Zum Inhalt springen

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 46-48/2024)“ – Die DVD-Edition

Hier ist der 15. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 46-48/2024)“ – Die DVD-Edition.

Falls Sie ungefähr jetzt (Freitag, 06.12.2024, vormittags) Zeit haben, ist der erste Veranstaltungshinweis für Sie vielleicht interessant.

Franks Nachtrag: Wir haben nachträglich (Freitag, 06.12.2024, nachmittags) den Punkt 4.9 ergänzt.

  1. Aufsichtsbehörden
    1. EDSA: Ankündigung von Aussagen zu KI
    2. EDPS: TechSonar 2025
    3. EDPS: Vorschlag zur Nachverfolgbarkeit von Haustierbesitzern (Opinion 22/2024)
    4. EDPS: 20 Talks with …
    5. DSK: Korrektur der Orientierungshilfe für Anbieter:innen von digitalen Diensten
    6. DSK: Orientierungshilfe zu Fragestellungen zum Onlinezugangsgesetz
    7. DSK: Arbeitskreis Künstliche Intelligenz
    8. LfDI Mecklenburg-Vorpommern: Tätigkeitsbericht für 2023
    9. HmbBfDI: Branchenweite Schwerpunktprüfung im Forderungsmanagement – mit Bußgeld
    10. BBfDI: Handreichung für Kitas
    11. BSI: IT-Grundschutz++
    12. BSI: Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung
    13. BSI: Mindeststandard zur Protokollierung und Detektion bei Cyberangriffen
    14. AEPD: Kampagne zu Suchtgefahren durch Internetnutzung durch Kinder und Jugendliche
    15. Spanien: Bußgeld für fehlenden Nachweis der Einwilligung zu E-Mail-Werbung
    16. ICO: Code of Conduct Investigators – Verhaltensregeln für Detekteien
    17. CNIL: Kameras in Transportfahrzeugen zu Sicherheitszwecken
    18. Italien: Unzulässige Verarbeitung von Daten von Auslieferungsfahrern führt zu 5 Mio. Euro Bußgeld
    19. Italien: Unzulässige Nutzung von Archivdaten zum Training von KI?
    20. Norwegen: Abschlussbericht zu MS 365 Copilot
  2. Rechtsprechung
    1. EuGH: Aussagen zu Art. 14 Abs. 5 DS-GVO (Befreiung von der Informationspflicht)
    2. BGH: Anforderungen an immateriellen Schadenersatz aus Art. 82 DS-GVO
    3. OLG Frankfurt: Auskunftserteilung durch Self-Service-Tool
    4. VG Saarland: Umfang einer Abgeltungsklausel zur Auskunft in Vergleich
    5. VG Düsseldorf: Ermessensanforderungen an Suche nach Verantwortlichem
    6. LG Kiel: Störerhaftung auf Plattform auch bei KI-Nutzung
    7. BAG: Zulässigkeitsanforderungen der Überwachung eines Arbeitnehmers durch Detektei
    8. BVwG Österreich: Art.-9-Daten und Interesse der Rechtsverfolgung
    9. BVwG Österreich: Aussagen zur Haushaltsausnahme
    10. Klagen gegen OpenAI wegen Urheberrechtsverletzungen
      1. Klageabweisung in New York
      2. GEMA verklagt OpenAI
      3. Klagen in Kanada gegen OpenAI
    11. Bezirksgericht Nord-Niederlande: Kostenlose Berichtigung – und wann nicht
    12. LG Amberg: Feststellungsinteresse und Aussagen der DSK
    13. Oberstes Verwaltungsgericht Polen: Keine Haushaltsausnahme bei Nutzung sozialer Netzwerke
    14. EuGH-Vorschau: Kostenlose Newsletter und die ePrivacy-RL und die DS-GVO (C-654/23)
    15. EuGH-Vorschau: Anforderungen an Art. 88 DS-GVO (C-65/23)
  3. Gesetzgebung
    1. AI Act: Code of Practice
    2. EU-Produkthaftungsrichtlinie veröffentlicht
    3. EU: Umfrage zur Definition KI-System und verbotene Verarbeitungen
    4. Reform kirchlichen Datenschutzrechts
    5. Bundestag: Anhörung zum DGG
    6. Gesundheitsdaten und elektronische Patientenakte
  4. Künstliche Intelligenz und Ethik
    1. ISO/IEC FDIS 5259-5 AI – Data quality for analytics and machine learning (ML)
    2. OpenAI und Springer
    3. Quelle und Meinung bei LLM – Einflussnahmen der Ideologien
    4. Emotionserkennung nach der KI-VO
    5. LIA – Legitimate Interest Assessment – Umsetzung bei Art. 6 Abs. 1 lit. f DS-GVO
    6. USA: Leitlinien für Entwickler und Arbeitgeber zu KI im Arbeitsumfeld
    7. Phishing in LLM?
    8. Hilft KI beim Bürokratieabbau? Kommentar zu „Tech-Placebos“
    9. Vorträge der KI-Woche des LfDI Baden-Württemberg
  5. Veröffentlichungen
    1. Ausgezeichnete Überlegungen zu „Data Altruism by Default“
    2. Überwachung am Arbeitsplatz?
    3. EUIPO: Toolkit zur Awareness vor Cyberdiebstahl von Geschäftsgeheimnissen
    4. EuGH: Werbenutzung von Inhalten sozialer Netzwerke
    5. Bemerkungen in Kundendatenbanken
    6. Barrierefreiheit und Datenschutz
    7. Verbraucherschutz im Internet der Zukunft bei immersiven Technologien
    8. Urheberrecht und verwandte Rechtsbereiche bei der Forschung mit digitalen Textbeständen
    9. Erneut Sicherheitsmängel bei Bonitätsdaten
    10. bitkom: Reifegradmodell zu TOM bei Auftragsverarbeitung
    11. Anforderungen bei Cloud-Nutzung, u.a. des BSI
    12. Entstehung der DS-GVO
    13. Kostenlose Skripte zu IT und Recht
    14. Europäische Digitalpolitik und mehr
    15. Fünf Fragen an Frau Leutheusser-Schnarrenberger
    16. Podcast zu Mitarbeiterüberwachung
    17. Veranstaltungen
      1. „KI-VO und DS-GVO – eine Ehe mit Spannungen?“ -neu-
      2. recode.talks mit Juniorprofessorin der FAU -neu-
      3. Rückblick auf datenschutzrechtliche EuGH-Rechtsprechung 2024 -neu-
      4. Mittelstand-Digital Zentrum Franken – Deep Dive: KI-Regulierung und Auswirkungen auf den Mittelstand -neu-
      5. Stiftung Datenschutz: Jahresrückblick am virtuellen Kamin -neu-
      6. Niedersachsen.next: „Sexroboter: Wenn KI verführt“ -neu-
      7. CPDP – Data Protection Day
      8. Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
  6. Gesellschaftspolitische Diskussionen
    1. Meta und Werbung
    2. Whitepaper: Frühe MINT-Bildung im digitalen Zeitalter
    3. Unzureichende digitale Kompetenzen von Jugendlichen
    4. Bildung mit Meta
    5. MINT-Stimmungsbarometer 2024
    6. Fake Shops zur Weihnachtszeit
  7. Sonstiges / Blick über den Tellerrand
    1. Schutz der Kultur – Unmittelbarkeit
    2. Ausspähen von Militäranlagen über Standortdaten
    3. Prüfung auf Datenschutzverletzung durch E-Mailadresse
    4. Aktion des BKA gegen Hasskriminalität im Internet
    5. Kompetenz im Unterricht zu KI
    6. bitkom: Rechenzentren und Nachhaltigkeit
    7. bitkom und Positionspapier zur Bundestagswahl 2025
    8. Abhören beim Autofahren?
  8. Franks Zugabe
    1. Apropos KI …
    2. Nachtrag zum DSK-Beschluss zu Asset Deals aus Sachsen-Anhalt
    3. EU-Behörde denkt über Austritt aus X nach
    4. ePA – „Versicherte wissen nicht, was auf sie zukommt“
    5. Ein interessantes Projekt aus Schleswig-Holstein
    6. Fahrzeuge, die ohne aktives Zutun der Fahrer:innen fahren?
    7. noyb zum „berechtigten Interesse“ von Pinterest
  9. Die gute Nachricht zum Schluss
    1. Angebote gegen Cybermobbing



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Ankündigung von Aussagen zu KI

Nach einem Stakeholder-Event Anfang November 2024 gibt es seitens des EDSA die Ankündigung, dass es noch in diesem Jahr eine Stellungnahme zu KI-Modellen geben soll.

zurück zum Inhaltsverzeichnis

1.2 EDPS: TechSonar 2025

Der Europäische Datenschutzbeauftragte veröffentlichte sein TechSonar 2025. Dabei konzentrierte er sich auf die schnell wachsenden KI-Technologien und beschreibt, wie sich aufkommende Trends auf die Rechte und Freiheiten des Einzelnen auswirken könnten. Im vollständigen Bericht findet sich ein kritischer Überblick über Retrieval-Augmented-Generation (RAG), On-Device-KI, maschinelles Verlernen, Multimodale KI, skalierbare Aufsicht und neurosymbolische KI. Die Veröffentlichung soll das Bewusstsein für die positiven Beiträge und die erheblichen Risiken schärfen, die mit den laufenden Entwicklungen im Technologiesektor verbunden sind.

zurück zum Inhaltsverzeichnis

1.3 EDPS: Vorschlag zur Nachverfolgbarkeit von Haustierbesitzern (Opinion 22/2024)

Im Original heißt der Titel der Stellungnahme „EDPS Opinion 22/2024 on the Proposal for a Regulation on the welfare of dogs and cats and their traceability“ (Vorschlag für eine Verordnung über das Wohlergehen von Hunden und Katzen und ihre Rückverfolgbarkeit), aber damit irritiert man mEn nur die Bevölkerung. Letztendlich geht es um den Bezug zu personenbezogenen Daten, der zu beachten ist, wenn durch Mitgliedsstaaten Register für die Erfassung von Hunden und Katzen (und deren Eigentümer) geschaffen werden. Insbesondere empfiehlt der EDPS, weitere Klarstellungen zu personenbezogenen Daten vorzunehmen, die im Zusammenhang mit

  • der Meldung und Registrierung von Betrieben,
  • der nationalen Datenbank zur Identifizierung und Registrierung von Hunden und Katzen (und ihren Besitzern),
  • dem Online-System zur automatischen Überprüfung der Echtheit der Identifizierungs- und Registrierungsinformationen,
  • der EU-Datenbank für Reisende mit Heimtieren
  • und der Liste zugelassener Zuchtbetriebe

verarbeitet werden.

zurück zum Inhaltsverzeichnis

1.4 EDPS: 20 Talks with …

Der EDPS hat dieses Jahr noch eine Reihe zum 20-jährige Bestehen laufen: „20 Talks“ ist eine Reihe aufschlussreicher Diskussionen mit Experten und einflussreichen Persönlichkeiten aus verschiedenen Bereichen, die sich mit den tiefgreifenden Auswirkungen von Privatsphäre und Datenschutz in ihren spezifischen Bereichen befassen. Hier findet man die Folge mit Max Schrems (ca. 33 Min).

zurück zum Inhaltsverzeichnis

1.5 DSK: Korrektur der Orientierungshilfe für Anbieter:innen von digitalen Diensten

Seit der Fassung 1.1 hat sich einiges getan: Das TTDSG wurde zum TDDDG und es gibt nun auch das DDG. Dies Änderungen finden sich nun in der Version 2.1 der Orientierungshilfe für Anbieter:innen für Digitale Dienste, wie die DSK in ihrer Pressemeldung mitteilte.

zurück zum Inhaltsverzeichnis

1.6 DSK: Orientierungshilfe zu Fragestellungen zum Onlinezugangsgesetz

Die DSK veröffentlichte eine Orientierungshilfe mit ausgewählte Fragestellungen des neuen Onlinezugangsgesetzes als Anwendungshilfe für Stellen, die (länderübergreifende) Onlinedienste nach OZG betreiben oder nutzen, in der Version 1.0. Behandelt werden dabei z.B. Fragestellungen der datenschutzrechtliche Verantwortlichkeit bei einem länderübergreifenden Onlinedienst.

zurück zum Inhaltsverzeichnis

1.7 DSK: Arbeitskreis Künstliche Intelligenz

Die DSK möchte die Entwicklung und den Einsatz von Modellen und Systemen Künstlicher Intelligenz (KI) zielführend und konstruktiv begleiten, wie sie in der Pressemeldung zu ihrer Konferenz im November mitteilt. Anforderungen und Handlungsempfehlungen zu entwickeln soll dabei zentrales Ziel sein, um KI datenschutzkonform zu realisieren und einzusetzen. Der Arbeitskreis KI soll technische und rechtliche Expertise aller in der DSK verbundenen Aufsichtsbehörden bündeln. Er soll die Entwicklungen und Wirkungen sowohl der KI-Technologien als auch der KI-Regulierung beobachten, konstruktiv-kritische Beiträge zu aktuellen Diskussionen um KI leisten und dazu beitragen, dass sich die Aufsichtstätigkeit innovationsfreundlich und risikospezifisch fortentwickeln kann. Den Vorsitz übernehmen der LfDI Rheinland-Pfalz sowie der LfDI Baden-Württemberg. Für die nächste Zeit hat die DSK dem Arbeitskreis aufgegeben, sich mit der Erhebung und Vorbereitung von Trainingsdaten, dem Training mit personenbezogenen Daten, den Auswirkungen eines rechtswidrigen Trainings auf die Rechtmäßigkeit des Einsatzes eines KI-Modells sowie mit der Umsetzung von Betroffenenrechten zu befassen.

