Hier ist der 7. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 29/2024)“ – Die DVD-Edition.
Es ist Hochsommer, es wird ein wenig ruhiger.
- Aufsichtsbehörden
- EDSA: Empfehlung zur Aufsicht beim AI Act
- EDSA: FAQ zu TADPF
- EDSA: Datenschutzleitfaden für kleine Unternehmen
- EDSA: Stellungnahme zur EU-weiten Zertifizierung EuroPrise für Auftragsverarbeitungen
- EDSA: Stellungnahme zur Zertifizierungskriterien nach DSGVO-zt GmbH
- BfDI: Einschätzung zur KI-VO
- LLM und Datenschutz
- LLM und Datenschutz – Hamburg: Diskussionspapier LLM und personenbezogene Daten – Reaktionen
- LLM und Datenschutz – Niederlande
- LLM und Datenschutz – Frankreich
- LLM und Datenschutz – Irland
- LLM und Datenschutz – Übersicht des LfDI Baden-Württemberg: ONKIDA
- Niederlande: Erklärungen zu Cookiebannern mit Beispielen
- CNIL: Unterhaltsame Awarenessmaßnahmen für Kinder
- CNIL: Risiken bei Zertifizierungen trotz Zugriffsmöglichkeiten fremder Staaten
- Österreich: Ausschreibung für Parlamentarisches Datenschutzkomitee
- ICO: Eigenes Verzeichnis der Verarbeitungstätigkeiten
- Wettbewerbsbehörde Italien: Untersuchung gegen Google wegen Einwilligungsgestaltung
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Detection, Measurement and Lawfulness of Server-Side Tracking on the Web
- Schadenbegriff des Art. 82 DS-GVO
- Fehler in der Lieferkette: Weltweiter Ausfall bei Azure und MS 365
- Norwegen: Pilotprojekt Copilot für MS 365
- Veranstaltungen
- NEGZ: Digitalisierung der Verwaltung in Deutschland -neu-
- EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung
- Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz
- Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Apropos weltweiter Ausfall …
- Apropos KI …
- Trickle-Down Insecurity
- Automatisches Backup in Windows 11
- Positionierung der BSI-Chefin zur Cybersicherheit
- Databroker Files
- Selbsthilfetipps (fürs Smartphone) zum DataBroker-Thema
- Almost 7% of internet traffic is malicious
- Apropos Kriminalität: Diebstahl von Cryptovermögen
- DISGOMOJI – die Linux-Malware, die auf Emojis steht 👊🏻😳☠️
- A pathway forward for digital rights
- Die gute Nachricht zum Schluss
Es ist Sommer.
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Empfehlung zur Aufsicht beim AI Act
Auch der EDSA positioniert sich in seinem Statement 03/2024 zu der Frage, wer die Aufsicht bei KI-Anwendungen als Marktüberwachungsbehörde übernehmen sollte: Die Datenschutzaufsichten. Er begründet dies u.a. mit der Erfahrung und dem Fachwissen bei der Ausarbeitung von Leitlinien und bewährten Verfahren und der Durchführung von Durchsetzungsmaßnahmen zu KI-bezogenen Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten auf nationaler und internationaler Ebene. Auch weist er darauf hin, dass die Benennung der Datenschutzbehörden als Marktüberwachungsbehörde allen Akteuren in der KI-Wertschöpfungskette zugutekäme, da eine einzige Anlaufstelle zur Verfügung stünde, die die Interaktion zwischen den verschiedenen Regulierungsstellen, die sowohl vom KI-VO als auch vom EU-Datenschutzrecht betroffen sind, erleichtern würde. Den Bericht dazu finden Sie hier.
1.2 EDSA: FAQ zu TADPF
Das nehme ich mir vor als Memory-Spiel im zunehmenden Alter gegen Demenz: Abkürzungen aus dem Datenschutz auf der einen und die Langfassung auf der anderen Karte. Aber wahrscheinlich vergesse ich auch, dass ich Demenz habe. Egal.
Der Europäische Datenschutzausschuss hat eine Frage- und Antwortliste zum Trans-Atlantik Data Privacy Framework veröffentlicht. Und zwar eine für Einzelpersonen und eine für Unternehmen.
1.3 EDSA: Datenschutzleitfaden für kleine Unternehmen
Nun gibt es den Datenschutzleitfaden für kleine Unternehmen des EDSA auch auf Deutsch. Leider enthält er immer noch bei der Checkliste für Sicherheitsanforderung die Empfehlung, dass sichergestellt werden soll, dass „persönliche Geräte für die Arbeit verwendet werden (BYOD)“.
Wie sollen wir gerade KMU und Vereine davon abbringen, wenn selbst seitens des EDSA solche Aussagen kommen?
