Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 48&49/2022)“
Hier ist der 56. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 48&49/2022)“.
Nicht wundern, warum wir zweimal etwas zur KW 48 haben, da gab es zeitliche Überschneidungen. Inhaltlich sehen Sie aber (hoffentlich) keine Meldungen doppelt. Und falls doch, dann mag das auch am Glühwein liegen … es ist ja sowohl die Zeit als auch das Wetter für Glühwein.
- Aufsichtsbehörden
- EDSA und ENISA
- DSK: Standarddatenschutzmodell 3.0
- LDI Rheinland-Pfalz: Shopbetreiber bleibt datenschutzrechtlich verantwortlich
- Hamburg: Stellungnahme zur Executive Order
- CNIL: Bußgeld i.H.v. 800 T€ wegen mehrerer Verstöße gegen Messengerdienst
- CNIL: Bußgeld i.H.v. 600 T€ wegen Datenschutzverstößen gegen Energieunternehmen
- Irland: Bußgeld gegen Meta i.H.v. 265 Mio. €
- Italien: Bußgeld i.H.v. 1,4 Mio. € wegen Datenschutzverletzungen gegen Parfümeriekette
- ENISA: Anforderungen an Zertifizierung
- EDSA: Vorgaben zu Maßnahmen gegen Meta
- LDI Niedersachsen: Umgang mit Arbeitsunfähigkeitsbescheinigungen ab dem 01.01.2023
- LfDI Baden-Württemberg im Interview zu MS 365
- TLfDI: Will zu MS 365 reden
- Bewertung der DSK zu MS 365
- DSK: Mehr zur Orientierungshilfe für Telemedienanbieter:innen
- DSK zu Mehrheitsentscheidungen
- Mecklenburg-Vorpommern: Neuer LfDI gewählt
- Italien: Bußgeld gegen Clubhouse
- Estland: Unzureichende Einwilligung und Aufbewahrungsdauer
- ICO: Unterstützung beim Einsatz biometrischer Merkmale
- ICO: Marketing Guidelines und Checklisten
- EU-Kommission: Darstellung der tatsächlichen Internet-Standards in der EU
- Rechtsprechung
- OLG Koblenz: Vorlagefragen zum Auskunftsanspruch an den EuGH
- BVerwG: Auskunftsanspruch umfasst Prüfungsarbeiten
- VG Hannover: Anwendbarkeit des Art. 91 DS-GVO
- UK: Klage gegen Meta (Facebook)
- LG Gießen: Anforderungen an Schadenersatz bei „Scraping“
- LG Hannover: Anforderungen an Zustimmung zu Vertragsänderung
- OLG Saarbrücken: Anforderungen an Netzwerk bei Löschaufforderung
- EuGH: Keine unmittelbare Betroffenheit durch EDSA-Entscheidung
- EuGH: Wann muss ein Suchmaschinenbetreiber Ergebnisse auslisten?
- EuGH: Vertraulichkeit der Kommunikation bei Berufsgeheimnisträgern
- Klagen in USA gegen Meta (wegen Facebook-Pixel)
- USA: Klage gegen Apple wegen Stalking mittels AirTags
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Um was geht es bei CDR?
- KI und Arbeitsrecht
- Synthetische Daten
- Gemeinwohlausrichtung der Technologieentwicklung
- Roundtable KI: Von der Richtlinie in die Praxis
- Einfluss der KI auf Marketing
- Cambridge Handbuch der verantwortungsvollen Künstlichen Intelligenz
- EU – FRA: Künstliche Intelligenz und Diskriminierung
- Österreich: Verbraucher in der Datenökonomie
- Niederlande: Diskriminierung durch Examensüberwachungssoftware
- Veröffentlichungen
- Reaktionen zu DSK und MS 365
- bitkom: Leitfaden Metaverse
- Podcastbeitrag zu Datenschutzstrategie
- HPI: Leak-Checker?
- Auskunftsgenerator bei Webseiten
- Zahlen mit Daten
- NFT – oder WTF?
- DSFA der ECDC zu MS 365
- Cookies und User Experience
- Cookie-Regelungen im internationalen Vergleich
- Stiftung Datenschutz: Anonymisierung von Daten
- eu-LISA: Was macht ein DSB?
- Umfrage zum DSB veröffentlicht
- Wie datenschutzkonform ist Ihr Web-Browser?
- Fraunhofer: GrundschutzPLUS Aktivator
- Veranstaltungen
- Stiftung Datenschutz: Trans-Atlantik Data Privacy Framework
- Anhörung im Bundestag zu Metaverse
- Fragen an das BayLDA mit Ausblick auf 2023
- Microsoft: Update zu den Microsoft Cloud Services
- BSI: 19. Deutscher IT-Sicherheitskongress
- Gesellschaftspolitische Diskussionen
- Risiken der digitalen Währung
- Digitale Identitäten
- Bundesärztekammer für digitales Register bei Fehlbildungen
- Datenleck bei WhatsApp
- Zusammenschluss von Verimi und Yes
- „Hack the world a better place”
- Beirat Digitalstrategie Deutschland
- Schüler-Tablets und Datenschutz
- Datenteilung: Nutzung von Daten
- BKA: Cybercrime und Handlungsempfehlungen für die Wirtschaft
- Zahlen für Daten
- Privacy War
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos ENISA – Apropos Cybersecurity
- Nervenschoner?
- Noch’n Adventskalender…
- Noch’n Abo…
- KiKa-Player-App
- „Die erfassen Milliarden Gesichter biometrisch – ohne jede Zustimmung.“ – ein Selbstversuch
- KI, zum ersten – minimum Turing test
- KI, zum zweiten – KI soll Reporter ersetzen
- KI, zum dritten – ChatGPT
- Datenreichtum und seine Folgen
- Wenn die psychischen Probleme der Angestellten im Netz landen…
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA und ENISA
Der Europäische Datenschutzbeauftragte (EDSB) und die Agentur der Europäischen Union für Cybersicherheit (ENISA) unterzeichneten eine Absichtserklärung (Memorandum of Understanding), in der ein Rahmen für die strategische Zusammenarbeit zwischen ihnen festgelegt wird. Diese Absichtserklärung enthält einen strategischen Plan zur Förderung des Bewusstseins für Cyberhygiene, Privatsphäre und Datenschutz bei Einrichtungen der Europäischen Union. Der Plan zielt auch darauf ab einen gemeinsamen Ansatz für Cybersicherheitsaspekte des Datenschutzes zu fördern, Technologien zur Verbesserung der Privatsphäre einzuführen und die Kapazitäten und Fähigkeiten dieser Einrichtungen zu stärken.
1.2 DSK: Standarddatenschutzmodell 3.0
Wer bisher mit der Umsetzung der Versionen 1.0 und 2.0 seine praktischen Probleme hatte, wird auch von der Version 3.0 nicht enttäuscht, die Ende November 2022 durch die DSK beschlossen wurde. Mit dem SDM wird laut Einführung eine Methode bereitgestellt, mit der die Risiken der Rechte und Freiheiten natürlicher Personen, die mit der Verarbeitung personenbezogener Daten zwangsläufig einhergehen, mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen beseitigt oder wenigstens auf ein tragbares Maß reduziert werden können. Für das Erstellen von Datenschutz- und Sicherheitskonzepten seien neben derartigen Methoden und Hilfsmitteln aber auch die langjährigen, individuellen Erfahrungen der handelnden Personen unerlässlich. Aus diesen Erfahrungen resultieren mitunter zwar dem SDM vergleichbare, im Detail aber abgewandelte Methoden zur Minimierung des Risikos. Diese Methoden können in speziellen Anwendungskontexten ihre Berechtigung haben.
Mehr Selbstbewusst sein scheint kaum möglich.
1.3 LDI Rheinland-Pfalz: Shopbetreiber bleibt datenschutzrechtlich verantwortlich
Letztendlich ist dies nichts Neues: Wer einen Online-Shop betreibt, ist dabei für die Einhaltung rechtlicher Vorgaben verantwortlich. Auch wenn er ein Standardtool einsetzt, bei dem Datenschutzaufsichtsbehörden Bedenken sehen. Dass der Shopbetreiber dann auch noch nach diesem Bericht keine Unterstützung des Toolherstellers bekommt, zeigt nur, dass bei der Auswahl der Dienstleister und Hersteller auch weiche Faktoren eine Rolle spielen sollten. Für den Shopbetreiber bedeutete dies letztendlich Aufwand und weitere Kosten.
