Hier ist der 11. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 36-38/2024)“ – Die DVD-Edition.
Seit dem letzten Blog-Beitrag sind wieder mehrere Wochen vergangen, also haben wir erneut eine Ausgabe für mehrere Wochen. Und wir haben viele Veranstaltungshinweise (darunter auch wieder reichlich neue).
- Aufsichtsbehörden
- EDSA: Stakeholdereinbezug zur Guideline „Consent or Pay” am 18.11.2024
- BfDI: Amtsantritt
- DSK: Thematisierung der Künstlichen Intelligenz
- BBfDI: Interview zu Microtargeting, KI und Cannabis
- Spanien: Bußgeld für unverschlüsselten USB-Stick mit vertraulichen Daten
- Niederlande: 30 Mio. Euro Bußgeld gegen Clearview AI
- Norwegen: Steuerverwaltung schließt offizielle Facebookseite
- Spanien: Schätzungen, Vorhersagen und der Datenschutz – z.B. das Alter
- Österreich: Billigung der Zertifizierungskriterien der DS-GVO-zt
- Belgien: Maßnahmen gegen ein Medienhaus wegen Cookie-Bannern auf vier Webseiten
- ICO: Data Controller Study
- Schweden: Bußgeld wegen Einbindung von Meta-Pixel gegen Online-Apotheken
- BSI: Cybersicherheitsmonitor 2024: Schutz von Smarthome-Geräten
- EDSA: Stakeholdersuche zu „Consent or Pay“ abgeschlossen
- DSK: Entschließung zu Gesichtserkennung
- DSK: Beschlüsse zu Asset Deals, Patientenakten und Forschungsdaten
- Liechtenstein: Tätigkeitsbericht für 2023
- BBfDI: Tätigkeitsbericht für 2023
- BBfDI: Tätigkeitsbericht für 2023 – MS 365 an Schulen
- BBfDI: Tätigkeitsbericht für 2023 – Datenverarbeitungen durch Rechtsanwälte
- BBfDI: Tätigkeitsbericht für 2023 – Kontaktdaten von Datenschutzbeauftragten
- BBfDI: Tätigkeitsbericht für 2023 – Inhalt von Datenschutzinformationen
- BBfDI: Tätigkeitsbericht für 2023 – Angaben zum Drittstaatentransfer bei Auskunftspflichten
- Niederlande: Benachrichtigungen nach Datenschutzverletzungen
- Irland: Google und Training von KI
- Belgien: Informationen zu KI und DS-GVO
- ICO: Werbe-Cookies ohne Einwilligung
- BSI: NIS2 – was tun?
- BSI: Auswirkungen der Crowdstrike-Panne
- BSI: Untersuchung von Matrix und Mastodon
- ENISA: Thread Landscape 2024
- Rechtsprechung
- EuGH: Gleichsetzung von Beschwerden mit Anfragen gegenüber Datenschutzaufsicht (C-416/23)
- OVG Sachsen: Kein Anspruch auf Akteneinsicht in elektronischer Form bei Papierakten
- OLG München: Weiterleitung an private E-Mail-Adresse als Kündigungsgrund
- ArbG Mannheim: Weiterleitung an private E-Mail-Adresse als Kündigungsgrund
- OLG Köln: Verantwortlichkeit eines Suchmaschinenbetreibers
- VG SH: Anforderungen bei Filmaufnahmen im öffentlichen Raum
- BVwG Österreich: Anforderungen an Cookie-Banner bei Ablehnung
- BVwG Österreich: Weitergabe von Telefonnummer unter Handwerkern
- KG Berlin: Wettbewerbsrechtliche Folgen eines abgelaufenen Zertifikats
- OLG Koblenz: Anforderungen an Widerruf einer Einwilligung
- Kuriose Entscheidungen
- EuGH: Berichtigungsanspruch bei Geschlechtsänderung (C-247/23)
- EuGH: Auskunftsanspruch und Betriebsgeheimnisse (C-203/22)
- EuGH: Unternehmensbegriff bei Geldbußen (C-383/23)
- EuGH: Anforderungen an Auskunftsinteresse bei Gesellschaftsbeteiligung (C-17/22 und C-18/22)
- EuGH: Wettbewerbsrechtliche Entscheidung der Kommission zu Google AdSense aufgehoben
- LG Frankenthal: Fotoaufnahmen bei Hausverkauf – Einwilligung und Auskunft kein Widerruf
- VG Berlin: Datenschutzregelungen bei Zeugen Jehovas
- LG Augsburg: Anforderungen an Einwilligung bei Übermittlung an Auskunftei
- VG Saarbrücken: Klage gegen Sperrung eines Solarkataster aus Datenschutzgründen
- BGH: Abbildungen auf Wohnungsbildern im Netz i.d.R. nicht vom Urheberrecht geschützt
- EuGH-Vorschau: Schrems und Meta – Art.-9-Daten bei Facebook
- EuGH-Vorschau: Umfasst Art. 6 Abs. 1 lit. f DS-GVO auch kommerzielle Interessen?
- EuGH-Vorschau: Wettbewerbsrecht und Datenschutz und Art. 9 DS-GVO (C-21/23)
- EuGH-Vorschau: Fragen zum Schadenersatz nach Art. 82 DS-GVO (C 507/23)
- Gesetzgebung
- Verordnung für Einwilligungsdienste nach § 26 Abs. 2 TDDDG
- Gesichtserkennung – aber sicher
- Zugriff von US-Behörden auf europäische Biometriedaten
- EU-Parlament: Briefing zum AI Act
- AI Act: Beginn der Arbeit am Code of Practice am 30. September 2024
- bitkom: Umdenken in europäischer Verbraucherpolitik gefordert
- EU-Kommission: FAQ zum Data Act
- Sicherheitspaket der Bundesregierung
- EU-Parlament: Studie zur Haftung für KI
- EU-Kommission: Weitere SCC angekündigt
- EU: Chatkontrolle – noch nicht vom Tisch
- NRW: Anhörung von Sachverständigen zur Rechtsverbindlichkeit von DSK-Beschlüssen
- Künstliche Intelligenz und Ethik
- KI und Urheberrecht
- Urheberrecht und Training generativer KI-Modelle
- UNESCO: Rahmenwerk für KI-Kompetenz für Studierende
- DIHK: Aussage und Vorschläge zur Aufsicht zur KI-VO
- BMWK: Studie zur Nutzung von KI
- KI – Grundlagen und Anwendungen
- Künstliche Intelligenz: Konformitäts-Prüfungen
- Googles KI in Suchmaschinen bei US-Wahlen
- AI, ChatGPT und der EDSA
- Auswirkungen der KI-VO im Gesundheitswesen
- Studien zu Sicherheitsthemen bei KI
- Veröffentlichungen
- noyb: Beschwerde wegen automatisierter Entscheidung
- Podcast zu KRITIS
- NIS2: Meldepflichten nach dem geplanten BSiG
- Rückblick des ehemaligen BfDI im Interview
- Erkennung von Insider-Risiken und „Compliance“
- StopNCII und Microsoft
- BSI und LibreOffice
- Whitepaper des BSI zu KI
- Direktmarketing und Kaltakquise
- Podcast-Folge zu gemeinsamer Verantwortlichkeit
- Leitfaden zu datenschutzrechtlichen Anforderungen bei einer Customer Data Platform (CDP)
- Aktuelle Rechtsprechung zum Schadenersatz wegen DS-GVO Verstößen
- Dating-Apps und Sicherheit
- Podcast: „Frauen und Technik“
- Kirchlicher Datenschutz
- Kennen Sie einen datenschutzkonformen Krankenhausdienstleister?
- ULD Sommerakademie: Digitale Datenräume und Archive
- Digitale Souveränität
- bitkom: Wirtschaftsschutz 2024
- Stiftung Datenschutz: Leitfaden zu Mastodon
- BugBounty bei Ministerium in Österreich
- Großflächige TK-Überwachung gegen kriminelles Pädophilen-Netzwerk
- Finanzmarktaufsicht Österreich zu DORA
- OneTrust: Whitepaper PIAs & DPIAs
- Rechtskonforme Newsletter …
- Tür und Tor offen … – Angreifbarkeit von „TOR“
- Podcast zu MS 365 – aber nicht nur …
- Veranstaltungen
- MfK Nürnberg: Daten-Dienstag “Herausforderung Anonymisierung“
- ICO: „Webinar zu PET“
- Bayerische Museen: EDV-Tage für Museen und Kultur-Veranstalter
- Mittelstand-Digital Zentrum Franken: Barcamp „KI und Nachhaltigkeit“
- Stiftung Datenschutz: Webinar „gemeinsam Handeln“
- LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
- Initiative Smarter Start: „Kinder und digitale Medien – die kinderärztliche Perspektive“ -neu-
- KI-Woche des LfDI Baden-Württemberg -neu-
- BSI: NIS-2 für die Wirtschaft – „Was wir schon sagen können“
- bitkom privacy conference -neu-
- D21: GovTalk zu staatlicher digitaler Identität am Beispiel eIDAS-Verordnung
- Stiftung Datenschutz: DFSA und KI-Folgenabschätzung beim Einsatz einer KI-Anwendung -neu-
- ECEC – „European Compliance & Ethics Conference”
- BVDW: DATA:matters -neu-
- TUM: “Datenschutz by Design im europäischen Datenraum“ -neu-
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung -neu-
- CNIL: „Überwachung in all ihren Formen!“ -neu-
- IHK München und Oberbayern: 12. Münchner Datenschutztag
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos KI …
- Opt-out bei der ePA – ein Update
- Stephen Fry zu KI
- Das Geschäft der Cloudanbieter
- Wie Du mir, so ich Dir?
- Das Recht auf Privatsphäre
- Smarte Spielzeuge
- Das IT-Sicherheitskennzeichen des BSI steht für Vertrauen
- Phrack
- So geht gute Information über einen Datenschutzvorfall
- Reden wir wieder normal über Sicherheit
- Trotzdem: Sicherheitsvorfall-Datenbank
- Nochmal Sicherheit: Product Defects
- Und wieder Sicherheit: Über Sicherheitsvorfall hartnäckig berichtet? – Verklagt!
- Kennen Sie den? „Er fuhr Ford …“
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Stakeholdereinbezug zur Guideline „Consent or Pay” am 18.11.2024
Der EDSA ruft auf. Wer bei der Erarbeitung der Guidelines mitwirken will, kann sich für die Teilnahme an einer Veranstaltung am 18.11.2024 bewerben. Ziel der Veranstaltung ist es relevante Erkenntnisse von Organisationen zu sammeln, die über Fachwissen in Bezug auf „Consent or Pay“-Modelle verfügen, bei denen die betroffenen Personen zwischen der Einwilligung in die Verarbeitung personenbezogener Daten für einen bestimmten Zweck oder der Zahlung einer Gebühr wählen müssen. Diese Veranstaltung wird einen Beitrag zu den laufenden Arbeiten des EDPB an den Leitlinien für „Consent or Pay“-Modelle leisten. Diese Leitlinien sind eine Fortsetzung der Stellungnahme 08/2024 des EDSB (wir berichteten), die sich mit dem Modell „Einwilligung oder Bezahlung“ im Zusammenhang mit großen Online-Plattformen befasste. Die Leitlinien werden einen breiteren Anwendungsbereich haben.
Einzelpersonen, die europäische Branchenverbände, Organisationen oder NGOs vertreten, sowie einzelne Unternehmen, Anwaltskanzleien oder Wissenschaftler sind eingeladen an dieser Veranstaltung teilzunehmen (ein Teilnehmer pro Organisation). Die Zahl der Teilnehmer ist begrenzt, um eine sinnvolle Diskussion in einem entfernten Rahmen zu ermöglichen. Der EDPB ermutigt alle Organisationen, die an diesem Thema interessiert sind, einen Vertreter zu entsenden, der über Fachwissen zu diesem Thema verfügt.
Am 12.09.2024 will der EDSA um 10:00 Uhr (Brüsseler Zeit) einen Aufruf zur Interessenbekundung für die Teilnahme an der EDPB-Veranstaltung zum Thema „Einwilligung oder Bezahlung“ veröffentlichen*.
* Franks Anmerkung: Mittlerweile hat der EDSA den Aufruf veröffentlicht und auch schon wieder beendet.
1.2 BfDI: Amtsantritt
Zum 2. September 2024 hat die neue BfDI mit der Ernennungsurkunde durch den Bundespräsidenten ihr Amt angetreten. Die offizielle „Feier“ dazu findet Anfang Oktober 2024 in Bonn statt. Der Amtsantritt wurde begleitet durch eine entsprechende Pressemeldung, vielen guten Wünsche und Erwartungen. Ein Bericht dazu findet sich hier.
1.3 DSK: Thematisierung der Künstlichen Intelligenz
Die Datenschutzkonferenz berichtet, dass bei ihrer Strategietagung das Thema Künstliche Intelligenz ein zentrales Thema darstellte. Sie stellt fest, dass es Aufgabe der Datenschutzbehörden, Behörden und Unternehmen, die KI einsetzen, mit ihrer Expertise für den Schutz personenbezogener Daten eng und praxisorientiert zu begleiten, sei. Dies beginne bereits mit dem Training von generativen KI- Modellen, die ganz offensichtlich das Kernelement der meisten in der Praxis eingesetzten KI-Systeme bilden würden. Wer ihre Funktionsbedingungen rechtlich und technisch genauer analysiere, würde feststellen, dass schon hier in den allermeisten Fällen eine Verarbeitung personenbezogene Daten nicht auszuschließen sei.
Die Datenschutzaufsichtsbehörden waren sich in Speyer auch einig in der Sorge, dass die bisherigen Ankündigungen der digitalpolitischen Schwerpunkte für die jetzt beginnende europäische Legislaturperiode den Datenschutz vernachlässigten. Tatsächlich ergäben sich aus der Nutzung von Künstlicher Intelligenz grundlegende Veränderungen der Durchsetzungsbedingungen für die Rechte und Freiheiten der Bürgerinnen und Bürger. Für ein kohärentes europäisches Daten-, Digital- und KI-Recht bedürfe es einer sorgfältigen Analyse und Diskussion über passgenau spezifische datenschutzrechtliche Anforderungen, die beim Ringen um die KI-Verordnung ausgeblendet wurden.
1.4 BBfDI: Interview zu Microtargeting, KI und Cannabis
In diesem Interview (YouTube, Dauer ca. 5 Min.) äußert sich die Berliner Behördenleiterin zu aktuellen Fragen.
1.5 Spanien: Bußgeld für unverschlüsselten USB-Stick mit vertraulichen Daten
Ein Unternehmen, das sich u.a. mit Rechtsberatung beschäftigt, hatte auf einem unverschlüsselten USB-Stick Daten u.a. auch über strafrechtliche Ermittlungen gegen eine Person gespeichert. Dieser USB-Stick wurde gestohlen. Nach 13 Tagen wurde die zuständige Aufsicht informiert. Die spanische Aufsicht aepd verhängte daher ein Bußgeld in Höhe von 145.000 Euro, auch wenn nicht klar ist, ob jemand Zugang zu den Daten hatte. Die Argumentation, dass eine Belehrung der Beschäftigen als Schutzmaßnahme und regelmäßige interne Audits ausreichen würde, sah die spanische Aufsicht anders. Bericht dazu auch hier.
1.6 Niederlande: 30 Mio. Euro Bußgeld gegen Clearview AI
Clearview AI scrapte alle Bilder, die es weltweit im Internet gab, und bietet damit eine Dienstleistung über biometrische Daten an. Keine gute Idee, meinte auch die niederländische Datenschutzaufsicht und verhängte 30 Mio. Euro Bußgeld, dafür, dass Clearview AI in seiner Datenbank ca. 30 Milliarden Bilder habe – auch von Niederländern. Clearview AI hätte nach Ansicht der Aufsicht die Datenbank mit den Fotos, den eindeutigen biometrischen Codes und anderen damit verbundenen Informationen niemals erstellen dürfen. Dies gilt insbesondere für die Codes. Wie Fingerabdrücke sind dies biometrische Daten. Ihre Sammlung und Verwendung ist verboten. Es gäbe zwar einige gesetzliche Ausnahmen von diesem Verbot, aber Clearview AI könne sich nicht auf sie berufen. Auch würden Transparenzanforderungen nicht eingehalten. Clearview AI informiere die in der Datenbank erfassten Personen nur unzureichend darüber, dass das Unternehmen ihre Fotos und biometrischen Daten verwendet. Auch die in der Datenbank erfassten Personen hätten das Recht auf ihre Daten zuzugreifen. Das bedeute, dass Clearview AI den Personen auf Anfrage mitteilen muss, welche Daten das Unternehmen über sie hat. Clearview AI kommt den Anträgen auf Auskunft jedoch nicht nach.
Interessant ist auch, dass die niederländische Aufsicht nun ankündigt zu prüfen, ob sie auch direkt gegen die Geschäftsführer vorgehen könnte, nachdem bisherige Sanktionen keine Änderung herbeiführten. Auch habe Clearview AI gegen diese Entscheidung keinen Einspruch eingelegt und könne daher auch nicht gegen die Geldbuße vorgehen.
