Hier ist der 8. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 30-32/2024)“ – Die DVD-Edition.
Nach dem Zwischenspiel der letzten Woche bekommen Sie nun die restlichen Nachrichten der KW 30 und noch ein paar neue der KW 31. Auch zwei neue Veranstaltungen haben sich dazugesellt, allerdings erst Ende August und Mitte September. Es ist halt Sommer.
Franks Nachtrag: Und nun habe ich noch einige Themen in meiner Kategorie aus der KW 32 hinzugefügt, da Kollege Kramer im wohlverdienten Urlaub verweilt (es ist halt Sommer) und bei mir aber trotzdem interessante Themen aufgelaufen sind. Somit werden wir den nächsten Blogbeitrag dann wahrscheinlich auch wieder mindestens als Doppelausgabe bringen, beginnend mit seinen Meldungen aus der KW 32. Aber das ist noch Zukunftsmusik, hier ist erst mal der aktuelle Blogbeitrag:
- Aufsichtsbehörden
- EDSA: Zusammenarbeit mit ENISA zur Zertifizierung von Cloud-Anbietern
- BfDI: Neue Flyer zum „Recht auf Datenschutz“ und „Ihr Recht auf Neugierde“
- Hessen: Datenschutzrecht im Online-Handel
- Kirchliche Aufsichten: Umgang mit Datenpannen
- BSI: Dokumentation zu IT-Grundschutz – Draft
- ICO: Recht zu Widersprechen
- ICO: Google akzeptiert wieder Drittanbieter-Cookies
- ICO: Positionspapier zu digitaler Identität
- ICO: Gesichtserkennung in Schule zur Essensabrechnung
- Italien: Untersuchung des Vorfalls um Crowdstrike
- Ofcom UK: Strafe für TikTok wegen unzureichender Informationen zum Schutz der Kinder
- EU-Kommission: Maßnahmen gegen Meta wegen „Pay or Consent“
- LfD Niedersachsen: Expertenkreis zu KI-Trainingsdaten
- LDI NRW: KI-VO und Zuständigkeiten
- Sachsen: Neue Auflage von „Achtung Kamera!“
- Sachsen-Anhalt: Zum Amtsantritt
- Hamburg: Messenger-Dienste in der Kinder- und Jugendarbeit
- BSI: Folgemaßnahmen nach globalen IT-Ausfällen
- ICO: Projekt mit Meta zur Erforschung der Messung von Online-Werbeanzeigen
- Rechtsprechung
- Gesetzgebung
- EU: Maßnahmen zum Schutz Minderjähriger bei Online-Plattformen
- AI Act / KI-VO: Zuständigkeiten der Mitgliedsstaaten
- EU: Bericht zu Europawahlen und Desinformation
- EU AI Office: AI Act – Code of practic
- EU AI Office: Rückmeldung zu Trustworthy General Purpose AI
- OECD: Öffentliche Konsultation zu Risikoschwellen für fortgeschrittene KI-Systeme
- Künstliche Intelligenz und Ethik
- BVDW: Playbook zu Künstlicher Intelligenz
- NIST AI 800-1: Managing Misuse Risk for Dual-use Foundation Models
- NIST AI 600-1: AI Risk Management Framework: Generative AI Profile
- EU, UK, USA: Wettbewerbsbehörden und KI-Training
- „KI sollte besser kein Bewusstsein entwickeln“
- Erklärbare Fairness in AI
- HAI: Pathways to Governing AI Technologies in Healthcare
- HAI: „AI´s Impact on Black Americans”
- US Department of State: Risk Management Profile for AI and Human Rights
- Ofcom: Studie und Maßnahmen gegen Deep Fakes
- Responsible AI Alliance
- KI in Ämtern und sonstwo
- HOOU: KI-Lernangebote
- Microsoft: Whitepaper zu KI in der öffentlichen Verwaltung
- KI-VO – ein Monstrum?
- Kann ChatGPT-4o Mini noch ausgetrickst werden?
- Veröffentlichungen
- Google und Drittanbieter-Cookies
- Übersichten zur DS-GVO zu Auskunft und Schadenersatz
- LLM und Personenbezug im KI-Modell
- Der Text- und Data-Mining-Vorbehalt: Technische Umsetzung der Maschinenlesbarkeit
- IT-Ausfall durch Crowdstrike – Ursachen und Folgen
- Umgang mit digitalen Beweismitteln
- Identitätsschutz bei Hinweisgebern?
- Tag der offenen (Hotel-)Tür – Dank unzureichend geschützter API
- DSFA bei KI am Beispiel von „My AI“ von Snap
- Rekordhoch der Kosten von Datenlecks
- Apple und homomorphe Verschlüsselung
- Sorgfaltspflichten im Mittelstand: Umgang mit Risiken & Verletzungen
- Veranstaltungen
- LfDI Baden-Württemberg: Datenpannen-Management – Grundlagen und Praxishinweise -neu-
- EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung
- EU-Kommission: “Synthetic Data for AI Conference”
- Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz
- Akademie für Politische Bildung, Tutzing: „Vorurteile – Methoden zum Reflektieren“ -neu-
- Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Deepfake Pornos – deren Begründung und Hilfen
- Europol-Bericht zu Cybercrime 2023
- Fake News – was kann dagegen getan werden?
- Israel / Palästina: Dossiers über Gegner
- WhatsApp und Sicherheitslücken
- Einreise in die USA
- Kompakt-Leitfaden „KI für die Schulpraxis“
- Hassrede moderieren: Angebot für Journalist:innen
- Franks Zugabe
- Apropos KI …
- Forever Mouse
- iPhone durchleuchtet
- noyb: Jahresbericht 2023 und Bold Move im Jahr 2024
- „Captchas sind Scheiße“
- Data Wallets und Standards
- Massenüberwachung als Dienstleistung: Der Handel mit Standortdaten
- Ein Update zu Mozilla
- Reauthorization of Section 702 of the Foreign Intelligence Surveillance Act (FISA)
- Updates auf viele Computer ausrollen ist schwierig? Versuchen Sie das doch mal bei Autos …
- Apropos Autos: Is Ford Trying To Patent a Way For Its Cars To Report Speeding To the Police?
- Apropos Updates auf viele Computer ausrollen: Secure Boot is completely broken on 200+ models from 5 big device makers
- EU-Finanzierung für Freie Software muss fortgesetzt werden
- Was tun gegen Ransomware?
- Derweil eine späte Ansage aus Brüssel: Nationale Sicherheit ist kein Blankoscheck für Spyware
- Apropos Auto und Security: Wallboxen – aka E-Auto gratis beim Nachbar laden
- Data Breach: 3 Billion National Public Data Records with SSNs Dumped Online
- Die geplante Cybercrime Convention
- Apropos Microsoft …
- FAQ bei Falscheinstellung
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Zusammenarbeit mit ENISA zur Zertifizierung von Cloud-Anbietern
In einem Antwortscheiben an die ENISA geht der EDSA auf den Vorschlag der ENISA ein gemeinsame Cybersicherheitsanforderungen in Bezug auf den Datenschutz in einem speziellen Erweiterungsprofil und Leitlinien in Bezug auf den Datenschutz sowohl für CSPs als auch für Cloud-Kunden auszuarbeiten.
Der EDSA ist der Ansicht, dass mehrere wichtige Fragen im Zusammenhang mit den Verbindungen zwischen der Bewertung des Cybersicherheitsrisikos im Rahmen des Europäischen Zertifizierungssystems für Cybersicherheit für Cloud-Dienste (EUCS) und der Bewertung des Risikos für den Schutz personenbezogener Daten geklärt werden müssen. Obwohl das EUCS die Einhaltung von Gesetzen vorschreibt, sei nicht klar, wie beispielsweise die Sicherheitsstufen des EUCS-Systems mit Nutzungsszenarien verknüpft werden können, die personenbezogene Daten beinhalten – was wiederum die Frage aufwerfe, ob die Annahme einer Cybersicherheitszertifizierung ausreiche, um angemessene Sicherheitsmaßnahmen für eine Zertifizierung gemäß Art. 42 DS-GVO zu erfüllen. Daher schlägt der EDSA der ENISA eine gemeinsame Ad-hoc-Arbeitsgruppe vor, deren Aufgabe es ist die folgenden möglichen Ziele zu untersuchen und zu bewerten:
- Erstellung eines Leitfadens zum Datenschutz sowohl für CSPs als auch für Cloud-Kunden (z. B. Abbildung der Sicherheitsstufen des EUCS-Systems mit Nutzungsszenarien, die personenbezogene Daten beinhalten, oder Klarstellung, dass einige von ihnen als generell nicht ausreichend für die Verarbeitung personenbezogener Daten eingestuft werden können).
- Unterstützung von Datenschutzbehörden, Betreibern von DS-GVO-Zertifizierungssystemen oder Betreibern von GDPR-Verhaltenskodizes bei der Verknüpfung von DS-GVO-Instrumenten (Zertifizierung, Verhaltenskodex usw.) mit dem EUCS-System.
- Entwicklung einer Risikobewertungsmethode, um die Umstände zu bewerten, unter denen die EUCS-Zuverlässigkeitsstufen zusammen mit den Datenschutzrisiken eskalieren, und um zu prüfen, ob die in den einzelnen EUCS-Zuverlässigkeitsstufen vorgesehenen Sicherheitsmaßnahmen die damit verbundenen Datenschutzrisiken abschwächen (und in welchem Ausmaß).
- Erstellung eines speziellen EUCS-Erweiterungsprofils, das die zusätzlichen Anforderungen im Zusammenhang mit der Datenschutz-Grundverordnung abdeckt.
1.2 BfDI: Neue Flyer zum „Recht auf Datenschutz“ und „Ihr Recht auf Neugierde“
Der BfDI hat einen Flyer „Das Recht auf Datenschutz – Ein Schnelleinstieg in die DSGVO und das BDSG“ veröffentlicht, mit dem er die rechtlichen Grundlagen des Datenschutzes erklärt. Es werden u.a. der Geltungsbereich, die Ausnahmen und die persönlichen Betroffenenrechte dargestellt. Es gibt ihn auch als englische Fassung. Auch zum Informationsfreiheitsgesetz gibt es einen Flyer: „Ihr Recht auf Neugierde“. Diesen gibt es ebenfalls auf Englisch. Mehr dazu hier.
1.3 Hessen: Datenschutzrecht im Online-Handel
Der HBDI informiert über datenschutzrechtliche Fragestellungen im Online-Handel, wenn das Unternehmen, trotz perfekter Webseite in einer europäischen Sprache und Lieferversprechen nach Europa, sich nicht an europäisches Datenschutzrecht hält. Hat es dann auch noch keine Niederlassung oder einen Vertreter nach Art. 27 DS-GVO, sollte es allen potentiellen Kunden klar sein, dass die Durchsetzung datenschutzrechtlicher Ansprüche schwer werden könnte. Mehr dazu hier.
