Hier ist der 5. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 27/2024) – Die DVD-Edition“.
Hatten wir nicht erst letzte Woche ein Monster? Aber egal, auch diese Woche ist es wieder viel geworden (auch einige neue Veranstaltungen). Also: Viel Spaß beim Lesen!
- Aufsichtsbehörden
- BfDI: „digital, frei und gleich“ – Abschied des BfDI
- EU-Kommission: Ausschreibung des Amtes des EDPS
- BfDI: Arbeitstreffen der Internationalen Arbeitsgruppe für Datenschutz in der Technik
- LfDI Baden-Württemberg: Interview bei „Auslegungssache“
- Garante: Bußgeld bei Verstoß gegen „need to know“-Prinzip
- CNIL: 2,3 Mio. Euro Bußgeld gegen Plattform Vinted UAB
- CNIL: Umfrage zum DSB
- CNIL: Aussagen zum Einsatz von KI
- CNIL: Studie zu veränderten Geschäftsmodellen bei Online-Werbung
- Wettbewerbsbehörde Frankreich: KI und Wettbewerbsrecht
- EU-Kommission: Meta und der DMA zu „Pay or Consent“
- EU-Kommission fordert von Amazon Informationen gemäß dem Digital Services Act an
- EDPS: Glossar zum Datenschutz
- Rechtsprechung
- Supreme Court USA: „Chevron-Doktrin” und Einfluss auf Auslegungen durch Gerichte
- BFH: Anspruchsgrundlage in Einsichtnahme in Steuerakten
- BGH: Patente durch KI?
- EuGH-Vorschau: Auskunftsansprüche an eine Publikumspersonengesellschaft
- EuGH-Vorschau: EU-Kommission gegen EDPS wegen MS 365
- EuGH-Vorschau: Microsoft gegen EDPS wegen MS 365
- Gesetzgebung
- Gesetzliche Regelungen zum „Hacking“ im Rechtsvergleich
- Antrag im Bundestag: IT-Sicherheitsforschung entkriminalisieren
- Bundesregierung: Haushalt 2025 – und der Datenschutz
- Hessen: Antrag auf Anpassung datenschutzrechtlicher Vorgaben
- NIS2 Durchführungsverordnung
- FAQ des BSI zu § 393 SGB V und allgemein zu C5
- EU: Konsultation zu Interoperabilitäts-Sandkästen
- AI Act – ErwGr und Artikel
- EU: Stand der digitalen Transformation
- Künstliche Intelligenz und Ethik
- „Souveräne Antworten“ zu generativer Künstlicher Intelligenz in Deutschland
- Ethik und KI
- OECD: AI, Data Governance and Privacy
- EU-Kommission: Code of Practice für generative KI
- KI und Erwartungen – ein kritischer Kommentar
- EY und Transformation von AI
- UNESCO: Global Judges‘ Initiative – Survey on the use of AI systems by judicial operators
- Podcast zu Ethik mit Paul Nemitz
- Training mit Kinderbildern
- Missbrauch von Generativer KI
- ELA: AI and Algorithms in Risk Assessment – Addressing Bias, Discrimination and other Legal and Ethical Issues
- bitkom: Leitfaden KI in Learning & Development
- bitkom: Cloud-Nutzung und KI
- Widerstand gegen KI?
- Korrekturen bei LLM
- Die Büchse der Pandora – Zugriff auf Trainingsdaten bei LLM
- AI-Compliance-Matrix der IAPP
- Scraping & Privacy in den USA
- Chatham House: AI and the challenge of global governance
- Veröffentlichungen
- Deutsche Cybersicherheitsagenda
- Angriff auf Videotool zur Fernwartung
- Stiftung Datenschutz: KI und Datenschutz
- Stiftung Datenschutz: Datenschutzzertifikate nach Art. 42 DS-GVO
- Besprechung EuGH zum Recht auf Kopie (C-312/23)
- Google Chrome for Education
- Microsoft: Leitfaden zur DSFA zu MS 365
- Kinderbilder: Erstellen und Veröffentlichen von Bildern nach der DS-GVO
- TÜV-geprüft – Hacker erbeuten Daten von TÜV-Akademie
- Data Act
- “Introduction Statistics And Data Analysis in R”
- Falsches Vertrauen und Kontrolle: BundID
- IAB Whitepaper zu KI in digitaler Werbung
- TDDDG – Erklärung
- Veranstaltungen
- MfK Nürnberg: Daten-Dienstag – „Strategien gegen Hatespeech im digitalen Raum“
- NKR im Werkstattgespräch zur Aufgabenteilung in Deutschland -neu-
- EDPS: “Consent or Pay – can the single market and fundamental rights work together?” -neu-
- TUM Think Tank: Der digitale Staat – Einblicke in Estland -neu-
- Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
- Privacy Ring: „Transparenz im Spannungsfeld des Datenschutzes“
- EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung -neu-
- Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BfDI: „digital, frei und gleich“ – Abschied des BfDI
Er war die siebte Person, die seit 1978 mit dieser Aufgabe betraut war und wird mit Hans Peter Bull und Peter Scharr einer der effektivsten in Erinnerung bleiben. Nicht nur, weil er keine zweite Amtszeit bekam, sondern weil er sich nicht scheute auch Kritik an einzelnen Entscheidungen der Politik zu üben und dabei auch konstruktive Vorschläge einbrachte. Nun hat er sich mit einem Brief verabschiedet, in dem er einen Rückblick und Ausblick auch zu den Anforderungen der KI gibt, auch Position zu der Forderung nach pragmatischem Datenschutz bezieht und den Beitrag und die Leistungen seiner Behörde darstellt, um eine einheitliche Umsetzung datenschutzrechtlicher Vorgaben und zum freien Datenverkehr in Europa zusichern. Anstatt Projekte zum Wohlwollen der Auftraggeber nur gefällig zu beklatschen und durchzuwinken, um nicht negativ aufzufallen, verstand er seine Aufgabe als Datenschutzbeauftragter darin bei frühzeitiger Einbeziehung die Umsetzung rechtskonformer Digitalisierung zu unterstützen. Er schildert aber auch sein Vorgehen gegen Bundeseinrichtungen, wenn er deren Aktivitäten für nicht rechtskonform einschätzt, wie beim Betreiben einer Facebook-Fanpage. Alle seine Aktivitäten versuchte er als Beispiel für offene Transparenz auch öffentlich bereitzustellen, seien es Briefe, Stellungnahmen oder Kontrollberichte. Alles nachzulesen auf der Webseite des BfDI.
1.2 EU-Kommission: Ausschreibung des Amtes des EDPS
Die Position des Europäischen Datenschutzbeauftragten wird derzeit ausgeschrieben. Bewerbungsschluss ist der 18. Juli 2024. Details dazu finden sich hier (Zip-Archiv mit der Stellenausschreibung in allen europäischen Amtssprachen).
Franks Nachtrag: Das lief bisher irgendwie unter dem Radar. Vielleicht haben sie deswegen die Frist verlängert.
1.3 BfDI: Arbeitstreffen der Internationalen Arbeitsgruppe für Datenschutz in der Technik
Das Treffen der Internationalen Arbeitsgruppe für Datenschutz in der Technik (IWGDPT) fand in diesem Halbjahr in Oslo statt. Thema waren dabei insbesondere die sogenannten Large Language Models, wie der BfDI berichtet. Zusammen mit der norwegischen Datenschutzaufsichtsbehörde Datatilsynet stellt der BfDI in einem gemeinsamen Statement zur 73. Sitzung der Arbeitsgruppe, der sogenannten „Berlin Group“, die neuen Projekte und Arbeitspapiere vor. Die Berlin Group hatte während des Treffens im Juni Arbeitspapiere zum Teilen von Daten und sogenannten Large Language Models beschlossen. Nun folgt die schriftliche Abstimmung der Arbeitspapiere, um alle Mitglieder einzubinden. Die beschlossenen Arbeitspapiere werden dann auf der BfDI-Webseite in einer deutschen und einer englischen Version zur Verfügung gestellt.
1.4 LfDI Baden-Württemberg: Interview bei „Auslegungssache“
Der LfDI Baden-Württemberg stand in einem Podcast Rede und Antwort (Dauer ca. 1:10 h). Es geht dabei u.a. natürlich um die Zuständigkeiten bei der KI-Verordnung, die Positionierung der Datenschutzaufsichten zu KI aber auch kurz um MS 365 (Teams). Anlässlich einer Entscheidung aus Belgien geht es auch um die Anforderungen an betriebliche Datenschutzbeauftragte.
1.5 Garante: Bußgeld bei Verstoß gegen „need to know“-Prinzip
Innerhalb eines Krankenhauses war nicht sichergestellt, dass das „need to know“-Prinzip eingehalten wurde. Auf Patientendaten konnte auch durch Personen zugegriffen werden, die nicht in die Behandlung einbezogen waren. Aus diesen Gründen verhängte die Datenschutzbehörde eine Geldbuße in Höhe von 75 000 Euro und wies den für die Verarbeitung Verantwortlichen an die Möglichkeit des Zugriffs auf Dossiers durch Mitarbeiter, die sich nicht direkt um die betroffene Person kümmern, zu beschränken.
1.6 CNIL: 2,3 Mio. Euro Bußgeld gegen Plattform Vinted UAB
Zusammen mit der litauischen Datenschutzbehörde verhängte die französische Aufsicht CNIL eine Geldbuße in Höhe von 2.385.276 Euro gegen Vinted UAB wegen mehrerer Verstöße gegen Rechte der Nutzer des Online-Marktplatzes.
Das Unternehmen Vinted UAB bietet eine gemeinschaftliche Online-Marktplattform an, die es registrierten Nutzern ermöglicht gebrauchte Kleidung und Accessoires zu verkaufen, zu kaufen und zu tauschen. Die Plattform ist über eine mobile Anwendung und von einem Webbrowser aus zugänglich und hat weltweit etwa 50 Millionen monatlich aktive Nutzer. Ab 2020 gingen bei der CNIL zahlreiche Beschwerden gegen das Unternehmen Vinted UAB ein, die sich überwiegend auf Schwierigkeiten bezogen, die Personen bei der Ausübung ihres Rechts auf Datenlöschung hatten.
