Zum Inhalt springen

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41&42/2024)“ – Die DVD-Edition

Hier ist der 13. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 41&42/2024)“ – Die DVD-Edition.

Entweder haben Sie heute einen Feiertag oder Sie hatten gestern einen. Oder Sie haben Glück und dürfen einfach nur arbeiten. Egal wie, hier ist Lesestoff für das (ggf.) verlängerte Wochenende.

  1. Aufsichtsbehörden
    1. EDSA: Programm für 2024–2025
    2. EDSA: Gemeinsame Prüfung (CEF) im Jahr 2025 zu Löschpflichten
    3. EDSA: Leitlinien zu berechtigtem Interesse (mit Konsultation)
    4. EDSA: Verhältnis Auftragsverarbeiter und weiterer Auftragsverarbeiter
    5. EDSA: Stakeholder-Einbezug zu Stellungnahmen zu KI-Modellen
    6. EDSA: Statement zur Durchsetzung der DS-GVO (04/2024)
    7. BfDI: Teilnahme am G7 Round Table der Datenschutzaufsichtsbehörden
    8. BfDI: KI in der Bundesverwaltung
    9. BfDI: Zuständigkeit für die Nachrichtendienste
    10. LfDI Rheinland-Pfalz: Fälle und Antworten
    11. CNIL: Fünf Argumente für die Einführung eines Passwortmanagers
    12. CNIL: Information zu einzelnen Sanktionen
    13. CNIL: Gemeinsamkeit der DS-GVO mit Astrologieunternehmen – die Vorhersehbarkeit
    14. Italien: Wie viele Datenschutzbeauftragte gibt es?
    15. ICO: Audit-Framework für verantwortliche Stellen
    16. BSI: Empfehlungen für den sicheren Einsatz von KI-Programmierassistenten
    17. BKartA und Facebook
    18. FTC: Datenschutz, Werbung und AI
    19. FTC: Einigung mit Hotelkette Marriott zu Sanktionen aufgrund Sicherheitsmängeln
       
    20. EDSA: Guideline 02/2024 zu technischen Aspekten der ePrivacy-RL
    21. EDSA: Video zu den Verhandlungen zu den OECD-Guidelines
    22. EDPS: Rede zur Herbstkonferenz des BvD
    23. EDPS: Stellungnahme zu den Speicherhöchstfristen von Europol
    24. BfDI: Herbstforum „Daten im Dienst der Patienten“
    25. LfDI Rheinland-Pfalz: Aufzeichnungen der Webinare für Kitas
    26. LfDI Baden-Württemberg: Rechtsgrundlagen bei KI (Version 2.0)
    27. LfDI Baden-Württemberg: FAQ zu Deceptive Design Patterns (trügerische Gestaltungsmuster)
    28. LfDI Niedersachsen: Reallabor zu KI
    29. Hamburg: Post der Krankenkassen zur ePA
    30. LfD Bayern: Recht auf Erstkopie der Patientenakte
    31. LDI NRW: Anforderungen an Makler beim Drohneneinsatz
    32. LfDI Baden-Württemberg: Öffentliche Stellen und TikTok
    33. Irland: Bußgeld gegen LinkedIn
    34. Saudi-Arabien: Aussagen zu Anonymisierung und Pseudonymisierung
    35. Australien: Checkliste bei der Entwicklung generativer KI
    36. Norwegen: Stellungnahme zu illegalem Data Scraping
  2. Rechtsprechung
    1. EuGH: Entschuldigung als immaterieller Schadensersatz möglich (C-507/23)
    2. EuGH-Vorschau – Mündliche Verhandlung im Verfahren C-413/23 am 07.11.2024
       
    3. OLG Brandenburg: Umfang des Auskunftsanspruchs bei Versicherungsunterlagen
    4. EuGH: Empfänger, Verantwortlicher und immaterieller Schadenersatz (C-200/23)
    5. BVwG Österreich: Zumutbarkeit dienstlicher Kontaktdaten auf Webseite
    6. OLG Dresden Kontrollpflichten des Verantwortlichen beim Auftragsverarbeiter
  3. Gesetzgebung
    1. EU: Cyber Resilience Act (CRA) durch Rat angenommen
    2. EU: Evaluierung des DPF (Data Privacy Framework) abgeschlossen
    3. Umfrage zur Richtlinie über Geschäftsgeheimnis
    4. Europarat: Übereinkommen über KI und Menschenrechte, Demokratie und Rechtsstaatlichkeit
    5. Rheinland-Pfalz: Sicherheitsvorschriften zur Umsetzung von NIS2
    6. Bundestag: Strafbarkeit von Deepfakes
    7. Bundesländercheck der KI-Strategie
       
    8. Sicherheitspaket – weitere Verhandlungen
    9. BMWK: „Datenschätze heben – Datenbürokratie verringern“
    10. NIS2: Durchführungsverordnung
    11. DSA: Vertrauenswürdige Hinweisgeber (Trusted Flagger)
    12. Beschäftigtendatengesetz (BeschDG)
    13. BMJ: QuickFreeze
    14. Änderung des „Hackerparagrafen“ im StGB
    15. EU: Ausschreibung für Altersverifikation
    16. EP zur Digitalpolitik: Setting the European political priorities for 2024-2029
    17. Digitalministerkonferenz zur KI-VO Marktüberwachung
    18. Verordnung nach § 26 Abs. 2 TDDDG
  4. Künstliche Intelligenz und Ethik
    1. WEF: “Governance in the Age of Generative AI”
    2. Einsatz von LLM bei Due Dilligence
    3. Künstliche Intelligenz, Klima und Regulierung
    4. Grundrechte-Folgenabschätzung in der KI-VO
    5. International Bar Association: KI in der Anwaltsbranche
    6. Haftungsfragen bei KI
    7. Microsoft: Recall und weg
    8. KI-Tools für eine bessere Regulierung
       
    9. Whitepaper zur Minderung von BIAS in LLM
    10. CSA Singapore: Leitfaden und Begleitdokumente zur AI Security
    11. FPF: Enthalten LLM personenbezogene Daten?
    12. OpenAI und Cyberbedrohungen
    13. SCL: Mustervertragsklauseln für Verträge mit KI
    14. Stanford Cyber Policy Center: Regulation under Uncertaincy
    15. bitkom: KI-Nutzung in Deutschland
    16. Telekom: Weltweite Studie zu Erwartungen an KI
    17. USA: Sicherheitsbehörden und KI
    18. USA: Werkzeugkasten für Lehrer:innen zur Vermittlung von Wissen zur KI
  5. Veröffentlichungen
    1. Datenschutz- und KI-Folgenabschätzung
    2. Beiträge zum Workshop „Wie digitale Souveränität gelingt“ der GI
    3. Verordnung über die Transparenz und das Targeting politischer Werbung
    4. Aktualisierter Standard verfügbar
    5. ZDF-Doku: Der Preis der Sicherheit – „Concordia“
    6. bitkom Privacy Conference: Vorträge online
       
    7. Microsoft Digital Defense Report 2024
    8. MS 365: Copilot und Datenschutz
    9. Forschungsprojekt „Datenschutz-Sandbox“
    10. Cybersicherheit in Bayern
    11. Auftragsverarbeiter in der Kette
    12. Tool zur Prüfung der Datenübermittlung ins Ausland
    13. Veranstaltungen
      1. IHK Bayern: Webinarreihe zu IT-Sicherheit
      2. Virtueller Elternabend: Digital will gelernt sein – frühe Mediennutzung -neu-
      3. DIHK: „Daten ohne Grenzen“
      4. Daten-Dienstag: „Datenteilen nach dem Data Governace Act“
      5. BlnBfDI und jugendnetz.berlin: Fachtagung Medienkompetenz -neu-
      6. LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz
      7. Stiftung Datenschutz – Datenschutz am Mittag: „Personenbezogene Daten in der Forschung“ -neu-
      8. eco, FSM und jugendschutz.net: Webinar zum Schutz gegen sexualisierte gewalt gegen Kinder im Netz -neu-
      9. CNIL: „Überwachung in all ihren Formen!“
      10. IHK München und Oberbayern: 12. Münchner Datenschutztag
      11. CPDP – Data Protection Day -neu-
      12. Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
  6. Gesellschaftspolitische Diskussionen
    1. Studie zu Beleidigungen auf Social Media
    2. BigBrotherAwards 2024
       
    3. Digitale Souveränität – aus Sicht der Unternehmen
    4. Shell Jugendstudie: Mehr Medienkompetenz
    5. Cyberangriff durch eingestellten Remote-IT-Mitarbeiter aus Nordkorea
    6. Chatbot und Suizid eines Teenagers
  7. Sonstiges / Blick über den Tellerrand
    1. TikTok und Moderatoren
    2. bitkom: KI im Schulunterricht
    3. KMK: Handlungsempfehlung zum Umgang mit KI
    4. USA: Klage gegen TikTok
       
    5. Künstliche Intelligenz zur Lachüberwachung
    6. USA: Massenüberwachung mit Standortdaten
  8. Franks Zugabe
    1. Apropos KI …
    2. Ein Update zur Chatkontrolle
    3. Es geht scheinbar auch ohne Paywalls
    4. Noch ein Abo-Modell, heute: Geschirrspülmaschinen
    5. Updates unmöglich: Niederlande müssen Ampeln wegen Sicherheitslücke austauschen
    6. Apropos Geräte bricken: Das software-based car
    7. The largest-ever US healthcare data breach
  9. Die guten Nachrichten zum Schluss
    1. Datenvolumen sparen
    2. Weisser Ring: Internet macht Schule



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Programm für 2024–2025

Der EDSA hat sein Programm für die nächsten zwei Jahre veröffentlicht. Vieles ist schon bekannt – und hat sich wohl nur durch die Coronathematik verschoben – wie Leitlinien zu Anonymisierung und Pseudonymisierung. Das Programm findet sich hier.

zurück zum Inhaltsverzeichnis

1.2 EDSA: Gemeinsame Prüfung (CEF) im Jahr 2025 zu Löschpflichten

Der EDSA verkündet die gemeinsame anlasslose Prüfaktion für das Jahr 2025 zum Thema Löschpflichten. Die vierte Coordinated Enforcement Action (CEF) wird sich mit der Umsetzung des Rechts auf Löschung („Recht auf Vergessenwerden“) durch die für die Verarbeitung Verantwortlichen befassen. Die Datenschutzbehörden werden sich dieser Aktion in den kommenden Wochen auf freiwilliger Basis anschließen, und die Aktion selbst wird im ersten Halbjahr 2025 gestartet.
Das Recht auf Löschung (Art. 17 DS-GVO) sei eines der am häufigsten ausgeübten Datenschutzrechte und eines, über das die Datenschutzbehörden häufig Beschwerden erhalten. Ziel dieser koordinierten Aktion wird es unter anderem sein die Umsetzung dieses Rechts in der Praxis zu bewerten. Dies wird beispielsweise durch die Analyse und den Vergleich der von verschiedenen Verantwortlichen eingerichteten Prozesse erfolgen, um die wichtigsten Probleme bei der Einhaltung dieses Rechts zu ermitteln, aber auch um einen Überblick über bewährte Verfahren zu erhalten. Jede Aufsichtsbehörde entscheidet dann aber für sich, ob sie sich an der gemeinsamen Aktion beteiligt.

zurück zum Inhaltsverzeichnis

1.3 EDSA: Leitlinien zu berechtigtem Interesse (mit Konsultation)

Der EDSA hat seine Guideline 01/2024 on processing of personal data based on Art. 6 Abs. 1 lit. f GDPR veröffentlicht. Im Rahmen einer Konsultation können bis 20. November 2024 Hinweise eingereicht werden. Der EDSA weist darauf hin, dass dieses Hinweise veröffentlicht werden.
Die BfDI begrüßt in einer Pressemitteilung diese neuen Leitlinien. Bemerkenswert ist an den Leilinien u.a., dass auch die Rechtsprechung des EuGH vom 4. Oktober 2024 bereits Berücksichtigung fand. Insgesamt bestätigen sie die bisher eher enge Auslegung des EDSA. So ist Art. 6 Abs. 1 lit. f DS-GVO kein Auffangtatbestand, sondern gleichrangig zu den anderen Rechtmäßigkeitsgrundlagen (RN 9). Bei der Bestimmung der berechtigten Interessen sei kein allzu strenger Maßstab anzulegen (RN 17). Auch unterliegt nicht jedes Profiling den Anforderungen des Art. 22 DS-GVO (RN 82). Und auch Behörden können sich außerhalb ihrer eigentlichen Aufgabenwahrnehmung auf eine Interessenabwägung als Rechtsmäßigkeitsgrundlage berufen (RN 99). Betroffene müssen mit der Verarbeitung rechnen können, wobei das Erfüllen der Informationspflichten allein aber nicht zu einer vernünftigen Erwartungshaltung führe (RN 53).
Zu vielen Punkten, zu denen aus Sicht der Wirtschaft deutlichere Klarheit wünschenswert wäre, können im Rahmen des Konsultationsverfahrens Hinweise eingereicht werden.

