Hier ist der 12. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 39&40/2024)“ – Die DVD-Edition.
Der Herbst ist da. Und auch wieder eine neue Doppelausgabe.
- Aufsichtsbehörden
- LfD Bayern: Tätigkeitsbericht für 2023
- LfD Bayern: Tätigkeitsbericht für 2023 – Aussagen zu KI und Datenschutz
- LfD Bayern: Tätigkeitsbericht für 2023 – Personenbezug
- LfD Bayern: Tätigkeitsbericht für 2023 – Verzeichnis der Verarbeitungstätigkeiten
- LfD Bayern: Tätigkeitsbericht für 2023 – Webbrowser und Datenschutz
- LfD Bayern: Tätigkeitsbericht für 2023 – Windows-Telemetriekomponente
- LfD Bayern: Tätigkeitsbericht für 2023 – Automatisierte Kennzeichenerfassung beim Kameraparken
- LfD Bayern: Tätigkeitsbericht für 2023 – PIA-Tool der CNIL
- LfD Bayern: Tätigkeitsbericht für 2023 – Anonymisierung / Pseudonymisierung in der medizinischen Forschung
- BayLDA: Abgrenzungshilfe Auftragsverarbeiter / Verantwortlicher
- LfD Niedersachsen: Austausch zu neuartigen Datenverarbeitungen in Kundenfahrzeugen
- Hamburg: Einsatz von Gesichtserkennungssystemen
- DSK: OH zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern
- CNIL: Schutz der Privatsphäre bei mobilen Anwendungen
- Niederlande: AI & Algorithmic Risks Report 2024
- Niederlande: Konsultation zu manipulativen, irreführenden und ausbeuterischen KI-Systemen
- Italien: Vereinbarung zwischen Verlagen und OpenAI zur Kenntnis genommen
- Spanien: Zertifizierung von DSB
- Irland: Bußgeld gegen Meta in Höhe von 91 Mio. Euro
- ICO: Minderjährige und Datenschutz
- ICO: Abschluss der Konsultation zu AI und Datenschutz
- ICO: Territorial Scope
- CMA UK: Wettbewerbsrechtliche Bedenken bei Googles Privacy Sandbox
- Belgien: Beschwerdezulässigkeit gegen Cookie-Banner
- BSI: Überarbeitung der Funktionalitätsklassen von Zufallszahlengeneratoren
- BaFin: Hinweise zu DORA
- EDSA: Agenda der Oktober-Sitzung
- EDSB: Information zu Datenschutzverletzungen
- Amtsantritt der BfDI
- LfD Niedersachsen: Stabsstelle für Künstliche Intelligenz
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Auskunftspflichten bei Sprachaufzeichnungen
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Auswertung von Kundendaten zu Werbezwecken durch Kreditwirtschaft
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Datenschutzrechtlicher Interessenkonflikt bei BEM-Beauftragten
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Nutzung von Social Media
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Leasingräder als Auftragsverarbeitung?
- LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Sanktionen
- TLfDI: Tätigkeitsbericht für 2023
- TLfDI: Tätigkeitsbericht für 2023 – Informationen zur Arbeitsunfähigkeit
- TLfDI: Tätigkeitsbericht für 2023 – Abfrage in Schule zu Läusebefall
- TLfDI: Tätigkeitsbericht für 2023 – Auskunftsrecht zwischen Internetforumsmitgliedern?
- LfDI Mecklenburg-Vorpommern: Hinweise und Empfehlungen zu Smart Toys
- Niederlande: Hinweise zum Einsatz von Gesichtserkennungssoftware
- Niederlande: Was kann eine betroffene Person nach einer Datenschutzpanne tun?
- Spanien: Schutz von Kindern und Jugendlichen in der digitalen Welt
- Irland: Untersuchung gegen RyanAir wegen Gesichtserkennung
- ICO: Geldbuße gegen Polizei-Verwaltung
- USA: Strafe für T-Mobile
- EU-Kommission: Fragen nach DSA an YouTube, Snapchat und TikTok
- BKartA: Missbrauchsaufsicht nach § 19a GWB für Microsoft
- BSI: Passkeys werden empfohlen
- BSI: Warnung vor „Prepositioning“
- Rechtsprechung
- EuGH: Handlungszwang bei Aufsichtsbehörden? (C-768/21)
- BGH: Löschanspruch gegen Vereinsregister
- BVwG Österreich: Personenbezug bei Kfz-Auskunft
- BVwG Österreich: Anforderungen an Ausübung von Betroffenenrechten
- OLG Hamm: Abtretungsfähigkeit von Ansprüchen aus Art. 82 DS-GVO
- LG Hamburg: Entscheidung im Fall LAION
- LG Regensburg: Zulässigkeit einer Funkzellenfrage entgegen BGH-Vorgaben
- Zugang zum EuGH
- BVerfG: Bewertung des BKA-Gesetzes
- EuGH: Besondere Kategorien und Werbung (C-446/21)
- EuGH: Wettbewerbsrecht und Datenschutz und Art. 9 DS-GVO (C-21/23)
- EuGH: Anforderungen an Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO?
- EuGH: Zugangsberechtigung zu Daten eines Mobiltelefons durch Polizei (C-548/21)
- Verwaltungsgerichtshof Österreich: Dienstliche Kontaktdaten auf Webseite
- LG Heidelberg: Verwertbarkeit heimlicher Tonbandaufnahme in Zivilprozess
- Gesetzgebung
- Bundestag: Sicherheitspaket – Stellungnahmen und Diskussionen
- Data Act: Dateneigentum
- EU-Kommission: Cyber Resilience Act (CRA) Expert Group
- Umsetzung von NIS2 in Europa
- EU-Kommission: Europäisches System für Cybersicherheitszertifizierung
- EU-Kommission: Vorschriften für die Notifizierung von Konformitätsbewertungsstellen
- Bundesrat: Vorratsdatenspeicherung – neuer Versuch
- Zuständigkeit der Marktüberwachungsbehörde getroffen?
- EU-Kommission: Bericht zu digitaler Fairness
- EU-Kommission: Evaluierung des freien Datenverkehrs
- BMI: Digitaler Ausweis per Smartphone
- Aktueller Stand zur NIS2-Umsetzung
- Künstliche Intelligenz und Ethik
- AI Act im Fokus – Aufzeichnungen und Folien
- Betreiberpflichten einer Hochrisiko-KI nach der KI-VO
- USA FTC: Aktionen gegen KI-Unternehmen „Operation AI Comply“
- 75 Definitionen der KI-VO
- Governance für KI: Verbesserung der Regierungsführung durch KI
- Arbeitsrechtliche Ausgestaltung von KI-Richtlinien im Betrieb
- CEN-CENELEC JT21: Dashboard zur KI-Standardisierung
- KI-Regulierung in Deutschland
- AI Office: Code of Practice
- CDT: Bessere KI Governance durch Dokumentation
- Herausforderungen an die Regulatorik bei Daten, KI und Plattformen
- IAPS: “Mapping Technical Safety Research at AI Companies”
- OWASP AI Exchange: AI Security Overview
- LinkedIn trainiert KI mit Nutzerdaten
- Veröffentlichungen
- Neue EVB-IT
- Rechtsvergleich zu White Hat Hacking – bei uns durch § 202a StGB problematisiert
- Datenleck bei großen Unternehmen
- Kirchlicher Datenschutz für Zeugen Jehovas?
- Wissenslandkarte zur digitalen Transformation
- Löschverpflichtungen bei Fahrzeugdaten
- Dark Patterns und die innere Sphäre der Grundrechte
- Managerhaftung z.B. nach NIS2
- Security unter Kontrolle? – NIS2
- Überblick zu Bußgeldern in Österreich
- Data Protection by Design – und die Aufsichtsbehörden
- IAPP: Organizational Digital Governance Report 2024
- Genetische Daten bei Unternehmen in wirtschaftlichen Turbolenzen
- Microsoft passt Regelungen bei Recall an
- DSFA-Vorlagen – auch mit KI
- bitkom und Umfragen zum Datenschutz
- Interview zu Messengern in Unternehmen
- Italien: DSB-Zertifizierung
- Veranstaltungen
- bitkom privacy conference
- D21: GovTalk zu staatlicher digitaler Identität am Beispiel eIDAS-Verordnung
- Stiftung Datenschutz: DFSA und KI-Folgenabschätzung beim Einsatz einer KI-Anwendung
- IHK Bayern: Webinarreihe zu IT-Sicherheit -neu-
- digitalcourage: Verleihung Big Brother Award 2024 -neu-
- ECEC – „European Compliance & Ethics Conference”
- EAID: Cybersecurity und Datenschutz – ein globales Spannungsfeld?“ -neu-
- BVDW: DATA:matters
- LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
- LfDI Rheinland-Pfalz: Freiheit vs. Sicherheit – Veranstaltung „Watching You“ -neu-
- TUM: “Datenschutz by Design im europäischen Datenraum“
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- DIHK: „Daten ohne Grenzen“ -neu-
- Daten-Dienstag: „Datenteilen nach dem Data Governace Act“ -neu-
- CNIL: „Überwachung in all ihren Formen!“
- IHK München und Oberbayern: 12. Münchner Datenschutztag
- Gesellschaftspolitische Diskussionen
- Ungewollte Einblicke beim Fernseher
- Politische Manipulation im Netz
- Analyse von Metas „Pay-or-Okay“-Modell
- Palantir und Microsoft
- „Souveräne Clouds“ und politische Abhängigkeiten
- Privates ersteigern
- Stelle zur Durchsetzung von Kinderrechten in digitalen Diensten
- Mecklenburg-Vorpommern: Handreichung zum Datenschutz beim Kinderschutz
- Sonstiges / Blick über den Tellerrand
- Verschwörungsmythen im Wimmelbild
- Medien und Image – freie Medien als 18. Nachhaltigkeitsziel
- Bequem statt sicher – Keyless Driving
- KI in schulischen Prüfungen – im Saarland
- Smart Glasses: Rayban Brille
- Niederlande: Kontaktdaten aller Polizist:innen erbeutet
- UK: Parteien und der Datenschutz beim Cookie-Einsatz
- Franks Zugabe
- Apropos KI …
- Was soll schon bei staatlich verordneten Backdoors passieren?
- Wettbewerbsbeschwerde bei der EU-Kommission gegen Microsoft
- Ende des Beschwerde-Registers für Bankkunden
- Noch’nen Update zur ePA
- SS7 für Attacken offen wie ein Scheunentor
- NIS-2-Umsetzung kommentiert
- NIST’s second draft of its “SP 800-63-4“—guidelines – aka: Nicht alle drei Monate einen Passwortwechsel erzwingen
- „The CRA has introduced a novel, and potentially quite worrying, approach to cybersecurity legislation“
- Neuer WHO-Bericht zeigt Notwendigkeit für gesündere Online-Gewohnheiten unter Jugendlichen auf
- US-Handelsaufsicht moniert, dass große Social-Media- und Streaming-Portale ihre Nutzer in großem Umfang ausspionieren und dabei auf den Datenschutz pfeifen
- PI’s Guide to International Law and Surveillance
- Kommentar: Microsoft darf keine Standards mehr setzen!
- „Five Eyes“-Staaten: Tipps zur Verbesserung von Active-Directory-Sicherheit
- Mal wieder ein Abo-Modell
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LfD Bayern: Tätigkeitsbericht für 2023
Der LfD Bayern hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. Besonders erwähnenswert ist bezüglich der Art und Weise der Veröffentlichung die Möglichkeit direkt auf einzelne Berichtspunkte verlinken zu können. Inhaltlich gibt es natürlich auch einige hervorzuhebende Punkte, wie z.B.:
1.1.1 LfD Bayern: Tätigkeitsbericht für 2023 – Aussagen zu KI und Datenschutz
In mehreren Kapiteln befasst sich der LfD Bayern ab Ziffer 1.2 mit den Aspekten des Einsatzes von KI.
1.1.2 LfD Bayern: Tätigkeitsbericht für 2023 – Personenbezug
Unter Ziffer 2.2 stellt der LfD Bayern die aktuelle Diskussion um die Personenbeziehbarkeit dar. Dabei berücksichtigt er auch die EuGH-Rechtsprechung im Berichtszeitraum.
1.1.3 LfD Bayern: Tätigkeitsbericht für 2023 – Verzeichnis der Verarbeitungstätigkeiten
Die Bedeutung des Verzeichnisses der Verarbeitungstätigkeiten stellt der LfD Bayern in Ziffer 2.3 dar und geht dabei auch auf Einzelfragen ein.
1.1.4 LfD Bayern: Tätigkeitsbericht für 2023 – Webbrowser und Datenschutz
In Ziffer 2.4 behandelt der LfD Bayern Fragen zur Rechtschreibkorrektur, zur KI-Unterstützung, zu Einstellungen bei verbreiteten Webbrowsern und zu datenschutzrechtlichen Anforderungen.
1.1.5 LfD Bayern: Tätigkeitsbericht für 2023 – Windows-Telemetriekomponente
Die Ausführungen zum Einsatz von Windows-Telemetriedaten ab Ziffer 2.6 dürften nicht nur bayerische öffentliche Stellen interessieren. Auch die Aussage aus dem Fazit kann auf andere Bereiche angewendet werden: „Privacy-by-Design und Privacy-by-Default sind Datenschutzziele, die Hersteller möglicherweise anders bewerten und umsetzen als Verantwortliche des öffentlichen Sektors sowie Datenschutz-Aufsichtsbehörden. So sind bayerische öffentliche Stellen, die Microsoft Windows in den Versionen 10 und 11 auf ihren Arbeitsplätzen im Einsatz haben, gehalten ihre Konfiguration zu prüfen und gegebenenfalls nachzubessern.“ Zudem stellt auch der LfD Bayern fest, dass eine Telemetriedaten-Übermittlung zum Zweck von Diagnose und Feedback an den Hersteller abgestellt werden könne – wenngleich das außerhalb der „Enterprise“- und „Education“-Editionen nicht ganz einfach sei.
1.1.6 LfD Bayern: Tätigkeitsbericht für 2023 – Automatisierte Kennzeichenerfassung beim Kameraparken
Die automatisierte Kennzeichenerfassung beim Kameraparken, d.h. Erfassung der Kfz-Kennzeichen und Verwendung dieses beim Bezahlvorgang, bringt Fragestellungen wie zur Rechtsgrundlage, auf die der LfD Bayern unter Ziffer 4.7 eine Antwort gibt.
1.1.7 LfD Bayern: Tätigkeitsbericht für 2023 – PIA-Tool der CNIL
Die Französische Datenschutzaufsicht CNIL hat ein Tool zur Erstellung einer Datenschutz-Folgenabschätzung (auf Englisch Privacy Impact Assessment => PIA) veröffentlicht. Für bayerische öffentliche Stellen sieht der LfD Bayern die Anwendung der durch ihn bereitgestellten Hilfsmittel als passender an und begründet dies in Ziffer 11.5.
1.1.8 LfD Bayern: Tätigkeitsbericht für 2023 – Anonymisierung / Pseudonymisierung in der medizinischen Forschung
Die „Sau, die seit Jahren durch das Datenschützerdorf getrieben“ wird, ist die Anonymisierung. Ab wann kann davon ausgegangen werden, dass ein Personenbezug nicht mehr herstellbar ist – und ist es relevant, für wen dies evtl. doch noch möglich ist? Bei Gesundheitsdaten ist dies besonders heikel: Einerseits, weil durch Erkenntnisse Abhängigkeiten erkannt und effektivere Behandlungsmethoden erschlossen werden können, andererseits, weil Risiken für Betroffenen auf der Hand liegen. Der LfD Bayern berichtet unter Ziffer 11.12 von seiner Beteiligung an der Taskforce Forschungsdaten der DSK im Projekt RACOON (Radiological Cooperative Network), an dem alle deutschen Universitätskliniken beteiligt sind.
Neben der eigentlichen Beantwortung von Forschungsfragen, wie dies auch in der Vergangenheit in multizentrischen Projekten üblich war, steht in diesem Projekt speziell das Thema Maschinelles Lernen (ML)/Künstliche Intelligenz (KI) mit im Zentrum. Zentral ist die Frage, ob die im Projekt verarbeiteten Daten anonymisiert sind oder ob nur eine Pseudonymisierung möglich ist. Zur Beurteilung der Frage der Anonymisierung im Rahmen von Projekten wie RACOON spielen daher folgende Kriterien eine Rolle, wie Nutzung großer Datenmengen, Verknüpfung von Datenbeständen, Nutzung von Radiologiedaten, Datennutzung zum Training von ML/KI-Verfahren sowie Nutzung von ML/KI-Verfahren im Behandlungszusammenhang zur Beantwortung von Forschungsfragen.
1.2 BayLDA: Abgrenzungshilfe Auftragsverarbeiter / Verantwortlicher
Das BayLDA hat seine Informationen zur Abgrenzung Auftragsverarbeitung / Verantwortlicher aktualisiert. Erforderlich sei dies geworden, weil in einer früheren Veröffentlichung ein umfangreicher Katalog von Dienstleistungen aufgezählt und diese – zumindest für den „Durchschnittsfall“ – in die Kategorien Auftragsverarbeitung bzw. eigenständige Verantwortlichkeit eingeordnet wurde. Dies habe jedoch in der Praxis allzu oft Fragen aufgeworfen. Grund hierfür sei vor allem, dass hinter ein und demselben Schlagwort, mit dem in der Praxis Dienstleistungen beschrieben werden, sehr unterschiedlich gestaltete Datenverarbeitungsprozesse stecken können. Wenn die gesetzlichen Merkmale für Verantwortlichkeit und Auftragsverarbeitung auf derart unterschiedliche Verarbeitungsprozesse zutreffend angewendet werden, könnten je nach Einzelfall durchaus unterschiedliche datenschutzrechtliche Rollenbestimmungen das Ergebnis sein, selbst wenn in der „Business-Sprache“ für die entsprechenden Dienstleistungen bisweilen ein gleichlautender Begriff gebräuchlich ist. Vor diesem Hintergrund entschloss sich das BayLDA fortan keinen Tätigkeitskatalog mit entsprechenden datenschutzrechtlichen Rolleneinordnungen mehr zu veröffentlichen sondern die gesetzlichen Kriterien für die zutreffende Einordnung näher zu erläutern. Anwender sind darauf angewiesen für die korrekte Bestimmung der datenschutzrechtlichen Rollen als Verantwortlicher, Gemeinsam Verantwortliche oder aber als Auftragsverarbeiter die gesetzlichen Definitionen auf den einzelnen Fall korrekt anzuwenden. Das BayLDA orientiert sich dann auch an der Leitlinie des EDSA 07/2020 zu Verantwortlichem und Auftragsverarbeiter.