In Anwendung der in der DS-GVO eingeführten Kooperationsverfahren war die litauische Datenschutzbehörde für die Durchführung der Ermittlungen in dieser Angelegenheit zuständig, da Vinted UAB seinen Hauptsitz in Litauen hat. Die französischen Beschwerden wurden daher an die litauische Behörde weitergeleitet. Die CNIL arbeitete während des gesamten Verfahrens eng mit ihrer Gegenstelle sowie mit den anderen betroffenen Behörden (in Polen, den Niederlanden und Deutschland) zusammen.
Nach Abschluss der Untersuchungen stellte die litauische Datenschutzbehörde fest, dass das Unternehmen Vinted UAB mehrere Verstöße gegen die DS-GVO begangen hatte. So seien Löschungsanträge nicht fair und transparent behandelt worden. Auch setzte das Unternehmen illegal „Stealth Banning“ ein, eine Methode, bei der die Aktivitäten eines als bösartig eingestuften Nutzers (der gegen die Regeln der Plattform verstößt) für andere Nutzer unsichtbar gemacht werden, ohne dass dieser etwas davon merkt, um ihn dazu zu bringen die Plattform zu verlassen. Obwohl eine solche Praxis die Plattform schützen soll, wurden die Rechte der Nutzer durch die Bedingungen, unter denen sie umgesetzt wurde, übermäßig beeinträchtigt, insbesondere weil sie nicht über diese Maßnahme informiert wurden und diese zu Diskriminierungen führen konnte (unwirksame Ausübung des Rechts den Kundensupport zu kontaktieren, Unmöglichkeit seine Rechte auszuüben usw.). Außerdem konnten die Ziele der heimlichen Verbannung durch die vollständige Sperrung erreicht werden, die 30 Tage nach der heimlichen Verbannung automatisch erfolgte und über die die Personen informiert wurden. Auch konnte das Unternehmen nicht nachweisen, dass es auf Anfragen zum Auskunftsrecht ordnungsgemäß geantwortet hätte.
Mit dieser Sanktionsentscheidung geht die CNIL davon aus, dass die Verpflichtung von Online-Plattformen, dafür zu sorgen, dass die Ausübung der Rechte der betroffenen Personen gewährleistet ist und ihre Daten auf faire und transparente Weise verarbeitet werden, bekräftigt wird.
1.7 CNIL: Umfrage zum DSB
Die französische Datenschutzaufsicht CNIL veröffentlichte eine Umfrage zum Datenschutzbeauftragen (DSB). Diese Einrichtung wurde in Frankreich erst durch die DS-GVO geschaffen. Den Fragebogen beantworteten 3.625 DSB. Insgesamt seien bei der CNIL 34.440 DSB gemeldet. In ihrer Analyse hat sich die CNIL auf DSB in kleinen und mittleren Unternehmen sowie auf DSB aus anderen Fachbereichen konzentriert.
1.8 CNIL: Aussagen zum Einsatz von KI
Im April 2024 hatten wir bereits darauf hingewiesen, damals gab es sie auf Französisch: Hinweise zum Einsatz von KI aus Sicht der französischen Datenschutzaufsicht. Diese sind nun auch auf Englisch verfügbar und zudem um weitere Hinweise (welche sich noch im Konsultationsverfahren befinden) ergänzt, z.B. zum berechtigten Interesse bei der Entwicklung, zum berechtigten Interesse bei Open-Source-Modellen, zum berechtigten Interesse bei Web-Scraping, zu Informationspflichten gegenüber betroffenen Personen, zu Betroffenenrechten, zum Daten annotieren und zu Schutzmaßnahmen bei der Entwicklung.
1.9 CNIL: Studie zu veränderten Geschäftsmodellen bei Online-Werbung
Mit der Ankündigung, dass „Drittanbieter-Cookies“ im Chrome-Browser im nächsten Jahr der Vergangenheit angehören werden, befinden sich die Geschäftsmodelle der digitalen Werbung in einem tiefgreifenden Umbruch. Vor diesem Hintergrund hat die CNIL eine wirtschaftliche Studie über die möglichen Folgen dieser Entwicklung in Auftrag gegeben und stellt die wichtigsten Ergebnisse vor.
1.10 Wettbewerbsbehörde Frankreich: KI und Wettbewerbsrecht
Die französische Wettbewerbsaufsicht bewertet die Wettbewerbssituation beim Einsatz von KI und geht davon aus, dass die Vorteile der generativen KI nur dann zum Tragen kommen werden, wenn alle Haushalte und Unternehmen Zugang zu einer Vielzahl unterschiedlicher Modelle haben, die auf ihre Bedürfnisse zugeschnitten sind. Der Wettbewerb in diesem Sektor soll daher die Innovation fördern und die Präsenz mehrerer Anbieter ermöglichen.
Sie berichtet nun über die Ergebnisse ihrer Untersuchung unter Einbezug von Stakeholdern und ihre Empfehlungen dazu, zu denen sie auch Folien veröffentlicht hat.
1.11 EU-Kommission: Meta und der DMA zu „Pay or Consent“
Bislang wurde das Thema „Pay or Consent“ mehr aus Datenschutzsicht thematisiert: Ist es datenschutzrechtlich zulässig, dass es nur eine Alternative zwischen bezahlpflichtigen Angeboten und Angeboten unter Zustimmung zu verhaltensbasierter Werbung gibt? Allein dies wurde schon sehr kontrovers diskutiert und wir hatten dazu berichtet. Nun betrachtet die EU-Kommission diese Vorgänge auch unter den Vorgaben des Digital Markets Act (DMA). Wie sie auf ihrer Webseite dazu mitteilt, hat sie Meta ihre bisherigen Feststellungen mitgeteilt.
Online-Plattformen sammeln häufig personenbezogene Daten über ihre eigenen Dienste und Dienste Dritter hinweg, um Online-Werbedienste bereitzustellen. Aufgrund ihrer bedeutenden Position auf den digitalen Märkten seien Gatekeeper in der Lage ihrer großen Nutzerbasis Nutzungsbedingungen aufzuerlegen, die es ihnen ermöglichen große Mengen personenbezogener Daten zu sammeln. Dies habe ihnen potenzielle Vorteile gegenüber Wettbewerbern verschafft, die keinen Zugang zu einer so großen Datenmenge haben, und damit hohe Hindernisse für die Bereitstellung von Online-Werbediensten und Diensten sozialer Netzwerke geschaffen.
Gemäß Art. 5 Abs. 2 DMA müssten Gatekeeper die Zustimmung der Nutzer zur Kombination ihrer personenbezogenen Daten zwischen benannten zentralen Plattformdiensten und anderen Diensten einholen, und wenn ein Nutzer diese Zustimmung ablehnt, sollten sie Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben. Gatekeeper können den Dienst oder bestimmte Funktionen nicht von der Zustimmung der Nutzer abhängig machen.
Gemäß den Ausführungen in ihrer Pressemitteilung sieht die Kommission in der Ausgestaltung durch Meta einen Verstoß gegen die bestehenden Datenschutzgesetze.
Meta erlaube den Nutzern nicht ihr Recht auf freie Zustimmung zur Kombination ihrer personenbezogenen Daten auszuüben. Um die Einhaltung des Datenschutzgesetzes zu gewährleisten, sollten Nutzer, die nicht zustimmen, dennoch Zugang zu einem gleichwertigen Dienst erhalten, der weniger personenbezogene Daten verwendet, in diesem Fall für die Personalisierung von Werbung.
Die Übermittlung der vorläufigen Feststellungen greife einem Ergebnis der Ermittlungen nicht vor. Meta habe nun die Möglichkeit seine Verteidigungsrechte wahrzunehmen, indem es die Unterlagen in der Untersuchungsakte der Kommission prüft und schriftlich auf die vorläufigen Feststellungen der Kommission antwortet. Die Kommission wird ihre Untersuchung innerhalb von 12 Monaten nach der Eröffnung des Verfahrens am 25. März 2024 abschließen. Sollte sich die vorläufige Auffassung der Kommission letztlich bestätigen, würde die Kommission eine Entscheidung erlassen, in der sie feststellt, dass das Modell von Meta nicht mit Art. 5 Abs. 2 DMA vereinbar ist.
1.12 EU-Kommission fordert von Amazon Informationen gemäß dem Digital Services Act an
Die EU-Kommission informiert, dass sie ein Auskunftsersuchen an Amazon im Rahmen des Digital Services Act (DSA) richtet. Sie fordert Amazon auf mehr Informationen über die Maßnahmen zu liefern, die die Plattform ergriffen hat, um die DSA-Verpflichtungen in Bezug auf die Transparenz von Empfehlungssystemen und deren Parametern sowie die Bestimmungen über die Führung eines Anzeigenspeichers und den Risikobewertungsbericht zu erfüllen. Insbesondere werde Amazon aufgefordert, ausführliche Informationen über die Eingabefaktoren, Merkmale, Signale, Informationen und Metadaten, die für solche Systeme verwendet werden, und die Optionen, die den Nutzern angeboten werden, um sich gegen die Erstellung von Profilen für die Empfehlungssysteme zu entscheiden, vorzulegen. Darüber hinaus muss das Unternehmen weitere Informationen über die Gestaltung, Entwicklung, Bereitstellung, Prüfung und Pflege der Online-Schnittstelle der Anzeigenbibliothek des Amazon Stores sowie unterstützende Unterlagen zu seinem Risikobewertungsbericht bis zum 26. Juli 2024 beibringen. Auf der Grundlage der Bewertung der Antworten wird die Kommission die nächsten Schritte festlegen. Nach seiner Einstufung als sehr große Online-Plattform und der Entscheidung des Gerichtshofs den Antrag von Amazon auf Aussetzung der Verpflichtung sein Anzeigenarchiv öffentlich zugänglich zu machen abzulehnen, sei Amazon verpflichtet alle DSA-Verpflichtungen zu erfüllen. Dazu gehören die sorgfältige Ermittlung und Bewertung aller systemischen Risiken, die für seinen Dienst relevant sind, die Bereitstellung einer Option in seinen Empfehlungssystemen, die nicht auf der Erstellung von Nutzerprofilen beruht, und die öffentliche Verfügbarkeit eines Anzeigenregisters.
1.13 EDPS: Glossar zum Datenschutz
Auf den Seiten des Europäischen Datenschutzbeauftragten findet sich ein Glossar zum Datenschutz – auch in unterschiedlichen Sprachen.
2 Rechtsprechung
2.1 Supreme Court USA: „Chevron-Doktrin” und Einfluss auf Auslegungen durch Gerichte
Die sog. “Chevron-Doktrin” (bzw. Chevron Deference) verpflichtete seit vier Jahrzehnten die Bundesgerichte, sich auf die Auslegungen der Verwaltungsbehörden bei zahlreichen unbestimmten Rechtsbegriffen zu verlassen. Durch zwei Urteile Loper Bright Enterprises gegen Raimondo und Relentless hat der Supreme-Court diese nun außer Kraft gesetzt.
