Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 46/2021)“
Hier ist der 23. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 46/2021)“…
Achtung, es gab ein Update bei 1.1. 2G, 3G, 2Gplus – Wer sagt was… ?
- Aufsichtsbehörden
- 2G, 3G, 2Gplus – Wer sagt was… ?
- EDSA: Was ist eine Übermittlung im Drittstaatentransfer?
- LfDI NRW fordert Zertifizierung für Schulsoftware
- Luxemburg zu Einmeldung des DSB und Interessenskonflikt als Geldwäschebeauftragter
- Niederlande: Unzureichende Schutzmaßnahmen führen zu 400.000 € Bußgeld
- EU-Kommission: Zweifel an der Unabhängigkeit der belgischen Datenschutzaufsicht
- Rechtsprechung
- VG Hannover: Pflicht zur Datenminimierung auch bei Altersangaben
- LG Mainz: Schadenersatz wegen unzulässigem Eintrag bei Auskunftei
- LG München: Auskunftsrecht wird durch Verweis auf Plattform erfüllt
- LG Krefeld: Mißbräuchlichkeit des Auskunftsrechts
- EuGH: Stellungnahme des Generalanwalts zu Vorratsdatenspeicherung
- EuGH: Deckelung der Abmahnkosten europarechtskonform?
- EuGH: Bestätigung der wettbewerbsrechtlichen Strafe gegen Google
- BGH: Löschanspruch hinsichtlich eigener Gegendarstellung
- Ausblick: BGH zu Klarnamenpflicht bei sozialem Netzwerk
- Gesetzgebung
- EU: Inhaltskontrolle von Chats
- Digital Services Act – Zielgerade?
- „Homeoffice“-Pflicht – Anforderungen aus Datenschutzsicht
- Bezahlen mit Daten – Änderungen im BGB
- Wissenschaftlicher Dienst: Steuerdaten zu Forschungszwecken
- Überprüfung des Internetstrafrechts
- Hacking per Auftrag
- Drittstaatentransfer: Hoffnung auf Regelung mit USA
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Schleswig-Holstein: Wechsel von MS auf Open Source
- ID Wallet: Chronik des Scheiterns
- Fernwartung bei Gesundheitsdaten
- Datenschutz-Cockpit in Bremen für das RegMoG
- TTDSG kommt – ist noch einwilligungsfreies Tracking möglich?
- MS365: Abgrenzung Riskmanagement / Überwachung
- Gaia-X – Ausstieg von Scaleway
- Praxishilfe zu landesrechtlichen Anforderungen an medizinische Register veröffentlicht
- Veranstaltungen
- Stiftung Neue Verantwortung: Frankreichs Offensive gegen Big Tech
- Fachsymposium: „Testen & Zertifizieren von KI-Systemen“
- IHK u.a.: Münchner Datenschutztag mit Themen rund um Daten, Cookies und Geschäftsmodelle
- Online-Fachkonferenz zu Corporate Digital Responsibility
- Stiftung Datenschutz: „Faires Internet-Marketing: Cookies, Website-übergreifendes Tracking, Datenschutz“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Cybersecurity – Ransomware
- Cybersecurity – Malware
- Tracking mal anders – Die Sneakerjagd
- Bluetooth-connected flip-flops
- Mobilfunk Metadaten
- Advice for Personal Digital Security
- 2021 war ein gutes Jahr … für Zero-Day-Exploits
- Identitätsprüfung bei Auskunftsersuchen, die Grindr-Variante
- Microsoft und die freie Browserwahl
- Apropos Edge von Microsoft
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 2G, 3G, 2Gplus – Wer sagt was… ?
War früher in der Vorweihnachtszeit „2G“ bestenfalls noch die Abkürzung für „Gans und Glühwein“, so werden damit nun Geimpfte und Genesene bezeichnet, für die bestimmte pandemiebedingte Einschränkungen nicht gelten. Das BayLDA hatte dazu am 09.11.2021 auch FAQ veröffentlicht, die zu datenschutzrechtlichen Fragestellungen Antworten lieferten. Diese FAQs wurden dann bereits am 11.11.2021 aktualisiert, weil eine Passage etwas missverständlich formuliert war.
Zudem veröffentliche das Bayerische Staatsministerium für Gesundheit und Pflege am 12.11.2021 einen Handlungsleitfaden, der mit dem BayLDA abgestimmt war. So gibt es derzeit auf Basis der aktuellen rechtlichen Grundlagen ausreichende Vorgaben – auch aus Datenschutzsicht. Allerdings empfiehlt es sich, je nach Bundesland die rechtliche Bewertung der jeweiligen Datenschutzaufsichtsbehörde in Betracht zu ziehen, wie bspw. in Baden-Württemberg, welche zu anderen Bewertungen als das BayLDA kommt. Zum neuen Infektionsschutzgesetz hat das BMAS eine FAQ-Liste veröffentlicht. Auch der BfDI bewertet die neuen Regelungen.
Also: Nun können, ja, teilweise müssen Arbeitgeber kontrollieren, ob Beschäftigte unter die Ausnahmen der Einschränkungen fallen. Wie diese Impfzertifikate kontrolliert werden, darüber hatten wir hier schon geschrieben, falls Sie also denken, die Kontrolle könnte effektiver und digitaler erfolgen, bitte gerne weitergeben. So können auch widerrufene Impfzertifikate erkannt und als ungültig angezeigt werden.
Und wer sich darüber hinaus noch mit einem Schnelltest (=> 2Gplus) absichern will, findet hier eine Übersicht über die derzeit vom BfArM akzeptierten Schnelltests.
Und weil es so gut zum Thema passt: Es gibt jetzt das erste Urteil, das die Beschaffung einer App zur Kontaktverfolgung als vergaberechtswidrig bescheinigt. Auch wenn´s schnell gehen muss, hat Wettbewerb stattzufinden – gerade, wenn auch Angebote anderer Hersteller vorlagen.