Franks Nachtrag: Hier ist eine detailierte> Kritik u.a. zu den Aspekten der Guideline, die sich auch mit KI-Training beschäftigen.

zurück zum Inhaltsverzeichnis

1.4 EDSA: Verhältnis Auftragsverarbeiter und weiterer Auftragsverarbeiter

Ebenfalls veröffentlicht hat der EDSA seine Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s) (Stellungnahme 22/2024 zu bestimmten Verpflichtungen, die sich aus dem Vertrauen in den/die Auftragsverarbeiter und den/die Unterauftragsverarbeiter ergeben).
Ausgehend von dem Antrag Dänemarks, hier zu einer Positionierung zu kommen, befasst sich der EDSA in dieser Stellungnahme mit Fragen der Verantwortlichkeit von Sub-Unternehmern (weiteren Auftragsverarbeitern) und auch diesbezüglichen Fragen zum Drittstaatentransfer.

Franks Update: Hier hatte sich ein fehler eingeschlichen, diesen haben wir korrigiert.

zurück zum Inhaltsverzeichnis

1.5 EDSA: Stakeholder-Einbezug zu Stellungnahmen zu KI-Modellen

Der EDSA sucht Stakeholder zu Erarbeitung seiner Positionierung zu KI-Modellen. Am 15. Oktober 2024 ab 10:00 Uhr kann man sein Interesse vorbringen, um dann am 5. November 2024 einbezogen zu werden. Details dazu unter dem obigen Link.

zurück zum Inhaltsverzeichnis

1.6 EDSA: Statement zur Durchsetzung der DS-GVO (04/2024)

Der EDSA veröffentlichte auch seine Erklärung 4/2024 zu den jüngsten Entwicklungen in der Gesetzgebung zum Verordnungsentwurf zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DS-GVO. Darin formuliert er u.a. seine Hinweise und Forderungen zur Umsetzung, zum Einbezug, zur Zusammenarbeit und zu Fristen.

zurück zum Inhaltsverzeichnis

1.7 BfDI: Teilnahme am G7 Round Table der Datenschutzaufsichtsbehörden

Die BfDI informiert, dass ihr Stellvertreter am Treffen der Datenschutzaufsichten der G7-Staaten in Rom teilnahm. Thematisch ging es dabei in erster Linie um die Rolle der Datenschutzaufsichtsbehörden bei der Regulierung der künstlichen Intelligenz (KI).
In ihrem gemeinsamen Kommuniqué stellen die Datenschutzaufsichtsbehörden der G7-Staaten fest, dass viele KI-Technologien, wie z. B. die generative KI, auf der Verarbeitung personenbezogener Daten basieren und der Schutz der Privatsphäre daher „wichtiger denn je“ sei. Zudem veröffentlichte die Gruppe Erklärungen zu ihrer Rolle bei der Förderung vertrauenswürdiger KI und zu kindgerechter KI.
In der Erklärung zur Rolle der Datenschutzaufsichtsbehörden bei der Förderung vertrauenswürdiger KI stellen die Regulierungsbehörden fest, dass der Datenschutz in KI-Technologien eingebettet werden muss. Sie fordern die politischen Entscheidungsträger außerdem auf dafür zu sorgen, dass Datenschutzbehörden Teil der Governance-Strukturen sind, die zur Überwachung der verantwortungsvollen Entwicklung und Einführung von KI-Technologien eingerichtet werden. Die Erklärung zu kindgerechter KI, die von der Arbeitsgruppe „Neue Technologien“ des G7-Datenschutzaufsichtsbehörden-Round-Table ausgearbeitet wurde, untersucht Fragen im Zusammenhang mit der Nutzung von KI-gestützter Technologie durch junge Menschen, wie z. B. Spielzeug und Lernsoftware. Sie befasst sich auch mit der Nutzung von KI zur Entscheidungsfindung oder zur Auswertung von Informationen über Kinder.
Der Leiter der kanadische Datenschutzaufsicht (OPC) informiert auch dazu, dass das OPC im Rahmen seiner Rolle als Vorsitzender der Arbeitsgruppe für neue Technologien auch die Entwicklung eines Papiers zur De-Identifizierungs-Terminologie förderte, in dem klargestellt wird, wie Begriffe wie Anonymisierung, Pseudonymisierung und De-Identifizierung in den G7-Ländern definiert sind.
Die Regulierungsbehörden billigten außerdem einen Aktionsplan für 2024–2025, der die Mitglieder dazu verpflichtet die Zusammenarbeit zum Schutz der Privatsphäre weiter zu stärken.
Hervorzuheben sind auch die Aussagen zur Anonymisierung und Pseudonymisierung.
Das nächste Treffen wird im Juni 2025 vom OPC in Kanada ausgerichtet.

zurück zum Inhaltsverzeichnis

1.8 BfDI: KI in der Bundesverwaltung

Welche datenschutzrechtlichen Voraussetzungen müssen Bundesverwaltungen erfüllen, damit diese KI einsetzen können? Was wie eine Klausuraufgabe eines Bachelorstudienganges klingt, erscheint wie eine Nachhilfestunde in datenschutzrechtlichem Grundwissen durch die BfDI. Systematisch erläutert sie für den Einsatz von KI in der Bundesverwaltung die einzelnen Rechtmäßigkeitsvoraussetzungen des Art. 6 DS-GVO.
Sie differenziert dabei bei den Datenverarbeitungen im Rahmen von KI in zwei Kategorien: die Entwicklung (darunter fallen sämtliche Verarbeitungen, die der Entwicklung, Auswahl oder Anpassung einschließlich des Trainings eines KI-Modells bzw. KI-Systems dienen), sowie die Anwendung (darunter fallen alle Verarbeitungen, bei denen eine KI-Anwendung eingesetzt wird, unabhängig davon, ob es sich um eine selbst entwickelte oder von einem Dritten entwickelte KI-Anwendung handelt).
Auch befasst sie sich dabei auch mit Art. 9 DS-GVO sowie Fragen der Zweckänderung und der Verhältnismäßigkeit. Zusammenfassend gilt nach der BfDI: Je eingriffsintensiver die (geplante) Datenverarbeitung ist, desto höhere Anforderungen sind an die Rechtsgrundlage zu stellen. Generalklauseln werden in aller Regel nicht ausreichen, um die Entwicklung oder Anwendung einer KI zu rechtfertigen. Auf der anderen Seite muss eine Rechtsgrundlage nicht zwangsläufig ausschließlich auf KI ausgelegt sein, um auf diese anwendbar zu sein.

zurück zum Inhaltsverzeichnis

1.9 BfDI: Zuständigkeit für die Nachrichtendienste

In einem öffentlichen Schreiben formuliert die BfDI ihre Argumente gegen eine Verlagerung der Zuständigkeit der datenschutzrechtlichen Aufsicht über die Nachrichtendienste von der BfDI zum Unabhängigen Kontrollrat.

zurück zum Inhaltsverzeichnis

1.10 LfDI Rheinland-Pfalz: Fälle und Antworten

Der LfDI Rheinland-Pfalz bringt auf seiner Homepage Fragen aus der Praxis und seine Rückmeldungen dazu. Eine muntere Sammlung von Fragen aus dem Alltag (oft öffentlicher Stellen).

zurück zum Inhaltsverzeichnis

1.11 CNIL: Fünf Argumente für die Einführung eines Passwortmanagers

Die CNIL liefert fünf Argumente dafür, um einen Passwortmanager einzusetzen, der der Speicherung und Verwaltung einfach und sicherer macht. Wer noch Argumente braucht, findet sie hier.

zurück zum Inhaltsverzeichnis

1.12 CNIL: Information zu einzelnen Sanktionen

Die CNIL informiert, dass sie in den letzten drei Monaten elf neue Sanktionen im Rahmen des vereinfachten Verfahrens verhängt hat. Sanktioniert wurden z.B. Aktivitäten zu übermäßige Datenerhebung, fehlende Register, Nichtbeachtung der Rechte von Personen oder mangelnde Kooperation:

zurück zum Inhaltsverzeichnis

1.13 CNIL: Gemeinsamkeit der DS-GVO mit Astrologieunternehmen – die Vorhersehbarkeit

Auch astrologische Aussagen unterliegen der DS-GVO. Die CNIL informierte, dass sie eine Geldstrafe gegen zwei Astrologie-Unternehmen verhängte, die die Anforderungen der DS-GVO nicht einhielten. Es wurden besondere Kategorien von Daten ohne die vorherige Einwilligung verarbeitet.
Bei Beratungen per Telefon, Chat oder SMS konnten Kunden aufgefordert werden Daten über ihre sexuelle Orientierung oder ihr Sexualleben, ihre religiösen Überzeugungen oder ihren Gesundheitszustand preiszugeben. Die CNIL weist dabei darauf hin, dass die bloße Bereitschaft, Hellseherdienste in Anspruch zu nehmen und spontan sensible Informationen zur Verfügung zu stellen, nicht als ausdrückliche Zustimmung angesehen werden könne. Die Unternehmen hätten auch spezifische Informationen über die Erhebung dieser sensiblen Daten bereitstellen müssen. Darüber hinaus könnten die Online-Nutzer:innen der Anbieter ein Formular ausfüllen, um eine Vorhersage über ihre Kompatibilität mit einer Person ihrer Wahl zu treffen, was es den Anbietern ermöglicht die sexuelle Orientierung der Online-Nutzer:innen abzuleiten.
Dabei ist doch gerade die Vorhersehbarkeit einer Verarbeitung etwas, das auch die DS-GVO erwartet (vgl. ErwGr. 47 Satz 3). Na ja, die Sanktionen sind es dann ja irgendwie auch.

zurück zum Inhaltsverzeichnis

1.14 Italien: Wie viele Datenschutzbeauftragte gibt es?

Nach dieser Veröffentlichung sind nach Angaben der italienischen Aufsicht Garante 68.225 Datenschutzbeauftragte zum September 2023 in Italien bei der Aufsicht gemeldet. Der Bericht geht aber auch darauf ein, dass nicht klar ist, wie viele einzelne DSB nun parallel bei Verantwortlichen und Auftragsverarbeitern benannt sind.

zurück zum Inhaltsverzeichnis

1.15 ICO: Audit-Framework für verantwortliche Stellen

Das ICO hat ein neues Audit-Framework eingeführt, das Unternehmen dabei unterstützen soll, die Einhaltung des Datenschutzes in ihrem Unternehmen zu bewerten. Das Audit-Framework bietet für die jeweilige Fragestellung Kontrollmaßnahmen an. Es gibt Toolkits für Fragen zur Verantwortlichkeit, Verwaltung von Datensätzen, Informations- und Cybersicherheit, Schulung und Sensibilisierung, zum Datenaustausch, zu Auskunftsanfragen, zum Management von Datenschutzverletzungen, zur Künstlichen Intelligenz und zu altersgerechtem Design.

zurück zum Inhaltsverzeichnis

1.16 BSI: Empfehlungen für den sicheren Einsatz von KI-Programmierassistenten

Das BSI hat zusammen mit der französischen Behörde für IT-Sicherheit, Agence nationale de la sécurité des systèmes d’information (ANSSI), Empfehlungen für den sicheren Einsatz von KI-Programmierassistenten veröffentlicht. Grundlage für die Publikation „AI Coding Assistants“ war ein gemeinsamer Workshop von BSI und ANSSI im Mai 2024 an dem BSI-Standort in Saarbrücken.
KI-Programmierassistenten können in verschiedenen Stadien des Softwareentwicklungsprozesses eingesetzt werden. Ihre Kernfunktionalität ist das Erzeugen von Quellcode. Außerdem können sie Entwickelnden helfen sich mit Quellcode von neuen Projekten durch KI-generierte Erklärungen vertraut zu machen und den Entwicklungsprozess unterstützen, indem sie Testfälle und Dokumentationen generieren. Der Bericht beschreibt die Chancen dieser neuen Technologie, geht aber auch auf mögliche Risiken ein. Hierzu zählen die Vertraulichkeit der Eingaben und die Qualität des erzeugten Quellcodes hinsichtlich Sicherheitslücken. Für die Risiken werden jeweils konkrete Mitigationsmaßnahmen vorgeschlagen und Handlungsempfehlungen für Entwickelnde sowie das Management in Unternehmen ausgesprochen.

