Hier ist der 3. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21/2024) – Die DVD-Edition“.
Wie letzte Woche auch zur Erinnerung noch mal der Hinweis auf die einleitenden Worte des 1. Blogbeitrags dieser Reihe.
- Aufsichtsbehörden
- EDSA: Arbeitsbericht der Taskforce zu ChatGPT
- EDSA: Leitfaden für KMU
- CNIL: Konsultation zu Gesundheitsstandards
- CNIL: Hinweise für Betreiber öffentlicher Internetzugänge
- ICO: Maßnahmen gegen Snapchat wegen „My AI“-Chatbot“
- Dänemark: Datenschutz-Folgenabschätzungen zu KI
- BSI: Quantensichere Kryptographie
- BSI verklagt Microsoft auf Herausgabe von Informationen
- EU-Kommission: Verfahren gegen Meta (Facebook)
- Rechtsprechung
- Gesetzgebung
- Aktuelles zum AI Act
- EU: Verordnung über die europäische digitale Identität (EUDI) in Kraft getreten
- Bundesrat: „Fehlentwicklung“ im Datenschutz
- Bundesrat: Strafbarkeit von Deep Fake
- BDSG-Novelle
- Saarland: Änderung der Schulgesetze u.a. zum Profiling
- Fortschrittsbericht zur Digitalstrategie
- Änderungen im Bundesmeldegesetz
- BMWK: Durchführungsgesetz zum Data Governance Act
- Künstliche Intelligenz und Ethik
- KI-Compliance
- Microsoft: Bußgeld nach DSA wegen unterbliebener Information zu generativer KI?
- KI und Nachhaltigkeit
- KPMG: Privacy in the new World of AI
- Ethik in der Informationstechnologie
- Identitätsdiebstahl für / durch KI?
- Google und „Don’t be evil“
- KI-Washing
- KI und Journalismus
- Datenhoheit durch Spracherkennung mit eigenem LLM Voice Bot
- Open Source Large Language Models selbst betreiben
- UNESCO: KI und Demokratie
- KI und Trauerbewältigung
- Bayern: Einsatz von KI an Schulen
- Veröffentlichungen
- Vorratsdatenspeicherung: Nun doch möglich?
- Studie zu Ransomware im Forschungsprojekt CONTAIN
- EU: Nutzung von Daten für Wissenschaft und Forschung
- Übersichten zu DORA
- Bewertung der EuGH-Entscheidung zur Verarbeitung von Gesundheitsdaten durch Arbeitgeber
- Dark Pattern durch Algorithmen?
- Smart Decision Making, Social Media Privacy, Improved Thinking
- Trainingsfrei für Sony
- Google hört gern zu: Chatkontrolle per default
- Polizei NRW: Cyberattacken über Office-365-Komponenten
- Umfrage zur DS-GVO
- Microsoft Recall
- Veranstaltungen
- Privacy Research Day der CNIL -neu-
- LinkedIn-Veranstaltung zu „Pay oder Consent“ -neu-
- University:Future Festival 2024
- it´s.BB e.V.: NIS-2 Anforderungen an Unternehmen und Geschäftsleitung -neu-
- Stiftung Datenschutz: „KI und Datenschutz“ -neu-
- Hochschule Ansbach: School of Business and Technology – Session 3: Datenschutzorganisationen erfolgreich führen
- HmbBfDI: „Hey, Hamburg! Wie läuft‘s mit Medienerziehung und Datenschutz?“ -neu-
- LfDI Mecklenburg-Vorpommern: „Hey, MV! Wie läuft‘s mit Medienerziehung und Datenschutz?“ -neu-
- MfK Nürnberg: Daten-Dienstag – „Strategien gegen Hatespeech im digitalen Raum“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Wahlprüfsteine zur Europawahl
- Bewertungen zum Geburtstag
- Und noch ein Jubiläum: Im Mai 1974 gab es die erste Definition des Transmission Control Protocol
- Vorstellung des Grundrechte-Reports 2024
- Leveraging DPI for Safe and Inclusive Societies – Interim Report April 2024
- Politiker:innen auf TikTok?
- Philosophy Bites: Ro Khanna on Digital Dignity
- Hackback nach dem Ex-Chef des Bundesnachrichtendienstes
- Passend dazu: Der Militärischen Abschirmdienst empfiehlt Warnungen wegzuklicken
- Fragwürdige Sicherheit durch VPN?
- Ausfallsichere Cloud?
- Apropos KI …
- Car Thing gets bricked
- Kein Bock auf Schlangenöl?
- Waschen bis zum Abwinken
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Arbeitsbericht der Taskforce zu ChatGPT
Der EDSA veröffentlicht einen ersten Arbeitsbericht seiner TaskForce zu ChatGPT.
Dabei stellt er zunächst klar, dass die Aussagen im Bericht nur der gemeinsame Nenner der beteiligten Aufsichten seien und nicht das Ergebnis weiterer Untersuchungen durch die Aufsichten vorwegnähmen.
Das Papier beschreibt auch zunächst die Zuständigkeitsfragen: OpenAI hat seit dem 15. Februar 2024 eine Niederlassung in Irland hat und damit wäre ausschließlich die irische Datenschutzaufsichtsbehörde zuständig. Die Prüfung der TaskForce konzentriert sich daher auf Verarbeitungsvorgänge, die vor dem 15. Februar 2024 durchgeführt wurden (zur Diskussion um die Fragen der Zuständigkeit, die in Österreich aufgeworfen wurden, berichteten wir bereits). Ein zentrales Ergebnis der Task Force ist ein gemeinsamer Fragenkatalog für den Austausch mit OpenAI, der auch in Deutschland genutzt wurde und dem Bericht als Anlage beigefügt ist.
Der EDSA unterscheidet bei der Beurteilung der Rechtmäßigkeit zwischen verschiedenen Phasen der Verarbeitung. Im konkreten Fall bewertet er
- Sammlung von Trainingsdaten, Vorverarbeitung der Daten und Training
- ChatGPT Eingabe, Ausgabe und Training
Die Rechtmäßigkeitsgrundlage, die von OpenAI für das Training angegeben wird (Art. 6 Abs. 1 lit. f DS-GVO) sieht der EDSA kritisch, legt sich aber noch nicht fest. Nur bei besonderen Kategorien schließt er diese Grundlage bereits jetzt aus und weist darauf hin, dass die in Art. 9 Abs. 2 lit. e DS-GVO vorgesehene Ausnahme die Prüfung erfordert, ob die betroffene Person ausdrücklich und durch eine eindeutige bestätigende Handlung beabsichtigt hat die fraglichen personenbezogenen Daten der Öffentlichkeit zugänglich zu machen.
Auch thematisiert er in eigenen kurzen Kapiteln die Anforderungen an Fairness, Transparenz und Informationspflichten, Daten-Genauigkeit und die Rechte der betroffenen Person.
Zum Fragebogen im Anhang des Berichts führt der EDSA aus, dass dieser durch die TaskForce entwickelt wurde und die Aufsichten aber weiterhin unabhängig sind und es daher jeder Aufsicht freisteht, diesen verändert oder unverändert einzusetzen.
1.2 EDSA: Leitfaden für KMU
Der Leitfaden des EDSA für KMU ist nun auch in Deutsch veröffentlicht. Daneben gibt es ihn auch in Englisch und Französisch. Er befasst sich mit den Datenschutzgrundlagen, den Betroffenenrechten, Datenschutz durch Design (allerdings unter der Überschrift „Verhalten Sie sich rechtskonform“) und IT-Sicherheit (hier mit dem Titel „sichere personenbezogene Daten“). So lobenswert das Vorhaben auch ist, wenn neben fragwürdigen sprachlichen Formulierungen auch noch bei einer Beispiel-Checkliste zur Sicherheit als Check-Feld die Formulierung „Stellen Sie sicher, dass persönliche Geräte für die Arbeit verwendet werden (BYOD)“ vorgegeben wird, schwindet mein Vertrauen in die Qualität des Gesamtwerkes in den strikt negativen Bereich. Daran ändert auch nichts die unerwartete Formulierung bei den Informationen zur Datenschutzverletzung: „Wurden die von Ihnen verarbeiteten personenbezogenen Daten verloren, gestohlen oder kompromittiert? – Möglicherweise haben Sie eine Datenschutzverletzung erlebt“. Aber enden wir versöhnlich: Es findet sich auch eine Liste mit Verlinkungen zu den staatlichen Aufsichtsbehörden und auch die der deutschen Bundesländer sind dabei – nur der LfD Bayern wurde vergessen. In der Liste ist auch vermerkt, in welchen Sprachen Meldungen hinterlegt werden können. Geht doch.
1.3 CNIL: Konsultation zu Gesundheitsstandards
Die CNIL führt eine Konsultation zu Gesundheitsstandards durch. Bis 12. Juli 2024 können Rückmeldungen eingereicht werden. Die CNIL bietet zu diesem Zweck einen Fragebogen zum Beantworten an, um eine Bestandsaufnahme der Praxis zu machen und Prioritäten der Praktiker:innen zu ermitteln.