Die Chevron-Doktrin war lange Jahre eine Grundlage des US-Verwaltungsrechts und ermöglichte den aufeinanderfolgenden US-Präsidenten eine flexible (oft politisch beeinflusste) Auslegung von Gesetzen durch behördliche Entscheidungen und die Aufstellung von Regeln. Die Entscheidung des US Supreme Court wird nach Einschätzung von Experten erhebliche Auswirkungen sowohl auf die regulierten Branchen als auch auf die Behörden selbst haben.
Oder in meinen Worten wie ich dies verstehe: Die Gerichte bekommen in den USA mehr Freiheiten in der Beurteilung unbestimmter Rechtsbegriffe und sind weniger an behördliche Auslegungen gebunden.
2.2 BFH: Anspruchsgrundlage in Einsichtnahme in Steuerakten
Jetzt hatten wir doch gerade erst ein Urteil des BFH zum Umfang des Auskunftsanspruch in Steuerakten berichtet, schon folgt das nächste. Diesmal war die Frage, ob ein Recht auf Einsichtnahme in eine Steuerakte außerhalb eines finanzgerichtlichen Verfahrens besteht, wenn der Steuerpflichtige für den betroffenen Besteuerungszeitraum bereits bestandskräftig veranlagt wurde und die Einsichtnahme der Verfolgung steuerverfahrensfremder Zwecke dienen soll (hier: Prüfung eines Schadenersatzanspruchs gegen den ehemaligen Steuerberater). Der BFH lehnt dies ab, weil die Abgabenordnung – anders als zum Beispiel § 29 VwVfG – keine Regelung enthalte, nach der ein Anspruch auf Akteneinsicht bestünde. Ein solches Einsichtsrecht sei weder aus § 91 Abs. 1 AO noch aus § 364 AO abzuleiten. Allerdings sieht der BFH einen Anspruchsgrundlage aus Art. 15 Abs. 1 DS-GVO, der nicht nach Art. 23 Abs. 1 lit. i DS-GVO i.V.m. § 32c Abs. 1 Nr. 1, § 32b Abs. 1 Nr. 2 Satz 1 AO ausgeschlossen werde, wenn hierdurch auch Daten berührt werden, die zwar dem (ehemaligen) Steuerberater der betroffenen Person zuzuordnen sind, allerdings aus einer Erklärung stammen, die der Steuerberater als deren Vertreter im Sinne von § 80 Abs. 1 Satz 1 AO übermittelt hat. Auch sieht der BFH hier keine Verletzung des Steuergeheimnisses (RN 28).
2.3 BGH: Patente durch KI?
Können Ergebnisse einer KI als Patent angemeldet werden? Nein, meint der BGH, Erfinder im Sinne von § 37 Abs. 1 PatG kann nur eine natürliche Person sein. Ein maschinelles, aus Hard- oder Software bestehendes System kann auch dann nicht als Erfinder benannt werden, wenn es über Funktionen künstlicher Intelligenz verfügt. Eine Benennung einer natürlichen Person als Erfinder sei auch dann möglich und erforderlich, wenn zum Auffinden der beanspruchten technischen Lehre ein System mit künstlicher Intelligenz eingesetzt worden ist. Allerdings genüge die Benennung einer natürlichen Person als Erfinder im dafür vorgesehenen amtlichen Formular nicht den Anforderungen aus § 37 Abs. 1 PatG, wenn zugleich beantragt wird, die Beschreibung um den Hinweis zu ergänzen, die Erfindung sei durch eine künstliche Intelligenz generiert oder geschaffen worden.
Die Ergänzung einer hinreichend deutlichen Erfinderbenennung um die Angabe, der Erfinder habe eine näher bezeichnete künstliche Intelligenz zur Generierung der Erfindung veranlasst, sei rechtlich unerheblich und rechtfertige nicht die Zurückweisung der Anmeldung nach § 42 Abs. 3 PatG.
Wir hatten ja auch schon berichtet, dass nach Aussage des Europäischen Patentamtes als Erfinder eine Künstliche Intelligenz nicht die gesetzlichen Anforderungen erfülle.
2.4 EuGH-Vorschau: Auskunftsansprüche an eine Publikumspersonengesellschaft
Können Mitgesellschafter Informationen zu anderen Mitgesellschaftern erhalten, um z.B. eine Kontaktaufnahme zu einem Kennenlernen, einem Meinungsaustausch oder Verhandlungen über den Abkauf von Gesellschaftsanteilen zu ermöglichen? Oder kommt ein Interesse an Auskunft erst als relevant in Betracht, wenn eine Weitergabe unter der ausdrücklichen Absicht gefordert wird Kontakt zu anderen Gesellschaftern aufzunehmen, um von diesen wegen konkret benannter Anlässe, die eine Willensbildung im Rahmen von Beschlüssen der Gesellschafter erforderlich machen, Koordinierung einzufordern?
Macht es einen Unterschied, ob bei einer Publikumspersonengesellschaft schon die Beteiligung an der Gesellschaft als nicht persönlich und nur gering haftender und nicht geschäftsführender Gesellschafter genügt, um ein „berechtigtes Interesse“ an eine Auskunft über alle mittelbar über einen Treuhänder beteiligten Gesellschafter, deren Erreichbarkeit und deren Beteiligung an der Publikumspersonengesellschaft zu bejahen und dem Gesellschaftsvertrag eine entsprechende vertragliche Verpflichtung zu entnehmen?
Damit befasst sich der EuGH im Fall C-17/22 (HTB Neunte Immobilien Portfolio), dessen Urteil für den 12.09.2024 erwartet wird.
2.5 EuGH-Vorschau: EU-Kommission gegen EDPS wegen MS 365
Im Frühjahr machte das Vorgehen des EDPS gegen die EU-Kommission wegen des Einsatzes von MS 365 Schlagzeilen (wir berichteten), die Kommission solle bis 09.12.2024 den Einsatz in Einklang mit den datenschutzrechtlichen Vorgaben der EU bringen. Das will die EU-Kommission nun durch das EuG im Verfahren C-262/24 geklärt haben.
2.6 EuGH-Vorschau: Microsoft gegen EDPS wegen MS 365
Auch Microsoft ist mit der Entscheidung des EDPS gegen die EU-Kommission zum Einsatz von MS 365 nicht zufrieden und klagt vor dem EuG dagegen. Im Verfahren C-265/24 beantragt Microsoft den Beschluss des EDPS vom 8. März 2024 für nichtig zu erklären, den er infolge der Untersuchung der Nutzung von Microsoft 365 durch die Europäische Kommission (Fall 2021-0518) erlassen hat, hilfsweise Punkt 592.1 des angefochtenen Beschlusses für nichtig zu erklären. Und natürlich dem EDPS die Kosten aufzuerlegen.
3 Gesetzgebung
3.1 Gesetzliche Regelungen zum „Hacking“ im Rechtsvergleich
Ein Problem der sogenannte „White Hacker“, die die Resilienz von IT-Systemen nicht mit bösen Absichten betrachten, ohne einen konkreten Auftrag des Verantwortlichen des geprüften Systems nachweisen zu können, ist das Strafbarkeitsrisiko. Gelegentlich werden die White Hacker nach dem Hinweis auf erkannte Sicherheitslücken mit Strafanzeigen konfrontiert. Dieser Thematik widmet sich nun auch der Wissenschaftliche Dienst des Deutschen Bundestags mit einem diesbezüglichen Rechtsvergleich mit anderen europäischen Staaten.
3.2 Antrag im Bundestag: IT-Sicherheitsforschung entkriminalisieren
Passend dazu gibt es einen Antrag einer Fraktion der Opposition, um die Rechtslage in Deutschland bezüglich IT-Sicherheitsforscher:innen so zu ändern, dass eine Entkriminalisierung erfolge.
3.3 Bundesregierung: Haushalt 2025 – und der Datenschutz
Da freuen wir uns, dass sich die Koalitionsparteien auf einen Haushalt 2025 verständig haben und dabei auch über eine Wachstumsinitiative für eine neue wirtschaftliche Dynamik für Deutschland verständigten. Dass es dabei um Steuerreglungen und Anreize für Mehrarbeit geht, ist dabei fast vorhersehbar, wie hier geschildert wird. Dass aber unter dem Stichwort Bürokratieabbau wieder über die Benennungsgröße für Datenschutzbeauftragte nachgedacht wird, ist reine Augenwischerei; denn weiterhin müssen Verantwortliche datenschutzrechtliche Vorgaben beachten, unabhängig von ihrer Größe (bezogen auf die Mitarbeiterzahl), sofern sich aus der Verarbeitung ein Risiko ergibt. Und da zwingt gerade auch der Gesetzgeber durch gesetzliche Vorgaben jeden Arbeitgeber ja dazu. Schaut man sich dann das dazu veröffentliche Papier direkt unter Ziffer 13 an, zeigt sich was die Koalition darunter versteht:
Neben der Schaffung von zentralen Zuständigkeiten innerhalb der deutschen Datenschutzaufsichten nach Branchen / Sektoren sollen einheitliche, verbindliche Beschlüsse der Datenschutzkonferenz geschaffen werden*. Es soll auch die Benennungsgrenze bei Datenschutzbeauftragten in § 38 Abs. 1 BDSG von 20 auf 50 Beschäftigte angehoben werden**.
Dass die Verarbeitungsmöglichkeiten zur Verbesserung der Datengrundlage für politische Entscheidungen in Bund, Land und Kommune erweitert werden soll, deutet darauf hin, dass der Koalition jemand Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 lit. g DS-GVO erklärt hat. Und schließlich will die Koalition durch Präzisierung und Konkretisierung im nationalen Recht im Rahmen der DS-GVO zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung beitragen.
Auf europäischer Ebene will sich die Bundesregierung dafür einsetzen, dass die Anwendung und Durchsetzung der DS-GVO auf europäischer Ebene mit dem Ziel der Vereinfachung harmonisiert und die Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten (insbesondere im Europäischen Datenschutzausschuss) verbessert wird und die Europäische Kommission ambitioniert prüft und entsprechende Vorschläge dazu vorlegt, für welche Drittländer, Gebiete, internationale Organisationen oder spezifische Sektoren in Drittländern ein gemäß DS-GVO angemessenes Schutzniveau beschlossen werden kann, um den internationalen Datentransfer zu vereinfachen.