1.7 Norwegen: Steuerverwaltung schließt offizielle Facebookseite
Nach diesem Zeitungsbericht aus Norwegen schließt zum 25. September 2024 die norwegische Steuerverwaltung ihre Facebookseite. Diese Seite hatte bislang über 100.000 Follower. Bislang sei die Seite unter anderem genutzt worden, um Fragen von Bürgern und Unternehmen zur Steuer zu beantworten. Zwar sei Facebook ein effektives Kommunikationsmittel gewesen, aber andere Überlegungen müssten nach Angaben der Kommunikationsdirektorin Vorrang haben. Nach Abwägung des Informations- und Beratungsbedarfs von Bürgern und Unternehmen mit den Erwägungen, die die norwegische Steuerverwaltung in Bezug auf den Datenschutz anstellen muss, hielt sie es für notwendig die Facebook-Seiten zu schließen. Die Schließung der Seite stehe im Einklang mit den Empfehlungen der norwegischen Datenschutzbehörde, die vor drei Jahren zu dem Schluss kam, dass separate Facebook-Seiten ein hohes Risiko für die Rechte der Nutzer darstellen.
Bin mal gespannt, ob die Steuerverwaltung danach zusammenbricht. Seltsam, kein „mimimi“ – da scheint diese Kommunikationsdirektorin aus der Art zu schlagen.
1.8 Spanien: Schätzungen, Vorhersagen und der Datenschutz – z.B. das Alter
Die spanische Aufsicht befasst sich mit unterschiedlichen Möglichkeiten der Datenerhebung. Dabei betrachtet sie auch probabilistische Methoden (= nicht-konstruktives Beweisverfahren). Die Verwendung probabilistischer Methoden für die Verarbeitung personenbezogener Daten kann nach ihrer Ansicht zur Nichteinhaltung der DS-GVO führen, insbesondere im Hinblick auf den Grundsatz der Richtigkeit und die Erfüllung der Anforderungen für das erfolgreiche Bestehen eines Wirksamkeitstests. Dies bedeutet nicht unbedingt, dass diese Methoden überhaupt nicht verwendet werden können: Ein probabilistischer Vorgang könnte einer der Vorgänge sein, die in einer Datenverarbeitung enthalten sind, die die Anforderungen an die Richtigkeit und Wirksamkeit erfüllt. In diesen Fällen sei es wichtig, dass die Datenverarbeitung mit den Operationen durchgeführt werde, die erforderlich sind, um die Ungenauigkeiten oder Fehler, die durch probabilistische Operationen in bestimmten Fällen entstehen, zu erkennen und zu bewältigen. Dann sei es notwendig, die Genauigkeit einer Operation innerhalb der Datenverarbeitung nicht mit der Genauigkeit der Datenverarbeitung selbst zu verwechseln, die es ihr ermöglichen sollte den angegebenen ausdrücklichen Zweck zu erfüllen. Die Aufsicht betrachtet dies am Beispiel der Altersangaben. Altersangaben auf Basis amtlicher Dokumente haben eine andere Relevanz als z.B. Altersschätzung aufgrund von Bildern. Die aepd sieht die Relevanz dieser Thematik auch in den Bereichen Statistik, maschinelles Lernen (ML) und künstliche Intelligenz (KI). Diese Fortschritte seien vor allem durch die Entwicklung und Anwendung probabilistischer Methoden vorangetrieben, die sich als leistungsstarke Werkzeuge für die Verarbeitung großer Datenmengen erwiesen hätten. Diese Methoden ermöglichen es ML- und KI-Modellen aus Daten zu lernen und sich mit der Zeit zu verbessern, indem sie sich an komplexe und häufig wechselnde Muster anpassen. Die Fähigkeit dieser Methoden, mit Unwägbarkeiten umzugehen und aus den verfügbaren Daten Vorhersagen zu treffen, habe dazu geführt, dass sie in einer Vielzahl von Anwendungsbereichen eingesetzt werden. Von Empfehlungssystemen, die relevante Produkte oder Inhalte vorschlagen, bis hin zu Targeting-Lösungen, die Nutzer anhand ihrer vorhergesagten Merkmale oder Vorlieben gruppieren, bilden probabilistische Methoden das Herzstück vieler aktueller digitaler Dienste und Anwendungen.
Lesenswert insb. auch für Personen, die gerne Wahrscheinlichkeiten mit Tatsachen gleichsetzen.
1.9 Österreich: Billigung der Zertifizierungskriterien der DS-GVO-zt
Nachdem der EDSA sich zu den Zertifizierungskriterien der DSGVO-zt GmbH positionierte (wir berichteten) informiert nun die Datenschutzbehörde Österreich, dass die Zertifizierungskriterien gemäß Art. 42 Abs. 5 Satz 1 DS-GVO gebilligt wurden.
1.10 Belgien: Maßnahmen gegen ein Medienhaus wegen Cookie-Bannern auf vier Webseiten
Die belgische Datenschutzaufsicht informiert, dass sie Zwangsgelder gegen ein Medienhaus wegen einer Reihe von Verstößen bei der Verwendung von Cookie-Bannern auf vier Presseseiten verhängte. Ausgangspunkt war eine Beschwerde durch noyb für eine betroffene Person. Die erste Informationsebene der Cookie-Banners habe keine Schaltfläche „Alle ablehnen“ vorgesehen und es seien irreführende Farben für die Schaltflächen verwendet worden. Es wurde auch bemängelt, dass es nicht so einfach sei die Zustimmung zu widerrufen und dass nicht unbedingt notwendige Cookies nur nach Zustimmung gesetzt werden sollten. Prozesstechnisch wurde zwischenzeitlich geklärt, dass es keine Relevanz habe, dass der Beschwerdeführer Praktikant bei noyb war.
Das Medienhaus hat nun 45 Tage Zeit seine Webseiten den Vorgaben der Aufsicht anzupassen, danach gebe es ein Bußgeld in Höhe von 25.000 Euro / Tag. Die Aufsicht geht davon aus, dass die Schaltfläche „Alles ablehnen“ auf der ersten Seite des Cookie-Banners erscheinen solle, damit ein Ablehnen genauso leicht erfolgen könne wie eine Einwilligung. Die Farben der Schaltfläche sollten nicht in auffälliger Weise gestaltet sein, die eine Einwilligung förderten, sondern gleichwertiger. Auch müsse der Widerruf der Einwilligung leichter ermöglicht werden. Bei analytischen Cookies für Marketingzwecke sei zudem eine Einwilligung erforderlich. Das Medienhaus kann diese Entscheidung noch anfechten.
Es wird bei der Information auch auf die Cookie-Checkliste der belgischen Aufsicht verwiesen.
Franks Nachtrag: So berichtet noyb darüber.
1.11 ICO: Data Controller Study
Die Data Controller Study des ICO ist eine Forschungsarbeit, die ihm Einblicke in seine strategischen, regulatorischen und Forschungsaktivitäten verschaffen und diese unterstützen soll. Die Studie wurde durchgeführt, um das Verständnis der Erhebung und Verwendung personenbezogener Daten durch Organisationen zu erweitern, eigene Regulierungsentscheidungen mit umfassenden Erkenntnissen zu untermauern und deren dauerhafte Ziele zu erreichen. Die Studie umfasst eine quantitative Erhebung bei einer repräsentativen Stichprobe von 2.280 Organisationen und qualitative Interviews mit 20 Organisationen.
1.12 Schweden: Bußgeld wegen Einbindung von Meta-Pixel gegen Online-Apotheken
Die schwedische Datenschutzaufsicht informiert, dass sie gegen eine Online-Apotheken ein Bußgeld in Höhe von 3,26 Mio. Euro und gegen eine andere in Höhe von 705.000 Euro verhängte, weil beide in unzulässigerweise personenbezogene Daten über Pixel auf der Webseite an Meta weiterleiteten. Bei der einen waren ca. 500.000 – 1 Mio. Personen, bei der anderen ca. 15.000 Personen (jeweils Webseitenbesucher) betroffen.
So wurden zum Beispiel Daten über den Kauf von rezeptfreien Medikamenten zur Behandlung von beispielsweise spezifischen Gesundheitsproblemen, Selbsttests und der Behandlung von sexuell übertragbaren Krankheiten und Sexspielzeug übermittelt.
Nach Angaben der Datenschutzbehörde haben beide Unternehmen gegen die DS-GVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen ergriffen haben, um ein angemessenes Maß an Schutzmaßnahmen für die personenbezogenen Daten ihrer Kunden zu gewährleisten.
1.13 BSI: Cybersicherheitsmonitor 2024: Schutz von Smarthome-Geräten
Das BSI informiert im Rahmen des Cybersicherheitsmonitors 2024 über den Schutz von Smarthome-Geräten durch Verbraucher:innen. Dies umfasst beispielsweise acht Tipps für ein sicheres Heimnetzwerk oder auch acht Tipps für einen sicheren Umgang mit Smart Speakern. Die Ergebnisse des Cybersicherheitsmonitors 2024 und weitere Tipps finden sich hier.
1.14 EDSA: Stakeholdersuche zu „Consent or Pay“ abgeschlossen
Interessierte und kompetente Personen und Einrichtungen konnten sich beim EDSA bewerben, um als Stakeholder in die weitere Bearbeitung der Fragestellung um „Consent or Pay“ einbezogen zu werden. Das Verfahren sei nun abgeschlossen, teilt der EDSA mit. Am 18. November 2024 findet dazu eine Remote-Veranstaltung mit den Auserwählten statt.
1.15 DSK: Entschließung zu Gesichtserkennung
Aus aktuellem Anlass hat die DSK auch eine Entschließung zur Gesichtserkennungssystemen durch Sicherheitsbehörden im öffentlichen Raum veröffentlicht. Der Einsatz von Gesichtserkennungssystemen kann ein sehr intensiver Eingriff in die Grundrechte der betroffenen Personen sein, dies gelte insbesondere beim Einsatz im öffentlichen Raum. Erfasst werden dadurch viele Menschen, die dafür keinerlei Anlass gegeben haben. Dazu gibt es auch eine Pressemeldung der DSK sowie eine Pressemeldung des HmbBfDI.
Franks Nachtrag: Und hier ein nachdenklicher und lesenswerter Kommentar zur Ausweitung der Sicherheitsbefugnisse, die die Regierung gerade vorantreibt (der Kommentar bezieht sich auf Passagen aus diesem Artikel).
Franks zweiter Nachtrag: Der unten stehende Beitrag beschäftigt sich mit der Privatsphäre, vielleicht wollen Sie dort weiterlesen?
1.16 DSK: Beschlüsse zu Asset Deals, Patientenakten und Forschungsdaten
Mit Pressemeldung vom 12. September 2024 veröffentlichte die DSK Aussagen zu Asset Deals, Patientenakten und Forschungsdaten. Zum Thema Asset Deals ersetzt sie einen früheren Beschluss. Im aktuellen Beschluss zu Asset Deals äußert sie sich zu den verschiedenen Aspekten der Übertragung. Unter dem Begriff des Asset Deals ist dabei ein Unternehmenskauf zu verstehen, bei dem Wirtschaftsgüter/Vermögenswerte (engl.: Assets) eines Unternehmens, wie beispielsweise Grundstücke, Gebäude, Maschinen, Kundenstamm, Rechte etc., im Rahmen der Singularsukzession auf die Erwerberin oder den Erwerber übertragen werden. Ein Asset Deal liegt zum Beispiel vor, wenn eine Einzelunternehmerin oder ein Einzelunternehmer (Veräußerer) ihren bzw. seinen Betrieb an eine Nachfolgerin oder einen Nachfolger (Erwerber) übergibt und diese(r) dabei beispielsweise die Maschinen, den Kundenstamm, die Firmierung etc. übernimmt und den Betrieb fortführt.
Mit einer Entschließung zur kostenlosen Erstkopie der Patientenakte durch eine Regelung des Gesetzgebers will die DSK das Urteil des EuGH (C-307/22) umsetzen, dass nach Art. 15 Abs. 3 DS-GVO alle Patientinnen und Patienten einen Anspruch auf eine unentgeltliche erste Kopie der eigenen Patientenakte haben.
In einem weiteren Beschluss strebt die DSK ein einheitliches Verständnis des Begriffs der „wissenschaftlichen Forschungszwecke“ an. Datenverarbeitungen zu diesen Zwecken werden in der DS-GVO bevorzugt: Für wissenschaftliche Forschungszwecke können Zweckänderungen der Datenverarbeitung erfolgen, können besonders schützenswerte Daten verarbeitet werden, Informationspflichten eingeschränkt werden oder Datenlöschungen unterbleiben. Diese Bevorzugung ist zugleich mit Einschränkungen der Rechte betroffener Personen verbunden. Ein solcher Eingriff ist nur gerechtfertigt, wenn die Forschung methodisch-systematisch erfolgt, auf Erkenntnisgewinn gerichtet und nachprüfbar ist, wenn sie unabhängig und selbständig erfolgt und ein Gemeinwohlinteresse verfolgt.
Und natürlich gibt es – quasi nebenbei – auch eine Aussage zu KI: Auf dem Gebiet der KI beabsichtigt die DSK die Entwicklungen zielführend und konstruktiv zu begleiten. Zentrales Ziel soll dabei sein, Anforderungen und Handlungsempfehlungen zu entwickeln, um KI datenschutzkonform zu realisieren. Hierfür ist es erforderlich aufzuzeigen, wie den Zielen der DS-GVO unter Berücksichtigung der KI-Verordnung in einer Welt der künstlichen Intelligenz größtmöglich Geltung verschafft werden kann.
1.17 Liechtenstein: Tätigkeitsbericht für 2023
Auch die Datenschutzaufsicht Liechtenstein veröffentlicht ihren Tätigkeitsbericht für das Jahr 2023. Neben Informationen zu Beschwerden, Entscheidungen und Statistiken enthält der Bericht auch eine schöne Übersicht relevanter EuGH-Entscheidungen.
1.18 BBfDI: Tätigkeitsbericht für 2023
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BBfDI) veröffentlichte ihren Tätigkeitsbericht für das Jahr 2023 und teilte dabei in einer Pressemitteilung bereits einige Highlights mit. Diese würde ich gern ergänzen um:
1.18.1 BBfDI: Tätigkeitsbericht für 2023 – MS 365 an Schulen
Nach der BBfDI sei die Fortentwicklung des eigenen Lernmanagementsystems auf Open-Source-Basis der zielführendere Weg in Richtung einer digitalen Souveränität im Bildungsbereich (vgl. Ziffer A IV.4). In Berlin dürften nach der dort geltenden Digitalen Lehr- und Lernmittelverordnung (DigLLV) nur freigegebene digitale Angebote eingesetzt werden. Schwierig sei es daher beim Einsatz von digitalen Werkzeugen, deren datenschutzgerechter Einsatz für die Schulen nicht prüfbar sei und nicht nachgewiesen werden kann. Als Beispiel nennt die BBfDI den schulischen Einsatz von Microsoft 365 (MS 365) und explizit auch die Kommunikationssoftware Microsoft Teams. Das Problem bestünde hier darin, dass das Unternehmen Microsoft personenbezogene Daten nicht nur im Rahmen des ihm erteilten Auftrags für die Verantwortlichen, d.h. für die jeweiligen Schulen, sondern darüber hinausgehend auch für eigene Zwecke verarbeite.
1.18.2 BBfDI: Tätigkeitsbericht für 2023 – Datenverarbeitungen durch Rechtsanwälte
In Ziffer A V.7 stellt die BBfDI fest, dass Rechtsanwälte bei gerichtlichen und außergerichtlichen Verfahren Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO sind, weil sie grundsätzlich selbst über die Zwecke und Mittel der Verarbeitung der dabei verwendeten Daten entscheiden. Dabei haben sie aber auch den Erforderlichkeitsgrundsatz zu beachten. Sie nennt hierzu als Negativbeispiel den Fall eines Rechtsanwalts, der im Verfahren gegen eine frühere Mandantschaft zur Beibringung des ausstehenden Mandats mehrere Hundert Seiten der Kopien der Mandatsakte dem Gericht übermittelte, die eine Vielzahl an Informationen über die betroffene Person, darunter auch besonders schutzwürdige Gesundheitsdaten wie ärztliche Gutachten, Diagnoseberichte und Versicherungsunterlagen, enthielten.
Rechtsanwält:innen sollten daher nach Ansicht der BBfDI stets prüfen, ob die Weitergabe personenbezogener Daten für die Geltendmachung eines Anspruchs vor Gericht erheblich bzw. zur Wahrung der klägerischen Darlegungslast für die anspruchsbegründenden Tatsachen notwendig sei. Nicht erforderliche Daten sind unkenntlich zu machen oder auf deren Weitergabe ist zu verzichten. Bei Zweifeln, ob ein Sachvortrag hinreichend substanziiert ist, kann um gerichtlichen Hinweis gebeten werden, ob aus Sicht des Gerichts weitere, ggf. ungeschwärzte Unterlagen erforderlich sind
1.18.3 BBfDI: Tätigkeitsbericht für 2023 – Kontaktdaten von Datenschutzbeauftragten
Die nach Art. 37 Abs. 7 DS-GVO zu veröffentlichten Kontaktdaten der / des Datenschutzbeauftragten werden im Tätigkeitsbericht der BBfDI unter Ziffer A VIII.5 konkretisiert. Dies umfasse nicht nur eine Postanschrift, sondern auch eine E-Mail-Adresse und auch eine Telefonnummer, wenn ansonsten durch den Verantwortlichen mit den betroffenen Personen auch per Telefon kommuniziert würde. Sicherzustellen sei eine Möglichkeit der direkten, vertraulichen Kommunikation.
