungen seiner Nutzer:innen illegalerweise für gezielte Werbung verwende. Auch dass die EU-Kommission dies für sich nutze, mache es nicht besser – deswegen hat sich noyb dort auch schon beschwert.
5.35 Veranstaltungen
5.35.1 Universität Passau: Ringvorlesung „Legal tech“ -neu-
Wintersemester 2023/2024, online: Die Veranstaltungsreihe der Universität Passau im Wintersemester zu öffentlichen Vorlesungen, an denen über Zoom teilgenommen werden kann, findet sich hier mit dem vollständigen Programm.
5.35.2 Stiftung Datenschutz: DatenTag zu „Preisgabe von Daten“ -neu-
19.01.2024, 10:00 – 15:00 Uhr, Berlin und gestreamt: „Daten sind der Rohstoff für viele Geschäftsmodelle.“ Wenn es schon so beginnt, dann ist aus Datenschutzsicht meist nicht viel Gutes zu erwarten. Anders wohl bei dieser Veranstaltung der Stiftung Datenschutz: Um Verarbeitungen zu ermöglichen, wird oft die Einwilligung der betroffenen Personen erforderlich. Das Forschungsprojekt „Vektoren der Datenpreisgabe“ geht diesen Fragen nach, verknüpft Erkenntnisse der Kulturwissenschaften, Wirtschaftsinformatik und Rechtswissenschaften und stellt seine Ergebnisse vor. Dies stellt dann die Basis der Diskussion dar. Weitere Informationen und Anmeldung hier.
5.35.3 MfK: Ausstellung in Nürnberg zu Bildern durch KI
Bis 21.01.2024 in Nürnberg: Allen, die sich mit den Konsequenzen der Künstlichen Intelligenz bei der Gestaltung von Bildern befassen wollen, sei die Ausstellung „New Realities“ im Nürnberger Museum für Kommunikation empfohlen, die bis 14. Januar 2024 zu sehen ist. Sie führt Besucher auf eine interaktive Reise durch drei Bilderserien, die mit KI errechnet wurden.
5.35.4 EDPS: „Data Protection Day 2024“ -neu-
25.01.2024: Der Europäische Datenschutzbeauftragte lädt zusammen mit dem Rat zu einer Veranstaltung anlässlich des europäischen Datenschutztages ein. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Datenleck bei MotelOne
Wieder ein Unternehmen, bei dem Daten abgezogen wurden. Diesmal wieder ein Hotel. Genaue Ursachen sind bislang nicht bekannt geworden, nur dass bestimmte Datensätze im Netz veröffentlicht wurden. Eine gewisse Originalität bietet die hier zitierte Aussage eines der Miteigentümer, der den Staat auffordert seiner Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen digitalen Angriffen zu schützen. Das passt zum Ergebnis der letzten bitkom-Umfrage.
Franks Nachtrag, aus der zweiten Quelle ein Zitat: „Laut »SZ« enthält der Satz neben den annähernd vollständigen Übernachtungslisten seit dem Jahr 2016 private Rechnungsadressen, Geburtsdaten von Kunden sowie interne Geschäftszahlen und Handynummern von Motel-One-Mitarbeitern.“ – Das nennt sich dann gelebte Datensparsamkeit, oder?
6.2 Führungskräfte und Cybersicherheit
Die Folgen von Vorfällen im Cybersicherheitsbereich können durch Produktionsunterbrechungen und Ausfallzeiten Millionen Euro an entgangenen Einnahmen bedeuten, während durch Geldstrafen, Sanierungsmaßnahmen und Rufschädigung weitere Millionen Euro an Kosten drohen. Eine aktuell durchgeführte Umfrage bestätigt manche individuellen und subjektiven Wahrnehmungen, dass zwischen Sicherheitsexperten und Führungskräften eine deutliche Diskrepanz bestünde. Aber immerhin 39 % der Sicherheitsexperten seien demnach der Meinung, dass die Top-Entscheidungsträger ihres Unternehmens ein solides Verständnis der Rolle der Cybersicherheit für das Gedeihen des Unternehmens haben. Mehr dazu hier.