1.4 EDSA: Stellungnahme zur EU-weiten Zertifizierung EuroPrise für Auftragsverarbeitungen
Im September 2022 hatte der EDSA eine Stellungnahme zu den EuroPriSe-Zertifizierungskriterien abgegeben, die ihre Anerkennung in Deutschland als Zertifizierungskriterien für Verarbeitungsvorgänge durch Verarbeiter ermöglichte. Nach einer Aktualisierung der Regelung werden die Kriterien in dieser neuen Stellungnahme 19/2024 als in der gesamten EU/im EWR anwendbar und als Europäisches Datenschutzsiegel anerkannt. Eine DS-GVO-Zertifizierung kann zum Nachweis von Compliance-Bemühungen und zu mehr Transparenz und Vertrauen beitragen. Es ermöglicht eine bessere Bewertung des Schutzniveaus von Produkten, Dienstleistungen, Prozessen oder Systemen, die von Organisationen verwendet werden, die personenbezogene Daten verarbeiten. Die Stellungnahme unterliegt noch den erforderlichen rechtlichen, sprachlichen und redaktionellen Kontrollen und wird dann auf der Webseite des Registers der Zertifizierungen veröffentlicht. Auch die LDI NRW berichtet darüber.
1.5 EDSA: Stellungnahme zur Zertifizierungskriterien nach DSGVO-zt GmbH
In seiner Stellungnahme 18/2024 positioniert sich der EDSA zu den Zertifizierungskriterien der DSGVO-zt GmbH. Diese ist übrigens auch als Überwachungsstelle nach Art. 41 DS-GVO akkreditiert.
1.6 BfDI: Einschätzung zur KI-VO
Der BfDI fasst seine Einschätzung zur KI-VO zusammen, dabei betrachtet er das Verbot von Social Scoring und bestimmten Methoden der Gesichtserkennung, aber auch die Transparenzanforderungen.
1.7 LLM und Datenschutz
Mit der Veröffentlichung des AI Acts reagierten auch einige Datenschutzaufsichten in den darauffolgenden Tagen mit Veröffentlichungen. Hier eine Übersicht:
1.7.1 LLM und Datenschutz – Hamburg: Diskussionspapier LLM und personenbezogene Daten – Reaktionen
Über das Diskussionspapier zu LLM und personenbezogenen Daten aus Hamburg hatten wir schon berichtet. Dazu gab es auch Reaktionen, wie hier aus der Schweiz, die sich kritisch damit auseinandersetzen. Oder auch Beiträge, die sich generell mit dem Personenbezug bei Sprachmodellen befassen, siehe auch hier.
1.7.2 LLM und Datenschutz – Niederlande
Auch die niederländische Aufsicht veröffentlichte ein Papier zu LLM und Datenschutz.
1.7.3 LLM und Datenschutz – Frankreich
Die CNIL veröffentlichte FAQ zu generativer KI.
1.7.4 LLM und Datenschutz – Irland
Die irische Aufsicht DPC veröffentlichte ihre Einschätzungen unter dem Titel AI, LLM and Data Protection.
1.7.5 LLM und Datenschutz – Übersicht des LfDI Baden-Württemberg: ONKIDA
Mit dem fast schon sinnlichen Titel „ONKIDA“, der als Akronym aus Orientierungshilfen-Navigator Künstliche Intelligenz und DAtenschutz gebildet wurde, bietet der LfDI Baden-Württemberg eine tolle Zusammenfassung aus mehreren Veröffentlichungen einiger Aufsichten. Dazu gibt es auch ein kleines Erklär-Video, das auch auf die Inhalte der berücksichtigen Aussagen eingeht.
1.8 Niederlande: Erklärungen zu Cookiebannern mit Beispielen
Die niederländische Aufsicht erklärt in einem Beitrag auf ihrer Webseite die Funktion und Hintergründe von Cookies und liefert dabei auch Beispiele zu irreführender Darstellung.
1.9 CNIL: Unterhaltsame Awarenessmaßnahmen für Kinder
Speziell bei Reisen mit dem TGV in Frankreich bietet die CNIL zusammen dem Bahnanbieter SNCF ein Sensibilisierungsspiel „Alle zusammen, seid vorsichtig im Internet!“ an, um spielerisch die verschiedenen Fragen des Schutzes der Privatsphäre zu erörtern und dabei Spaß zu haben. Darüber hinaus bietet die CNIL auch weitere Möglichkeiten der Sensibilisierung von Kindern und Jugendlichen an.