1.4 Kirchliche Aufsichten: Umgang mit Datenpannen
Im (immer wieder zu empfehlenden) Newsletter zum kirchlichen Datenschutz wird über die Umfrage zum Umgang mit Datenpannen der katholischen Aufsichten der Nord- und Südwest-Bistümer berichtet. Dabei wird diese kurz dargestellt und die jeweilige Rechtslage nach dem KDG und DSG-EKD dargestellt.
1.5 BSI: Dokumentation zu IT-Grundschutz – Draft
Das BSI hat den IT-Grundschutz weiterentwickelt und eine IT-Grundschutz-konforme Dokumentation – FAQ und Einführung als Community Draft veröffentlicht, die eine Einführung zu dem Thema IT-Grundschutz und wesentlichen Fragestellungen hierzu bietet. Die FAQ werden durch eine tabellarische Übersicht ergänzt. Diese enthält Empfehlungen, welche Dokumente zur Dokumentation für die unterschiedlichen Anforderungen aus den BSI-Standards und aus den Bausteinen des IT-Grundschutz-Kompendiums benötigt werden. Es handelt sich um Empfehlungen, da es im Einzelfall sinnvoll sein kann die Struktur und Form an die eigene Situation anzupassen. Interessierte sind eingeladen die Dokumente bis 31. August 2024 zu kommentieren.
1.6 ICO: Recht zu Widersprechen
Die britische Aufsicht ICO widmet sich in einem Beitrag auf ihrer Webseite dem Recht der betroffenen Person einer Datenverarbeitung zu widersprechen. Dabei gibt er neben einem Musterschreiben auch Hinweise zur Frist, innerhalb welcher das Unternehmen / die Behörde reagieren muss.
1.7 ICO: Google akzeptiert wieder Drittanbieter-Cookies
Die Datenschutzaufsicht ICO des Vereinigten Königreichs äußert sich enttäuscht über die Ankündigung von Google doch wieder Drittanbieter-Cookies im Browser zu akzeptieren. Google will sich diesbezüglich neu ausrichten.
1.8 ICO: Positionspapier zu digitaler Identität
Anlässlich der Veröffentlichung des Arbeitsplans 2023/2024 des Digital Regulation Cooperations Forum (DRCF) hat das DRCF Pläne zur Durchführung gemeinsamer Horizontuntersuchungen zur Zukunft der digitalen Identität dargelegt, um zu untersuchen, wie diese sich mittelfristig entwickeln könnte. Damit verfolgen sie einen dreifachen Zweck: die Bündelung von Wissen und die Information von Diskussionen zwischen den internen Fachleuten der einzelnen Mitgliedsregulierungsbehörden; die Erweiterung dieses Wissens durch die Einholung weiterer Erkenntnisse von externen Interessengruppen; und die Weiterentwicklung des Gesamtverständnisses der Regulierungsfragen, die sich aus der Art und Weise ergeben könnten, wie digitale Identitäten und digitale Geldbörsen in Zukunft genutzt werden. Der ICO erinnert dabei an sein Positionspapier für eine vertrauensvolle digitale Identität.
1.9 ICO: Gesichtserkennung in Schule zur Essensabrechnung
Eine Schule führt eine Gesichtserkennung ein, um damit die Bezahlung in der Kantine sicherzustellen. Keine gute Idee, meint die britische Aufsicht ICO und nutzt gleich den Fall, um auf einige Hilfsmittel wie zur Gesichtserkennung oder zum Einbezug des DSB hinzuweisen, die sie zur Orientierung anbietet. Eine Opt-Out-Gestaltung reiche nicht und eine Datenschutz-Folgenabschätzung sei erforderlich gewesen.
1.10 Italien: Untersuchung des Vorfalls um Crowdstrike
Die Italienische Aufsicht Garante informiert, dass sie die Vorfälle untersuchen will, die durch das fehlerhafte Update von Cloudstrike verursacht wurden. Sie behält sich das Recht, weitere Maßnahmen zu ergreifen, vor, falls es zu konkreten Verstößen kommt, die italienische Nutzer betreffen könnten.
1.11 Ofcom UK: Strafe für TikTok wegen unzureichender Informationen zum Schutz der Kinder
Hüpfen, Rassismus, Tanzen, Hate Speech, Pädophilen-Treffpunkt, Boomer-Bashing – jeder kennt irgendwie TikTok-Clips oder die Ausreden diese Quelle zu nutzen. Doch was unternimmt das Unternehmen in chinesischer Hand zum Schutz der Kinder? Das hätte auch gerne die britische Regulierungsbehörde zur Kommunikation Ofcom gewusst – und von TikTok nichts erfahren. Nun bekommt TikTok dafür ein Bußgeld in Höhe von 1,875 Mio. britischer Pfund.
1.12 EU-Kommission: Maßnahmen gegen Meta wegen „Pay or Consent“
Die EU-Kommission koordiniert Maßnahmen der nationalen Verbraucherschutzbehörden gegen Meta. Das Netzwerk für die Zusammenarbeit im Verbraucherschutz (CPC) hat dazu einen Brief verschickt, nachdem es Bedenken hatte, dass das „Pay or Consent“-Modell von Meta gegen das EU-Verbraucherrecht verstoßen könnte. Die EU-Kommission koordinierte diese Maßnahme, die von der französischen Generaldirektion für Wettbewerb, Verbraucherschutz und Betrugsbekämpfung geleitet wird. Die Aktion startete im Jahr 2023, unmittelbar nachdem Meta die Verbraucher über Nacht aufgefordert hatte entweder ein Abonnement für die Nutzung von Facebook und Instagram gegen eine Gebühr abzuschließen oder der Verwendung ihrer personenbezogenen Daten durch Meta zuzustimmen, um personalisierte Werbung zu erhalten, die es Meta ermöglichte Einnahmen daraus zu erzielen („Pay or Consent“). Mehr dazu hier.
Meta verstoße damit gegen die Richtlinie über unlautere Geschäftspraktiken sowie die Richtlinie über missbräuchliche Klauseln in Verbraucherverträgen. So geben die Verbraucherschützer zu bedenken, dass der Begriff „kostenlos“ für Nutzer:innen „irreführend“ sei, da Meta aus der Nutzung ihrer persönlichen Daten Einnahmen erzielt. Auch seien die Webseiten zur persönlichen Einstellung von Datenschutzpräferenzen „verwirrend“. Beklagt wird zudem, dass „unpräzise Begriffe und Formulierungen“ verwendet werden, etwa „Ihre Daten“, wenn es sich um „persönliche Daten“ handelt. Nicht zuletzt würden Nutzer:innen, „die Facebook und Instagram bis zur Einführung des neuen Geschäftsmodells immer kostenlos genutzt haben und für die Facebook/Instagram oft einen bedeutenden Teil ihres sozialen Lebens und ihrer Interaktionen ausmacht, unter Druck gesetzt werden eine sofortige Entscheidung zu treffen […]ç. Bis zum 1. September 2024 hat Meta nun Zeit zu reagieren und Lösungen vorzuschlagen. Im worst case können die CPC-Behörden Durchsetzungsmaßnahmen, einschließlich Sanktionen, beschließen.
1.13 LfD Niedersachsen: Expertenkreis zu KI-Trainingsdaten
Der LfD Niedersachsen berichtet in einer Pressemitteilung, dass er einen Expertenkreis einberufen hat, der sich mit der Formulierung für die Rahmenbedingungen für den datenschutzkonformen Einsatz Künstlicher Intelligenz in der Wirtschaft wie auch in der niedersächsischen Verwaltung befassen soll.
1.14 LDI NRW: KI-VO und Zuständigkeiten
Rechtzeitig zum Inkraft-Treten der KI-VO zum 1. August 2024 weist die LDI NRW auf deren Vorgaben insb. hinsichtlich aufsichtsrechtlicher Zuständigkeiten hin. Sie berücksichtigt verschiedene Risikostufen. Sie verbietet ab Februar 2025 bestimmte Anwendungen ganz – zum Beispiel KI-Systeme, die der Emotionserkennung am Arbeitsplatz und in Schulen, dem Social Scoring, der Manipulation menschlichen Verhaltens oder dem Ausnutzen menschlicher Schwachstellen dienen. Für weite Teile von Hochrisiko-Anwendungen sieht die KI-Verordnung vor, dass die Datenschutzaufsichtsbehörden neue Aufgaben übernehmen: Für KI-Anwendungen bei Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden zuständig (Art. 74 Abs. 8 KI-Verordnung). Weitere Zuständigkeiten müssen bis August 2025 noch im nationalen Recht geregelt werden.
1.15 Sachsen: Neue Auflage von „Achtung Kamera!“
Nicht nur weil in Sachsen die Beschwerden über Videoüberwachungen stark zugenommen haben, hat die Sächsische Datenschutz- und Transparenzbeauftragte ihre Broschüre „Achtung Videoüberwachung“ in der 2. Auflage veröffentlicht.
1.16 Sachsen-Anhalt: Zum Amtsantritt
Lange genug hat es gedauert. Aber nun ist es soweit. Wir gratulieren der neuen Landesbeauftragten für den Datenschutz* Frau Maria Rost zum Amtsantritt!
* Franks Anmerkung: Sie wurde gleichzeitig auch zur neuen Landesbeauftragten für die Informationsfreiheit.
1.17 Hamburg: Messenger-Dienste in der Kinder- und Jugendarbeit
Messenger-Dienste können eine Chance sein, um in der Kinder-, Jugend- und Familienhilfe die jeweiligen Zielgruppen zu erreichen und jungen Menschen die Teilhabe zu vielfältigen, kostenlosen und nichtkommerziellen Kinder- und Jugendangeboten zu ermöglichen. Der Auftrag, sowohl zur Teilhabe zu befähigen als auch vor Risiken zu schützen, leitet sich aus der UN-Kinderrechtskonvention und aus dem Sozialgesetzbuch VIII ab. Allerdings ergeben sich bei der Nutzung in der Kinder- und Jugendarbeit dazu auch Fragestellungen aus dem datenschutzrechtlichen Bereich. Der HmbBfDI stellt hierzu Checklisten zur Verfügung, gibt Hinweise vor Inbetriebnahme, zur Voreinstellungen und zur Nutzung.
1.18 BSI: Folgemaßnahmen nach globalen IT-Ausfällen
Das BSI hat Informationen zu Folgemaßnahmen nach den weltweiten IT-Ausfällen (wir berichteten) veröffentlicht. Es möchte damit ausreichende Schutzmaßnahmen bei Zugriffen auf das Betriebssystem sicherstellen.