1.4 CNIL: Hinweise für Betreiber öffentlicher Internetzugänge
Die CNIL hat Hinweise veröffentlicht, welche Anforderungen Betreiber öffentlicher Internetzugänge wie Hotels, Restaurants, Bibliotheken, Museen und Transportdienste zu beachten haben. Diese Organisationen sind gesetzlich verpflichtet „Verkehrsdaten“ zu speichern und die im nationalen Recht festgelegten Datenschutzgrundsätze einzuhalten. „Verkehrsdaten“ beziehen sich auf technische Informationen, die während der Internetnutzung generiert werden, einschließlich IP-Adressen, Verbindungsdaten, -zeiten und -dauern sowie Daten zur Identifizierung von Kommunikationsempfängern wie Telefonnummern. In der Regel müssen diese Daten gelöscht oder anonymisiert werden. Nationale Gesetze wie Artikel L34-1 des französischen Post- und elektronischen Kommunikationsgesetzes verlangen jedoch die Aufbewahrung dieser Daten, um Polizei, Gendarmerie und Justizbehörden bei strafrechtlichen Ermittlungen zu unterstützen.
Dies umfasst auch Vorgaben zur Aufbewahrungsdauer bestimmter personenbezogener Daten. Benutzer können auf ihre Daten zugreifen und diese korrigieren, indem sie sich an den Internetanbieter oder dessen Datenschutzbeauftragten wenden, falls ein solcher bestellt ist. Anbieter müssen öffentliche WLAN-Netzwerke sichern, indem sie sie von internen Netzwerken trennen und modernste Verschlüsselung verwenden. Sie müssen den Datenzugriff auf autorisiertes Personal beschränken und Maßnahmen ergreifen, um Sicherheitsverletzungen zu verhindern oder zu mindern, um die Sicherheit der Geräte zu gewährleisten, die zur Benutzeridentifikation und -authentifizierung verwendet werden.
1.5 ICO: Maßnahmen gegen Snapchat wegen „My AI“-Chatbot“
Der ICO informiert dass er seine Untersuchungen gegen Snapchat abgeschlossen hat. Die Untersuchungen wurden eingeleitet, nachdem der ICO Zweifel hatte, dass Snap seinen rechtlichen Verpflichtungen zur angemessenen Bewertung der Datenschutzrisiken des neuen Chatbots angemessen nachgekommen war.
Die Untersuchung des ICO führte nach dessen Aussagen dazu, dass Snap wichtige Schritte unternahm, um die von „My AI“ ausgehenden Risiken gründlicher zu überprüfen und um nachzuweisen, dass es angemessene Abhilfemaßnahmen ergriffen hatte. Er habe sich davon überzeugt, dass Snap nun eine Risikobewertung in Bezug auf „My AI“ vorgenommen habe, die mit dem Datenschutzrecht vereinbar sei. Weiterhin werden die Einführung von „My AI“ und die Art und Weise, wie aufkommende Risiken behandelt werden, überwacht. Eine endgültige Entscheidung des ICO in diesem Fall soll in den kommenden Wochen veröffentlicht werden.
Grundsätzlich solle diese Untersuchung zu ‚My AI‘ ein Warnschuss für die Industrie sein. Organisationen, die generative KI entwickeln oder nutzen, müssten den Datenschutz von Anfang an berücksichtigen und die Risiken für die Rechte und Freiheiten der Menschen genau bewerten und abmildern, bevor sie Produkte auf den Markt bringen. Risikobewertungen der Unternehmen würden weiterhin überwacht und das gesamte Spektrum der Durchsetzungsbefugnisse der Datenschutzaufsicht – einschließlich Geldbußen – genutzt, um die Öffentlichkeit vor Schaden zu bewahren. Generative KI bleibe eine Schlüsselpriorität für die britische Datenschutzaufsicht, und sie haben bereits eine Reihe von Konsultationen darüber eingeleitet, wie Aspekte des Datenschutzrechts auf die Entwicklung und den Einsatz generativer KI-Modelle angewendet werden sollten, aufbauend auf den umfassenden Leitlinien zu Datenschutz und KI [wir berichteten wie hier (zur Zweckbindung), da (zum Training von K) und dort (zu Rechtsgrundlagen bei Training von KI)].
1.6 Dänemark: Datenschutz-Folgenabschätzungen zu KI
Die dänische Aufsicht veröffentlichte Hinweise für eine Checkliste für eine DSFA – und auch eine DSFA beim Einsatz von KI. Sie führt dazu aus, dass der Katalog der Risiken und Maßnahmen jedoch nicht erschöpfend sei, und die für die Verantwortlichen müssten beurteilen, ob es möglicherweise weitere Risiken gebe, die relevant seien. Letztlich seien die Verantwortlichen dafür verantwortlich, dass die durchgeführten Folgenabschätzungen mit den Datenschutzvorschriften übereinstimmten. Die dänische Aufsicht weist darauf hin, dass die Vorlage für AI in Anlehnung an das AI and Data Protection Risk Tool Kit des britischen Information Commissioner’s Office (ICO) entwickelt wurde.
1.7 BSI: Quantensichere Kryptographie
Das BSI informiert, dass es an der Veranstaltung des ETSI zum Quantum-Safe Cryptography Workshop in Singapur teilnahm. Diskutiert wurde auch die Rolle der unterschiedlichen verfügbaren Technologien, unter anderem Post-Quanten-Kryptografie (klassische kryptografische Algorithmen, die auch sicher gegen Angriffe durch zukünftige Quantencomputer sein sollen) und Quantum Key Distribution (QKD, kryptografische Verfahren, die quantenmechanische Effekte für sichere Kommunikation ausnutzt). Das BSI verweist in diesem Zusammenhang auch auf die bisher durch das BSI dazu veröffentlichten Hinweise wie die BSI-Studie zu Implementierungsangriffen gegen QKD-Systeme, den Leitfaden „Kryptografie quantensicher gestalten“ und das gemeinsam mit europäischen Partnerbehörden herausgegebene Positionspapier zu Quantum Key Distribution.
1.8 BSI verklagt Microsoft auf Herausgabe von Informationen
Selbst beim BSI scheint der Geduldsfaden nicht mehr zu halten. Nach diesem Bericht verlangt nun das BSI auf dem Klageweg von Microsoft mehr Informationen, um die bisher bekannten Sicherheitsfälle bewerten zu können. Neben den bisherigen kritischen Einschätzungen einiger Datenschutzaufsichten zu einzelnen Formulierungen aus den Microsoft-Regularien könnte sich bald auch noch die Frage der Nachweispflicht für die sorgfältige Auswahl des Dienstleisters aus Art. 28 Abs. 1 DS-GVO gesellen.
1.9 EU-Kommission: Verfahren gegen Meta (Facebook)
Diesmal erfolgt nach dieser Meldung ein Verfahren gegen Meta nicht durch Datenschutzaufsichten, sondern durch die EU-Kommission, weil sie Meta vorwerfen bei Facebook Anforderungen an den Jugendschutz nicht einzuhalten. Es gebe die Befürchtung, dass die Social-Media-Dienste so konzipiert seien, dass sie bei Kindern ein Suchtverhalten auslösen könnten. Meta verstoße damit gegen Vorgaben des Digital Services Act (DSA), der unter anderem verpflichtet Minderjährige besonders zu schützen. Hier die Meldung der EU-Kommission dazu.
2 Rechtsprechung
2.1 BGH: Auskunftsanspruch auf Kopien nach Art. 15 Abs. 3 DS-GVO
In dem Fall begehrt die Klägerin begehrt von dem beklagten Versicherer Auskünfte, Abschriften von Erklärungen und Kopien von Daten aus einem Versicherungsvertrag, um ein etwaiges Widerrufsrecht prüfen zu können.
Zwischen den Parteien bestand ein Vertrag über eine im Jahr 2004 abgeschlossene, fondsgebundene Rentenversicherung, die im Jahr 2016 gekündigt und im Jahr 2017 abgerechnet wurde. Im April 2019 verlangte die Klägerin von der Beklagten gemäß Art. 15 DS-GVO Auskünfte über gespeicherte personenbezogene Daten sowie Unterlagen zum Versicherungsvertrag. Die Beklagte teilte der Klägerin von ihr gespeicherte personenbezogene Daten (Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Bankverbindung, Staatsangehörigkeit, Familienstand, Gesundheitsdaten) sowie die Summe der gezahlten Beiträge mit und übermittelte eine Kopie des Versicherungsantrags. Die Klägerin hält dies für unzureichend und begehrt Auskunft über die Speicherung u.a. von Erklärungen, Buchungsdaten und Fondsgewinne sowie die Übermittlung der Erklärungen der Klägerin in Abschrift sowie der sonstigen Daten in Kopie. Der BGH prüfte die Ansprüche u.a. nach dem Versicherungsvertragsgesetz, aber auch nach den Aspekten und berücksichtigte dabei die Rechtsprechung des EuGH aus den Verfahren C-487/21 und C-307/22. Der BGH stellt dabei fest, dass die Klägerin aus Art. 15 Abs. 1 und Abs. 3 DS-GVO einen Anspruch auf Überlassung von Abschriften der bei der Beklagten gespeicherten, von ihr selbst verfassten Erklärungen habe. Bezüglich der Auskunftsbegehren wie erzielte Fondsgewinne, Höhe der aus der klägerischen Versicherungsprämie entnommenen Verwaltungs-, Vertriebs- und Abschlusskosten, riskiertes Kapital, Wahrscheinlichkeit des Schadenseintritts und/oder des tatsächlichen Werts des Risikoschutzes) fehle es an dem notwendigen Personenbezug der begehrten Informationen. Anders als die Revision meinte, sind diese Informationen auch nicht der Gesamtheit der Versicherten datenschutzrechtlich zugeordnet, so dass die entsprechenden Daten im Umfang des Fondsvermögens auf die Klägerin persönlich bezogen wären.