zurück zum Inhaltsverzeichnis

1.17 BKartA und Facebook

Erwartet hier von mir keine Werbung für die Nutzung von Facebook. Aber den Hinweis, dass das BKartA sein Ergebnis der Prüfung von Facebook veröffentlicht hat. Facebook hat einige Maßnahmen ergriffen, um den Vorgaben des BKartA nachzukommen. Auch diese sind im Bericht aufgeführt. Das BKartA geht nun davon aus, dass im Hinblick auf eine freie und informierte Entscheidung der Nutzenden, ob sie Facebook „isoliert“ nutzen oder darüber hinausgehende Datenverknüpfungen zu Werbezwecken zulassen wollen, Vollstreckungsmaßnahmen unterbleiben können (u.a. damit sind die wettbewerbsrechtlichen Bedenken des BKartA ausgeräumt). Dessen ungeachtet könnte nach Ansicht des BKartA die Transparenz und Verständlichkeit der Nutzerdialoge noch weiter verbessert werden.
Und diesem Satz aus dem Bericht des BKartA schließe ich mich an. 😊
Es wird sich zeigen, ob sich damit relevante Einschätzungen der Datenschutzaufsichten ändern. Zumindest haben nun die Nutzenden etwas mehr Möglichkeiten die Verwendung ihrer Daten zu beeinflussen.
Ein Bericht dazu findet sich hier.

zurück zum Inhaltsverzeichnis

1.18 FTC: Datenschutz, Werbung und AI

Dass das Zusammenspiel von Datenschutz, Werbung und Künstlicher Intelligenz keine europäische Diskussion ist, zeigt die Veröffentlicht aus der Federal Trade Commission (FTC) der USA vom September 2024 mit dem Titel „A Path forward on Privacy, Advertising and AI“.

zurück zum Inhaltsverzeichnis

1.19 FTC: Einigung mit Hotelkette Marriott zu Sanktionen aufgrund Sicherheitsmängeln

Jetzt hatte Marriott schon „Pech“ bei der Übernahme von Starwood in Großbritannien mit Sanktionen wegen dortiger Datenschutzverletzungen. In den USA musste sich Marriott auch mit eigenen Verfehlungen auseinandersetzen. Nun verständigte man sich mit der FTC als Aufsicht über die Zahlung von 52 Mio. Dollar und die Umsetzung von Schutzmaßnahmen.

zurück zum Inhaltsverzeichnis

1.20 EDSA: Guideline 02/2024 zu technischen Aspekten der ePrivacy-RL

Der EDSA hat die Version 2.0 seiner Guidelines 2/2023 on Technical Scope of Art.5 (3) of ePrivacy Directive veröffentlicht. Sie berücksichtigen Input nach der Konsultation zur Version vom November 2023.
Die Guidelines bilden die Erwartungen ab, die die Aufsichten in Umsetzung des Art. 5 Abs. 3 der ePrivacy-RL an den Einsatz durch Unternehmen und digitale Plattformen haben, die Daten über Cookies, Geräte-Fingerabdrücke und verschiedene Tracking-Technologien verarbeiten. Die Guidelines erweitern im Vergleich zur Vorversion der Guidelines den Umfang von Informationen um nicht-personenbezogene Daten wie zum Beispiel MAC-Adressen oder IP-Adressen. Damit werden alle auf dem Gerät eines Benutzers gespeicherten Informationen umfasst, auch wenn sie nicht mit identifizierbaren personenbezogenen Daten verknüpft sind.

zurück zum Inhaltsverzeichnis

1.21 EDSA: Video zu den Verhandlungen zu den OECD-Guidelines

Der EDSA hat in Zusammenarbeit mit anderen ein Video über die ein Video über die Entstehungsgeschichte (Dauer ca. 48 Min.) der Guidelines on the Protection of Privacy and Transborder Flows of Personal Data der OECD (Organisation for Economic Co-operation and Development) veröffentlicht.

zurück zum Inhaltsverzeichnis

1.22 EDPS: Rede zur Herbstkonferenz des BvD

Die Keynote des EDPS zur Herbstkonferenz des BvD ist auf der Seite des EDPS veröffentlicht worden.

zurück zum Inhaltsverzeichnis

1.23 EDPS: Stellungnahme zu den Speicherhöchstfristen von Europol

Der EDPS veröffentlichte seine Stellungnahme zum Entwurf des Verwaltungsrates von Europol für die Höchstspeicherfristen.

zurück zum Inhaltsverzeichnis

1.24 BfDI: Herbstforum „Daten im Dienst der Patienten“

Wer bei der Veranstaltung der BfDI in Berlin nicht teilnehmen konnte, kann sie sich auf den Seiten der BfDI hier ansehen.

zurück zum Inhaltsverzeichnis

1.25 LfDI Rheinland-Pfalz: Aufzeichnungen der Webinare für Kitas

Der LfDI Rheinland-Pfalz bot im Sommer Webinare zu „Fotos, Portfolio, Einwilligung – Kita-Datenschutz gut umgesetzt“ an. Die Aufzeichnungen sind nun in drei Teilen veröffentlicht:
Recht am eigenen Bild, Kita-Fest, Einwilligungsformulare, Private Endgeräte, Portfolio, Kita-interne Aushänge, Digitales Spielzeug und Impfnachweise, Kommunikation mit den Eltern, Videoüberwachung.

zurück zum Inhaltsverzeichnis

1.26 LfDI Baden-Württemberg: Rechtsgrundlagen bei KI (Version 2.0)

Der LfDI Baden-Württemberg hat die Version 2.0 seines Diskussionspapiers zu Rechtsgrundlagen bei KI veröffentlicht. Es fand sich dann auch bald eine Fassung mit Änderungsmarkierung zur Vorversion. Hingewiesen sei auch auf die beim LfDI Baden-Württemberg verfügbare Übersicht ONKIDA (wir berichteten), die auch aktualisiert werden soll – abhängig von den jeweilig verfügbaren Zeitressourcen.

zurück zum Inhaltsverzeichnis

1.27 LfDI Baden-Württemberg: FAQ zu Deceptive Design Patterns (trügerische Gestaltungsmuster)

Der LfDI Baden-Württemberg hat neue FAQ zu Deceptive Design Patterns herausgegeben. Von Deceptive Design Patterns (etwa: trügerischen Gestaltungsmustern) spricht man, wenn Benutzeroberflächen – insbesondere bei Social-Media-Plattformen – so ausgestaltet sind, dass sie Nutzer:innen mit Hinblick auf die Verarbeitung personenbezogener Daten zu einer bestimmten Verhaltensweise – in der Regel zugunsten der verarbeitenden Social-Media-Plattform – verleiten. Dies kann etwa über verschiedene Aspekte beim Design, z.B. durch eine bestimmte Farbwahl oder die Platzierung von Inhalten, geschehen.
Der Europäische Datenschutzausschuss (EDSA) hat im Jahr 2023 Leitlinien zum Umgang mit Deceptive Design Patterns erlassen. Ziel dieser Leitlinien ist es Empfehlungen und Anleitungen für das Design von Benutzeroberflächen auf Social-Media-Plattformen bereitzustellen. Sie richten sich insbesondere an Anbieter:innen sozialer Medien als Verantwortliche für die Verarbeitung von personenbezogenen Daten. Sie können aber auch dazu dienen, dass sich Bürger:innen informieren und sensibilisiert werden im Umgang mit ihren höchstpersönlichen Daten.

zurück zum Inhaltsverzeichnis

1.28 LfDI Niedersachsen: Reallabor zu KI

Wie er hier informiert, gründet der LfDI Niedersachsen ein Reallabor zur KI für den Mittelstand in Osnabrück.

zurück zum Inhaltsverzeichnis

1.29 Hamburg: Post der Krankenkassen zur ePA

Derzeit informieren Krankenkassen gesetzlich Versicherte zur Nutzung der elektronische Patientenakte (ePA). Auf was aus Datenschutzsicht dabei zu beachten ist, führt der HmbBfDI hier aus.

Franks Nachtrag: Sie möchten vielleicht auch hier weiterlesen.

zurück zum Inhaltsverzeichnis

1.30 LfD Bayern: Recht auf Erstkopie der Patientenakte

Der LfD Bayern informiert über die Entschließung der DSK zum Recht auf kostenlose Erstkopie der Patientenakte, das durch eine nationale Regelung nicht eingeschränkt werde könne.

zurück zum Inhaltsverzeichnis

1.31 LDI NRW: Anforderungen an Makler beim Drohneneinsatz

Anlass für die Hinweise der LDI NRW ist folgende Beschwerde: Ein Maklerunternehmen hatte für die Erstellung des Immobilieninserats per Drohne zahlreiche Aufnahmen gemacht. Dabei wurden nicht nur Vorder- und Rückseite des Hauses abgelichtet, sondern auch das Grundstück eines Nachbarn überflogen und dieses aufgenommen. Der Nachbar war vor der Anfertigung der Bilder nicht um Erlaubnis gebeten worden. Wie´s ausgeht, lesen Sie hier. Dabei weist die LDI NRW auch auf das Positionspapier zur Nutzung von Kameradrohnen durch nicht-öffentliche Stellen der DSK vom Januar 2019 hin.

zurück zum Inhaltsverzeichnis

1.32 LfDI Baden-Württemberg: Öffentliche Stellen und TikTok

Scheinbar aus aktuellem Anlass weist der LfDI Baden-Württemberg erneut auf seine Hinweise und Anforderungen an öffentliche Stellen zur Verwendung des Netzwerks TikTok hin.

zurück zum Inhaltsverzeichnis

1.33 Irland: Bußgeld gegen LinkedIn

Wie die irische Aufsicht auf ihrer Webseite berichtet, hat sie gegen LinkedIn ein Bußgeld in Höhe von 310 Mio. Euro verhängt, weil sie LinkedIn u.a. unrechtmäßige verhaltensbasierte Werbung vorwirft. Ausgangspunkt war eine Beschwerde aus Frankreich.

zurück zum Inhaltsverzeichnis

1.34 Saudi-Arabien: Aussagen zu Anonymisierung und Pseudonymisierung

Gell, da schauen´s? Ich auch. Aber die dortige Aufsicht macht Nägel mit Köpfen. Auf ihrer Webseite finden sich zahlreiche Aussagen, die auch in Europa genutzt werden könnten, z.B. auch zur Anonymisierung und Pseudonymisierung.

zurück zum Inhaltsverzeichnis

1.35 Australien: Checkliste bei der Entwicklung generativer KI

Das Office des Australian Information Commissioners (OAIC) hat eine Checkliste für die Entwicklung generativer KI veröffentlicht, um damit Privacy Anforderungen zu berücksichtigen.

zurück zum Inhaltsverzeichnis

1.36 Norwegen: Stellungnahme zu illegalem Data Scraping

Gemeinsam mit anderen Datenschutzaufsichtsbehörden hat die norwegische Datenschutzaufsichtsbehörde eine Stellungnahme erarbeitet, die sich mit den Herausforderungen rund um illegales Data Scraping und Datenschutz für offene Daten im Internet befasst. Es werden auch Probleme im Zusammenhang mit dem Trainieren von KI-Modellen behandelt. Data Scraping könne zur Entwicklung neuer Tools und zur Recherche, aber auch von Kriminellen genutzt werden und dazu führen, dass die Kontrolle über die eigenen persönlichen Daten verloren geht. Die Stellungnahme gibt einen Überblick über Maßnahmen, wie Unternehmen die verschiedenen Themen angehen können.
Franks Nachtrag: Wenn Sie keine Lust haben, den norwegischen Text der Stellungnahme zu lesen, dann gibt es hier für Sie auch eine Nachricht dazu vom ICO.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Entschuldigung als immaterieller Schadensersatz möglich (C-507/23)

In einer Vorlageentscheidung aus Lettland musste sich der EuGH mit der Frage befassen, ob auch eine Entschuldigung als immaterieller Schadenersatz ausreichen kann.
Und weil bei uns immer gleich jede Aussage gerne pauschaliert wird: In Lettland gibt es eine gesetzliche Regelung in Art. 14 Abs. 2 des Gesetzes über die vermögensrechtliche Haftung der öffentlichen Verwaltung vom 2. Juni 2005, die mit „Auferlegung der Verpflichtung zum Ersatz immaterieller Schäden“ überschrieben ist und in RN 11 des Urteils wiedergegeben wird. Dieser Abs. 2 lautet:

„Die Wiedergutmachung des immateriellen Schadens erfolgt durch die Wiederherstellung des Zustands vor der Verursachung des Schadens bzw. bei vollständiger oder teilweiser Unmöglichkeit oder Unangemessenheit dieser Lösung durch eine Entschuldigung oder durch die Zahlung einer angemessenen Entschädigung.“

Und dazu sagte der EuGH in C-507/23, dass dies ein Mitgliedsstaat so regeln könne (RN 31 ff). Übrigens wurde eine Entschuldigung in Deutschland vom LG Köln bereits bei einem immateriellen Schadenersatz berücksichtigt, vgl. Darstellung hier.
Die übrigen Aussagen aus dem Urteil sind nichts Neues: Ein Verstoß gegen die DS-GVO allein reiche für einen Schadenersatz nicht aus und die Beweggründe für einen Verstoß sind nach Art. 82 DS-GVO nicht zu berücksichtigen.