1.10 CNIL: Risiken bei Zertifizierungen trotz Zugriffsmöglichkeiten fremder Staaten
Die CNIL weist darauf hin, dass im derzeitigen Entwurf der europäischen Zertifizierung für Cloud-Dienste (EUCS) die Anbieter nicht mehr nachweisen können, dass sie die gespeicherten Daten vor dem Zugriff einer ausländischen Macht schützen, wie dies bei der SecNumCloud-Qualifizierung in Frankreich der Fall ist. Die CNIL fordert daher das Datenschutzniveau dieser Zertifizierung durch die Wiedereinführung solcher Garantien anzuheben. Die EUCS basiert auf Vorgaben der ENISA. Die CNIL findet, dass z.B. für die USA das dortige Datenschutzniveau für nicht sensible Daten ausreicht. Ein verstärkter Schutz sei jedoch für die Verarbeitung besonders sensibler Daten erforderlich (z. B. große Datenbanken mit Gesundheitsdaten, Daten über Straftaten oder auch Daten über Minderjährige), bei denen die in der EU gehosteten Daten nicht dem Risiko eines unbefugten Zugriffs durch Behörden von Drittstaaten ausgesetzt sein sollten. In diesem Fall empfiehlt die CNIL auf einen Anbieter zurückzugreifen, der ausschließlich dem EU-Recht unterliegt und ein angemessenes Schutzniveau bietet. In Frankreich umfasst bei Cloud-Computing-Diensten die SecNumCloud-Zertifizierung der Agence nationale de la sécurité des systèmes d’information (ANSSI) dieses Kriterium und ermöglicht somit den Schutz der Daten vor dem Zugriff durch ausländische Behörden.
1.11 Österreich: Ausschreibung für Parlamentarisches Datenschutzkomitee
Wer ist für die Datenschutzaufsicht im Parlament zuständig? Für Österreich hatte der EuGH ja anlässlich einer Vorlagefrage zu Auskunftsbegehren gegen Untersuchungsausschüsse entschieden (C-33/22), dass dies auch geregelt sein müssen, was zu gesetzgeberischen Aktivitäten in Österreich führte. In Österreich erfolgt nun die Ausschreibung für ein parlamentarischen Datenschutzkomitee.
1.12 ICO: Eigenes Verzeichnis der Verarbeitungstätigkeiten
Im Rahmen einer Informationsfreiheitsanfrage veröffentlichte die britische Aufsicht ihr Verzeichnis der Verarbeitungstätigkeiten (ROPA => Record of processing acticities).
1.13 Wettbewerbsbehörde Italien: Untersuchung gegen Google wegen Einwilligungsgestaltung
Die italienische Wettbewerbsbehörde AGCM berichtet auf ihrer Webseite, dass sie Untersuchungen gegen Google und dessen Mutterkonzern Alphabet einleitete. Sie prüft, inwieweit die Einwilligungsgestaltung zu verknüpften Diensten rechtskonform umgesetzt wurde. Sie scheint nach Darstellung der Behörde nämlich mit unzureichenden, unvollständigen und irreführenden Informationen verbunden zu sein und könnte die Entscheidung beeinflussen, ob und in welchem Umfang die Zustimmung erteilt werden soll.
2 Rechtsprechung
2.1 EuGH-Vorschau: Fragen zu Beweisverwertungen bei Datenschutzverstößen
Aus Niedersachsen erfolgt durch das dortige LAG eine Vorlagefrage an den EuGH, über die hier berichtet wird. Dürfen Kenntnisse eines Arbeitgebers, die möglicherweise durch einen Datenschutzverstoß erlangt wurden, durch ein Gericht verwertet werden? Der Fall wird beim EuGH unter C-484/24 (NTH Haustechnik) geführt.
2.2 LG Köln: Schlichtungsverfahren vor Unterlassungsanspruch bei Verletzung der persönlichen Ehre
Eine Kanzlei berichtet über eine prozessuale Voraussetzung in NRW bei der Geltendmachung eines Unterlassungsanspruchs bei einer Google-Bewertung. Es sei zuvor ein Schlichtungsverfahren nach § 53 Abs. 1 Nr. 2 JustG NRW durchzuführen. Da dies nicht erfolgte, nahm die Klägerseite nach Hinweis des Gerichts die Klage zurück.
3 Gesetzgebung
3.1 Verbraucherschutzministerium will Datenhandel einschränken
Die Meldungen über den Datenhandel mit Standortdaten und deren Missbrauchspotential erschreckte offensichtlich auch die Politik (wir berichteten). Nun gibt es die Meldung, dass das Verbraucherschutzministerium über Einschränkungen des Datenhandels nachdenkt.
Franks Nachtrag: Sie möchten vielleicht hier weiterlesen.