6.3 Datenpanne bei Genanalyse-Unternehmen
Was nützt es, wenn Sie Ihre Daten bestmöglichst schützen, andere aber nicht? Bei dem Sicherheitsvorfall eines Unternehmens zur Genanalyse sind nicht nur die Daten derjenigen betroffen, die dort Kunden sind, sondern auch derjenigen, die mit diesen verwandt sind. Diese werden Berichten zufolge nun zum Verkauf angeboten. Aber Datenschutz- und IT-Sicherheitsvorgaben hindern ja innovative Geschäftsmodelle eigentlich nur, wenn diese – wie hier – kriminell sind.
6.4 Datenschutz hindert keine Backups
Über datenschutzrechtliche Un-Kenntnisse auch im Schulumfeld mussten wir immer wieder berichten. Es passt ins Bild, wenn eigene Unfähigkeit die Verfügbarkeit sicherzustellen, damit begründet wird, Datenschutz erlaube keine Backups in Clouds oder auf Festplatten. Art. 32 DS-GVO gibt das aber nicht her. Leidtragende sind die Abiturient:innen, deren Notizen auf den schuleigenen IPads verloren gingen.
6.5 TikTok und rechte Parteien
Das Zitat „Wer mit 20 Jahren kein Linker ist, hat kein Herz, wer mit 40 noch Linker ist, keinen Verstand“ wird verschiedenen Personen zugeschrieben. Daher irritierte die Meldung, dass bei aktuellen Umfragen wie hier zur Landtagswahl in Bayern bei Erstwählern oder hier in Hessen, junge Menschen diese Erwartungshaltung nicht mehr erfüllen. Als Ursache wird in diesem Beitrag die Verbindung der Nutzung von TikTok und die dortigen Aktivitäten rechter Parteien ausgemacht. Erschreckend dabei: Nur noch 63% der 16- bis 26-jährigen teilen die Ansicht der Befürwortung der Demokratie als beste Staatsform (Verweis auf die „Die distanzierte Mitte-Studie“ der Friedrich-Ebert-Stiftung vom September 2023, dort Seite 94).
6.6 Schweiz: Verhaltenskodex des Bundes für menschenzentrierte Datenwissenschaft
Fast muss man sagen, dass ein „Verhaltenskodex des Bundes für menschenzentrierte und vertrauenswürdige Datenwissenschaft“ natürlich nicht aus Deutschland kommen kann. Wahrscheinlich wüsste in Berlin auch niemand sicher, welches Ministerium dafür zuständig sein würde. In der Schweiz wurde im Gegensatz dazu im Rahmen der Umsetzung einer Datenwissenschaftsstrategie des Bundes Anfang November dieser Verhaltenskodex als Orientierung für die Bundesverwaltung beim Einsatz von Datenwissenschaften veröffentlicht. Mit diesem Verhaltenskodex für menschenzentrierte und vertrauenswürdige Datenwissenschaft erhält die dortige Bundesverwaltung wichtige allgemeine und berufsethische Vorgaben für einen Bereich, der enorm an Bedeutung gewinnt und aus Sicht des Persönlichkeits- und Datenschutzes sehr sensibel ist. Im Sinne einer Orientierungshilfe werden die Verwaltungseinheiten des Bundes durch den Verhaltenskodex mittels praktischer Erläuterungen zum einen für die in der Datenwissenschaftsstrategie des Bundes (DSStB) definierten Grundprinzipien einer menschenzentrierten und vertrauenswürdigen Datenwissenschaft sensibilisiert und zum anderen zu deren Umsetzung im Arbeitsalltag befähigt.
6.7 Datenschutz und Nachhaltigkeit
Nachhaltigkeit kommt unter dem Buzzwort „Sustainability“ immer mehr ins Bewusstsein auch des Managements. Folgt man der Definition aus einem Bericht an die vereinten Nationen aus 1987 versteht man unter nachhaltiger Entwicklung eine Entwicklung, die gewährt, dass künftige Generationen nicht schlechter gestellt sind ihre Bedürfnisse zu befriedigen als gegenwärtig lebende. Dann macht Datenschutzrecht nichts anderes als nachhaltige Anforderungen einzufordern und umzusetzen. Mehr dazu lesen Sie hier.
