Hier ist der 6. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28/2024)“ – Die DVD-Edition.
Falls bei Ihnen auch „die Hütte brennt“, klicken Sie hier …
- Aufsichtsbehörden
- LDI Niedersachsen: Datenübermittlung an Auditor
- LDI NRW: Tätigkeitsbericht 2023
- LDI NRW: Tätigkeitsbericht 2023 – Anleitung für den Einsatz von MS 365
- LDI NRW: Tätigkeitsbericht 2023 – Zulässigkeit von Pur-Abos
- LDI NRW: Tätigkeitsbericht 2023 – Nutzung der betrieblichen E-Mail- oder Internetdienste durch Beschäftigte
- LDI NRW: Tätigkeitsbericht 2023 – Elternnachweis für die Pflegeversicherung
- LDI NRW: Tätigkeitsbericht 2023 – Name auf Briefkopf führt nicht zu Auskunftsanspruch auf gesamtes Dokument
- LDA Bayern: Hinweise zur Cyberprävention
- LfDI Sachsen-Anhalt: Energiepreispauschale nicht um jeden Preis
- Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“
- Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – LfDI Baden-Württemberg: Weltweite Prüfung von Dark Pattern
- Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – CNIL: Ergebnisse der Prüfung von Webseiten auf Dark Pattern
- Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – AEPD: Hinweise zu Suchtpotentialen bei manipulativer Gestaltung
- Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – FTC: Untersuchung von Webseiten auf „Dark Pattern“
- HmbBfDI: Diskussionspapier zu Large Language Models und personenbezogenen Daten
- CNIL: Fragen und Antworten zur KI
- CNIL: Konsultation zu Vielfaltsumfragen in Unternehmen
- ICO: Informationspflichten und -rechte
- Dänemark: Anforderungen an Liste weiterer Auftragsverarbeiter
- Brasilien: KI-Trainingsverbot für Meta
- BSI: IT-Notfallkarte
- BaFin: Konsultation zu Anwendungshinweisen zum Geldwäschegesetz
- BaFin: IT-Vorfälle bei Zahlungsdienstleistern
- BaFin: Umsetzungshinweise zu DORA
- Rechtsprechung
- EuGH: Klageberechtigung von Verbraucherverbänden (C-757/22)
- EuGH: Pflicht zur Geschlechtsbezeichnung? (C-394/23)
- EuGH: Verantwortlicheneigenschaft eines Betreuers (C-461/22)
- OLG Köln: Verantwortlichkeit eines Suchmaschinenanbieters
- BVwG Österreich: Aussagen zum Konzerndatenschutz
- BVwG Österreich: Anforderungen an eine Einwilligung für Zusendung von Schreiben
- BVwG Österreich: Sanktion für Gruppennachricht einer Fachärztin an 28 Patienten
- Gesetzgebung
- AI Act veröffentlicht – und überhaupt …
- Materialien zum EU AI Act
- Materialien zum EU AI Act – BvD und GDD
- Materialien zum EU AI Act – bitkom
- Materialien zum EU AI Act – EY: Ein erster Überblick zur EU KI-Verordnung
- Materialien zum EU AI Act – Praxisleitfaden für Datenschutzbeauftragte
- Materialien zum EU AI Act – Verantwortlichkeiten der EU-Kommission aus dem AI Act
- Podcast zur Umsetzung des AI Acts
- EuroHPC-Initiative für vertrauenswürdige KI
- Übersichten zu Gesetzgebungen zu Künstlicher Intelligenz
- Bundespolizei: Befugniserweiterung zur Cyberabwehr
- Datenschutzcockpit nach dem OZG: Es geht voran
- Entschleunigung der Nachrichtenflut: Änderung des Postgesetzes
- Beiratsbesetzung nach Digitale Dienste Gesetz
- Gesetzgebung in den USA zu KI und Privatsphäre
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Aktuelle Entwicklungen bei der Anonymisierung
- Rechtsgespräch zur Anonymisierung von Urteilen
- Datenverarbeitung im Steuerverfahren, § 29b AO
- EuGH und datenschutzrechtlicher Schadenersatz
- Whitepaper: Rechtskonforme Durchführung von Penetrationstests im Konzern
- Podcast zu TikTok, zur Delegitimierung des Staates und überhaupt
- noyb: Beschwerde gegen Werbeanbieter Xandr von Microsoft
- noyb: Consent Banner Report
- Offene Passwörter zu 2FA im Netz
- Passworthack – Sind Sie dabei?
- MS 365 und Verantwortung
- Wettbewerb und Datenschutzrecht
- Warn-E-Mail und Spamordner
- NIS2 – Was ist zu tun?
- Angriffswarnungen von Apple
- Erlaubnistatbestände bei Gesundheitsdaten
- Veranstaltungen
- eco: NIS2 – Anforderungen an NIS2 – „Die Hütte brennt“ -neu-
- EU: Webinar zu Datenräumen im gemeinsamen europäischer Mobilitätsdatenraum -neu-
- Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
- Privacy Ring: „Transparenz im Spannungsfeld des Datenschutzes“
- EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung
- Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos KI …
- Drei Jahre nach Cyberangriff auf Landkreis Anhalt-Bitterfeld
- Sweden, a high-crime nation
- „Datenschutzwahrende Werbemessung“
- Google Chrome bleibt nicht untätig …
- Sichere und datenschutzfreundliche Browser
- Ciao, Cookie-Monster!
- Ciao, Smartphone – Eton bans smartphones for new pupils
- Handel mit Standortdaten: „Neue Dimension der Massenüberwachung“
- Aber in welchen Club gehe ich denn dann?
- Was haben die Römer je für uns getan? (Es geht um MS Teams.)
- Tool-Sammlung aus Tschechien
- Cryptographers’ Feedback on the EU Digital Identity’s ARF
- Japans Regierung hat die Diskette abgeschafft
- Ein Update zum BfDI (a.D.), Prof. Ulrich Kelber
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LDI Niedersachsen: Datenübermittlung an Auditor
Eine Meldung aus dem Tätigkeitsbericht für das Jahr 2023 des LfD Niedersachsen hatte ich nicht direkt berichtet, und wurde über diesen Bericht wieder darauf aufmerksam gemacht. Der LfD Niedersachsen monierte die Datenübermittlung an einen Auditor. Die betroffenen Personen (Beschäftigte) seien darüber nicht ausreichend informiert gewesen. Im beschriebenen Fall lagen nach Ansicht des LfD Niedersachsen neben Mängeln an der Transparenz auch eine fehlende Rechtsgrundlage für die Übermittlung bestimmter Daten, beim E-Mailversand unzureichende Schutzmaßnahmen und eine fehlende Dokumentation nach Art. 30 Abs. 1 DS-GVO vor. Die einzelnen Abhilfemaßnahmen des LfD Niedersachsen wie Verwarnungen oder Bußgeld in Höhe von 4,3 Mio. Euro sind noch nicht rechtskräftig, sondern werden aufgrund einer Klage des Unternehmens vom Gericht überprüft.
Genau mein Humor: Das geprüfte Audit war ein Compliance-Audit.
Inhaltlich sind die Fragen spannend und auch für andere relevant: Welche Rechtsgrundlage nutze ich, um Prozesse durch externe Stellen überprüfen lassen zu können, wenn dabei personenbezogene Daten von Beschäftigten offengelegt werden (müssen) und wie erfülle ich die Anforderungen an die Transparenz den betroffenen Beschäftigten gegenüber? Nach Ansicht des LfD Niedersachsen genügt eine Information in den Datenschutzerklärungen im Intranet nicht – daher verhängte er deswegen das Bußgeld.
1.2 LDI NRW: Tätigkeitsbericht 2023
Die LDI NRW veröffentlichte ihren Tätigkeitsbericht für das Jahr 2023. In ihrer Presseinformation dazu hob sie die Kontrollen gegenüber der Polizei, aber auch ihre Beratungsarbeit hervor. Das höchste Bußgeld seien 10.000 Euro gewesen. Hier einige subjektive Hervorhebungen einiger Aussage aus dem Tätigkeitsbericht:
1.2.1 LDI NRW: Tätigkeitsbericht 2023 – Anleitung für den Einsatz von MS 365
Freuen Sie sich nicht zu früh. Kurz gefasst lauten die Aussagen der Ausführungen in Ziffer 7.2 ab Seite 35 nur: Es kommt darauf an und der Schlüssel dazu liegt bei Microsoft.
1.2.2 LDI NRW: Tätigkeitsbericht 2023 – Zulässigkeit von Pur-Abos
Die LDI NRW hält sogenannte Pur-Abos in bestimmten Fällen für zulässig. Bei Pur-Abos haben die Nutzer:innen die Wahl, ob sie einen zahlungspflichtigen Abo-Vertrag abschließen oder ihre Zustimmung zum Tracking erteilen möchten. Die LDI NRW hält in ihrem Bericht unter Ziffer 7.4 ab Seite 41 Pur-Abos für zulässig, wenn zum einen die alternative Einwilligung zu den einzelnen Zwecken oder Zweckbündeln ermöglicht wird. Auch müssen gebündelte Zwecke einander ähnlich sein und dürfen nur eine überschaubare Anzahl an Zwecken enthalten. Und natürlich müssen die grundsätzlichen Anforderungen an die Einwilligung eingehalten werden.
