Hier ist der 1. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 17&18/2024) – Die DVD-Edition“.
Alles neu macht der Mai. Willkommen bei einem neuen Inhaltstyp auf der DVD-Webseite. Wir haben uns vorgenommen hier in Zukunft mehr wechselnde, aktuelle Inhalte zu veröffentlichen. Deswegen fangen wir an mit einer Blog-Reihe, die an anderer Stelle schon eine längere Tradition hat. Wenn Sie bereits treue:r Leser:in des BvD-Blogs (dort der Blog-Reihe „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe“) sind, dann werden Sie in diesem Beitrag nichts Neues entdecken. Da wir vom DVD-Vorstand (und auch wir beiden Autoren) aber die Vermutung haben, dass es zwar eine Schnittmenge gibt, aber auch viele Seitenbesucher:innen, die die jeweils andere Webseite nicht (oder nicht regelmäßig) frequentieren, haben wir beschlossen dieses Angebot auch hier einzustellen.
Solange es nicht explizit geschrieben wird, ist der jeweilige Blog-Beitrag eine exakte Kopie, Änderungen werden ausgewiesen werden.
Was dürfen diejenigen von Ihnen, die den BvD-Blog nicht kennen, nun erwarten?
Sie finden Meldungen zu Aktivitäten und Veröffentlichungen von Aufsichtsbehörden (1), Besprechungen von relevanten Urteilen (2), Informationen zu Gesetzgebungsvorhaben (3), Neuigkeiten aus dem Bereich der KI und der Ethik (4), Veröffentlichungen allgemein (inklusive – wenn tatsächlich vorhanden – Veranstaltungshinweisen zu kostenlosen Veranstaltungen*, 5), Beiträge zu gesellschaftspolitischen Diskussionen (6), Meldungen, die den Blick über den Tellerrand wagen (7), Franks Zugabe (8) sowie die gute(n) Nachricht(en) zum Schluss (9).
Die meisten Inhalte kommen originär vom Kollegen Rudi Kramer (Kapitel 8 ist exklusiv meines), alles kann und wird im Bedarfsfall auch mal angereichert um meine Nachträge und Anmerkungen (siehe am Ende dieser einleitenden Worte).
Wie oft dürfen Sie Beiträge dieser Blog-Reihe erwarten? Mit der Erfahrung von mittlerweile über drei Jahren würde ich mal schreiben: Das kommt darauf an. Je nachdem, wie viel Inhalt in solch einem Blogbeitrag steckt, dauert es halt mal mehr oder weniger lang, bis er fertig ist. Üblicherweise veröffentlichen wir diese Blogbeiträge wöchentlich, aber es gibt auch häufiger Ausgaben, die zwei Wochen oder auch mal einen ganzen Monat abdecken.
Wenn es zur zeitlichen Einordnung sinnvoll ist, erkennen Sie die Zugehörigkeit von Meldungen zu einzelnen Kalenderwochen im Inhaltsverzeichnis an den Lücken und daran, dass dann die Sortierung wieder neu beginnt (z.B. beginnt es bei Aufsichtsbehörden meist auf europäischer Ebene, wenn also im Inhalstverzechnis für das Kapitel 1 nach einer kleinen Lücke wieder Überschriften zu z.B. dem EDSA kommen, bedeutet das, dass Sie nun eine Meldung der folgenden Woche lesen). Im vorliegenden Beitrag ist das natürlich ausgerechnet nicht so, hier sind die Inhalte durchgängig sortiert (nach der Gewichtung durch die Autoren) ohne die beiden Kalenderwochen, die abgedeckt werden, zu berücksichtigen. Sie merken, es kommt darauf an.
Wer sind die Autoren?
Rudi Kramer schrieb auf meine Frage, ob es eine Stelle im Internet gäbe, an der Informationen über ihn dargestellt werden, dass er sich dessen nicht bewusst sei. Er gab mir folgenden Text mit: Im Bereich Datenschutz seit 2009 bei einem IT-Unternehmen tätig, seit 2010 bei DSgzS aktiv, BvD-Vorstand von 2012 bis 2018, AK-Leiter bei der AWV, darüber auch Beiratsmitglied bei der Stiftung Datenschutz, Lehrbeauftragter an der HS Ansbach (siehe z.B. auch unter 5.9.2).
Informationen über mich (Frank Spaeing) finden Sie u.a. hier.
Aber nun genug der Vorrede (selten hatten wir in unseren Blogbeiträgen solch einen langen Einführungstext), viel Vergnügen beim Stöbern und Informieren.
Franks Nachtrag: Ach so, noch ein Tipp: Überfliegen Sie zumindest das Inhaltsverzeichnis. Nicht alles muss Sie interessieren, aber manchmal verbergen sich Perlen weiter unten im Text (und das schreibe ich jetzt nicht nur, weil mein Kapitel mit der Nummer 8 weiter hinten steht).
* Franks Anmerkung: Veranstaltungshinweise bringen wir so lange, wie sie noch in der Zukunft liegen und sich Menschen noch anmelden können. Deswegen sind neue Veranstaltungshinweise mit -neu- gekennzeichnet.
- Aufsichtsbehörden
- EDSA: Tätigkeitsbericht für 2023
- EDSA: Ergänzende Dokumente zum Drittstaatentransfer (USA)
- ULD: Tätigkeitsbericht für 2023
- ULD: Tätigkeitsbericht für 2023 – Anforderungen an E-Mail-Newsletter
- ULD: Tätigkeitsbericht für 2023 – Fragen zur Künstlichen Intelligenz
- ULD: Tätigkeitsbericht für 2023 – Best-Practice-Gestaltung von Online-Formularen
- ULD: Tätigkeitsbericht für 2023 – ENISA-Arbeitsgruppe zum „Data Protection Engineering”
- DSK: Orientierungshilfe zu Künstlicher Intelligenz
- DSK zur Zuständigkeit bei Künstlicher Intelligenz
- LfD Bayern: Orientierungshilfe zum Daten-Governance-Recht
- BayLDA: Zweckänderungen bei Werbedaten
- Sachsen: Tätigkeitsbericht für 2023
- Sachsen: Tätigkeitsbericht für 2023 – Auftragsverarbeitung und Verpflichtungsgesetz
- Sachsen: Tätigkeitsbericht für 2023 – Aufgaben des DSB bei Gestaltung rechtlicher Regelungen
- Sachsen: Tätigkeitsbericht für 2023 – Probleme beim Einsatz von Kameraattrappen
- Sachsen: Tätigkeitsbericht für 2023 – „Königreich Deutschland“
- Sachsen: Tätigkeitsbericht für 2023 – Sanktionen in Sachsen
- Saarland: Tätigkeitsbericht für 2023
- Saarland: Tätigkeitsbericht für 2023 – Zwischenbericht zum Einsatz von Microsoft 365 in der Verwaltung
- Saarland: Tätigkeitsbericht für 2023 – Verbotene Nutzung des geschäftlichen E-Mail-Accounts zu privaten Zwecken
- Saarland: Tätigkeitsbericht für 2023 – Arbeitsrechtlicher Vergleich zum Auskunftsanspruch
- LfD Niedersachsen: Einsatz von MS Teams in der Verwaltung Niedersachsens
- LfDI Baden-Württemberg: Praxishandreichung Transparenzportale
- Österreich: FAQ zu Künstlicher Intelligenz
- Tschechien: Bußgeld gegen Antiviren-Softwareanbieter
- Niederlande: Anforderungen an Scraping
- Griechenland: Bußgeld in Höhe von 1% des Vorjahresumsatzes bei Verstoß gegen TOM
- BSI: Kompendium zu ICS
- Rechtsprechung
- EuGH: Zulässigkeit der Speicherung von IP-Adressen
- EuGH: Verarbeitung sensibler Daten auf Facebook
- EuGH: Fall Lindenapotheke C-21/23 – Gesundheitsdaten im Online-Handel
- VG München: Keine Einsicht in AV-Vereinbarungen
- OLG Celle: Auskunftspflicht des Betreibers einer (Arbeitgeber-)Bewertungsplattform
- BVwG Österreich: Berechnung des Bußgeldes und Reduzierung von 4 Mio. auf 50.000 Euro
- Bezirksgericht Amsterdam: Anforderungen an Art. 23 DS-GVO
- EuGH-Vorschau: Erfordernis der Geschlechtsbezeichnung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- OECD AI Principles – Stand Mai 2024
- KI und Ethik
- ChatGPT, Betroffenenrechte und die Frage der Zuständigkeit der Aufsicht
- Checkliste für AI-Provider und Transparenzanforderungen
- Verbesserung nicht-englischer Sprachmodelle
- „KI-Wertschöpfungskette“ … und dessen Akteure
- Urheberrecht und Künstliche Intelligenz
- Alan Turing Institut: AI und Security
- KI als Mittelmaß
- KI als Wahlkampfinstrument
- Veröffentlichungen
- Paying for Privacy: Pay-or-Tracking Walls
- Umfrage zum DSB
- Forschungsprojekte zu Datenschutzbewusstsein
- Aufbewahrungsfristen
- Die sechs Reiter der digitalen Apokalypse
- Podcast-Empfehlung insb. zu TikTok
- Und noch ein Podcast: Cyber-Nation Deutschland – oder nicht?