6.8 Wird TikTok Shopping-Plattform?
Erweitert TikTok sein Angebot zur Shopping-Plattform? In dem 7-minütigen Videobeitrag wird neben der aktuellen Situation in Großbrittanien auch auf die Folgen u.a. aus Verbrauchersicht eingegangen.
6.9 Digitales Moratorium an Schulen?
Sinkende Lernleistung, negative gesundheitliche, psychische und soziale Nebenwirkungen werden als Begründung genannt, wenn über 40 Wissenschaftler:innen unterschiedlicher Disziplinen zusammen mit Kinder- und Jugendärzten von den Kultusminister:innen der Länder ein Moratorium der Digitalisierung an Schulen und vorschulischen Bildungseinrichtungen fordern. Und sie berufen sich dabei auch auf Vorbilder aus Skandinavien, weil dort dieses Umdenken auch bereits umgesetzt wurde.
Neuseeland* scheint sich schon daran zu orientieren.
*Franks Anmerkung: Aus Gründen finde ich die Seite an der ursprünglichen Stelle nicht mehr. Aber archive.org hilft uns. Kein lost Eintrag…
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
6.10 Forschung zu den Auswirkungen sozialer Medien
Wen würde das nicht interessieren: Die Auswirkungen sozialer Medien auf die Gesellschaft? Gerade nach den Informationen von Whistleblowern und Meldungen zu Fake News könnten interessante Erkenntnisse entstehen. Irgendwie denke ich dabei auch an eine damalige Antwort des Bundesinnenministers zum Grund der Absage eines Fußballländerspiels „Ein Teil dieser Antworten könnte die Bevölkerung verunsichern“. Doch keine Sorge, davor könnte uns laut diesem Bericht eine großzügige Zuwendung der Zuckerberg-Chan-Stiftung an die Harvard Universität bewahren, die daraufhin ein entsprechendes Forschungsprojekt beendete.
7 Sonstiges/Blick über den Tellerrand
7.1 Kinderpornos, Mobbing und Strafbarkeit
Das ist wichtig! Wie kann Kindern und Jugendlichen geholfen werde, die Opfer von Mobbing wurden und wie verhält man sich idealerweise, wenn dabei kinderpornografisches Material im Spiel ist? Denn allein der Besitz ist strafbar – unabhängig von der Motivation! Wenn beispielsweise Erwachsene – sei es in der Rolle als Lehrkörper oder sonstige Vertrauensperson – solches Material mit der Bitte um Hilfe erhalten, ist allein der Besitz auf dem eigenen Smartphone eine Straftat, die durch die Polizei verfolgt werden muss! Hier finden sich Beispiele und Hinweise der Polizei, auch zu Cybermobbing, wie man sich in diesen Fällen verhalten sollte.
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
7.2 Chatkontrolle oder Kapitalismus?
Niemand will sich vorwerfen lassen Fahndungserfolge gegen Täter:innen von sexueller Gewalt gegen Kindern zu behindern. So ist andererseits aber auch erstaunlich, welche Motivation manche Akteure bei der Forderung nach einer „Chatkontrolle“, die Einschränkungen bei der Vertraulichkeit verschlüsselter Kommunikation bedingt, treibt. Nach diesem Bericht ist dies wohl nicht immer (nur) der Wunsch nach einer besseren Welt.
7.3 Gefährliche QR-Codes
Dass über QR-Codes unerwartet auch der Zugang zu Schadsoftware erfolgen kann, ist bekannt. Eine andere kriminelle Variante ist die Nutzung von QR-Codes bei der Verteilung gefälschter Strafzettel, wie sich hier nachlesen lässt. Auch wenn dies wohl erstmal nur in Berlin wahrgenommen wird – parkt lieber gleich korrekt.
7.4 Robocop in New York
Es erinnert an Science Fiction Filme und ist erstmal nur eine Testphase: Der Einsatz eines RoboCop in New York. In der U-Bahn-Station des New Yorker Times Square soll nach dieser Darstellung ein eingesetzter Roboter den einen Vertrauen vermitteln, den anderen aber auch, dass sie nicht unbeobachtet sind. Ob das immer gelingt?