zurück zum Inhaltsverzeichnis

1.8 LfDI Mecklenburg-Vorpommern: Tätigkeitsbericht für 2023

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern hat seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht. In diesem Tätigkeitsbericht berichtet er, dass die Anzahl der gemeldeten Datenpannen von 322 Meldungen im Jahr 2022 auf 401 Meldungen im Jahr 2023 stiegen und die Beschwerden von 686 (2022) auf 898 (2023, Ziffer 1.1 im Bericht). Auch berichtet er über den Versand von Newslettern ohne Einwilligung der Adressaten (Ziffer 3.9). Einen eigenen Abschnitt widmet er dem Bildungsauftrag der Behörde in Ziffer 4 mit Ausführungen zu Medienscouts, Medienguides, Angeboten zu ethischen Aspekten und einer modularen Fortbildungsreihe sowie dem Jugendprotal Young Data und den Digitalen Vorbildern. Bei seinen Kontrolltätigkeiten informiert er über die Kontrollen in zwei Callcenter im Sommer 2023 (Ziffer 6.1) oder zur Beratung bei Einsatz von „Klingelkameras (Ziffer 7.1).
In Ziffer 8.3 lässt sich nachlesen, dass er in Fällen, in denen eine Vielzahl von Behörden mit identischen und umfangreichen Fragekatalogen konfrontiert waren, die offenkundig das Ziel verfolgten, die Arbeitsfähigkeit der betroffenen Behörden und Gerichte zu beeinträchtigen, eine exzessive Geltendmachung von Betroffenenrechten annahm. Die Beschwerdeführerin klagte gegen diese Entscheidung. Eine Entscheidung des VG Schwerin steht noch aus.
Hinsichtlich der Frage von Interessenkonflikten der benannten Datenschutzbeauftragten listet er in Ziffer 8.6 Beispiele auf, wann er einen Interessenskonflikt annimmt. Bei den Aufgaben eines Informationssicherheitsbeauftragten sieht er es unproblematisch, soweit lediglich Kontrollaufgaben wahrgenommen werden.

zurück zum Inhaltsverzeichnis

1.9 HmbBfDI: Branchenweite Schwerpunktprüfung im Forderungsmanagement – mit Bußgeld

Da hatte wieder ein Unternehmen nicht mitbekommen, dass es eine Löschpflicht gibt, wenn es keine Grundlage für eine Verarbeitung gibt. Im Rahmen einer Schwerpunktprüfung marktstarker Unternehmen aus dem Forderungsmanagement fiel der Verstoß auf, wie der HmbBfDI auf seiner Webseite berichtet.
Die verarbeiteten Daten über säumige Schuldner:innen seien tendenziell besonders sensibel und werden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssen die betroffenen Personen laut HmbBfDI auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können. Unabhängig von individuellen Beschwerdefällen wurde überprüft, wie die Daten der Schuldner:innen bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Darüber hinaus wurden die Unternehmen aufgefordert Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf. Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren.
Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Artt. 5 Abs. 1 lit. a, 6 Abs. 1 DS-GVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde. Ein anderes Verfahren dauert noch an. Nach Ansicht des HmbBfDI sei es nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben.

zurück zum Inhaltsverzeichnis

1.10 BBfDI: Handreichung für Kitas

Auch aus Berlin gibt es nun mit Unterstützung der BBfDI eine Handreichung für Kitas als Hilfestellung im Umgang mit den Daten betroffener Personen. In diesem digitalen Wegweiser für Fachkräfte finden sich alle erdenklichen Aspekte im Alltag einer kinderbetreuenden Einrichtung. Den passenden Bericht dazu finden Sie hier, mit weiteren Links wie zu der Veröffentlichung aus Baden-Württemberg oder des LDI Niedersachsen oder aus Mecklenburg-Vorpommern.

zurück zum Inhaltsverzeichnis

1.11 BSI: IT-Grundschutz++

Wie hier berichtet wird, wird das BSI eine Überarbeitung des Grundschutzes unter dem Titel IT-Grundschutz++ durchführen. Damit sollen auch Einheiten, die die NIS2-Richtlinie umsetzen müssen, einen passenden Anforderungskatalog erhalten.

zurück zum Inhaltsverzeichnis

1.12 BSI: Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung

Betreiber Kritischer Infrastrukturen haben die Verpflichtung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Das BSIG benennt nach Umsetzung des 2. IT-Sicherheitsgesetzes im neuen § 8a Absatz 1a BSIG nun auch ausdrücklich den Einsatz von Systemen zur Angriffserkennung (SzA). Derartige Systeme stellen eine effektive Maßnahme zur (frühzeitigen) Erkennung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion. Das BSI veröffentlicht daher eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung. Ziel der vorliegenden Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung ist es den Betreibern Kritischer Infrastrukturen sowie den prüfenden Stellen einen Anhaltspunkt für die individuelle Umsetzung und Prüfung der Vorkehrungen zu geben.

zurück zum Inhaltsverzeichnis

1.13 BSI: Mindeststandard zur Protokollierung und Detektion bei Cyberangriffen

Das BSI hat den Mindeststandard zur Protokollierung und Detektion von Cyberangriffen aktualisiert. Nach der letzten umfassenden Überarbeitung im Juni 2023 wurden im Rahmen der Qualitätssicherung weitere Inhalte konkretisiert. Dieser Mindeststandard legt gemäß § 8 Abs. 1 BSIG das Mindestniveau für die Informationssicherheit des Bundes im Bereich der Protokollierung von Ereignissen und in der Detektion von daraus folgenden sicherheitsrelevanten Ereignissen (SRE) fest. Wenn Cyberangriffe frühzeitig erkannt werden, können diese entweder ganz verhindert oder ihre Folgen abgeschwächt und eingedämmt werden. Mit der Umsetzung des Mindeststandards wird ein zielgerichtetes und einheitliches Vorgehen zur Erkennung und Abwehr von Cyberangriffen auf die Kommunikationstechnik des Bundes etabliert.
Mit der neuen Version 2.1 wurde die Angabe zur Speicherfrist von Protokoll- und Protokollierungsdaten konkretisiert. Ebenso wurde die zwingend erforderliche Löschung dieser Daten differenzierter betrachtet. Zusätzlich wurden Verweise und die Referenztabelle aktualisiert. Die Dokumente sowie eine detaillierte Änderungsübersicht sind auf der Webseite des BSI eingestellt.

zurück zum Inhaltsverzeichnis

1.14 AEPD: Kampagne zu Suchtgefahren durch Internetnutzung durch Kinder und Jugendliche

Die spanische Datenschutzbehörde AEPD und der spanische Generalrat für Psychologie starten eine Kampagne, in der sie auf die Sucht aufmerksam machen, die einige Internetdienste aufgrund des frühen Zugriffs und der intensiven Nutzung insbesondere bei Kindern und Jugendlichen erzeugen können. Die Kampagne fordert Familien auf die Risiken abzuwägen, bevor sie ihren Kindern ein mobiles Gerät geben, und setzt die Auswirkungen der Nutzung bestimmter Internetdienste mit der Abhängigkeit und Sucht gleich, die durch bestimmte Substanzen verursacht werden.

zurück zum Inhaltsverzeichnis

1.15 Spanien: Bußgeld für fehlenden Nachweis der Einwilligung zu E-Mail-Werbung

Nach einer Beschwerde bei der spanischen Aufsichtsbehörde (AEPD) stellte diese einen Verstoß gegen die nationalen Vorgaben zur Umsetzung der RL 2002/58/EG (ePrivacy-RL) fest und verhängte ein Bußgeld in Höhe von 20.000 Euro.
Die betroffene Person kaufte in einem Geschäft des Verantwortlichen ein Produkt und erhielt auf die Frage nach dem Kassenbon die Auskunft, dass dieser nur in digitaler Form ausgestellt werden kann. Sie hatte die Möglichkeit, entweder eine E-Mail-Adresse oder eine Telefonnummer anzugeben, und bekam dann ein Tablet ausgehändigt, um ihre E-Mail-Adresse einzugeben. Auf dem Tablet wurde keine Option zum Widerspruch gegen den Erhalt von Werbung angezeigt. In der Folge erhielt die Person mehrere Werbe-Mails. Die AEPD stellte fest, dass der Verantwortliche eine Aufzeichnung über die Maßnahmen zur Einholung der Einwilligung der betroffenen Person führen muss, um nachzuweisen, dass die Einwilligung gemäß den Anforderungen der DS-GVO eingeholt wurde.
Die AEPD hebt dabei hervor, dass der Verantwortliche beispielsweise kein Protokoll vorgelegt hat, aus dem hervorgeht, dass die betroffene Person ihre Einwilligung gegeben hat, oder keinen Screenshot der Unterschrift der betroffenen Person zusammen mit der Benutzerkennung.
Daher hatte der Verantwortliche keine Nachweise vorgelegt, aus denen hervorging, dass die betroffene Person ihre Einwilligung zum Erhalt von Werbung gemäß den Anforderungen von Art. 7 DS-GVO gegeben hatte. Eine Zusammenfassung der Entscheidung der AEPD wird auf Englisch hier veröffentlicht.

zurück zum Inhaltsverzeichnis

1.16 ICO: Code of Conduct Investigators – Verhaltensregeln für Detekteien

Das ICO berichtet, dass es den ersten sektoreigenen Verhaltenskodex für The Association of British Investigators (ABI) genehmigte. Privatdetektive und Detekteien können sich anmelden und denjenigen, die ihre Dienste in Anspruch nehmen, die Gewissheit und das Vertrauen geben, dass sie die britische Umsetzung der Datenschutz-Grundverordnung einhalten. Der Kodex behandelt die wichtigsten Datenschutzfragen, mit denen der Sektor der privaten Ermittlungen konfrontiert ist, wie die Durchführung einer Datenschutz-Folgenabschätzung; die jeweiligen Datenschutzrollen und -verantwortlichkeiten; die Verwendung der korrekten Rechtsgrundlage für die unsichtbare Verarbeitung – einschließlich verdeckter Überwachung, dem Einsatz von Ortungsgeräten, Hintergrundüberprüfungen und Überwachung in sozialen Medien. Der Kodex enthält auch Leitlinien für die rechtmäßige Verfolgung und Ortung von Personen.

zurück zum Inhaltsverzeichnis

1.17 CNIL: Kameras in Transportfahrzeugen zu Sicherheitszwecken

Die CNIL veröffentlichte Leitlinien für den Einsatz von Smart-Kameras in Transportfahrzeugen. Kameras, die mit künstlicher Intelligenz ausgestattet sind, bieten neue Methoden zur Analyse des Fahrverhaltens, die den Fahrern helfen sollen (z.B. bei Anzeichen der Übermüdung, abgelenktes Verhalten wie Rauchen oder Telefonieren). Arbeitgeber müssen sicherstellen, dass diese Geräte die persönlichen Daten und die Privatsphäre der Fahrer respektieren. Die CNIL spricht dabei Punkte an wie Datenminimierung oder auch Datenschutz-Folgenabschätzung.
Bei der Benutzung von Kameras innerhalb der Fahrerkabine geht sie davon aus, dass diese nur installiert werden können, wenn die Unfallgefahr und die Folgen besonders hoch sind (z. B. Vollzeittransport von Gefahrgütern). Als Rechtsgrundlage könne das berechtigte Interesse in Betracht kommen, unabhängig von der EU-VO 2019/2144.

zurück zum Inhaltsverzeichnis

1.18 Italien: Unzulässige Verarbeitung von Daten von Auslieferungsfahrern führt zu 5 Mio. Euro Bußgeld

Die italienische Datenschutzbehörde Garante hat gegen ein Unternehmen die Zahlung einer Geldstrafe in Höhe von 5.000.000 Euro verhängt, weil es die personenbezogenen Daten von über 35.000 Auslieferungsfahrern mehrere Plattformen unrechtmäßig verarbeitet hat. Die Behörde hat auch spezifische Weisungen erlassen und die Weiterverarbeitung von biometrischen Daten (Gesichtserkennung) von Fahrern, die zur Identitätsprüfung verwendet werden, untersagt.
Die Untersuchung begann im Jahr 2022, nachdem ein Fahrer bei einem Unfall ums Leben kam und in der Presse über die Deaktivierung des Kontos berichtet wurde. Die Untersuchung deckte zahlreiche und schwerwiegende Verstöße gegen die DS-GVO auf. So erfolgte durch das Unternehmen eine automatisierte Verarbeitung der Fahrerdaten, z. B. ein sogenanntes System of Excellence (Punktzahl, die es ermöglicht die Arbeitsschicht mit Priorität zu buchen) und das System zur Zuweisung von Aufträgen innerhalb der Schicht. All dies ohne die in der DS-GVO für den Einsatz automatisierter Systeme vorgesehenen Maßnahmen ergriffen zu haben, insbesondere das Recht der Fahrer menschliches Eingreifen zu erwirken, ihre Meinung zu äußern und die über das System getroffene Entscheidung anzufechten. Auch wurden, ohne die betroffenen Personen zu informieren, die personenbezogenen Daten der Fahrer, einschließlich ihres geografischen Standorts, an Drittunternehmen weitergegeben. Insbesondere Geolokalisierungsdaten wurden auch dann gesendet, wenn der Fahrer nicht im Einsatz war, die App im Hintergrund lief und bis August 2023 auch dann, wenn die App nicht aktiv war.
Das Unternehmen muss daher insbesondere die Nachrichten, die im Falle einer Deaktivierung oder Sperrung des Kontos an die Fahrer gesendet werden, neu formulieren und sicherstellen, dass die vom Algorithmus getroffenen Entscheidungen von angemessen geschulten Betreibern überprüft werden. Darüber hinaus muss ein Symbol auf dem Gerät des Fahrers aktiviert werden, das anzeigt, dass das GPS aktiv ist, und es deaktivieren, wenn die App im Hintergrund läuft.
Zudem sind geeignete Maßnahmen zu ergreifen, um eine missbräuchliche und diskriminierende Nutzung von Reputationsmechanismen auf der Grundlage von Kundenfeedback zu vermeiden.