Franks Nachtrag: Und hier haben wir noch ein Update vom 22.11.2021 – Das BMAS hat heute neue FAQ zum betrieblichen Infektionsschutz veröffentlicht. Diese enthalten Ausführungen zum geänderten § 28b IfSG sowie zur SARS-CoV-2-Arbeitsschutzverordnung.
1.2 EDSA: Was ist eine Übermittlung im Drittstaatentransfer?
Dies war Thema der Sitzung im EDSA am 18.11.2021 und hierzu gbt es nun eine öffentliche Konsultation zu den neuen „Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR“ bis Ende Januar 2022. Dies betrifft z.B. Fälle in denen ein Support-Dienstleister über Fernzugriff aus einem Drittstaat auf ein System in Europa zugreift und dabei personenbezogene Daten verarbeitet. Hier finden Sie die Guidelines zum direkten Download.
1.3 LfDI NRW fordert Zertifizierung für Schulsoftware
„Eine Hausaufgaben-App aus NRW hatte die Daten von über 300.000 Nutzern unzureichend geschützt: Außenstehende hätten persönliche Daten auslesen können. Die LDI NRW fordert die Politik zum Handeln auf.“
Kann man so beschreiben. Man könnte aber auch einfach nur fordern, dass nun endlich mal bei der Auswahl von behördlich empfohlener Software für Kinder und Jugendliche an den Schulen Personen mitwirken, die nicht nur auf bunte Bildchen achten.
Zwar soll Ende des Jahres vom BSI ein IT-Sicherheitskennzeichen eingeführt werden, aber das ist bislang nur freiwillig und zunächst nur für E-Mail-Server und Breitbandrouter geplant. Am Karlsruher Institut für Technologie startet zudem bald ein Forschungsprojekt des Bundes: Ziel sei ein Gütesiegel, das Datenschutz garantiert – Lern-Apps könnten dann nicht nur von staatlichen, sondern auch von unabhängigen Prüfstellen zertifiziert werden. Übrigens: Art. 42 DS-GVO sieht speziell Zertifizierungen zu den Datenschutzanforderungen vor, ebenso wie Art. 25 Abs. 3 DS-GVO. Dazu müssen aber auch die Aufsichtsbehörden mitwirken – und nicht nur fordern.
1.4 Luxemburg zu Einmeldung des DSB und Interessenskonflikt als Geldwäschebeauftragter
In Luxemburg ging die Aufsichtsbehörde gegen ein Unternehmen vor, das seinen DSB erst vier Monate nach Anwendungsbeginn der DS-GVO bei der Aufsichtsbehörde meldete und der zudem als „Head of Compliance und Money Laundring Reporting Officer“ (Geldwäschebeauftragter) tätig war. Ein Bußgeld wurde nicht verhängt.
1.5 Niederlande: Unzureichende Schutzmaßnahmen führen zu 400.000 € Bußgeld
Aufgrund unzureichender Schutzmaßnahmen hatten Hacker im Jahr 2019 Zugriff auf Daten von bis zu 25 Mio. Passagieren einer Fluglinie. Nachweislich wurden die Daten von 83.000 Passagieren heruntergeladen. Dafür bekam das betroffene Fluggastunternehmen nun ein Bußgeld in Höhe von 400.000 Euro durch die niederländische Aufsichtsbehörde. Es gab keine zwei-Faktor-Authentifizierung, das Passwort war leicht zu erraten und es fehlte eine aufgabenbezogene Zugriffsberechtigungsvergabe.
1.6 EU-Kommission: Zweifel an der Unabhängigkeit der belgischen Datenschutzaufsicht
Die EU-Kommission moniert, dass in Belgien die Anforderungen an die Unabhängigkeit der Datenschutzaufsicht nicht erfüllt werden (dort unter Ziffer 4, 2. Beitrag). Als Beispiel führt sie die Einbindung in nationale Kontaktverfolgungsprojekte, die Mitgliedschaft in einem Informationssicherheitsausschuss und die Berichtspflicht an einen von der Regierung abhängigen Verwaltungsausschuss an. Die Unabhängigkeit der Datenschutzbehörden setzt voraus, dass ihre Mitglieder frei von äußeren Einflüssen oder unvereinbaren Berufen sind. Sollten diese Vorwürfe nicht geklärt werden, würde es die EU-Kommission über ein Vertragsverletzungsverfahren klären lassen.
2 Rechtsprechung
2.1 VG Hannover: Pflicht zur Datenminimierung auch bei Altersangaben
Aufgemerkt, Ihr Programm-Designer, Productowner und all die weiteren agilen Artisten: Hier ist ein Urteil, dessen Kernaussage sich direkt auf die Programmgestaltung auswirkt. Es geht um die datenschutzrechtlichen Anforderungen bezüglich der Datenminimierung. Richtig: dies ist bereits eine der der Grundsätze der DS-GVO in Art. 5 Abs. 1 lit. c. Was war passiert? Eine Online-Versandapotheke gestaltete den Bestellprozess so, dass unabhängig von der Art des bestellten Medikaments das vollständige Geburtsdatum des Bestellers/der Bestellerin erhoben und verarbeitet wurde, auch wenn es um Produkte ging, die keine altersspezifische Beratung erfordern. Dies untersagte die zuständige Datenschutzaufsicht. Zudem wies sie die Klägerin zur Unterlassung der Verwendung der im Bestellprozess erhobenen Anrede (Herr/Frau) an, soweit Gegenstand der Bestellung Medikamente seien, die nicht geschlechtsspezifisch zu dosieren und/oder einzunehmen seien.
Darüber kam es zum Streit vor dem Verwaltungsgericht Hannover, hinsichtlich der Anrede (Auswahlfelder Frau/Mann) hatte das Unternehmen bis zur mündlichen Verhandlung auch die Alternative „ohne Angabe“ eingefügt, so dass damit das Verfahren erledigt war. Hinsichtlich der Abfrage des vollständigen Geburtsdatums sah das VG Hannover aber die Vorgaben der DS-GVO als nicht erfüllt an, da hätte die Erfassung der Volljährigkeit genügt. Das Urteil ist noch nicht rechtskräftig.