1.19 ICO: Projekt mit Meta zur Erforschung der Messung von Online-Werbeanzeigen
Der ICO informiert, dass Meta Platforms Inc. (Meta) sich mit einem Projekt zur Erforschung der Messung von Online-Werbeanzeigen mithilfe von Technologien zur Verbesserung des Datenschutzes (PETs) in die Sandbox des ICO begeben hat. Meta forscht an einem System, das Secure Multiparty Computation (MPC) nutzt und darauf abzielt eine genaue Anzeigenmessung zu ermöglichen und gleichzeitig die Privatsphäre der Nutzer zu gewährleisten. Dabei soll die Sandbox sicherstellen, dass Meta die Auswirkungen von Datenschutzgesetzen auf sein Projekt berücksichtigt. Die Ergebnisse werden nach Abschluss des Projekts veröffentlicht, was der gesamten Branche zugutekommt, da der ICO bewertet, wie PETs im Rahmen der Messung von Online-Werbung eingeführt werden können. Mehr dazu hier.
2 Rechtsprechung
2.1 BGH: Kontaktdaten des DSB bei der Informationspflicht
Eigentlich wäre der Fall auch mit einfachem Lesen zu lösen gewesen: Muss bei den Informationspflichten nach Art. 13 Abs. 1 lit. b DS-GVO der Name des / der benannten Datenschutzbeauftragten aufgeführt werden? Der Text lautet ja „gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten“. Das nimmt auch der BGH wörtlich:
„Bei Mitteilung der Kontaktdaten des Datenschutzbeauftragten nach Art. 13 Abs. 1 Buchst. b DS-GVO ist die Nennung des Namens nicht zwingend. Entscheidend und zugleich ausreichend für den Betroffenen ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind. Ist die Erreichbarkeit ohne Nennung des Namens gewährleistet, muss dieser nicht mitgeteilt werden.“
2.2 LG Hamburg: Termin zu KI-Training und Urheberrecht
Wir haben ja immer wieder zu Fragestellungen des Urheberrechts bei dem Einsatz von KI informiert, sei es bei der Frage des Trainings (siehe hier) oder den Ergebnissen (siehe dort). Laut diesem Bericht ist für den 27. September 2024 eine Entscheidung des LG Hamburg im Fall „Laion“ angekündigt. Ob dieses aber in der Sache urteilt oder aber Fragestellungen dem EuGH vorlegt, ist noch offen.
2.3 LG Köln: Auch „Influencer“ können nicht alles behaupten
Das LG Köln hatte sich mit einem heiklen Fall zu befassen: Vor dem Hintergrund eines Rechtsstreits über unlautere Werbung unter „Immobilien-Influencern* veröffentlichte die beklagte Partei ein Video und stellte „lautstark“ dar, dass sie ein Justizopfer sei. Nach der Darstellung des Rechtsvertreters der obsiegenden Partei erließ das LG Köln eine einstweilige Verfügung, die dies nun untersagt. Natürlich alles noch nicht rechtskräftig.
* Rudis Anmerkung: Was es alles gibt, ich werde alt…
2.4 EuG: TikTok gilt als Torwächter nach DMA
Das Europäische Gericht wies mit Urteil im Verfahren T-1077/23 die Klage von Bytedance gegen die Entscheidung der EU-Kommission, TikTok als Torwächter nach Art. 3 Abs. 1 DMA (Digital Markets Act) einzustufen, ab. Siehe auch die Pressemeldung des Gerichts und einen Bericht dazu hier.
2.5 EuGH: Umfang der anwaltlichen Verschwiegenheit (C-623/22)
Der EuGH hat sich in dem Urteil C-623/22 (Belgian Association of Tax Lawyers) zur anwaltlichen Verschwiegenheitspflicht hinsichtlich einer gesetzlichen Meldepflicht bei der Bekämpfung bestimmter Steuergestaltungen geäußert. Die anwaltliche Verschwiegenheitspflicht geht in diesem Fall vor. Siehe auch den Bericht dazu hier.
Auf das andere noch offene Verfahren aus Luxemburg beim EuGH (C-432/23) hatten wir ja bereits hingewiesen.
3 Gesetzgebung
3.1 EU: Maßnahmen zum Schutz Minderjähriger bei Online-Plattformen
Die EU-Kommission hat eine Anhörung mit dem Ziel gestartet die Online-Welt für Kinder sicherer zu machen und die Anbieter aller Online-Plattformen, die für Kinder zugänglich sind, zu verpflichten Maßnahmen zu ergreifen, um im Rahmen ihrer Dienste ein hohes Maß an Privatsphäre, Sicherheit und Schutz zu gewährleisten. Außerdem soll der EU-Kommission die Befugnis, Leitlinien herauszugeben, erteilt werden, um Anbieter von Online-Plattformen bei der Anwendung dieses hohen Jugendschutzniveaus zu unterstützen. Die EU-Kommission beabsichtigt diese Leitlinien im ersten Halbjahr 2025 anzunehmen.
3.2 AI Act / KI-VO: Zuständigkeiten der Mitgliedsstaaten
Wir hatten schon mal auf die Webseiten eines der Büromitglieder eines MEP verwiesen, der maßgeblich an der Gestaltung der KI-VO mitwirkte. Dieser erweiterte nun seine Darstellungen zur KI-VO um eine weitere: Die Zuständigkeiten der Mitgliedsstaaten (ebendort auch als PDF zum Download).
Daraus sind die Implementierungsaufgaben, deren Durchsetzung und der konkrete Zeitrahmen ersichtlich. Dies wird auf insg. 22 Seiten in einer umfassenden Auflistung aller Verpflichtungen und Aufgaben dargestellt. Insgesamt wurden dabei 88 Zuständigkeiten für die Mitgliedstaaten ermittelt:
- 18 Aufgaben mit dem Ziel, ein KI-Governance-System zu etablieren, die zwischen dem 02. November 2024 und dem 02. August 2026 durchgeführt werden sollen.
- 7 entweder neue nationale Rechtsvorschriften und abgeleitete Rechtsvorschriften, die die Mitgliedstaaten einführen könnten oder bei denen sie die Kommission unterstützen können. Einige dieser Punkte sind mit klaren Fristen versehen, andere hängen vom Ermessen der Mitgliedstaaten ab.
- 55 verschiedene Kategorien von Durchsetzungsmaßnahmen auf nationaler Ebene, von denen einige bereits ab dem 02. Februar 2025 durchgeführt werden müssen.
- 8 Aufgaben mit dem Ziel der Ex-post-Evaluierung des KI-Gesetzes, die zwischen 2025 und mindestens 2031 durchgeführt werden sollen.
Das (auf der verlinkten Seite angebotene) Dokument soll regelmäßig aktualisiert werden.
3.3 EU: Bericht zu Europawahlen und Desinformation
Der Europäische Rat für digitale Dienste veröffentlichte einen Bericht über die Europawahlen vom Juni 2024. Dabei wird auch das Gesetz über digitale Dienste (DSA) einbezogen, dass einen starken Rechtsrahmen zur Bewertung und Minderung von Risiken für den zivilgesellschaftlichen Diskurs und Wahlprozesse, einschließlich Desinformation, bei gleichzeitiger Wahrung der Grundrechte, bietet. Der Bericht gibt einen Überblick über die Maßnahmen der Europäischen Kommission und der Koordinatoren für digitale Dienste (DSC) zur Überwachung der Einhaltung und Durchsetzung des Gesetzes über digitale Dienste sowie über die Maßnahmen, die im Rahmen des Verhaltenskodex zur Bekämpfung von Desinformation und der Europäischen Beobachtungsstelle für digitale Medien (EDMO) im Rahmen der Europawahlen ergriffen wurden. In dem Bericht werden die durchgeführten Maßnahmen im Einzelnen beschrieben, wie die Veröffentlichung der DSA-Wahlleitlinien, ein Stresstest in Form einer Tabletop-Übung, Regulierungsdialoge mit sehr großen Online-Plattformen und Suchmaschinen (VLOPSEs), Durchsetzungsmaßnahmen im Rahmen des Gesetzes über digitale Dienste, die Arbeit der Ad-hoc-Arbeitsgruppe „Wahlen“ des DSA, die zu einer ständigen Arbeitsgruppe für Informationsintegrität im Verwaltungsrat wird, und die Zusammenarbeit im Rahmen des Verhaltenskodex zur Bekämpfung von Desinformation und seines Krisenreaktionssystems.
3.4 EU AI Office: AI Act – Code of practic
Das Europäische Amt für künstliche Intelligenz hat einen Aufruf zur Interessenbekundung für die Teilnahme an der Ausarbeitung des ersten allgemeinen Verhaltenskodex für künstliche Intelligenz veröffentlicht. Es lädt in Frage kommende Anbieter von KI-Modellen für allgemeine Zwecke, nachgelagerte Anbieter und andere Branchenorganisationen, andere Interessengruppen wie Organisationen der Zivilgesellschaft oder Organisationen von Rechteinhabern sowie Wissenschaftler und andere unabhängige Experten ein ihr Interesse an der Ausarbeitung des Verhaltenskodex zu bekunden. Der Kodex wird in einem iterativen Entwurfsprozess bis zum April 2025, also 9 Monate nach Inkrafttreten des AI-Gesetzes am 1. August 2024, ausgearbeitet. Der Kodex wird die ordnungsgemäße Anwendung der Vorschriften des KI-Gesetzes für KI-Modelle für allgemeine Zwecke erleichtern. Bewerben kann man sich bis 25. August 2024, 18:00 Uhr MEZ. Weitere Informationen dazu auch mit Schautafeln zu zeitlichem Ablauf und Prozess finden sich hier.
3.5 EU AI Office: Rückmeldung zu Trustworthy General Purpose AI
Das Europäische Amt für Künstliche Intelligenz startet eine Konsultation mehrerer Interessengruppen zu vertrauenswürdigen KI-Modellen für allgemeine Zwecke im Rahmen des KI-Gesetzes. Diese Konsultation erfolgt zusätzlich zu dem Aufruf für die Teilnahme an der Ausarbeitung des ersten Verhaltenskodex für KI für allgemeine Zwecke zwischen September 2024 und April 2025.
Die Konsultation bietet allen Interessengruppen die Möglichkeit sich zu den Themen des ersten Verhaltenskodex zu äußern, in dem die Regeln für Anbieter von KI-Modellen für allgemeine Zwecke festgelegt werden. Die Konsultation wird auch in die damit verbundenen Arbeiten des Amtes für künstliche Intelligenz einfließen, insbesondere in die Vorlage für die Zusammenfassung der Inhalte, die für die Schulung der universellen KI-Modelle verwendet werden, und in die begleitenden Leitlinien. Alle interessierten Parteien sind aufgerufen sich zu beteiligen. Das Amt für künstliche Intelligenz bittet um Beiträge eines breiten Spektrums von Interessenvertretern, darunter Akademiker, unabhängige Experten, Industrievertreter wie Anbieter von KI-Modellen für allgemeine Zwecke oder nachgeschaltete Anbieter, die das Modell in ihre KI-Systeme integrieren, Organisationen der Zivilgesellschaft, Rechteinhaber und Behörden.