1.18.4 BBfDI: Tätigkeitsbericht für 2023 – Inhalt von Datenschutzinformationen
Die BBfDI erläutert unter Ziffer A. VIII.6 den Umfang der Datenschutzinformationen, wendet hierbei bei den Empfängern auch das Urteil des EuGH (C 154/21) zu den Angaben im Rahmen der Auskunft an und führt aus, dass es nicht ausreiche nur die Kategorien von Empfängern anzugeben, wenn diese bereits konkret bekannt seien. Dazu gehörten laut BBfDI sämtliche Auftragsverarbeiter und auch Unterauftragsverarbeiter. Komme es dabei zu Datenexporten, zu denen auch Fernzugriffe aus Drittländern und die technisch gegebene Möglichkeit hierzu etwa zu Administrations- oder Supportzwecken gehören, seien diese ebenso in der Datenschutzerklärung anzugeben. Dies gelte insbesondere bei der Nutzung von Cloud- oder US-Diensten und beim Einsatz von Unterauftragsverarbeitern.
Auch die konkreten Aufbewahrungs- und Löschfristen der erhobenen Daten inklusive Fristbeginn und Fristdauer seien anzugeben. Ein pauschaler Verweis auf nicht näher benannte gesetzliche Vorschriften zur Aufbewahrungspflicht sei nicht ausreichend. Es wären die Aufbewahrungs- und Löschfristen für sämtliche Datenverarbeitungen, die sich in Art und Zweck unterscheiden, differenziert zu benennen.
Sie weist auch darauf hin, dass im Rahmen der Rechtsgrundlage der Wahrung berechtigter Interessen nur angegebene Interessen bei der Rechtmäßigkeitsprüfung berücksichtigt werden können und Verantwortliche zudem nachweisen müssten, dass die in Rede stehenden Verarbeitungen zur Wahrung der angegebenen Interessen erforderlich seien.
Ähm. Praxistest gewünscht? Die Datenschutzerklärung von der Webseite der BBfDI findet sich hier.
1.18.5 BBfDI: Tätigkeitsbericht für 2023 – Angaben zum Drittstaatentransfer bei Auskunftspflichten
Nach der BBfDI umfasst ein Auskunftsanspruch nach Art. 15 Abs. 2 DS-GVO auch Details zu den geeigneten Garantien bei einem Drittstaatentransfer (im Bericht unter Ziffer A VIII.7). Liegt kein Angemessenheitsbeschluss vor, so müssten bei einem Drittstaatentransfer auch folgende Angaben bei der Auskunft dargelegt werden:
- Angabe, welche Garantien nach Art. 46 Abs. 2 DS-GVO im Zusammenhang mit der Übermittlung der personenbezogenen Daten der betroffenen Person zum Einsatz kommen;
- Nennung der im konkreten Fall abgeschlossenen Module;
- Nennung der ausgewählten Optionen, Wahlmöglichkeiten oder Eintragungen innerhalb der SCC;
- Zusammenfassung der technisch-organisatorischen Maßnahmen nach Anhang II der SCC;
- Zusammenfassung bzw. Ergebnis des Transfer Impact Assessment;
- Zusammenfassung der ergriffenen zusätzlichen Maßnahmen.
1.19 Niederlande: Benachrichtigungen nach Datenschutzverletzungen
Die niederländische Datenschutzaufsicht stellte Unsicherheiten bei der Umsetzung der Benachrichtigungspflicht der betroffenen Person fest, wenn ein hohes Risiko für die betroffenen Personen nicht ausgeschlossen werden kann.
- Organisationen versenden Warnmeldungen oft viel zu spät. Im Durchschnitt senden sie diese erst mehr als drei Wochen nach der Entdeckung einer Datenschutzverletzung.
- In fast der Hälfte der Nachrichten wird nicht klar angegeben, was passiert ist und welche Daten durchgesickert sind. Die in mehr als der Hälfte aller Nachrichten verwendete Sprache war nicht klar genug.
- Außerdem fehlt in Warn-E-Mails manchmal ein alarmierender Titel oder eine Einleitung, was dazu führt, dass der Empfänger die Nachricht gar nicht erst liest.
Sie verweist dann auf Musterformulierungen, die sie für bestimmte Situationen zur Verfügung stellt.
1.20 Irland: Google und Training von KI
Nach diesem Bericht untersucht die irische Aufsicht die Rechtskonformität des Trainings von Googles KI-Modell PaLM2, insbesondere, ob eine Datenschutz-Folgenabschätzung vor Beginn der Verarbeitung erfolgte. In dem Bericht werden auch die entsprechenden Aktivitäten von Meta (Facebook) und Apple aufgeführt.
1.21 Belgien: Informationen zu KI und DS-GVO
Die belgische Datenschutzaufsicht veröffentlicht Informationen zu den Themen KI und DS-GVO. Diese umfassen eine Broschüre, die auch auf Englisch verfügbar ist, und ein Themendossier (auf Französisch). Die Broschüre richtet sich sowohl an Juristen als auch an Datenschutzbeauftragte und technisch ausgebildete Personen aber ebenso auch an für die Verarbeitung Verantwortlichen und Auftragsverarbeiter, die an der Entwicklung und dem Einsatz von KI-Systemen beteiligt sind. Parallel zu dieser Broschüre startet die Aufsicht ein brandneues Thema auf ihrer KI-Website.
1.22 ICO: Werbe-Cookies ohne Einwilligung
Die britische Datenschutzaufsicht informiert, dass sie gegen Verantwortliche von Plattformen im Internet, die Wetten anbieten, Maßnahmen ergreift, weil diese Cookies ohne erforderliche Einwilligung setzen. Es ist ja auch nicht so, dass der ICO seine Tests nicht angekündigt hat und auch Hilfen zur rechtskonformen Umsetzungen gab, siehe hier.
Manchmal ist es schon erstaunlich, dass sich es bei den verantwortlichen Marketingpersonen noch nicht herumgesprochen hat, dass Webseiten und Apps ohne große technische Kenntnisse auf die Rechtskonformität hinsichtlich des Cookie-Einsatzes geprüft werden können. Ich versuche mich dann damit zu trösten, wie schön es ist, dass so viele Menschen noch authentisch geblieben sind.
1.23 BSI: NIS2 – was tun?
Unter diesem Titel bietet das BSI Antworten zur Gestaltung der internen Verantwortung, Bestandsaufnahme Verbesserungen der Informationssicherheit. Meldepflichten und Lageberichten
1.24 BSI: Auswirkungen der Crowdstrike-Panne
Das BSI hat über Umfragen zusammen mit dem bitkom nach den Folgen des Vorfalls vom 19. Juli 2024 gefragt, bei dem durch ein Update weltweit viele IT-System lahmgelegt wurden. Die Ergebnisse beschreibt das BSI hier und der bitkom dort.
1.25 BSI: Untersuchung von Matrix und Mastodon
Wie das BSI bekanntgab, untersucht es im Rahmen des Projektes zur „Codeanalyse von Open Source Software“ (CAOS 2.0) auch die Kommunikationssoftware „Matrix“ und die Social-Media-Blogging-Software Mastodon. Die Ergebnisse für Matrix finden sich hier und die für Mastodon da. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern sofort mitgeteilt. Diese haben die Schwachstellen analysiert und bereits reagiert. Weitere Mängel wurden im Rahmen eines Responsible-Disclosure-Verfahrens adressiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.
1.26 ENISA: Thread Landscape 2024
In ihrer Veröffentlichung zu aktuellen Bedrohungszenarien 2024 identifiziert die ENISA sieben Hauptbedrohungen für die Cybersicherheit, wobei Bedrohungen der Verfügbarkeit an erster Stelle stehen, gefolgt von Ransomware und Bedrohungen für Daten. Der Bericht bietet einen relevanten, detaillierten Einblick in jede einzelne dieser Bedrohungen, indem er mehrere tausend öffentlich gemeldete Cybersicherheitsvorfälle und -ereignisse analysiert.
2 Rechtsprechung
2.1 EuGH: Gleichsetzung von Beschwerden mit Anfragen gegenüber Datenschutzaufsicht (C-416/23)
Bei der Frage, ob für Beschwerden die gleichen Maßstäbe aus Art. 57 Abs. 1 lit. f DS-GVO anzuwenden sind wie für Anfragen, hat der Generalanwalt im Verfahren C-416/23 in seinen Schlussanträgen vorgeschlagen, den Begriff „Anfragen“ bzw. „Anfrage“ in dieser Bestimmung wie „Beschwerden“ im Sinne von Art. 57 Abs. 1 lit. f und Art. 77 Abs. 1 DS-GVO zu erfassen. Allerdings sind Anfragen / Beschwerden nicht allein aufgrund ihrer Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ im Sinne von Art. 57 Abs. 4 DS-GVO einzustufen, da die Aufsichtsbehörde zudem nachweisen müsse, dass die Person, die diese Anfragen stellt, mit missbräuchlicher Absicht handelt. Eine Aufsichtsbehörde könne bei exzessiven Anfragen durch eine mit Gründen versehene Entscheidung wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangt oder sich weigert, aufgrund der Anfrage tätig zu werden, wobei sie alle relevanten Umstände berücksichtigen und sich vergewissern müsse, dass die gewählte Option angemessen und verhältnismäßig ist, ohne dass zwischen diesen beiden Optionen ein Vorrangverhältnis besteht. In diesem Fall aus Österreich reichte eine Einzelperson 77 Beschwerden innerhalb von 20 Monaten über die Nichteinhaltung der DS-GVO bei der österreichischen Datenschutzbehörde ein.
Dieser Blog-Beitrag befasst sich mit der Aussage des Generalanwalts zu missbräuchlichen Anfragen, geht aber auch schon auf eine weitere Vorlage des Amtsgerichts Arnsberg an den EuGH zur Rechtsmissbräuchlichkeit von Auskunftsbegehren ein, zu dem es beim EuGH allerdings noch kein Aktenzeichen gibt.
Franks Nachtrag: Auch dieser Blog-Beitrag befasst sich mit den Schlussanträgen und bietet so eine Art Checkliste, die der Verfasser aus den Aussagen des Generalanwalts herausgerarbeitet hat.
2.2 OVG Sachsen: Kein Anspruch auf Akteneinsicht in elektronischer Form bei Papierakten
Das Sächsische Oberverwaltungsgericht stellte in einem Beschluss im Rahmen eines Prozesskostenhilfeantrags fest, dass der Anspruch aus Art. 15 Abs. 3 Satz 3 DS-GVO nicht umfasse, dass eine Pflicht des Gerichts bestehe Behördenakten zu digitalisieren.
2.3 OLG München: Weiterleitung an private E-Mail-Adresse als Kündigungsgrund
In einem Kündigungsstreitverfahren eines ehemaligen Vorstandsmitgliedes stellte das OLG München fest, dass die Weiterleitung vertraulicher dienstlicher Inhalte an eine private E-Mail-Adresse eine fristlose Kündigung rechtfertigen könne.
2.4 ArbG Mannheim: Weiterleitung an private E-Mail-Adresse als Kündigungsgrund
Die Weiterleitung von sensiblen, persönlichen Daten (hier personenbezogene Daten der Wählerliste) an eine private E-Mail-Adresse kann nach dem Urteil des ArbG Mannheim eine sofortige Kündigung rechtfertigen. Im konkreten Fall ging es um eine Weiterleitung der zur Vorbereitung einer Betriebsratswahl in einer Wählerliste gesammelten personenbezogenen Daten sämtlicher wahlberechtigten Mitarbeiter durch ein Wahlvorstandsmitglied an eine private E-Mail-Adresse. Dies stelle laut ArbG Mannheim einen derart schwerwiegenden Pflichtenverstoß dar, dass dadurch das Vertrauensverhältnis zum Arbeitgeber irreparabel zerstört wurde.
2.5 OLG Köln: Verantwortlichkeit eines Suchmaschinenbetreibers
Im Rahmen eines Löschungsanspruchs musste das OLG sich zur Verantwortlichkeit eines Suchmaschinenbetreibers äußern. Dabei stellte das OLG Köln fest, dass der Betreiber einer Internetsuchmaschine bezüglich der angezeigten Suchergebnisse auch dann Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO sei, wenn er den Nutzern lediglich den Zugang zu der Suchmaschine anbietet und die von einer anderen Konzerngesellschaft aufbereiteten Suchergebnisse lediglich anzeigt. Nach EuGH-Rechtsprechung obliege der Person, die wegen der Unrichtigkeit eines aufgelisteten Inhalts die Auslistung begehrt, der Nachweis, dass die in diesem Inhalt enthaltenen Informationen offensichtlich unrichtig sind oder zumindest ein für diesen gesamten Inhalt nicht unbedeutender Teil dieser Informationen offensichtlich unrichtig ist.
2.6 VG SH: Anforderungen bei Filmaufnahmen im öffentlichen Raum
Das Verwaltungsgericht Schleswig-Holstein (VG SH) musste eine datenschutzrechtliche Bewertung von Filmaufnahmen von einem fahrenden Auto vornehmen. Jemand erstellt Filme von Autofahrten. Dabei filmt er in Fahrtrichtung mittels einer auf das Autodach montierten Kamera. Die Filme veröffentlicht er auf der Website youtube.com unter dem Benutzernamen A. Auf der Website A.de befinden sich Links zu den YouTube-Filmen. Bei den Fahrten mit seinem Kraftfahrzeug, bei denen er filmt, ist ein Magnetaufkleber mit der Website A.de an dem Kraftfahrzeug angebracht, auf dem diese Person bestimmte Informationen auch zu datenschutzrechtlichen Angaben aufführt (Details im Urteil).
Natürlich kommt es zu einer Auseinandersetzung mit der zuständigen Datenschutzaufsicht und infolgedessen zu einer Überprüfung eines Bescheids des ULD.
Das VG SH kommt dann zu dem Urteil, dass für die Information der betroffenen Personen Art. 13 und nicht Art. 14 DS-GVO anzuwenden sei. Die Daten würden unmittelbar bei den betroffenen Personen erhoben (RN 44 f).
Bei der Information müssten die berechtigten Interessen nicht angegeben werden. Kunstfreiheit kann im Rahmen der von Art. 15 Abs. 1 GRCh geschützten Berufsfreiheit und der von Art. 16 GRCh geschützten unternehmerischen Freiheit eingeordnet werden und kann damit ein berechtigtes Interesse darstellen. Allerdings verneint das VG SH im konkreten Fall ein berechtigtes Interesse (RN 83 ff).
2.7 BVwG Österreich: Anforderungen an Cookie-Banner bei Ablehnung
Das österreichische Bundesverwaltungsgericht (BVwG) äußerte sich zu den Anforderungen der Ablehnungsmöglichkeit bei der Consent-Banner-Gestaltung, als sie einen Bescheid der österreichischen Datenschutzbehörde dazu rechtlich bewerten musste.
Im Hinblick auf die Möglichkeit der Nichtabgabe der Einwilligung dergestalt, dass auf der ersten Ebene des „Cookie-Banners“ der Link „Zwecke anzeigen“ und im zweiten Schritt (auf der zweiten Ebene) die Schaltfläche „Alle ablehnen“ ausgewählt werden muss, hält das BVwG fest, dass gemäß Art. 7 Abs. 3 DS-GVO der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein muss. Daraus ergebe sich, dass auch die Nichtabgabe einer Einwilligung als Pendant zum Widerruf so einfach sein muss wie die Abgabe der Einwilligung. Es sei der Datenschutzbehörde auch beizupflichten, wenn sie ausführt, dass daraus folgt, dass für die Nichtabgabe einer Einwilligung bzw. die Schließung des Cookie-Banners ohne Abgabe einer Einwilligung nicht mehr Interaktionen mit dem Cookie-Banner notwendig sein dürfen, als für die Abgabe der Einwilligung (vgl. Art. 7 Abs. 4 DS-GVO). Im vorliegenden Fall ist jedoch für die Erteilung der Einwilligung nur ein Klick erforderlich, wohingegen die Nichtabgabe einer Einwilligung zumindest zwei Klicks erfordert, womit eine solche Gleichwertigkeit nicht gegeben ist, zumal eine sachliche Rechtfertigung für die unterschiedliche Behandlung der Wahlmöglichkeiten von der beschwerdeführenden Partei nicht vorgebracht und auch sonst nicht ersichtlich geworden ist. Darüber hinaus führe auch die unterschiedliche optische Gestaltung (grüner Button „Akzeptieren“ und bloßer Link „Zwecke anzeigen“) dazu, dass die Wahlmöglichkeiten nicht als gleichwertig wahrnehmbar angesehen werden können. Daran ändert auch der Umstand nichts, dass nunmehr im Fließtext des Cookie-Banners auf der ersten Ebene des Cookie-Banners erklärt wird, wie alle Cookies abgelehnt werden könnten.
Die Berufung der beschwerdeführenden Partei auf einen „branchenüblichen“ Standard bei der Ausgestaltung des Cookie-Banners vermag nach Ansicht des BVwG die aufgezeigte Rechtswidrigkeit der aktuellen Gestaltung nicht zu beseitigen.