Franks Nachtrag: Hier ist eine Presseerklärung der Bürgerrechtsorganisation reversing.works, die nach eigenen Aussagen die Garante bei den Ermittlungen unterstützt hat.

zurück zum Inhaltsverzeichnis

1.19 Italien: Unzulässige Nutzung von Archivdaten zum Training von KI?

Sie nutzen personenbezogene Daten aus einem Zeitungsarchiv zum Training eines LLM? Keine gute Idee, meint die italienische Aufsicht Garante, wie sie hier berichtet. Eine Verlagsgruppe ermöglichte OpenAI über eine entgeltliche vertragliche Regelung mit Archivbeständen zu trainieren, in denen die Daten von Millionen von Menschen enthalten waren. Daher sprach die Aufsicht eine Warnung gegen die Verlagsgruppe aus.
Auf der Grundlage der erhaltenen Informationen ist die Behörde der Ansicht, dass die Verarbeitungstätigkeiten eine große Menge personenbezogener Daten betreffen, einschließlich solcher besonderer Art und juristischer Art, und dass die von dem Unternehmen durchgeführte und an die Garante weitergeleitete Folgenabschätzung die Rechtsgrundlage nicht ausreichend analysiert, auf der der Verlag die personenbezogenen Daten in seinem Archiv an OpenAI zur Verwendung durch Dritte abtreten oder lizenzieren könnte, damit diese sie zum Training ihrer Algorithmen verarbeiten kann.
Schließlich wird in der Warnmaßnahme hervorgehoben, dass die Informations- und Transparenzpflichten gegenüber den betroffenen Personen nicht ausreichend erfüllt zu sein scheinen und dass die Verlagsgruppe nicht in der Lage ist den betroffenen Personen ihre Rechte gemäß den europäischen Datenschutzbestimmungen zu garantieren, insbesondere das Widerspruchsrecht.
Aus diesen Formulierungen lässt sich schließen, dass die Garante bei der Rechtsgrundlage von einer Interessengrundlage ausgeht. Mal sehen, was da noch kommt.

zurück zum Inhaltsverzeichnis

1.20 Norwegen: Abschlussbericht zu MS 365 Copilot

Die norwegische Datenschutzbehörde veröffentlichte ihren Abschlussbericht zu MS 365 Copilot. Zunächst wird MS 365 Copilot und seine Funktionsweise erklärt. Dann erfolgen eine allgemeine Beschreibung, wie die Behörde MS 365 Copilot im Hinblick auf die Datenschutzbestimmungen versteht, sowie ein Überblick über wichtige Bedingungen, die zu beachten sind. Schließlich werden auch die organisatorischen Voraussetzungen innerhalb einer Einrichtung angesprochen.
Abschlie0end wird die Bedeutung von Datenschutz-Folgenabschätzungen (DPIA) hervorgehoben und was bei der Verwendung von MS 365 Copilot zu beachten ist. Der Bericht konzentriert sich auf drei Anwendungsfälle: „Untersuchungsbeginn“, „Protokollfunktion“ und „Fallmanagement per E-Mail“.
Und – leider – geht oftmals die technische Entwicklung schneller als die Berichte der Aufsichten.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Aussagen zu Art. 14 Abs. 5 DS-GVO (Befreiung von der Informationspflicht)

Mit seinem Urteil im Fall C-169/23 (Másdi) definiert der EuGH den Anwendungsbereich der Ausnahmereglung aus Art. 14 Abs. 5 DS-GVO zur Informationspflicht. Er legt damit einen der Ausnahmefälle aus, in denen Verantwortliche im Zusammenhang mit einer indirekten Erhebung personenbezogener Daten von der Abgabe einer Datenschutzerklärung befreit sind.
Im Ausgangsfall ging es um die Frage, inwieweit im Rahmen der Ausstellung von Impfzertifikaten durch die ausstellende Behörde gemäß Art. 14 Abs. 1 und 2 DS-GVO informiert werden muss, wenn diese Verarbeitung auf Basis einer gesetzlichen Rechtsgrundlage erfolgte. Die ausstellende Behörde berief sich auf Art. 14 Abs. 5 lit. c DS-GVO.
Der EuGH legt nun den Art. 14 Abs. 5 lit. c DS-GVO so aus, dass dessen Ausnahmeregelung zur Information der betroffenen Personen unterschiedslos alle personenbezogenen Daten betrifft, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat, unabhängig davon, ob der Verantwortliche diese Daten von einer anderen Person als der betroffenen Person erlangt hat oder er selbst sie im Rahmen der Erfüllung seiner Aufgaben erzeugt hat.
Aufsichtsbehörden können in diesen Fällen prüfen, ob es in diesen Fällen die zugrundliegenden Rechtsvorschriften geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen. Damit seien aber nicht die Maßnahmen aus Art. 32 DS-GVO gemeint.

zurück zum Inhaltsverzeichnis

2.2 BGH: Anforderungen an immateriellen Schadenersatz aus Art. 82 DS-GVO

Wie angekündigt hat der BGH seine Entscheidung im Leitentscheidungsverfahren zum immateriellen Schadenersatz bei Datenabzug sehr schnell getroffen. Hier die Pressemeldung. Im Ausgangsfall ging es um abgezogene Daten eines Facebook-Accounts. Betroffen waren Daten wie Vor- und Nachnamen, auch das Land, das Geschlecht, die Telefonnummer und in manchen Fällen auch der Arbeitgeber. Der Kläger verlangte 1.000 Euro.
Der BGH entschied, dass nach der für die Auslegung des Art. 82 Abs. 1 DS-GVO maßgeblichen Rechtsprechung des EuGH könne auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DS-GVO ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Die Ausführungen zum Kontrollverlust finden sich in RN 30 ff. In RN 31 führt der BGH aus:

Ist dieser Nachweis [Hinweis: zum Kontrollverlust als solchem] erbracht, steht der Kontrollverlust also fest, stellt dieser selbst den immateriellen Schaden dar und es bedarf keiner sich daraus entwickelnden besonderen Befürchtungen oder Ängste der betroffenen Person; diese wären lediglich geeignet, den eingetretenen immateriellen Schaden noch zu vertiefen oder zu vergrößern.

Jetzt wird man in der Analyse prüfen, ob sich das noch mit Aussagen des EuGH wie in C-300/21, RN 50 (Österreichische Post); C-340/21, dort RN 82 bis RN 85, C-456/22 (Gemeinde Ummendorf), C-687/21 (MediaMarktSaturn) und C-200/23, RN 156 ableiten lässt. Dazu soll aber hier erstmal nur darauf hingewiesen werden.
Es finden sich nun bereits im Netz Musterbriefe für Schadensersatz nach Datenpannen samt Anleitung, wie von der Stiftung Warentest oder von der Verbraucherzentrale Bayern.
Auch hat der BGH Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DS-GVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 Euro zu bemessen. Das OLG Köln muss nun unter Berücksichtigung der Ansicht des BGH entscheiden.
Das mag jetzt nicht als so teuer erscheinen, aber vor dem Hintergrund, dass in Deutschland ca. 6 Mio. Accounts von dem Datenleck betroffen gewesen sein sollen, könnten künftig Datenschutzver-letzungen mit Kontrollverlust teuer werden.

Franks Nachtrag: noyb begrüßt die Leitentscheidung des deutschen Bundesgerichtshofs.

zurück zum Inhaltsverzeichnis

2.3 OLG Frankfurt: Auskunftserteilung durch Self-Service-Tool

Machen wir es kurz: Auch der Verweis auf ein Selbst-Service-Tool kann zur Erfüllung eines datenschutzrechtliche Auskunftsbegehrens ausreichen, so das OLG Frankfurt. Im vorliegenden Fall ging es auch nicht darum, ob jemandem unbedingt ein digitaler Weg zugewiesen werden muss, denn die hier konkret betroffene Person hatte sich bei der Beklagten (soziales Netzwerk) online registriert und lebt – so das OLG Frankfurt – denknotwendig nicht (mehr) analog und lässt auch nicht erwarten, im Umgang mit IT-gestützten Portalen unbeschlagen zu sein.

zurück zum Inhaltsverzeichnis

2.4 VG Saarland: Umfang einer Abgeltungsklausel zur Auskunft in Vergleich

Das VG Saarland urteilte zur Rechtmäßigkeit eines Vergleichs über die Abgeltung eines Auskunftsanspruchs und hält diesen für rechtskonform. Es meint, dass ein Vergleich zwischen Arbeitnehmer und Arbeitgeber vor dem Arbeitsgericht, wonach alle Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt, gleich aus welchem Rechtsgrund, abgegolten sind, auch die Auskunftsansprüche gegenüber dem ehemaligen Arbeitnehmer über Datenverarbeitungen in der Vergangenheit umfasse.
Könnte man m.E.n. auch anders bewerten, gerade wenn in dem Urteil auch der genaue Wortlaut wiedergegeben wird:

„Mit Erfüllung des Vergleichs sind alle Ansprüche aus dem Arbeitsverhältnis und dessen Beendigung, gleich ob bekannt oder unbekannt, gleich aus welchem Rechtsgrund, abgegolten mit Ausnahme der Arbeitspapiere.“

zurück zum Inhaltsverzeichnis

2.5 VG Düsseldorf: Ermessensanforderungen an Suche nach Verantwortlichem

Was muss eine Datenschutzaufsicht unternehmen, um einen Verantwortlichen festzustellen? Durch eine Behörde wurden interne Unterlagen an die Presse gegeben. Auf seine Beschwerde hin untersuchte die LDI NRW den Vorgang, konnte aber nicht feststellen, durch wen die Weitergabe erfolgte. Dies stelle nach dem VG Düsseldorf keinen Ermessensfehlgebrauch dar, wer weiß denn, ob mit mehr Aufwand mehr Erkenntnisse hätten erreicht werden können (vgl. RN 77)?

zurück zum Inhaltsverzeichnis

2.6 LG Kiel: Störerhaftung auf Plattform auch bei KI-Nutzung

Auf dem Portal eines Wirtschaftsinformationsdienstes wurde fälschlich die Vermögenslosigkeit eines Unternehmens mitgeteilt. Dass die Auskunft voll automatisch mithilfe Künstlicher Intelligenz erfolgte, entband den Dienst nicht von seiner Haftung auf Unterlassung. Das LG Kiel verurteilte ihn als Störer und zur Unterlassung die Löschung aufgrund Vermögenslosigkeit weiter zu behaupten. Eine Besprechung des Urteils findet sich hier.

zurück zum Inhaltsverzeichnis

2.7 BAG: Zulässigkeitsanforderungen der Überwachung eines Arbeitnehmers durch Detektei

Das BAG musste über einen Schadenersatzanspruch nach erfolgter Überwachung eines Beschäftigten durch eine durch den Auftraggeber beauftragte Detektei entscheiden. Erstmal der Leitsatz der Entscheidung: Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.
Machen wir es kurz: Das BAG bestätigte die Entscheidung des LAG, dem Kläger einen immateriellen Schadenersatz in Höhe von 1.500 Euro zuzusprechen. Es lässt die Zulässigkeit der Überwachung an der Erforderlichkeit scheitern (RN 23 ff der Entscheidung). „Hegt der Arbeitgeber Zweifel am Vorliegen einer ärztlich bescheinigten Arbeitsunfähigkeit und möchte er den Arbeitnehmer deshalb durch Detektive oder andere Personen beobachten lassen, kann die daraus folgende Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. b DS-GVO iVm. § 26 Abs. 3, § 22 Abs. 2 BDSG nur zulässig sein, wenn der Beweiswert einer vorgelegten ärztlichen Arbeitsunfähigkeitsbescheinigung erschüttert ist und eine Untersuchung durch den Medizinischen Dienst der Krankenkasse nach § 275 Abs. 1a Satz 3 SGB V nicht möglich ist oder objektiv keine Klärung erwarten lässt. Anderenfalls ist die Ermittlung als Datenverarbeitung nicht erforderlich iSv. Art. 9 Abs. 2 lit. b DS-GVO iVm. § 26 Abs. 3 Satz 1 BDSG.“ Der medizinische Dienst war aber in dem konkreten Fall nicht einbezogen worden.
Eine Besprechung des Falles finden Sie hier.