1.3 LfD Niedersachsen: Austausch zu neuartigen Datenverarbeitungen in Kundenfahrzeugen
Wie hier berichtet wird, sind Aufsichtsbehörden in der Zuständigkeit von Volkswagenkonzernunternehmen wie Niedersachsen oder Bayern mit dem Konzern im Austausch, um über die Verarbeitung von Fahrzeugdaten zur Verbesserung und Fortentwicklung der Fahrassistenz- und Fahrsicherheitssysteme zu sprechen. Zur Beschleunigung der Entwicklung von Fahrsicherheitstechnologien werden erstmals im Rahmen des Vorhabens der Volkswagen-Unternehmen Sensor- und Bilddaten aus Kundenfahrzeugen und nicht mehr nur aus speziell dafür gekennzeichneten Entwicklungsfahrzeugen genutzt. Neben der zentralen Grundbedingung der Einwilligung der Fahrzeugnutzenden auf Grundlage umfassender Informationen über Umfang und Zwecke der Datenausleitung ergeben sich aus diesem Vorhaben eine Reihe weiterer datenschutzrechtlicher Fragestellungen.
1.4 Hamburg: Einsatz von Gesichtserkennungssystemen
Anlässlich der Diskussion um die Ermöglichung des Einsatzes von Gesichtserkennungssystemen durch Sicherheitsbehörden weist der HmbBfDI auf eine sorgfältige Abwägung zwischen Sicherheitsinteressen und Bürgerrechten hin.
1.5 DSK: OH zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern
Die Datenschutzkonferenz hat eine Orientierungshilfe zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern veröffentlicht. Die rechtlichen Grundlage ergeben sich laut DSK aus der europäischen Energieeffizienzrichtlinie (zumindest im Hinblick auf die Strom- sowie Heizungs- und Warmwasserzähler), die über das Messstellenbetriebsgesetz (MsbG), die Verordnung über Heizkostenabrechnung (HeizkostenV) und die Fernwärme- oder Fernkälte-Verbrauchserfassungs- und -Abrechnungsverordnung (FFVAV) mittlerweile in deutsches Recht umgesetzt wurde.
Dazu stellt die DSK eine Verunsicherung im Zusammenhang mit der funkbasierten Datenverarbeitung fest. Einerseits gelte dies für die Bürgerinnen und Bürger, die wissen wollen, wie ihre Verbrauchsdaten geschützt sind und wer diese Daten verwendet. Andererseits bestünden auch Unklarheiten bei Eigentümerinnen und Eigentümern, WEG- und Hausverwaltungen sowie den Parteien von Mietverhältnissen, aber auch bei den Geräteherstellern, Energieversorgern und Ableseunternehmen selbst. Ursächlich sei dafür auch, dass der spezifische (datenschutz-)rechtliche Regelungsrahmen je nach Energieart (Heizung und Warmwasser/Strom/Kaltwasser) unterschiedlich oder zum Teil gar nicht vorhanden ist.
Franks Nachtrag: Die LfD Sachsen-Anhalt hat auf ihrer Webseite zusätzlich die Anlage aus der Orientierungshilfe (Beispiel für ein Informationsblatt nach Art. 13 DS-GVO bei funkbasierten Messsystemen für Wasser-, Wärme- und Stromverbrauch) als Word-Vorlage veröffentlicht.
1.6 CNIL: Schutz der Privatsphäre bei mobilen Anwendungen
Die französische Aufsicht CNIL veröffentlicht Tipps zum Schutz der eigenen Privatsphäre bei der Nutzung mobiler Anwendungen. Um zu kommunizieren, uns zu orientieren, einzukaufen, uns zu unterhalten oder unsere Gesundheit zu überwachen, greifen mobile Anwendungen auf zahlreiche persönliche Daten zu (Standort, Kontakte, Fotos usw.). Die CNIL erläutert die Regeln zum Schutz der eigenen Privatsphäre, Benutzer:innen müssen besser informiert sein und die Kontrolle behalten.
Im Ergebnis gibt sie acht Empfehlungen:
- Prüfung der Apps vor dem Herunterladen
- Verwendung von Pseudonymen
- Einschränkung der Berechtigungen der Apps
- Geolokalisierung nur dann aktivieren, wenn erforderlich
- Unnötige Benachrichtigungen deaktivieren
- Regelmäßige Aktualisieren der Apps
- Regelmäßige Überprüfung der Berechtigungsanfragen für den Zugriff auf Ihre Kamera und Ihr Mikrofon
- Regelmäßiges Aussortieren nicht benötigter Anwendungen
1.7 Niederlande: AI & Algorithmic Risks Report 2024
In den Niederlanden veröffentlichte die dortige Aufsicht im Juli 2024 ihren AI & Algorithmic Risks Report 2024. Hintergrund ist die rasante Entwicklung von Künstlicher Intelligenz (KI), obwohl die Technologie immer noch in den Kinderschuhen stecke. Die Aufsicht spricht dabei von einem „Wettlauf“ in der generativen KI zwischen großen Technologieunternehmen bis hin zur Anwendung von KI-basierten Verhaltenserkennungssystemen in Supermärkten und Fitnessstudios in den Niederlanden. Ein angemessenes Risikomanagement von KI-Systemen könne mit dieser rasanten Entwicklung jedoch nicht Schritt halten. Dies bedeute nicht nur, dass der sorgfältige Einsatz von KI-Systemen Vorrang haben muss, sondern auch, dass die Gesellschaft auf mehr KI-bezogene Vorfälle vorbereitet sein muss. Dies erfordert Wachsamkeit der (niederländischen) Bürger:innen, Unternehmensleiter:innen und Gesetzgeber gegenüber KI-Risiken. Als koordinierende Aufsichtsbehörde für Algorithmen und KI analysiert die niederländische Datenschutzbehörde KI-bezogene Risiken und berät Gesellschaft, Unternehmen, Regierung und Politik über die zu ergreifenden Maßnahmen. Dazu möchte sie mit ihrem Bericht beitragen.
Sie verweist auch auf ihre Veröffentlichung zur mehr Wachsamkeit durch den Einzelnen sowie auch auf zusammenfassende Visualisierungen.
1.8 Niederlande: Konsultation zu manipulativen, irreführenden und ausbeuterischen KI-Systemen
Die niederländische Datenschutzaufsicht ist auch die koordinierende Aufsichtsbehörde für Algorithmen und KI und hat diesbezüglich mit den Vorbereitungen für die Aufsicht über verbotene KI-Anwendungen begonnen. Diese Verbote gelten ab dem 2. Februar 2025. Daher ruft sie Unternehmen, öffentliche Stellen, Interessengruppen und die Öffentlichkeit auf sich zu verschiedenen Verboten aus dem KI-Gesetz zu äußern. Dazu veröffentlicht sie ein Begleitdokument zu Verboten von manipulativen und betrügerischen KI-Systemen (Verbot A) und ausbeuterischen KI-Systemen (Verbot B). Mit den Erkenntnissen kann dann an weiteren Veröffentlichungen zu verbotenen KI-Systemen gearbeitet werden. Stellungnahmen können bis spätestens 17. November 2024 eingereicht werden.
1.9 Italien: Vereinbarung zwischen Verlagen und OpenAI zur Kenntnis genommen
Die italienische Aufsicht Garante berichtet nur lapidar, dass sie eine Vereinbarung zwischen italienischen Verlagen und OpenAI zur Kenntnis nimmt, aber sich vorbehält sich das Ganze auch mal genauer anzusehen.
1.10 Spanien: Zertifizierung von DSB
Mit dem Ziel, sowohl Datenschutzexperten als auch Unternehmen und Einrichtungen, die einen Datenschutzbeauftragten (DSB) in ihre Organisationen aufnehmen oder die Dienste einer qualifizierten Fachperson in Anspruch nehmen müssen, Sicherheit und Zuverlässigkeit zu bieten, fördert die spanische Datenschutzaufsicht AEPD ein DSB-Zertifizierungssystem. Damit soll ermöglicht werden zu bescheinigen, dass die DSB über die für die Ausübung des Berufs erforderlichen beruflichen Qualifikationen und Kenntnisse verfügen. Das Prüfungsmodell kann hier eingesehen werden. Weitere Informationen dazu finden sich auf den Seiten der AEPD.
1.11 Irland: Bußgeld gegen Meta in Höhe von 91 Mio. Euro
Ursächlich sei die Speicherung von Passwörtern im „Klartext“ im Jahr 2019 gewesen. Bislang gibt es nur die Meldung der irischen Aufsicht dazu, die aber ankündigt, die vollständige Entscheidung und weitere damit zusammenhängende Informationen zu gegebener Zeit veröffentlichen. Nett ist die Darstellung der Fakten als Canvas.
Franks Nachtrag: Mittlerweile gibt es auch Presseberichte dazu.
1.12 ICO: Minderjährige und Datenschutz
Die britische Datenschutzaufsicht ICO stellt fest, dass Online-Dienste und -Plattformen eine Sorgfaltspflicht gegenüber Kindern vermissen lassen. Produkte und Dienstleistungen könnten Kinder dem Risiko schwerer Schäden durch Missbrauch, Mobbing und sogar dem Verlust der Kontrolle über ihre persönlichen Daten aussetzen. Dazu hat nun der ICO einen Aufruf an interessierte Interessengruppen, darunter Online-Dienste, Akademiker und die Zivilgesellschaft, ihre Ansichten und Erkenntnisse zu zwei Bereichen des Datenschutzes von Kindern zu teilen, gestartet:
- Wie werden personenbezogene Daten von Kindern derzeit in Empfehlungssystemen verwendet (Algorithmen, die die Daten von Personen nutzen, um ihre Interessen und Vorlieben zu ermitteln und ihnen Inhalte bereitzustellen)? und
- jüngste Entwicklungen bei der Verwendung von Alterssicherungssystemen zur Identifizierung von Kindern unter 13 Jahren.
Der ICO will die gesammelten Erkenntnisse nutzen, um seine laufende Arbeit zu unterstützen und weitere Verbesserungen beim Schutz der Privatsphäre von Kindern durch Social-Media-Plattformen und Videoplattformen zu erreichen. Bis 11. Oktober 2024 können hier noch Rückmeldungen gegeben werden. Informationen zu seiner Strategie für einen Kinderkodex hat er hier hinterlegt.
1.13 ICO: Abschluss der Konsultation zu AI und Datenschutz
Der ICO informiert, dass er seine Konsultationen zur Anwendung des Datenschutzrechts bei KI abgeschlossen hat. Bislang umfasste dies folgende Fragestellungen bei der Entwicklung und Nutzung von GenAI:
- Kapitel 1: Die rechtliche Grundlage für Web-Scraping zur Schulung generativer KI-Modelle
- Kapitel 2: Zweckbindung im Lebenszyklus generativer KI
- Kapitel 3: Genauigkeit von Trainingsdaten und Modellausgaben
- Kapitel 4: Integration individueller Rechte in generative KI-Modelle
- Kapitel 5: Zuweisung der Kontrollverantwortung in der gesamten Lieferkette generativer KI
1.14 ICO: Territorial Scope
In Beantwortung einer Informationsfreiheitsanfrage hat der ICO seine Position zu Fragen der räumlichen Zuständigkeit veröffentlicht. Dies umfasst z.B. auch Aussagen zu Auftragsverarbeitern.
1.15 CMA UK: Wettbewerbsrechtliche Bedenken bei Googles Privacy Sandbox
Die Competition and Markets Authority (CMA) im Vereinigten Königreich aktualisiert ihre Information zu Googles Privacy Sandbox. Google kündigte an, dass es seinen Ansatz in Bezug auf die Privacy Sandbox ändern wird. Anstatt Drittanbieter-Cookies aus Chrome zu entfernen, wird es den Nutzern ermöglichen selbst zu entscheiden, ob sie Drittanbieter-Cookies behalten möchten.
Die CMA ist der Ansicht, dass die Wettbewerbsbedenken auch unter Googles überarbeitetem Ansatz bestehen bleiben. Die CMA möchte sicherstellen, dass diese Änderungen so vorgenommen werden, dass der Wettbewerb in der digitalen Werbung weiterhin unterstützt wird. Die aktuellen Verpflichtungen müssten aktualisiert werden, um die Entwicklung der geplanten Änderungen des Privacy-Sandbox-Browsers von Google widerzuspiegeln, und die CMA diskutiert mit Google, welche Änderungen erforderlich wären, um die wettbewerbsrechtlichen Bedenken der CMA auszuräumen. Wenn die CMA mit Google keine Änderungen an den Verpflichtungen vereinbaren kann, die die wettbewerbsrechtlichen Bedenken ausräumen, wird die CMA prüfen, welche weiteren Maßnahmen erforderlich sein könnten.
Die CMA wird eine öffentliche Konsultation durchführen, bevor sie eine Entscheidung darüber trifft, ob sie Änderungen an den Verpflichtungen akzeptiert, und strebt an, dies im vierten Quartal 2024 zu tun. Die CMA plant außerdem, zu diesem Zeitpunkt ein Update zu ihren Ansichten bezüglich der Privacy-Sandbox-Tools und ihrer Bewertung der Test- und Versuchsergebnisse bereitzustellen. Die CMA wird weiterhin mit dem ICO zusammenarbeiten, um Bedenken hinsichtlich des Datenschutzes und der Gestaltung der Benutzerauswahl im Zusammenhang mit dem überarbeiteten Ansatz von Google zu berücksichtigen.
1.16 Belgien: Beschwerdezulässigkeit gegen Cookie-Banner
Lehnte die belgische Aufsicht eine Beschwerdebefugnis noch vor kurzem als rechtsmissbräuchlich ab, weil die beschwerdeführende Person bei einem NGO tätig war, scheint sie nun ihre Bewertung geändert zu haben – berichtet nun das NGO. Schön, wenn der Kindergarten endet und sich um die Dachfragen gekümmert wird.
1.17 BSI: Überarbeitung der Funktionalitätsklassen von Zufallszahlengeneratoren
Das BSI hat eine neue Version der Vorgaben zu Funktionalitätsklassen von Zufallszahlengeneratoren veröffentlicht. Die überarbeitete Version 3.0 des Dokumentes der AIS 20/31-Richtlinien ist ein wichtiger Baustein des deutschen Common-Criteria-Schemas und bringt signifikante Verbesserungen in der Anwendbarkeit und Klarheit der Richtlinien sowie eine Harmonisierung mit den Anforderungen der NIST.
Hintergrund dazu auch hier.
1.18 BaFin: Hinweise zu DORA
Die Bundesanstalt für Finanzdienstleistungsaufsicht hat auf ihrer Webseite allgemeine Hinweise zu DORA (Digital Operational Resilience Act), aber auch zum Management des IKT-Drittparteienrisikos, zum Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) und zum Überwachungsrahmen für kritische IKT-Drittdienstleister veröffentlicht.
1.19 EDSA: Agenda der Oktober-Sitzung
Da kommt was auf uns zu, wenn Sie sich die Agenda der EDSA-Sitzung im Oktober 2024 anschauen: Es finden sich darauf Punkte wie Datenschutz und Wettbewerbsrecht (aktuell zum EuGH-Urteil), die Stellungnahme zu Art. 64 Abs. 2 DS-GVO zu bestimmten Verpflichtungen, die sich aus dem Vertrauen auf Auftragsverarbeiter und Unterauftragsverarbeiter ergeben (Fall aus Dänemark zum Einsatz von Chromebook an Schulen), überarbeitete Leitlinien 2/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie, Leitlinien zum berechtigten Interesse und das EDSA-Arbeitsprogramm 2024–2025.
1.20 EDSB: Information zu Datenschutzverletzungen
Der Europäische Datenschutzbeauftragte veröffentlichte ein Informationsblatt für die Beschäftigten europäischer Einrichtungen, um auf Cyberangriffe und Datenschutzverletzungen hinzuweisen. Bei der Ankündigung verweist er auch darauf, dass ihn im Jahr 2024 bislang 68 Meldungen zu Datenschutzverletzungen erreichten, wovon 22 auf einen externen Angriff zurückzuführen waren.
1.21 Amtsantritt der BfDI
Im September 2024 hat sie die Aufgabe offiziell angetreten (wir berichteten), am 2. Oktober 2024 wurde sie offiziell eingeführt und dabei wurde auch kurz vorher ihr Stellvertreter bekanntgegeben. Das steigert die Erwartung, dass bei der Anwendung der DS-GVO beide Zielrichtungen in einen ausgewogenen Ansatz gebracht werden: Der Schutz natürlicher Personen und der freie Datenverkehr.
Bereits im September stellte sie sich im Bundestag vor.