Franks Nachtrag: AOC ist not amused. Recht hat sie…
7.5 Privatsphäre von Prominenten
Es ist immer wieder eine Frage, was Prominente dulden müssen, was über ihr Privatleben bekannt wird. Hier ist durch ein Interview mit einem Rechtsanwalt über seinen prominenten Mandanten einiges zu entnehmen, u.a., dass Privatsphäre jedem zusteht, egal wie exponiert man in anderen Bereichen wahrgenommen wurde.
7.6 Handbuch Informationsfreiheit
Welche Möglichkeiten habe ich nach den Informationsfreiheitsgesetzen Informationen durch öffentliche Stellen einzufordern? Die unübersichtliche Rechtslage in Deutschland wurde durch mehrere Juristinnen unter Berücksichtigung der Rechtsprechung und Veröffentlichungen betrachtet. Das Ergebnis wird durch FragdenStaat in diesem Handbuch veröffentlicht.
7.7 Meta in US-Bundesstaaten verklagt
Ach was: Auch in den USA wird die Geschäftspolitik von Meta gerade in Bezug auf Kinder und Jugendliche kritisch betrachtet, wie hier zu lesen ist (Meta wird verklagt). Wahrscheinlich wird aber auch dieser Fakt niemanden dazu bringen Konsequenzen bei der Auswahl der Marketingpartnern zu ziehen.
7.8 Sammelklage gegen Google
Wer sich durch einen vermeintlichen Machtmissbrauch von Google in seinen Werbemöglichkeiten benachteiligt sieht, kann sich einer Sammelklage anschließen. Dabei wird ausgeführt, dass einen Anspruch auf Schadenersatz jedes Unternehmen haben könne, das zwischen 2014 und 2022 Einnahmen aus dem programmatischen Absatz von Online-Werbeplätzen erzielt hat.
7.9 Google zahlte Milliarden für Platz als Standard-Suchmaschine
Die Marktmacht von Google bei den Suchmaschinen und damit der unmittelbare Zugriff auf die Interessen und Fragen von Milliarden von Menschen scheint unbezahlbar. Na ja, nicht ganz, zumindest wird nun bekannt, wie viele Milliarden Google dafür investierte. Allein im Jahr 2021 sollen es 26 Mrd. US-$ gewesen sein.
7.10 Selbstbestimmungsgesetz
Anlässlich einiger Berichte zum Beschluss des und den Diskussionen über das Selbstbestimmungsgesetz(es), durch welches Transpersonen vieles erleichtert werden soll, der dezente Hinweis auch daran zu denken, dass über einen datenschutzrechtlichen Berichtigungsanspruch aus Art. 16 DS-GVO auch Änderungswünsche in Systemen umgesetzt werden müssen. Die Auswahlmöglichkeiten sollten sich an § 22 Abs. 3 Personenstandsgesetz orientieren. Oder es wird gleich auf die Anrede / das Geschlecht verzichtet. Das ließe sich auch gut mit den Grundsätzen der DS-GVO aus Art. 5 Abs. 1 lit. c DS-GVO begründen: Datenminimierung.
7.11 Auswirkungen der Nutzung von Social Media
Welche Auswirkungen hat die Nutzung von Sozial Media auf kognitive Funktionen? In diesem Artikel wird dabei u.a. auf die Angst, etwas zu verpassen (Fear of missing out, FOMO) eingegangen. Dabei handelt es sich um einen Zustand, in dem eine Person befürchtet, dass andere in ihrer Abwesenheit lohnende Momente erleben und sich deshalb kaum von digitalen Netzwerken lösen.
7.12 Gendern: Wer regelt Sprachverbote?
Kritiker des Genderns argumentieren gerne damit, dass sie sich keinen „Sprachverboten“ unterwerfen möchten. Dabei sind es meist diese Kritiker des Genderns selbst, die mit Sprachverboten agieren. Eine Auseinandersetzung aus verfassungsrechtlicher Sicht ist in diesem Beitrag nachzulesen. Der datenschutzrechtliche Bezug findet sich dabei über den Berichtigungsanspruch aus Art. 16 DS-GVO, wenn es um geschlechterbezogene Anrede geht, und aus Art. 12 Abs. 1 DS-GVO, wenn Kommunikation mit betroffenen Personen in einer leicht verständlichen und klaren Sprache zu erfolgen hat.