* Rudis erste Anmerkung: Fun Fact unter uns: Bekommt die DSK damit eine eigene Rechtspersönlichkeit, dann braucht sie als öffentliche Stelle nach Art. 37 Abs. 1 lit. a DS-GVO auch eine Person als Datenschutzbeauftragte.
** Rudis zweite Anmerkung: Die Verpflichtung zur Einhaltung der Datenschutzgesetze bleibt weiterhin davon unberührt, das Sanktionsrisiko des eigentlich zu entlastenden Mittelstandes wird dadurch sicher nicht geringer.
3.4 Hessen: Antrag auf Anpassung datenschutzrechtlicher Vorgaben
Im hessischen Landtag stellte die Fraktion der FDP einen Antrag, um den Datenschutz zu entbürokratisieren und zu vereinheitlichen. Dazu bringen sie Vorschläge auf nationaler Ebene wie auch auf europäische Ebene. Jetzt ist die FDP in Hessen in der Opposition, aber ihre Forderungen haben etwas mehr Aufmerksamkeit verdient, weil sie sich bei ihren Forderungen teilweise auch auf den BMJ stützen. Mal sehen, was dabei herauskommt.
Franks Nachtrag: Im Gegensatz zu der Erhöhung der Benennungsgrenze, die unsere Bundesregierung nach der vorherigen Meldung vorhat und die den davon „profitierenden“ Unternehmen ansonsten keinerlei Pflicht des Datenschutzrechts weniger auferlegt, würde dieser Vorschlag vielleicht wirklich für ehrenamtliche Organisationen und kleine und mittlere Unternehmen Vereinfachungen bringen. Ob das auch den Betroffenen (den im wahrsten Sinne des Wortes vom Datenschutz-Schutz Betroffenen, also den eigentlichen Hauptadressaten) irgendetwas bringt, steht auf einem ganz anderen Blatt. Und ich wage mal die Antwort: Nein, das bringt den Betroffenen nichts, sie haben davon eher Nach- als Vorteile. Aber wie gesagt, das ist ein anderes Blatt.
3.5 NIS2 Durchführungsverordnung
Aus Brüssel kommt der Entwurf einer Durchführungsverordnung zur NIS2. Sie zielt darauf ab, technische und methodologische Anforderungen für Cybersicherheits-Risikomanagement-maßnahmen festzulegen. In ihr werden zudem die Fälle spezifiziert, in denen ein Vorfall als signifikant betrachtet wird, hier für Anbieter von DNS-Diensten, TLD-Name-Registrierungen, Cloud-Computing-Diensten, Datenzentren, Content-Delivery-Netzwerken, Managed Services und Sicherheitsdiensten, Online-Marktplätzen, Suchmaschinen, sozialen Netzwerken und Vertrauensdiensten. Eine Darstellung dazu findet sich hier.
3.6 FAQ des BSI zu § 393 SGB V und allgemein zu C5
Das BSI veröffentlicht FAQ zum C5. Am Anfang stehen FAQ zum C5 in Verbindung mit dem DigiG, aufgrund der Aktualität und vermehrter Nachfragen zu diesem Thema. Anschließend werden allgemeine FAQ rund um den C5, C5-Testate, C5-Berichte und Zusammenhang zu anderen Standards behandelt.
3.7 EU: Konsultation zu Interoperabilitäts-Sandkästen
Die EU-Kommission veröffentlicht in einem Konsultationsverfahren ihre Vorschläge für Interoperabilitäts-Sandkästen, die durch die Akte über ein interoperables Europa (Verordnung (EU) 2024/903) eingeführt wurden. Diese sind kontrollierte Umgebungen, in denen innovative Lösungen zur Unterstützung des grenzüberschreitenden Datenverkehrs zwischen öffentlichen Diensten entwickelt, geschult, getestet und validiert werden können. Die Durchführungsverordnung legt die Regeln und Bedingungen für die Einrichtung und den Betrieb von Sandkästen für Interoperabilitätsregelungen fest, wie in Art. 12 Abs. 10 der Akte über ein interoperables Europa festgelegt wurde. Die Annahme durch die Kommission ist für das 2. Quartal 2025 vorgesehen.
3.8 AI Act – ErwGr und Artikel
Sehr hilfreich ist es bei einer Rechtsgrundlage aus Brüssel, wenn einzelnen Artikeln die entsprechenden Erwägungsgründe zugeordnet werden können. Auch wenn Erwägungsgründe keine unmittelbare Rechtswirkung haben, dienen sie doch zur Auslegung und Interpretation der einzelnen Artikel. Noch hilfreicher ist es, wenn dabei auch gleichzeitig eine Nachjustierung der Durchnummerierung erfolgt, die im letzten redaktionellen Schritt im Vergleich zu der Vorfassung geschieht. Für den AI Act findet sich freundlicherweise eine solche Zuordnung und Darstellung auf dieser Webseite bzw. ebendort auch als PDF zum Download.
3.9 EU: Stand der digitalen Transformation
Seit 2023 veröffentlicht die Europäische Kommission jedes Jahr den Stand der digitalen Dekade. In dem Bericht werden die Fortschritte der EU bei ihrem digitalen Wandel untersucht, die in vier Schlüsselbereichen gemessen werden: digitale Infrastruktur, digitale Kompetenzen, Digitalisierung öffentlicher Dienste und Digitalisierung von Unternehmen. Der diesjährige Bericht untersucht auch die wichtigsten Treiber und Herausforderungen, einschließlich des aktuellen geopolitischen Paradigmas, des komplexen wirtschaftlichen Kontexts, der von neuen Technologien wie generativer KI beeinflusst wird, und ihrer Auswirkungen auf die Wettbewerbsfähigkeit. Es wird die Notwendigkeit unterstrichen Menschen und Gesellschaften in einem zunehmend hybriden und komplexen Kontext zu halten. Schließlich wird in der Veröffentlichung auch die Position der EU als globaler politischer Innovator hervorgehoben und erörtert, wie die industrielle Basis der EU gestärkt werden kann.
In dem Bericht 2024 werden erstmals die von den Mitgliedstaaten 2023 angenommenen nationalen strategischen Fahrpläne für die digitale Dekade bewertet. Er bietet auch einen Überblick über ihre Digitalisierungsbemühungen, gibt Empfehlungen für Verbesserungen und überwacht die Anwendung der Europäischen Erklärung zu digitalen Rechten und Grundsätzen.
Der Bericht fordert die Mitgliedstaaten auf größere Anstrengungen zu unternehmen. Als Hauptprobleme werden der Mangel an ausreichenden Fortschritten bei der Verwirklichung der Ziele und Vorgaben sowie erhebliche Unterschiede zwischen den Mitgliedstaaten genannt. Diese Fragen werden in Clustern analysiert, die um ihren Beitrag zu Folgendem definiert sind: eine wettbewerbsfähige, souveräne und widerstandsfähige EU, Protecting und Empowerment von Menschen, Nutzung des digitalen Wandels für eine intelligente Ökologisierung und Harmonisierung der Digitalpolitik und der Ausgaben.
4 Künstliche Intelligenz und Ethik
4.1 „Souveräne Antworten“ zu generativer Künstlicher Intelligenz in Deutschland
Generative Künstliche Intelligenz (KI) habe das Potenzial zur Lösung großer gesellschaftlicher Herausforderungen, wie etwa zur Bekämpfung des Klimawandels oder des Fachkräftemangels, beizutragen. Trotz Regulatorik wie dem AI Act fallen Deutschland und die Europäische Union in der Entwicklung und auch der Anwendung entsprechender Modelle hinter andere Standorte zurück und drohen in einseitige Abhängigkeiten zu geraten. Kurzfristig sollen die Potenziale der generativen KI zur Produktivitätssteigerung nutzbar gemacht werden. Zugleich müssen eigene Kompetenzen und Infrastrukturen ausgebaut werden, um langfristige Abhängigkeiten zu verhindern. Hier beschreibt ein Impulspapier, basierend auf einem für die Sitzung des Zukunftsrats des Bundeskanzlers im Januar 2024 erstellten Dossiers, die Elemente einer zweigleisigen KI-Strategie zur Sicherung der Wettbewerbsfähigkeit und der technologischen Souveränität in Deutschland.
4.2 Ethik und KI
Es ist schön wahrzunehmen, wer sich alles bereits mit dem Themenspektrum Ethik und KI sowie Ethik im AI Act befasst.
4.3 OECD: AI, Data Governance and Privacy
Über die Veröffentlichung des Berichts der OECD hatten wir bereits informiert. Hier befasst sich nun ein Beitrag damit und hebt hervor, dass sich im Zeitalter des raschen digitalen Wandels der Bericht der OECD auf sechs kritische politische Überlegungen fokussiert, um sicherzustellen, dass KI-Systeme effektiv sind und die Privatsphäre der Nutzer respektieren:
- Gewährleistung von Transparenz in KI-Systemen
- Wahrung des Datenschutzes
- Verbesserung der Datensicherheitsmaßnahmen
- Förderung des Datenzugangs und der gemeinsamen Nutzung von Daten
- Förderung der internationalen Zusammenarbeit
- Wirksame Regulierung der Nutzung von KI-Technologie
4.4 EU-Kommission: Code of Practice für generative KI
Wie hier berichtet wird, plant die Europäische Kommission den Anbietern von ChatGPT-ähnlichen Modellen der künstlichen Intelligenz zu gestatten Verhaltenskodizes zu verfassen, die kurz- bis mittelfristig ihre Einhaltung bestimmen sollen, wobei die Zivilgesellschaft eine beratende Rolle spielen soll. Demnach hätten sich Organisationen der Zivilgesellschaft in den letzten Monaten gefragt, ob sie in die Verhaltenskodizes für allgemeine KI-Modelle einbezogen werden. Auch solle die Kommission nach Beratungsfirmen suchen, um diese Kodizes zu entwerfen. Die Verhaltenskodizes seien ein entscheidender Teil des AI Acts, zumindest kurz- bis mittelfristig. GPAI-Anbieter wie OpenAI oder Microsoft können die Kodizes nutzen, um die Einhaltung ihrer Verpflichtungen nachzuweisen, bis harmonisierte Standards geschaffen sind.