1.4 Hamburg: Stellungnahme zur Executive Order
Über die kritische Bewertung der Executive Order des US-Präsidenten durch den LfDI Baden-Württemberg hatte ich ja schon berichtet. Nun hat sich auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit dazu geäußert, deutlich positiver. Zwar weist er darauf hin, dass die Geheimdienste noch eine Umsetzungsfrist von einem Jahr hätten, um den Anforderungen Genüge zu tun und dass die Executive Order daher noch keine unmittelbare Auswirkung auf Ergebnisse eines Transfer Impact Assessments (TIA) haben könnte. Etliche Punkte wie die Interpretation der Verhältnismäßigkeit durch die Geheimdienste oder die Funktionsfähigkeit des Datenschutzgerichts würden von der tatsächlichen Anwendung abhängen und hinsichtlich der Umsetzungen weiter beobachtet werden müssen. Dies hindere aber im Kern die EU-Kommission nicht einen Angemessenheitsbeschluss einzuleiten. Immerhin könnte dieser auch jederzeit bei Änderungen des Sachverhalts widerrufen werden.
1.5 CNIL: Bußgeld i.H.v. 800 T€ wegen mehrerer Verstöße gegen Messengerdienst
Die französische Datenschutzaufsicht CNIL verhängte ein Bußgeld in Höhe von 800.000 Euro gegen einen Kommunikationsdienstleister (Chatten und Voice over IP), weil u.a. die Vorgaben insbesondere im Hinblick auf die Aufbewahrungsfristen (fehlendes Löschkonzept), auf die Sicherheit personenbezogener Daten (unzureichendes Passwortvorgaben) und auf die Erforderlichkeit einer Datenschutz-Folgenabschätzung nicht eingehalten wurden.
1.6 CNIL: Bußgeld i.H.v. 600 T€ wegen Datenschutzverstößen gegen Energieunternehmen
Die französische Datenschutzaufsicht CNIL verhängte ein Bußgeld in Höhe von 600.000 Euro gegen ein Energieunternehmen, weil die Vorgaben zur Einwilligung in Werbung und zur Absicherung von Passwörtern nicht rechtskonform umgesetzt wurden.
1.7 Irland: Bußgeld gegen Meta i.H.v. 265 Mio. €
Die irische Datenschutzaufsicht verhängt gegen Meta ein Bußgeld in Höhe von 265.000.000 € sowie eine Reihe von Maßnahmen, die das Unternehmen ergreifen muss, um einen „Data Scraping“-Verstoß zu beheben. Data Scraping beschreibt in diesem Zusammenhang die automatische Extraktion und Kategorisierung personenbezogener Daten, die im Internet gespeichert sind. Die gesammelten Datenbasis kann für Phishing-Kampagnen und Identitätsdiebstahl missbraucht werden. Gegenstand der Untersuchung waren die Facebook-Suche, der Facebook-Messenger-Contact-Importer und Instagram-Contact-Importer-Tools in Bezug auf die Verarbeitung durch Meta zwischen Mai 2018 und September 2019. Durch sie habe Meta gegen die Vorgaben aus Art. 25 Abs 1 und Abs. 2 DS-GVO verstoßen. Details lesen Sie in dem Bescheid.
1.8 Italien: Bußgeld i.H.v. 1,4 Mio. € wegen Datenschutzverletzungen gegen Parfümeriekette
Der Kette wurden bei der Umsetzung eines Treueprogramms mehrere Verstöße vorgeworfen, von unzulässiger Datenerhebung über die eigene App über unzureichende Informationen gegenüber den Kunden bis hin zu fehlerhafter Einwilligungsgestaltung auf Bannern. Hinzu kamen noch Verstöße gegen Löschpflichten (Daten älter als 10 Jahre).
1.9 ENISA: Anforderungen an Zertifizierung
In einem ca. 2 min. langen Video auf YouTube erläutert die ENISA die Akteure einer Zertifizierung und ihre Rollen.
1.10 EDSA: Vorgaben zu Maßnahmen gegen Meta
Im Jahr 2018 wurde für den damalige Facebookkonzern die Grundlage der Verarbeitung personenbezogener Daten für deren Zwecke umgestellt: Weg von einer Einwilligung zu einer Übernahme in die vertraglichen Bedingungen und somit auf Basis des Art. 6 Abs. 1 lit. b DS-GVO. Ein NGO beschwerte sich dagegen, was die Gestaltung bei WhatsApp, Instagram und Facebook anging. Der EDSA hat nun in einer Entscheidung gegenüber der irischen Datenschutzaufsicht seine inhaltliche Positionierung getroffen und geht von einer unzulässigen Gestaltung aus. Damit droht nun dem Konzern Meta ein entsprechendes Bußgeld.
Die dahinterstehende rechtliche Frage, inwieweit über vertragliche Gestaltung Verarbeitungen legitimiert werden können, die mit dem eigentlichen Vertragszweck aus Sicht der betroffenen Person nicht erforderlich sind, aber durch die z.B. die Leistung finanziert wird, ist noch nicht höchstrichterlich entschieden. So stellt die Entscheidung des EDSA auch „nur“ die Meinung der Executive wieder. Die rechtlich grundsätzliche Frage liegt über ein Vorabentscheidungsersuchen dem EuGH (Az: C-466/21) vor. Sollte dieser aber die Bewertung des EDSA bestätigen, wird sich das auf viele Geschäftsmodelle auswirken.
1.11 LDI Niedersachsen: Umgang mit Arbeitsunfähigkeitsbescheinigungen ab dem 01.01.2023
Wie mit Datenverarbeitungen im Zusammenhang mit der Vorlage von Arbeitsunfähigkeitsbescheinigungen sowie mit Entgeltfortzahlungen im Krankheitsfall umzugehen ist, hat die LDI Niedersachsen mit ihren diesbezüglichen Hinweisen (Stand November 2022) ausgeführt. Anlass dazu gab ihr die Änderung in § 5 EntgFG, nach der ab dem 1. Januar 2023 nur noch eine Verpflichtung des Arbeitnehmers / der Arbeitnehmerin vorgesehen ist die Arbeitsunfähigkeit und deren Dauer feststellen und sich selbst eine ärztliche Bescheinigung aushändigen zu lassen. Die elektronische Bescheinigung muss sich der Arbeitgeber / die Arbeitgeberin bei den Krankenkassen abrufen. Die LDI Niedersachsen erläutert dazu ihre Einschätzung zu den datenschutzrechtlichen Grundlagen und Anforderungen bei den Beteiligten und differenziert nach öffentlichen und nicht-öffentlichen Arbeitgebern. Bezüglich des Schutzbedarfs der dabei anfallenden Daten verweist sie auf ihr Schutzstufenkonzept.
Die Änderungen könnten sich auf Darstellungen in den Informationspflichten gegenüber Beschäftigten auswirken, wenn Arbeitsunfähigkeitsbescheinigungen dadurch nicht mehr durch die betroffene Person sondern durch andere an den Arbeitgeber gehen.
1.12 LfDI Baden-Württemberg im Interview zu MS 365
Kurz nach Veröffentlichung der DSK-Stellungnahme zu MS 365 wurde ein Interview mit dem LfDI Baden-Württemberg zum Einsatz von MS 365 geführt. Darin führt er u.a. auch nochmal die Überlegungen zur Bewertung zu den eigenen Zwecken von Microsoft aus.
1.13 TLfDI: Will zu MS 365 reden
Auch die Thüringer Datenschutzaufsicht nutzt das Interesse an einem rechtskonformen Einsatz von M365, um Gespräche mit den Anwendern anzukündigen.
1.14 Bewertung der DSK zu MS 365
Passend zu der Positionierung der DSK wurde auch deren grundlegende Bewertung zu den Microsoft Onlinediensten veröffentlicht. Auch wenn sich einige mehr erwartet haben: Die Aufsichtsbehörden haben keine Aufgabenzuweisung in der DS-GVO Produkte zu prüfen oder mit deren Hersteller die Umsetzung der DS-GVO zu diskutieren. Sie dürfen sich eigentlich „nur“ an die Verantwortlichen und Auftragsverarbeiter wenden. Es bleibt zu hoffen, dass es entweder herstellerseitig Nachbesserungen gibt, welche die Aufsichtsbehörden (europaweit) zufriedenstellen, oder dass endlich eine gerichtliche Entscheidung für Rechtssicherheit sorgt.
Franks Nachtrag: Derweil gehen Rechtsberater weiterhin auf Kundenfang.
1.15 DSK: Mehr zur Orientierungshilfe für Telemedienanbieter:innen
Wir hatten schon auf die Veröffentlichung der Überarbeitung mit dem Stand Dezember 2022 hingewiesen. Nun gibt es auch die Grundlage der Überarbeitung mit entsprechenden Darstellungen und Bewertungen der im Rahmen der Konsultation eingegangenen Hinweise [Kenner:innen erfreuen sich auch an dem Originalnamen dieser Datei]. Und damit alles in einer Meldung zu finden ist, hier noch der Link auf die Hinweise der LDI Niedersachsen zu dem Thema mit Gestaltungsbeispielen von Consent-Bannern.