- Öffentlichkeitsarbeit von Datenschutzaufsichten
- Veranstaltungen
- Bundestag: 1. Lesung zu Änderungen im BDSG -neu-
- Hochschule Ansbach: School of Business and Technology – Session 2: Aktuelle EuGH-Entscheidungen im Bereich des Datenschutzes -neu-
- Universität Wien: Sechs Jahre DS-DVO – Lessons Learnt & Implications for the Future of Digital Regulation -neu-
- University:Future Festival 2024
- Hochschule Ansbach: School of Business and Technology – Session 3: Datenschutzorganisationen erfolgreich führen -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Tätigkeitsbericht für 2023
Der Europäische Datenschutzausschuss hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Zum Bericht gibt es auch eine neunseitige Zusammenfassung. Als „Highlights“ werden dort Bußgelder gegen große Tech-Konzerne und auch gemeinsame Beschlüsse hervorgehoben (mein Highlight wäre, wenn diese Bußgelder auch mal durchgesetzt werden würden).
1.2 EDSA: Ergänzende Dokumente zum Drittstaatentransfer (USA)
Der EDSA hat auf seiner Webseite weitere Dokumente zu den Rechtsbehelfsmechanismen des EU-US-Datenschutzrahmens für nationale Sicherheit und kommerzielle Zwecke veröffentlicht. Zudem gibt es Informationen zu Rechtsbehelfsverfahren für Zwecke der nationalen Sicherheit.
1.3 ULD: Tätigkeitsbericht für 2023
Das ULD hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Aus der Vielzahl der angesprochenen Themen sind hier einige wenige ausgewählt:
1.3.1 ULD: Tätigkeitsbericht für 2023 – Anforderungen an E-Mail-Newsletter
Das Dauerthema der Anforderungen an die Nutzung eines E-Mail-Newsletter an Bestandskunden im Zusammenspiel mit dem UWG wird unter Ziffer 5.3 lehrbuchmäßig dargestellt.
1.3.2 ULD: Tätigkeitsbericht für 2023 – Fragen zur Künstlichen Intelligenz
Die Aktivitäten und den aktuellen Stand zu den datenschutzrechtlichen Fragen beim Einsatz von Künstlicher Intelligenz stellt das ULD in Ziffer 6.1.4 dar.
1.3.3 ULD: Tätigkeitsbericht für 2023 – Best-Practice-Gestaltung von Online-Formularen
Unter der Ziffer 10.1 gibt das ULD Tipps zur datenschutzkonformen Gestaltung von Online-Formularen. Die Tipps ergänze ich noch um den Hinweis, dass die Felder zur geschlechtsbezogenen Anrede in Idealfall auch die Möglichkeiten eines dritten Geschlechts umfassen oder auch keine Auswahl zulassen sollten, wenn diese Angabe denn unbedingt erforderlich sein sollte. Zumindest muss darauf geachtet werden, dass auch dieses Feld von einem Berichtigungsanspruch betroffen sein kann.
1.3.4 ULD: Tätigkeitsbericht für 2023 – ENISA-Arbeitsgruppe zum „Data Protection Engineering”
Die Aktivitäten und die Mitwirkung in der ENISA-Arbeitsgruppe „Data Protection Engineering“ werden unter Ziffer 11.3 geschildert. Dabei wird auch auf entsprechende Berichte verlinkt wie „Engineering Personal Data Sharing – Emerging Use Cases and Technologies“ (2023) und „Engineering Personal Data Protection in EU Data Spaces“ (2024).
1.4 DSK: Orientierungshilfe zu Künstlicher Intelligenz
Die Datenschutzkonferenz veröffentlichte eine Orientierungshilfe zum Einsatz Künstlicher Intelligenz. Diese beinhaltet Aussagen zu den Anforderungen aus Datenschutzsicht und kann auch wie eine kleine Checkliste verwendet werden, an welche Punkte zu denken sind. Sicherlich nicht das letzte Dokument der Aufsichtsbehörden zu dieser Thematik. Und hier ist sicher nicht die einzige Kritik dazu.
1.5 DSK zur Zuständigkeit bei Künstlicher Intelligenz
Wie sollten die Zuständigkeiten bei den Aspekten beim Einsatz von KI in Deutschland umgesetzt werden? Die DSK hat hier klare Vorstellungen, die sie nun veröffentlichte:
Als Marktüberwachungsbehörden sollten der BfDI und Landesdatenschutzbehörden fungieren mit dem Hinweis, dass, wenn ein KI‐System bundesweit als Produkt angeboten oder aus dem internen Gebrauch heraus zum externen Vertrieb auf den Markt gebracht werde, die Zuständigkeit hierfür beim Bund läge. Insbesondere die Nutzung oder die Entwicklung von KI‐Systemen für den internen Gebrauch durch Unternehmen und Behörden wird von den Landes- bzw. der Bundesdatenschutzbehörde in ihrer jeweiligen Zuständigkeit überwacht.
Im europäischen Ausschuss für KI sollte der BfDI eingebunden werden mit dem Hinweis, dass der Vertreter der Mitgliedstaaten im europäischen Ausschuss für KI automatisch der zentrale Ansprechpartner gegenüber dem Ausschuss, der Öffentlichkeit und den anderen Akteuren der KI‐VO auf nationaler und europäischer Ebene wird. Unberührt blieben sektorale Zuständigkeiten (z. B. Kraftfahrzeuge, Finanzsektor, KRITIS), soweit sie bereits in dem Verordnungstext vorgesehen sind oder vom Bundesgesetzgeber aufgrund der Sachnähe aufgegriffen werden.
1.6 LfD Bayern: Orientierungshilfe zum Daten-Governance-Recht
Der LfD Bayern veröffentlichte eine 44-seitige Orientierungshilfe zum Daten-Governance-Rechtsakt. Damit sollen Daten verstärkt wirtschaftlich genutzt und datengetriebene Innovationen gefördert werden – soweit personenbezogene Daten betroffen sind, allerdings auf Basis der Datenschutz-Grundverordnung. Teil dieser Strategie ist der Daten-Governance-Rechtsakt (im Folgenden: DGA), der durch unionseinheitliche Vorgaben das Vertrauen in den Datenaustausch stärken und gleichzeitig die Datenverfügbarkeit erhöhen soll. Hierdurch soll perspektivisch die Einrichtung und Entwicklung gemeinsamer europäischer Datenräume in strategischen Bereichen unterstützt werden. Die Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten bildet ein prominentes Beispiel. Der DGA enthält vier Regelungsbereiche: Neben Mechanismen zur Erleichterung der Weiterverwendung bestimmter geschützter Daten des öffentlichen Sektors statuiert er Rahmenbedingungen für Datenvermittlungsdienste und Datenaltruismus sowie für den Transfer von nicht personenbezogenen Daten in und den Zugang zu solchen Daten durch Drittstaaten. In der Orientierungshilfe werden die Bestimmungen des DGA dabei stets in ihrem Verhältnis zur Datenschutz-Grundverordnung beleuchtet.
1.7 BayLDA: Zweckänderungen bei Werbedaten
Im Netz wurde dieser Bescheid des BayLDA veröffentlicht, der sich mit einer Zweckänderung von Daten zur Beurteilung von Kreditwürdigkeit befasst, die zur Werbung erhoben wurden. Nach Ansicht des BayLDA ist diese Änderung des Verarbeitungszwecks nicht durch Art. 6 Abs. 4 DS-GVO legitimierbar. Die Zwecke seien nicht kompatibel. Die Regelungen des § 24 BDSG sind ebenfalls nicht anwendbar, sodass insgesamt eine unzulässige Zweckänderung entgegen gegen Art. 5 Abs. 1 lit. b i.V.m. Art. 6 Abs. 4 DS-GVO vorgenommen wurde. Neben diesem generellen Verstoß liegt in der Folge auch durch die Übermittlung an EOS [EOS Holding GmbH (Otto Group)] ein Verstoß gegen Art. 5 Abs. 1 lit. b i.V.m. Art. 6 Abs. 4 DS-GVO vor, da diese zumindest anteilig auch auf den Daten basierte, die der unzulässigen Zweckänderung unterzogen wurden.
1.8 Sachsen: Tätigkeitsbericht für 2023
Auch in Sachsen wurde der Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Und auch gibt es hier eine kurze Auswahl:
1.8.1 Sachsen: Tätigkeitsbericht für 2023 – Auftragsverarbeitung und Verpflichtungsgesetz
In Ziffer 4.3.1 befasst sich die Sächsischen Datenschutz- und Transparenzbeauftragte mit Fragestellungen der Auftragsverarbeitung für öffentliche Stellen und wer befugt sei eine Verpflichtung nach dem Verpflichtungsgesetz vorzunehmen. Dabei arbeitet sie auch die Unterschiede zu Bayern heraus.
1.8.2 Sachsen: Tätigkeitsbericht für 2023 – Aufgaben des DSB bei Gestaltung rechtlicher Regelungen
Wer ist für die datenschutzrechtliche Gestaltung von rechtlichen Regelungen zuständig? Muss das der Datenschutzbeauftragte übernehmen? Dies behandelt der Tätigkeitsbericht unter Ziffer 4.5.1. Unter Verweis auf Art. 39 Abs. 1 lit. a DS-GVO und ErwGr. 77 könne keine Pflicht des Datenschutzbeauftragten zur Mitgestaltung von rechtlichen Regelungen im Zuge von Vertragsentwicklungen sowie -verhandlungen entnommen werden. Zweckmäßig dürfte es jedoch sein eventuell bestehende Datenschutzbedenken gegen entsprechende Entwürfe vorzutragen.