Die Kommission könne den Kodizes durch einen Durchführungsrechtsakt allgemeine Gültigkeit innerhalb der EU verleihen. Im KI-Gesetz selbst war die Beteiligung von Anbietern, der Zivilgesellschaft und der Wissenschaft an der Ausarbeitung von Kodizes für allgemeine KI-Modelle zweideutig, da es heißt, dass sie sich beteiligen „können“. Es stelle sich nun heraus, dass die Anbieter der Modelle diejenigen sein werden, die die Kodizes in erster Linie entwerfen, wobei andere Interessenvertreter durch Konsultationen teilnehmen werden, wie in dem Beitrag ausgeführt wird. Allerdings wären Vertreter der Zivilgesellschaft gerne stärker einbezogen.
Zum ganzen Vorgang von Verhaltensregeln im Rahmen des AI Actes findet sich hier eine anschauliche Darstellung.
4.5 KI und Erwartungen – ein kritischer Kommentar
Bei aller Euphorie über die technischen Möglichkeiten, die eine Generative KI bietet, werden hier in einem Kommentar auch kritische Töne gewählt, gerade wenn es um Lösungsangebote geht, die man bei vernünftiger Organisation nicht bräuchte.
4.6 EY und Transformation von AI
Ein Beratungsunternehmen bietet gegen eine Werbeeinwilligung in einem kurzen Papier eine Zusammenfassung der Aspekte der Transformation von Künstlicher Intelligenz, um Potenziale zu nutzen und Risiken zu beherrschen.
4.7 UNESCO: Global Judges‘ Initiative – Survey on the use of AI systems by judicial operators
Ein Bereich der UNESCO hat eine Umfrage veröffentlicht, in welchen Ländern bereits KI innerhalb der Justiz genutzt wird. Das erinnert mich an einen älteren Beitrag von uns hier, der über den Einsatz von KI in der Justiz in China berichtet.
4.8 Podcast zu Ethik mit Paul Nemitz
Manche Podcasts (Dauer ca. 37 Min.) gewinnen durch die Gäste, wie hier, wenn einer der führenden Köpfe des gesetzgeberischen Brüsseler Digitalgeschehens befragt wird und sich zu der Entwicklung digitaler Möglichkeiten, gesellschaftlichen Implikationen und gesetzgeberischen Aktivitäten äußert.
Dazu passt auch dieses Interview mit ihm (ab Seite 175).
4.9 Training mit Kinderbildern
Bislang hatte ich es nur aus Brasilien mitbekommen, dass dort Kinderbilder zum Training von KI verwendet wurden (Bericht dazu hier), nun wird dies auch aus Australien berichtet. Die Eltern wurden nicht in die Entscheidung einbezogen. Aufmerksam wurde man darauf durch Untersuchungen der KI-Lieferkette nach einem Vorfall an der Bacchus Marsh Grammar School, wo angeblich von einem Mitschüler mithilfe von KI gefälschte Nacktbilder von Schülerinnen angefertigt wurden. Nun werden in Australien gesetzgeberische Maßnahmen dazu angedacht.
Der LfD Bayern hatte bereits in seiner Kurz-Information 55 auf diese Risiken hingewiesen und auch Maßnahmen zur Verhinderung beschrieben. Wie man eine Webseite technisch gegen Web Scraping schützen kann, wird hier erläutert.
4.10 Missbrauch von Generativer KI
Forscher der Google-Abteilungen DeepMind, Jigsaw und Google.org warnen in einem Papier davor, dass generative KI inzwischen eine erhebliche Gefahr für das Vertrauen, die Sicherheit und die Zuverlässigkeit von Informationsökosystemen darstelle. Unter dem Titel „A Taxonomy of Tactics and Insights from Real-World Data” befassen sie sich mit dem Thema des Missbrauchs Generativer KI.
Generative, multimodale künstliche Intelligenz (GenAI) bietet branchenübergreifend transformatives Potenzial, ihr Missbrauch birge jedoch erhebliche Risiken. Frühere Forschungsarbeiten hätten das Potenzial fortschrittlicher KI-Systeme für böswillige Zwecke aufgezeigt. Es fehle jedoch noch immer ein konkretes Verständnis dafür, wie GenAI-Modelle in der Praxis konkret ausgenutzt oder missbraucht werden, einschließlich der Taktiken, die eingesetzt werden, um Schaden anzurichten. In dem Beitrag wird eine Taxonomie der Taktiken des GenAI-Missbrauchs vorgestellt, die sich auf die vorhandene akademische Literatur und eine qualitative Analyse von etwa 200 beobachteten Missbrauchsfällen stützt, die zwischen Januar 2023 und März 2024 gemeldet wurden. Anhand dieser Analyse werden wichtige und neuartige Muster des Missbrauchs in diesem Zeitraum beleuchtet, einschließlich potenzieller Motivationen, Strategien und der Art und Weise, wie Angreifer die Systemfunktionen über verschiedene Modalitäten (z. B. Bild, Text, Audio, Video) nutzen und missbrauchen.
4.11 ELA: AI and Algorithms in Risk Assessment – Addressing Bias, Discrimination and other Legal and Ethical Issues
Die European Labour Authority (ELA) hatte bereits im September 2023 ein Handbuch veröffentlicht, dass sich mit Voreingenommenheit von KI bei der Risikobewertung befasst und dabei auf rechtliche, ethische und praktische Aspekte eingeht. Das Handbuch soll das Verständnis für Voreingenommenheit und damit verbundene rechtliche, ethische und praktische Fragen verbessern, die bei der Entwicklung und Nutzung von Algorithmen und künstlicher Intelligenz (KI) zur Risikobewertung auftreten können. Es will Einblicke in einschlägige Vorschriften und Methoden zur Abschwächung von Voreingenommenheit und zur Vermeidung von Diskriminierung bieten. Dazu gibt es auch eine Zusammenfassung.
4.12 bitkom: Leitfaden KI in Learning & Development
Künstliche Intelligenz hat das Potenzial die Art und Weise wie wir lernen, entwickeln und Wissen teilen, grundlegend zu verändern, stellt auch der bitkom fest. Unsere Lernsysteme entwickeln sich kontinuierlich weiter und bieten mithilfe von KI neue Möglichkeiten, wie die Personalisierung des Lernprozesses. Adaptive Lernsysteme können Inhalte, aber auch Lern- und Zeitpläne auf individuelle Bedürfnisse anpassen. Was heute schon möglich ist und was kognitive Lernsysteme in Zukunft bieten können, schildert der bitkom hier.
KI könne außerdem auch die Mitarbeitenden im Learning & Development in ihrer Arbeit bei der Planung, Durchführung und Auswertung von Lern- und Entwicklungsinitiativen unterstützen. Welche Möglichkeiten bietet der Einsatz KI im Corporate Learning? Wie verändert KI die Arbeit im Learning & Development? Welche Voraussetzungen müssen geschaffen werden, um KI gewinnbringend im Corporate Learning einzusetzen? Damit befasst sich der Leitfaden KI in Learning & Development.
Dabei wird zumindest an zwei Stellen betont, dass sichergestellt werden muss, dass der Datenschutz und die Sicherheit der Lernenden gewährleistet sind und die Nutzung von KI im Einklang mit lokalen und internationalen Gesetzen und Normen zu erfolgen habe. Das beinhalte z. B. die Einhaltung der DS-GVO sowie anderer relevanter Rechtsvorschriften. Aha. Auch da war der bitkom schon mal konkreter zu Datenschutzthemen beraten.
Mir schwant schon, dass an denkbare Risiken, wie Lernerfolgskontrolle, Verwertungsrechte der eingesetzten Dienstleister an den Daten der nutzenden Beschäftigten, unzureichende Information darüber, geschweige denn Dokumentation in einem Verzeichnis der Verarbeitungstätigkeiten nur durch Zufall jemand denken wird.
4.13 bitkom: Cloud-Nutzung und KI
Bei einer aktuellen Umfrage des bitkom zur Cloudnutzung wurde auch auf die Aspekte der KI eingegangen. Die Zahl der Unternehmen, die KI aus der Cloud beziehen wollen, soll sich in den nächsten fünf Jahren von aktuell 17 Prozent auf dann 34 Prozent verdoppeln. Bei KI-Diensten aus der Cloud interessieren sich die Unternehmen, die sie bereits nutzen oder das tun wollen, vor allem für Vorhersagen und Prognosen (87 Prozent) sowie Datenanalysen (81 Prozent). Zwei Drittel (67 Prozent) wollen KI-basierte Sicherheitslösungen und Betrugserkennung nutzen, dahinter folgen die Automatisierung von Geschäftsprozessen (52 Prozent), die Analyse und Generierung von Texten (50 Prozent), Sprache oder Audio (46 Prozent) sowie Bilder oder Videos (43 Prozent). KI-gestützte Softwareentwicklung ist für 42 Prozent interessant, Chatbots für 37 Prozent und Personalauswahl und Recruiting für 31 Prozent. Ein Viertel (24 Prozent) hat Interesse an Gesichtserkennung und zwölf Prozent an Emotionenerkennung.
Trotz des großen Interesses sind vielen Unternehmen die KI-Anwendungen aus der Cloud derzeit noch zu teuer (75 Prozent), sie werden als Sicherheitsrisiko betrachtet (64 Prozent) oder gelten als nicht vereinbar mit dem Datenschutz (62 Prozent). 59 Prozent können sie aufgrund fehlenden Know-hows im Unternehmen derzeit nicht nutzen. Zugleich sagen aber 56 Prozent, dass die Cloud Zugang zu neuesten KI-Technologien ermöglicht, 36 Prozent, dass KI-Anwendungen in der Cloud einfach zu nutzen sind und 28 Prozent attestieren ihnen ein transparentes Preismodell.
4.14 Widerstand gegen KI?
In diesem Podcast (Dauer ca. 47 Min.) werden Aspekte hinsichtlich des Einsatzes von KI angesprochen, die sich auch mal um Themen jenseits des Hypes bewegen. Kontrovers und anregend.
4.15 Korrekturen bei LLM
Large Language Models können bisher schlecht logische Fehler erkennen. Aber können sie identifizierte Fehler auch korrigieren? Damit befasst sich diese Forschungsarbeit der Universität of Cambridge und Google Research, die unter dem sprechenden Namen “LLMs cannot find reasoning errors, but can correct them given the error location” veröffentlicht wurde.