1.2.3 LDI NRW: Tätigkeitsbericht 2023 – Nutzung der betrieblichen E-Mail- oder Internetdienste durch Beschäftigte
Die LDI NRW führt in Ziffer 12.2 ab Seite 76 aus, dass sie ebenso wie andere staatlichen Aufsichten nicht mehr davon ausgeht, dass Arbeitgeber dem Fernmeldegeheimnis unterliegen, wenn sie ihren Beschäftigten die Nutzung der Kommunikationseinrichtungen gestatten. Sie begründet dies damit, dass bei Arbeitgeber:innen, die die private Nutzung erlauben oder dulden, es in der Regel am Rechtsbindungswillen fehle: Arbeitgeber:innen treten gegenüber ihren Beschäftigten nicht als geschäftsmäßige Telekommunikationsdienstleister auf. Deshalb wollen sie auch nicht, dass die für diese Dienstleister geltenden Rechtsnormen auf sie angewendet werden.
Statt der spezifischen telekommunikationsrechtlichen Regeln kämen nun die Vorschriften der DS-GVO zur Anwendung. Die DS-GVO sichere ein ähnlich hohes Schutzniveau für die personenbezogenen Daten der Beschäftigten. Auch nach der DS-GVO bedarf es einer Rechtsgrundlage für den Zugriff der Arbeitgeber:innen auf die personenbezogenen Daten der Beschäftigten. Die LDI NRW empfiehlt den Arbeitgeber:innen daher wie bislang über die betriebliche und/oder private Nutzung des Internets und des betrieblichen E-Mail-Accounts eine schriftliche Regelung zu treffen. Darin sollen die Fragen des Zugriffs, der Protokollierung, der Auswertung und der Durchführung von Kontrollen eindeutig geklärt werden. Zudem sind die Beschäftigten auch künftig über mögliche Überwachungsmaßnahmen und Sanktionen zu informieren.
Franks Nachtrag: Hier wird diese Ausführung der LDI NRW begrüßt.
1.2.4 LDI NRW: Tätigkeitsbericht 2023 – Elternnachweis für die Pflegeversicherung
Die LDI NRW berichtet in Ziffer 12.4 ab Seite 78 über zahlreiche Nachfragen im Rahmen der Umsetzung der Erfassung der Kinder über Arbeitgeber für Anspräche aus der Pflegeversicherung. Hier gibt es bis März 2025 ein Übergangsverfahren, das dem Arbeitgeber die rechtliche Grundlage / Pflicht gibt weitere Daten zu erfassen.
1.2.5 LDI NRW: Tätigkeitsbericht 2023 – Name auf Briefkopf führt nicht zu Auskunftsanspruch auf gesamtes Dokument
Allein, wenn der Name auf dem Briefkopf von Anschreiben steht, führt dies nicht zu einem Auskunftsanspruch aus Art. 15 Abs. 3 DS-GVO auf das gesamte Dokument. Wie unter Ziffer 14.10 ab Seite 101 ausgeführt, verlangte ein Rechtsanwalt von einer Versicherung den gesamten Schriftverkehr, weil sein Name (wie gesetzlich vorgeschrieben) bei den Angaben zur Kanzlei auf dem Briefkopf abgedruckt war. Die Versicherung sah das anders.
Die LDI NRW wendet dazu das Urteil des EuGH C-487/21 (Österreichische Datenschutzbehörde und CRIF) an. Der EuGH verlange eine originalgetreue und verständliche Reproduktion aller personenbezogener Daten. Eine Kopie von Auszügen aus Dokumenten oder gar von ganzen Dokumenten oder Datenbanken ist aber nur dann erforderlich, wenn die Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung ihrer Datenschutzrechte zu ermöglichen. Eine solche Kopie von Dokumenten ist bei Schreiben, in denen der Anwalt nur im Kopfbogen steht, nicht unerlässlich für das Verständnis und damit nicht erforderlich.
1.3 LDA Bayern: Hinweise zur Cyberprävention
Mir wäre es gar nicht aufgefallen – ich bin nur durch Zufall darauf hingewiesen worden. Unter diesem Link hat das BayLDA auf seiner Webseite umfangreiche Ausführungen zu präventiven Maßnahmen aufgeführt. Leider fehlt eine Angabe des Veröffentlichungsdatum, aber zumindest für mich war es neu…
Cyberprävention hilft nach den Ausführungen des BayLDA aktiv dabei das über die eigene IT-Infrastruktur ausgeworfene Schutznetz engmaschiger zu machen und den Ransomware-Gruppierungen das Geschäftsmodell zu erschweren. Die beschriebenen Maßnahmen sollen dazu ermutigen frühzeitig diesen Schritt zu gehen und sich damit angemessen vorzubereiten. Es finden sich darin u.a. Aussagen zur Netzsegmentierung, Begrenzung der Powershell und Programmausführung, Unterbindung von fremden Office-Macros, Protokollierung und Filterung des Internetübergangs oder auch das Einsetzen von Air-Gap-Backups. Jeweils auch mit weiterführenden Links, z.B. zu Seiten des BSI.
1.4 LfDI Sachsen-Anhalt: Energiepreispauschale nicht um jeden Preis
Der Landesbeauftragte in Sachsen-Anhalt informiert, dass er die Auszahlung der Energiepreispauschale in Höhe von 200 Euro für unzulässig hält, soweit sie abhängig von der Einrichtung eines Nutzerkontos beim Bund gemacht wurde. Es darf keine zwanghafte Digitalisierung zur Umsetzung eines Rechtsanspruchs gefordert werden. Die Einbindung des Nutzerkontos Bund als Identifizierungsinstrument bei sogenannten Einer-für-Alle-Verfahren des Onlinezugangs ist dabei grundsätzlich unbedenklich. Allein die zwangsweise Vorgabe der Eingabe personenbezogener Daten bei BundID wurde vom Landesbeauftragten kritisiert. Dies stellte Eingriffe in die Grundrechte der Betroffenen aus Art. 8 Abs. 1, Abs. 2 S. 1 EU-Grundrechtecharta und das Recht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 S. 1 i. V. m. Art. 2 Abs. 1 Grundgesetz dar.
1.5 Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“
In einer weltweit koordinierten Prüfung haben 26 Datenschutzaufsichtsbehörden aus 21 Ländern sowie 27 Verbraucherschutzbehörden mehr als 1.000 Webseiten und mobile Anwendungen (Apps) untersucht. Geprüft wurde, ob und wie auf Webseiten täuschende Designmuster eingesetzt werden, um Nutzende zu einem bestimmten Verhalten zu verleiten, welches es ihnen erschwert, informierte Entscheidungen über ihre Privatsphäre im Internet zu treffen. Hier einige Veröffentlichungen dazu:
1.5.1 Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – LfDI Baden-Württemberg: Weltweite Prüfung von Dark Pattern
Der LfDI Baden-Württemberg beteiligt sich an einer Prüfung des Privacy Enforcement Network, das weltweit Webseiten auf täuschende Designs (Global Deceptive Design Patterns) prüft. Die Prüfung ergab, dass die Mehrheit der untersuchten Webseiten und mobilen Anwendungen solche täuschenden Designs verwendet, um Datenschutzeinstellungen der Nutzenden zu beeinflussen. In Baden-Württemberg setzen alle 17 geprüften Webseiten täuschende Designmuster ein. Der LfDI sieht darin einen Verstoß gegen die Anforderungen des TDDDG und zu „Privacy by design“ und „Privacy by default“ und will nun auf die Betreiber zugehen. Dabei verweist er auch auf die Leitlinie 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them des EDSA und an seine eigenen FAQ zu Cookies und Tracking.
1.5.2 Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – CNIL: Ergebnisse der Prüfung von Webseiten auf Dark Pattern
Auch die CNIL beteiligt sich an der Prüfung von Webseiten auf Dark Pattern und berichtet hier über ihr Ergebnis und das weitere Vorgehen.
1.5.3 Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – AEPD: Hinweise zu Suchtpotentialen bei manipulativer Gestaltung
Die spanische Datenschutzaufsicht AEPD veröffentlichte zu der Thematik Hinweise unter dem Titel „Addictive patterns in the processing of personal data“ (ein Word-Dokument) und behandelt darin manipulative Gestaltungen und deren Bewertung. Dies umfasst süchtig machende Muster, Täuschungen, Zwangsmaßnahmen wie erzwungene Kontinuität ebenso wie Social Engineering und weiteren Manipulationsarten. Dem schließt sich eine Bewertung nach Datenschutzgesichtspunkten an.
1.5.4 Aktivitäten der Datenschutzaufsichten zu „Dark Pattern“ – FTC: Untersuchung von Webseiten auf „Dark Pattern“
Bevor wieder das Gejammer losgeht, „der europäische / deutsche Datenschutz sei so streng“ – auch in den USA werden Webseiten dahingehend kritisch betrachtet, ob sie manipulative Mittel gegenüber Verbrauchern einsetzen, damit diese Daten weitergeben. In diesem Bericht wird geschildert, wie die FTC (Federal Trade Commission) vorging, welche Ergebnisse ihrer Untersuchung hatte und welche Maßnahmen sie einleitete. Zum Beispiel eine Strafe gegen den Hersteller Epic Games von Fortnite in Höhe von 245 Mio $-US, weil über „Dark Pattern“ zu Käufen verleitet wurde. Denn auch die FTC beteiligte sich an der weltweiten Untersuchung des Einsatzes von Dark Pattern.
