Hier ist der 13. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41&42/2024)“ – Die DVD-Edition.
Entweder haben Sie heute einen Feiertag oder Sie hatten gestern einen. Oder Sie haben Glück und dürfen einfach nur arbeiten. Egal wie, hier ist Lesestoff für das (ggf.) verlängerte Wochenende.
- Aufsichtsbehörden
- EDSA: Programm für 2024–2025
- EDSA: Gemeinsame Prüfung (CEF) im Jahr 2025 zu Löschpflichten
- EDSA: Leitlinien zu berechtigtem Interesse (mit Konsultation)
- EDSA: Verhältnis Auftragsverarbeiter und weiterer Auftragsverarbeiter
- EDSA: Stakeholder-Einbezug zu Stellungnahmen zu KI-Modellen
- EDSA: Statement zur Durchsetzung der DS-GVO (04/2024)
- BfDI: Teilnahme am G7 Round Table der Datenschutzaufsichtsbehörden
- BfDI: KI in der Bundesverwaltung
- BfDI: Zuständigkeit für die Nachrichtendienste
- LfDI Rheinland-Pfalz: Fälle und Antworten
- CNIL: Fünf Argumente für die Einführung eines Passwortmanagers
- CNIL: Information zu einzelnen Sanktionen
- CNIL: Gemeinsamkeit der DS-GVO mit Astrologieunternehmen – die Vorhersehbarkeit
- Italien: Wie viele Datenschutzbeauftragte gibt es?
- ICO: Audit-Framework für verantwortliche Stellen
- BSI: Empfehlungen für den sicheren Einsatz von KI-Programmierassistenten
- BKartA und Facebook
- FTC: Datenschutz, Werbung und AI
- FTC: Einigung mit Hotelkette Marriott zu Sanktionen aufgrund Sicherheitsmängeln
- EDSA: Guideline 02/2024 zu technischen Aspekten der ePrivacy-RL
- EDSA: Video zu den Verhandlungen zu den OECD-Guidelines
- EDPS: Rede zur Herbstkonferenz des BvD
- EDPS: Stellungnahme zu den Speicherhöchstfristen von Europol
- BfDI: Herbstforum „Daten im Dienst der Patienten“
- LfDI Rheinland-Pfalz: Aufzeichnungen der Webinare für Kitas
- LfDI Baden-Württemberg: Rechtsgrundlagen bei KI (Version 2.0)
- LfDI Baden-Württemberg: FAQ zu Deceptive Design Patterns (trügerische Gestaltungsmuster)
- LfDI Niedersachsen: Reallabor zu KI
- Hamburg: Post der Krankenkassen zur ePA
- LfD Bayern: Recht auf Erstkopie der Patientenakte
- LDI NRW: Anforderungen an Makler beim Drohneneinsatz
- LfDI Baden-Württemberg: Öffentliche Stellen und TikTok
- Irland: Bußgeld gegen LinkedIn
- Saudi-Arabien: Aussagen zu Anonymisierung und Pseudonymisierung
- Australien: Checkliste bei der Entwicklung generativer KI
- Norwegen: Stellungnahme zu illegalem Data Scraping
- Rechtsprechung
- EuGH: Entschuldigung als immaterieller Schadensersatz möglich (C-507/23)
- EuGH-Vorschau – Mündliche Verhandlung im Verfahren C-413/23 am 07.11.2024
- OLG Brandenburg: Umfang des Auskunftsanspruchs bei Versicherungsunterlagen
- EuGH: Empfänger, Verantwortlicher und immaterieller Schadenersatz (C-200/23)
- BVwG Österreich: Zumutbarkeit dienstlicher Kontaktdaten auf Webseite
- OLG Dresden Kontrollpflichten des Verantwortlichen beim Auftragsverarbeiter
- Gesetzgebung
- EU: Cyber Resilience Act (CRA) durch Rat angenommen
- EU: Evaluierung des DPF (Data Privacy Framework) abgeschlossen
- Umfrage zur Richtlinie über Geschäftsgeheimnis
- Europarat: Übereinkommen über KI und Menschenrechte, Demokratie und Rechtsstaatlichkeit
- Rheinland-Pfalz: Sicherheitsvorschriften zur Umsetzung von NIS2
- Bundestag: Strafbarkeit von Deepfakes
- Bundesländercheck der KI-Strategie
- Sicherheitspaket – weitere Verhandlungen
- BMWK: „Datenschätze heben – Datenbürokratie verringern“
- NIS2: Durchführungsverordnung
- DSA: Vertrauenswürdige Hinweisgeber (Trusted Flagger)
- Beschäftigtendatengesetz (BeschDG)
- BMJ: QuickFreeze
- Änderung des „Hackerparagrafen“ im StGB
- EU: Ausschreibung für Altersverifikation
- EP zur Digitalpolitik: Setting the European political priorities for 2024-2029
- Digitalministerkonferenz zur KI-VO Marktüberwachung
- Verordnung nach § 26 Abs. 2 TDDDG
- Künstliche Intelligenz und Ethik
- WEF: “Governance in the Age of Generative AI”
- Einsatz von LLM bei Due Dilligence
- Künstliche Intelligenz, Klima und Regulierung
- Grundrechte-Folgenabschätzung in der KI-VO
- International Bar Association: KI in der Anwaltsbranche
- Haftungsfragen bei KI
- Microsoft: Recall und weg
- KI-Tools für eine bessere Regulierung
- Whitepaper zur Minderung von BIAS in LLM
- CSA Singapore: Leitfaden und Begleitdokumente zur AI Security
- FPF: Enthalten LLM personenbezogene Daten?
- OpenAI und Cyberbedrohungen
- SCL: Mustervertragsklauseln für Verträge mit KI
- Stanford Cyber Policy Center: Regulation under Uncertaincy
- bitkom: KI-Nutzung in Deutschland
- Telekom: Weltweite Studie zu Erwartungen an KI
- USA: Sicherheitsbehörden und KI
- USA: Werkzeugkasten für Lehrer:innen zur Vermittlung von Wissen zur KI
- Veröffentlichungen
- Datenschutz- und KI-Folgenabschätzung
- Beiträge zum Workshop „Wie digitale Souveränität gelingt“ der GI
- Verordnung über die Transparenz und das Targeting politischer Werbung
- Aktualisierter Standard verfügbar
- ZDF-Doku: Der Preis der Sicherheit – „Concordia“
- bitkom Privacy Conference: Vorträge online
- Microsoft Digital Defense Report 2024
- MS 365: Copilot und Datenschutz
- Forschungsprojekt „Datenschutz-Sandbox“
- Cybersicherheit in Bayern
- Auftragsverarbeiter in der Kette
- Tool zur Prüfung der Datenübermittlung ins Ausland
- Veranstaltungen
- IHK Bayern: Webinarreihe zu IT-Sicherheit
- Virtueller Elternabend: Digital will gelernt sein – frühe Mediennutzung -neu-
- DIHK: „Daten ohne Grenzen“
- Daten-Dienstag: „Datenteilen nach dem Data Governace Act“
- BlnBfDI und jugendnetz.berlin: Fachtagung Medienkompetenz -neu-
- LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
- Stiftung Datenschutz – Datenschutz am Mittag: „Personenbezogene Daten in der Forschung“ -neu-
- eco, FSM und jugendschutz.net: Webinar zum Schutz gegen sexualisierte gewalt gegen Kinder im Netz -neu-
- CNIL: „Überwachung in all ihren Formen!“
- IHK München und Oberbayern: 12. Münchner Datenschutztag
- CPDP – Data Protection Day -neu-
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Programm für 2024–2025
Der EDSA hat sein Programm für die nächsten zwei Jahre veröffentlicht. Vieles ist schon bekannt – und hat sich wohl nur durch die Coronathematik verschoben – wie Leitlinien zu Anonymisierung und Pseudonymisierung. Das Programm findet sich hier.
1.2 EDSA: Gemeinsame Prüfung (CEF) im Jahr 2025 zu Löschpflichten
Der EDSA verkündet die gemeinsame anlasslose Prüfaktion für das Jahr 2025 zum Thema Löschpflichten. Die vierte Coordinated Enforcement Action (CEF) wird sich mit der Umsetzung des Rechts auf Löschung („Recht auf Vergessenwerden“) durch die für die Verarbeitung Verantwortlichen befassen. Die Datenschutzbehörden werden sich dieser Aktion in den kommenden Wochen auf freiwilliger Basis anschließen, und die Aktion selbst wird im ersten Halbjahr 2025 gestartet.
Das Recht auf Löschung (Art. 17 DS-GVO) sei eines der am häufigsten ausgeübten Datenschutzrechte und eines, über das die Datenschutzbehörden häufig Beschwerden erhalten. Ziel dieser koordinierten Aktion wird es unter anderem sein die Umsetzung dieses Rechts in der Praxis zu bewerten. Dies wird beispielsweise durch die Analyse und den Vergleich der von verschiedenen Verantwortlichen eingerichteten Prozesse erfolgen, um die wichtigsten Probleme bei der Einhaltung dieses Rechts zu ermitteln, aber auch um einen Überblick über bewährte Verfahren zu erhalten. Jede Aufsichtsbehörde entscheidet dann aber für sich, ob sie sich an der gemeinsamen Aktion beteiligt.
1.3 EDSA: Leitlinien zu berechtigtem Interesse (mit Konsultation)
Der EDSA hat seine Guideline 01/2024 on processing of personal data based on Art. 6 Abs. 1 lit. f GDPR veröffentlicht. Im Rahmen einer Konsultation können bis 20. November 2024 Hinweise eingereicht werden. Der EDSA weist darauf hin, dass dieses Hinweise veröffentlicht werden.
Die BfDI begrüßt in einer Pressemitteilung diese neuen Leitlinien. Bemerkenswert ist an den Leilinien u.a., dass auch die Rechtsprechung des EuGH vom 4. Oktober 2024 bereits Berücksichtigung fand. Insgesamt bestätigen sie die bisher eher enge Auslegung des EDSA. So ist Art. 6 Abs. 1 lit. f DS-GVO kein Auffangtatbestand, sondern gleichrangig zu den anderen Rechtmäßigkeitsgrundlagen (RN 9). Bei der Bestimmung der berechtigten Interessen sei kein allzu strenger Maßstab anzulegen (RN 17). Auch unterliegt nicht jedes Profiling den Anforderungen des Art. 22 DS-GVO (RN 82). Und auch Behörden können sich außerhalb ihrer eigentlichen Aufgabenwahrnehmung auf eine Interessenabwägung als Rechtsmäßigkeitsgrundlage berufen (RN 99). Betroffene müssen mit der Verarbeitung rechnen können, wobei das Erfüllen der Informationspflichten allein aber nicht zu einer vernünftigen Erwartungshaltung führe (RN 53).
Zu vielen Punkten, zu denen aus Sicht der Wirtschaft deutlichere Klarheit wünschenswert wäre, können im Rahmen des Konsultationsverfahrens Hinweise eingereicht werden.
Franks Nachtrag: Hier ist eine detailierte> Kritik u.a. zu den Aspekten der Guideline, die sich auch mit KI-Training beschäftigen.
1.4 EDSA: Verhältnis Auftragsverarbeiter und weiterer Auftragsverarbeiter
Ebenfalls veröffentlicht hat der EDSA seine Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s) (Stellungnahme 22/2024 zu bestimmten Verpflichtungen, die sich aus dem Vertrauen in den/die Auftragsverarbeiter und den/die Unterauftragsverarbeiter ergeben).
Ausgehend von dem Antrag Dänemarks, hier zu einer Positionierung zu kommen, befasst sich der EDSA in dieser Stellungnahme mit Fragen der Verantwortlichkeit von Sub-Unternehmern (weiteren Auftragsverarbeitern) und auch diesbezüglichen Fragen zum Drittstaatentransfer.
Franks Update: Hier hatte sich ein fehler eingeschlichen, diesen haben wir korrigiert.