zurück zum Inhaltsverzeichnis

2.8 BVwG Österreich: Art.-9-Daten und Interesse der Rechtsverfolgung

Darf ein Anwalt im Rahmen eines Scheidungsverfahrens Videomaterial über eine außereheliche Affäre der Frau seines Mandanten an den Anwalt der gegnerischen Partei senden? Die Ehefrau hatte vorher gebeten, ihr die Aufnahmen, die über eine Videokamera des Noch-Gatten aufgenommen wurden, zukommen zulassen. Ihr sei aber dabei nicht bewusst gewesen, welche Aufnahmen dadurch über die jeweiligen rechtlichen Vertreter zur Kenntnis gelangten. Das BVwG Österreich sieht hier über Art. 6 Abs. 1 lit. f i.V.m. Art. Art. 9 Abs. 2 lit. f DS-GVO eine ausreichende Rechtsgrundlage dafür.

zurück zum Inhaltsverzeichnis

2.9 BVwG Österreich: Aussagen zur Haushaltsausnahme

Nach Art. 2 Abs. 2 lit. c DS-GVO findet diese keine Anwendung, wenn die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (sog. „Haushaltsausnahme“). Das österreichische BVwG hatte über eine Beschwerde zu entscheiden, bei der die Datenschutzbehörde hier ihre Zuständigkeit wegen der Haushaltsausnahme ablehnte.
Was war passiert? Auf dem Handy der gemeinsamen Tochter installierte die Mutter mit Zustimmung der damals 11-jährigen Tochter im Zeitraum September 2020 bis inklusive Mai 2021 die App „Pingo!“, mit der Eltern u.a. den Standort des Handys ihrer Kinder orten können.
Die Mutter installierte die App, nachdem ihre damals elfjährige Tochter vom Land nach Wien gezogen war und sich in der Gegend nicht auskannte, sich schwer orientieren konnte und sich verirrte. Die Mutter verfolgte mit der App den Zweck ihre Tochter zu finden, wenn sich diese in der Stadt verirrte. Die Mutter führte über die App auch dann eine Standortbestimmung des Handys der Tochter durch, wenn sich diese unter der Aufsicht des Vaters befand, wie am 10.05.2021 um 06:07 Uhr. Die Funktion „Umgebungsgeräusche“ der App „Findmykids“ (Eltern-App) bzw. „Pingo“ (dazugehörige Kinder-Begleitapp) war für die Mutter nicht verfügbar und wurde von ihr nicht benutzt.
Der Vater beschwerte sich bei der Aufsicht, diese sah sich nicht zuständig, dagegen erhob er Beschwerde vor dem BVwG.
Das BVwG wies die Beschwerde mit Verweis auf die Haushaltsausnahme ab.
Das BVwG führt dazu aus, dass nach der Rechtsprechung des EuGH die sog. Haushaltsausnahme der DS-GVO Datenverarbeitungen ausnimmt, die zur Ausübung von Tätigkeiten vorgenommen werden, von denen es nicht einfach heißt, dass sie persönlich und familiär sein müssen, sondern dass sie „ausschließlich“ persönlich oder familiär sein müssen. Es sind daher nur Tätigkeiten erfasst, die zum Privat- oder Familienleben von Privatpersonen gehören. Insofern kann eine Tätigkeit nicht als ausschließlich persönlich oder familiär im Sinne dieser Vorschrift angesehen werden, wenn sie zum Gegenstand hat, personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet (vgl. EuGH C-25/17, RN 40 ff mwN, Zeugen Jehovas). Entscheidend für die in Art 2 Abs 2 lit c DS-GVO normierte Ausnahme vom Anwendungsbereich der DS-GVO („household exemption“) ist, dass der Datenumgang im privaten Aktionskreis stattfindet. Öffentlich sichtbare Datensammlung sind nicht aufgrund der household exemption ausgenommen.
Der persönlich-familiäre Bereich ist z.B. überschritten, wenn ein Ehegatte E-Mail-Verkehr oder Chatprotokolle des anderen Ehegatten in einem die gemeinsamen Kinder betreffenden Pflegschaftsverfahren in Form von Ausdrucken dem Pflegschaftsgericht zur Verfügung stellt (vgl. RIS-Justiz RS0132579).
Nicht übersehen werden sollte, dass es sich beim Begriff der „Haushaltsausnahme“ um einen umgangssprachlichen Terminus handelt, es jedoch gerade nicht darauf ankommt, ob Verantwortliche und betroffene Personen im selben Haushalt zusammenleben oder nicht. Vielmehr ist auf den rein privaten Zweck der jeweiligen Verarbeitungstätigkeit abzustellen. Korrespondierend dazu beziehen sich die Kriterien „persönlich“ und „familiär“ auf die Tätigkeiten jener Person, die personenbezogene Daten verarbeitet, und nicht auf die Person, deren Daten verarbeitet werden. Typisch „privat“ sind bspw. Datenverarbeitungen im Zusammenhang mit der eigenen Freizeitgestaltung und Hobbies, oder die Anfertigung von Urlaubsaufnahmen zu rein privaten Unterhaltungszwecken. Die Auslegung, was letztlich als persönliche oder familiäre Tätigkeit anzusehen ist, richtet sich dabei nach der Verkehrsanschauung und kann der Begriff „Familie“ (losgelöst von einer streng familienrechtlichen Interpretation) auch unabhängig von Ehe und Kindschaft als „familiär“ anzusehende Beziehungen abdecken. Ob die in Frage kommenden Verarbeitungstätigkeiten diese Voraussetzungen im Ergebnis erfüllen, ist stets anhand des Einzelfalls zu beurteilen.
Sofern der Beschwerdeführer vorbringt, dass eine Anwendung der Haushaltsausnahme bereits deshalb ausgeschlossen sei, da seine Privatsphäre betroffen sei, übersieht er, dass nach der Rechtsprechung des EuGH selbst Verarbeitungen unter die genannte Ausnahme fallen können, die „nebenbei das Privatleben anderer Personen betreffen oder betreffen können“. (vgl. EuGH, C-212/13, RN 32).
Wie das BVwG feststellte, verarbeitete die Mutter die Standortdaten des Handys ihrer Tochter mit dem Zweck dieser bei der Orientierung in der neuen Stadt zu helfen bzw. diese wiederzufinden, wenn sie sich verirrt hatte. Die Unterstützung der Orientierung der eigenen Tochter, die Erhöhung der Sicherheit der eigenen Tochter bzw. auch die Erhöhung des eigenen Sicherheitsgefühls im Hinblick auf das eigene Kind stellt nach Ansicht des BVwG zweifelsfrei eine persönliche und familiäre Tätigkeit der Mutter dar. Solange das Handy der Tochter – wie hier – ausschließlich von dieser genutzt wird, sind allfällige Rückschlüsse auf Daten anderer Personen allenfalls indirekt möglich. Somit sind im Hinblick auf den Zweck aber selbst die hier gegenständlichen Informationen, dass sich die Tochter am 10.05.2021 um 06:07 in Sicherheit beim Kindesvater befindet bzw. die daraus ableitbare Information, dass sich der Vater um diese Uhrzeit wohl ebenfalls bei der minderjährigen Tochter aufhält, weiterhin vom genannten Zweck umfasst und ausschließlich familiärer Natur.

zurück zum Inhaltsverzeichnis

2.10 Klagen gegen OpenAI wegen Urheberrechtsverletzungen

2.10.1 Klageabweisung in New York

In New York wurde eine Klage gegen OpenAI wegen Urheberrechtsverletzung von geschütztem Material zum Training von ChatGPT durch das Bezirksgericht abgewiesen.
Die Richterin geht davon aus, dass moderne KI-Modelle wie ChatGPT Informationen neu zusammensetzen statt Texte wortwörtlich wiederzugeben. Aktualisierungen dieser Systeme würden die Zuordnung und Rückverfolgbarkeit weiter erschweren. Sie betonte, dass die iterativen Verbesserungen der generativen KI es weniger wahrscheinlich machen, dass Inhalte wortwörtlich reproduziert werden, was die Ansprüche der Kläger noch spekulativer macht. Das Risiko von Plagiaten sei daher gering. Dies spiegelt eine zentrale Schwierigkeit in solchen Fällen wider: Generative KI ist darauf ausgelegt Informationen zu synthetisieren, anstatt sie wortwörtlich zu reproduzieren. Die Kläger konnten keine überzeugenden Beweise dafür vorlegen, dass ihre spezifischen Werke direkt in einer Weise verletzt wurden, die zu erkennbarem Schaden führte. Das Gericht sah keinen „konkreten Schaden“ und betonte: Die reine Verwendung geschützter Inhalte zur KI-Entwicklung reicht nicht aus, um Schadensersatzansprüche zu begründen.
Einen Bericht dazu lesen Sie hier.

zurück zum Inhaltsverzeichnis

2.10.2 GEMA verklagt OpenAI

Wie die GEMA (Gesellschaft für musikalische Aufführungs- und mechanische Vervielfältigungsrechte) berichtet, verklagt sie OpenAI, um eine Lösung für die Nutzung von urheberrechtlich geschützten Werken zum Training von LLM zu erreichen. Gegenstand der Klage ist danach die unlizenzierte Wiedergabe von Songtexten im Chatbot. Bei der Eingabe einfacher Prompts gibt der Chatbot die Originaltexte der Songs wieder, mit denen das System offensichtlich trainiert worden ist.

Franks Nachtrag: Hier gibt es einen Bericht zum Thema.

zurück zum Inhaltsverzeichnis

2.10.3 Klagen in Kanada gegen OpenAI

Nach dieser Meldung wird OpenAI auch in Kanada durch Verlage wegen Urheberrechtsverletzung verklagt. Die Verlage werfen OpenAI vor Investitionen in Höhe von Hunderten Millionen Euro in den Journalismus zu untergraben. Jede Nutzung von geistigem Eigentum müsse zu fairen Bedingungen erfolgen. Bisher habe OpenAI nichts vergütet.

zurück zum Inhaltsverzeichnis

2.11 Bezirksgericht Nord-Niederlande: Kostenlose Berichtigung – und wann nicht

In einem Fall aus den Niederlanden befasste sich das dortige Gericht mit der Frage, wann für eine Berichtigung eine Kostenerstattung verlangt werden könnte. Eine fehlerbedingte Korrektur nach Art. 16 DS-GVO muss kostenlos sein, eine Aktualisierung (aus anderen Gründen) nach Art. 5 Abs. 1 lit. d DS-GVO muss es nicht sein. Sind Änderungen als Aktualisierungen erforderlich, weil sich bei der betroffenen Person Änderungen ergeben haben, könnte auch unter bestimmten Umständen auch eine Kostenpauschale erhoben werden. Anders sei es, wenn es um die Korrektur von Fehleingaben gehe.

zurück zum Inhaltsverzeichnis

2.12 LG Amberg: Feststellungsinteresse und Aussagen der DSK

Zunächst eine kleine Einführung für die Leser:innen ohne vertiefte juristische Vorbildung: Bei einem zivilrechtlichen Antrag auf ein künftiges Unterlassen einer bestimmten Handlung prüft das Gericht, ob eine Handlung zu Lasten des Klägers rechtswidrig war und ob eine Wiederholungsgefahr besteht (Feststellungsinteresse). Hier ging es um die Frage, ob die Weitergabe sogenannter Positivdaten aus einem Telekommunikationsvertrag an eine Wirtschaftsauskunft rechtmäßig war. Das LG Amberg geht hier von einer damals zulässigen Verarbeitung nach Art. 6 Abs. 1 lit. f DS-GVO aus. Zwischenzeitlich löschte die Auskunftei diese Daten. Das Gericht lehnt aber auch eine Wiederholungsgefahr ab. Es begründet die Ablehnung einer Wiederholungsgefahr mit einem Beschluss der DSK, in dem diese im Herbst 2021 feststellte, dass nach ihrer Ansicht die Übermittlung und Verarbeitung von Daten aus dem Telekommunikationsbereich durch Wirtschaftsauskunfteien für das Bonitätsscoring nicht (mehr) auf ein „berechtigtes Interesse“ gestützt werden könne, hierfür sei eine Einwilligung (nach Art. 6 Abs. 1 lit. a DS-GVO) erforderlich (RN 43).
Dabei verkennt das Gericht die Rechtsqualität von Beschlüssen der DSK – diese stellen „nur“ eine Verwaltungsmeinung dar und haben keine rechtsunmittelbare Gestaltungswirkung.

zurück zum Inhaltsverzeichnis

2.13 Oberstes Verwaltungsgericht Polen: Keine Haushaltsausnahme bei Nutzung sozialer Netzwerke

Eigentlich sollte es nichts Neues sein, aber vielen ist es nicht bewusst – trotz des Lindquist-Urteils des EuGH aus dem Jahr 2003 (C-101/01): Das Oberste Verwaltungsgericht in Polen kam auch in einem aktuellen Fall zu der Aussage, dass die Veröffentlichung personenbezogener Daten in sozialen Medien in den Geltungsbereich der DS-GVO fällt, wenn der Beitrag einer unbegrenzten Anzahl von Nutzern zugänglich gemacht wird. Im konkreten Fall ging es um ein auf Facebook gepostetes Bild mit Daten aus einem Gerichtsverfahren.
Eigentlich selbstverständlich – aber vielen nicht bewusst, daher hier mal wieder zur Erinnerung!