2.2 LG Mainz: Schadenersatz wegen unzulässigem Eintrag bei Auskunftei
Auskunfteien informieren über Personen/Unternehmen auf Basis der bei ihnen eingemeldeten Vorgänge. Im vorliegenden Fall wurde eine Rechnung trotz Mahnung nicht gezahlt, mit dem Vollstreckungsbescheid erging eine Einmeldung des Betrages an eine Auskunftei. Der Betrag wurde umgehend beglichen, die Meldung gegenüber der Auskunftei durch das Unternehmen aktualisiert, aber nicht gelöscht. Der Kläger trug vor, dass er Rechnung und Mahnung nie erhalten habe, das Unternehmen konnte das Gegenteil nicht beweisen, auch wurde mit der Einmeldung die Einspruchsfrist gegen den Vollstreckungsbescheid nicht abgewartet. Das Landgericht Mainz wendet § 31 BDSG an, kommt aber in seinem Urteil (unter RN 64) zu dem Schluss, dass die Voraussetzung (§ 31 Abs. 2 Ziffer 4 BDSG) durch das einmeldende Unternehmen nicht erfüllt wurden. Da nach Ansicht des Gerichts der Kläger plausibel und im Kern unbestritten dargelegt habe durch den SCHUFA-Eintrag eine massive Beeinträchtigung seines sozialen Ansehens im Sinne der Einschätzung seiner Kreditwürdigkeit durch Dritte erlitten zu haben, sprach ihm das Gericht einen immateriellen Schadensersatz in Höhe von 5.000 Euro zu.
Der Fall ist hier – wieder mal – stark verkürzt wiedergegeben, der Sachverhalt hat bezüglich der Auswirkungen für den Betroffenen noch ein paar weitere Varianten und das Gericht befasst sich schön ausführlich mit den denkbaren Grundlagen der Einmeldungen an eine Auskunftei, aber beachten Sie bitte, das Urteil ist so frisch, es ist noch nicht rechtskräftig!
2.3 LG München: Auskunftsrecht wird durch Verweis auf Plattform erfüllt
Muss ich wirklich als Verantwortlicher alle Infos an eine auskunftsstellende betroffene Person senden oder reicht nicht auch ein Link auf einer Plattform? Das LG München entschied, dass der Link zu einer Plattform reicht, der Anspruch auf Auskunft sei auch online erfolgt. Im Sachverhalt wollte die betroffene Person nach einer Meldung in der Presse über Datenabzug wissen, ob seine Daten betroffen seien, dabei wurde er dann auf eine Plattform verwiesen. Beim Betroffenen ging dieser Link aber nach seinen Angaben nicht. Das Gericht konnte vieles aus den Behauptungen nicht nachvollziehen, wichtig ist in meinen Augen allein die Feststellung, dass ein Verweis auf eine Plattform zur Erfüllung des Auskunftsanspruch genügen kann (wenn dann dort auch die entsprechenden Angaben ersichtlich sind und der Anspruch auch online geltend gemacht wurde).
2.4 LG Krefeld: Mißbräuchlichkeit des Auskunftsrechts
Das LG Krefeld hat einen Auskunftsanspruch als rechtsmissbräuchlich eingestuft, weil es in den Motiven des Auskunftsbegehrenden keinen Grund aus den Erwägungsgründen der DS-GVO fand. Zwar ist die Begrenzung des Auskunftsanspruchs laut Art. 15 Abs. 5 Satz 2 DS-GVO nur bei offenkundig unbegründeten oder exzessiven Anträgen vorgesehen und nicht wegen der Motivation, aber das wäre jetzt sicher auch nur Erbsenzählerei.
2.5 EuGH: Stellungnahme des Generalanwalts zu Vorratsdatenspeicherung
Immer wieder versucht der Gesetzgeber Regelungen zur Vorratsdatenspeicherung zu schaffen, d.h. eine Pflicht zur zunächst anlasslosen Speicherung von Metadaten für Kommunikationsanbieter, um dann bei Bedarf wie bestimmten Sicherheits- und Strafbarkeitsverdachtsfällen darauf zuzugreifen. Und immer wieder entscheiden Gerichte über deren Unzulässigkeit. Aktuell befasst sich der EuGH auch wieder mit einem deutschen Gesetz und der Generalanwalt hebt in seiner Stellungnahme hervor, dass die Antworten auf alle vorgelegten Fragen bereits in der Rechtsprechung des Gerichtshofs zu finden seien oder unschwer aus ihr abgeleitet werden könnten. Im Ergebnis hält er die vorgelegten Regelungen nicht mit dem Unionsrecht vereinbar. Der EuGH muss seiner Empfehlung nicht* folgen.
* Franks Anmerkung: Leider…
2.6 EuGH: Deckelung der Abmahnkosten europarechtskonform?
Erinnern Sie sich noch? Was war das für eine Angst wegen jeglicher (auch leichterer) Verstöße gegen datenschutzrechtliche Vorgaben abgemahnt zu werden. Der Gesetzgeber versuchte, dieses Risiko durch eine Begrenzung der dabei durch den abmahnenden Anwalt zu berechnenden Gebühren zu reduzieren und damit einen finanziellen Anreiz zu minimieren. Damit befasst sich nun der EuGH. In der Stellungnahme des Generalanwalts hält dieser diese Begrenzung für zulässig. Mehr dazu hier.
2.7 EuGH: Bestätigung der wettbewerbsrechtlichen Strafe gegen Google
Wieder kein datenschutzrechtliches Thema, aber es zeigt, dass die Durchsetzung europäischer Rechtsnormen auch mal gegen große Unternehmen erfolgen kann. Die Sanktion gegen Google (Alphabet) wegen wettbewerbsrechtlicher Verstöße bei der Bevorzugung eigener Angebote bei Suchergebnissen wurde durch den EuGH bestätigt. Sind auch nur ca. 2,4 Mrd. Euro.
