Hier ist der 4. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 22-26/2024) – Die DVD-Edition“.
Nun haben wir also mal eine längere Lücke in der neu geschaffenen Blog-Reihe gehabt. Aber dafür gibt es jetzt auch viel zu lesen.
Das war also der Juni 2024. Viel Spaß beim lesen. Ach ja, manche Veranstaltungen sind bald…
- Aufsichtsbehörden
- EDSA: Arbeitsbericht der Taskforce zu ChatGPT
- EDPS: Identität des Datenschutzes in Zeiten von KI
- EDSA: Stellungnahme zur Gesichtserkennung zur Rationalisierung im Fluggastfluss
- EDSA: Regulierung von Zahlungsdiensten und Zugang zu Finanzdaten
- EU-Kommission: Informationsanforderung an Microsoft zur KI bei Bing
- Griechenland: Geldbußen wegen unerlaubter Wahlwerbung
- ICO: Stellungnahme zu Microsoft „Recall“
- Italien: Web-Scraping für generative KI, Informationen und Gegenmaßnahmen
- BAFin: 8. Novelle der MaRisk
- BKA: Bundeslagebild Cybercrime
- BSI: TR-03161: Anforderungen an Anwendungen im Gesundheitswesen
- Kanada: Datenschutz und Zugang bei Verträgen des öffentlichen Sektors mit Drittanbietern
- Datenschutz-Archiv
- BKA Internationaler Schlag gegen Cyberkriminelle
- EDPS: Leitlinien zur generativer KI und dem Schutz personenbezogener Daten
- LfDI Baden-Württemberg: TikTok bei öffentlichen Stellen
- LDA Brandenburg: Symposiums „Portale, Register, Plattformen – digital und transparent?“
- LDI NRW: Websites – Muster für Datenschutzhinweise
- Hessen: Neue genehmigte Verhaltensregeln für Prüf- und Speicherfristen für Auskunfteien
- DSB Österreich: Verhältnis DS-GVO und AI Act
- Belgien: Überlastung des DSB kein Entschuldigungsgrund
- Spanien: Untersagung an Meta zu Wahlfunktionalitäten
- Irland: Tätigkeitsbericht für 2023
- CNIL: Erklärung der Betroffenenrechte mit Manga
- ESMA: KI-Einsatz bei Kleinanlegern
- BfDI: Beschwerdeverfahren zum DPF
- LfD Bayern: Orientierungshilfe gemeinsame Verantwortlichkeit
- Sachsen: Kontrolle von 30.000 Webseiten
- LfDI Rheinland-Pfalz: Informationskampagne zu Newsletter und E-Mail-Werbung
- LfD Niedersachsen: Prüfung des Einsatzes einer Gesichtserkennung
- LfD Niedersachsen: Schließung einer Exchange-Sicherheitslücke
- BKartA: Scoring beim Online-Shopping
- Schweiz: Interview zu aktuellen Themen
- ICO: Entscheidung zu Snap „My AI“
- Kanada: Tätigkeitsbericht 2023-2024
- EDPS: 20 Jahre Rück- und Ausblicke
- EDSA: Wahl eines neuen Stellvertreters
- EDSA: Guideline 01/2023 zu Art. 37 der Richtlinie zur Rechtsdurchsetzung
- EDSA: Verhaltenskodex für Dienstleistungserbringer in der klinischen Forschung
- LfDI Baden-Württemberg: Handreichung Transparenzportale
- EDSA: Projekt zur Prüfung von AI
- EDSA: Standardisierte Prüfung von Messenger-Diensten
- EDSA: Schulung zum Datenschutzbeauftragten (Kroatien)
- EDSA: KI-Risiken bei optischer Zeichenerkennung von Namensbestandteilen
- EDSA: Report on the use of Experts
- EDPS und AEPD: Bericht zu Neurodaten
- BfDI: Auszeichnung als innovativste Aufsichtsbehörde
- BfDI: Ende der Amtszeit
- LfDI Baden-Württemberg: Leseecke zu Künstlicher Intelligenz
- Schweden: Bußgeld wegen Facebook-Pixel
- CNIL: Hinweis zur Nutzung von Open Data
- CNIL: Informationen zu Gesundheitsdaten
- Italien und Irland: Beschwerden gegen LinkedIn wegen KI-Training
- CNIL wird Regulierungsaufsicht für den Data Governance Act
- Schweden: Pilotprojekt für Reallabor
- ICO: Information zu Informationsfreiheitsanfragen
- EU-Kommission: 15,9 Mio. Euro Strafe wegen Löschung von WhatsApp-Nachrichten
- EU-Kommission: Ermittlungen gegen Microsoft wegen Teams
- Wettbewerbsbehörde Frankreich: KI und Wettbewerbsrecht
- Rechtsprechung
- Case Law des EuGH, EGMR und Tätigkeitsberichte
- EuGH: Gestaltung eines Zahlungsbuttons im Onlinegeschäft
- EuGH: Zuständigkeit bei Herkunftslandprinzip im E-Commerce
- BVwG Österreich: Kläger sei doch „datenauskunftsbefriedigt“
- BVwG Österreich: Webseitenbetreiber kann Cookies einsetzen, wenn …
- BGH: Bandenmerkmal kann auch bei Verwendung von Pseudonymen vorliegen
- Sammelklage gegen Amazon Prime wegen Änderung zur Werbeerlaubnis
- EuGH-Vorschau: Klärung der Anforderungen an „Anonymität“
- EuGH-Vorschau: Unternehmensbegriff in der DS-GVO
- EuGH-Vorschau: Schadenersatz bei unberechtigter Kenntnisnahme von Steuerunterlagen
- EuGH-Vorschau: Immaterieller Schadenersatz nach Datenabzug
- EuGH-Vorschau: Meta gegen EDSA
- OLG Karlsruhe: Internationale Zuständigkeit bei Klagen gegen soziale Netzwerke
- EuGH: Fehlversand von Einkommensteuerunterlagen durch Steuerberater
- EuGH: Immaterieller Schadenersatz nach Datenabzug
- BFH: Auskunftsanspruch gegenüber Finanzamt
- OGH Österreich: Haftung für Shitstorm
- Amsterdam: Untersagung der Nutzung von Tracking-Cookies
- BAG: Kein immaterieller Schadenersatz nach EuGH-Urteil „Krankenversicherung Nordrhein“
- EuGH-Vorschau: Fragen der Verantwortlichkeit eines Hosters für Inhalt (C-492/23)
- EuGH-Vorschau: Auskunftspflicht eines gesetzlich bestellten Betreuers (C-461/22)
- EuGH-Vorschau: Klagebefugnis einer Verbraucherzentrale bei Verletzung der Informationspflicht (C-757/22)
- EuGH-Vorschau: Umfang der berufsrechtlichen Verschwiegenheit (C-432/23)
- EuG-Vorschau: Entscheidung über Bytedance als Torwächter (T-1077/23 R)
- LAG Düsseldorf: Ein Fall des Schadenersatzanspruches bei Auswahlverfahren
- VwGH Österreich: Auskunft, Scorewert und Berichtigung
- BGH: Anforderungen an Werbeaussagen wie „klimaneutral“
- Gesetzgebung
- EU: AI Office eingerichtet
- EU: VO zur Durchsetzung der DS-GVO
- Vertragsverletzungsverfahren wegen ausstehender Umsetzung
- Bundestag: Ausschusssitzung zur Alterskontrolle im Netz
- Genomdatenverordnung – GenDV: Pseudonym und Anonym
- BMJ: BGB-Änderung zur Einsichtnahme in die Patientenakte
- EU / Belgien: Chatkontrolle
- Atlantic Counsel: Internationaler Datentransfer
- Jahresbericht zum Hinweisgeberschutzgesetz
- EU: Chatkontrolle von der Tagesordnung genommen
- Technische Standards zur Künstliche Intelligenz
- Jahressteuergesetz 2024 – Einschränkungen der Informationspflicht durch Finanzbehörden
- Einschränkung des Wettbewerbsrechts bei Datenschutzverstößen
- EU-Kommission: KI in der Justiz
- Datenschutzgesetzgebung weltweit
- BDI: Positionspapier zur Umsetzung des Data Acts und des AI Acts
- Anhörung zur Änderung des BDSG
- Umsetzung NIS2
- Künstliche Intelligenz und Ethik
- OpenAI: Aufdeckung verdeckter Einflussnahme
- OHCHR: Taxonomie der Menschenrechtsrisiken in Verbindung mit generativer KI
- Datenschutzrecht und KI
- KI-Verhaltenskodex der Wissenschaft
- OpenAI und Ethik
- Stanford: Datenschutz, Ethik und Sicherheit durch maschinelles Verlernen (Machine Unlearning)
- ChatGPT kann reden, ehemalige Beschäftigte dürfen nicht
- Was muss HR über die KI-VO wissen?
- Beziehungen zu Bots
- AI Act: Verpflichtungen für Anbieter
- KI Governance – Beispiele und Aussagen
- HAI Stanford: Halluzinationen bei juristischen Modellen
- LLM und Betroffenenrechte
- KI-Campus: Kostenlose Lernangebote
- EU: AI Risks in the Workplace
- Frankreich: KI-Bericht mit Handlungsfeldern
- Schweiz: Projektsteckbriefe Kompetenznetzwerk
- Did you train on my dataset?
- AI-Act-Verpflichtungen
- Was ist ein KI-System?
- Global Index on Responsible AI
- Microsoft zu GDPR & Generative AI
- Wie prompte ich besser?
- Geheimnis um Trainingsdaten
- Kinderbilder als Trainingsdaten für KI
- Web-Scraping von Verlagsseiten
- Auswirkungen der KI auf Arbeitsplätze
- Dokumentationsansätze bei KI im europäischen Kontext
- HAI Stanford: Risikovorhersagemodelle und „Label Bias“
- OECD: AI, Data Governance and Privacy
- Übersicht – Aussagen von Datenschutzaufsichten zu KI
- Feministische, afrikanische Ethik für nachhaltige KI
- Investieren in KI
- Künstliche Intelligenz in Gemeinden
- Veröffentlichungen
- Comparison: Global Data Privacy and Security Handbook
- SNV: Nachrichtendienste und Umgang mit Daten
- Konsequenzen aus EuGH C-604/22 (IAB Europe)
- TUM CDPS: Leitfaden Social Media für Beschäftigte im öffentlichen Dienst
- Mittelstand sieht EU-Cybersicherheitsgesetze als Wettbewerbsvorteil
- Angriffe über Computer-Games
- Leitfaden Cyberversicherung
- Datenschutz als Eckpfeiler der digitalen Rechtsakte der EU
- Recht auf Vergessenwerden in LLM
- Data Act und Datenpotenziale
- bitkom: Positionspapier zum Digital Marketing
- Kennzahlen zu KRITIS
- Veranstaltung in Wien zu sechs Jahren DS-GVO
- Informationen zu Cookies
- Auswirkungen der DS-GVO auf Produktinnovationen
- Schadenersatzhöhe bei Datenpannen
- Lizenzkosten des Bundes bei Microsoft
- Dialogforum des ORF: Zu staatlichen Kontrollmöglichkeiten durch KI
- Entstehung der DS-GVO
- OECD: The intersection between competition and data privacy
- Microsoft reagiert auf Kritik an Recall
- bitkom: Bilder von Kindern im Netz
- noyb: Ist die Google Sandbox datenschutzkonform?
- Mozilla und Werbung
- USA, Privacy & History
- Betroffenenbenachrichtigung per Flugblatt
- Passwortsicherheit
- DANA zu Gesundheitsdatenschutz
- Auswärtiges Amt: Deutschland im Fokus einer Desinformationskampagne
- Teletrust im Podcast zu E-Mail-Verschlüsselung
- Aktuelles zu TikTok
- Hilfsmittel zu DORA und NIS2
- Anforderungen an DSB
- Datenpanne bei Gefängnisdienstleister
- Misstrauen gegen Microsoft?
- Kritik an den Anforderungen und dem Procedere zu C5
- Interface: „Navigating the EU Cybersecurity Policy Ecosystem“
- Veranstaltungen
- Stiftung Datenschutz: Datenschutzzertifikate nach Art. 42 DS-GVO -neu-
- HmbBfDI: „Hey, Hamburg! Wie läuft‘s mit Medienerziehung und Datenschutz?“
- LfDI Mecklenburg-Vorpommern: „Hey, MV! Wie läuft‘s mit Medienerziehung und Datenschutz?“
- IHK Nürnberg: „Sustainable AI“ -neu-
- NEGZ: „Datenschutz im deutschen Besteuerungsverfahren“ -neu-
- MfK Nürnberg: Daten-Dienstag – „Strategien gegen Hatespeech im digitalen Raum“
- Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“ -neu-
- Privacy Ring: „Transparenz im Spannungsfeld des Datenschutzes“ -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- ICQ hört auf
- Australien: Anhebung der Altersgrenze
- Datenschutzpanne im EU-Parlament
- Frauen und IT oder die Schweiz und Satire
- TikTok und Recruiting
- „Telearbeit“ und Zeiterfassung
- Kampagne: Fernseher absichern
- „Wir haben ja nichts gewusst“
- LfM NRW: Befragungswelle zu Cybergrooming
- Einfache Sprache
- Fototapete
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Arbeitsbericht der Taskforce zu ChatGPT
Der EDSA veröffentlicht einen ersten Arbeitsbericht seiner TaskForce zu ChatGPT.
Dabei stellt er zunächst klar, dass die Aussagen im Bericht nur der gemeinsame Nenner der beteiligten Aufsichten seien und nicht das Ergebnis weiterer Untersuchungen durch die Aufsichten vorwegnähmen.
Das Papier beschreibt auch zunächst die Zuständigkeitsfragen: OpenAI hat seit dem 15. Februar 2024 eine Niederlassung in Irland hat und damit wäre ausschließlich die irische Datenschutzaufsichtsbehörde zuständig. Die Prüfung der TaskForce konzentriert sich daher auf Verarbeitungsvorgänge, die vor dem 15. Februar 2024 durchgeführt wurden (zur Diskussion um die Fragen der Zuständigkeit, die in Österreich aufgeworfen wurden, berichteten wir bereits). Ein zentrales Ergebnis der Task Force ist ein gemeinsamer Fragenkatalog für den Austausch mit OpenAI, der auch in Deutschland genutzt wurde und dem Bericht als Anlage beigefügt ist.
Der EDSA unterscheidet bei der Beurteilung der Rechtmäßigkeit zwischen verschiedenen Phasen der Verarbeitung. Im konkreten Fall bewertet er
- Sammlung von Trainingsdaten, Vorverarbeitung der Daten und Training
- ChatGPT Eingabe, Ausgabe und Training
Die Rechtmäßigkeitsgrundlage, die von OpenAI für das Training angegeben wird (Art. 6 Abs. 1 lit. f DS-GVO) sieht der EDSA kritisch, legt sich aber noch nicht fest. Nur bei besonderen Kategorien schließt er diese Grundlage bereits jetzt aus und weist darauf hin, dass die in Art. 9 Abs. 2 lit. e DS-GVO vorgesehene Ausnahme die Prüfung erfordert, ob die betroffene Person ausdrücklich und durch eine eindeutige bestätigende Handlung beabsichtigt hat, die fraglichen personenbezogenen Daten der Öffentlichkeit zugänglich zu machen.
Auch thematisiert er in eigenen kurzen Kapiteln die Anforderungen an Fairness, Transparenz und Informationspflichten, Daten-Genauigkeit und die Rechte der betroffenen Person.
Zum Fragebogen im Anhang des Berichts führt der EDSA aus, dass dieser durch die TaskForce entwickelt wurde und die Aufsichten aber weiterhin unabhängig sind und es daher jeder Aufsicht freisteht, diesen verändert oder unverändert einzusetzen.
1.2 EDPS: Identität des Datenschutzes in Zeiten von KI
Der europäische Datenschutzbeauftragte hat seine Schlussbemerkungen bei der Veranstaltung in Brüssel zum Jahrestag der DS-GVO veröffentlicht. Dabei befasst er sich mit der Identität des Datenschutzes in Zeiten von KI.
1.3 EDSA: Stellungnahme zur Gesichtserkennung zur Rationalisierung im Fluggastfluss
In der Stellungnahme “Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow (compatibility with Articles 5(1)(e) and(f), 25 and 32 GDPR” befasst sich der EDSA mit der Frage, wie die Überprüfung eines Bordkarteninhaber an Flughäfen datenschutzkonform umgesetzt werden kann. Die Stellungnahme nach Art. 64 Abs. 2 DS-GVO geht auf ein Ersuchen der französischen Datenschutzbehörde zurück.
In der EU gibt es keine einheitliche gesetzliche Verpflichtung für Flughafenbetreiber und Fluggesellschaften zu überprüfen, ob der Name auf der Bordkarte des Fluggastes mit dem Namen auf dem Ausweis übereinstimmt. Dies unterliegt den nationalen Gesetzen. Daher sollte in Fällen, in denen keine Überprüfung der Identität des Fluggastes anhand eines amtlichen Ausweises erforderlich ist, keine derartige Überprüfung unter Verwendung biometrischer Daten durchgeführt werden, da dies zu einer übermäßigen Verarbeitung von Daten führen würde.
In seiner Stellungnahme prüfte der EDSA die Vereinbarkeit der Verarbeitung biometrischer Fluggastdaten mit vier verschiedenen Arten von Speicherlösungen, die von solchen, die die biometrischen Daten nur in den Händen der Person speichern, bis hin zu solchen, die auf einer zentralisierten Speicherarchitektur mit verschiedenen Modalitäten beruhen, reichen. In allen Fällen sollten nur die biometrischen Daten von Fluggästen verarbeitet werden, die sich aktiv anmelden und ihre Zustimmung zur Teilnahme geben.
In der Stellungnahme wird die Vereinbarkeit der Verarbeitung mit dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO), dem Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. e, f DS-GVO), Datenschutz durch Technik und Voreinstellungen (Art. 25 DS-GVO) und Sicherheit der Verarbeitung (Art. 32 DS-GVO). Die Prüfung der Einhaltung anderer Bestimmungen der DS-GVO, einschließlich der Rechtmäßigkeit der Verarbeitung, ist nicht Gegenstand dieser Stellungnahme.
1.4 EDSA: Regulierung von Zahlungsdiensten und Zugang zu Finanzdaten
Die Stellungnahme 02/2024 des EDSA befasst sich mit mehreren Vorschlägen der Europäischen Kommission vom 28. Juni 2023 zur Regulierung von Zahlungsdiensten und zum Zugang zu Finanzdaten. Der EDSA zeugt sich besorgt über die unzureichenden Datenschutzgarantien in den Vorschlägen, insbesondere in Bezug auf die Überwachung von Transaktionen und den Datenaustausch. Er fordert einen stärkeren Schutz personenbezogener Daten und die Festlegung strenger Regeln für die Verarbeitung und Weitergabe von personenbezogenen Daten.
Zum Hintergrund: Die Europäische Kommission (EK) hat am 28. Juni 2023 drei Vorschläge zu Zahlungsdiensten und zum Zugang zu Finanzdaten veröffentlicht. Das Gesetzespaket umfasst den Vorschlag für einen Rahmen für den Zugang zu Finanzdaten (FIDA), den Vorschlag für eine Verordnung über Zahlungsdienste (PSR2) und den Vorschlag für eine Richtlinie über Zahlungsdienste (PSD3). Diese Vorschläge zielen darauf ab den Verbraucherschutz und den Wettbewerb im elektronischen Zahlungsverkehr zu verbessern und die Verbraucher in die Lage zu versetzen ihre Daten weiterzugeben, um Zugang zu einer breiteren Palette von günstigeren Finanzprodukten und -dienstleistungen zu erhalten.
Im August 2023 legte der EDPS seine Stellungnahmen zu FIDA (Stellungnahme 38/2023 und PSR (Stellungnahme 39/2023) vor.
1.5 EU-Kommission: Informationsanforderung an Microsoft zur KI bei Bing
Die Europäische Kommission hat Microsoft rechtsverbindlich aufgefordert Informationen über die generativen KI-Risiken von Bing, insbesondere „Copilot in Bing“ und „Image Creator by Designer“, bereitzustellen. Auf eine Aufforderung vom 14. März 2024 reagierte Microsoft bislang nicht. Die Kommission vermutet mögliche Verstöße gegen das Gesetz über digitale Dienste (DSA) aufgrund von Risiken wie KI-Halluzinationen und Deepfake-Verbreitung. Microsoft hatte bis zum 27. Mai 2024 Zeit der Aufforderung nachzukommen oder es drohten erhebliche Geldstrafen – sagt die Kommission in ihrer Mitteilung.
1.6 Griechenland: Geldbußen wegen unerlaubter Wahlwerbung
Die griechische Datenschutzaufsicht verhängte gegen das Innenministerium und eine Abgeordnete des Europäischen Parlaments eine Geldbuße und eine Ordnungsverfügung, nachdem diese Daten von Auswanderern für Wahlhinweise zur Europawahl nutzen.
Empfänger von E-Mails der Abgeordneten beschwerten sich bei der Aufsicht, auch weil die Information nach Art. 14 DS-GVO (mit dem Hinweis auf die Herkunft der Daten) fehlte. Bei den Recherchen kam heraus, dass eine Datei mit den Kontaktdaten der ausländischen Griechen aus dem Innenministerium bei der Partei der Abgeordneten landete, die diese Daten dann zur Wahlwerbung nutzte. Das Bußgeld beträgt für das Innenministerium 400.000 Euro, verbunden mit der Auflage die Prozesse zu überprüfen, die Abgeordnete erhielt ein Bußgeld in Höhe von 40.000 Euro.
1.7 ICO: Stellungnahme zu Microsoft „Recall“
Die britische Datenschutzaufsicht informiert darüber, dass sie sich bei Microsoft erkundigt, welche Vorkehrungen zum Schutz der Privatsphäre der Nutzer getroffen wurden. Dabei wird von Microsoft erwartet, dass es den Nutzern gegenüber transparent macht, wie deren Daten verwendet werden, und dass sie personenbezogene Daten nur in dem Maße verarbeitet, wie es zur Erreichung eines bestimmten Zwecks erforderlich ist. Die Industrie muss nach Aussagen des ICO den Datenschutz von Anfang an berücksichtigen und die Risiken für die Rechte und Freiheiten der Menschen streng bewerten und abmildern, bevor sie Produkte auf den Markt bringt.
Mittlerweile finden auch andere, dass „Recall“ zum Datenschutz-Alptraum werden könnte.
Franks Nachtrag: Sie möchten vielleicht auch unter 5.21 weiterlesen.
1.8 Italien: Web-Scraping für generative KI, Informationen und Gegenmaßnahmen
In Italien hat die dortige Aufsicht Garante einen Leitfaden zum Web-Scraping veröffentlicht, der auch Fragen der generativen künstlichen Intelligenz sowie Informationshinweis und mögliche Gegenmaßnahmen behandelt.
Mit Web Scraping werden hier Aktivitäten beschrieben, die dem wahllosen Sammeln personenbezogener Daten im Internet durch Dritte, mit dem Ziel Modelle der generativen künstlichen Intelligenz (IAG) zu trainieren, entsprechen. Die Garante möchte damit denjenigen, die personenbezogene Daten online als Verantwortliche veröffentlichen, einige erste Hinweise auf die Notwendigkeit, geeignete Maßnahmen zu ergreifen, geben, um Web-Scraping zu verhindern oder zumindest zu erschweren. In dem Dokument schlägt die Behörde einige konkrete Maßnahmen vor: Die Einrichtung reservierter Bereiche, die nur nach einer Registrierung zugänglich sind, um die Daten der öffentlichen Verfügbarkeit zu entziehen; die Aufnahme von Anti-Scraping-Klauseln in die Nutzungsbedingungen der Websites; die Überwachung des Datenverkehrs auf Webseiten, um anomale Datenströme zu identifizieren; spezifische Eingriffe in Bots, unter anderem mit Hilfe technologischer Lösungen, die von denselben Unternehmen zur Verfügung gestellt werden, die auch für Web-Scraping verantwortlich sind (z. B. Eingriffe in die Datei robots.txt). Dabei betont sie, dass es sich um nicht obligatorische Maßnahmen handele, die die für die Datenverarbeitung Verantwortlichen nach dem Grundsatz der Rechenschaftspflicht zu ergreifen hätten, um die Auswirkungen des Web Scraping zu verhindern oder selektiv abzuschwächen, wobei sie eine Reihe von Faktoren berücksichtigen müssen wie den Stand der Technik oder auch die Kosten der Umsetzung, insbesondere für KMU.
1.9 BAFin: 8. Novelle der MaRisk
Die BaFin informiert in ihrem Rundschreiben 06/2024 über Änderungen in der MaRisk. Damit werden u.a. die bisherigen Vorgaben aus den BAIT (Bankgeschäftliche Mindestanforderungen IT), zur Vermeidung von Doppelregulierung hinsichtlich auf die bevorstehende Anwendung der EU-DORA-Verordnung (DORA – „Digital Operational Resilience Act“) und die Auswirkungen auf diverse Anforderungen der MaRisk, insbesondere solche mit IT-Auslagerungsbezug, ebenfalls zum 17.01.2025 außer Kraft gesetzt werden.
1.10 BKA: Bundeslagebild Cybercrime
Wer in Deutschland im Bereich der IT-Nutzung Aussagen sucht, die ein hohes Niveau bestätigen, wird spätestens beim Bundeslagebericht Cybercrime des BKA fündig. Die Darstellung differenziert zwischen Inlandstaten, Auslandstaten, Cybercrime im engeren und im weiteren Sinne, wie bei Cybergrooming oder Kinderpornographie. Auch gibt es Aussagen zu einzelnen Angriffsszenarien.
1.11 BSI: TR-03161: Anforderungen an Anwendungen im Gesundheitswesen
Das BSI veröffentlichte Detailanforderungen zur Umsetzung der Anforderungen an Anwendnungen im Gesundheitswesen: Teil 1: Mobile Anwendungen (V3.0), Teil 2: Web-Anwendungen (V2.0) und Teil 3: Hintergrundsysteme (V2.0). Die Anforderungen sind laut Webseite des BSI mit dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) und dem BfDI abgestimmt.