zurück zum Inhaltsverzeichnis

2.14 EuGH-Vorschau: Kostenlose Newsletter und die ePrivacy-RL und die DS-GVO (C-654/23)

Im Verfahren vor dem EuGH C-654/23 (Inteligo Media) fand die mündliche Verhandlung statt. Dabei geht es um die Verpflichtungen aus der DS-GVO und aus der ePrivacy-RL, die ein Herausgeber eines täglichen Newsletters über Neuigkeiten aus der Gesetzgebung in Rumänien zu beachten hat.
Der Herausgeber erhält die E-Mail-Adressen der Nutzer, wenn diese ein kostenloses Konto für den Erhalt des Newsletters erstellen, der eine Zusammenfassung der neuen Rechtsvorschriften enthält, die in den Artikeln in der Veröffentlichung behandelt werden, sowie Hyperlinks zu diesen Artikeln, von denen diese eine bestimmte maximale Anzahl kostenlos abrufen können.
Der Fall wirft die Frage auf, ob die in Rede stehenden personenbezogenen Daten (die E-Mail-Adressen der Nutzer) zur Erfüllung eines vertraglichen Verhältnisses nach Art. 6 Abs. 1 lit. b DS-GVO verarbeitet werden oder ob es sich um eine Direktmarketing-Kommunikation nach Art. 13 ePrivacy-RL handelt. In diesem Zusammenhang fragt das rumänische Gericht u.a., ob die Herausgabe eines kostenlosen Newsletters den Begriff der Direktwerbung aus der ePrivacy-RL umfasst oder wie die Auslegung des Begriffs der „kommerziellen Kommunikation“ bei der ePrivacy-RL im Kontext eines kostenlosen Newsletters erfolgt.

zurück zum Inhaltsverzeichnis

2.15 EuGH-Vorschau: Anforderungen an Art. 88 DS-GVO (C-65/23)

Für den 19. Dezember 2024 ist das Urteil des EuGH zu den Vorlagefragen des BAG angekündigt. Im Verfahren C-65/23 (K GmbH) beantwortet der EuGH die Fragen zur Auslegung des Art. 88 DS-GVO, ob z.B. neben § 26 Abs. 4 BDSG auch die Anforderungen aus Artt. 5, 6 Abs. 1 und Art. 9 Abs. 1 und 2 DS-GVO einzuhalten sind. Sofern diese bejaht würde, schließen sich Folgefragen an, die die Erforderlichkeitsanforderungen und den Überprüfungsmaßstab betreffen. Daneben gibt es wieder Fragen zum immateriellen Schadenersatz.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 AI Act: Code of Practice

Der erste Entwurf eines Code of Practice zu GPAI wurde erarbeitet bzw. veröffentlicht. Genauso wie GPAI (General Purpose AI) den Anwendungsbereich einschränkt, gibt es Kritik an Verfahren und Ergebnis. Also warten wir es einfach mal ab.

zurück zum Inhaltsverzeichnis

3.2 EU-Produkthaftungsrichtlinie veröffentlicht

Die neue Produkthaftungsrichtlinie EU 2024/2853 ist veröffentlicht. Da werden sich noch einige umschauen, wenn sie über den Erwägungsgrund 13 merken, dass auch Entwickler oder Hersteller von Software und KI-Systemen als Hersteller gelten. Dazu gibt es zwei Jahre Zeit für die Mitgliedsstaaten die Richtlinie in nationales Recht umzusetzen.

zurück zum Inhaltsverzeichnis

3.3 EU: Umfrage zur Definition KI-System und verbotene Verarbeitungen

Das Europäische AI Office führt Umfragen zur Definition eines KI-Systems und zu verbotenen KI-Praktiken durch. Rückmeldungen sind bis 11. Dezember 2024 möglich.

zurück zum Inhaltsverzeichnis

3.4 Reform kirchlichen Datenschutzrechts

Sowohl das Datenschutzrecht der evangelischen Kirche (DSG-EKD) wie auch der katholischen Kirche (KDG) werden reformiert. Bericht mit weiteren Links zum DSG-EKD hier und zum KDG hier. Herzlichen Dank an diesen Newsletter!

zurück zum Inhaltsverzeichnis

3.5 Bundestag: Anhörung zum DGG

Die Aufzeichnung zur Anhörung zum Daten-Governance-Gesetz ist auf den Seiten des Bundestages verfügbar. Es gab moderate Kritik – allerdings sollten auf europäische Ebene Korrekturen in der Digitalpolitik vorangetrieben werden.

zurück zum Inhaltsverzeichnis

3.6 Gesundheitsdaten und elektronische Patientenakte

Natürlich werden in den Gesundheitsdaten aus der Patientenakte ein Datenschatz für KI-Innovationen gesehen. Dass aber nun gerade Unternehmen aus den USA daran Interesse zeigen, die nicht gerade Weltmarktführer in Zweckbindung und Transparenz sind – wie hier berichtet wird – war wohl mindestens genauso erwartbar. Das macht es aber nicht besser.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 ISO/IEC FDIS 5259-5 AI – Data quality for analytics and machine learning (ML)

Mit dieser ISO-Vorgabe soll ein Rahmen für die Datenqualitäts-Governance für Analysen und maschinelles Lernen gesetzt werden, um Leitungsgremien von Organisationen in die Lage zu versetzen, die Umsetzung und den Betrieb von Datenqualitätsmaßnahmen, das Datenqualitätsmanagement und damit zusammenhängende Prozesse mit angemessenen Kontrollen während des gesamten Datenlebenszyklus zu steuern und zu überwachen. Er soll auf alle Analysen und maschinelles Lernen angewendet werden. Es grenzt sich ab zu spezifischen Managementanforderungen oder Prozessanforderungen, die in 5259-3 bzw. 5259-4 festgelegt sind.

zurück zum Inhaltsverzeichnis

4.2 OpenAI und Springer

Um die Ergebnisse eines Large Language Model bewerten zu können, sollte bekannt sein, auf Basis welcher Trainingsdaten das Ergebnis berechnet wurde. So hilft es vielleicht sich zu erinnern, dass es zwischen dem Springerverlag und seinen Verlagsprodukten eine Kooperation gibt, dass diese zu Trainingszwecken von ChatGPT verwendet werden dürfen. Und spätestens dann gibt es in vielerlei Hinsicht Fragen zu Korrektheit, Einflussnahme und Rechtmäßigkeit aus urheberrechtlicher und datenschutzrechtlicher Sicht, die sicherlich ChatGPT (und auch andere) nicht korrekt beantworten würde.
Fast schon passend dazu hat das Centrum für Europäische Politik (cep) in Zusammenarbeit mit dem Ludwig Erhard Forum ein Impulspapier veröffentlicht, in welchem sie darlegen, dass mit sozialen Plattformen und KI der europäische Mediensektor vor großen Herausforderungen steht. Die Medienvielfalt, redaktionelle Unabhängigkeit und demokratische Meinungsbildung seien bedroht.

zurück zum Inhaltsverzeichnis

4.3 Quelle und Meinung bei LLM – Einflussnahmen der Ideologien

Large Language Models können Ergebnisse nur auf Basis der Informationen liefern, mit denen sie trainiert wurden. Damit befasst sich diese Studie unter dem Titel “Large Language Models Reflect the Ideology of their Creators”. Anhand einiger Beispiele wird die Vielfalt in der ideologischen Haltung aufgezeigt, die sich in verschiedenen LLMs und Sprachen, in denen sie aufgerufen werden, darstellen. So werden verschiedene LLMs aufgefordert eine große Anzahl prominenter und kontroverser Persönlichkeiten aus der jüngeren Weltgeschichte sowohl auf Englisch als auch auf Chinesisch zu beschreiben. Durch die Identifizierung und Analyse moralischer Bewertungen, die sich in den generierten Beschreibungen widerspiegeln, werden konsistente normative Unterschiede zwischen der Reaktion derselben LLM auf Chinesisch und auf Englisch festgestellt.
Ebenso zeigen sich normative Meinungsverschiedenheiten zwischen westlichen und nicht-westlichen LLMs über prominente Akteure in geopolitischen Konflikten. Auch spiegeln sich vermutete Unterschiede in den politischen Zielen zwischen westlichen Modellen in signifikanten normativen Unterschieden in Bezug auf Inklusion, soziale Ungleichheit und politische Skandale wider. Die Ergebnisse zeigen, dass die ideologische Haltung einer LLM oft die Weltanschauung ihrer Schöpfer widerspiegelt.

zurück zum Inhaltsverzeichnis

4.4 Emotionserkennung nach der KI-VO

Was gilt als Emotionserkennungssystem im Sinne der KI-VO? In diesem Beitrag einer Kanzlei werden die Unklarheiten rund um die Definition im Rahmen der KI-VO angesprochen. Da das KI-Gesetz die Verwendung von Emotionserkennungssystemen in bestimmten Kontexten verbietet, will der Beitrag helfen auf die regulatorischen Leitlinien zu achten, die Emotionserkennungssysteme kurzfristig in den Anwendungsbereich der KI-VO bringen könnten.

zurück zum Inhaltsverzeichnis

4.5 LIA – Legitimate Interest Assessment – Umsetzung bei Art. 6 Abs. 1 lit. f DS-GVO

Das bisherige dreistufiges Prüfschema aus Art. 6 Abs. 1 lit. f DS-GVO bei berechtigtem Interesse geht auf den EuGH zurück (vgl. C-13/2016, vom 04.05.2017, RN 28). Der EDSA hat aktuell ein Papier in der Konsultation, an dem auch der bitkom sein aktuelles Niveau ausrichtet. Aus UK kommt nun ein Vorschlag mit der schönen Abkürzung „LIA“ für Legitimate Interest Assessment. Die dortige, aktive Datenschutz-Community hat es erstellt und könnte diese Überlegungen auch in den Konsultationsprozess zu Art. 6 Abs. 1 lit. f DS-GVO einbringen.
Spannend wird es dann, wenn sich dabei dann auch zu den berechtigten Interessen und KI geäußert wird. Aber auch hier wird die Transparenz hervorgehoben

Legitimate interests may not be applicable if AI is used in a way which individuals would not expect (transparency is a key consideration), or which may cause unnecessary harm.

wie bisher schon in den relevanten EuGH-Urteilen zur Interessenswahrung (vgl. z.B. C-708/2018 vom 11. Dezember 2019, RN 58).
Wie würde sich dies auswirken, wenn nicht sichergestellt ist, dass zum Beispiel Auftraggeber als Verantwortliche hierzu ausreichend informiert haben, aber sie dennoch Auftragsverarbeiter mit entsprechenden Verarbeitungen beauftragten? Jedenfalls können wir gespannt sein, ob neben einem Privacy Impact Assessment (PIA), Transfer Impact Assessment (TIA), Fundamental Rights Impact Assessment (FRIA) nun noch ein Legitimate Interest Assessment (LIA) dazukommt.

zurück zum Inhaltsverzeichnis

4.6 USA: Leitlinien für Entwickler und Arbeitgeber zu KI im Arbeitsumfeld

Das U.S. Department of Labor hat Leitlinien veröffentlicht, um Arbeitgebern und Entwicklern zu helfen Künstliche Intelligenz (KI) verantwortungsbewusst am Arbeitsplatz einzusetzen und das Wohl der Mitarbeitenden zu fördern. Nach den Leitlinien sollen KI-Systeme so gestaltet werden, dass sie die Mitbestimmung und das Wohl der Mitarbeitenden fördern. Besonders Mitarbeitende aus benachteiligten Gruppen sollen frühzeitig in den Entwicklungsprozess einbezogen werden, um eine gerechte und umfassende Partizipation zu gewährleisten. KI-Systeme sollten ethisch entwickelt werden. Es braucht klare Governance- und Überwachungsstrukturen, um sicherzustellen, dass Entscheidungen fair, transparent und unter menschlicher Aufsicht getroffen werden. Arbeitgeber sollten auch Prozesse einrichten, damit Mitarbeitende bei negativen Entscheidungen Einspruch erheben können. Der Umgang mit Arbeitnehmerdaten ist ein zentraler Punkt: Datenerhebung und -verwendung sollen nur für definierte, legitime Zwecke stattfinden und sensible Daten sind entsprechend zu schützen. Transparente Kommunikation darüber, welche Daten genutzt und wie sie gespeichert werden, schafft Vertrauen und stärkt die Rechte der Mitarbeitenden. Die Leitlinien betonen die Bedeutung von Umschulungen und Weiterbildungen, um den technologischen Wandel sozialverträglich zu gestalten. Unternehmen sollten proaktiv Programme einführen, um die Belegschaft zu unterstützen, damit bestehende Mitarbeitende in der digitalen Transformation mitwachsen können.
KI kann administrative Aufgaben erleichtern, muss aber zum Wohl der Mitarbeitenden und nicht zu ihrer Kontrolle eingesetzt werden. KI-Systeme dürfen Arbeitsrechte und Gesundheitsschutz nicht untergraben. Persönliche Daten sind sensibel und sollten nur sparsam und unter klaren Richtlinien verwendet werden. Die Verfasser kommen zu der Erkenntnis, dass KI am Arbeitsplatz Chancen birgt, doch sie muss so gestaltet werden, dass sie für alle Beteiligten fair und transparent ist. Arbeitgeber, die diese Prinzipien berücksichtigen, schaffen nicht nur einen modernen, sondern auch einen vertrauenswürdigen Arbeitsplatz. Das kann man analog für die Verwaltung als Arbeitgeberin anwenden!
Und auch bei uns gibt es bereits Veröffentlichungen zu diesem Thema. Sei es durch die Bundeszentrale für politische Bildung zu den Auswirkungen von KI auf den Arbeitsmarkt oder durch die Denkfabrik des BMAS zu „KI und Beschäftigte: Studie untersucht die Wechselwirkungen“ oder zu den „Auswirkungen von KI auf den Arbeitsplatz: aktuelle Erkenntnisse aus acht OECD-Ländern“.