1.5 EDSA: Stakeholder-Einbezug zu Stellungnahmen zu KI-Modellen
Der EDSA sucht Stakeholder zu Erarbeitung seiner Positionierung zu KI-Modellen. Am 15. Oktober 2024 ab 10:00 Uhr kann man sein Interesse vorbringen, um dann am 5. November 2024 einbezogen zu werden. Details dazu unter dem obigen Link.
1.6 EDSA: Statement zur Durchsetzung der DS-GVO (04/2024)
Der EDSA veröffentlichte auch seine Erklärung 4/2024 zu den jüngsten Entwicklungen in der Gesetzgebung zum Verordnungsentwurf zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DS-GVO. Darin formuliert er u.a. seine Hinweise und Forderungen zur Umsetzung, zum Einbezug, zur Zusammenarbeit und zu Fristen.
1.7 BfDI: Teilnahme am G7 Round Table der Datenschutzaufsichtsbehörden
Die BfDI informiert, dass ihr Stellvertreter am Treffen der Datenschutzaufsichten der G7-Staaten in Rom teilnahm. Thematisch ging es dabei in erster Linie um die Rolle der Datenschutzaufsichtsbehörden bei der Regulierung der künstlichen Intelligenz (KI).
In ihrem gemeinsamen Kommuniqué stellen die Datenschutzaufsichtsbehörden der G7-Staaten fest, dass viele KI-Technologien, wie z. B. die generative KI, auf der Verarbeitung personenbezogener Daten basieren und der Schutz der Privatsphäre daher „wichtiger denn je“ sei. Zudem veröffentlichte die Gruppe Erklärungen zu ihrer Rolle bei der Förderung vertrauenswürdiger KI und zu kindgerechter KI.
In der Erklärung zur Rolle der Datenschutzaufsichtsbehörden bei der Förderung vertrauenswürdiger KI stellen die Regulierungsbehörden fest, dass der Datenschutz in KI-Technologien eingebettet werden muss. Sie fordern die politischen Entscheidungsträger außerdem auf dafür zu sorgen, dass Datenschutzbehörden Teil der Governance-Strukturen sind, die zur Überwachung der verantwortungsvollen Entwicklung und Einführung von KI-Technologien eingerichtet werden. Die Erklärung zu kindgerechter KI, die von der Arbeitsgruppe „Neue Technologien“ des G7-Datenschutzaufsichtsbehörden-Round-Table ausgearbeitet wurde, untersucht Fragen im Zusammenhang mit der Nutzung von KI-gestützter Technologie durch junge Menschen, wie z. B. Spielzeug und Lernsoftware. Sie befasst sich auch mit der Nutzung von KI zur Entscheidungsfindung oder zur Auswertung von Informationen über Kinder.
Der Leiter der kanadische Datenschutzaufsicht (OPC) informiert auch dazu, dass das OPC im Rahmen seiner Rolle als Vorsitzender der Arbeitsgruppe für neue Technologien auch die Entwicklung eines Papiers zur De-Identifizierungs-Terminologie förderte, in dem klargestellt wird, wie Begriffe wie Anonymisierung, Pseudonymisierung und De-Identifizierung in den G7-Ländern definiert sind.
Die Regulierungsbehörden billigten außerdem einen Aktionsplan für 2024–2025, der die Mitglieder dazu verpflichtet die Zusammenarbeit zum Schutz der Privatsphäre weiter zu stärken.
Hervorzuheben sind auch die Aussagen zur Anonymisierung und Pseudonymisierung.
Das nächste Treffen wird im Juni 2025 vom OPC in Kanada ausgerichtet.
1.8 BfDI: KI in der Bundesverwaltung
Welche datenschutzrechtlichen Voraussetzungen müssen Bundesverwaltungen erfüllen, damit diese KI einsetzen können? Was wie eine Klausuraufgabe eines Bachelorstudienganges klingt, erscheint wie eine Nachhilfestunde in datenschutzrechtlichem Grundwissen durch die BfDI. Systematisch erläutert sie für den Einsatz von KI in der Bundesverwaltung die einzelnen Rechtmäßigkeitsvoraussetzungen des Art. 6 DS-GVO.
Sie differenziert dabei bei den Datenverarbeitungen im Rahmen von KI in zwei Kategorien: die Entwicklung (darunter fallen sämtliche Verarbeitungen, die der Entwicklung, Auswahl oder Anpassung einschließlich des Trainings eines KI-Modells bzw. KI-Systems dienen), sowie die Anwendung (darunter fallen alle Verarbeitungen, bei denen eine KI-Anwendung eingesetzt wird, unabhängig davon, ob es sich um eine selbst entwickelte oder von einem Dritten entwickelte KI-Anwendung handelt).
Auch befasst sie sich dabei auch mit Art. 9 DS-GVO sowie Fragen der Zweckänderung und der Verhältnismäßigkeit. Zusammenfassend gilt nach der BfDI: Je eingriffsintensiver die (geplante) Datenverarbeitung ist, desto höhere Anforderungen sind an die Rechtsgrundlage zu stellen. Generalklauseln werden in aller Regel nicht ausreichen, um die Entwicklung oder Anwendung einer KI zu rechtfertigen. Auf der anderen Seite muss eine Rechtsgrundlage nicht zwangsläufig ausschließlich auf KI ausgelegt sein, um auf diese anwendbar zu sein.
1.9 BfDI: Zuständigkeit für die Nachrichtendienste
In einem öffentlichen Schreiben formuliert die BfDI ihre Argumente gegen eine Verlagerung der Zuständigkeit der datenschutzrechtlichen Aufsicht über die Nachrichtendienste von der BfDI zum Unabhängigen Kontrollrat.
1.10 LfDI Rheinland-Pfalz: Fälle und Antworten
Der LfDI Rheinland-Pfalz bringt auf seiner Homepage Fragen aus der Praxis und seine Rückmeldungen dazu. Eine muntere Sammlung von Fragen aus dem Alltag (oft öffentlicher Stellen).
1.11 CNIL: Fünf Argumente für die Einführung eines Passwortmanagers
Die CNIL liefert fünf Argumente dafür, um einen Passwortmanager einzusetzen, der der Speicherung und Verwaltung einfach und sicherer macht. Wer noch Argumente braucht, findet sie hier.
1.12 CNIL: Information zu einzelnen Sanktionen
Die CNIL informiert, dass sie in den letzten drei Monaten elf neue Sanktionen im Rahmen des vereinfachten Verfahrens verhängt hat. Sanktioniert wurden z.B. Aktivitäten zu übermäßige Datenerhebung, fehlende Register, Nichtbeachtung der Rechte von Personen oder mangelnde Kooperation:
1.13 CNIL: Gemeinsamkeit der DS-GVO mit Astrologieunternehmen – die Vorhersehbarkeit
Auch astrologische Aussagen unterliegen der DS-GVO. Die CNIL informierte, dass sie eine Geldstrafe gegen zwei Astrologie-Unternehmen verhängte, die die Anforderungen der DS-GVO nicht einhielten. Es wurden besondere Kategorien von Daten ohne die vorherige Einwilligung verarbeitet.
Bei Beratungen per Telefon, Chat oder SMS konnten Kunden aufgefordert werden Daten über ihre sexuelle Orientierung oder ihr Sexualleben, ihre religiösen Überzeugungen oder ihren Gesundheitszustand preiszugeben. Die CNIL weist dabei darauf hin, dass die bloße Bereitschaft, Hellseherdienste in Anspruch zu nehmen und spontan sensible Informationen zur Verfügung zu stellen, nicht als ausdrückliche Zustimmung angesehen werden könne. Die Unternehmen hätten auch spezifische Informationen über die Erhebung dieser sensiblen Daten bereitstellen müssen. Darüber hinaus könnten die Online-Nutzer:innen der Anbieter ein Formular ausfüllen, um eine Vorhersage über ihre Kompatibilität mit einer Person ihrer Wahl zu treffen, was es den Anbietern ermöglicht die sexuelle Orientierung der Online-Nutzer:innen abzuleiten.
Dabei ist doch gerade die Vorhersehbarkeit einer Verarbeitung etwas, das auch die DS-GVO erwartet (vgl. ErwGr. 47 Satz 3). Na ja, die Sanktionen sind es dann ja irgendwie auch.
1.14 Italien: Wie viele Datenschutzbeauftragte gibt es?
Nach dieser Veröffentlichung sind nach Angaben der italienischen Aufsicht Garante 68.225 Datenschutzbeauftragte zum September 2023 in Italien bei der Aufsicht gemeldet. Der Bericht geht aber auch darauf ein, dass nicht klar ist, wie viele einzelne DSB nun parallel bei Verantwortlichen und Auftragsverarbeitern benannt sind.
1.15 ICO: Audit-Framework für verantwortliche Stellen
Das ICO hat ein neues Audit-Framework eingeführt, das Unternehmen dabei unterstützen soll, die Einhaltung des Datenschutzes in ihrem Unternehmen zu bewerten. Das Audit-Framework bietet für die jeweilige Fragestellung Kontrollmaßnahmen an. Es gibt Toolkits für Fragen zur Verantwortlichkeit, Verwaltung von Datensätzen, Informations- und Cybersicherheit, Schulung und Sensibilisierung, zum Datenaustausch, zu Auskunftsanfragen, zum Management von Datenschutzverletzungen, zur Künstlichen Intelligenz und zu altersgerechtem Design.
1.16 BSI: Empfehlungen für den sicheren Einsatz von KI-Programmierassistenten
Das BSI hat zusammen mit der französischen Behörde für IT-Sicherheit, Agence nationale de la sécurité des systèmes d’information (ANSSI), Empfehlungen für den sicheren Einsatz von KI-Programmierassistenten veröffentlicht. Grundlage für die Publikation „AI Coding Assistants“ war ein gemeinsamer Workshop von BSI und ANSSI im Mai 2024 an dem BSI-Standort in Saarbrücken.
KI-Programmierassistenten können in verschiedenen Stadien des Softwareentwicklungsprozesses eingesetzt werden. Ihre Kernfunktionalität ist das Erzeugen von Quellcode. Außerdem können sie Entwickelnden helfen sich mit Quellcode von neuen Projekten durch KI-generierte Erklärungen vertraut zu machen und den Entwicklungsprozess unterstützen, indem sie Testfälle und Dokumentationen generieren. Der Bericht beschreibt die Chancen dieser neuen Technologie, geht aber auch auf mögliche Risiken ein. Hierzu zählen die Vertraulichkeit der Eingaben und die Qualität des erzeugten Quellcodes hinsichtlich Sicherheitslücken. Für die Risiken werden jeweils konkrete Mitigationsmaßnahmen vorgeschlagen und Handlungsempfehlungen für Entwickelnde sowie das Management in Unternehmen ausgesprochen.
1.17 BKartA und Facebook
Erwartet hier von mir keine Werbung für die Nutzung von Facebook. Aber den Hinweis, dass das BKartA sein Ergebnis der Prüfung von Facebook veröffentlicht hat. Facebook hat einige Maßnahmen ergriffen, um den Vorgaben des BKartA nachzukommen. Auch diese sind im Bericht aufgeführt. Das BKartA geht nun davon aus, dass im Hinblick auf eine freie und informierte Entscheidung der Nutzenden, ob sie Facebook „isoliert“ nutzen oder darüber hinausgehende Datenverknüpfungen zu Werbezwecken zulassen wollen, Vollstreckungsmaßnahmen unterbleiben können (u.a. damit sind die wettbewerbsrechtlichen Bedenken des BKartA ausgeräumt). Dessen ungeachtet könnte nach Ansicht des BKartA die Transparenz und Verständlichkeit der Nutzerdialoge noch weiter verbessert werden.
Und diesem Satz aus dem Bericht des BKartA schließe ich mich an. 😊
Es wird sich zeigen, ob sich damit relevante Einschätzungen der Datenschutzaufsichten ändern. Zumindest haben nun die Nutzenden etwas mehr Möglichkeiten die Verwendung ihrer Daten zu beeinflussen.
Ein Bericht dazu findet sich hier.