1.22 LfD Niedersachsen: Stabsstelle für Künstliche Intelligenz
Der LfD Niedersachsen informiert, dass er eine Stabsstelle für Künstliche Intelligenz einrichtet. Ziel der neuen Einheit ist es die zunehmende Verbreitung und Nutzung von KI-Technologien datenschutzrechtlich zu begleiten. Die neue Stabsstelle wird als Kompetenzzentrum für alle Fragen rund um den Einsatz von KI fungieren und eng mit anderen Behörden, der Wissenschaft sowie privaten und öffentlichen Stellen zusammenarbeiten. Schwerpunkte der Arbeit sind unter anderem die Entwicklung von „Leitplanken“ zur KI-Nutzung und -Prüfung, die Begleitung von Forschungsprojekten und die Bewertung von Risiken, die durch den Einsatz KI-basierter Systeme entstehen können. Eine weitere zentrale Aufgabe der Stabsstelle ist die Sensibilisierung von Unternehmen und öffentlichen Einrichtungen für die Risiken, die durch den Einsatz von KI für den Datenschutz entstehen können.
1.23 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023
Auch der LfDI Rheinland-Pfalz veröffentlichte nun seinen Tätigkeitsbericht für das Jahr 2023. Auf 68 Seiten berichtet er über Vorgänge, Anfragen und Aktivitäten. Wie z.B. über:
1.23.1 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Auskunftspflichten bei Sprachaufzeichnungen
Grundsätzlich sind nach dem LfDI Rheinland-Pfalz (siehe Ziffer 4.2) auch Sprachaufzeichnungen vom Auskunftsanspruch gem. Art. 15 DS-GVO umfasst. Diese Aufzeichnungen seien in der Regel auch im Audioformat zu beauskunften, also als „Kopie“ gem. Art. 15 Abs. 3 DS-GVO. Die betroffene Person und der Verantwortliche könnten sich jedoch darauf einigen, dass die Auskunft in Form einer Transkription erteilt wird. Art. 15 Abs. 4 DS-GVO schränkt das Recht auf Erhalt einer Kopie dahingehend ein, dass dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden dürfen. Im Falle von Sprachaufzeichnungen können das die Rechte und Freiheiten des Gesprächspartners, in der Regel der Mitarbeitenden sein. Sollten diese Rechte beeinträchtigt sein, könnte die Aufzeichnung der Mitarbeiten soweit unkenntlich gemacht werden, dass die Beeinträchtigung ausgeschlossen werden kann. Ob eine Beeinträchtigung vorliegt, muss der Verantwortliche prüfen. Er trägt letztlich die Beweislast, dass dem nicht so ist.
1.23.2 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Auswertung von Kundendaten zu Werbezwecken durch Kreditwirtschaft
Die Auswertung der Zahlungsverkehrsdaten, also z.B. Informationen zu den Zahlungsempfängern und den Verwendungszwecken durch die Kreditwirtschaft, bedürfe der Einwilligung der betroffenen Person und könne nicht auf Art. 6 Abs. 1 lit. f DS-GVO gestützt werden, da die schutzwürdigen Interessen der Kund:innen am Ausschluss der Verarbeitung oder Nutzung das Interesse des Kreditinstituts überwiegen (siehe Ziffer 4.4). Die Einwilligung muss in informierter Weise erfolgen, ist freiwillig und die Verweigerung hat keinen Einfluss auf die Kontoführung. Insbesondere dieser letztgenannte Punkt werde laut LfDI Rheinland-Pfalz in der praktischen Umsetzung nicht immer deutlich.
1.23.3 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Datenschutzrechtlicher Interessenkonflikt bei BEM-Beauftragten
Werden Beschäftigte in einem Zeitraum von zwölf Monaten länger als sechs Wochen (ununterbrochen oder wiederholt über mehrere Fehlzeiten verteilt) krank, hat der Arbeitgeber ein betriebliches Eingliederungsmanagement (BEM) durchzuführen. Zweck des betrieblichen Eingliederungsmanagements ist es den Ursachen von Arbeitsunfähigkeitszeiten nachzugehen und nach Möglichkeiten zu suchen, künftig Arbeitsunfähigkeitszeiten zu vermeiden oder zumindest zu verringern. Der LfDI Rheinland-Pfalz wurde hinsichtlich einer Beschwerde einbezogen, bei der eine Personalleiterin auch gleichzeitig als BEM-Beauftragte tätig war (siehe Ziffer 6.2).
Wenn Mitarbeitende der Personalabteilung in leitender Funktion gleichzeitig als BEM-Beauftragte oder Mitglieder eines BEM-Teams tätig werden, besteht laut LfDI Rheinland-Pfalz die Gefahr, dass Informationen aus dem BEM-Verfahren zweckwidrig auch für Personalmaßnahmen verwendet werden. Es bedürfte schon der sprichwörtlichen „Schere im Kopf“, um dies zu verhindern. Eine solche Interessenkollision dürfte sich auf die Bereitschaft von Beschäftigten, ein BEM-Verfahren durchzuführen, nachteilig auswirken und damit der eigentlichen Zielsetzung des BEM zuwiderlaufen. Denn Betroffene, die befürchten müssen, dass sich die freiwillig gemachten Angaben zu gesundheitlichen Beeinträchtigungen nachteilig auf ihr berufliches Fortkommen auswirken, werden das BEM ablehnen oder nicht alle Informationen offenbaren.
Der LfDI Rheinland-Pfalz sprach daher die Empfehlung aus, die innerbetriebliche Organisation künftig so zu gestalten, dass eine Person außerhalb des Personalbereichs als BEM-Beauftragte tätig wird.
1.23.4 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Nutzung von Social Media
Eigentlich nichts Neues, aber manche kann man auch nicht oft genug daran erinnern:
Der LfDI Rheinland-Pfalz informiert zunächst, dass es sich bei Social-Media-Diensten häufig um mehrstufige Anbieterverhältnisse handele, bei denen Profile bzw. Seiten zum Beispiel von einem Unternehmen oder einer Behörde auf einer Plattform angeboten werden, die wiederum von einem weiteren Plattformbetreiber bereitgestellt wird, der die Daten der Nutzer:innen im Rahmen eigener Geschäftszwecke verarbeitet (siehe Ziffer 7.2). Dies mache Social-Media-Dienste aus Nutzer:innenperspektive schwer durchschaubar und aus rechtlicher Sicht häufig problematisch, gerade im Hinblick auf Verantwortlichkeiten.
Unternehmen und öffentliche Stellen, die Profile in Social-Media-Diensten anbieten, müssten den datenschutzrechtlichen Anforderungen Rechnung tragen. Der LfDI Rheinland-Pfalz verweist dazu auch auf seinen Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen, betont aber, dass dieser nicht als ausreichend bewertet werden kann, um Social-Media-Profile datenschutzkonform anzubieten, da Profil-Betreiber:innen ohne weitere Maßnahmen der Plattformanbieter nicht in der Lage sind die dargestellten Defizite der gängigen Social-Media-Plattformen auszugleichen. Ein rechtskonformer Betrieb einer Facebook-Fanpage sei derzeit auch bei Anwendung des Handlungsrahmens leider nicht möglich.
Die datenschutzrechtlichen Bewertungen in Bezug auf Meta Platforms sind zwar nicht automatisch auf andere Plattformen zu übertragen, der LfDI Rheinland-Pfalz geht aber davon aus, dass vergleichbare Problemlagen aber auch bei diesen vorhanden sein dürften.
1.23.5 LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Leasingräder als Auftragsverarbeitung?
Viele Arbeitgeber nutzen die Möglichkeit ihre Attraktivität als Arbeitgeber durch ein Fahrradleasingangebot zu steigen. Mit datenschutzrechtlichen Aspekten dabei befasst sich der LfDI Rheinland-Pfalz (siehe Ziffer 10.3), indem er Stellung dazu bezieht, ob die Einbindung des Dienstleisters eine Auftragsverarbeitung darstellt. Er begründet seine Ablehnung mit der Anforderung und Erläuterung in Erwägungsgrund 81 der DS-GVO, dass bei einer Auftragsverarbeitung die Kernaufgabe in der Verarbeitung personenbezogener Daten liegen müsse.
Da die Haupttätigkeit des Leasinggebers im Abschluss von Einzelleasingverträgen zwischen ihm und dem jeweiligen Arbeitgeber liegt, verfolgt dieser insoweit eigene Interessen und bestimmt für die Durchführung seiner Tätigkeit Zwecke und Mittel der Verarbeitung. Die Übermittlung personenbezogener Daten von Beschäftigten durch die Arbeitgeber sowie die anschließende Verarbeitung durch den Leasinggeber bildet hierbei nicht die Kernaufgabe der Tätigkeit.
Vielmehr ist die Verarbeitung der personenbezogenen Daten lediglich ein Nebenbestandteil der Gesamttätigkeit. Im Sinne des Erwägungsgrunds 81, Satz 1 ist aus objektiven Gesichtspunkten regelmäßig nicht davon auszugehen, dass die betroffenen Kommunen die Auftragnehmer mit der Verarbeitung personenbezogener Daten betrauen wollen. Die Datenverarbeitung ist in diesem Fall als „unvermeidliches Beiwerk“ bei der Erfüllung der eigentlichen Dienstleistungspflicht – nämlich des Abschlusses eines Einzelleasingvertrages – zu betrachten.
1.23.6 LfDI Rheinland-Pfalz: LfDI Rheinland-Pfalz: Tätigkeitsbericht für 2023 – Sanktionen
Der LfDI Rheinland-Pfalz berichtet, dass er in 71 Fällen Zwangsgelder androhen musste, als seinen Aufforderungen nicht nachgekommen wurde, und diese in 24 Fällen auch verhängen musste (siehe Ziffer 13). Die durchschnittliche Höhe der Zwangsgelder betrug 500 Euro. Bei festgestellten Datenschutzverstößen machte der LfDI Rheinland-Pfalz auch in diesem Jahr von Abhilfebefugnissen Gebrauch. So sprach er 15 Beanstandungen aus und verhängte 19 Verwarnungen. Um bestehende Mängel zu beseitigen, erließ die Behörde 48 Anweisungen. Der LfDI Rheinland-Pfalz erließ zudem insgesamt neun Geldbußen mit einem Gesamtbetrag von 3.930 Euro.
1.24 TLfDI: Tätigkeitsbericht für 2023
Der TLfDI hat seinen Tätigkeitsbericht für das Jahr 2023 an den Thüringer Ministerpräsidenten übergeben und dem Landtag vorgestellt. Hier einige Auszüge daraus:
1.24.1 TLfDI: Tätigkeitsbericht für 2023 – Informationen zur Arbeitsunfähigkeit
Was muss man dem Arbeitgeber mitteilen? Durch das zum 1. Januar 2023 eingeführte Verfahren der eAU (elektronischen Arbeitsunfähigkeitsbescheinigung) erhält die gesetzliche Krankenkasse vom Arzt über ein sicheres Verfahren die für diese erforderlichen Daten zum Patienten. Der Arbeitgeber ist vom Beschäftigten über die Arbeitsunfähigkeit zu unterrichten, was den Arbeitgeber in die Lage versetzt, die erforderlichen Angaben von der Krankenkasse abzurufen (siehe Ziffer 1.17).
1.24.2 TLfDI: Tätigkeitsbericht für 2023 – Abfrage in Schule zu Läusebefall
Läuse sind eine lästige Angelegenheit – und der Befall ist dazu noch meldepflichtig. Für Gemeinschaftseinrichtungen wie Kindergärten oder Schulen besteht für die von den Blutsaugern Betroffenen ein Betretungsverbot und die Pflicht die Kita- beziehungsweise Schulleitung zu informieren, außerdem muss die Einrichtungsleitung das Gesundheitsamt unterrichten. Um die Ausbreitung des Läusebefalls unter den Kindern einzudämmen, darf eine Grundschule die Eltern zwar darüber informieren, dass Läuse in der Einrichtung aufgetreten sind, für die Abfrage, ob die Kinder Läuse haben, besteht jedoch keine Rechtsgrundlage (siehe Ziffer 2.11).
1.24.3 TLfDI: Tätigkeitsbericht für 2023 – Auskunftsrecht zwischen Internetforumsmitgliedern?
Besteht ein Auskunftsrecht nach Art. 15 DS-GVO zwischen Internetforumsmitgliedern? Auch Privatpersonen können sich nicht immer der Anwendbarkeit der DS-GVO entziehen. Die „Haushaltausnahme“ nach Art. 2 Abs. 2 lit. c DS-GVO führt zwar dazu, dass Privatpersonen in ihrem Privatleben die strengen Vorgaben der Datenschutzgesetze in der Regel nicht einhalten müssen. Allerdings handeln auch Privatpersonen öfter im Anwendungsbereich der DS-GVO als man denkt, wie der TLfDI am Beispiel der Nutzung eines Internetforums ausführt (siehe Ziffer 3.7).
Die sog. „Haushaltsannahme“ greift nicht für die Veröffentlichung von Informationen an einen unbestimmten Personenkreis. Somit führen Veröffentlichungen auf einer Internetseite, die prinzipiell von jedermann aufrufbar sind, zur Anwendbarkeit der DS-GVO.
1.25 LfDI Mecklenburg-Vorpommern: Hinweise und Empfehlungen zu Smart Toys
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern weist im Rahmen der Aktion „Digitale Vorbilder“ auf die Risiken vernetzten Spielzeugs hin. Neben den Hinweisen gibt es auch Links zu Informationsmaterial z.B. des BSI zur Reduzierung der negativen Auswirkungen bei Angeboten zum „Smart Home“.
1.26 Niederlande: Hinweise zum Einsatz von Gesichtserkennungssoftware
Die niederländische Datenschutzaufsicht informiert über die datenschutzrechtlichen Anforderungen beim Einsatz von Gesichtserkennung. Dies umfasst eine Einführung in die Technologie, Hinweise zum häuslichen Ausnahmebereich sowie Ausnahmen vom Verbot der Gesichtserkennung, eine Abwägung beim Einsatz, Überlegungen zur Erforderlichkeit einer Datenschutz-Folgenabschätzung, Sicherheitsanforderungen bei biometrischen Daten und Regelungen für Hersteller und Lieferanten.
1.27 Niederlande: Was kann eine betroffene Person nach einer Datenschutzpanne tun?
In ihrer Rubrik „Frage des Monats“ befasst sich die niederländische Aufsicht mit der Frage „Was kann ich tun, wenn meine Daten geleakt wurden?“ Sie empfiehlt z.B. Passwörter zu ändern, einen Passwortmanager einzusetzen und eine Multifaktoranmeldung einzusetzen. Auch sollte dann besonders sensibel auf die elektronische Kommunikation geachtet werden, da die Kommunikationsdaten wie E-Mail, Textnachrichten oder Anrufe auch für Angriffe und Betrugsversuche missbraucht werden könnten, insbesondere sollte nicht auf jeden Link geklickt werden. Sind Daten aus amtlichen Ausweisen abhandengekommen, sollte überlegt werden sich neue zu beantragen, um das Risiko eines Identitätsdiebstahl zu reduzieren.
1.28 Spanien: Schutz von Kindern und Jugendlichen in der digitalen Welt
Die spanische Datenschutzaufsicht AEPD veröffentlichte eine Analyse zum Schutz von Kindern und Jugendlichen in der digitalen Welt.
Das Dokument konzentriert sich auf die Verpflichtung zur Einhaltung der Datenschutzgrundsätze sowie auf andere Vorschriften, die den Jugendschutz ergänzen oder vertiefen. Derzeit würden viele Internetdienste Strategien anwenden, die darauf beruhen zu reagieren, wenn ein Schaden bereits eingetreten ist, anstatt proaktive Maßnahmen zu entwickeln. Die AEPD unterstreicht die Bedeutung eines Altersüberprüfungssystems, bei dem die Beweislast bei der Person liegt, die alt genug ist, um auf den Inhalt zuzugreifen, und nicht bei dem Kind.
1.29 Irland: Untersuchung gegen RyanAir wegen Gesichtserkennung
Wie berichtet wird, befasst sich die irische Aufsicht DPC mit Vorwürfen, die Airline RyanAir setze unrechtmäßig Gesichtserkennungstechnologien von Drittanbietern zur Überprüfung von Personalausweisen ein.
Die DPC informiert dazu, dass sie eine Reihe von Beschwerden über die Praxis von Ryanair, eine zusätzliche Identitätsprüfung zu verlangen, erhalten habe, von Kunden, die Reisetickets über Websites Dritter buchten, im Gegensatz zur direkten Buchung auf der Website von Ryanair. Diese Überprüfungsmethoden können biometrische Daten umfassen.
Nach dem Bericht gibt Ryanair auf seiner Website an, dass das Unternehmen Gesichtserkennung einsetze, um Passagiere zu überprüfen, die über Vermittler buchen, welche „Ryanair oft gefälschte Kontakt- und/oder Zahlungsdaten senden, die nicht zu unseren Kunden gehören“.
Die Irish Times berichtete demnach, dass Passagiere das Gesichtserkennungssystem der Fluggesellschaft umgehen können – wenn sie mindestens zwei Stunden vor Abflug am Flughafen erscheinen oder mindestens sieben Tage im Voraus ein Bild ihres Ausweises einreichen.
Passagiere, die direkt über die Ryanair-Website oder die mobile App buchen, müssen sich nicht der Gesichtserkennung unterziehen.
Franks Nachtrag: Hier habe ich einen deutschsprachigen Bericht für Sie.
1.30 ICO: Geldbuße gegen Polizei-Verwaltung
Der ICO informiert, dass er eine Geldbuße in Höhe von 750.000 Pfund gegen den Police Service of Northern Ireland (PSNI) verhängte, weil dieser persönlichen Daten seiner gesamten Belegschaft offengelegt hat, wodurch viele um ihre Sicherheit fürchten. Die Untersuchung des ICO ergab, dass einfach umzusetzende Verfahren den schwerwiegenden Verstoß hätten verhindern können, bei dem versteckte Daten in einer Tabelle, die im Rahmen eines Antrags auf Informationsfreiheit veröffentlicht wurden, die Nachnamen, Initialen, Dienstgrade und Funktionen aller 9.483 PSNI-Beamten und -Mitarbeiter enthüllten.