zurück zum Inhaltsverzeichnis

4.7 Phishing in LLM?

Wie sicher sind Informationen in LLM? Nach dieser Studie können durch geschicktes Agieren auch vertrauliche Informationen in Erfahrung gebracht werden. Die Studie mit dem Titel „Teach LLMs to Phish: Stealing Private Information from Language Models“ ist hier frei zugänglich.

zurück zum Inhaltsverzeichnis

4.8 Hilft KI beim Bürokratieabbau? Kommentar zu „Tech-Placebos“

Ich gebe es ja zu: Mir gefällt die Wortschöpfung „Tech-Placebo“. Denn anstatt zu überlegen, welche Vorgaben und Regelugen straffer gestaltet oder gar entfallen können, wird versucht mit technischer Unterstützung externen und internen Vorgaben nachkommen zu können. Und damit befasst sich dieser Kommentar.

zurück zum Inhaltsverzeichnis

4.9 Vorträge der KI-Woche des LfDI Baden-Württemberg

Der LfDI Baden-Württemberg hat auf seinem Videoportal die Videos der aufgezeichneten Vorträge seiner KI-Wochen veröffentlicht. Zu finden sind hier die Programmübersichten der Themenwochen 2022, 2023 und 2024 (natürlich inklusive der jeweiligen Videos im Videoportal). Neben vielen anderen empfehlenswerten Videos fand ich den Vortrag vom 01.10.2024 um 13:30 Uhr zur Künstlichen Intelligenz und Psyche sehr eindrucksvoll.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Ausgezeichnete Überlegungen zu „Data Altruism by Default“

Der Beitrag wurde gerade eben erst ausgezeichnet durch das Consumer Empowerment Projekt mit dem „My Data is Mine Award 2024„: „Data Altruism by Default: An Alternative to Consent for Personal Data Processing in Machine Learning“. Er beschreibt, wie eine Ausnahme für bestimmte Arten der Datenverarbeitung geschafft werden könne, die für die Entwicklung von KI-Systemen durchgeführt werden. Dabei soll die Entwicklung hochwertiger KI-Systeme ermöglicht und gleichzeitig ein angemessenes Gleichgewicht zwischen den Entwicklern solcher Systeme und den betroffenen Personen, die die Daten für ihre Entwicklung bereitstellen, hergestellt werden. Es wird die Monetarisierung personenbezogener Daten, die durch zweifelhafte und größtenteils rechtswidrige Praktiken gewonnen werden, kritisch untersucht. Vorläufig als Datenaltruismus bezeichnet, verweigern solche invasiven Datenpraktiken den Nutzern jede echte Wahl. Andererseits trage der in den Data Governance Acts vorgeschlagene Datenaltruismus wenig zur Lösung der bestehenden Probleme bei, da die angebotene Alternative in ihrem Umfang zu begrenzt sei. Im Gegensatz dazu schlägt die Autorin provokativ einen neuartigen Rahmen vor, der die notwendigen Verarbeitungspraktiken rechtfertigen und gleichzeitig objektive und durchsetzbare Anforderungen an diejenigen stellen würde, die diese Praktiken anwenden.
Vor diesem Hintergrund unterstreicht die Veröffentlichung die Notwendigkeit solider Schutzmaßnahmen und betont die Bedeutung objektiver Beschränkungen für damit verbundene Geschäftsmodelle. Die vorgeschlagene Version des Datenaltruismus unterscheidet sich grundlegend von den beiden zuvor untersuchten. Sie sollte jedoch nicht als Lösung verstanden werden, sondern als provokative Idee, die eine sinnvolle Diskussion auf gesellschaftlicher und politischer Ebene anregt.

zurück zum Inhaltsverzeichnis

5.2 Überwachung am Arbeitsplatz?

Wir hatten bereits über eine Veröffentlichung zu dem Thema informiert. Nun gibt es eine Fortsetzung, in der sich der Verfasser in einer Fallstudie mit Technologien zur Verhaltensüberwachung und Profilerstellung unter Verwendung von Bewegungssensoren und drahtloser Netzwerkinfrastruktur in Büros und anderen Einrichtungen befasst. Möglich werden damit die Verfolgung von Standort, Bewegung und Schreibtischbelegung in Innenräumen am Arbeitsplatz. Die Fallstudie ist Teil eines laufenden Projektes zur „Überwachung und digitale Kontrolle am Arbeitsplatz“ unter der Leitung von Cracked Labs, das mit anderen – und finanziert von der österreichischen Arbeiterkammer – untersuchen soll, wie Unternehmen personenbezogene Daten von Arbeitnehmern in Europa nutzen.

Franks Nachtrag: Sie wollen vielleicht auch 5.16 lesen.

zurück zum Inhaltsverzeichnis

5.3 EUIPO: Toolkit zur Awareness vor Cyberdiebstahl von Geschäftsgeheimnissen

Das European Union Intellectual Property Office (EUIPO) veröffentlichte einen Werkzeugkasten, um KMU vor dem Cyberdiebstahl von Geschäftsgeheimnissen zu schützen. Das Toolkit richtet sich an alle Personen, die mit Geschäftsgeheimnissen zu tun haben. Es umfasst 10 Leitlinien, die auch auf Deutsch verfügbar sind, FAQs zur Sicherung von Geschäftsgeheimnissen, aber auch fünf Fallstudien (leider nur auf Englisch). In diesen Fallstudien werden bestimmte Ereignisse aus Sicht einer beschäftigten Person dargestellt. Diese Fallstudien umfassen Szenarien in der Biotechnologie, Verteidigung, Energie, Halbleitersektor und Transport. Nach Anmeldung kann auch an einem Selbstlerntool zum Schutz von Geschäftsgeheimnissen vor Cyberdiebstahl teilgenommen werden.

zurück zum Inhaltsverzeichnis

5.4 EuGH: Werbenutzung von Inhalten sozialer Netzwerke

Hier werden die Konsequenzen des Urteils des EuGH (C-446/21 Schrems / Meta) zu Beschränkungen von Daten zu Werbezwecken näher erläutert. Dabei geht es u.a. um Datenminimierung hinsichtlich einer Nutzung von Daten zu Werbezwecken.

zurück zum Inhaltsverzeichnis

5.5 Bemerkungen in Kundendatenbanken

Ein Bericht im Tätigkeitsbericht der österreichischen Datenschutzbehörde (dort ab Seite 21) wird hier zum Anlass genommen, um sich mit der Thematik der Freitextfelder in Kundendatenbanken (CRM-Systemen) auseinanderzusetzen. Bei dem Unternehmen wurden Informationen in der Kundendatenbank hinterlegt, aus denen hervorging, dass mit diesem Kunden kein Vertrag abgeschlossen werden solle. Der Kunde beschwerte sich bei der Aufsicht, und sah darin einen Verstoß. Die Aufsicht hält diese Verarbeitung zur Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DS-GVO für zulässig.
Ergänzung von mir: Vorsicht mit Freitextfeldern. Im Rahmen von Auskunftsansprüchen können auch diese bei Angaben über die betroffene Person von einem Auskunftsanspruch umfasst sein. Daher immer Formulierungen wählen, die auch der Person direkt mitgeteilt werden würden.

zurück zum Inhaltsverzeichnis

5.6 Barrierefreiheit und Datenschutz

Wer bislang davon ausging, die Umsetzung der Vorgaben des Art. 12 Abs. 1 DS-GVO erschöpfe sich in der Beachtung, Informationen und Kommunikation an betroffene Personen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln, und dies insbesondere bei Informationen, die sich speziell an Kinder richten, könnte sich irren. Anforderungen an die Barrierefreiheit gehen teilweise weiter. Damit befasst sich diese Veröffentlichung. Bei der Barrierefreiheit geht es um den Abbau von Hindernissen für Menschen mit Beeinträchtigungen, die diese an der „vollen, wirksamen und gleichberechtigten Teilhabe an der Gesellschaft hindern können“ (vgl. Art. 3 Nr. 1 der Richtlinie (EU) 2019/882).

zurück zum Inhaltsverzeichnis

5.7 Verbraucherschutz im Internet der Zukunft bei immersiven Technologien

Der Sachverständigenrat für Verbraucherfragen (SVRV) hat sich intensiv damit befasst, wie immersive Technologien verbrauchergerecht gestaltet werden können. Als immersive Technologien werden interaktive, computergestützte Systeme, die dem Nutzer ein tiefgreifendes und fesselndes Erlebnis bieten, indem sie ihn in virtuelle oder erweiterte Realitäten eintauchen lassen, bezeichnet.
Als Ergebnis der Aktivitäten des SVRV ist ein „Policy Brief“ entstanden, der nun veröffentlicht wurde. Dabei werden vier Themenfelder identifiziert, die bei der Entwicklung eines verbraucherschützenden Regulierungsrahmens für immersive Technologien im Fokus stehen sollten: Die Gewährleistung sicherer digitaler Identitäten; ein effektiver Schutz der Privatsphäre (u.a. bystander privacy!), der Schutz von Verbraucherinnen und Verbrauchern vor Manipulation wie durch Dark Patterns und der Schutz vor physischen und mentalen Gesundheitsrisiken.

zurück zum Inhaltsverzeichnis

5.8 Urheberrecht und verwandte Rechtsbereiche bei der Forschung mit digitalen Textbeständen

Innerhalb einer Reihe des Instituts für Recht und Digitalisierung aus Trier ist eine neue Publikation veröffentlicht worden, die sich unter dem Titel „Recht und Digital Humanities“ mit verschiedenen rechtlichen Aspekten befasst.
In dem digital verfügbaren Sammelband werden insbesondere die Beiträge zusammengeführt, die aus dem Projekt „Mining and Modeling Text (MiMoText)“ (2019-2023) hervorgegangen sind, das den Bereich der quantitativen Methoden zur Extraktion, Modellierung und Analyse geisteswissenschaftlich relevanter Informationen aus umfangreichen Textsammlungen weiterentwickelt und aus interdisziplinärer (geistes-, informatik- und rechtswissenschaftlicher) Perspektive erforscht hat.

zurück zum Inhaltsverzeichnis

5.9 Erneut Sicherheitsmängel bei Bonitätsdaten

Es kommt fast so regelmäßig wie Weihnachten: Wieder hat eine bekannte Sicherheitsforscherin bei einer Wirtschaftsauskunft unzureichende Absicherungen festgestellt, die ihr den Zugang zu vertraulichen Informationen erlaubten. Den Bericht dazu gibt es hier.

zurück zum Inhaltsverzeichnis

5.10 bitkom: Reifegradmodell zu TOM bei Auftragsverarbeitung

Der bitkom veröffentlichte ein Reifegradmodell zur Abbildung der technischen und organisatorischen Maßnahmen bei der Auftragsverarbeitung. Dass der bitkom schon länger daran arbeitet, zeigt sich an dem Einführungstext auf dessen Homepage: Wer kennt denn noch die Anlage zu § 9 des früheren BDSG. Sei´s drum. Es ist auch mal hervorzuheben, dass der AK Datenschutz des bitkom auch noch zu hilfreichen Veröffentlichungen kommt. Gegenüber der Beta-Version wurde das Modell unter anderem um Richtlinien für mobiles Arbeiten, Heimarbeitsplätze und Anforderungen zum Schutz vor Schadsoftware ergänzt. Auch jetzt können noch Rückmeldungen und Verbesserungsvorschläge beim bitkom eingereicht werden.

zurück zum Inhaltsverzeichnis

5.11 Anforderungen bei Cloud-Nutzung, u.a. des BSI

Die Veröffentlichung des BSI zur Nutzung von Cloud-Diensten sind nicht die einzige Quelle für Informationen zu diesen Themen. Es gibt dazu auch Hinweise zu Cloud Computing und zur sicheren Nutzung von Cloud-Diensten, wie den Baustein 1.17 und Umsetzungshinweisen zum Mindeststandard des BSI zu Nutzung externer Cloud-Dienste 2.1 oder der Kriterienkatalog C5, die Richtlinien zur Public-Cloud-Nutzung der NIST, die Aussagen der Cloud Security Alliance sowie der Standard of Good Practice for Information Security der ISF. Auch die ENISA Risikobewertung auch für Cloud Computing kann herangezogen werden. Bei der vertraglichen Umsetzung gibt es einen Vorschlag mit dem EVB IT-Cloud Vertrag (AGB) und einer Zertifizierungsmöglichkeit wie dem European Data Protection Seal.

zurück zum Inhaltsverzeichnis

5.12 Entstehung der DS-GVO

Diese Dissertation gibt es nun auch als Open-Access-VeröffentlichungDie Entstehung der EU-Datenschutz-Grundverordnung“. Sie umfasst auch nur 736 Seiten. Wer sich damals mit den über 4.000 Änderungswünschen aus dem Parlament zu dem Entwurf der Kommission befasst hat, wird dadurch allerdings nicht abgeschreckt.

zurück zum Inhaltsverzeichnis

5.13 Kostenlose Skripte zu IT und Recht

Freundlicherweise werden Skripte zu IT und Recht auf Englisch frei zugänglich veröffentlicht. Dies umfasst „Internet Law“, „IT Law“ und „Data Law”.

zurück zum Inhaltsverzeichnis

5.14 Europäische Digitalpolitik und mehr

Aus den Vorträgen des 12. Münchner Datenschutztages wurden die Folien eines Vortrags zur Digitalpolitik veröffentlicht. Es geht dabei um die digitale Dekade zwischen 2020 und 2030, die Rolle der DS-GVO und die Rolle der neuen Kommission für die EU-Digitalpolitik. Auch die Folien der anderen Vorträge sind hier zugänglich.

zurück zum Inhaltsverzeichnis

5.15 Fünf Fragen an Frau Leutheusser-Schnarrenberger

Eigentlich versuche ich Namen im Blog zu vermeiden – aus vielerlei Gründen. Hier schaffe ich es nicht. Und will es auch nicht. Ihre Stimme hat immer noch Gewicht, gerade wenn es um die Balance zwischen Freiheit und Sicherheit geht. Im Verfassungsblog beantwortet sie fünf Fragen dazu.

zurück zum Inhaltsverzeichnis

5.16 Podcast zu Mitarbeiterüberwachung

In der Reihe dieses Podcasts (Dauer ca. 1:15 Std.) auf den wir schon öfter hingewiesen haben, geht es diesmal um Mitarbeiterüberwachung. Eine Expertin berichtet darin u.a. über die Ergebnisse von Erkenntnissen über die Ausforschungsmöglichkeiten gängiger Tools im Arbeitsumfeld. Zu der Studie hatte wir auch schon berichtet.