1.16 DSK zu Mehrheitsentscheidungen
Die Datenschutzkonferenz ist im aktuellen BDSG nicht vorgesehen. Sinnvoll und nützlich ist sie trotzdem. Sie agiert nach eigenen Regeln, die sie sich gibt, um eine einheitliche Auslegung und Anwendung innerhalb Deutschlands sicherzustellen. Dazu hat sie sich eine Geschäftsordnung gegeben, zu der sie nun einen Beschluss hinsichtlich bindender Mehrheitsentscheidungen verabschiedet hat.
1.17 Mecklenburg-Vorpommern: Neuer LfDI gewählt
Der Landtag wählte einen neuen LfDI. Der Landesdatenschutzbeauftragte wird vom Landtag für jeweils sechs Jahren gewählt.
Franks Nachtrag: Deren Landtag schafft es wenigstens, einen Landesdatenschutzbeauftragten zu wählen… im Gegensatz zu anderen Landtagen 🙄.
1.18 Italien: Bußgeld gegen Clubhouse
Es schien, dass manche nur darauf gewartet hatten: Clubhouse war der letzte Schrei für Marketingleute und andere, die nichts anderes zu tun hatten als über die App Clubhouse zu reden oder reden zu lassen. Bereits damalige Bedenken ob eines datenschutzrechtlich korrekten Umgangs der Betreiber mit den anfallenden Daten schien bei dieser Zielgruppe (wieder mal) nicht zu verfangen. Bei den Betreibern wohl auch nicht. Zumindest verhängte die Italienische Datenschutzaufsicht nun ein Bußgeld in Höhe von 2.000.000 €. Die Deutschen Aufsichten prüfen nach dieser Meldung wohl noch.
Wer den Hype damals verpasst hat: Es war eigentlich nichts anderes als eine große Telefonkonferenz, nur über eine App.
1.19 Estland: Unzureichende Einwilligung und Aufbewahrungsdauer
Die estnische Datenschutzaufsicht monierte nach dieser Darstellung eine unzureichende Einwilligungsgestaltung einer Webseite eines Finanzdienstleisters (Pflicht beim Besuch zu Direktmarketing), unzureichende Transparenz bezogen auf third-party-Empfänger und eine nicht begründbare Aufbewahrungsdauer von Ausweiskopien von 15 Jahren. Das Unternehmen berief sich auf die Ausbewahrungsvorgaben aus dem deutschen Geldwäschegesetz, die nur maximal 10 Jahre vorgeben. Die Datenschutzaufsicht beließ es bei einer Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO.
1.20 ICO: Unterstützung beim Einsatz biometrischer Merkmale
Das Information Commissioner’s Office (ICO) weist auf die Risiken beim Einsatz von Emotionsanalysetechnologien hin und empfiehlt diese vor der Implementierung zu bewerten. Zur Unterstützung von Unternehmen und Organisationen,um bereits in der Entwicklungsphase biometrischer Produkte und Dienstleistungen einen „Privacy by Design“-Ansatz zu verankern, um Risikofaktoren zu verringern, werden zwei Veröffentlichungen bereitgestellt. Die eine befasst sich mit den Technologien (Biometrics: insight), die andere mit denkbaren Auswirkungen (Biometrics: foresight).
1.21 ICO: Marketing Guidelines und Checklisten
Die Aufsicht in UK veröffentlichte neue Leitlinien zu Direktmarketing und Checklisten. Ja, die sind nicht mehr in der EU, aber (noch) sind sie in der Interpretation und Umsetzung der Datenschutzrechte sehr nah dran.
1.22 EU-Kommission: Darstellung der tatsächlichen Internet-Standards in der EU
Die EU-Kommission bietet Infos an, aus denen ersichtlich sein soll, welche technischen Standards wie umgesetzt bzw. angenommen werden. Diese umfassen (zu finden auf der entsprechenden Webseite):
- Web-Kommunikationsstandards (HTTPS, HTTP/3 und HSTS)
- die Mutual Agreed Norms for Routing Security (MANRS)
- Sicherheitsstandards für die E-Mail-Kommunikation (STARTTLS, SPF, DKIM, DMARC und DANE)
- Domain Name System Security Extensions Standards (DNSSEC)
- die neueste Version des Kommunikationsprotokolls des Internets, IPv6 (Internet Protocol Version 6)
- EU Internet Standards Deployment Monitoring Website (europa.eu)
Daraus ist dann z.B. auf der Basis von Messungen im Juni/Juli 2022 ersichtlich, dass die StartTLS-Quote in Deutschland 45% ergab. Wie das im europäischen Vergleich dasteht?
Fragen Sie besser nicht!
2 Rechtsprechung
2.1 OLG Koblenz: Vorlagefragen zum Auskunftsanspruch an den EuGH
Dem EuGH werden wieder mal Fragen zur Auskunft durch ein Gericht vorgelegt, diesmal durch das OLG Koblenz: Ist der Zweck des Auskunftsbegehrens von Belang, und als Folgefrage: Sind auch mit einem Vertrag in Zusammenhang stehende Informationen vom Auskunftsanspruch davon betroffen?
2.2 BVerwG: Auskunftsanspruch umfasst Prüfungsarbeiten
Das Bundesverwaltungsgericht entschied, dass der Anspruch auf Herausgabe personenbezogener Daten auch Prüfungsarbeiten mit den Anmerkungen der Prüfer umfasse. Geklagt hatte – natürlich – ein Jurist, der für die Herausgabe 69,70 Euro zahlen sollte. Muss er nicht, befand das BVerwG, der Anspruch aus Art. 15 Abs. 3 DS-GVO sei unentgeltlich zu erfüllen.
2.3 VG Hannover: Anwendbarkeit des Art. 91 DS-GVO
In einem Streit zwischen der LDI Niedersachsen und der Selbstständigen evangelischen Kirche (SELK) geht es um die Anwendbarkeit des Art. 91 DS-GVO. Danach können religiöse Gemeinschaften unter den dort genannten Voraussetzungen ihr eigenes Datenschutzrecht gestalten. Dass von dieser Regelung mittlerweile mehr als 20 religiöse Gemeinschaften Gebrauch gemacht haben, lässt sich auf dieser wundervollen Seite bei artikel91.eu nachlesen. Aber wer prüft, ob diese tatsächlich auch die Voraussetzungen des Art. 91 DS-GVO erfüllen – und ist dieser überhaupt europarechtskonform? Dieser Tage war zumindest ein Verhandlungstermin vor dem VG Hannover und dieses entschied, dass Art. 91 DS-GVO nur (oder immerhin) einen Bestandschutz gewähre. Das Urteil ist noch nicht rechtskräftig. Details dazu hier.
2.4 UK: Klage gegen Meta (Facebook)
Auch im Vereinigten Königreich bekommt es Meta wieder mit Gerichten zu tun. Hier wurde Berichten zufolge eine Klage eingereicht, die fordert, dass Metas Facebook-Social-Media-Plattform die Erfassung personenbezogener Daten für Werbe- und Marketingzwecke einstellt. Aber bevor hier je nach Erwartungshaltung die Sektkorken knallen oder „vom Marketing weg“-Umschulungsmaßnahmen gebucht werden: Noch ist nichts entschieden und selbst wenn, es wäre fraglich, ob diese Entscheidung dann auf die Interpretation der DS-GVO anwendbar wäre.
2.5 LG Gießen: Anforderungen an Schadenersatz bei „Scraping“
Das LG Gießen stellte fest, ein bloßer Verstoß gegen Vorschriften der DS-GVO reiche nicht aus, um (immateriellen) Schadensersatz verlangen zu können. Es bedürfe vielmehr der Darlegung eines konkreten (auch immateriellen) Schadens. Allerdings sei es nicht erforderlich, dass der eingetretene Schaden erheblich sei; mithin seien auch Bagatellschäden ersatzfähig. Ausgangspunkt war ein „Scraping“ (Abziehen großer Datenmengen) von der Plattform der Beklagten.
2.6 LG Hannover: Anforderungen an Zustimmung zu Vertragsänderung
Eigentlich keine Überraschung: Das LG Hannover entschied im Rahmen einer einstweiligen Verfügung, dass Verträge über Bankkonditionen nicht einfach dadurch geändert werden, dass ein Kunde nach der Mitteilung das Konto einfach weiter nutzt. Aus Datenschutzsucht nur ein Hinweis, dass dies natürlich bei Verträgen mit Verbrauchern, in denen die Datennutzung geregelt wird, nicht anders sein dürfte.
2.7 OLG Saarbrücken: Anforderungen an Netzwerk bei Löschaufforderung
Was passiert, wenn Sie die Deaktivierung Ihres Kontos bei einem sog. sozialen Netzwerk für unzulässig halten? Hier versuchte eine Nutzerin über einen Erlass einer einstweiligen Verfügung anordnen zu lassen, dass es das Netzwerk bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens zu unterlassen habe ein deaktiviertes Nutzerkonto und die dazu gespeicherten Daten endgültig und unwiderruflich zu löschen. Letztendlich ging es dann um die Übernahme der Kosten dieser einstweiligen Verfügung. Die Kosten musste in diesem Fall des OLG Saarbrücken die Nutzerin übernehmen, weil dem Netzwerk eine angemessene Prüffrist zustehe sich mit der Aufforderung auseinander zu setzen und es für die Nutzerin keine Veranlassung zur einstweiligen Verfügung gegeben habe.