1.12 Kanada: Datenschutz und Zugang bei Verträgen des öffentlichen Sektors mit Drittanbietern
In Kanada hat der Information and Privacy Commissioner of Ontario sein Papier “Privacy and Access in Public Sector Contracting with Third Party Service Providers” veröffentlicht. Darin befasst er sich mit Fragestellungen zu Datenschutz und Zugang bei Verträgen des öffentlichen Sektors mit Drittanbietern
1.13 Datenschutz-Archiv
Die Stiftung Datenschutz veröffentlich künftig alle neuen Tätigkeitsberichte auf der Webseite https://datenschutzarchiv.org. Auch können die Tätigkeitsberichte der deutschen staatlichen Datenschutzaufsichten bis 1971 abgerufen werden. Es finden sich auch die Tätigkeitsberichte der Beauftragten für Datenschutz der Rundfunkanstalten und (einiger) Religionsgemeinschaften sowie die des EDSA und des EDSB. Unter „Themen“ findet sich auch eine Suchfunktion, die kontinuierlich ausgebaut werden soll.
1.14 BKA Internationaler Schlag gegen Cyberkriminelle
Unter dem Codewort „Operation Endgame“ hat die Zusammenarbeit unterschiedlicher Länder zu einem großen Erfolg gegen Cyberkriminelle geführt. Details lesen Sie hier. Bemerkenswert sind dabei zwei Dinge: Zum einen die Öffentlichkeitsarbeit der Polizei, die dazu auch eine eigene Webseite www.operation-endgame.com eingerichtet hat und zum anderen die Tatsache, dass der Erfolg in Deutschland auch ohne Vorratsdatenspeicherung möglich war. Dass es keine Festnahmen in Russland gab, ist wohl weniger eine Überraschung.
1.15 EDPS: Leitlinien zur generativer KI und dem Schutz personenbezogener Daten
Der EDSB hat seine Leitlinien zu „generativer künstlicher Intelligenz und dem Schutz personenbezogener Daten“ veröffentlicht, um den Organen, Einrichtungen, Ämtern und Agenturen der EU praktische Ratschläge und Anweisungen zur Verarbeitung personenbezogener Daten bei der Verwendung generativer KI-Systeme zu geben und um ihnen die Einhaltung der Anforderungen des Rechtsrahmens für den Datenschutz zu erleichtern. Nur klarstellend: Die europäischen Einrichtungen haben ihre eigene VO zum Datenschutz (VO 2018/1725), die aber inhaltlich im Wesentlichen der DS-GVO entspricht.
Und er hat leicht reden, übernimmt er doch auch nach Art. 70 IX KI-VO für die die Organe, Einrichtungen und sonstige Stellen der Union, die in den Anwendungsbereich der KI-VO fallen, die Funktion der für ihre Beaufsichtigung zuständigen Behörde.
1.16 LfDI Baden-Württemberg: TikTok bei öffentlichen Stellen
Der LfDI Baden-Württemberg informiert auf seiner Webseite zur Problematik des Einsatzes von TikTok durch öffentliche Stellen. So stellt er fest, dass beim Einsatz Social-Media-Dienste großer Plattformbetreiber regelmäßig nur eingeschränkte Einflussmöglichkeiten auf die Verarbeitung personenbezogener Daten und die Nutzungsbedingungen bestehen, und zwar sowohl seitens der den Dienst einsetzenden Stelle als auch der ihn nutzenden Bürgerinnen und Bürger. Nicht zuletzt vor diesem Hintergrund stelle er infrage, ob die Verarbeitung personenbezogener Daten beim Einsatz von TikTok den Anforderungen des europäischen und des deutschen Datenschutzrechts genüge. So erscheine es insbesondere fraglich, ob die Datenverarbeitungen beim Einsatz von TikTok den in Art. 5 und Art. 25 DS-GVO festgeschriebenen datenschutzrechtlichen Grundprinzipien gerecht werden, ob sie auf einer gültigen Rechtsgrundlage nach Art. 6 DS-GVO beruhen und ob die spezifischen Anforderungen des Art. 8 DS-GVO an die Datenverarbeitung von personenbezogenen Daten von Minderjährigen sowie der Art. 13 und 14 DS-GVO an die transparente Information der betroffenen Personen eingehalten werden.
Mit einer 14-teiligen Frageliste bietet er öffentlichen Stellen eine Checkliste zum Einsatz von TikTok. Die dabei aufgeführten Fragen sollte nach Aussage des LfDI Baden-Württemberg jeder beantworten können, der TikTok für behördliche Zwecke einsetzt, um so zu ermitteln, ob der Einsatz von TikTok im jeweiligen Anwendungskontext datenschutzkonform möglich ist.
Machen wir uns nichts vor, egal, was bei der Checkliste rauskommt, es passiert nichts – zumindest bleibt in der Darstellung offen, welche Konsequenzen Abweichungen haben können.
1.17 LDA Brandenburg: Symposiums „Portale, Register, Plattformen – digital und transparent?“
Die LDA Brandenburg hat die Dokumentation des Internationalen Symposiums „Portale, Register, Plattformen – digital und transparent?“, welches im Oktober 2023 in Potsdam stattfand, veröffentlicht. Dabei ging es u.a. um die Datennutzung und um Open Data.
1.18 LDI NRW: Websites – Muster für Datenschutzhinweise
Weil sich anlässlich der Umbenennung vom TTDSG zu TDDDG und der Änderung von § 5 TMG zu § 5 DDG viele mit der Anpassung der Datenschutzinformationen auf Webseiten und in Apps befassen, hier der Link auf Gestaltungshinweise der LDI NRW unter dem Namen „Websites – Muster für Datenschutzhinweise“. Dazu kann auch die Checkliste der GDD herangezogen werden.
1.19 Hessen: Neue genehmigte Verhaltensregeln für Prüf- und Speicherfristen für Auskunfteien
Der HBDI informiert, dass er Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien“ genehmigte. Der Verband musste die bisherigen Verhaltensregeln nach sechs Jahren überarbeiten, weil der HBDI sie im Oktober 2023 beanstandet hatte. Sie widersprachen mehreren zwischenzeitlich gefassten Beschlüssen der Konferenz der Datenschutzbeauftragten (DSK) und des EDSA und mussten vor allem an das Urteil des EuGH C-634/21 vom 07.12.2023 angepasst werden. Der EuGH hatte einzelne Regelungen als unionsrechtswidrig eingestuft, zugleich aber das grundsätzliche Geschäftsmodell der Auskunfteien nicht beanstandet.
Die neuen Verhaltensregeln betreffen nur die Prüf- und Speicherfristen von rechtmäßig gespeicherten personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien. Sie ersetzen nicht die Regelungen der DS-GVO, sondern konkretisieren die aus ihnen abzuleitenden speziellen Anforderungen an die Auskunfteien für den Teilbereich der Prüf- und Speicherfristen von personenbezogenen Daten. Daher enthalten die Verhaltensregeln keine Regelungen zu der Frage, ob die Speicherung bestimmter Daten berechtigt ist. Auch lassen sie sowohl die Rechte betroffener Personen als auch die Befugnisse der Aufsichtsbehörden unberührt. Die Genehmigung ist hier hinterlegt für die Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien.
1.20 DSB Österreich: Verhältnis DS-GVO und AI Act
Die Datenschutzbehörde (DSB) Österreich hat Hinweise zum Verhältnis zwischen DS-GVO und AI Act veröffentlicht. Dabei unterscheidet sie zwischen privatem und öffentlichem Bereich. Die Kernaussagen fasse ich so zusammen:
Bei der Entwicklung bzw. Auswahl des KI-Systems müssen auch datenschutzrechtliche Aspekte berücksichtigt werden. Liegt kein tauglicher Rechtfertigungstatbestand vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Nach Judikatur des EuGH liegt die Beweislast für die Einhaltung des Datenschutzrechts beim jeweiligen Verantwortlichen (vgl. EuGH 14.03.2024, C-46/23, RN. 32). Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im Kontext von KI eine besondere Bedeutung zu.
Die Leitlinien der ehemaligen Art. 29-Working Party zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE, WP251rev.01 können als Interpretationshilfe herangezogen werden. Im Übrigen wird auf die Aktivitäten auf europäischer Ebene verwiesen, aber auch auf die bereits veröffentlichten FAQ (wir berichteten).
1.21 Belgien: Überlastung des DSB kein Entschuldigungsgrund
In Belgien wurde eine Firma sanktioniert, weil sie Betroffenenrechte nicht ordnungsgemäß umsetzte. Als Erklärung gab sie an, dass die DSB überlastet gewesen sei und auch daher nicht alle Schreiben beantworten konnte. Daher wird die Firma durch die Aufsicht höflich und bestimmt darauf hingewiesen, dass sie dafür verantwortlich sei, die DS-GVO umzusetzen und die DSB ausreichend auszustatten (RN 66 ff). Im Ergebnis gibt es ein Bußgeld in Höhe von ca. 174.000 Euro.
1.22 Spanien: Untersagung an Meta zu Wahlfunktionalitäten
In Spanien informiert die dortige Aufsicht aepd, dass sie gegenüber Meta eine einstweilige Verfügung anordnete, die Meta daran hindert die von ihr geplanten Wahlfunktionalitäten in Spanien einzuführen. Diese Entscheidung, mit der die Einführung der Funktionalitäten „Wahltagsinformation“ und „Wählerinformationseinheit“ in Spanien ausgesetzt wird, beruhe nach Aussagen der aepd auf außergewöhnlichen Umständen, unter denen es notwendig ist Maßnahmen zu ergreifen, um die Sammlung von Daten, die Erstellung von Nutzerprofilen und die Weitergabe von Informationen an Dritte zu verhindern und damit zu verhindern, dass personenbezogene Daten von unbekannten Parteien und für nicht explizite Zwecke verwendet werden. Das vorübergehende Verbot der Einführung dieser Funktionalitäten in Spanien gilt für einen Zeitraum von höchstens drei Monaten.
1.23 Irland: Tätigkeitsbericht für 2023
Die irische Data Protection Commission (DPC) hat ihren Jahresbericht für das Jahr 2023 veröffentlicht. Da die meisten internationalen IT-Unternehmen ihren EU-Sitz nach Irland legten, ist die DPC traditionell (unfreiwillig) besonders auffällig im Bereich hoher DS-GVO-Bußgelder. Die sieben DSGVO-Bußgelder aus dem Jahr 2023 beliefen sich dabei auf insgesamt 1,55 Mrd. Euro, wobei der Großteil auf das 1,3 Mrd. Euro Bußgeld gegen Meta, sowie das 345 Mio. Euro Bußgeld gegen TikTok fällt. Insgesamt verhängt die DPC 19 Maßnahmen, davon 7 Bußgelder bei ca. 11.200 eingegangenen Beschwerden und ca. 7.000 Meldungen von Datenschutzverletzungen.
1.24 CNIL: Erklärung der Betroffenenrechte mit Manga
In Zusammenarbeit mit der Südkoranischen Datenschutzaufsicht veröffentlicht die CNIL ein Manga in Französisch und auf Englisch, das sich mit der Vermittlung der Betroffenenrechte befasst.
1.25 ESMA: KI-Einsatz bei Kleinanlegern
Die ESMA (European Security Markets Authority) hat als Europäische Wertpapier- und Marktaufsichtsbehörde ein Public Statement zum Einsatz von KI bei der Erbringung von Wertpapierdienstleistungen für Kleinanleger veröffentlicht. Die Einsatzgebiete für KI-gestützte Prozesse zur Analyse von Daten im (nachhaltigen) Finanzbereich sind vielfältig. U.a. wird KI in Zukunft voraussichtlich zunehmend im Rahmen von automatisierter und digitalisierter Anlageberatung und Portfolioverwaltung (sog. Robo Advisor) eingesetzt.
Hier kann KI z.B. unterstützend genutzt werden, um die im Rahmen der Geeignetheitsprüfung abgefragten Informationen zu Kenntnissen und Erfahrungen von Kunden, der finanziellen Situation und den Anlagezielen, einschließlich der Risikotoleranz und der Abfrage von Nachhaltigkeitspräferenzen zu analysieren und auf dieser Basis individuelle
Anlageempfehlungen abzugeben. Hierbei müssen Wertpapierfirmen und Kreditinstitute die einschlägigen Anforderungen der MiFID II einhalten. Die ESMA hebt insbesondere Organisations- und Wohlverhaltenspflichten und die allgemeine Verpflichtung im besten Interesse des Kunden zu handeln hervor. Um Risiken u.a. im Hinblick auf Intransparenz, KI-Halluzinationen, uneingeschränktem Vertrauen in KI und Datensicherheit zu begegnen, formuliert die ESMA u.a. folgende Erwartungen:
- KI-Systeme sollten getestet und beobachtet, die Beschäftigten umfassend geschult und der Einsatz von KI sollte in klarer und unmissverständlicher Weise beim Kunden offengelegt werden.
- Es müssen entsprechende Governance-Strukturen vorgehalten werden, um die Auswirkungen von KI auf die Wertpapierdienstleistungen und die Einhaltung der gesetzlichen Anforderungen laufend zu überwachen.
- Entscheidungen bleiben in der Verantwortung der Unternehmensleitung, unabhängig davon, ob sie von Menschen oder KI-basierten Tools getroffen werden.
1.26 BfDI: Beschwerdeverfahren zum DPF
Der BfDI informiert und veröffentlicht die Beschwerdeformulare und ergänzende Hinweise zu den Beschwerdemöglichkeiten bei Datenübermittlungen in die USA. Im Juli 2023 wurde der Angemessenheitsbeschluss für das sog. EU-US Data Privacy Framework (DPF) verabschiedet. Eine wichtige Grundlage dieses Beschlusses ist ein neues Beschwerdeverfahren, mit dem Betroffene die Verarbeitung personenbezogener Daten durch US-Nachrichtendienste in den USA überprüfen lassen können. Neben diesem neuen Beschwerdemechanismus existieren weitere Beschwerdewege bei möglichen Verstößen gegen das DPF durch US-Organisationen/-Unternehmen. Mehr – auch zum Verfahren – finden Sie hier.
1.27 LfD Bayern: Orientierungshilfe gemeinsame Verantwortlichkeit
Der LfD Bayern veröffentlicht eine Orientierungshilfe zur gemeinsamen Verantwortlichkeit in der 1. Version mit Stand Juni 2024.Dabei geht er davon aus, dass gerade aufgrund der zunehmenden digitalen Zusammenarbeit weit mehr Anwendungsfälle für eine gemeinsame Verantwortlichkeit als bisher durch entsprechende Vereinbarungen (Art. 26 DS-GVO) ersichtlich seien.
Als Beispiele für gemeinsame Verantwortlichkeit benennt er gesetzlich angeordnete Fälle, z.B. § 307 Abs. 5 Sätze 2 und 3 SGB V oder im eGovernment gemeinsam verwaltete Plattformen, Datenbanken und Projekte (Art. 37 Abs. 1 Sätze 2 und 3 Bayerisches Digitalgesetz und § 11 E-Government-Gesetz (E GovG)), aber auch behördliche Verbunddateien oder Kooperationen von Hochschulen und Forschungseinrichtungen, sofern diese mit einem gemeinsamen Datensatz arbeiten oder wenn die Verarbeitung unabhängig voneinander für unterscheidbare Forschungsanteile erfolgt. Auch gemeinsame Veranstaltungen könnten so klassifiziert werden, z.B. bei der Verarbeitung pb. Daten der Teilnehmer (zB Anmeldung/Dokumentation).
Natürlich sieht er auch bei der Nutzung sozialer Medien und Kommunikationsdienste einen Anwendungsbereich, wenn eine aktive Nutzung durch öffentliche Stellen (z.B. Parametrierung, Einbindung eines Plugins oder aktiver Betrieb einer Nutzerseite/eines Kanals) durchgeführt wird, um gemeinsame Zwecke (Reichweitenerhöhung etc.) mit dem Plattformbetreiber zu verfolgen.
Selbst öffentliche Stellen, die nach dem Daten-Governance-Act Zugang zu nicht anonymisierten personenbezogenen Daten gewähren und die Weiterverwender werden als gemeinsame Verantwortliche gesehen. Entscheidend sei immer eine Einzelfallprüfung.
Er führt auch Beispiele auf, die keine gemeinsame Verantwortlichkeit sind, wie die Nutzung einer gemeinsamen Datenbank/Infrastruktur bei eigenständigen Zwecken (z.B. Marketingmaßnahmen in einer Unternehmensgruppe).
Einen Beitrag zur Frage des Mitarbeiterexzesses dazu lesen Sie auch hier.
1.28 Sachsen: Kontrolle von 30.000 Webseiten
Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) hat im Mai dieses Jahres rund 30.000 Internetauftritte aus Sachsen auf Datenschutzverstöße untersucht. Dabei ging es auch um den Einsatz des Webanalyse-Dienstes Google Analytics. Dazu informiert sie, dass wer mit diesem Tracking-Werkzeug auf seiner Website das Nutzerverhalten überwachen möchte, von den Besucher:innen der Seite zuvor eine freiwillige und eindeutige Einwilligung benötigt. In 2.300 Fällen seien Betreiber:innen von Webauftritten dieser Pflicht nicht in ausreichender Form nachgekommen. Darunter befanden sich sowohl Unternehmen und Vereine als auch öffentliche Stellen. Diese werden nun aufgefordert den Datenschutzverstoß zu beseitigen und alle rechtswidrig erhobenen Daten zu löschen. Sollten Website-Betreibende diesem Hinweis nicht nachkommen, drohe ihnen nach einer erneuten Überprüfung ein förmliches Verwaltungsverfahren. Mehr dazu hier.
1.29 LfDI Rheinland-Pfalz: Informationskampagne zu Newsletter und E-Mail-Werbung
In seiner Informationskampagne weist der LfDI Rheinland-Pfalz Unternehmen und Kultureinrichtungen proaktiv auf die datenschutzrechtlichen Voraussetzungen hin, die für den Versand von Newslettern und E-Mail-Werbung gelten. Ziel ist die Sensibilisierung der Verantwortlichen und die Verringerung datenschutzrechtlicher Verstöße in diesem Bereich. Weitere Informationen dazu hier.
1.30 LfD Niedersachsen: Prüfung des Einsatzes einer Gesichtserkennung
Nach diesem Bericht prüft der LDI Niedersachsen die heimliche Observation durch die Polizeidirektion Hannover, die das im Auftrag sächsischer Kollegen entwickelte Überwachungssystem PerIS nutzt. Diese Beschattung könnte rechtswidrig sein.
1.31 LfD Niedersachsen: Schließung einer Exchange-Sicherheitslücke
Der LDI Niedersachsen informiert, dass im Rahmen einer anlasslosen Prüfung 20 Unternehmen Sicherheitslücken in ihren Microsoft-Exchange-Servern schlossen. Das IT-Labor der Datenschutzaufsicht hatte die Sicherheitslücken bei einer Analyse von im Internet erreichbaren Exchange-Servern entdeckt. Bei dem automatisierten Verfahren wurden insgesamt 20 niedersächsische Unternehmen mit verwundbaren Servern identifizierte, der LDI Niedersachsen informierte diese darüber und kündigte mögliche aufsichtsbehördliche Maßnahmen an, sofern die Sicherheitslücken nicht geschlossen würden. Für die betreffenden Sicherheitslücken standen bereits seit geraumer Zeit Sicherheitsupdates bereit. Die Datenschutzaufsicht hat die betreffenden Unternehmen abschließend verwarnt mit dem Hinweis, dass sie gegen Art. 32 DS-GVO verstoßen haben. Weitere Details dazu finden Sie hier.
1.32 BKartA: Scoring beim Online-Shopping
Das Bundeskartellamt identifizierte verbraucherrechtliche Probleme beim Scoring beim Online-Shopping und formuliert Empfehlungen. In dem Abschlussbericht zu seiner verbraucherrechtlichen Sektoruntersuchung „Scoring beim Online-Shopping“ kommt das BKartA zu dem Ergebnis, dass Online-Händler, Zahlungsdienstleister und Auskunfteien die geltenden Vorgaben des Verbraucherrechts nicht immer einhalten. Dabei werden Rahmenbedingungen und Abläufe des Scorings beim Online-Shopping dargestellt, eine rechtliche Bewertung vorgenommen und Handlungsempfehlungen für Wirtschaft und Politik formuliert.
Die Datenverarbeitung im Rahmen des Bonitätsscorings ist nur zulässig, wenn ein datenschutzrechtlicher Rechtfertigungsgrund vorliegt. Wenn eine Datenverarbeitung beispielsweise „auf Vorrat“ erfolgt, ist in der Regel kein berechtigtes Interesse der Unternehmen gegeben.
1.33 Schweiz: Interview zu aktuellen Themen
In einem Interview mit der Datenschutzbeauftragten des Kantons Zürich äußert sich diese zur Prüfung bei Altenheimen, Awarenessmaßnahmen und zur Auslagerung von Daten durch Behörden in die Cloud wie bei MS 365 und AWS. Mit ihrer Einschätzung zum Cloud Act ist sie ja nicht ganz alleine (wir berichteten).
1.34 ICO: Entscheidung zu Snap „My AI“
Die britische Aufsicht hat nun auch ihre Bewertung und Entscheidung zum Chatbot Snap May AI veröffentlicht. Damit endete eine monatelange Abstimmung und Untersuchung durch den ICO. In der veröffentlichten Entscheidung behandelt der ICO auch, warum er auf Basis der geschilderten DSFA davon ausgeht, dass Snap nicht gegen Art. 36 DS-GVO verstoßen habe, als sie keine vorherige Konsultation durchführten.
1.35 Kanada: Tätigkeitsbericht 2023-2024
Der Privacy Commissioner of Canada veröffentlichte seinen Jahresbericht 2023-2024 unter dem schönen sprechenden Titel „Trust, Innovation, and Protecting the fundamental Right to Privacy in the digital age“.
1.36 EDPS: 20 Jahre Rück- und Ausblicke
Anlässlich des 20-jährigen Bestehens des EDPS gab es eine Veranstaltung in Brüssel, aber auch eine Veröffentlichung, die hier kostenlos verfügbar ist. Sie hat den Titel: „Two decades of personal data protection. What next?”. Sie umfasst auf 400 Seiten Rückblicke, Ausblicke sowie Erinnerungen.
1.37 EDSA: Wahl eines neuen Stellvertreters
Auf seiner letzten Plenarsitzung wählten die Mitglieder des EDSA Zdravko Vukić, Direktor der kroatischen Datenschutzbehörde, zum stellvertretenden Vorsitzenden. Er löst Aleid Wolfsen (Vorsitzender der niederländischen Datenschutzbehörde) ab, dessen fünfjähriges Mandat als stellvertretender Vorsitzender des EDSA ausläuft.
1.38 EDSA: Guideline 01/2023 zu Art. 37 der Richtlinie zur Rechtsdurchsetzung
Der EDSA veröffentliche seine Guidelines 01/2023 on Article 37 Law Enforcement Directive in der Version 2.0. Darin geht es u.a. um die Angemessenheit von Schutzmaßnahmen beim Datentransfer.
1.39 EDSA: Verhaltenskodex für Dienstleistungserbringer in der klinischen Forschung
Der EDSA hat sich in seiner Stellungnahme 12/2024 zum Entwurf einer Entscheidung der französischen Aufsichtsbehörde bezüglich des „Verhaltenskodex für Dienstleistungserbringer in der klinischen Forschung“, geäußert. Der Code of Conduct wurde durch EUCROF vorgelegt.
1.40 LfDI Baden-Württemberg: Handreichung Transparenzportale
Der LfDI Baden-Württemberg informiert, dass die Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) eine Handreichung zu Ausgestaltung von Transparenzportalen veröffentlichte. Die Handreichung richtet sich an die Betreibenden der Portale, an informationspflichtige Stellen sowie Nutzerinnen und Nutzer, die die Qualität einer Plattform prüfen möchten. Dabei gibt die IFK Tipps und Hinweise zur Gestaltung der Plattformen, benennt Anforderungen und zeigt konkrete Umsetzungsmöglichkeiten auf. Außerdem enthält der Leitfaden eine Checkliste, die die wesentlichen Kriterien zusammenfassend aufführt. Die Handreichung steht auf der Homepage des Landesbeauftragten zum Download bereit. Mit Transparenzportalen werden weiteren Möglichkeiten erschlossen, um Daten nutzbar zu machen.
1.41 EDSA: Projekt zur Prüfung von AI
Das KI-Auditing-Projekt des EDSA zielt darauf ab Werkzeuge zu kartieren, zu entwickeln und zu erproben, die dabei helfen die GDPR-Konformität von KI-Systemen und -Anwendungen zu bewerten. Das Projekt wurde auf Initiative der spanischen Datenschutzbehörde gestartet. Es soll allen Beteiligten helfen die Datenschutzgarantien im Zusammenhang mit dem AI-Gesetz zu verstehen und zu bewerten. Insbesondere kann es den Datenschutzbehörden bei der Prüfung von KI-Systemen helfen, indem es eine Methodik in Form einer Checkliste für die Prüfung eines Algorithmus festlegt und Instrumente vorschlägt, die die Transparenz verbessern würden. Dieses Projekt umfasst mehrere Ergebnisse (Checklist for AI Auditing, Proposal for AI leaflets, Proposal for Algo-Scores).
1.42 EDSA: Standardisierte Prüfung von Messenger-Diensten
Im Projekt „Standardisiertes Messenger-Audit“ des EDSA geht es darum die in Unternehmen genutzten Messenger-Dienste aus datenschutzrechtlicher Sicht zu überprüfen. In enger Zusammenarbeit mit dem BfDI wurde ein Testkatalog mit obligatorischen, empfohlenen und optionalen Anforderungen entwickelt, die ein GDPR-konformes Messenger-Frontend erfüllen muss. Der Katalog kann Datenschutzbehörden bei ihrer Arbeit unterstützen, aber auch Unternehmen, die ihr Produkt überprüfen und verbessern wollen. Das Projekt Standardisiertes Messenger-Audit umfasst zwei Ergebnisse (Standardised messenger audit – Frontend requirements und Standardised messenger audit – Audit methodology).