7.13 JIM-Studie 2023: Umgang von Jugendlichen mit Medien
Mit der JIM-Studie wird die Studie „Jugend, Information, Medien“ bezeichnet, die sich als Basisuntersuchung mit dem Medienumgang 12- bis 19-Jähriger befasst. Die Studie wird seit 25 Jahren erstellt und liefert seitdem wertvolle Hinweise für die Entwicklung des Medienkonsums und auch dessen Auswirkungen. Basis waren telefonische Befragungen von ca. 1.200 Jugendlichen.
Herausgeber der Studienreihe JIM ist der Medienpädagogische Forschungsverbund Südwest (mpfs), gemeinsam getragen von der Landesanstalt für Kommunikation Baden-Württemberg (LFK) und der Medienanstalt Rheinland-Pfalz in Kooperation mit SWR Medienforschung & Analytics.
7.14 Bildschirmzeit für Kinder
Nicht nur, wenn das Christkind digitale Geschenke bringt, fragen sich Eltern, wie lange die Kinder am besten maximal Zeit vor Bildschirmen verbringen sollen. Hinweise bietet hier das Portal der wissenschaftlichen Medizin, das eine Leitlinie zur Prävention dysregulierten Bildschirmmediengebrauchs in Kindheit und Jugend veröffentlichte. Aber keine Angst: Es gibt auch eine niedrigschwelligen Zusammenfassung der Empfehlung für Eltern und Erziehungsberechtigte.
7.15 Verhaftungen wegen Pornographiebesitz
Auch wenn sich der hier beschriebene Fall in der Schweiz zugetragen hat – es könnte auch in Deutschland passieren. Fünf Erwachsene und sieben Minderjährigen wurden im Tessin im Rahmen von mehreren gleichzeitigen Hausdurchsuchungen festgenommen, nachdem mehrere Hinweise der Bundespolizei eingegangen waren. Die Verdächtigen wurden festgenommen, befragt und anschließend wegen illegaler Pornografie angezeigt. Es wurden Computer, Tablets und Smartphones beschlagnahmt. Den Beschuldigten wird vorgeworfen über soziale Netzwerke oder Instant-Messaging-Dienste pornografisches Material, das sexuelle Handlungen mit Minderjährigen darstellt, geteilt zu haben. In der Schweiz ist – wie derzeit noch bei uns – auch der Besitz durch Jugendlichen von eigenen Aufnahmen strafbar.
Dementsprechend aktiv sind die dortigen Behörden in der Prävention, wie hier (die Angaben in dem Video beziehen sich auf die schweizerische Rechtslage).
8. Franks Zugabe
8.1 Waren NFT nicht durch?
Scheinbar nicht… OK, wenn es von der Deutschen Post kommt
8.2 Falls Sie mal eine Entschuldigung brauchen – AI-wanger
Dein KI-Ausredengenerator — Der Name ist Programm…
8.3 Fachverlag und Autor*innen nutzen generative KI erstmals erfolgreich zur Veröffentlichung eines Fachbuchs
Na dann, das wollen wir bestimmt alle bestellen, oder?
8.4 European alternatives for digital products
Das hingegen hört sich doch mal echt sinnvoll an. Falls Sie immer hören, es gäbe keine europäischen Alternativen.
8.5 Aber ich habe doch nichts zu verbergen…
Wer kennt diesen Satz nicht, wenn wir wieder mal verzeifelt versuchen zu argumentieren, warum Datenschutz doch auch für „normale Leute“ (normal im Sinne von im Gegensatz zu uns am Datenschutz Interessierten) wichtig ist.
Hier eine kurze aber einleuchtende Antwort.
8.6 Was werden uns unserer Kinder und Enkelkinder irgendwann fragen?
Dieser Frage widmet sich dieses Essay.
8.7 Das wird, das mit der Windenergie
Also, da so in Baden-Württemberg, jetzt, wo die KI nutzen…
8.8 Halloween-Meldung
Siemens will jetzt auch KI machen… Aus der Quelle: „Der Copilot baut auf Siemens Xcelerator auf, der offenen Plattform des Münchner Unternehmens für ein industrielles Internet der Dinge.“ (Hat da jemand Bullshit-Bingo gesehen?) und „Auch Simulationszeiten ließen sich mit dem Instrument „erheblich“ verkürzen.“ (Ist es dann noch eine realistische Simulation?)