1.6 HmbBfDI: Diskussionspapier zu Large Language Models und personenbezogenen Daten
Einen Werktag nach der Veröffentlichung des EU AI Acts im Europäischen Amtsblatt hat der HmbBfDI ein zwölfseitiges Diskussionpapier mit Aussagen zu datenschuttrechtlichen Fragestellungen und der DS-GVO beim Einsatz von Large Language Models auf seiner Seite eingestellt.
1.7 CNIL: Fragen und Antworten zur KI
Anlässlich der Veröffentlichung des EU AI Acts hat auch die CNIL auf ihrer Webseite FAQ zu KI und Datenschutz veröffentlicht.
1.8 CNIL: Konsultation zu Vielfaltsumfragen in Unternehmen
Die französische Aufsicht CNIL hat ein Papier mit Hinweisen zu Umfragen zur Erhebung der Vielfalt veröffentlicht. Bis 13. September 2024 können dazu noch Hinweise eingereicht werden. Das Papier findet sich hier.
Die Messung der Vielfalt am Arbeitsplatz ist vor dem Hintergrund einer zunehmenden Sensibilisierung für den Kampf gegen Diskriminierung für viele Unternehmen und Institutionen eine Möglichkeit hier steuernd z.B. hinsichtlich der Messung der Chancengleichheit zu unterstützen. Bei solchen Umfragen sind meist auch besondere Kategorien von Daten betroffen, vgl. Art. 9 Abs. 1 DS-GVO. Das erfordert auch Maßnahmen, um die Daten und die Privatsphäre der betroffenen Personen zu schützen. Unabhängig von bestimmten gesetzlichen Vorgaben in Frankreich geht die CNIL davon aus, dass die Beteiligung bei solchen Umfragen nur auf freiwilliger Basis erfolgen kann. Insbesondere müssten die Teilnehmer angemessen informiert werden. Die CNIL empfiehlt außerdem anonymen Umfragen den Vorzug zu geben und die mit geschlossenen Fragen gesammelten Daten zu begrenzen. Unter den möglichen Optionen und in Anbetracht des Unterordnungsverhältnisses zwischen dem Arbeitgeber und seinen Arbeitnehmern oder Bediensteten, das die Teilnahme an der Umfrage erschweren kann, ist die CNIL der Ansicht, dass die Einschaltung eines vertrauenswürdigen Dritten eine ausreichende Maßnahme darstellen kann, indem sichergestellt wird, dass der Arbeitgeber keinen Zugang zu den gesammelten Daten hat. Nach Abschluss der Konsultation will die CNIL ihre endgültige Empfehlung veröffentlichen.
1.9 ICO: Informationspflichten und -rechte
Mit der Aktion „Do I really need to read the privacy notice?” klärt der ICO zu den Rechten auf, die betroffenen Personen hinsichtlich der Informationspflicht der Verantwortlichen haben. Begleitend wird dies durch eine Reihe von kurzen Videoclips zu dem Thema.
Und wer das noch nicht verstanden hat: Die ordnungsgemäße Umsetzung der Informationspflichten wird zunehmend durch den EuGH als wesentliche Voraussetzung für die Rechtmäßigkeit angesehen, und zwar nicht nur bei einer Einwilligung, sondern auch bei der Anwendung berechtigter Interessen (vgl. nur EuGH C-252/21, RN 106 und 107 oder jetzt auch EuGH C-757/22, RN 53ff). Und Aufsichtsbehörden sind an dessen Vorgaben gebunden. Also nicht nur ein „nice to have“.
1.10 Dänemark: Anforderungen an Liste weiterer Auftragsverarbeiter
Es geht wieder um den Einsatz von Google Workspace an dänischen Schulen. Die dänische Aufsicht informiert dazu, dass nun geklärt sei, dass die Kommunen keine personenbezogenen Daten mehr an Google für Google eigene Zwecke weitergeben dürften. Auch dürfe der Dienstleister die Daten grds. nur im Rahmen der Weisung verwenden. Bei der Frage des Umfangs der Dokumentationspflicht des Verantwortlichen hinsichtlich der weiteren Auftragsverarbeiter hat die dänische Aufsicht den EDSA um eine Stellungnahme gebeten. Die dänische Aufsicht kündigt an, dass sie voraussichtlich eine endgültige Bewertung der Unterauftragnehmer vornimmt, sobald diese Stellungnahme vorliegt.
1.11 Brasilien: KI-Trainingsverbot für Meta
Auch die brasilianische Datenschutzaufsicht sieht die Nutzung der Daten aus den sozialen Netzwerken von Meta – wie Facebook oder Instagram – zum KI-Training durch Meta kritisch und untersagt dies weiterhin. Ein Antrag auf aufschiebende Wirkung wurde abgelehnt.
1.12 BSI: IT-Notfallkarte
Jeder kennt die Schilder in Gebäuden mit Hinweisen zum Verhalten bei Notfällen, wie Feueralarm, Räumungsanweisungen und Fluchtwege. Das BSI fördert das richtige Verhalten bei IT-Notfällen durch das Angebot eines Templates mit Hinweisen. Diese umfassen u.a. die Angabe der Ansprechpartner:innen und Kontaktmöglichkeiten und die Angabe relevanter Informationen. Die IT-Notfallkarte kann heruntergeladen und auch individualisiert werden (z.B. durch Firmenlogos). Das Angebt umfasst diese Hinweise auch in verschiedenen Sprachen.
1.13 BaFin: Konsultation zu Anwendungshinweisen zum Geldwäschegesetz
Die BaFin veröffentlicht Auslegungs- und Anwendungshinweise zum Geldwäschegesetz zur Konsultation. Bis 9. August 2024 können Stellungnahmen eingereicht werden.
1.14 BaFin: IT-Vorfälle bei Zahlungsdienstleistern
Dass Banken nicht immer mit Geld umgehen können, zeigte die Bankenkrise 2008. Die BaFin untersuchte IT-Vorfälle bei Zahlungsdienstleistern im Jahr 2023 und kam zu dem Ergebnis, dass auch hier die Ursache seltener außerhalb der Banken lag. Details wie der Einbezug von Auslagerungsunternehmen und auch grafische Darstellungen finden sich in der Berichterstattung der BaFin dazu.
1.15 BaFin: Umsetzungshinweise zu DORA
Für die von ihr beaufsichtigten Unternehmen (Achtung: Und auch deren davon betroffene Dienstleister) veröffentlicht die BaFin Umsetzungshinweise zu DORA. Dies umfasst sowohl Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienrisikomanagement wie auch Mindestvertragsinhalte (in einer Exceltabelle).
Die BaFin sieht in der Aufsichtsmitteilung eine nicht verpflichtende Hilfestellung. Sie soll die Unternehmen dabei unterstützen, die Anforderungen aus DORA an das reguläre IKT-Risikomanagement und das IKT-Drittparteienrisikomanagement umzusetzen. Dabei berücksichtigt die Aufsichtsmitteilung auch die einschlägigen technischen Regulierungsstandards. So erklärt sich auch die Übersicht der Mindestvertragsinhalte, die beaufsichtigte Unternehmen mit IKT-Drittdienstleistern vereinbaren müssen.
2 Rechtsprechung
2.1 EuGH: Klageberechtigung von Verbraucherverbänden (C-757/22)
Art. 80 Abs. 2 DS-GVO erfordert eine Verletzung der Rechte einer betroffenen Person durch eine Verarbeitung nach der DS-GVO, damit Verbrauchereinrichtungen dagegen vorgehen können. Der EuGH kannte die Verfahrensbeteiligten bereits aus dem Verfahren C 319/20, in welchem der EuGH im Jahr 2022 entschied, dass eine Verbraucherschutzeinrichtung auch ohne konkreten Auftrag einer betroffenen Person agieren könne.
Und der EuGH beantwortet die Frage im aktuellen Fall C-757/22 fast schon arrogant/provokant:
Art. 80 Abs. 2 DS-GVO ist dahingehend auszulegen, dass
die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in dieser Verordnung vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e der Verordnung obliegt, der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Jetzt steht es mir nicht zu, den EuGH zu kritisieren und auch wenn ich es manchmal genieße, wenn aus Vorurteilen Erfahrungswerte werden, und hier etliche Vorurteile gegenüber Juristen ihre Bestätigung finden – aber geht es nicht einfacher? Ich erlaube mir, die Entscheidung des EuGH für Menschen ohne juristische Promotion oder neurotischen Geltungsdrang (oder beides) in eine normale Sprache zu übersetzen:
Die Anforderung aus Art. 80 Abs. 2 DS-GVO „infolge einer Verarbeitung“ wird bei einer Geltendmachung der Missachtung der Informationspflichten auch dann erfüllt, wenn diese Informationspflicht bezüglich Zweck oder Empfänger Auswirkungen auf die Rechtmäßigkeit der Verarbeitung hat. So wie bei einer Einwilligung oder der Interessenswahrung, bei der die betroffene Person auf Basis der Information die Möglichkeit hat, ggf. von Widerspruchsrechten Gebrauch zu machen. Und die Details dazu finden sich im Urteil C-757/22 in den RN 53 ff.