zurück zum Inhaltsverzeichnis

2.2 EuGH-Vorschau – Mündliche Verhandlung im Verfahren C-413/23 am 07.11.2024

Wer muss darlegen, ob ein Datum für einen Empfänger noch personenbeziehbar ist oder nicht? Der Verantwortliche nach Art. 5 Abs. 2 DS-GVO oder die zuständige Datenschutzaufsicht? Zum Fall C-413/23 und dessen erster Instanz T-557/20 (EDPS/ SRB (Deloitte)) hatten wir bereits berichtet. Zum aktuellen Fall lesen Sie bitte hier weiter.
Die mündliche Verhandlung ist für den 07.11.2024 vorgesehen.

zurück zum Inhaltsverzeichnis

2.3 OLG Brandenburg: Umfang des Auskunftsanspruchs bei Versicherungsunterlagen

Das OLG Brandenburg entschied in einem Verfahren zum Umfang eines Auskunftsanspruchs, dass Versicherungsunterlagen. Das OLG Brandenburg lehnte einen Auskunftsanspruch aus Art. 15 Abs. 1 und Abs. 3 DS-GVO im Streit um die Bereitstellung von Unterlagen im Verfahren einer Prämienanpassung einer Versicherung auf das Anschreiben selbst sowie die beigefügten Anlagen (Beiblätter, Nachträge zum Versicherungsschein) ab, da die Voraussetzung, dass es sich jeweils in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers handele, nicht gegeben sei.
Auf die Modalitäten für die Erfüllung der Verpflichtung nach Art. 15 Abs. 3 DS-GVO komme es insoweit nicht an. Gemäß Art. 4 Nr. 1 DS-GVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union ist der Begriff weit zu verstehen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur, unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (vgl. EuGH C-487/21, wir berichteten). Demnach stellen die vollständigen Begründungsschreiben nebst den Beiblättern keine personenbezogenen Daten dar. Vielmehr enthalten die einzelnen Teile (Anschreiben, Beiblatt, Nachtrag zum Versicherungsschein) jeweils einzelne personenbezogene Daten des Klägers als Versicherungsnehmer. Eine dahingehende Beschränkung seines geltend gemachten Anspruchs und seines Antrages hat der Kläger indessen erstinstanzlich nicht vorgenommen (vgl. BGH, Urt. v. 06.02.2024 – VI ZR 15/23 und VI ZR 61/23).

zurück zum Inhaltsverzeichnis

2.4 EuGH: Empfänger, Verantwortlicher und immaterieller Schadenersatz (C-200/23)

In dem Verfahren C-200/23 hat sich der EuGH wieder mit Fragen zum Personenbezug, der Rolle des Verantwortlichen und zu den Anforderungen an immateriellen Schadenersatz geäußert. Es geht in dem Rechtsstreit zwischen der Agentsia po vpisvaniyata (Agentur für Eintragungen, Bulgarien, im Folgenden: Agentur) und einer betroffenen Person um die Weigerung dieser Agentur bestimmte personenbezogene Daten betreffend diese Person, die in einem der Öffentlichkeit zugänglich gemachten Rechtsakt enthalten sind, aus dem Handelsregister zu entfernen.
Eine deutsche Übersetzung des Urteils liegt noch nicht vor. Der EuGH äußert sich neben Aussagen zu den Regelungen im Handelsregister auch dahingehend, dass die veröffentlichte Behörde zunächst als Empfänger nach Art. 4 Nr. 9 DS-GVO und dann durch die Veröffentlichung als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen ist, selbst wenn dabei personenbezogene Daten enthalten sein sollten, die für diesen Zweck nicht erforderlich wären.
Einschränkungen des datenschutzrechtlichen Berichtigungs- und Löschungsrechts sind in diesen Veröffentlichungsvorgaben nicht zulässig. Auch stelle eine handschriftliche Unterschrift einer natürlichen Person ein personenbezogenes Datum dar.
Auch könne der Verlust der Kontrolle über ihre personenbezogenen Daten durch die betroffene Person für einen begrenzten Zeitraum aufgrund der Tatsache, dass diese Daten online im Handelsregister eines Mitgliedstaats öffentlich zugänglich gemacht werden, ausreichen, um einen „immateriellen Schaden“ zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden, und sei er noch so gering, erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis des Vorliegens zusätzlicher greifbarer nachteiliger Folgen erfordere.
Eine Aussage einer Datenschutzaufsicht nach Art. 58 Abs. 3 lit. b DS-GVO reicht nicht aus, um einen Schadenersatzanspruch eines Verantwortlichen nach Art. 82 Abs. 2 DS-GVO auszuschließen.
Natürlich führt dass bei Kanzleien, die sich auf die Geltendmachung von Schadenersatzansprüchen nach der DS-GVO spezialisiert haben, zu entsprechenden Aussagen.
Aber auch Nicht-Juristen besprechen das Urteil.

zurück zum Inhaltsverzeichnis

2.5 BVwG Österreich: Zumutbarkeit dienstlicher Kontaktdaten auf Webseite

Das BVwG Österreich stellt in einem Streitfall zwischen einem Lehrer und seiner Schule fest, dass die Verarbeitung von personenbezogenen Daten zum Zweck der Ermöglichung einer direkten Kommunikation zwischen Schülern, Erziehungsberechtigten und Lehrkräften der Erfüllung der im öffentlichen Interesse liegenden Aufgabe gemäß § 56 AT-SchUG dient. Bei der Frage der Zumutbarkeit wird vorausgesetzt, dass derselbe legitime Zweck „genauso gut“ mit einem geringeren Maß an Datenverarbeitung oder (in den Worten des EuGH zu Art. 6 Abs. 1 lit. f DS-GVO) „ebenso wirksam mit anderen Mitteln“ verwirklicht werden könne (vgl. C-26/22 und C-64/22 RN 77, wir berichteten). Eine dienstliche E-Mail-Adresse des Lehrers unterliegt nicht dem Kernbereich der geschützten Privatsphäre, sondern in der Sozialsphäre, die sich etwa durch die Interaktion mit Außenstehenden (hier: Lehrkräften und Schülern bzw. Erziehungsberechtigten) auszeichnet.

zurück zum Inhaltsverzeichnis

2.6 OLG Dresden Kontrollpflichten des Verantwortlichen beim Auftragsverarbeiter

Mit den Kontrollpflichten und Verantwortlichkeiten eines Auftragsverarbeiters befasst sich dieser Beitrag. Anlässlich eines Schadenersatzanspruchs befasste sich das OLG Dresden mit der Frage, wann ein Verantwortlicher für Fehler seines Auftragsverarbeiters gegenüber Betroffenen haftet. Ein Verantwortlicher nutzte einen Auftragsverarbeiter, der ihm die Löschung von Auftragsdaten ankündigte – dies aber nicht umsetzte. Erst durch eine Datenschutzverletzung wurde dem Verantwortlichen bekannt, dass die Daten noch beim Dienstleister gespeichert waren. Das OLG Dresden bejaht hier weiterhin eine Verantwortlichkeit des Verantwortlichen (OLG Dresden, 4. Zivilsenat, Urteil vom 15. Oktober 2024, Az.: 4 U 940/24, online hier über Suchfunktion abrufbar), auch wenn Schadenersatzansprüche aus anderen Gründen abgelehnt werden.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 EU: Cyber Resilience Act (CRA) durch Rat angenommen

Mit der Verabschiedung durch den Rat steht nun einer Veröffentlichung des Cyber Resilience Acts nichts mehr im Weg. Darin werden die Anforderungen an die Cybersicherheit von Produkten mit digitalen Elementen geregelt, um zu gewährleisten, dass Produkte wie vernetzte Heimkameras, Kühlschränke, Fernseher und Spielzeug sicher sind, bevor sie auf den Markt gebracht werden. Die neue Verordnung zielt darauf ab Lücken zu schließen, Zusammenhänge zu klären und den bestehenden Rechtsrahmen für Cybersicherheit kohärenter zu gestalten. Damit soll sichergestellt werden, dass Produkte mit digitalen Komponenten, z. B. Produkte des „Internets der Dinge“ (IoT), über die gesamte Lieferkette und ihren gesamten Lebenszyklus hinweg sicher sind.
Schön wäre es ja, wenn es dann solche Meldungen zu Saugrobotern nicht mehr gäbe.

Franks Nachtrag: Auch lesenswert die Quelle aus der Meldung zum Saugroboter. Faszinierend, was das alles zugreifbar ist. So etwas lassen Menschen in ihre Wohnungen?

Franks zweiter Nachtrag: Und natürlich geht es auch um KI-Training, war ja klar …

zurück zum Inhaltsverzeichnis

3.2 EU: Evaluierung des DPF (Data Privacy Framework) abgeschlossen

Die EU-Kommission hat die Evaluierung des Data Privacy Frameworks abgeschlossen und ihren Bericht dort zum Herunterladen veröffentlicht. Auf der Grundlage der bei dieser ersten Überprüfung gesammelten Informationen kommt die Kommission zu dem Schluss, dass die US-Behörden die erforderlichen Strukturen und Verfahren eingerichtet haben, um sicherzustellen, dass das DPF effektiv funktioniere. Aber die Kommission beobachtet die weitere Entwicklung genau. Na ja.

zurück zum Inhaltsverzeichnis

3.3 Umfrage zur Richtlinie über Geschäftsgeheimnis

Nur noch bis 18. Oktober 2024 kann noch an einer Umfrage zum aktuellen Stand der Anwendung der Richtlinie über Geschäftsgeheimnisse teilgenommen werden, die durch die London School of Economics and Political Science durchgeführt wird.

Franks Nachtrag: Das ist nun mal ein Nachteil der Doppelausgaben, der 18.10.2024 liegt schon einige Tage zurück… (Komischerweise geht der Link trotzdem noch.)

zurück zum Inhaltsverzeichnis

3.4 Umfrage zur Richtlinie über Geschäftsgeheimnis

Über das Rahmenübereinkommen über KI und Menschenrechte, Demokratie und Rechtsstaatlichkeit hatten wir bereits berichtet. Hier nun ein Blog-Beitrag dazu.

zurück zum Inhaltsverzeichnis

3.5 Rheinland-Pfalz: Sicherheitsvorschriften zur Umsetzung von NIS2

Ein Ärgernis ist es zuweilen, wenn sich Bundesländer mit ihren Zuständigkeiten von Sicherheitsvorgaben ausnehmen. Rheinland-Pfalz versucht hier gegenzusteuern und das Sicherheitsniveau in der Landesverwaltung zu erhöhen und nimmt sich vor die NIS2-Richtlinie umzusetzen.

zurück zum Inhaltsverzeichnis

3.6 Bundestag: Strafbarkeit von Deepfakes

In Deutschland soll die Verwendung von Deepfakes unter Strafe gestellt werden („§ 201b Verletzung von Persönlichkeitsrechten durch digitale Fälschung“). Der Teufel steckt jedoch im Detail. Neben der Stellungnahme der BRAK sei auf diesen Blog-Beitrag verwiesen. Aber offensichtlich scheint das Thema doch wieder nicht so aktuell?

zurück zum Inhaltsverzeichnis

3.7 Bundesländercheck der KI-Strategie

Ziel der im Oktober 2024 durch den Stifterverband veröffentlichten Analyse des Bundesländerchecks der KI-Strategie ist es den Status quo der Bundesländer bei KI-Strategien zu analysieren und Ähnlichkeiten und mögliche Synergien aufzudecken. Denn: Innovationsökosysteme insbesondere bei KI sind überregional, und Innovationspolitik bleibt oft durch Grenzen beschränkt. Übergreifende Probleme (digitale Infrastruktur, Fachkräftemangel etc.) erfordern gemeinsames Handeln. Tja. Eigentlich nichts Neues, aber ob das bei den Bundesländern auch bekannt ist? Die Präsentation der Ergebnisse finden sich hier.

zurück zum Inhaltsverzeichnis

3.8 Sicherheitspaket – weitere Verhandlungen

Mit dem Sicherheitspaket behandelt die Regierungskoalition nach wie vor umstrittene Themen. Nun soll auch noch das Thema Vorratsdatenspeicherung abgebildet werden. Im Hin und Her zwischen Koalitionsvertrag, eigenen Ansprüchen und scheinbaren Vorstellungen der Sicherheitsbehörden bleibt zunächst die Übersicht auf der Strecke. Der Bundesrat hat nun einen Teil des Paketes gestoppt – nicht, weil er staatsrechtliche Bedenken hatte, sondern, weil es ihm nicht weit genug ging. Bericht dazu hier. Das Thema um die Vorratsdatenspeicherung bekommt ja fast regelmäßig neue Aktualität.