1.43 EDSA: Schulung zum Datenschutzbeauftragten (Kroatien)
Im Rahmen des Schulungsprojekts für Datenschutzbeauftragte des EDSA wurden Datenschutzbeauftragte in Kroatien mit dem Ziel, das allgemeine Niveau der Einhaltung der Vorschriften in ihren Organisationen – insbesondere in Krankenhäusern und Bildungseinrichtungen – zu erhöhen, geschult. Das Projekt zur Schulung von Datenschutzbeauftragten wurde im Rahmen des Programms „Support Pool of Experts“ auf Ersuchen der kroatischen Datenschutzbehörde gestartet. Das umfangreiche Schulungsprogramm für behördliche Datenschutzbeauftragte wurde in kroatischer Sprache mit Schulungsmaterial und Fragen und Antworten für behördliche Datenschutzbeauftragte konzipiert und umfasst mehrere Ergebnisse (Generelles Modul, DPO for health sector module (Croatian) und DPO for the educational sector module (Croatian)).
1.44 EDSA: KI-Risiken bei optischer Zeichenerkennung von Namensbestandteilen
Das Projekt KI-Risiken des EDSA bewertet die Datenschutzrisiken von KI für die optische Zeichenerkennung (OCR) und die Erkennung von Namensbestandteilen (Name Entity Recognition, NER). OCR ist eine Technologie, mit der Bilder oder gescannte Dokumente, die Text enthalten, in maschinenlesbaren Text umgewandelt werden. NER wird verwendet, um benannte Entitäten wie Namen, Organisationen und Orte in einem Dokument zu identifizieren und sie in vordefinierte Kategorien einzuordnen. Dieses Projekt hilft den für die Datenverarbeitung Verantwortlichen, die KI für diese Zwecke einsetzen, eine Bewertung der Datenschutzrisiken durchzuführen und den Datenschutzbehörden die Gültigkeit und Wirksamkeit dieser Bewertung im Rahmen ihrer Untersuchungen zu bewerten. Für beides wurden spezifische Datenschutz- und Privatsphäre-Risiken identifiziert, die durch die Beschaffung, die Entwicklung und den Einsatz der jeweiligen Technologie entstehen. Das Projekt „KI-Risiken“ umfasst mehrere Ergebnisse (Name Entity Recognition (NER) – Possible Risks & Mitigations und Optical Character Recognition (OCR) – Possible Risks & Mitigations).
1.45 EDSA: Report on the use of Experts
Der EDSA bedient sich zur Unterstützung externer Experten, die ihm zuarbeiten und ihre Kompetenz einbringen. Nun zieht der EDSA eine Zwischenbilanz in diesem Report mit Berichten, wo diese Experten unterstützten.
1.46 EDPS und AEPD: Bericht zu Neurodaten
In einem gemeinsamen Bericht zu Neurodaten befassen sich die spanische Aufsicht und der Europäische Datenschutzbeauftragte damit, wie bestimmte Verwendungen von Neurodaten die Grundrechte und -freiheiten von Personen erheblich beeinträchtigen können, und schlagen gleichzeitig vor die Notwendigkeit der Schaffung neuer Menschenrechte wie Neurorechte zu analysieren.
1.47 BfDI: Auszeichnung als innovativste Aufsichtsbehörde
Der BfDI ist von der Initiative „European Blockchain Sandbox“ als eine der fünf innovativsten Aufsichtsbehörden von 50 teilnehmenden Behörden ausgezeichnet worden. Der Bericht dazu findet sich hier.
1.48 BfDI: Ende der Amtszeit
Ende Juni 2024 endet die Übergangsperiode nach § 12 Abs. 2 BDSG, die ein BfDI noch das Amt bekleidet, wenn das Parlament noch keinen Nachfolger bestimmt hat und die Präsidentin ihn ersucht hat das Amt weiterzuführen. In diesem Podcast wird der scheidende BfDI zu seinen Erfahrungen und seinem persönlichen Ausblick befragt. Er schildert Anekdoten, dass z.B. in Niedersachsen in der Pandemie aus Altersgründen Impfberechtigte angeschrieben wurden nach Auswahl der Vornamen, weil „eine anderweite Auswertung aus Gründen des Datenschutzes“ nicht ging. Aber auch seine Aktivitäten bezüglich Facebook und sozialer Medien oder auch seine Aufsichtstätigkeit bei Nachrichtendiensten werden ebenso wie die Personalsituation und Fragen der Aufsicht zu Künstlicher Intelligenz angesprochen.
Aus seiner Amtsführung wird mir in Erinnerung bleiben, dass ein DSB auf Missstände hinweisen soll und dies auch konstruktiv tun kann. Seine Nachfolgerin wird mit einem großen Vergleichsmaßstab beginnen. Nachdem nun wohl auch beamtenrechtliche Fragestellungen geklärt wurden, ist im Herbst mit einer Amtsübernahme zu rechnen.
1.49 LfDI Baden-Württemberg: Leseecke zu Künstlicher Intelligenz
Wie nett: Hier finden sich nach Herkunft aufgelistet Aussagen und Veröffentlichungen von Datenschutzaufsichtsbehörden zu KI. Welch tolle Idee!
1.50 Schweden: Bußgeld wegen Facebook-Pixel
In Schweden verhängte die dortige Aufsicht IMY ein Bußgeld in umgerechnet ca. 1,3 Mio. Euro, weil eine Bank in unzulässiger Weise ein Facebook Pixel (Meta Pixel) in ihrer Webseite einsetzte. Die Überprüfung des Vorfalls durch IMY hat ergeben, dass Avanza das Analyse-Tool Facebook-Pixel von Meta sowohl auf seiner Website als auch in seiner App verwendet hat, um das Marketing der Bank auf Facebook zu optimieren. Die irrtümliche Übermittlung personenbezogener Daten wurde durch die versehentliche Aktivierung neuer Meta-Pixel-Funktionen durch die Bank verursacht. Das Pixel hat dazu geführt, dass Daten über die Kunden der Bank an Meta übertragen wurden, z. B. Daten über Wertpapierbestände und -werte, Kreditbeträge, Kontonummern und Sozialversicherungsnummern.
1.51 CNIL: Hinweis zur Nutzung von Open Data
Die CNIL veröffentlicht ihre Empfehlungen zur Öffnung und Weiterverwendung von im Internet veröffentlichten Daten, um Fachleuten zu helfen ihre Pflichten oder Interessen mit den Rechten des Einzelnen an ihren personenbezogenen Daten in Einklang zu bringen.
Die Praxis der Öffnung und Weiterverwendung von im Internet veröffentlichten Daten entwickelt sich rasant. In den letzten Jahren hat sich die regulatorische Bewegung zugunsten der gemeinsamen Nutzung öffentlicher Daten in der Tat beschleunigt. Gleichzeitig werden diese Daten – und im weiteren Sinne alle Daten, die online frei zugänglich sind (z. B. Daten in sozialen Netzwerken) – von öffentlichen und privaten Einrichtungen für unterschiedliche Zwecke und unter verschiedenen Bedingungen genutzt (z. B. Betrugsbekämpfung, Kundenwerbung, wissenschaftliche Forschung usw.). In diesem Zusammenhang unterstreicht der Bothorel-Bericht (Dezember 2020) die wirtschaftlichen, wissenschaftlichen und demokratischen Herausforderungen, die mit der Öffnung von Daten verbunden sind.
Um den Bedürfnissen aller von den betreffenden Verarbeitungen betroffenen Akteure auf praktische Weise gerecht zu werden, hat die CNIL einen doppelten Satz von Merkblättern für die Verbreiter offener Daten (Open Data) und die Weiterverwender von im Internet veröffentlichten Daten verabschiedet.
Der erste Satz von Merkblättern richtet sich speziell an Akteure (Behörden, Unternehmen, Privatpersonen usw.), die personenbezogene Daten als Open Data öffentlich zugänglich machen, d. h. in einem offenen, leicht wiederverwendbaren und maschinell verwertbaren Format.
Der zweite Satz von Merkblättern richtet sich an Akteure, die alle Arten von im Internet veröffentlichten personenbezogenen Daten (Open-Data-Daten und andere online frei zugängliche Daten) für verschiedene Zwecke (wissenschaftliche Forschung und F&E, kommerzielle Prospektion usw.) weiterverwenden möchten. Die CNIL klärt auch die Regeln für bestimmte Nutzungsarten, die häufig vorkommen und für Personen besonders wichtig sind. So sind vier Nutzungsfälle Gegenstand spezifischer Empfehlungen:
- Weiterverwendung von Daten für die Verbreitung von Branchenverzeichnissen;
- die Weiterverwendung von Daten zur Erstellung und Anreicherung von Datenbanken für die kommerzielle Werbung;
- die Weiterverwendung von Daten zu Zwecken der wissenschaftlichen Forschung (außer Gesundheit);
- das Absaugen von Daten durch öffentliche Behörden im Rahmen ihrer Aufgaben.
Als nächste Schritte kündigt die CNIL dazu an, dass sie in den kommenden Monaten ihre Arbeit im Bereich der Datenweitergabe fortsetzen wird. Sie wird sich auf Szenarien der Weitergabe von Daten an speziell autorisierte Dritte konzentrieren. Zum Beispiel: die gemeinsame Nutzung von Daten zwischen Verwaltungen zur Vereinfachung der Verfahren für die Nutzer, die gemeinsame Nutzung von „Daten von allgemeinem Interesse“ durch private Akteure mit den Behörden, die Bereitstellung von APIs für Forscher, usw.
Auch könnten die Merkblätter „Anwendungsfälle“ zu neuen Themen ergänzt werden.
1.52 CNIL: Informationen zu Gesundheitsdaten
Die CNIL veröffentlicht eine Reihe von praktischen Informationen, die in Zusammenarbeit mit dem Zentrum für sicheren Datenzugriff (CASD) und dem SNDS, dem nationalen System für Gesundheitsdaten, erstellt wurden.
Die CNIL regelt seit vielen Jahren die Verknüpfung von Gesundheitsdaten mit dem Nationalen System der Gesundheitsdaten (SNDS) im Rahmen von Genehmigungsanträgen, wenn die Verknüpfung die Verarbeitung der Nummer der Eintragung in das Verzeichnis oder NIR erfordert. (Die NIR oder Sozialversicherungsnummer wird jeder Person bei ihrer Geburt auf der Grundlage von Personenstandselementen zugewiesen, die von den Stadtverwaltungen an das INSEE übermittelt werden.)
Dabei stellt die CNIL jedoch regelmäßig mehrere Probleme bei den Genehmigungsanträgen öffentlicher oder privater Einrichtungen fest, die Forschung im Gesundheitsbereich betreiben. Um diesen Bereich zu unterstützen, hat die CNIL daher 2020 einen praktischen Leitfaden veröffentlicht, in dem die klassischsten Wege aufgezeigt werden, die den gesetzlichen Verpflichtungen und ihrer Position entsprechen.
Ergänzend zu diesem Leitfaden veröffentlicht die CNIL neue Praxisblätter, die detaillierte Schemata Schritt für Schritt wie die Schemata im Leitfaden von 2020 und die die verschiedenen „Datentabellen“ zeigen und vom CASD erstellt wurden.
1.53 Italien und Irland: Beschwerden gegen LinkedIn wegen KI-Training
Wie hier berichtet wird, gibt es an die Aufsichten in Italien und Irland gerichtete Beschwerden, weil LinkedIn seit 6. März 2024 die Daten aus seinem Netzwerk für das Training von KI nutzen würde. Als Grundlage würde das berechtigte Interesse angegeben. Die entsprechende Regelung sei sehr in den Nutzungsbedingungen von LinkedIn versteckt. Anstatt der Umsetzung eines Widerspruchs nachzukommen, wurde der betroffene Person angeboten, sie können ihren Account auch löschen. An die irische Aufsicht geht dabei die Aufforderung die Verarbeitung zu untersagen und an die italienische, entsprechende Maßnahmen zu ergreifen.
1.54 CNIL wird Regulierungsaufsicht für den Data Governance Act
In Frankreich wird die CNIL auch die zuständige Aufsicht für den Data Governance Act (DGA), wie sie auf ihrer Webseite bekanntgibt.
1.55 Schweden: Pilotprojekt für Reallabor
Die schwedische Aufsicht IMY beteiligt sich seit Mai 2024 an einem Pilotprojekt für Reallabore. Diese gemeinsame Initiative soll dazu beitragen den öffentlichen Sektor auf die bevorstehende Regulierung in der KI-Verordnung vorzubereiten. So wird es u.a. eine regulatorische Sandbox für KI geben. Dabei handelt es sich um eine Form der Testaktivität, bei der Unternehmen in der Lage sein sollten KI-Systeme zu testen und zu bewerten, bevor sie in Betrieb genommen werden. Jeder Mitgliedstaat wird über eine KI-Sandbox verfügen, die in der kommenden KI-Verordnung geregelt wird. Eine Möglichkeit, den öffentlichen Sektor auf die bevorstehende KI-Regulierung vorzubereiten, ist die Durchführung eines Pilotprojekts einer KI-Regulierungs-Sandbox. Das Projekt ist eine gemeinsame Initiative der Behörden über das eCollaboration-Programm (eSam) zusammen mit dem schwedischen Handelsregisteramt, der schwedischen Steuerbehörde, dem schwedischen öffentlichen Arbeitsamt und IMY. Ziel ist es ein besseres Wissen und Verständnis dafür zu schaffen, was die Sandboxen der KI-Verordnung erfordern, wenn die Verordnung angewendet werden soll.
Nun wurde ein erster Zwischenbericht veröffentlicht. Einige der Erkenntnisse aus dem Zwischenbericht lassen sich so zusammenfassen:
- Es kann kompliziert sein die Grenzen des Umfangs eines KI-Systems zu ziehen, d.h. was Teil des Systems ist und was nicht. Der Verwendungszweck des Systems sollte im Mittelpunkt stehen.
- Ein zentrales Thema ist es zu ermitteln, zu welchem Risikoniveau ein KI-System gehört. Dies ist besonders wichtig, wenn es sich um ein sogenanntes Hochrisikosystem handelt, da an diese Systeme besondere Anforderungen gestellt werden.
- Ein funktionsübergreifender Ansatz ist entscheidend. Eine kleinere Arbeitsgruppe, die aktiv ist, sorgt für eine bessere Zusammenarbeit. Die kontinuierliche Dokumentation ist wichtig, um zu früheren Argumentationen zurückkehren zu können.
Das Pilotprojekt wird im Herbst mit neuen Iterationen fortgesetzt.
1.56 ICO: Information zu Informationsfreiheitsanfragen
Der ICO im Vereinigten Königreich stellt Informationen zum Umgang mit Informationsfreiheitsanfragen bereit. Diese umfassen Tipps zur sorgfältigen Prüfung, ob Informationen vorliegen, zum Umgang mit Reklamationen bis hin zum Verfassen einer Antwort.
1.57 EU-Kommission: 15,9 Mio. Euro Strafe wegen Löschung von WhatsApp-Nachrichten
Diese Meldung musste ich bringen, auch wenn es wenig mit Datenschutz oder IT-Sicherheit zu tun hat.
Während einer Nachprüfung in einem kartellrechtlichen Verfahren bat die Kommission um eine Überprüfung der Mobiltelefone einiger Unternehmens-Mitarbeiter. Bei der Überprüfung stellte die Kommission fest, dass ein leitender Unternehmens-Angestellter WhatsApp-Nachrichten, die er mit einem Konkurrenten ausgetauscht hatte und welche geschäftsbezogene Informationen enthielten, gelöscht hatte. Die Löschung erfolgte, nachdem der Mitarbeiter über die Nachprüfung durch die Kommission informiert worden war.
Gemäß der Verordnung (EG) Nr. 1/2003 zur Durchsetzung von Wettbewerbsreglungen kann die Kommission Geldbußen in Höhe von bis zu 1 % des Gesamtumsatzes von Unternehmen verhängen, die vorsätzlich oder fahrlässig eine kartellrechtliche Untersuchung behindern. Bei der Festsetzung der Höhe der Geldbuße berücksichtigt die Kommission sowohl die Schwere als auch die Dauer des Verstoßes. In dem Fall kam die Kommission zu der Auffassung, dass es sich bei dem begangenen Verstoß um eine sehr schwerwiegende Zuwiderhandlung handelt, zumal der leitende Angestellte die WhatsApp-Nachrichten absichtlich gelöscht hatte, nachdem er über die Nachprüfung der Kommission informiert worden war. Darüber hinaus wurde die Kommission nicht über die Datenlöschung informiert. Stattdessen mussten die Kommissionsinspektoren die Löschung selbst feststellen, nachdem das Mobiltelefon zur Überprüfung vorgelegt worden war.
Auf dieser Grundlage beruht die Entscheidung, dass eine Gesamtgeldbuße in Höhe von 0,3 % des Gesamtumsatzes sowohl verhältnismäßig als auch abschreckend wäre. Gleichzeitig hat die Kommission beschlossen das Unternehmen für seine proaktive Zusammenarbeit während und nach der Nachprüfung zu belohnen. Daher wird der Betrag der Geldbuße um 50 % zu reduziert und eine Geldbuße von 15,9 Mio. € verhängt, was 0,15 % des Gesamtumsatzes des Unternehmen entspricht.
Dies ist die erste Entscheidung der Kommission, mit der eine Geldbuße für das Löschen von Nachrichten verhängt wird, die über Social-Media-Apps (WhatsApp) auf einem Mobiltelefon ausgetauscht wurden.
Es ist wahrscheinlich nur meine Vorstellung, dass sich nun die zuständigen Aufsichtsbehörden wegen Verwendung von WhatsApp als dienstliches Kommunikationsmittel dafür interessieren sollten.
1.58 EU-Kommission: Ermittlungen gegen Microsoft wegen Teams
In einem kartellrechtlichen Verfahren informiert die EU-Kommission, dass sie Microsoft Beschwerdepunkte mitgeteilt hat, zu denen sie eine unzulässige Kopplung innerhalb des Produktangebots prüft. Sollten sich die Bedenken der Kommission bestätigen, würde ein Verstoß gegen Artikel 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) vorliegen, nach dem der Missbrauch einer marktbeherrschenden Stellung verboten ist.
1.59 Wettbewerbsbehörde Frankreich: KI und Wettbewerbsrecht
Die französische Wettbewerbsaufsicht bewertet die Wettbewerbssituation beim Einsatz von KI und geht davon aus, dass die Vorteile der generativen KI nur dann zum Tragen kommen werden, wenn alle Haushalte und Unternehmen Zugang zu einer Vielzahl unterschiedlicher Modelle haben, die auf ihre Bedürfnisse zugeschnitten sind. Der Wettbewerb in diesem Sektor soll daher die Innovation fördern und die Präsenz mehrerer Anbieter ermöglichen.
Sie berichtet nun über die Ergebnisse ihrer Untersuchung unter Einbezug von Stakeholdern und ihren Empfehlungen dazu, zu denen sie auch Folien veröffentlicht hat.
2 Rechtsprechung
2.1 Case Law des EuGH, EGMR und Tätigkeitsberichte
Drei Expert:innen betrachten in dieser Veröffentlichung über 24 Seiten die aus ihrer Sicht relevante Rechtsprechung des EuGH, des Europäischen Gerichtshofs für Menschenrechte (EGMR) und aus Tätigkeitsberichten.
2.2 EuGH: Gestaltung eines Zahlungsbuttons im Onlinegeschäft
Der EuGH hat im Fall C-400/22 (Conny) klargestellt, dass ein Bestell-Button bei Online-Bestellungen eindeutig darauf hinweisen muss, dass der Verbraucher eine Zahlungsverpflichtung eingeht („zahlungspflichtig bestellen“) – und zwar auch dann, wenn diese Verpflichtung von einem späteren Bedingungseintritt abhängt. Der Entscheidung lag folgender Sachverhalt zugrunde:
In Deutschland beauftragte der Mieter einer Wohnung, deren monatliche Miete über der vom nationalen Recht erlaubten Höchstgrenze lag, ein Unternehmen für Inkassodienstleistungen, von seinen Vermietern die zu viel gezahlten Mieten zurückzuverlangen. Er gab diese Bestellung über die Webseite dieses Dienstleisters auf. Vor dem Klicken auf den Bestell-Button setzte er ein Häkchen zur Zustimmung zu den Allgemeinen Geschäftsbedingungen. Diesen zufolge müssen die Mieter eine Vergütung in Höhe von einem Drittel der ersparten Jahresmiete zahlen, falls die Bemühungen des Dienstleisters zur Geltendmachung ihrer Rechte erfolgreich waren. In dem darauffolgenden Rechtsstreit zwischen dem Dienstleister und den Vermietern machten diese geltend, dass der Mieter den Dienstleister nicht rechtsgültig beauftragt habe. Der Bestell-Button habe nämlich nicht den Hinweis „zahlungspflichtig bestellen“ (oder eine entsprechende Formulierung) enthalten, wie es die Richtlinie über die Rechte der Verbraucher (2011/83/EU) verlange. In diesem Rahmen stellte sich die Frage, ob dieses Erfordernis auch dann gilt, wenn die Zahlungspflicht des Mieters nicht allein aus der Bestellung folgt (vgl. EuGH C-249/21 – Fuhrmann-2), sondern zusätzlich erfordert, dass seine Rechte erfolgreich durchgesetzt werden. Das mit diesem Rechtsstreit befasste deutsche Gericht befragte den Gerichtshof hierzu.
Allein die unzureichende Beschriftung des Bestellbuttons kann sich also auf die Wirksamkeit eines Rechtsgeschäfts mit einem Verbraucher auswirken. Den Verbraucher hindert allerdings auch nichts daran, seine Bestellung zu bestätigen. Interessant ist hier, dass die Stelle, gegen die Maßnahmen beauftragt wurden, sich auf diesen Mangel der Beauftragung berufen hat.
2.3 EuGH: Zuständigkeit bei Herkunftslandprinzip im E-Commerce
Der EuGH urteilte in den zusammengelegten Fällen C 662/22 (Airbnb Irland), C 667/22 (Amazon Services Europe), C 663/22 (Expedia), sowie in den verbundenen Fällen C 664/22 (Google,) C 666/22 (Eg Vacation Rentals Irland) und sowie C 665/22 (Amazon Services Europe), dass im Bereich des E-Commerce ein Mitgliedstaat einem Anbieter von Online-Diensten, der in einem anderen Mitgliedstaat niedergelassen ist, keine zusätzlichen Verpflichtungen auferlegen dürfe.
Der EuGH bestätigte das sogenannte „Herkunftslandprinzip“, nach dem ein Unternehmen mit Sitz in einem beliebigen EU-Mitgliedstaat Dienstleistungen in der gesamten Union anbieten kann, aber nur an die Rechtsvorschriften des Mitgliedstaates gebunden ist, in dem es seinen Sitz hat. Die Online-Plattformen hatten die italienische Kommunikationsbehörde (AGCOM) verklagt, nachdem sie verpflichtet wurden, der Behörde Informationen, einschließlich Finanzdaten der Unternehmen, zur Verfügung zu stellen und einen Beitrag an die Behörde zu zahlen. Die Behörde wolle Fairness und Transparenz für die Verbraucher dieser digitalen Dienste fördern. Nichteinhaltung der Anforderungen für 2020 und 2021 hätte zu Bußgeldern führen können. Einen Bericht dazu lesen Sie hier.
2.4 BVwG Österreich: Kläger sei doch „datenauskunftsbefriedigt“
Ein emeritierter Rechtanwalt beschwerte sich bei der Datenschutzbehörde über eine Rechtsanwaltskammer, er sei nicht „datenauskunftsbefriedigt“. Jetzt könnte es sich um das Mitglied einer Generation handeln, bei der bei diesem Wort sofort dieses Lied in die Ohren geht (YouTube und Ohrwurm!). Der Fall landete nämlich vor dem BVwG Österreich, weil der Beschwerdeführer und Kläger bemängelte, dass ihm nicht alle Kopien aller Schreiben, die er an die Kammer sandte, im Rahmen des Auskunftsbegehrens zur Verfügung gestellt wurden und er sei nicht „datenauskunftsbefriedigt“. Bereits die Datenschutzbehörde sah hier keinen Verstoß der Kammer, was der Rechtsanwalt gerichtlich überprüfen ließ. Und auch das BVwG wies ihn ab. Gemäß den Ausführungen unter Ziffer 3.2.2.4 der Entscheidung des BVwG sei die Rückmeldung der Kammer den Anforderungen an eine gesetzeskonforme Auskunft im vorliegenden Fall auch ohne Übermittlung der vom Beschwerdeführer begehrten „Korrespondenzen“ gerecht geworden. Der Fall hat natürlich noch andere Aussagen, aber keine mit neuen Wortschöpfungen.
2.5 BVwG Österreich: Webseitenbetreiber kann Cookies einsetzen, wenn …
Das BVwG Österreich hält in einem Fall die Gestaltung des Zugangs zu einer Webseite unter Einwilligungsvoraussetzung zum Einsatz von Cookies für ein journalistisches Angebot im vorliegenden Fall für rechtmäßig. Ein „pay oder consent“-Angebot wurde nicht angeboten.
Die Frage ist, ob die Einblendung eines Pop-up-Fensters, das die Nutzer zwingt dem Tracking zuzustimmen, nachdem sie Cookies abgelehnt haben, zu einer gültigen Zustimmung führt. Beim Aufruf der Website bot ein Cookie-Banner den Nutzern die Möglichkeit „alle“ Cookies zu akzeptieren oder „Einstellungen zu verwalten“. Als die Nutzer „Einstellungen verwalten“ wählten, um die Zustimmung zu verweigern, erschien ein weiterer Banner, in dem erklärt wurde, dass die Annahme von Tracking-Cookies für den Betrieb der Plattform erforderlich sei. Der Webseitenbesucher beschwerte sich bei der Datenschutzbehörde, die seiner Beschwerde stattgab, eine wirksame Einwilligung sei nicht zustande gekommen, da die Einwilligung nicht als freiwillig angesehen werden könne. Die Datenschutzbehörde stellte auch fest, dass das Medienprivileg nach Art. 85 DS-GVO nicht anwendbar ist, da die verarbeiteten Daten für Werbung und Analysen und nicht für journalistische Zwecke verwendet werden.
Dagegen ging der Webseitenbetreiber vor und klagte vor dem BVwG. Dieses gab ihm recht.