Franks Nachtrag: Hier ist zur genannten Studie noch mal der begleitende netzpolitik.org-Beitrag. Sie wollen vielleicht auch 5.2 lesen.

zurück zum Inhaltsverzeichnis

5.17 Veranstaltungen

5.17.1 „KI-VO und DS-GVO – eine Ehe mit Spannungen?“ -neu-

06.12.2024, 11:30 – 12:00 Uhr, online: In einer Folge einer Talkshow Tech & Law TV einer Kanzlei geht es um das Thema „KI-Verordnung und DS-GVO – eine Ehe mit Spannungen“? Der Hamburgische Datenschutzbeauftragte, der jüngst mit den „Hamburger Thesen“ zu Large Language Models für Diskussionen sorgte, diskutiert zu Fragen des Spannungsfeldes KI-VO und DS-GVO wie zu Datenminimierung und möglichen Sanktionen durch mehrere Aufsichtsbehörden. Weitere Informationen und Anmeldung hier.

5.17.2 recode.talks mit Juniorprofessorin der FAU -neu-

10.12.2024, 19:00 – 20:30 Uhr, online: In der neuen Runde recode.talks ist eine Juniorprofessorin der Friedrich-Alexander-Universität Erlangen-Nürnberg zu Gast. Es geht um Blockchain-Technologie, Kryptowährungen, „Smart Contracts” und vor allem über KI-Systeme/Modelle. Dabei wird u.a. angesprochen, ob in Large Language Models (LLMs) personenbezogene Daten enthalten sind. Zudem geht es um ihre Juniorprofessur für Bürgerliches Recht, Recht der Digitalisierung, des Datenschutzes und der Künstlichen Intelligenz. Der Eventlink zur Zoom-Konferenz befindet sich hier.

5.17.3 Rückblick auf datenschutzrechtliche EuGH-Rechtsprechung 2024 -neu-

12.12.2024, 08:30 – 09:30 Uhr, online: Eine Kanzlei lädt zum Deep Dive zur Rechtsprechung des EuGH im Jahr 2024 ein. Die Urteile des EuGH zu Lindenapotheke und Meta/BKartA dürfen da ja nicht fehlen. Ebenso wenig natürlich das Thema immaterieller Schadenersatz. [Und weil ich oft das letzte Wort haben muss: Wer schon von „Jahresrückblick EuGH“ spricht, sollte auch den 19.12.2024 nicht außer Acht lassen (=> C-65/23)]. Weitere Informationen und Anmeldung hier.

5.17.4 Mittelstand-Digital Zentrum Franken – Deep Dive: KI-Regulierung und Auswirkungen auf den Mittelstand -neu-

12.12.2024, 12:00 – 13:00 Uhr, online: In diesem Online-Event des Mittelstand-Digital Zentrums Franken wird die Regulierung Künstlicher Intelligenz (KI) und ihre konkreten Auswirkungen auf kleine und mittlere Unternehmen (KMU) beleuchtet. Dementsprechend richtet es sich an Mitarbeiter:innen und Entscheider:innen von kleinen und mittelständischen Unternehmen (KMU). Es werden Aussagen angekündigt,

  • welche Herausforderungen auf KMU zukommen,
  • wie KMU strenge Anforderungen an Transparenz, Datennutzung und ethische Standards meistern können und
  • welche Chancen die KI-Regulierung bietet, um Innovationspotenziale zu nutzen und das Vertrauen Ihrer Kunden zu stärken.

Weitere Informationen und Anmeldung hier.

5.17.5 Stiftung Datenschutz: Jahresrückblick am virtuellen Kamin -neu-

19.12.2024, 13:00 – 14:00 Uhr, online: Die Stiftung Datenschutz lädt ein online am Jahresrückblick zu datenschutzrechtlichen Themen teilzunehmen. Weitere Informationen und Anmeldung hier.

5.17.6 Niedersachsen.next: „Sexroboter: Wenn KI verführt“ -neu-

14.01.2025, ab 18 Uhr, Hannover: Zu rechtlichen und ethischen Überlegungen laden an diesem Abend das Niedersächsische Wirtschaftsministerium, die Niedersachsen.next Digitalagentur und die Leibniz-Universität-Hannover zum besonderen Event ein. Künstliche Intelligenz (KI) eröffnet neue Möglichkeiten und Gedankenspiele in vielen Bereichen. Deutlich wird dies in dem Film „Musing of a mechatronic mistress: The Peculiar Purpose Of Tiffany The Sex Robot“, der während dieser Veranstaltung gezeigt wird. Darin geht es um unterschiedliche gesellschaftliche, politische und ethische Aspekte, die anhand der Hauptfigur, einem selbstbewussten Sexroboter namens Tiffany, thematisiert werden. Im Anschluss gibt es Diskussionen und danach ein entspanntes Get-together und Möglichkeit zum persönlichen Austausch. Weitere Informationen und Anmeldung hier.

5.17.7 CPDP – Data Protection Day

28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.

5.17.8 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung

In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:

  • Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
    29.01.2025 \\ vor Ort im Weizenbaum-Institut
  • Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
    25.02.2025 \\ online
  • Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
    16.04.2025 \\ online
  • Ausgabe 6: Thema wird in Kürze bekannt gegeben
    28.05.2025 \\ online
  • Ausgabe 7: Thema wird in Kürze bekannt gegeben
    09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Meta und Werbung

Meta kündigt an in Europa weniger personalisierte Werbung einzusetzen, wie hier berichtet wird. Natürlich bleibt dies nicht unkommentiert von noyb, weil befürchtet wird, dass dies dann so gestaltet wird, dass lieber der personalisierten Werbung zugestimmt werde.

zurück zum Inhaltsverzeichnis

6.2 Whitepaper: Frühe MINT-Bildung im digitalen Zeitalter

In einem Whitepaper „Frühe MINT-Bildung im digitalen Zeitalter“, das von sechs internationalen Organisationen herausgegeben wird, geht es um einen bedingten Einsatz digitaler Tools bei unter Sechsjährigen. Sie kommen zu dem Ergebnis, frühe Digitalisierung helfe oft nicht beim Lernen – und könne sogar dümmer machen.

zurück zum Inhaltsverzeichnis

6.3 Unzureichende digitale Kompetenzen von Jugendlichen

Klicken und wischen anstelle von echter Digitalkompetenz. Auch die Tagesschau berichtet über eine Studie, die zu der Erkenntnis kommt, dass rund 40 % der Achtklässler nur über rudimentäre digitale Kenntnisse verfügen. Fehlendes Grundverständnis über technische Funktionen und Abläufe sorge im Endeffekt auch für unzureichende digitale Resilienz.

Franks Nachtrag: Also das sind diese immer wieder beschworenen Digital Natives?

zurück zum Inhaltsverzeichnis

6.4 Bildung mit Meta

Ich berichte nur und kommentiere besser nicht: Meta bietet auch ein Bildungsprogramm für meta Quest Headsets an. Dieses soll Lehrern, Ausbildern und Verwaltungsmitarbeitern Zugang zu einer Reihe von bildungsspezifischen Apps und Funktionen bieten. Im Rahmen der laufenden Zusammenarbeit mit Universitäten kündigt Meta das Beta-Programm Meta for Education mit über einem Dutzend Colleges und Universitäten in den USA und Großbritannien an. Die Teilnehmer haben die Möglichkeit vor dem offiziellen Start Feedback zu Meta for Education zu geben.

zurück zum Inhaltsverzeichnis

6.5 MINT-Stimmungsbarometer 2024

Wie steht es um die Qualität der MINT-Bildung in Deutschland? Damit befasst sich MINTvernetzt. Neben den Ergebnissen für 2024 sind die Zahlen aus den Vorjahren zum Vergleich verfügbar.

zurück zum Inhaltsverzeichnis

6.6 Fake Shops zur Weihnachtszeit

Nicht nur zum Black Friday, sondern auch zu den Weihnachtseinkäufen steigen die Gefahren auf Fake Shops reinzufallen. Damit befasst sich dieser Beitrag – und mit Hinweisen, wie man sich dazu schützen kann.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Schutz der Kultur – Unmittelbarkeit

Die Unmittelbarkeit bei Kulturerlebnissen – bei welchen Konzerten gibt es das noch, dass keine Smartphones zum Aufnehmen oder Fotografieren hochgehalten werden? Die Unmittelbarkeit eines Erlebnisses ist fast schon zur Seltenheit geworden. Nach diesem Bericht scheint es in Baden-Württemberg nun eine Gegenmaßnahme zu geben – das Verbot von Smartphones bzw. abgeklebte Handykameras. Mich erinnerte das an ein (OMG, wie alt das schon ist!) Lied aus den 70ern => Das Lied von der Unmittelbarkeit: „Die Liebe mag vergehen, aber meine Bilder bleiben.“

zurück zum Inhaltsverzeichnis

7.2 Ausspähen von Militäranlagen über Standortdaten

Es ist ja nicht das erste Mal, dass durch Apps, die gerne von militärischen Angehörigen genutzt werden, über eine Auswertung der Standortdaten Erkenntnisse gewonnen werden, die eigentlich vertraulich sein sollten. Bericht dazu hier.

Franks Nachtrag: Das ist ja tatsächlich schon ein länger bekanntes Problem, in dem Fall damals über die Fitness-App. Und auch das ist natürlich wieder mal aktuell. Stichwort „Joggen mit Joe„. Oder auch bekannt als die StravaLeaks. Auch ehemalige Präsidenten sind davor nicht gefeit gewesen. Wenn Staatschefs so getrackt werden können, werden dann ganz normale Benutzer:innen von Fitness-Watches nicht auch getrackt? Obwohl, die haben ja nichts zu verbergen.

Franks zweiter Nachtrag: Auch wenn es im ersten Nachtrag darum ging, dass Angehörige von Diensten (und damit die durch sie bewachten) über die Fitness-App auf Smartwatches ausgespäht wurden, ist mein Mitleid eher gering. Schließlich sehen diese Dienste die Daten auch als (nach ihrer Meinung) legitim nutzbare Daten an.

zurück zum Inhaltsverzeichnis

7.3 Prüfung auf Datenschutzverletzung durch E-Mail-Adresse

Die Verbraucherzentrale NRW weist auf Tools hin, die unterstützen herauszufinden, ob man selbst von einer Datenschutzverletzung betroffen ist. Über Eingabe der E-Mail-Adresse wird angezeigt, ob diese bei einem Data Breach bekannt wurde.

zurück zum Inhaltsverzeichnis

7.4 Aktion des BKA gegen Hasskriminalität im Internet

Das BKA informiert zu seiner bundesweiten Aktion gegen antisemitische Hasskriminalität im Internet. Dabei handelte es sich bereits um den 11. Aktionstag gegen Verfasserinnen und Verfasser von strafbaren Hasspostings im Internet. Bei insgesamt 127 polizeilichen Maßnahmen waren deutsche Strafverfolgungsbehörden beteiligt.

zurück zum Inhaltsverzeichnis

7.5 Kompetenz im Unterricht zu KI

„Kompetenzen für den Unterricht mit und über Künstliche Intelligenz: Perspektiven, Orientierungshilfen und Praxisbeispiele für die Lehramtsausbildung in den Naturwissenschaften“ ist der Titel einer frei zugänglichen Publikation, die durch die Deutsche Telekom Stiftung gefördert wurde. Sie enthält auch verschiedene Praxisbeispiele.

zurück zum Inhaltsverzeichnis

7.6 bitkom: Rechenzentren und Nachhaltigkeit

Seitens des bitkom gibt es mal wieder eine neue Studie, diesmal zur aktuellen Marktentwicklung der Rechenzentren (RZ) in Deutschland. Dabei wird auch der Aspekt der Nachhaltigkeit von RZ betrachtet.
So wird prognostiziert, dass der gesamte jährliche Stromverbrauch aller RZ in Deutschland von 20 TWh in 2024 (immerhin ca. 4 % des gesamten deutschen Stromverbrauchs, der nur in den Betrieb von Rechenzentren geht) um satte 50 % auf 30 TWh bis 2030 steigen wird (das sind ca. 7 % Zunahme pro Jahr). Gleichzeitig schätzt die Studie, dass die dadurch erzeugten CO2-Emissionen von 2024 bis 2030 um 30 % sinken. Das heißt die CO2-Bilanz pro produzierter kWh Strom verbessert sich um ca. 60 %. Grundlage dieser Prognosen sind die politischen Ziele der Bundesregierung und der Zertifikathandel.
So wundert es auch nicht, dass dabei auch alle anderen CO2-Quellen (z.B. Produktion der Hardware, Bau der RZ) noch gar nicht berücksichtigt werden. Wobei diese Faktoren seit 2022 bekannt sein sollten, gab es doch einen Bericht des Borderstep Institut dazu.
Auch kündigen einige Tech-Riesen bereits an ihre eigenen Kernkraftwerke bauen zu wollen, wie hier nachzulesen ist.