zurück zum Inhaltsverzeichnis

3.9 BMWK: „Datenschätze heben – Datenbürokratie verringern“

Mit einem Impuls für eine Modernisierungsagenda* will das BMWK ein Update für die Wirtschaft geben. Das 14-seitige Papier befasst sich auch mit der Möglichkeit der Datennutzung. Unter der Überschrift „Datenschätze heben, Datenbürokratie verringern“ finden sich die passenden Formulierungen zu einer „drastische Reduzierung der Datenschutzbürokratie“. Wer nach dem Satz „Die DS-GVO müsse muss effizienter und einheitlicher umgesetzt werden“ erwartet, nun kommt das Bußgeld gegen öffentliche Stellen wird, aber enttäuscht. Es geht (wieder Mal) um eine Änderung der Zuständigkeiten durch das föderale Prinzip. Nun wird für eine sektorale Zuständigkeit geworben.
Ziel sei eine Reform beim Datenschutz hin zu Einheitlichkeit, Verlässlichkeit und Einfachheit. Die Federführung für bestimmte Themen solle bei einzelnen Ländern liegen, damit Start-Ups zum Beispiel bei der Nutzung von (pseudonymisierten) Gesundheitsdaten nicht für jede Klinik wieder neu mit der jeweils zuständigen Landesbehörde verhandeln müssen. Und damit die Digitalisierung in der Schule einfacher wird. Genau.

zurück zum Inhaltsverzeichnis

3.10 NIS2: Durchführungsverordnung

Auf europäischer Ebene wurde eine NIS2 Durchführungsverordnung veröffentlicht. Vorausgegangen war ein Konsultationsverfahren. In dieser Verordnung werden die technischen und methodischen Anforderungen der in NIS2 genannten Maßnahmen in Bezug auf DNS-Diensteanbieter, TLD-Namensregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Anbieter von Inhaltsbereitstellungsnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, von Online-Suchmaschinen und von Plattformen für soziale Netzwerke sowie Vertrauensdiensteanbieter (die einschlägigen Stellen) festgelegt.

zurück zum Inhaltsverzeichnis

3.11 DSA: Vertrauenswürdige Hinweisgeber (Trusted Flagger)

Im Digital Service Act sind nach Art. 22 vertrauenswürdigen Hinweisgeber („Trusted Flagger”) vorgesehen, mit denen anerkannte Meldestellen für illegale Hassrede und andere rechtswidrige Inhalte auf Websites bezeichnet werden. Onlineplattformen sind verpflichtet Meldungen von Trusted Flaggern prioritär nachzugehen. Die Bundesnetzagentur hat nun erstmalig mit Respect! eine Meldestelle als Trusted Flagger anerkannt.
Harsche Kritik daran findet sich hier und weniger harsch dort.

zurück zum Inhaltsverzeichnis

3.12 Beschäftigtendatengesetz (BeschDG)

Als Referentenentwurf sei derzeit ein Papier vom 08.10.2024 im Rahmen der Behördenabstimmung unterwegs. Daher findet man es noch nicht auf den Seiten der beteiligten Ministerien BMAS und BMI (aber einen Bericht dazu hier). Ein Entwurf wurde aber nun doch auch im Netz veröffentlicht. Nach der Ressortabstimmung geht die dann erstellte Fassung in eine Verbändeanhörung. Was steht nun drin? Erstmal fällt auf, dass im Titel das Wort „Schutz“ fehlt – es regelt den Umgang mit Beschäftigtendaten – also nicht primär dessen Schutz. Und natürlich findet jeder etwas, was nicht passt, z.B. § 12, dass die Benennung des Datenschutzbeauftragten mitbestimmungspflichtig werden soll. Oder muss unbedingt Kleinkram, der eigentlich in der Fachwelt unstrittig ist, geregelt werden, wie, dass Geburtstagslisten in Abteilungen dem Einwilligungsvorbehalt unterliegen (und ich höre schon diejenigen, die das bisher schon nicht wahrhaben wollten „ja, aber jetzt erst wird das so geregelt…“).
So gibt es erste Stellungnahmen, die dem Entwurf im Ergebnis eine solide Fassung bescheinigen, bis hin zu kompetenten Betrachtungen des Themas des kirchlichen Datenschutzes dazu.

zurück zum Inhaltsverzeichnis

3.13 BMJ: QuickFreeze

Trotz Druck von Ländern und Innenministerium, die weiterhin eine anlasslose Vorratsdatenspeicherung von IP-Adressen fordern, hat das BMJ nun einen Gesetzentwurf für das „QuickFreeze“-Verfahren vorgelegt. Mit Quick Freeze werden Verkehrsdaten der digitalen Kommunikation von Nutzern eingefroren, die einer Straftat verdächtig sind. Das reizt die Grenzen der digitalen Überwachung bereits aus – eine anlasslose IP-Speicherung wäre unverhältnismäßig und nicht tragbar. Einen Bericht dazu gibt es hier.

zurück zum Inhaltsverzeichnis

3.14 Änderung des „Hackerparagrafen“ im StGB

Über die bestehenden § 202a, § 202b und § 202c StGB riskieren auch „ethical“ Hacker eine Strafbarkeit. Das BMJ will das ändern und hat dazu einen Entwurf erarbeitet, der hier geleakt wurde. Mehr dazu lesen Sie hier. Das kann sich dann auch auf die Gestaltungen der Beauftragungen von Penetrationstests auswirken. Verbesserungsvorschläge gibt es auch von der AG Kritis.

zurück zum Inhaltsverzeichnis

3.15 EU: Ausschreibung für Altersverifikation

Die EU-Kommission startet eine Ausschreibung über 4 Millionen Euro für die Entwicklung einer innovativen Altersverifikationslösung im Rahmen ihrer laufenden Bemühungen zur Durchsetzung des Digital Services Act (DSA). Das im Rahmen des geänderten Programms „Digitales Europa“ finanzierte Projekt zielt darauf ab, ein System zur Wahrung der Privatsphäre zu schaffen, das sicherstellt, dass Benutzer mindestens 18 Jahre alt sind, ohne dass zusätzliche personenbezogene Daten offengelegt werden. Die Lösung wird das übergeordnete Ziel der Kommission, die Sicherheit und Privatsphäre von Minderjährigen im Internet zu verbessern, unterstützen, insbesondere auf großen Plattformen und Suchmaschinen. Die Ausschreibung endet am 18. November 2024.

zurück zum Inhaltsverzeichnis

3.16 EP zur Digitalpolitik: Setting the European political priorities for 2024-2029

Die Prioritäten der EU für den fünfjährigen institutionellen Zyklus sind in der Strategischen Agenda des Europäischen Rates dargelegt. Anschließend legt die Europäische Kommission ihre Prioritäten in den politischen Leitlinien des Präsidenten fest, die einen ersten Schritt zur Umsetzung der in der strategischen Agenda dargelegten EU-Prioritäten darstellen. Diese Prioritäten werden dann in konkrete Initiativen umgesetzt, die in die jährlichen Arbeitsprogramme der Kommission aufgenommen werden, bevor sie dem Europäischen Parlament und dem Rat der EU in Form von legislativen (und nichtlegislativen) Vorschlägen vorgelegt werden. In diesem Briefing des Think Tanks des Europäischen Parlaments werden die wichtigsten politischen Prioritäten der EU für die kommenden Jahre dargelegt und die unterschiedlichen Ansichten des Europäischen Rates und der Europäischen Kommission analysiert.

zurück zum Inhaltsverzeichnis

3.17 Digitalministerkonferenz zur KI-VO Marktüberwachung

Die 2. Digitalministerkonferenz (DMK) hat sich in ihrer Sitzung vom 18. Oktober 2024 in Berlin unter Ziffer 7 dahingehend positioniert, dass sie als zuständige allgemeine Marktüberwachungsbehörde unter Art. 70 KI-VO die Bundesnetzagentur für die Bereiche Wirtschaft und Bundesverwaltung befürwortet. Für den Bereich der Landesverwaltung scheint sie sich jedoch eine eigenständige allgemeine Marktüberwachung der Länder zu wünschen, die eine möglichst einheitliche Rechtsanwendung sicherstellen soll.
Schön, wenn da verfassungsrechtliche Gegebenheiten der föderalen Zuständigkeiten mal nicht im Vorzimmer hängengeblieben sind. Einfach macht es das aber auch nicht.

zurück zum Inhaltsverzeichnis

3.18 Verordnung nach § 26 Abs. 2 TDDDG

Während der Bundesrat der Verordnung nach § 26 Absatz 2 des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) und zur Änderung der Besonderen Gebührenverordnung Telekommunikation noch zustimmen muss (wir berichteten bereits über den Verordnungsentwurf) gibt es bereits die ersten Stellungnahmen. Hier in Form eines Editorials.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 WEF: “Governance in the Age of Generative AI”

Das World Economic Forum (WEF) veröffentlichte ein Whitepaper, in dem es sich zu Fragen zur „Governance in the Age of Generative AI“ in einer 360° Perspektive befasst. In einer Zeit rasanter Innovation und globaler Unsicherheit erweise sich die generative künstliche Intelligenz (KI) als transformative Kraft, die Branchen, Volkswirtschaften und Gesellschaften weltweit neu gestaltet. Dieser entscheidende Moment erfordere laut WEF visionäre Führung und einen kooperativen Ansatz für eine vorausschauende Regierungsführung.

zurück zum Inhaltsverzeichnis

4.2 Einsatz von LLM bei Due Dilligence

Eine Anwaltskanzlei aus UK befasste sich mit der Frage des Einsatzes von LLM bei einer Due Dilligence und berichtet hier darüber. Der Bericht selbst ist dann hier (wieder mal) gegen die Angabe von personenbezogenen Daten erhältlich.

zurück zum Inhaltsverzeichnis

4.3 Künstliche Intelligenz, Klima und Regulierung

Dieser Beitrag „AI, Climate, and Regulation: From Data Centers to the AI Act“ befasst sich mit der Analyse der klimabezogenen Regulierung für KI unter folgenden drei Aspekten: Energievorschriften für Rechenzentren; Die KI-VO, die nach Ansicht der Autoren sowohl die Klimaberichterstattung als auch das Risikomanagement betrifft; Die Möglichkeiten die Anforderungen aus all diesen Bestimmungen auf technische Weise umzusetzen
Im Ergebnis werden dann vier Kategorien definiert, denen dann insg. 12 Schlüsselrichtlinien zugeordnet werden: Energie- und Umweltberichterstattung; Rechtliche und regulatorische Klarstellungen; Transparenz und Rechenschaftspflicht und zukünftige Maßnahmen über Transparenz hinaus.

zurück zum Inhaltsverzeichnis

4.4 Grundrechte-Folgenabschätzung in der KI-VO

Mit der KI-VO wurde auch eine Grundrechts-Folgenabschätzung (Engl: “Fundamental Rights Impact Assessment” – FRIA) eingeführt.
In welchem Zusammenhang entstand die Verpflichtung eine Grundrechts-Folgenabschätzung (FRIA) im KI-Gesetz durchzuführen? Wie hat der EU-Gesetzgeber die Bewertung der Auswirkungen auf die Grundrechte im KI-Gesetz gestaltet? Welche methodischen Kriterien sollten bei der Entwicklung der Fundamental Rights Impact Assessment befolgt werden? Dies sind die drei Hauptforschungsfragen, die in diesem Artikel behandelt werden, und zwar sowohl durch eine rechtliche Analyse der relevanten Bestimmungen des KI-Gesetzes als auch durch die Erörterung verschiedener möglicher Modelle zur Bewertung der Auswirkungen von KI auf die Grundrechte.

zurück zum Inhaltsverzeichnis

4.5 International Bar Association: KI in der Anwaltsbranche

Mit ihrem Bericht „The Future is Now: Artificial Intelligence and the Legal Profession”, den die International Bar Association zusammen mit dem Center for AI and Digital Policy herausgibt, beleuchtet tiefgreifend die Auswirkungen von Künstlicher Intelligenz auf Anwaltskanzleien weltweit.
Ist vielleicht überfällig – gibt es doch einen weiteren Fall, bei dem ein Anwalt ein Tool einsetzte, das KI nutzte – und er sich auf die Richtigkeit verließ. Und dabei einen Fehler übernahm – der dann natürlich auch auffiel.

zurück zum Inhaltsverzeichnis

4.6 Haftungsfragen bei KI

Wer haftet denn, wenn beim Einsatz von KI die Roboter versagen? Mit „Das kommt darauf an“ beginnen Jurist:innen oft ihre Antwort. Wer wissen will, worauf es ankommt, kann es in diesem Blog-Beitrag nachlesen.

zurück zum Inhaltsverzeichnis

4.7 Microsoft: Recall und weg

Irgendwie scheint da nicht nur in der Kommunikation der Wurm drin zu sein: Microsofts Funktion Recall. Diese erstellt wiederholt Screenshots des Bildschirms, um beim Suchen zu helfen, das Deaktivieren scheint sich nach dieser Meldung auf Funktionalitäten bei Windows 11 auszuwirken.