Unter Ziffer 3.2.2 des Urteils stellt das BvwG fest, dass, würde man dem Vorbringen der betroffenen Person und der Bescheidbegründung der DSB folgen wollen, es nicht mehr der Webseitenbetreiberin überlassen sein soll, unter welchen Bedingungen, dh unter Anforderung welcher Gegenleistung, sie ihren Onlineinhalt Nutzer:innen zugänglich machen will. Nach der Bescheidbegründung müsste die Webseitenbetreiberin, um die Zugänglichkeit auf ihr Angebot auch für jene Nutzer:innen zu gewährleisten, die einer Verarbeitung ihrer Daten durch Cookies nicht zustimmen wollen, echte Alternativangebote schaffen, wie zB ein „Pay or Okay“ Modell, um den Zugang zur Website jedenfalls zu ermöglichen. (…) Der mit Interpretation des Rechtmäßigkeitstatbestands des Art. 6 Abs. 1 lit. a DS-GVO durch die Datenschutzbehörde einhergehende Eingriff in die Privatautonomie der Webseitenbetreiberin fehle es im gegenständlichen Sachverhalt an einer Verhältnismäßigkeit.
Bitte bei der Bewertung den Einzelfall berücksichtigen, auch ging das Gericht nicht von einer marktbeherrschenden Stellung aus.
2.6 BGH: Bandenmerkmal kann auch bei Verwendung von Pseudonymen vorliegen
Der BGH äußerte sich zum Tatbestandsmerkmal der Bandentat im Internet. Eine „Bandentat“ wird meist härter bestraft, wenn sich Personen gemeinsam zu einer Straftat verabreden, auch wenn die Tatbeiträge durchaus unterschiedlich sein können. Der BGH stellte fest, dass ein Beitritt zu einem anonymen Internet-Forum, in dem die Mitglieder regelmäßig kinder- und jugendpornografisches Material austauschen, als ein Beitritt zu einer Bande im Sinne des § 184b Abs. 2 Var. 2 StGB gewertet werden könne. Eine Bandenabrede sei nämlich auch zwischen Personen möglich, die sich sämtlich nicht näher kennen, sondern unter Pseudonymen und Decknamen im virtuellen Raum des Internets miteinander handeln. Ausgangspunkt sei immer die sogenannte Bandenabrede: Ob jemand Mitglied einer Bande ist, bestimme sich nach der deliktischen Vereinbarung. Sie setzt den Willen, sich mit anderen zu verbinden, voraus, um künftig für eine gewisse Dauer mehrere selbstständige, im Einzelnen noch ungewisse Straftaten des im Gesetz genannten Deliktstyps zu begehen.
Eine Bandenabrede setze dabei gerade nicht voraus, dass sich alle Beteiligten gleichzeitig absprechen, führte der BGH weiter aus. Deshalb liege vorliegend im Beitritt zu einer Online-Tauschbörse für Kinderpornografie der Beitritt zu einer Bande: Für die bandenmäßige Begehung im Sinne von § 184b Abs. 2 Var. 2 bzw. § 184c Abs. 2 Var. 2 StGB reiche es aus einem zugangsbeschränkten Internetforum beizutreten und entsprechend den hierfür aufgestellten Regeln zugleich – auch konkludent – zu erklären fortan einen wiederholten Tauschhandel mit kinder- und jugendpornografischen Dateien mit anderen registrierten Nutzern zu betreiben. Einen Bericht zum Fall finden Sie hier.
2.7 Sammelklage gegen Amazon Prime wegen Änderung zur Werbeerlaubnis
Millionen von Prime-Kunden erhielten Anfang Januar die Ankündigung, dass Amazon für sein Video-Streaming-Angebot zum 5. Februar Werbung einführen wird. Amazon hat am 5. Februar 2024 in Deutschland zusätzliche Werbung bei seinem Videodienst „Amazon Prime Video“ eingeführt sowie nach Angaben der verbraucherzentrale die Qualität von Bild und Ton verringert. Man konnte der Maßnahme nur entgehen, wenn man ein zusätzliches Abo für weitere 2,99 Euro im Monat abschloss. Für Kunden, der vor diesem Tag ein Abo bei Amazon Prime hatte, hat die verbraucherzentrale Sachsen eine Verbandsklage beim Bayerischen Oberlandesgericht initiiert, weil Amazon Digital Germany GmbH ihren Sitz in München hat.
Mit der Klage will die verbraucherzentrale Sachsen erreichen, dass die Geschädigten einen Teil ihrer monatlichen Gebühren zurückbekommen. Nach Ansicht der verbraucherzentrale hätte eine Zustimmung der Nutzer:innen eingeholt werden müssen. Zur Sammelklage hat die verbraucherzentrale eine FAQ-Liste erstellt. Das Anmeldeformular für die Sammelklage ist hier beim Bundesamt für Justiz hinterlegt. Die Anmeldung ist kostenfrei, für Mitkläger:innen entstehen laut Angaben der verbraucherzentrale zu keiner Zeit Kosten im Zusammenhang mit der Klage.
2.8 EuGH-Vorschau: Klärung der Anforderungen an „Anonymität“
Wer muss sich welches Wissen zurechnen lassen und wann wird ein Datum, das ein Pseudonym darstellt, für einen anderen ohne Zugang zu dem „Schlüssel“ ein anonymes Datum und welche Anforderungen sind an die Prognose zu stellen? Fragen über Fragen, die sich in dem Fall C-413/23 stellen, vor allem, weil der EuG (T-557/20) in der ersten Instanz nicht der Ansicht des EDPS folgte (wir berichteten, auch zum Folgeverfahren). Ein Pseudonym mit 33 Zeichen sei für eine Empfängerin dann anonym, Hinweise für eine Kenntniserlangung hätte der EDPS nicht dargelegt. Eigentlich wartet man dann auf eine Terminierung einer mündlichen Verhandlung und dann die Schlussanträge des Generalanwalts. Blickt man aber auf die Seiten des EuGH, gibt es aktuell zwei Entscheidungen dazu.
Ende November 2023 ließ der EuGH zu, dass auch der EDSA als Verfahrensbeteiligter den EDPS unterstützt. Fein, dachte sich ein Unternehmen, das will ich auch, betrifft der Ausgang des Verfahrens ja auch mein Geschäftsmodell. Pfeifendeckel, sagt der EuGH Ende Februar 2024, da könne ja jeder kommen. Ok, er drückt sich da doch etwas qualifizierter und juristischer aus, aber das können Sie hier selbst nachlesen.
Und damit zeigt sich auch die europaweite Bedeutung in einem Fall, in welchem der EuGH die Chance hat belastbare Kriterien für eine Definition einer Anonymität aufzustellen und wer dabei etwas darzulegen hat.
Franks Nachtrag: Sie möchten vielleicht in 3.5 weiterlesen.
2.9 EuGH-Vorschau: Unternehmensbegriff in der DS-GVO
Fragen zum Unternehmensbegriff in der DS-GVO bei der Berechnung einer Sanktion nach Art. 83 DS-GVO werden vom EuGH im Verfahren C-383/23 (ILVA) in der mündlichen Verhandlung am 19.06.2024 erörtert.
2.10 EuGH-Vorschau: Schadenersatz bei unberechtigter Kenntnisnahme von Steuerunterlagen
Das Amtsgericht Wesel legte dem EuGH Fragen zur Auslegung des Art. 82 DS-GVO zum immateriellen Schadenersatz vor, nachdem Steuerunterlagen bei falschen Adressaten landeten, da die Adressdaten nicht aus einer aktuellen Datenbank gezogen wurden. Unterlagen zur Einkommensteuererklärung landeten daher bei Personen unter der früheren Adresse. Die Kläger fordern laut Vorlagebeschluss des AG Wesel 15.000 Euro immateriellen Schadenersatz von Steuerberater. Der EuGH behandelt den Fall unter C-590/22 und hat das Urteil für den 20. Juni 2024 angekündigt.
Franks Nachtrag: Sie möchten vielleicht auch 2.14 weiterlesen.
2.11 EuGH-Vorschau: Immaterieller Schadenersatz nach Datenabzug
Die Vorlagefrage des AG München in einem Fall des Datenabzugs von Daten der Scalable Capital GmbH über deren App wird vom EuGH im Verfahren C-182/22 bearbeitet. Das Verfahren wurde mit dem Fall C-189/22 verbunden. Bereits die Schlussanträge des Generalanwalts umfassten beide Verfahren. Auch hier erwarten wir das Urteil am 20.06.2024.
Franks Nachtrag: Sie möchten vielleicht auch 2.15 weiterlesen.
2.12 EuGH-Vorschau: Meta gegen EDSA
Unter dem Aktenzeichen T-8/24 (Meta/EDSA) behandelt der EuGH das Verfahren, in dem Meta Entscheidungen des EDSA zu Meta gegenüber der irischen Datenschutzaufsicht angreift.
2.13 OLG Karlsruhe: Internationale Zuständigkeit bei Klagen gegen soziale Netzwerke
Das OLG Karlsruhe entschied zur Zuständigkeit bei einstweiligen Verfügungen oder Klagen gegen den Betreiber eines sozialen Netzwerks wegen Sperrung, Löschung oder Kündigung eines Accounts.
Nach Ansicht des OLG Karlsruhe sind deutsche Gerichte in solchen Fällen nicht zuständig (RN 167), dies ergebe sich aus der Auslegung von Art. 7 Nr. 1, 2 Brüssel Ia-VO.
2.14 EuGH: Fehlversand von Einkommensteuerunterlagen durch Steuerberater
Besteht für Mandanten ein Anspruch auf immateriellen Schadenersatz, wenn Steuerunterlagen irrtümlich in falsche Hände geraten? Das hat das Amtsgericht Wesel zu entscheiden in einem Fall, in dem die Mandanten 15.000 Euro immateriellen Schadenersatz vom Steuerberater fordern. Dazu legte das Amtsgericht Wesel dem EuGH Fragen zur Auslegung des Art. 82 DS-GVO zum immateriellen Schadenersatz vor, die dieser nun im Verfahren C-590/22 beantwortete.
Der EuGH urteilte, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist. Der EuGH stellt auch klar, dass bei einer Bemessung eines immateriellen Schadenersatzes aus Art. 82 DS-GVO aufgrund eines Verstoßes gegen die DS-GVO dabei nicht zu berücksichtigen ist, wenn dabei auch gegen Regelungen des nationalen Rechts (hier berufsrechtliche Verschwiegenheit) verstoßen wurde (RN 50). Daneben bekräftigte der EuGH seine bisherige Linie, dass der immaterielle Schadenersatz aus der DS-GVO keine abschreckende Wirkung entfalten soll und auch die Kriterien des Art. 83 DS-GVO dabei keine Rolle spielen (RN 44).
Für den Ausgangsfall des AG Wesel sind nun diese Vorgaben zu berücksichtigen. Dabei wurden durch den Steuerberater die Unterlagen zur Einkommensteuer an die vormalige Adresse der Mandanten geschickt, weil er diese aus einem Datenbestand übernahm, der noch die alte Adresse enthielt.
Die neuen Bewohner ihrer vormaligen Anschrift teilten den Mandanten mit, dass ein an ihren Namen gerichteter Umschlag an dieser Anschrift eingegangen sei und sie diesen irrtümlich geöffnet hätten. Danach hinterlegten sie den Umschlag bei in der Nähe wohnenden Angehörigen der Mandanten zur Abholung. Die Mandanten fanden im Umschlag lediglich eine Kopie der Steuererklärung sowie ein Anschreiben. Sie gehen jedoch davon aus, dass sich im Umschlag auch das Original der Steuererklärung befand, das personenbezogene Daten enthielt, darunter ihre Namen und Geburtsdaten sowie die ihrer Kinder, ihre Steueridentifikationsnummern, ihre Bankangaben und auch Angaben bezüglich ihrer Zugehörigkeit zu einer Religionsgemeinschaft, zur Schwerbehinderteneigenschaft eines Familienmitglieds, zu ihren Berufen und ihren Arbeitsstätten und zu verschiedenen von ihnen getätigten Ausgaben. Es konnte weder aufgeklärt werden, welche Unterlagen sich ursprünglich in dem Umschlag befunden hätten, noch, inwieweit die neuen Bewohner der vormaligen Anschrift vom Inhalt dieses Umschlags Kenntnis erlangt hätten.
Das AG Wesel muss nun entschieden, ob bei diesem Sachverhalt allein die Befürchtung der Mandanten ausreicht, weil diese Befürchtung samt negativer Folgen durch die Mandanten ausreichend nachgewiesen wurde.
2.15 EuGH: Immaterieller Schadenersatz nach Datenabzug
Die Vorlagefragen zu Art. 82 DS-GVO des AG München in einem Fall des Datenabzugs von Daten der Scalable Capital GmbH über deren App wurden nun vom EuGH im Verfahren C-182/22 beantwortet. Das Verfahren wurde mit dem Fall C-189/22 verbunden. Bereits die Schlussanträge des Generalanwalts umfassten beide Verfahren.
Der immaterielle Schadenersatz erfüllt ausschließlich eine Ausgleichsfunkton, seine Höhe hängt nicht von der Schwere einer etwaigen Vorsätzlichkeit ab. Bezüglich einer Höhe legt der EuGH fest, dass davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
Ein nationales Gericht könne bei fehlender Schwere des Schadens diesen ausgleichen, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.
Hinsichtlich der Anforderungen an ein Risiko und der in den Erwägungsgründen 75 und 85 aufgeführten Begrifflichkeit des „Identitätsdiebstahls“ führt der EuGH aus, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder betrug geführt hat.
2.16 BFH: Auskunftsanspruch gegenüber Finanzamt
Nach dem Urteil des BFH besteht auch gegenüber einem Finanzamt ein datenschutzrechtlicher Auskunftsanspruch, der auch das Recht auf Kopie nach Art. 15 Abs. 3 DS-GVO umfasst. Der BFH befasst sich dabei u.a. auch mit Fragen zur automatisierten Verarbeitung und zum Dateisystem (RN 18f). Die Kopie aus dem Anspruch aus Art. 15 Abs. 3 DS-GVO muss alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind. Nur wenn die Zurverfügungstellung einer Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die Datenschutz-Grundverordnung verliehenen Rechte zu ermöglichen, wobei insoweit die Rechte und Freiheiten anderer zu berücksichtigen sind, besteht nach Art. 15 Abs. 3 Satz 1 DSGVO ein Anspruch darauf eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder auch von Auszügen aus Datenbanken zu erhalten (RN 28).
2.17 OGH Österreich: Haftung für Shitstorm
In Österreich wurde eine Person zu 3.000 Euro immateriellen Schadenersatz verurteilt, weil sie sich an einem Shitstorm im Internet gegen einen Polizisten durch Verbreitung eines Videos beteiligt hatte. Die Entscheidung lesen Sie hier, die (kürzere) Pressemeldung dazu dort.
Was mir bei diesem Thema immer fehlt, ist die Auseinandersetzung mit den datenschutzrechtlichen Aspekten (vgl. C-101/01), aber wer fragt mich schon?!
2.18 Amsterdam: Untersagung der Nutzung von Tracking-Cookies
Das Bezirksgericht Amsterdam untersagt den Anbietern LinkedIn, Microsoft und Xandr Cookies ohne Einwilligung zu setzen oder auszulesen. Sie seien jeweils gemeinsam verantwortlich für das Ablegen von Cookies ohne Zustimmung. Die Angabe, sie seien nur Auftragsverarbeiter, lehnt das Gericht ab.
2.19 BAG: Kein immaterieller Schadenersatz nach EuGH-Urteil „Krankenversicherung Nordrhein“
Das BAG urteilte nun in dem Fall „Krankenversicherung Nordrhein“, zu dem EuGH am 21.12.2023 unter dem Aktenzeichen C-667/21 Auslegungen zur DS-GVO beantwortet hatte (wir berichteten). Unter Berücksichtigung dieser Vorgaben wies das BAG nun die Forderungen des Klägers ab.
2.20 EuGH-Vorschau: Fragen der Verantwortlichkeit eines Hosters für Inhalt (C-492/23)
In dem Verfahren C-493/23 aus Rumänien geht es um Fragen der Verantwortlichkeit eines Anbieters von Informationsdienstleistungen des Typs Hosting nach Art. 15 der Richtlinie über den elektronischen Geschäftsverkehr (EU RL 2000/32/EG) („keine Überwachungspflichten“) und der DS-GVO. Im zugrundeliegenden Fall wurde eine Anzeige mit sexuellen Dienstleistungen unter Verwendung eines Bildes und der Angabe der Telefonnummer einer Frau auf einer Webseite veröffentlicht. Die ohne die Zustimmung der Klägerin veröffentlichte Anzeige wurde rasch von anderen Websites mit werbendem Inhalt aufgegriffen und ist auch heute noch auf zahlreichen Websites unter Angabe der ursprünglichen Quelle veröffentlicht. Die Frau fordert Schadenersatz vom Webseitenhoster. Für den 2. Juli 2024 ist die mündliche Verhandlung angesetzt.
2.21 EuGH-Vorschau: Auskunftspflicht eines gesetzlich bestellten Betreuers (C-461/22)
Für den 11. Juli 2024 ist die Verkündung des Urteils im Verfahren C-461/22 (MK – Curateuer professionnel) vorgesehen, in dem Fragen der Zuständigkeit eines Auskunftsanspruchs aus Art. 15 DS-GVO gegen einen gesetzlich bestellten Betreuer geklärt werden. Eine betroffene Person macht gegen den ehemaligen gesetzlich bestellten Betreuer Auskunftsansprüche geltend. Die Vorinstanzen gingen davon aus, dass ein Berufsbetreuer kein Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO sei. Darüber hinaus regele die DS-GVO das Verhältnis zwischen einer betroffenen Person und einem Verantwortlichen, wenn gemäß Art. 4 Nr. 1 DS-GVO personenbezogene Daten verarbeitet werden. Ein rechtlicher Betreuer sei gemäß § 1902 BGB* der gesetzliche Vertreter des Betroffenen, sowohl gerichtlich als auch außergerichtlich. Mithin dürfen die personenbezogenen Daten durch den Betreuer daher im Namen des Betreuten selbst und nicht in einem „Gegenüberverhältnis von Betreuer und Betroffenem“ verarbeitet werden. Darüber sei davon auszugehen, dass der Antragsteller bereits über die wesentlichen Informationen selbst verfügt, da er Kenntnis von der Betreuerbestellung und demzufolge auch vom Aufgabenbereich bzw. den entsprechenden Tätigkeiten des Betreuers habe. Die erste Instanz ging daher davon aus, dass im Rahmen der Vertretung an einem Gegenüberverhältnis fehle.
* Rudis Anmerkung**: § 1902 BGB galt in dieser Fassung nur bis 31.12.2022, der Fall mit den aufgeführten Rechtsfragen ereignete sich aber vorher…
** Franks Anmerkung: Rudi hat jetzt auch Anmerkungen 😀
2.22 EuGH-Vorschau: Klagebefugnis einer Verbraucherzentrale bei Verletzung der Informationspflicht (C-757/22)
Bereits im Verfahren C 319/20 befasst sich der EuGH mit Fragen aus einem Verfahren Meta gegen den Verbraucherzentrale Bundesverband e.V. (vzbv). Damals ging es um die Klagebefugnis des vzbv. Nun darf der EuGH im Verfahren C-757/22 klären, ob durch den vzbv auch aufgrund eines Verstoßes gegen Informationspflichten vorgegangen werden darf. Der Schlussantrag des Generalanwalts würde es zulassen, wenn eine Klage im Zusammenhang mit einer Verarbeitung personenbezogener Daten darauf gestützt wird, dass der Verantwortliche die Informationspflicht gemäß Art. 12 Abs. 1 Satz 1 in Verbindung mit Art. 13 Abs. 1 lit. c und e DS-GVO verletzt hat, da eine solche Verletzung die Verarbeitung rechtswidrig machen kann. Das Urteil des EuGH ist für den 11. Juli 2024 angekündigt.
2.23 EuGH-Vorschau: Umfang der berufsrechtlichen Verschwiegenheit (C-432/23)
Der EuGH muss sich im Verfahren C-432/23 (Ordre des avocats du Barreau de Luxembourg) mit dem Umfang der berufsrechtlichen Verschwiegenheit eines Rechtsanwalts befassen. Im Ausgangsfall geht es um die Rechtslage in Luxemburg, bei denen eine Auskunftsverweigerung von Rechtsanwälten keine Anwendung findet, wenn es sich um Beratung oder Vertretung in Steuerangelegenheiten handelt, soweit durch die Offenlegung der Auftraggeber keiner Gefahr einer Strafverfolgung ausgesetzt werden würde (vgl. die Ausführungen und zitierten Vorschriften im Vorlageersuchen zu § 177 AO-Luxemburg).
Nun muss geklärt werden, ob die Beratung oder Vertretung in Steuersachen – wie im luxemburgischen Recht vorgesehen – generell vom unionsrechtlichen Schutz des Anwaltsgeheimnisses ausgenommen werden kann. Die Generalanwältin hat in ihren Schlussanträgen hier bereits Aussagen getätigt, dass jede Verpflichtung eines Rechtsanwalts zur Herausgabe von Informationen über ein Mandatsverhältnis zu einem Eingriff in das durch Art. 7 der Charta geschützte Recht auf Achtung der Kommunikation zwischen Rechtsanwalt und Mandant führt (RN 49). Daher sei die entscheidende Frage, ob und unter welchen Voraussetzungen ein solcher Eingriff gerechtfertigt werden kann. Insofern müsse nach Art. 52 Abs. 1 der Charta sowohl der Verhältnismäßigkeitsgrundsatz als auch der Wesensgehalt des Grundrechts beachtet werden (RN 50 ff). Sie formulierte aber auch Möglichkeiten zur Differenzierung (RN 60 f). Ein Termin des EuGH zur Urteilsverkündung ist noch nicht bekannt.
2.24 EuG-Vorschau: Entscheidung über Bytedance als Torwächter (T-1077/23 R)
Für den 17. Juli 2024 ist die Entscheidung des EuG im Verfahren (T-1 077/23 R) angekündigt, ob Bytedance (Angebot TikTok) im Rahmen des DMA als Torwächter durch die Kommission benannt werden darf.
2.25 LAG Düsseldorf: Ein Fall des Schadenersatzanspruches bei Auswahlverfahren
Ein öffentlicher Arbeitgeber recherchierte über eine Google-Recherche zu einem Bewerber für eine befristete Stelle hinsichtlich dessen Vorstrafen. Der Bewerber hatte eine nicht rechtskräftige strafrechtliche Verurteilung wegen Betrugs zu einer Gesamtfreiheitsstrafe von einem Jahr und vier Monaten, deren Vollstreckung zur Bewährung ausgesetzt wurde. Nach Ansicht des LAG Düsseldorf steht diese einer Eignung i.S.v. Art. 33 Abs. 2 GG für eine befristete Stelle im Justiziariat/Personalwesen eines öffentlichen Arbeitgebers entgegen.
Diese Recherche war laut LAG Düsseldorf im konkreten Fall gemäß Art. 6 Abs. 1 Satz 1 lit. b DS-GVO zulässig (RN 194 ff).
Die Erforderlichkeit ergebe sich grundsätzlich aus der Zweckbindung des Einstellungsverfahrens und der daraus folgenden Aufgabe des öffentlichen Arbeitgebers die Eignung des Bewerbers festzustellen und zu überprüfen (RN 199 ff). Es blieb aber offen, ob ein anlassloses „googeln“ zulässig ist. Hier waren einem Mitglied der Auswahlkommission Umstände bekannt, welche die Google-Recherche nach Ansicht des LAG Düsseldorf rechtfertigten. Das LAG Düsseldorf stellt aber auch fest, dass, wenn ein Arbeitgeber eine Google-Recherche durchführt, der Bewerber über diese Datenerhebung gemäß Art. 14 DS-GVO zu informieren sei (RN 203). Die Information über die Datenkategorien (gemäß Art. 14 Abs. 1 lit. d DS-GVO) muss dabei so präzise und spezifisch gefasst sein, dass die betroffene Person die Risiken abschätzen kann, die mit der Verarbeitung der erhobenen Daten verbunden sein können (RN 202). Die unterbliebene Information führe zu keinem Beweisverwertungsverbot (RN 192 und 204). Kommt der Arbeitgeber dieser Informationspflicht nicht nach und verwertet die erlangte Information – hier über die strafrechtliche Verurteilung im Stellenbesetzungsverfahren, steht dem Bewerber nach dem LAG Düsseldorf ein Entschädigungsanspruch – hier in Höhe von 1.000 Euro gemäß Art. 82 Abs. 1 DS-GVO zu (RN 217 – 230).
2.26 VwGH Österreich: Auskunft, Scorewert und Berichtigung
Im Rahmen eines Auskunftsbegehrens gegen einen Adressverlag erfuhr eine betroffene Person, dass dort über sie Wahrscheinlichkeitswerte auf Basis eines Sinus-Milieus bestehen. Dagegen wollte sie vorgehen und der Fall landete im Revisionsverfahren vor dem Verwaltungsgerichtshof Österreich. Dieser entschied, dass der Ausgangsbescheid der Datenschutzbehörde, die betroffene Person sei in ihren Rechten verletzt worden, nicht durch die Revision zu beanstanden sei. Es habe keine Rechtsgrundlage für die Verarbeitung der Daten vorgelegen. Auch der Bezug zu genehmigten Verhaltensregeln rechtfertige nicht darauf zu vertrauen, dass bezüglich dieser Person eine Einwilligung zur Verarbeitung von Daten besonderer Kategorie nach Art. 9 DS-GVO vorgelegen habe (RN 46).
2.27 BGH: Anforderungen an Werbeaussagen wie „klimaneutral“
Wann wird eine Werbung „klimaneutral“ aus wettbewerbsrechtlichen Gründen angreifbar? Der BGH hat sich nun dazu geäußert. Bislang ist nur die Pressemeldung veröffentlicht.
Ein Unternehmen stellt Produkte aus Fruchtgummi und Lakritz her. Die Beklagte warb in einer Fachzeitung der Lebensmittelbranche mit der Aussage: „Seit 2021 produziert [die Beklagte] alle Produkte klimaneutral“ und einem Logo, das den Begriff „klimaneutral“ zeigt und auf die Internetseite eines „ClimatePartner“ hinweist. Der Herstellungsprozess der Produkte der Beklagten läuft nicht CO2-neutral ab. Die Beklagte unterstützt indes über den „ClimatePartner“ Klimaschutzprojekte. Die Zentrale zur Bekämpfung unlauteren Wettbewerbs hält die Werbeaussage für irreführend. Die angesprochenen Verkehrskreise verstünden diese so, dass der Herstellungsprozess selbst klimaneutral ablaufe. Zumindest müsse die Werbeaussage dahingehend ergänzt werden, dass die Klimaneutralität erst durch kompensatorische Maßnahmen hergestellt werde.