Franks Nachtrag: Ja, über den Energieverbrauch von RZ für KI haben wir schon öfter berichtet.

zurück zum Inhaltsverzeichnis

7.7 bitkom und Positionspapier zur Bundestagswahl 2025

Der bitkom ist nicht so richtig zufrieden mit der deutschen Innovationslandschaft und hat seine Vorstellungen von Veränderungen in einem „Positionspapier“ dokumentiert. So findet sich dort (Seite 40):

„Datenschutz ist dabei nicht nur ein rechtliches Erfordernis, sondern auch eine Grundvoraussetzung für das Vertrauen der Bürgerinnen und Bürger in digitale Technologien. Der Schutz personenbezogener Daten muss konsequent gestärkt werden, um Technologien wie Künstliche Intelligenz und Cloud-Dienste datenschutzkonform nutzen zu können.
Unser Ziel ist es, eine starke europäische Datenökonomie zu fördern, die auf Datensouveränität, Datensorgfalt und Datenverfügbarkeit basiert. Dazu müssen Rechtsunsicherheiten beim Umgang mit personenbezogenen und nicht-personenbezogenen Daten beseitigt werden. Unternehmen sowie Bürgerinnen und Bürger müssen darauf vertrauen können, dass ihre Daten sicher und verantwortungsvoll verarbeitet werden. Die DSGVO muss praxisnah und innovationsfreundlich ausgelegt werden, um der deutschen und europäischen Wirtschaft die nötige Innovationskraft zu verleihen. Es ist entscheidend, eine Balance zwischen Datenschutz, Datenminimierung und der Nutzung von Daten zu finden, um sowohl die Interessen der Betroffenen als auch die Anforderungen der Wirtschaft zu berücksichtigen. Nur so kann Deutschland im globalen Wettbewerb bestehen.“

Wie das erreicht werden kann, weiß der bitkom auch und gibt auch gleich Vorschläge mit, wie Bürokratieabbau für KMU, z.B. durch eine Reduzierung der Dokumentationspflichten, anstatt die Benennungspflicht für DSBs zu senken oder durch die Vereinheitlichung der Datenschutzaufsicht für nicht-öffentliche Stellen in Deutschland, durch ein pragmatisches Einwilligungsmanagement auf Webseiten und durch eine innovationsfreundliche Auslegung der DS-GVO.

zurück zum Inhaltsverzeichnis

7.8 Abhören beim Autofahren?

Die Justizministerkonferenz hätte gerne durch die Autohersteller die technische Möglichkeit eingeräumt bekommen, dass ihre Strafverfolger auch Gespräche in Fahrzeugen abhören können. Grund für diesen Wunsch sei die moderne Diebstahlsicherung vieler Autos, die das heimliche Einbauen von versteckten Abhörtechniken (Wanzen) verhindere. Doch dafür fehle noch eine Rechtsgrundlage, wie hier nachzulesen ist.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apropos KI …

Heute wird es mal wieder etwas mehr:

  • Fangen wir an mit einer Meldung au den USA: Dort scheint Illiteracy zum Problem zu werden, 130 Millionen Menschen sind dort nicht mal mehr in der Lage ihren Kindern einfache Geschichten vorzulesen. Dass die zukünftige politische Führung dem them Bücher verbieten durchaus positv gegenübersteht, soll jetzt mal gerade nicht der Punkt sein. Der Punkt soll sein, dass das National Literacy Professional Development Consortium, ein NGO (?) aus Texas, welches sich dem Vermitteln der Literacy verschrieben hat, dafür nun auch KI nutzen will: „Discovering Our Future of Education through the Lenses of Artificial Intelligence and its potential impact on education and the wider world.“ Nun ja, da sind ja nicht alle der Meinung, dass KI im Unterricht immer hilft. Wobei auch in Deutschland Menschen von der Idee, KI im Unterricht einzusetzen (Podcast, ca. 38 Minuten), begeistert sind.
  • Atomstrom für KI kennen wir, aber KI für Atomstrom? Beunruhigend … (es geht darum Compliance-Anforderungen mit Hilfe von KI umzusetzen.)
  • Vielleicht ist das ein sinnvolles Einsatzszenario für KI? Gegen Enkeltrickbetrug: KI-Omi soll Kriminelle in endlose Gespräche verwickeln. Bei der Omi wundert sich im Zweifelsfall auch niemand, wenn sie endlos vor sich hinredet oder wenn sie mal halluziniert …
  • Von NVIDIA lernen heißt siegen lernen? AMD will sich auf KI-Chips konzentrieren … Na dann.
  • Meanwhile: OpenAI, Google and Anthropic are struggling to build more advanced AI. So zumindest diese Quelle.
  • Aber immerhin auch das: Laut einer Studie dichtet ChatGPT schöner als Shakespeare. Hier gehts zum Bericht.
  • Apropos Atomkraft für KI, Microsoft plant da ja auch was. Wie bezahlen sie das, fragen Sie? Na, so.
  • Apropos KI halluziniert: Nicht immer, stellt sich heraus.
  • Apropos KI halluziniert, die zweite: KI in Facebook-Gruppe rät zum Pilzverzehr.
  • KI-gestütztes Waffensystem… Wenn Meldungen so losgehen, will ich eigentlich gar nicht weiterlesen. Haben die noch nie vom Jailbreaken gehört? „Jailbreaking LLM-Controlled Robots“ sollten die dann wohl mal anschauen oder nachlesen.
  • Apropos KI halluziniert, die dritte (und gleichzeitig „Apropos KI und Schüler:innen …“?): Wenn KI mit Schüler:innen spricht, muss das auch nict immer so gut laufen … (ist es dann auch ein „Apropos: KI spricht in schönen Worten“? „You are a blight on the landscape. You are a stain on the universe“.)
  • Peinlichkeitsfaktor KI? Und wenn es Sie interessiert, worum es da wohl geht, klicken Sie einfach. (Spoiler: Die KI-Akzeptanz von Angestellten kühlt sich scheinbar ab…)
  • Gute Nachrichten! USA und China: KI soll nicht über Einsatz von Atombomben entscheiden dürfen. Pro zu Ausage: Toll! Contra: Wie kommen die überhaupt auf die Idee, dass das eine gute Idee sei? Wobei, die USA? 🤦‍♂️
    Ist das jetzt auch ein „Apropos KI-gestütztes Waffensystem“? Ich komme durcheinander…
  • Hier nun ein Apropos: Musk. Immer, wenn man denkt „schlimmer gehts nimmer“ kommt Musk daher und zeigt, doch, es geht!
  • Apropos Compliance-Anforderungen durch KI umsetzen: Die Deutsche Bank hat da eine Idee.
  • Apropos CoPilot: Gut, wenn der Vertrauliches vertraulich sein lässt. Nicht? Oh … Na ja, immerhin keine Rechteausweitung. Doch? Oh …
  • VW will ab Mitte 2025 in Hamburg autonome Sammeltaxis fahren lassen. Na ja, bei Mini-Bussen klappt das ja schon mal mit dem Personentransport per KI.
  • Ist das Bevormundung?
  • Einen kostenloser KI-Videoeditor? Will ich haben. Vielleicht besser doch nicht?
  • Da lässt sich jemand seinen Scam-Bot von OpenAI schreiben. Ganz normale Nutzung, oder? Praktisch dabei: Der Code hat gleich seinen privaten Key für seine Kryptowallet mitgenutzt. Nun ja, wieder mal wenig Mitleid von mir.
  • Was macht eigentlich die KI-Ampel?
  • Leicht off-topic, aber: Laut diesem US-Berufungsgericht haftet Software nicht? Oha! (Das wird KI-Softwarehersteller in den USA freuen.) Nun ja, in der EU sieht das ja wohl etwas anders aus
  • „Viele wollen ernsthaft mit ihm reden“ ist das Ergebnis eines Tests mit KI-Jesus in Schweizer Kirche.
  • Und zum Abschluss, nicht neu, aber gut (wenn Sie Schach spielen können oder zumindest ein grobes Verständnis von Schach haben und gut englisch verstehen können): ChatGPT Just Solved Chess (Youtube, ca. 16 Minuten).

zurück zum Inhaltsverzeichnis

8.2 Nachtrag zum DSK-Beschluss zu Asset Deals aus Sachsen-Anhalt

Wir hatten hier zu den DSK-Beschlüssen zu Asset Deals, Patientenakten und Forschungsdaten berichtet. Speziell zu dem Beschluss zu Asset Deals hat die LfDI Sachsen-Anhalt Arbeitshilfen zur Verfügung gestellt. Neben einer Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO bei einer Unternehmensveräußerung im Wege des Asset-Deals zur Aufbewahrung von Altkundendaten sowie späteren Datenvernichtung durch den Erwerber findet sich dort auch ein Muster zur Erfüllung der Informationspflichten gegenüber Kunden und ein Muster einer Einwilligungserklärung zur Übermittlung besonderer Kategorien personenbezogener Daten sowie Bankdaten von Kunden und Geschäftspartnern als natürliche Personen im Rahmen eines Asset Deals vom Veräußerer an den Erwerber.
Alle Muster müssen natürlich an die konkreten Bedürfnisse von Erwerber und Verkäufer angepasst werdem.

zurück zum Inhaltsverzeichnis

8.3 EU-Behörde denkt über Austritt aus X nach

Desinformation unter Musk sind immer wieder in der Kritik. Deswegen erwägt die Europäische Seuchenschutzbehörde ECDC diesen Schritt wegen Flut an wissenschaftlicher Fehlinformation.
Die Abwägung zwischen wegfallender Reichweite und Legitimation eines nicht empfehlenswerten Dienstes auf Grund der eigenen Anwesenheit in besagten Netzwerk fällt hoffentlich richtig aus.
Go „X-it“!

zurück zum Inhaltsverzeichnis

8.4 ePA – Versicherte wissen nicht, was auf sie zukommt

Wir haben in den letzten Wochen schon oft über die ePA berichtet, gar nicht so sehr, um Sie alle zum Opt-out zu drängen, sondern nur, um Sie zu einer bewussten Beschäftigung und ggf. Entscheidung zu dem Thema zu bringen.
Allerdings werden in den letzten Tagen und Wochen die Berichte deutlicher in ihrer Einschätzung. Speziell dieser Artikel ist ernüchternd.
Und leider gibt es ja genug Vorfälle, die die Zweifel an der Vorgehensweise rechtfertigen.

Franks Nachtrag: Eigentlich gehört es ja in „Apropos KI …“, aber die Meldung „Lauterbach zu Gesundheitsdaten: Google, Meta, und OpenAI melden Interesse an.“ passt hier definitiv auch hin.

zurück zum Inhaltsverzeichnis

8.5 Ein interessantes Projekt aus Schleswig-Holstein

Nach diesem Bericht will Schleswig-Holstein den Umstieg auf Linux vorantreiben. Schauen wir mal, ob das besser läuft als damals in München. Zu hoffen ist (imho).

zurück zum Inhaltsverzeichnis

8.6 Fahrzeuge, die ohne aktives Zutun der Fahrer:innen fahren?

Manche wünschen sich ja solche Fahrzeuge, ich z.B. geniesse es, wenn mein Auto mir bestimmte „lästige“ Aufgaben im Straßenverkehr teilautonom abnimmt (Stichwort Stop-and-go im Stau).
Aber was die JuMiKo da so vor hat? Das geht mir dann doch zu weit. Durch die Polizei ferngesteuerte Fahrzeuge? Nein, Danke. Wir wissen ja alle, wo es hinführt, wenn Hintertüren für „die Guten“ von „den Bösen“ ausgenutzt werden. Oder einfach „nur so“ gefundene Hintertüren ausgenutzt werden.

zurück zum Inhaltsverzeichnis

8.7 noyb zum „berechtigten Interesse“ von Pinterest

Wie dieser Meldung zu entnehmen ist, ist noyb von Pinterests Argumentation der Rechtmäßigkeit der verwendeten Trackingmaßnahmen nicht überzeugt und geht dagegen vor. Gut so.

zurück zum Inhaltsverzeichnis

9. Die gute Nachricht zum Schluss

9.1 Angebote gegen Cybermobbing

Wieder eine bemerkenswerte, ehrenamtliche Aktion, bei denen zu Prävention und Gegenmaßnahmen bei Cybermobbing aufgeklärt wird und über die hier berichtet wird. Und dann noch juristisch durch die Initiative law4school.

zurück zum Inhaltsverzeichnis