In Anbetracht der aktuellen finanziellen Lage des PSNI und in dem Bestreben, öffentliche Gelder nicht von dort abzuziehen, wo sie benötigt werden, hat der Polizeipräsident nach eigenem Ermessen in diesem Fall den Ansatz des öffentlichen Sektors angewendet. Wäre dies nicht geschehen, hätte die Geldbuße 5,6 Millionen Pfund betragen. Ursächlich waren zwei Tabellenblätter einer Excelliste bei einer Beantwortung einer Informationsfreiheitsanfrage, die nicht hätten veröffentlicht werden dürfen.
1.31 USA: Strafe für T-Mobile
Sicher auch für diejenigen interessant, die gerne über europäische (deutsche) Datenschutzaufsichten jammern: In den USA darf T-Mobile nach diesem Bericht umgerechnet 14 Mio. Euro Bußgeld nach Datenabzug zahlen und denselben Betrag in die IT-Sicherheit investieren.
1.32 EU-Kommission: Fragen nach DSA an YouTube, Snapchat und TikTok
Die EU-Kommission hat die genannten Plattformen aufgefordert mehr Informationen über die Gestaltung und Funktionsweise ihrer Empfehlungssysteme bereitzustellen. Gemäß dem DSA müssen Plattformen die Risiken, die von ihren Empfehlungssystemen ausgehen, bewerten und angemessen mindern, einschließlich der Risiken für die psychische Gesundheit der Nutzer und der Verbreitung schädlicher Inhalte, die sich aus der interaktionsbasierten Gestaltung dieser Algorithmen ergeben.
1.33 BKartA: Missbrauchsaufsicht nach § 19a GWB für Microsoft
Das Bundeskartellamt (BKartA) informiert, dass es die Feststellung getroffenen hat, dass Microsoft aufgrund dessen marktübergreifender Bedeutung einer erweiterten Missbrauchsaufsicht nach § 19a GWB (Gesetz gegen Wettbewerbsbeschränkungen) unterliegt. Auf Basis dieser Vorschrift könne das BKartA Unternehmen, die solche Machtstellungen innehaben, wettbewerbsgefährdende Praktiken untersagen.
In der Pressemitteilung führt das BKartA auch aus, dass die Entscheidung für Microsoft insgesamt gelte, nicht nur für einzelne Dienste oder Produkte. Gleichzeitig unterfalle Microsoft in der EU als Gatekeeper dem Digital Markets Act. Die daraus resultierende Regulierung, die von der EU-Kommission durchgesetzt wird, gilt aber derzeit nur für das Betriebssystem Windows und das Netzwerk LinkedIn. Das BKartA könne auf Grundlage dieser Entscheidung nach § 19a GWB wettbewerbsgefährdende Praktiken dort unterbinden, wo der DMA nicht greift.
Über die Prüfung des BKartA bezüglich Microsofts hatten wir ja bereits berichtet. Und die Befugnisse der Wettbewerbsbehörden, auch datenschutzrechtliche Gestaltungen unter wettbewerbsrechtlichen Gesichtspunkten zu prüfen, hat der EuGH bereits im Jahr 2023 bei Meta geklärt (C-252/21, wir berichteten ebenfalls). Einen Bericht zum aktuellen Fall gibt es auch hier.
1.34 BSI: Passkeys werden empfohlen
Gestohlene oder erratene Passwörter ermöglichen Identitätsdiebstahl von Verbraucherinnen und Verbrauchern oder sogar Zugang zu Unternehmensnetzwerken. Sichere Authentisierungsverfahren sind daher von besonderer Bedeutung. Längst gelten einfache Nutzernamen-Passwort-Kombinationen als unsicher, Zwei-Faktor-Authentisierung empfinden viele als umständlich. Aus Sicht des BSI bieten Passkeys ein deutlich höheres Sicherheitsniveau als herkömmliche Verfahren. Eine aktuelle Verbraucherbefragung des BSI beleuchtet die Bekanntheit und Akzeptanz von Passkeys als neues, passwortloses Anmeldeverfahren. Die Ergebnisse zeigen: Obwohl Passkey-Verfahren als sicherere und nutzerfreundlichere Alternative zu Passwörtern überzeugen können, sind ihre Vorteile zu wenigen bekannt und ihre Verbreitung ist ausbaufähig.
1.35 BSI: Warnung vor „Prepositioning“
Die cybertechnische Bedrohungslage für Deutschland ist von der geostrategischen Lage abhängig. In diesem Zusammenhang informiert das BSI zu Prepositioning. Dabei platzieren Angreifende eine zunächst inaktive „Backdoor“. Dieser Zugang bzw. diese Hintertür wird in einem strategisch günstigen Moment ausgenutzt, um die betroffenen IT-Systeme ohne viel Zeitverlust hacken und Schaden anrichten zu können.
Das BSI weist dabei darauf hin, dass es die Bedrohungslage im Blick habe und kontinuierlich Angriffsmethoden und -ressourcen tracke. Bei der Analyse unklarer IT-Sicherheitsvorfälle können Unternehmen durch das BSI unterstützt werden. Betreiber kritischer Infrastrukturen sind dazu angehalten solche Vorfälle zu melden. Andere Unternehmen könnten dies freiwillig tun, um die Cybernation Deutschland gegen Angriffe zu stärken.
2 Rechtsprechung
2.1 EuGH: Handlungszwang bei Aufsichtsbehörden? (C-768/21)
Im Verfahren C-768/21 stellt der EuGH fest, dass die Aufsichtsbehörde im Fall der Feststellung einer Verletzung des Schutzes personenbezogener Daten nicht verpflichtet ist, nach dem Art. 58 Abs. 2 DS-GVO eine Abhilfemaßnahme zu ergreifen, insbesondere eine Geldbuße zu verhängen, wenn ein solches Einschreiten nicht geeignet, erforderlich oder verhältnismäßig ist, um der festgestellten Unzulänglichkeit abzuhelfen und die umfassende Einhaltung dieser Verordnung zu gewährleisten.
Im Ausgangsfall stellte eine Sparkasse fest, dass eine Mitarbeiterin mehrmals unbefugt auf personenbezogene Daten eines Kunden zugegriffen hatte. Die Sparkasse setzte den Kunden hiervon nicht in Kenntnis, da ihr Datenschutzbeauftragter der Ansicht war, dass für diesen Kunden kein hohes Risiko bestehe. Denn die Mitarbeiterin hatte schriftlich bestätigt, dass sie die Daten weder kopiert oder gespeichert noch an Dritte übermittelt habe und dass sie dies auch zukünftig nicht tun werde. Außerdem hatte die Sparkasse gegen die Mitarbeiterin Disziplinarmaßnahmen ergriffen. Gleichwohl meldete die Sparkasse diesen Verstoß dem Landesdatenschutzbeauftragten. Nachdem der Kunde nebenbei von diesem Vorfall Kenntnis erlangt hatte, reichte er bei dem Landesdatenschutzbeauftragten eine Beschwerde ein. Nach Anhörung der Sparkasse teilte der Landesdatenschutzbeauftragte dem Kunden mit, dass er es nicht für erforderlich halte, gegen die Sparkasse Abhilfemaßnahmen zu ergreifen. Daher erfolgte im Klageverfahren gegen die Aufsicht die Fragestellung an den EuGH.
2.2 BGH: Löschanspruch gegen Vereinsregister
Nach dem Beschluss des BGH kann ein früheres Vereinsvorstandsmitglied nach seinem Ausscheiden aus dem Amt gegen das Registergericht einen Anspruch auf Löschung seiner im Vereinsregister eingetragenen personenbezogenen Daten aus den im automatisierten Verfahren zum unbeschränkten Abruf aus dem Vereinsregister im Internet bereitgestellten Daten gemäß Art. 17 Abs. 1 DS-GVO haben. Einzelfallabhängig muss dabei auch der Zeitraum beachtet werden, der seit dem Ausscheiden des Vorstandsmitglieds verstrichenen ist.
2.3 BVwG Österreich: Personenbezug bei Kfz-Auskunft
Die in der Auskunft aus der Zulassungsevidenz enthaltenen Daten (Name, Adresse und Information, dass dieser ein Zulassungsbesitzer des angeführten Fahrzeugs ist) sind personenbezogenen Daten i.S.d. Art. 4 Nr. 1 DS-GVO. Die Abfrage des Zulassungsbesitzers, um die durch die Entsorgung des von der betroffenen Person unzulässig zurückgelassenen Müllsacks entstandenen Kosten an den Verursacher weiterverrechnen zu können, stellt i.S.e. ordnungsgemäßen Beitreibung von Forderungen jedenfalls ein berechtigtes Interesse i.S.v. Art. 6 Abs 1 lit. f DS-GVO dar. Bei dem Fall des BVwG Österreich ging es um die Verwendung eines Kfz-Kennzeichens, um den Verantwortlichen einer unberechtigte Müllabladung zu ermitteln.
2.4 BVwG Österreich: Anforderungen an Ausübung von Betroffenenrechten
Das BVwG Österreich hält den Zwang der Verwendung von vorgegebenen Formularen für die Ausübung von Betroffenenrechten für unzulässig, insbesondere wenn deren Nichtverwendung zu unzureichenden Bearbeitungen führt. Es bestätigte das Bußgeld in Höhe von 500.000 Euro (Vorjahresumsatz ca. 2,189 Mrd. Euro)
Klingt nach viel, aber das Mitleid reduziert sich, wenn der ganze Fall berücksichtigt wird: Ein Werbeunternehmen hat Personen auch nach sensiblen Kategorien wie Parteiaffinität klassifiziert. Als das bekannt wurde, gab es sehr viele Auskunftsbegehren – und den Einsatz von entsprechenden Formularen durch das Unternehmen mit der Konsequenz, dass Anträge außerhalb der Formulare nicht ordnungsgemäß bearbeitet wurden und zudem noch Kopien von Ausweispapieren angefordert wurden. Lesenswert sind übrigens auch die Ausführungen zur Bußgeldberechnung.
2.5 OLG Hamm: Abtretungsfähigkeit von Ansprüchen aus Art. 82 DS-GVO
Können Schadenersatzansprüche aus Art. 82 DS-GVO abgetreten werden? Das OLG Hamm bejaht diese Fragestellung, der Anspruch aus Art. 82 DS-GVO sei kein höchstpersönlicher Anspruch (vgl. RN 67 ff des Urteils), auch liege mit der Abtretung kein Verstoß gegen das RDG vor (RN 73 ff), die Geltendmachung einer abgetretenen Forderung sei auch nicht rechtsmissbräuchlich (RN 123 ff).
Zum Inhalt des Anspruchs stellt das OLG Hamm fest, der Versand einer E-Mail mit den angehängten Excel-Tabellen an unberechtigte Dritte einen Verstoß gegen Artt. 24, 32 DS-GVO darstelle, wobei diese Vorschriften und die Pflichten aus Art. 5 DS-GVO zusammen zu betrachten sind (RN 138 ff). Der Umstand, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, zeige, dass die technischen und organisatorischen Maßnahmen, die der Verantwortliche getroffen hat, nicht geeignet i.S.d. Art. 24 DS-GVO und Art. 32 DS-GVO waren, weil dies auf Organisationsmängeln des Verantwortlichen beruht, die den mit der Verarbeitung der betreffenden Daten verbundenen Risiken nicht konkret Rechnung tragen.
Es sei Sache des Verantwortlichen durch organisatorische Maßnahmen im Vorfeld dafür zu sorgen, dass in besonderen Situationen (ungeplante Ereignisse), die im alltäglichen Arbeitsablauf nicht vorkommen und für die es deshalb keine konkreten Weisungen der Beklagten gibt, von ihren Mitarbeitern in der Koordinierenden Einheit vor der Verarbeitung der personenbezogenen Daten Anweisungen – hier zu Art und Weise des Versands der E-Mail – eingeholt werden, deren Einhaltung dann wiederum Verantwortliche der Beklagte zu überprüfen hätten (RN 151).
2.6 LG Hamburg: Entscheidung im Fall LAION
Die schriftlichen Urteilsgründe liegen noch nicht vor. Nach Berichten und Veröffentlichungen in sozialen Medien befand das Gericht, dass keine Urheberrechtsverletzung vorlag, sondern sich LAION auf die Ausnahme des § 60d UrhG (Text- und Data-Mining zu wissenschaftlichen Forschungszwecken) berufen könne. Dabei würde sich LAION als Forschungsorganisation qualifizieren, die Text- und Data-Mining (einschließlich Vervielfältigungshandlungen) zu wissenschaftlichen Forschungszwecken durchführen dürfe. Diese Ermächtigung aus § 60d UrhG erstreckt sich nicht auf Forschungseinrichtungen, die mit einem privaten Unternehmen zusammenarbeiten, das einen gewissen Einfluss auf die Forschungseinrichtung ausübt und bevorzugten Zugang zu den Ergebnissen seiner wissenschaftlichen Forschung hat. Das Gericht stellte jedoch fest, dass die Beweislast für diese Gegenausnahme beim Kläger lag und dass dieser im konkreten Fall einen „präferenziellen Zugang“ und „einen gewissen Einfluss“ durch ein privates (gewerbliches) Unternehmen nicht geltend gemacht oder bewiesen hatte.
Da dies den Richtern die Abweisung des Verfahrens ermöglichte, sei eine Entscheidung über § 44b UrhG nicht erforderlich gewesen. Auch sei ein Hinweis erfolgt, dass es von der Frage abhängen wird, ob der Kläger in der Lage sein wird zu beweisen, dass zum Zeitpunkt des Scrapings eine Technologie existierte, die das Opt-out in natürlicher Sprache auf der Website finden und „verstehen“ konnte.
Mittlerweile liegt das Urteil vor.
2.7 LG Regensburg: Zulässigkeit einer Funkzellenfrage entgegen BGH-Vorgaben
Das LG Regensburg hat bei einer Funkzellenabfrage Vorgaben des BGH nicht berücksichtigt. Und urteilte, Funkzellenabfragen seien auch bei minderschweren Delikten wie einfachem Diebstahl zulässig. Im Fall in Regensburg ging es um einen Diebstahl von Werkzeugen im Wert von 1.000 Euro. Die Staatsanwaltschaft ordnete daraufhin eine Funkzellenabfrage an, um den Täter zu ermitteln. Das Gericht sah die Funkzellenabfrage als verhältnismäßig an, da es sich um eine Straftat von „erheblicher Bedeutung“ handelte. Laut Gericht ist eine Funkzellenabfrage nicht erst ab einer bestimmten Schadenshöhe zulässig, sondern hängt von den Umständen des Einzelfalls ab.
Der BGH hat in solchen Fällen ein Beweisverwertungsverbot angenommen. Eine Besprechung des Themas findet sich hier.
2.8 Zugang zum EuGH
Der EuGH informiert in diesem YouTube-Video (Dauer ca. 4 Min.) über die verschiedenen Zugangswege zu ihm und die verschiedenen Services, die online verfügbar sind.
2.9 BVerfG: Bewertung des BKA-Gesetzes
Das BVerfG hat erneut Regelungen des BKA-Gesetzes zur Überwachung für verfassungswidrig erklärt. Bis Ende Juli 2025 hat der Gesetzgeber nun die Möglichkeit nachzubessern. Die Pressemeldung dazu findet sich hier.
Die Beschwerdeführenden, wie Rechtsanwältinnen, ein politischer Aktivist und Mitglieder der organisierten Fußball-Fanszene, wandten sich unter anderem gegen die Befugnis des Bundeskriminalamts zur heimlichen Überwachung von Kontaktpersonen mit besonderen Mitteln zum Zweck der Terrorismusabwehr und gegen die Regelungen zur Weiterverarbeitung bereits erhobener personenbezogener Daten im Informationssystem des Bundeskriminalamts sowie im polizeilichen Informationsverbund. Der polizeiliche Informationsverbund ist eine gemeinsame föderale Datenplattform der Polizeibehörden des Bundes und der Länder zum Austausch von Daten.
Auch die BfDI bezieht dazu Stellung.
2.10 EuGH: Besondere Kategorien und Werbung (C-446/21)
Im Verfahren C-446/21 zwischen M. Schrems und Meta hat der EuGH am 04.10.2024 entschieden, dass ein soziales Online-Netzwerk wie Facebook nicht sämtliche personenbezogenen Daten, die es für Zwecke der zielgerichteten Werbung erhalten hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden darf.
Es ging um die Verwendung von Aussagen einer Person in der Öffentlichkeit über die eigene sexuelle Orientierung. Diese Information wurde durch Meta für ein Werbeprofil verwendet. Keine gute Idee, meint der EuGH. Dem stünde der in der DS-GVO festgelegte Grundsatz der „Datenminimierung“ entgegen, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Online-Plattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden.
Zudem sei es nach Auffassung des EuGH nicht ausgeschlossen, dass diese Person durch die eigene Aussage bei der fraglichen Podiumsdiskussion die sexuelle Orientierung offensichtlich öffentlich gemacht habe. Dies müsse nun durch das vorlegende Gericht beurteilt werden. Der Umstand, dass eine betroffene Person Daten zu ihrer sexuellen Orientierung offensichtlich öffentlich gemacht hat, führt dazu, dass diese Daten unter Einhaltung der Vorschriften der DS-GVO verarbeitet werden können. Dieser Umstand allein berechtigt jedoch nicht andere personenbezogene Daten zu verarbeiten, die sich auf die sexuelle Orientierung dieser Person beziehen.
Das Urteil ist sicherlich bereichernd für alle, die mit „know-your-customer“ und ähnlichen Zielvorgaben agieren.
Seitens der Wirtschaft wird das Urteil* nicht positiv aufgenommen.