Der BGH hält die beanstandete Werbung für irreführend im Sinne von § 5 Abs. 1 UWG. Die Werbung sei mehrdeutig, weil der Begriff „klimaneutral“ nach den getroffenen Feststellungen von den Lesern der Fachzeitung – nicht anders als von Verbrauchern – sowohl im Sinne einer Reduktion von CO2 im Produktionsprozess als auch im Sinne einer bloßen Kompensation von CO2 verstanden werden kann. Bei einer Werbung, die einen mehrdeutigen umweltbezogenen Begriff wie „klimaneutral“ verwendet, muss deshalb zur Vermeidung einer Irreführung regelmäßig bereits in der Werbung selbst erläutert werden, welche konkrete Bedeutung maßgeblich ist. Aufklärende Hinweise außerhalb der umweltbezogenen Werbung sind insoweit nicht ausreichend. Eine Erläuterung des Begriffs „klimaneutral“ war hier insbesondere deshalb erforderlich, weil die Reduktion und die Kompensation von CO2-Emissionen keine gleichwertigen Maßnahmen zur Herstellung von Klimaneutralität darstellen, sondern die Reduktion gegenüber der Kompensation unter dem Gesichtspunkt des Klimaschutzes vorrangig ist.
Dieses Unterteil könnte m.E.n. auch für Betreiber von Rechenzentren interessant sein.
2.28 Gesetzliche Regelungen zum „Hacking“ im Rechtsvergleich
Ein Problem der sogenannte „White Hacker“, die sich die Resilienz von IT-Systemen nicht mit bösen Absichten betrachten ohne einen konkreten Auftrag des Verantwortlichen des geprüften Systems nachweisen zu können, ist das Strafbarkeitsrisiko. Gelegentlich werden sie nach dem Hinweis auf erkannte Sicherheitslücken mit Strafanzeigen konfrontiert. Dieser Thematik widmet sich nun auch der Wissenschaftliche Dienst mit einer diesbezüglichen Rechtsvergleichung mit anderen europäischen Staaten.
2.29 Antrag im Bundestag: IT-Sicherheitsforschung entkriminalisieren
Passend dazu gibt es einen Antrag einer Fraktion der Opposition die Rechtslage in Deutschland bezüglich IT-Sicherheitsforscher:innen zu ändern, so dass eine Entkriminalisierung erfolge.
3 Gesetzgebung
3.1 EU: AI Office eingerichtet
Die EU-Kommission verkündete, dass sie nun das AI Office eingerichtet habe. Es setzt sich aus fünf Referaten zusammen:
- Regulierungs- und Compliance-Referat, das den Regulierungsansatz koordiniert, um die einheitliche Anwendung und Durchsetzung des AI-Gesetzes in der gesamten Union zu erleichtern, und eng mit den Mitgliedstaaten zusammenarbeitet. Das Referat wird bei Untersuchungen und möglichen Verstößen mitwirken und Sanktionen verhängen.
- Referat für KI-Sicherheit, das sich auf die Identifizierung systemischer Risiken von sehr leistungsfähigen Allzweckmodellen, mögliche Abhilfemaßnahmen sowie Bewertungs- und Testansätze konzentriert.
- Referat für Exzellenz in KI und Robotik, das Forschung und Entwicklung unterstützt und finanziert, um ein Ökosystem der Exzellenz zu fördern. Es koordiniert die GenAI4EU-Initiative, die die Entwicklung von Modellen und deren Integration in innovative Anwendungen anregt.
- AI for Societal Good Unit, die das internationale Engagement des KI-Büros im Bereich der KI für den guten Zweck konzipiert und umsetzt, z. B. Wettermodellierung, Krebsdiagnosen und digitale Zwillinge für den Wiederaufbau.
- Referat für KI-Innovation und politische Koordinierung, das die Umsetzung der EU-KI-Strategie überwacht, Trends und Investitionen beobachtet, die Einführung von KI durch ein Netzwerk europäischer digitaler Innovationszentren und die Einrichtung von KI-Fabriken fördert und ein innovatives Ökosystem durch die Unterstützung von regulatorischen Sandkästen und Praxistests unterstützt.
Die organisatorischen Änderungen werden am 16. Juni 2024 in Kraft treten. Die erste Sitzung des AI-Boards soll bis Ende Juni stattfinden. Das AI-Büro bereitet Leitlinien zur Definition des AI-Systems und zu den Verboten vor, die beide sechs Monate nach Inkrafttreten des AI-Gesetzes vorliegen sollen. Das Büro bereitet sich auch darauf vor die Ausarbeitung von Verhaltenskodizes für die Verpflichtungen für allgemeine KI-Modelle zu koordinieren, die 9 Monate nach Inkrafttreten des Gesetzes fällig sind.
Und kaum war es offiziell einberufen, bot das AI Office auch schon ein Webinar an, Thema: „Risk management logic of the AI Act and related standards“. Die Aufzeichnung findet sich hier.
3.2 EU: VO zur Durchsetzung der DS-GVO
Mit Datum vom 24. Mai 2024 hat der Europäische Rat seine Fassung der Verordnung zur Durchsetzung der DS-GVO veröffentlicht.
3.3 Vertragsverletzungsverfahren wegen ausstehender Umsetzung
Die EU-Kommission hat gegen 18 Mitgliedsstaaten, darunter Deutschland, die die Vorgaben des Data-Governance-Acts noch nicht umgesetzt haben, ein Vertragsverletzungsverfahren eingeleitet. Diese Länder hätten noch keine zuständige Behörde für die Durchführung des Data-Governance-Acts benannt oder nicht nachgewiesen, dass die zuständigen Behörden zur Ausführung der im Rechtsakt vorgeschriebenen Aufgaben befugt sind. Die Kommission richtet nun Aufforderungsschreiben an die 18 Mitgliedstaaten, auf die diese binnen zwei Monaten reagieren und die von der Kommission festgestellten Mängel beheben müssen. Andernfalls kann die Kommission beschließen mit Gründen versehene Stellungnahmen an die Länder zu übermitteln. Zum aktuellen Stand der Umsetzung informiert diese Kanzlei. Dass das BMWK aktuell an der Umsetzung arbeitet, berichteten wir bereits.
3.4 Bundestag: Ausschusssitzung zur Alterskontrolle im Netz
Wie kann im Internet verlässlich eine Alterskontrolle zum Schutz Minderjähriger umgesetzt werden und welche Gefahren ergeben sich für Kinder und Jugendliche im Netz? Damit befasste sich der Ausschuss für Familie, Senioren, Frauen und Jugend im Deutschen Bundestag, dessen Sitzung aufgezeichnet wurde und hier abgerufen werden kann (Dauer, ca. 1:52 Std.). Einen Bericht dazu lesen Sie hier.
3.5 Genomdatenverordnung – GenDV: Pseudonym und Anonym
Für das am 01.04.2024 gestartete Modellvorhaben zur umfassenden Diagnostik und Therapiefindung mittels Genomsequenzierung bei seltenen und bei onkologischen Erkrankungen sind durch das BMG Ausführungsbestimmungen zur Datenverarbeitung, technischen Ausgestaltung sowie Art und Umfang der Daten im Rahmen des Modellvorhabens Genomsequenzierung auf Grundlage des § 64e Abs. 12 SGB V zu erlassen. Mit dem Modellvorhaben soll eine einheitliche, qualitätsgesicherte, standardisierte und nach dem Stand von Wissenschaft und Technik zu erbringende Diagnostik und personalisierte Therapiefindung durch die teilnehmenden Leistungserbringer erreicht werden. Das BMG hat auch einen Entwurf vorgelegt. Bereits in diesem wird festgelegt, wie die Pseudonymisierung durch die Leistungserbringer gegenüber den Vertrauensstellen zu erfolgen hat: nämlich über ein von ihm festzulegenden Verfahren. Dabei darf die Zeichenlänge der Arbeitsnummer vierzig Stellen nicht überschreiten. Auch darf die Arbeitsnummer keinen Rückschluss auf die personen- oder fallbezogenen Daten eines am Modellvorhaben teilnehmenden Versicherten zulassen. Schließlich wird auch festgelegt, zu welchen Zwecken diese Arbeitsnummer verwendet werden darf, 1. zur internen Kennzeichnung des zu übermittelnden Datensatzes durch den Leistungserbringer und 2. Zur Wiederherstellung des Fallbezugs der Daten in den in § 64e Abs. 9c S. 7 SGB V genannten Fällen.
Warum bringe ich das hier? Weil mich das erheblich an den Fall vor dem EuGH erinnert: Damals ging es um eine 33-stellige Pseudonymisierung, bei der die erste Instanz das EuG (T-557/20) davon ausging, dies sei dann für den Empfänger anonym und kein personenbezogenes Datum mehr. Der Fall liegt nun beim EuGH in der 2. Instanz (C-413/23).
Respekt an die Verfasser des Entwurfs. Durch die Gestaltung überlassen sie die Bewertung ob pseudonym oder anonym weiterhin dem EuGH, geben aber damit die Möglichkeit, dass die an diesem Verfahren beteiligten Stellen, einen weitestgehenden Schutz bei diesen sensiblen Daten sicherstellen können. Das erinnert mich daran, dass das einzige Mal, bei dem ich es mitbekommen habe, dass der deutsche Gesetzgeber von der Möglichkeit des Art. 35 Abs. 10 DS-GVO mit § 307 SGB V und dessen Anlage Gebrauch machte, auch das BMG beteiligt war.
Franks Nachtrag: Sie möchten vielleicht auch 2.8 lesen.
3.6 BMJ: BGB-Änderung zur Einsichtnahme in die Patientenakte
Mit dem Gesetzgebungsverfahren zur Änderung des Bürgerlichen Gesetzbuchs zur Einsichtnahme in die Patientenakte und Vererblichkeit bei Persönlichkeitsrechtsverletzung sollen Schutzlücken bei der Vererblichkeit von Geldentschädigungsansprüchen aufgrund von Persönlichkeitsrechtsverletzungen geschlossen werden. Bei einer Verletzung des allgemeinen Persönlichkeitsrechts kommt für die Geschädigten neben der Geltendmachung von Unterlassungs- und Beseitigungsansprüchen sowie von Ersatz des materiellen Schadens in Fällen schwerer Persönlichkeitsrechtsverletzungen auch ein Anspruch auf Zahlung einer Geldentschädigung für immaterielle Schäden gemäß § 823 Abs. 1 BGB in Verbindung mit Art. 1 Abs. 1 und Art. 2 Abs. 1 des Grundgesetzes in Betracht. Dieser Anspruch ist allerdings nach der Rechtsprechung des Bundesgerichtshofs erst bei Vorliegen eines rechtskräftigen Urteils vererblich. Stirbt der Geschädigte vor Eintritt der Rechtskraft, so ist der Anspruch auch bei Vorliegen eines vorläufig vollstreckbaren Urteils nicht vererblich. Das führt in der Praxis zu unbilligen Ergebnissen. Der Gesetzentwurf wurde nun veröffentlicht, auch mit einer Synopse zum BGB, um die beabsichtige Änderung deutlich zu machen.
3.7 EU / Belgien: Chatkontrolle
Die Diskussion, ob Kommunikationsinhalte aus Chats etc. automatisiert nach kriminellen Inhalten durchsucht werden müssen, ist noch nicht beendet. Die Maßnahme soll sich gegen die Verbreitung von Aufnahmen sexueller Gewalt gegen Kinder richten, hätte aber das technische Erfordernis, dass dazu vertrauliche Kommunikation eingeschränkt werden müsste, z.-B. die End-zu-End-verschlüsselung. Wie hier berichtet wird, habe nun Belgien, während seiner Ratspräsidentschaft einen weiteren Vorschlag vorgelegt. Internetnutzende sollen einer Chatkontrolle zustimmen, sonst dürfen sie keine Bilder und Videos hochladen.
3.8 Atlantic Counsel: Internationaler Datentransfer
Wir haben uns sehr bei den Fragestellungen zum internationalen Datentransfer auf die Fragestellungen bei Transfers in die USA konzentriert. Hier befasst sich ein Beitrag aus dem Atlantic Counsel mit anderen Blickwinkeln, insbesondere hinsichtlich des Transfers nach Russland und China.
3.9 Jahresbericht zum Hinweisgeberschutzgesetz
Die Meldestelle beim Bundesamt für Justiz hat ihren ersten Jahresbericht gemäß § 26 HinSchG vorgestellt. Der Zeitraum umfasst den 01.07. bis 31.12.2023. Bisher gingen 410 Meldungen ein, 139 Beratungen wurden erfasst (vgl. § 24 Abs. 2 HinSchG). Der Bericht enthält auch eine grafische Darstellung der eingegangenen Meldungen nach Monaten, leider nicht nach vermeintlichen Verstößen nach Rechtsgebieten. Das HinSchG setzet die Whistleblower-Richtlinie EU 2019/1937 um, die Möglichkeiten, Verstöße auch anonym zu melden, eröffnen soll. Die Verstöße müssen sich aus dem beruflichen Umfeld ergeben und sich entweder als Verstöße gegen Strafnormen, als Verstöße, die bußgeldbewehrt sind (soweit die verletzte Vorschrift dem Schutz von Leben, Leib oder Gesundheit oder dem Schutz der Rechte von Beschäftigten oder ihrer Vertretungsorgane dienen) oder als Verstöße gegen Rechtsnormen darstellen, die zur Umsetzung europäischer Regelungen getroffen wurden. Insoweit wären auch Verstöße gegen die DS-GVO oder deren Umsetzung im nationalen Recht von einer Meldemöglichkeit umfasst.
3.10 EU: Chatkontrolle von der Tagesordnung genommen
Der Vorschlag Belgiens zur Einführung einer „Chatkontrolle“, über die verschlüsselte Kommunikation nicht mehr vollkommen vertraulich wäre, ist am 20.06.2024 dann doch noch von der Tagesordnung genommen worden. Wie hier berichtet wurde, weil eine Mehrheit dafür nicht sicher war. Mal sehen, was in der Ratspräsidentschaft von Ungarn dazu passiert.
Zahlreiche Organisationen und Medien wiesen im Vorfeld auf die Tragweite für die Freiheit der Kommunikation hin, wenn unter dem Vorwand der Verfolgung von sexueller Gewalt gegen Kinder Anbieter von elektronischer Kommunikation verpflichtet werden Kommunikationsinhalte systematisch zu überwachen.
3.11 Technische Standards zur Künstliche Intelligenz
Das Europäische Komitee für Normung ist eine der drei europäischen Normungsorganisationen (zusammen mit CENELEC und ETSI), die von der Europäischen Union und der Europäischen Freihandelsassoziation (EFTA) offiziell als zuständig für die Entwicklung und Festlegung freiwilliger Normen auf europäischer Ebene anerkannt wurden. Dabei betrachten sie auch den Bereich der Standards für Künstliche Intelligenz. Ihr Arbeitsprogramm und die jeweiligen Arbeitsstände sind hier hinterlegt. Wen das noch nicht triggert, der zuckt vielleicht bei den Projekten: „Artificial Intelligence Conformity Assessment“; „Data governance and quality for AI within the European context“; “AI Risks – Check List for AI Risks Management” Und das ist nur Teil der dort behandelten Themen.
3.12 Jahressteuergesetz 2024 – Einschränkungen der Informationspflicht durch Finanzbehörden
Nanu?! Jahressteuergesetz? Was passiert da im Datenschutz? Genau – wie zu erwarten, geht es da mal wieder um Art. 23 Abs. 1 lit. i DS-GVO, der Beschränkung des Schutzes der betroffenen Person oder der Rechte und Freiheiten anderer Personen ermöglicht. Der Anwendungsbereich der Ausnahmen zur Informationspflicht nach Art. 14 Abs. 5 DS-GVO soll erweitert werden. Die Informationspflicht entfällt unter den dort genannten Voraussetzungen. Nun sollen in dem § 32b Abs. 1 Nr. 2 AO nicht nur überwiegende Interessen eines Dritten, sondern auch überwiegende Interessen der Finanzbehörden ausreichen, um die Informationspflicht einzuschränken (im Entwurf auf Seite 52).
In der Begründung zur Erweiterung (auf Seite 186) wird dazu ausgeführt, dass Art. 23 Abs. 1 lit. i DS-GVO es den dem nationalen Gesetzgeber erlaube Einschränkungen der Betroffenenrechte zum Schutz der Rechte und Freiheiten anderer Personen vorzunehmen. Darunter fielen Rechte Dritter, aber auch Rechte des Verantwortlichen, wenn sie einen spezifischen rechtlichen Schutz genießen. Im Rahmen des „Ersten Gesetzes zur Änderung des BDSG“ werde aufgrund dieser Öffnungsklausel eine ausdrückliche Ausnahme vom Auskunftsrecht im BDSG sowie im SGB X geschaffen (siehe Regierungsentwurf eines Ersten Gesetzes zur Änderung des BDSG, BR-Drs 72/24 vom 9. Februar 2024, dort Änderungen zu § 34). Die Ausnahme greife dann, wenn das Interesse an der Geheimhaltung hinsichtlich interner Verfahren das Interesse der betroffenen Person an der Information überwiege. Diese geplanten Änderungen seien auch für die Steuerverwaltung in Bezug auf die Beauskunftung von Steuerdaten relevant. In Anbetracht der Anpassungen im BDSG sowie SGB X solle mit der gesetzlichen Klarstellung verhindert werden, dass dem Gesetzgeber in Bezug auf die vergleichbaren Regelungen in der AO ein bewusster Regelungsverzicht unterstellt wird und die Interessen der Finanzbehörden bei der Auskunftserteilung künftig nicht mehr zu berücksichtigen wären.
Spätestens seit EuGH C-175/20 wissen die Steuerverwaltungen, dass auch sie sich an die Vorgaben der DS-GVO – insb. bei der Einschränkung der Betroffenenrechte – halten müssen (wir berichteten). Und es tröstet schon etwas, wenn zumindest in Nachbarländern Gerichte bei der Einschränkung der Betroffenenrechte zugunsten der Steuerverwaltung auch auf die Einhaltung der definierten Vorgaben aus Art. 23 DS-GVO hinweisen und deren Einhaltung auch bei der Überprüfung einfordern (auch hier berichteten wir).
3.13 Einschränkung des Wettbewerbsrechts bei Datenschutzverstößen
Die Bundesregierung nahm zum Entwurf des Bundesrates, in § 3a UWG Änderungen einzuführen, um wettbewerbsrechtliche Maßnahmen bei Datenschutzverstößen auszuschließen, Stellung. Darin positioniert sie sich in der Anlage 2 dazu und verweist auf bereits erfolgte Änderungen zur Reform des Abmahnwesens. Auch macht sie deutlich, dass sie erst auch das Urteil des EuGH (C-21/23 – Lindenapotheke) abwarten wollte, um erst dann über etwaige nationale Maßnahmen entscheiden zu wollen.
3.14 EU-Kommission: KI in der Justiz
Die europäische Kommission veröffentlichte das EU-Justizbarometer 2024. Damit will sie einen jährlichen Überblick über die Indikatoren geben, deren Schwerpunkt auf den wesentlichen Parametern leistungsfähiger Justizsysteme liegt.
3.15 Datenschutzgesetzgebung weltweit
Auf der Seite der UN zu trade & development sind die weltweiten gesetzgeberischen Aktivitäten zu Data Protection und Privacy dokumentiert. In 78 % der Länder gibt es eine Regulatorik dazu, in 4 % ist diese in Vorbereitung, 17% haben keine und bei 1 % liegen keine Daten dazu vor.
3.16 BDI: Positionspapier zur Umsetzung des Data Acts und des AI Acts
Der BDI positioniert sich hinsichtlich der nationalen Umsetzung der Verordnungsvorgaben aus dem Data Act und dem AI Act. Er fordert dazu u.a. die Bundesnetzagentur als „Single-Point-of-Contact“ im behördlichen Innen- und Außenverhältnis auszugestalten, um eine zentrale Anlaufstelle zu schaffen, für den AI Act den Fokus auf Normen und Standardisierung zu legen, damit Anbieter und Anwender von KI-Systemen, aber auch Prüforganisationen und Behörden Rechtssicherheit haben und zu dem Data Act einen moderaten und europäisch harmonisierten Sanktionsrahmen zu schaffen, um das Innovationspotenzial zu fördern und nicht Innovationen mit hohen Sanktionen im Keim zu ersticken.
Schließlich weist er auch darauf hin, dass für eine erfolgreiche Durchsetzung der neuen gesetzlichen Vorgaben eine zielgruppenspezifische Kommunikation der Aufsichtsbehörden entscheidend sei, da aufgrund der komplex verteilten Verantwortlichkeiten entlang der Wertschöpfungskette für Unternehmen, insbesondere für KMU, Unklarheiten über die Rolle eines Unternehmens als Provider, Deployer oder User von im AI Act beziehungsweise als Data Holder, User oder Data Recipient im Data Act bestehen.
Rudis Nachtrag*: Passend dazu auch das Interview mit dem BfDI in diesem Podcast ab ca. Minute 25.
* Franks Anmerkungen: Jupp, nun macht Rudi auch noch Nachträge…
3.17 Anhörung zur Änderung des BDSG
Im Rahmen des Gesetzgebungsverfahrens zur Änderung des BDSG gab es eine öffentliche Expertenanhörung im Ausschuss es Innern und Heimat. Diese ist auch noch als Aufzeichnung auf den Seiten des Bundestags verfügbar (Dauer ca. 1:50 h).
Natürlich ging es u.a. um die Regelungen zur Datenschutzkonferenz und der Gesetzgebungskompetenz dazu, Einschränkungen des Auskunftsrechts, aber auch um die angedachten Formulierungen zum Kreditscoring.
Ziemlich zu Beginn wurde das Thema der Nutzung von Gesichtserkennungssoftware im öffentlichen Raum angesprochen, auch am Beispiel des Unternehmens Clearview AI. Das kann nun dazu führen, dass es hier weitere Beratungen im Rahmen des Gesetzgebungsverfahrens geben wird, die auch zu Verzögerungen des Gesetzgebungsverfahrens führen können.
3.18 Umsetzung NIS2
Die EU-Kommission veröffentlichte Definitionen und Konkretisierungen im Rahmen eines Konsultationsverfahrens, Rückmeldung ist bis 25. Juli 2024 möglich. Bei der AG Kritis gibt es zudem den letzten Referentenentwurf (den 4.) zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – (NIS2UmsuCG) auch mit Änderungsmarkierung zur Vorfassung. Kurz-Infos zu NIS2 finden sich hier.
4 Künstliche Intelligenz und Ethik
4.1 OpenAI: Aufdeckung verdeckter Einflussnahme
Wie OpenAI berichtet, habe das Unternehmen eine betrügerische Nutzung von KI durch verdeckte Einflussnahme aufgedeckt und unterbunden. OpenAI setze sich für die Durchsetzung von Richtlinien ein, die Missbrauch verhindern, und für mehr Transparenz bei KI-generierten Inhalten. Dies gelte insbesondere für die Aufdeckung und Unterbrechung verdeckter Einflussnahme (Covert Influence Operations – IO), die versuchen, die öffentliche Meinung zu manipulieren oder politische Ergebnisse zu beeinflussen, ohne die wahre Identität oder die Absichten der dahinter stehenden Akteure offenzulegen.
In den letzten drei Monaten habe OpenAI fünf verdeckte Beeinflussungsaktionen gestoppt, die dessen Modelle zur Unterstützung betrügerischer Aktivitäten im Internet nutzen wollten. Bis Mai 2024 scheinen diese Kampagnen ihr Publikumsengagement oder ihre Reichweite durch unsere Dienste nicht nennenswert erhöht zu haben.
OpenAI beschreibt die gestörten Bedrohungsakteure, die identifizierten Angreifertrends und wichtige Verteidigungstrends – einschließlich der Tatsache, dass die Entwicklung von KI-Modellen mit Blick auf die Sicherheit in vielen Fällen verhindert habe, dass die Bedrohungsakteure die von ihnen gewünschten Inhalte generieren konnten, und wie KI-Tools die eigenen Untersuchungen effizienter gemacht hätten. Parallel findet sich eine Trendanalyse, die das Verhalten dieser bösartigen Akteure im Detail beschreibt.
4.2 OHCHR: Taxonomie der Menschenrechtsrisiken in Verbindung mit generativer KI
Das United Nations Human Rights Office of the High Commissioner (OHCHR) veröffentlichte ein Papier mit Darstellung der Menschenrechtsrisiken beim Einsatz von generativer KI. Als Ergänzung zu dem grundlegenden Papier des UN B-Tech Project über generative KI untersucht dieses Dokument Menschenrechtsrisiken, die sich aus der Entwicklung, dem Einsatz und der Nutzung generativer KI-Technologie ergeben. Die Erstellung einer solchen auf Rechten basierenden Taxonomie ist entscheidend für das Verständnis, wie die United Nations Guiding Leitprinzipien der Vereinten Nationen für Wirtschaft und Menschenrechte operationalisiert werden sollten. Diese Taxonomie soll aufzeigen, dass die größten Schäden für Menschen im Zusammenhang mit generativer KI tatsächlich Auswirkungen auf international vereinbarte Menschenrechte sind.
Diese Taxonomie untersucht die Menschenrechte, die durch generative KI beeinträchtigt werden können, und liefert Beispiele aus der Praxis für jedes Recht. Diese Rechte, die in der Reihenfolge ihres Erscheinens in der Allgemeinen Erklärung der Menschenrechte (Universal Declaration of Human Rights) aufgeführt sind, lauten: Freiheit von körperlichem und seelischem Schaden; Recht auf Gleichheit vor dem Gesetz und auf Schutz vor Diskriminierung; Recht auf Privatsphäre, Recht auf Eigentum; Freiheit des Denkens, der Religion, des Gewissens und der Meinung; Freiheit der Meinungsäußerung und Zugang zu Informationen; Recht auf Teilhabe an öffentlichen Angelegenheiten; Recht auf Arbeit und Lebensunterhalt; Rechte des Kindes; Rechte auf Kultur, Kunst und Wissenschaft.