zurück zum Inhaltsverzeichnis

4.8 KI-Tools für eine bessere Regulierung

Wie kann Europa bei der Regulierung Künstlicher Intelligenz (KI) seine Ziele effizient erreichen – und dabei selbst Künstliche Intelligenz nutzen? Im Projekt AI4POL wird ein internationales Forschungsteam untersuchen, ob die EU-Regelungen den Bürgerinnen und Bürgern tatsächlich helfen. Darüber hinaus wird das Team KI-Tools und datenwissenschaftliche Methoden entwickeln, mit denen Politik und Regulierungsbehörden die Wirkungen ihrer Gesetzgebung sowie mögliche Gefahren durch die Technologieentwicklung in nicht-demokratischen Staaten besser beobachten und auswerten kann. Mehr dazu findet sich auf den Seiten der TUM.

zurück zum Inhaltsverzeichnis

4.9 Whitepaper zur Minderung von BIAS in LLM

Im Rahmen eines Masterstudiengangs an der Universität von Amsterdam entstand ein Whitepaper zur Minderung von Vorurteilen beim Training von generativer KI. Das Whitepaper “Advancing the field of bias detection and mitigation in Large Language Models and Traditional AI Models” findet sich hier, die ausführlichere Fassung ist hier veröffentlicht. Die Knowledge-Base dazu gibt es hier.

zurück zum Inhaltsverzeichnis

4.10 CSA Singapore: Leitfaden und Begleitdokumente zur AI Security

Die Cyber Security Agency of Singapore (CSA) veröffentlichte einen Leitfaden und Begleitdokument zur Sicherung von KI-Systemen: Guidelines and Companion Guide on Securing AI Systems.

zurück zum Inhaltsverzeichnis

4.11 FPF: Enthalten LLM personenbezogene Daten?

Die Organisation Future of Privacy Forum in den USA befasst sich anlässlich der Festlegung in der kalifornischen Gesetzgebung mit der Frage, in welchem Stadium in LLM personenbezogene Daten enthalten sind. Der Beitrag „Do LLMs Contain Personal Information?“ findet sich hier.

zurück zum Inhaltsverzeichnis

4.12 OpenAI und Cyberbedrohungen

OpenAI veröffentliche seinen Bericht zum Missbrauch von Künstlicher Intelligenz bei Cyberangriffen. Der Bericht behandelt, wie verschiedene Bedrohungsakteure, darunter auch Nationalstaaten, versucht haben, KI-Modelle wie ChatGPT für böswillige Zwecke zu nutzen, darunter Cyber-Operationen, Malware-Debugging und verdeckte Einflusskampagnen, die auf Wahlen in den USA, Ruanda und anderen Ländern abzielen. Er analysiert, wie Akteure aus Ländern wie dem Iran und China diese KI-Tools missbraucht haben, während das Team von OpenAI seit Anfang 2024 mehr als 20 solcher Operationen weltweit unterbrochen habe.

zurück zum Inhaltsverzeichnis

4.13 SCL: Mustervertragsklauseln für Verträge mit KI

Die Society for Computer & Law (SCL) veröffentlichte Mustervertragsklauseln für Verträge mit KI unter Berücksichtigung des AI Acts. Wie immer ohne Gewähr.

zurück zum Inhaltsverzeichnis

4.14 Stanford Cyber Policy Center: Regulation under Uncertaincy

In diesem Report der Stanford University “Regulation under Uncertaincy: Governance Options for Generative AI”, der über 470 Seiten umfasst, geht es um die Herausforderungen bei der Verwaltung generativer KI. Berücksichtigt werden dabei u.a. die Anforderungen der Regulierung und die verschiedenen Positionen der Branche ebenso wie ein Blick auf die technischen Aspekte, den Lebenszyklus der Modellentwicklung und die kritische KI-Lieferkette, aber auch die Abdeckung technischer, betrieblicher, ethischer, sozialer, rechtlicher und ökologischer Risiken sowie gesellschaftlicher Auswirkungen. Es werden Branchenpraktiken und kollektive Bemühungen zur Verbesserung der KI-Governance beschrieben und regulatorische Initiativen in der EU, China, den USA und anderen Regionen, einschließlich Brasilien, Kanada, Indien, Israel, Japan, Saudi-Arabien, Südkorea, den Vereinigten Arabischen Emiraten und dem Vereinigten Königreich dargestellt.
Am 28. Oktober 2024 gab es ein Gespräch mit den Autoren.

zurück zum Inhaltsverzeichnis

4.15 bitkom: KI-Nutzung in Deutschland

Der bitkom hat wieder ein Papier veröffentlicht. Diesmal geht es um „Künstliche Intelligenz in Deutschland Perspektiven aus Bevölkerung & Unternehmen“. 600 Unternehmen und 1000 Personen wurden befragt. Das Ergebnis findet sich hier.

zurück zum Inhaltsverzeichnis

4.16 Telekom: Weltweite Studie zu Erwartungen an KI

Unter dem Titel „ZEITGEIST – Eine internationale Perspektive auf die Akzeptanz und Nutzung von KI“ ließ die Telekom eine internationale Studie durchführen. Skepsis und Bewunderung gehen dabei Hand in Hand. Und die Skepsis gegenüber KI sei längst keine deutsche Erfindung. Viele Menschen schätzen die Möglichkeiten von KI. Aber sie fordern Transparenz von den Unternehmen.

zurück zum Inhaltsverzeichnis

4.17 USA: Sicherheitsbehörden und KI

Der Präsident der USA hat ein Memorandum veröffentlicht, das den Einsatz von KI regeln soll. Das Memo verbietet US-Behörden u.a. KI auf eine Weise zu nutzen, die nicht mit demokratischen Werten vereinbar ist, KI Entscheidungen über die Gewährung von Asyl treffen zu lassen oder KI einzusetzen, um jemanden aufgrund seiner ethnischen Zugehörigkeit oder Religion zu verfolgen oder mittels KI eine Person ohne menschliche Überprüfung als Terrorist einzustufen.

zurück zum Inhaltsverzeichnis

4.18 USA: Werkzeugkasten für Lehrer:innen zur Vermittlung von Wissen zur KI

Das Office of Educational Technology veröffentlichte auf Initiative des US Präsidenten Hilfsmittel für Pädagog:innen zum Einsatz von KI. Ganz gleich, ob ein Bildungsleiter am Anfang der Einführung von KI steht oder bereits deren Anwendungen erforscht, dieses Toolkit soll in zehn Schlüsselmodulen – von der Bundespolitik bis hin zu dringenden Bildungsfragen, einschließlich Datenschutz, Datensicherheit, Bürgerrechte und digitale Gerechtigkeit – wichtige Orientierungshilfen zur Unterstützung des gezielten Einsatzes von KI im Bildungswesen bieten.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Datenschutz- und KI-Folgenabschätzung

Die Aufzeichnung und die Folien eines Vortrags bei der Stiftung Datenschutz zur Datenschutz- und KI-Folgenabschätzung sind veröffentlicht worden.

zurück zum Inhaltsverzeichnis

5.2 Beiträge zum Workshop „Wie digitale Souveränität gelingt“ der GI

Die Beiträge Workshop „Wie digitale Souveränität gelingt“ der Jahrestagung der Gesellschaft für Informatik e.V. (GI) sind online gestellt. Sind ja auch nur 2.260 Seiten. Hervorzuheben wäre dabei vieles, wie z.B. der Beitrag „Privacy & Security at Large“ ab Seite 39 oder auch der Beitrag „Recht und Technik – Datenschutz im Diskurs“ ab Seite 129.

zurück zum Inhaltsverzeichnis

5.3 Verordnung über die Transparenz und das Targeting politischer Werbung

Dieser Beitrag befasst sich mit dem Überblick über die Verordnung über die Transparenz und das Targeting politischer Werbung (VO 2024/900). Mit dieser Verordnung reagiert der Unionsgesetzgeber auf gesellschaftliche und technologische Veränderungen im Bereich politischer Werbung. Die Verordnung enthält Transparenz- und Sorgfaltspflichten sowie Vorschriften zum Targeting. Auch sollen Manipulationsversuche durch drittstaatliche Akteure im Vorfeld von Wahlen verhindert werden. Und dann erinnerte ich mich an das Daten-Frühstück der Stiftung Datenschutz, als die Diskutantinnen (ca. ab Min. 25) genau diese Verordnung als Beispiel für eine technische Möglichkeit für „Datenschutzsignale“ betrachteten.

zurück zum Inhaltsverzeichnis

5.4 Aktualisierter Standard verfügbar

In der Liste der frei verfügbaren ISO-Standards findet sich nun auch der ISO 29000:2024 zu Information technology – Security techniques – Privacy framework.

zurück zum Inhaltsverzeichnis

5.5 ZDF-Doku: Der Preis der Sicherheit – „Concordia“

Die ZDF-Serie „Concordia“ spielt in einer fiktiven Stadt, in der Überwachung allgegenwärtig ist. Die Doku zur Serie aber zeigt: Überwachung wie in „Concordia“ ist vielfach bereits Wirklichkeit. Sie ist in der Mediathek bis Mitte September 2026 verfügbar.

zurück zum Inhaltsverzeichnis

5.6 bitkom Privacy Conference: Vorträge online

Auch die Beiträge der Privacy Conference des bitkom sind auf YouTube frei verfügbar. Der erste Veranstaltungstag findet sich hier (ca. 6 Std. Dauer), der zweite Tag (auch ca. 7 Std. Dauer) dann dort.
Und das Veranstaltungsdesign mit einem Eichhörnchen erinnerte mich an diesen Artikel. Sollte sich beim bitkom damit ein „Privacy Partisan“ verewig haben?

zurück zum Inhaltsverzeichnis

5.7 Microsoft Digital Defense Report 2024

Microsoft hat seinen Microsoft Digital Defense Report 2024 veröffentlicht. Er spricht für sich selbst.

zurück zum Inhaltsverzeichnis

5.8 MS 365: Copilot und Datenschutz

Und wieder MS 365 und die freundlicherweise bereitgestellt öffentliche Fassung einer Veröffentlichung zu Microsoft Copilot und Datenschutz*.

* Franks Anmerkung: Wieso ist da kein https drauf? Das es noch solche Seiten gibt …

zurück zum Inhaltsverzeichnis

5.9 Forschungsprojekt „Datenschutz-Sandbox“

Irgendwie gewöhne ich mich auch noch an diese deutsch-englischen Mischwörter. „Datenschutz-Sandkasten“ klingt ja auch nicht viel besser. Egal. Meine Befindlichkeit ist nicht der Forschungsschwerpunkt an der Universität Bayreuth zusammen mit der Rheinland-Pfälzischen Datenschutzaufsicht. Unternehmen und Behörden sollen künftig die Datenschutzkonformität ihrer Anwendungen testen können (wenn sie wollen). Mehr dazu hier.

zurück zum Inhaltsverzeichnis

5.10 Cybersicherheit in Bayern

Passend zur in Bayern stattfindenden IT-Sicherheitsmesse wurden Zahlen zur Cybersicherheit in Bayern im Jahr 2024 veröffentlicht. Die Bayerische Staatsregierung räumt der Gewährleistung eines hohen Sicherheitsniveaus von je her einen hohen Stellenwert ein. Daher kommt das Wort „Datenschutz“ in dem Bericht auch immerhin einmal vor.

zurück zum Inhaltsverzeichnis

5.11 Auftragsverarbeiter in der Kette

Mit den Aussagen des EDSA in seiner Stellungnahme vom 7. Oktober 2024 zu den Anforderungen einer Auftragsverarbeitung in der Kette befasst sich dieser Beitrag einer Kanzlei.

zurück zum Inhaltsverzeichnis

5.12 Tool zur Prüfung der Datenübermittlung ins Ausland

Da werden sich viele freuen: Über das Angebot eines Tools zur Prüfung einer Datenübermittlung ins Ausland, auf das hier hingewiesen wird. Wie immer bei unseren Links: ohne Gewähr.

zurück zum Inhaltsverzeichnis

5.13 Veranstaltungen

5.13.1 IHK Bayern: Webinarreihe zu IT-Sicherheit

ab 10.10.2024, vor Ort oder online: Ab dem 10. Oktober 2024 bietet die IHK in Bayern vor-Ort-Seminare aber auch Webinare zum Thema „Genauer hinsehen – Effektive Maßnahmen für Ihre IT-Sicherheit“ an. In leicht verständlicher Form wird Unternehmen und Organisationen praxisnah vermittelt, worauf sie achten müssen, denn Cyberangriffe können die Existenz von Unternehmen gefährden, daher sei IT-Sicherheit entscheidend. In den elf Veranstaltungen wird der Schwerpunkt darauf gelegt kleinen und mittleren Betrieben bei der Verbesserung ihrer IT-Sicherheit zu helfen. Experten aus dem Bereich IT-Sicherheit stellen unterschiedliche Schutzmaßnahmen und praxisnahe Ratschläge vor. Details mit Terminen und Themen sind hier hinterlegt.