1.18 FTC: Datenschutz, Werbung und AI
Dass das Zusammenspiel von Datenschutz, Werbung und Künstlicher Intelligenz keine europäische Diskussion ist, zeigt die Veröffentlicht aus der Federal Trade Commission (FTC) der USA vom September 2024 mit dem Titel „A Path forward on Privacy, Advertising and AI“.
1.19 FTC: Einigung mit Hotelkette Marriott zu Sanktionen aufgrund Sicherheitsmängeln
Jetzt hatte Marriott schon „Pech“ bei der Übernahme von Starwood in Großbritannien mit Sanktionen wegen dortiger Datenschutzverletzungen. In den USA musste sich Marriott auch mit eigenen Verfehlungen auseinandersetzen. Nun verständigte man sich mit der FTC als Aufsicht über die Zahlung von 52 Mio. Dollar und die Umsetzung von Schutzmaßnahmen.
1.20 EDSA: Guideline 02/2024 zu technischen Aspekten der ePrivacy-RL
Der EDSA hat die Version 2.0 seiner Guidelines 2/2023 on Technical Scope of Art.5 (3) of ePrivacy Directive veröffentlicht. Sie berücksichtigen Input nach der Konsultation zur Version vom November 2023.
Die Guidelines bilden die Erwartungen ab, die die Aufsichten in Umsetzung des Art. 5 Abs. 3 der ePrivacy-RL an den Einsatz durch Unternehmen und digitale Plattformen haben, die Daten über Cookies, Geräte-Fingerabdrücke und verschiedene Tracking-Technologien verarbeiten. Die Guidelines erweitern im Vergleich zur Vorversion der Guidelines den Umfang von Informationen um nicht-personenbezogene Daten wie zum Beispiel MAC-Adressen oder IP-Adressen. Damit werden alle auf dem Gerät eines Benutzers gespeicherten Informationen umfasst, auch wenn sie nicht mit identifizierbaren personenbezogenen Daten verknüpft sind.
1.21 EDSA: Video zu den Verhandlungen zu den OECD-Guidelines
Der EDSA hat in Zusammenarbeit mit anderen ein Video über die ein Video über die Entstehungsgeschichte (Dauer ca. 48 Min.) der Guidelines on the Protection of Privacy and Transborder Flows of Personal Data der OECD (Organisation for Economic Co-operation and Development) veröffentlicht.
1.22 EDPS: Rede zur Herbstkonferenz des BvD
Die Keynote des EDPS zur Herbstkonferenz des BvD ist auf der Seite des EDPS veröffentlicht worden.
1.23 EDPS: Stellungnahme zu den Speicherhöchstfristen von Europol
Der EDPS veröffentlichte seine Stellungnahme zum Entwurf des Verwaltungsrates von Europol für die Höchstspeicherfristen.
1.24 BfDI: Herbstforum „Daten im Dienst der Patienten“
Wer bei der Veranstaltung der BfDI in Berlin nicht teilnehmen konnte, kann sie sich auf den Seiten der BfDI hier ansehen.
1.25 LfDI Rheinland-Pfalz: Aufzeichnungen der Webinare für Kitas
Der LfDI Rheinland-Pfalz bot im Sommer Webinare zu „Fotos, Portfolio, Einwilligung – Kita-Datenschutz gut umgesetzt“ an. Die Aufzeichnungen sind nun in drei Teilen veröffentlicht:
Recht am eigenen Bild, Kita-Fest, Einwilligungsformulare, Private Endgeräte, Portfolio, Kita-interne Aushänge, Digitales Spielzeug und Impfnachweise, Kommunikation mit den Eltern, Videoüberwachung.
1.26 LfDI Baden-Württemberg: Rechtsgrundlagen bei KI (Version 2.0)
Der LfDI Baden-Württemberg hat die Version 2.0 seines Diskussionspapiers zu Rechtsgrundlagen bei KI veröffentlicht. Es fand sich dann auch bald eine Fassung mit Änderungsmarkierung zur Vorversion. Hingewiesen sei auch auf die beim LfDI Baden-Württemberg verfügbare Übersicht ONKIDA (wir berichteten), die auch aktualisiert werden soll – abhängig von den jeweilig verfügbaren Zeitressourcen.
1.27 LfDI Baden-Württemberg: FAQ zu Deceptive Design Patterns (trügerische Gestaltungsmuster)
Der LfDI Baden-Württemberg hat neue FAQ zu Deceptive Design Patterns herausgegeben. Von Deceptive Design Patterns (etwa: trügerischen Gestaltungsmustern) spricht man, wenn Benutzeroberflächen – insbesondere bei Social-Media-Plattformen – so ausgestaltet sind, dass sie Nutzer:innen mit Hinblick auf die Verarbeitung personenbezogener Daten zu einer bestimmten Verhaltensweise – in der Regel zugunsten der verarbeitenden Social-Media-Plattform – verleiten. Dies kann etwa über verschiedene Aspekte beim Design, z.B. durch eine bestimmte Farbwahl oder die Platzierung von Inhalten, geschehen.
Der Europäische Datenschutzausschuss (EDSA) hat im Jahr 2023 Leitlinien zum Umgang mit Deceptive Design Patterns erlassen. Ziel dieser Leitlinien ist es Empfehlungen und Anleitungen für das Design von Benutzeroberflächen auf Social-Media-Plattformen bereitzustellen. Sie richten sich insbesondere an Anbieter:innen sozialer Medien als Verantwortliche für die Verarbeitung von personenbezogenen Daten. Sie können aber auch dazu dienen, dass sich Bürger:innen informieren und sensibilisiert werden im Umgang mit ihren höchstpersönlichen Daten.
1.28 LfDI Niedersachsen: Reallabor zu KI
Wie er hier informiert, gründet der LfDI Niedersachsen ein Reallabor zur KI für den Mittelstand in Osnabrück.
1.29 Hamburg: Post der Krankenkassen zur ePA
Derzeit informieren Krankenkassen gesetzlich Versicherte zur Nutzung der elektronische Patientenakte (ePA). Auf was aus Datenschutzsicht dabei zu beachten ist, führt der HmbBfDI hier aus.
Franks Nachtrag: Sie möchten vielleicht auch hier weiterlesen.
1.30 LfD Bayern: Recht auf Erstkopie der Patientenakte
Der LfD Bayern informiert über die Entschließung der DSK zum Recht auf kostenlose Erstkopie der Patientenakte, das durch eine nationale Regelung nicht eingeschränkt werde könne.
1.31 LDI NRW: Anforderungen an Makler beim Drohneneinsatz
Anlass für die Hinweise der LDI NRW ist folgende Beschwerde: Ein Maklerunternehmen hatte für die Erstellung des Immobilieninserats per Drohne zahlreiche Aufnahmen gemacht. Dabei wurden nicht nur Vorder- und Rückseite des Hauses abgelichtet, sondern auch das Grundstück eines Nachbarn überflogen und dieses aufgenommen. Der Nachbar war vor der Anfertigung der Bilder nicht um Erlaubnis gebeten worden. Wie´s ausgeht, lesen Sie hier. Dabei weist die LDI NRW auch auf das Positionspapier zur Nutzung von Kameradrohnen durch nicht-öffentliche Stellen der DSK vom Januar 2019 hin.
1.32 LfDI Baden-Württemberg: Öffentliche Stellen und TikTok
Scheinbar aus aktuellem Anlass weist der LfDI Baden-Württemberg erneut auf seine Hinweise und Anforderungen an öffentliche Stellen zur Verwendung des Netzwerks TikTok hin.
1.33 Irland: Bußgeld gegen LinkedIn
Wie die irische Aufsicht auf ihrer Webseite berichtet, hat sie gegen LinkedIn ein Bußgeld in Höhe von 310 Mio. Euro verhängt, weil sie LinkedIn u.a. unrechtmäßige verhaltensbasierte Werbung vorwirft. Ausgangspunkt war eine Beschwerde aus Frankreich.
1.34 Saudi-Arabien: Aussagen zu Anonymisierung und Pseudonymisierung
Gell, da schauen´s? Ich auch. Aber die dortige Aufsicht macht Nägel mit Köpfen. Auf ihrer Webseite finden sich zahlreiche Aussagen, die auch in Europa genutzt werden könnten, z.B. auch zur Anonymisierung und Pseudonymisierung.
1.35 Australien: Checkliste bei der Entwicklung generativer KI
Das Office des Australian Information Commissioners (OAIC) hat eine Checkliste für die Entwicklung generativer KI veröffentlicht, um damit Privacy Anforderungen zu berücksichtigen.
1.36 Norwegen: Stellungnahme zu illegalem Data Scraping
Gemeinsam mit anderen Datenschutzaufsichtsbehörden hat die norwegische Datenschutzaufsichtsbehörde eine Stellungnahme erarbeitet, die sich mit den Herausforderungen rund um illegales Data Scraping und Datenschutz für offene Daten im Internet befasst. Es werden auch Probleme im Zusammenhang mit dem Trainieren von KI-Modellen behandelt. Data Scraping könne zur Entwicklung neuer Tools und zur Recherche, aber auch von Kriminellen genutzt werden und dazu führen, dass die Kontrolle über die eigenen persönlichen Daten verloren geht. Die Stellungnahme gibt einen Überblick über Maßnahmen, wie Unternehmen die verschiedenen Themen angehen können.
Franks Nachtrag: Wenn Sie keine Lust haben, den norwegischen Text der Stellungnahme zu lesen, dann gibt es hier für Sie auch eine Nachricht dazu vom ICO.
2 Rechtsprechung
2.1 EuGH: Entschuldigung als immaterieller Schadensersatz möglich (C-507/23)
In einer Vorlageentscheidung aus Lettland musste sich der EuGH mit der Frage befassen, ob auch eine Entschuldigung als immaterieller Schadenersatz ausreichen kann.
Und weil bei uns immer gleich jede Aussage gerne pauschaliert wird: In Lettland gibt es eine gesetzliche Regelung in Art. 14 Abs. 2 des Gesetzes über die vermögensrechtliche Haftung der öffentlichen Verwaltung vom 2. Juni 2005, die mit „Auferlegung der Verpflichtung zum Ersatz immaterieller Schäden“ überschrieben ist und in RN 11 des Urteils wiedergegeben wird. Dieser Abs. 2 lautet:
„Die Wiedergutmachung des immateriellen Schadens erfolgt durch die Wiederherstellung des Zustands vor der Verursachung des Schadens bzw. bei vollständiger oder teilweiser Unmöglichkeit oder Unangemessenheit dieser Lösung durch eine Entschuldigung oder durch die Zahlung einer angemessenen Entschädigung.“
Und dazu sagte der EuGH in C-507/23, dass dies ein Mitgliedsstaat so regeln könne (RN 31 ff). Übrigens wurde eine Entschuldigung in Deutschland vom LG Köln bereits bei einem immateriellen Schadenersatz berücksichtigt, vgl. Darstellung hier.
Die übrigen Aussagen aus dem Urteil sind nichts Neues: Ein Verstoß gegen die DS-GVO allein reiche für einen Schadenersatz nicht aus und die Beweggründe für einen Verstoß sind nach Art. 82 DS-GVO nicht zu berücksichtigen.
2.2 EuGH-Vorschau – Mündliche Verhandlung im Verfahren C-413/23 am 07.11.2024
Wer muss darlegen, ob ein Datum für einen Empfänger noch personenbeziehbar ist oder nicht? Der Verantwortliche nach Art. 5 Abs. 2 DS-GVO oder die zuständige Datenschutzaufsicht? Zum Fall C-413/23 und dessen erster Instanz T-557/20 (EDPS/ SRB (Deloitte)) hatten wir bereits berichtet. Zum aktuellen Fall lesen Sie bitte hier weiter.
Die mündliche Verhandlung ist für den 07.11.2024 vorgesehen.
2.3 OLG Brandenburg: Umfang des Auskunftsanspruchs bei Versicherungsunterlagen
Das OLG Brandenburg entschied in einem Verfahren zum Umfang eines Auskunftsanspruchs, dass Versicherungsunterlagen. Das OLG Brandenburg lehnte einen Auskunftsanspruch aus Art. 15 Abs. 1 und Abs. 3 DS-GVO im Streit um die Bereitstellung von Unterlagen im Verfahren einer Prämienanpassung einer Versicherung auf das Anschreiben selbst sowie die beigefügten Anlagen (Beiblätter, Nachträge zum Versicherungsschein) ab, da die Voraussetzung, dass es sich jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handele, nicht gegeben sei.