8.9 Läuft mit der Digitalisierung im Gesundheitswesen, oder?
Wenn Sie die Frage interessiert, dann lesen Sie doch auch mal dieser Interview.
Passend dazu auch dieses Interview zur Elektronischen Patientenakte: „Für Datensicherheit bleibt kaum Zeit“.
8.10 Computer sagt nein
Mindestens eine Person bei der BlnBfDI kennt Little Britain!
8.11 Ransomwarebefall mal schnell gelöst
Also entweder können die das in Ulm besser oder es ging einfach mal nur um ausfallende Einnahmen… Das motiviert ja bekanntlich.
8.12 „They demanded research into creating IRL catgirls“
Wenn Sie sich jetzt fragen, worum es da wohl geht, die eigentliche Überschrift macht es klarer: „Self-proclaimed ‚gay furry hackers‘ breach nuclear lab„.
Wobei, ich habe so viele Fragen…
8.13 Passend zu Weihnachten
Es werden ja gerade zu Weihnachten immer wieder gerne neue Smartphones geschenkt. Hier ein Ratgeber, der u.a. behandelt, was mit älteren Geräten noch möglich ist. Oder Stellen benennt, wo diese noch sinnvoll nachgenutzt werden können.
8.14 Billiges Auto?
Und zum Abschluss noch ein Auto für einen Dollar. KI at its best. Ob das ein wirksamer Vertragsschluss war?
9. Die guten Nachrichten zum Schluss
9.1 Erklärung von KI mittels Scherzfragen
Wie KI Kinder und Jugendlichen (aber nicht nur denen) nachvollziehbar erklärt werden kann, schildert dieses Lernangebot. Mittels Scherzfragen soll erraten werden, welche Antwort eine KI erstellt hat und welche von Menschen kommt.
9.2 Safer Internet Day 2024
Auch in 2024 organisiert klicksafe wieder die Umsetzung der europaweiten Initiative 2024. Weitere Informationen und Meldung von Aktionen hier.
9.3 Medienkompetenz – angewandt
Wer erinnert sich noch an die Diskussionen in den letzten Jahrzehnten hinsichtlich der neuen Medien und Kinder / Jugendlichen. Warnung zu digitaler Demenz wurden von IT-Verbänden in Frage gestellt. Nun warnen Pädagog:innen auch vor weiteren negativen Folgen der Nutzung von Smartphones durch Jugendliche und landen Bestseller – geändert hat sich nichts. Hier aber eine Aktion, die sich nicht nur auf Hinweise geschränkt, sondern in die Umsetzung geht: In Greystones in Irland verständigten sich die Grundschulen und Eltern auf den Verzicht von Smartphones durch Kinder. Hier ein kurzer Bericht auf Arte und ein längerer von „20Min“ (Schweiz).
Franks Nachtrag: Sie möchten auch diesen Eintrag lesen…
9.4 Leitfaden „Schule und KI“
Das Thema des Einsatzes und der Verwendung Künstlicher Intelligenz im Bildungsbetrieb wird leidenschaftlich diskutiert. Unterstützung bietet der Leitfaden „Schule und KI“ der Telekom-Stiftung. Ergänzend sei hier auch die Veröffentlichung der UNESCO zu „ChatGPT and artificial intelligence in higher education“ erwähnt.
9.5 Zielgruppengerechte Datenschutz-Informationen
Kommunikation an die betroffene Person müssen nach Art. 12 Abs. 1 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen. Dazu zählen beispielsweise auch Informationen über die Verarbeitung personenbezogener Daten nach Art. 13 DS-GVO. Aber wer kennt schon Umsetzungen, bei denen einem das Gefühl vermittelt wird, die Ersteller hätten dieses Ziel erreicht? Zumindest auf den englischsprachigen Seiten eines dänischen Bausteineherstellers kommt einem dieses Gefühl ziemlich nahe. Bei den deutschen Seiten müsste die Zielgruppe dann schon die Untertexte des Films lesen können…