3.2 noyb: Vergleich der Änderungen der Verfahrensordnungen zur DS-GVO
noyb hat sich die Vorschläge des Europäischen Parlaments und des Rates der europäischen Union auf Basis des Entwurfs der Kommission angesehen, verglichen und veröffentlicht nun seine Erkenntnisse.
3.3 EU-Kommission: Evaluierung des TADPF
In einer Pressemitteilung teilt der zuständige Kommissar zusammen mit der zuständigen US-Ministerin mit, dass die Kommission Informationen aus verschiedenen Quellen sammelt, darunter Organisationen der Zivilgesellschaft, Unternehmen, die sich bei der Datenübermittlung auf den Datenschutzrahmen stützen (über ihre Wirtschaftsverbände), und die zuständigen US-Behörden. Die Kommission wird in den kommenden Wochen einen Bericht mit ihren Ergebnissen und Schlussfolgerungen annehmen. Dieser öffentliche Bericht wird dem Europäischen Parlament und dem Rat vorgelegt werden.
4 Künstliche Intelligenz und Ethik
4.1 DFKI: Forschungsinfrastruktur für das Training neuronaler Netze mit hochsensiblen Daten
Das deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) informiert, dass es nun eine vertrauenswürdige Forschungsumgebung für sensible persönliche Daten einrichtet. Personenbezogene Daten insbesondere in der Medizin sind ein wahrer Schatz für die KI-Forschung, insbesondere in der Medizin. Gesetzliche Vorgaben zum Schutz dieser sensiblen Daten werden da oft als Hindernis wahrgenommen. Mit SEMLA – Secure Machine Learning Architecture – hat das DFKI nun eine interne Forschungsinfrastruktur für das Training neuronaler Netze mit hochsensiblen Daten geschaffen.
Damit soll es Wissenschaftlern ermöglicht werden sichere Forschung mit hochsensiblen personenbezogenen Daten durchzuführen. Im Gegensatz zu Cloud-Lösungen speichert und verarbeitet SEMLA die Daten ausschließlich „on premise“, also am DFKI. SEMLA besteht aus einer Recheninfrastruktur (CPU, GPU, Speicher), die in Kaiserslautern betrieben und geschützt wird, sowie einem biometrisch gesicherten Annotations- und Experimentierlabor in Saarbrücken, dem SEMLAb. Die neue Forschungsinfrastruktur ist so ausgelegt, dass mit Daten der zweithöchsten Sensitivitätsklasse 4 nach dem Klassifikationsschema des Alan Turing Institute geforscht werden kann.
Auch Drittparteien sollen künftig auf den von SEMLA gehosteten Datensätzen über das Internet Modelle berechnen können. Hierfür wird auch eine Zertifizierung nach ISO 2700X und TISAX sowie nach EuroPriSe angestrebt.
4.2 Mythen und Irrtümer zu KI
Wenn es um Mythen und Irrtümern zum Datenschutz geht, sind Newsletter immer eine gute Adresse. Nun widmet sich hier ein Newsletter auch diesen Aspekten rund um die KI.
4.3 Weizenbaum-Institut: Zwei Welten der KI in der Arbeitswelt
Das Weizenbaum-Institut veröffentlich ein 21-seitiges Papier mit dem Titel „Zwei Welten der KI in der Arbeitswelt“, das sich mit den Gestaltungsmöglichkeiten bei der Einführung und Nutzung von KI-Anwendungen durch Management und Betriebsräte befasst.
5 Veröffentlichungen
5.1 Detection, Measurement and Lawfulness of Server-Side Tracking on the Web
Der Teufel steckt im Detail. Das ist die Kurzzusammenfassung dieses Beitrags, der sich mit Server-Side Tracking (SST) befasst. Worum geht es? Anstatt dass der Browser direkt mit verschiedenen Dritten in Kontakt tritt, kontaktiert er nur einen einzigen Server, der Tracking-Daten an andere Server von Drittanbietern sendet. Der Haken? Es ist unmöglich von außen nachzuvollziehen, da alles im Hintergrund passiert.
5.2 Schadenbegriff des Art. 82 DS-GVO
Hier ein freundlicherweise frei zugänglicher Fachaufsatz zum Schadenbegriff des Art. 82 DS-GVO. Darin werden insbesondere die Fragestellungen zu Bagatellschäden, Kontrollverlust und Lizenzanalogie vor Gericht behandelt. Der Beitrag berücksichtig die Entscheidungen des EuGH und die Umsetzung durch nationale Rechtsprechung und bietet Lösungsansätze an.