*Franks Anmerkung: Bitte ergänzen Sie „erwartungskonform“ …
Franks Nachtrag: Hier gibt es einen Bericht zum Thema, sicherlich nicht der einzige …
2.11 EuGH: Wettbewerbsrecht und Datenschutz und Art. 9 DS-GVO (C-21/23)
Ebenfalls am 04.10.2024 hat sich der EuGH im Fall Lindenapotheke (C-21/23) geäußert. Im Streit zwischen zwei Apothekern legt er fest, dass nationale Regelungen zulässig seien, die Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt wegen Verstößen gegen die DS-GVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.
Zudem führt er seine Linie fort, die Tatbestandsmerkmale des Art. 9 Abs. 1 DS-GVO weit auszulegen.
In dem Fall, in dem der Betreiber einer Apotheke über eine Onlineplattform apothekenpflichtige Arzneimittel vertreibt, gilt, dass Daten, die seine Kunden bei der Onlinebestellung dieser Arzneimittel eingeben müssen (wie z. B. Name, Lieferadresse und für die Individualisierung der Arzneimittel notwendige Informationen), Gesundheitsdaten im Sinne dieser Bestimmungen sind, auch wenn der Verkauf dieser Arzneimittel keiner ärztlichen Verschreibung bedarf.
Also, wenn ihr euch ein Pflaster oder Kopfschmerztabletten auf Vorrat kauft – oder verkauft, müsst ihr damit rechnen, dass es sich um Daten nach Art. 9 Abs. 1 DS-GVO handeln könnte. Ich denke, bei einem Erste-Hilfe-Kasten für das Auto oder für eine Reise könnte man noch darüber streiten…
Dementsprechend wird dieses Urteil auch interessiert besprochen, wie z.B. hier.
2.12 EuGH: Anforderungen an Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO?
In der Urteilsverkündung des EuGH im Verfahren C-621/22 (Koninklijke Nederlandse Lawn Tennisbond) geht es u.a. um die Frage, inwieweit kommerzielle Interessen auch bei Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden können. Ein Sportverband hatte Daten seiner Mitglieder Dritten (Sponsoren) gegenüber offengelegt, die diese zu Werbezwecke nutzen wollten und dafür an den Verein ein Entgelt entrichteten.
Der EuGH sieht eine Verarbeitung personenbezogener Daten, die darin besteht personenbezogene Daten der Mitglieder eines Sportverbands in Verfolgung des wirtschaftlichen Interesses des Verantwortlichen gegen Entgelt offenzulegen, nur dann im Sinne dieser Vorschrift zur Wahrung der berechtigten Interessen dieses Verantwortlichen als erforderlich an, wenn die Verarbeitung zur Verwirklichung des in Rede stehenden berechtigten Interesses absolut notwendig ist und sofern in Anbetracht aller relevanten Umstände die Interessen oder Grundrechte und Grundfreiheiten dieser Mitglieder gegenüber dem berechtigten Interesse nicht überwiegen. Diese Vorschrift verlangt zwar nicht, dass ein solches Interesse gesetzlich bestimmt wird, sie erfordert jedoch, dass das geltend gemachte berechtigte Interesse rechtmäßig ist.
2.13 EuGH: Zugangsberechtigung zu Daten eines Mobiltelefons durch Polizei (C-548/21)
Im Verfahren C-548/21 legt der EuGH fest, dass der Zugang der Polizei zu den auf einem Mobiltelefon gespeicherten personenbezogenen Daten nicht zwingend auf die Bekämpfung schwerer Kriminalität beschränkt sei.
2.14 Verwaltungsgerichtshof Österreich: Dienstliche Kontaktdaten auf Webseite
Der Verwaltungsgerichtshof Österreich stellt in einem Revisionsverfahren fest, dass eine dienstliche E-Mail-Adresse eines Lehrers nicht dem Kernbereich der geschützten Privatsphäre unterliegt, sondern der Sozialsphäre, die sich etwa durch die Interaktion mit Außenstehenden (hier: Lehrkräften und Schülern bzw. Erziehungsberechtigten) auszeichnet. Die Frage der Zumutbarkeit setzt voraus, dass derselbe legitime Zweck „genauso gut“ mit einem geringeren Maß an Datenverarbeitung oder „ebenso wirksam mit anderen Mitteln“ verwirklicht werden kann. Die Rechtsgrundlage dazu sieht der Verwaltungsgerichtshof wie die Vorinstanz in Art. 6 Abs. 1 lit. e DS-GVO.
2.15 LG Heidelberg: Verwertbarkeit heimlicher Tonbandaufnahme in Zivilprozess
Mit der Frage, ob heimlich aufgenommene Tonbandaufnahmen (hier Beleidigungen) in einem Zivilprozess verwendet werden dürfen, befasste sich das LG Heidelberg am 5. August 2024. Klar, „das kommt darauf an“. Aber auf was es genau ankommt wird hier ausführlich und umfassend dargestellt. Erforderlich ist regelmäßig die Abwägung der betroffenen Rechtsgüter wie etwa der Schutz der Persönlichkeitsrechte gegen das Interesse an der Wahrheitsfindung. Es folgt also nicht immer in jedem Fall automatisch ein Verwertungsverbot.
3 Gesetzgebung
3.1 Bundestag: Sicherheitspaket – Stellungnahmen und Diskussionen
Neben der Veröffentlichung der Stellungnahmen bei der Anhörung zum Sicherheitspaket ist nun auch die Anhörung selbst im Netz auf den Seiten des Bundestages verfügbar. Auch in der Opposition und innerhalb der Regierungsparteien gibt es Diskussionen dazu.
3.2 Data Act: Dateneigentum
Einige Fragen bei der Nutzung von Daten werden mit dem Begriff „Dateneigentum“ verbunden. Damit befasst sich der Rechtsforschungsbericht von Data Europe „What is data ownership, and does it still matter under EU data law?“. Er untersucht das sich entwickelnde Konzept des Dateneigentums innerhalb der Europäischen Union und hebt dabei das Fehlen einer klaren Definition und Regulierung hervor. Da Daten nicht rivalisierend, nicht exklusiv und unerschöpflich sind, argumentiert der Bericht, dass der Schwerpunkt vom Eigentum auf die Rechte des Datenzugriffs und der Datennutzung verlagert werden sollte. Diese Perspektive steht im Einklang mit den Grundsätzen der Open-Data-Community, die sich für die Verfügbarkeit und Wiederverwendung von Daten einsetzt. Der Bericht erörtert, wie der kommende Data Act, der am 12. September 2025 in Kraft treten wird, diese Probleme angeht, indem es die Dateninhaber und nicht das Eigentum regelt und sich auf die Zugangs- und Nutzungsrechte konzentriert. Der Bericht untersucht auch frühere EU- und nationale Rechtsvorschriften im Zusammenhang mit dem Dateneigentum und analysiert verschiedene Eigentumsmodelle und ihre Relevanz außerhalb des Geltungsbereichs des Data Act. Er gibt einen Überblick über die Ansprüche auf Dateneigentum, sowohl auf EU- als auch auf nationaler Ebene. Dabei spiegelt er einen differenzierteren Ansatz bei der Datenregulierung und will so die Zusammenarbeit und einen breiteren Datenaustausch fördern.
3.3 EU-Kommission: Cyber Resilience Act (CRA) Expert Group
Die EU-Kommission sucht Expert:innen für eine Cyber Resilience Act Expert Group. Bewerbungen können bis 17. Oktober 2024 eingereicht werden.
3.4 Umsetzung von NIS2 in Europa
Wenn wir es in Deutschland schon nicht auf die Reihe bekommen, wie machen es denn die anderen? Und Überraschung: Es gibt Mitgliedsstaaten, die schaffen es. Aber wir sind in Deutschland auch hier beim Versagen nicht allein. Details dazu in dieser Veröffentlichung.
3.5 EU-Kommission: Europäisches System für Cybersicherheitszertifizierung
Die EU-Kommission bittet um Hinweise, die bei einem Europäisches System für die Cybersicherheitszertifizierung hilfreich sein können.
Im auf den gemeinsamen Kriterien beruhenden europäischen System für die Cybersicherheitszertifizierung (European Common Criteria-based cybersecurity certification scheme, EUCC) werden in Sachstandsdokumenten Sicherheitsanforderungen oder Evaluierungsmethoden, -techniken und -instrumente beschrieben, die für die Zertifizierung von IKT-Produkten gelten.
Im Rahmen dieser Initiative wird ein neues Dokument im Zusammenhang mit der Akkreditierung von Zertifizierungsstellen eingeführt, ein bestehendes Dokument im Zusammenhang mit der Akkreditierung von Einrichtungen für Cybersicherheitstests geändert und es werden am Haupttext des EUCC mehrere Änderungen vorgenommen.
Rückmeldungen können bis 18. Oktober 2024 eingereicht werden.
3.6 EU-Kommission: Vorschriften für die Notifizierung von Konformitätsbewertungsstellen
Die EU-Kommission bittet auch um Hinweise bei den Vorschriften für die Notifizierung von Konformitätsbewertungsstellen gemäß dem EU-Rechtsakt zur Cybersicherheit. Für jedes europäische System für die Cybersicherheitszertifizierung müssen die jeweiligen nationalen Behörden für die Cybersicherheitszertifizierung der Kommission mitteilen, welche Konformitätsbewertungsstellen in ihrem Land für die Ausstellung europäischer Cybersicherheitszertifikate zuständig sind (Artikel 61 Absatz 1 des Rechtsakts). Diese Stellen müssen hierfür akkreditiert und gegebenenfalls ermächtigt worden sein (Artikel 60 des Rechtsakts zur Cybersicherheit). Mit dieser Durchführungsverordnung legt die Kommission für die verschiedenen Zertifizierungssysteme die Umstände, Formate und Verfahren für solche Notifizierungen fest (Artikel 61 Absatz 5 des Rechtsakts).
Rückmeldungen können bis 18. Oktober 2024 eingereicht werden.
3.7 Bundesrat: Vorratsdatenspeicherung – neuer Versuch
Durch Landesinitiative wird erneut das Thema Vorratsdatenspeicherung in ein Gesetzgebungsverfahren auf Bundesebene eingebracht. Der Entwurf geht auf eine Initiative aus Hessen zurück und sieht eine Pflicht zum Speichern von IP-Adressen und Port-Nummern bei Internetanbietern vor, die aus Sicht des Bundesrates europa- und verfassungsrechtlichen Vorgaben nicht widerspricht. Die Maßnahme soll allein der Bekämpfung schwerer Kriminalität dienen.
3.8 Zuständigkeit der Marktüberwachungsbehörde getroffen?
Wie berichtet wird, hat die Bundesregierung sich für die Bundesnetzagentur (BNetzA) als Marktüberwachungsbehörde nach der KI-VO entschieden. Allerdings soll die „BNetzA“ nicht für alle KI-Anwendungen zuständig werden. Wesentliche Teile der KI-Verordnung sind vor allem im Produktrecht relevant. Das betrifft etwa den Automotive-Bereich, wo das Kraftfahrtbundesamt zuständig bleiben soll, oder das Medizinprodukte-Recht, wo das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) Aufsichtsbehörde ist. Und wenn es um Geld geht, bleibt die Bundesanstalt für Finanzdienstleistungen BaFin nach dem Willen der Bundesregierung die maßgebliche Stelle als sogenannte Marktüberwachungsbehörde. Damit werde verhindert, dass Doppelzuständigkeiten entstehen – und nicht zu vergessen: Die jeweiligen Datenschutzaufsichten bleiben bei auch bei ihrer Zuständigkeit, sobald personenbezogene Daten betroffen sind.
3.9 EU-Kommission: Bericht zu digitaler Fairness
Die Europäische Kommission veröffentlichte ihren Bericht, der als Grundlage für die digitale Fairness dienen wird. Trotz der Bedenken, die die Verbraucher in Bezug auf Profiling und Datennutzung geäußert haben, sind B2C-Personalisierungspraktiken gemäß den zu bewertenden Richtlinien nicht per se unfair oder illegal, sofern der Unternehmer die DS-GVO, die ePrivacy-Richtlinie, den Digital Service Act, den Digital Markets Act und andere geltende Rechtsvorschriften, wie z. B. die Richtlinie über audiovisuelle Mediendienste (AVMSD), vollständig eingehalten hat. Mögliche rechtliche Bedenken ergeben sich aus dem Gesichtspunkt des Verbraucherschutzes, wenn Unternehmer in Bezug auf die Personalisierung nicht hinreichend transparent sind oder wenn sie Informationen über die Schwachstellen bestimmter Verbraucher oder einer Gruppe von Verbrauchern nutzen, um ihre Entscheidungsfindung in einem kommerziellen Kontext zu verzerren.
3.10 EU-Kommission: Evaluierung des freien Datenverkehrs
Die EU-Kommission startet eine Ausschreibung zur Evaluierung des freien Datenverkehrs. Für drei Rechtsakte (Verordnung über den freien Verkehr nicht personenbezogener Daten, Richtlinie über offene Daten, Data Governance Act) ist eine Evaluierung erforderlich, die eine wichtige Rolle bei der Stärkung des vertrauenswürdigen Datenaustauschs zwischen Sektoren und Mitgliedstaaten im Hinblick auf die Schaffung eines Binnenmarktes für Daten spielen. Die Studie wird die Vorteile der drei Rechtsakte bewerten und Belege für die Erreichung ihrer Gesamtziele liefern. Sie wird der EU-Kommission quantitative und qualitative Belege für die Erstellung der Evaluierungsberichte und potenzieller Folgenabschätzungen liefern. Termine und weitere Informationen finden sich hier dazu.
3.11 BMI: Digitaler Ausweis per Smartphone
Machen wir es kurz: Die Ankündigung, dass künftig ein digitaler Ausweis über das Smartphone möglich sein soll, klingt toll. Das Ganze aber ohne zusätzliche Karte oder ein Lesegerät anzudenken klingt, äh … authentisch? Aber es gibt ja noch am 9. Oktober 2024 eine Online-Konferenz, bei der sich Interessierte beteiligen und Fragen stellen können. Von Antworten sagt diese Ankündigung allerdings nichts.
3.12 Aktueller Stand zur NIS2-Umsetzung
Hier finden sich der Gesetzentwurf der Bundesregierung vom 2. Oktober 2024 und der Stand des Gesetzgebungsverfahrens.
4 Künstliche Intelligenz und Ethik
4.1 AI Act im Fokus – Aufzeichnungen und Folien
Von der Expertentagung „AI Act im Fokus“ des Instituts für Rechtsinformatik der Universität des Saarlandes wurden die aufgezeichneten Vorträge und Folien veröffentlicht. Zusammen mit dem Programm finden sie sich hier.
4.2 Betreiberpflichten einer Hochrisiko-KI nach der KI-VO
Freundlicherweise hat der Verfasser des Beitrags „Welche Pflichten haben Betreiber von Hochrisiko-KI-Systemen nach der EU-KI-Verordnung“ diesen frei zugänglich veröffentlicht.
4.3 USA FTC: Aktionen gegen KI-Unternehmen „Operation AI Comply“
Die Federal Trade Commission (FTC) hat ihre Durchsetzungsbemühungen in Bezug auf KI-Praktiken verstärkt und im Rahmen ihrer neuen Initiative „Operation AI Comply“ Maßnahmen gegen fünf Unternehmen wegen irreführender Behauptungen über ihre KI-Tools eingereicht.
Damit beabsichtigt sie KI-Technologien zu regulieren, um die Verbraucher vor irreführenden Praktiken zu schützen, und hat die Bedeutung von Transparenz betont und die Unternehmen aufgefordert ihre KI-Fähigkeiten genau darzustellen. Einen Fall davon lesen Sie hier.
4.4 75 Definitionen der KI-VO
In dieser Veröffentlichung auf LinkedIn werden alle 75 Definitionen der KI-VO auf 20 Seiten mit Fundstellenangaben dargestellt.
4.5 Governance für KI: Verbesserung der Regierungsführung durch KI
Das Center for Democracy & Technology veröffentlichte seinen Bericht „Improving Governance Outcomes Through AI Documentation: Bridging Theory and Practice„. Dabei stellen sie fest, dass eine KI-Dokumentation ein grundlegendes Instrument zur Steuerung von KI-Systemen, sowohl durch Interessengruppen innerhalb als auch außerhalb von KI-Organisationen, sei. Sie biete einer Reihe von Interessengruppen Einblicke in die Entwicklung, Funktionsweise und Risiken von KI-Systemen. So kann sie beispielsweise internen Teams für Modellentwicklung, Governance, Compliance und Qualitätssicherung dabei helfen während des gesamten Entwicklungs- und Bereitstellungszyklus über Risiken zu kommunizieren und diese zu managen. Die Dokumentation kann auch externen Technologieentwicklern dabei helfen zu bestimmen, welche Tests sie an Modellen durchführen sollten, die sie in ihre Produkte integrieren, oder sie kann Benutzern als Orientierungshilfe bei der Entscheidung dienen, ob sie eine Technologie übernehmen sollten oder nicht. Obwohl die Dokumentation für eine effektive KI-Governance unerlässlich ist, hänge ihr Erfolg davon ab, wie gut Organisationen ihre Dokumentationsansätze auf die unterschiedlichen Bedürfnisse der Interessengruppen, einschließlich technischer Teams, Entscheidungsträger, Benutzer und anderer nachgeschalteter Nutzer der Dokumentation, zuschneiden.
4.6 Arbeitsrechtliche Ausgestaltung von KI-Richtlinien im Betrieb
Die neuesten Innovationen im Bereich der generativen KI bewegen viele Unternehmen dazu eigene KI-Strategien zu entwickeln. In diesem Zusammenhang sollte beachtet werden, dass KI im Unternehmen letztlich auch ein Arbeitsmittel ist – und sich daher vielfältige arbeitsrechtliche Fragestellungen ergeben. Hinweise und Tipps aus arbeitsrechtlicher Sicht dazu finden sich in den LinkedIn-Blog-Seiten einer Kanzlei.