4.3 Datenschutzrecht und KI
Wieder ein schöner niedrigschwelliger Beitrag zu den Anforderungen aus dem Datenschutzrecht und den Herausforderungen dazu beim Einsatz von KI, speziell LLMs.
4.4 KI-Verhaltenskodex der Wissenschaft
Künstliche Intelligenz erzeugt Texte, Videos und Bilder, die sich kaum noch von denen von Menschen unterscheiden lassen – mit der Folge, dass wir oft nicht mehr wissen, was echt ist. Auch Forschende lassen sich immer häufiger von KI unterstützen. Eine internationale Arbeitsgruppe hat nun Grundsätze für die Nutzung von KI in der Forschung erstellt, die das Vertrauen in Wissenschaft sichern sollen.
Fünf Prinzipien sollen die menschliche Verantwortung in der Forschung weiterhin sichern, wie jetzt eine interdisziplinäre Arbeitsgruppe mit Mitgliedern aus Politik, Unternehmen und Wissenschaft in der neuesten Ausgabe der Fachzeitschrift Proceedings of the National Academies of Sciences (PNAS) fordert. Die Forderungen umfassen:
- Transparenz, welche Tools und Algorithmen benutzt wurden und Kennzeichnung der Beiträge von Maschine beziehungsweise Mensch.
- Verantwortungsübernahme für die Genauigkeit der Daten und für die Schlussfolgerungen, die gezogen werden, selbst wenn KI-Analysetools verwendet wurden.
- KI-generierte Daten müssen kenntlich gemacht werden, damit sie nicht mit Daten und Beobachtungen aus der realen Welt verwechselt werden können.
- Sicherstellung, dass Ergebnisse wissenschaftlich fundiert sind und keinen Schaden anrichten. Das Risiko, dass KI etwa durch die verwendeten Trainingsdaten „voreingenommen“ wird, muss möglichst geringgehalten werden.
- Forschende sollen, zusammen mit Politik, Zivilgesellschaft und Unternehmen die Auswirkungen von KI überwachen und gegebenenfalls Methoden und Regeln anpassen.
4.5 OpenAI und Ethik
Wenn es eine KI-Firma gibt, die mit Künstlicher Intelligenz gleichgesetzt wird, dann ist es OpenAI, die Firma hinter ChatGPT. Im Gespräch mit einem ehemaligen OpenAi-Vorstandsmitglied und Expertin für KI-Politik, wird in diesem Podcast (ca. 40 Min in Englisch) über die bestehenden Wissenslücken und Interessenkonflikte zwischen denjenigen, die für die Entwicklung der neuesten Technologie verantwortlich sind, und denjenigen, die unsere Politik auf Regierungsebene gestalten, diskutiert.
4.6 Stanford: Datenschutz, Ethik und Sicherheit durch maschinelles Verlernen (Machine Unlearning)
Die Aspekte Datenschutz, Ethik und Sicherheit des ML-Produktmanagements behandelt dieser Blogbeitrag zu Machine Unlearning am Standford AI Lab. Dabei geht es um Technik, um private, veraltete oder urheberrechtlich geschützte Daten, einschließlich unsicherer Inhalte oder Fehlinformationen, zu entfernen ohne das Modell von Grund auf neu zu trainieren.
4.7 ChatGPT kann reden, ehemalige Beschäftigte dürfen nicht
Passend zur Diskussion um ethische Anforderungen an die Geschäftsausrichtung von OpenAI hier ein Beitrag zu Verschwiegenheitsverpflichtungen ausgeschiedener Beschäftigter von OpenAI.
4.8 Was muss HR über die KI-VO wissen?
Personalabteilungen und KI. Dieser Beitrag ist sicherlich nicht der letzte zu dem Thema KI-VO (AI Act). In einem Überblick werden anhand von Beispielen relevante Weichenstellungen thematisiert.
4.9 Beziehungen zu Bots
Wir hatten schon zu der Thematik der ethischen Fragestellungen bei den technischen Möglichkeiten, einen Avatar Verstorbener erstellen zu können, berichtet. Wie kann sich die Beziehung zu fiktiven Avataren gestalten, als Lebenskamerad oder Haustier wie in Japan? Hier auch ein Beitrag „KI als Freundin“ des srf (ca. 38 Min) zu der Thematik (und nicht wundern, der Beitrag ist teilweise in Schweizerdeutsch).
4.10 AI Act: Verpflichtungen für Anbieter
Der AI Act adressiert verschiedene Akteure, einer davon ist der Anbieter (Art. 3 Ziffer 3 KI-VO), also
eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich.
Welche Verpflichtungen sich für Anbieter ergeben, wird in diesem Webseitenbeitrag dargestellt. Es finden sich auch Darstellungen der vier Risikostufen bei KI-Modellen.
4.11 KI Governance – Beispiele und Aussagen
Welche Anforderungen ergeben sich bei der Governance von KI in Unternehmen/Einrichtungen? Dazu finden sich immer mehr Beiträge, die sich damit befassen. Eine kleine Auswahl nachfolgend, das sind sicherlich nicht die letzten Veröffentlichungen dazu:
- Die Kanzlei CMSH befasst sich mit der KI-Governance Struktur nach der KI-VO
- Das Beratungsunternehmen Deloitte thematisiert die Umsetzung regulatorischer Vorgaben und die Festlegung der richtigen Verantwortlichkeiten bei der Umsetzung europäischer Daten- und KI-Initiativen auch am Beispiel des Data Acts. Dazu wurde auch ein Papier veröffentlicht: „Heldensuche im Dschungel der Datengesetze – Verantwortlichkeiten bei der Umsetzung europäischer Daten- und KI-Regulatorik“.
- Mit der Verantwortlichkeit KI-Governance im Unternehmen befasst sich auch dieser Beitrag der Kanzlei Vischer aus der Schweiz, auch mit Vorgehensempfehlungen.
4.12 HAI Stanford: Halluzinationen bei juristischen Modellen
Eine neue Studie des Institute for Human-Centered AI (HAI) der Stanford University zeigt, dass selbst maßgeschneiderte juristische KI-Tools, die „halluzinationsfreie“ Zitate versprechen, in erschreckend vielen Fällen halluzinieren. Die Ergebnisse erfordern laut HAI ein strenges und transparentes Benchmarking von KI-Tools im Rechtswesen. Aber bitte dabei beachten, dass von Studie nur US-amerikanische Angebote umfasst waren.
4.13 LLM und Betroffenenrechte
Mit den Fragestellungen und derzeit diskutierten Lösungsmöglichkeiten zu datenschutzrechtlichen Betroffenenrechten bei der Nutzung von Large Language Modells befasst sich dieser Newsletter. So thematisiert er auch die Unterscheidung in das KI-Modell einerseits und die KI-Anwendung andererseits auch mit Blick auf die Gewährleistung der datenschutzrechtlichen Betroffenenrechte im Stadium des Einsatzes einer KI-Anwendung. Auch werden Aussagen der Datenschutzaufsichten zitiert.
4.14 KI-Campus: Kostenlose Lernangebote
Offiziell soll es die Beta-Version sein. Merkt man ihr aber kaum an. Zumindest ich nicht. Der KI-Campus ist die Lernplattform für Künstliche Intelligenz mit kostenlosen Online-Kursen, Videos und Podcasts zur Stärkung von KI- und Datenkompetenzen. Als F&E-Projekt wird der KI-Campus vom Bundesministerium für Bildung und Forschung (BMBF) gefördert. Der Stifterverband, die Charité, das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI), die Duale Hochschule Baden-Württemberg (DHBW), die FernUniversität in Hagen, das Hasso-Plattner-Institut (HPI), die Humboldt-Universität zu Berlin, das mmb Institut und NEOCOSMO entwickeln den KI-Campus gemeinsam mit zahlreichen Partnern.
4.15 EU: AI Risks in the Workplace
Der Think Tank des Europäischen Parlaments hat ein Papier zu Risken durch KI in der Arbeitswelt veröffentlicht. Darin konzentriert sich die Betrachtung auf den Einsatz von KI am Arbeitsplatz und beleuchtet den aktuellen Stand des algorithmischen Managements am Arbeitsplatz sowie einige Fragen im Zusammenhang mit den Daten, die Algorithmen nutzen und erzeugen. Es bietet einen Überblick über den derzeitigen Top-Down-Ansatz der EU-Gesetzgebung, über die vom Europäischen Parlament eingebrachten Erkenntnisse und über die Fortschritte bei Tarifverhandlungen, die das Potenzial eines Bottom-Up-Ansatzes zur Ergänzung des KI-Einsatzes verdeutlichen. Das Briefing befasst sich mit dem potenziellen Einsatz von Ruheklauseln im bestehenden EU-Rechtsrahmen und hebt – unter Berücksichtigung der Ansichten von Arbeitgebern und Gewerkschaften – die vielen offenen Fragen hervor, die noch bestehen.
4.16 Frankreich: KI-Bericht mit Handlungsfeldern
Die französische Kommission für künstliche Intelligenz hat ihren Bericht veröffentlicht und 25 konkrete Empfehlungen für KI in Frankreich gegeben. Diese Empfehlungen umfassen Bereiche wie Fähigkeiten, Investitionen, Rechenleistung, Zugang zu Daten, öffentliche Forschung und globale Governance. Der Bericht ist das Ergebnis einer 6-monatigen Teamarbeit, die 600 Anhörungen, 7.000 Konsultationen und 25 Plenarsitzungen umfasst. Neben dem Vollbericht gibt es auch eine Zusammenfassung. Dabei werden sechs Haupthandlungsfelder adressiert:
- Investitionen in Höhe von 10 Mrd. Euro, um das Entstehen des KI-Ökosystems und die Transformation der französischen Wirtschaftsstruktur zu finanzieren;
- Frankreich zu einem bedeutenden Standort für Rechenleistung ausbauen;
- Erleichterung des Zugangs zu Daten: im Bereich der personenbezogenen Daten durch Modernisierung des Mandats der Commission nationale de l’informatique et des libertés (CNIL – Frankreichs Datenschutzbehörde) und ihres Verwaltungsrats, Abschaffung bestimmter Verfahren zur vorherigen Genehmigung des Zugangs zu Gesundheitsdaten und die Verkürzung der Antwortzeiten;
- im Bereich der kulturellen Daten die technische Infrastruktur zu schaffen, um das Training von KI-Modellen auf französischen und europäischen kulturellen Daten unter Wahrung der Rechte am geistigen Eigentum zu fördern;
- Experimentieren mit einer „KI-Ausnahme“ in der öffentlichen Forschung: Befreiung der Forscher von administrativen Zwängen, Aufwertung ihrer Vergütung, Verdoppelung der Ressourcen der öffentlichen Forschung spezialisiert auf KI;
- Förderung einer globalen KI-Governance: Schaffung einer Welt-KI-Organisation zur Bewertung und Beaufsichtigung von KI-Systeme sowie Schaffung eines internationalen KI-Fonds, der dem öffentlichen Interesse dient.
4.17 Schweiz: Projektsteckbriefe Kompetenznetzwerk
Das Bundesamt für Statistik BFS Datenwissenschaft, KI und statistische Methoden Geschäftsstelle Kompetenznetzwerk für künstliche Intelligenz (CNAI) hat eine Übersicht Projektsteckbriefe Kompetenznetzwerk CNAI veröffentlicht. Sie umfasst insg. 83 Seiten.
4.18 Did you train on my dataset?
Das ist der Titel einer Veröffentlichung, in der dargestellt wird, wie Urheberrechtsverletzungen durch unerlaubtes Training für große Sprachmodellen (LLMs) aufgespürt werden könnten. Es werden dazu Methoden vorgestellt, mit denen festgestellt werden könne, ob einzelne Textsequenzen zu den Trainingsdaten des Modells gehören, so genannte Membership Inference Attacks (MIAs).
4.19 AI-Act-Verpflichtungen
Welche Verpflichtungen sich für wen aus dem AI Act ergeben, ist hier dargestellt.
4.20 Was ist ein KI-System?
Gleich in Art. 3 Abs. 1 des AI Acts versucht sich der Gesetzgeber an einer Definition, anhand derer dann geprüft werden muss, ob diese Verordnung Anwendung findet. Einen Beitrag dazu finden Sie hier. Der Beitrag verdeutlicht anschaulich, wie Juristen mit gesetzlichen Regelungen umgehen, indem sie einzelne Begrifflichkeiten („Tatbestandsmerkmale“) durchprüfen, um, sofern alle erfüllt sind, dann Rechtsfolgen ableiten zu können.
Sobald bei einer Fragestellung an einen Juristen für diesen aus der Fragestellung die Bewertung der Erfüllung von Tatbestandsmerkmalen nicht möglich ist, weil dazu z.B. noch Informationen fehlen, dann beginnt die Antwort meist mit „Das kommt darauf an …“.
4.21 Global Index on Responsible AI
Wer wissen will, was weltweit zum Thema KI / AI-Regulatorik passiert, dem sei der Global Index on Responsible AI empfohlen. Darin werden 138 Länder betrachtet.
4.22 Microsoft zu GDPR & Generative AI
Microsoft hat mittlerweile Papiere für spezielle Zielgruppen veröffentlicht. Dem Papier GDPR and Generative AI – A Guide for Customers folgte nun ein Whitepaper GDPR and Generative AI – A Guide for the Public Sector. Bei der Ankündigung verspricht Microsoft, dass dieser Leitfaden speziell auf Kunden zugeschnitten sei, die der GDPR unterliegen und das volle Potenzial der generativen AI-Lösungen von Microsoft verstehen und nutzen wollen. Microsoft befasst sich darin mit den wichtigsten Verpflichtungen im Rahmen der DS-GVO, die Organisationen des öffentlichen Sektors bei der Beschaffung von generativen KI-Diensten wie Copilot für Microsoft 365 und Azure OpenAI Service berücksichtigen müssen. Es enthält auch Informationen über die damit verbundene Unterstützung und die Ressourcen, die Microsoft anbieten kann, einschließlich in Bezug auf Transparenz, Rechte der betroffenen Personen, Verpflichtungen des Auftragsverarbeiters, technische und organisatorische Sicherheitsmaßnahmen, DSFA und internationale Übertragungen von personenbezogenen Daten.
4.23 Wie prompte ich besser?
Im Prompt Report veröffentlichten Wissenschaftler ihre Erkenntnisse aus Untersuchungen, welche Techniken und Vorgehensweisen bei der Erstellung eines Prompts helfen, um die Ergebnisse zu verbessern. Den Report finden Sie unter dem obigen Link, einen Bericht dazu dort.
4.24 Geheimnis um Trainingsdaten
Es kommt, wie es kommen muss: Einerseits nerven bestimmte Wirtschaftsgruppen seit Jahren damit von Daten als Gold und Öl des 21. Jahrhunderts zu kommunizieren – und dann stellt sich heraus, dass damit eigentlich immer nur die Daten anderer gemeint sind. Überträgt man diese Metapher auf die analoge Welt, wären Wirtschaftsbereiche, die nur das Öl und Gold anderer nutzen wollen ohne zu zahlen, eher ein Thema für Kriminologen. Nun veranlasst aber der AI Act, dass Anbieter ihre Trainingsdaten offenlegen müssen. Dass diesen das nicht gefällt, wird hier berichtet.
4.25 Kinderbilder als Trainingsdaten für KI
Seit Jahren – wenn nicht gar Jahrzehnten – warnen Datenschützer davor Kinderbilder ins Netz zu stellen. Selbst Berichte durch Journalisten in massentauglichen Medien halfen wenig, um die Selbstdarstellung von Eltern und weiteren Verwandten über Verbreitung von Kinderbildern einzugrenzen. Nun lesen wir, dass Kinderbilder in Brasilien auch zum Training von KI verwendet wurden und damit die Grundlage bieten, um auch zur Erstellung von Deepfakes mit sexuellem Hintergrund genutzt zu werden. Und deswegen sollten wir uns nicht wundern.
4.26 Web-Scraping von Verlagsseiten
Verlagsseiten versuchen mit technischen Mitteln ihre urheberrechtlich geschützten Inhalte vor Web-Scraping zu schützen, das scheint aber KI-Anbieter nicht zu stören, wie ein Lizenzierungsunternehmen in diesem Beitrag angibt.
4.27 Auswirkungen der KI auf Arbeitsplätze
Welche beruflichen Tätigkeiten werden durch den Einsatz von Künstlicher Intelligenz ersetzt? Eine Studie von November 2023 wurde nun ergänzt. Sie hat den Titel “Who Is AI Replacing? The Impact of Generative AI on Online Freelancing Platforms” und ist hier verfügbar.
4.28 Dokumentationsansätze bei KI im europäischen Kontext
Es ist nicht einfach, den Titel der Veröffentlichung „The landscape of data and AI documentation approaches in the European policy context“ prägnant in die Überschrift zu packen. Letztendlich geht es um die Umsetzung von Transparenzanforderungen, dafür haben die Autor:innen die nach ihrer Ansicht 36 relevantesten von mehr als 2.200 Arbeiten zum Thema vertrauenswürdige KI identifiziert. Sie bewerten ihre Relevanz aus dem Blickwinkel der europäischen Regulierungsziele, ihre Abdeckung von KI-Technologien und Wirtschaftssektoren sowie ihre Eignung die spezifischen Bedürfnisse verschiedener Interessengruppen anzusprechen. Abschließend werden die wichtigsten festgestellten Dokumentationslücken erörtert. Dazu gehört auch die Notwendigkeit Praktiken der Dateninnovation (z. B. Datenaustausch, Datenwiederverwendung) und groß angelegte algorithmische Systeme (z. B. in Online-Plattformen) besser zu berücksichtigen.
4.29 HAI Stanford: Risikovorhersagemodelle und „Label Bias“
Eine nun veröffentlichte Studie vom HAI Stanford (Human-Centered Artificial Intelligence) mit dem Titel „Risk Scores, Label Bias, and Everything But the Kitchen Sink“ untersucht die Herausforderungen in Risikovorhersagemodellen, bei denen die Verwendung von zu vielen Daten zu Ungenauigkeiten aufgrund von „Label-Bias“ führen kann, indem die Modelle ungeeignete Proxys verwenden, anstatt die tatsächlichen Ergebnisse von Interesse zu messen.
Risikovorhersagemodelle werden in verschiedenen Sektoren wie Kreditvergabe, Hochschulzulassung und Gesundheitswesen verwendet, um potenzielle Ergebnisse auf der Grundlage von Daten vorherzusagen.
Diese Modelle folgen oft einem „Kitchen-Sink“-Ansatz, bei dem davon ausgegangen wird, dass mehr Daten bessere Vorhersagen liefern. Die Studie zeigt, dass dieser Ansatz möglicherweise nicht ideal ist, da er zu einer sogenannten „Label-Verzerrung“ führen kann. Eine Label-Verzerrung tritt auf, wenn Modelle Proxys verwenden – eine Ersatzmessung, die verwendet wird, wenn keine direkten Messungen verfügbar sind. Die Studie legt nahe, dass ein einfacherer Ansatz mit Modellen, die weniger Datenpunkte verwenden, sowohl die Genauigkeit als auch die Fairness dieser Vorhersagen verbessern könnte. Dieser Ansatz priorisiert direkte und relevante Daten gegenüber einer breiten Palette weniger relevanter Informationen, was zu Modellen führt, die nicht nur leichter zu verstehen, sondern möglicherweise auch gerechter in ihren Ergebnissen sind.
4.30 OECD: AI, Data Governance and Privacy
Was für eine Ansammlung von Buzz-Wörtern im Titel! Dieser Bericht der OECD konzentriert sich laut Aussagen der OECD auf die Risiken und Chancen für den Datenschutz, die sich aus den jüngsten KI-Entwicklungen ergeben. Er ordnet die in den OECD-Datenschutzrichtlinien festgelegten Grundsätze den OECD-KI-Prinzipien zu, zieht eine Bilanz der nationalen und regionalen Initiativen und schlägt mögliche Bereiche für eine Zusammenarbeit vor. Der Bericht unterstützt die Umsetzung der OECD-Datenschutzrichtlinien neben den OECD-KI-Grundsätzen. Durch das Eintreten für eine internationale Zusammenarbeit soll der Bericht die Entwicklung von KI-Systemen anleiten, die die Privatsphäre respektieren und unterstützen. Den Bericht finden Sie hier.
4.31 Übersicht – Aussagen von Datenschutzaufsichten zu KI
Eine Weiterbildungsorganisation listet hier verschiedene Aktivitäten unterschiedlicher Datenschutzaufsichten zu Künstlicher Intelligenz auf.
4.32 Feministische, afrikanische Ethik für nachhaltige KI
Ja, ich habe auch zuerst gezuckt, als ich das las – und das machte mir deutlich, wie verknüpft ich doch immer noch in meiner weißen, nordhalbkugelgeprägten Welt denke, als ich einen Hinweis auf eine Veranstaltung mit dem Titel „Feministische afrikanische Ethik für nachhaltige KI-Digitalisierung: feministisch & dekolonial“ las. Also, auch wenn die Veranstaltung schon vorbei ist, mal gelegentlich dran denken, mit welchen Daten wir trainieren und ob jeder Prompt tatsächlich erforderlich ist.
4.33 Investieren in KI
Mal was ganz anderes: Ein Ratgeber für Investoren, aber mit der Betonung des „Responsible Investing in AI“. Dazu gibt es auch Flowcharts.
4.34 Künstliche Intelligenz in Gemeinden
Hier ist das Wortprotokoll einer Veranstaltung in Österreich hinterlegt, bei der es vier Impulsvorträge gab, wie „Mensch, Organisation und KI – aus der Praxis & für die Praxis“, „KI braucht Dateninputs – Was ist noch notwendig für Digitalisierungsinitiativen in Gemeinden?“, „KI und rechtliche Rahmenbedingungen: Beschaffung und digitale Innovation – von Datenschutz, Urheberrecht bis zur Ausschreibung“ und „KI im Deutschen und Schweizer Gemeindeumfeld“.
5 Veröffentlichungen
5.1 Comparison: Global Data Privacy and Security Handbook
Über das Angebot der Webseite einer internationalen Kanzlei können rechtliche Anforderungen aus verschiedenen Ländern aus dem regulatorischen Umfeld zu Daten abgefragt werden. Das Global Data Privacy & Cybersecurity Handbook soll jährlich aktualisiert werden. Es hat den Anspruch detaillierte Übersichten anzubieten und damit einen vergleichenden Blick auf die zunehmend komplexen und anspruchsvollen Datenschutz- und Sicherheitsstandards in über 50 Ländern zu ermöglichen.
5.2 SNV: Nachrichtendienste und Umgang mit Daten
Hier finden sich zwei Meldungen der Stiftung neue Verantwortung (SNV), die irgendwie zueinander passen. Einerseits wird in einem Impuls die Stärkung des Datenschutzbeauftragten als Schlüssel zu einer effektiveren Nachrichtendienstkontrolle gefordert, fast zeitgleich aber auch die Informationsbeschaffung der Nachrichtendienste durch Datenzukäufe angesprochen – und deren rechtsstaatliche Bewertung.
5.3 Konsequenzen aus EuGH C-604/22 (IAB Europe)
In einem freundlicherweise frei zugänglichen Fachbeitrag werden die Auswirkungen des Urteils des EuGH in C-604/22 (IAB Europe) im Hinblick auf die Online-Webebranche analysiert. Die Entscheidung schaffe Klarheit über die Einordnung von Endgeräteinformationen als personenbezogene Daten und die Verteilung der Verantwortlichkeit bei der programmatischen Versteigerung von Werbeplätzen in Echtzeit in digitalen Angeboten auf Basis von Nutzerprofilen. Dabei werden insbesondere eine Genese zur Rechtsprechung des EuGH zur gemeinsamen Verantwortlichkeit wie auch Folgeprobleme und die Auswirkungen für die Praxis (z.B. bei der Gestaltung der Einwilligungen) thematisiert.
5.4 TUM CDPS: Leitfaden Social Media für Beschäftigte im öffentlichen Dienst
Das Center for Digital Public Services (CDPS) an der TUM (Technische Universität München) veröffentlichte einen „Social Media Leitfaden für Beschäftigte im Öffentlichen Dienst“. Dabei heben sie hervor, dass die Vorteile von Social Media vielen bekannt seien. Den meisten sei hingegen nicht bekannt, wie man sich auf Social-Media-Plattformen rechtskonform verhält bzw. was im Umgang mit Social Media erlaubt oder nicht erlaubt sei. Die Ausführungen des Quick Guides sollen daher Unklarheiten beseitigen und einen ersten Einblick darin geben, was bei der privaten Nutzung von Social Media aus rechtlicher Sicht zu beachten ist. Dabei wurde sich an insgesamt zwölf in der Praxis besonders häufig auftretenden Fragen orientiert. Den Leitfaden gibt es auch als pdf und in einer barrierefreien Version.
5.5 Mittelstand sieht EU-Cybersicherheitsgesetze als Wettbewerbsvorteil
Im überraschenden Gegensatz zu sonstigen Umfragen bei Unternehmern zur Regulatorik zu Datenschutz und Informationssicherheit gibt es hier positive Resonanzen. So würden 75% der Befragten bestätigen, dass die Einhaltung der europäischen Cybersicherheits- und Datenschutzgesetzgebung für den Mittelstand zusätzliche Arbeit und Kosten bedeutet, aber diese Anstrengungen seien laut der Befragten letztendlich die Investition wert. Das mag wohl daran liegen, dass hier 750 IT-Sicherheitsentscheidungsträger aus Deutschland, Frankreich, Belgien und den Niederlanden befragt wurden. Weitere Zahlen aus der Studie werden hier dargestellt.
5.6 Angriffe über Computer-Games
Über ein Angriffsszenario wird hier berichtet: Mittels Fernzugriff auf ein Computerspiel werden Cyberangriffe gesteuert. Der Name des Games ist dann fast schon sarkastisch zu sehen: Minesweeper.
5.7 Leitfaden Cyberversicherung
Und da wir gerade bei Tipps rund um Cyberangriffe sind: Der bitkom hat einen Leitfaden zum Thema Cyberversicherung herausgebracht. Neben Beschreibungen der Bedrohungslage, den Möglichkeiten vor einem Angriff und Empfehlungen nach einem Angriff enthält dieser u.a. auch Hinweise auf Kriterien, die beim Abschluss einer Versicherung eine Rolle spielen sollten.