5.3 Fehler in der Lieferkette: Weltweiter Ausfall bei Azure und MS 365
Weil ein Update eines Sicherheitsanbieters Fehler enthielt, kam es weltweit zu Ausfällen bei dessen Kunden. Dies konnte auch Nutzer von Azure und MS 365 treffen. Zahlreiche Flughäfen, Krankenhäuser, Banken und Geschäfte mussten Leistungen einstellen oder zeitweilig den Betrieb schließen. Sie hatten keinen Plan B und natürlich wurde diese Notsituation gleich mit Phishingattacken ausgenutzt. Auch das BSI reagierte mit laufend aktualisierten Informationen. Das Thema wurde auch durch allgemeine Medien wahrgenommen und wurde auch mit der Präsidentin des BSI und einem Sprecher der AG Kritis im Fernsehen diskutiert.
Nach Behebung des Fehlers konnte vielerorts der Betrieb wieder aufgenommen werden. Ob Schadensansprüche und wenn ja, dann gegen wen, entstehen, wird in diesem Beitrag auf LinkedIn thematisiert.
Franks Nachtrag: Ach, wissen Sie, da mache ich einen eigenen Punkt zum Thema, das könnte mehr werden…
5.4 Norwegen: Pilotprojekt Copilot für MS 365
Hier wird der Bericht über die die Ergebnisse des NTNU-Projekts der Norwegischen Universität für Wissenschaft und Technologie in der regulatorischen Sandbox der norwegischen Datenschutzbehörde im Frühjahr 2024 veröffentlicht, bei der das Angebot Copilot für MS 365 untersucht wurde. Mehr dazu auch hier.
Zu den Erkenntnissen gehört, dass Copilot effektiv ist, wenn der Nutzer bereits gute Kenntnisse über die Aufgabe hat, aber die Ausübung der öffentlichen Gewalt beeinflussen kann. Copilot verarbeitet große Mengen personenbezogener Daten auf neue Art und Weise, nicht nur die persönlichen Daten der Nutzer. Der Bericht weist auch darauf hin, dass die Verwaltung von MS 365 eine Herausforderung darstellt, dass sich Copilot noch im Anfangsstadium der Entwicklung befindet und dass es gelegentlich sehr gut funktioniert. Copilot kann sich auf unterschiedliche Weise auf die Organisation auswirken, und das System kann zur Überwachung und Messung von Leistung und Verhalten genutzt werden. Der Bericht unterstreicht die Bedeutung von Schulungen, guten Datenschutz-Folgenabschätzungen und der aktiven Überlegung, zu welchen Daten Copilot Zugang haben sollte. Der Bericht empfiehlt außerdem Copilot in erster Linie als Projekt zur Organisationsentwicklung (und nicht als IT-Projekt) zu betrachten, und empfiehlt den Organisationen die Projektergebnisse zu nutzen, um schnell zum Kern der Herausforderungen vorzudringen, die ihr eigenes Unternehmen betreffen. Darüber hinaus enthält der Bericht allgemeine Empfehlungen dazu, was eine Organisation berücksichtigen sollte, bevor sie Werkzeuge mit eingebetteter künstlicher Intelligenz einsetzt, Informationen darüber, wie die Tests durchgeführt wurden, und Schulungsprogramme sowie NTNU-Vorschläge für Datenschutz-Folgenabschätzungen sowohl für Copilot mit kommerziellem Datenschutz als auch für Copilot für MS 365 und den Entwurf von Richtlinien für den Einsatz generativer künstlicher Intelligenz.
5.5 Veranstaltungen
5.5.1 NEGZ: Digitalisierung der Verwaltung in Deutschland -neu-
26.07.2024, 12:30 – 13:30 Uhr Uhr, online: Zwischen Anspruch und Wirklichkeit – wie ist der Stand der Digitalisierung in Deutschland? Damit befasst sich in dieser Stunde das Nationale eGovernment Kompetenzzentrum (NEGZ) und stellt die Erkenntnisse einer von den Universitäten Potsdam und Bochum durchgeführten Studie vor, welche den Digitalisierungsstand in vergleichsweise fortgeschrittene Verwaltungsbereiche betrachtete (Kfz-Zulassung, Bauaufsicht, Finanzämter und Elternleistungen rund um die Geburt eines Kindes). Es wurde untersucht, wie sich die Digitalisierung auf Prozesse, die Leistung der Verwaltung und auch Belastungslagen der Verwaltungsbeschäftigten auswirkt. Dabei wird festgestellt, dass die Frage, ob Digitalisierung eher zu Verbesserungen oder sogar zu Verschlechterungen führt, oft von den Rahmenbedingungen, den Ressourcen und der konkreten Ausgestaltung vor Ort in den lokalen Ämtern abhängt. Weitere Informationen und Anmeldung hier.