Die Konsultation ist in englischer Sprache verfügbar und Antworten können über dieses Formular über einen Zeitraum von sieben Wochen eingereicht werden. Die Beiträge müssen bis Dienstag, den 10. September 2024, bis 18:00 Uhr MEZ, eingereicht werden. Frühzeitige Einreichungen sind erwünscht.
Der Fragebogen für diese Konsultation ist in drei Abschnitte unterteilt:
- KI-Modelle für allgemeine Zwecke: Transparenz und urheberrechtsbezogene Bestimmungen
- KI-Modelle für allgemeine Zwecke mit systemischem Risiko: Risikotaxonomie, -bewertung und -minderung
- Überarbeitung und Überwachung der Verhaltenskodizes für KI-Modelle für allgemeine Zwecke
Am Ende des Fragebogens besteht die Möglichkeit ein Dokument hochzuladen, um weitere Informationen mit dem KI-Büro zu teilen. Es wird eine Vorlage zur Verfügung gestellt, die sich an den im Verhaltenskodex behandelten Themen orientiert. Mehr dazu auch im Dokument Background Consultation Trustworthy General-Purpose AI.
3.6 OECD: Öffentliche Konsultation zu Risikoschwellen für fortgeschrittene KI-Systeme
Die OECD führt eine öffentliche Konsultation zu Risikoschwellen für fortgeschrittene KI-Systeme durch. Eine Rückmeldung ist bis 10. September 2024 möglich.
4 Künstliche Intelligenz und Ethik
4.1 BVDW: Playbook zu Künstlicher Intelligenz
Der Bundesverband Digitale Wirtschaft (BVDW) e.V. hat ein Playbook zu Künstlicher Intelligenz herausgebracht, in welchem er richtige Nutzung thematisiert. Es richtet sich an Unternehmen und umfasst neben der Geschichte und Konzepte der Künstlichen Intelligenz auch Hinweise zur praktischen Anwendung und zu Werkzeugen wie z.B. auch eine Toolübersicht. Aber auch Fallstricke und Mythen werden nicht ausgespart. Erwartungskonform ist es nur gegen Einwilligung zu Werbemaßnahmen erhältlich.
4.2 NIST AI 800-1: Managing Misuse Risk for Dual-use Foundation Models
Das US AI Safety Institute veröffentliche den Draft einer Vorgabe für Entwickler von Modellen, um das Risiko zu bewältigen, dass ihre Modelle absichtlich missbraucht werden, um Schaden anzurichten (Managing Misuse Risk for Dual-Use 3 Foundation Models). Damit setzt die NIST die Aufgaben um, die sich aus der Executive Order 14110 (dort Abschnitt 4.1(a)(ii) und Abschnitt 4.1(a)(ii)(A)) ergeben.
4.3 NIST AI 600-1: AI Risk Management Framework: Generative AI Profile
Ebenfalls auf die Executive Order 14110 geht die Veröffentlichung der NIST „Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile“ zurück. Damit wird ein sektorübergreifendes Profil und eine begleitende Ressource für das KI-Risikomanagement-Rahmenwerk für generative KI bereitgestellt.
4.4 EU, UK, USA: Wettbewerbsbehörden und KI-Training
Die Wettbewerbsbehörden der EU, der USA und des Vereinigten Königreichs haben eine gemeinsame Erklärung veröffentlicht, dass sie als Kartellbehörden der Europäischen Union, des Vereinigten Königreichs und der Vereinigten Staaten von Amerika sind wir den Interessen unserer Bürger und Volkswirtschaften verpflichtet. Auf der Grundlage ihrer jeweiligen Gesetze werden sie sich für einen wirksamen Wettbewerb und eine faire und ehrliche Behandlung von Verbrauchern und Unternehmen einsetzen. Dies beruhe auf der Erkenntnis, dass faire, offene und wettbewerbsfähige Märkte dazu beitragen werden, die Chancen, das Wachstum und die Innovation freizusetzen, die diese Technologien bieten könnten. In ihrem Statement kommen sie auch zu der Aussage, dass
„Unternehmen, die Verbraucherdaten täuschend oder unfair verwenden, um ihre Modelle zu trainieren, die Privatsphäre, Sicherheit und Autonomie der Menschen untergraben können. Unternehmen, die die Daten von Geschäftskunden zum Trainieren ihrer Modelle verwenden, könnten auch wettbewerbssensible Informationen offenlegen. Darüber hinaus ist es wichtig, dass die Verbraucher gegebenenfalls darüber informiert werden, wann und wie eine KI-Anwendung in den von ihnen gekauften oder genutzten Produkten und Dienstleistungen eingesetzt wird.“
Franks Nachtrag: Hier finden Sie noch einen Beitrag mit weiteren Informationen.
4.5 „KI sollte besser kein Bewusstsein entwickeln“
So die Quintessenz eines Philosophen von der Rhein-Ruhr-Uni Bochum. Er wird damit zitiert, dass zum einen das Risiko gemindert werden soll, versehentlich künstliches Bewusstsein zu schaffen; dies wäre wünschenswert, da derzeit nicht klar sei, unter welchen Bedingungen die Schaffung künstlichen Bewusstseins moralisch zulässig ist. Zum anderen seien Täuschungen durch scheinbar bewusste KI-Systeme auszuschließen, die nur so wirken, als wären sie bewusst. Dies sei besonders deswegen wichtig, weil es bereits Hinweise darauf gebe, dass viele Menschen, die oft mit Chatbots interagieren, diesen Systemen Bewusstsein zuschreiben. Zugleich bestünde unter Experten ein Konsens, dass aktuelle KI-Systeme kein Bewusstsein besitzen. Hier finden Sie seine Veröffentlichung mit dem Titel „Artificial consciousness: a perspective from the free energy principle”.
4.6 Erklärbare Fairness in AI
Der weit verbreitete Einsatz von Systemen der künstlichen Intelligenz (KI) in verschiedenen Bereichen wirft zunehmend Fragen im Zusammenhang mit der Fairness von Algorithmen auf, insbesondere in Szenarien, in denen es um viel Geld geht. Daher sind kritische Überlegungen darüber, wie die Fairness in KI-Systemen verbessert werden könnte – und welche Maßnahmen zur Unterstützung dieses Prozesses zur Verfügung stehen – überfällig. Viele Forscher und politische Entscheidungsträger sehen in der erklärbaren KI (XAI) eine vielversprechende Möglichkeit die Fairness in KI-Systemen zu verbessern. Allerdings gibt es eine Vielzahl von XAI-Methoden und Fairnesskonzepten, die unterschiedliche Desiderate ausdrücken, und die genauen Zusammenhänge zwischen XAI und Fairness bleiben weitgehend nebulös. Außerdem können verschiedene Maßnahmen zur Erhöhung der algorithmischen Fairness an unterschiedlichen Punkten im Lebenszyklus eines KI-Systems anwendbar sein. Dennoch gibt es derzeit keine kohärente Abbildung von Fairness-Desiderata entlang des KI-Lebenszyklus. In dieser Veröffentlichung unter dem Titel „Mapping the Potential of Explainable AI for Fairness Along the AI Lifecycle” werden acht Fairness-Desiderata bestimmt, dem Lebenszyklus von KI zugeordnet und dazu diskutiert, wie XAI dabei helfen könnte jedes dieser Desiderata anzugehen.
4.7 HAI: Pathways to Governing AI Technologies in Healthcare
Die Veröffentlichung des Human-Centered Artificial Intelligence (HAI) der Stanford University vom 15. Juli 2024 mit dem Titel „Pathways to Governing AI Technologies in Healthcare“ berichtet über die Ergebnisse eines Workshops vom Mai 2024, bei dem 55 führende politische Entscheidungsträger, Akademiker, Gesundheitsdienstleister, KI-Entwickler und Patientenvertreter zusammenkamen, um über die Zukunft der KI-Politik im Gesundheitswesen zu diskutieren. Das Hauptaugenmerk des Workshops lag auf der Identifizierung von Lücken in den aktuellen regulatorischen Rahmenbedingungen und der Förderung der Unterstützung für notwendige Veränderungen, um KI im Gesundheitswesen effektiv zu steuern.
Dabei wurden die Themenbereiche „KI-Potenzial und Investitionen“ sowie „regulatorische Herausforderungen“ diskutiert. Dabei wurde KI in folgenden Bereichen betrachtet: KI-Software zur Unterstützung klinischer Entscheidungen; KI-Tools für Unternehmen im Gesundheitswesen und – patientenorientierte KI-Anwendungen.
4.8 HAI: „AI´s Impact on Black Americans”
Bevor ich mir lange Gedanken mache, wie in diesem Zusammenhang die korrekte Bezeichnung der betroffenen Personengruppe wäre, übernehme ich nur den Originaltitel des Beitrags mit einem Interview auf den Seiten der Stanford University zum Human-Centered Artificial Intelligence (HAI). Das Thema betrifft ja nicht nur Afro-Americans, sondern grundsätzlich Personen mit dunklerer Hautfarbe. Ausgangspunkt des Interviews ist eine Sammelklage, bei der geklärt werden soll, ob durch den Einsatz einer KI Bevölkerungsgruppen benachteiligt werden: Bei 52% der schwarzen Kreditnehmer würden Kreditanfragen verweigert, im Vergleich zu 23% bei weißen Anfragenden.
4.9 US Department of State: Risk Management Profile for AI and Human Rights
Das US-Außenministerium veröffentlichte ein „Risikomanagement-Profil für künstliche Intelligenz und Menschenrechte“ (das „Profil“) als praktischen Leitfaden für Organisationen – einschließlich Regierungen, den privaten Sektor und die Zivilgesellschaft –, um KI in einer Weise zu konzipieren, zu entwickeln, einzusetzen, zu nutzen und zu verwalten, die mit der Achtung der internationalen Menschenrechte vereinbar ist. Wenn sie in einer die Rechte achtenden Weise eingesetzt wird, könne KI technologische Fortschritte vorantreiben, die Gesellschaften und Einzelpersonen zugutekommen, auch indem sie die Wahrnehmung der Menschenrechte erleichtern. KI könne jedoch auf eine Art und Weise eingesetzt werden, die unbeabsichtigt gegen die Menschenrechte verstößt, z. B. durch verzerrte oder ungenaue Ergebnisse von KI-Modellen. KI kann auch absichtlich missbraucht werden, um Menschenrechte zu verletzen, z. B. für Massenüberwachung und Zensur. Die internationalen Menschenrechte sind für das KI-Risikomanagement von besonderem Wert, da sie eine international anerkannte, allgemein gültige normative Grundlage für die Bewertung der Auswirkungen von Technologie bieten. Allerdings sind die Menschenrechte denjenigen, die sich mit dem Design, der Entwicklung, dem Einsatz und der Nutzung von KI befassen, nicht immer vertraut, und es gibt eine Lücke bei der Übersetzung von Menschenrechtskonzepten für Technologen.