Auf die Modalitäten für die Erfüllung der Verpflichtung nach Art. 15 Abs. 3 DS-GVO komme es insoweit nicht an. Gemäß Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH C-487/21, wir berichteten). Demnach stellen die vollständigen Begründungsschreiben nebst den Beiblättern keine personenbezogenen Daten dar. Vielmehr enthalten die einzelnen Teile (Anschreiben, Beiblatt, Nachtrag zum Versicherungsschein) jeweils einzelne personenbezogene Daten des Klägers als Versicherungsnehmer. Eine dahingehende Beschränkung seines geltend gemachten Anspruchs und seines Antrages hat der Kläger indessen erstinstanzlich nicht vorgenommen (vgl. BGH, Urt. v. 06.02.2024 – VI ZR 15/23 und VI ZR 61/23).
2.4 EuGH: Empfänger, Verantwortlicher und immaterieller Schadenersatz (C-200/23)
In dem Verfahren C-200/23 hat sich der EuGH wieder mit Fragen zum Personenbezug, der Rolle des Verantwortlichen und zu den Anforderungen an immateriellen Schadenersatz geäußert. Es geht in dem Rechtsstreit zwischen der Agentsia po vpisvaniyata (Agentur für Eintragungen, Bulgarien, im Folgenden: Agentur) und einer betroffenen Person um die Weigerung dieser Agentur bestimmte personenbezogene Daten betreffend diese Person, die in einem der Öffentlichkeit zugänglich gemachten Rechtsakt enthalten sind, aus dem Handelsregister zu entfernen.
Eine deutsche Übersetzung des Urteils liegt noch nicht vor. Der EuGH äußert sich neben Aussagen zu den Regelungen im Handelsregister auch dahingehend, dass die veröffentlichte Behörde zunächst als Empfänger nach Art. 4 Nr. 9 DS-GVO und dann durch die Veröffentlichung als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen ist, selbst wenn dabei personenbezogene Daten enthalten sein sollten, die für diesen Zweck nicht erforderlich wären.
Einschränkungen des datenschutzrechtlichen Berichtigungs- und Löschungsrechts sind in diesen Veröffentlichungsvorgaben nicht zulässig. Auch stelle eine handschriftliche Unterschrift einer natürlichen Person ein personenbezogenes Datum dar.
Auch könne der Verlust der Kontrolle über ihre personenbezogenen Daten durch die betroffene Person für einen begrenzten Zeitraum aufgrund der Tatsache, dass diese Daten online im Handelsregister eines Mitgliedstaats öffentlich zugänglich gemacht werden, ausreichen, um einen „immateriellen Schaden“ zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden, und sei er noch so gering, erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis des Vorliegens zusätzlicher greifbarer nachteiliger Folgen erfordere.
Eine Aussage einer Datenschutzaufsicht nach Art. 58 Abs. 3 lit. b DS-GVO reicht nicht aus, um einen Schadenersatzanspruch eines Verantwortlichen nach Art. 82 Abs. 2 DS-GVO auszuschließen.
Natürlich führt dass bei Kanzleien, die sich auf die Geltendmachung von Schadenersatzansprüchen nach der DS-GVO spezialisiert haben, zu entsprechenden Aussagen.
Aber auch Nicht-Juristen besprechen das Urteil.
2.5 BVwG Österreich: Zumutbarkeit dienstlicher Kontaktdaten auf Webseite
Das BVwG Österreich stellt in einem Streitfall zwischen einem Lehrer und seiner Schule fest, dass die Verarbeitung von personenbezogenen Daten zum Zweck der Ermöglichung einer direkten Kommunikation zwischen Schülern, Erziehungsberechtigten und Lehrkräften der Erfüllung der im öffentlichen Interesse liegenden Aufgabe gemäß § 56 AT-SchUG dient. Bei der Frage der Zumutbarkeit wird vorausgesetzt, dass derselbe legitime Zweck „genauso gut“ mit einem geringeren Maß an Datenverarbeitung oder (in den Worten des EuGH zu Art. 6 Abs. 1 lit. f DS-GVO) „ebenso wirksam mit anderen Mitteln“ verwirklicht werden könne (vgl. C-26/22 und C-64/22 RN 77, wir berichteten). Eine dienstliche E-Mail-Adresse des Lehrers unterliegt nicht dem Kernbereich der geschützten Privatsphäre, sondern in der Sozialsphäre, die sich etwa durch die Interaktion mit Außenstehenden (hier: Lehrkräften und Schülern bzw. Erziehungsberechtigten) auszeichnet.
2.6 OLG Dresden Kontrollpflichten des Verantwortlichen beim Auftragsverarbeiter
Mit den Kontrollpflichten und Verantwortlichkeiten eines Auftragsverarbeiters befasst sich dieser Beitrag. Anlässlich eines Schadenersatzanspruchs befasste sich das OLG Dresden mit der Frage, wann ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Ein Verantwortlicher nutzte einen Auftragsverarbeiter, der ihm die Löschung von Auftragsdaten ankündigte – dies aber nicht umsetzte. Erst durch eine Datenschutzverletzung wurde dem Verantwortlichen bekannt, dass die Daten noch beim Dienstleister gespeichert waren. Das OLG Dresden bejaht hier weiterhin eine Verantwortlichkeit des Verantwortlichen (OLG Dresden, 4. Zivilsenat, Urteil vom 15. Oktober 2024, Az.: 4 U 940/24, online hier über Suchfunktion abrufbar), auch wenn Schadenersatzansprüche aus anderen Gründen abgelehnt werden.
3 Gesetzgebung
3.1 EU: Cyber Resilience Act (CRA) durch Rat angenommen
Mit der Verabschiedung durch den Rat steht nun einer Veröffentlichung des Cyber Resilience Acts nichts mehr im Weg. Darin werden die Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen geregelt, um zu gewährleisten, dass Produkte wie vernetzte Heimkameras, Kühlschränke, Fernseher und Spielzeug sicher sind, bevor sie auf den Markt gebracht werden. Die neue Verordnung zielt darauf ab Lücken zu schließen, Zusammenhänge zu klären und den bestehenden Rechtsrahmen für Cybersicherheit kohärenter zu gestalten. Damit soll sichergestellt werden, dass Produkte mit digitalen Komponenten, z. B. Produkte des „Internets der Dinge“ (IoT), über die gesamte Lieferkette und ihren gesamten Lebenszyklus hinweg sicher sind.
Schön wäre es ja, wenn es dann solche Meldungen zu Saugrobotern nicht mehr gäbe.
Franks Nachtrag: Auch lesenswert die Quelle aus der Meldung zum Saugroboter. Faszinierend, was das alles zugreifbar ist. So etwas lassen Menschen in ihre Wohnungen?
Franks zweiter Nachtrag: Und natürlich geht es auch um KI-Training, war ja klar …
3.2 EU: Evaluierung des DPF (Data Privacy Framework) abgeschlossen
Die EU-Kommission hat die Evaluierung des Data Privacy Frameworks abgeschlossen und ihren Bericht dort zum Herunterladen veröffentlicht. Auf der Grundlage der bei dieser ersten Überprüfung gesammelten Informationen kommt die Kommission zu dem Schluss, dass die US-Behörden die erforderlichen Strukturen und Verfahren eingerichtet haben, um sicherzustellen, dass das DPF effektiv funktioniere. Aber die Kommission beobachtet die weitere Entwicklung genau. Na ja.
3.3 Umfrage zur Richtlinie über Geschäftsgeheimnis
Nur noch bis 18. Oktober 2024 kann noch an einer Umfrage zum aktuellen Stand der Anwendung der Richtlinie über Geschäftsgeheimnisse teilgenommen werden, die durch die London School of Economics and Political Science durchgeführt wird.
Franks Nachtrag: Das ist nun mal ein Nachteil der Doppelausgaben, der 18.10.2024 liegt schon einige Tage zurück… (Komischerweise geht der Link trotzdem noch.)
3.4 Umfrage zur Richtlinie über Geschäftsgeheimnis
Über das Rahmenübereinkommen über KI und Menschenrechte, Demokratie und Rechtsstaatlichkeit hatten wir bereits berichtet. Hier nun ein Blog-Beitrag dazu.
3.5 Rheinland-Pfalz: Sicherheitsvorschriften zur Umsetzung von NIS2
Ein Ärgernis ist es zuweilen, wenn sich Bundesländer mit ihren Zuständigkeiten von Sicherheitsvorgaben ausnehmen. Rheinland-Pfalz versucht hier gegenzusteuern und das Sicherheitsniveau in der Landesverwaltung zu erhöhen und nimmt sich vor die NIS2-Richtlinie umzusetzen.
3.6 Bundestag: Strafbarkeit von Deepfakes
In Deutschland soll die Verwendung von Deepfakes unter Strafe gestellt werden („§ 201b Verletzung von Persönlichkeitsrechten durch digitale Fälschung“). Der Teufel steckt jedoch im Detail. Neben der Stellungnahme der BRAK sei auf diesen Blog-Beitrag verwiesen. Aber offensichtlich scheint das Thema doch wieder nicht so aktuell?
3.7 Bundesländercheck der KI-Strategie
Ziel der im Oktober 2024 durch den Stifterverband veröffentlichten Analyse des Bundesländerchecks der KI-Strategie ist es den Status quo der Bundesländer bei KI-Strategien zu analysieren und Ähnlichkeiten und mögliche Synergien aufzudecken. Denn: Innovationsökosysteme insbesondere bei KI sind überregional, und Innovationspolitik bleibt oft durch Grenzen beschränkt. Übergreifende Probleme (digitale Infrastruktur, Fachkräftemangel etc.) erfordern gemeinsames Handeln. Tja. Eigentlich nichts Neues, aber ob das bei den Bundesländern auch bekannt ist? Die Präsentation der Ergebnisse finden sich hier.
3.8 Sicherheitspaket – weitere Verhandlungen
Mit dem Sicherheitspaket behandelt die Regierungskoalition nach wie vor umstrittene Themen. Nun soll auch noch das Thema Vorratsdatenspeicherung abgebildet werden. Im Hin und Her zwischen Koalitionsvertrag, eigenen Ansprüchen und scheinbaren Vorstellungen der Sicherheitsbehörden bleibt zunächst die Übersicht auf der Strecke. Der Bundesrat hat nun einen Teil des Paketes gestoppt – nicht, weil er staatsrechtliche Bedenken hatte, sondern, weil es ihm nicht weit genug ging. Bericht dazu hier. Das Thema um die Vorratsdatenspeicherung bekommt ja fast regelmäßig neue Aktualität.
3.9 BMWK: „Datenschätze heben – Datenbürokratie verringern“
Mit einem Impuls für eine Modernisierungsagenda* will das BMWK ein Update für die Wirtschaft geben. Das 14-seitige Papier befasst sich auch mit der Möglichkeit der Datennutzung. Unter der Überschrift „Datenschätze heben, Datenbürokratie verringern“ finden sich die passenden Formulierungen zu einer „drastische Reduzierung der Datenschutzbürokratie“. Wer nach dem Satz „Die DS-GVO müsse muss effizienter und einheitlicher umgesetzt werden“ erwartet, nun kommt das Bußgeld gegen öffentliche Stellen wird, aber enttäuscht. Es geht (wieder Mal) um eine Änderung der Zuständigkeiten durch das föderale Prinzip. Nun wird für eine sektorale Zuständigkeit geworben.
Ziel sei eine Reform beim Datenschutz hin zu Einheitlichkeit, Verlässlichkeit und Einfachheit. Die Federführung für bestimmte Themen solle bei einzelnen Ländern liegen, damit Start-Ups zum Beispiel bei der Nutzung von (pseudonymisierten) Gesundheitsdaten nicht für jede Klinik wieder neu mit der jeweils zuständigen Landesbehörde verhandeln müssen. Und damit die Digitalisierung in der Schule einfacher wird. Genau.