Bezüglich der Auskunftsbegehren auf weitere Kopien von Dokumenten verweist der BGH das Verfahren an das Landgericht zurück, um zu klären, ob dies aus der Kontextualisierung der verarbeiteten Daten erforderlich sei, um ihre Verständlichkeit zu gewährleisten und der betroffenen Person die wirksame Ausübung ihrer Rechte zu gewährleisten.
2.2 OLG Dresden: Personenbezug auf TikTok
Im Rahmen einer Unterlassungsstreitigkeit zu Aussagen auf TikTok stellte das OLG Dresden fest, dass die Erkennbarkeit einer Person durch eine Äußerung deren Namensnennung nicht voraussetzt. Es genügt vielmehr die Übermittlung von Teilinformationen aufgrund derer die betroffene Person begründeten Anlass hat anzunehmen, sie könne innerhalb eines mehr oder minder großen Bekanntenkreises erkannt werden; auf den „Durchschnittsempfänger“ kommt es insofern nicht an.
2.3 BfDI verklagt BND auf Informationszugang
Laut Informationen auf seiner Webseite hat der BfDI vor dem Bundesverwaltungsgericht Klage gegen den Bundesnachrichtendienst (BND) zur Durchsetzung seiner Kontrollbefugnisse erhoben. Dem BfDI werde vom BND die Einsicht in Unterlagen verwehrt, die dem Einsichtsrecht des BfDI zur Durchführung seiner Kontrolle unterliegen und für diese unbedingt notwendig sind. Dieses Vorgehen hatte der BfDI zuvor erfolglos beanstandet. Mehr Informationen dazu unter dem o.g. Link.
2.4 BVwG Österreich: Zulässigkeit der Datenverarbeitungen bei Beschwerden
Im vorliegenden Fall beschwerte sich jemand über die scheinbar unzureichende Qualifikation einer Person gegenüber einem Verein, der Sprachprüfungen anbietet. Dieses Schreiben wurde intern an entsprechende Verantwortliche weitergeleitet und der Beschwerdeführer dabei in cc genommen. Darin sieht der Beschwerdeführer eine unzulässige Weitergabe seiner Daten. Er ging davon aus, dass er nicht damit habe rechnen müssen, dass sein Beschwerdebrief unverändert und ohne Anonymisierung weitergeleitet würde.
Zu Unrecht, wie das BVwG Österreich nun feststellte. Im Rahmen der Interessensabwägung nach Art. 6 Abs. 1 lit. f DS-GVO sei im Verfahren für jede einzelnen Übermittlung eine ausreichende Rechtsgrundlage vorgelegen. Beachtenswert ist hierbei, dass das BVwG hier jede einzelne Übermittlung betrachtet und bewertet.
Das BVwG folgte auch nicht den Ausführungen des Beschwerdeführers, dass er nicht damit rechnen konnte, dass sein Beschwerdebrief unverändert und ohne Anonymisierung weitergegeben würde.
Er vermochte nicht aufzuzeigen, weshalb er – bei objektiver Betrachtung – vernünftigerweise nicht damit rechnen konnte. Er habe dabei auch nicht etwa um eine vertrauliche Behandlung seiner personenbezogenen Daten ersucht. Der erkennende Senat teilt daher die Auffassung, dass der Beschwerdeführer in Hinblick auf die Ausführungen in seinem Schreiben durchaus damit rechnen musste, dass das Schreiben – einschließlich seiner darin angeführten personenbezogenen Daten – an von ihm kritisierte Personen bzw. Institutionen weitergegeben würden.
3 Gesetzgebung
3.1 Aktuelles zum AI Act
Der AI Act hat durch die Zustimmung der Vertretung der Mitgliedsstaaten den nächsten Meilenstein im Gesetzgebungsverfahren erreicht. Die seitens Frankreichs und Österreichs in der Woche davor dokumentierten Hinweise führten zu keiner Verzögerung. Dennoch werden damit nun auch einige Zweifel an der Vereinbarkeit mit der DS-GVO zum Beispiel hinsichtlich einiger Fragestellungen beim Einsatz von Reallaboren gestützt.
Im Rahmen der Zustimmung des Rates wurde auch eine finale Fassung veröffentlicht, die noch im Vergleich zur Fassung, zu der das EU-Parlament im März zustimmte, redaktionelle Änderungen aufweist. Eine kurze Darstellung inhaltlicher Änderungen findet sich hier und eine Darstellung des AI Acts insgesamt dort. Die Aufsicht über den Einsatz von KI-Systemen durch Organe und Einrichtungen der EU wird dem Europäischen Datenschutzbeauftragten übertragen. Der AI Act muss nun noch im europäischen Amtsblatt veröffentlicht werden, damit die in ihm geregelten Fristen zur Anwendbarkeit beginnen.
Auf verschiedene Online-Fundstellen hatten wir ja bereits verwiesen, hier der Einfachheit halber nochmal. Mittlerweile gibt es auch private Initiativen, die einzelne Erwägungsgründe den Artikeln zuordnen, mir sind bislang drei bekannt: der AI-Explorer von Future of Life, der AI-Act von LexICT und die Fassung von David Vasella. Zum Einstieg kann auch diese Prozesslandkarte helfen, die allerdings laufend aktualisiert wird oder dieser Überblick der Verpflichtungen von Anbietern von KI-Systemen und KI-Modellen entsprechend der Risikoklassifizierung.
3.2 EU: Verordnung über die europäische digitale Identität (EUDI) in Kraft getreten
Zum 20. Mai 2024 trat die „Verordnung (EU) 2024/1183 des Europäischen Parlaments und des Rates vom 11. April 2024 zur Änderung der Verordnung (EU) Nr. 910/2014 im Hinblick auf die Schaffung des europäischen Rahmens für eine digitale Identität“ in Kraft. Sie ist Teil der europäischen Digital Strategie. Der Rahmen verpflichtet die Mitgliedstaaten den Bürgern innerhalb von 24 Monaten nach Annahme der Durchführungsrechtsakte, in denen technische Spezifikationen und Zertifizierungen enthalten sind, EU-Brieftaschen (Wallets) für digitale Identität zur Verfügung zu stellen. Diese Rechtsakte, die zwischen 6 und 12 Monaten nach der Genehmigung der Verordnung erlassen werden, werden über die Anforderungen und Spezifikationen informieren, die für die EU-Toolbox für digitale Identität<7a> entwickelt wurden, und gewährleisten eine einheitliche Umsetzung von Wallets in ganz Europa. Der bitkom hat dazu einen Leitfaden veröffentlicht.
3.3 Bundesrat: „Fehlentwicklung“ im Datenschutz
Der Initiative Bayerns (wir berichteten) hat sich nun der Bundesrat angeschlossen. Er startet eine Gesetzesinitiative, um das UWG dahingehend zu ändern, dass Verstöße gegen die DS-GVO vom Wettbewerbsrecht ausgenommen werden. Um das zu erreichen, soll § 3a UWG entsprechend erweitert werden. Passenderweis ist der bisherige Titel des § 3a UWG bereits mit Rechtsbruch bezeichnet. Genau mein Humor, wenn es darum geht Rechtsverstöße von Rechtsverfolgung auszunehmen. Sind wir ja wie bei cum-ex schon gewöhnt, bei dem die Möglichkeiten der Rechtsverfolgung eingeschränkt wurden und letztendlich der Kampf gegen Finanzkriminalität durch Nichtregierungsorganisationen fortgeführt wird.
3.4 Bundesrat: Strafbarkeit von Deep Fake
Eine weitere Initiative Bayerns im Bundesrat betrifft eine Änderung im Strafgesetzbuch. Über einen neuen § 201b StGB soll die Verletzung von Persönlichkeitsrechten durch digitale Fälschung strafbewehrt werden.
Danach wird bestraft, wer das Persönlichkeitsrecht einer anderen Person verletzt, indem er einen mit computertechnischen Mitteln hergestellten oder veränderten Medieninhalt, der den Anschein einer wirklichkeitsgetreuen Bild- oder Tonaufnahme des äußeren Erscheinungsbildes, des Verhaltens oder mündlicher Äußerungen dieser Person erweckt, einer dritten Person zugänglich macht. Das gilt auch, wenn sich diese auf eine verstorbene Person bezieht und deren Persönlichkeitsrecht dadurch schwerwiegend verletzt wird. (§ 201b Abs. 1 StGB-E).
Strafschärfend wirkt es sich aus, wenn dieser Medieninhalt der Öffentlichkeit zugänglich gemacht wird oder einen Medieninhalt zugänglich macht, der einen Vorgang des höchstpersönlichen Lebensbereichs zum Gegenstand hat (§ 201b Abs. 2 StGB-E).
Dabei sind auch Ausnahmen für Handlungen, die in Wahrnehmung berechtigter Interessen erfolgen, wie der Kunst, Wissenschaft, Forschung, Lehre oder Berichterstattung über Vorgänge des Zeitgeschehens oder der Geschichte oder ähnlichen Zwecken (§ 201b Abs. 3 StGB-E). Im übrigen können dann Bild- und Tonträger oder andere technische Mittel, die dabei verwendet wurden, eingezogen werden (§ 201b Abs. 4 StGB-E).