2.8 BGH: Löschanspruch hinsichtlich eigener Gegendarstellung
Über Sie wird etwas in einem Pressartikel behauptet, Sie sorgen für eine entsprechende Gegendarstellung, der entsprechende zugrunde liegende Artikel wird gelöscht, aber die Gegendarstellung ist noch online zu finden. Und nun? Auch hier hat die Partei, die die Gegendarstellung initiierte, einen Löschanspruch hinsichtlich der selbst erwirkten Darstellung, so der BGH.
2.9 Ausblick: BGH zu Klarnamenpflicht bei sozialem Netzwerk
Am BGH findet am 09.12.2021 der Verhandlungstermin zu den Urteilen des OLG München statt, ob ein Anbieter eines sozialen Netzwerkes dessen Nutzung unter Pseudonym zu ermöglichen hat.
3 Gesetzgebung
3.1 EU: Inhaltskontrolle von Chats
Die EU-Kommission will weiterhin eine durchgehende Inhaltskontrolle auch bei verschlüsselten Messenger-Diensten wie WhatsApp, Signal und Threema ermöglichen und wird dafür nach wie vor kritisiert. Auch wenn der Entwurf etwas abgeschwächt wurde, natürlich wollen alle nur das Beste, es geht ja gegen die Verbreitung von sexualisierter Gewalt gegen Kinder. Ärgerlich ist es allerdings, wenn gerade die Kommunikation der EU-Behörden, die über Chats und Messenger stattfindet, einer öffentlichen Kontrolle entzogen wird.
[Letzter Stand hier]
3.2 Digital Services Act – Zielgerade?
Geht der DSA tatsächlich in die Zielgerade, wie es Berichte schreiben? Spannend wird, ob damit auch tatsächlich „Dark Patterns“ verboten werden, wer dies kontrolliert und ob sich das dann nicht nur beim Verkauf von Waren und Dienstleistungen, sondern auch bei der Gestaltung von Einwilligungen auswirkt.
3.3 „Homeoffice“-Pflicht – Anforderungen aus Datenschutzsicht
Spätestens mit den erneuten Überlegungen aus pandemischen Erwägungen heraus wieder eine Kontaktbeschränkung, quasi eine „Homeoffice“-Pflicht, zu regeln sollte geprüft werden, ob die bestehenden eigenen Regularien hinsichtlich der anzuwendenden Schutzmaßnahmen dazu ausreichen.
3.4 Bezahlen mit Daten – Änderungen im BGB
Es ist nicht neu, ich hatte schon mal darauf hingewiesen: Ab 01.12.2021 treten die Regelungen im BGB in Kraft, mit denen die Richtlinie 2019/770 (…des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen) umgesetzt wird. Was dabei zu beachten ist, lesen Sie hier.
3.5 Wissenschaftlicher Dienst: Steuerdaten zu Forschungszwecken
Eine der Grundregeln im Datenschutzrecht lautet: Ich brauche für eine Verarbeitung personenbezogener Daten eine rechtliche Grundlage. Und bin ich der Gesetzgeber, gebe ich mir dafür ein Gesetz. Das hat der deutsche Gesetzgeber im Rahmen der Umsetzung der DS-GVO dann ja auch getan in zwei Datenschutz-Anpassungs- und Umsetzungsgesetzen (DS-AnpUG). Und dabei hat er gleich die Abgabenordnung entsprechend geändert, so dass er mit den Daten, die bei der Steuerverwaltung anfallen, machen kann, was er für erforderlich hält. Zur Frage, ob darunter auch die Verwendung personenbezogener Daten zu Forschungszwecken fällt, hat sich nun der Wissenschaftliche Dienst des deutschen Bundestages in zwei Gutachten befasst.
Zunächst behandelte er dabei allgemeine Fragen zur datenschutzrechtlichen Zulässigkeit der Weiterverarbeitung personenbezogener Daten zu Forschungszwecken nach der Datenschutz-Grundverordnung und der Abgabenordnung. Im zweiten Teil geht es dann um weitere Fragen zur datenschutzrechtlichen Zulässigkeit der Weiterverarbeitung personenbezogener Daten zu Forschungszwecken nach der Datenschutz-Grundverordnung und der Abgabenordnung, wie z.B. welche Stellen zur Weiterverarbeitung berechtigt sind und was bei der Einbindung von Auftragsverarbeitern zu beachten sei.
3.6 Überprüfung des Internetstrafrechts
Die Justizminister der Bundesländer scheinen sich einig zu sein: Das BMJV soll prüfen, ob das Strafrecht den aktuellen Entwicklungen noch gerecht wird. Allerdings scheinen sie nicht den sogenannten „Hackerparagrafen“ § 202a StGB ändern zu wollen, dieser steht seit Beginn in der Kritik, weil dadurch auch IT-Sicherheitsexperten eine Strafbarkeit droht, wenn sie Lücken entdecken, auch wenn sie keine bösen Absichten haben.
3.7 Hacking per Auftrag
Man muss sich nicht mehr selber die Finger schmutzig machen: Eine russische Hackertruppe übernimmt die Ausspionierung und Zusammenstellung von E-Mails und weiteren Onlinedaten gegen Auftrag. Das Angebot umfasst laut Bericht Zugang zu E-Mail-Konten und Profilen in sozialen Medien, Fluggastdaten, SIM-Kartendaten, Informationen darüber, an welchen Stellen sich ein bestimmtes Mobiltelefon wann mit welchem Funkmasten verbunden hat, Daten von Grenzübertritten, Bankdaten, Ausweisdaten, Interpol-Einträge, Steuerdaten sowie Bilder und Videos von Verkehrskameras. Dass es oft auch ohne „Hack“ geht, und der Zugang auch nur über „Phishing“ erfolgt, kann auch schön bei Sensibilisierungsveranstaltungen genutzt werden: Und schafft hoffentlich auch Verständnis für die Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung, Passwort-Policy und Patch-Management.