1.8.3 Sachsen: Tätigkeitsbericht für 2023 – Probleme beim Einsatz von Kameraattrappen
Ein Wort mit vier „a“, zwei „t“, zwei „e“ und zwei „p“? Der Hit bei Scrabble wäre sicherlich Kameraattrappe und ich checkte eben dreimal, ob ich es richtig geschrieben habe. Im Tätigkeitsbericht wird dies auch unter Ziffer 6.1.1 thematisiert: Welche Ansprüche haben betroffenen Personen, die ja eigentlich mangels Datenverarbeitung gar keine betroffenen Personen sind? Und wie reagiert eine Aufsicht ohne dabei den Abschreckungseffet einer Attrappe zu unterlaufen? Lesenswert!
1.8.4 Sachsen: Tätigkeitsbericht für 2023 – „Königreich Deutschland“
Ich erinnere mich noch an Zeiten, da wären solche Themen nur in einer Satire möglich gewesen. Die Möglichkeiten der Informationsvielfalt über das Internet ermöglichten auch einen Verblödungsfaktor, der hier seinen Ausdruck findet.
Wie reagiert man auf einen Auskunftsanspruch gegen das „Königreich Deutschland“? „Gibt‘s nicht – geht also nicht“ – oder etwas ausführlicher unter Ziffer 6.1.2.
1.8.5 Sachsen: Tätigkeitsbericht für 2023 – Sanktionen in Sachsen
Im Berichtszeitraum wurde in Sachsen acht Zwangsgelder mit einer Gesamtsumme von 45.000 Euro (Vorjahr: 12.000 Euro) festgesetzt. Details unter Ziffer 6.3.1.
1.9 Saarland: Tätigkeitsbericht für 2023
Die Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland hat ihren 32. Tätigkeitsbericht Datenschutz (für das Jahr 2023) veröffentlicht. Nachfolgend einige subjektive Highlights daraus:
1.9.1 Saarland: Tätigkeitsbericht für 2023 – Zwischenbericht zum Einsatz von Microsoft 365 in der Verwaltung
Die Landesbeauftragte sieht laut den Ausführungen zu MS 365 unter Ziffer 3.1 trotz EU-U.S. Data Privacy Framework und der von Microsoft zugesicherten, weil erforderlichen Zertifizierung datenschutzrechtliche Lücken beispielsweise hinsichtlich des Cloud Acts (S. 34):
„Denn die im EU-U.S. DPF vorgesehenen Garantien in Bezug auf den Zugang von US-Behörden gelten nur, soweit die Daten zuvor innerhalb des EU-US-Datenschutzrahmens in die USA übermittelt wurden. Bei Anfragen von US-Behörden auf Zugang zu in Europa verarbeiteten Daten wird es erst im Zeitpunkt der Herausgabe durch Microsoft Irland an die Drittstaatsbehörde zu einer Drittstaatsproblematik bzw. einem Drittstaatstransfer, der dann an den allgemeinen Regelungen des Kapitels V der DSGVO und dort insbesondere an Art. 48 DSGVO zu messen ist.“
Darüber hinaus bestehe keine Einigung zwischen Microsoft und der Aufsichtsbehörde hinsichtlich der Löschfristen:
„Microsoft erläuterte diesbezüglich, dass man davon ausgehe, im Zweifel auch den Aufforderungen von U.S.-Recht zu unterliegen und daher hier keine Einschränkung auf den Wortlaut der DS-GVO vornehmen könne. Von unserer Seite wurde klargestellt, dass eine Verlängerung der Löschfristen aufgrund gesetzlicher Verpflichtungen, die nicht aus europäischem Recht resultieren, gegen die DSGVO verstößt. Insofern geht es auch hier um das Spannungsverhältnis zwischen EU-Recht und US-amerikanischem Recht.“
Die LfDI des Saarlandes geht davon aus, dass zumindest im öffentlichen Bereich vor einem Einsatz von MS 365 eine DSFA erforderlich ist (S. 36).
1.9.2 Saarland: Tätigkeitsbericht für 2023 – Verbotene Nutzung des geschäftlichen E-Mail-Accounts zu privaten Zwecken
Eigentlich sollte es klar sein: Die Gestattung der privaten Nutzung dienstlicher E-Mailkonten bringt nur Probleme. So auch hier. Die LfDI beschreibt unter Ziffer 8.1 einen Fall, in dem ein ehemaliger Arbeitnehmer (AN) den geschäftlichen E-Mail-Account verbotswidrig für private E-Mails nutzte.
Der Arbeitgeber (AG) sicherte und untersuchte die E-Mails. In diesem Zusammenhang stellte die LfDI fest, dass auch bei Ausschluss der Privatnutzung vom Inhalt der E-Mails durch den AG grundsätzlich dann nicht mehr Kenntnis genommen werden darf, sobald ihr privater Charakter erkannt wurde. Allerdings hatte der AN Firmeninterna privat preisgegeben. Insoweit überwogen die Interessen des AG, so dass er vom gesamten Inhalt der privaten E-Mails Kenntnis nehmen durfte. Die LfDI empfiehlt die private Nutzung auszuschließen und spezifische Regelungen zur Vorgehensweise bei Ausscheiden eines Arbeitnehmers zu treffen. Hier kommt etwa die Verpflichtung des Arbeitnehmers in Betracht, bei Verlassen eines Unternehmens abschließend sein Postfach zu sichten und gegebenenfalls E-Mails zu löschen, bevor diese archiviert und dabei eventuell auch gesichtet werden können. Auch die unerwartete Abwesenheit oder der Tod von Arbeitnehmern sowie die damit zusammenhängende Frage eines Zugriffs bei diesen Ereignissen sollten klar geregelt werden.
1.9.3 Saarland: Tätigkeitsbericht für 2023 – Arbeitsrechtlicher Vergleich zum Auskunftsanspruch
Sollte im arbeitsgerichtlichen Vergleich der Auskunftsanspruch des Arbeitnehmers ausgeschlossen werden, empfiehlt es sich nach der LfDI Saarland unter Ziffer 8.2 der Klarheit und Eindeutigkeit wegen den Ausschluss des Auskunftsanspruchs aus Art. 15 DS-GVO und evtl. weiterer datenschutzrechtlicher Betroffenenrechte explizit, d. h. unter Verweis auf die jeweilige Rechtsgrundlage des Anspruchs, zu benennen und für erledigt zu erklären.
Hier befasst sich auch ein Beitrag mit der Thematik der Abdingbarkeit von Betroffenenrechten.
1.10 LfD Niedersachsen: Einsatz von MS Teams in der Verwaltung Niedersachsens
Der LfD Niedersachsen veröffentlichte seine Pressemeldung zum Einsatz von MS Teams in der Verwaltung Niedersachsens. Tage zuvor informierte die Landesverwaltung über das erzielte Ergebnis. Der LfD hält das Verhandlungsergebnis mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung für akzeptabel. Auch mit dem erzielten Verhandlungsergebnis besteht allerdings aus Sicht des LfD ein deutliches Potenzial für datenschutzfreundlichere Regelungen sowie für vom Verantwortlichen weiterhin zu prüfende Aspekte, wozu der LfD entsprechende Hinweise gegeben hat. Neben der Prüfung und Beachtung der Drittstaatenanforderungen und einer Lösung über ein EU-Boundary seien weiterhin zahlreiche interne Maßnahmen beim Verantwortlichen – wie etwa Dienstanweisungen und Konfigurationseinstellungen zur Datenminimierung – zu treffen. Ferner müssen die Verantwortlichen vor der Einführung unter anderem eine individuelle Datenschutz-Folgenabschätzung erstellen und die technischen und organisatorischen Datenschutzmaßnahmen überprüfen.
Und bei Microsoft scheint auch das Thema Security wieder Chefsache geworden zu sein, zumindest hat es nach diesem Bericht „oberste Priorität“. Hoffen wir trotzdem, dass sie es (irgendwann) ernst nehmen.
1.11 LfDI Baden-Württemberg: Praxishandreichung Transparenzportale
Die Konferenz der Informationsfreiheitsbeauftragten hat eine Handreichung Transparenzportale erarbeitet. Sie gibt Praxistipps dazu, wie ein Transparenzportal ausgestaltet werden kann. Weitere Informationen dazu liefert der LfDI Baden-Württemberg auf seiner Webseite.
1.12 Österreich: FAQ zu Künstlicher Intelligenz
Die Datenschutzbehörde Österreich hat eine FAQ-Liste auf ihrer Webseite zur Künstlichen Intelligenz veröffentlicht. Sie soll laufend erweitert werden.
1.13 Tschechien: Bußgeld gegen Antiviren-Softwareanbieter
Wem kann man noch trauen? In Tschechien wurde ein Bußgeld in Höhe von umgerechnet 13,9 Mio. Euro verhängt, weil ein Antiviren-Software-Anbieter bei der Umsetzung der DS-GVO nicht sauber arbeitet. Er hatte im großen Stil Nutzerdaten aus dem eigenen Kernprodukt und zugehörigen Browser-Erweiterungen an seine Tochterfirma Jumpshot ohne einen entsprechenden rechtlichen Anspruch auf eine solche Verarbeitung weitergeleitet. Dieses Vorgehen betraf Daten von ca. 100 Mio. Nutzern. Bericht dazu hier. Übrigens gab es dazu auch eine Geldstrafe in den USA wegen ähnlicher Verstöße von der FTC in Höhe von 16,5 Mio. US-$ (ca. 15,3 Mio. Euro).