Laut Begründung auf Seite 8
„sei die Anwendbarkeit des Datenschutzstrafrechts (§ 42 Abs. 2 BDSG) auf derartige Bildmanipulationen ist fraglich und der Schutz jedenfalls unvollkommen. Ungeklärt sei schon die grundsätzliche Frage, ob Täter nur für die Datenverarbeitung Verantwortliche oder Auftragsverarbeiter im Sinne des Bundesdatenschutzgesetzes sein können oder ob es sich um ein sog. Jedermannsdelikt handele. Eine als Grundlage verwendete authentische Bildaufnahme einer realen Person kann jedenfalls nur dann Gegenstand strafbarer Verarbeitung sein, wenn sie nicht öffentlich zugänglich war. Dies wird häufig nicht der Fall sein (vgl. den o.g. Fall aus Spanien) oder sich jedenfalls nicht nachweisen lassen. Erforderlich sei zudem stets, dass der Täter gegen Entgelt oder in Bereicherungs- oder Schädigungsabsicht gehandelt habe.“
Das lasse ich mal unkommentiert, aber verweise zu einer Stellungnahme einer qualifizierteren Quelle.
3.5 BDSG-Novelle
In diesem Beitrag werden die geplanten Änderungen an der aktuellen BDSG-Novelle vorgestellt, die letzte Woche im Bundestag diskutiert wurden, insbesondere die Neufassung zum Scoring und die Regelung der Datenschutzkonferenz.
3.6 Saarland: Änderung der Schulgesetze u.a. zum Profiling
Im Saarland wird ein Gesetz zur Einführung des Schulwesen-Datenschutzgesetzes und zur Änderung des Schulordnungsgesetzes diskutiert. Damit sollen auch Anpassungen an die Anforderungen des Einsatzes von Plattformen und Lernmitteln erfolgen, um rechtliche Grundlagen sicherzustellen.
In diesem Zusammenhang war bei der Erstellung des Entwurfs ferner zu berücksichtigen, dass sich adaptive Systeme und automatisierte Systeme zur Diagnostik zunehmend zu einem Standard der Unterrichtssteuerung und Ermittlung individueller Förderbedarfe entwickeln. Mit Blick auf das unionsrechtlich bestimmte Profiling-Verbot wurden daher besondere Regelungen aufgenommen, die den Einsatz solcher grundsätzlich auch eine Profiling-Möglichkeit bietenden Systeme unter Gewährleistung der menschlichen Letztentscheidung entsprechend den bildungswissenschaftlichen Standards nach Zulassung durch die Schulaufsichtsbehörde ermöglichen können. Dies umzusetzen wurde in § 6 Abs. 2 (Verarbeitung mit Profilingmöglichkeit“) versucht und ab Seite 20 ff begründet, dass sich dies auf die EuGH-Rechtsprechung (C-634/21 – „Schufa“) zum Art. 22 DS-GVO bezieht.
Daneben regelt das Gesetz in § 11 („Verantwortlichkeit“) auch, dass bei einer gemeinsamen Verarbeitung nur noch solche Festlegungen zu treffen sind, die nicht bereits durch besondere Rechtsvorschriften, denen sie unterliegen, getroffen werden.
3.7 Fortschrittsbericht zur Digitalstrategie
Die Bunderegierung hat ihren Fortschrittsbericht zur Digitalstrategie veröffentlicht. Sie findet, dass vom Gigabit-Ausbau über E-Rezept bis Künstliche Intelligenz Deutschlands Digitalisierung in vollem Gang sei. Details lassen sich hier nachlesen.
3.8 Änderungen im Bundesmeldegesetz
Das Bundeskabinett hat Änderungen im Bundesmeldegesetz beschlossen, Damit soll die Herausgabe von Meldeadressen von Personen verhindert werden, um diese vor Belästigungen zu schützen. Ein Bericht dazu findet sich hier.
3.9 BMWK: Durchführungsgesetz zum Data Governance Act
Das BMWK hat seinen Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2022/868 über europäische Daten-Governance und den Entwurf einer BMWK-DGA-Besondere Gebührenverordnung veröffentlicht.
Gegenstand der Entwürfe sind dabei insbesondere folgende Regelungsinhalte:
Die Bundesnetzagentur (BNetzA) wird als zuständige Behörde für Aufgaben im Zusammenhang mit dem Anmeldeverfahren für Datenvermittlungsdienste sowie für die Registrierung datenaltruistischer Organisationen vorgesehen.
Das Statistische Bundesamt wird als zuständige Stelle für die Unterstützung der öffentlichen Stellen, die geschützte Verwaltungsdaten nutzbar machen wollen, und außerdem als zentrale Informationsstelle vorgesehen.
Festgelegt werden zusätzlich Durchsetzungsbefugnisse der BNetzA sowie Bußgeldvorschriften und Gebühren für Leistungen des Daten-Governance-Rechtsakts (Nutzung von geschützten Verwaltungsdaten, Anmeldung als Datenvermittlungsdienst).
Die Entwürfe werden zeitgleich in der Bundesregierung abgestimmt. Daher sind einzelne Punkt in den Entwürfen noch geklammert.
4 Künstliche Intelligenz und Ethik
4.1 KI-Compliance
Der Einsatz von künstlicher Intelligenz wirft zahlreiche Compliance-Fragen auf. Neben Datenschutz, Urheberrecht und AI Act sind auch weiteren Themen wie Nicht-Diskriminierung oder Erklärbarkeit zu beachten. In Teil 18 der Reihe aus der Schweiz geht es um 18 Schlüsselfragen zur KI-Compliance, bei der auch zu jeweils weiteren Informationen verlinkt wird.
4.2 Microsoft: Bußgeld nach DSA wegen unterbliebener Information zu generativer KI?
Nach Berichten hat Microsoft bis 27. Mai 2024 Zeit, um Informationen an die EU-Kommission zu geben, die sich für die Risiken beim Einsatz generativer KI interessiert. Der Digital Service Act (DSA) enthält regulatorische Vorgaben für die Betreiber von Online-Plattformen und -Marktplätzen im Hinblick auf rechtswidrige Inhalte und auf Informationspflichten gegenüber Nutzenden. Die Kommission sagte, dass ihr Informationen zu den Risiken fehlen, die sich aus den generativen KI-Funktionen der Suchmaschine Bing ergeben – speziell zum KI-Assistenten „Copilot in Bing“ und zum Bilderzeugungswerkzeug „Image Creator by Designer“. Sie sei besonders besorgt über mögliche Risiken, die diese Tools für den zivilen Diskurs und Wahlprozesse darstellen könnten. Die Kommission droht demnach mit einer Geldstrafe, die bis zur Höhe von 1% des weltweiten Vorjahresumsatzes betragen könne, wenn die erforderlichen Informationen nicht eingereicht würden.
4.3 KI und Nachhaltigkeit
In diesem Beitrag wird der Verbrauch von klimaschädlichen Gasen durch den Einsatz von KI am Beispiel von Microsoft thematisiert. Demnach würden die Emissionen um bis zu 40 % steigen. Vielleicht mal öfter nachdenken, ob jeder Prompt wirklich erforderlich ist?! Selbst das Handelsblatt befasst sich in seinem LinkedIn-Account mit der Frage, inwieweit der KI-Hype noch energietechnisch zu meistern sei.
4.4 KPMG: Privacy in the new World of AI
Mit den Risiken und ihrer Eindämmung beim Einsatz von KI bezogen auf Auswirkungen die Menschenrechte und die Privatsphäre befasst sich ein von KPMG veröffentlichtes Papier. Unter dem Titel „Privacy in the new World of AI“ werden darin die Auswirkungen der Einführung von KI auf den Datenschutz untersucht. Es soll aufzeigen, was dies für Unternehmen bedeutet, und skizziert die wichtigsten Schritte, die Organisationen unternehmen können, um KI verantwortungsvoll zu nutzen. Indem sie sich über die Auswirkungen des Einsatzes von KI auf den Datenschutz informieren und proaktive Schritte zur Risikominderung unternehmen, können Unternehmen die Leistungsfähigkeit dieser Technologie nutzen und gleichzeitig die Privatsphäre des Einzelnen schützen.
4.5 Ethik in der Informationstechnologie
… ist ein Aspekt, der hier u.a. in dieser Anzeigensonderveröffentlichung angesprochen wird. Darin wird u.a. auch eine Partnerin bei Deloitte zitiert, die feststellte, dass neben der Medizinbranche auch in anderen Branchen die Geschäftsmodelle zunehmend auf Daten basieren, nur gäbe es dort noch keine eingespielten Prozesse im Umgang mit digitaler Ethik.
4.6 Identitätsdiebstahl für / durch KI?
Ich überlegte kurz ob das in dieses Kapitel gehört oder nicht doch in die Rubrik „Gesellschaftliche Diskussionen“. Da widerspricht eine Person des öffentlichen (Show-)Lebens der Nutzung ihrer Stimme für Open AI und dann nehmen sie eine Stimme, die der dieser Person ähnelt. Trustworthy AI sollte hier andere Maßstäbe setzen.