3.8 Drittstaatentransfer: Hoffnung auf Regelung mit USA
Schaffen es die USA wirklich ihre gesetzlichen (Überwachungs-)Regelungen anzupassen, um eine rechtssichere Drittstaatenregelungen zu ermöglichen? Berichte über Aktivitäten im Kongress lassen diese Hoffnung zu. Einfluss haben darauf natürlich auch wirtschaftliche Interessen.
4 Künstliche Intelligenz und Ethik
4.1 AI-Ethics Certification
Eigentlich sollte man es immer nur vollständig ausgesprochen zitieren „The Institute of Electrical and Electronics Engineers“ (IEEE) Standard Association (SA) hat eine Certification (Zertifizierung) zu Künstlicher Intelligenz (KI = AI) definiert: IEEE CertifAIEd (=> „IEEE SA AI“ klingt bei mir als Franke, wie wenn ich kurz vor der Alkoholvergiftung stünde, daher der Tipp „ITrippleE“).
Damit sich dies aber nicht nur als ein Standard für Hochschulseminare und zur Generierung von Beratertagen darstellt, gibt es auch schon einen Anwendungsfall: Die Stadt Wien hat begonnen die ersten Anwendungen danach zu entwickeln. Und fast noch bemerkenswerter ist, dass dies auch durch Wirtschaftsmedien wahrgenommen wird.
4.2 KI und USA
Auch in den USA gewinnt die Diskussion um eine Regulierung des Einsatzes von KI an Fahrt. Neben den Überlegungen zur Regulierung der Nutzung von biometrischen Daten gibt es Bestrebungen auch den Einsatz von KI gesetzlich zu regeln.
4.3 Zivilrechtliche Haftung und KI
Wer haftet bei Schäden, die durch den Einsatz von KI entstehen? Ich weiß es nicht, die EU-Kommission auch nicht, will es aber regeln und lädt im Rahmen einer Konsultation zur „zivilrechtlichen Haftung – Anpassung der Haftungsregeln an das digitale Zeitalter und an die Entwicklungen im Bereich der künstlichen Intelligenz“ dazu ein einen entsprechenden Fragebogen zu beantworten. Rückmeldetermin ist der 10.01.2022. Nett finde ich, dass bei der Konsultationswebseite angezeigt wird, wie sich die Rückmeldungen zusammensetzen und aus welchen Ländern die Rückmeldungen kommen (Stand heute sind 81% aus Deutschland 😊 ).
Franks Anmerkung: Es ist nur ein Buch, aber darin wird einen Ansatz zur Haftung von Schäden durch autonom fahrende Kfz der Stufe 5 dargestellt. Läuft wohl nicht so gut…
Btw.: Mir hat es gut gefallen, ich habe es gerne gelesen.
4.4 Kritikalität von KI-Systemen
Kritikalität von KI-Systemen in ihren jeweiligen Anwendungskontexten werden in einem vom Bundesministerium für Bildung und Forschung geförderten Whitepaper behandelt. Dabei wird die Kritikalität im Zusammenhang mit KI-Systemen genauer definiert, worunter allgemein ein Maß für potenzielle Gefahren verstanden wird, die vom Einsatz eines KI-Systems in einem spezifischen Anwendungskontext ausgehen könnten.
Beim „Überfliegen“ hat mich diese Aussage in den Fußnoten irritiert:
„Eine Opt-in-Lösung als Voreinstellung bedeutet, dass Betroffene der Erhebung und Verarbeitung ihrer Daten ausdrücklich zustimmen müssen. Dies wird von der Datenschutzgrundverordnung vor allem für personenbezogene Daten vorgeschrieben. Da es hier über personenbezogene Daten hinaus um allgemeine Systemfunktionalitäten und Daten geht, wird hier von einer Opt-out-Möglichkeit gesprochen.“
Trotzdem lesenswert.
4.5 Dänemark: Ethik im Jahresabschluss
Die dänische Regierung verabschiedete im Juni 2020 eine Gesetzesänderung des dänischen Jahresabschlussgesetzes. Unternehmen, die durch ihre Größe dazu verpflichtet sind ihre Arbeit mit sozialer Verantwortung im Bericht des Managements im Zuge ihres Jahresabschlusses zu erklären, sind ab dem Geschäftsjahr 2021 dazu verpflichtet diesen Bericht um Richtlinien zur Datenethik zu ergänzen. Datenethik meint dabei ethische Überlegungen, die ein Unternehmen im Zusammenhang mit dem Einsatz neuer Technologien und großer Datenmengen anstellen muss.
5 Veröffentlichungen
5.1 Schleswig-Holstein: Wechsel von MS auf Open Source
Wer genervt ist, dass er bei MS365 immer die Diskussion um rechtskonformen Einsatz hinsichtlich Transparenz, Zweckbindung und Drittstaatentransfer mit Datenschützern hat, kann sich in Schleswig-Holstein informieren, welche Alternativen es dazu gibt. Dort wechselt die Verwaltung einschließlich Schulinfrastruktur bis Ende 2026 auf den Einsatz von Open-Source-Software. Zumindest kündigt sie es an.
5.2 ID Wallet: Chronik des Scheiterns
Im Netz rechtssicher unterwegs zu sein erfordert eine eindeutige Identifizierung der handelnden Personen. Wichtig ist dabei, dass den Angaben vertraut werden kann, dass klar ist wer agiert und dass Manipulationen ausgeschlossen sind. Die angebotene Version der Bundesregierung wurde wegen Sicherheitsmängeln zurückgezogen. Der BfDI hat über eine Anfrage bei Frag-den-Staat seinen Beitrag bei der Beratung veröffentlicht.