3.10 NIS2: Durchführungsverordnung
Auf europäischer Ebene wurde eine NIS2 Durchführungsverordnung veröffentlicht. Vorausgegangen war ein Konsultationsverfahren. In dieser Verordnung werden die technischen und methodischen Anforderungen der in NIS2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerke sowie Vertrauensdiensteanbieter (die einschlägigen Stellen) festgelegt.
3.11 DSA: Vertrauenswürdige Hinweisgeber (Trusted Flagger)
Im Digital Service Act sind nach Art. 22 vertrauenswürdigen Hinweisgeber („Trusted Flagger”) vorgesehen, mit denen anerkannte Meldestellen für illegale Hassrede und andere rechtswidrige Inhalte auf Websites bezeichnet werden. Onlineplattformen sind verpflichtet Meldungen von Trusted Flaggern prioritär nachzugehen. Die Bundesnetzagentur hat nun erstmalig mit Respect! eine Meldestelle als Trusted Flagger anerkannt.
Harsche Kritik daran findet sich hier und weniger harsch dort.
3.12 Beschäftigtendatengesetz (BeschDG)
Als Referentenentwurf sei derzeit ein Papier vom 08.10.2024 im Rahmen der Behördenabstimmung unterwegs. Daher findet man es noch nicht auf den Seiten der beteiligten Ministerien BMAS und BMI (aber einen Bericht dazu hier). Ein Entwurf wurde aber nun doch auch im Netz veröffentlicht. Nach der Ressortabstimmung geht die dann erstellte Fassung in eine Verbändeanhörung. Was steht nun drin? Erstmal fällt auf, dass im Titel das Wort „Schutz“ fehlt – es regelt den Umgang mit Beschäftigtendaten – also nicht primär dessen Schutz. Und natürlich findet jeder etwas, was nicht passt, z.B. § 12, dass die Benennung des Datenschutzbeauftragten mitbestimmungspflichtig werden soll. Oder muss unbedingt Kleinkram, der eigentlich in der Fachwelt unstrittig ist, geregelt werden, wie, dass Geburtstagslisten in Abteilungen dem Einwilligungsvorbehalt unterliegen (und ich höre schon diejenigen, die das bisher schon nicht wahrhaben wollten „ja, aber jetzt erst wird das so geregelt…“).
So gibt es erste Stellungnahmen, die dem Entwurf im Ergebnis eine solide Fassung bescheinigen, bis hin zu kompetenten Betrachtungen des Themas des kirchlichen Datenschutzes dazu.
3.13 BMJ: QuickFreeze
Trotz Druck von Ländern und Innenministerium, die weiterhin eine anlasslose Vorratsdatenspeicherung von IP-Adressen fordern, hat das BMJ nun einen Gesetzentwurf für das „QuickFreeze“-Verfahren vorgelegt. Mit Quick Freeze werden Verkehrsdaten der digitalen Kommunikation von Nutzern eingefroren, die einer Straftat verdächtig sind. Das reizt die Grenzen der digitalen Überwachung bereits aus – eine anlasslose IP-Speicherung wäre unverhältnismäßig und nicht tragbar. Einen Bericht dazu gibt es hier.
3.14 Änderung des „Hackerparagrafen“ im StGB
Über die bestehenden § 202a, § 202b und § 202c StGB riskieren auch „ethical“ Hacker eine Strafbarkeit. Das BMJ will das ändern und hat dazu einen Entwurf erarbeitet, der hier geleakt wurde. Mehr dazu lesen Sie hier. Das kann sich dann auch auf die Gestaltungen der Beauftragungen von Penetrationstests auswirken. Verbesserungsvorschläge gibt es auch von der AG Kritis.
3.15 EU: Ausschreibung für Altersverifikation
Die EU-Kommission startet eine Ausschreibung über 4 Millionen Euro für die Entwicklung einer innovativen Altersverifikationslösung im Rahmen ihrer laufenden Bemühungen zur Durchsetzung des Digital Services Act (DSA). Das im Rahmen des geänderten Programms „Digitales Europa“ finanzierte Projekt zielt darauf ab, ein System zur Wahrung der Privatsphäre zu schaffen, das sicherstellt, dass Benutzer mindestens 18 Jahre alt sind, ohne dass zusätzliche personenbezogene Daten offengelegt werden. Die Lösung wird das übergeordnete Ziel der Kommission, die Sicherheit und Privatsphäre von Minderjährigen im Internet zu verbessern, unterstützen, insbesondere auf großen Plattformen und Suchmaschinen. Die Ausschreibung endet am 18. November 2024.
3.16 EP zur Digitalpolitik: Setting the European political priorities for 2024-2029
Die Prioritäten der EU für den fünfjährigen institutionellen Zyklus sind in der Strategischen Agenda des Europäischen Rates dargelegt. Anschließend legt die Europäische Kommission ihre Prioritäten in den politischen Leitlinien des Präsidenten fest, die einen ersten Schritt zur Umsetzung der in der strategischen Agenda dargelegten EU-Prioritäten darstellen. Diese Prioritäten werden dann in konkrete Initiativen umgesetzt, die in die jährlichen Arbeitsprogramme der Kommission aufgenommen werden, bevor sie dem Europäischen Parlament und dem Rat der EU in Form von legislativen (und nichtlegislativen) Vorschlägen vorgelegt werden. In diesem Briefing des Think Tanks des Europäischen Parlaments werden die wichtigsten politischen Prioritäten der EU für die kommenden Jahre dargelegt und die unterschiedlichen Ansichten des Europäischen Rates und der Europäischen Kommission analysiert.
3.17 Digitalministerkonferenz zur KI-VO Marktüberwachung
Die 2. Digitalministerkonferenz (DMK) hat sich in ihrer Sitzung vom 18. Oktober 2024 in Berlin unter Ziffer 7 dahingehend positioniert, dass sie als zuständige allgemeine Marktüberwachungsbehörde unter Art. 70 KI-VO die Bundesnetzagentur für die Bereiche Wirtschaft und Bundesverwaltung befürwortet. Für den Bereich der Landesverwaltung scheint sie sich jedoch eine eigenständige allgemeine Marktüberwachung der Länder zu wünschen, die eine möglichst einheitliche Rechtsanwendung sicherstellen soll.
Schön, wenn da verfassungsrechtliche Gegebenheiten der föderalen Zuständigkeiten mal nicht im Vorzimmer hängengeblieben sind. Einfach macht es das aber auch nicht.
3.18 Verordnung nach § 26 Abs. 2 TDDDG
Während der Bundesrat der Verordnung nach § 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) und zur Änderung der Besonderen Gebührenverordnung Telekommunikation noch zustimmen muss (wir berichteten bereits über den Verordnungsentwurf) gibt es bereits die ersten Stellungnahmen. Hier in Form eines Editorials.
4 Künstliche Intelligenz und Ethik
4.1 WEF: “Governance in the Age of Generative AI”
Das World Economic Forum (WEF) veröffentlichte ein Whitepaper, in dem es sich zu Fragen zur „Governance in the Age of Generative AI“ in einer 360° Perspektive befasst. In einer Zeit rasanter Innovation und globaler Unsicherheit erweise sich die generative künstliche Intelligenz (KI) als transformative Kraft, die Branchen, Volkswirtschaften und Gesellschaften weltweit neu gestaltet. Dieser entscheidende Moment erfordere laut WEF visionäre Führung und einen kooperativen Ansatz für eine vorausschauende Regierungsführung.
4.2 Einsatz von LLM bei Due Dilligence
Eine Anwaltskanzlei aus UK befasste sich mit der Frage des Einsatzes von LLM bei einer Due Dilligence und berichtet hier darüber. Der Bericht selbst ist dann hier (wieder mal) gegen die Angabe von personenbezogenen Daten erhältlich.
4.3 Künstliche Intelligenz, Klima und Regulierung
Dieser Beitrag „AI, Climate, and Regulation: From Data Centers to the AI Act“ befasst sich mit der Analyse der klimabezogenen Regulierung für KI unter folgenden drei Aspekten: Energievorschriften für Rechenzentren; Die KI-VO, die nach Ansicht der Autoren sowohl die Klimaberichterstattung als auch das Risikomanagement betrifft; Die Möglichkeiten die Anforderungen aus all diesen Bestimmungen auf technische Weise umzusetzen
Im Ergebnis werden dann vier Kategorien definiert, denen dann insg. 12 Schlüsselrichtlinien zugeordnet werden: Energie- und Umweltberichterstattung; Rechtliche und regulatorische Klarstellungen; Transparenz und Rechenschaftspflicht und zukünftige Maßnahmen über Transparenz hinaus.
4.4 Grundrechte-Folgenabschätzung in der KI-VO
Mit der KI-VO wurde auch eine Grundrechts-Folgenabschätzung (Engl: “Fundamental Rights Impact Assessment” – FRIA) eingeführt.
In welchem Zusammenhang entstand die Verpflichtung eine Grundrechts-Folgenabschätzung (FRIA) im KI-Gesetz durchzuführen? Wie hat der EU-Gesetzgeber die Bewertung der Auswirkungen auf die Grundrechte im KI-Gesetz gestaltet? Welche methodischen Kriterien sollten bei der Entwicklung der Fundamental Rights Impact Assessment befolgt werden? Dies sind die drei Hauptforschungsfragen, die in diesem Artikel behandelt werden, und zwar sowohl durch eine rechtliche Analyse der relevanten Bestimmungen des KI-Gesetzes als auch durch die Erörterung verschiedener möglicher Modelle zur Bewertung der Auswirkungen von KI auf die Grundrechte.
4.5 International Bar Association: KI in der Anwaltsbranche
Mit ihrem Bericht „The Future is Now: Artificial Intelligence and the Legal Profession”, den die International Bar Association zusammen mit dem Center for AI and Digital Policy herausgibt, beleuchtet tiefgreifend die Auswirkungen von Künstlicher Intelligenz auf Anwaltskanzleien weltweit.
Ist vielleicht überfällig – gibt es doch einen weiteren Fall, bei dem ein Anwalt ein Tool einsetzte, das KI nutzte – und er sich auf die Richtigkeit verließ. Und dabei einen Fehler übernahm – der dann natürlich auch auffiel.
4.6 Haftungsfragen bei KI
Wer haftet denn, wenn beim Einsatz von KI die Roboter versagen? Mit „Das kommt darauf an“ beginnen Jurist:innen oft ihre Antwort. Wer wissen will, worauf es ankommt, kann es in diesem Blog-Beitrag nachlesen.
4.7 Microsoft: Recall und weg
Irgendwie scheint da nicht nur in der Kommunikation der Wurm drin zu sein: Microsofts Funktion Recall. Diese erstellt wiederholt Screenshots des Bildschirms, um beim Suchen zu helfen, das Deaktivieren scheint sich nach dieser Meldung auf Funktionalitäten bei Windows 11 auszuwirken.
4.8 KI-Tools für eine bessere Regulierung
Wie kann Europa bei der Regulierung Künstlicher Intelligenz (KI) seine Ziele effizient erreichen – und dabei selbst Künstliche Intelligenz nutzen? Im Projekt AI4POL wird ein internationales Forschungsteam untersuchen, ob die EU-Regelungen den Bürgerinnen und Bürgern tatsächlich helfen. Darüber hinaus wird das Team KI-Tools und datenwissenschaftliche Methoden entwickeln, mit denen Politik und Regulierungsbehörden die Wirkungen ihrer Gesetzgebung sowie mögliche Gefahren durch die Technologieentwicklung in nicht-demokratischen Staaten besser beobachten und auswerten kann. Mehr dazu findet sich auf den Seiten der TUM.
4.9 Whitepaper zur Minderung von BIAS in LLM
Im Rahmen eines Masterstudiengangs an der Universität von Amsterdam entstand ein Whitepaper zur Minderung von Vorurteilen beim Training von generativer KI. Das Whitepaper “Advancing the field of bias detection and mitigation in Large Language Models and Traditional AI Models” findet sich hier, die ausführlichere Fassung ist hier veröffentlicht. Die Knowledge-Base dazu gibt es hier.