5.5.2 EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung
03.09.2024, Uhrzeit noch offen, Karlstadt (Schweden), Brüssel, hybrid: Der EDPS kündigt zusammen mit der Universität von Karlstadt (Schweden) eine hybride Veranstaltung an, bei der es um die menschliche Überwachung bei automatisierter Entscheidungsfindung geht. Das Thema tangiert unmittelbar Art. 22 DS-GVO und ist auch für den Einsatz von KI mit personenbezogenen Daten und die Anforderungen aus dem AI Act relevant. Weitere Informationen auch zur Anmeldung finden sich hier.
5.5.3 Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz
10.09.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz kündigt wieder im Format „Datenschutz am Mittag“ ein aktuelles Thema an, diesmal geht es um Gesundheitsdatenforschung und Datenschutz: Was ändert sich durch das Gesundheitsdatennutzungsgesetz (GDNG) und den EU-Gesundheitsdatenraum (EHDS)? Dazu informiert eine renommierte Rechtsanwältin. Weitere Informationen und Anmeldung hier.
5.5.4 Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
19.09.2024, 10:00 – 16:00 Uhr, Berlin und online: Am DatenTag der Stiftung Datenschutz wird das Thema „Soziale Medien und Datenschutz“ thematisiert. Mehr dazu hier.
6 Gesellschaftspolitische Diskussionen
6.1 Umfrage zu Social Media
Welche Altersgruppe nutzt welche Social-Media-Dienste war eine der Klärungen, die über die Umfrage von YouGov herausgefunden werden sollte. Einen Bericht darüber finden Sie hier, dort können Sie auch unter Angabe eurer Kontaktdate den ganzen Bericht herunterladen.
6.2 Meta, KI und Europa
Und wieder droht ein TechGigant aus den USA bestimmte Angebote aufgrund der Regulatorik in Europa nicht anzubieten. Diesmal ist es nach diesem Bericht Meta.
6.3 ERGA: Positionspapier zur Medienregulierung
Die European Regulators Group for Audiovisual Media Services (ERGA), die Organisation der nationalen Medienregulierer der EU, hat ein Positionspapier verabschiedet, das vier zentrale medienpolitische Forderungen für die neue Legislatur der EU formuliert: Neben der Sicherung eines freien und pluralistischen Medienmarktes, einem ganzheitlicher Einsatz gegen Informationsmanipulation sowie dem Schutz von Kindern und Jugendlichen im digitalen Umfeld werden eine sinnvolle Verschränkung bestehender europäischer Mediengesetze von der Kommenden EU-Kommission gefordert.
6.4 Handyverbot an Schulen
Immer mehr Stimmen fordern ein Handyverbot an der Schule. Außer zu Unterrichtszwecken sollten die kleinen Geräte nicht mehr benutzt werden dürfen. Dies meint mittlerweile auch einer, den viele auch als Lehrer und Internetspezialist aus den üblichen Talkshows kennen.
Andere reden nicht, sondern handeln, wie z.B. hier aus New York City berichtet wird, wo geplant ist, ab Februar 2025 Handy aus Schulen zu verbannen. Über Eton hatten wir ja schon berichtet, dort ist es zumindest ein Smartphone-Verbot.
7 Sonstiges/Blick über den Tellerrand
7.1 Unternehmensaccount bei TikTok
Hier schildert eine Kanzlei, was aus ihrer Sicht bei der Nutzung dieses Netzwerks aus China zu beachten sei. Der Beitrag enthält viele Hinweise und Umsetzungstipps, aber gerade auch bei der Thematik des Drittstaatentransfers den schönen Disclaimer:
„Unternehmen, die trotz dieser Problematiken eine Präsenz bei TikTok betreiben wollen, sollten sich der vielen Risiken bewusst sein und möglichst viele risikomindernde Maßnahmen implementieren.“
8. Franks Zugabe
8.1 Apropos weltweiter Ausfall …
Wo fange ich an? Ach ja, die Haftung. Da hat oben der oben schon verlinkte Sprecher der AG Kritis einen schönen Post (zwar im falschen Medium, aber nun ja) abgesetzt. Worum geht es? Um die AGB des Anbieters Crowdstrike. Diese besagen im Punkt 8.6 … einen Moment bitte, ich zitiere mal:
ES GIBT KEINE GEWÄHRLEISTUNG, DASS DIE ANGEBOTE ODER CROWDSTRIKE-TOOLS FEHLERFREI SIND ODER DASS SIE OHNE UNTERBRECHUNG FUNKTIONIEREN ODER BESTIMMTE ZWECKE ODER BEDÜRFNISSE DES KUNDEN ERFÜLLEN. DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN, DIE EINE AUSFALLSICHERE LEISTUNG ODER EINEN AUSFALLSICHEREN BETRIEB ERFORDERN. WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS SIND FÜR DEN BETRIEB VON FLUGZEUGNAVIGATION, NUKLEARANLAGEN, KOMMUNIKATIONSSYSTEMEN, WAFFENSYSTEMEN, DIREKTEN ODER INDIREKTEN LEBENSERHALTENDEN SYSTEMEN, FLUGVERKEHRSKONTROLLE ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT, BEI DENEN EIN AUSFALL ZU TOD, SCHWEREN KÖRPERVERLETZUNGEN ODER SACHSCHÄDEN FÜHREN KÖNNTE. Der Kunde stimmt zu, dass es in der Verantwortung des Kunden liegt, die sichere Nutzung eines CrowdStrike-Angebots und der CrowdStrike-Tools in solchen Anwendungen und Installationen zu gewährleisten. CROWDSTRIKE ÜBERNIMMT KEINE GARANTIE FÜR PRODUKTE ODER LEISTUNGEN VON DRITTANBIETERN.