2.8 BVwG Österreich: Weitergabe von Telefonnummer unter Handwerkern
Die Übermittlung einer Telefonnummer an einen Mitarbeiter eines Subunternehmers ist eine Verarbeitung i.S.d. Art. 4 Nr. 2 DS-GVO. Das BVwG Österreich entschied in einem Streitfall, dass, wenn in einem Kontext (hier: alleinige Ansprechperson in jeglichen Angelegenheiten eines Bauprojekts) eine Zustimmung zur Weitergabe der Telefonnummer zur Abklärung von Details erteilt wurde, es lebensfremd und von einem überschießenden Schutzgedanken getragen sei, wenn für jeden Einzelfall eine gesonderte Einwilligung erteilt werden müsste. Es sei der Verantwortlichen nicht im Rahmen der rechtmäßigen Offenlegung einer Telefonnummer vorzuwerfen, wenn der Empfänger (Subunternehmer) anschließend gegenüber der betroffenen Person ein telefonisches Fehlverhalten setzt und es deshalb nicht zur angedachten Terminvereinbarung kam.
2.9 KG Berlin: Wettbewerbsrechtliche Folgen eines abgelaufenen Zertifikats
Die Verwendung eines abgelaufenen Zertifikats kann wettbewerbsrechtlich gerügt werden, auch wenn die Laufzeit deutlich erkennbar ist. Das Urteil betrifft zwar ein Zertifikat zur Abrechnungsgenauigkeit, lässt sich sicher auch auf andere anwenden. Leider habe ich das hier zitierte Urteil des KG Berlin noch nicht frei verfügbar gefunden, die erste Instanz des LG Berlin findet sich hier.
2.10 OLG Koblenz: Anforderungen an Widerruf einer Einwilligung
Das OLG Koblenz hat in einem Hinweisbeschluss seine Auffassung zum Widerruf der Einwilligung zur Veröffentlichung eines Widerrufs formuliert. Im Fall gab eine Person im Rahmen eines Seminars eine Einwilligungserklärung ab, die eine Nutzung der Videoaufnahmen zu Zwecken der Werbung ermöglichte. Die Einwilligung wurde als nicht widerrufbar bezeichnet (Details im verlinkten Text). Danach sei dies wie hier im Fall des § 22 KUG nur aus einem wichtigen Grund möglich.
Auch datenschutzrechtliche Ansprüche nach der DS-GVO greifen nach Ansicht des OLG Koblenz nicht, da selbst, wenn die Einwilligung unwirksam wäre, die Verarbeitung der Daten im Rahmen der Geschäftsbeziehung der Parteien über Art. 6 Abs. 1 lit. b DS-GVO erfolgte.
Es könne aus Sicht des Senats kein Zweifel daran bestehen, dass die von beiden Parteien vorgetragene Geschäftsbeziehung der Parteien, in deren Zusammenhang die Videos produziert und veröffentlicht wurden, als Vertrag in diesem Sinne anzusehen seien. Zu dieser Geschäftsbeziehung gehörte es ersichtlich die Medienpräsenz der wechselseitigen Unternehmen und Unternehmer durch die produzierten Videos und der Veröffentlichung im Internet zu erhöhen bzw. zu erhalten. Auf die Prüfung der Rechtsgrundlage der Interessensabwägung käme es daher nicht mehr an, auch wenn dies aus Sicht des Senats schlüssig und überzeugend vorgetragen wurde.
Anmerkung von mir: Im Fall ging es nicht um die Einwilligung in der Rolle eines Verbrauchers oder beschäftigten – da könnte ein Gericht wahrscheinlich auch anders gewichten.
2.11 Kuriose Entscheidungen
Wer glaubt, nur im Datenschutzrecht gibt es kuriose Rechtsfälle, kann durch diesen Fall belehrt werden: Aus der Verordnung für die Schifffahrt auf den schiffbaren Gewässern des Landes Brandenburg (Landesschifffahrtsverordnung – LschiffV) ergibt sich aus § 34 Abs. 5, dass Kleinfahrzeuge, wenn sie schon kein amtliches oder amtlich anerkanntes Kennzeichen führen müssen, dann einen Namen haben müssen. Dies erfuhr auch ein Schlauchbootbesitzer im Spreewald – allerdings nach diesem Bericht erst, nachdem er ein Bußgeld dafür bekam, dass sein Schlauchboot keinen Namen hatte.
2.12 EuGH: Berichtigungsanspruch bei Geschlechtsänderung (C-247/23)
Im Fall C-247/23 (Deldits) empfiehlt der Generalanwalt des EuGH in seinen Schlussanträgen im September, dass bei personenbezogenen Daten über das Geschlecht einer Person zu berichtigen sind, wenn diese zum Zeitpunkt ihrer Eintragung in ein Register fehlerhaft registriert wurden. Im vorliegenden Fall ging es um eine Person mit einer Geschlechtsänderung und damit verbundenen Namensänderung. Der EuGH muss sich nicht an die Schlussanträge des Generalanwalts halten, tut dies aber in den meisten Fällen.
Auch eine Änderung des Geschlechts kann zu einem Berichtigungsanspruch nach Art. 16 DS-GVO in Dateien führen. Dabei ist zu beachten, dass ein Berichtigungsanspruch nach § 22 Abs. 3 Personenstandsgesetz auch drei Geschlechter umfassen kann, bis hin zu der Darstellung des Geschlechts als Leerfeld, wenn dies für die jeweilige Verarbeitung nicht erforderlich ist. Wir berichteten bereits zu den Ausführungen im Tätigkeitsbericht der Hamburger Datenschutzaufsicht.
2.13 EuGH: Auskunftsanspruch und Betriebsgeheimnisse (C-203/22)
Im Fall C-203/22 (Dun & Bradstreet Austria) äußert sich der Generalanwalt des EuGH im September zu der Frage des Umfangs eines datenschutzrechtlichen Auskunftsanspruchs, wenn sich ein Unternehmen, wie hier bei einer Scorebildung, auf Geschäftsgeheimnisse beruft. Der Generalanwalt empfiehlt, dass bei einer automatisierten Entscheidungsfindung, die Art. 22 DS-GVO unterliegt, sich die „aussagekräftige[n] Informationen über die [bei dieser automatisierten Entscheidungsfindung] involvierte Logik“, auf die die betroffene Person ein Recht hat, auf die Methode und die Kriterien beziehen, die der Verantwortliche dafür verwendet hat.
Diese Informationen müssen es der betroffenen Person ermöglichen die ihr durch die DS-GVO und insbesondere durch die in Art. 22 DS-GVO garantierten Rechte auszuüben. Sie müssen somit präzise, leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein. Zudem müssen sie hinreichend vollständig und kontextbezogen sein, um es dieser Person zu ermöglichen ihre Richtigkeit sowie das Bestehen einer objektiv nachprüfbaren Übereinstimmung und eines objektiv nachprüfbaren Kausalzusammenhangs zwischen einerseits der verwendeten Methode und den herangezogenen Kriterien und andererseits dem Ergebnis der fraglichen automatisierten Entscheidung zu überprüfen.
Das Unternehmen sei hingegen nicht verpflichtet der betroffenen Person Informationen offenzulegen, die aufgrund ihrer technischen Natur einen solchen Komplexitätsgrad aufweisen, dass sie von Personen, die nicht über besondere technische Fachkenntnisse verfügen, nicht nachvollzogen werden können, was die Mitteilung von Algorithmen, die im Rahmen einer automatisierten Entscheidungsfindung verwendet werden, ausschließen kann.
Der Generalanwalt empfiehlt auch, dass, sollte es im Rahmen eines Auskunftsanspruchs zu widerstreitenden Interessen mit Daten Dritter oder schützenswerten Geschäftsgeheimnisses des Verantwortlichen kommen, die zuständige Aussichtsbehörde oder ein zuständiges Gericht einzubeziehen sei, damit diese in voller Kenntnis der Sachlage und unter Beachtung des Grundsatzes der Verhältnismäßigkeit sowie der Vertraulichkeit der Informationen die widerstreitenden Interessen abwägen und den Umfang des der betroffenen Person zu gewährenden Auskunftsrechts bestimmen können.
2.14 EuGH: Unternehmensbegriff bei Geldbußen (C-383/23)
Zu der Frage des Unternehmensbegriffs nach Art. 83 DS-GVO im Fall C-383/23 (Ilva) führt der Generalanwalt aus, dass bei der Verhängung von Geldbußen gegen einen Verantwortlichen oder Auftragsverarbeiter, der ein Unternehmen ist (oder zu einem solchen gehört), der Begriff „Unternehmen“ dahin auszulegen sei, dass er für die Zwecke der Festsetzung des Höchstbetrags der Geldbuße dem Begriff „Unternehmen“ im Sinne der Artt. 101 und 102 AEUV entspricht. Daher sei der jährliche weltweite Gesamtumsatz des Unternehmens, zu dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter gehört, zu berücksichtigen.
Bei der Festlegung der tatsächlich zu verhängenden Geldbuße müsse der Begriff „Unternehmen“ jedoch in Verbindung mit Art. 83 Abs. 1 und 2 DS-GVO ausgelegt und als ein relevanter Faktor unter anderen herangezogen werden, wenn die besonderen Umstände des Einzelfalls berücksichtigt werden. In diesem Zusammenhang können sich die besonderen Umstände auf die Entscheidungsbefugnis der Muttergesellschaft, den Umfang der Datenverarbeitung, die gegen die Vorschriften dieser Verordnung verstößt, und die Anzahl der an dem Verstoß beteiligten Unternehmen beziehen.
2.15 EuGH: Anforderungen an Auskunftsinteresse bei Gesellschaftsbeteiligung (C-17/22 und C-18/22)
In den Verfahren C-17/22 (HTB Neunte Immobilien Portfolio) und C-18/22 (Ökorenta Neue Energien Ökostabil) ging es u.a. um Fragen der Anforderungen an das berechtigte Interesse bei einer Beteiligung an einer Publikumsgesellschaft, Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen. Der EuGH fasste in seinem Urteil beide Fälle zusammen.
Der EuGH sieht die Grundlage der Vertragserfüllung aus Art. 6 Abs. 1 lit. b DS-GVO dann als gegeben an, wenn diese Verarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der für dieselben Gesellschafter bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden könnte. Dies ist aber nicht der Fall, wenn dieser Vertrag die Weitergabe dieser personenbezogenen Daten an andere Anteilseigner ausdrücklich ausschließt.
Auch könne für diese Verarbeitung eine Grundlage in Art. 6 Abs. 1 lit. f DS-GVO nur dann als zur Wahrung der berechtigten Interessen eines Dritten erforderlich im Sinne dieser Bestimmung angesehen werden, wenn sie zur Verwirklichung eines solchen berechtigten Interesses absolut notwendig ist und unter Würdigung aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten der betreffenden Gesellschafter gegenüber diesem berechtigten Interesse nicht überwiegen.
Auch könne Art. 6 Abs. 1 lit. c DS-GVO als Grundlage herangezogen werden,
- wenn die betreffende Verarbeitung personenbezogener Daten nach dieser Bestimmung gerechtfertigt ist,
- wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche gemäß dem Recht des betreffenden Mitgliedstaats unterliegt, wie es durch die Rechtsprechung dieses Mitgliedstaats präzisiert wurde, sofern diese Rechtsprechung klar und präzise ist, ihre Anwendung für die Rechtsunterworfenen vorhersehbar ist
- und sie ein im öffentlichen Interesse liegendes Ziel verfolgt, zu dem sie in einem angemessenen Verhältnis steht.
2.16 EuGH: Wettbewerbsrechtliche Entscheidung der Kommission zu Google AdSense aufgehoben
Machen wir es kurz: Diesmal hat Google vor dem EuGH in einer wettbewerbsrechtlichen Streitigkeit gegen die EU-Kommission gewonnen (T-334/19). Die Kommission hatte gegen Google eine Strafe in Höhe von 1,2 Mrd. Euro verhängt wegen scheinbar unlauteren Klauseln in den Verträgen zur Nutzung der Werbeplattform Google AdSense. Die EU-Kommission konnte nach Ansicht des Gerichts nicht nachweisen, dass die drei von ihr identifizierten Klauseln jeweils einen Missbrauch einer beherrschenden Stellung und zusammen eine einzige und fortgesetzte Zuwiderhandlung gegen Art. 102 AEUV darstellen. Das Gericht erklärt daher die Entscheidung der Kommission in vollem Umfang für nichtig. Insbesondere stellt das Gericht fest, dass die EU-Kommission nicht nachgewiesen hat, dass die betreffenden Klauseln geeignet waren Verlage davon abzuhalten auf konkurrierende Vermittler von Google zurückzugreifen, oder dass sie geeignet waren diese Wettbewerber daran zu hindern auf einen erheblichen Teil des Marktes für die Vermittlung von Online-Suchwerbung im Europäischen Wirtschaftsraum (EWR) zuzugreifen, und dass diese Klauseln folglich die in der angefochtenen Entscheidung festgestellte Abschottungswirkung entfalten konnten. Die Pressemitteilung dazu finden Sie hier.
2.17 LG Frankenthal: Fotoaufnahmen bei Hausverkauf – Einwilligung und Auskunft kein Widerruf
Das LG Frankenthal stellt in seinem Urteil fest, dass auch eine konkludente Einwilligung bei Foto-Innenaufnahmen durch einen Makler ausreichen können und dass die Geltendmachung eines Auskunftsrechts nicht automatisch auch den Widerruf einer Einwilligung beinhalte.
Die Kläger sind Mieter eines Hauses, mit dessen Verkauf die Beklagte von den Eigentümern beauftragt wurde. Zur Vorbereitung des Verkaufs wurden zu einem mit den Klägern vereinbarten Termin Fotos des Innenraums angefertigt, die auf einer Website veröffentlicht wurden. Die Kläger machen geltend, die Beklagte habe die fraglichen Fotos ohne ihre Zustimmung angefertigt. Darüber hinaus wurden sie nicht über das Recht informiert die Einwilligung gemäß Art. 7 Abs. 3 DS-GVO jederzeit widerrufen zu können. Die Beklagte wurde aufgefordert Auskunft über die Speicherung der angefertigten Fotografien zu erteilen und eine Einverständniserklärung zur Erstellung der Fotografien durch die Kläger abzugeben. Im Ergebnis forderten die Kläger sowohl Zugang zu Daten nach Art. 15 DS-GVO als auch Schadenersatz nach Art. 82 DS-GVO.
Das Landgericht wies die Klage als unbegründet ab. Es ging insbesondere davon aus, dass eine wirksame Einwilligung vorliegt, die auch konkludent erfolgen könne. Allerdings wurden die Mieter nicht von ihrem Widerrufsrecht informiert, dies berühre jedoch nach Ansicht des Gerichts nicht die Wirksamkeit der Einwilligung. Das Gericht geht auch davon aus, dass die Kläger das Recht auf Auskunft über die Daten geltend gemacht haben – was aber nicht automatisch bedeutet, dass die Einwilligung widerrufen wird. Das Urteil wird hier und da besprochen.
2.18 VG Berlin: Datenschutzregelungen bei Zeugen Jehovas
Ein Mitglied der Glaubensgemeinschaft begehrt Auskunft von seiner Glaubensgemeinschaft, beschwert sich dann bei der dafür zuständigen Datenschutzaufsicht der Zeugen Jehovas und klagt dann gegen einen ablehnenden Bescheid vor dem VG Berlin. Das Gericht bejaht zunächst die Zulässigkeit der Klage in diesem Fall. Es lehnt die Klage dann aber als unbegründet ab, weil die DS-GVO hier nicht anwendbar sei.
Eine Überprüfung des klägerischen Begehrens anhand des Datenschutzgesetz Jehovas Zeugen (DSGJZ) durch das Verwaltungsgericht scheide aus. Das Grundgesetz verleihe den staatlichen Gerichten keineswegs eine unbegrenzte Kontrollbefugnis gegenüber Maßnahmen der Religionsgemeinschaften. Das Gericht prüft und bewertet dabei auch die Rechtmäßigkeit des DSGJZ anhand des Art. 91 DS-GVO. Soweit sich der Kläger zur Begründung seiner Klage auf das DSGJZ beruft, scheidet dann nach Ansicht des Gerichts eine gerichtliche Überprüfung durch das staatliche Verwaltungsgericht aus. Denn dieses ist für die Prüfung von Ansprüchen aus dem oder Verstößen gegen das DSGJZ nicht befugt. Für ein parallele Anwendung der DS-GVO sieht das Gericht auch keine Grundlage. Letztendlich sind damit die Zeugen Jehovas nach Art. 91 DS-GVO von der Anwendung staatlichen Datenschutzrechts befreit.
2.19 LG Augsburg: Anforderungen an Einwilligung bei Übermittlung an Auskunftei
Nach Ansicht des LG Augsburg genügt die Information in einem Datenschutzmerkblatt über eine Datenweitergabe an eine Auskunftei, um bei Abschluss eines TK-Vertrags eine Einwilligung des Kunden anzunehmen. Das Gericht geht dadurch davon aus, dass Formulierungen in Datenschutzerklärungen Vertragsbestandteil werden können und dass damit eine rechtmäßige Datenübermittlung an die Auskunftei gegeben sei. Es lehnte daher die Klage auf Schadenersatz ab.
Es beruhigt aber, dass das beklagte TK-Unternehmen sich laut Urteil bei der Übermittlung auf Art. 6 Abs. 1 lit. f DS-GVO – Wahrung berechtigter Interessen – berief.