5.3 Fernwartung bei Gesundheitsdaten
Der Bundesverband Gesundheits-IT e.V., Arbeitsgruppe Datenschutz & IT-Sicherheit, hat seine Empfehlungen als „Best Practices: Fernwartung in der Gesundheitsversorgung“ veröffentlicht. Dies umfasst u.a. neben Geheimhaltungsvereinbarungen, den Umgang mit datenschutzrechtlichen Verpflichtungen und Testdaten.
5.4 Datenschutz-Cockpit in Bremen für das RegMoG
Das Registermodernisierungsgesetz (RegMoG) sieht vor, dass die Bürgerinnen und Bürger sich informieren können, welche Daten verarbeitet werden. Die Freie und Hansestadt Bremen entwickelt dafür ein bundesweites Datenschutz-Cockpit. Bis Ende 2022 soll das Datenschutz-Cockpit implementiert und pilotiert werden. Mit dem RegMoG sollen durch die Nutzung bereits vorliegender Daten einfache digitale Verwaltungsprozesse ermöglicht werden. Hierfür werde eine einheitliche ID-Nummer in Registern eingeführt, die für das Onlinezugangsgesetz (OZG) relevant sind. Durch das neue Datenschutz-Cockpit können sich Bürgerinnen und Bürger darauf verlassen, dass solche Datenaustausche auf Grundlage der ID-Nummer transparent und nachvollziehbar seien. Mit Unterzeichnung der Vereinbarung übernehme die Stadt Bremen die Projektleitung bei der Implementierung und Pilotierung des Datenschutz-Cockpit. Die erforderliche Infrastruktur entwickele die Stadt in enger Zusammenarbeit mit dem Bundesverwaltungsamt (BVA), von dem die neue ID-Nummer über den so genannten Identitätsabruf bereitgestellt werde.
5.5 TTDSG kommt – ist noch einwilligungsfreies Tracking möglich?
Ja, meint dieser Beitrag, wenn dabei vermieden wird ein nutzerbezogenes Profil zu erstellen. Was sonst dabei zu beachte wäre, wird hier erläutert.
5.6 MS365: Abgrenzung Riskmanagement / Überwachung
Im Rahmen eines Risikomanagements werden Vorgänge analysiert, um frühzeitig kritische Situationen erkennen zu können. Aber wo beginnt die Grenze zur (unzulässigen) Überwachung? Egal welches System man dafür einsetzt, es lohnt sich sich hierzu Gedanken zu machen und dazu Regelungen zu definieren und datenschutzrechtlich abzuklären, ob regulatorische Anforderungen beachtet werden.
5.7 Gaia-X – Ausstieg von Scaleway
Es war verwunderlich: Eigentlich wurde es als Europäische Umsetzung einer Datensouveränität angepriesen, dann zunehmend Anbieter aus USA und Asien eingebunden. Nun steigt mit dem französischen Cloudanbieter ein prominentes Mitglied aus. In die Begründung lässt sich einiges hineininterpretieren:
„Obwohl die Ziele des Verbandes ursprünglich nobel waren, werden diese durch ein Polarisierungsparadoxon verlangsamt und verlagert, dass für ein unausgeglichenes Spielfeld sorgt. Scaleway wird seine Zeit, Geld und Aufmerksamkeit auf sein Multi-Cloud-Produktangebot konzentrieren – ein Schlüsselfaktor für echte Flexibilität und Offenheit”.
5.8 Praxishilfe zu landesrechtlichen Anforderungen an medizinische Register veröffentlicht
In Zusammenarbeit mit der Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG) der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) und der Deutschen Gesellschaft für Unfallchirurgie (DGU), veröffentlicht der Ausschuss Recht & Politik des BvD eine kostenfreie Ausarbeitung, in der die Rechtsgrundlagen für die Übermittlung von Patientendaten an Register wie auch für die Verarbeitung der Daten durch ein Register vorgestellt werden. Hier geht es zur entsprechenden Pressemitteilung.
5.9 Veranstaltungen
5.9.1 Stiftung Neue Verantwortung: Frankreichs Offensive gegen Big Tech
25.11.2021, 9:00 – 10:00 Uhr: In der Diskussion über Regeln für Big Tech lässt sich die EU auch von Frankreich inspirieren: Während EU-Politiker:innen über ein Gesetz für digitale Märkte (kurz: DMA) diskutieren, führte Frankreichs Wettbewerbsbehörde (ADLC) im Sommer ein Verfahren gegen Google. Mit Erfolg: Erstmals akzeptierte Google das Urteil und die damit verbundenen Geldstrafen von insgesamt 720 Millionen Euro und kündigte weitreichende Veränderungen an. Läutet das Urteil einen Paradigmenwechsel im Umgang mit den großen Plattformen ein? Was können wir in Deutschland von dem Fall lernen und wie beeinflusst der Fall die Regulierungsvorhaben von Big Tech in der EU, z.B. den DMA? Für das virtuelle Hintergrundgespräch ist eine Anmeldung erforderlich.
5.9.2 Fachsymposium: „Testen & Zertifizieren von KI-Systemen“
30.11.2021, 9:30 – 12:00 Uhr: Technologien, die Künstlicher Intelligenz (KI) zugerechnet werden, finden zunehmende Verbreitung: Das Personal- und Talentmanagement nutzt KI-basierte Vorschlagssysteme oder Persönlichkeitsbewertungen, intelligente Cobots werden in der Produktion eingesetzt oder fahrerlose Transportsysteme unterstützen die Logistik in Fabriken. Fragen nach der Zuverlässigkeit, Vertrauenswürdigkeit, Sicherheit und Fairness solcher Systeme sind auch Gegenstand der politischen Diskussion. Die Frage nach sinnvollen Test- und Auditierungsverfahren für Künstliche Intelligenz (KI) hat mit der Veröffentlichung des KI-Regulierungsvorschlags der EU-Kommission im April 2021 eine neue Dringlichkeit erhalten. Eine effektive Regulierung kann zur Rechtssicherheit für Hersteller und Anwender von KI-Systemen beitragen. Doch zunächst müssen Test- und Auditierungsverfahren für KI auch in der Praxis erprobt werden, damit sie an die Bedarfe der unterschiedlichen Stakeholder angepasst und standardisiert werden können. Dazu wird hier diskutiert, Anmeldung erforderlich.