5.13.2 Virtueller Elternabend: Digital will gelernt sein – frühe Mediennutzung -neu-

06.11.2024, 17:00 Uhr – 18:00 Uhr, online: Unter dem Titel „Digital will gelernt sein – wie Eltern ihre Kinder bei der frühen Mediennutzung begleiten können“ bieten Expert:innen von JFF praktische Tipps zur Medienerziehung von Kindern bis 6 Jahren. Sie erklären, wie Eltern die Mediennutzung ihrer Kinder gut begleiten und einen verantwortungsvollen Umgang mit Medien von Anfang an fördern können. Weitere Informationen und Anmeldung hier.

5.13.3 DIHK Datenforum: „Daten ohne Grenzen“

12.11.2024, 14:00 – 19:00 Uhr, Berlin: Unter der Überschrift „Daten ohne Grenzen!?“ bietet der DIHK Vertreterinnen und Vertretern von Unternehmen, Industrie- und Handelskammern, Fachverbänden und Politik am 12. November 2024 ab 14:00 Uhr Gelegenheit in den direkten Austausch zu gehen. Ziel der Veranstaltung ist es gute Verfahrensweisen rund um Datenkompetenz und -sicherheit zu erarbeiten. Details und Anmeldung hier. Bitte beachten: Anmeldung nur bis 01.11.2024!

5.13.4 Daten-Dienstag: „Datenteilen nach dem Data Governace Act“

12.11.2024, 19:00 – 20:30 Uhr, Nürnberg: Im Museum für Kommunikation befassen sich zwei Expert:innen des TUM Center for Digital Public Services an der TU München mit den Möglichkeiten der Datennutzung durch Datenteilen. Dabei gehen sie der Frage nach, ob der Datenaltruismus, den der Data Governance Act 2023 eingeführt hat, tatsächlich dem Gemeinwohl dient: Welches Konzept verbirgt sich dahinter? Ist Datenteilen mit Datenschutz vereinbar? Und was hat es eigentlich mit der Datenspende auf sich? Am Ende erhoffen sich die Verfassungsrechtlerin und der Verfassungsrichter, dass ihr geteilter Vortrag dem Publikum am Daten-Dienstag doppelte Freude bringt.
Eine Veranstaltung im Rahmen der Reihe Daten-Dienstag, die das Museum für Kommunikation seit 2015 in Kooperation mit dem BayLDA und dem BvD veranstaltet. Informationen und Anmeldung hier.

5.13.5 BlnBfDI und jugendnetz.berlin: Fachtagung Medienkompetenz -neu-

14.11.2024, 09:00 – 15:30 Uhr, Berlin: Die BlnBfDI und jugendnetz.berlin laden Fachkräfte der Kinder- und Jugendarbeit zum 2. Fachtag ein, um sich auszutauschen, wie auch in der Arbeit mit Kindern und Jugendlichen eine gute, zeitgemäße Medienarbeit unter Beachtung des Datenschutzes gelingen kann. Weitere Informationen und Anmeldung hier.

5.13.6 LMS und BSI: Vortragsreihe: AI Insights – Einblicke in die Vielfalt der Künstlichen Intelligenz

Die Landesmedienanstalt Saarland (LMS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzen sich in ihrer 9-teiligen Vortragsreihe mit der KI-Transformation und deren Auswirkungen intensiv auseinander. Weiteren Informationen auch zur Anmeldung zur jeweiligen Veranstaltung in den Links. Ein Flyer zu weiteren Informationen findet sich hier.

5.13.7 Stiftung Datenschutz – Datenschutz am Mittag: „Personenbezogene Daten in der Forschung“ -neu-

18.11.2024, 13:00 – 14:30 Uhr, online: Personenbezogene Daten aus verschiedenen Quellen (amtliche Statistiken, Register, Haushalts- und Unternehmensbefragungen) sind in der sozial- und wirtschaftswissenschaftlichen Forschung von großer Bedeutung. So kann man beispielsweise die Verteilungswirkungen steuerpolitischer Maßnahmen nur auf Basis solcher disaggregierten Daten präzise abschätzen. Unter dem Titel „Personenbezogene Daten in der Forschung: Chancen und Herausforderungen“ befasst sich ein Experte mit dieser Thematik. Beispielhaft werden Potenziale solcher Datennutzung für Forschung und Politikberatung aufgezeigt. Danach werden praktische und rechtliche Herausforderungen, die sich bei der Anonymisierung sowie bei der Verknüpfung von Daten aus verschiedenen Quellen ergeben vorgestellt. Auch die Erzeugung synthetischer Daten als Alternative oder Ergänzung zur Anonymisierung wird angesprochen. Weitere Informationen und Anmeldung hier.

5.13.8 eco, FSM und jugendschutz.net: Webinar zum Schutz gegen sexualisierte gewalt gegen Kinder im Netz -neu-

18.11.2024, 14:00 – 15:30 Uhr, online: Anlässlich des Europäischen Tags zum Schutz von Kindern vor sexueller Ausbeutung und sexuellem Missbrauch laden die deutschen Beschwerdestellen von eco, FSM und jugendschutz.net zur Online-Veranstaltung „Gemeinsam gegen sexualisierte Gewalt im Netz – Was Fachkräfte wissen müssen“ ein. Die Veranstaltung richtet sich an pädagogische Fachkräfte, Multiplikatorinnen und Multiplikatoren sowie an alle weiteren Interessierten. Die deutschen Beschwerdestellen geben Einblicke in ihre praktische Arbeit und zeigen auf, welches Wissen im Hinblick auf den Schutz von Kindern und Jugendlichen im Netz unerlässlich ist. Gemeinsam mit der Online-Beratungsplattform für junge Menschen JUUUPORT wird erläutert, wie ein altersgerechtes Meldeformular Jugendlichen dabei hilft problematische Online-Inhalte zu melden. Verschiedene Handlungsmöglichkeiten werden angesprochen, um verdächtige Inhalte zu melden und erfahren, welche präventiven Maßnahmen dazu beitragen können die Nutzung von Online-Diensten für Kinder und Jugendliche sicherer zu gestalten. Während der Veranstaltung besteht zudem die Möglichkeit Fragen im Chat zu stellen. Weitere Informationen und Anmeldung hier.

5.13.9 CNIL: „Überwachung in all ihren Formen!“

19.11.2024, 14:30 – 18:00 Uhr, bei der CNIL und online: Die CNIL informiert, dass sie zu einer Veranstaltung zum Thema „Überwachung und Ethik der Freiheiten“ einlädt. Details des Programms stehen noch nicht fest. Unter der Abkürzung AIR (für avenirs, innovations, révolutions – Zukünftiges, Innovationen, Revolutionen) definiert die CNIL ihren Auftrag, der ihr durch das Gesetz für eine digitale Republik erteilt wurde. Dabei organisiert sie öffentliche Debatten über die neuen Herausforderungen der Digitalisierung, bei denen Experten aus der Praxis und der Wissenschaft zusammenkommen.

5.13.10 IHK München und Oberbayern: 12. Münchner Datenschutztag

29.11.2024, 14:00 – 18:30 Uhr, München: Mit aktuellen Fragestellungen befassen sich Vertreter:innen der Praxis und des BayLDA. Weitere Informationen und Anmeldung hier.

5.13.11 CPDP – Data Protection Day -neu-

28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.

5.13.12 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung

In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:

  • Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
    29.01.2025 \\ vor Ort im Weizenbaum-Institut
  • Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
    25.02.2025 \\ online
  • Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
    16.04.2025 \\ online
  • Ausgabe 6: Thema wird in Kürze bekannt gegeben
    28.05.2025 \\ online
  • Ausgabe 7: Thema wird in Kürze bekannt gegeben
    09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Studie zu Beleidigungen auf Social Media

Beleidigungen auf Social Media – ist das ein neues Phänomen oder ein altes gesellschaftliches Problem im digitalen Gewand? Damit befasst sich eine Studie, deren Ergebnisse nun beim bidt veröffentlicht wurden. Der Fokus der Untersuchung liegt dabei auf Beleidigungen, die juristisch eindeutig nicht zulässig sind – wie etwa gravierende Herabwürdigungen, Beschimpfungen mit Fäkalbegriffen oder Angriffe auf die Menschenwürde. Wie die aktuellen Ergebnisse darlegen, treten Beleidigungen noch häufiger in der Offline- als in der Onlinewelt auf. Im Umgang mit Beleidigungen online zeigt sich, dass nur etwa die Hälfte der Betroffenen die Vorfälle meldet. Aussichtslosigkeit, Rechtsunsicherheit und offenbar geringes Vertrauen in den Staat sind einige der Gründe. Die ganze Studie findet sich hier.

zurück zum Inhaltsverzeichnis

6.2 BigBrotherAwards 2024

Die Preisträger der BigBrotherAwards 2024 wurden wieder bekannt gegeben. Ausgezeichnet wurden:

  • „Der Bundesgesundheitsminister für das Gesundheitsdatennutzungsgesetz, das nach unklaren Verfahren und ohne geeignete Schutzvorkehrungen unsere sensiblen Gesundheitsdaten verfügbar macht.“
  • „Die sächsische Polizei und der sächsische Innenminister für das „videogestützte Personen-Identifikations-System“, das einen gruseligen Vorgeschmack auf neue Überwachungsmöglichkeiten der Polizei gibt.“
  • „Die Handelsplattformen Temu und Shein, deren Datenschutzregeln und AGB von ähnlich schlechter Qualität sind wie die angebotenen Produkte.“
  • „Die Deutsche Bahn, weil sie mit ihrem zunehmenden Digitalzwang nicht nur Menschen ausschließt, sondern auch anonymes Reisen zunehmend unmöglich macht.“
  • „Der Trend Technikpaternalismus: Immer mehr Technik nervt uns mit Besserwisserei, gängelt und bevormundet uns – so werden unsere Geräte nach und nach vom Butler zum Chef.“

zurück zum Inhaltsverzeichnis

6.3 Digitale Souveränität – aus Sicht der Unternehmen

Das Buzzwort „digitale Souveränität“ interpretiert jeder anders. Das BMWK nimmt für sich hier in Anspruch dies aus Sicht der Unternehmen darzustellen: „Digitale Souveränität: Herausforderungen aus Sicht der Unternehmen (2024)“. Die dabei verwendete Definition der „digitalen Souveränität“ wird angelehnt an die Definition aus der Datenstrategie der Bundesregierung (2021):

„Digitale Souveränität beschreibt die Fähigkeit, die digitale Transformation mit Blick auf Hardware, Software, Dienstleistungen sowie Kompetenzen selbstbestimmt zu gestalten. Dies bedeutet in Bezug auf digitale Technologien und Anwendungen selbstständig entscheiden zu können, inwieweit man eine Abhängigkeit von Anbietern und Partnern eingeht oder vermeidet.“

zurück zum Inhaltsverzeichnis

6.4 Shell Jugendstudie: Mehr Medienkompetenz

Die Shell Jugendstudie 2024 befasst sich diesmal wieder mit aktuellen Fragestellungen. Und weil auch Erwachsene auch außerhalb der obersten Managementebenen zunehmend Problemen mit langen Texten zu haben scheinen, gibt es die Ergebnisse als Zusammenfassung und als Infografiken zu Politik, Medien, Zukunft und Werte. Dagegen sind die Erwartungen der Jugendlichen ja fast schon optimistisch!

zurück zum Inhaltsverzeichnis

6.5 Cyberangriff durch eingestellten Remote-IT-Mitarbeiter aus Nordkorea

Uups. Ein Unternehmen, das anonym bleiben möchte, hat Cybersecurity-Spezialisten gestattet einen Vorfall publik zu machen, um die Öffentlichkeit für diese Art von Bedrohung zu sensibilisieren und andere Firmen zu warnen. Worum ging es? Ein Hacker hatte seine Beschäftigungshistorie und persönlichen Daten gefälscht, um eine ausgeschriebene Stelle zu erhalten. Vier Monate lang war er für das Unternehmen tätig und bezog ein Gehalt, das höchstwahrscheinlich über komplexe Geldwäschekanäle nach Nordkorea transferiert wurde, um die westlichen Sanktionen gegen das isolierte Land zu umgehen. Nachdem das Unternehmen den Hacker aufgrund mangelhafter Leistungen entlassen hatte, erhielt es Erpressermails, die einen Teil der gestohlenen Daten enthielten und eine Lösegeldforderung in sechsstelliger Höhe in Kryptowährung stellten. Mehr dazu hier.

zurück zum Inhaltsverzeichnis

6.6 Chatbot und Suizid eines Teenagers

Wie gehen wir als Gesellschaft damit um, dass Teenager ein emotionales Verhältnis zu einer KI entwickeln? In Florida klagt eine Mutter gegen die Verantwortlichen eines Chatbot, über den ihr 14-jähriger Sohn zu einer virtuellen Person einer Serienheldin ein emotionales Verhältnis entwickelte und in der Folge Suizid beging. Im Prozess werden sicher viele Fragen angesprochen. Zu vielen wird die Gesellschaft eine Antwort finden müssen. Über den Fall wird international und national berichtet.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 TikTok und Moderatoren