4.10 CSA Singapore: Leitfaden und Begleitdokumente zur AI Security
Die Cyber Security Agency of Singapore (CSA) veröffentlichte einen Leitfaden und Begleitdokument zur Sicherung von KI-Systemen: Guidelines and Companion Guide on Securing AI Systems.
4.11 FPF: Enthalten LLM personenbezogene Daten?
Die Organisation Future of Privacy Forum in den USA befasst sich anlässlich der Festlegung in der kalifornischen Gesetzgebung mit der Frage, in welchem Stadium in LLM personenbezogene Daten enthalten sind. Der Beitrag „Do LLMs Contain Personal Information?“ findet sich hier.
4.12 OpenAI und Cyberbedrohungen
OpenAI veröffentliche seinen Bericht zum Missbrauch von Künstlicher Intelligenz bei Cyberangriffen. Der Bericht behandelt, wie verschiedene Bedrohungsakteure, darunter auch Nationalstaaten, versucht haben, KI-Modelle wie ChatGPT für böswillige Zwecke zu nutzen, darunter Cyber-Operationen, Malware-Debugging und verdeckte Einflusskampagnen, die auf Wahlen in den USA, Ruanda und anderen Ländern abzielen. Er analysiert, wie Akteure aus Ländern wie dem Iran und China diese KI-Tools missbraucht haben, während das Team von OpenAI seit Anfang 2024 mehr als 20 solcher Operationen weltweit unterbrochen habe.
4.13 SCL: Mustervertragsklauseln für Verträge mit KI
Die Society for Computer & Law (SCL) veröffentlichte Mustervertragsklauseln für Verträge mit KI unter Berücksichtigung des AI Acts. Wie immer ohne Gewähr.
4.14 Stanford Cyber Policy Center: Regulation under Uncertaincy
In diesem Report der Stanford University “Regulation under Uncertaincy: Governance Options for Generative AI”, der über 470 Seiten umfasst, geht es um die Herausforderungen bei der Verwaltung generativer KI. Berücksichtigt werden dabei u.a. die Anforderungen der Regulierung und die verschiedenen Positionen der Branche ebenso wie ein Blick auf die technischen Aspekte, den Lebenszyklus der Modellentwicklung und die kritische KI-Lieferkette, aber auch die Abdeckung technischer, betrieblicher, ethischer, sozialer, rechtlicher und ökologischer Risiken sowie gesellschaftlicher Auswirkungen. Es werden Branchenpraktiken und kollektive Bemühungen zur Verbesserung der KI-Governance beschrieben und regulatorische Initiativen in der EU, China, den USA und anderen Regionen, einschließlich Brasilien, Kanada, Indien, Israel, Japan, Saudi-Arabien, Südkorea, den Vereinigten Arabischen Emiraten und dem Vereinigten Königreich dargestellt.
Am 28. Oktober 2024 gab es ein Gespräch mit den Autoren.
4.15 bitkom: KI-Nutzung in Deutschland
Der bitkom hat wieder ein Papier veröffentlicht. Diesmal geht es um „Künstliche Intelligenz in Deutschland Perspektiven aus Bevölkerung & Unternehmen“. 600 Unternehmen und 1000 Personen wurden befragt. Das Ergebnis findet sich hier.
4.16 Telekom: Weltweite Studie zu Erwartungen an KI
Unter dem Titel „ZEITGEIST – Eine internationale Perspektive auf die Akzeptanz und Nutzung von KI“ ließ die Telekom eine internationale Studie durchführen. Skepsis und Bewunderung gehen dabei Hand in Hand. Und die Skepsis gegenüber KI sei längst keine deutsche Erfindung. Viele Menschen schätzen die Möglichkeiten von KI. Aber sie fordern Transparenz von den Unternehmen.
4.17 USA: Sicherheitsbehörden und KI
Der Präsident der USA hat ein Memorandum veröffentlicht, das den Einsatz von KI regeln soll. Das Memo verbietet US-Behörden u.a. KI auf eine Weise zu nutzen, die nicht mit demokratischen Werten vereinbar ist, KI Entscheidungen über die Gewährung von Asyl treffen zu lassen oder KI einzusetzen, um jemanden aufgrund seiner ethnischen Zugehörigkeit oder Religion zu verfolgen oder mittels KI eine Person ohne menschliche Überprüfung als Terrorist einzustufen.
4.18 USA: Werkzeugkasten für Lehrer:innen zur Vermittlung von Wissen zur KI
Das Office of Educational Technology veröffentlichte auf Initiative des US Präsidenten Hilfsmittel für Pädagog:innen zum Einsatz von KI. Ganz gleich, ob ein Bildungsleiter am Anfang der Einführung von KI steht oder bereits deren Anwendungen erforscht, dieses Toolkit soll in zehn Schlüsselmodulen – von der Bundespolitik bis hin zu dringenden Bildungsfragen, einschließlich Datenschutz, Datensicherheit, Bürgerrechte und digitale Gerechtigkeit – wichtige Orientierungshilfen zur Unterstützung des gezielten Einsatzes von KI im Bildungswesen bieten.
5 Veröffentlichungen
5.1 Datenschutz- und KI-Folgenabschätzung
Die Aufzeichnung und die Folien eines Vortrags bei der Stiftung Datenschutz zur Datenschutz- und KI-Folgenabschätzung sind veröffentlicht worden.
5.2 Beiträge zum Workshop „Wie digitale Souveränität gelingt“ der GI
Die Beiträge Workshop „Wie digitale Souveränität gelingt“ der Jahrestagung der Gesellschaft für Informatik e.V. (GI) sind online gestellt. Sind ja auch nur 2.260 Seiten. Hervorzuheben wäre dabei vieles, wie z.B. der Beitrag „Privacy & Security at Large“ ab Seite 39 oder auch der Beitrag „Recht und Technik – Datenschutz im Diskurs“ ab Seite 129.
5.3 Verordnung über die Transparenz und das Targeting politischer Werbung
Dieser Beitrag befasst sich mit dem Überblick über die Verordnung über die Transparenz und das Targeting politischer Werbung (VO 2024/900). Mit dieser Verordnung reagiert der Unionsgesetzgeber auf gesellschaftliche und technologische Veränderungen im Bereich politischer Werbung. Die Verordnung enthält Transparenz- und Sorgfaltspflichten sowie Vorschriften zum Targeting. Auch sollen Manipulationsversuche durch drittstaatliche Akteure im Vorfeld von Wahlen verhindert werden. Und dann erinnerte ich mich an das Daten-Frühstück der Stiftung Datenschutz, als die Diskutantinnen (ca. ab Min. 25) genau diese Verordnung als Beispiel für eine technische Möglichkeit für „Datenschutzsignale“ betrachteten.
5.4 Aktualisierter Standard verfügbar
In der Liste der frei verfügbaren ISO-Standards findet sich nun auch der ISO 29000:2024 zu Information technology – Security techniques – Privacy framework.
5.5 ZDF-Doku: Der Preis der Sicherheit – „Concordia“
Die ZDF-Serie „Concordia“ spielt in einer fiktiven Stadt, in der Überwachung allgegenwärtig ist. Die Doku zur Serie aber zeigt: Überwachung wie in „Concordia“ ist vielfach bereits Wirklichkeit. Sie ist in der Mediathek bis Mitte September 2026 verfügbar.
5.6 bitkom Privacy Conference: Vorträge online
Auch die Beiträge der Privacy Conference des bitkom sind auf YouTube frei verfügbar. Der erste Veranstaltungstag findet sich hier (ca. 6 Std. Dauer), der zweite Tag (auch ca. 7 Std. Dauer) dann dort.
Und das Veranstaltungsdesign mit einem Eichhörnchen erinnerte mich an diesen Artikel. Sollte sich beim bitkom damit ein „Privacy Partisan“ verewig haben?
5.7 Microsoft Digital Defense Report 2024
Microsoft hat seinen Microsoft Digital Defense Report 2024 veröffentlicht. Er spricht für sich selbst.
5.8 MS 365: Copilot und Datenschutz
Und wieder MS 365 und die freundlicherweise bereitgestellt öffentliche Fassung einer Veröffentlichung zu Microsoft Copilot und Datenschutz*.
* Franks Anmerkung: Wieso ist da kein https drauf? Das es noch solche Seiten gibt …
5.9 Forschungsprojekt „Datenschutz-Sandbox“
Irgendwie gewöhne ich mich auch noch an diese deutsch-englischen Mischwörter. „Datenschutz-Sandkasten“ klingt ja auch nicht viel besser. Egal. Meine Befindlichkeit ist nicht der Forschungsschwerpunkt an der Universität Bayreuth zusammen mit der Rheinland-Pfälzischen Datenschutzaufsicht. Unternehmen und Behörden sollen künftig die Datenschutzkonformität ihrer Anwendungen testen können (wenn sie wollen). Mehr dazu hier.
5.10 Cybersicherheit in Bayern
Passend zur in Bayern stattfindenden IT-Sicherheitsmesse wurden Zahlen zur Cybersicherheit in Bayern im Jahr 2024 veröffentlicht. Die Bayerische Staatsregierung räumt der Gewährleistung eines hohen Sicherheitsniveaus von je her einen hohen Stellenwert ein. Daher kommt das Wort „Datenschutz“ in dem Bericht auch immerhin einmal vor.
5.11 Auftragsverarbeiter in der Kette
Mit den Aussagen des EDSA in seiner Stellungnahme vom 7. Oktober 2024 zu den Anforderungen einer Auftragsverarbeitung in der Kette befasst sich dieser Beitrag einer Kanzlei.
5.12 Tool zur Prüfung der Datenübermittlung ins Ausland
Da werden sich viele freuen: Über das Angebot eines Tools zur Prüfung einer Datenübermittlung ins Ausland, auf das hier hingewiesen wird. Wie immer bei unseren Links: ohne Gewähr.
5.13 Veranstaltungen
5.13.1 IHK Bayern: Webinarreihe zu IT-Sicherheit
ab 10.10.2024, vor Ort oder online: Ab dem 10. Oktober 2024 bietet die IHK in Bayern vor-Ort-Seminare aber auch Webinare zum Thema „Genauer hinsehen – Effektive Maßnahmen für Ihre IT-Sicherheit“ an. In leicht verständlicher Form wird Unternehmen und Organisationen praxisnah vermittelt, worauf sie achten müssen, denn Cyberangriffe können die Existenz von Unternehmen gefährden, daher sei IT-Sicherheit entscheidend. In den elf Veranstaltungen wird der Schwerpunkt darauf gelegt kleinen und mittleren Betrieben bei der Verbesserung ihrer IT-Sicherheit zu helfen. Experten aus dem Bereich IT-Sicherheit stellen unterschiedliche Schutzmaßnahmen und praxisnahe Ratschläge vor. Details mit Terminen und Themen sind hier hinterlegt.
5.13.2 Virtueller Elternabend: Digital will gelernt sein – frühe Mediennutzung -neu-
06.11.2024, 17:00 Uhr – 18:00 Uhr, online: Unter dem Titel „Digital will gelernt sein – wie Eltern ihre Kinder bei der frühen Mediennutzung begleiten können“ bieten Expert:innen von JFF praktische Tipps zur Medienerziehung von Kindern bis 6 Jahren. Sie erklären, wie Eltern die Mediennutzung ihrer Kinder gut begleiten und einen verantwortungsvollen Umgang mit Medien von Anfang an fördern können. Weitere Informationen und Anmeldung hier.
5.13.3 DIHK Datenforum: „Daten ohne Grenzen“
12.11.2024, 14:00 – 19:00 Uhr, Berlin: Unter der Überschrift „Daten ohne Grenzen!?“ bietet der DIHK Vertreterinnen und Vertretern von Unternehmen, Industrie- und Handelskammern, Fachverbänden und Politik am 12. November 2024 ab 14:00 Uhr Gelegenheit in den direkten Austausch zu gehen. Ziel der Veranstaltung ist es gute Verfahrensweisen rund um Datenkompetenz und -sicherheit zu erarbeiten. Details und Anmeldung hier. Bitte beachten: Anmeldung nur bis 01.11.2024!