5.9.3 IHK u.a.: Münchner Datenschutztag mit Themen rund um Daten, Cookies und Geschäftsmodelle
03.12.2021, 9:00 – 12:00 Uhr: Mit Aufsichtsbehörden, Gesetzgebern und (anderen) Experten werden folgende Fragen behandelt: Welche Auswirkungen hat das neue TTDSG auf die Wirtschaft in Deutschland? Wie wird die Vollzugspraxis der Aufsichtsbehörden insbesondere zu Cookies sein? Sind „Daten gegen Entgelt“ ein Zukunftsmodell? Bleiben digitale Geschäftsmodelle zum Offline- und Asset Tracking nach der ePrivacyVO möglich? Anmeldung erforderlich.
5.9.4 Online-Fachkonferenz zu Corporate Digital Responsibility
06.12.2021, 15:00 – 18:00 Uhr: In zahlreichen interaktiven Sessions werden u.a. ein Workshop zur internen Kommunikation von CDR-Aktivitäten, ein Einblick in die CDR Building Bloxx des BVDW oder ein unterhaltsames Slam-Format zu den wichtigsten Themen rund um CDR geboten. Zum Schluss gibt es die Verleihung des CDR-Awards. Programm hier und Anmeldung erforderlich. [Lohnt sich!]
5.9.5 Stiftung Datenschutz: „Faires Internet-Marketing: Cookies, Website-übergreifendes Tracking, Datenschutz“
07.12.2021, 13:00 – 14:00 Uhr: Darstellung der aktuellen Fragestellungen und Lösungsmöglichkeiten für den datenschutzgerechten Umgang mit Kundendaten. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 iPhone Nacktfilter ab iOS 15.2
Berichten zufolge will Apple einen Nacktfoto-Filter in die auf iPhones und iPads vorinstallierte App „Nachrichten“ integrieren. Eltern können die Funktion voraussichtlich ab iOS 15.2 auf den Geräten ihrer minderjährigen Kinder aktivieren. Per iMessage ausgetauschte Bilder werden dann lokal durch das Betriebssystem analysiert: Als Nacktbilder eingestufte Fotos soll iOS verschwommen darstellen sowie einen Warnhinweis zu „möglicherweise sensiblen“ Inhalten einblenden. In dem Zusammenhang sollte auch erwähnt werden, dass allein der Besitz kinderpornographischem Material strafbar (§ 184b StGB) ist, auch wenn sich diese „nur“ im Besitz der abgebildeten Kids befindet. Also auch mal mit Filius oder Filia sprechen, dass sie sich auch strafbar machen, wenn sie eigene Aufnahmen haben sollten.
6.2 Kassenloses Einkaufen im Supermarkt: Datenschützer besorgt
Einkaufen und ohne extra Zahlungsprozess zu gehen, d.h. ohne Geldbeutel oder Smartphone zu zücken, den Laden verlassen. Der zu zahlende Betrag wird einfach abgebucht. Das könnte die Zukunft sein. Und wer stört dabei wieder? Genau, Datenschützer. Zumindest nach dem Bericht.
6.3 Facebook – mal wieder
Hier ein Link zu einem Bericht über die Whistleblowerin zu Facebooks Geschäftsmethoden anlässlich ihres Aufenthalts in Berlin. Ist wie bei der 4. Welle – einige sind überrascht, andere nicht. Hängt sicher auch von der subjektiven Bereitschaft ab sich damit zu befassen.
7 Sonstiges/Blick über den Tellerrand
7.1 IT-Wartungspause von 3 Wochen?
Nicht nur in Pandemiezeiten irritiert diese Aussage: Wegen Wartungsarbeiten an der Verwaltungssoftware finden in einigen Friedhöfen in Berlin in den nächsten 3 Wochen keine Erdbestattungen statt. Lasse ich mal so stehen.
7.2 Check die Produkte – oder check die App dazu
Was ist im Lebensmittel oder in Kosmetik tatsächlich enthalten? Wer solche Informationen für die Kaufentscheidung berücksichtigen will, kann zu einer App greifen. Wer wissen will, was so eine App macht, greift zu den Tests von mobilsicher. Diese stellten fest, dass eine solche App gar nicht so datenschutzfreundlich gestaltet ist, wie sie sein sollte. Und wie kommt man/frau zu mobilsicher, wie arbeiten die? Dazu informiert dieser Beitrag.
8. Franks Zugabe
8.1 Cybersecurity – Ransomware
Ransomware scheint immer häufiger zum Problem zu sein. Oft genug hatten wir schon Beiträge im Blog dazu.
Aktuelle Beispiele der letzten Wochen gefällig?
- Die Elektronikmärkte der Ceconomy AG sind Opfer eines Ransomware-Angriffs geworden. Wer ist die Ceconomy AG? Die MediaMarktSaturn-Holding. Die eingesetzte Ransomware war Hive, vor dem das FBI seit Ende August 2021 warnt…
- Großalarm im Gesundheitswesen – Ransomware-Attacke auf Medatixx. Medatixx ist Anbieter verschiedene Softwareprodukte für Ärzte. Sie haben den betroffenen Artpraxen (ca. 25% in Deutschland) FAQ zur Verfügung gestellt. Wichtigster Tipp: Zugangspasswort zum Praxissystem ändern…
- Razzia gegen REvil-Gang in Rumänien. Es wird immer mehr aktiv gegen Nutzer der verschiedenen Ransomware-Varianten vorgegangen. Zuletzt wurde in der Ukraine eine Ransomware-Gang unter anderem von Europol ausgehoben.