4.10 Ofcom: Studie und Maßnahmen gegen Deep Fakes
Deepfakes sind Videos, Bilder oder Audioclips, die mit künstlicher Intelligenz erstellt wurden, um echt auszusehen. Nach einer Ofcom-Studie haben 43% der Menschen im Alter von 16+ Jahren angegeben, in den letzten sechs Monaten mindestens ein Deepfake online gesehen zu haben – bei Kindern im Alter von 8 bis 15 Jahren sind es 50%.
Die jüngsten technologischen Fortschritte in der generativen KI (GenAI) haben laut Ofcom die Landschaft der Deepfake-Produktion in den letzten zwei Jahren verändert. In einem dazu veröffentlichten Diskussionspapier befasst sich Ofcom mit verschiedenen Arten von Deepfakes und was getan werden kann, um das Risiko zu verringern, dass Menschen auf schädliche Deepfakes stoßen – ohne die Erstellung legitimer und harmloser Inhalte zu untergraben.
GenAI und synthetische Inhalte können Fernsehen und Film bereichern, Fotos und Videos verbessern, unterhaltsames oder satirisches Material erstellen und die Entwicklung von Online-Sicherheitstechnologien unterstützen. Sie können auch verwendet werden, um Branchenschulungen, medizinische Behandlungen und strafrechtliche Ermittlungen zu erleichtern.
Einige Deepfakes können jedoch erheblichen Schaden anrichten, insbesondere auf folgende Weise: Deepfakes, die erniedrigen, die betrügen und / oder die desinformieren. In der Realität wird es Fälle geben, in denen ein Deepfake mehrere Kategorien durchschneidet. Journalistinnen zum Beispiel sind oft Opfer von sexualisierten Deepfakes, die nicht nur die Vorgestellten erniedrigen, sondern auch zu einer abschreckenden Wirkung auf den kritischen Journalismus beitragen können.
Ofcom stellt auch dar, wie schädliche Aspekte von Deepfakes bekämpft werden können, wenn alle Teile der Technologielieferkette Maßnahmen ergreifen – von den Entwicklern, die GenAI-Modelle erstellen, bis hin zu den nutzerorientierten Plattformen, die als Räume für Deepfake-Inhalte dienen, die geteilt und verstärkt werden können.
Dazu stellen sie vier Wege vor, die Technologieunternehmen einschlagen könnten, um die Risiken von Deepfakes zu mindern: Prävention, Einbettung von nicht wahrnehmbaren Wasserzeichen, Automatisierte Erkennungen und Durchsetzung mit Hilfe von Richtlinien und Nutzungsbedingungen. Diese Vorschläge könnten dazu beitragen die Erstellung und Verbreitung schädlicher Deepfakes einzudämmen. Es gebe jedoch keine Patentlösung und um sie anzugehen, sei ein mehrgleisiger Ansatz erforderlich.
4.11 Responsible AI Alliance
In Hamburg haben sich unter der Federführung der Freien und Hansestadt Hamburg, des LawCom.Institute und der Artificial Intelligence Center Hamburg (ARIC) in einer Allianz einige Unternehmen und Institutionen zusammengeschlossen, um sich für einen verantwortungsvollen und ethischen Umgang mit Künstlicher Intelligenz einzusetzen. Als „Responsible AI Alliance“ will diese Einrichtung die ethische, transparente und nachhaltige Entwicklung von KI-Technologien, den Aufbau von Vertrauen und die Förderung der Reife von KI in Unternehmensumgebungen fördern.
Das Ziel sei es ein dynamisches Netzwerk von führenden Unternehmen und Innovatoren zu schaffen, die zusammenarbeiten, um Wissen über verantwortungsvolle KI aufzubauen, zu bündeln und zu teilen, um deren Einführung voranzutreiben. Das stärke nicht nur das Vertrauen in die Technologie, sondern unterstreicht auch die gemeinsame gesellschaftliche Verantwortung für einen menschenzentrierten KI-Einsatz.
4.12 KI in Ämtern und sonstwo
In diesem öffentlich zugänglichen Artikel wird über die Entwicklung des Einsatzes von KI in einem Bundesland und über die Entwicklung grundsätzlich rund um den Einsatz von KI berichtet.
4.13 HOOU: KI-Lernangebote
Das HOOU steht für Hamburg Open Online University und diese offeriert Lernangebote zu Künstlicher Intelligenz auf ihrer Webseite.
4.14 Microsoft: Whitepaper zu KI in der öffentlichen Verwaltung
Nach Preisgabe seiner Kontaktdaten eröffnet Microsoft die Möglichkeit zum Zugang zu einem Whitepaper, in dem die Aspekte des Einsatzes von Künstlicher Intelligenz in der öffentlichen Verwaltung aus Sicht von Microsoft über 93 Seiten erläutert werden.
4.15 KI-VO – ein Monstrum?
Auf den Praxisleitfaden für Datenschutzbeauftragte hatten wir bereits hingewiesen. Hier ist ein Podcast (Dauer ca. 1:12 Std.), bei der die Autorin zu Gast ist.
4.16 Kann ChatGPT-4o Mini noch ausgetrickst werden?
Zumindest versucht Open AI das durch Maßnahmen zu verhindern, wie hier nachzulesen ist.
5 Veröffentlichungen
5.1 Google und Drittanbieter-Cookies
Nach Berichten plant Google die Einführung einer neuen Lösung. Über eine einmalige Eingabeaufforderung wird es den Nutzer:innen ermöglicht Einstellungen festzulegen, die für alle Google-Browsing-Erfahrungen gelten sollen. Der Benutzer könne damit seine Datenschutzeinstellungen auf Browser-/Geräteebene kontrollieren, anstatt pro Website.
5.2 Übersichten zur DS-GVO zu Auskunft und Schadenersatz
Lobenswert sind die Übersichten zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DS-GVO wie auch zum Schadenersatzanspruch nach Art. 82 DS-GVO, die hier ein Fachverlag bereitstellt.
5.3 LLM und Personenbezug im KI-Modell
Ausgehend vom Diskussionspapier der Hamburger Datenschutzaufsicht (wir berichteten) und einer Bestätigung des Ergebnisses durch einen Post auf LinkedIn entwickelte sich in den Kommentaren dazu eine spannende Diskussion, ob den Informationen innerhalb eines KI-Modells eine Personenbezug zuzurechnen sei oder nicht.
Leider nur für eingeloggte Mitglieder ist dann diese Diskussion zu dieser Thematik (ca. 44 Min.) zu sehen.
5.4 Der Text- und Data-Mining-Vorbehalt: Technische Umsetzung der Maschinenlesbarkeit
Dieser öffentliche Beitrag einer Kanzlei befasst sich mit § 44b Abs. 3 UrhG und der Möglichkeit unerwünschten kommerziellen KI-Trainings.
5.5 IT-Ausfall durch Crowdstrike – Ursachen und Folgen
Hinterher wissen es alle besser. Und für Zynismus oder Schadenfreude ist das Thema zu ernst. Selbst wenn Microsoft die Ursache in den Vorgaben der EU-Wettbewerbsbehörde von 2009 ausmacht, durch die Microsoft Sicherheitsanbietern den Zugang zu Anwendungen ermöglichen musste, gibt es bereits Ausführungen, die sich kritisch damit befassen. Auch wird sich zeigen, wie der Ausfall unter den Aspekten der DS-GVO zu bewerten sein wird.
5.6 Umgang mit digitalen Beweismitteln
Auch wenn dieser Beitrag auf einer Webseite schon ein bisschen älter ist – er hat nichts von seinem Informationswert eingebüßt. Wer sich mit Fragen im Zusammenhang mit digitalen Beweismitteln befassen möchte, findet darin etliche Aspekte gut erläutert.
5.7 Identitätsschutz bei Hinweisgebern?
„Datenschutz vs. Hinweisgeberschutz: Wo endet der Identitätsschutz?“ ist der Titel eines Webseitenbeitrags einer Kanzlei, die dabei die Berücksichtigung der unterschiedlichen Interessen darstellt.
5.8 Tag der offenen (Hotel-)Tür – Dank unzureichend geschützter API
Wie hier berichtet wird, konnten Sicherheitsforscher herausfinden, dass über eine unzureichend abgesicherte API Türen von Hotelzimmern durch Unberechtigte geöffnet werden konnten. Und da das System in über 3.000 Hotels in über 25 Länder eingesetzt wird, wäre ein fast weltweiter Dauerurlaub denkbar gewesen.
5.9 DSFA bei KI am Beispiel von „My AI“ von Snap
Über die Ausführungen des ICO zur Prüfung des Chatangebot „My AI“ hatten wir bereits berichtet. Hier zieht nun eine Kanzlei Bilanz, welche Folgen sich daraus für eine Datenschutz-Folgenabschätzung bei einer KI ableiten lassen.
5.10 Rekordhoch der Kosten von Datenlecks
IBM berichtet über eine Studie, nach der deutsche Unternehmen Schäden von durchschnittlich 4,9 Mio. Euro pro Fall im Jahr 2024 verzeichneten. Dabei waren gestohlene oder kompromittierte Anmeldedaten der häufigste Angriffsvektor in Deutschland.
5.11 Apple und homomorphe Verschlüsselung
Apple führt homomorphe Verschlüsselung über Swift ein. Homomorphe Verschlüsselung ist eine kryptographische Technik, die es ermöglicht Berechnungen mit verschlüsselten Daten durchzuführen, ohne dass die zugrunde liegenden unverschlüsselten Daten dabei preisgegeben werden. Zum Beispiel bei Cloud-Berechnungen. Kurz gesagt, die Bausteine von Technologien, Techniken oder Protokollen, die die Privatsphäre wahren. Aber das ist noch nicht alles! Protokolle zum Abrufen von privaten Informationen! Dies ermöglicht den Aufbau einer Datenbank und das Abrufen von Informationen auf eine Weise, die privat ist: Nur der Client weiß, welche Informationen angefordert wurden.