5.13.4 Daten-Dienstag: „Datenteilen nach dem Data Governace Act“
12.11.2024, 19:00 – 20:30 Uhr, Nürnberg: Im Museum für Kommunikation befassen sich zwei Expert:innen des TUM Center for Digital Public Services an der TU München mit den Möglichkeiten der Datennutzung durch Datenteilen. Dabei gehen sie der Frage nach, ob der Datenaltruismus, den der Data Governance Act 2023 eingeführt hat, tatsächlich dem Gemeinwohl dient: Welches Konzept verbirgt sich dahinter? Ist Datenteilen mit Datenschutz vereinbar? Und was hat es eigentlich mit der Datenspende auf sich? Am Ende erhoffen sich die Verfassungsrechtlerin und der Verfassungsrichter, dass ihr geteilter Vortrag dem Publikum am Daten-Dienstag doppelte Freude bringt.
Eine Veranstaltung im Rahmen der Reihe Daten-Dienstag, die das Museum für Kommunikation seit 2015 in Kooperation mit dem BayLDA und dem BvD veranstaltet. Informationen und Anmeldung hier.
5.13.5 BlnBfDI und jugendnetz.berlin: Fachtagung Medienkompetenz -neu-
14.11.2024, 09:00 – 15:30 Uhr, Berlin: Die BlnBfDI und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 2. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Weitere Informationen und Anmeldung hier.
5.13.6 LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
Die Landesmedienanstalt Saarland (LMS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzen sich in ihrer 9-teiligen Vortragsreihe mit der KI-Transformation und deren Auswirkungen intensiv auseinander. Weiteren Informationen auch zur Anmeldung zur jeweiligen Veranstaltung in den Links. Ein Flyer zu weiteren Informationen findet sich hier.
- 14.11.2024, 16:00 – 17:30 Uhr: KI und Journalismus
- 05.12.2024, 16:00 – 17:30 Uhr: Prüfungsszenarien für KI-Anwendungen: Der EU AI Act in seiner Umsetzung
- 16.01.2025, 16:00 – 17:30 Uhr: Künstliche Intelligenz in der öffentlichen Verwaltung
- 30.01.2025, 16:00 – 17:30 Uhr: KI, (Un)Fairness und Automation: Was macht KI mit uns, was machen wir mit KI?
- 13.02.2025, 16:00 – 17:30 Uhr: Vielfalt stärken, Verantwortung regeln, Vertrauen wahren: KI in Informationstechnik, Medienaufsicht und Regulierung
5.13.7 Stiftung Datenschutz – Datenschutz am Mittag: „Personenbezogene Daten in der Forschung“ -neu-
18.11.2024, 13:00 – 14:30 Uhr, online: Personenbezogene Daten aus verschiedenen Quellen (amtliche Statistiken, Register, Haushalts- und Unternehmensbefragungen) sind in der sozial- und wirtschaftswissenschaftlichen Forschung von großer Bedeutung. So kann man beispielsweise die Verteilungswirkungen steuerpolitischer Maßnahmen nur auf Basis solcher disaggregierten Daten präzise abschätzen. Unter dem Titel „Personenbezogene Daten in der Forschung: Chancen und Herausforderungen“ befasst sich ein Experte mit dieser Thematik. Beispielhaft werden Potenziale solcher Datennutzung für Forschung und Politikberatung aufgezeigt. Danach werden praktische und rechtliche Herausforderungen, die sich bei der Anonymisierung sowie bei der Verknüpfung von Daten aus verschiedenen Quellen ergeben vorgestellt. Auch die Erzeugung synthetischer Daten als Alternative oder Ergänzung zur Anonymisierung wird angesprochen. Weitere Informationen und Anmeldung hier.
5.13.8 eco, FSM und jugendschutz.net: Webinar zum Schutz gegen sexualisierte gewalt gegen Kinder im Netz -neu-
18.11.2024, 14:00 – 15:30 Uhr, online: Anlässlich des Europäischen Tags zum Schutz von Kindern vor sexueller Ausbeutung und sexuellem Missbrauch laden die deutschen Beschwerdestellen von eco, FSM und jugendschutz.net zur Online-Veranstaltung „Gemeinsam gegen sexualisierte Gewalt im Netz – Was Fachkräfte wissen müssen“ ein. Die Veranstaltung richtet sich an pädagogische Fachkräfte, Multiplikatorinnen und Multiplikatoren sowie an alle weiteren Interessierten. Die deutschen Beschwerdestellen geben Einblicke in ihre praktische Arbeit und zeigen auf, welches Wissen im Hinblick auf den Schutz von Kindern und Jugendlichen im Netz unerlässlich ist. Gemeinsam mit der Online-Beratungsplattform für junge Menschen JUUUPORT wird erläutert, wie ein altersgerechtes Meldeformular Jugendlichen dabei hilft problematische Online-Inhalte zu melden. Verschiedene Handlungsmöglichkeiten werden angesprochen, um verdächtige Inhalte zu melden und erfahren, welche präventiven Maßnahmen dazu beitragen können die Nutzung von Online-Diensten für Kinder und Jugendliche sicherer zu gestalten. Während der Veranstaltung besteht zudem die Möglichkeit Fragen im Chat zu stellen. Weitere Informationen und Anmeldung hier.
5.13.9 CNIL: „Überwachung in all ihren Formen!“
19.11.2024, 14:30 – 18:00 Uhr, bei der CNIL und online: Die CNIL informiert, dass sie zu einer Veranstaltung zum Thema „Überwachung und Ethik der Freiheiten“ einlädt. Details des Programms stehen noch nicht fest. Unter der Abkürzung AIR (für avenirs, innovations, révolutions – Zukünftiges, Innovationen, Revolutionen) definiert die CNIL ihren Auftrag, der ihr durch das Gesetz für eine digitale Republik erteilt wurde. Dabei organisiert sie öffentliche Debatten über die neuen Herausforderungen der Digitalisierung, bei denen Experten aus der Praxis und der Wissenschaft zusammenkommen.
5.13.10 IHK München und Oberbayern: 12. Münchner Datenschutztag
29.11.2024, 14:00 – 18:30 Uhr, München: Mit aktuellen Fragestellungen befassen sich Vertreter:innen der Praxis und des BayLDA. Weitere Informationen und Anmeldung hier.
5.13.11 CPDP – Data Protection Day -neu-
28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.
5.13.12 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
29.01.2025 \\ vor Ort im Weizenbaum-Institut - Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
25.02.2025 \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
6 Gesellschaftspolitische Diskussionen
6.1 Studie zu Beleidigungen auf Social Media
Beleidigungen auf Social Media – ist das ein neues Phänomen oder ein altes gesellschaftliches Problem im digitalen Gewand? Damit befasst sich eine Studie, deren Ergebnisse nun beim bidt veröffentlicht wurden. Der Fokus der Untersuchung liegt dabei auf Beleidigungen, die juristisch eindeutig nicht zulässig sind – wie etwa gravierende Herabwürdigungen, Beschimpfungen mit Fäkalbegriffen oder Angriffe auf die Menschenwürde. Wie die aktuellen Ergebnisse darlegen, treten Beleidigungen noch häufiger in der Offline- als in der Onlinewelt auf. Im Umgang mit Beleidigungen online zeigt sich, dass nur etwa die Hälfte der Betroffenen die Vorfälle meldet. Aussichtslosigkeit, Rechtsunsicherheit und offenbar geringes Vertrauen in den Staat sind einige der Gründe. Die ganze Studie findet sich hier.
6.2 BigBrotherAwards 2024
Die Preisträger der BigBrotherAwards 2024 wurden wieder bekannt gegeben. Ausgezeichnet wurden:
- „Der Bundesgesundheitsminister für das Gesundheitsdatennutzungsgesetz, das nach unklaren Verfahren und ohne geeignete Schutzvorkehrungen unsere sensiblen Gesundheitsdaten verfügbar macht.“
- „Die sächsische Polizei und der sächsische Innenminister für das „videogestützte Personen-Identifikations-System“, das einen gruseligen Vorgeschmack auf neue Überwachungsmöglichkeiten der Polizei gibt.“
- „Die Handelsplattformen Temu und Shein, deren Datenschutzregeln und AGB von ähnlich schlechter Qualität sind wie die angebotenen Produkte.“
- „Die Deutsche Bahn, weil sie mit ihrem zunehmenden Digitalzwang nicht nur Menschen ausschließt, sondern auch anonymes Reisen zunehmend unmöglich macht.“
- „Der Trend Technikpaternalismus: Immer mehr Technik nervt uns mit Besserwisserei, gängelt und bevormundet uns – so werden unsere Geräte nach und nach vom Butler zum Chef.“
6.3 Digitale Souveränität – aus Sicht der Unternehmen
Das Buzzwort „digitale Souveränität“ interpretiert jeder anders. Das BMWK nimmt für sich hier in Anspruch dies aus Sicht der Unternehmen darzustellen: „Digitale Souveränität: Herausforderungen aus Sicht der Unternehmen (2024)“. Die dabei verwendete Definition der „digitalen Souveränität“ wird angelehnt an die Definition aus der Datenstrategie der Bundesregierung (2021):
„Digitale Souveränität beschreibt die Fähigkeit, die digitale Transformation mit Blick auf Hardware, Software, Dienstleistungen sowie Kompetenzen selbstbestimmt zu gestalten. Dies bedeutet in Bezug auf digitale Technologien und Anwendungen selbstständig entscheiden zu können, inwieweit man eine Abhängigkeit von Anbietern und Partnern eingeht oder vermeidet.“
6.4 Shell Jugendstudie: Mehr Medienkompetenz
Die Shell Jugendstudie 2024 befasst sich diesmal wieder mit aktuellen Fragestellungen. Und weil auch Erwachsene auch außerhalb der obersten Managementebenen zunehmend Problemen mit langen Texten zu haben scheinen, gibt es die Ergebnisse als Zusammenfassung und als Infografiken zu Politik, Medien, Zukunft und Werte. Dagegen sind die Erwartungen der Jugendlichen ja fast schon optimistisch!
6.5 Cyberangriff durch eingestellten Remote-IT-Mitarbeiter aus Nordkorea
Uups. Ein Unternehmen, das anonym bleiben möchte, hat Cybersecurity-Spezialisten gestattet einen Vorfall publik zu machen, um die Öffentlichkeit für diese Art von Bedrohung zu sensibilisieren und andere Firmen zu warnen. Worum ging es? Ein Hacker hatte seine Beschäftigungshistorie und persönlichen Daten gefälscht, um eine ausgeschriebene Stelle zu erhalten. Vier Monate lang war er für das Unternehmen tätig und bezog ein Gehalt, das höchstwahrscheinlich über komplexe Geldwäschekanäle nach Nordkorea transferiert wurde, um die westlichen Sanktionen gegen das isolierte Land zu umgehen. Nachdem das Unternehmen den Hacker aufgrund mangelhafter Leistungen entlassen hatte, erhielt es Erpressermails, die einen Teil der gestohlenen Daten enthielten und eine Lösegeldforderung in sechsstelliger Höhe in Kryptowährung stellten. Mehr dazu hier.
6.6 Chatbot und Suizid eines Teenagers
Wie gehen wir als Gesellschaft damit um, dass Teenager ein emotionales Verhältnis zu einer KI entwickeln? In Florida klagt eine Mutter gegen die Verantwortlichen eines Chatbot, über den ihr 14-jähriger Sohn zu einer virtuellen Person einer Serienheldin ein emotionales Verhältnis entwickelte und in der Folge Suizid beging. Im Prozess werden sicher viele Fragen angesprochen. Zu vielen wird die Gesellschaft eine Antwort finden müssen. Über den Fall wird international und national berichtet.
7 Sonstiges/Blick über den Tellerrand
7.1 TikTok und Moderatoren
Es ist nicht mal tröstlich, wenn sich Anbieter wie TikTok erwartungskonform verhalten. Nun entlässt TikTiok nach diesem Bericht Moderatoren, die sich bislang mit der Prüfung der Inhalte befassten. Dafür kommt KI zum Einsatz. Natürlich aus Kostengründen.