1.14 Niederlande: Anforderungen an Scraping
In den Niederlanden hat die dortige Datenschutzaufsicht eine Handreichung zum Scraping durch private Organisationen und Einzelpersonen veröffentlicht, die eine Interessensabwägung als datenschutzrechtliche Rechtmäßigkeitsgrundlage bei Vorliegen einer Gewinnerzielungsabsicht eher ablehnt. Dieses kann durchaus diskutiert werden, wenn ich z.B. den ErwGr. 4 lese.
Übrigens liegt diese Fragestellung auch bereits beim EuGH im Verfahren C-621/22 (wir berichteten):
„Kann jedes Interesse ein berechtigtes Interesse sein, sofern es dem Gesetz nicht zuwiderläuft? Konkreter: Sind ein rein kommerzielles Interesse und das vorliegende Interesse, nämlich die entgeltliche Bereitstellung personenbezogener Daten ohne Zustimmung der betroffenen Person, unter bestimmten Umständen als ein berechtigtes Interesse einzustufen? Falls ja: Welche Umstände bestimmen, ob ein rein kommerzielles Interesse ein berechtigtes Interesse ist?“
1.15 Griechenland: Bußgeld in Höhe von 1% des Vorjahresumsatzes bei Verstoß gegen TOM
Aufgrund unzureichender Schutzmaßnahmen wurde ein Postunternehmen in Griechenland von einem Verschlüsselungsangriff betroffen, in einem zweiten Vorfall kam es zur Weitergabe personenbezogener Daten und deren Veröffentlichung im Dark Web. Die Untersuchung des Vorfalls ergab, dass das Unternehmen die erforderlichen technischen und organisatorischen Maßnahmen nicht einhielt und die Umsetzung der Sicherheitspolitik für die Verarbeitung nicht gewährleistete. Dieses Versäumnis führte zu Verstößen innerhalb des Systems des Unternehmens, einschließlich des Scannens von Schwachstellen, des unbefugten Zugriffs auf Systemressourcen, der Ausführung bösartiger Prozesse, der Deaktivierung von Sicherheitssoftware und der Verschlüsselung von Dateien. Die Aufsucht legte eine Geldbuße in Höhe von 1 % des letzten verfügbaren Jahresumsatzes auf der Grundlage von Kriterien fest, die gemäß den EDPB-Leitlinien 4/2022 zur Berechnung von Geldbußen bewertet wurden, d. h. der große Kreis der betroffenen Personen, die Höhe des Schadens, die Art des Verstoßes, die Versäumnisse bei der Sicherheitspolitik und die Kategorien der betroffenen Daten. Mildernde Faktoren waren die Verstärkung der Sicherheitsmaßnahmen des Systems nach dem Vorfall, die Tatsache, dass mit der Untersuchung des Vorfalls ein spezialisiertes Unternehmen betraut wurde und dass das Unternehmen dessen Anweisungen befolgte, die Wiederherstellung der Daten und die schlechte finanzielle Lage des Unternehmens. Kurzfassung dazu hier, Angaben auf der Webseite der Aufsicht dort.
1.16 BSI: Kompendium zu ICS
Die Digitalisierung hat in den letzten Jahrzehnten nicht nur die Arbeit in den Büros verändert. Auch Automatisierungslösungen und das Steuern technischer Prozesse wurden zunehmend digitalisiert. Dies betrifft letztlich alle Bereiche von sogenannten Industrial Control Systems (ICS; deutsch: industrielle Steuerungssysteme, Automatisierungssysteme). Dazu zählen neben Produktionsanlagen aller Art beispielhaft auch die Gebäudeautomation, Verkehrsleitsysteme, Energieerzeugung und -verteilung. Um der großen Einsatzbreite der Komponenten Rechnung zu tragen, wird auch allgemein von Operational Technology (OT) gesprochen. Dies dient der Abgrenzung zur klassischen IT mit den Büro- und Rechenzentrumsumgebungen. Gleichzeitig liegt der Fokus nicht nur auf der Fabrikautomation oder Prozesssteuerung, die mit dem Begriff ICS verbunden ist. Das BSI hat dazu ein ICS-Kompendium veröffentlicht.
2 Rechtsprechung
2.1 EuGH: Zulässigkeit der Speicherung von IP-Adressen
In dem Verfahren C-470/21 (La Quadrature du Net) hat der EuGH entschieden, unter welchen Voraussetzungen es eine Vorratsdatenspeicherung noch als zulässig erachtet. Eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen stelle nicht zwangsläufig einen schweren Eingriff in die Grundrechte dar, sondern auch deren Erhebung zur Verfolgung von Urheberrechtsverletzungen könne als rechtmäßig angesehen werden. Diese Entscheidung bleibt natürlich nicht ohne kritische Anmerkungen wie auch hier nachzulesen ist.
2.2 EuGH: Verarbeitung sensibler Daten auf Facebook
Im aktuellen Verfahren beim EuGH (C-446/21 mit Beteiligung von M. Schrems – Communication de données au grand public) behandelt die Verarbeitung von Informationen über die sexuelle Orientierung auf Facebook. Hier stellt sich die Frage, ob das grundsätzliche Verbot der Verarbeitung sensibler Daten gemäß Artikel 9 der DS-GVO aufgehoben werden kann und wenn ja, wie. Ein besonders interessanter Aspekt ist dabei das Kriterium der „offenkundig öffentlich gemachten“ Daten. Was bedeutet es, wenn jemand seine sexuelle Orientierung während einer Podiumsdiskussion preisgibt? Darf Facebook diese Informationen dann für Werbezwecke nutzen? Und wie wirkt sich das auf andere Gestaltungen aus? Der Generalanwalt hat sich in seinen Schlussanträgen dazu geäußert.
Danach steht Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) einer Verarbeitung personenbezogener Daten für Zwecke der zielgerichteten Werbung ohne Einschränkung nach Zeit oder Art der Daten entgegen.
Es sei Sache des vorlegenden Gerichts unter Berücksichtigung der Umstände des Einzelfalls und unter Anwendung des Grundsatzes der Verhältnismäßigkeit zu beurteilen, inwieweit der Zeitraum der Speicherung der Daten und die Menge der verarbeiteten Daten im Hinblick auf das legitime Ziel der Verarbeitung dieser Daten für Zwecke der personalisierten Werbung gerechtfertigt sei.
Auch erlaube eine im öffentlichen Raum gemachte Angabe zu einem Datum nach Art. 9 Abs. 1 DS-GVO für sich genommen nicht die Verarbeitung dieser Daten oder anderer Daten zur sexuellen Orientierung dieser Person für Zwecke der Aggregation und Analyse von Daten zum Zweck der personalisierten Werbung. Dies ergebe sich aus der Auslegung von Art. 5 Abs. 1 lit. b i.V.m. Art. 9 Abs. 2 lit. e DS-GVO.
Im Laufe des Verfahrens wurden einige Vorlageanfragen zurückgezogen, weil sich der EuGH im Rahmen anderer Entscheidungen dazu bereits positionierte. Eine Darstellung der möglichen Auswirkungen, sollte der EuGH dieser Ansicht folgen, findet sich hier – mit dem Hinweis, dass nicht auszuschließen ist, dass diese Interpretation auch in geringem Umfang mit Werbeaspekten erfolgt.
Wie immer hier ein Disclaimer: Schlussanträge sind keine Entscheidungen des EuGH – aber Ansichten der Generalanwälte sind schon als etwas fundierter zu bewerten als Ansichten von anderen.
2.3 EuGH: Fall Lindenapotheke C-21/23 – Gesundheitsdaten im Online-Handel
Im Fall C-23/21 (Lindenapotheke) (wir berichteten) dreht es sich um die Daten, die Kunden eingeben, wenn sie auf einer Verkaufsplattform bei einer Apotheke Medikamente bestellen. Neben der Frage, inwieweit sich damit personenbezogene Daten nach Art. 9 DS-GVO ableiten lassen, steht die Frage, wer evtl. Verstöße monieren darf: Sind datenschutzrechtliche Regelungen auch Marktverhaltensregelungen im Sinne des § 3a UWG, die auch von Mitbewerbern gerügt werden können?
Kurz gesagt: Das kommt natürlich darauf an … und ich muss mich hier gar nicht weiter verkünsteln, die Thematik zu Marktverhaltensregeln in der Ansicht des Generalanwalts wird hier gut nachvollziehbar erörtert. Die Frage zur Zurechnung einer Bestellung in einer Apotheke zu Art. 9 Abs. 1 wird in diesem LinkedIn-Beitrag schön dargestellt. Auch Interessensvertreter der Shopbetreiber informieren dazu.
Und auch hier der Disclaimer: Schlussanträge sind keine Entscheidungen des EuGH – der kann sich also auch anders positionieren, aber Ansichten der Generalanwälte sind schon etwas fundierter zu bewerten als Aussagen von anderen.
Aber ich finde sie schon etwas hilfreich zur Einordnung nach dem Urteil des EuGH zur eher weiten Auslegung der Art. 9 DS-GVO Daten im Fall C-184/20 (Besprechung hier, wir berichteten).
2.4 VG München: Keine Einsicht in AV-Vereinbarungen
Über den Auskunftsanspruch aus Art. 15 DS-GVO lässt sich nach dem VG München kein Anspruch auf Einsichtnahme oder Auskunft zu Vereinbarungen über Auftragsverarbeitungen ableiten.