2.8 EuGH: Keine unmittelbare Betroffenheit durch EDSA-Entscheidung
Legt der EDSA in einem Verfahren nach Art. 65 DS-GVO fest, wie eine Aufsichtsbehörde einen Sachverhalt zu bewerten habe, liegt darin noch keine Beschwerdegrund für das Unternehmen, das davon mittelbar betroffen ist, es könne auch die Umsetzung durch die nationale Aufsicht vor den zuständigen Gerichten überprüft werden. Pressemeldung hier und Beschluss dort.
Franks Anmerkung: Na, wenn das mal nicht ein freundliches „F*** off“ ist…
2.9 EuGH: Wann muss ein Suchmaschinenbetreiber Ergebnisse auslisten?
Zwei Geschäftsführer einer Gruppe von Investmentgesellschaften forderten Google auf aus den Ergebnissen einer anhand ihrer Namen durchgeführten Suche die Links zu bestimmten Artikeln auszulisten, die das Anlagemodell dieser Gruppe kritisch darstellten. Sie machen geltend, dass diese Artikel unrichtige Behauptungen enthielten. Zudem forderten sie Google auf, dass Fotos von ihnen, die in Gestalt von Vorschaubildern („thumbnails“) angezeigt werden, in der Übersicht der Ergebnisse einer anhand ihrer Namen durchgeführten Bildersuche gelöscht werden.
Der EuGH stellte in seinem Urteil klar, dass eine unterschiedliche Abwägung der widerstreitenden Rechte und Interessen zwischen Inforationsinteresse und dem Recht der betroffenen Person auf Schutz der Privatsphäre vorzunehmen ist. Der Ausgleich kann aber von den relevanten Umständen abhängen. Auch sei ein Betreiber nicht verpflichtet bei der Suche nach Tatsachen, die von dem Auslistungsantrag nicht gestützt werden, aktiv mitzuwirken, um festzustellen, ob dieser Antrag stichhaltig ist.
Im Rahmen der Abwägung hinsichtlich der in Gestalt von Vorschaubildern angezeigten Fotos kommt der EuGH zu dem Schluss, dass ihrem Informationswert unabhängig vom Kontext ihrer Veröffentlichung auf der Internetseite, der sie entnommen sind, Rechnung zu tragen ist. Details in der Pressemeldung oder in dem Urteil.
2.10 EuGH: Vertraulichkeit der Kommunikation bei Berufsgeheimnisträgern
Können Rechtsanwälte verpflichtet werden „aggressive Steuerplanung“ zu melden? Nein, meint der EuGH, damit werde gegen Art. 7 Grundrechtcharta verstoßen, die auch die vertrauliche Kommunikation gerade bei Berufsgeheimnisträgern schütze. Mehr in der Pressemeldung des EuGH oder gleich im Urteil.
2.11 Klagen in USA gegen Meta (wegen Facebook-Pixel)
Auch in den USA wird der Umgang mit Daten durch Meta (Facebook) zunehmend kritisch gesehen. So wird über zwei Klagen gegen Meta berichtet, einmal eine Klage wegen der Weitergabe von Steuerdaten, die auf einer Steuerplattform eingegeben wurden, die andere Klage befasst sich mit der unzulässigen Verarbeitung von Gesundheitsdaten.
2.12 USA: Klage gegen Apple wegen Stalking mittels AirTags
Apple wird nach dieser Meldung in den USA verklagt, weil es nach Ansicht der Kläger unzureichende Maßnahmen ergriffen habe, um ein Stalking der Kläger mittels des Einsatzes von AirTags zu verhindern.
3 Gesetzgebung
3.1 EU: NIS RL verabschiedet
Nachdem nun auch der Europäische Rat der NIS Richtlinie zustimmte, muss diese „nur noch“ übersetzt und im Europäischen Amtsblatt veröffentlicht werden. Dann haben die Mitgliedsstaaten 21 Monate Zeit diese umzusetzen. NIS steht dabei für „Directive on security of network and information systems”. Künftig werden von ihr mehr Bereiche (“Sektoren”) und Unternehmen betroffen sein. Details dazu sind hier zu erfahren.
3.2 EU: Digital Service Act
Wer sich kurz über die Inhalte des Digital Service Acts (zu Deutsch: Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste)) informieren möchte, findet hier eine gute Übersicht über die Vorgaben zur Plattformregulierung. Anbieter von Online-Plattformen werden bis zum 17. Februar 2023 die durchschnittliche monatliche Zahl ihrer aktiven Nutzer in der Union ermitteln und diese ab dem Datum alle sechs Monate gegenüber dem Koordinator für digitale Dienste und der Kommission mitteilen müssen. Die weiteren Pflichten des DSA werden dann gänzlich ab dem 17. Februar 2024 für alle betroffenen Vermittlungsdienste zur Anwendung kommen.
3.3 EU: Digital Fairness Fitness Check
Noch´n Gesetz? Auf EU-Ebene wird geprüft, ob bestehende Verbraucherschutzregularien ausreichend sind, um ein hohes Schutzniveau im digitalen Umfeld zu gewährleisten. Insbesondere geht es um die Richtlinie 2005/29/EG über unlautere Geschäftspraktiken, die Richtlinie 2011/83/EU über die Rechte der Verbraucher und die Richtlinie 93/13/EWG über missbräuchliche Vertragsklauseln. Nun beginnt bis 20.02.2023 die Konsultation, bei der Hinweise und Anmerkungen eingereicht werden können.
3.4 „Chat-Kontrolle“ zur Sicherheit von Kindern im Vergleich
Alle wollen für Kinder nur das Beste. Zumindest, wenn damit auch das Internet überwacht werden kann.
(Ansonsten stützt meine Wahrnehmung angesichts eines Krieges in Europa, der weltweiten Auswirkungen des Klimawandels und der aktuellen Krankenhausversorgungslage diese Aussage wenig.)
Wie sich diese Thematik im internationalen Vergleich mit UK und den USA darstellt, ist aus diesem Bericht ersichtlich, der anlässlich der Diskussion im EU-Parlament zum Entwurf der EU-Kommission veröffentlich wurde.
Franks erster Nachtrag: Hier wurden noch mal direkt der englische und der US-amerikanische Entwurf verglichen.
Franks zweiter Nachtrag: Verhalten kritisch (verhalten deswegen, da er nicht zu politisch agieren darf) äußerte sich der European Parliamentary Research Service zum European Impact Assesment zum CSA-Entwurf. Aber Lob sieht anders aus.
Franks dritter Nachtrag: Vielleicht haben Korruptionsvorwürfe manchmal auch ein Gutes: Der Chatkontrolle fällt eine wichtige Unterstützerin im EU-Parlament weg…
3.5 EU: Rat einigt sich auf AI Act
Nun hat sich auch der Europäische Rat auf eine Fassung des AI Acts geeinigt. Aber das ist nur ein Zwischenschritt, spannend wird, ob sich Rat und Parlament auf eine Fassung verständigen können. Berichten zufolge könnte das EU-Parlament im nächsten Jahr folgen. Einen Bericht dazu finden Sie hier.
3.6 EU: Digital Wallet
Der Europäische Rat hat seine Idee für die Schaffung eines Rahmens für eine europäische digitale Identität veröffentlicht. Eine Darstellung dazu findet sich hier. Es soll aber auch nicht verschwiegen werden, dass damit weiterhin auch Risiken für die Privatsphäre verbunden werden.
3.7 Zwischenbericht der Gründungskommission für ein Dateninstitut
Auf dem Digitalgipfel der Bundesregierung stellte die Gründungskommission ihre ersten Ideen für ein Dateninstitut vor. Damit soll der Nutzen eines intelligenten Einsatzes von Daten für den Einzelnen und das Gemeinwohl gefördert werden. Das Dateninstitut soll ein schlagkräftiger nationaler Akteur werden, der das Datenökosystem koordiniert, Innovationen ermöglicht, evidenzbasiert berät und damit auch eine sozial-ökologische Transformation unterstützt. Die ersten Empfehlungen dazu finden Sie im Zwischenbericht. Und wenig überraschend: Ein wesentliches Werkzeug zur Nutzung soll die Anonymisierung sein.
Franks Nachtrag: Wir meinen diesen Digitalgipfel? Auf dem so tolle Ideen propagiert wurden? Da bin ich mit meiner Meinung dazu wohl nicht alleine…
4 Künstliche Intelligenz und Ethik
4.1 Um was geht es bei CDR?
In diesem 22-minütigen Video eines Professors (auf YouTube) wird anschaulich erläutert, um was es bei der Corporate Digital Responsibility geht. Was dies mit einer Plattformpolitik zu tun hat, welche Verantwortung Unternehmen dabei haben und wie sie diese nutzen können, um einen „warm glow“ für ihr Unternehmen zu erzeugen (ein schöner Ausdruck, nicht nur im Advent). Der Professor schildert auch, welche Benefits durch diesen „warm glow“ erreicht werden können und in welche Bereiche dabei investiert werden muss.