7.2 bitkom: KI im Schulunterricht
So richtig ist bei mir der bitkom als Bildungsexperte noch nicht gelandet. Eher als Vertriebsplattform für digitale Gadgets. Dazu passt auch die Veröffentlichung des bitkom zum Einsatz von KI an Schulen und die Aussage des bitkom dazu, dass Debatten um pauschale Handyverbote wirklichkeitsfremd seien und an der Lebensrealität der jungen Menschen vorbeiführten. Das sehen zwar Pädagogikexpert:innen anders, aber die sind ja nicht Mitglied beim bitkom.
7.3 KMK: Handlungsempfehlung zum Umgang mit KI
Die Kultusministerkonferenz (KMK) hat Handlungsempfehlungen zum Umgang mit KI veröffentlicht. Es ist zwar erstmal eine Empfehlung und keine konkrete Maßnahme – aber ein wichtiges und gutes Signal: Alle Länder sind sich einig. Künstliche Intelligenz wird nicht isoliert betrachtet, sondern es wird ein gemeinsames Vorgehen diskutiert.
Und was wäre die erste Entscheidung der KMK, wenn sie kritiklos bliebe, siehe hier.
7.4 USA: Klage gegen TikTok
Ist das nun schon eine gute Nachricht? Nach dieser Meldung muss sich TikTok in den USA verantworten, weil die Betreiber ihnen bekannte Gefahren der App für den Jugendschutz lange weitgehend ignorierten.
7.5 Künstliche Intelligenz zur Lachüberwachung
Was erwartet uns am 1. April 2025? Diese Meldung wohl nicht, denn sie kam schon vorher. Ein Mikrofon misst über eine KI die Umgebungsgeräusche. Lachen die Mitarbeitenden zu wenig, bekommen sie eine Aufmunterung zugeschickt. Es mag Unternehmen geben, in denen schon das Management mit eigenen Meldungen dafür sorgt, dass diese Technik nicht erforderlich wird.
7.6 USA: Massenüberwachung mit Standortdaten
Wie berichtet wird, ist es in den USA leicht möglich mit kommerziellen Überwachungstools und Daten der Werbeindustrie – wie dem Werkzeug „Locate X“ von der US-Firma Babel Street – eine Massenüberwachung durchzuführen. Auf einer digitalen Karte, ähnlich wie Google Maps, lassen sich beliebige Orte auswählen, zum Beispiel Moscheen oder Abtreibungskliniken. Dann zeigt das Tool an, welche Handys auf dem ausgewählten Gelände geortet wurden – und auf Wunsch, wo sich ein ausgewähltes Gerät noch überall hinbewegt hat. Mehr dazu lesen Sie hier.
8. Franks Zugabe
8.1 Apropos KI …
Na, dann wollen wir doch mal wieder:
- Nach diesem Artikel hat KI einen direkt Einfluss auf die Menge (und Qualität) menschgemachter Inhalte im Internet. Wer hätte das erwarten können? Natürlich ist das dauerhaft nicht gut, wenn KI genau solche Daten zum Trainieren braucht, aber das hatten wir ja schon öfter.
- Und? Heute schon im Internet nach medizinischen Informationen gesucht? Dr. Google scheint ja mittlerweile gerne befragt zuwerden. Passen Sie bloß auf, dass Sie nicht zu sehr auf die Aussagen KI-gestützter Chatbots vertrauen, das könnte eine schlechte Idee sein.
Apropos schlechte Idee: US-Krankenhäuser benutzen „KI“ zum Transkribieren. Und die KI erfindet einfach Inhalte, die nie jemand gesagt hat.
Also bei KI-gestützten Chatbots heißt es, die menschliche Expertise fehlt, den Menschen kann im Zweifelsfall nicht exakt genug erklärt werden, wie sie mit ihrem Anliegen umgehen sollen. Und dann nutzen die Expert:innen in den Krankenhäusern KI, um genau diese Dokumentationen der medizinisch relevanten Informationen vorzunehmen? Was soll dabei schon schiefgehen … - Na ja, wenigsten haben die Programmierer Vorteile von KI, richtig? Vielleicht nicht, so zumindest diese Studie (wiedermal nur erhältlich nach Eingabe einer E-Mail-Adresse): 41% mehr Programmierfehler durch die Nutzung von GitHub CoPilot.
- Apropos Studien und Forschung: Laut bei Apple Forschenden kann KI gar nicht denken. Warum denke ich jetzt an Louis de Funès?
- Und noch eine Studie: ChatGPT kann nun auch Extremisten erkennen. Vielleicht. Was soll da schon Schlimmes passieren, falls ChatGPT mal wieder halluziniert?
- Apropos was KI so alles kann (und auch das kommt nicht unerwartet): KI kann jetzt auch Sexismus.
- Apple hat ja prominent angefangen, KI-Kerne in seinen M-Prozessoren zu vermarkten. Andere Unternehmen wollten nachziehen. Scheint aber nicht wirklich schneller zu werden mit den KI-optimierten Prozessoren. Hier habe ich die Information gefunden, hier ist die Original-Quelle.
- „KI gibt dir eine Lösung, du kannst nicht beurteilen, ob sie richtig ist, du hast nichts gelernt.“. So diese Quelle. Wenn Sie das ganze Video sehen wollen, aus welchem dieser kurze Videoschnipsel kommt, hier ist es bei Youtube (ca. 35 Min. Dauer), der Vortragende ist tatsächlich wohl ein Befürworter von KI. Und eine lustige Anekdote am Rande: Bei Youtube-Videos funktioniert das mit dem Lernen durch Erklärvideos schauen wohl genauso wenig.
- Apropos KI und Bildung: Wir hatten ja schon ab und zu Skandale mit gefälschten Doktorarbeiten. Ob das mit KI besser oder schlechter geworden ist? Entscheiden Sie.
- Wer nochmal profitiert genau von Deepfakes? Moralisch verwerfliche Personen, die anderen (meist Frauen) Schaden zufügen wollen? Ach ja, und natürlich das Militär.
- Na ja, das sind ja nur die USA, nicht wir. Und es ist das Militär, nicht die Justiz oder die Strafverfolgung. Was soll bei uns schon passieren? Na, das halt: So KI wird die Berliner Polizei! Und natürlich auch das: Justiz am Limit – mit KI gegen Personalmangel und Verfahrensberge. Ist ja nicht so, als ob das langanhaltende Konsequenzen für die Betroffenen haben könnte, wenn KI in solchen Bereichen halluziniert. Und in der Medizin klappt es ja schon gut (s.o.). (Und ich fange jetzt nicht davon an, dass die KI für die Berliner Polizei wohl auch (oder eher?) Social-Media-Posts analysieren soll…)
- Es gibt scheinbar noch vereinzelten Widerstand gegen KI … im aktuellen Fall bei Bytedance, dem Eigentümer von TikTok.
- Ach, KI-Halluzinationen sind gar kein Problem mehr? Na dann. („you can basically trust the answer“ klingt schon mal sehr vertrauserweckend …) Lustig auch, dass der interviewte Baidu CEO das Platzen der KI-Bubble prophezeit, so wie auch die Dot-Com-Blase in den Neunzigern geplatzt ist.
- Ist das Bestechung? „OpenAI and Microsoft are funding $10 million in grants for AI-powered journalism“. Bestimmt nicht, oder?
- Apropos KI und Medizin: Was war die eine Sache, die KI besser können sollte als Menschen (obwohl es dazu ja auch schon gegenteilige Studien gibt)? Richtig, Radiologische Aufnahmen auswerten. Und was ist da nun die Konsequenz? Das kaum noch jemand Radiolog:in werden will. Läuft bei uns Menschen, oder?
- Google arbeitet am Projekt Jarvis. OK, ich gebe es zu, ich bin Nerd genug, um sofort an „Avengers: Age of Ultron“ zu denken. Dann hoffen wir mal, dass das bei Google besser läuft als bei Stark Industries…
- Ich möchte auch mal was zu DORA bringen: Deloitte stellt ein „KI“-Tool für DORA-Compliance vor. Was bedeutet das nun? Denken sich die Verantwortlichen dann so: „Wir verstehen das eh alles nicht, also beauftragen wir eine Berater-Firma, die auch nichts davon versteht und daher KI einsetzt, die auch nichts versteht, aber immerhin verstehen wir alle so wenig davon, dass wir nicht merken, dass die KI halluziniert.“ Ob das die Intention von DORA ist?
- Andere Berater-Firmen haben ja durchaus zurückhaltendere Einstellungen zu KI: „Gartner sounds alarm on AI cost, data challenges“.
- Zum Abschluss noch etwas, was mich tatsächlich fasziniert hat: Ein Interview mit Bryan Ferry, geführt von Zeit-Online-Mitarbeitern. Und dann mit seiner Erlaubnis ins Deutsche übertragen. Durch eine KI, die ihn seine Worte deutsch sprechen lässt. Beide Link führen zu Artikeln, die jeweils die Podcast-Folge enthalten.
- OK, eine Meldung habe ich noch: Was, fragen Sie? Den polnischen Radio-Sender, der Texte und Moderation per KI erstellen lies. Und dieses Experiment dann nach einer Woche wieder beendete. Sachen gibts…
8.2 Ein Update zur Chatkontrolle
Nachdem vor der Abstimmung schon erste Mitgliedsstaaten Widerstand gegen die Chatkontrolle deutlich machten (wie die Niederlande), aber nicht klar war, ob es reichen würde, kann nun gesagt werden:
Für diesen Anlauf hat es gereicht. Aber Ungarn (woher das Thema maßgeblich im EU-Rat vorangetrieben wird) hat noch eine weiter Möglichkeit am 12. & 13.12.2024. Hoffen wir, dass der Widerstand bis dahin nicht bröckelt. Hier können Sie sich zur Technik hinter der Chatkontrolle informieren (Podcast, Dauer ca. 50 Min.). Ein Zitat aus dem Podcast gefällig? „Alles technisch nicht ganz so überzeugend…“ Wie unerwartet.
8.3 Es geht scheinbar auch ohne Paywalls
Wenn auch nicht freiwillig, wie diesem Bericht aus der Schweiz zu entnehmen ist. Oder diesem.
8.4 Noch ein Abo-Modell, heute: Geschirrspülmaschinen
Bei manchen Geschirrspülmaschinen geht es scheinbar nicht mehr ohne Paywall und Abo.
8.5 Updates unmöglich: Niederlande müssen Ampeln wegen Sicherheitslücke austauschen
Da musste ich wieder mal die Überschrift klauen. Ob die jetzt nur noch KI-Ampeln einbauen?
8.6 Apropos Geräte bricken: Das software-based car
Das war doch mal eine gute Idee.
8.7 The largest-ever US healthcare data breach
Natürlich ist das „nur“ in den USA, nicht bei uns (hier ein deutscher Artikel zu ähnlicher Thematik). Aber wer treibt denn auch bei uns die Digitalisierung des Gesundheitswesens voran? Richtig, die gleichen Anbieter… Umso wichtiger, dass Sie sich Gedanken zu Ihrer Teilhabe am Projekt elektronische Patientenakte machen, um informiert entscheiden zu können. Immerhin hat ja unser Gesundheitssystem, vertreten durch den Bundesgesundheitsminister, gerade erst einen BBA erhalten für die Digitalisierung des Gesundheitswesens.
9. Die guten Nachrichten zum Schluss
9.1 Datenvolumen sparen
Datenvolumen sparen hilft nicht nur der eigenen CO2-Bilanz, sondern mindert auch das Risiko bei Datenpannen. Unterstützen kann dabei diese Tabelle, die zeigt, was beim Löschen eingespart werden kann.
9.2 Weisser Ring: Internet macht Schule
Der Weisse Ring berichtet über Initiativen, die versuchen über Medienkompetenz nicht nur zu reden, sondern diese auch zu vermitteln und dadurch die Anzahl potentieller Opfer digitaler Gewalt zu verringern.