4.7 CEN-CENELEC JT21: Dashboard zur KI-Standardisierung
Die europäischen Normungsgremien machen einen wichtigen Schritt in Richtung zu mehr Transparenz und das ist ein Wendepunkt für alle, die sich intensiv mit der Regulierung von KI beschäftigen. Das Europäische Komitee für Normung (CEN) ist eine von drei europäischen Normungsorganisationen (zusammen mit CENELEC und ETSI), die von der Europäischen Union und der Europäischen Freihandelsassoziation (EFTA) offiziell als für die Entwicklung und Festlegung freiwilliger Standards auf europäischer Ebene zuständig anerkannt wurden. CEN und CENELEC haben den neuen gemeinsamen technischen Ausschuss 21 (Joint Technical Commitee 21 = JCT21) „Künstliche Intelligenz“ eingerichtet, der auf den Empfehlungen basiert, die aus der CEN-CENELEC-Antwort auf das Weißbuch der Europäischen Kommission zur KI, dem CEN-CENELEC-Fahrplan der Fokusgruppe zur Künstlichen Intelligenz und der deutschen Normungs-Roadmap für Künstliche Intelligenz stammen.
Für die Standards im KI-Umfeld hat CEN-CENELEC JT21 sein Dashboard in drei Sprachen veröffentlicht.
JTC21 arbeitet dabei eng mit ISO/IEC SC42 zusammen, um die Normenanforderung des EU-KI-Gesetzes zu unterstützen. Der Ausschuss konzentriert sich darauf Lücken zwischen den Anforderungen des KI-Gesetzes und bestehenden oder kommenden ISO-Normen zu schließen. Das Dashboard und der Arbeitsplan werden kontinuierlich aktualisiert, wobei das „Live“-Dashboard weitere Details zu den Projektzeitplänen enthält. Alle JTC21-Projekte, die die Normenanforderung unterstützen, haben nun die Genehmigungsphase durchlaufen und befinden sich in der Entwurfsphase.
4.8 KI-Regulierung in Deutschland
Mit der veröffentlichten Studie „KI-Regulierung Made in Germany?“ zur nationalen Umsetzung der KI-VO soll deren die nationale Umsetzung entschlossen und aktiv unterstützt werden. Die Studie zeigt gegen Angabe einer E-Mail-Adresse vier zentrale Handlungsfelder auf, die für eine erfolgreiche nationale Umsetzung entscheidend sind: Zentralisierung der Marktüberwachung; Stärkung der notifizierten Stellen für Konformitätsbewegungen; Schaffung von Reallabore für KI-Innovationen und regulatorisches Lernen; Standardisierung der Grundrechte-Folgenabschätzungen.
4.9 AI Office: Code of Practice
Im Rahmen der Online-Kick-off-Veranstaltung der Arbeitsgruppen für die Erarbeitung eines General Purpose AI Code of Practice mit ca. 1000 Teilnehmenden wurden die Vorsitzenden der vier Arbeitsgruppen bekanntgegeben. Die Arbeitsgruppen befassen sich mit diesen Themen:
- Transparency and copyright-related rule
- Risk identification and assessment, including evaluations
- Technical risk mitigation
- Internal risk management and governance of General-purpose AI providers
4.10 CDT: Bessere KI Governance durch Dokumentation
Das Center for Democracy & Technology (CDT) veröffentlichte seinen Report „Improving Governance Outcomes Through AI Documentation: Bridging Theory and Practice”. Darin kommt es zu der Erkenntnis, dass Dokumentation ein entscheidender Faktor für die effektive Governance von KI sei. Es wurde dafür untersucht, wie Dokumentationsprozesse gestaltet werden können, um KI-Systeme transparenter und verantwortungsbewusster zu machen. Dazu hebt der Bericht hebt vier zentrale Mechanismen hervor, durch die Dokumentation die Governance von KI-Systemen verbessern kann: Information der Stakeholder über die Nutzung und Risiken der Systeme, Förderung der Zusammenarbeit zwischen Teams und Abteilungen, Anregung ethischer Reflexionen in der Entwicklung und das Stärken von Best Practices in der Governance.
Ein entscheidendes Dilemma in der Dokumentation sei zudem die Frage nach der Standardisierung. Standardisierte Dokumentation ermöglicht Vergleichbarkeit und institutionelle Konsistenz, während maßgeschneiderte Ansätze spezifische Risiken und Anforderungen besser adressieren können. Der Report endet mit konkreten Empfehlungen, wie Unternehmen ihre Dokumentationsstrategien verbessern können, z. B. durch die regelmäßige Überprüfung von Erfolgsmetriken und durch die Berücksichtigung der Bedürfnisse verschiedener Stakeholder.
4.11 Herausforderungen an die Regulatorik bei Daten, KI und Plattformen
Das ist in etwas frei übersetzt der Titel „Data, Artificial Intelligence, and Platforms as a Triple Challenge for Economic Regulation”, der als Vorabveröffentlichung („Regulatory Competition in the Digital Economy“) nun erschien. Der digitale Binnenmarkt ist Schauplatz großer sozialer und technologischer Umwälzungen. Big Data, künstliche Intelligenz und Plattformen stellen Gesetzgeber und globale Unternehmen gleichermaßen vor grundlegende Herausforderungen. Der Artikel bietet einen Überblick über die wichtigsten Merkmale, Herausforderungen und Forschungslücken bei der Analyse und Regulierung des digitalen Binnenmarktes.
4.12 IAPS: “Mapping Technical Safety Research at AI Companies”
Das Institute for AI Policy and Strategy (IAPS) veröffentlichte im September 2024 Erkenntnisse zur sicheren Entwicklung aus drei KI-Unternehmen Anthropic, Google DeepMind und OpenAI. Dabei wird „sichere KI-Entwicklung“ als die Entwicklung von KI-Systemen definiert, bei denen ein großflächiger Missbrauch oder Unfallrisiken unwahrscheinlich sind. Dazu wurden alle von den drei Unternehmen von Januar 2022 bis Juli 2024 veröffentlichten Papiere analysiert, die für die sichere KI-Entwicklung relevant sind, und die 80 enthaltenen Papiere in neun Sicherheitsansätze kategorisiert. Das Ergebnis findet sich im Bericht „Mapping Technical Safety Research at AI Companies”.
4.13 OWASP AI Exchange: AI Security Overview
Mit Sicherheitsaspekten bei KI befasst sich auch die OWASP AI Exchange. Zur Eindämmung der Risiken, die KI mitzubringt, empfehlen sie die neuen Risiken wie Sicherheitsbedrohungen mit einem klaren Verständnis der potenziellen Bedrohungen und der entsprechenden Kontrollen anzugehen. Mehr dazu hier.
4.14 LinkedIn trainiert KI mit Nutzerdaten
Wie hier berichtet wird, habe LinkedIn seine Nutzungsbedingungen geändert, um personenbezogene Daten auch zu verwenden, „um Produkte und Dienstleistungen zu verbessern, zu entwickeln und bereitzustellen, Modelle der Künstlichen Intelligenz (KI) zu entwickeln und zu trainieren, unsere Dienstleistungen zu entwickeln, bereitzustellen und zu personalisieren.“ Auch sei es nun möglich „mit Hilfe von KI, automatisierten Systemen und Rückschlüssen Erkenntnisse zu gewinnen, damit unsere Dienstleistungen für Sie und andere relevanter und nützlicher werden können“. Diese Nutzung erstreckte sich derzeit aber nicht auf die EU und den EWR. Und da, wo die Daten so genutzt würden, gelten natürlich ethische Grundsätze und es gäbe auch eine Opt-Out-Möglichkeit.
Nochmal: Opt-Out heißt, sie nutzen es erstmal, es sei den jemand entscheidet sich bewusst dagegen.
Kaum vorstellbar, dass sich das jemand in der EU trauen würde, oder?
5 Veröffentlichungen
5.1 Neue EVB-IT
Die EVB-IT sind die Einkaufsbedingungen des Bundes für IT-Leistungen und setzen oft Standards, insb. für die öffentliche Verwaltung. Das BMI informiert nun, dass nach Verhandlungen mit der IT-Wirtschaft (z.B. dem bitkom) die öffentliche Hand alle elf bisher veröffentlichten Leistungsbereiche der Ergänzende(n) Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) unter einem Dach in einer Rahmenvereinbarung vereint hat. Die neue EVB-IT Rahmenvereinbarung in dem Vertragserstellungstool EVB-IT wird digital zur Verfügung gestellt.
5.2 Rechtsvergleich zu White Hat Hacking – bei uns durch § 202a StGB problematisiert
In Deutschland können IT-Sicherheitsexperten gemäß § 202a StGB strafrechtlich belangt werden, wenn sie bei der Suche nach Schwachstellen ohne Erlaubnis auf IT-Systeme zugreifen. Die Hintergründe und ein Vergleich zu anderen Ländern finden sich hier. Zur Thematik hatten wir bereits anlässlich eines Urteil des Amtsgerichts Jülich inklusive Erläuterungen aus strafrechtlicher Sicht berichtet.
5.3 Datenleck bei großen Unternehmen
Hier wird über ein großes Datenleck berichtet. Die Daten von 590 Millionen Kunden standen danach im Darknet zum Verkauf. Ursächlich sei ein schwerwiegender Cyberangriff auf Kundendaten der Kartenverkaufsplattform Ticketmaster und der spanischen Bank Santander gewesen. Zu den offengelegten Daten gehören Namen, E-Mailadressen, Telefon-, Kreditkarten- und Kundennummern und Kontostände, die zum Teil über 20 Jahre zurückreichen. Erwartungskonform erfolgen solche Informationen oft mit dem dezenten Hinweis, dass Auskunfts- und Schadensersatzansprüche möglich seien. So ist es auch hier.
5.4 Kirchlicher Datenschutz für Zeugen Jehovas?
Über die Entscheidung des VG Berlin zu den Datenschutzregelungen der Zeugen Jehovas hatten wir bereits berichtet. Die Entscheidung wird hier ausführlich besprochen.
5.5 Wissenslandkarte zur digitalen Transformation
Das Bayerisches Forschungsinstitut für Digitale Transformation (bidt) hat eine Wissenslandkarte zur digitalen Transformation veröffentlicht. Die ist eine interaktive Übersicht zur Erkundung von Wissen rund um die digitale Transformation. Zentrale Begriffe werden als Knoten dargestellt, während besondere Phänomene als Kanten (Verbindungslinien zwischen den Knoten) angezeigt werden. Alle Knoten und alle Kanten enthalten weiterführende Artikel, die ausführliche Informationen bieten. Über die Zeit sind immer weitere, neue Inhalte angekündigt.
5.6 Löschverpflichtungen bei Fahrzeugdaten
Auf einer Seite mit dem sprechenden Namen privacy4cars wird gegen die Angabe von Daten ein Whitepaper angeboten, das sich mit Fragestellungen rund um Fahrzeugdaten, insb. mit der Löschverpflichtung, befasst. Es wird versprochen, dass dieses Whitepaper mit einer rechtlichen Analyse die Verpflichtungen der für die Datenverarbeitung Verantwortlichen im Automobilbereich gemäß der DS-GVO zur Löschung personenbezogener Daten in Fahrzeugen, einschließlich Autohäusern, Leasing-, Kfz-Finanzierungs-, Kfz-Versicherungs-, Autovermietungs-/Carsharing-Unternehmen, Herstellern, Flottenmanagement und mehr, in Bezug auf die in Fahrzeugen gesammelten und gespeicherten personenbezogenen Daten (z. B. Navigations- und Smartphone-Daten) klärt. Es befasst sich mit den Rollen und Verantwortlichkeiten bestimmter Auftragsverarbeiter in Bezug auf die Datenlöschung. Es will auch die Notwendigkeit eines dokumentierten Verfahrens, eines robusten Prozesses und der Verwendung relevanter Software klären. Die Aussagen seien mit dem ICO, der Datenschutzaufsicht im Vereinigten Königreich, abgestimmt.
5.7 Dark Patterns und die innere Sphäre der Grundrechte
Eine Gestaltung mit einem bestimmten Ziel ist per se nicht rechtswidrig. Aber unter dem Stichwort Dark Pattern verstehen wir eine manipulative Gestaltung, die Entscheidungsschwächen ausnutzt. In dieser frei zugänglich veröffentlichten Dissertation aus dem Jahr 2023 „Dark Patterns und die innere Sphäre der Grundrechte“ befasst sich der Verfasser vertieft damit und entwickelt Leitlinien dazu, wie der Gesetzgeber bestehende Vorschriften zum Entscheidungsschutz anpassen könnte, um wirksam vor den Gefahren von Dark Patterns zu schützen und ein behavioristisches Marktversagen abzuwenden.
5.8 Managerhaftung z.B. nach NIS2
Ich habe es kommen sehen: Eine direkte Haftungsregelung für Manager sorgt mehr für IT-Sicherheit als Powerpoint-Folien in Awareness-Maßnahmen. Mit den Haftungsrisiken bei der Managerhaftung am Beispiel der NIS-2-Richtlinie befasst sich dieser Blog-Beitrag einer Kanzlei. Den Handlungsempfehlungen, die jüngsten Maßnahmen des europäischen sowie nationalen Gesetzgebers im Blick zu behalten und Organisations- sowie Überwachungsstrukturen anzupassen, um kostspielige Sanktionierungen von Geschäftsleiter und Gesellschaft zu vermeiden, ist nichts hinzuzufügen.
5.9 Security unter Kontrolle? – NIS2
Auf einer Veranstaltung zum Thema der Überschrift wurde auch der aktuelle Stand zur Umsetzung der NIS2-Richtlinie thematisiert. Der Vortrag ist auf YouTube (Dauer ca. 35 Min.) abrufbar.
5.10 Überblick zu Bußgeldern in Österreich
In Österreich hat die dortige Datenschutzbehörde (DSB) hat in den letzten Monaten Geldbußen zwischen 5.900 Euro und 50.000 Euro verhängt. Diese Entscheidungen bieten spannende Einblicke in die Strafzumessung bei Datenschutzverstößen und werden in diesem Blog-Beitrag eines Beratungsunternehmens besprochen.
5.11 Data Protection by Design – und die Aufsichtsbehörden
Wie genau bestimmt sich der Anwendungsbereich des Art. 25 Abs. 1 DS-GVO? Diese Veröffentlichung mit dem Titel The Many Shades of Impact Assessments versucht, den materiellen Anwendungsbereich dieser Bestimmung zu klären. Dazu werden die drei Kernkomponenten von Art. 25 Abs. 1 DS-GVO im Lichte der Ergebnisse einer Überprüfung der Rechtsprechung analysiert, die 177 Verwaltungs- und Gerichtsentscheidungen von 26 Aufsichtsbehörden in 24 Ländern zwischen dem Inkrafttreten der DS-GVO und dem 31. Dezember 2023 umfasst. Dieser Prozess hat die Rolle des Datenschutzes durch Technikgestaltung als Ersatz für die Grundrechtsfolgenabschätzung aufgezeigt und den Mehrwert für die Gewährleistung der Flexibilität und Zukunftssicherheit der Verordnung verdeutlicht.
5.12 IAPP: Organizational Digital Governance Report 2024
Entropie ist ein wissenschaftlicher Begriff, der gemeinhin mit einem Zustand der Unordnung und Ungewissheit in Verbindung gebracht wird. Ein Merkmal der Entropie ist, dass sie der Theorie zufolge mit der Zeit zunimmt. Daher beschreibt die IAPP ihren Bericht mit „Von der digitalen Entropie zur digitalen Verantwortung“. Unkontrolliert oder ungebremst erzeugt Entropie mehr Entropie. Die Entwicklung, Integration und Verbreitung neuer Technologien in unseren Gesellschaften haben weitreichende, transformative und manchmal destabilisierende Auswirkungen. Sie schaffen nicht nur große Chancen und neue Risiken, sondern können auch den Status quo auf den Kopf stellen und sorgfältig ausgearbeitete Regierungs- und Regulierungsmechanismen, die oft für das vordigitale Zeitalter konzipiert wurden, durcheinanderbringen. Neue regulatorische, ethische und organisatorische Initiativen zielten darauf ab sicherzustellen, dass solche Technologien verantwortungsvoll und sicher eingesetzt werden.
Für Unternehmen und Organisationen ist es eine komplexe Aufgabe die Überschneidungen, Lücken und sogar Konflikte zwischen den soziotechnischen und regulatorischen Bereichen zu verstehen und zu bewältigen. Die Entwicklung und Umsetzung wirksamer struktureller Antworten auf die Komplexität unserer digitalen Regulierungswelt wird zu einer strategischen Priorität innerhalb von Organisationen. Seit Januar untersuche die IAPP, inwieweit Organisationen derzeit ihre Ressourcen und Entscheidungsfindung strukturieren oder dies beabsichtigen, um auf die digitale Governance zu reagieren. Der Bericht ist hier verfügbar.
5.13 Genetische Daten bei Unternehmen in wirtschaftlichen Turbolenzen
Das US-amerikanische Unternehmen 23andMe hatte sein Geschäftsmodell in genetischen Analysen – nun ist es in wirtschaftlichen Schwierigkeiten und könnte in die Insolvenz gehen. Was passiert dann mit den Daten der Personen, die dort hinterlegt sind?
Ist es sarkastisch nun an das Papier der DSK zum Asset Deal zu denken?
Franks Nachtrag: In diesem Beitrag wird (in der ersten Hälfte des Beitrags) 23andMe mit einem Social Network verglichen. Zumindest beim Verkauf scheint es Parallelen zu geben.
Und hier wird über die Folgen der Datenschutzverletzung aus dem letzten Jahr (wir berichteten) geschrieben. Läuft wohl nicht so gut für sie, so mit Bußgeldern und so.