4.2 KI und Arbeitsrecht
Das Hugo-Sinzheimer-Institut der Heinrich-Böll Stiftung hat ein Werk zum Thema KI und Arbeitsrecht veröffentlicht. Es ist als PDF kostenlos erhältlich und behandelt auf 259 Seiten neben Grundlagen auch Aspekte auf internationaler, europäischer und deutscher Ebene, bevor arbeitsrechtliche Problemfelder behandelt werden.
4.3 Synthetische Daten
Wer im heimischen Haushalt mit der Behandlung des Waschvorgangs von Textilien betraut ist, weiß es bereits: Synthetik ist weniger waschempfindlich, kann aber unter Umständen Nachteile beim Tragen haben. So ist der Bezug zu „datenschutzfreundlichen“ Daten leicht vermittelbar wie auch dieser Beitrag darzustellen versucht. Synthetische Daten hätten im Vergleich zu anonymisierten Daten den Vorteil, dass auch bei fortschreitender Technik ein Personenbezug nicht möglich wird. In diesem Beitrag wird untersucht, wie synthetische Daten zum Nutzen sowohl von Organisationen als auch von der Gesellschaft insgesamt genutzt werden können.
4.4 Gemeinwohlausrichtung der Technologieentwicklung
Das bisherige Projekt der Bertelsmann Stiftung „Ethik der Algorithmen“ wurde im Herbst abgelöst durch „reframe [tech] – Algorithmen fürs Gemeinwohl“. Dabei sollen Lösungen für eine wirksame Kontrolle algorithmischer Risiken entwickelt werden und es soll zur Nutzung von Algorithmen für gemeinwohlorientierte Zwecke motiviert werden. Ziel ist auch nicht nur die Risiken im Fokus zu haben, sondern sich auch mit der Nutzung von Chancen zu beschäftigen. Eine meinungsstarke digitalpolitische Zivilgesellschaft habe die Diskussionen über die ethische Dimension der Technologieentwicklung und -anwendung wesentlich vorangetrieben. Unternehmen und öffentliche Verwaltung können ihre Verantwortung für die Entwicklung und den Einsatz von KI-Technologien nun nicht mehr ignorieren. Umso wichtiger wird es künftig sein unaufrichtiges Ethics Washing zu verhindern und konkrete Veränderungen anzustoßen und zu begleiten. Politik und Verwaltung müssten daher ihre Gestaltungsrolle ausfüllen, um inklusive digitale Zukunftsvisionen und konkrete Ideen, wie sich diese umsetzen lassen, zu fördern.
Das Projekt will dazu beitragen, dass die Gestaltung und der Einsatz von Algorithmen und KI stärker am Gemeinwohl ausgerichtet werden. Das Projektteam verfolge bis 2025 insbesondere zwei Schwerpunkte: „Algorithmische Risiken minimieren“ und „Chancen für das Gemeinwohl nutzen“. Kompetenzen der öffentlichen Hand und der Zivilgesellschaft in diesen Bereichen aufzubauen werde ein integraler Bestandteil beider Schwerpunkte sein.
4.5 Roundtable KI: Von der Richtlinie in die Praxis
Ethik-Leitlinie und was dann? Mit dieser Frage befasst sich das Input-Papier der Roundtable-Reihe ethische KI-Entwicklung (RTeKI) von Mitgliedern der Gesellschaft für Informatik. Es skizziert Herausforderungen und Lösungsideen für eine verantwortungsvolle KI-Gestaltung bei der Übersetzung theoretischer Ethik-Prinzipien in die konkrete Praxis.
4.6 Einfluss der KI auf Marketing
„Durch KI erstellte Texte seien von menschlichen nicht mehr zu unterscheiden.“ Ausgehend von dieser Aussage kommt in diesem Interview die Erkenntnis, dass die KI-basierte Texautomatisierung die Arbeit von Medien und im Marketing massiv verändern wird. Interessant war für mich die Klarstellung, dass „Google“ nicht zwischen manuell und gut automatisiert generierten Content unterscheiden könne und daher keine Höherbewertung menschlich erstellter Texte erfolge.
4.7 Cambridge Handbuch der verantwortungsvollen Künstlichen Intelligenz
Mit interdisziplinären Aspekten befasst sich das Cambridge Handbook of Responsible Artificial Intelligence, dessen Inhalte nach Abschnitten gegliedert öffentlich zugänglich sind.
4.8 EU – FRA: Künstliche Intelligenz und Diskriminierung
Die European Union Agency for Fundamental Rights (FRA) hat zur Aufgabe die Förderung und den Schutz der Grundrechte zu unterstützen. Systematische Intelligenz ist überall und betrifft jeden – von der Entscheidung, welche Inhalte die Menschen in ihren Social-Media-Feeds sehen, bis hin zur Entscheidung, wer staatliche Leistungen erhält. KI-Technologien basieren typischerweise auf Algorithmen, die Vorhersagen treffen, um die Entscheidungsfindung zu unterstützen oder sogar vollständig zu automatisieren. Der Bericht der European Union Agency for Fundamental Rights befasst sich mit dem Einsatz künstlicher Intelligenz bei der prädiktiven Polizeiarbeit und der Erkennung beleidigender Sprache. Es zeigt, wie Verzerrungen in Algorithmen auftreten, sich im Laufe der Zeit verstärken und das Leben der Menschen beeinflussen können, was möglicherweise zu Diskriminierung führt. Es bestätigt die Notwendigkeit einer umfassenderen und gründlicheren Bewertung von Algorithmen in Bezug auf Verzerrungen, bevor solche Algorithmen für die Entscheidungsfindung verwendet werden, die Auswirkungen auf Menschen haben kann.
4.9 Österreich: Verbraucher in der Datenökonomie
Leider hatte ich zu spät davon erfahren, aber nun sind auch die Folien dazu veröffentlicht. In Österreich fand eine Veranstaltung zum Thema „Konsument:innen in der Datenökonomie – Kommerzialisierung von Verbraucherdaten als konsumentenpolitische Herausforderung“ statt. Die „Daten-Macht“ der Unternehmen erweitere das Spektrum der Asymmetrien im Verhältnis zwischen Unternehmen und Verbraucher:innen. Unter dem Schlagwort „Digitale Verletzlichkeit“ seien daher neue Konzepte der Schutzbedürftigkeit von Konsument:innen in der Datenökonomie Gegenstand aktueller interdisziplinärer Forschung.
4.10 Niederlande: Diskriminierung durch Examensüberwachungssoftware
Die Menschenrechtskommission in den Niederlanden hat nach dieser Meldung eine vorläufige Entscheidung erlassen, dass die Vrije Universiteit Amsterdam dunkelhäutige Studierende während der Covid-19-Krise durch die Verwendung von Proctoring-Software diskriminiert hat. Eine Studentin reichte eine Beschwerde bei der Menschenrechtskommission ein, dass die Aufsichtssoftware ihr Gesicht nicht erkennen konnte, wenn sie sich für eine Prüfung anmeldete. Die Proctoring-Software gab Fehlermeldungen wie „Gesicht nicht gefunden“ oder „Zimmer zu dunkel“ zurück. Außerdem war sie manchmal während der Prüfung ausgeloggt. Die Menschenrechtskommission entschied, dass es eine „Vermutung der algorithmischen Diskriminierung“ gebe. Die Universität hat 10 Wochen Zeit, um auf die vorläufige Entscheidung zu reagieren, danach wird die Entscheidung rechtskräftig.
5 Veröffentlichungen
5.1 Reaktionen zu DSK und MS 365
Der Beschluss der DSK zur Einsatzmöglichkeit von MS 365 schlug erwartungskonform Wellen. Natürlich gab es die üblichen pauschalen Bewertungen, die Ursache und Wirkung verwechseln, aber auch sachliche Auseinandersetzungen wie hier.
5.2 bitkom: Leitfaden Metaverse
Der bitkom hat einen Wegweiser in das Metaverse veröffentlicht. Zu Beginn werden einführend sechs Thesen zum Metaverse vorangestellt, bevor der aktuelle Stand der Technologie aufgezeigt wird. Es folgt die Frage, welche Akteure und Geschäftsmodelle das Metaverse ausmachen und welche Use Cases es bietet. Ein weiteres Kapitel erörtert Rechts- und Steuerfragen. Darüber hinaus wird die Bedeutung des Metaverse für die Gesellschaft diskutiert, etwa die Chancen für digitale Teilhabe und die Herausforderungen rund um Barrierefreiheit. Zum Abschluss liefern die Autorinnen und Autoren ihre jeweils persönliche Prognose für das Metaverse in fünf und in zehn Jahren.