Immerhin: In Tennessee gibt es bereits ein Gesetz („Elvis Act“), der Musiker und Songwriter davor schützen soll, dass KI-Tools die Stimme eines Künstlers nicht ohne dessen Zustimmung nachahmen können. Und es soll nicht nur Country-Stars schützen.
4.7 Google und „Don’t be evil“
Ältere erinnern sich, dass mal der Markenclaim von Google „Don’t be evil“ war. Zwischenzeitlich ist ihnen das wohl offensichtlich selber peinlich, denn sie verwenden ihn auch nicht mehr? Wie auch, bekommt Google und sein Mutterkonzern doch laufend bescheinigt, dass sie rechtliche Vorgaben zum Schutz Einzelner oft genug nicht ausreichend beachten. Ein Interview mit dem Vice President und General Manager für den Bereich Data and Analytics bei Google Cloud gibt Einblicke in künftige Planungen und Umsetzungen. So wird ausgeführt, dass es neben Büro-Dokumenten immer mehr Videos, Bilder oder Audio-Files gebe, die typischerweise nicht Bestandteil einer Enterprise-Data-Landschaft sind, und es bislang einfach zu schwer war diese zu analysieren. Mit generativer KI werde das alles auf einmal sehr dynamisch und ähnlich flexibel einlesbar wie eine SQL-Tabelle, die man ganz einfach abfragen kann. Damit könne dann beantwortet werden, wie Kunden über ein Produkt empfinden, wie hoch das Risiko ist, dass sie als Kunde verloren werden könnten. Sounddateien aus dem Support können analysiert und Schlüsse daraus gezogen werden. Das sei eine wahre Schatzkiste. Auch die Kommunikation mit Lieferanten oder alles, was in E-Mails und Social-Media-Postings steckt, repräsentiere unglaubliche Werte, wenn dies analysiert werden könne. Und das werde mit generativer KI endlich möglich, nun kämen sie an diese Daten jetzt wirklich ran.
4.8 KI-Washing
„Green-Washing“ kannte ich ja bislang. Aber dieser Begriff „KI-Washing“ war mir neu und auch die strafrechtliche Relevanz dazu. Damit befasst sich dieser Beitrag. Strafrechtliche Relevanz kann sich ergeben, wenn eine Vermarktung entweder irreführend oder stark übertrieben, also wenn Unternehmen und Organisationen ihre Produkte, Dienstleistungen oder Projekte als künstliche Intelligenz (KI) bezeichnen oder vermarkten, obwohl dies nicht zutrifft. Der Beitrag referenziert auf einen Fachaufsatz, bei dem folgende Straftatbestände in Einzelfällen in Betracht kommen können: Betrug (§ 263 StGB), Kapitalanlagebetrug (§ 264a StGB); strafbare Werbung (§ 16 UWG) oder unrichtige Darstellung (§§ 331 HGB, 400 AktG) wie bei falschen Aussagen in Geschäftsberichten über KI-Anwendungen. Und dabei bitte beachten: bei diesen Straftatbeständen müssen dann alle Tatbestandsmerkmale erfüllt sein. Aber lieber vorher beraten lassen, als sich hinterher ärgern!
4.9 KI und Journalismus
Aus einer Studie „So liest Deutschland Online-Nachrichten 2024“ werden die Ergebnisse berichtet. Für die Studie wurden in einem online-repräsentativen Panel 2.000 Internet-Nutzerinnen und -Nutzer ab 16 Jahren befragt. Fast alle Altersgruppen sehen demnach den Einsatz von Künstlicher Intelligenz bei journalistischen Inhalten demnach eher als Risiko, lediglich die 16- bis 29-Jährigen bewerten KI mehrheitlich (57 Prozent) als Chance. Je älter die Befragten, desto höher ist die negative Wahrnehmung: In der Gruppe der über 60-Jährigen beträgt dieser Wert sogar 71 Prozent. Mehr dazu berichten die Auftraggeber der Studie hier.
4.10 Datenhoheit durch Spracherkennung mit eigenem LLM Voice Bot
Das Fraunhofer Institut für Experimentelles Software Engineering (IESE) betrachtet den Einsatz von eigenen Large Language Model (LLM) Voice Bots zur Spracherkennung, um Datenhoheit zu gewährleisten. Dabei kombinieren Bots verschiedene Open-Source-Modelle und bieten eine modulare Architektur, die Anpassung und Aktualisierung erleichtert. Der LLM Voice Bot kann Sprache erkennen, verstehen und natürlich wiedergeben, wodurch ein menschenähnliches Spracherlebnis geschaffen wird. Zudem sind die Voice Bots aufgrund ihrer Flexibilität in zahlreichen Anwendungsbereichen einsetzbar, von persönlichen Assistenten bis hin zur automatischen Übersetzung.
Natürlich finden sich dabei wieder die Buzz-Words „Datenhoheit“ und „Datensouveränität“, ohne dass diese definiert werden. Trotzdem spannend.
4.11 Open Source Large Language Models selbst betreiben
Das Fraunhofer-Institut für Experimentelles Software Engineering informiert in seinem Blog, wie Open Source Large Language Models selbst betrieben werden können.
4.12 UNESCO: KI und Demokratie
Unter dem Titel „AI und democracy“ veröffentlichte die unesco einen Bericht, der auf den „Empfehlungen zur Ethik der künstlichen Intelligenz“ aufbaut und sich auf die Auswirkungen der künstlichen Intelligenz auf die Demokratie konzentriert. Die Analyse gliedert sich in vier Hauptthemen:
Die demokratischen Erwartungen und Enttäuschungen der Digitalisierung; der neue digitale öffentliche Raum: das demokratische Gespräch; die Demokratie der Daten: die Politik von Big Data und Demokratie als Form der politischen Entscheidungsfindung: Algorithmic Governance.
Zudem gibt dieser Bericht Empfehlungen für die demokratische Governance der künstlichen Intelligenz, die darauf abzielen die negativen Auswirkungen abzuschwächen und einen demokratischeren Ansatz für die KI-Governance zu fördern.
4.13 KI und Trauerbewältigung
Im Spätsommer sind Ergebnisse einer Studie zum Thema „Tod im digitalen Zeitalter“ zu erwarten. Die technischen Möglichkeiten, dass künftige Verstorbene zu Lebzeiten ihre Stimme, ihr Aussehen und ihr Wissen einem Anbieter anvertrauen, damit nach dem Tode die Hinterbliebenen mit diesem „Avatar“ ihre Trauer bewältigen können, provozieren neben rechtlichen auch ethische Fragen. Die Angebote dazu gibt es bereits auf dem Markt.
4.14 Bayern: Einsatz von KI an Schulen
Na, das klingt doch toll: Laut diesem Bericht programmiert Bayern einen KI-Assistenten für seine 127.000 Lehrkräfte – und gibt den Schulen eigene KI-Budgets. Damit bekämen ab dem kommenden Schuljahr alle 5.500 bayerischen Schulen Zugang zu künstlicher Intelligenz. Für die KI-Budgets sind 14,5 Millionen Euro vorgesehen. Jede Schule könnte somit rechnerisch rund 2.600 Euro ausgeben, um sich eine der generativen KIs zu abonnieren. Das Geld reicht etwa für ein Jahresabo. Aber die Entscheidung wird nicht zentral getroffen, sondern die Schulen und Kommunen vor Ort wählen jetzt die KI für ihre Schüler und Schülerinnen aus – und kaufen sie selbst ein. Und – wir ahnen es – damit übernehmen auch die Schulen und Kommunen die Aufgabe hierzu die rechtlichen Rahmenbedingungen zu beachten. Und damit kann es schon vorhergesehen werden, dass es dann wieder heißt, dass „der Datenschutz den Fortschritt bremst“, nur weil die Entscheider in München zu wenig Ahnung haben (wollen?!), wie zentral aufwandsminimiert zentrale Vorgaben umgesetzt werden könnten. Ich bin aber überzeugt davon, dass die verantwortlichen im Kultusministerium trotzdem Stolz sind.
5 Veröffentlichungen
5.1 Vorratsdatenspeicherung: Nun doch möglich?
Das Urteil des EuGH im Fall C-470/21 (la Quadrature du Net) wird weiterhin sehr engagiert besprochen. Wir berichteten, dass dadurch das Speichern von IP-Adressen grds. ermöglicht würde. Eine allgemeine Speicherung von IP-Adressen zur Verfolgung von Urheberrechtsverletzungen würde nicht zwangsläufig einen schweren Eingriff in die Grundrechte der betroffenen Personen darstellen. Ein Punkt der Kritik ist, dass es sich kaum verhindern ließe, dass man aus den gespeicherten Informationen nicht auch Rückschlüsse auf das Privatleben der Menschen ziehen könne (Quelle hier). Die Bundesregierung sieht sich dadurch aber auch in ihren Bestrebungen für eine Vorratsdatenspeicherung gestärkt (Quelle hier). Einen guten Überblick bietet auch diese Besprechung im Deutschlandfunk mit Expert:innen (Dauer ca. 40 Min, genau ab 15:50 bis ca. 26:00).
5.2 Studie zu Ransomware im Forschungsprojekt CONTAIN
Ransomware ist und bleibt laut Lagebericht des Bundesamt für Sicherheit in der Informationstechnik (BSI) 2023 die Hauptbedrohung aus dem Internet. Treffen kann es jeden. Doch was tun, wenn die eigenen Daten verschlüsselt sind und Angreifer Lösegeld fordern oder gleich noch mit der Veröffentlichung der Daten drohen? Um diese und weitere Fragen geht es aktuell im Forschungsprojekt CONTAIN der Hochschule der Bundeswehr in München.