Tja, da stellt sich mir nun natürlich die Frage, warum dann Krankenhäuser betroffen waren? Oder Fluggesellschaften oder Jobcenter? Unter vielen anderen? Haben die etwa alle die AGB nicht gelesen? Dass
WEDER DIE ANGEBOTE NOCH DIE CROWDSTRIKE-TOOLS […] FÜR DEN BETRIEB VON […] ODER ANWENDUNGEN ODER ANLAGEN BESTIMMT [sind], BEI DENEN EIN AUSFALL ZU […] SACHSCHÄDEN FÜHREN KÖNNTE.
Tja, da wird es hoffentlich einiges Nachdenken geben bei den Unternehmen, ob sie die Crowdstrike-Systeme bestimmungsgemäß eingesetzt haben. Aber wahrscheinlich wieder nicht. Wahrscheinlich rufen wieder alle nach Versicherungen. Wobei, ob das dieses Mal hilft? (Cool, ich habe noch nie in den ARD-Videotext verlinkt 🤪. Falls es den Link zerhaut, hier ist meine Quelle, beim GDV steht dazu nämlich nix, nur in anderen Onlinepublikationen.)
Wenigstens war das mal gut für die Umwelt (siehe verlinktes Video), zumindest kurzfristig (fast so wie damals 2020…).
Und es gab auch welche, die gar nicht vom Ausfall betroffen waren. Aber ob das nun so dauerhaft gut ist? Ich habe auch noch ein Windows-98-SE-Notebook, aber ist das eine Lösung?
Derweil wird vom BSI auch der Microsoft-365-Ausfall untersucht, der zeitgleich mit dem Crowdstrike-Vorfall aufgetreten ist (siehe letzter Absatz im verlinkten Artikel). Microsoft spricht davon, wie sie ihre Kunden zum Crowdstrike-Ausfall unterstützen, und dass so etwas von sowas kommt (meine Worte). Sie drücken es anders aus:
We currently estimate that CrowdStrike’s update affected 8.5 million Windows devices, or less than one percent of all Windows machines. While the percentage was small, the broad economic and societal impacts reflect the use of CrowdStrike by enterprises that run many critical services.
Ist das Whataboutism? (Na ja, wenigstens nimmt Microsoft immer Warnungen zu Sicherheitslücken in ihren Produkten ernst…)
Mittlerweile laufen die ersten Fehleranalysen. Na immerhin war es kein Cyberangriff… Aber wie unterscheidet sich das von den Auswirkungen? Hach ja, eine gute Frage.
Und damit wir uns nicht falsch verstehen: Auch wenn das fehlerhafte Crowdstrike-Update (oder was auch immer gerade genau der Fehler war) offensichtlich in diesem Fall die Ursache für diese ganzen Probleme weltweit war, ist es meiner Meinung nach durchaus eine gute und wichtige Frage, ob nur sie Schuld sind. Denn zum einen muss ja jemand solch einen Dienst anbieten, aber jemand anders muss ihn einsetzen. Und wie wir weiter oben gesehen haben, darf zumindest diskutiert werden, ob die Produkte bestimmungsgemäß eingesetzt wurden. Und auch hier geht es nicht um diesen Anbieter, er ist ja nicht der Einzige am Markt, auch viele andere Anbieter haben sicherlich das Potential für ähnliche Ausfälle. Also wer hat nun Schuld am Dilemma? Ist es der Stand der Technik?
Ich habe keine Antworten. Aber das Gefühl, dass die ständige weitere Digitalisierung vieler Aspekte unsere Gesellschaften zusammen mit dem Diktat des Kostenoptimierens und damit einhergehend dem agilen Entwickeln von Software (und lassen Sie mich nicht von der KI-gestützten was-auch-immer-Entwicklung anfangen) ein Grund für dieses Dilemma sein könnte. Wir leben wahrlich in interessanten Zeiten.