Franks Nachtrag: Nun ja, für Meta selbst läuft es ja nicht so gut mit dem Metaverse. Aber wenigstens für die EU, oder? Ach nee, warte…
5.3 Podcastbeitrag zu Datenschutzstrategie
Wenn sich drei Praktiker aus dem Datenschutz über Anforderungen, Gestaltung und Abgrenzungen zu dem Begriff „Datenschutzstrategie“ unterhalten, sollte frau/man zuhören. Quasi nebenbei erfährt frau/man, dass Datenschutzaspekte bei einer Risikobewertung bei Firmenübernahmen und bei Prüfungen durch Wirtschaftsprüfer immer mehr Bedeutung gewinnen, dass einer Strategie auch eine Operationalisierung mit zeitlichen Zielen folgen sollte und welche Erwartungen an Unternehmen gestellt werden, die dabei „Best-in-Class“ sein wollen. Der Podcast dauert ca 1:08 Std.
5.4 HPI: Leak-Checker?
Das Hasso-Plattner-Institut bietet einen Online-Service an, über den gecheckt werden kann, ob die eigenen Daten Opfer einer Ausspähung wurden. Erforderlich ist dazu die Angabe der E-Mailadresse, an die dann auch das Ergebnis geschickt wird. Laut der Webseite wurde zwischenzeitlich bei über 12 Mio. Nutzerkonten über 1.700 Leaks gefunden. Mit dem Ergebnis bekommt man auch eine Empfehlung für das weitere Vorgehen (Passwörter ändern (ach?)). Weitere Details, welcher Account und welche weiteren Daten noch betroffen sind, werden nicht angegeben.
5.5 Auskunftsgenerator bei Webseiten
Ausgehend von der Wahrnehmung, dass viele Webseitenbetreiber datenschutzrechtliche Anforderungen nicht ernst nehmen, wird hier ein Generator für Auskunftsbegehren gegenüber Webseitenbetreibern angeboten*. Über ein Vorauswahlfeld sind einige gängige Webseiten, z.B. von Medienhäusern, vorbelegt, es können aber auch andere Webseiten angegeben werden. In dem vorformulierten Text werden dann die technischen Angaben und Zugangsinformationen wie IP-Adresse übernommen.
* Franks Anmerkung: Ob der Anbieter des Generators diesen als Akquise-Instrument versteht?
5.6 Zahlen mit Daten
Nach der Veranstaltung im September zu dem Thema veröffentlicht der Präsident der Stiftung Datenschutz seine Anmerkungen zu dieser Thematik.
5.7 NFT – oder WTF?
Allein der Titel dieser Veranstaltung weckte Interesse – habe es leider zu spät mitbekommen. Ausschnitte der Themen sind aber veröffentlicht wie dieser Beitrag auf YouTube (ca. 17 Min).
5.8 DSFA der ECDC zu MS 365
ECDC steht für European Centre for Desease Prevention and Control und ist eine europäische Einrichtung. Diese unterliegt der Verordnung 2018/1725, nach der gemäß dem dortigen Art. 39 eine Datenschutz-Folgenabschätzung bei Vorliegen der Voraussetzungen durchzuführen ist. Diese wurde zum Einsatz von MS 365 durchgeführt und dazu findet sich dieses Dokument. Leider erschließt sich mir nicht, wann die DSFA durchgeführt wurde*. Und auch die zusammenfassende Bewertung „Die Nützlichkeit des MS 365-Kerns überwiegt die damit verbundenen Risiken angesichts der derzeitigen und vorgeschlagenen Sicherheitsvorkehrungen“ klingt etwas sehr nach „der Zweck heiligt die Mittel“, was ja nach allgemeinem Complianceverständnis nicht mehr opportun sein dürfte. Vielleicht liegt es aber auch daran, dass derzeit die Stelle eines Datenschutzbeauftragten ausgeschrieben ist. Dienstsitz ist Stockholm. Das nur mal so.
* Franks Anmerkung: Das Dokument ist nach den PDF-Eigenschaften am 17.03.2021 erstellt worden.
5.9 Cookies und User Experience
In diesem frei zugänglichen Fachgespräch zu Datenschutzaspekten und User Experience lassen sich fundiert die jeweiligen Standpunkte und Erwartungen entnehmen. Dass es so sachlich und „fachmännisch“ nachzulesen ist hat u.U auch etwas damit zu tun, dass nur Frauen beteiligt waren.
5.10 Cookie-Regelungen im internationalen Vergleich
OK, es betrifft nicht nur Cookie-Regelungen, sondern generell technische Möglichkeiten, die auf Daten in dem Gerät zugreifen oder sich in dem Gerät einspeichern – aber bringen Sie das mal in einer Überschrift unter! Gerade für Webseitenbetreiber, die Adressaten in unterschiedlichen Ländern ansprechen möchten, ist auch die jeweilige Umsetzung der ePrivacy-Richtlinie z.B. innerhalb Europas interessant. Wie immer voller Dank für die Zusammenstellung und Veröffentlichung durch eine Kanzlei und ohne Gewähr verlinke ich es hier.
5.11 Stiftung Datenschutz: Anonymisierung von Daten
Die Stiftung Datenschutz stellte einen Leitfaden zur Anonymisierung und Ausführungen zu den Grundsatzregeln der Durchführung einer Anonymisierung vor. Darin werden rechtliche Grundlagen erörtert, wie z.B. ob und welche Rechtsgrundlage aus der DS-GVO für den Vorgang herangezogen werden und wie sich eine Anonymisierung durch einen Auftragsverarbeiter auf die vertragliche Gestaltung auswirken könnte. Die maßgeblichen Autoren wurden über eine Ausschreibung gewonnen und sind Experten aus Wissenschaft und Praxis. Aufsichtsbehörden waren nicht unmittelbar beteiligt, aber z.B. der BfDI und das ULD waren informell eingebunden. Es ist angedacht dieses Ergebnis auch auf europäischer Ebene vorzustellen. Auch der EDSA hat ja noch eine Guideline zur Anonymisierung auf seiner Agenda.
Als einen nächsten Schritt kündigt die Stiftung Datenschutz an im Jahr 2023 Verfahren zur Anonymisierung als Grundlagenvorgehensweise zu erarbeiten und zu veröffentlichen. Dies soll als Basis für einen Code of Conduct der Anonymisierung dienen.
5.12 eu-LISA: Was macht ein DSB?
Meisten bei Changes unterstützen, zumindest wenn man den Jahresbericht 2021 des DSB der eu-LISA, (European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice), zugrunde legt, der einen Anstieg der angefragten Unterstützungsleistungen um über 100 % offenlegt (Seite 14), die seine Ressourcen belasten.
5.13 Umfrage zum DSB veröffentlicht
Bei der Datenschutzveranstaltung in Liechtenstein wurde eine Umfrage zur Sicherstellung der rechtlichen Datenschutzvorgaben vorgestellt. Die Präsentation dazu findet sich hier.
5.14 Wie datenschutzkonform ist Ihr Web-Browser?
Wie datenschutzkonform ist Ihr Webbrowser? Hier finden Sie die Ergebnisse einer Open-Source-Initiative, die beliebte Webbrowser einer Reihe automatisierter Tests unterzieht. Diese Tests wurden entwickelt, um die Datenschutzeigenschaften von Webbrowsern unvoreingenommen zu überprüfen. Wie immer ohne Gewähr.
5.15 Fraunhofer: GrundschutzPLUS Aktivator
Das Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS und das Zentrum für Mechatronik und Automatisierungstechnik ZeMA haben einen GrundschutzPLUS Aktivator entwickelt, der das IT-Sicherheitsniveau produktionsnaher KMU zu erhöhen soll, indem eine webbasierte Plattform geschaffen wird. Damit sollen KMU praxisorientiert bei der Umsetzung von IT-Sicherheitsmaßnahmen unterstützt werden. Im Rahmen der Nutzung wird eine Checkliste erstellt, die es KMU ermöglichen soll Schritt für Schritt IT-Sicherheitsmaßnahmen umzusetzen und zu dokumentieren, wobei die Maßnahmen wertvolle Informationen enthalten, wie sie am besten umgesetzt werden können und damit das KMU befähigen auch in Zukunft informationssicherheitsrelevante Entscheidungen selbst zu treffen.
5.16 Veranstaltungen
5.10.1 Stiftung Datenschutz: Trans-Atlantik Data Privacy Framework
13.12.2022, 13:00 – 14:00 Uhr: Im Rahmen des Formats „Datenschutz am Mittag“ wird die Executive Order“ des US-Präsidenten behandelt. Welche Erwartungen daran sind berechtigt, wie wirkt sie bereits jetzt und welche Bedeutung hat sie für einen Angemessenheitsbeschluss? Anmeldung erforderlich.
5.10.2 Anhörung im Bundestag zu Metaverse
14.12.2022, 14:00 – 16:00 Uhr: Die Anhörung mit diesen Sachverständigen zu diesen Fragen wird wieder im Stream des Bundestages übertragen.