5.14 Microsoft passt Regelungen bei Recall an
Wie berichtet wird scheint Microsoft bei den Regelungen zu der Funktion „Recall“ nun Anpassungen vorzunehmen, die eine individuelle Steuerung ermöglichen sollen.
Franks Nachtrag: Nach diesem Beitrag soll weiterhin alle fünf Sekunden der Bildschirminhalt aufgenommen und gespeichert werden. Dass muss nicht allen gefallen … Davon unbeeindruckt gibt Microsoft nach diesem Beitrag Recall nicht auf. War ja klar, dass das auch so ein Zombie wird, im Oktober 2024 soll er wohl wieder auf Ihre Windows-PCs kommen …
5.15 DSFA-Vorlagen – auch mit KI
Wieder mal was aus der Schweiz. Von dort gibt es jetzt wieder ein Update einer Vorlage zu einer Datenschutz-Folgenabschätzung des Vereins Unternehmens-Datenschutz (VUD). Sie finden sie hier mit weiteren Links.
Es gibt aber auch eine KI-gestützte Vorlage, die nun auch mit Azure OpenAI Services (sowie anderen APIs) funktioniert und auch das neue OpenAI Model o1 unterstützt. Mehr dazu hier.
Franks Nachtrag: Das überzeugt bestimmt die Aufsichtsbehörde … wenn doch KI drin ist … 🙄
5.16 bitkom und Umfragen zum Datenschutz
Wieder mal der bitkom und wieder mal eine Umfrage zum Datenschutz. Und wieder erwartungskonform. Oder welche Ergebnisse sind zu erwarten bei einer Frage „Wie ist allgemein der Aufwand für den Datenschutz in Ihrem Unternehmen?“ und es als Antwortmöglichkeiten „sehr hoch“; „eher hoch“; „eher niedrig“; „sehr niedrig“ und „weiß nicht“ angeboten wird? Und es offenbleibt, welche Ebene des Unternehmens auf Basis welcher Definition dieser Antwortmöglichkeiten antwortete. Immerhin wurden 605 Unternehmen befragt.
Was man aber auf alle Fälle aus der Darstellung dieser Umfrage mitnehmen kann: Das Image des Datenschutzes hat Potential nach oben. Vielleicht schafft es der bitkom oder auch mal der DHIK danach zu fragen, ob sich das IT-Sicherheitsniveau durch Datenschutzmaßnahmen verbessert hat oder ob sich durch eine konsequente Nutzung eines Verarbeitungsverzeichnisses die Übersicht über nutzbare Daten verbesserte.
5.17 Interview zu Messengern in Unternehmen
In diesem Interview wird die Thematik der Nutzung von Messengern in Unternehmenskontext angesprochen, obwohl die meisten sich der Unsicherheit und Risiken bewusst sind. Zu den zentralen Erkenntnissen zählt, dass solche Chat-Apps als Risiko toleriert werden. Und dies, obwohl sie als unsicher angesehen werden, nicht DSGVO-konform sind und sich das Management der Tatsache bewusst ist, dass sie für den Austausch von sensiblen Unternehmensdaten nicht geeignet sind und die Privatsphäre der Mitarbeitenden ungenügend schützen.
Passend dazu auch dieser Beitrag zur Nutzung von WhatsApp im Privaten.
5.18 Italien: DSB-Zertifizierung
Nach diesem Artikel sind bei der italienischen Datenschutzaufsicht 68.000 Datenschutzbeauftragte gemeldet. Um hier ein vergleichbares Niveau annehmen zu können, wird hier auf die Qualifizierung von Datenschutzbeauftragten gemäß der neuen UNI CEI EN 17740:2024 „Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten“ und UNI/TS 11945:2024 „Bewertung der Konformität mit den in UNI EN 17740 ‚Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten‘ festgelegten Anforderungen verwiesen. Die technischen Normen ersetzen die UNI 11697:2017 und die UNI PdR 66:2019, die bisher in Italien angewandt wurden, und bieten neben anderen Vorteilen auch einen internationalen Ansatz, da sie im Rahmen der ISO entstanden sind.
Die Ausstellung neuer Zertifizierungen und die Umstellung bestehender Zertifizierungen auf diesen Rahmen wird von Stellen durchgeführt, die nach UNI CEI EN ISO/IEC 17024 akkreditiert sind und Berufsangehörige zertifizieren.
Um den Weg der Akkreditierung zu skizzieren, haben die Verfasser des Artikels das Technische Rundschreiben DC Nr. 26/2024 „Übergangsregeln und Beginn der Akkreditierung für die Normen UNI CEI EN 17740 und UNI/TS 11945 in Übereinstimmung mit ISO/IEC 17024“ veröffentlicht. Weitere Informationen sind dem Artikel entnehmbar.
5.19 Veranstaltungen
5.19.1 bitkom privacy conference
09./10.10.2024, 13:00 Uhr (am 09.10.) – 16:30 Uhr (am 10.10.), Berlin und online: Unter dem aussagekräftigen Titel „Next generaton privacy – 360° data protection“ lädt der bitkom ein sich mit aktuellen Fragestellungen zu befassen. Der erste Tag findet auf Deutsch statt, der zweite auf Englisch. Das komplette Programm findet sich hier. Nach der Liste der Redner:innen ist davon auszugehen, dass es nicht nur Ansichten aus der Perspektive der Premium-Partner gibt. Tickets gibt es hier.
5.19.2 D21: GovTalk zu staatlicher digitaler Identität am Beispiel eIDAS-Verordnung
10.10.2024, 11:30 – 16:00 Uhr, Berlin: Was ist der Status quo beim Thema staatliche digitale Identität und wohin geht die Reise – insbesondere mit Blick auf die eIDAS-Verordnung der Europäischen Kommission? Das ist eines der Themen beim GovTalk der Initiative D21 in Berlin. Weitere Informationen und Anmeldung hier.
5.19.3 Stiftung Datenschutz: DFSA und KI-Folgenabschätzung beim Einsatz einer KI-Anwendung
10.10.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz befragt dieses Mal Experten zur DSFA nach Art. 35 DS-GVO sowie die Grundrechte-Folgenabschätzung nach Art. 27 KI-VO. Dabei wird zunächst erörtert, ob KI-Anwendungen grundsätzlich eine DSFA erfordern, oder ob Schwellwertanalysen hier auch zu einem anderen Ergebnis kommen können. Im Anschluss wird diskutiert, unter welchen Bedingungen der Einsatz einer KI-Anwendung eine DSFA erfordert, und welche spezifischen Risiken durch die Nutzung einer KI-Anwendung entstehen können. Im Ergebnis werden Gemeinsamkeiten und Unterschiede von Datenschutz- und Grundrechte-Folgenabschätzungen für Hochrisiko-KI-Systeme sowie mögliche Synergieeffekte dargestellt. Weitere Informationen und Anmeldung hier.
5.19.4 IHK Bayern: Webinarreihe zu IT-Sicherheit -neu-
ab 10.10.2024, vor Ort oder online: Ab dem 10. Oktober 2024 bietet die IHK in Bayern vor-Ort-Seminare aber auch Webinare zum Thema „Genauer hinsehen – Effektive Maßnahmen für Ihre IT-Sicherheit“ an. In leicht verständlicher Form wird Unternehmen und Organisationen praxisnah vermittelt, worauf sie achten müssen, denn Cyberangriffe können die Existenz von Unternehmen gefährden, daher sei IT-Sicherheit entscheidend. In den elf Veranstaltungen wird der Schwerpunkt darauf gelegt kleinen und mittleren Betrieben bei der Verbesserung ihrer IT-Sicherheit zu helfen. Experten aus dem Bereich IT-Sicherheit stellen unterschiedliche Schutzmaßnahmen und praxisnahe Ratschläge vor. Details mit Terminen und Themen sind hier hinterlegt.
5.19.5 digitalcourage: Verleihung Big Brother Award 2024 -neu-
10.10.2024, ab 18:00 Uhr, Bielefeld und online: In Bielefeld werden ab 18:00 Uhr wieder die Auszeichnungen verliehen für (vermeintlich?) übergriffige Datenverarbeitungen. Die Veranstaltung wird auch live gestreamt, weitere Informationen hier.
5.19.6 ECEC – „European Compliance & Ethics Conference”
15.10.2024, online: Mit dem Thema „Transforming Compliance: Closing the Trust Gap in an Uncertain World“ sollen Personen angesprochen werden, die sich als Vordenker ampfinden, um zu untersuchen, wie wir uns in der heutigen komplexen Landschaft zurechtfinden und erfolgreich sein können. Mehr Informationen und Anmeldung hier.
5.19.7 EAID: Cybersecurity und Datenschutz – ein globales Spannungsfeld?“ -neu-
16.10.2024, 16:00 – 17:30 Uhr, online: Die Berichte über Cyberangriffe und Sicherheitspannen bei IT-Systemen mehren sich. Die EU hat mit der NIS2-Richtlinie verbindliche Regeln zum verbesserten Schutz „kritischer“ informationstechnischer Infrastrukturen festgelegt. Zu den scheinbar widersprüchlichen Aspekten bei der Verarbeitung von personenbezogenen Daten als Schutzmaßnahme diskutieren Expert:innen. Weitere Informationen und Anmeldung hier.
5.19.8 BVDW: DATA:matters
17.10.2024, 09:00 – 23:00 Uhr, Berlin: Der Bundesverband Digitale Wirtschaft (BVDW) stellt mit seiner Konferenz DATA:matters das Thema Daten erneut in den Mittelpunkt. Es wird vorgetragen und diskutiert, was Daten für uns bedeuten – wirtschaftlich, politisch, regulatorisch, aber auch gesellschaftlich. Die Digitale Wirtschaft will Daten vor allem nutzen und das zum Nutzen von allen. Zugleich sei der verantwortungsvolle Umgang mit Daten und der Datenschutz ein inhärentes Anliegen des Verbandes. Verbraucherinnen und Verbraucher sollen Produkte und Dienstleistungen gerne nutzen – und das zu ihrem eigenen Vorteil. Soweit die Ankündigung. Auch die neue BfDI darf ihre Vorstellung von Datennutzung und Datenschutz einbringen. Passenderweise findet die Veranstaltung bei Google statt. Weitere Informationen und Anmeldung hier.
5.19.9 LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
Die Landesmedienanstalt Saarland (LMS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzen sich in ihrer 9-teiligen Vortragsreihe mit der KI-Transformation und deren Auswirkungen intensiv auseinander. Weiteren Informationen auch zur Anmeldung zur jeweiligen Veranstaltung in den Links. Ein Flyer zu weiteren Informationen findet sich hier.
- 17.10.2024, 16:00 – 17:30 Uhr: Vertrauenswürdige KI: Was ist das und worauf kommt es an?
- 31.10.2024, 16:00 – 17:30 Uhr: Macht KI uns zu Zombies? Eine Anleitung zum Überleben
- 14.11.2024, 16:00 – 17:30 Uhr: KI und Journalismus
- 05.12.2024, 16:00 – 17:30 Uhr: Prüfungsszenarien für KI-Anwendungen: Der EU AI Act in seiner Umsetzung
- 16.01.2025, 16:00 – 17:30 Uhr: Künstliche Intelligenz in der öffentlichen Verwaltung
- 30.01.2025, 16:00 – 17:30 Uhr: KI, (Un)Fairness und Automation: Was macht KI mit uns, was machen wir mit KI?
- 13.02.2025, 16:00 – 17:30 Uhr: Vielfalt stärken, Verantwortung regeln, Vertrauen wahren: KI in Informationstechnik, Medienaufsicht und Regulierung
5.19.10 LfDI Rheinland-Pfalz: Freiheit vs. Sicherheit – Veranstaltung „Watching You“ -neu-
17.10.2024, ab 18:00 Uhr, Mainz: Big Brother is watching you – wie sieht die Überwachungswirklichkeit 40 Jahre nach George Orwells Dystopie 1984 aus? Biometrische Gesichtserkennung, komplexe automatisierte Datenanalysen: Die Tendenz zur allumfassenden Überwachung und deren Grenzen stehen im Mittelpunkt einer Kino- und Diskussionsveranstaltung in Mainz. In Kooperation mit dem Kino CinéMayence zeigt der rheinland-pfälzische Landesdatenschutzbeauftragte den aktuellen Dokumentarfilm WATCHING YOU – DIE WELT VON PALANTIR UND ALEX KARP. Vor dem Film gibt es eine Diskussion mit dem Präsidenten des Landeskriminalamts und dem Autor des Dokumentarfilms über das Spannungsverhältnis von Freiheit und Sicherheit. Weitere Informationen zur Veranstaltung hier und insbesondere zur Ticketreservierung da.
5.19.11 TUM: “Datenschutz by Design im europäischen Datenraum“
22.10.2024, 14:00 – 20:00 Uhr, München: In der Technischen Universität München findet die Veranstaltung „Datenschutz in der europäischen Datenökonomie“ statt. Der LfDI Baden-Württemberg, die LfD Schleswig-Holstein (ULD) und der Präsident des BayLDA diskutieren mit Vertreter:innen der Wirtschaft und Wissenschaft u.a. über „Datenschutz by Design“ im Licht der Europäischen Datenstrategie sowie Herausforderungen beim Zusammenspiel von DS-GVO, EU Data Act und KI-Verordnung. Weitere Informationen und Anmeldung hier.
5.28.12 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 2: Scope zum Durchführungsgesetz der KI-Verordnung
30.10.2024 \\ online - Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
29.01.2025 \\ vor Ort im Weizenbaum-Institut - Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
25.02.2025 \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
5.19.13 DIHK: „Daten ohne Grenzen“ -neu-
12.11.2024, 14:00 – 18:00 Uhr, Berlin: Beim Datenforum der Deutschen Wirtschaft geht es dieses Jahr um „Daten ohne Grenzen!?“. Mit einem runden Programm aus interessanten Gesprächen mit relevanten Stakeholdern aus Politik und Wirtschaft, vier themenspezifischen Breakout-Sessions und viel Praxis bei einem Markt der Möglichkeiten „Daten zum Anfassen“. Weitere Informationen und Anmeldung hier.
5.19.14 Daten-Dienstag: „Datenteilen nach dem Data Governace Act“ -neu-
12.11.2024, 19:00 – 20:30 Uhr, Nürnberg: Im Museum für Kommunikation befassen sich zwei Expert:innen des TUM Center for Digital Public Services an der TU München mit den Möglichkeiten der Datennutzung durch Datenteilen. Dabei gehen sie der Frage nach, ob der Datenaltruismus, den der Data Governance Act 2023 eingeführt hat, tatsächlich dem Gemeinwohl dient: Welches Konzept verbirgt sich dahinter? Ist Datenteilen mit Datenschutz vereinbar? Und was hat es eigentlich mit der Datenspende auf sich? Am Ende erhoffen sich die Verfassungsrechtlerin und der Verfassungsrichter, dass ihr geteilter Vortrag dem Publikum am Daten-Dienstag doppelte Freude bringt.
Eine Veranstaltung im Rahmen der Reihe Daten-Dienstag, die das Museum für Kommunikation seit 2015 in Kooperation mit dem BayLDA und dem BvD veranstaltet. Informationen und Anmeldung hier.
5.19.15 CNIL: „Überwachung in all ihren Formen!“
19.11.2024, 14:30 – 18:00 Uhr, bei der CNIL und online: Die CNIL informiert, dass sie zu einer Veranstaltung zum Thema „Überwachung und Ethik der Freiheiten“ einlädt. Details des Programms stehen noch nicht fest. Unter der Abkürzung AIR (für avenirs, innovations, révolutions – Zukünftiges, Innovationen, Revolutionen) definiert die CNIL ihren Auftrag, der ihr durch das Gesetz für eine digitale Republik erteilt wurde. Dabei organisiert sie öffentliche Debatten über die neuen Herausforderungen der Digitalisierung, bei denen Experten aus der Praxis und der Wissenschaft zusammenkommen.
5.19.16 IHK München und Oberbayern: 12. Münchner Datenschutztag
29.11.2024, 14:00 – 18:30 Uhr, München: Mit aktuellen Fragestellungen befassen sich Vertreter:innen der Praxis und des BayLDA. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Ungewollte Einblicke beim Fernseher
Wie berichtet wird, können manche Fernseherhersteller sehen, was die Kunden sich ansehen. Es werden Screenshots von bestimmten Sendern an deren Server geschickt. Ob das als Mangel durchgehen würde?
6.2 Politische Manipulation im Netz
Bislang bot die Tätigkeit im Datenschutz die Möglichkeit, dass beruflich bedingt oft aus Vorurteilen Erfahrungswerte werden (Google und Meta sei Dank). Diese Wahrnehmung kann sich jetzt auch auf Fakenews im Netz erweitern, wie hier berichtet wird. Ahnen konnte man es schon länger, wer wohl dahinter stecken würde Zukunftsängste zu schüren und rechte Parteien zu stärken.
6.3 Analyse von Metas „Pay-or-Okay“-Modell
Meta führte sein „Pay-or-Okay“-Modell ein, um den gestiegenen Anforderungen an die Art und Weise gerecht zu werden, wie das Unternehmen personenbezogene Daten von Nutzern für gezielte Werbung sammelt. Dieses Modell sieht vor, dass Nutzer zwei Optionen haben: Für einen Tracking-freien Dienst zu bezahlen oder der Verarbeitung personenbezogener Daten einschließlich gezielter Werbung zuzustimmen. Obwohl dies eine Folge des Meta-Urteils ist, in dem der EuGH die Anforderungen an eine freiwillige Einwilligung festlegte, hat diese Lösung eine neue Welle der Kritik ausgelöst, da sie die Frage stellt, ob sie mit dem EU-Recht vereinbar ist. Insbesondere wirft sie potenzielle Bedenken im Hinblick auf den Datenschutz, das Verbraucherrecht, das Wettbewerbsrecht und den Digital Markets Act auf. In der Analyse, die hier veröffentlicht wurde, werden dadurch aufgeworfene Probleme dieses Verhalten in diesen Bereichen des EU-Rechts, und die allgemeine Rechtmäßigkeit des „Pay-or-Okay“-Modells bewertet.