Franks Nachtrag: Sie möchten vielleicht auch 1.8 lesen…
2.2 EuGH: Pflicht zur Geschlechtsbezeichnung? (C-394/23)
Es geht um die folgende Frage: Habe / brauche ich eine datenschutzrechtliche Grundlage, um das Geschlecht von Personen zu erfassen? Diese Frage wird dem EuGH aus Frankreich vorgelegt im Verfahren C-394/23 (Mousse). Über den Ausgangsfall, ein Pflichtfeld zur geschlechtsbezogenen Anrede beim Kauf von Bahnfahrkarten, hatten wir schon berichtet und auch über die mündliche Verhandlung. Auch im Tätigkeitsbericht des HmbBfDI wurde die Thematik angesprochen, wie Sie hier nachlesen können. Nun hat der Generalanwalt seine Schlussanträge gestellt, eine Art Empfehlung, der der EuGH folgen kann, aber nicht muss. Der Generalanwalt geht davon aus,
- dass eine Erfassung des Geschlechts für eine Vertragsabwicklung nicht erforderlich ist, sofern die Geschlechtsangabe nicht objektiv unerlässlich ist, um einen Zweck zu erfüllen, der Vertragsgegenstand ist (RN 38)
- dass auch eine Wahrung der berechtigten Interessen nicht in Betracht kommt, wenn die entsprechenden Interessen den Personen nicht mitgeteilt wurden (Wird jemand nicht entsprechend informiert, kann er seine Rechte nicht wahrnehmen.). Der Generalanwalt führt das in RN 55 und 56 mit Verweis auf C-252/21, dort RN 107 aus.
- dass eine betroffene Person dieser Wahrung der berechtigten Interessen auch aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen kann, sofern die Verarbeitung rechtmäßig ist. Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DS-GVO besteht erst bei einer rechtmäßigen Verarbeitung, vgl. RN 77.
Sollte der EuGH dieser Ansicht folgen, könnten Pflichtfelder mit Geschlechtsangabe datenschutzrechtlich als unzulässig gewertet werden, sofern es dafür nicht begründete Ausnahmen aus dem Kontext gibt.
Auch in Österreich ist die Thematik durch eine Beschwerde bei der dortigen Datenschutzbehörde (DSB) relevant, wie diese berichtet (DSB-D124.0564/23). Die Änderung eines Geschlechtereintrags von „männlich“ auf „unbekannt“ statt auf „divers“. Aufgrund der (technischen) Komplexität sei die beantragte Abänderung der Identität des Geschlechtes in dem Kundeverwaltungssystem derzeit nicht möglich und die Umstellung bzw. die Implementierung der neuen Systeme zwar bereits begonnen hätte, würde jedoch noch Zeit in Anspruch nehmen. Die DSB hält dagegen fest, dass das Recht auf Berichtigung sich im Grundsatz der Datenrichtigkeit manifestiert und die Verantwortliche der jeweiligen Datenverarbeitung dafür Sorge zu tragen habe, dass die Daten sachlich richtig und erforderlichenfalls auf den neuesten Stand zu bringen sind. Es sei bei der Geschlechtsbezeichnung eine Bezeichnung zu wählen, aus welcher mit hinreichender Deutlichkeit diese hervorgehen soll. Dem von der Verantwortlichen gewählten Terminus „unbekannt“ fehle es an einer hinreichenden Ersichtlichkeit, dass es sich hierbei um die Eintragungsform eines dritten Geschlechtes handele. Unter Unbekanntheit ist im allgemeinen Sprachgebrauch zu verstehen, dass ein Mangel an Wissen oder Informationen über bestimmte Tatsachen vorliegt. Somit verarbeite der Verantwortliche im Ergebnis ein unrichtiges personenbezogenes Datum und ist dem Antrag nicht nachgekommen. Daher habe die der verantwortliche die betroffene Person im Recht auf Berichtigung gemäß Art. 16 DS-GVO verletzt (der Bescheid ist nicht rechtskräftig).
Darüber hinaus werden mit den Schlussanträgen des Generalanwalts im Verfahren C-394/23 die Aussagen des EuGH aus dem Verfahren C-252/21 fortgeführt, dass Verarbeitungen unzulässig sein können, wenn betroffenen Personen darüber nicht ausreichend informiert wurden. Eine korrekte Umsetzung der Informationspflichten durch den Verantwortlichen gerade bei den Grundlagen Einwilligung und Wahrung berechtigter Interessen wird damit eine weitaus größere Bedeutung zuteil, als von vielen bisher angenommen wurde.
2.3 EuGH: Verantwortlicheneigenschaft eines Betreuers (C-461/22)
Welche datenschutzrechtliche Rolle nimmt ein berufsmäßiger Betreuer gegenüber der von ihm betreuten Person ein? Im Ausgangsfall stellte eine vormals von ihm betreute Person einen Auskunftsanspruch gegen den früheren Betreuer. Die Zweifel des vorlegenden Gerichts ergaben sich daraus, dass der Betreuer nach den Vorschriften des deutschen Betreuungsrechts gesetzlicher Vertreter der unter seine Betreuung gestellten Person ist und für ihre Rechnung und in ihrem Namen handelt. Allerdings begehrte die betroffene Person im vorliegenden Fall jedenfalls nicht Auskunft über die ihn betreffenden personenbezogenen Daten, die sich im Besitz seines derzeitigen Betreuers befanden, sondern über diejenigen, die sich noch im Besitz seines ehemaligen Betreuers, der zwischenzeitlich entpflichtet wurde, befanden. Der EuGH stellte daher im aktuellen Verfahren (C-461/22) fest, dass daher ein ehemaliger Betreuer gegenüber einer Person, die in der Vergangenheit unter seine Betreuung gestellt war, wie eine dritte Person behandelt werde. Daraus folge, dass ein ehemaliger Betreuer, der seine Aufgaben in Bezug auf eine unter seine Betreuung gestellte Person berufsmäßig wahrgenommen hat, als „Verantwortlicher“ für die Verarbeitung der diese Person betreffenden personenbezogenen Daten, die sich in seinem Besitz befinden, einzustufen ist, und dass er folglich verpflichtet ist diese Daten unter Beachtung der DS-GVO und insbesondere der ihm nach Art. 15 DS-GVO obliegenden Pflichten, die gegebenenfalls gemäß Art. 23 DS-GVO beschränkt werden können, zu verarbeiten.
2.4 OLG Köln: Verantwortlichkeit eines Suchmaschinenanbieters
Das OLG Köln musste in diesem Fall die Frage der datenschutzrechtlichen Verantwortlichkeit des Suchmaschinenbetreibers Google klären. Es wurden Suchergebnisse als Abbildungen der betroffenen Person angezeigt, die nicht vom Willen der betroffenen Person getragen wurden und nach deren Wahrnehmung nicht den Tatsachen entsprachen. Unabhängig von dem Vortrag der Beklagten, dass die Entscheidungen von der Google LLC in Irland getroffen würden, geht das OLG Köln davon aus, dass bereits die Anzeige personenbezogener Daten auf einer Seite mit Suchergebnissen eine Verarbeitung dieser Daten darstellt (Seite 9 des Urteils). Dabei ist es unerheblich, wer in der Datenschutzerklärung als Verantwortlicher angegeben sei (Seite 10). Das OLG Köln stellte auch fest, dass die personenbezogenen Daten ohne Rechtsgrundlage verarbeitet wurden. Auf die Ausübung der Meinungsfreiheit könne sich Google nicht berufen (ab Seite 10). Einen Bericht zum Urteil lesen Sie hier.
2.5 BVwG Österreich: Aussagen zum Konzerndatenschutz
Das BVwG in Österreich musste zu Fragen im Rahmen eines Kundenbindungsprogramms mit Konzernbezug entscheiden. Betrieben wurde ein Kundenbindungsprogramm, wobei die Muttergesellschaft strategisch in der Konzeptionsphase festlegte, ein eigenes Multipartner-Kundenbindungsprogramm einzurichten, und eigens dafür eine Tochtergesellschaft gründete. Ab Aufnahme des operativen Geschäftsbetriebes lag die wesentliche Entscheidung über Zweck und Mittel der Datenverarbeitung nun mehr bei der Tochtergesellschaft. Die österreichische Aufsicht prüfte und kam zu dem Ergebnis, dass eine gemeinsame Verantwortlichkeit vorlag, die nicht ausreichend umgesetzt war, und verhängte ein Bußgeld in Höhe von 8 Mio. Euro. Das BVwG kam zu einer anderen Einschätzung und hob den Bescheid auf. Es befand, dass ein kooperatives Zusammenwirken zweier Akteure, wie es in der Rechtsprechung des EuGH gefordert wird, im gegenständlichen Fall nicht erkennbar sei. Es müsse tatsächlich Einfluss auf Festlegung der Zwecke und Modalitäten einer Verarbeitung und Weiterverarbeitung der Daten ausgeübt werden.