5.10.3 Fragen an das BayLDA mit Ausblick auf 2023
20.12.2022, 11:00 – 12:00 Uhr: Hier interviewt eine Datenschutzkanzlei den Präsidenten des BayLDA zu Rückblick auf 2022 und Ausblick auf 2023 und den jeweils aktuellen Themen. Anmeldung erforderlich.
5.10.4 Microsoft: Update zu den Microsoft Cloud Services
17.01.2023, 09:00 – 12:30 Uhr (vor Ort): Microsoft, das nach eigener Aussage bei MS 365 die Datenschutzanforderungen übertrifft, informiert Kunden und Kritiker auf einer Veranstaltung in Frankfurt zu den Themen rund um seine Microsoft Cloud, Drittstaatentransfer, etc. Anmeldung erforderlich.
“ target=“_blank“ rel=“noopener“>Anmeldung erforderlich.
5.10.5 BSI: 19. Deutscher IT-Sicherheitskongress
5.9.1 10.-11.05.2023 (online): Nur um schon mal wieder was im Kalender stehen zu haben – quasi als Save-the-date zu dem Motto „Digital sicher in eine nachhaltige Zukunft“.
Franks Anmerkung: Speziell zu diesem Datum sollten Sie natürlich auch diesen Veranstaltungshinweis beachten.
6 Gesellschaftspolitische Diskussionen
6.1 Risiken der digitalen Währung
Die EU-Kommission und die Bundesregierung wollen Bargeldzahlungen einschränken, um Schwarzarbeit und organisierte Kriminalität zu erschweren. Hier finden Sie Überlegungen, inwieweit das Zurückdrängen des Bargeldes zulasten von Privatsphäre, Sicherheit und Freiheit gehen kann.
Franks Anmerkung: Passend dazu waren unsere Meldungen zum Thema auch eher nicht so positiv.
6.2 Digitale Identitäten
Die zentrale Digitalisierungseinheit des Bundes bietet auf einer eigenen Plattform nun ein weiteres Ziel an, bei dem sie mitwirken möchte: Digitalen Identitäten und der Online-Ausweisfunktion zum Durchbruch verhelfen. Ausgehend von der Erkenntnis, dass die aktuellen Prozesse die meisten Nutzer überfordern, wurden bereits erste Maßnahmen in die Wege geleitet.
6.3 Bundesärztekammer für digitales Register bei Fehlbildungen
Dass Ärzte zentrale Register für bestimmte Krankheitsbilder fordern, ist nichts Neues. Dass dabei auch nach dieser Meldung von Beginn an auch an datenschutzrechtliche Anforderungen wie ein „Broad Consent“ der Patienten und angemessene Pseudonymisierungsmaßnahmen gedacht werden soll, erfreut dennoch.
6.4 Datenleck bei WhatsApp
Ein Datenleck bei WhatsApp? Jetzt könnte man zynisch fragen, ob nicht das gesamte Geschäftsmodell von Meta eine Datenschutzpanne darstellt, aber das hilft betroffenen Personen auch nicht weiter. Daher hier Infos vom Digitalführerschein, ein Projekt von DSiN – und die müssen es ja wissen, ist doch Meta bei DSiN sehr engagiert.
6.5 Zusammenschluss von Verimi und Yes
Der ID-Wallet Anbieter Verimi und der Identifizierungsdienst Yes schließen sich zusammen. Zukünftig werden die Leistungen von Yes und Verimi in einer Plattform gebündelt, um das Wachstum weiter zu beschleunigen und alle Services aus einer Hand zu bieten. Ob sich das auf die kritischen Aspekte des Geschäftsmodells von Verimi und das Image auswirkt, bleibt abzuwarten.
6.6 „Hack the world a better place”
Es kann darüber gestritten werden, ob angesichts der massiven Cyberattacken die Tätigkeit des Hackens nicht zu Unrecht positiv besetzt sein könnte, die Aktivität, Kindern und Jugendlichen den Zugang zur Informationstechnologie zu ermöglichen, ist es sicher nicht. Immer mehr Firmen unterstützen auf Basis eines Engagements oder gar eines Corporate Volunteering Programms diese Aktivitäten. Dass nebenbei auch die Hoffnung auf künftige Arbeitskräfte in der IT ein Gedanke sein könnte, wird dabei gar nicht abgestritten, ist ja auch legitim. In diesem Podcast (28 Min) mit der Geschäftsführerin der „Hacker School“ gibt es mehr dazu.
6.7 Beirat Digitalstrategie Deutschland
Der Beirat hat ehrenwerte Mitglieder, der nun die Frage diskutieren soll, wie gut es bei der Digitalisierung im Rahmen der Digitalstrategie Deutschland vorangeht. In zehn Sitzungen pro Jahr stehen jeweils Leuchtturmprojekte im Fokus. Aufgabe des Beirats ist das qualitative Monitoring der Digitalstrategie. Zumindest auf der Webseite liest man viel von „Wir wollen“. Vielleicht lesen wir auch mal „Wir haben gemacht“.
6.8 Schüler-Tablets und Datenschutz
Können Schulen Tablets für Schüler einsetzen, was müssen sie beachten und wer ist schuld, wenn dann noch Datenschutzbedenken bestehen? Fast schon die bekannte Leier, wenn Verantwortliche datenschutzrechtliche Anforderungen (auch oder gerade bei behördlichen Verarbeitungen) nicht von Anfang an beachten.
6.9 Datenteilung: Nutzung von Daten
Welche Aspekte sind zu bedenken, wenn Daten öffentlicher Einrichtungen geteilt und genutzt werden sollen? Welche Grenzen sollten dabei beachtet werden und wessen Interessen sind tangiert? Aussagen zu diesen Fragen lesen Sie in diesem Beitrag.
6.10 BKA: Cybercrime und Handlungsempfehlungen für die Wirtschaft
Was empfiehlt das BKA Unternehmen, die Opfer eines Cybercrimes geworden sind? Neben umfangreichen Infos und weiteren Ansprechpartnern findet sich auch ein Flyer mit der Zusammenfassung der Empfehlungen.
6.12 Zahlen für Daten
Diesmal etwas anders: Statt zahlen mit Daten bietet Amazon nun zahlen für Daten an. Benutzer bekommen laut diesem Bericht 2 US-$ im Monat für die Zustimmung des Trackens ihrer Smartphonedaten versprochen.
6.12 Privacy War
Na, ganz so schlimm, wie der Titel es vermuten lässt, wird es dann doch nicht. Aber der Autor befasst sich in diesem Beitrag damit, dass eine Rechtskonformität angesichts steigender Haftungsrisiken der Manager, gestärktem Bewusstsein auf Verbraucherseite und aktiveren Aufsichten zu mehr Umsetzung der rechtlichen Anforderungen in Unternehmen führen wird. Die Risken lägen bei der Verarbeitung ohne Rechtsgrundlage oder auch danach, wenn die Daten nicht ausreichend geschützt würden.
7 Sonstiges/Blick über den Tellerrand
7.1 Corona-Warnung wider Willen
Während bei uns die Gestaltung der Corona-Warn-App durch den BfDI und eine entsprechende Datenschutz-Folgenabschätzung begleitet wurde, gibt es in den USA nach dieser Meldung dazu nun Rechtsstreitigkeiten: Das Massachusetts Department of Public Health wird verklagt, weil zusammen mit Google ohne Wissen der Smartphone-Besitzer eine entsprechende Covid-19-Software installiert worden sei.
7.2 Nichts bleibt geheim
Ich kenne Kolleg:innen, die Träumen von sowas: Eine Verschlüsselung, die erst nach 500 Jahren geknackt werden kann. Zur Ehrenrettung muss allerdings auch gesagt werden, dass sich erst in den letzten Monaten damit intensiver befasst wurde. Kaiser Karl V versuchte im Jahr 1547 die Informationen in einer Nachricht an seinen Botschafter in Paris geheim zu halten – was nach diesem Bericht scheinbar gelang.
Franks Nachtrag: Und was ist auch eine Erkenntnis aus dem Artikel? Keine Passworte oder Schlüsselinformationen aufschreiben. Denn das hat wohl auch beim Entschlüsseln geholfen.
7.3 Öffentlicher Rundfunk und Metaverse
Welche Auswirkungen haben Plattformen wie Metaverse auf den öffentlichen Rundfunk? Damit befasst sich das Whitepaper des SWR. Passend dazu auch diese Meldung* über eine Veranstaltung der EU-Kommission auf Metaverse – und die Resonanz darauf.