5.8 Datenschutz als Eckpfeiler der digitalen Rechtsakte der EU
Zum 20. Jahrestag des Europäischen Datenschutzbeauftragten erschien dieser öffentlich zugängliche Beitrag* für die Festschrift. In “Follow the (personal) Data: Positioning Data Protection Law as the Cornerstone of EU’s ‘Fit for the Digital Age’ Legislative Package” wird die Beziehung zwischen dem bestehenden EU-Datenschutzrecht, insbesondere Art. 8 der EU-Grundrechtecharta (das Recht auf den Schutz personenbezogener Daten) und der DS-GVO, und dem neuen digitalen Regelwerk der EU, das im Jahr 2020 durch den Plan der Europäischen Kommission „Ein Europa, das fit ist für das digitale Zeitalter“ angekündigt wurde, untersucht. Da die meisten dieser Rechtsetzungsinitiativen inzwischen verabschiedet und in Kraft sind, wird in dieser Analyse der Gedanke vertreten, dass das EU-Datenschutzrecht unweigerlich der Eckpfeiler aller Rechtsrahmen ist, die das Verhalten in der digitalen Wirtschaft und im digitalen Raum im Zusammenhang mit personenbezogenen Daten regeln sollen. Sie stützt sich auf Stellungnahmen und Erklärungen, die in erster Linie vom Europäischen Datenschutzbeauftragten, manchmal in Verbindung mit dem Europäischen Datenschutzausschuss, veröffentlicht wurden, sowie auf die Rechtsprechung des EuGH zur Anwendung von Art. 8 der Charta. Dies zeigt, dass ungeachtet der Anzahl, der Komplexität und der Tiefe der verschiedenen Rechtsakte, die sich auf das Verhalten und die Beziehungen im digitalen Raum konzentrieren, letztlich das Datenschutzrecht und die mit seiner Durchsetzung betrauten Aufsichtsbehörden im Mittelpunkt des Schutzes der Grundrechte des Einzelnen und der Gesellschaft vor Risiken und Systemrisiken stehen, die sich aus dem Einsatz jeglicher Technologie, die auf der Verarbeitung personenbezogener Daten beruht, sowie aus dem Austausch personenbezogener Daten zwischen Unternehmen und Behörden ergeben.
* Franks Anmerkung: Ohne SSRN-Account ist der Download etwas umständlicher: Auf der Seite oben rechts auf „Download without registration“ klicken, dann darunter auf die erschienene Schaltfläche „Download“ klicken. Und dann sollten Sie den Beitrag schon haben.
5.9 Recht auf Vergessenwerden in LLM
Die Kennzeichnung von LLM-basierten Produkten als „Forschungsvorschau“ oder „Experiment“ reicht nicht aus, um die Einhaltung des in der DS-GVO verankerten „Rechts auf Vergessenwerden“ zu gewährleisten, wenn personenbezogene Daten dabei verarbeitet werden. Das Löschen personenbezogener Daten aus KI-Systemen ist nicht so einfach wie das Löschen einer Datei von einem Computer. Die Komplexität dieser Anforderungen sind seit längerem bekannt und werden in diesem Artikel „Right to be Forgotten in the Era of Large Language Models: Implications, Challenges, and Solutions“ (Stand Sept. 2023) beschrieben. Der Beitrag widmet sich aber auch in Kapitel 4 denkbaren Lösungsansätzen.
5.10 Data Act und Datenpotenziale
Mit den Möglichkeiten der Datennutzung unter dem Data Act befasst sich dieser Beitrag einer Beratungsfirma. Dabei wird auch exemplarisch dargestellt, dass es bereits zwei Initiativen auf europäischer Ebene gibt: Gaia-X zielt darauf ab eine sichere und föderierte Dateninfrastruktur in Europa zu schaffen, um die Datenhoheit und Transparenz zu erhöhen und Simpl schafft eine auf Open Source basierende, smarte und sichere Middleware-Plattform, die den Datenzugriff und die Interoperabilität zwischen europäischen Datenspeichern unterstützt.
Es werden aber auch Konsequenzen dargestellt, die sich daraus ergeben, dass nun Gerätenutzer:innen als originäre Berechtigte der erzeugten Daten anerkannt werden. Ähnlich wie in der DS-GVO, werden die Rechte der Kund:innen in der Beziehung zu Unternehmen im Bezug auf ihre Daten massiv gestärkt. Der regulatorische Ansatz der EU im Daten(-schutz)recht leite dadurch in die Richtung eines menschenzentrierten Datenmodells, in welchem die Privatperson gestärkt werde ihre persönlichen und erzeugten Daten zu kontrollieren und mit beliebigen Parteien ihrer Wahl zu teilen. Der Vorgang des Teilens könne hierbei durch vielerlei Methoden stattfinden.
Bisher geschieht das meist durch die manuelle erneute Eingabe von Daten durch Kund:innen. Zukünftig und mit Bezug auf den Data Act könnte dies auch durch direkte Daten-Übermittlung zwischen zwei Unternehmen geschehen.
Denkbar wäre aber dies nach den Ausführungen auch durch eine stärkere Rolle sogenannter “Personal Data Stores” (PDS) wie etwa über das SOLID Protokoll. Daten werden hierbei primär unter direkter Kontrolle der Privatperson gehalten und selektiv mit Unternehmen geteilt oder durch Unternehmen ergänzt. Auch in Kombination mit anderen technologischen Entwicklungen (Stichwort: cookieless future und damit die Notwendigkeit Daten für Personalisierungszwecke auf neuen Wegen zu erlangen) erscheint dies den Autoren als eine denkbare Möglichkeit.
5.11 bitkom: Positionspapier zum Digital Marketing
Der bitkom veröffentliche ein Positionspapier auf Englisch „Beyond the Cookie – Examining the intersection of data privacy and digital marketing”. Darin werden u.a. der aktuelle und künftige Stand des Ökosystems der Online-Werbung erörtert sowie die etablierte Geschäftsmodelle und häufig diskutierte Themen wie kontextbezogene oder personalisierte Werbung behandelt. Zudem werden die technologischen und rechtlichen Grundlagen angesichts der Innovation und des raschen technologischen Wandels erörtert, die ein gutes Nutzererlebnis gewährleisten. Mit dem Positionspapier soll politischen Entscheidungsträgern und Behörden eine ausgewogene Sichtweise darüber vermittelt werden, wie sich Online-Werbung verantwortungsvoll weiterentwickeln kann, um die Bedürfnisse von Verbrauchern und Unternehmen in einer sich ständig wandelnden digitalen Landschaft zu erfüllen. Aber natürlich sollen auch die Belange des Datenschutzes nicht nachrangig priorisiert werden.
5.12 Kennzahlen zu KRITIS
Aus einer Anfrage über FragDenStaat ist eine Antwort des BSI veröffentlicht worden, aus der sich Links auf einige Kennzahlen zu KRITIS in Deutschland ablesen lassen.
5.13 Veranstaltung in Wien zu sechs Jahren DS-GVO
Welche Erfahrungen wurden bisher mit diesem weitreichenden Regelwerk gemacht? Wird das Grundrecht auf Datenschutz heute in allen 27 EU-Mitgliedstaaten gleichermaßen geschützt und durchgesetzt oder gibt es immer noch Unterschiede? Haben die Mitgliedstaaten die von ihnen in die DS-GVO hineinverhandelten Spezifizierungsklauseln sinnvoll genutzt oder haben sie nationale Gesetze erlassen, die die Wirkung der gemeinsamen EU-Datenschutzvorschriften untergraben? Trägt die DS-GVO dazu bei EU-Datenschutzstandards in andere Länder der Welt zu exportieren oder erschwert sie den freien Datenfluss mehr als nötig? Sind die neuen EU-Digitalgesetze wie der Data Act und AI Act willkommene Ergänzungen und Verstärkungen der DS-GVO oder stellen sie das Datenschutzsystem der EU (teilweise) in Frage?
Diese Fragen standen im Mittelpunkt der Diskussionen von Expertinnen und Experten aus Wissenschaft und Praxis bei einer englischsprachigen Konferenz an der Universität Wien stattfand und die auf YouTube (Dauer ca. 3:10 Std) nachgesehen werden kann.
5.14 Informationen zu Cookies
Die verbraucherzentrale informiert auf ihrer Webseite rund um das Thema Cookie: Wie funktionieren Cookies, wie sollte man mit ihnen umgehen und wie kann man sie löschen?
5.15 Auswirkungen der DS-GVO auf Produktinnovationen
In dieser Studie vom Oktober 2023 mit dem Titel „The impact of the EU General data protection regulation on product innovation“ wird die Auswirkung der DS-GVO auf Produktinnovationen untersucht. Durch die Verpflichtung der Unternehmen ihre Datenschutzstrategie zu aktualisieren, bestand die Befürchtung, dass diese Regulatorik die Verwendung personenbezogener Daten erschweren könnte, was sich möglicherweise negativ auf die Produktinnovation auswirke. Diese Studie liefert Belege für die wahrscheinlichen Auswirkungen der GDPR auf die Innovation. Dabei wurde festgestellt, dass die DS-GVO zu einer erheblichen Verlagerung von radikalen zu inkrementellen Produktinnovationen führte. Die Ergebnisse deuten darauf hin, dass die DS-GVO die Unternehmen veranlasste ihr Datenmanagement tiefgreifender umzugestalten, als sie es ohne die Verordnung getan hätten, wodurch sich Möglichkeiten zur Verbesserung bestehender Produkte eröffneten. Die zusätzlichen Ressourcen, die für die Einhaltung der DS-GVO erforderlich sind, schränkten die Fähigkeit der Unternehmen, völlig neue Produkte zu entwickeln, ein.
5.16 Schadenersatzhöhe bei Datenpannen
Mit der Frage der Höhe der Schadenersatzzahlungen bei Datenpannen und der Auswirkungen auf bestimmte Geschäftsmodelle befasst sich dieser Kurzbeitrag aus einer Fachzeitschrift, der freundlicherweise veröffentlich wurde.
5.17 Lizenzkosten des Bundes bei Microsoft
Billig wird es bei Microsoft selten. Trotzdem überraschen die Zahlen, die anlässlich einer Anfrage im Bundestag veröffentlicht wurden. Nach diesem Bericht sind es für 2023 immerhin 1,2 Mrd. Euro (nur Bund ohne Länder!).
5.18 Dialogforum des ORF: Zu staatlichen Kontrollmöglichkeiten durch KI
In einer Talkshow des ORF (Dauer ca. 60 Min.) werden aktuelle Fragen zum Einsatz von IT, KI und den Optionen der Beeinflussung, Diskriminierung und Einflussnahme auf demokratische Prozesse erörtert. Teilnehmende sind u.a ein hochrangiger EU-Beamter und die Chefin des Messenger-Dienstes „Signal“, die bereits an anderer Stelle ankündigte, wie ihr Dienst auf die Einführung der Chatkontrolle reagieren würde.
5.19 Entstehung der DS-GVO
Wer sich dafür interessiert, wie alles begann, oder wer in verklärter Erinnerung schwelgen will, dem sei diese veröffentliche Dissertation ans Herz gelegt: „Die Entstehung der EU-Datenschutz-Grundverordnung“.
5.20 OECD: The intersection between competition and data privacy
Wie passen wettbewerbsrechtliche Aspekte und Datenschutz zusammen? Die DS-GVO bietet dazu z.B. in ErwGr. 43 einen Anhaltspunkt, der bei einer Einwilligung Probleme für die Wirksamkeit bestimmt, wenn zwischen den Teilnehmenden ein eindeutiges Ungleichgewicht besteht. Im Fall Meta / BKartA (C-252/22) hat der EuGH entschieden, dass auch eine marktbeherrschende Stellung eine Einwilligung nicht grundsätzlich ausschließt. Dennoch gibt es weiterhin Diskussionen, wie datenschutzrechtliche Einwilligungen im Marktverkehr einzuordnen sind. Die OECD hat sich auch mit dieser Thematik bei einer Veranstaltung (OECD Roundtables on Competition Policy Papers) befasst.
Dabei geht es darum das Verständnis von Geschäftsmodellen auf digitalen Märkten zu verbessern und die Zusammenarbeit zwischen Wettbewerbs- und Datenschutzbehörden zu stärken. Die Wettbewerbsbehörden betrachten den Datenschutz zunehmend als Qualitätskomponente und beziehen Datenschutzaspekte in ihre Bewertungen ein. Gleichzeitig beginnen die Datenschutzbehörden die Marktdynamik bei ihren Analysen zu berücksichtigen. Das Paper wurde hier veröffentlicht.
5.21 Microsoft reagiert auf Kritik an Recall
Bei der Funktion „Recall“ werden alle paar Sekunden Screenshots der Bildschirmoberfläche erstellt, die dann auch zur Suche durch den Nutzer diesen können. Natürlich gab das Kritik (wir berichteten). Nun kündigt Microsoft an, dass dies Funktionalität zu einem späteren Zeitpunkt im kleineren Rahmen im „Windows-Insider-Programm“ getestet werden solle.
5.22 bitkom: Bilder von Kindern im Netz
Bislang fiel mir der bitkom nicht besonders auf, wenn es um behutsamen Umgang mit personenbezogenen Daten im Netz ging. Manches Geschäftsmodell von Mitgliedsunternehmen spricht da ja doch dagegen. Umso bemerkenswerter ist es, wenn nun auch der bitkom zum sensiblen Umgang mit Bildern, insbesondere von Kindern, mahnt und auf die rechtlichen Rahmenbedingungen zum Umgang mit Bildern von Kindern hinweist, auch bezüglich sozialer Medien. Und ja, ganz versteckt am Ende wird noch kurz darauf hingewiesen, dass dies natürlich auch für Bilder von Erwachsenen gelte. Ach.
5.23 noyb: Ist die Google Sandbox datenschutzkonform?
Google wirbt damit, dass ihre „Privacy Sandbox“ datenschutzkonform sei. Jetzt kennt jede/r sicher auch schon Beispiele, wo die Verwendung des Wortes „Privacy“ mehr Hinweise auf Marketingzwecke denn Kompetenz vermittelt. Wenn sich aber noyb bei der österreichischen Aufsicht beschwert, ist es doch ernster zu nehmen. Bemängelt wird dabei u.a., dass über die Nutzung der Sandbox API eine Einwilligung zum Tracking im Browser hinterlegt werde, während der Nutzer auch aufgrund der Gestaltung der Pop-up-Fenster davon ausgeht, dadurch vor Tracking geschützt zu sein.
Zur Zuständigkeit führt die Beschwerde aus, dass sich der Verarbeitungsvorgang ja im Browser der Nutzer erfolge, so dass dadurch das Element des grenzüberschreitenden Datenverkehrs entfiele.
Also merke: Nicht überall, wo „Privacy“ draufsteht, kann man auch das erwarten, was der Name eigentlich vermitteln sollte!
5.24 Mozilla und Werbung
Die Mozilla-Corporation nimmt für sich in Anspruch besonders datenschutzfreundliche Leistungen anzubieten. Nun wird berichtet, dass sie einen Werbedienstleister übernommen hat, der sich ebenfalls rühmt datenschutzfreundliche, digitale Leistungen nur im Bereich der Werbung anzubieten. Beide versprechen sich davon so den Standard für die Werbebranche zu erhöhen.
5.25 USA, Privacy & History
Es ist immer wieder schön, das Vorurteil abbauen zu helfen, wir Europäer, insb. wir Deutsche wären den US-Amerikanern im Bereich Datenschutz weit voraus – auch historisch. Hier findet sich eine schöne Darstellung der University of Michigan, die den Werdegang von „Privacy“ in den USA darstellt. Und natürlich gibt es Unterschiede im Scope zwischen „Privacy“ und „Datenschutz“; genauso wie bestimmte gesetzliche Regularien in den USA nur Schutzbereiche für US-Bürger schaffen. Aber wir werden nur dann ein weltweites, einheitliches Verständnis erreichen, wenn wir die historisch gewachsenen Interpretationen inhaltlich zusammenführen und nicht nur Etikettenschwindel betreiben.
5.26 Betroffenenbenachrichtigung per Flugblatt
Betroffene sind nach einer Datenschutzverletzung zu benachrichtigen, wenn dadurch für sie ein hohes Risiko droht. Bislang kannte ich dies durch direkte Information oder früher auch mal durch Anzeigen in entsprechenden Tageszeitungen. In Schottland wurde nun eine ungewöhnliche Information gewählt: das Verteilen von Flugblättern. Die Datenpanne betraf nach einem Cyberangriff das dortige Gesundheitssystem. Rund 148.000 Personen mussten nach diesem Bericht informiert werden.
5.27 Passwortsicherheit
Wie schnell ist ein Passwort zu knacken? Damit befasst sich dieser Beitrag.
5.28 DANA zu Gesundheitsdatenschutz
Aufgrund des aktuellen Schwerpunktthemas hat die Deutsche Vereinigung für Datenschutz e.V. (DVD) ihre aktuelle Ausgabe der Datenschutz Nachrichten „DANA“ frei zugänglich auf die Webseite gestellt.
5.29 Auswärtiges Amt: Deutschland im Fokus einer Desinformationskampagne
Jetzt könnte ich mich genüsslich zurücklehnen und denken, das habe ich mir schon lange gedacht, bei manchen Aussagen im (betrieblichen) Kontext zu datenschutzrechtlichen Fragestellungen. Aber nein, das Auswärtige Amt bezieht sich dabei auf pro-russische Urheber, die mittels „Doppelgänger-Meldungen“ Irritationen und widersprüchliche Positionierungen fördern wollen – leider teilweise erfolgreich. Der 28-seitige Bericht ernüchtert, mir fällt jedoch kein wirksames Gegenmittel ein, wie wir Teile der Bevölkerung befähigen ihre grundsätzlich Bereitschaft zu Kritik auch bereits bei der Auswahl der Quellen von Information einzusetzen.
Die Erkenntnisse des Berichts lassen sich auch mit dieser Meldung über Chatbots abgleichen, die russische Desinformation verbreiten.
5.30 Teletrust im Podcast zu E-Mail-Verschlüsselung
Im TeleTrusT-Podcast „E-Mail-Verschlüsselung“ auf Soundcloud mit ca. 42 Min Dauer werden viele Fragen rund um die Verschlüsselung behandelt, u.a. zur Funktionalität, Zertifikate, Signaturen, Spam und KI. Darüber hinaus werden aktuelle Möglichkeiten der Schutzmaßnahmen zur Authentifizierung durch Technologien wie SPF, DKIM und DMARC angesprochen und es wird auf moderne Prüfverfahren bei der Abwehr von Spam, Phishing und Malware eingegangen.
5.31 Aktuelles zu TikTok
Hier befasst sich ein Newsletter ausführlich mit der Nutzung von TikTok im dienstlichen Umfeld, verweist u.a. auf die Ausführungen des LfDI Baden-Württemberg und dessen Checkliste und macht Hoffnung, dass TikTok datenschutzkonform zu nutzen sei. Und die Hoffnung stirbt ja bekanntlich zuletzt.
5.32 Hilfsmittel zu DORA und NIS2
Ich hatte schon mal darauf hingewiesen und tue es gerne wieder: Zusammenfassungen, Erläuterungen und Übersichten zu NIS2 und DORA sind hier auf dieser privaten Seite anschaulich und kostenlos verfügbar. Zum Beispiel ein Puzzle mit einer Übersicht der 26 fachlichen DORA Domänen, ein Puzzle mit Focus auf mandatorische Zeitvorgaben oder ein Puzzle mit einer umfassenden Übersicht auf Basis des DORA-Puzzles. Herzlichen Dank!
5.33 Anforderungen an DSB
Hier mal wieder Hinweise, welche Anforderungen eine Person haben sollte, der die Aufgaben nach Art. 37 ff DS-GVO übertragen werden soll. Natürlich gibt es das berufliche Leitbild des BvD, aber auch aus der spanischen Aufsicht AEPD gibt es definierte Anforderungen oder auch die Zertifizierungsreferenzen der CNIL oder den Standard NEN-EN 17740:2023 zu den „Requirements for professional profiles related to personal data processing and protection”.
5.34 Datenpanne bei Gefängnisdienstleister
Gefängnisinsassen sollen den Kontakt zu Angehörigen auch während der Haftstrafe halten können, um eine Wiedereingliederung in die Gesellschaft zu fördern. Hilfreich sind da Videokonferenzen. Leider sind diese wohl nicht so sicher, wie sie sein sollten, fand nun eine Sicherheitsforscherin heraus. Nach mehrmaligem Hinweis bemühte sich auch der Hersteller um eine Korrektur.
5.35 Misstrauen gegen Microsoft?
In einem Blogbeitrag werden verschiedene Vorkommnisse aufgelistet, die dabei Microsoft zugerechnet werden. Wer will den ersten Stein werfen?
Franks Nachtrag: Am Ende des verlinkten Blogbeitrags werden Alternativen zu Microsoft-Diensten verlinkt. Gut so.
Franks zweiter Nachtrag: Ich hätte da auch noch einen Grund für Misstrauen gegen Microsoft: noyb, bitte erläutern Sie.
5.36 Kritik an den Anforderungen und dem Procedere zu C5
Der Nachweis von ausreichenden Sicherheitsmaßnahmen kann auch über ein BSI-C5-Zertifikat erbracht werden. Dies sieht z.B. auch die EVB-IT vor, die der bitkom zum Cloudeinsatz der öffentlichen Verwaltung ausgehandelt hat (wir berichteten). Aber auch Anbieter von Gesundheitsdienstleistungen müssen dies ab 1. Juli 2024 vorweisen können (auch hier berichteten wir). Damit befasst sich kritisch dieser Beitrag.
5.37 Interface: „Navigating the EU Cybersecurity Policy Ecosystem“
Die Stiftung neue Verantwortung heißt jetzt interface. Geblieben ist der professionelle Anspruch. Wie hier in einer Darstellung der europäischen Cyber-Sicherheitslage mit dem Titel „Navigating the EU Cybersecurity Policy Ecosystem“.
5.38 Veranstaltungen
5.38.1 Stiftung Datenschutz: Datenschutzzertifikate nach Art. 42 DS-GVO -neu-
02.07.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz präsentiert in ihrer Reihe „Datenschutz am Mittag“ einen Überblick über den aktuellen Stand der Datenschutz-Zertifikate nach Art. 42 DS-GVO. Dabei werden die Anforderungen an und Funktionsweisen von Datenschutz-Zertifikaten erläutert, Vor- und Nachteile diskutiert und mögliche Alternativen angesprochen. Weitere Informationen und Anmeldung hier.
5.38.2 HmbBfDI: „Hey, Hamburg! Wie läuft‘s mit Medienerziehung und Datenschutz?“
03.07.2024, 09:00 – 16:30 Uhr und 17:30 – 18:30 Uhr, Hamburg: In dieser zweiteiligen Veranstaltung aus der Reihe „Digitale Vorbilder“ mit der Mitwirkung des HmbBfDI geht es um Impulse für die medienpädagogische Arbeit mit Kindern und Familien. Der erste Teil richtet sich an Menschen, die im pädagogischen Alltag mit Kindern, Jugendlichen und Eltern arbeiten und bietet konkrete Handlungsanweisungen, praktische Tipps und kompetente Ansprechpartner:innen. Dabei werden die Aspekte des Schutzes der Privatsphäre von Kindern und Jugendlichen betrachtet und wie wir uns sicher durch die digitale Welt bewegen. Medienkompetenz ist nicht nur im privaten Kontext wichtig, sondern gewinnt auch im pädagogischen Alltag immer mehr an Bedeutung. Weitere Informationen zu den Inhalten finden sich hier. Die Anmeldung ist hinter diesem Link.
Im zweiten Teil befassen sich in einem Podiumsgespräch Expert:innen aus den Bereichen Datenschutz, Pädagogik und Politik mit den Fragen, an welchen Stellen es Nachholbedarf gibt und wo mehr Unterstützung gefragt ist. Die Teilnahme ist ohne Anmeldung möglich, weitere Informationen dazu hier.
5.38.3 LfDI Mecklenburg-Vorpommern: „Hey, MV! Wie läuft‘s mit Medienerziehung und Datenschutz?“
04.07.2024, 9:00 – 16:00 Uhr, Güstrow: Auch in Güstrow findet ein Fachtag für Menschen statt, die in ihrem beruflichen Alltag mit Kindern, Jugendlichen und Eltern zusammenarbeiten und Impulse für die eigene medienpädagogische Arbeit brauchen. Neben konkreten Handlungsanleitungen und praktischen Tipps von kompetenten Ansprechpersonen gibt es eine Mappe mit den im EU-Projekt “DigitaleVorbilder“ erstellten Bildungsmaterialen. Außerdem erwarten die Teilnehmenden ein umfassendes “Info-Büfett” mit Materialien vieler bekannter Player aus der Medienbildung. Weitere Informationen und Anmeldung hier.
5.38.4 IHK Nürnberg: „Sustainable AI“ -neu-
04.07.2024, 18:00 – 20:00 Uhr, Nürnberg: Im Rahmen des Nürnberg Digital Festivals veranstaltet die Hochschule Ansbach den KI-Stammtisch zusammen mit dem Mittelstand-Digital Zentrum Franken in der IHK Nürnberg. Es werden spannende Impulsvorträge von Expert:innen zu den Themen KI und Nachhaltigkeit, sowohl aus Sicht der Wissenschaft als auch aus wirtschaftlicher Sicht, angekündigt. Fragen stellen, mitdiskutieren und Netzwerken ist ausdrücklich erlaubt und erwünscht. Weitere Informationen und Anmeldung hier.
5.38.5 NEGZ: „Datenschutz im deutschen Besteuerungsverfahren“ -neu-
05.07.2024, 12:30 – 13:30 Uhr, online: Das Thema „Datenschutz im deutschen Besteuerungsverfahren – Die behördliche Datenweiterverarbeitung im Überblick“ wird im Rahmen des Brown Bag Lunchmeetings des Nationalen E-Government Kompetenzzentrums (NEGZ) thematisiert, das online per Zoom stattfindet. Weitere Informationen und Anmeldung hier.