5.12 Sorgfaltspflichten im Mittelstand: Umgang mit Risiken & Verletzungen
Das Mittelstand-Digital Zentrum Franken veröffentlicht einen Leitfaden zu unternehmerischen Sorgfaltspflichten: Welche Maßnahmen können nachhaltigkeitsbezogene Risiken und Verletzungen in der Lieferkette mindern? Und weil der Leitfaden dazu keine Aussage trifft: Auch die datenschutzkonforme Nutzung der Dienstleistungen und Produkte der Lieferanten sollten nicht vernachlässig werden – ebenso wie Fragen der Informationssicherheit!
5.13 Veranstaltungen
5.13.1 LfDI Baden-Württemberg: Datenpannen-Management – Grundlagen und Praxishinweise -neu-
27.08.2024, 16:00 – 17:30 Uhr, Stuttgart, hybrid: Im Mittelpunkt der hybrid durchgeführten Veranstaltung des LfDI Baden-Württemberg steht die Frage, welche datenschutzrechtlichen Anforderungen es nach der Datenschutz-Grundverordnung im Umgang mit Datenpannen zu beachten gilt und wie diese im Rahmen eines Datenpannen-Managements in der Praxis umgesetzt werden können. Im Vordergrund stehen dabei insbesondere Sachverhalte aus den Bereichen Wirtschaft und Gesundheitswesen, wobei die jeweiligen Besonderheiten anhand von einigen anschaulichen Beispielen aufgezeigt werden sollen. Weitere Informationen auch zur Anmeldung finden sich hier. Die Plätze sind online wie auch vor Ort limitiert.
5.13.2 EDPS: Menschlicher Einfluss bei automatisierter Entscheidungsfindung
03.09.2024, 14:00 – 18:00 Uhr, Karlstadt (Schweden), Brüssel, hybrid: Der EDPS kündigt zusammen mit der Universität von Karlstadt (Schweden) eine hybride Veranstaltung an, bei der es um die menschliche Überwachung bei automatisierter Entscheidungsfindung geht. Das Thema tangiert unmittelbar Art. 22 DS-GVO und ist auch für den Einsatz von KI mit personenbezogenen Daten und die Anforderungen aus dem AI Act relevant. Weitere Informationen auch zur Anmeldung finden sich hier.
5.13.3 EU-Kommission: “Synthetic Data for AI Conference”
10.09.2024, 10:30 – 15:30 Uhr, Brüssel: Die Verwendung synthetischer Daten ist eine Möglichkeit, um auf die steigende Nachfrage nach Daten zu reagieren, um Datenanalyse und KI voranzutreiben, insbesondere in Fällen, in denen sensible Informationen im Spiel sind. In der Veranstaltung wird das Potenzial synthetischer Daten besprochen und mögliche Grenzen bei der Gewährleistung des vollständigen Datenschutzes untersucht. Weitere Informationen und Anmeldung hier.
5.13.4 Stiftung Datenschutz: „Datenschutz am Mittag“ – Gesundheitsforschung und Datenschutz
10.09.2024, 13:00 – 14:30 Uhr, online: Die Stiftung Datenschutz kündigt wieder im Format „Datenschutz am Mittag“ ein aktuelles Thema an, diesmal geht es um Gesundheitsdatenforschung und Datenschutz: Was ändert sich durch das Gesundheitsdatennutzungsgesetz (GDNG) und den EU-Gesundheitsdatenraum (EHDS)? Dazu informiert eine renommierte Rechtsanwältin. Weitere Informationen und Anmeldung hier.
5.13.5 Akademie für Politische Bildung, Tutzing: „Vorurteile – Methoden zum Reflektieren“ -neu-
13.-15.09.2024, vor Ort: Die Akademie für Politische Bildung in Tutzing bietet an, sich mit Philosophie genauer zu befassen und lädt dazu zu einem Workshop zum praktischen Philosophieren ein. Damit hätte ich es im Titel dieses Punktes nicht weit gebracht – daher betone ich die Inhalte dieser Tage: Es geht darum Vorurteile und deren Projektion und Ressentiments zu erkennen und zu hinterfragen. Und sobald diese in einem Dateisystem hinterlegt werden oder erkennbar sind, sind wir mit großer Wahrscheinlichkeit bereits im Datenschutzrecht. Oder je nach technischer Unterstützung bei KI. Oder beidem. Mehr dazu hier
5.13.5 Stiftung Datenschutz: DatenTag zu „Soziale Medien und Datenschutz“
19.09.2024, 10:00 – 16:00 Uhr, Berlin und online: Am DatenTag der Stiftung Datenschutz wird das Thema „Soziale Medien und Datenschutz“ thematisiert. Mehr dazu hier.
6 Gesellschaftspolitische Diskussionen
6.1 KI in Europa – ohne Metas multimodales Llama-Modell?
Man kann sich streiten, ob eine Welt ohne das Angebot von Meta mit Facebook, Instagram und den damit zusammenhängen Folgen aufgrund unzureichender Schutzmaßnamen bezüglich Fake-News, Desinformation, Mobbing und Hate Speech eine bessere wäre. Evtl. kann das Europa dann für sich ausprobieren, wenn Meta tatsächlich den europäischen Markt mit seinen KI-Angeboten auslässt, wie hier berichtet wird. Als Begründung für die Überlegung, ein multimodales Llama-Modell nicht auf den europäischen Markt zu bringen, wird das unvorhersehbare regulatorische Umfeld in Europa angegeben.
6.2 Cybersicherheit an Hochschulen
Aus einer Antwort der Bundesregierung auf eine Kleine Anfrage der Unionsfraktion zu Cyberangriffen auf Wissenschaft und Forschung in Deutschland ist entnehmbar, dass es schlimmer ist als befürchtet. Es gibt weder eine statistisch belastbare Erhebung, noch einheitliche Verwendung von Begrifflichkeiten. Wie will man hier gegensteuern, wenn nicht mal bekannt ist, gegen was?
6.3 Umfrage zum Angebot der Stiftung Datenschutz für Ehrenamtliche
Aufgemerkt! Die Stiftung Datenschutz hat ein umfangreiches Angebot für ehrenamtlich Tätige. Mit Info-Broschüren, Webinaren und Ratgebern werden diese unterstützt datenschutzrechtliche Anforderungen zu verstehen und umzusetzen. Dazu führt die Stiftung Datenschutz nun eine Umfrage durch, an der bis Ende August 2024 teilgenommen werden kann.
6.4 Verschwörungstheorien und Plattformnutzung
Wir haben es ja schon immer geahnt: Soziale Medien im Netz haben Einfluss auf die Verbreitung von Verschwörungstheorien. Jetzt auch bestätigt durch eine wissenschaftliche Studie zu Digitale Überwachung und Verschwörungstheorien der Universitäten Paderborn und Göttingen, über die hier berichtet wird. Die Forschenden konnten nachweisen, dass digitale Plattformen und Technologien als Katalysatoren für die Verbreitung kontroverser Ideen fungieren. Dabei zeigt sich ein komplexes Wechselspiel zwischen technologischem Fortschritt und der Entstehung sowie Verbreitung von Verschwörungsnarrativen.
Franks Nachtrag: Seitdem ich dieses Buch gelesen habe, nutze ich den Begriff Verschörungstheorie nicht mehr, ich favorisiere seitdem das Wort Verschwörungserzählung. Hier und da (u.a als ca. 40 Min. langer Podcast) können Sie sich zu Unterschieden dieser Begriffe informieren.
7 Sonstiges/Blick über den Tellerrand
7.1 Deepfake Pornos – deren Begründung und Hilfen
Das Thema greift immer mehr um sich und ist nicht neu. Gesichter von Prominenten oder von weniger prominenten Personen werden mit KI für die Erstellung von pornografischem Material verwendet. Natürlich ohne die betroffenen Personen zu fragen, für die das zu schweren Belastungen führen kann. Aspekte der Moral der Verantwortlichen kennt die ein oder der andere evtl. sogar aus dem beruflichen Umfeld „Wenn ich es nicht mache, macht es ein anderer“ (hier im Video bei Min. 9:50). Unterstützung finden betroffenen Personen u.a. bei HateAid.
7.2 Europol-Bericht zu Cybercrime 2023
Nach dem Bericht von Europol zu Cybercrime 2023 ist die Anzahl kinderpornografischer Inhalte im Netz drastisch gestiegen. Phishing erfreut sich weiterhin großer Beliebtheit bei Kriminellen, die zudem immer häufiger auf KI setzen. Europol informiert auch, dass jüngste Strafverfolgungsmaßnahmen Ransomware-Gruppen dazu veranlasst haben sich abzuspalten und unter verschiedenen Deckmänteln neu zu firmieren. Außerdem haben die ständigen Abschaltungen von Foren und Marktplätzen im Dark Web den Lebenszyklus krimineller Websites verkürzt. Diese Instabilität hat in Verbindung mit der Zunahme von Betrügereien zur Zersplitterung und Vermehrung von Cyberbedrohungen beigetragen.
7.3 Fake News – was kann dagegen getan werden?
Wie kann eine Welle von Fake-News gebrochen werden? Nach den Erkenntnissen einer Veranstaltung der Akademie für politische Bildung in Tutzing braucht es nur eine gut informierte Person auf 25.000 Menschen, um eine Desinformationswelle zu brechen und die Verbreitung von Fake News zu reduzieren. Diese Person könne Fakten verbreiten, kritisches Denken fördern und dazu beitragen die Öffentlichkeit vor falschen Informationen zu schützen. Auch deshalb müsse der Staat in Bildung und Medienkompetenz investieren und den Bürgerinnen und Bürgern helfen Desinformation zu erkennen. Außerdem sei es unerlässlich das Vertrauen in Institutionen und Mechanismen aufrechtzuerhalten. Das erfordere eine klare Kommunikation und Transparenz seitens des Staates und der Zivilgesellschaft, um zu zeigen, dass die Kontrollinstanzen effektiv arbeiten und die Öffentlichkeit schützen. Qualitätsjournalismus sollte unterstützt werden, um die Verbreitung verlässlicher und gut recherchierter Nachrichten sicherzustellen. Neben klassischen Medien sind auch Faktenprüfungsdienste von Bedeutung, da sie Desinformationen identifizieren und widerlegen. Ohne die Social-Media-Plattformen, die eigene Maßnahmen gegen die Verbreitung von Desinformation ergreifen müssen, gehe es jedoch nicht.
7.4 Israel / Palästina: Dossiers über Gegner
Wie hier berichtet wird, erbeutete die palästinensische Terrororganisation Hamas Daten von israelischen Soldat:innen und fertigte Dossiers über diese an. Die Daten umfassen eigentlich „harmlose“ Datensätze wie Geburtstag, Angehörige, Telefonnummern, E-Mailadressen und Kontoinformationen. Sie stammen teilweise aus Datenlecks und sozialen Medien.
Es stimmt also doch – es gibt kaum harmlose Daten – es kommt immer auf den Kontext an.