In der aktuell gestarteten Monitor-Studie soll mehr über die Lage der Vorbereitung, über Gegenmaßnahmen und den Umgang mit solchen Vorfällen erforscht werden. Ziel ist die Entwicklung eines Maßnahmenpakets gegen Ransomware, das dann der Öffentlichkeit zur Verfügung gestellt wird. Der Fragebogen findet sich hier.
5.3 EU: Nutzung von Daten für Wissenschaft und Forschung
Wie können Daten besser für Forschung und wissenschaftlichen Zwecken genutzt werden? Damit befasst sich diese Studie im Auftrag der EU. Sie untersucht die Auswirkungen des EU-Urheberrechtsrahmens auf die Forschung und der Auswirkungen möglicher Eingriffe sowie zur Ermittlung und Darstellung relevanter Bestimmungen für die Forschung in der EU-Gesetzgebung für Daten und digitale Medien, mit Schwerpunkt auf Rechten und Pflichten. Die vorgestellten Maßnahmen zielen darauf ab den derzeitigen Rahmen zu verbessern und ihn mit den Grundsätzen der wissenschaftlichen Forschung und der offenen Daten in Einklang zu bringen. Die Veröffentlichung bietet einen umfassenden Überblick über die Rechtslandschaft der EU im Bereich Forschung und Innovation und liefert Erkenntnisse für politische Entscheidungsträger, Forscher und Forschungsorganisationen.
5.4 Übersichten zu DORA
Einer privaten Initiative sind diese Übersichten und Dokumente zu DORA zu verdanken, die unterschiedlichste Aspekte dazu darstellen.
5.5 Bewertung der EuGH-Entscheidung zur Verarbeitung von Gesundheitsdaten durch Arbeitgeber
Über das EuGH-Urteil (C-667/21 Krankenkasse Nordrhein) zur Verarbeitung der Gesundheitsdaten eines eigenen Beschäftigten durch den medizinischen Dienst einer Krankenkasse hatten wir bereits berichtet. Nun befasst sich ein fundierter Beitrag mit den dabei aufgeworfenen Fragen und der Auswirkungen durch das EuGH-Urteil.
5.6 Dark Pattern durch Algorithmen?
Bereits im Jahr 2021 befasste sich diese Studie aus Großbritannien mit der Frage “Algorithms: How they can reduce competition and harm consumers?” Es werden darin potenzielle Schäden für den Wettbewerb und die Verbraucher durch den Einsatz von Algorithmen aufgezeigt, wobei der Schwerpunkt auf denjenigen liegt, gegen die Wettbewerbsbehörden oder Verbraucherschutzbehörden am besten vorgehen können. Dazu gehören unmittelbare Schäden für die Verbraucher, wie die Personalisierung von Preisen und andere Aspekte der Online-Auswahlarchitektur. Dazu gehören auch Schäden für den Wettbewerb, wie die Verwendung von Algorithmen zum Ausschluss von Konkurrenten (z. B. zur Erleichterung der Selbstreferenzierung) und das Potenzial von Algorithmen Absprachen zu erleichtern. Das Papier fasst auch Techniken zusammen, die zur Analyse algorithmischer Systeme verwendet werden könnten, sowie die Rolle der Regulierungsbehörden bei der Bewältigung dieser Schäden.
5.7 Smart Decision Making, Social Media Privacy, Improved Thinking
Das ist der Titel eines Interviews, das auf YouTube mit einem der profiliertesten Vordenker aus Deutschland geführt wurde (Gerd Gigerenzer) und sich umfassend mit Bedingungen für Entscheidungsfindung, aber auch der Intuition und der Wirkung und dem Geschäftsmodell von Social Media befasst. Hervorzuheben ist dabei auch, dass innerhalb des Interviews, das ca. 1:13 Std. dauert, in einzelne Kapitel geklickt werden kann, z.B. in den Teil, der mit „Privacy Paradox and why Even Germans aren’t interested in privacy!“ beschrieben wird.
5.8 Trainingsfrei für Sony
Ok, das Wort „Trainingsfrei“ verbinde ich eher mit Momenten stoischer Ruhe und Nichtgebrauch des „Turnbeutels“. In Zeiten von KI kann es aber auch bedeuten, dass urheberechtlich geschützte Inhalte auch vor Verwendung zu Trainingszwecken einer KI gekennzeichnet werden. So hat der Musikverleger Sony nach diesem Bericht in einem Schreiben an rund 700 internationale Tech-Unternehmen darauf hingewiesen, dass Aufnahmen oder Werke aus dem Sony-Music-Portfolio nur nach zuvor eingeholter Erlaubnis und mit entsprechenden Lizenzen für das Text And Data Mining zum Einsatz kommen dürfen. Und auch mir fiel auf, dass in gedruckten Büchern nun immer öfter der Hinweis zu finden ist, dass der Nutzung nach § 44b UrhG widersprochen wird.
5.9 Google hört gern zu: Chatkontrolle per default
Nach diesem Bericht meint es Google nur gut, wenn sie angeben, dass zur Verfolgung von Finanz- und Anrufbetrügereien ihre Geräte es möglich machen, dass Sprachanrufe in Echtzeit nach Gesprächsmustern gescannt werden können. Das lässt natürlich Befürchtungen zu, dass solche Technik generell zu einer Zensur nicht erwünschter Inhalte verwendet werden könnte.
Franks Nachtrag: Erster (vorletzter Anstrich)…
5.10 Polizei NRW: Cyberattacken über Office-365-Komponenten
Die Polizei NRW warnt vor einem Anstieg von Cyberangriffen über Komponenten von MS 365 (E-Mail und Dokumentenverwaltung). Unbekannte Täter übernehmen demnach E-Mail-Konten und versenden dann Nachrichten im Namen der betroffenen Firmen. Diese E-Mails enthalten gefährliche Anhänge oder Links. Die E-Mails sehen echt aus, da sie keine Sprachfehler, dafür aber oft echte frühere Gesprächsverläufe enthalten. Sobald ein Empfänger auf die Links klickt, kann das IT-System unmittelbar angegriffen werden, und es kann zu Datenverlust bzw. dem Diebstahl von Daten sowie weiteren Angriffen – wie zum Beispiel Phishing Attacken – kommen. Die Täter durchsuchen außerdem die übernommenen E-Mail-Konten gezielt nach Informationen aus der Anfangszeit der Corona-Krise, besonders nach VPN-Zugangsdaten nicht öffentlicher IT-Netzwerke. Diese Informationen ermöglichen es den Tätern direkten Zugriff auf die IT-Infrastruktur von Unternehmen zu erhalten. Auch auf Dokumente in den E-Mails können sie zugreifen.
Die Polizei empfiehlt entsprechende Sicherheitskonzepte und Sensibilisierung der Beschäftigten. Unter dem Link sind auch Ansprechpartner zu finden, sollte in NRW jemand Opfer geworden sein.
5.11 Umfrage zur DS-GVO
Wie zufrieden sind Unternehmen sechs Jahre nach Anwendung der DS-GVO? Die Ergebnisse dieser Umfrage sind keine Überraschung – mir fehlt bei diesen Studien immer die Frage, was denn bereits vor der DS-GVO in den Unternehmen zur Umsetzung der bisherigen Regularien unternommen wurde. Und es wundert mich auch, dass diejenigen, die von Daten als dem Gold des 21. Jahrhunderts sprechen, dann aber keinen Plan haben wollen, wo denn das Gold im eigenen Unternehmen liegt. Aber die Umfrage spricht auch positive Aspekte an.
5.12 Microsoft Recall
Da freuen wir uns darauf! Microsoft kündigt eine weitere Funktion an: „Recall“, die auf Windows-Laptops mit eigener KI-Hardware und KI-Support installiert ist. Damit werden Screenshots der Bildschirmoberfläche erstellt und für die KI bereitgestellt, um den Anwender zu unterstützen, da die KI dann vielleicht beim Finden und Verwenden bereits genutzter Inhalte helfen könnte. Das bietet unheimliche Arbeitserleichterungen und Effizienzsteigerungen, wie hier in diesem LinkedIn-Post skizziert. Aber „wo viel Licht, ist auch viel Schatten“ und so braucht es wenig Phantasie, dass damit auch vertrauliche Inhalte umfasst sein können, wie der Eingabecheck von Passwörtern oder vertraulicher Inhalte. Und natürlich versichert Microsoft, dass es ausreichend Schutzmaßnahmen und Sicherheitsmaßnahmen gäbe, wie die verschlüsselte Speicherung der Daten auf den jeweiligen Endgeräten. Und es bleibt mittlerweile jedem selbst überlassen, wie Aussagen von Microsoft zu Sicherheitsangaben zu bewerten sind. Auch brauche es entsprechenden Speicherplatz auf den Endgeräten. Letztendlich müssen auch die datenschutzrechtlichen Fragestellungen betrachtet werden: Eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO wird kaum vermieden werden können.
Franks Nachtrag: Hier wird diese neue Idee kommentiert … und ich vermute, nicht nur deutsche DSB, auch europäische DPO hätten geworfen …
Franks zweiter Nachtrag: In diesem Youtube-Video (Dauer ca. 9 Minuten) spricht der Microsoft CEO über die neuen KI-fokussierten CoPilot+ PCs.