2.6 BVwG Österreich: Anforderungen an eine Einwilligung für Zusendung von Schreiben
Kann jemand, der sich für eine Sache in seiner Kommune einsetzt, erwarten, dass sein Schreiben weitergegeben wird? Im Fall vor dem BVwG Österreich geht es um zwei Schreiben, die an die betroffene Person gesandt wurden. Eines informierte sie über den Ausgang der Behandlung des Initiativantrags, den sie unterstützt hatte. Das Gesetz sieht jedoch alleine die Verständigung des Zustellbevollmächtigten vor. Die betroffene Person hatte keine Einwilligung zum Erhalt der Schreiben erteilt, auch nicht konkludent. Das BVwG stellt dazu fest, dass es auch keine weitere Rechtgrundlage gab, ihr die Schreiben zuzustellen.
2.7 BVwG Österreich: Sanktion für Gruppennachricht einer Fachärztin an 28 Patienten
Für eine Terminbestätigung im Gesundheitswesen durch eine Fachärztin für Psychiatrie per Gruppennachricht an 28 Patienten kann teuer werden. In Österreich gab es dafür durch die Datenschutzbehörde eine Sanktion in Höhe von 6.000 Euro. Das BVwG setzte diese zwar auf 4.000 Euro herab, sah aber auch noch genügend Verstöße erfüllt. Durch die Terminerinnerung wurden allen anderen die Telefonnummer und damit auch das Ärztin-Patientin-Verhältnis bekannt. Und natürlich gab es keine Dokumentation nach Art. 30 DS-GVO und keine Meldung an die Datenschutzaufsicht. Der Fall ist hier gut nachzulesen.
3 Gesetzgebung
3.1 AI Act veröffentlicht – und überhaupt …
Am 12. Juli 2024 wurde der EU AI Act im Europäischen Amtsblatt veröffentlicht. Damit tritt er nach 20 Tagen in Kraft (Art. 113 EU AI Act), d.h. ab dem 2. August 2024. Auch die weiteren Fristen lassen sich danach ableiten: So gelten z.B. ab dem 2. Februar 2025 die Kapitel I und II.
Ich erinnere an unsere bisherigen Hinweise zum EU AI Act, wie hier, aber auch, dass es noch weitere Regularien dazu gibt, wie hier bereits berichtet. Auch Datenschutzaufsichten, wie hier die aus Hamburg, haben dazu eine Pressemeldung veröffentlicht und dabei auch auf die im EU AI Act festgelegten Zuständigkeiten hingewiesen.
Was kann jetzt schon gemacht werden?
- Es kann schon ermittelt und dokumentiert werden, wo KI nach der Definition des EU AI Act eingesetzt wird (und nicht nach den Vorstellungen von Marketing oder sonstigen Personen, die nicht für die Umsetzung der Konsequenzen verantwortlich sind).
- Abhängig vom risikobasierten Ansatz sollte die daraus abzuleitenden Vorschriften und Pflichten auf der Grundlage einer Risikoklassifizierung der KI (verbotene KI, Hochrisiko-KI, GPAI, sonstige KI) und Analyse der jeweiligen Adressateneigenschaft (z.B. Anbieter, Hersteller, Betreiber) bestimmt werden.
- Welche erforderlichen und angemessene technische und organisatorischen Maßnahmen (z.B. KI-Strategie, Richtlinien zum Einsatz von KI, Schulungen und Sensibilisierung) ergeben sich daraus?
3.2 Materialien zum EU AI Act
Nachfolgend finden sich einige aktuelle herausgegebene Materialien zum EU AI Act:
Franks Nachtrag: 1.6 und 1.7 haben Sie ja sicherlich schon wahrgenommen, oder?
3.2.1 Materialien zum EU AI Act – BvD und GDD
Der BvD informiert über die Veröffentlichung der KI-VO und die GDD hat eine Praxishilfe für die Europäische Datenstrategie veröffentlicht, die auch Hinweise zur KI-VO umfasst.
3.2.2 Materialien zum EU AI Act – bitkom
Der bitkom hat passend zur Veröffentlichung des EU AI Acts seinen Praxisleitfaden Künstliche Intelligenz & Datenschutz veröffentlicht. Dieser soll den entsprechenden Entwicklungen angepasst werden.
3.2.3 Materialien zum EU AI Act – EY: Ein erster Überblick zur EU KI-Verordnung
EY startet eine dreiteilige Beitrags-Reihe zur EU KI-Verordnung und beginnt mit einer Einführung, dem Regulierungsziel und den ersten Grundlagen. Die ausstehenden Teile befassen sich mit dem Überblick über die konkreten Anforderungen an KI-Systeme und deren Stakeholder sowie dem Konformitätsbewertungsverfahren für Anbieter von Hochrisiko-KI-Systemen.
3.2.4 Materialien zum EU AI Act – Praxisleitfaden für Datenschutzbeauftragte
Auch das findet sich im Netz, ein „AI – Praxisleitfaden für Datenschutzbeauftragte“.
3.2.5 Materialien zum EU AI Act – Verantwortlichkeiten der EU-Kommission aus dem AI Act
Wer macht was oder wer sollte bis wann was gemacht haben? Hier werden die sich aus dem EU AI Act heraus ergebenden Verantwortlichkeiten der EU-Kommission aufgelistet.
3.3 Podcast zur Umsetzung des AI Acts
Im Podcast von DataAgenda geht es auch um die Umsetzung des EU AI Acts. Unter dem Titel „KI-Kompetenz, Pflichten und Chancen für Unternehmen“ kommt eine Expertin zu den Anforderungen der Umsetzung zu Wort. Meist. Und es geht auch um die Umsetzung der Anforderungen aus Art. 4 EU AI Act.
3.4 EuroHPC-Initiative für vertrauenswürdige KI
Am 9. Juli 2024 ist die HPC-Novelle offiziell in Kraft getreten und ermöglicht die Einrichtung von KI-Fabriken in Europa. Diese Fabriken, die mit KI-Supercomputern ausgestattet sind, sollen schnelles maschinelles Lernen ermöglichen, insbesondere für General Purpose AI (GPAI)-Modelle. Mit dieser Änderung der Verordnung wird das Gemeinsame Unternehmen EuroHPC ermächtigt den Zugang zu europäischen Supercomputern für Nutzer aus Wissenschaft und Industrie zu verbessern, was insbesondere KI-Start-ups und KMU zugutekommen soll. Diese KI-Fabriken, die voraussichtlich bis 2025 (!) in Betrieb gehen werden, werden eine entscheidende Rolle bei der Förderung der europäischen KI-Innovation spielen. Hier die Pressemeldung dazu.
3.5 Übersichten zu Gesetzgebungen zu Künstlicher Intelligenz
Nicht nur in Europa gibt es Überlegungen zur Regulatorik von Künstlicher Intelligenz. Es finden sich Informationen dazu hier und bei der IAPP, beim Institute for the Future of Work, bei Runway Strategies, bei der OECD, auf der Weltkarte von Raymond Sun oder im Überblick bei Legal nodes.
3.6 Bundespolizei: Befugniserweiterung zur Cyberabwehr
Sowas geht normalerweise an mir vorbei: Anhörung im Bundestag zur Befugniserweiterung der Bundespolizei am 22. April 2024. Natürlich sind auch die Stellungnahmen der Sachverständigen veröffentlicht, wie z.B. vom Präsidenten der Bundespolizei mit einem Vorschlag zu einem § 41a BPolG-E. Aber Bedenken gegen zu viele, kaum noch kontrollierbare Befugnisse sind nicht neu.
3.7 Datenschutzcockpit nach dem OZG: Es geht voran
Im OZG ist ja ein Datenschutzcockpit vorgesehen. Der Bundesrat hat nun der Datenschutzcockpit-Zuständigkeitsverordnung zugestimmt.
3.8 Entschleunigung der Nachrichtenflut: Änderung des Postgesetzes
Das Postgesetz wird geändert. Es nennt sich Postrechtsmodernisierungsgesetz. Letztendlich wird damit das Recht der Post, Zustellzeiten auszudehnen, gesetzlich abgesegnet. Es geht um die Verlängerung der regelmäßigen Postlaufzeit von drei auf vier Kalendertage.
Ich hörte eine nette Bezeichnung dazu: „Entschleunigung“ der Kommunikation.
3.9 Beiratsbesetzung nach Digitale Dienste Gesetz
Nach § 21 Digitale Dienste Gesetz ist ein Beirat zu benennen, der u.a. beraten soll. Die einzelnen Fraktionen haben nun im Bundestag ihre Vorschläge vorgelegt und die Benennung in der Sitzung am 4. Juli 2024 im Tagesordnungspunkt um 14:35 h abgeschlossen.
3.10 Gesetzgebung in den USA zu KI und Privatsphäre
Wir sind ja immer etwas arrogant, wenn es um den Datenschutz in den USA geht. Wenn es um die Rechte der Amerikaner geht, können die US-Amerikaner sehr konsequent sein. Das zeigt sich auch an der Anhörung des Ausschusses mit dem Titel „The Need to Protect Americans’ Privacy and the AI Accelerant“.
4 Künstliche Intelligenz und Ethik
4.1 FTC: On Open-Weights Foundation Models
In einem Blogbeitrag der FTC (Federal Trade Commission) über Stiftungsmodelle mit offener Gewichtung und deren Vorteile und Risiken zeigt sich, dass Open-Weights-Modelle das Potenzial haben Innovation voranzutreiben, Kosten zu senken, die Auswahl für die Verbraucher zu vergrößern und allgemein der Öffentlichkeit zu nutzen.