2.5 OLG Celle: Auskunftspflicht des Betreibers einer (Arbeitgeber-)Bewertungsplattform
Das OLG Celle entschied, dass § 21 Abs. 2 TTDSG eine spezialgesetzliche Anspruchsgrundlage für eine Auskunftspflicht des Betreibers einer (Arbeitgeber-)Bewertungsplattform gegenüber den Betroffenen von Persönlichkeitsrechtsverletzungen beinhaltet. Auch ging es in dem Verfahren um die Verteilung der Darlegungs- und Beweislast in diesem Rahmen, die noch nicht höchstrichterlich festgestellt wurde, weswegen die Rechtsbeschwerde zugelassen wurde. Besprechung des Beschlusses hier.
2.6 BVwG Österreich: Berechnung des Bußgeldes und Reduzierung von 4 Mio. auf 50.000 Euro
Ein Kreditinstitut versandte anlässlich des Weltspartages versehentlich eine E-Mail mit einer Excelliste an 234 unberechtigte Kund:innen. Dies meldete sie auch am nächsten Tag der zuständigen Datenschutzaufsicht in Österreich. Denn dummerweise waren in der Excelliste Datensätzen von 5.971 Kundinnen und Kunden zweier Filialen sowie deren Betreuern enthalten.
Neben den E-Mail-Adressen waren in der Liste noch weitere Kundendaten, die aufgrund eines vergleichsweise simpel zu identifizierenden Personenkürzels – [Nachname] + [die ersten zwei Buchstaben des Vornamens] + [Zahl] – ohne großen Aufwand mit konkreten Kunden in Verbindung gebracht werden konnten. Eine zusätzliche Sicherung, etwa in Form einer weitergehenden Verschlüsselung der Datei selbst, bestand nicht.
Umgehend wurde durch die Bank reagiert und sowohl technische Maßnahmen zur Rückholung der versendeten E-Mails als auch eine direkte Kontaktaufnahme mit den E-Mail-Empfängern veranlasst und diese aufgefordert die E-Mail zu löschen sowie dies zu bestätigen. 227 Empfänger hatten die Nachricht samt Anhang tatsächlich erhalten, bei vier Empfängern kam eine Fehlermeldung (nicht zustellbar) zurück, in drei Fällen konnte die E-Mail-Zustellung durch das Verwenden der E-Mail-Rückruffunktion, die sofort nach dem Versand ausgelöst wurde, rückgängig gemacht werden.
Im Nachgang kam es zum Austausch zwischen der Bank und der Aufsicht, ob die bisherigen Schutzmaßnahmen ausreichend gewesen seien oder nicht. Die Behörde kam zu der Erkenntnis, dass die Maßnahmen nicht ausreichend waren und verhängte eine Sanktion in Höhe von 4.000.000 Mio. Euro. Diese wurde nun gerichtlich überprüft.
Dabei befasst sich das BVwG in seinem Urteil ausführlich mit den Regelungen zur Strafzumessung, insbesondere dem Unternehmensbegriff (ab Seite 28) und den einzelnen Anforderungen aus Art. 83 DS-GVO und kommt zu dem Ergebnis, dass ein Bußgeld in Höhe von 50.000 Euro angemessen wäre. Im Übrigen befasst sich das Urteil auch mit Fragen der Aussetzung des Beschwerdeverfahrens, wie zunächst noch das Urteil des EuGH (Deutsche Wohnen) abgewartet wurde.
Hier finden Sie einen Beitrag, der sich mit der Entscheidung hinsichtlich der Berücksichtigung der Guideline des EDSA zur Bußgeldberechnung (wir berichteten) befasst.
2.7 Bezirksgericht Amsterdam: Anforderungen an Art. 23 DS-GVO
Über Art. 23 DS-GVO können Mitgliedsstaaten unter den dort genannten Voraussetzungen auch Betroffenenrechte einschränken. So erfolgte dies auch in den Niederlanden, um die Arbeit der Steuerverwaltung zu erleichtern.
Das Bezirksgericht Amsterdam hat dies nun geprüft und dabei festgestellt, dass es eben nicht ausreicht, nur lapidar auf den Art. 23 DS-GVO zu verweisen, sondern, dass dessen Voraussetzungen auch dokumentiert und begründet werden müssen. Im Fall ging es um den Einsatz eines Algorithmus, um „risikoreiche“ Steuererklärungen zu identifizieren. Der Einsatz wurde nach der „Kindergeldaffäre“ gestoppt, weil diskriminierende Parameter verwendet wurden. Eine betroffene Person verlangte Auskunft nach Art. 15 DS-GVO.
Der zuständige Minister als Verantwortlicher verweigerte den Zugang zu den Informationen. Er stützte sich dabei auf Art. 41 Abs. 1 lit. i des niederländischen DS-GVO-Umsetzungsgesetzes. Dieser Artikel ist eine fast wörtliche Kopie von Artikel 23 DS-GVO und besagt, dass ein Verantwortlicher die Rechte der betroffenen Person aus bestimmten Gründen einschränken kann. Der Minister begründete seine Entscheidung jedoch nicht, und das mit der Begründung, dass die Begründung zu viele Informationen über die internen Abläufe der Steuerbehörden geben würde.
Das Gericht prüfte die Dokumente vertraulich und kam zu dem Schluss, dass der Minister die Namen der Beamten zu Recht geschwärzt hatte, um ihre Privatsphäre zu schützen. Der Minister erklärte jedoch nicht, warum die übrigen Informationen nicht zur Verfügung gestellt werden konnten. Im vorliegenden Fall gibt das Gericht dem zuständigen Minister auf eine neue Entscheidung über die Beauskunftung zu treffen und, sofern er sich auf Art. 23 DS-GVO berufen will, dies zu begründen. Diese Begründung muss Aufschluss über die Abwägung zwischen den Interessen des Ministers und den Interessen des Klägers geben. Das Gericht räumt dem Minister dafür eine Frist von sechs Wochen ein.
2.8 EuGH-Vorschau: Erfordernis der Geschlechtsbezeichnung
Letzte Woche fand die mündliche Verhandlung vor dem EuGH im Fall C-394/23 (Mousse) statt. Wir berichteten bereits dazu. Es geht darum, inwieweit ein Pflichtfeld zur Geschlechtsangabe erforderlich sein kann und ob „Herr“ und „Frau“ ausreicht oder ob noch „divers“ angeboten werden müsste.
Egal wie der EuGH dazu entscheidet – beachten Sie bitte, dass, wenn das Geschlecht erfasst wird, auch eine Berichtigungsmöglichkeit angeboten wird. In Hamburg war das schon mal eine Beschwerde beim HmbBfDI wert, zur Erinnerung können Sie es hier nachlesen.
3 Gesetzgebung
3.1 Bayern: Initiative zur Fehlentwicklung des Datenschutzrechts
Mein Heimatbundesland ist wieder vorne dran, wenn es um die Fortentwicklung des Datenschutzrechts geht, auch wenn es in der Pressemeldung als Fehlentwicklung bezeichnet wird. Diesmal in der Variante der Reduzierung der Durchsetzungsmöglichkeiten. Über eine Änderung im UWG sollen Möglichkeiten der Mitbewerberklagen bei Datenschutzverletzungen reduziert werden. Zwischenzeitlich gibt es auch schon einen Gesetzesantrag im Bundesrat dazu. Der Titel „Fehlentwicklungen im Datenschutzrecht“ hätte nicht besser gewählt werden können: Wir reduzieren den Anreiz zum rechtskonformen Verhalten.
Passend zum Thema die Entscheidung des LG Düsseldorf, über die wir hier berichtet hatten.
3.2 PIMS: Aktueller Stand
Nach § 26 Abs. 2 TTDSG kann die Bundesregierung über eine Verordnung ein sogenanntes Personal-Information-Management-Systeme (PIMS) einführen, über das Einwilligungen bei Telemedien-Diensten verwaltet werden kann. In einer Fragestunde des Bundestages wird die Frage nach dem aktuellen Stand gestellt (Frage 30, Seite 9). Und laut Antwort aus dem Plenarprotokoll (Seite 110) ist der Entwurf einer Regierungsverordnung nach § 26 Abs. 2 TTDSG innerhalb der Bundesregierung abgestimmt. Er wurde gemäß der EU-Richtlinie 2015/1535 auf EU-Ebene notifiziert. Nach Abschluss des Notifizierungsverfahrens wird der Entwurf dem Kabinett zur Beschlussfassung zugeleitet.
3.3 Änderung des TTDSG zu TDDDG – nicht wundern
Die Umbenennung des TTDSG in TDDDG schreitet voran. Das Digitale-Dienste-Gesetz war im Bundesrat, der nicht den Vermittlungsausschuss angerufen hat. Jetzt dauert es nicht mehr lange, bis u.a. die Umbenennung von „Telemedien“ in „Digitale Dienste“ (vgl. hier unter Art. 8 ab Seite 33) umgesetzt wird. Ausfertigung, Unterzeichnung durch Bundespräsidenten, Veröffentlichung im Bundesgesetzblatt, Inkrafttreten am Tag nach der Verkündung. Und dann werkeln alle, um Informationspflichten und weitere Dokumente zu aktualisieren.