2.20 VG Saarbrücken: Klage gegen Sperrung eines Solarkataster aus Datenschutzgründen
Wie hier berichtet wird, gibt es eine gerichtliche Überprüfung eines Bescheides der saarländischen Datenschutzaufsicht zur Nutzung einer Online-Anwendung zu einem Solarkataster, mit deren Hilfe Hausbesitzer die Wirtschaftlichkeit einer Solaranlage prüfen können. Es gibt Uneinigkeit, inwieweit dies eine Verarbeitung personenbezogener Daten sei und auf welcher Grundlage diese ermöglicht wird. Bei dem Online-Solarkataster des Regionalverbandes kann jeder Bürger Daten zu Größe, Ausrichtung, Neigung und Verschattung der Dachfläche sowie zur maximalen Größe und Energieertrag möglicher PV-Anlagen eines jeden beliebigen Hauses im Regionalverband abrufen, also nicht nur zu dem eigenen Gebäude. Aus Sicht des Datenschutzzentrums handelt es sich dabei allerdings um personenbezogene Daten. Die Anordnung zur Sperrung des Solarkatasters in seiner jetzigen Form stützt das Datenschutzzentrum im Wesentlichen darauf, dass eine Rechtsgrundlage dafür fehle, die dem Regionalverband die voraussetzungslose Abrufbarkeit personenbezogener Daten von Gebäudeeigentümern gestatten würde. Es handele sich um einen erheblichen Eingriff in Grundrechte der betroffenen Personen.
2.21 BGH: Abbildungen auf Wohnungsbildern im Netz i.d.R. nicht vom Urheberrecht geschützt
Der BGH hat in drei Verfahren entschieden, dass die Nutzung von Abbildungen einer Fototapete im Internet die nach dem Urheberrechtsgesetz geschützten Rechte an den auf der Tapete abgedruckten Fotografien nicht verletzt. Aus der Pressemitteilung:
Die Klägerin ist ein von einem Berufsfotografen gegründetes Unternehmen, das von dem Fotografen angefertigte Lichtbilder als Fototapeten vermarktet. Fototapeten waren bei den Internetauftritten bei einem Facebook-Account, in einem Gastraum eines Tenniscenters und in einem Hotel zu sehen.
Der BGH lehnte die Klagen auf Schadensersatz und Erstattung von Abmahnkosten sowie zusätzlich auf Auskunft über den Umfang der Verwendung der Fotografie ab.
Er geht dabei von einer konkludenten Einwilligung des Urhebers aus. Eine Einschränkung des Urhebers auf bestimmte Verwendungszwecke liege nicht vor.
Die Wirksamkeit einer Einwilligung setze nicht voraus, dass sie gegenüber demjenigen erklärt wird, der in Urheberrechte eingreift. Ausreichend sei ein Verhalten des Berechtigten, dem aus der Sicht eines objektiven Dritten die Bedeutung zukommt, dass der Berechtigte den Eingriff in seinen Rechtskreis gestattet. Nicht nur die Käufer von ohne Einschränkungen veräußerten Fototapeten, die ihre Räumlichkeiten damit dekorieren, Fotografien und Videoaufnahmen dieser Räume fertigen und diese im Internet einstellen, können sich auf eine konkludente Einwilligung des Urhebers in die dabei erfolgende Vervielfältigung und öffentliche Zugänglichmachung der für die Fototapete verwendeten Fotografie berufen. Vielmehr können sich auch Dritte auf eine konkludente Einwilligung des Fotografen stützen, wenn ihre Nutzungshandlungen aus objektiver Sicht als üblich anzusehen sind. Der Bundesgerichtshof hat außerdem die in allen Verfahren getroffene Annahme des Berufungsgerichts gebilligt, dass Ansprüche wegen Verletzung des Urheberbenennungsrechts gemäß § 13 Satz 2 UrhG nicht bestehen, weil der Urheber im Rahmen des Vertriebs der Fototapeten auf dieses Recht durch schlüssiges Verhalten verzichtet hat. Wir hatten über diese Thematik bereits berichtet.
2.22 EuGH-Vorschau: Schrems und Meta – Art.-9-Daten bei Facebook
Für den 04.10.2024 ist das Urteil im Verfahren C-446/21 zwischen M. Schrems und Meta angekündigt. Es geht um die Verarbeitung von Informationen besonderer Kategorien nach Art. 9 Abs. 1 DS-GVO (hier sexuelle Orientierung) auf Facebook. Hier stellt sich die Frage, ob das grundsätzliche Verbot der Verarbeitung sensibler Daten gemäß Art. 9 der DS-GVO aufgehoben werden kann und wenn ja, wie. Ein besonders interessanter Aspekt ist dabei das Kriterium der „offenkundig öffentlich gemachten“ Daten. Was bedeutet es, wenn jemand seine sexuelle Orientierung während einer Podiumsdiskussion preisgibt? Darf Facebook diese Informationen dann für Werbezwecke nutzen? Und wie wirkt sich das auf andere Gestaltungen aus? Der Generalanwalt hat sich in seinen Schlussanträgen dazu geäußert. Danach steht Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) einer Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegen.
Es sei Sache des vorlegenden Gerichts unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sei.
Auch erlaube eine im öffentlichen Raum gemachte Angabe zu einem Datum nach Art. 9 Abs. 1 DS-GVO für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung. Dies ergebe sich aus der Auslegung von Art. 5 Abs. 1 lit. b i.V.m. Art. 9 Abs. 2 lit. e DS-GVO.
Im Laufe des Verfahrens wurden einige Vorlageanfragen zurückgezogen, weil sich der EuGH im Rahmen anderer Entscheidungen dazu bereits positionierte. Eine Darstellung der möglichen Auswirkungen, sollte der EuGH dieser Ansicht folgen, findet sich hier – mit dem Hinweis, dass nicht auszuschließen ist, dass diese Interpretation auch in geringem Umfang mit Werbeaspekten erfolgt.
Mal sehen, was der EuGH in seinem Urteil festlegt.
2.23 EuGH-Vorschau: Umfasst Art. 6 Abs. 1 lit. f DS-GVO auch kommerzielle Interessen?
Für den 04.10.2024 ist die Urteilsverkündung des EuGH angesetzt für das Verfahren C-621/22 (Koninklijke Nederlandse Lawn Tennisbond), in dem es u.a. um die Frage geht, inwieweit kommerzielle Interessen auch bei Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden können.
2.24 EuGH-Vorschau: Wettbewerbsrecht und Datenschutz und Art. 9 DS-GVO (C-21/23)
Ebenfalls am 04.10.2024 erwarten wir das Urteil des EuGH im Fall Lindenapotheke (C-21/23). Wir berichteten bereits dazu: Es geht um Daten, die Kunden eingeben, wenn sie auf einer Verkaufsplattform bei einer Apotheke Medikamente bestellen.
Neben der Frage, inwieweit sich damit personenbezogene Daten nach Art. 9 Abs. 1 DS-GVO ableiten lassen, steht die Frage, wer evtl. Verstöße monieren darf: Sind datenschutzrechtliche Regelungen auch Marktverhaltensregelungen im Sinne des § 3a UWG, die auch von Mitbewerbern gerügt werden können?
Die Ansicht des Generalanwalts wird hier gut nachvollziehbar erörtert. Die Frage zur Zurechnung einer Bestellung in einer Apotheke zu Art. 9 Abs. 1 DS-GVO wird in diesem LinkedIn-Beitrag schön dargestellt. Auch Interessensvertreter der Shop-Betreiber informieren dazu.
Aber „entscheidend is auf´m Platz“ – und der ist am 04.10.2024 in Luxemburg.
Und vielleicht grenzt der EuGH seine eigene weite Auslegung zu Art. 9 Abs. 1 DS-GVO ja etwas ein (C-184/20 – Besprechung hier, wir berichteten).
2.25 EuGH-Vorschau: Fragen zum Schadenersatz nach Art. 82 DS-GVO (C 507/23)
„Nicht schon wieder Art. 82!“ Dachte ich zunächst, weil es schier unüberschaubar wird, die Rechtsprechung nicht nur des EuGH dazu. Trotzdem hat der Fall im Verfahren C-507/23 (Patērētāju tiesību aizsardzības centrs) einige „Schmankerl“. Zunächst geht es um immaterielle Schadenersatzansprüche gegen eine Verbraucherschutzbehörde, zum anderen aber auch u.a. um die Frage, ob Art. 82 DS-GVO auch so ausgelegt werden könne, dass es möglich sei, dass, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt wird sich zu entschuldigen? Warten wir das Urteil des EuGH ab.
3 Gesetzgebung
3.1 Verordnung für Einwilligungsdienste nach § 26 Abs. 2 TDDDG
Nun hat das Bundeskabinett seine Entscheidung für eine Formulierung der Verordnung nach § 26 Abs. 2 TDDDG getroffen. Und gleich sind einige mit dieser Fassung nicht zufrieden. Der verbraucherzentrale Bundesverband (vzbv) sieht darin keine Möglichkeit eine positive Wirkung zu entfalten. Der zuständige Minister kriegt sich aber scheinbar kaum ein vor Freude und glaubt mit einer Verordnung nach § 26 Abs. 2 TDDDG die Anzahl der Consent-Banner reduzieren zu können.
3.2 Gesichtserkennung – aber sicher
Aktuelle Vorfälle lassen wieder gesetzgeberische Aktivitäten aufleben. So soll nun auch der Einsatz biometrischer Gesichtserkennungssoftware für Ermittlungsbehörden ermöglicht werden. Natürlich gibt es daran Kritik. Auch der Anwaltsverein erwartet dazu eine Verfassungsbeschwerde. Und die LDI NRW warnt vor Übereifer bei neuen Fahndungsgesetzen.
3.3 Zugriff von US-Behörden auf europäische Biometriedaten
Fast still und heimlich arbeitet die EU an einer Vereinbarung mit den USA. Biometrische Daten wie Fingerabdrücke sollen den Behörden in den USA zugänglich gemacht werden, damit eine visafreie Einreise ermöglicht werde. Wenn das nicht über eine Regelung mit der EU gehe, dann eben mit einzelnen Mitgliedsstaaten. Mehr dazu hier.
3.4 EU-Parlament: Briefing zum AI Act
Wie? Hört das nie auf? Das kann ich auch nicht beantworten, aber ich verweise nur auf ein Briefing des Europäischen Parlaments zum AI Act mit Stand September 2024. Letztendlich geht es darin um eine Zusammenfassung des Gesetzgebungsverfahrens und des Inhalts – jeweils mit ausreichenden Links.
3.5 AI Act: Beginn der Arbeit am Code of Practice am 30. September 2024
Nach Angaben aus Brüssel gibt es ca. 1.000 Interessierte Personen, die sich am Entwurf des ersten General-Purpose AI Code of Practice beteiligen wollen. Am 30. September 2024 können diese sich in einem Kick-off einbringen.
3.6 bitkom: Umdenken in europäischer Verbraucherpolitik gefordert
Wenn man die Worte „bitkom“ und „weltfremd“ in einem Satz unterbringen will, braucht es nach der Darstellung des bitkom noch die Worte Regulierung und Verbraucher:innen. So fordert der bitkom ein Umdenken bei der europäischen Verbraucherpolitik. Dies tut er anlässlich der Veröffentlichung einer „Verbraucheragenda“.
3.7 EU-Kommission: FAQ zum Data Act
Der Data Act kommt ab 12. September 2025 zur Anwendung. Somit bleibt noch gut ein Jahr Zeit sich darauf einzustellen. Unterstützen soll dabei diese FAQ der EU-Kommission zum Data Act. Die FAQ wurden unter Stakeholdereinbezug erstellt.
3.8 Sicherheitspaket der Bundesregierung
Als scheinbar wirksame Maßnahme gegen Sicherheitsbedrohungen sollen nach dem Willen der Regierungsparteien und der Opposition nun auch im Rahmen des Sicherheitspakets (BT-20/12805 und BT-20/12806) zu irregulärer Migration und Begrenzung des Waffenrechts der Einsatz von Gesichtserkennungssoftware gesetzlich verankert ermöglicht werden. Auch wenn dies nicht im Koalitionsvertrag stand. Und auch obwohl derzeit nicht auszuschließen ist, dass ab Ende 2025 Personen Einfluss auf eine Regierungsverantwortung bekommen, deren Einstellung geschichtlich belegbar nicht gerade zum Wohl des Volkes beitrug. Mal sehen, ob es wirklich so weit kommt – es regen sich zumindest Stimmen, die dies mehr als bedenklich sehen … und erwartungskonform wurde die BfDI nur unzureichend eingebunden (willkommen im Club!).
3.9 EU-Parlament: Studie zur Haftung für KI
In dieser Studie des Think Tanks des EU-Parlaments werden Aspekte einer Haftung beim Einsatz einer KI thematisiert. Zum Hintergrund: Im September 2022 legte die Europäische Kommission einen Vorschlag für eine Richtlinie zur Anpassung der nichtvertraglichen zivilrechtlichen Haftungsregeln an die künstliche Intelligenz (AILD) mit einer begleitenden Folgenabschätzung vor. Der Rechtsausschuss des Europäischen Parlaments (JURI) forderte die vorliegende ergänzende Folgenabschätzung des Vorschlags an, die sich auf spezifische Forschungsfragen konzentriert. In der Kritik der Studie werden wesentliche Mängel in der Folgenabschätzung der Europäischen Kommission aufgezeigt, nicht zuletzt eine unvollständige Untersuchung der ordnungspolitischen Optionen und eine verkürzte Kosten-Nutzen-Analyse, insbesondere der verschuldensunabhängigen Haftungsregelung. In der ergänzenden Folgenabschätzung wird vorgeschlagen, den Anwendungsbereich der AILD auf allgemeine und andere „hochwirksame KI-Systeme“ sowie auf Software auszuweiten. Außerdem wird ein gemischter Haftungsrahmen erörtert, der ein Gleichgewicht zwischen verschuldensabhängiger und verschuldensunabhängiger Haftung herstellt. Insbesondere wird in der Studie empfohlen von einer KI-fokussierten Richtlinie zu einer Software-Haftungsregelung überzugehen, um eine Marktfragmentierung zu verhindern und die Klarheit in der EU zu verbessern.
3.10 EU-Kommission: Weitere SCC angekündigt
Die EU-Kommission hat weitere neue Standard Contractiual Clauses (SCC) angekündigt, die sie für eine weitere Konstellation im Drittstaatentransfer zur Diskussion stellt. Sie betreffen den Fall, dass Daten aus Europa an eine Einheit übermittelt werden, die bereits (z.B. aufgrund des Marktwortprinzips) der DS-GVO unterliegt. Immer noch nicht hat es die EU-Kommission gerafft, dass es nicht SCC sondern SDPC heißen müsste (vgl. den englischen Wortlaut in Art. 46 Abs. 2 lit. c DS-GVO). Der über diese SCC / SDPC abgebildete Fall träfe m.E.n. auch auf die Ausgangslage zu, zu dem es in den Niederlanden ein Bußgeld gegen Uber gab (wir berichteten bereits).
Eine nette Seite zu der Thematik der SDPC äh – SCC findet sich übrigens hier.
3.11 EU: Chatkontrolle – noch nicht vom Tisch
Geht es nach den Darstellungen eines Verhandlungsprotokolls zum Gesetzgebungsverfahren der Chatkontrolle, über das hier berichtet wird, dann ist eine Verpflichtung von Internetdienstleistern, die Inhalte ihrer Nutzer anlasslos auf Straftaten zu durchsuchen und bei Verdacht an Behörden zu schicken, nicht vom Tisch.
3.12 NRW: Anhörung von Sachverständigen zur Rechtsverbindlichkeit von DSK-Beschlüssen
Schon das Thema in einer Überschrift unterzukriegen ist eine Herausforderung. Das Land NRW will die Einheitlichkeit der Interpretationen datenschutzrechtlicher Gestaltungen fördern und lud dazu Sachverständige ein. Deren Stellungnahmen sind hier hinterlegt. Neben einem Medienrechtler aus Köln waren auch Vertreter:innen von Aufsichtsbehörden und ein Experte der verbraucherzentrale NRW eingeladen.
4 Künstliche Intelligenz und Ethik
4.1 KI und Urheberrecht
Wieder einmal ein Beitrag zur Thematik des Urheberrechts beim Einsatz von KI. Rechtzeitig vor einer der ersten Entscheidungen hier, die Ende September 2024 erwartet wird (wir berichteten).
4.2 Urheberrecht und Training generativer KI-Modelle
Das Thema bringt nicht nur Fragen, sondern auch alle möglichen Befassungen und Veröffentlichungen dazu. Wie hier in einer Ausarbeitung „Urheberrecht und Training generativer KI-Modelle – technologische und juristische Grundlagen“, die im europäischen Parlament und mit entsprechender medialer Begleitung vorgestellt wurde. Demnach könne das Training nicht auf den Ausnahmetatbestand für „Text- und Data-Mining“ gestützt werden.
4.3 UNESCO: Rahmenwerk für KI-Kompetenz für Studierende
Die UNESCO veröffentlichte ihre Erwartungen an die wesentliche Kompetenzen, die Studierende benötigen, um verantwortungsbewusste und effektive Nutzer und Schöpfer von KI zu werden. Dabei definiert sie 12 KI-Kernkompetenzen, die sie in vier Schlüsseldimensionen hervorhebt: Menschenzentrierte Denkweise; Ethik der KI; KI-Techniken und -Anwendungen und Design von KI-Systemen. Jede dieser 4 Kompetenzdimensionen ist in Lernziele für 3 Progressionsstufen unterteilt (Verstehen – Anwenden – Erstellen).