5.38.6 MfK Nürnberg: Daten-Dienstag – „Strategien gegen Hatespeech im digitalen Raum“
09.07.2024, 19:00 – 20:30 Uhr, nur vor Ort in Nürnberg: Das Museum für Kommunikation Nürnberg lädt erneut zu einem Abend der Reihe „Daten-Dienstag, Privatheit im Netz“ ein. Eine versierte Rechtsanwältin informiert zum Thema „Rechtliche und praktische Strategien gegen Hatespeech im digitalen Raum“ und gibt Einblicke in die sich ständig weiterentwickelnde Rechtslage und praktische Herausforderungen. Weitere Informationen und Anmeldung hier. Die Reihe ist Bestandteil des Angebots der Woche nuernberg.digital erforderlich.
5.38.7 Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“ -neu-
19.07.2024, 10:00 – 16:00 Uhr, Berlin und online: Am DatenTag der Stiftung Datenschutz wird das Thema „Soziale Medien und Datenschutz“ thematisiert. Das genaue Programm steht noch nicht fest, aber die Anmeldungen sind bereits möglich. Mehr dazu hier.
5.38.8 Privacy Ring: „Transparenz im Spannungsfeld des Datenschutzes“ -neu-
19.07.2024, 14:00 – 17:30 Uhr, Wien: Bei dieser Veranstaltung des Privacy Rings geht es um Transparenzanforderungen. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Gesichtserkennung und Fehler in Großbritannien
Warum es manchmal doch besser ist, einer KI mit Gesichtserkennung blind zu vertrauen, zeigt ein Fall aus Großbritannien über den die BBC berichtete. Wer möchte schon gerne aufgrund einer Fehlzuordnung als Ladendieb angesprochen werden und ein Hausverbot bekommen – und zwar bei allen Läden, die diese Technologie einsetzen? Glücklicherweise konnte es aufgeklärt werden und der Hersteller entschuldigte sich für das Missverständnis. Auf seiner Webseite weist das Unternehmen auch darauf hin, dass nach einer vier Jahre dauernden Untersuchung die zuständige Datenschutzaufsicht keine Maßnahmen gegen Facewatch einleitete und Facewatch die Anforderungen auf Basis eines berechtigten Interesses erfülle. Auch finden sich auf der Seite weitere Informationen zu den datenschutzrechtlichen Gestaltungen.
Etwas weniger harmonisch zeigen sich aber auch andere Fälle, über die hier berichtet wird.
6.2 Rund um Sylt
Jetzt haben sich hoffentlich die Wellen rund um Sylt und die Ereignisse vom Pfingstwochenende etwas geglättet. Was war geschehen: Ein paar junge Erwachsene waren auf einem Video zu sehen, wie sie offenbar in bester Feierlaune bei einem alten Disco-Hit ausländerfeindliche Parolen sangen, verbotene Gesten zeigten und dabei teilweise fröhlich in die Kamera blickten. Dies führte dazu, dass sich viele in den sozialen Medien empörten, versuchten die Personen zu identifizieren und deren Arbeitgeber informierten. Strafanzeigen wurden gestellt, Kündigungen und Hausverbote ausgesprochen. Hier findet sich ein Beitrag, der sich mit der Frage der Weiterleitung des unverpixelten Videos befasst und den Möglichkeiten der Veröffentlichung von Namen und Daten der Beteiligten.
Leider befassen sich die dort befragten Medienrechtlicher nicht mit der datenschutzrechtlichen Thematik des Vorgangs, das finde ich spannend, ist doch durch den EuGH mit dem Urteil C-101/01 seit 2003 geklärt, dass das Hochladen ins Internet eine Verarbeitung darstellt, die eine datenschutzrechtliche Grundlage braucht.
Was aber auch ins Bild passt ist, dass für die Verbreitung rassistischer Inhalte TikTok fast schon prädestiniert ist – und außer zu ein paar Krokodilstränen bei Marketingverantwortlichen auf LinkedIn zu keinen weiteren Reaktion führt, obwohl durch sie Social Networks jahrelang mit den Vorlieben der Nutzenden zur Profilbildung gefüttert wurden, und diese nun auf einmal als demokratiegefährdend erkannt werden.
6.3 Meta und die Wahlfreiheit zur KI-Nutzung
Wer sich an der Meldung stört, dass seine Daten auf Facebook oder Instagram durch Meta zum Trainieren der KI genutzt werden, kann dem widersprechen. Der Konzern Meta bietet in seinen Produkten eine Option der Nutzung der eigenen Post zum Training der KI zu widersprechen. Unterstellen wir mal, dass sich die Unternehmen dann auch daran halten, finden sich hier bei der verbraucherzentrale Hinweise, wie dies über die Online-Formulare bei Facebook und bei Instagram vorgenommen werden kann.
Die verbraucherzentrale informiert dabei auch, wie vorgegangen werden soll, wenn eigene Daten aus anderen Quellen in der KI-Anwendung von Meta verwendet werden. Auch dafür gibt es ein Formular (Facebook), über das der Zugriff auf eigene Daten von so genannten Drittanbietern angefordert werden kann. Drittanbieter sind zum Beispiel Firmen, von denen Meta Daten bezieht, um seine KI-Modelle zu trainieren. In das Formular sind Prompts anzugeben, über die die Daten zum Vorschein kamen. Prompts sind die Befehle, die Sie eingeben, damit die KI etwas generiert (Bild, Text, Video etc.). Über das gleiche Formular können auch eigene personenbezogenen Daten von Drittanbietern korrigiert oder gelöscht und gegen deren Verwendung Widerspruch eingelegt werden.
Dabei erlaube ich mir auch zu erinnern, dass Personen gefragt werden sollten, wenn Daten von oder über sie bei einem dieser Netzwerke eingestellt werden sollen. Und die Antwort sollte auch respektiert werden.
6.4 Gewinn durch Geschädigtenbeteiligung
Ich hätte es mir nicht ausdenken können: Wie entschädige ich Personen, die unter meinem Geschäftsmodell litten? Ich beteilige sie. So reagiert nach dieser Meldung zumindest ClearView AI, die sich mit fragwürdiger Gesichtserkennungssoftware einen Namen machten.
6.5 Klage von Meta wegen illegaler Überwachung
Die nächste Meldung, bei der ich mir etwas die Augen reibe, wenn ich lese, dass Meta ein anderes Unternehmen verklagt, weil dieses Nutzer überwacht. Meta wirft der NSO-Gruppe vor, mit deren Software Pegasus rund 1.400 WhatsApp-Kunden illegal überwacht zu haben.
6.6 Desinformationen, Dark Influencer und Algorithmen
Wer es konkreter nachlesen will, wie über Algorithmen im Internet die Aufmerksamkeit der Nutzer gelenkt, gesteuert und letztendlich manipuliert wird, kann sich hier informieren. Vielleicht vor bedeutsamen Wahlen wie in den USA oder einzelnen Bundesländern nicht die beste Lektüre vor dem Einschlafen.
6.7 Wie nutzen wir Daten am besten?
Einen guten Überblick über Anforderungen und Lösungsmöglichkeiten hinsichtlich der Nutzung von Daten konnte in der Anhörung des Ausschusses Digitales im Bundestag gewonnen werden, in dem es um innovative Ansätze in der Datenpolitik ging. Die Aufzeichnung ist hier auf den Seiten des Bundestages verfügbar (Dauer ca. 1:55 h). Natürlich geht es auch um die Zuständigkeit der Datenschutzaufsichten und auch darum, dass Abgeordnete den Datenschutz als Bremse sehen, anstatt rechtliche Grundlagen für eine Datennutzung zu schaffen (Beispiel Weiterleitung von Notrufdaten). Aber auch die Thematiken der Anonymisierung und der „Privacy-enhancing technologies“ wurden angesprochen.
7 Sonstiges/Blick über den Tellerrand
7.1 ICQ hört auf
Das kennt die Gen Z sicher nicht – und wenn, würde es ihre Aufmerksamkeitspanne überfordern die letzten 27 Jahre zu erklären. Eines der ersten sozialen Netzwerke kündigt seine Einstellung an. Zur Historie mehr dazu hier.
Mir bleibt der Hinweis, der nie verkehrt ist: Doch nochmal zu prüfen, ob Accounts, die länger nicht benutzt wurden, auch formell zu löschen sind, dann verringert sich das Risiko, dass bei einem ungewollten Datenabzug oder mangelhaften Abwicklung auf einmal doch private Daten im Netz auftauchen.
7.2 Australien: Anhebung der Altersgrenze
In Australien versucht eine Initiative die Anhebung der Altersgrenze zur Nutzung von Social Media von 13 auf 16 Jahre zu erreichen, also um eine Verlängerung um 36 Monate. Begründet wird dies mit den vielfältigen Risiken, die Jugendliche durch die Nutzung drohen. Inder EU ist in der DS-GVO die Altersgrenze für die Einwilligung „in Dienste der Informationsgesellschaft“ auf 16 Jahre gelegt, die Mitgliedstaaten können dies bis auf 13 Jahren ändern. Deutschland hat davon bisher keinen Gebrauch gemacht. Bis 16 Jahre muss daher die Einwilligung durch die Träger der elterlichen Sorge erfolgen.
7.3 Datenschutzpanne im EU-Parlament
Es menschelt im Europäischen Parlament doch sehr. Zumindest wenn die Angaben über einen Datenschutzvorfall von Anfang Mai 2024 stimmen, bei dem Daten von bis zu 9.000 aktuellen und ehemaligen Beschäftigten von einem Leck im Personalmanagementsystem „People“ betroffen waren. Die kompromittierten Daten umfassten etwa Strafregisterauszüge, Krankenakten, Arbeitsnachweise der vergangenen zehn Jahre, Ansprüche auf soziale Leistungen und zu Versicherungen. Die betroffenen Dokumente beziehen sich auch auf Personenstand, Wohnsitz und weitere Daten aus Ausweisen und Reisepässen, militärische Verpflichtungen, Geburtsurkunden sowie Schulabschlüsse. Die Verwaltung des Parlaments hat ca. zwei Wochen gebraucht, um betroffene Personen zu informieren und benötigte dazu noch die Unterstützung des EDPS.
7.4 Frauen und IT oder die Schweiz und Satire
Der Anteil von Frauen in IT-Berufen wird auch in der Schweiz als ausbaufähig angesehen. Wie der Frauenanteil erhöht werden könnte, haben Vertreterinnen und Vertreter von Verbänden und des Kantons Zürich in einer Medienkonferenz dargelegt, worüber hier berichtet wird. Im Rahmen einer «Women-in-Tech-Initiative» wurde eine Emotions-Toolbox vorgestellt. Das ist ein Dokument, in dem diverse Handlungsanweisungen vereinigt sind, wie die IT-Branche Mädchen und Frauen gezielter ansprechen kann. Hinter dem Leitfaden stehen die kantonalen Zürcher Ämter für Arbeit und Wirtschaft sowie private Verbände und Organisationen. Grundlage der Anweisungen und Empfehlungen ist eine Studie. In dieser wurden die Haltungen von Frauen und Männern untersucht, die schon in der IT-Branche tätig sind oder die sich einen Einstieg überlegen. Die Studie «decke die wahren Empfindungen von Mädchen und Frauen auf», sagen die Autoren. Eine zentrale Erkenntnis sei, dass außenstehende Frauen die IT-Welt als Ort wahrnehmen, an welchem ihnen wichtige Aspekte wie Kreativität und sozialer Austausch keine große Rolle spielen. Frauen, die bereits in der IT arbeiten, widerlegen diese Ansicht jedoch.
Und dann beginnt der unterhaltsame, oder ärgerliche Teil – je nach Humorlage:
Der Leitfaden geht etwa darauf ein, welche Farbwelten in Unterlagen und Designs verwendet werden sollen, um Frauen anzusprechen. Nicht erwünscht sind demnach «typisch technisch-kühle IT-Farben» wie Dunkelblau und Schwarz. Sie weckten «falsche Emotionen», heißt es im Leitfaden. Viel ansprechender sei ein «Mix aus warmen, freundlichen Farben» wie Hellblau, Rosa, Violett – und Pink. Frauen werden laut der Toolbox generell von Farben angesprochen, die «beruhigend» sind. Und «bodenständig».
Essenziell im Umgang mit IT-interessierten Frauen sei zudem eine simple Ansprache. Die Toolbox klärt auf, dass lange Sätze mit viel Text sowie technische und komplexe Passagen ein großes No-Go für Frauen und Mädchen darstellten. Damit auch Frauen einen Zugang zu solchen Schriftstücken fänden, sei es wichtig «eine bildliche, einfache Sprache» zu verwenden, mit kurzen Sätzen und wenig Text.
Ich kommentiere es mal nicht selbst, sondern zitiere eine Werkstudentin aus dem Studiengang „Datenschutz und IT-Sicherheit“: „Wer kennts nicht, man interessiert sich für einen Beruf, weil einem die Farben so gut gefallen!“
7.5 TikTok und Recruiting
Dass sich bei manchen Verantwortlichen beim Recruiting die Kreativität auf TikTok beschränkt, scheint sich herumgesprochen zu haben – und erreichte nun nach diesem Bericht auch die Bundeswehr. Zur Diskussion zum Kanal des Bundeskanzlers hatte ich im Blog bereits auf einen Podcast verlinkt, der sich mit den im Artikel zitierten Beiträgen befasst. Auch bei Olaf Scholz scheint der Zweck die Mittel zu heiligen, die Zahl der Scheinheiligen steigt sozusagen. Dies wird auch hier thematisiert.
Da sind wir mal gespannt, welche Personen dann zu Arbeitskollegen oder zu Bundeswehreinsätzen kommen, wenn diese Generation bereits schon vor gefälschten Produkten gewarnt werden muss. Dagegen scheint in Australien hingegen das Bewusstsein schon etwas weiter, so dass man sich dort um die Datenernte bei bestimmten sozialen Netzwerken, wie eben auch TikTok, sorgt.
7.6 „Telearbeit“ und Zeiterfassung
Eine etwas makabre Fragestellung verbindet sich mit der Zeiterfassung im HomeOffice, bzw. beim mobilen Arbeiten. Verstirbt der/die Beschäftigte im HomeOffice können u.U. versicherungsrechtliche Ansprüche davon abhängen, ob dies während der Arbeitszeit oder außerhalb stattfand. In Spanien führte dies zu einem Rechtsstreit, bei dessen Sachverhalt die verstorbene Person gegen 15 Uhr verstarb, aber dabei nichts im Magen hatte, was die Obduktion ergab. Wie es ausging, lesen Sie hier.
7.7 Kampagne: Fernseher absichern
Vielleicht haben Sie sich euch anlässlich der EM einen neuen Fernseher zugelegt. Und wahrscheinlich gibt es kaum noch welche ohne Internetfähigkeit. Das BSI veröffentlich hier Tipps, wie Fernseher abgesichert werden können, damit sie nicht als Einfallstor für Schadsoftware in das heimische Netzwerken ausgenutzt werden können. In der Kampagne #einfachaBSIchern gibt es auch noch weitere Tipps zur Sicherheit im SmartHome.
7.8 „Wir haben ja nichts gewusst“
Das Thema unzureichender Minderjährigenschutz, intransparente Datenverarbeitung und direkte politische Manipulation durch Desinformation sind keine neuen Vorwürfe, mit denen Geschäftsmodelle rund um soziale Netzwerke konfrontiert werden. Umso unerwarteter erscheint es nun, wenn in zahlreichen Veröffentlichungen und Medien die Auswirkungen auf das Kommunikationsverhalten in der Gesellschaft als neue Erkenntnis dargestellt werden, gerade auch von Verantwortlichen aus dem Marketingumfeld. Und trotzdem diese Netzwerke weiterhin genutzt, gepriesen und gefüttert werden. Ich gestehe zumindest zu, dass ich keinem aus diesem Personenkreis mittlerweile unterstelle, dass sie sich dumm stellen.
7.9 LfM NRW: Befragungswelle zu Cybergrooming
Unter Cybergrooming versteht man die gezielte Anbahnung sexueller Kontakte mit Minderjährigen über das Internet. „Cyber“ steht dabei für die Onlinewelt und „Grooming“ bezeichnet sinnbildhaft Handlungen, die sexuelle Gewalt gegen Minderjährige vorbereiten. Cybergrooming ist eine Form des sexuellen Missbrauchs und bereits der Versuch gilt unter bestimmten Voraussetzungen als strafbar. Täterinnen und Täter bauen ein Vertrauensverhältnis auf, manipulieren, erpressen, bedrängen und kontrollieren ihre Opfer. In dieser Studie gaben 25 % der Kinder und Jugendlichen zwischen 8 und 17 Jahren an, auf Social Media oder in Online-Spielen von Cybergrooming betroffen gewesen zu sein. Prävention ist daher ein wichtiger Schutz vor Cybergrooming.
Kinder müssen frühzeitig lernen, welche Sicherheitsregeln sie beachten müssen, um sich online vor Angriffen zu schützen. Sie brauchen Vertrauenspersonen, an die sie sich wenden können, wenn ihnen etwas seltsam vorkommt oder wenn sie bereits etwas erlebt haben. Viele Kinder und Jugendliche wünschen sich, dass die Gefahren von Cybergrooming ernster genommen werden. 62 % der Befragten möchten in der Schule mehr über dieses Thema erfahren, und 42 % der Kinder und Jugendlichen würden gerne häufiger mit ihren Eltern über Cybergrooming sprechen. Informationen zu der Thematik findet sich u.a. bei Fragzebra oder auch bei der LfM NRW.
7.10 Einfache Sprache
Das Online-Angebot der Tagesschau gibt es jetzt auch in einfacher Sprache*.
* Franks Anmerkung: In der oberen Zeile der Mediathek neben „Tagesschau in 100 Sekunden“…
7.11 Fototapete
Über den urheberrechtlichen Rechtsstreit über die Wahrnehmung von Tapeten auf Bildern, die eine Ferienwohnung anpriesen, hatten wir schon berichtet. Mit dem Thema darf sich nun seit dem 27. Juni 2024 auch der BGH verfassen. Mehr dazu hier.
8. Franks Zugabe
8.1 Apropos KI …
Lassen Sie mich Ihnen in dieser Kategorie ein oder zwei Fundstücke präsentieren:
- Im Rahmen der re:publica erklärt Bundesdigitalminister Volker Wissing, dass KI das Fachkräftemangel-Problem lösen werde… Nachzuschauen in diesem Video (Youtube, ca. 21 Minuten). Na dann… Ist das ja geklärt.
- Weil KI ja so gut Fachwissen kann: Erinnern Sie sich an Meldungen, dass ChatGPT das US-amerikanische Bar-Exam gemeistert habe? Das war wohl (wie so oft) auch eine Frage der Perspektive. Was genau heißt meistern?
- Trotzdem verändert KI natürlich unsere Welt. Mehr dazu in diesem Essay: How AI Will Change Democracy
- Wenn Sie sich fragen, wie denn wohl die Anatomie solch eines KI-Modells ist, hier ist eine Übersicht (die ich nicht übersichtlich finde, was aber bei den Thema nicht unerwartet ist).
- Und noch ein Essay zu den Auswirkungen von KI auf Phishing: AI Will Increase the Quantity—and Quality—of Phishing Scams
- Sony möchte die Effizienz von Filmproduktionen mit KI steigern, sagt diese Quelle.
- Zoom will KI-Klone in Meetings schicken. Warum dann überhauot Meetings abhalten? Aber das ist eine ganz andere Frage…
- Wo KI doch so gut funktioniert, sollten wir sie dort einsetzen, wo es besonders gut hilft: aiBIOS. Gut, dass so ein BIOS ja für die moderne Welt nicht wichtig ist…
- Derweil gründen PwC und Aleph Alpha Joint Venture für KI-Lösungen in der Rechtsberatung. Na, solange sie dafür noch haften…
- Adobe ist kreativ beim Finden von Trainingsdaten für Adobe-KI-Projekte.
- Das KI viel Energie benötigt, ist bekannt. Der Chef von OpenAI hat dafür ein neues Unternehmen gefunden, welches helfen soll. Hört sich schnell umsetzbar an, das…
- Kaufen wir halt solange KI-Briefmarken…
- Und wenn die Kunden dann wütend beim Kundenservice anrufen und sich beschweren, dass die Motive aber nicht realitätsgetreu sind, dann nutzen wir halt Softbanks KI, dann hören sich die Kunden nicht mehr so wütend an…
- Und dann war da noch der Papst als KI-Experte beim G7-Gipfel geladen.
- Wie finde ich eigentlich die Fehler, die meine KI so zusammenhalluziniert? Das ist einfach, ich lasse nur eine andere Instanz die Ergebnisse der ersten Instanz prüfen.
Was soll da schon schief gehen? - Und dann war da noch das LLM-(KI-)Modell, welches komplett in einer Font-Datei kam. Finden Sie hier. Ob ich das nutzen wollen würde?
- Vielleicht müssen wir einfach nur realitisch sein? Vielleicht rechnen sich KI-Projekte nicht? Und das sind ja nicht nur biz leaders, auch bei Goldman-Sachs scheinen sie skeptisch. Und wenn Sie das nun wütend macht, dann habe ich neben der oben schon genannten KI-Lösung noch einen schönen KI-Rant für Sie. Allein schon der Titel „I Will Fucking Piledrive You If You Mention AI Again“ ist pures Gold. Aber es geht natürlich auch wissenschaftlich: Hier ein Springer-Papier zu ChatGPT mit dem Titel: ChatGPT is bullshit. Das ist ja jetzt total unerwartet…
8.2 Das ist doch mal ein Denial of Service!
Es fahren einfach so viele Autos durch einen Blitzer, dass die Software, die daraus die Strafzettel generiert, unter der Last zusammenbricht. Und damit den Blitzer abschaltet. Wie ungewöhnlich… Und für die ersten sicherlich schmerzhaft. Aber dann…
8.3 Kleines Update zu Grindr
Über Grindr hatten wir ja schon öfter berichtet. Über die Klage, über das Bußgeld, über das Gerichtsverfahren gegen das Bußgeld. Nun wurde das Bußgeld scheinbar letztinstanzlich bestätigt. Gut so!
8.4 Windows 11 ist Freeware?
Microsoft KI-Leiter Mustafa Suleyman denkt scheinbar, dass in dem Moment, in dem etwas im Internet veröffentlicht wird, dieses zur „Freeware“ wird, die damit dann jedermann frei kopieren und benutzen kann. So zumindest zitiert in dieser Artikel.
Damit wäre Windows 11 dann wohl auch Freeware, oder? Immerhin kann es doch unter dieser Quelle kostenfrei heruntergeladen werden?
8.5 Cookies finden?
Kennen Sie das? Sie schauen sich eine Webseite an (vielleicht die eigene) und überlegen sich: Wie bekomme ich denn nun heraus, ob ich alle Tracking-Mechanismen (hauptsächlich Cookies) auf dieser Webseite kenne?
Diese Frage habe ich mir schon häufiger gestellt und mir meist mit Plugins zu meinem Browser beholfen.
Aber die Browser selbst können uns da schon viel sagen, wenn wir nur wissen, wo wir schauen müssen. Und da kann Ihnen dieser Beitrag helfen.
8.6 Apropos Ransomware …
Krankenhäuser? Klar. Stadtwerke? Auch. KRITIS-Unternehmen? Manchmal. Hotelketten? Auch gerne.
Alle diese sind schon mal Opfer von Ransomware geworden. Das ist also soweit nichts Neues.
Aber ganze Staaten? Da scheint Indonesien der erste zu sein.
8.7 Und noch ein Podcast …
Ich höre gerne Podcasts, quer durch meinen Gemüsegarten an Interessen. Und da ist mir neulich irgendwie dieser neue Podcast mit dem kurzen Namen „Passwort“, ähh, Moment, richtig schreiben „P@s$w0r7“ ins Auge gefallen. Die ersten Folgen haben mich überzeugt ihn zu abonnieren, das Niveau ist technisch durchaus anspruchsvoll (ich verstehe nicht alles im Detail, was da besprochen wird, aber das muss ja auch nicht sein, manchmal reicht Überblickswissen, um zur richtigen Zeit zu entscheiden Expert:innen hinzuzuziehen), gleichzeitig ist es aber auch erfrischend nerdig. Wenn diese Beschreibung Ihr Interesse weckt, dann hören Sie doch mal rein. In der ersten Folge geht es zum Beispiel um die Cybercrime-Bande Lockbit.
9. Die guten Nachrichten zum Schluss
9.1 Internet-Führerschein für Schüler:innen
Zeit wird´s: Nach dem Fahrradführerschein, der Kindern Sicherheit auf dem Fahrrad und Kenntnis der erforderlichen Regeln bestätigt, fordert nun auch die Kinderschutzkommission des Landtags NRW einen „Internet-Führerschein“ als schulisches Angebot.
9.2 Standardformulierung zur Umorganisation
Nach einigen Jahrzehnten Berufsleben gibt es manche Erfahrungen mit Umorganisationen und deren Rechtfertigung. Eine schöne Formulierung als Begründung findet sich in einem Beitrag zur Reduzierung eines eigentlich gut angenommenen Angebots in Berlin: „Unsere Strukturen haben sich in den letzten Jahren weiterentwickelt und sind zu einem Punkt gelangt, an dem eine Neuausrichtung erforderlich ist“. In diesem Zuge würden die bestehenden Strukturen „in eine neue Organisationsform überführt, um eine nachhaltige und effiziente Arbeitsweise zu gewährleisten.“
9.3 Kampagnen gegen Diskriminierung, Rassismus und Hass
Mit Humor und Doppeldeutigkeiten begegnet die Bildungsstätte Anne Frank Diskriminierungen, sei es im Leben oder online. Dabei geht es exemplarisch um die Beurteilung anderer nach Äußerlichkeiten, belastet mit Vorurteilen. Sehen Sie selbst, die Videos sind auf YouTube verlinkt! Leider sind solche Aktionen bitter nötig!
9.4 Altersgrenze aus Dänemark für Social Media
Die Regulatorik gegenüber den großen Social-Media-Plattformen, die darauf setzte, dass diese selbst eine altersgemäße Inhaltskontrolle steuern, reicht nach Ansicht der dänischen Regierung nicht aus, dass hier durch die Plattformen verantwortungsvoll agiert wird. Sie setzt sich nach diesem Bericht dafür ein, dass europaweit eine Altersabgrenze ab 15 Jahren eingeführt wird.