7.5 WhatsApp und Sicherheitslücken
Natürlich gibt es manche unter uns, die WhatsApp und den dahinterstehenden Konzern grundsätzlich als Sicherheitslücke betrachten. Für alle anderen ist dann diese Nachricht interessant, die über eine Sicherheitslücke bei WhatsApp für Windows berichtet.
7.6 Einreise in die USA
Zumindest wer über New York in die Vereinigten Staaten einreist, muss nun nicht mehr befürchten, dass die Einreisebehörden ohne richterliche Entscheidung die eigene IT entsperren dürfen. Details dazu gibt es hier.
7.7 Kompakt-Leitfaden „KI für die Schulpraxis“
In vielen modernen Bildungstechnologien stecken schon heute Aspekte Künstlicher Intelligenz (KI) – in Anwendungen für die Schulorganisation genauso wie in Anwendungen für das Lehren und Prüfen und fürs Lernen und Üben. Beispiele sind Lernplattformen oder Lern-Apps, die das Aufgabenprogramm an das Kompetenzprofil der Lernenden anpassen. Doch erst die Veröffentlichung von ChatGPT hat die Bedeutung von KI-Systemen auch für den Schulalltag ins öffentliche Bewusstsein gerückt – verbunden mit vielen offenen Fragen. Antworten auf diese Fragen aus Schulsicht will eine Studie geben, die das mmb Institut – Gesellschaft für Medien- und Kompetenzforschung mbH und das Deutsche Forschungszentrum für Künstliche Intelligenz GmbH (DFKI) im Auftrag der Deutsche Telekom Stiftung erarbeitet haben. Die Handreichung richtet sich vor allem an Lehrkräfte und Schulleitungen, bietet aber auch Bildungsverantwortlichen in Politik und Verwaltung grundlegendes Orientierungswissen, um eine gewinnbringende schulische Nutzung von KI-Systemen zu fördern. Die Deutsche Telekom Stiftung hat dazu fünf Handlungsempfehlungen entwickelt, die sich an die Lehrkräfte, aber auch an die Politik und die Technologieunternehmen richten, die KI-Systeme entwickeln.
Im Juni 2024 hat die Deutsche Telekom Stiftung zudem eine nochmals kompaktere Version der Studie als Leitfaden für Lehrkräfte und Schulleitungen veröffentlicht: Auf nur je einer Doppelseite erklärt dieser die sieben KI-Technologiegruppen fürs Lernen, Lehren und Verwalten, nach Ausagen der Deutsche Telekom Stiftung somit alles Wesentliche, das Schulpraktikerinnen und Schulpraktiker wissen sollten, um sich gut in die neuen Hilfsmittel einfinden zu können.
Hier gibt es die Veröffentlichungen:
- Kompakt-Leitfaden für Schulpraktiker (2024),
- Die Zusammenfassung: Schule und KI (2023) und
- die ausführliche Studie: Schule und KI (2023).
Die Inhalte aus dem kompakten Leitfaden können zudem auch über einen Chatbot dargestellt werden, dieser beantwortet dabei alle Fragen zum Leitfaden.
7.8 Hassrede moderieren: Angebot für Journalist:innen
Die Unsitte, unter Veröffentlichungen unsachlich und oder beleidigend unter dem Schutz der zulässigen Pseudonymisierung zu sein, nimmt zu. Die Medienanstalt NRW bietet dazu im Rahmen ihrer Schulungskonzepte „Hassrede moderieren lernen<7a>“ und „Hallo liebe Community“ kostenlose Aus- und Weiterbildungen für den Umgang mit der eigenen Online-Community an. Die Programme richten sich an Redaktionen und Teams, die ihre Mitarbeitenden beim Umgang mit Hasskommentaren im Netz bestärken wollen. So erhalten die Teilnehmenden der Schulung „Hallo liebe Community“ z. B. einen Werkzeugkoffer zur „Empowerment-Moderation“. Außerdem stellen die Expertinnen und Experten verschiedene Methoden vor, die Teilnahmenden dabei helfen können mit der Community in Kontakt zu treten, sich wertschätzend und auf Augenhöhe zu begegnen und so Hass vorzubeugen.
8. Franks Zugabe
8.1 Apropos KI …
Ärmel hochkrempeln, los geht’s:
- Den Rabbit R1 hatten wir ja schon, mittlerweile finden sich auch Sicherheitslücken in diesem KI-Gerät.
- Erinnern Sie sich noch an „my fried Cayla“? Damsls nahmen wir alle etwas verblüfft zur Kenntnis, dass die Bundesnetzagentur auch Spielzeuge verbieten konnte (und es mit „my friend cayla“ auch im Jahr 2017 tat), wenn diese als verbotenes Spionagegerät klassifiziert wurden (so der § 90 TKG in der damals gültigen Fassung). Der Grund war, das Nutzer:innen im Zweifelsfall nicht erkennen konnten, wenn diese Puppe Sprachaufzeichnungen anfertgte und diese ans Internet übermittelte (die Puppe antwortete dann mit einem „in der Cloud“ generierten Inhalt). Und da ja alle guten Ideen wiederkommen, berichtet Heise in der (mittlerweile nicht mehr ganz) aktuellen Ausgabe des c’t-Magazins (17/2024) auf Seite 68 über eine „Wanze im Plüschtierpelz“, ein KI-Spielzeug mit Sprachmodell von Curio. Im Artikel (der leider bisher nur hinter einer Paywall zu finden ist) schreibt der Autor, dass die Bundesnetzagentur auf Nachfrage bestätigt, dass das Spielzeug Grok nicht mit § 8 Abs. 1 TDDDG vereinbar sei (unter der Maßgabe, dass die durch c’t geschilderten Umstände zutreffend seien, da die Bundesnetzagentur zum Zeitpunkt der Nachfrage das Produkt noch nicht selbst getestet hatte).
Also, nach Kauf vernichten (oder besser: Gleich auf den Kauf verzichten)?
Und wie so oft stellt sich mir die Frage: Warum muss eigentlich fast alles Nervige in Wellen wiederkommen, wie der Vokuhila oder die Vorratsdatenspeicherung? - Der KI-Freund, der immer mithört. Das reicht mir eigentlich schon zur Meinungsbildung. Aber natürlich können Sie auch dem Link folgen. Die Hersteller sollten sich ggf. auch diese Success Story eines ähnlichen Produktes genauer anschauen…
- Grundsätzlich scheint KI in der Bezeichnung eines Produktes nicht immer ein Garant für gute Umsätze zu sein. Ach was.
- Trotzdem wird KI weiterhin in Produkte integriert, jetzt auch in die Bing-Suche. Na dann.
- Sich selbst kannibalisierende Programmierer, fragen Sie? Ja, so wie die IT in den letzten Jahrzehnten diverse Branchen disruptiv optimiert hat, soll das wohl jetzt KI mit der IT-Branche erledigen. Die DARPA legt bereits Förderprogramme auf. Derweil in UK KI-Förderung zusammengestrichen wird. Aber es soll nicht an Technikfeinlichkeit, sondern mehr an Liquiditätsproblemen liegen. Ob sie den Begriff „Peak AI“ kennen?
- Der von mir immer wieder gern gelesene Bruce Schneier arbeitet an einem neuen Buch über KI und Demokratie. Die folgenden Beiträge werden wohl in der einen oder anderen Form darin Einzug halten. Aber Sie müssen nicht bis zum neuen Buch warten, ich bringe Sie Ihnen schon jetzt: Es geht los mit einem Essay, welches sich mit der Aufforderung, Demokratie für das KI-Zeitalter neu zu denken, beschäftigt. Es geht weiter mit einem Beitrag zum Einsatz von KI rund um die indische Wahl in diesem Jahr. Und das dritte Eassy beschäftigt sich mit dem Einsatz von KI bei Wahlumfragen. Soweit ich es verstehe ist die Idee, dass, wenn keiner auf die Aufforderung zur Teilnahme an einer Wahlumfrage regaiert, dann die Wahlumfrage mit ChatGPT durchgeführt wird. Was soll dabei schon schief gehen…
- Kennen Sie Machine Psychology? Nicht? Dann lesen Sie doch einfach den beitrag „LLMs Acting Deceptively“ oder die darin erwähnte Studie.
- KI-Traininsdaten und Opt-In? Nicht bei X (fka Twitter). Vielleicht, weil der Kollaps wegen KI-generierter Traingsdaten prognostiziert wird?
- Und noch eine Meldung von Bruce Schneier, dieses mal dazu, wie LLM genutzt werden können, um Sicherheitslücken auszunutzen (hier geht es zum Beitrag). Auch bei Google scheint man sich der Gefahren, die von KI ausgehen, bewusst zu sein und gründet einen entsprechenden Arbeitskreis.
- KI scheint nicht nur Programmierer (siehe im sechsten Antsrich) entbehrlich machen zu sollen, sondern auch Monteure von Solarparks.
- Sollen in Argentinien Polizisten (auch, neben Programmierern und Solaranlagenbauern) reduziert werden? Oder soll einfach nur KI bei der Verbrechensbekämpfung unterstützen?
Bei „Verbrechen vorhersagen“ denke ich ja immer an Minority Report, die Kurzgeschichte aus dem Jahr 1956 von Philip K. Dick, die 2002 unter gleichem Namen verfilmt wurde. - Apropos Ermittlung, KI und Kameras: Nicht nur haben wir ja oben bereits die lesenwerten Broschüre der Sächsischen Datenschutz- und Transparenzbeauftragten zum Thema Videokameras verlinkt, in diesem Beitrag wird ein Podcast angeboten, der unter der Überschrift „Massenüberwachung per KI: Was ist erlaubt, was technisch möglich?“ über knapp 42 Minuten zu Kameras und KI informiert.
- Eine Branche, die scheinbar nicht befürchten muss durch KI ersetzbar zu sein, ist nach diesem Beitrag die Comedy. Dazu gibt es sogar eine Studie. Lustig 😜
- Kennen Sie den begriff Silicon Valley parents? Nicht? Dann lernen Sie in diesem Beitrag a) wer die sind und b) was die gerade so umtreibt (ein Zitat aus der Quelle: „sending kindergarten kids to AI-focused summer camps“ 🙄)…
- Und zum Abschluss noch ein Comic.
8.2 Forever Mouse
Es gibt kaum etwas, wo nicht noch ein Service drumherum gebaut werden kann, der dann Abo-Gebühren kostet (was viele Software-Nutzer:innen und auch Cloud-User:innen sicherlich bestätigen können). In einem Podcast-Interview hatte sich die Chefin von Logitech dazu geäußert, dass sie sich durchaus eine „fantastic-quality, well-designed, software-enabled mouse“ vorstellen könne. Diese Mouse sollte dann durchaus einen stolzen Preis haben, dafür aber auch ein Nutzer:innen leben lang halten (wer das glaubt), allerdings um den Preis einer Abo-finanzierten App, die regelmäßig die Software aktuell und sicher halten und ggf. neue Features freischalten sollte.