4.2 HAI: “Exploring the Complex Ethical Challenges of Data Annotation”
Das Human-Centred Artificial Intelligence (HAI) der Stanford University veröffentlichte einen Beitrag zu den ethischen Herausforderungen der Datenanmerkungen.
4.3 LLM und Moral?
Können Large Language Models moralische Werte in Texten erkennen? Damit befasst sich diese Veröffentlichung mit dem Titel „Do Language Models Understand Morality? Towards a Robust Detection of Moral Content“.
4.4 Ethics of ChatGPT in Medicine and Healthcare
Welche ethischen Implikationen sind mit dem Einsatz von ChatGPT im medizinischen Bereich verbunden? Wer sich dafür interessiert, kann sich mit dem Beitrag „The ethics of ChatGPT in medicine and healthcare: a systematic review on Large Language Models (LLMs)“ befassen.
4.5 Urheberrecht und OpenAI
Ach was?! Nach diesem Bericht befürchtet OpenAI Einschränkungen seines Geschäftsmodells durch Urheberrechtsverletzungen.
4.6 bitkom: Whitepaper zu Urheberrecht und generative KI
Und wenn sich selbst der bitkom mit Fragen von Urheberrecht und dem Einsatz generativer KI befasst, muss ja was dran sein. Jedenfalls hat der bitkom nun ein Whitepaper zu Urheberrecht und generativer KI veröffentlicht.
4.7 Use Cases für Legal AI
Welche Use Cases werden bislang durch KI genutzt? Damit befasste sich der Chair of Software Engineering for Business Information Systems (sebis) an der TUM (Technische Universität München) in seinem Legal AI Use Case Radar. In ihm werden anhand verschiedener Kategorien die Entwicklungen aufgezeigt.
4.8 KI und Deutschland
Ziemlich desillusioniert wirkt auf mich die Pressemitteilung einer MdB, deren Fachkenntnis parteiübergreifend nicht in Frage gestellt wird. Deutschland nutze im Bund immer mehr KI und ignoriere dabei Anforderungen an die Nachhaltigkeit und versäume den Aufbau von Strukturen. Mir fällt nichts ein, was diesen Eindruck entkräftet, zumal sie in zahlreichen Anlagen Zahlen dazu mitliefert.
Franks Nachtrag: Ich glaube, dass es um diese Anfrage ging.
5 Veröffentlichungen
5.1 Aktuelle Entwicklungen bei der Anonymisierung
Das Thema Anonymisierung ist ein Thema für sich. Einen aktuellen Überblick gibt dieser Bericht über einen Vortrag dazu. Aber auch außerhalb Bayerns ist es ein Thema, wie diese Veröffentlichung aus dem Dezember 2023 zeigt. Die Autorin war auch Referentin bei dieser Online-Veranstaltung, zu der dort auch die Folien und die Aufzeichnung (auf Youtube, ca. 1,5 Std.) veröffentlicht wurden.
5.2 Rechtsgespräch zur Anonymisierung von Urteilen
Wie lassen sich Rechtsdaten ausreichend anonymisieren? Blöd, wenn über Aktenzeichen spätestens dann ja Verfahrensbeteiligte nachvollzogen werden könnten – zumindest für diejenigen, die Zugang zu den Akten haben oder allein aus Angaben aus dem im Urteil geschilderten Sachverhalt. Im Rahmen eines Rechtsgesprächspodcasts wird dies mit einem Projektleiter eines Projektes zur Anonymisierung von Gerichtsentscheidungen und Anwaltsschriftsätze besprochen (Min. 2 bis Min. 35).
5.3 Datenverarbeitung im Steuerverfahren, § 29b AO
Wir hatten Sie schon über das Urteil des BFH im letzten Jahr informiert. Nun befasst sich auch ein Newsletter mit den darin aufgeworfenen Fragestellungen, mit denen sich der BFH zu befassen hatte, inwieweit § 29a AO und § 29b AO eine rechtmäßige Rechtsgrundlage für die Verarbeitung personenbezogener Daten bieten.
5.4 EuGH und datenschutzrechtlicher Schadenersatz
Die Rechtsprechung des EuGH zum Thema wird durch zahlreiche Vorlagefragen schier unübersichtlich. Hier ist ein Beitrag, der aus der bisherigen Rechtsprechung zehn Leitlinien („Die 10 Gebote des EuGH zu Art. 82 DSGVO“) herausarbeitet, die bei einer Prüfung auf einen Anspruch bzw. dessen Abwehr herangezogen werden können.
5.5 Whitepaper: Rechtskonforme Durchführung von Penetrationstests im Konzern
Eine Kanzlei hat ein Whitepaper mit rechtlichen Hinweisen bei der Durchführung von Penetrationstests veröffentlicht. Penetrationstest sind ein wichtiger Baustein bei der IT-Security Compliance. Das Tückische bei diesen Aktivitäten ist, dass auch der Versuch, Lücken in IT-Systemen zu finden, strafrechtliche Risiken bietet, wenn nicht von vornherein mit dem Verantwortlichen für das IT-System alle Details geklärt wurden. Und am besten auch dokumentiert. Das Whitepaper findet sich hier.
5.6 Podcast zu TikTok, zur Delegitimierung des Staates und überhaupt
In dieser Podcast-Folge (Dauer ca. 42 Min.) geht es u.a. um die Aktivitäten des Bundesamtes für Verfassungsschutz, um gegen die Delegitimierung des Staates auch durch Fake-News zu wirken, aber auch die Aktivitäten der FTC in den USA zu mutmaßlichen Datenschutzverletzungen durch TikTok. Natürlich kommt die EuGH-Rechtsprechung (zur Anonymisierung) dran und auch Rechtsprechung zum Auskunftsanspruch gegen die Finanzverwaltung.
5.7 noyb: Beschwerde gegen Werbeanbieter Xandr von Microsoft
Das NGO noyb hat sich die Tochter Xandr von Microsoft genauer angesehen und berichtet, dass es nun Beschwerde in Italien gegen den Werbevermittler eingereicht habe. Xandr sammele und teile die personenbezogenen Daten von Millionen von Europäern für detaillierte, zielgerichtete Werbung. Dies ermögliche es dem Unternehmen Werbeflächen an Tausende von Werbetreibenden zu versteigern. Auch wenn am Ende nur eine Anzeige den Nutzern angezeigt wird, erhielten alle Werbetreibenden die Daten. Dabei könne es sich um personenbezogene Daten über ihre Gesundheit, Sexualität oder politische Ansichten handeln.
Auch wenn das Unternehmen seine Dienstleistung als „gezielt“ verkauft, verfüge es über eher widersprüchliche Informationen: Die Beschwerdeführerin ist offenbar sowohl ein Mann, eine Frau, angestellt als auch arbeitslos. Dies könnte es Xandr ermöglichen Werbeflächen an mehrere Unternehmen zu verkaufen, die glauben, dass sie nur eine bestimmte Gruppe anspreche. Xandr kam laut eigenen Angaben im Jahr 2022 keinen Auskunftsersuchen nach.
5.8 noyb: Consent Banner Report
Das NGO noyb vergleicht die Ergebnisse der TaskForce des EDSA zu Cookie-Bannern mit den bisherigen Entscheidungen und Veröffentlichungen von Aufsichten und veröffentlicht dies als eigenen Consent Banner Report. noyb sieht darin eine hilfreiche Ressource für Unternehmen, die Cookie-Banner einsetzen. Sehe ich auch so, weil in dem Report auch auf die einzelnen Aussagen direkt verlinkt wird.
5.9 Offene Passwörter zu 2FA im Netz
Es macht keinen Spaß, wenn Schutzmaßnahmen ins Leere laufen, weil Passwörter zur Sicherung einer Zwei-Faktor-Authentifizierung (2FA) frei zugänglich sind. Massenhaft. Da ist es ein schwacher Trost, wenn sie nur durch den Chaos Computer Club gefunden wurden. Hoffentlich. Bericht dazu hier und dort.
Franks Nachtrag: Es wird ja immer wieder kolportiert, dass Nutzerinnen zu blöd sind, um 2FA oder auch MFA richtig zu nutzen. Womit dann auch die Schuldfrage geklärt sei. Tatsächlich liegt das Problem aber, wie der CCC gerade aufgezeigt hat, meist auf der Anbieterseite. Ein ähnlicher Fall wird hier entsprechend kommentiert.
5.10 Passworthack – Sind Sie dabei?
Und wieder eine Meldung zu abgezogenen und veröffentlichten Passwörtern. Allein die Anzahl ist neu: Fast 10 Mrd. einzigartige Passwörter sollen in einem Hackerforum aufgetaucht sein. Das könnte zum Anlass genommen werden, um Passwörter auf die Einhaltung aktueller Vorgaben zu überprüfen und ggf. zu ändern.
5.11 MS 365 und Verantwortung
Hier finden sich in zwei Newslettern Aussagen zum Einsatz von MS 365. Einerseits zu den rechtlichen Anforderungen, andererseits zu den Verantwortlichkeiten beim Einsatz bei öffentlichen Stellen.
5.12 Wettbewerb und Datenschutzrecht
Wie ist der aktuelle Stand im Verhältnis des Wettbewerbsrechts zum Datenschutzrecht? Können Marktteilnehmer gegen datenschutzrechtliche Verstöße vorgehen? Dieser Newsletterbeitrag berücksichtigt aktuelle Gesetzgebungsinitiativen und Vorlageentscheidungsersuchen beim EuGH.