- Colonial Pipeline: USA loben Millionen-Belohnung für Hinweise auf Erpresser aus. Wenn es hilft? Dann auch gerne 10 Millionen für die REvil-Gang…
- In den USA gab es laut dem Wall Street Journal bereits im Jahr 2019 den ersten bestätigten Todesfall auf Grund eines Ransomware-Befalls. Tragisch.
Übrigens, wenn Sie betroffen sind: Es gibt Seiten, die helfen wollen.
8.2 Cybersecurity – Malware
Malware, mal als Software, mal als Hardware. Immer unangenehm:
- Lightning Cable with Embedded Eavesdropping
- LAN-Kabel als Antenne überwindet Air-Gaps
- Von Microsofts Gnaden – Die Rückkehr der rootkits (signed by Microsoft)
- Wo wir uns doch der Software nähern: Man kann Schadsoftware auch in Neuralen-Netzwerk-Modellen verstecken. Hier gibt es die passende Studie und einen Artikel dazu.
- Und zum Abschluss noch ein Beispiel, wie man Aktionärs-Goodies (oder auch Kundenbindung, ist ja das gleiche Prinzip) besser nicht umsetzt (außer, man will wirklich viel Freibier verschenken…).
8.3 Tracking mal anders – Die Sneakerjagd
Mit Datenschutz hat dieses Thema nur am Rande zu tun (vergleichbare Stichworte, die einfallen könnten, wären die Apple AirTags), aber es ist aus verschiedentlichen Gründen natürlich relevant. Und wohl vom Ergebnis her auch erschreckend. Halt Tracking mal anders – Die Sneakerjagd
8.4 Bluetooth-connected flip-flops
Wer erinnert sich nicht an Inspektor Gadget? Oder James Bond?
In Indien haben sich scheinbar Leute daran erinnert. Und Bluetooth-fähige Flips-Flops gebaut. Also konkret Mobiltelefon-Technik in Flip-Flops eingebaut, die sich mit tief im Ohrkanal versteckten Empfängern verbunden haben. Über die die Menschen in Testsituationen Hilfen von außerhalb bekamen.
Extrapunkte für Kreativität! Das müssen schon recht wichtige Tests gewesen sein, die Flip-Flops sollen 8.000 $ das Paar kosten.
8.5 Mobilfunk Metadaten
Zugegeben, hier geht es um Mobilfunk in den USA. Aber ich denke, europäische Strafverfolgungsbehörden können das auch, wenn die Motivation nur gut genug ist. Hier ist eine kleine Twitter-Story, wie amerikanische Strafverfolgunsgsbehörden die Aufrührer vom 06.01.2021 identifizieren. Über sehr interessante Kombinationen von Metadaten. „Ich habe ja nichts zu verbergen?“ Egal. Finden können sie uns trotzdem. Wenn sie sogar die finden…
(Und damit wir uns nicht falsch verstehen: Gut so, dass sie sie finden und wegsperren!)
Passend dazu gibt es hier noch einen Artikel, wie das FBI Standort-Informationen ermittelt. Der Artikel basiert auf dieser Präsentation.
8.6 Advice for Personal Digital Security
Letzte Woche hatte ich etwas zu digitaler Hygiene, diese Woche gibt es (bisher) drei leswenswerte Artikel zu Personal Digital Security (1/2/3).
8.7 2021 war ein gutes Jahr … für Zero-Day-Exploits
So sagt es zumindest dieser „MIT Technology Review“-Bericht.
8.8 Identitätsprüfung bei Auskunftsersuchen, die Grindr-Variante
Ich zitiere mal aus der Quelle (noyb.eu):
Heute hat noyb eine DSGVO-Beschwerde gegen Grindr eingereicht – eine Dating-App für die LGBTQ Community, bei der viele Nutzer:innen sehr persönliche und sogar explizite sexuelle Details preisgeben. Obwohl Grindr bereits vorhandene Daten wie E-Mail Adresse und Passwort zur Authentifizierung von Nutzer:innen verwenden könnte, wird die vielleicht absurdeste Art der „Identifikation“ verlangt: Nutzer:innen müssen ihren Reisepass sowie einen Zettel mit ihrer E-Mail Adresse hochhalten und damit ein Selfie machen. Das ist nicht nur grotesk, sondern auch ein Verstoß gegen die DSGVO.
Oha, einfach nur: Oha!
Hoffentlich gibt das ein ordentliches Bußgeld. Ich habe schon von vergleichbaren Situationen gehört, bei denen es für diese Art der Identifikationsprüfung ein Bußgeld gab. Allerdings ging es da nicht um so sensible Daten wie die von Dating-Seiten.
8.9 Microsoft und die freie Browserwahl
Erinnert sich noch jemand an den Browserkrieg? (Vorsicht, Opa erzählt mal wieder vom Krieg…)
Ähh, wo war ich?
Ach ja, beim Browserkrieg.
Es ist ja nicht so, dass Microsoft über die Jahre nicht schon schmerzhafte Erfahrungen mit dem Verdrängen anderer Browser-Alternativen gemacht hätte.
Aber scheinbar ist deren Schmerzgedächtnis nicht so ausgeprägt. Anders kann ich mir es nicht erklären, dass sie das irgendwie schon wieder versuchen:
In Windows 11 soll es zu einer wahren Klickorgie ausarten, wenn Nutzer z.B. Firefox als Alternative zum hauseigenen Edge-Browser einstellen wollen (was daraufhin natürlich kaum jemand macht). Und der Workaround, den u.a. Mozilla deswegen nutzen will, soll jetzt von Microsoft unterbunden werden.
Also entweder haben sie wieder zu viel Geld oder sie stehen drauf 🤷♂️.
8.10 Apropos Edge von Microsoft
Bruce Schneier schreibt, dass der Edge-Browser ungefragt Bookmarks und mehr* in die Microsoft-Cloud synchronisiert. Wie sympathisch und fürsorglich von Microsoft…
* Franks Anmerkung: Passworte, ID-Nummern, Ausweis-Nummern – Seriously? Wer speichert denn Ausweisdaten im Browser?