4.16 Die Büchse der Pandora – Zugriff auf Trainingsdaten bei LLM
Ein zuletzt im Juni 2024 überarbeitetes Papier mit dem Titel „Pandora’s White-Box: Precise Training Data Detection and Extraction in Large Language Models“ von einem Team des Labors für sichere und faire KI (SAFR AI) in Harvard zeigt, dass selbst mit minimalen Daten und teilweisem Zugriff auf das Modell leistungsstarke Membership Inference Attacks (MIAs) auf Large Language Models (LLMs) aufdecken können, ob bestimmte Datenpunkte zum Trainieren großer Sprachmodelle verwendet wurden. Dies kann zu erheblichen Risiken für die Privatsphäre der dabei betroffenen Personen führen. Eine Zusammenfassung findet sich auch hier und der Code dazu dort.
4.17 AI-Compliance-Matrix der IAPP
Die Organisation IAPP (International Association Privacy Professionals) hat einen Foliensatz zu den Compliance-Anforderungen aus dem AI Act, mit Stand April 2024, veröffentlicht. Er soll bei der Einhaltung des AI Acts helfen, indem er einen Überblick über die wichtigsten Anforderungen an Organisationen gibt. Mittels Tabellen werden die Artikel des EU-AI Acts veranschaulicht, die für jeden Betreiber in drei großen Klassen gelten: KI-Systeme mit hohem Risiko, KI-Systeme und KI-Modelle für allgemeine Zwecke. Einige Anforderungen gelten nur für bestimmte Akteure, d. h. Anbieter, Bereitsteller, Produkthersteller, Bevollmächtigte, Importeure und Vertreiber, während andere für mehrere oder alle Akteure gelten. Die Häkchen in den nachstehenden Tabellen geben die Betreiber an, für die der Artikel in erster Linie relevant ist, wobei anerkannt wird, dass er auch für andere, nicht ausdrücklich erwähnte Betreiber gelten oder relevant sein kann.
4.18 Scraping & Privacy in den USA
Dieser Beitrag befasst sich mit den Anforderungen und widerstreitenden Interessen der Nutzung öffentlich zugänglicher Daten und dem Schutz des Einzelnen in den USA. Unter dem deutlichen Titel „The Great Scrape: The Clash Between Scraping and Privacy“ behandeln die Autoren die Problematik.
Zitat von Seite 45 (übersetzt mit deepl):
„Letztlich kann das Datenschutzrecht seine Ziele nicht erreichen, wenn es nicht in der Lage ist, öffentlich verfügbare personenbezogene Daten zu schützen. In der modernen Welt mit dem Internet wird eine noch nie dagewesene Menge an personenbezogenen Daten online gestellt. Viele personenbezogene Daten werden von Einzelpersonen selbst veröffentlicht, aber auch viele personenbezogene Daten über Personen werden von anderen Personen oder von Organisationen wie Schulen, Arbeitgebern, Journalisten und anderen veröffentlicht. Wenn das Datenschutzrecht heute noch relevant sein soll, dann muss es öffentlich verfügbare Informationen schützen. Zu viele personenbezogene Daten sind öffentlich zugänglich, und sie aus dem Datenschutzrecht auszuschließen, würde zu viele Lücken im Schutz der Gesetze hinterlassen.“
Es finden sich in dem Papier ab Seite 56 aber auch entsprechende Empfehlungen, wie damit (in den USA) umgegangen werden kann.
Diese Überlegungen wären auch für Europa passend. Leseempfehlung!
4.19 Chatham House: AI and the challenge of global governance
In einer Aufsatzsammlung werden innovative Ansätze zur Regulierung und Steuerung von KI untersucht. Es werden Vorschläge und Mechanismen zur Gewährleistung einer verantwortungsvollen KI vorgestellt und bewertet, von EU-ähnlichen Regelungen bis hin zu Open-Source-Governance, von Verträgen bis hin zu CERN-ähnlichen Forschungseinrichtungen und Unternehmen in öffentlicher Hand. Sie wurde bei Chatham House veröffentlicht. Die Sammlung der Essays umfasst neun Beiträge, stützt sich auf Perspektiven aus der ganzen Welt und unterstreicht die Notwendigkeit Offenheit zu schützen, Inklusivität und Fairness in der KI zu gewährleisten und klare ethische Rahmenbedingungen und Kooperationslinien zwischen Staaten und Technologieunternehmen zu schaffen.
5 Veröffentlichungen
5.1 Deutsche Cybersicherheitsagenda
In diesem Gastbeitrag setzt sich ein Experte kritisch mit der deutschen Cybersicherheitsagenda auseinander. Von insgesamt 47 in der Agenda geplanten Vorhaben wurden bislang nur vier tatsächlich realisiert. Und das ist nicht das Einzige was irritiert.
5.2 Angriff auf Videotool zur Fernwartung
Die Meldungen über Angriffe über die Supplychain häufen sich. Diesmal bei dem Anbieter eines Tools, mittels dem man sich auf andere Rechner aufschalten kann, TeamViewer. Es sollen diesem Bericht nach nur interne Systeme betroffen sein und eine russische Hackergruppe wird verdächtig dafür verantwortlich zu sein.
5.3 Stiftung Datenschutz: KI und Datenschutz
Die Online-Veranstaltung der Stiftung Datenschutz zu KI und Datenschutz ist nun auch online verfügbar. Auch werden die dabei gezeigten Folien hier veröffentlicht. Die Erkenntnisse des Referenten lassen sich wie folgt u.a. zusammenfassen: Ohne technisches Grundverständnis der KI sei ein rechtssicherer Einsatz praktisch nicht möglich. Der Fokus der datenschutzrechtlichen Betrachtung müsse deutlich nach vorn verlagert werden. Neue Risiken sind zu adressieren. Alte Denkmuster im Hinblick auf Datenschutzprinzipien, die Erfüllung von Betroffenenrechten oder die Reichweite der legitimierenden Wirkung von Rechtsgrundlagen sollten aufgebrochen werden. KI-Anwendungen sollten nie isoliert betrachtet werden. Es handele sich in aller Regel um eine Komponente eines Geschäftsprozesses. KI sei kein Selbstzweck. Die Sinnfrage habe erhebliche Auswirkungen auf die Legitimationsfähigkeit. Eine DSFA sei ggf. regelmäßig der richtige Ort, um diese Aspekte zu adressieren.
Entscheidend für die datenschutzrechtliche Rollenkonstellation sind die tatsächlichen Umstände, die zu bewerten sind.
5.4 Stiftung Datenschutz: Datenschutzzertifikate nach Art. 42 DS-GVO
Auch die Aufzeichnung der Veranstaltung der Stiftung Datenschutz zu Datenschutzzertifikaten nach Art. 42 DS-GVO ist nun online verfügbar (Dauer ca. 1:05 h), ebenso wie die dabei gezeigten Folien.
5.5 Besprechung EuGH zum Recht auf Kopie (C-312/23)
Das Urteil des EuGH zum Umfang eines Auskunftsanspruchs auf eine Kopie (C-312/23 Addiko Bank) ist bislang noch nicht auf Deutsch veröffentlicht wird aber hier besprochen.
5.6 Google Chrome for Education
Bislang sahen Datenschutzaufsichten wie in Dänemark den Einsatz von Google Chromebook an Schulen kritisch (wir berichteten). In den Niederlanden wurde nun ein “Verification report Processor Version Google Chrome for Education”, Stand 7. März 2024, veröffentlicht.
5.7 Microsoft: Leitfaden zur DSFA zu MS 365
Microsoft veröffentlich hier einen Leitfaden für Datenverantwortliche, die MS 365 verwenden und prüfen wollen, ob dazu eine Datenschutzfolgen-Abschätzung (DSFA oder auf Englisch „DPIA“) erforderlich sei. Auch werden Hinweise zur Durchführung gegeben. Dies umfasst auch eine Matrix DPIA-Dienstelemente auf Englisch, die beim Starten der Dokumenterstellung in DPIA hilfreich sein können. Sie ist nach Dienststellen geordnet und bietet produktspezifische Informationen und Links zu Dokumentationen, die helfen sollen, um leichter Antworten auf die erforderlichen Elemente der DPIA zu entwerfen.
Auch wird auf Englisch ein anpassbares DPIA-Dokument als modifizierbare illustrative Vorlage angeboten. Natürlich fehlt auch hier der Hinweis nicht, dass die nicht als Rechtsberatung durch Microsoft oder eines seiner verbundenen Unternehmen zu verstehen sei.
5.8 Kinderbilder: Erstellen und Veröffentlichen von Bildern nach der DS-GVO
In der Schriftenreihe des Pforzheimer Instituts für Verbraucherforschung und nachhaltigen Konsum (vunk) ist die Abschlussarbeit mit dem Thema „Erstellen und Veröffentlichen von Fotos nach der DSGVO – eine kritische Auseinandersetzung mit Anforderungen am Beispiel von Kinderfotos“ veröffentlicht. In der Schriftenreihe des vunk erscheinen seit 2022 Beiträge von Mitgliedern und Mitwirkenden des vunk zu Projekten und Forschungsergebnissen, aber auch herausragende studentische Abschlussarbeiten zu Fragen der Zukunftsgesellschaft. Die Veröffentlichung erfolgt in Zusammenarbeit mit den Beiträgen der Hochschule Pforzheim.
5.9 TÜV-geprüft – Hacker erbeuten Daten von TÜV-Akademie
Der TÜV Rheinland wurde nach dieser Meldung Opfer einer Cyberattacke. Nach Angaben eines Unternehmenssprechers wurde aber wohl nicht die TÜV Rheinland AG selbst attackiert, sondern der zugehörige Weiterbildungsanbieter TÜV Rheinland Akademie GmbH. Bei diesem sei im Juni 2024 ein unautorisierter Zugriff auf einzelne Bereiche seines Schulungsnetzwerks festgestellt worden. Dieses sei ein abgekapseltes Netzwerk. Die betroffenen Bereiche des Schulungsnetzwerkes böten Teilnehmenden von Weiterbildungsveranstaltungen vorwiegend über PCs in Schulungsräumen oder Leihrechner Zugang zu bestimmten Trainingsinhalten.
5.10 Data Act
Der Data Act gilt nicht nur als das Kernstück der EU-Datenstrategie, sondern wahrscheinlich auch als das komplexeste Mosaiksteinchen. Die Verordnung legt Rechte für den Zugang zu B2B- und B2C-Daten fest, schreibt Regeln für „faire“ Datenverträge vor und regelt den Zugang zu B2B-Daten unter außergewöhnlichen Umständen. Die neuen Regeln richten sich insbesondere an IoT-Geräte, intelligente Verträge und Cloud-Dienste. In dieser Arbeit werden eine Einführung in die neuen Regeln, deren Genealogie, Struktur und praktische Konsequenzen des neuen Gesetzes dargelegt – allerdings mit Blick auf den bestehenden Rechtsrahmen (z. B. Datenschutzrecht). Es ist online frei zugänglich.