8.2 Apropos KI …
Trotz anderer Themen, die Ende dieser Woche die Welt beeinflusst haben, gab es auch wieder Themen rund um die KI:
- In diesem Beitrag (aus der Schweiz) wird die These aufgestellt, dass KI die gymnasiale Bildung gefährdet.
- Uber KI-Ampeln hatten wir schon mal berichtet (damals in NRW). Hier gibt es einen Bericht über die ersten drei Monaten Einsatz einer KI-Ampel in Bayern.
- Zu der App „Tattoo-Inspiration der nächsten Stufe – mit KI!“ gibt es hier einen Erfahrungsbericht. Läuft wohl gut.
- Und dann vermählt Google noch zwei große Themen: „Bringing cloud and AI capabilities to the tactical edge: Google Distributed Cloud air-gapped appliance is generally available – Hybrid & Multicloud“. Na dann… Bingo, irgendjemand?
- Und zum Abschluss noch: Ein Fotograf wurde bei einem KI-Fotografie-Wettbewerb disqualifiziert, nachdem sein echtes Foto gewonnen hatte. Ups.
8.3 Trickle-Down Insecurity
Irgendwie habe ich ein Déjà-vu. Aber das liegt nur daran, dass ich Ihnen diesen Artikel dringend im Blog zur Verfügung stellen wollte, es aber in den letzten Wochen verpasst hatte, und als ich nun den Link in meiner Themensammlung wiederfand, dachte „Das hast Du doch schon längst gebracht.“ Habe ich aber nicht, und deswegen ist hier für Sie: „Trickle-Down Insecurity“. Worum geht es, fragen Sie? Um Awareness-Maßnahmen. Lesen Sie den Beitrag, da stecken gute Ideen drin.
8.4 Automatisches Backup in Windows 11
Wenn Sie nicht bei Windows 11 das automatische Update auf OneDrive wollen, müssen Sie wohl aktiv werden. Opt-in, irgendwer?
8.5 Positionierung der BSI-Chefin zur Cybersicherheit
Das sind doch mal erfreuliche Aussagen. Sicherheitslücken gehören geschlossen, nicht im Staatsinteresse ausgenutzt. „Mach halt mal die Tür zu“…
8.6 Databroker Files
Wie letzte Woche berichtet (siehe dazu auch 3.1), ist der unkontrollierte Datenhandel der Online-Werbeindustrie eine Gefahr für den Datenschutz von Abermillionen Menschen und für die nationale Sicherheit Deutschlands. Hier gibt es eine umfassende Übersicht zur Berichterstattung zu diesem wichtigen Thema, wenn Sie sich weiter informieren wollen.
Auch hier finden Sie viele Informationen zum Thema. Sie möchten vielleicht auch den nächsten Beitrag lesen.
8.7 Selbsthilfetipps (fürs Smartphone) zum DataBroker-Thema
Unter dem Titel „Android und iOS: Werbe-ID abschalten und damit Tracking verringern“ hat Mike Kuketz Tipps zusammengestellt, wie Sie in Ihren Smartphones (unter Andorid und iOS) das Datensammeln verringern können.
8.8 Almost 7% of internet traffic is malicious
So wird in der Quelle Cloudflare zitiert. Und die müssen es als großer CDN-Anbieter ja wissen. Das Internet-Attacken so viel Ressourcen verbrennen…
8.9 Apropos Kriminalität: Diebstahl von Cryptovermögen
Anders als Sie es nun erwarten, nicht über das Internet, sondern IRL (hier gehts zur Quelle). Erschreckend. Ich befürchte, dass wir so etwas noch öfter lesen werden… Wie hier als Fazit geschrieben wird, vielleicht ein guter Grund, um sich von Cryptowährungen fernzuhalten…
8.10 DISGOMOJI – die Linux-Malware, die auf Emojis steht 👊🏻😳☠️
Der Titel ist mal wieder ein reines Zitat aus der Quelle. Eine kreative Art, um Malware zu steuern… bislang scheinbar nur in Indien.
8.11 A pathway forward for digital rights
Im verlinkten Artikel lässt sich der Mitgründer und ehemalige Executive Director von Access Now anlässlich seines Ausscheidens nach 15 Jahren im Amt über seine persönlichen Erkenntnisse und Beobachtungen zum Kampf, um die Menschenrechte für die Menschen und Gemeinschaften, die am meisten betroffen und gefährdet sind, im digitalen Zeitalter zu verteidigen und zu erweitern, aus und gibt einen Ausblick auf zukünftige Herausforderungen…
9. Die gute Nachricht zum Schluss
Genießen Sie den Sommer…