Es ist nicht mal tröstlich, wenn sich Anbieter wie TikTok erwartungskonform verhalten. Nun entlässt TikTiok nach diesem Bericht Moderatoren, die sich bislang mit der Prüfung der Inhalte befassten. Dafür kommt KI zum Einsatz. Natürlich aus Kostengründen.

zurück zum Inhaltsverzeichnis

7.2 bitkom: KI im Schulunterricht

So richtig ist bei mir der bitkom als Bildungsexperte noch nicht gelandet. Eher als Vertriebsplattform für digitale Gadgets. Dazu passt auch die Veröffentlichung des bitkom zum Einsatz von KI an Schulen und die Aussage des bitkom dazu, dass Debatten um pauschale Handyverbote wirklichkeitsfremd seien und an der Lebensrealität der jungen Menschen vorbeiführten. Das sehen zwar Pädagogikexpert:innen anders, aber die sind ja nicht Mitglied beim bitkom.

zurück zum Inhaltsverzeichnis

7.3 KMK: Handlungsempfehlung zum Umgang mit KI

Die Kultusministerkonferenz (KMK) hat Handlungsempfehlungen zum Umgang mit KI veröffentlicht. Es ist zwar erstmal eine Empfehlung und keine konkrete Maßnahme – aber ein wichtiges und gutes Signal: Alle Länder sind sich einig. Künstliche Intelligenz wird nicht isoliert betrachtet, sondern es wird ein gemeinsames Vorgehen diskutiert.
Und was wäre die erste Entscheidung der KMK, wenn sie kritiklos bliebe, siehe hier.

zurück zum Inhaltsverzeichnis

7.4 USA: Klage gegen TikTok

Ist das nun schon eine gute Nachricht? Nach dieser Meldung muss sich TikTok in den USA verantworten, weil die Betreiber ihnen bekannte Gefahren der App für den Jugendschutz lange weitgehend ignorierten.

zurück zum Inhaltsverzeichnis

7.5 Künstliche Intelligenz zur Lachüberwachung

Was erwartet uns am 1. April 2025? Diese Meldung wohl nicht, denn sie kam schon vorher. Ein Mikrofon misst über eine KI die Umgebungsgeräusche. Lachen die Mitarbeitenden zu wenig, bekommen sie eine Aufmunterung zugeschickt. Es mag Unternehmen geben, in denen schon das Management mit eigenen Meldungen dafür sorgt, dass diese Technik nicht erforderlich wird.

zurück zum Inhaltsverzeichnis

7.6 USA: Massenüberwachung mit Standortdaten

Wie berichtet wird, ist es in den USA leicht möglich mit kommerziellen Überwachungstools und Daten der Werbeindustrie – wie dem Werkzeug „Locate X“ von der US-Firma Babel Street – eine Massenüberwachung durchzuführen. Auf einer digitalen Karte, ähnlich wie Google Maps, lassen sich beliebige Orte auswählen, zum Beispiel Moscheen oder Abtreibungskliniken. Dann zeigt das Tool an, welche Handys auf dem ausgewählten Gelände geortet wurden – und auf Wunsch, wo sich ein ausgewähltes Gerät noch überall hinbewegt hat. Mehr dazu lesen Sie hier.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apropos KI …

Na, dann wollen wir doch mal wieder:

  • Nach diesem Artikel hat KI einen direkt Einfluss auf die Menge (und Qualität) menschgemachter Inhalte im Internet. Wer hätte das erwarten können? Natürlich ist das dauerhaft nicht gut, wenn KI genau solche Daten zum Trainieren braucht, aber das hatten wir ja schon öfter.
  • Und? Heute schon im Internet nach medizinischen Informationen gesucht? Dr. Google scheint ja mittlerweile gerne befragt zuwerden. Passen Sie bloß auf, dass Sie nicht zu sehr auf die Aussagen KI-gestützter Chatbots vertrauen, das könnte eine schlechte Idee sein.
    Apropos schlechte Idee: US-Krankenhäuser benutzen „KI“ zum Transkribieren. Und die KI erfindet einfach Inhalte, die nie jemand gesagt hat.
    Also bei KI-gestützten Chatbots heißt es, die menschliche Expertise fehlt, den Menschen kann im Zweifelsfall nicht exakt genug erklärt werden, wie sie mit ihrem Anliegen umgehen sollen. Und dann nutzen die Expert:innen in den Krankenhäusern KI, um genau diese Dokumentationen der medizinisch relevanten Informationen vorzunehmen? Was soll dabei schon schiefgehen …
  • Na ja, wenigsten haben die Programmierer Vorteile von KI, richtig? Vielleicht nicht, so zumindest diese Studie (wiedermal nur erhältlich nach Eingabe einer E-Mail-Adresse): 41% mehr Programmierfehler durch die Nutzung von GitHub CoPilot.
  • Apropos Studien und Forschung: Laut bei Apple Forschenden kann KI gar nicht denken. Warum denke ich jetzt an Louis de Funès?
  • Und noch eine Studie: ChatGPT kann nun auch Extremisten erkennen. Vielleicht. Was soll da schon Schlimmes passieren, falls ChatGPT mal wieder halluziniert?
  • Apropos was KI so alles kann (und auch das kommt nicht unerwartet): KI kann jetzt auch Sexismus.
  • Apple hat ja prominent angefangen, KI-Kerne in seinen M-Prozessoren zu vermarkten. Andere Unternehmen wollten nachziehen. Scheint aber nicht wirklich schneller zu werden mit den KI-optimierten Prozessoren. Hier habe ich die Information gefunden, hier ist die Original-Quelle.
  • „KI gibt dir eine Lösung, du kannst nicht beurteilen, ob sie richtig ist, du hast nichts gelernt.“. So diese Quelle. Wenn Sie das ganze Video sehen wollen, aus welchem dieser kurze Videoschnipsel kommt, hier ist es bei Youtube (ca. 35 Min. Dauer), der Vortragende ist tatsächlich wohl ein Befürworter von KI. Und eine lustige Anekdote am Rande: Bei Youtube-Videos funktioniert das mit dem Lernen durch Erklärvideos schauen wohl genauso wenig.
  • Apropos KI und Bildung: Wir hatten ja schon ab und zu Skandale mit gefälschten Doktorarbeiten. Ob das mit KI besser oder schlechter geworden ist? Entscheiden Sie.
  • Wer nochmal profitiert genau von Deepfakes? Moralisch verwerfliche Personen, die anderen (meist Frauen) Schaden zufügen wollen? Ach ja, und natürlich das Militär.
  • Na ja, das sind ja nur die USA, nicht wir. Und es ist das Militär, nicht die Justiz oder die Strafverfolgung. Was soll bei uns schon passieren? Na, das halt: So KI wird die Berliner Polizei! Und natürlich auch das: Justiz am Limit – mit KI gegen Personalmangel und Verfahrensberge. Ist ja nicht so, als ob das langanhaltende Konsequenzen für die Betroffenen haben könnte, wenn KI in solchen Bereichen halluziniert. Und in der Medizin klappt es ja schon gut (s.o.). (Und ich fange jetzt nicht davon an, dass die KI für die Berliner Polizei wohl auch (oder eher?) Social-Media-Posts analysieren soll…)
  • Es gibt scheinbar noch vereinzelten Widerstand gegen KI … im aktuellen Fall bei Bytedance, dem Eigentümer von TikTok.
  • Ach, KI-Halluzinationen sind gar kein Problem mehr? Na dann. („you can basically trust the answer“ klingt schon mal sehr vertrauserweckend …) Lustig auch, dass der interviewte Baidu CEO das Platzen der KI-Bubble prophezeit, so wie auch die Dot-Com-Blase in den Neunzigern geplatzt ist.
  • Ist das Bestechung? „OpenAI and Microsoft are funding $10 million in grants for AI-powered journalism“. Bestimmt nicht, oder?
  • Apropos KI und Medizin: Was war die eine Sache, die KI besser können sollte als Menschen (obwohl es dazu ja auch schon gegenteilige Studien gibt)? Richtig, Radiologische Aufnahmen auswerten. Und was ist da nun die Konsequenz? Das kaum noch jemand Radiolog:in werden will. Läuft bei uns Menschen, oder?
  • Google arbeitet am Projekt Jarvis. OK, ich gebe es zu, ich bin Nerd genug, um sofort an „Avengers: Age of Ultron“ zu denken. Dann hoffen wir mal, dass das bei Google besser läuft als bei Stark Industries…
  • Ich möchte auch mal was zu DORA bringen: Deloitte stellt ein „KI“-Tool für DORA-Compliance vor. Was bedeutet das nun? Denken sich die Verantwortlichen dann so: „Wir verstehen das eh alles nicht, also beauftragen wir eine Berater-Firma, die auch nichts davon versteht und daher KI einsetzt, die auch nichts versteht, aber immerhin verstehen wir alle so wenig davon, dass wir nicht merken, dass die KI halluziniert.“ Ob das die Intention von DORA ist?
  • Andere Berater-Firmen haben ja durchaus zurückhaltendere Einstellungen zu KI: „Gartner sounds alarm on AI cost, data challenges“.
  • Zum Abschluss noch etwas, was mich tatsächlich fasziniert hat: Ein Interview mit Bryan Ferry, geführt von Zeit-Online-Mitarbeitern. Und dann mit seiner Erlaubnis ins Deutsche übertragen. Durch eine KI, die ihn seine Worte deutsch sprechen lässt. Beide Link führen zu Artikeln, die jeweils die Podcast-Folge enthalten.
  • OK, eine Meldung habe ich noch: Was, fragen Sie? Den polnischen Radio-Sender, der Texte und Moderation per KI erstellen lies. Und dieses Experiment dann nach einer Woche wieder beendete. Sachen gibts…

zurück zum Inhaltsverzeichnis

8.2 Ein Update zur Chatkontrolle

Nachdem vor der Abstimmung schon erste Mitgliedsstaaten Widerstand gegen die Chatkontrolle deutlich machten (wie die Niederlande), aber nicht klar war, ob es reichen würde, kann nun gesagt werden:
Für diesen Anlauf hat es gereicht. Aber Ungarn (woher das Thema maßgeblich im EU-Rat vorangetrieben wird) hat noch eine weiter Möglichkeit am 12. & 13.12.2024. Hoffen wir, dass der Widerstand bis dahin nicht bröckelt. Hier können Sie sich zur Technik hinter der Chatkontrolle informieren (Podcast, Dauer ca. 50 Min.). Ein Zitat aus dem Podcast gefällig? „Alles technisch nicht ganz so überzeugend…“ Wie unerwartet.

zurück zum Inhaltsverzeichnis

8.3 Es geht scheinbar auch ohne Paywalls

Wenn auch nicht freiwillig, wie diesem Bericht aus der Schweiz zu entnehmen ist. Oder diesem.

zurück zum Inhaltsverzeichnis

8.4 Noch ein Abo-Modell, heute: Geschirrspülmaschinen

Bei manchen Geschirrspülmaschinen geht es scheinbar nicht mehr ohne Paywall und Abo.

zurück zum Inhaltsverzeichnis

8.5 Updates unmöglich: Niederlande müssen Ampeln wegen Sicherheitslücke austauschen

Da musste ich wieder mal die Überschrift klauen. Ob die jetzt nur noch KI-Ampeln einbauen?

zurück zum Inhaltsverzeichnis

8.6 Apropos Geräte bricken: Das software-based car

Das war doch mal eine gute Idee.

zurück zum Inhaltsverzeichnis

8.7 The largest-ever US healthcare data breach

Natürlich ist das „nur“ in den USA, nicht bei uns (hier ein deutscher Artikel zu ähnlicher Thematik). Aber wer treibt denn auch bei uns die Digitalisierung des Gesundheitswesens voran? Richtig, die gleichen Anbieter… Umso wichtiger, dass Sie sich Gedanken zu Ihrer Teilhabe am Projekt elektronische Patientenakte machen, um informiert entscheiden zu können. Immerhin hat ja unser Gesundheitssystem, vertreten durch den Bundesgesundheitsminister, gerade erst einen BBA erhalten für die Digitalisierung des Gesundheitswesens.

zurück zum Inhaltsverzeichnis

9. Die guten Nachrichten zum Schluss

9.1 Datenvolumen sparen

Datenvolumen sparen hilft nicht nur der eigenen CO2-Bilanz, sondern mindert auch das Risiko bei Datenpannen. Unterstützen kann dabei diese Tabelle, die zeigt, was beim Löschen eingespart werden kann.

zurück zum Inhaltsverzeichnis

9.2 Weisser Ring: Internet macht Schule

Der Weisse Ring berichtet über Initiativen, die versuchen über Medienkompetenz nicht nur zu reden, sondern diese auch zu vermitteln und dadurch die Anzahl potentieller Opfer digitaler Gewalt zu verringern.

zurück zum Inhaltsverzeichnis