5.11 “Introduction Statistics And Data Analysis in R”
Im Informationszeitalter sind Daten die treibende Kraft bei der Entscheidungsfindung in verschiedenen Bereichen, von der Wirtschaft bis zum Gesundheitswesen und darüber hinaus. Das Verstehen von Daten und die Gewinnung von aussagekräftigen Erkenntnissen aus ihnen ist von größter Bedeutung. Der hier veröffentlichte Artikel mit dem Titel „Introduction Statistics and data Analysis in R“ taucht in die Welt der Statistik und Datenanalyse mit der Open-Source-Programmiersprache und -umgebung R ein.
5.12 Falsches Vertrauen und Kontrolle: BundID
Vertrauen ist gut, Kontrolle ist besser – diese Aussage wird Lenin zugeschrieben. Sie scheint aber auch bei manchen Angaben des Bundes zu seinen digitalen Angeboten zu passen. So fand eine Sicherheitsforscherin heraus, dass bei der BundID das eingesetzte SAML-Verfahren (Security Assertion Markup Language) fehlerhaft implementiert wurde.
Franks Nachtrag: Solange sie nicht wieder verklagt wird…
5.13 IAB Whitepaper zu KI in digitaler Werbung
Die IAB Legal Affairs Council Generative AI Working Group hat ein Whitepaper “Legal Issues and Business Considerations When Using Generative AI in Digital Advertising” veröffentlicht. Dieses neue, umfassende Whitepaper befasse sich mit den rechtlichen und geschäftlichen Aspekten bei der Entwicklung, Schulung und Implementierung von generativer KI in der digitalen Werbung.
Die IAB-Studie biete einen umfassenden und leicht verständlichen Überblick über die für KI relevanten Vorschriften und die Rechtsprechung, auch in den Bereichen geistiges Eigentum und Datenschutz, sowie eine Zusammenfassung vorgeschlagener Gesetze, die im Falle ihrer Verabschiedung erhebliche Auswirkungen auf die digitale Werbebranche haben könnten.
5.14 TDDDG – Erklärung
Jetzt haben wir schon seit fast einem Jahr auf die Umbenennung vom TTDSG zum TDDDG und auch dann auf die Durchführung im Bundesgesetzblatt hingewiesen (u.a. hier und dort). Doch weil die Darstellung der Historie und der Bedeutung von der ePrivacy-Richtlinie bis hin zu § 25 TDDDG nie schaden kann, hier der Hinweis auf eine ausführliche Veröffentlichung dazu.
5.15 Veranstaltungen
5.15.1 MfK Nürnberg: Daten-Dienstag – „Strategien gegen Hatespeech im digitalen Raum“
09.07.2024, 19:00 – 20:30 Uhr, nur vor Ort in Nürnberg: Das Museum für Kommunikation Nürnberg lädt erneut zu einem Abend der Reihe „Daten-Dienstag, Privatheit im Netz“ ein. Eine versierte Rechtsanwältin informiert zum Thema „Rechtliche und praktische Strategien gegen Hatespeech im digitalen Raum“ und gibt Einblicke in die sich ständig weiterentwickelnde Rechtslage und praktische Herausforderungen. Weitere Informationen und Anmeldung hier. Die Reihe ist Bestandteil des Angebots der Woche nuernberg.digital.
5.15.2 NKR im Werkstattgespräch zur Aufgabenteilung in Deutschland -neu-
11.07.2024, 19:00 – 20:30 Uhr: Das Werkstattgespräch des Normenkontrollrates (NKR) zu „Empfehlungen für eine effektivere und effizientere Aufgabenteilung in Deutschland“ findet online statt. Angesichts zunehmenden Personalmangels und begrenzter finanzieller Spielräume sowie gleichzeitig wachsender Anforderungen steht die deutsche Verwaltung vor großen Herausforderungen. Komplexe Strukturen zu entflechten, Verwaltungsverfahren zu optimieren und sie konsequent zu digitalisieren sind daher wichtige Hebel, um die Zukunftsfestigkeit des Staates und die Leistungsfähigkeit der Verwaltung zu steigern. Hierbei gilt es die Verteilung von Entscheidungskompetenzen, Aufgaben und Ressourcen zu hinterfragen und strukturelle Reformen zu durchdenken. Das Werkstatgespräch dient zur Schaffung eines neuen Leitbildes für die öffentliche Verwaltung. Weitere Informationen und Anmeldung hier.
5.15.3 EDPS: “Consent or Pay – can the single market and fundamental rights work together?” -neu-
11.07.2024, 16:00 – 18:00 Uhr, online: Das Thema „Einwilligung oder Bezahlung“ hat in den letzten Monaten die Schlagzeilen beherrscht, da mit Spannung die Stellungnahme des EDSA zu den von großen Online-Plattformen eingeführten „Einwilligung oder Bezahlung“-Modellen erwartet wurde. Obwohl die Stellungnahme des EDSA nun veröffentlicht ist (wir berichteten), sei es aus Sicht des EDPS aus mindestens drei Gründen wichtig diese Diskussion zu vertiefen. Erstens werde der EDSA Leitlinien für die weitere Funktionsweise des Modells veröffentlichen und damit die Regeln in diesem Sektor weiter definieren. Zweitens sei die Frage regulierungsübergreifend, da die Europäische Kommission eine Untersuchung über die Übereinstimmung solcher Modelle mit dem DMA eingeleitet habe. Drittens wird es sehr wahrscheinlich zu Gerichtsverfahren kommen, wenn die Aufsichtsbehörden auf Beschwerden über das Modell reagieren. Weitere Informationen und Anmeldung hier.
5.15.4 TUM Think Tank: Der digitale Staat – Einblicke in Estland -neu-
16.07.2024, 18:00 – 19:30 Uhr, München: In Estland macht der digitale Staat das Leben für alle einfacher. Niemand braucht einen Steuerberater, Eltern erhalten Kindergeld ohne zeitraubende Behördenverfahren und jeder kann online in weniger als einer halben Stunde ein Unternehmen gründen. Weltweit bekannt als e-Estonia, hat das Land auch das politische und wirtschaftliche Potenzial der Datenverarbeitung seiner Bürger erkannt. Oft sind es die Menschen selbst, die ihre Daten anderen anbieten wollen. Inwieweit sollte der Staat sie in dieser Hinsicht schützen oder informieren? Oder sollte er stattdessen die Freiheit der Menschen, ihre Daten zu verkaufen, fördern? Um die Bedeutung des digitalen Staates besser zu verstehen, müssen wir auch die Rolle des Staates besser begreifen. Darum geht es in der Veranstaltung des TUM Center for Digital Public Services in Zusammenarbeit mit dem TUM Think Tank in München. Weitere Informationen und Anmeldung hier.
5.15.5 Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
19.07.2024, 10:00 – 16:00 Uhr, Berlin und online: Am DatenTag der Stiftung Datenschutz wird das Thema „Soziale Medien und Datenschutz“ thematisiert. Das genaue Programm steht noch nicht fest, aber die Anmeldungen sind bereits möglich. Mehr dazu hier.
5.15.6 Privacy Ring: „Transparenz im Spannungsfeld des Datenschutzes“
19.07.2024, 14:00 – 17:30 Uhr, Wien: Bei dieser Veranstaltung des Privacy Rings geht es um Transparenzanforderungen. Weitere Informationen und Anmeldung hier.
5.15.7 EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung -neu-
03.09.2024, Uhrzeit noch offen, Karlstadt (Schweden), Brüssel, hybrid: Der EDPS kündigt zusammen mit der Universität von Karlstadt (Schweden) eine hybride Veranstaltung an, bei der es um die menschliche Überwachung bei automatisierter Entscheidungsfindung geht. Das Thema tangiert unmittelbar Art. 22 DS-GVO und ist auch für den Einsatz von KI mit personenbezogenen Daten und die Anforderungen aus dem AI Act relevant. Weitere Informationen auch zur Anmeldung finden sich hier.
5.15.8 Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz -neu-
10.09.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz kündigt wieder im Format „Datenschutz am Mittag“ ein aktuelles Thema an, diesmal geht es um Gesundheitsdatenforschung und Datenschutz: Was ändert sich durch das Gesundheitsdatennutzungsgesetz (GDNG) und den EU-Gesundheitsdatenraum (EHDS)? Dazu informiert eine renommierte Rechtsanwältin. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Cloud-Strategie – Bundeskanzleramt verwirft Deutsche Verwaltungscloud
Wie hier berichtet wird, scheint sich das Bundeskanzleramt dazu entschieden zu haben die Deutsche Verwaltungscloud mit den Bundeländern zugunsten eines Vertragsabschlusses mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud, umzusetzen. Die Open Source Business Alliance (OSB) wendete sich dazu mit einem offenen Brief an den IT-Planungsrat.
6.2 Sport und Daten – Datensammlung durch Vereine und Veranstalter
Nein, es ist jetzt egal, ob es im Viertelfinale nun Elfmeter war oder nicht. Auch wenn dies durch automatisierte Datenauswertung sicher auch festgestellt hätte werden können. Wir haben uns schon so an die Daten aus Sportarten gewöhnt. Nicht nur Tore oder Weiten, Höhen oder Zeiten werden gemessen und verglichen, nein auch wie bewegt sich ein Spieler, wie sind seine Laktatwerte und noch viel mehr. Nun beginnt aber her auch die Fragestellung, wer darf über diese Daten verfügen? Im Profitennis sollen die Spieler:innen verpflichtet werden Wearables zu tragen – und dann? Zumindest regt sich nun Widerstand. Und keine Sorge, da entstehen keine weiteren Bürgerrechtsbewegungen, da lässt sich sicher einiges mit einer Beteiligung an der Vermarktung lösen.
Oder auch nur mal bei der CNIL nachsehen, die befasst sich auch damit, dass anlässlich eines Lizenzantrags oder einer Lizenzverlängerung die Sportverbände zahlreiche personenbezogene Daten von Amateursportlern und Sportlern sammeln. Welche Daten dürfen gesammelt werden? Welche Regeln sind zu beachten? Antworten dazu liefert die CNIL hier.