6.4 Palantir und Microsoft
Irgendwie gibt es diesmal in diesem Kapitel nicht wirklich Hoffnungsvolles. Und jetzt auch noch das: Nach diesem Bericht arbeiten das Datenanalyse-Unternehmen Palantir und Microsoft eng zusammen, um in den USA besser Technologie für den Sicherheitsapparat anbieten zu können.
Das lassen wir mal so stehen.
6.5 „Souveräne Clouds“ und politische Abhängigkeiten
Wie sich aus der Antwort der Bundesregierung zu einer Kleinen Anfrage im Bundestag zur Einrichtung einer „Bundescloud“ („Delos“) und zur Nutzung von Microsoft-Produkten ergibt, kann man unterschiedliche Interpretationen zu Abhängigkeiten, Einflussnahmen und Alternativüberlegungen zu souveränen Clouds“ anstellen. Wie z.B. hier. Offenbar scheint es bezüglich Strategien zur digitalen Transformation jetzt üblich zu werden auf einen Plan B zu verzichten. Risk by design?
6.6 Privates ersteigern
Eigentlich wenig überraschend offenbart dieser Bericht des ICCL, inwieweit durch aktuelle Trackingtechniken private Details von Australiens Politikern nachvollzogen werden können. Real-Time Bidding (RTB) ermögliche es ausländischen Staaten und nichtstaatlichen Akteuren an kompromittierende sensible personenbezogene Daten über wichtige australische Mitarbeiter und Führungskräfte zu gelangen.
Franks Nachtrag: Sie erinnern sich noch ans Real Time Bidding, oder?
6.7 Stelle zur Durchsetzung von Kinderrechten in digitalen Diensten
Mit dem Inkrafttreten des nationalen Digitale-Dienste-Gesetzes (DDG) hat am 14.05.2024 die Stelle zur Durchsetzung von Kinderrechten in digitalen Diensten (KidD) ihre Arbeit aufgenommen. Die KidD setzt sich dafür ein, dass digitale Dienste sicher und kinderfreundlich gestaltet und strukturelle Vorsorgemaßnahmen implementiert werden, um Kinder und Jugendliche vor Risiken wie zum Beispiel Cybergrooming und exzessiver Mediennutzung zu schützen. Das DDG konkretisiert in § 12 Abs. 2 die Umsetzung der europäischen Verordnung „Digital Services Act“ und legt die organisatorische Ausgestaltung für Deutschland fest. Für den strukturellen Online-Schutz von Kindern und Jugendlichen ist die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) die zuständige Behörde.
6.8 Mecklenburg-Vorpommern: Handreichung zum Datenschutz beim Kinderschutz
In Mecklenburg-Vorpommern wurde eine Handreichung mit Empfehlungen zum Umgang mit datenschutzrechtlichen Regelungen im Kinderschutz im Land Mecklenburg-Vorpommern veröffentlicht. Mit dem Titel „Datenschutz (k)ein Hindernis im Kinderschutz(!)?“ werden in 298 Seiten Grundlagen des Datenschutzes, insbesondere auch im Sozialdatenschutz, Kooperationen und die Zusammenarbeit mit verschiedenen Behörden behandelt.
7 Sonstiges/Blick über den Tellerrand
7.1 Verschwörungsmythen im Wimmelbild
Auf den Seiten zur Förderung der Zivilcourage findet sich ein nettes Wimmelbild, das zur Entdeckung von Verschwörungsmythen einlädt. Insgesamt sind 68 „versteckt“. Es finden sich dort übrigens noch andere Themen, die gesellschaftlich wieder relevant wurden – leider.
7.2 Medien und Image – freie Medien als 18. Nachhaltigkeitsziel
Die Initiative 18 setzt sich für freie sichere und nachhaltige Medien als ein wesentlicher Bestandteil einer demokratischen Gesellschaft ein, welche die Menschenrechte, die Rechtsstaatlichkeit und die nachhaltige Entwicklung aller fördert. Dabei wollen sie u.a. neue Standards fördern, um Werbeinvestitionen nachhaltig zu steuern. Der Fokus liege auf der Unterstützung von Inhalten, die gesellschaftlichen und demokratischen Mehrwert bieten, und auf der Vermeidung von Kapitalisierung schädlicher Inhalte. Die Initiative fordert faire rechtliche Rahmenbedingungen im Medien- und Werbemarkt. Der Schutz der Privatsphäre, die Durchsetzung von Wettbewerbsregeln und eine gerechte Steuerpolitik seien dabei zentral, um unabhängige Medien zu unterstützen.
7.3 Bequem statt sicher – Keyless Driving
Es ist ja wirklich nicht neu, dass bei funkgestützten Systemen ein Repeater das Signal weitergeben kann – und somit Fahrzeuge „ohne Gewalt“ unter Kontrolle gebracht werden können. Es scheinen sich bei dieser Technik noch keine Verbesserung ergeben zu haben. Und eben nicht nur bei asiatischen Herstellern. Tipps für Fahrzeugbesitzer hat der ADAC in diesem Bericht parat.
7.4 KI in schulischen Prüfungen – im Saarland
Das klingt spannend! Im Saarland dürfen nach Angaben in diesem Portal Schüler:innen generative KI wie etwa ChatGPT nun auch in schulischen Aufgaben einsetzen. Es lohnt sich da mal näher hinzuschauen.
7.5 Smart Glasses: Rayban Brille
In dem Projekt I-XRAY wird untersucht, wie persönliche Informationen von Menschen in der Umgebung mittels Metas Smart Glasses ermittelt werden können. Mittels dieser Brille könnten automatisch alle Personen in Sichtweite identifiziert werden und alle online verfügbaren Informationen über sie weitergegeben werden. Bericht dazu hier und da.
Franks Nachtrag: Laut diesem Bericht können Metas Smart Glasses (mit der Software der beiden Studenten) genutzt werden, um jede Person innerhalb von Sekunden zu doxxen. Auch wenn die beiden Studenten die Software nicht veröffentlichen wollen, einmal gedacht wird die Idee sicherlich auch von anderen reproduziert werden können. In diesem Beitrag wird die ganze Problematik der technischen Möglichkeiten unserer Zeit prägnant auf den Punkt gebracht.
7.6 Niederlande: Kontaktdaten aller Polizist:innen erbeutet
Wie berichtet wird, führte ein Cyberangriff dazu, dass die Kontaktdaten aller rund 65.000 Mitarbeiter der niederländischen Polizei erbeutet wurden. Der Angriff ist wohl durch einen anderen Staat erfolgt.
7.7 UK: Parteien und der Datenschutz beim Cookie-Einsatz
Wie hier nachzulesen ist, befassen sich auch die Parteien in UK mit Datenschutzfragen – zumindest bezogen auf ihre eigene Verantwortung, wenn sie darauf hingewiesen werden. Also erst mal nur mit dem Cookie-Einsatz auf der Partei-eigenen Webseite.
8. Franks Zugabe
8.1 Apropos KI …
Hier für Sie noch ein paar durch mich ausgewählte Meldungen zur KI:
- Fangen wir damit an, womit wir letzte Woche (fast, drittletzter Anstrich) geendet haben:
Larry Ellisons Pläne zur KI-Überwachung der Bevölkerung.
In diesem Beitrag werden seine Ideen besprochen, widerlegt und eine mögliche wahre Intention herausgearbeitet: Everybody wants to rule the world, amirite? - Endlich. Endlich haben wir KI-generierte Malware. Das wurde aber auch Zeit …
- Dann brauchen wir natürlich gute Cybersecurity, oder? Hier ein Kommentar, wie KI dabei helfen kann (oder auch nicht). besonders schön der verlinkte Beitrag aus dem Kommentar, nach dem Microsoft eine zweite KI nehmen will, um die Halluzinationen der ersten KI auszumerzen. Das funktioniert bestimmt.
- Haben Sie eine Kreditkarte? Stören Sie die hogen jahresgebühren? Dann könnte Sie diese Meldung auch stören: Visa und Mastercard investieren Milliarden in Cybersecurity-KI gegen Bankbetrug. Wobei, in KI investiertes Geld ist doch gut investiertes Geld … ach nee, warte.
- Es gibt doch Copyrightschutz bei KI-generierter Kunst? Zumindest dann, wenn es nach den Wünschen dieses Menschen geht, der mit Midjourney ein preisgekröntes Kunstwerk geschaffen hat. Und natürlich soll das Copyright nicht für die Erzeuger der Ursprungswerke gelten, es soll ihm helfen. Schließlich klauen andere „seine Arbeit“ 🤣
- Apropos das Schaffen anderer Menschen: Neben vielem Mist, den das Internet uns gebracht hat (subjektive unvollständige Zusammenstellung: Social Media, Überwachungskapitalismus, KI-Gedöns für alle) gab es auch eine Sache, die (wiederum meiner subjektiven Meinung nach) zumindest für Erstrecherchen echt gut war: Wikipedia. Aber das scheint dank KI nun auch vorbei zu sein. Oder warum brauchen die sonst ein AI-cleanup project?
- Und nun haben sie etwas gefunden, wo KI doch Menschen ersetzen kann: Chefs
- Nach einer Studie schreiben KI auch gute Arztbriefe. Ich bin da je eher skeptisch. Denn auch nur vereinzelt auftretende Halluziantionen haben bei die Gesundheit betreffenden Informationen schnell verherende Konsequenzen. Und wenn eines ganz klar erwartbar ist, dann, dass, wenn diese Werkzeuge genutzt werden, es immer mal wieder Situationen geben wird, bei denen nicht mit der gebotenen Sorgfalt überprüft wird, was die KI in den Arztbrief gechrieben hat (Link zur Studie).
- Meta hat nun auch ein Video-erzeugendes KI-System, allerdings erstmal nur für ausgewähltes Publikum.
- Nachdem mit Microsoft einer der Anbieter großer KI-Modelle bereits Atomenergie für den Stromhunger seiner KI-Systeme nutzen will, propagiert nun auch NVIDIA Atomstrom, wenn die eigenen Karten doch so Energiehungrig sind in den vielen Data-Centern weltweit. Da passt es ja, dass sie den Bedarf nun auch noch mit einem eigenen KI-Modell befeuern.
- Kommen wir zu OpenAI: Die scheinen ihre Kommunikationskanäle nicht gut abzusichern. Außerdem wollen sie den non-profit-Zusatz streichen. Also konkret ihr Geschäft in ein for-profit-Unternemen verlagern. Praktisch, wenn Moral so leicht abzulegen ist. Aber wenigsten planen sie groß, auch wenn TSMC wohl nicht überzeugt war vom 7-Billionen-Dollar-Plan.
- Es wurde eine neue Möglichkeit entdeckt, wie ChatGPT gehackt werden kann: Durch das Einpflanzen falscher Erinnerungen.
- Derweil scheint Apple guten Instinkt zu beweisen, sie wollen wohl doch nicht in OpenAI investieren.
- In diesem Essay beschreibt Bruce Schneier die Auswirkungen von KI auf die (US-)Wahlen und mahnt Anstrengungen an die Demokratie gegen solche Einflüsse abzusichern. Passend dazu: Meist kommen neue Gesetze zum Schutz der US-Bürger ja zuerst aus Kalifornien. Bei einem Gesetz zur KI-Sicherheit kommt da wohl erst mal nichts. Na ja, wir in der EU haben ja die KI-VO.
- Bei uns berichtet die Bundesregierung derweil über KI-Aktivitäten in Jobcentern. Na, super …
- Zum Abschluss habe ich noch einen Comic zu KI-gestützter Gesichtserkennung für Sie.
- Und ganz zum Schluss, weil es heute gerade so schön aktuell ist: Der Pate der KI gewinnt den Nobelpreis 2024 in der Kategorie Physik.
8.2 Was soll schon bei staatlich verordneten Backdoors passieren?
Na, zum Beispiel, dass „die Falschen“ sie ausnutzen? (Wobei ich der Meinung bin, dass es im Zusammenhang mit staatlichen Backdoors keine „Richtigen“ gibt, aber das ist ein anderes Thema.)
Nicht, dass da nicht irgendjemand mal vor solchen Szenarien gewarnt hätte …
8.3 Wettbewerbsbeschwerde bei der EU-Kommission gegen Microsoft
Normalerweise würde ich dieses Thema dem Kollegen Kramer überlassen, aber mich reizt der Beschwerdeführer, deswegen bringe ich diese Meldung. Wie geht der gute alte Spruch? Eine Krähe hakt der anderen kein Auge aus? Das gilt scheinbar nicht bei Cloudanbietern. Ob es da etwa um Geld geht?
8.4 Ende des Beschwerde-Registers für Bankkunden
Bürokratieabbau nennen sie es … Verbraucherschützer kritisieren es. Zurecht.
8.5 Noch’nen Update zur ePA
Nicht, dass Sie denken, ich möchte Sie zu irgendetwas nötigen. Das einzige, was ich Ihnen ermöglichen möchte, ist eine fundierte Wahl. Deswegen neben unseren alten Meldungen dazu noch diese beiden neuen: Laut unserem Gesundheitsminister ist die E-Patientenakte für alle „von der Sicherheit her besonders sicher“. Ach so. Und die Welt informiert darüber, „was Sie jetzt zur elektronischen Patientenakte wissen sollten“. OK … dann lesen wir mal.
8.6 SS7 für Attacken offen wie ein Scheunentor
SS7 hatten wir auch schon mal in unserer Blog-Reihe. Laut diesem Bericht ist bei SS7 sehr viel im Argen.
8.7 NIS-2-Umsetzung kommentiert
Nachdem der Bundesrat mehrere Empfehlungen von vier Ausschüssen in ca. einer Minute durchgewunken hat, gibt es Kommentare zur Güte der deutschen NIS-2-Umsetzung. Aber verzagen Sie nicht, die Sanktionierung scheint keine Priorität zu haben …
Ein Nachtrag noch: Der BDEW hat zusammen mit Österreichs E-Wirtschaft und dem Verband Schweizerischer Elektrizitätsunternehmen ein Whitepaper zu „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme“ herausgegeben. Vielleicht kennen Sie das Dokument noch nicht und es hilft Ihnen.
8.8 NIST’s second draft of its “SP 800-63-4“—guidelines – aka: Nicht alle drei Monate einen Passwortwechsel erzwingen
Zeit wird es. Das NIST hat seine Guidelines zu Passwort-Vorgaben angepasst. So langsam setzt sich durch, das regelmäßig erzwungene Passwortwechsel keine erhöhte Sicherheit bringen, meist eher das Gegenteil. Dazu habe ich drei lesenswerte Quellen für Sie … Und übrigens, das BSI sieht das auch so.
8.9 „The CRA has introduced a novel, and potentially quite worrying, approach to cybersecurity legislation“
Na, neugierig auf diesen Beitrag?
8.10 Neuer WHO-Bericht zeigt Notwendigkeit für gesündere Online-Gewohnheiten unter Jugendlichen auf
Auch kein schöner Lesestoff. Hier gehts direkt zur Studie. Und hier zu einem Medienbericht dazu.
Aber wir sind uns einig, unerwartet kommt diese Erkenntnis jetzt nicht.
8.11 US-Handelsaufsicht moniert, dass große Social-Media- und Streaming-Portale ihre Nutzer in großem Umfang ausspionieren und dabei auf den Datenschutz pfeifen
Auch diese Erkenntnis kommt nicht unerwartet. Hier gehts direkt zum FTC-Report.
Zusammenhänge zur vorherigen Meldung sind bestimmt rein zufällig.
8.12 PI’s Guide to International Law and Surveillance
Passend dazu: „PI’s Guide to International Law and Surveillance providing the most hard-hitting results that reinforce and strengthen the core principles and standards of international law on surveillance.“ Klicken Sie bei Interesse hier.
8.13 Kommentar: Microsoft darf keine Standards mehr setzen!
Wie war das mit der gut geklauten Überschrift? Ein lesenswerter Kommentar.
8.14 „Five Eyes“-Staaten: Tipps zur Verbesserung von Active-Directory-Sicherheit
Apropos Microsoft: Ob diese Tipps gegen alle Angriffvektoren helfen? Aber lesen und ggf. Neues lernen hilft ja immer…
8.15 Mal wieder ein Abo-Modell
Ich hätte ja gedacht, bei einem Abo-Modell reduziert sich die Werbung auf Null. Amazon scheint das anders zu sehen. Solange die Pakete schneller (und günstiger) ankommen …
9. Die guten Nachrichten zum Schluss
9.1 Auswahlhilfe datenschutzfreundlicher Dienstleister und Produkte
Bei der Webseite „Privacscore“ gibt es Hinweise zu datenschutzfreundlichen Angeboten / Produkten. Allerdings auch hier mein Disclaimer, trotzdem kritisch bleiben und selbst nochmal jeweils nachsehen, ob es nicht Änderungen der Nutzungsbedingungen etc. gab. Denken Sie an Twitter, was z.B. bei einem Gesellschafterwechsel alles denkbar ist.
9.2 The Feed – ein Serious Game
Welche Daten hinterlassen wir im Internet und wie werden sie genutzt? Wie beeinflussen Algorithmen unsere Meinungsbildung? Das Serious Game „THE FEED“ soll das Bewusstsein für Social-Media-Algorithmen und ihre gesellschaftlichen Konsequenzen fördern. Das Spiel soll sich auch für den Einsatz im Schulunterricht in Fächern wie Ethik, Religion, Deutsch oder Gemeinschaftskunde eignen. Die Veröffentlichung erfolgte durch die Landesanstalt für Kommunikation Baden-Württemberg. Die App „The FEED“ ist sowohl im App-Store für iOS als auch im Playstore für Android verfügbar.