3.4 AI Act Corrigendum und Fundstellen
Zum AI Act gab es bereits ein Corrigendum, d.h. eine Fassung in der redaktionelle Änderungen eingearbeitet wurden. Sie finden es hier. Jetzt warten wir auf die Veröffentlichung im europäischen Amtsblatt. Der AI Act tritt dann tritt 20 Tage nach seiner Veröffentlichung im Amtsblatt der EU in Kraft und ist – bis auf einige Ausnahmen – 24 Monate nach ihrem Inkrafttreten uneingeschränkt anwendbar. Die Ausnahmen sind Verbote sogenannter verbotener Praktiken, die bereits sechs Monate nach Inkrafttreten gelten, Verhaltenskodizes (sie gelten neun Monate nach Inkrafttreten), Regeln für künstliche Intelligenz mit allgemeinem Verwendungszweck, einschließlich Governance, (zwölf Monate nach Inkrafttreten) und Verpflichtungen für Hochrisikosysteme (36 Monate nach Inkrafttreten).
Mittlerweile gibt es auch private Initiativen, die einzelne Erwägungsgründe den Artikeln zuordnen, mir sind bislang drei bekannt: der AI-Explorer von Future of Life, der AI-Act von LexICT und die Fassung von David Vasella.
Zum Einstieg kann auch diese Prozesslandkarte helfen, die allerdings laufend aktualisiert wird.
3.5 NIST: Artificial Intelligence Risk Management Framework
Seitens der NIST wurden einige Empfehlungen im Rahmen des Einsatzes von KI veröffentlicht: AI Risc Management Framework, Artificial Intelligence Management Framework, Reducing Synthetic Content Risks sowie Global Engagement on AI Standards.
3.6 DAV zu Änderungsüberlegungen im BDSG
Der Deutsche Anwaltverein hat seine Stellungnahme zur Änderung des BDSG, insb. zu § 37a BDSG-E, veröffentlicht.
3.7 EU: Chatkontrolle durch Dienstanbieter?
Nach diesem Bericht ist die Kuh noch immer nicht vom Eis oder die Sau aus dem Dorf, je nachdem, welche Metapher bevorzugt wird. Internet-Diensten, die besonders sicher sind, könnte schnell danach eine Anordnung zur Chatkontrolle blühen. Das gehe aus Vorschlägen der belgischen Ratspräsidentschaft hervor. Verschlüsselung und Anonymität werden nach den Ausführungen in dem Bericht zum Risiko für Straftaten erklärt.
4 Künstliche Intelligenz und Ethik
4.1 OECD AI Principles – Stand Mai 2024
Das OECD-Ministerratstreffen 2024 hat die Überarbeitung der OECD-Leitsätze für künstliche Intelligenz (KI) angenommen. Als Reaktion auf die jüngsten Entwicklungen im Bereich der KI-Technologien, insbesondere das Aufkommen der universellen und generativen KI, gehen die aktualisierten Grundsätze direkter auf die mit der KI verbundenen Herausforderungen in Bezug auf Datenschutz, Rechte des geistigen Eigentums, Sicherheit und Informationsintegrität ein.
Mit nunmehr 47 Mitgliedern, darunter auch die EU, und einem allgemeinen Geltungsbereich, der die Anwendbarkeit auf KI-Entwicklungen auf der ganzen Welt sicherstellt, bieten die KI-Prinzipien der OECD eine Blaupause für politische Rahmenbedingungen, wie KI-Risiken angegangen und KI-Politiken gestaltet werden können. Als erster zwischenstaatlicher Standard für KI setzen sie sich für eine innovative und vertrauenswürdige KI ein, die die Menschenrechte und demokratischen Werte achtet.
4.2 KI und Ethik
Der Titel ist übersetzt schon etwas lang: „Der Einfluss von intelligenten Entscheidungsunterstützungssystemen auf die ethische Entscheidungsfindung von Menschen: Eine systematische Literaturübersicht und ein integrierter Rahmen“. Der Artikel befasst sich mit den Wirkungen von KI-gestützten Entscheidungssystemen auf Entscheidungen und den damit verbundenen ethischen Dimensionen. Es erfolgt eine systematische Durchsicht der vorhandenen wissenschaftlichen Arbeiten und davon abgeleitet ein integrierter Rahmen ab, der zeigt, wie intelligente Entscheidungsunterstützungssysteme (IDSS) die ethische Entscheidungsfindung des Menschen beeinflussen.
4.3 ChatGPT, Betroffenenrechte und die Frage der Zuständigkeit der Aufsicht
Was tun, wenn ChatGPT das eigene Alter falsch angibt? Dafür gibt es den Berichtigungsanspruch aus Art. 16 DS-GVO. Und weil das bei ChatGPT nicht so einfach funktioniert, gibt es eine Beschwerde gegen OpenAI bei der Datenschutzaufsicht. Unterstützt wird die Beschwerde von noyb. Und neben den datenschutzrechtlichen Fragen der Umsetzung der Betroffenenrechte, finde ich die Frage der Zuständigkeit der Aufsicht spannend. noyb argumentiert (ab Seite 3), dass die Niederlassung von OpenAI in Dublin keine Frage des One-Stop-Shop sei, weil dort nicht über die Zwecke und Mittel der Verarbeitung entschieden werde (das sieht die ital. Aufsicht auch so). Selbst wenn dies angenommen würde, läge dann laut noyb eine gemeinsame Verantwortlichkeit mit der Mutter in den USA vor, so dass es sich noyb aussuchen könne, gegen wen der beiden Verantwortlichen es Beschwerde einlegt – und dann sei wieder die Datenschutzbehörde in Österreich zuständig.
Sicher wird dies eines Tages auch der EuG zu klären haben.
4.4 Checkliste für AI-Provider und Transparenzanforderungen
Worauf kommt es rechtlich beim Einsatz von KI-Providern an? Ich stelle diese Frage nicht nur rhetorisch – die Antwort lässt sich hier nachlesen, als Teil 15 einer längeren ausführlichen Reihe zum Einsatz von KI. Ergänzt wird dies durch eine entsprechende Checkliste.
Und auch Teil 16 ist zwischenzeitlich veröffentlicht: „Wie können Unternehmen beim Einsatz von KI Transparenz gewährleisten“ einschließlich einem Muster für eine KI-Erklärung. Merci in die Schweiz!
4.5 Verbesserung nicht-englischer Sprachmodelle
Wie können nicht-englische Sprachmodelle verbessert werden? Damit befasst sich diese Veröffentlichung aus Stanford.
4.6 „KI-Wertschöpfungskette“ … und dessen Akteure
Mit dem Zauberwort „KI-Wertschöpfungskette“ krönt sich dieser Beitrag aus Österreich, der neben den Beschreibungen der Akteure gemäß Art. 3 Ziffer 8 AI Act Anbieter („Provider“); Produkthersteller („Product Manufacturer“); Bevollmächtigter („Authorised Representative“); Einführer („Importer“); Händler („Distributor“); Betreiber („Deployer“) auch ein passendes Schaubild dazu anbietet.
4.7 Urheberrecht und Künstliche Intelligenz
Nicht „Wer hat´s erfunden?“, sondern „Wer ist der Autor?“ ist die Frage bei Einbindung einer KI in die Erstellung von Werken. Details zu Antworten finden sich hier.
4.8 Alan Turing Institut: AI und Security
Das Alan Turing Institut weist darauf hin, dass Künstliche Intelligenz (KI) für künftige nationale Sicherheitsentscheidungen entscheidend sein wird – was aber auch Risiken birgt. KI-Tools können Muster, Trends und Anomalien erkennen, die über die menschlichen Fähigkeiten hinausgehen, und den Geheimdienstanalysten dabei helfen komplexe Probleme zu verstehen. Zusammen mit der Joint Intelligence Organisation (JIO) und dem Government Communication Headquarters (GCHQ) wurde ein Bericht in Auftrag gegeben und vom unabhängigen Centre for Emerging Technology and Security (CETaS), einem Forschungszentrum des Alan Turing Institute, verfasst.
Angesichts des enormen Zuwachses an Daten, die für die Analyse zur Verfügung stehen, kann KI eingesetzt werden, um die administrativen Aufgaben der Datenverarbeitung zu bewältigen und Muster, Trends und Anomalien zu erkennen, die über menschliche Fähigkeiten hinausgehen. Die Autoren des Berichts stellen fest, dass die Nichtnutzung der Technologie eine verpasste Gelegenheit wäre und den Wert der nachrichtendienstlichen Bewertungen untergraben könnte.
Der Bericht kommt auch zu dem Schluss, dass der Einsatz von KI das Potenzial hat die Dimensionen der Ungewissheit, die der nachrichtendienstlichen Analyse und Bewertung innewohnen, zu verschärfen, was darauf hindeutet, dass zusätzliche Leitlinien für diejenigen, die KI im Rahmen der Entscheidungsfindung im Bereich der nationalen Sicherheit einsetzen, erforderlich sind. [Heißt das nun, dass durch den Einsatz von KI auch die Unsicherheiten der Bewertung größer werden??] Letztendlich empfiehlt der Bericht eine kontinuierliche Überwachung und Evaluierung unter Einbeziehung menschlicher Urteile und KI-Empfehlungen, um Verzerrungen entgegenzuwirken. Zudem schlägt der Bericht zusätzliche Schulungen und Anleitungen für strategische Entscheidungsträger vor, um ihnen zu helfen die neuen Ungewissheiten zu verstehen, die durch KI-angereicherte Informationen entstehen.