6.3 UEFA weiß, ob du im Abseits stehst
Was wurde nicht schon alles über den VAR (Video Assistance Referee) bei der EM diskutiert. Dessen Einsätze sind streng geregelt. So gilt ja auch im Datenschutzrecht, dass für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage und entsprechende Transparenzvorgaben einzuhalten sind. Selbst für die UEFA und die Einsatzkräfte der Polizei gibt es dazu Vorgaben. Dass sich diese offensichtlich nicht immer daran halten, wird hier thematisiert. Über die Ticket-App der UEFA werden Standortdaten erhoben und weitergegeben – ohne, dass darüber informiert wird.
Für die Olympischen Spiel in Paris hat die CNIL übrigens FAQ veröffentlicht zum Umgang mit den Daten durch die Organisatoren und Behörden.
6.4 Wie beeinflusst das Internet die Gesellschaft?
Dass durch das Belohnungs- und Aufmerksamkeitssystem sozialer Netzwerke Bubbles gebildet werden, dass sich Meinungsminderheiten dadurch als Mehrheitsmeinung fühlen, dass diese die Gesellschaft spalten, haben mittlerweile (bis manchmal auf Personen aus dem Marketing) viele nachvollziehen können. Verblüffend und bewundernswert ist, wenn darauf bereits in einer Anhörung im Deutschen Bundestag hingewiesen wurde und dieser Beitrag auch bei online (Ausschnitt davon) verfügbar ist, aber auch als ausführliche Stellungnahme von Prof. Peter Kruse.
6.5 Gen Z und die Presse oder TikTok
Da passt es dann ganz gut, wenn hier über die Gen Z berichtet wird, dass sich diese im Wesentlichen nicht mehr über ausgewogen und mittels recherchierter Medien informiert, sondern oft ihre Informationen aus sozialen Medien bezieht und den dort aktiven Influencern die entsprechende Kompetenz zuspricht.
7 Sonstiges/Blick über den Tellerrand
7.1 Polnische Staatsanwaltschaft beschlagnahmt Daten zu NSO Pegasus
Wissensvorsprung hilft nicht nur im wirtschaftlichen, sondern auch im politischen Wettbewerb. Ob es dabei aber immer mit rechten Mitteln zugeht, untersucht die Staatsanwaltschaft in Polen. Im Zentrum steht der Einsatz der Software NSO Pegasus, wie hier berichtet wird, um nachzuvollziehen und zu prüfen, ob und von wem der Einsatz genehmigt wurde. Die Ermittlungen sind Konsequenzen des „polnischen Watergate“-Skandals um die Spionage gegen die Opposition im Wahlkampf.
7.2 Freie Fahrt für Autodaten … nach China?
Welche Folgen hat ein durch das BMDV unterzeichnete Memorandum of Understanding mit China, um den Zugriff auf Daten der Fahrzeuge chinesischer Hersteller sicherzustellen, über das hier berichtet wird? Aber scheinbar scheint sich auch das Ministerium selbst über seine Rolle im Klaren zu sein, dass es nicht die Vorgaben der DS-GVO und des EuGH zum Drittstaatentransfer abändern kann.
7.3 Lohnt es noch in Zeiten von KI selber zu schreiben?
Ein schöner Beitrag auf den Webseiten der Deutschen Welle, der sich mit der Frage befasst, ob es sich in Zeiten von KI noch lohnt selbst zu schreiben. Es lohnt sich auch diesen Beitrag selbst zu lesen!
8. Franks Zugabe
8.1 Apropos KI …
Nur eine Woche später, und schon wieder so viele Meldungen zu KI…
- Fangen wir mit einer KI-Idee von Bosch an: KI-Funktionen sollen Reichweitenangst nehmen. Was ist das Problem? Dass ich keine Akku-Leistung mehr habe, aber mit meinem E-Bike noch unterwegs bin. Was soll mir helfen, die knappe Ressource Strom in meinem Akku besser zu verwalten? Eine KI-Funktion, die im E-Bike ständig Daten erfasst (was bestimmt gar keinen Strom braucht 🙄) und diese an eine App schickt, die mir als Fahrer dann sagt, wie weit ich noch komme bzw. gleich autark dem Motor langsam den Saft abdreht? Ach, und für die Plus-Version der App bezahle ich noch eine monatliche Gebühr? Das hört sich toll an! Immerhin kann man ja üblicherweise ein E-Bike auch ohne Strom fahren. So mit Pedalen und strampeln und so…
- Und dann wunderte sich noch ein Mensch, dass eigene Fotos von Snapchat scheinbar genutzt wurden, um KI-generierte Motive für Werbung zu kreieren, die besagter Mensch dann wieder in der Snapchat-App ausgespielt bekam. So ähnlich soll das wohl eine AGB-Änderung aus dem Jahr 2023 legitimiert haben. AGB-lesen vor der Nutzung? Snapchat verklagen? Immerhin ist die Idee aus Fotos neue Inhalte zu kreieren heutzutage ja nichts Neues mehr. Und es lief nicht so wie bei diesem „KI-Kunstprojekt”.
- Aber dieses ganze KI-Gedöns schadet ja ansonsten nicht weiter, nicht wahr? Oh, doch? Das ist aber doof, besonders fürs Klima.
- Aber wenigstens helfen uns die großen Portale, in dem sie KI-generierte Inhalte kennzeichnen, nicht wahr?
- „Visions of AI in Popular Culture – Analysis of the Narratives about Artificial Intelligence in Science Fiction Films and Series“
Diese von Wikimedia in Auftrag gegebene Studie analysiert, wie (in meinen Worten) Filme und Serien dazu dienen (können), uns eigentlich Angst einjagende Technologien sympathischer zu machen. So ungefähr auf jeden Fall. Aber lesen Sie doch einfach selbst. - Wo wir gerade bei einem längeren Text waren, ich hätte da noch einen für Sie. Er endet mit den Worten „Broken AI is appealing to broken institutions.“ Interessiert? Dann lesen Sie „Soap dispensers and Skynet”.
- Und aus der gleichen Quelle (Wendy M. Grosman) geht es gleich weiter, dieses Mal mit dem Titel „Changing the faith”. Inhaltlich geht es u.a. um die Datei robots.txt und wie KI-Unternehmen sich an die Vorgabe, die diese Datei eigentlich macht, halten (oder auch nicht).
- Im verlinkten Essay beschäftigten sich die Autoren bereits im Herbst 2023 mit den Risiken, die aus KI entstehen können.
- OpenAI ist ja häufiger Thema bei uns im Blog, wenn es um KI geht. So als Platzhirsch im KI-Geschäft ist das ja auch normal. Nicht normal ist hingegen, wenn der größte Anbieter bei seiner App für eines der wichtigeren Betriebssysteme eher – sagen wir mal netterweise – schludriger gearbeitet hat. Nachzulesen im Artikel „ChatGPT-App für macOS speicherte alle Chats ungeschützt und im Klartext“. Auch sonst scheint OpenAI einen eher lockeren Umgang it Sicherheit zu pflegen (ich kann den Artikel in meinem Browser im Lesemodus trotz Login-Aufforderung lesen, Sie hoffentlich auch…).
- Hmm, was fehlt uns denn noch im bunten Strauß an KI-Meldungen? Wie wäre es mit KI-gestützten Verkaufsautomaten, an denen Menschen in den USA Munition kaufen können?
- Apropos KI und verkaufen: McDonald’s hat da auch so eine Idee…
- Oder – damit es nicht mehr so leidige Elfmeter-Diskussionen geben muss – der Bundestrainer, der KI-Einsatz bei Handspiel-Entscheidungen fordert?
- Und zum Abschluss begeben wir uns einmal kurz über den Kanal und wundern uns auch über gewählte Kandidaten einer kleinen Partei, von denen es scheinbar nur KI-generierte Broschüren gibt. Ein Schelm, der dabei Böses denkt.
8.2 Grazer Lauschangriff
Nein, hier werden keine Großkopferten der Österreichischen Politik belauscht, hier geht es um eine Angriffsmethode, die ein Forschungsteam der Technischen Universität Graz gefunden hat. Das spannende daran: Der Lauschangriff funktioniert komplett aus der Distanz. Mehr Details finden Sie im Artikel, eine andere Bezeichnung des Angriffs lautet SnailLoad. Was Menschen so alles herausfinden…
8.3 Microsofts Verkaufsstrategie
Achtung, Hörensagen! Aber trotzdem lesenswert: Der Autor zitiert einen Leserbrief, der eine Verkaufsveranstaltung von Microsoft beschreibt. Ich finde das durchaus glaubwürdig (und vom Habitus her nicht mal Microsoft-exklusiv, aber das ist eine andere Geschichte).
8.4 Penetrationstest mit nachträglicher Zahlungsaufforderung
Enden wir auf einer zumindest für Indonesien erfreulichen Note. Die Hacker, von denen wir letzte Woche berichteten, verschenken den Schlüssel und entschuldigen sich.
8.5 Horror-Exploit bringt virtuelle Spinnen in die eigenen vier Wände
Auch nee, bevor diese Meldung zu alt wird, bringe ich sie als letzte Meldung für diese Woche. Freuen Sie sich auch schon auf die Markteinführung der Vision Pro in Deutschland? Der Exploit wird übrigens auch in der aktuellen Folge des letzte Woche von mir empfohlenen Podcasts besprochen.
9. Die guten Nachrichten zum Schluss
9.1 Abhaken – nicht nur beim Datenschutz
Wer kennt es nicht, das lästige Abhaken zur Entscheidungsdokumentation bei Consentbannern? Es kann aber auch einfach nur Spaß machen Kästchen anzuklicken. Wer sich angesprochen fühlt, sollte hier nachsehen.
Wer sich herausgefordert fühlt, wie schnell über Consentbanner Entscheidungen getroffen werden können und ob die dann immer dem Gewollten entsprechen, kann sich auf den Seiten der Verbraucherzentrale testen – erkennen Sie immer Dark Pattern? Informationen zu dem Ganzen finden sich hier.
9.2 Spanien: Ermittlungen gegen Meta wegen Nutzung der Netzwerkdaten zum KI-Training
Nach dieser Meldung wurde in Spanien ein Ermittlungsverfahren gegen Meta eingeleitet, ob durch das Training der KI von Meta mit Profilen der sozialen Netzwerke Facebook und Instagram Rechte der Nutzer verletzt wurden. Zwischenzeitlich gab Meta bekannt, dass es damit aufgibt in Europa (!) die Beiträge der Nutzer zu Trainingszwecken zu nutzen.