In einer detaillierten und umfangreichen Tabelle werden dabei spezifische Kompetenzen und curriculare Ziele für die Vermittlung von KI an Studierende dargestellt. Die Tabelle enthält auch Vorschläge für pädagogische Methoden und Lernumgebungen, die den Pädagogen helfen sollen diesen Unterricht zu erleichtern.
Natürlich gibt die UNESCO auch Tipps für Lehrer. Das heißt dann AI competency framework for teachers.
4.4 DIHK: Aussage und Vorschläge zur Aufsicht zur KI-VO
Die Deutsche Industrie- und Handelskammer (DIHK) veröffentlichte ihre Vorstellungen und Erwartungen an eine Gestaltung der Aufsicht zur KI-VO in einem Impulspapier. Dabei präferieren sie auch aus den Erfahrungen mit der DS-GVO die BNetzA. Aussagen zu Vorstellungen, wie eine Abstimmung mit branchenbezogenen Aufsichten wie z.B. der BaFin oder weiteren zuständigen Aufsichten, wie z.B. bei der Verwendung personenbezogener Daten vorgenommen werden soll, sind den Ausführungen allerdings nicht zu entnehmen.
4.5 BMWK: Studie zur Nutzung von KI
Das BMWK hat eine Studie zum Stand der KI-Nutzung in Unternehmen in Deutschland im internationalen Vergleich veröffentlicht. Neben der Verbreitung verschiedener KI-Verfahren und des KI-Einsatzes in unterschiedlichen Anwendungsgebieten wird der Zusammenhang zwischen KI-Nutzung und der strategischen Ausrichtung der Unternehmen analysiert. Darüber hinaus wird die sich entwickelnde „KI-Branche“ für Europa und Nordamerika charakterisiert, d.h. die Unternehmen, die sich auf die Entwicklung und Vermarktung von KI-Technologien spezialisiert haben.
4.6 KI – Grundlagen und Anwendungen
Das Open-Access-Buch „Unlocking Artificial Intelligence“ bietet einen Überblick über den aktuellen Stand der Forschung im Bereich des maschinellen Lernens und dessen Nutzung in verschiedenen Anwendungsbereichen.
Das Buch gliedert sich in zwei Hauptteile: Zunächst werden in einem theoretisch orientierten Teil verschiedene KI/ML-bezogene Ansätze wie automatisiertes maschinelles Lernen, sequenzbasiertes Lernen, Deep Learning, Lernen aus Erfahrung und Daten und prozessorientiertes Lernen erläutert. In einem zweiten Teil werden verschiedene Anwendungen vorgestellt, die von der Nutzung der jüngsten Forschungsergebnisse profitieren. Dazu gehören autonome Systeme, Lokalisierung in Innenräumen, medizinische Anwendungen, Energieversorgung und -netze, Logistiknetze, Verkehrssteuerung, Bildverarbeitung und IoT-Anwendungen.
4.7 Künstliche Intelligenz: Konformitäts-Prüfungen
„AI Conformity Assessments“ werden durch den AI Act, die KI-VO, verlangt. Wie diese aussehen können und was dabei zu beachten ist, beschreibt diese Veröffentlichung anschaulich auch mit Diagrammen.
4.8 Googles KI in Suchmaschinen bei US-Wahlen
Schau an: Scheinbar scheint Google seinen eigenen KI-Suchergebnissen zu misstrauen, wenn Google nach diesem Beitrag seine KI-Suchergebnisse bezüglich den anstehenden US-Wahlen begrenzt.
4.9 AI, ChatGPT und der EDSA
Wir hatten schon über den Bericht des EDSA zu ChatGPT berichtet. Hier befasst sich ein Beitrag zusammenfassend mit dessen Kernaussagen.
4.10 Auswirkungen der KI-VO im Gesundheitswesen
Wie wirkt sich die KI-VO auf das Gesundheitswesen aus? In einem Paper bei Science direkt (“The EU Artificial Intelligence Act (2024): Implications for healthcare“) wird ein Überblick über die neuen rechtlichen Pflichten für verschiedene Stakeholder im Gesundheitswesen (Tech-Entwickler, Ärzte, Gesundheitsbehörden) versucht.
4.11 Studien zu Sicherheitsthemen bei KI
In diesem Papier „Mapping Technical Safety Research at AI Companies“ des Institute for AI und Policy Strategy (IAPS) werden Veröffentlichungen zu KI und Sicherheitsanforderungen zusammengestellt.
5 Veröffentlichungen
5.1 noyb: Beschwerde wegen automatisierter Entscheidung
Es könnte bald eine eigene Rubrik werden: Beschwerden durch noyb. Diesmal betrachtete das NGO scheinbar automatisierte Entscheidungen, die zur Ablehnung eines Antrags auf Nutzung eines Stromtarifs führten – und reichte eine Beschwerde bei der österreichischen Datenschutzaufsicht ein. Einen Bericht dazu gibt es hier.
5.2 Podcast zu KRITIS
Im Podcast „be safe, not sorry” werden diesmal Zahlen zu KRITIS besprochen. Es gibt aber auch Informationen zu Webseiten und Ansprechpartnern.
5.3 NIS2: Meldepflichten nach dem geplanten BSiG
Wer muss melden, wann muss gemeldet werden und innerhalb welcher Fristen? Die Antworten auf diese Fragen werden in diesem Beitrag einer Kanzlei behandelt.
5.4 Rückblick des ehemaligen BfDI im Interview
In einem Interview blickt der ehemalige BfDI auf seine Amtszeit zurück. Das Interview wird fortgesetzt.
5.5 Erkennung von Insider-Risiken und „Compliance“
In diesem Projektbericht von CrackedLabs werden die Erkenntnisse aus einer Fallstudie über aufdringliche Überwachung und Verhaltensprofilerstellung für Cybersicherheit, Erkennung von Insider-Risiken und „Compliance“ zusammengefasst. Umfasst wird dabei auch, wie die Purview. und Sentinel-Systeme von Microsoft personenbezogene Daten von Mitarbeitern verarbeiten können, es werden aber auch Produkte von Forcepoint und IBM und Teramind betrachtet.
Die Ergebnisse werden am Ende der Studie in Tabellen dargestellt. Diese zeigen z.B., dass viele Datenquellen, Verarbeitungsaktivitäten und Zwecke beteiligt sein können, wenn Arbeitgeber Microsoft Purview (Kommunikationscompliance, Insider-Risikomanagement, eDiscovery) und Sentinel (SIEM, UEBA) verwenden. Der Autor selbst empfiehlt, bei diesem Bericht mit den Kapitel 7 und 6 zu beginnen.
Bei dem Bericht wird deutlich, dass es auch die Einbeziehung von Leistungsbeurteilungs- und HR-Daten in die Cybersicherheit/Risikoüberwachung ein Problem sein kann. Insider-Risikosysteme wie Microsoft Purview setzen Mitarbeiter unter den Generalverdacht „Bedrohungen“ zu sein, die möglicherweise planen dem Arbeitgeber zu schaden. Mitarbeiter mit „schlechten“ Leistungsbeurteilungen oder solche, die zurückgestuft wurden, erhalten eine zusätzliche Prüfung, da sie möglicherweise „verärgert“ sind. Wenn Mitarbeiter mit schlechten Leistungsbeurteilungen als besonders verdächtig angesehen werden und besonders genau unter die Lupe genommen werden, können Arbeitgeber eine strengere Leistungsüberwachung und härtere Personalentscheidungen anwenden, die die Menschen zu „verärgerten“ Mitarbeitern machen können, die dann ein Risiko für den Arbeitgeber darstellen. Daher kann eine erhöhte Sicherheits- und Risikoüberwachung zu einer besseren Leistungskontrolle beitragen, wobei letzteres ein Zweck ist, der nichts mit dem Sicherheits- und Risikomanagement zu tun hat. Microsoft verführt Arbeitgeber dazu Leistungs- und HR-Entscheidungsdaten in sein System zur Erstellung von Insider-Risikoprofilen aufzunehmen.
Auch aus Datenschutzsicht ein spannendes Thema.
Ebenso gibt es Studienerkenntnisse „Managing and Monitoring Mobile Service Workers via Smartphone App“ aus einem vorherigen Projektbericht.
5.6 StopNCII und Microsoft
„Stop Non-Consensual Intimate Image” (StopNCII) ist eine Initiative, die sich als Gegenpol zu Entwicklungen wie „Revenge Porn“ versteht, um der ungewollten Veröffentlichung intimer Darstellungen entgegen zu wirken. Dort können solche Darstellungen hochgeladen werden, damit über einen Abgleich mit dem gebildeten Hashwert digitale Kopien der Bilder aufgespürt werden können. Microsoft kündigt nun an über seine Suchmaschine Bing diese Initiative zu unterstützen. Nach diesem Bericht könnte damit auch gegen Deepfake-Pornos vorgegangen werden.
5.7 BSI und LibreOffice
Wie hier berichtet wird, hat sich das BSI mit dem Alternativprodukt LibreOffice befasst und durch sein Engagement einige Sicherheitsanforderungen verbessert.
5.8 Whitepaper des BSI zu KI
Zum Whitepaper des BSI zur Transparenz bei KI hatten wir Sie schon informiert. Damit befasst sich auch dieser Beitrag in einem Blog.
5.9 Direktmarketing und Kaltakquise
In diesem Blog-Beitrag werden die rechtlichen Anforderungen bei sogenannter Kaltakquise dargestellt. Dabei geht es um die Ansprache per Telefon, E-Mail und Briefpost. Auch der Adresshandel wird angesprochen.
5.10 Podcast-Folge zu gemeinsamer Verantwortlichkeit
Wir hatten bereits zu einem Werk des Gastes dieses Podcasts berichtet. Nun wird sein Thema u.a. in dem Gespräch besprochen (Dauer ca. 1:05 Std.).
5.11 Leitfaden zu datenschutzrechtlichen Anforderungen bei einer Customer Data Platform (CDP)
Ein Beratungsunternehmen hat einen Leitfaden zusammengestellt, der bei der Umsetzung der datenschutzrechtlichen Anforderung bei der Implementierung einer Customer Data Platform unterstützen soll. Gegen Angabe der eigenen Daten und Erteilung einer Werbeeinwilligung ist der leitfaden hier erhältlich.
5.12 Aktuelle Rechtsprechung zum Schadenersatz wegen DS-GVO Verstößen
Wann kann ein Schadenersatz aus Art. 82 DS-GVO verlangt werden? Welche Voraussetzungen sind an immateriellen Schadenersatz zu stellen? Was sagt der EuGH dazu? Wer sich dafür interessiert, sollte hier weiterlesen. Der Beitrag befasst sich damit und auch mit Entscheidungen des BGH dazu.
5.13 Dating-Apps und Sicherheit
In seinem Gedicht „Herbsttag“ schuf Rainer Maria Rilke die bekannten Worte „Wer jetzt allein ist, wird es lange bleiben…“. Das beschrieb aber die Situation im Jahr 1902 vor Dating-Apps. Und wer diese nutzt, sollte sich bewusst sein, welche Daten und Informationen er dabei über sich teilt. Ein Forschungsteam der Universität Leuven befasst sich mit dieser Thematik und berichtet hier darüber, dass einige Apps mittlerweile ihre Einstellungen verbessert hätten.
Auch wenn die meisten Apps inzwischen die Anpassungen vorgenommen haben, empfehlen die Forscher drei Tipps:
- Seien Sie sich bewusst, was Sie teilen. Was Sie auf den Profilen anderer Nutzer sehen können, können diese auch auf Ihrem Profil sehen. Geben Sie keine unnötigen Informationen preis, die sensibel sein könnten, wie z. B. Ihren Arbeitgeber oder Ihre politische Einstellung.
- Verlassen Sie sich nicht zu sehr auf die Einstellungen der Dating-Apps, die Daten für andere verbergen. Alles, was Sie mit einer Dating-App teilen, wird auf deren Servern gespeichert und kann – wissentlich oder unwissentlich – mit anderen geteilt werden, jetzt oder in Zukunft.
- Verwenden Sie die integrierten Einstellungen Ihres Smartphones, um Ihre Standortdaten zu schützen. Ziehen Sie in Erwägung nur einen geschätzten Standort zu teilen, und passen Sie die Einstellungen Ihres Telefons so an, dass Sie jedes Mal, wenn Sie eine Dating-App öffnen, die Erlaubnis geben müssen, um Ihren Standort zu teilen.
5.14 Podcast: „Frauen und Technik“
Früher war der Ausspruch „Frauen und Technik“ eher abwertend gemeint und spielte auf ein vermeintliches Unverständnis an. Daran änderte letztendlich auch der Thermomix nichts. Damit kokettieren zwei Journalistinnen und nennen ihren neuen Podcast so, in welchem sie sich mit Fragen rund um Technologie befassen. Im ersten Teil geht es um Cybercrime, Telegram, Verschlüsselung und darum, wie Staatsanwaltschaften bei Ermittlungen vorgehen. Bietet sich auch an, wenn eine der bekanntesten Staatsanwältinnen aus diesem Bereich zu Gast ist. Empfehlenswert!
5.15 Kirchlicher Datenschutz
Eine schöne Darstellung der Diskussion um Art. 91 DS-GVO bietet der (wie immer empfehlenswerte) Newsletter zu Artikel91 an. Angesicht der Besprechung der Ergänzungslieferung einer Kommentierung Bayerischer Datenschutzregelungen wird die Diskussion um die Zuständigkeit der Aufsicht der öffentlich-rechtlich verfassten Religionsgemeinschaften und der Meinungsstreit dargestellt.
5.16 Kennen Sie einen datenschutzkonformen Krankenhausdienstleister?
Je nachdem, wen man fragt, mag die Antwort auf diese Frage unterschiedlich ausfallen. Zumindest in dem Fall, um den es jetzt geht, gibt es mehrere Meinungen. Zum Beispiel die der Verfasser eines Gutachtens des Netzwerks Datenschutzexpertise sowie davon abweichend die des Unternehmens und von dessen Anwälten, die laut Stellungnahme des Netzwerks Datenschutzexpertise z.B. einen renommierten Verlag dazu brachten nicht mehr darüber zu berichten und außerdem diesen Artikel vom Netz zu nehmen. Dabei geht es in dem Gutachten vom Juni 2024 um die Bewertung der Verwendung der Daten aus Krankenhäusern, deren Anonymisierung und die daraus abzuleitenden Folgen.
5.17 ULD Sommerakademie: Digitale Datenräume und Archive
Die Reden und Vorträge, die dieses Jahr bei der Sommerakademie gehalten wurden, sind nun weitgehend auch online als PDF verfügbar. Neben dem Vortrag des Präsidenten des BayLDA zu Erwartungen an Datenräume findet sich z.B. auch ein Vortrag zu Datenaltruismus by Design oder Datenräume ohne Desaster oder zu KI und Datenschutz.
5.18 Digitale Souveränität
Wieder mal das Buzzword aus dem politischen „Wünsch dir was“. Diesmal aber wird „Digitale Souveränität“ fundiert durch das Weizenbaum-Institut im Kompaktüberblick beleuchtet.
5.19 bitkom: Wirtschaftsschutz 2024
Der bitkom informiert, dass der Angriff auf die deutsche Wirtschaft zunimmt. Gerade Cyberangriffe hätten in den letzten Monaten sehr zugenommen. Folien zu den Ergebnissen finden sich hier.
5.20 Stiftung Datenschutz: Leitfaden zu Mastodon
Um die Nutzung eines datenschutzkonformen Netzwerkes zu fördern, hat die Stiftung Datenschutz ihren Leitfaden zu Mastodon aktualisiert. Er enthält eine Checkliste und Musterdokumente für eine praktische Umsetzung.
5.21 BugBounty bei Ministerium in Österreich
Nachdem auf einer Webseite eines Ministeriums in Österreich eine Sicherheitslücke entdeckt wurde, bietet das Umweltministerium in Österreich nach dieser Nachricht ein Bug Bounty-Programm an.
5.22 Großflächige TK-Überwachung gegen kriminelles Pädophilen-Netzwerk
Wie bekannt wurde, ließ das BKA beim Telefónica-Konzern 2020 eine großflächige Überwachung durchführen. Ziel war die Enttarnung der Betreiber eines pädokriminellen Forums „Boystown“ Die Rechtsgrundlage für diese großflächige Überwachung („IP-Catching“) ist umstritten. Eine Bewertung der Aktion findet sich bei LinkedIn.
5.23 Finanzmarktaufsicht Österreich zu DORA
Von der Finanzmarktaufsicht in Österreich wird online ein Test zur digitalen Resilienz nach DORA angeboten. Bedeutende Finanzunternehmen haben verpflichtend so genannte Threat Led Penetration Tests durchzuführen. Diese – auch in der Produktionsumgebung durchgeführten – Tests zielen auf die Kern-IT-Systeme des Unternehmens ab. Die konkrete Methodik, die für diese Tests gemäß DORA anzuwenden ist, beruht auf dem Rahmenwerk TIBER-EU. TIBER steht für „Threat Intelligence-Based Ethical Red Teaming“ und wird in Österreich durch TIBER-AT umgesetzt.
5.24 OneTrust: Whitepaper PIAs & DPIAs
Ein Webtoolanbieter bietet ein Handbuch rund um PIA (Privacy Impact Assessments) an: Mastering PIAs & DPIAs: A complete handbook for privacy experts. Man braucht nur vorher seine Daten angeben. Dafür enthalten die Tabellen Aussagen zu einer PIA nach DS-GVO, dem Colorado Privacy Act und dem chinesischen PiPL.