4.9 KI als Mittelmaß
Es liest sich flüssig und verstört gelegentlich positiv: Dieser Beitrag aus der Schweiz zu KI und zu unseren Erwartungen an KI.
4.10 KI als Wahlkampfinstrument
Mit einer kritischen Bestandsaufnahme zum Einsatz von KI in Wahlkampfzeiten befasst sich dieser Beitrag. Im Kern wird eine politische Komponente der KI-Regulierung vermisst.
5 Veröffentlichungen
5.1 Paying for Privacy: Pay-or-Tracking Walls
Diese Veröffentlichung zur Frage Consent or Pay („Paying for Privacy: Pay-or-Tracking Walls“) erschien vor den Guidelines des EDSA dazu. In ihr werden mehrere empirische Studien durchgeführt und festgestellt, dass die führenden EU-Verlage Pay-or-Tracking-Walls verwenden. Sie verfolgen dabei verschiedene Ansätze, darunter die Kopplung der Bezahloption mit werbefreiem Zugang oder mit zusätzlichen Inhalten. Der Preis dafür nicht getrackt zu werden, übersteigt die Werbeeinnahmen, die die Verlage mit einem Nutzer erzielen, der dem Tracking zustimmt. Die meisten Nutzer stimmen zu, dass sie getrackt werden; nur wenige Nutzer zahlen. Kurz gesagt scheinen Pay-or-Tracking-Walls das Mittel zur Ausweitung der Tracking-Praxis zu sein. Die Verleger profitieren von Pay-or-Tracking-Walls und können einen Umsatzanstieg von 16,4 % verzeichnen, da mehr Nutzer getrackt werden als mit einem Cookie-Zustimmungsbanner.
5.2 Umfrage zum DSB
Der europäische Verband CEDPO führt bis 14.05.2024 eine Umfrage bei benannten DSB durch. Es gibt die Umfrage in verschiedenen Sprachen, bei der deutschen Fassung irritierte mich, dass es bei einigen Fragen um behördliche DSB ging, aber ich hatte den Eindruck, dass dies eher ein Übersetzungsfehler bzw. ein QS-Thema des Verbandes sei.
5.3 Forschungsprojekte zu Datenschutzbewusstsein
Irgendwie keine Überraschung: Einem Großteil der Bevölkerung fehle das Bewusstsein für Risiken im Internet, wie hier nachzulesen ist. Gut, dass die Bundesregierung hier mit Forschungsprojekten gegensteuert. So gibt es zahlreiche Förderprojekte aus dem Bereich Vernetzung und Sicherheit digitaler Systeme, wie XLerate zur Latenzminimierung in optischen Netzen durch optimale Wege bei der Signalübertagung, PoQ-KIKI zur Postquantensichere Kryptografie zur Absicherung von kritischen Infrastrukturen, P2Broker für datenschutzfreundliche digitale Verwaltungsdienste auf Basis Künstlicher Intelligenz, VERANDA als Vertrauenswürdige Anonymisierung sensibler Daten für Fernkonsultationen, HSM4Chip zur Erhöhung der Sicherheit in der Mikrochipentwicklung oder DSGVO-easyInfo zum Transparenten Datenschutz durch die passgenaue digitale Information von betroffenen Personen, um nur ein paar der munteren Projekte aus dem Fundus des BMBF aufzuzählen.
5.4 Aufbewahrungsfristen
Viele suchen nach zitierfähigen Hinweisen zu Aufbewahrungsfristen. Hier ist eine Möglichkeit nachzusehen, besonders hervorzuheben sind auch die Quellenangabem je Aufbewahrungsfrist.
5.5 Die sechs Reiter der digitalen Apokalypse
Die Reiter der Apokalypse werden im Neuen Testament als Boten des Jüngsten Gerichts aufgeführt, die Johannes bei dem Öffnen der vier Siegel erscheinen. In dieser Darstellung, die es auch als Folien oder im Video (ca. 10 Min.) gibt, werden sechs Reiter der digitalen Apokalypse aufgeführt.
Sehr anschaulich werden dabei auch anhand der Referenzierung auf die Darstellung Dürers die Thematiken der Qualität der Informationen in unserer Demokratie, die Konsequenzen eines Empfehlungsalgorithmus auf Wahlentscheidungen, die Beeinflussung von Märkten, kriegerische Auseinandersetzungen, der Einfluss von KI auf Arbeit und die Folgen für die Kohlenstoffbelastung der Umwelt angesprochen. Fast schon tröstlich ist es dann, dass dies auf einer Veranstaltung der Konrad-Adenauer-Stiftung erfolgte, die sich bislang dem Vorwurf der Übertreibung bei unbedachten Folgen der Digitalisierung entziehen konnte.
5.6 Podcast-Empfehlung insb. zu TikTok
Ist die Nutzung von TikTok durch den Bundeskanzler zulässig – auch wenn er nicht tanzt? Die Diskussion zwischen den beiden Experten in diesem Podcast ist ernster und fundierter als mein Eingangssatz. Daneben geht es u.a. auch um die Aufgabenerfüllung von Datenschutzbehörden – müssen sie handeln? Sie finden den Podcast (Dauer ca. 50 Min) hier.
5.7 Und noch ein Podcast: Cyber-Nation Deutschland – oder nicht?
Es geht um diesen Podcast mit dem passenden Titel „Ist Deutschland eine Cyber-Nation oder eine Leider-Nation, Frau Plattner?“ – Im Titel liegt die ganze Dramatik des Podcasts mit ca. 120 Min. Dauer.
5.8 Öffentlichkeitsarbeit von Datenschutzaufsichten
Dürfen Aufsichten beim Informieren über Sanktionen auch die Adressaten nennen? Damit befasst sich dieser Beitrag.
5.9 Veranstaltungen
5.9.1 Bundestag: 1. Lesung zu Änderungen im BDSG -neu-
15.05.2024, ab 16:30 Uhr, im Bundestag und online: Im Livestream des Deutschen Bundestages wird die erste Lesung der Novellierung des Bundesdatenschutzgesetzes übertragen. Nach rund 40-minütiger Debatte soll der Gesetzentwurf der Bundesregierung „zur Änderung des Bundesdatenschutzgesetzes“ (20/10859) an die Ausschüsse überwiesen werden. Bei den weiteren Beratungen soll der Ausschuss für Inneres und Heimat die Federführung übernehmen.
5.9.2 Hochschule Ansbach: School of Business and Technology – Session 2: Aktuelle EuGH-Entscheidungen im Bereich des Datenschutzes -neu-
17.05.2024, 11:30 – 12:30 Uhr, online: Der berufsbegleitende Masterstudiengang „Data Governance and Ethics“ (DGE) richtet sich an Personen, die im Rahmen ihrer bisherigen akademischen Ausbildung oder beruflichen Praxis auf Fragen, Konflikte und Dynamiken im Bereich Datenschutz und Ethik gestoßen und auf der Suche nach einem angemessenen Rahmen sind diese weiter zu verfolgen. Mit der kostenlosen Academy soll ihnen einen Einblick in ausgewählte Inhalte der Module des MBA-Programms gegeben werden. In Session 2 werden aktuelle EuGH-Entscheidungen im Bereich des Datenschutzes dargestellt. Details zum Programm und Anmeldung hier.
5.9.3 Universität Wien: Sechs Jahre DS-DVO – Lessons Learnt & Implications for the Future of Digital Regulation -neu-
21.05.2024, 15:00 – 18:30 Uhr, Wien: Fast ein munteres Klassentreffen einiger Protagonist:innen der letzten acht Jahre, die die DS-GVO von der ersten Schwangerschaftswoche bis zur Einschulung begleiteten. Interessant besetzte Panels und Key-Speaker mit unterschiedlichen Aspekten. Details zum Programm und Anmeldung hier.
5.9.4 University:Future Festival 2024
05.-07.06.2024, Präsenztickets für Bühnen in Berlin, Bochum, Heilbronn, Leipzig und Nürnberg – oder online: Unter dem Motto “Tales of Tomorrow” bietet das Festival drei Tage lang eine Plattform für Austausch, Diskussion und Networking. Das University:Future Festival ist ein digital first Event. Das bedeutet: Alle Programmpunkte finden online statt; nahezu alle Teilnehmenden sind online dabei. Zur Vernetzung gibt es limitierte Präsenztickets für Bühnen in Berlin, Bochum, Heilbronn, Leipzig und Nürnberg. Englischsprachige Programmpunkte finden sich in Berlin und digital. Das Programm der Partnerbühnen in Bochum, Heilbronn, Leipzig und Nürnberg ist in deutscher Sprache. Weitere Informationen und Tickets hier.
5.9.5 Hochschule Ansbach: School of Business and Technology – Session 3: Datenschutzorganisationen erfolgreich führen -neu-
14.06.2024, 11:30 – 12:30 Uhr, online: Der berufsbegleitende Masterstudiengang „Data Governance and Ethics“ (DGE) richtet sich an Personen, die im Rahmen ihrer bisherigen akademischen Ausbildung oder beruflichen Praxis auf Fragen, Konflikte und Dynamiken im Bereich Datenschutz und Ethik gestoßen und auf der Suche nach einem angemessenen Rahmen sind diese weiter zu verfolgen. Mit der kostenlosen Academy soll ihnen einen Einblick in ausgewählte Inhalte der Module des MBA-Programms gegeben werden. In Session 3 wird das Thema Datenschutzorganisationen erfolgreich führen dargestellt. Details zum Programm und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 TikTok-Verbot in den USA?