Franks dritter Nachtrag: In diesem Beitrag stecken viele gute Ansätze zu Microsoft Recall. Lesenswert!
5.13 Veranstaltungen
5.13.1 Privacy Research Day der CNIL -neu-
04.06.2024, 19:00 – 20:30 Uhr, Paris: Die französische Datenschutzaufsicht CNIL veranstaltet einen ganzen Tag in ihren Räumen mit Veranstaltungen rund um Datenschutz. Weitere Informationen und Anmeldung hier.
5.13.2 Webinar zu „Pay oder Consent“ -neu-
05.06.2024, 15:00 – 17:00 Uhr, online: Über diesen Link ist eine Anmeldung bei einer Veranstaltung einer renommierten Kanzlei zu den Aussagen und Konsequenzen des EDSA aus seiner Stellungnahme 08/2024 zur Frage der Freiwilligkeit bei einer Auswahl zwischen Werbeprofilen und Bezahl-Abonnements möglich. Die Veranstaltung trägt den Titel: „How to balance fundamental rights and data protection?“
5.13.3 University:Future Festival 2024
05.-07.06.2024, Präsenztickets für Bühnen in Berlin, Bochum, Heilbronn, Leipzig und Nürnberg – oder online: Unter dem Motto “Tales of Tomorrow” bietet das Festival drei Tage lang eine Plattform für Austausch, Diskussion und Networking. Das University:Future Festival ist ein digital first Event. Das bedeutet: Alle Programmpunkte finden online statt; nahezu alle Teilnehmenden sind online dabei. Zur Vernetzung gibt es limitierte Präsenztickets für Bühnen in Berlin, Bochum, Heilbronn, Leipzig und Nürnberg. Englischsprachige Programmpunkte finden sich in Berlin und digital. Das Programm der Partnerbühnen in Bochum, Heilbronn, Leipzig und Nürnberg ist in deutscher Sprache. Weitere Informationen und Tickets hier.
5.13.4 it´s.BB e.V.: NIS-2 Anforderungen an Unternehmen und Geschäftsleitung -neu-
12.06.2024, 15:30 – 18:00 Uhr, Berlin: Das IT-Sicherheitsnetzwerk Berlin-Brandenburg e. V. informiert in der IHK Berlin zum Umsetzungsgesetz der NIS-2-Richtlinie. Weitere Informationen und Anmeldung hier.
5.13.5 Stiftung Datenschutz: „KI und Datenschutz“ -neu-
13.06.2024, 13:00 – 14:30 Uhr, online: ChatGPT und ähnliche Werkzeuge finden immer mehr Eingang in den Alltag. Zwar sind die damit verbundenen datenschutzrechtlichen Fragen nicht neu; die Besonderheiten von KI-Anwendungen verlangen jedoch nach besonderen und zuweilen kreativen Lösungsansätzen. Ausgehend von einem klassischen KI-Governance-Projekt gibt es Einblicke in die Beratungspraxis eines Rechtsanwalts unter Berücksichtigung der zentralen datenschutzrechtlichen Herausforderungen im Umgang mit dieser Technologie. Dazu gibt es Hinweise für die Praxis und erste Lösungsansätze werden vorgestellt. Weitere Informationen und Anmeldung hier.
5.13.6 Hochschule Ansbach: School of Business and Technology – Session 3: Datenschutzorganisationen erfolgreich führen
14.06.2024, 11:30 – 12:30 Uhr, online: Der berufsbegleitende Masterstudiengang „Data Governance and Ethics“ (DGE) richtet sich an Personen, die im Rahmen ihrer bisherigen akademischen Ausbildung oder beruflichen Praxis auf Fragen, Konflikte und Dynamiken im Bereich Datenschutz und Ethik gestoßen und auf der Suche nach einem angemessenen Rahmen sind diese weiter zu verfolgen. Mit der kostenlosen Academy soll ihnen einen Einblick in ausgewählte Inhalte der Module des MBA-Programms gegeben werden. In Session 3 wird das Thema Datenschutzorganisationen erfolgreich führen dargestellt. Details zum Programm und Anmeldung hier.
5.13.7 HmbBfDI: „Hey, Hamburg! Wie läuft‘s mit Medienerziehung und Datenschutz?“ -neu-
03.07.2024, 09:00 – 16:30 Uhr und 17:30 – 18:30 Uhr, Hamburg: In dieser zweiteiligen Veranstaltung aus der Reihe „Digitale Vorbilder“ mit der Mitwirkung des HmbBfDI geht es um Impulse für die medienpädagogische Arbeit mit Kindern und Familien. Der erste Teil richtet sich an Menschen, die im pädagogischen Alltag mit Kindern, Jugendlichen und Eltern arbeiten und bietet konkrete Handlungsanweisungen, praktische Tipps und kompetente Ansprechpartner:innen. Dabei werden die Aspekte des Schutzes der Privatsphäre von Kindern und Jugendlichen betrachtet und wie wir uns sicher durch die digitale Welt bewegen. Medienkompetenz ist nicht nur im privaten Kontext wichtig, sondern gewinnt auch im pädagogischen Alltag immer mehr an Bedeutung. Weitere Informationen zu den Inhalten finden sich hier. Die Anmeldung ist hinter diesem Link.
Im zweiten Teil befassen sich in einem Podiumsgespräch Expert:innen aus den Bereichen Datenschutz, Pädagogik und Politik mit den Fragen, an welchen Stellen es Nachholbedarf gibt und wo mehr Unterstützung gefragt ist. Die Teilnahme ist ohne Anmeldung möglich, weitere Informationen dazu hier.
5.13.8 LfDI Mecklenburg-Vorpommern: „Hey, MV! Wie läuft‘s mit Medienerziehung und Datenschutz?“ -neu-
04.07.2024, 9:00 – 16:00 Uhr, Güstrow: Auch in Güstrow findet ein Fachtag für Menschen statt, die in ihrem beruflichen Alltag mit Kindern, Jugendlichen und Eltern zusammenarbeiten und Impulse für die eigene medienpädagogische Arbeit brauchen. Neben konkreten Handlungsanleitungen und praktischen Tipps von kompetenten Ansprechpersonen gibt es eine Mappe mit den im EU-Projekt “DigitaleVorbilder“ erstellten Bildungsmaterialen. Außerdem erwarten die Teilnehmenden ein umfassendes “Info-Büfett” mit Materialien vieler bekannter Player aus der Medienbildung. Weitere Informationen und Anmeldung hier.
5.13.9 MfK Nürnberg: Daten-Dienstag – „Strategien gegen Hatespeech im digitalen Raum“
09.07.2024, 19:00 – 20:30 Uhr, nur vor Ort in Nürnberg: Das Museum für Kommunikation Nürnberg lädt erneut zu einem Abend der Reihe „Daten-Dienstag, Privatheit im Netz“ ein. Eine versierte Rechtsanwältin informiert zum Thema „Rechtliche und praktische Strategien gegen Hatespeech im digitalen Raum“ und gibt Einblicke in die sich ständig weiterentwickelnde Rechtslage und praktische Herausforderungen. Weitere Informationen und Anmeldung hier. Die Reihe ist Bestandteil des Angebots der Woche nuernberg.digital erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Strafverfolgung bei sexueller Gewalt gegen Kinder
Der Titel der Dokumentation des Senders arte (Dauer ca. 1:31 h) ist etwas zielgruppenorientierter reißerisch und weniger juristisch: „Kinderschänder im Visier“. Die Darstellung der Taten ist belastend. Die Dokumentation behandelt die Möglichkeiten der Ermittlungen auch im internationalen Kontext. Und natürlich auch die Aktivitäten der großen Tech-Giganten dabei.
Passend dazu auch ein Bericht zur Möglichkeit der Nutzung von Bildern aus sozialen Netzwerken durch KI.
6.2 „Wie viel kostet eine Wahl?“
Das ist der Titel eines Beitrags, der sich mit den Möglichkeiten der politischen Manipulation über Microtargeting auch anlässlich einer neuen EU-Verordnung über die Transparenz und das Targeting politische Werbung befasst. Dabei geht es nicht nur um Deep Fakes, sondern auch um Täuschung und gezielte Ansprache mittels Microtargeting. Themen, die spätestens seit dem Brexit bekannt und geläufig sein sollten, wie hier bereits 2019 anschaulich vorgeführt. Die Rolle der „sozialen Netzwerke“ die darauf ausgerichtet sind, möglichst lange die Nutzer im Loop zu halten, und die auch zu einem Suchtverhalten führen können, kommt dazu.
Die Verordnung mit ihren Anforderungen an Transparenz und dem Verbot des Microtargetings auf Basis besonderer Kategorien personenbezogener Daten wird zu den wichtigen Wahlen dieses Jahres allerdings noch nicht zur Anwendung kommen. Die Verordnung wird zwar voraussichtlich im Frühsommer 2024 in Kraft treten. Anwendbar wird sie aber erst 18 Monate später und damit nicht vor Mitte 2025.