5.13 Warn-E-Mail und Spamordner
Manche Hersteller sind verantwortungsvoll genug und informieren ihre Kunden, wenn es zu Vorkommnissen kommt. So versendet auch Microsoft nach diesem Bericht seit Juni 2024 E-Mails, wenn bei einem Cyberangriff E-Mails abflossen. Daher auch der Hinweis, immer wieder mal im Spamordner nachsehen.
Franks Nachtrag: Also erstmal … Microsoft und verantwortungsvoll? Aber darum geht es mir gerade nicht. Oder doch? Schließlich waren es in einigen im Bericht benannten Fällen ausdrücklich Microsofts Spam-Filter, die die Microsoft-Warn-E-Mails herausgefiltert haben. Verantwortungsvoll… Nun ja.
5.14 NIS2 – Was ist zu tun?
Eine gute Frage: Hier die Informationen des BSI zu den Anforderungen nach NIS2 mit den rechtlichen Grundlagen dazu. Für alle, die noch was zum Lesen für den Sommerurlaub suchen.
Franks Nachtrag: Sie möchten auch die Veranstaltung am 18.07.2024 beachten… Schließlich „brennt ja die Hütte“.
5.15 Angriffswarnungen von Apple
Apple warnt iPhone-Nutzer:innen vor einer Spyware, die versucht mit der Apple-ID verknüpfte Geräte zu kompromittieren. Nach diesem Bericht sind Nutzer:innen in 98 Ländern betroffen. Hinter diesen Angriffen stehen demnach „gekaufte“ Einheiten.
5.16 Erlaubnistatbestände bei Gesundheitsdaten
Wer sich mit datenschutzrechtlichen Fragestellungen im Gesundheitswesen befasst, dem/der kommt evtl. diese „Praxishilfe zum Umgang mit Erlaubnistatbeständen bei der Verarbeitung von Gesundheitsdaten und genetischen Daten“ gelegen, die von Mitgliedern der Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie e. V. (GMDS) Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ und des BvD erarbeitet wurde.
5.17 Veranstaltungen
5.17.1 eco: NIS2 – Anforderungen an NIS2 – „Die Hütte brennt“ -neu-
18.07.2024, 10:00 – 11:30 Uhr, online: 73,4 Prozent der Unternehmen haben noch keine der geforderten Maßnahmen getroffen oder sind sich der EU-Sicherheitsrichtlinie nicht bewusst, wie aus einer Umfrage des eco Verbands von Anfang Juni 2024 hervorgeht. Deshalb veranstaltet er zusammen mit EuroCloud Deutschland ein Webinar zum Thema: „NIS2: Die Hütte brennt! – Warum sich Unternehmen jetzt um ihre Sicherheit kümmern müssen.“ Weitere Informationen und Anmeldung hier.
5.17.2 EU: Webinar zu Datenräumen im gemeinsamen europäischer Mobilitätsdatenraum -neu-
19.07.2024, 10:00 – 11:00 Uhr, online: Die EU informiert hier in einem Webinar zu den Möglichkeiten der Nutzung von Mobilitätsdaten und die entscheidende Rolle von Dateninteroperabilität und Innovation im Verkehrswesen, speziell auch im Eisenbahnsektor: „Data spaces: experience from the common European mobility data space“. Weitere Informationen und Anmeldung hier.
5.17.3 Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
19.07.2024, 10:00 – 16:00 Uhr, Berlin und online: Am DatenTag der Stiftung Datenschutz wird das Thema „Soziale Medien und Datenschutz“ thematisiert. Mehr dazu hier.
5.17.4 Privacy Ring: „Transparenz im Spannungsfeld des Datenschutzes“
19.07.2024, 14:00 – 17:30 Uhr, Wien: Bei dieser Veranstaltung des Privacy Rings geht es um Transparenzanforderungen. Weitere Informationen und Anmeldung hier.
5.17.5 EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung
03.09.2024, Uhrzeit noch offen, Karlstadt (Schweden), Brüssel, hybrid: Der EDPS kündigt zusammen mit der Universität von Karlstadt (Schweden) eine hybride Veranstaltung an, bei der es um die menschliche Überwachung bei automatisierter Entscheidungsfindung geht. Das Thema tangiert unmittelbar Art. 22 DS-GVO und ist auch für den Einsatz von KI mit personenbezogenen Daten und die Anforderungen aus dem AI Act relevant. Weitere Informationen auch zur Anmeldung finden sich hier.
5.17.6 Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz
10.09.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz kündigt wieder im Format „Datenschutz am Mittag“ ein aktuelles Thema an, diesmal geht es um Gesundheitsdatenforschung und Datenschutz: Was ändert sich durch das Gesundheitsdatennutzungsgesetz (GDNG) und den EU-Gesundheitsdatenraum (EHDS)? Dazu informiert eine renommierte Rechtsanwältin. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Visitenkarten – oder doch nicht?
Es zieht also noch immer – Witze über den Datenschutz. Allerdings, wenn sie vom Postillon kommen, dann haben sie immerhin Niveau. Und ich bringe es eigentlich auch nur deshalb, weil ich in den letzten Tagen wieder mal hörte, dass bei der Übergabe von Visitenkarten keine datenschutzrechtlichen Pflichten entstünden (…und ich dachte mir „das kommt darauf an“, was mit den Daten zu welchem Zweck gemacht wird). Aber wenn der Bericht vom Postillion stimmt, dann stimmt auch das nicht mehr.
6.2 Regierungen und Salesforce
Aus meiner beruflichen Zeit im Einkauf weiß ich noch, dass mit einer Zwei-Lieferanten-Strategie versucht wird Abhängigkeiten und/oder Ausfallrisiken zu minimieren. Beobachtungen im weiteren Berufsleben zeigten, dass diese Strategie durchaus ihre Berechtigung haben kann. Daher überraschte mich diese Meldung über die Konsequenzen, wenn sich eine Stelle (noch dazu eine öffentliche) von einem Lieferanten abhängig macht, nicht.
Franks Nachtrag: Hand aufs Herz, wer musste jetzt auch an diese Meldung denken?
7 Sonstiges/Blick über den Tellerrand
7.1 BKA: Bundeslagebild Sexualdelikte
Das Bundeslagebild Sexualdelikte zum Nachteil von Kindern und Jugendlichen 2023 ist erschreckend. Im Jahr 2023 hat die Polizei erneut einen Anstieg bei Sexualdelikten zum Nachteil von Kindern und Jugendlichen festgestellt. Die Zahlen bewegen sich weiterhin auf einem sehr hohen Niveau – sie haben sich in den vergangenen fünf Jahren mehr als verdreifacht. In vielen Fällen ist das Internet ein zentrales Tatmittel, etwa wenn die Täter Kontakte zu Minderjährigen über soziale Netzwerke anbahnen. Auch kann das Internet selbst zum Tatort werden, etwa bei Missbrauchshandlungen, die über Internet-Live-Streams geteilt werden.
Betrachtet man die Altersstruktur der 8.030 ermittelten Tatverdächtigen, ist zu erkennen, dass der größte Anteil mit 43,1 Prozent auf die Altersgruppe der 14- bis 17-jährigen entfällt. Somit ist der größte Anteil der Tatverdächtigen selbst im jugendlichen Alter.
Ein Grund dafür ist, dass Minderjährige jugendpornografische Inhalte häufig unbedacht über soziale Netzwerke und Messengerdienste an Altersgenossen weiterleiten. Zudem stellt die Polizei immer häufiger sogenannte „Selbstfilmer“ fest. Sie fertigen pornografische Aufnahmen (u. a. mit sexuellen Handlungen) von sich selbst an – was zunächst nicht strafbar ist. Wenn die Minderjährigen jedoch damit beginnen die selbst hergestellten Inhalte zu verbreiten – etwa über soziale Medien – kann dies eine Straftat darstellen.
7.2 Programm für angezeigte Jugendliche
Im Bundeslagebild Sexualdelikte wird ausgeführt, dass es einen großen Anstieg an jugendlichen Tätern bei Besitz und Verbreitung jugendpornograhischem Material gibt. Und was kann dagegen getan werden? In Österreich gibt es eine Initiative dazu, die sich um angezeigte Jugendliche kümmert und als Neustart ein sexual- und sozialpädagogisches Programm entwickelt hat. Einen Bericht dazu finden Sie hier*.
* Franks Anmerkung: Meine Firefox-Instanz wollte mir den Bericht nicht vollständig zeigen, mit einem anderen Browser funktionierte es…
7.3 Ausplaudernde Lautsprecher
Die Stiftung Warentest hat sich Lautsprecher angesehen, die über Bluetooth und eine App gesteuert werden können. Der Titel dieses Testberichts (Paywall) spricht auch Bände: Was Lausprecher-Apps ausplaudern …
Franks Nachtrag: Da muss ich an diese Meldung denken. Falls Sie also AirPods besitzen…
7.4 Datenschutz woanders: Vektoren der Datenpreisgabe
In diesem Interview geht es um das Datenschutzverständnis und dessen Interpretation. Eine Erkenntnis aus dem nun abgeschlossenen Forschungsprojekt der Universität Passau ist, dass die Bereitschaft, eigene Daten preiszugeben, von der kulturellen Prägung und den rechtlichen Rahmenbedingungen eines Landes abhängt. Zudem entscheiden Einzelpersonen in der konkreten Situation über die Preisgabe persönlicher Daten.