5.25 Rechtskonforme Newsletter …
… sind das Thema dieses Interviews, das auf die Aspekte der Verwendung eines Newsletters eingeht.
5.26 Tür und Tor offen … – Angreifbarkeit von „TOR“
„Da steh ich nun, ich armer Tor – und bin so klug als wie zu vor.“
(Faust I, Prolog)
Das passt auch fast schon zu diesem Bericht über die Angreifbarkeit des Anonymisierungsdienstes „TOR“, über den z.B auch Whistleblower oder Regimegegner in Diktaturen kommunizieren. Die im Bericht eingebundene Audiodatei dauert 7 Minuten.
5.27 Podcast zu MS 365 – aber nicht nur …
In einem bekannten Podcast-Format ist diesmal ein Experte zum Einsatz von MS 365 zu Gast – aber das ist nicht das einzige Thema (Dauer ca. 1:04 Std.).
5.28 Veranstaltungen
5.28.1 MfK Nürnberg: Daten-Dienstag “Herausforderung Anonymisierung“
24.09.2024, 19:00 – 20:30 Uhr, Nürnberg: In einer Fortführung der Vortragsreihe „Daten-Dienstag – Privatheit im Netz“ widmet sich das BayLDA den Herausforderungen der Anonymisierung durch KI und Big Data. Dabei wird der aktuelle Stand der Diskussionen dargestellt. Weitere Informationen und Anmeldung hier.
5.28.2 ICO: „Webinar zu PET“
25.09.2024, 10:00 – 11:00 Uhr, online: Die britische Aufsicht ICO bietet ein kurzes Webinar zur Privacy Enhanced Technology (PET) an. Anmeldung hier.
5.28.3 Bayerische Museen: EDV-Tage für Museen und Kultur-Veranstalter
25.-27.09.2024, in Kümmersbruck und online: Die EDV-Tage finden im Kultur-Schloss | Bergbau- und Industriemuseum Ostbayern statt. Vom 25. bis zum 27. September 2024 werden Workshops, Vorträge, Museumführungen sowie das Biergenussseminar für viel Input sowie Möglichkeiten zum Vernetzen sorgen.
Die Veranstaltung wird, ausgenommen Workshops und Rahmenprogramm, parallel von Donnerstag bis Freitag per »Livestreaming« übertragen. Der Livestream sowie die späteren Aufzeichnungen sind über diese Webseite frei zugänglich. Wer vor der Veranstaltung eine Erinnerung per E-Mail zusammen mit dem Direktlink zum Livestreaming erhalten möchte, kann sich hierfür auf dem Anmeldeformular eintragen. Fragen an die Referent:innen sind per Kommentar direkt auf YouTube oder per E-Mail am Veranstaltungstag möglich. Weitere Informationen und Anmeldung hier.
5.28.4 Mittelstand-Digital Zentrum Franken: Barcamp „KI und Nachhaltigkeit“
26.09.2024, 09:30 – 14:00 Uhr, Ansbach: In diesem Barcamp des Mittelstands Digital Zentrum Franken werden Fragen zur Thematik KI und Nachhaltigkeit erörtert. Während KI bisher oft im Zusammenhang mit Effizienzsteigerungen und Kostensenkungen betrachtet wurde, zeigt sich nun ihr enormes Potenzial für nachhaltige Innovationen. Von der Optimierung von Energieverbrauch und Ressourcennutzung bis hin zur Entwicklung umweltfreundlicher Technologien – KI kann entscheidend dazu beitragen unsere Welt nachhaltiger zu gestalten. Doch was bedeutet das konkret für Unternehmen und Gesellschaft? Welche neuen Kompetenzen werden benötigt und wie müssen sich Organisationen anpassen? Weitere Informationen und Anmeldung hier.
5.28.5 Stiftung Datenschutz: Webinar „gemeinsam Handeln“
26.09.2024, ab 14:00 Uhr, online: Auf was kommt es beim gemeinsamen Handeln an, welche Aspekte führen zu welchen datenschutzrechtlichen Konsequenzen? Dieses Webinar der Stiftung Datenschutz richtet sich an alle, die in Kleinst- und Kleinunternehmen oder als Selbstständige tätig sind und regelmäßig mit anderen Unternehmen oder Partnern zusammenarbeiten. Vorkenntnisse sind nicht erforderlich. Zur Vorbereitung kann das Material der Stiftung Datenschutz dazu verwendet werden. Infos und Anmeldung hier.
5.28.6 LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
Die Landesmedienanstalt Saarland (LMS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzen sich in ihrer 9-teiligen Vortragsreihe mit der KI-Transformation und deren Auswirkungen intensiv auseinander. Weiteren Informationen auch zur Anmeldung zur jeweiligen Veranstaltung in den Links. Ein Flyer zu weiteren Informationen findet sich hier.
- 26.09.2024, 16:00 – 17:30 Uhr: Deepfake: Darstellung der Technologie, möglicher Bedrohungen, Gegenmaßnahmen und zentraler Herausforderungen
- 17.10.2024, 16:00 – 17:30 Uhr: Vertrauenswürdige KI: Was ist das und worauf kommt es an?
- 31.10.2024, 16:00 – 17:30 Uhr: Macht KI uns zu Zombies? Eine Anleitung zum Überleben
- 14.11.2024, 16:00 – 17:30 Uhr: KI und Journalismus
- 05.12.2024, 16:00 – 17:30 Uhr: Prüfungsszenarien für KI-Anwendungen: Der EU AI Act in seiner Umsetzung
- 16.01.2025, 16:00 – 17:30 Uhr: Künstliche Intelligenz in der öffentlichen Verwaltung
- 30.01.2025, 16:00 – 17:30 Uhr: KI, (Un)Fairness und Automation: Was macht KI mit uns, was machen wir mit KI?
- 13.02.2025, 16:00 – 17:30 Uhr: Vielfalt stärken, Verantwortung regeln, Vertrauen wahren: KI in Informationstechnik, Medienaufsicht und Regulierung
5.28.7 Initiative Smarter Start: „Kinder und digitale Medien – die kinderärztliche Perspektive“ -neu-
26.09.2024, 20:00 – 21:30 Uhr, online: Die Initiative Smarter Start lädt ein zu einem zum digitalen Vortragsabend im Rahmen der Vortragsreihe „Elternsein im digitalen Zeitalter“. Dabei geht es um Auswirkungen des Bildschirmmedienkonsums auf Kinder, ihre Entwicklungsbedürfnisse und kinderärztliche Nutzungsempfehlungen anhand praktischer Beispiele. Weitere Informationen und Anmeldung hier.
5.28.8 KI-Woche des LfDI Baden-Württemberg -neu-
30.09.2024 bis 02.10.2024, in Stuttgart und teilweise gestreamt: In der KI-Woche des LfDI Baden-Württemberg gibt es unterschiedliche Formate zu einem Thema: „Wer trainiert die Zukunft?“ Es gibt u.a. Vorträge, Workshops, Science Slam, Datenschutz. Details, Informationen und Anmeldung hier.
5.28.9 BSI: NIS-2 für die Wirtschaft – „Was wir schon sagen können“
08.10.2024, 14:00 – 15:00 Uhr, online: Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde. Wer wird betroffen sein und was müssen Unternehmen umsetzen? In dem NIS-2-Webinar gibt das BSI einen ersten Überblick über die NIS-2-Umsetzung. Darüber hinaus gibt es Gelegenheit Fragen zu stellen. Weitere Informationen und Anmeldung hier.
5.28.10 bitkom privacy conference -neu-
09./10.10.2024, 13:00 Uhr (am 09.10.) – 16:30 Uhr (am 10.10.), Berlin und online: Unter dem aussagekräftigen Titel „Next generaton privacy – 360° data protection“ lädt der bitkom ein sich mit aktuellen Fragestellungen zu befassen. Der erste Tag findet auf Deutsch statt, der zweite auf Englisch. Das komplette Programm findet sich hier. Nach der Liste der Redner:innen ist davon auszugehen, dass es nicht nur Ansichten aus der Perspektive der Premium-Partner gibt. Tickets gibt es hier.
5.28.11 D21: GovTalk zu staatlicher digitaler Identität am Beispiel eIDAS-Verordnung
10.10.2024, 11:30 – 16:00 Uhr, Berlin: Was ist der Status quo beim Thema staatliche digitale Identität und wohin geht die Reise – insbesondere mit Blick auf die eIDAS-Verordnung der Europäischen Kommission? Das ist eines der Themen beim GovTalk der Initiative D21 in Berlin. Weitere Informationen und Anmeldung hier.
5.28.12 Stiftung Datenschutz: DFSA und KI-Folgenabschätzung beim Einsatz einer KI-Anwendung -neu-
10.10.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz befragt dieses Mal Experten zur DSFA nach Art. 35 DS-GVO sowie die Grundrechte-Folgenabschätzung nach Art. 27 KI-VO. Dabei wird zunächst erörtert, ob KI-Anwendungen grundsätzlich eine DSFA erfordern, oder ob Schwellwertanalysen hier auch zu einem anderen Ergebnis kommen können. Im Anschluss wird diskutiert, unter welchen Bedingungen der Einsatz einer KI-Anwendung eine DSFA erfordert, und welche spezifischen Risiken durch die Nutzung einer KI-Anwendung entstehen können. Im Ergebnis werden Gemeinsamkeiten und Unterschiede von Datenschutz- und Grundrechte-Folgenabschätzungen für Hochrisiko-KI-Systeme sowie mögliche Synergieeffekte dargestellt. Weitere Informationen und Anmeldung hier.
5.28.13 ECEC – „European Compliance & Ethics Conference”
15.10.2024, online: Mit dem Thema „Transforming Compliance: Closing the Trust Gap in an Uncertain World“ sollen Personen angesprochen werden, die sich als Vordenker ampfinden, um zu untersuchen, wie wir uns in der heutigen komplexen Landschaft zurechtfinden und erfolgreich sein können. Mehr Informationen und Anmeldung hier.
5.28.14 BVDW: DATA:matters -neu-
17.10.2024, 09:00 – 23:00 Uhr, Berlin: Der Bundesverband Digitale Wirtschaft (BVDW) stellt mit seiner Konferenz DATA:matters das Thema Daten erneut in den Mittelpunkt. Es wird vorgetragen und diskutiert, was Daten für uns bedeuten – wirtschaftlich, politisch, regulatorisch, aber auch gesellschaftlich. Die Digitale Wirtschaft will Daten vor allem nutzen und das zum Nutzen von allen. Zugleich sei der verantwortungsvolle Umgang mit Daten und der Datenschutz ein inhärentes Anliegen des Verbandes. Verbraucherinnen und Verbraucher sollen Produkte und Dienstleistungen gerne nutzen – und das zu ihrem eigenen Vorteil. Soweit die Ankündigung. Auch die neue BfDI darf ihre Vorstellung von Datennutzung und Datenschutz einbringen. Passenderweise findet die Veranstaltung bei Google statt. Weitere Informationen und Anmeldung hier.
5.28.15 TUM: “Datenschutz by Design im europäischen Datenraum“ -neu-
22.10.2024, 14:00 – 20:00 Uhr, München: In der Technischen Universität München findet die Veranstaltung „Datenschutz in der europäischen Datenökonomie“ statt. Der LfDI Baden-Württemberg, die LfD Schleswig-Holstein (ULD) und der Präsident des BayLDA diskutieren mit Vertreter:innen der Wirtschaft und Wissenschaft u.a. über „Datenschutz by Design“ im Licht der Europäischen Datenstrategie sowie Herausforderungen beim Zusammenspiel von DS-GVO, EU Data Act und KI-Verordnung. Weitere Informationen und Anmeldung hier.
5.28.16 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung -neu-
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 2: Scope zum Durchführungsgesetz der KI-Verordnung
30.10.2024 \\ online - Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
29.01.2025 \\ vor Ort im Weizenbaum-Institut - Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
25.02.2025 \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
5.28.17 CNIL: „Überwachung in all ihren Formen!“ -neu-
19.11.2024, 14:30 – 18:00 Uhr, bei der CNIL und online: Die CNIL informiert, dass sie zu einer Veranstaltung zum Thema „Überwachung und Ethik der Freiheiten“ einlädt. Details des Programms stehen noch nicht fest. Unter der Abkürzung AIR (für avenirs, innovations, révolutions – Zukünftiges, Innovationen, Revolutionen) definiert die CNIL ihren Auftrag, der ihr durch das Gesetz für eine digitale Republik erteilt wurde. Dabei organisiert sie öffentliche Debatten über die neuen Herausforderungen der Digitalisierung, bei denen Experten aus der Praxis und der Wissenschaft zusammenkommen.
5.28.18 IHK München und Oberbayern: 12. Münchner Datenschutztag
29.11.2024, 14:00 – 18:30 Uhr, München: Mit aktuellen Fragestellungen befassen sich Vertreter:innen der Praxis und des BayLDA. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Razzien gegen Cybermobber
Es könnte auch bei der „Gute Nachricht am Schluss“ dazu berichtet werden: Ermittlungsbehörden führten Razzien bei einer Gruppierung durch, denen systematisches Cybermobbing und Cyberstalking vorgeworfen wird. Bei den Durchsuchungen in Bayern, Berlin, Brandenburg, Baden-Württemberg, Hessen und Niedersachsen stellten die Beamten zahlreiche elektronische Geräte und Speichermedien für ihre Ermittlungen sicher. Die Ermittler werfen den Beschuldigten vor, sie hätten vulnerable oder kognitiv beeinträchtigte Menschen aus der sogenannten Online-Streamer-Szene als Opfer ausgewählt, verfolgt, bedroht und beleidigt. Bericht dazu hier.
6.2 Fotografieren auf Chaos-Events
Nicht nur für Teilnehmende an Chaos-Events ist dieser aufgezeichnete Vortrag (ca. 59 Min) empfehlenswert. Wie kann mit Bildern die Stimmung angemessen wiedergegeben und sich dennoch bei verschiedenen Policies regelkonform verhalten werden?
6.3 Datenschutz im Kinderzimmer – z.B. „Toniebox“
„Früher“… Da gab es im Kinderzimmer nur Schallplatten und Musikkassetten und die Fragestellung, wer was davon mitbekommt, war auf die eigenen Wohnräume begrenzt (ggf. noch der Nachbarn bei entsprechender Lautstärke). Wie es um den Datenschutz bei aktuellen Spielzeugen wie der Toniebox bestellt ist, bei der über einsteckbare Figuren Geschichten angehört werden können, interessierte Forschende in der Schweiz. In diesem Radiointerview (Dauer ca. 5:30 Min) erfahren Sie ihre Ergebnisse. Der Beitrag ist bis 25.08.2025 abrufbar.
6.4 FTC USA: “A Look behind the Screens”
Ein neuer Bericht der Federal Trade Commission (FTC) der USA, der die Datenerfassungs- und Nutzungspraktiken der wichtigsten Social-Media- und Video-Streaming-Dienste untersucht, zeigt, dass diese eine umfassende Überwachung der Verbraucher betreiben, um deren persönlichen Daten zu Geld zu machen, während sie es versäumen die Nutzer online angemessen zu schützen, insbesondere Kinder und Jugendliche. Darüber hinaus hebt der Bericht die vielen Möglichkeiten hervor, mit denen die Unternehmen die persönlichen Daten von Nutzern und Nichtnutzern in ihre automatisierten Systeme einspeisen, unter anderem zur Verwendung durch ihre Algorithmen, Datenanalysen und KI. Der Bericht stellt fest, dass Nutzer und Nichtnutzer kaum oder gar keine Möglichkeit hatten die Verwendung ihrer Daten durch diese automatisierten Systeme abzulehnen, und dass es unterschiedliche, inkonsistente und unzureichende Ansätze zur Überwachung und Prüfung der Nutzung automatisierter Systeme gab.
Ach was!? Dazu sei ergänzt, dass die FTC nur die Interessen US-amerikanischer Bürger wahrnimmt. Bei uns haben wir dafür Aufsichtsbehörden, Verbraucherzentralen, NGOs – und nicht zuletzt uns selbst.
6.5 Data Literacy for the Public Sector
Es ist zwar datumsmäßig nicht ganz aktuell – aber inhaltlich immer noch eine Empfehlung: Welche digitalen Kenntnisse sollten Beschäftigte in der öffentlichen Verwaltung haben? Ausgehend von den „early Pioneers“ in den USA befasst sich die Veröffentlichung der Data Foundation „Data Literacy for the Public Sector“ damit.
6.6 AG Düsseldorf verurteilte unbefugte Sprachaufnahme
Wie hier berichtet wird verurteilte das AG eine Mutter, die ein Telefonat mit einer Lehrerein unbefugt aufnahm, um es dann in der Elternchatgruppe zu verbreiten. Manchmal helfen solche Beispiele mehr als ein Satz Powerpoint-Folien.
7 Sonstiges/Blick über den Tellerrand
7.1 Sexualisierte Gewalt auf beruflichen Plattformen
HateAid informiert, dass auch auf beruflichen Plattformen wie LinkedIn sexualisierte Gewalt, z.B. in Form von unangemessener Ansprache, stattfindet. Dazu gibt es auch Tipps und Links, wie damit umgegangen werden kann.