Und wenn schon? Würde sich wirklich etwas an der Qualität ändern, sollte TikTok in den USA verkauft oder verboten werden, wie es diskutiert wird? Selbst bei uns finden sich immer mehr Politiker auf dieser Plattform ein. Zumindest in Frankreich denkt man mittlerweile über effektivere Schutzmaßnahmen für Kinder nach.
6.2 Gen Z und das SmartPhone
Vielleicht erübrigt sich ein TikTok-Verbot doch noch, wenn es selbst die als Gen Z bezeichnete junge Generation zu blöd findet durch digitale Mattscheiben vom richtigen Leben abgehalten zu werden und – statt rassistische oder generationsspaltende pseudo-recruting-Videos auf TikTok zu posten – mal was Richtiges unternehmen will. Zumindest lässt dieser Bericht diesbezüglich etwas Hoffnung aufkommen.
7 Sonstiges/Blick über den Tellerrand
7.1 CISO statt CIO
Der Trend scheint sich fortzusetzen, wie hier nachgelesen werden kann. Hoffen wir mal, dass es sich dann auch inhaltlich auswirkt, dass auch IT-Sicherheit zur Chefsache wird.
7.2 bidt: Monitoring von Plattformen zur Meinungsmachtkontrolle
Bis auf einige Marketingapostel, die immer noch versuchen über Plattformnutzung irgendetwas Positives zur erreichen, hat sich inzwischen herumgesprochen, dass der Einsatz von Algorithmen auf Plattformen auch negativen Einfluss auf eine Gesellschaft haben kann. Das vom Bayerische Forschungsinstitut für Digitale Transformation (bidt) und der BLM geförderte Konsortialprojekt „Messung von Meinungsmacht und Vielfalt im Internet“ knüpft an die in der Medienpolitik seit Jahren geführte Debatte um eine Reform der Vielfaltssicherung und Meinungsmachtkontrolle an. Der „bidt Impuls“ zeigt neue Wege auf, wie ein zeitgemäßes Meinungsmacht-Monitoring aussehen kann und skizziert den Handlungsbedarf in medienpolitischer Hinsicht. Dabei werden denkbare Komponenten eines solchen Monitorings vorgestellt, dessen Chancen und Grenzen diskutiert und deutlich gemacht, welche Grundsatzentscheidungen der deutschen Medienpolitik für den damit verbundenen Paradigmenwechsel notwendig wären. Um die Meinungsmacht und mögliche Gefährdungspotenziale zu ermitteln, müsste ein solches Monitoring verschiedene Analysedimensionen (Angebot, Nutzung und Wirkung) und Methoden miteinander kombinieren. Konkret sollte es folgende Elemente umfassen: eine repräsentative Befragung zu Mediennutzung und Medienvertrauen, eine damit abzustimmende technische Messung der Online-Mediennutzung (Tracking) (Modul 1) sowie ein inhaltsanalytisches Modul zur Messung der Vielfalt und Qualität der Berichterstattung (Modul 2). Weitere Module des Monitorings könnten (auch fallweise) Studien zu tatsächlichen Medienwirkungen von Medienmarken (Modul 3) sein sowie zusätzliche Indikatoren der Meinungsmacht abbilden (Modul 4).
7.3 Schweden und Bargeld
Jetzt rudern scheinbar auch die Schweden etwas zurück. Laut diesem Bericht birgt der komplette Verzicht auf Bargeld doch einige Risiken, welche die Schweden nun reduzieren wollen, indem doch wieder mehr Bargeld verwendet werden soll.
8. Franks Zugabe
8.1 Apropos KI …
So ein paar Meldungen sind diese Woche auch bei mir wieder zum Thema KI zusammen gekommen.
- Passend zum heutige Muttertag die Entschuldigung, die der KI-Chatbot AngryGF anbietet: Mutter zuerst aus dem Fluss gerettet… Brauchen Männer also mittlerweile Unterstützung von KI bei der Besänftigung ihrer Partnerinnen?
- Kennen Sie SEO? Dann ahnen Sie vielleicht auch, was mit the Rise of Large-Language-Model Optimization gemeint ist … „Mark Riedl is a time travel expert.“ Clever. Ein lesenswertes Essay.
- Hier finden Sie einen Bericht darüber, wie Kriminelle Generative KI nutzen. Scheinbar hängen sie technisch hinterher, bauen also keine eigenen KI-Systeme auf sondern jailbreaken lieber bestehende. Wie beruhigend.
- Apropos Angriffe, hier mal wieder eine Attacke auf KI-Systeme in selbstfahrende Autos. Auf der verlinkten Seite finden sich noch weitere Quellen, unter anderem eine Studie.
- Kommen wir zu etwas anderem: Apple hängt nach Meinung vieler etwas beim KI-Game hinterher. In diesem Artikel wird spekuliert, warum das so ist.
- Derweil bei Google so: Priorisieren wir doch mal AI-generated Content in unseren Suchanfragen nach vorne (Apropos SEO, irgendjemand?).
- Und auch reguläre Nutzer von Google sind nicht immer glücklich. Aktuelles Beispiel? Eine Autorin. Es handelt sich bei ihren Romanen um Romanzen und die Google-„KI“ fand, das sei Pornographie und verstoße gegen die Terms of Service. Tja, Augen auf bei der Werkzeugwahl?
8.2 Apropos Google …
Die letzten beiden KI-Meldungen waren ja schon Meldungen zu Google, aber da war noch mehr zu Google in den letzten Wochen:
- Google will seinen Browser auf ein Abo-Modell umstellen? Zwar erst mal nur für Firmenkunden, aber …
- Bei den KI-Meldungen sperrte eine Google-KI den Zugriff einer Autorin auf die eigenen in Google Docs geschriebenen Werke, gemäß dieser Meldung löschen sie bei Google auch schon mal alle Instanzen eines Firmenkunden (ein australischer Fonds), der seine Daten extra in die Google-Cloud gelegt hatte, um durch redundante Datenhaltung in verschiedenen Rechenzentren besser vor Problemen geschützt zu sein. Dumm nur, wenn das Problem der Anbieter ist.
Geht in die Cloud, sagten sie, da ist alles sicherer und die haben viel mehr Expertise, sagten sie…
Wenigstens hatten sie (also der australische Fonds) noch zusätzliche Backups, die nicht bei Google lagen. Gut für sie. Und für ihre Kunden. - Und warum ist bei Google manches so, wie es ist? Antworten mag dieser Artikel mit dem schönen Titel „The Man Who Killed Google Search“ bieten… Na ja, für die Gewinne bei Alphabet scheint das kein Problem zu sein.
8.3 Spyware kommt über Online-Werbung
Na, das ist doch auch beruhigend, oder? Endlich mal wieder etwas zu Intellexa…
8.4 Democracy Dies Behind Paywalls …
Das ist bestimmt wahr. Aber warum ist auch dieser Artikel hinter einer Paywall? Ist das Satire?
8.5 Ein Studie zur Einwilligung
Diese Studie wird hier (in den Kommentaren) kontrovers diskutiert. Ich glaube, dass die meisten von uns zustimmen, dass Einwilligungen mitunter schwierig sind. Schwierig beim Einholen, schwierig beim Umsetzen der Betroffenenrechte. Vielleicht mögen Sie ja mal etwas mehr lesen…
8.6 Passkeys und Enshittification
Die verbraucherzentrale Nordrhein-Westfalen hat einen umfangreichen Beitrag zu Passkeys veröffentlicht: „Passkeys als Alternative zu Passwörtern“
Derweil wird an anderer Stelle im Internet schon der Abgesang auf Passkeys angestimmt, da sie Opfer von Enshittification geworden sind. Spannend.
8.7 EU macht Fediverse-Server dicht, weil niemand sie betreiben will
Das ist betrüblich. Hier ist die Meldung direkt vom EDPS. Vielleicht findet sich ja jemand, der den Betrieb (mit Segen des EDPS, der dem Thema Weiterbetrieb – wie informierte Kreise berichten – (Wow, das wollte ich schon immer mal schreiben!) durchaus gewogen sein soll) der betroffenen Fediverse-Server weiterführt, wenn die EU kein Geld dafür hat…
8.8 Awareness für Cybersecurity?
Laut diesem Beitrag ist da noch reichlich Luft nach oben… Wobei ich die Quelle des Beitrags nicht bewerten kann. Aber es liest sich plausibel.
9. Die guten Nachrichten zum Schluss
9.1 Alternative Messenger
Die Verbraucherzentrale stellt alternative Messengerangebote vor und bewertet diese aus Verbraucherschutzgesichtspunkten. Das Ergebnis gibt es auch im Überblick.
Franks Nachtrag: Da hat sich wohl jemand von der Messenger-Matrix (wir berichteten) inspirieren lassen… Aber immerhin, sie haben mit Ginlo und Kakao-Talk zwei andere Messenger in ihrer Übersicht.
9.2 Privat-O-Mat
„Welcher Datenschutztyp bist Du?“ Wenn es schon so losgeht, kann ja niemand nein sagen. Hier geht es zum interaktiven Test des Instituts für Digitale Ethik „Privat-O-Mat“, um eigenes Datenschutzverhalten besser kennenzulernen und zu verstehen. Über 15 Fragen kann man hinterher erfahren, ob die Einstufung als Egalo, Digital-Enthusiast oder z.B. als Teilzeit-Datenschützer passend ist.