Und dann hätten wir also die Abo-Mouse. Wohlgemerkt, von ihr wurde dieses Produkt nicht angekündigt, sie spekulierte nur mal so. Wie das ja manchmal in Sommer-Interviews passiert.
Trotzdem war der Gegenwind (wie z.B. hier) so stark, dass Logitech nun offiziell dementierte.
Merke: Nicht jedes Produkt muss vielleicht um einen digitalen Abodienst erweitert werden, baut doch einfach nur so „fantastic-quality, well-designed“ Produkte. Nur mal so als Idee…
8.3 iPhone durchleuchtet
Der von uns regelmäßig zitierte IT-Spezialist Mike Kuketz, der regelmäßig Apps auf ihr Datenverarbeitungsverhalten durchleuchtet, hat sich vorgenommen in den nächsten Wochen ein aktuelles iPhone 15 mit einem unter Graphene OS laufenden Google Pixel 8 zu vergleichen und beide zu testen. Die Idee ist es denjenigen von uns, für die ein komplett ent-googeltes Android-Handy nichts ist, die aber (um kein Google-kontrolliertes Smartphone nutzen zu müssen) ein iPhone als datenschutzfreundlicheres Gerät nutzen, mal einen Fakten-Check zu präsentieren.
Nun liegt trotz der Sommerzeit ein erstes Zwischenfazit nach einer Woche Nutzung vor. Er scheint ernüchtert (um das Wort enttäuscht zu vermeiden). Aber lesen Sie selbst.
Beim Studium seiner Ergebnisse stelle ich wieder mal fest, einige Dienste deaktivieren kann helfen. Nicht vollständig, aber jedes bisschen zählt?
Ich bin gespannt aufs Endergebnis. Ach ja, er hatte bereits Ende Juli 2024 mal aufgelistet, was ein iPhone so alles kontaktiert.
Die Wanze in der Hosentasche. Was sagt eigentlich die Bundesnetzagentur zu Smartphones?
8.4 noyb: Jahresbericht 2023 und Bold Move im Jahr 2024
Wir haben ja regelmäßig Tätigkeitsberichte von Aufsichtsbehörden in unserem Blog. Also finde ich es nur angemessen auch andere den Datenschutz Vorantreibende mit ihren Tätigkeitsberichten zu präsentieren. Und ich glaube, dass niemand noyb absprechen möchte, dass sie den Datenschutz vorantreiben. In ihrem Jahresbericht 2023 zeigen sie die Fälle des Jahres 2023 auf, an denen sie gerarbeitet haben (u.a. Beschwerden gegen das „Pay or Okay“-System von Meta), sie informieren über Geldbußen, die europäische Aufsichten verhängt haben, an denen sie sich als Beteiligte sehen, da sie bekanntermaßen gerne mal die Aufsichtsbehörden intensiv auffordern aktiv zu werden. Mitunter auch sehr hartnäckig. Wovon zum Beispiel die irische Aufsicht ein Lied singen kann.
Wenn Sie sich fragen „Und was ist nun der Bold Move im Jahr 2024?“, dann habe ich da natürlich auch etwas für Sie (in aller gebotenen Kürze, da Kollege Kramer vielleicht auch noch einmal darauf eingeht nach seinem Urlaub): “Pay or OK” beim SPIEGEL: noyb verklagt Hamburger Behörde.
Getreu dem Motto „Who watches the Watchmen?“ bleibt noyb hartnäckig. Und das ist meiner Meinung nach ein Bold Move.
8.5 „Captchas sind Scheiße“
Wenn Sie jetzt denken „Und was ist an dieser Erkenntnis neu?“, dann sage ich: Dazu gibt es nun auch eine lesenswerte Studie. Wobei deren Titel „Dazed & Confused“ ist. Meiner ist aber auch nicht schlecht, oder?
8.6 Data Wallets und Standards
Wir hatten ja vor ein paar Wochen über das „Cryptographers’ Feedback on the EU Digital Identity’s ARF“ berichtet. Als ich diesen Beitrag von Bruce Schneier las, musste ich daran denken und fragte mich: Wenn es Standards gibt, warum diese dann nicht nutzen?
8.7 Massenüberwachung als Dienstleistung: Der Handel mit Standortdaten
Auch hierzu hatten wir erst vor kurzem Beiträge gebracht. Aber diesen umfangreichen Gastbeitrag im Kuketz-Blog fand ich lesenswert. Und nun müssen Sie selbst entscheiden, ob Sie den auch lesen wollen.
8.8 Ein Update zu Mozilla
Nur Updates hier… Auch zu Mozilla und Anonym hatten wir schon mehrfach berichtet. Im Beitrag mit dem schönen Titel „Drei Fragen und Antworten: So erklärt Mozilla das Firefox-Desaster“ stellt ein IT-Fachverlag drei Fragen zur Thematik und Mozilla gibt drei Antworten. In den Kommentaren zum Beitrag ist der Applaus zu den Antworten … nun ja … sagen wir: verhalten.
8.9 Reauthorization of Section 702 of the Foreign Intelligence Surveillance Act (FISA)
Das TADPF wird doch ab und zu mal überprüft, oder? Ob solche Erkenntnisse dabei berücksichtigt werden?
8.10 Updates auf viele Computer ausrollen ist schwierig? Versuchen Sie das doch mal bei Autos …
In diesem Beitrag wird sich dieses Themas angenommen. Da freuen wir uns doch, wenn wir solche hochautomatisierten Fahrzeuge fahren. Da bekommt der Begriff Denial of Service auch gleich eine ganz andere Bedeutung. Und wieder mal denke ich an das Buch The Passengers.
8.11 Apropos Autos: Is Ford Trying To Patent a Way For Its Cars To Report Speeding To the Police?
So fragt dieser Beitrag, da man dort über diesen Patentantrag gestolpert ist. Und hier ist noch ein längerer Artikel zum Thema. Auch eine sympathisch Idee…
8.12 Apropos Updates auf viele Computer ausrollen: Secure Boot is completely broken on 200+ models from 5 big device makers
Na, das ist doch auch mal erfreulich. Wer braucht schon „Secure Boot“?
8.13 EU-Finanzierung für Freie Software muss fortgesetzt werden
So eine Forderung von Digitalcourage, der ich mich uneingeschränkt anschließen möchte.
Denn durch solche Finanzierung wurden in der Vergangenheit auch Code Reviews relevanter Open-Source-Projekte bezahlt. Und wenn wir eines sehen, dann, dass Code-Qualität immer wieder überprüft werden sollte.
Übrigens, über die Alternative zur Förderung, die der neuen EU-Kommission so vorschwebt, hatten wir ja schon berichtet (zweiter Link im dritten Anstrich). 😳😤
8.14 Was tun gegen Ransomware?
Wie wäre es, wenn wir Ransomware als terroristische Bedrohung deklarieren?
8.15 Derweil eine späte Ansage aus Brüssel: Nationale Sicherheit ist kein Blankoscheck für Spyware
Immerhin, lieber spät, als nie. Hauptsache nicht zu spät. Nun haltet Euch auch daran!
8.16 Apropos Auto und Security: Wallboxen – aka E-Auto gratis beim Nachbar laden
Tja, sichere IT ist halt schwer. Wallboxen sind da auch nicht gefeit.
8.17 Data Breach: 3 Billion National Public Data Records with SSNs Dumped Online
SSN sind Social Security Numbers, das ziemlich einzige Identifikationsmerkmal, welches jede:r US-Bürger:in (und nicht nur die, ich hatte auch mal als Student eine) besitzt, und welches lebenslang gültig ist. Da ist dieser Breach ja gar nicht beunruhigend.
8.18 Die geplante Cybercrime Convention
Das passt ja nun mal nicht zur späten Ansage aus Brüssel, oder? So darf das nicht beschlossen werden. Aber wer hört schon auf mich? Wie betitelt es der CCC so passend?
Cybercrime Convention: Überwachungsabkommen mit Missbrauchsgarantie
8.19 Apropos Microsoft …
Zu Crowdstrike bringe ich dieses mal nichts, aber zu Microsoft gibt es wie immer mehr als all die Meldungen im Zusammenhang mit Crowdstrike:
- Wieder mal ein Azure-Ausfall …
- Microsoft kann auch verlässlich und zuverlässig anbieten – zumindest Security Bypasses
- Gehört das direkt zu Microsoft? Nun ja, wären deren Clous so zuverlässig, wie Microsoft das immer sagt, wären die Multi-Cloud-Strategien, von denen diese “ target=“_blank“ rel=“noopener“>bitkom-Studie spricht, nicht erforderlich (gefunden habe ich die Studie bei dem öfter verlinkten Kommentator mit der spitze Feder).
8.20 FAQ bei Falscheinstellung
Im Artikel wird beschrieben, wie ein Security-Unternehmen einen Cyberkriminellen unbeabsichtigt einstellte und ihm fast zu viele Rechte gegeben hätte. Sie haben es aber gemerkt, bevor Schaden entstehen konnte, ihn gekündigt und eine FAQ zum Vorfall erstellt, damit so etwas nicht auch anderen passiert. Und nach dem Motto „sharing is caring“ teilen sie diese FAQ. Das ist nett!
9. Die guten Nachrichten zum Schluss
9.1 Digitale Schulen – und Schulbücher
Seit Jahren werden skandinavische Schulen als Vorzeigeschulen als Vorbild bei der digitalen Bildung insbesondere von Verkäufern von digitalen Gadgets und deren vertriebsunterstützenden Verbänden gerühmt. Seltsamerweise bleiben diese Verkaufsapostel dann lautlos, wenn es dann dort Änderungen gibt, wie hier berichtet wird: Die Wiedereinführung von Schulbüchern.
9.2 Noch´n Gerücht
Man weiß nicht, ob es nicht doch stimmt: In Bayern soll sich das Management eines Unternehmens an den Bayerischen Innenminister gewandt haben, weil sie mit einem Schreiben der zuständigen Aufsicht nicht einverstanden sind. Dieses hatte dem Unternehmen signalisiert, dass sie das Unternehmen bei einer bestimmten Gestaltung als Joint Controller betrachtet. Das Unternehmen will sich dagegen wehren – der Genuss von Cannabis sei auf dem Firmengelände und im HomeOffice während der Arbeitszeit untersagt.
Franks Nachtrag: Es soll wohl doch alles nur frei erfunden sein…
9.3 „Es gibt nichts Gutes, außer man tut es.“
In diesen Tagen jährt sich der 50. Todestag von Erich Kästner, von dem dieses Zitat stammt. Rückblicke und Einblicke dazu beim Deutschlandfunk.