* Franks Anmerkung: Ups, die Veranstaltung hatte ich schon weiter oben genutzt. Diese Deoppelung geht also auf uns und nicht auf den Glühwein…
7.4 CIA: “Handbuch zur Sabotage”
Nach gewissen Sperrfristen werden in den USA vorher als geheim eingestufte Informationen veröffentlicht. So findet sich auf den Seiten der Homeland Security nun auch das Handbuch zur Sabotage vom Januar 1944. Unter (11) General Interference with Organisations and Production finden sich darin Hinweise, die gleichzeitig auch als Erklärung des Zustandes der Digitalisierung Deutschlands – oder mancher Unternehmensorganisation – dienen könnten, wie:
- Insist on doing everything through „channels.“ Never permit short-cuts to be taken in order to expedite decisions.
- Make „speeches.“ Talk as frequently as possible and at great length. Illustrate your „points“ by long anecdotes and accounts of personal experiences.
- When possible, refer all matters to committees, for „further study and consideration.“ Attempt to make the committee as large as possible – never less than five.
- Bring up irrelevant issues as frequently as possible.
- Haggle over precise wordings of communications, minutes, resolutions.
- Refer back to matters decided upon at the last meeting and attempt to re-open the question of the advisability of that decision.
- Advocate „caution.“ Be „reasonable“ and urge your fellow-conferees to be „reasonable“ and avoid haste which might result in embarrassments or difficulties later on.
7.5 Datenschutz-Adventskalender
Allen, die in der Adventszeit gerne tagtäglich etwas rund um das Thema Datenschutz lesen möchten, sei der virtuelle Adventskalender des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz empfohlen. Im Adventskalender ist wieder hinter jedem digitalen Türchen ein weihnachtliches Datenschutz- oder Transparenzthema versteckt. Ob Videoüberwachung auf Weihnachtsmärkten, Gaming-Apps für Kinder, Backrezepte für Webseiten, Informationsfreiheit beim Weihnachtsmann oder vieles mehr, es dürfte für alle mindestens ein interessantes Thema dabei sein. Auch in der Form präsentieren sich die Beiträge nach eigener Ankündigung wieder facettenreich, von Weihnachtsgedichten über Kreuzworträtsel, Videos und Podcast-Folgen bis hin zu eigenproduzierten LfDI-Comics.
7.6 Zukunft von Twitter?
Sollte Twitter rechtliche Vorgaben nicht einhalten, drohe in Europa die Sperrung, so lautet die Ankündigung des zuständigen EU-Kommissars. Zudem scheinen auch nicht die rechtliche Bedenken des BfDI zu einem rechtskonformen Einsatz das Bundeskanzleramt zu Überlegungen zu bewegen, Aktivitäten auf einem US-amerikanisch dominierten Netzwerk zu beenden, sondern die Aussagen und Handlungen des neuen Eigentümers.
7.7 Datenschutz in der virtuellen Welt
Welche Datenschutzaspekte sind bei der Nutzung virtueller Angebote insbesondere bei Metaverse und bei der Nutzung von Kindern zu beachten und welche Erkenntnisse gibt es bislang dazu. Wer sich dafür interessiert, sollte sich mit dem Bericht dieses NGO aus den USA befassen.
7.8 DNA-Daten in China
Welche Folgen die Erhebung von DNA-Daten haben kann, wird hier am Beispiel von China ausgeführt. Auch wenn sich die aktuelle Rechtslage bei uns erheblich von der in China unterscheidet, wird dargelegt, wie durch eine stärkere Einbindung und Transparenz der Gesellschaft dies auch beibehalten werden kann.
7.9 Apple verbessert Sicherheitsmaßnahmen
Nach eigener Ankündigung verbessert Apple die Sicherheitsmaßnahmen für ihre Nutzer*. Diese beinhalten eine Verifikation bei der Nutzung des Messengerdienstes, einen physischen Sicherheitsschlüssel und die Verschlüsselung der Ablage von Dateien in der Apple-eigenen Cloud.
* Franks Anmerkungen: Na ja, der Ruf ist schon ein wenig beschädigt…
8. Franks Zugabe
8.1 Apropos ENISA – Apropos Cybersecurity
Die ENISA schaut ins Jahr 2030 und was uns da so an Cybersecurity Threads erwartet. Hilfreich, dass die ENISA auch das European Cybersecurity Skills Framework (ECSF) entwickelt hat. Ingesamt „recht leichte“ Kost. Ahem.
Aber es gibt dazu immerhin ein Handbuch.
8.2 Nervenschoner?
Viele Empfinden Consent-Manager als nervig. Für diese hat die VZ Bayern den „Nervenschoner“ entwickelt. Ein Plugin für Firefox und Chrome. Das Pulgin können Sie u.a. auch hier bekommen. Es basiert auf uBlock.
Übrigens, es gibt ein Plugin mit ähnlicher Funktionalität für Apples Safari Browser (sowohl für MacOS als auch für iOS und iPadOS).
8.3 Noch’n Adventskalender…
Ich habe auch einen: Wie heißt es im Newsletter*? Wir starten mit Tipps für alle, die es eilig haben … der Digitalcourage-Adventskalender.
Ebenso wie bei einem echten Adventskalender können Sie auch bei den digitalen pendants nachträglich noch Türchen öffnen. Nur finden Sie wahrscheinlich nicht so viel Süßkram…
* Franks Anmerkung (Ja, ich weiß, bei meinen eigenen Einträgen?): Da sind einige spannende Sachen drin, ich sage nur FediHelp…
8.4 Noch’n Abo…
Noch mehr Abomodelle? Ja, dieses mal von Bose. Für Kopfhörer – oh weia…
8.5 KiKa-Player-App
Kollege Kuketz hat sich die KiKa-Player-App für Android angeschaut und die Ergebnisse veröffentlicht – und sich mit der Reaktion, einer Stellungnahme des zuständigen Datenschutzbeauftragten, auseinandergesetzt.
In Kurzform: Die App ist nicht ganz datenschutzrechtlich sauber, die Einsicht ist nicht ganz gegeben. Es gibt Luft nach oben.
8.6 „Die erfassen Milliarden Gesichter biometrisch – ohne jede Zustimmung.“ – ein Selbstversuch
Das ist eine lesenswerte und spannende Lektüre.
8.7 KI, zum ersten – minimum Turing test
Frei zitiert nach dieser Quelle: Falls Sie mal mit einer KI vor Gericht stehen und der Richter lässt Sie beide ein Wort sagen und entscheidet danach, wer der Mensch ist: Kacke ist das gewinnende Wort. Nicht Liebe, nicht Mitgefühl, nicht Kunst, nicht Musik. Kacke.
Hier gibt es (wenn Cloudflare (Argh!) mitspielt) das MIT Paper zum „minimum Turing test“. Falls Cloudflare nicht will, ist hier ein alternativer Link (nicht die PDF, aber einiger Inhalt daraus?) und hier scheinbar auch an anderer Stelle die Studie als PDF (was so eine Websuche alles zu Tage fördern kann). So viel Aufwand für Kacke…
8.8 KI, zum zweiten – KI soll Reporter ersetzen
Noch sind die Ergebnisse wohl nicht ganz überzeugend.
8.9 KI, zum dritten – ChatGPT
Kennen Sie ChatGPT? Herr Veil hat ChatGPT zur Meinung zu Datenschutzaufsichtsbehörden befragt. Andere lassen ChatGPT Prüfungen für Zertifizierungen für sich absolvieren.
(Ist der Chatbot jetzt so gut oder ist die Prüfung / das Zertifikat so wenig wert?)
8.10 Datenreichtum und seine Folgen
Google hat Plattform Signing Keys von Android „verloren„. Auch Samsung verdatenreichtumt ihren Android app signing key. Und hier wird erklärt, warum das schlecht ist.
8.11 Wenn die psychischen Probleme der Angestellten im Netz landen…
Zum Abschluss – damit die gute Nachricht zum Schluss einen Gegenpart hat: Wenn die psychischen Probleme der Angestellten im Netz landen… (leider hinter einer „Daten oder Geld“-Paywall. Aber hier gibt es (knapp) weiterführende Informationen zum Vorfall.
Wobei mich ja wirklich interessieren würde, warum Continental diese Informationen überhaupt hatte?
9. Die gute Nachricht zum Schluss
9.1 Videoclips auf Mundo
Die Videoclips der von „Datenschutz leicht erklärt“ sind nun auf dem Portal der offenen Bildungsmediathek der Bundesländer Mundo eingestellt worden. Das Portal Mundo wurde durch das FWU Institut für Film und Bild im Rahmen des DigitalPakts Schule im Auftrag der 16 Länder entwickelt. MUNDO ist ein Baustein der ländergemeinsamen Bildungsmedien¬infrastruktur (SODIX). Über entsprechende Metadaten der Schnittstelle können auch die Länder diese Angebote zur Aufnahme in ihre jeweiligen Medienportale und/oder LMS Systeme übernehmen, um diese bei Lehrern und Schülern noch präsenter zu machen. In Bayern sind diese Materialien nun auch bereits in mebis verfügbar und über Log-in verfügbar (Elternobjekt BY-00278507). Jetzt gibt es keine Ausreden mehr nichts über Anforderungen wie Zweckbindung oder Schutzmaßnahmen zu wissen!