6.3 Daten machen reich
In diesem Interview mit einem Mathematiker und Informatiker geht es um die Umsetzung von Trackingmöglichkeiten wie Real Time Bidding (RTB) und die möglichen Konsequenzen für Werbeprofile bei der Akzeptanz von bestimmten Cookies oder beim Besuch von Webseiten nach dem Einloggen bei einem Anbieter. Insgesamt werden auch „Programmatic Advertising“ und die Regulatorik dazu thematisiert.
6.4 Tapeten und Urheberrecht
Sie kaufen sich eine Fototapete und stellen ein Bild ihrer Wohnung ins Netz – dann könnte Sie ein urheberechtliches Problem ereilen, wenn man diesem Bericht folgt. Es gibt Fotografen, die dann ihre Rechte einklagen und Schadenersatz fordern – und diesen wohl auch noch erhalten. Zumindest in Köln.
6.5 Digital-Thesen-Check der Parteien zur Europawahl 2024 durch D64
D64 hat die Parteien CDU/CSU, Grüne, SPD, FDP, Linke und Piratenpartei um Position zu acht Digital-Thesen gebeten und diese zusammengefasst veröffentlicht.
Insgesamt wurden dazu acht Digital-Thesen zur Bewertung vorgelegt, da die Parteien diese Anzahl von Wahlprüfsteinen vorab festgelegt hatten. Als digitale Zivilgesellschaft fokussierte sich D64 auf Themen wie Open Data/Source/Access, Sicherheit (inklusive des Rechts auf Verschlüsselung und der Meldung von Sicherheitslücken), Desinformation, Nicht-Erreichbarkeit außerhalb der Arbeitszeit sowie Plattformdesign (bezüglich „Addictive Design“). Alle befragten Parteien bezogen zu sämtlichen Thesen Stellung. Das Ergebnis gibt es auch als Grafik.
(Dass die AfD nicht dabei war, stört nicht, denn die lehnen ja die EU ab, genauso wie andere Parteien des rechten Spektrums in Europa die AfD abzulehnen scheinen.)
7 Sonstiges/Blick über den Tellerrand
7.1 Daten sichern – LinkedIn
Hier mal was ganz anderes: Wer viel LinekdIn nutzt, hat da evtl. ein ganz passables Netzwerk geschaffen, auf das sich immer wieder zurückgreifen lässt. Doch was, wenn dieses einmal nicht greifbar ist, weil z.B. LinkedIn den Account gesperrt hat? Hier lesen Sie, wie Sie Ihre LinkedIn-Kontakte exportieren und dann separat speichern können. Auch eine Möglichkeit der Sicherstellung der Verfügbarkeit.
7.2 Digitale Ethik in der Schule
Auf dem vom Staatsinstitut für Schulqualität und Bildungsforschung (ISB) herausgegebenen Bildungsserver mebis zur Unterstützung der „Digitalen Schule der Zukunft” finden sich Hinweise zur Vermittlung digitaler Ethik. Dies umfasst Aspekte wie zur Notwendigkeit von digitaler Ethik, einer Begriffsklärung, Digitale Ethik und Schule sowie Digitale Ethik und Künstliche Intelligenz im Bildungsbereich.
Übrigens finden sich dort auch gute Materialien zum Datenschutz…
8. Franks Zugabe
8.1 Wahlprüfsteine zur Europawahl
Nicht nur D64 hat sich Parteiprogramme angeschaut, auch die EAID hat bei Parteien nachgefragt.
Franks Nachtrag: Gerade habe ich den Digital-O-Mat zur Europawahl 2024 entdeckt. Dort wird dargestellt, wie wer in der Vergangenheit entschieden hat. Spannend das! Und wenn Sie sich fragen, wie hätten Sie entschieden, dann können Sie das hier für ausgewählte vergangene Abstimmungen mal abgleichen.
8.2 Bewertungen zum Geburtstag
Ach ja, die DSGVO ist ja dieser Tage acht Jahre alt geworden, der kleine Racker.
Hier, dort und auch da wird dazu geschrieben. Aber das sind nur subjektiv zusammengestellte Aussagen, da gibt es sicherlich noch viel mehr …
8.3 Und noch ein Jubiläum: Im Mai 1974 gab es die erste Definition des Transmission Control Protocol
Und damit eine der ersten Technologien, die heutzutage immer noch das Internet ausmachen. Hier geht es zum Beitrag.
8.4 Vorstellung des Grundrechte-Reports 2024
Wenn Sie am 22.05.2024, zum 75. Jahrestag des Grundgesetzes (noch ein Jubiläum) auch nicht live bei der Vorstellung dabei waren, können Sie entweder hier den Report als Printausgabe bestellen (eine Webseite ohne https? Oha…) oder hier die Aufzeichnung der Vorstellung anschauen.
8.5 Leveraging DPI for Safe and Inclusive Societies – Interim Report April 2024
Wenn es Sie interessiert, wie sich die UN sichere und inklusive öffentliche digitale Infrakstrukturen vorstellt, dann sollten Sie vielleicht diesen Report der DPI-Safeguards Working Group lesen.
8.6 Politiker:innen auf TikTok?
Wir hatten ja schon über eine Gastbeitrag des LfDI Baden-Württemberg zum Thema berichtet, hier passend dazu ein Statement eines NGO zum Trend von Politikern vieler Parteien zu TikTok zu gehen.
8.7 Philosophy Bites: Ro Khanna on Digital Dignity
Wenn es Sie interessiert, habe ich hier ein Interview mit einem kalifornischem Abgeordneten zur digitalen Würde (Dauer ca. 19 Minuten, MP3, bereits aus dem Jahr 2022) für Sie.
8.8 Hackback nach dem Ex-Chef des Bundesnachrichtendienstes
Wenn wir angegriffen werden, beim Bundestag oder bei der Wirtschaft oder wo auch immer in Deutschland, dann wäre es doch mal sinnvoll, wenn wir eine E-Mail zurückschicken und den Server, der uns angreift, einmal ausschalten.
Hier die Quelle.
8.9 Passend dazu: Der Militärischen Abschirmdienst empfiehlt Warnungen wegzuklicken
Auch dafür gibt es eine Quelle… (scrollen Sie zur Mitte der Seite).
8.10 Fragwürdige Sicherheit durch VPN?
Na wenigstens ist das keine alte Sicherheitslücke, oder? Oder?!?
8.11 Ausfallsichere Cloud?
Auch bei Google kann mal was schiefgehen.
8.12 Apropos KI …
Haben Sie diesen Beitrag schon vermisst? Keine Angst, auch diese Woche gibt es ein paar Meldungen:
- OpenAI hat sich mit Black Widow angelegt? Mutig!
- Derweil erpresst der Chef von Tesla seine Aktionäre: „Gebt Ihr mir nicht mehr Aktien, gebe ich Tesla keine KI und keine Roboter mehr, und dann ist Tesla buchstäblich ‚wertlos‘.“
- Sie finden Microsoft CoPilot gut? Dann mögen Sie bestimmt auch die Erweiterungen …
- Google bezahlt Reddit viel Geld, damit die KI-Suche Nutzer:innen empfiehlt Kleber in Pizza zu packen. Oder Suchende verstört. Na, wenigstens schafft KI so Arbeitsplätze. Nach dem Google-Chef ist aber alles OK.
Witzig, das waren die großen vier Anbieter…
8.13 Car Thing gets bricked
Danke, Spotify.
8.14 Kein Bock auf Schlangenöl?
Dann gibt es für Windows-Systeme scheinbar jetzt eine Lösung, damit Sie nicht so sehr genervt werden.
(Ob das clever ist so was zu nutzen, dafür übernehme ich keine Garantie).
8.15 Waschen bis zum Abwinken
Scheinbar hat das betroffene Unternehmen kein Interesse am Schließen dieser Lücke.
9. Die guten Nachrichten zum Schluss
9.1 Es könnte noch Wunder geben …
Die Berichte hier im Datenzirkus liefern immer wieder Anlass, auf ein (oder mehrere) Wunder zu hoffen, sei es hinsichtlich der Erkenntnis der Gesetzgebenden, dass nur Regularien Sinn machen, die auch durchgesetzt werden können oder dass „soziale Netzwerke“ wirklich den beteiligten Menschen dienen und nicht nur einem profilbildenden und manipulierendem Gewinnstreben.
Die Änderungen der katholischen Kirche zur Anerkennung von Wundern lässt uns aber nicht den Glauben verlieren, dass o.g. Änderungen nicht doch noch eintreten könnten – auch wenn diese Wunder dann nicht mehr durch die katholische Kirche anerkannt werden würden.
9.2 Smartphonefreie Kindheit
Ein Teil der Probleme, die wir mit der Nutzung des Internets durch Kinder / Jugendliche haben, begründet sich oft durch die unbegleitete Nutzung dieser Technologie über das Smartphone. Arglose Erziehungsberechtigte und scheinheilige Wirtschaftsvertreter sorgen dann dafür, dass Schutzmaßnahmen allein in der Eigenverantwortung der Nutzenden liegt und die Öffentlichkeit – also wir alle – akzeptieren es, dass Aufsichtsbehörden unzureichend ausgestattet sind, um Kontrollen und Maßnahmen zu ergreifen. Um dem entgegenzuwirken, versucht die Elternbewegung smarterstartab14 Smartphone an Kinder erst ab einer gewissen Reife auszugeben. Hier können über eine Suchfunktion Gleichgesinnte in der eigenen Umgebung gefunden werden. In England scheint dies zu funktionieren.