7.2 Thüringen 2024: Wie alles begann
Im Extremismusmonitor Thüringen der Universität Köln ist nachvollziehbar aufgelistet, wie sich in der öffentlichen Wahrnehmung Äußerungen einer Partei, die vom Verfassungsschutz beobachtet wird, entwickelten. Dabei werden separat verschiedene Themenbereiche wie Antisemitismus oder ethnisch-kulturelles Volksverständnis aufgeführt.
7.3 Studie zu Smartphones an Schulen
Smartphones im Schulunterricht sind umstritten. Eine von der Universität Augsburg durchgeführte Übersichtsstudie zeigt: Ein Verbot kann einen messbaren Effekt auf das soziale Wohlbefinden und die Lernleistungen von Schülern haben. Ein Bericht dazu findet sich auch hier.
7.4 Jugend und digital: Jugendschutzbericht 2023
Jugendschutz.net hat den Jugendschutzbericht 2023 veröffentlicht. Er befasst sich mit der Entwicklung des Gefährdungspotenzials (wie Deepfakes, Hetze und Missbrauch) für Kinder und Jugendliche im Netz. KI verschärfe Risiken für Kinder und Jugendliche im Netz.
8. Franks Zugabe
8.1 Apropos KI …
Auch in den letzten drei Wochen gab es (nach meinen Maßstäben) genug Berichtenswertes zur KI.
- Unter „Mit KI wird alles schlechter“ lassen sich wohl die Ergebnisse einer Untersuchung der Regulierungsbehörde Australia’s corporate regulator the Securities and Investments Commission (ASIC) zusammenfassen. Was wurde untersucht? Wie gut Zusammenfassungen von Textinput funktionieren. Das Ergbenis scheint ernüchternd zu sein.
- RAND hat analysiert, woran „KI“-Projekte in der Industrie üblicherweise scheitern (die vollständige Untersuchung als PDF). Die fünf Hauptfaktoren hören sich nun nicht unerwartet an:
Erstens verstehen die Beteiligten in der Branche oft nicht, welches Problem mit Hilfe von KI gelöst werden soll – oder sie kommunizieren es falsch.
Zweitens scheitern viele KI-Projekte, weil das Unternehmen nicht über die notwendigen Daten verfügt, um ein effektives KI-Modell angemessen zu trainieren.
Drittens scheitern KI-Projekte in manchen Fällen, weil sich das Unternehmen mehr auf den Einsatz der neuesten und besten Technologie konzentriert als auf die Lösung echter Probleme für die vorgesehenen Nutzer.
Viertens verfügen Unternehmen möglicherweise nicht über eine angemessene Infrastruktur, um ihre Daten zu verwalten und fertige KI-Modelle einzusetzen, was die Wahrscheinlichkeit des Scheiterns von Projekten erhöht.
Und schließlich scheitern KI-Projekte in einigen Fällen, weil die Technologie auf Probleme angewendet wird, die für KI zu schwierig zu lösen sind.
FunFact am Rande: Ich habe mir den Text durch deepl.com übersetzen lassen 😜 - Wie sammelt man eine Milliarde Risikokapital ein? Einfach das zu gründende Unternehmen Safe Superintelligence Inc. nennen und versprechen, dass damit eine sichere Super-KI entwickelt wird. Es kann so einfach sein …
- Bin ich froh, dass unser Leben noch nicht von KI abhängt … Warte, was? KI-gestützte Wasserversorgung nach Bedarf 😱
- From MLOps to MLOops: Exposing the Attack Surface of Machine Learning Platforms. Wenn Sie sich mal aufschlauen wollen, dann habe ich hinter dem Link eine Studie für Sie, die sich kürzlich der Erforschung der verschiedenen Angriffe auf Open-Source-Plattformen für maschinelles Lernen (MLOps), die in Unternehmensnetzwerken eingesetzt werden können, widmete.
- Meta scheint einige seiner KI-Modelle als Open Source whitewashen zu wollen, um Transparenz-Verpflichtungen aus der KI-VO zu entgehen. So zumindest verstehe ich diese Studie.
- Bis zu 1000 Prozent mehr: Gartner-Consultants warnen vor teuren KI-Rechnungen. Da braucht es doch nicht mehr Text als die Überschrift, um Ihr Interesse zu wekcen, oder?
- Der Staat Nevada nutzt Google-KI, um über Arbeitslosenansprüche seiner Bürger zu entscheiden. Na, Glückwunsch an die Bürger:innen von Nevada.
- Späte Rache aus dem Grab? So könnte diese Klage im Zusammenhang mit der KI-gestützten CGI-Auferstehung von Großmoff Tarkin (im Original gespielt von Peter Cushing, dessen Freund nun klagt, da diese Nutzung gegen den expliziten Wunsch Peter Cushings verstoßen soll) auch bezeichnet werden. Aber darum verlinke ich das nicht. Ich verlinke es wegen der letzten zwei Sätze zu Ashton Kutcher im Artikel. Gibt es eigentlich irgendwelches Porzellan, welches er noch nicht zerschlagen hat? Ein durch und durch sympathischer Mensch, das …
- Apropos Gerichte und KI: Da gibt es eine Idee im Ländle … Was soll da schon schiefgehen.
- OpenAI hat nach eigenen Aussagen sein neues LLM OpenAI o1 so gebaut, dass es die Ergebnissfindung herleiten kann. Wenn Sie nachfragen, kann es aber auch passieren, dass ihr Account gesperrt wird.
Ob die erste Aussage etwa nur Marketing-Sprech war? - Kommen Sie mal zu etwas Sinnvollem: Schauen Sie sich dieses Video (AI and the future of democracy | Bruce Schneier | TEDxBillings, youtube, ca. 16 Min. Dauer) an. Sehenswert!
- Derweil hat der Chef von Oracle gruselige Ideen. Soll das der Citizenscore (die western-Edition) werden? Was für eine gesellschaftliche Vorstellung haben diese IT-Milliardäre eigentlich?
- Na, da passt das doch bestimmt gut: Microsoft, Abu Dhabi und Blackrock gründen eine Investment-Gesellschaft für KI-Rechenzentren.
- Warum neubauen, wenn recyclen doch in ist. Energie für KI? Three Mile Island! Tolle Idee, Microsoft. (Hier ist meine Quelle, ich verlinke sie wegen der Updates.)
Eine Meldung zu KI bekommt einen eigenen Eintrag.
8.2 Opt-out bei der ePA – ein Update
Nachdem wir letzte Woche bereits über die Möglichkeit des Opt-out bei der ePA (vor der Einführung Anfang 2025) berichtet haben, habe ich heute für Sie eine Anleitung zum Opt-out, falls das Ihr Wunsch ist …
Wenn Sie sich nicht sicher sind, was Ihr Wunsch ist, dann empfehle ich Ihnen diese (in der obigen Anleitung verlinkte) Entscheidungshilfe, dort werden Argumente pro und contra ePA gegenübergestellt.
8.3 Stephen Fry zu KI
Wenn Sie Stephen Fry tatsächlich noch nicht kennen, sollten Sie vorab seinen Wikipedia-Eintrag lesen. Er hat sowohl in Kate-Bush-Songs mitgewirkt, er hat Harry-Potter-Bücher eingelesen, der Cheshire Cat die Stimme geliehen, Oscar Wilde verkörpert, als auch an diversen Dokumentationen Anteil gehabt. Ich schreibe jetzt hier so vieles nicht hin, was er schon gemacht hat…
Aber egal, darum geht es ja in diesem Text eigentlich gar nicht. Worum es dann geht, fragen Sie? OK, fair, da komme ich jetzt zu:
Stephen Fry hat für das Digital Futures Institute des King’s College London einen Vortrag über KI gehalten. Er hat ihn selbst auf seiner Webseite veröffentlicht, ich habe ihn (den Text) verschlungen, so gut ist er (allein das Sprach-Niveau, reinstes Queens English). Wenn Sie den Vortrag lieber als Video haben, kein Problem, here you are (Youtube, ca. 1 Std. Dauer, der Vortrag beginnt nach Vorwort und Einführung ab der elften Minute). Wenn Sie nur über den Vortrag lesen wollen (Sie verpassen etwas!), kein Problem, die BBC hat berichtet. Und wenn Sie seine Stimme so gerne hören, hören Sie sich unbedingt an, wie er Nick Cave’s Brief über ChatGPT und die menschliche Kreativität vorliest (Youtube, ca. 5 Min. Dauer). Was ja auch gut zu KI passt.
8.4 Das Geschäft der Cloudanbieter
Eigentlich reichen ja diese beiden Überschriften:
- Admins wonder if the cloud was such a good idea after all
- AWS claims customers are packing bags and heading back on-prem
Und was sagen uns diese Meldungen nun? Dass – völlig unerwartet, wie man sagen könnte – die komplette Verlagerung in die Cloud gar nicht dauerhaft billiger ist, als es vorher immer so propagiert wurde? Und dass außerdem zumindest AWS die Kunden, die wieder ihre IT on-premise (also bei sich im Unternehmen) vorhalten, als seine größten Konkurrenten sieht? Zumindest die zweite Aussage lässt ja noch Raum für Hoffnung.
8.5 Wie Du mir, so ich Dir?
So scheint gerade die Philosophie hinter den gepanten Verschärfungen für Reisebedingungen zu sein, die US-Bürger in der EU ab November 2024 ertragen müssen.
Ich fände es ja besser, wenn es das weder hüben noch drüben gäbe. Aber das ist sicherlich zu naiv gedacht, weil Sicherheit und so…
8.6 Das Recht auf Privatsphäre
Ein NGO hat einen längeren Beitrag unter dem Titel „Was ist das Recht auf Privatsphäre? Definition, Gesetze, Tendenzen“ veröffentlicht. Informative kleine Videos bereichern den Beitrag. Speziell der Film zur Public Surveillance passt ja u.a. gut zu 1.15.
8.7 Smarte Spielzeuge
Laut einer (kostenpflichtigen) Studie (Link im verlinkten Artikel) ist keines der untersuchten zwölf smarten Spielzeuge empfehlenswert, alle patzen in der einen oder anderen Disziplin (besonders gut ersichtlich im Schaubild). Da passt es ja gut, dass das EU-Parlament auch dort mittlerweile Regulation plant. Besser wäre es natürlich, wenn es keine neuen Regelungen bräuchte.
Aber wie sich zeigt, regelt der Markt soetwas halt doch nicht alleine.
8.8 Das IT-Sicherheitskennzeichen des BSI steht für Vertrauen
So die Ergebnisse einer Umfrage des BSI zum IT-Sicherheitskennzeichen. Drei Viertel aller Befragten ist die IT-Sicherheit von Produkten wichtig, zwei Drittel vertrauen dem IT-Sicherheitskennzeichen. So weit, so gut. Aber was genau bestätigt das IT-Sicherheitskennzeichen (über das wir schon 2022 berichtet haben)?
Da hilft uns vielleicht diese Quelle weiter, die da mal recherchiert hat …
Eine Selbstverpflichtung, bei der das BSI nur den Antrag auf Vollständigkeit und Transparenz prüft? Das weckt Vertrauen!
8.9 Phrack
Wie, Sie kennen Phrack nicht? Damit haben Sie aber seit 1985 etwas verpasst. Wahrscheinlich ist Phrack eines der ältesten kontinuierlich erscheinenden Online-Magazine der Welt, die erste Ausgabe wurde – wie bereits gesagt – 1985 veröffentlicht. Die optische Aufmachung kommt auch noch aus der Zeit, auch bei der neuesten Ausgabe. Inhaltlich ist es sehr hochwertig und an vielen Stellen weit über meinem Level.
Franks Nachtrag: Ich bin ehrlich, ich habe auch erst über diesen Podcast davon erfahren…
8.10 So geht gute Information über einen Datenschutzvorfall
Meist ist die Quelle, auf die ich verlinke, eher bissg, hier aber wird gelobt, dass die Meldung zu einem Datenschutzvorfall bei Transport for London (TfL) unaufgeregt, informativ und nicht verschleiernd daherkommt. Es wird keine Quelle gegeben, aber es kann trotzdem als Template dienen, denke ich.
8.11 Reden wir wieder normal über Sicherheit
„Schluss mit der Security-Katastrophe: Reden wir wieder normal über Sicherheit!“ lautet der Titel eines Beitrags, der meint, dass es nicht immer so sensationslüstern sein muss. Es ist wie es ist, und nur dadurch, dass wir es noch schlechter reden wird es auch nicht besser. Lieber etwas dagegen tun. Da ist Wahres dran.
8.12 Trotzdem: Sicherheitsvorfall-Datenbank
Auch wenn es nicht ganz zur Stimmung des vorherigen Beitrags passt, da es ja doch wieder um Sicherheitsvorfälle geht: Mir wurde aus gut unterrichteten Kreisen mitgeteilt, dass die Aufsichtsbehörden dieses Portal kennen. Mitunter sind die Einträge in diesem Portal von den Verursachern initiiert dort gelandet, im schlimmsten Fall hat vielleicht der betroffene Verantwortliche selbst noch nichts gemerkt.
Eine neue Seite, die regelmäßig gemonitort werden wollte. Juchuu …
8.13 Nochmal Sicherheit: Product Defects
Manchmal sind die Unternehmen, die Dienste nutzen, ja gar nicht wirklich verantwortlich (im Sinne von „haben es selbst verbockt“*), wenn die Probleme eigentlich durch die Anbieter der Dienste erzeugt werden. Die Chefin der CISA (der US-amerikanischen Cybersicherheitsbehörde) hat an gut gewählter Stelle mal ein paar prägnante Aussagen getroffen.
Der Bericht, der über ihren Vortrag (der sich hinter einer Paywall befindet, natürlich) geschrieben wurde, trägt schon den schönen Titel „Makers of insecure software are the real cyber villains“.
Mehr Zitate gefällig?
- „The truth is: Technology vendors are the characters who are building problems“ into their products, which then „open the doors for villains to attack their victims,“ declared Easterly during a Wednesday keynote address at Mandiant’s mWise conference.
- Even calling security holes „software vulnerabilities“ is too lenient, she added. This phrase „really diffuses responsibility. We should call them ‚product defects,'“ Easterly said. And instead of automatically blaming victims for failing to patch their products quickly enough, „why don’t we ask: Why does software require so many urgent patches?“
- While no one would buy a car or board an airplane „entirely at your own risk,“ we do that every day with the software that underpins America’s critical infrastructure, she added.
Nun ja, vielleicht wird auch das ja mal demnächst für und bei uns in der EU mit einem neuen Stück EU-Regulation gelöst. In den USA erkennen sie das Problem, bei uns hilft uns vielleicht der Cyber Resilience Act.
* Franks Anmerkung: Wobei natürlich schon die Auswahl des Dienstes der Fehler gewesen sein kann, aber darum geht es hier gerade nicht …
8.14 Und wieder Sicherheit: Über Sicherheitsvorfall hartnäckig berichtet? – Verklagt!
Tja, das passiert nicht nur bei uns, auch im Staate Ohio in den USA gibt es solch einen Fall.
8.15 Kennen Sie den? „Er fuhr Ford …“
… und jetzt denken Sie bestimmt, es geht weiter mit „… und dann kam er mit dem Zug zurück“.
Mal abgesehen davon, dass das mit dem Zug zurückkommen heutzutage ja auch nicht mehr so sicher sein muss, geht es hier aber weiter mit „… und er wurde während der Fahrt belauscht, damit zum Gespräch passende Werbung ausgeliefert werden konnte“.
Ok, der ist jetzt nicht so lustig, aber zumindest hat Ford solch ein Patent eingereicht.
Vielleicht wird der Witz demnächst sein, dass keiner mehr Ford fahren will? Und diese Funktion werden dann bestimmt alle Hersteller einführen.
Aber es hat ja sicherlich wieder niemand etwas zu verbergen …
9. Die guten Nachrichten zum Schluss
9.1 Podcast: Interessen und Ängste von Kindern beim Thema Internet
In diesem Podcast (Dauer ca. 36 Min.) geht es um Ängste von Kindern und Jugendlichen zum Thema Internet. Was finden sie cool und worauf haben sie Lust? Was haben sie schon erlebt? Es werden Tipps gegeben, worauf Eltern achten sollten, wenn Kinder im Internet unterwegs sind, um sie bestmöglich an die Hand zu nehmen. Cybermobbing, Cybergrooming und andere Gefahren sind den Kindern in vielen Fällen sehr bekannt und hier gilt es Ruhe zu bewahren und die Kinder aufzuklären. Diese Episode betrachtet sich als Überblick über das, was die Kinder erzählen, und leitet daraus die richtigen Handlungen, Vereinbarungen und Regeln für einen fairen und sicheren Umgang im Internet ab. Sie richtet sich an Eltern, Erziehungsberechtigte, Lehrerinnen und Lehrer und alle interessierten Menschen, die wichtige Informationen zu diesem Thema kennenlernen möchten.
9.2 Weitere Clips zur Sensibilisierung – nicht nur für Kinder
Passend zum Weltkindertag wurden die Themen bei den Videoclips bei „Datenschutz leicht erklärt“ erweitert. Auf der Seite finden sich nun auch Clips zum Umgang mit personenbezogenen Daten am Beispiel der Notenbekanntgabe, aber auch zum Thema Fotografieren im Unterricht. Das kann bei der Vermittlung von Basiswissen im Umgang miteinander unterstützen – oder auch nur mal wieder erinnern Vorbild zu sein – nicht nur am Weltkindertag!