Im Projekt interessierte, warum Datenschutz in verschiedenen Regionen der Welt so unterschiedlich gesehen wird. Ein interessantes Ergebnis war, dass Menschen in Asien und Afrika ein anderes Verständnis von „ihren Daten” haben. Es geht dort nicht nur um die Daten des Individuums, sondern auch um die Daten der eigenen Community. Innerhalb einer Gruppe, zum Beispiel der erweiterten Familie oder einer Dorfgemeinschaft, gibt es das Verständnis von exklusiven Daten des Einzelnen weniger. Aber die Gruppe möchte ihre Daten vor „dem Außen” schützen. In Afrika und Asien wird Datenschutz kollektiver verstanden als im individualistischen Westen. Lesenswert.
8. Franks Zugabe
8.1 Apropos KI …
Hach ja, und wieder neue Meldungen zur KI, die ich erwähnens- und auch kommentierenswert finde:
- Fangen wir an mit den Digitalisierungsbestrebungen des Bundeskanzlers. Nicht denen. Diesen, beim Asylverfahren, wo es dringend KI braucht (seiner Meinung nach). Weil Deutschland ja bei KI soviel Sinnvolles und Lobenswertes vorantreibt. Andernorts wird es meiner Meinung nach zurecht gefährlicher Tech-Populismus genannt. Und selbst ChatGPT scheint der Meinung zu sein, dass dieses keine gute Idee ist? Aber vielleicht ist es ja nur, so wie dieser kommentator der urspünglichen Meldung vermutet, eine Art trojanischer Vorwand (er nennt es malicious compliance)?
- Na ja, wenigstens ist KI ja umweltschonend. Wie, immer noch nicht?
- Derweil denkt AWS scheinbar, dass zu viele Excel-Tabellen in Unternehmen (die keiner mehr versteht, die nicht funktionieren?) ein Problem sind, für das sie die Lösung haben: Dagegen helfen GenAI-Anwendungen. Das verkauft sich bestimmt wie geschnitten Brot… Ob das dieses „Den Teufel mit dem Beelzebub austreiben“ ist?
- Vielleicht haben wir aber auch schon „Peak Data“?
- In der letzten Woche bekam ich folgende Nachricht von einer geschätzten Kollegin: „Hihihi, AI-Beauftragter, DSB, CISO – all das interessiert die KI-Branche ja nicht so sehr. Aber jetzt bekommen sie es mit der GEMA zu tun. Dann hört der Spaß aber auf.“ Der Grund für ihre Belustigung war diese Meldung. Dass ich der GEMA mal viel Erfolg wünschen würde, hätte ich auch nicht erwartet.
- Aber die KI-Blase rechnet sich doch, oder? Nach diesem Bericht … Ach, wissen Sie was? Vergessen Sie meine Frage einfach.
- Wenigstens verhilft uns KI zu neuen Erkenntnissen. Auch nicht? 🤦♂️
- Dann ist es wohl Zeit für ein kostenloses Basis-Seminar „37C3 – Fortbildung Cyber-Astrologie & KI-Karma“ (Youtube, ca. 42 Minuten).
8.2 Drei Jahre nach Cyberangriff auf Landkreis Anhalt-Bitterfeld
Hier geht es zum ca. fünf Minuten langen Video, ein kleines Update also. Fürs Große und Ganze ist das Fazit eher ernüchternd.
8.3 Sweden, a high-crime nation
Ein provokanter Titel, meinen Sie? Hier geht es zum Beitrag. Und dann entscheiden Sie selbst. Ich zahle übrigens durchaus gerne mit Bargeld …
8.4 Datenschutzwahrende Werbemessung
Oha, da bekommt Mozilla aber gerade tüchtig Gegenwind. Warum? Für ihre „datenschutzwahrende Werbemessung“. Eingeführt haben sie diese Funktionalität (nach der Übernahme des Entwicklers Anonym vor einigen Wochen) in der Version 128 ihres Browsers Firefox. Und dafür werden sie nun kritisiert. Wogegen sie sich verteidigen. Im netzpolilitik.org-Artikel wird beschrieben, wie Sie das Feature abstellen können.
Ein Kommentator beschreibt es so:
Firefox is just another US-corporate product with an ‚open source‘ sticker on it.
Safari hat eine ähnliche Funktion, die sich über „Einstellungen -> Safari -> Erweitert -> Datenschutzwahrende Werbungsmessung deaktivieren“ ausstellen lasen soll. Ach ja … lesen Sie am Besten den übernächsten Beitrag.
8.5 Google Chrome bleibt nicht untätig …
… und schickt jetzt Telemetriedaten (Link zu X) heim zu Google. Über eine verborgene Erweiterung im Browser, die nicht deaktivierbar ist… Ausführlicher sehen Sie das auch im über Mastodon zur Verfügung gestellten Screenshot. Lesen Sie als Chrome-Nutzer am Besten den nächsten Beitrag.
8.6 Sichere und datenschutzfreundliche Browser
Mike Kuketz hat eine Artikelserie im Juni 2024 veröffentlicht, die nun wie die sprichwörtliche Faust aufs Auge passt. Hier geht es zu den vier Teilen (1, 2, 3 und 4).
8.7 Ciao, Cookie-Monster!
Unter diesem launigen Titel beschreiben die Kolleg:innen bei mobilsicher in ihrem Beitrag, wie Sie unter Android oder iOS Cookie-Blocker aktivieren können. Passt ja.
8.8 Ciao, Smartphone – Eton bans smartphones for new pupils
Ach guck, das geht? In einem Elite-College in UK (das Wesentliche können Sie ohne Anmeldung lesen)? Und warum nicht bei uns in Deutschland? Hier sollte es ja auch billige (nur-telefonier-und-SMS-sende)-Handys geben. Ich sage nur Seniorenhandy 🙂
8.9 Handel mit Standortdaten: „Neue Dimension der Massenüberwachung“
Auch ein schöner Artikel. Vielleicht sollten wir alle unsere Smartphones weggeben?
8.10 Aber in welchen Club gehe ich denn dann?
Wenn ich mein Smartphone abgegeben habe, kann ich ja gar nicht mehr diese tolle App nutzen? Bin ich froh, dass es diese App bisher nur in den USA gibt (und selbst dort für Aufregung sorgt)…
8.11 Was haben die Römer je für uns getan? (Es geht um MS Teams.)
Die Überschrift ist natürlich ein Zitat aus einem sehr guten Film. Was hat das mit MS Teams zu tun, fragen Sie? Eine gute Frage. Die Antwort ergibt sich, wenn wir die Frage aus der Überschrift leicht abändern:
Was hat die EU jemals für uns getan?
Sie hat dafür gesorgt (wir berichteten), dass Microsoft nun MS Teams und Office 365 recht rüde entkoppelt hat. Schön auch dieser Kommentar im zuletzt verlinkten Artikel.
Ein anderer Kommentar nennt das ganze schlicht und ergreifend nur Enshittification. Wo haben Sie diesen Begriff zuerst gelesen? Genau, hier. Und mittlerweile hat der Begriff sogar einen Wikipedia-Eintrag…
8.12 Tool-Sammlung aus Tschechien
Wir kennen deutsche Anbieter von Tools für selbstbestimmte Internetnutzung (wie zum Beispiel bei Digitalcourage oder die Empfehlungsecke von Mike Kuketz). Aber kennen Sie auch das Czech IT collective NoLog? Wenn nicht, dieses bietet diverse Services (Chat, Search, Videokonferenz, Filesharing, etc.) als Alternativen zu den monopolistischen Anbietern, die wir ja alle kennen und so sehr „schätzen“. Nun also auch international…
Franks Nachtrag: Falls es Sie interessiert, welche Dienste denn so in Europa häufig genutzt werden, klicken Sie doch einfach hier.
8.13 Cryptographers’ Feedback on the EU Digital Identity’s ARF
Das EUDI Wallet Team der Europäischen Kommission hat Experten um Feedback gebeten. Und es hat Feedback bekommen. Ein Zitat:
We do not see a way to fix the proposed solution to meet all the privacy features as required by the regulation; we believe that a larger redesign is in order.
Läuft also mit dem EU Wallet…
8.14 Japans Regierung hat die Diskette abgeschafft
Auch hier ein Zitat aus dem verlinkten Artikel:
„Wir haben den Krieg gegen Disketten am 28. Juni gewonnen“
Es gibt schlimmere Kriege, die geführt werden (können)…
8.15 Ein Update zum BfDI (a.D.), Prof. Ulrich Kelber
Er bleibt dem Thema Datenschutz gewogen. Die EAID hat verkündet, dass Prof. Ulrich Kelber, bis Anfang Juli Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) beigetreten ist.
9. Die gute Nachricht zum Schluss
9.1 Digitale Ausstellung des Weizenbaum-Instituts
Die gute Nachricht ist nicht nur, dass es dieses Institut gibt, sondern, dass sie auch wertschätzen, welche Lebensleistung der Namensgeber als Aufgabe hinterlassen hat. Nun auch digital.