Hier ist der 16. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 49&50/2024)“ – Die DVD-Edition.
Ein Hinweis, in dieser Woche gibt es noch einige spannende und auch neue Veranstaltungen so kurz vor Weihnachten.
- Aufsichtsbehörden
- EDSA: Guideline 02/2024 zu Art. 48 DS-GVO inkl. Konsultation
- EDSA: Rückmeldung des EDSA an das AI Office zur Rolle der Aufsichten
- EDSA: Erklärung zum zweiten Evaluierungsbericht zur DS-GVO
- EDPS: Reaktion der Kommission zu MS 365
- Bußgelder in Polen zu verschiedenen Fällen
- Österreich: Cookie-Bannergestaltung beim Internetauftritt des ORF
- Irland: Bußgeld wegen unzulässiger Videoüberwachung gegen kommunale Einrichtung
- Spanien: Löschen in der Blockchain
- CNIL: Werbung ohne Einwilligung führt zu 50 Mio. Euro Bußgeld
- Belgien: Gemeinsame Verantwortlichkeit bei Kundenbindungsprogramm
- Finnland: Verarbeitung zur Vertragserfüllung ist eng auszulegen
- Brasilien: Weiterhin Untersagung des KI-Trainings mit Daten für Meta-Produkte
- BSI und BKA: Leitfaden für Kommunen
- ENISA: Bericht zur Cybersicherheit in der EU
- BKartA: Überragende Bedeutung Microsofts für marktübergreifenden Wettbewerb
- Rechtsprechung
- EuGH: zur unmittelbaren Geltung von EU-Richtlinien (C-230/23)
- BVerfG: Beweisverwertungsverbote in Strafverfahren bei Datenschutzverletzungen
- ArbG Bonn: Verantwortlichkeit für Aktivitäten eines Betriebsrats
- BVwG Österreich: reCAPTCHA und die Notwendigkeit des Einsatzes
- OLG Schleswig-Holstein: Zulässigkeit der Einmeldung an Auskunftei
- EuG-Vorschau: Drittstaatentransfer bei Webseiten (T-354/22)
- EuGH-Vorschau: Urteil zur Erforderlichkeit einer geschlechtlichen Anrede (C-394/23)
- EuGH-Vorschau: Exzessive Anfragen an die Datenschutzaufsicht? (C-416/23)
- BGH-Leitentscheidungsverfahren: Jetzt gibt es eine Sammelklage des vzbv
- Gesetzgebung
- Einigung zur Vorratsdatenspeicherung?
- Bundesrat: Erprobung von Innovationen in Reallaboren etc.
- Hamburg: Geplante Änderung des Hamburger Datenschutzgesetzes
- EU: Verordnung zur Cybersicherheit von Managed Security Services
- Digitaler Fairnesscheck durch den Think Tank cerre
- EU: Digital-Strategie: 2. Meeting des AI Boards
- EU: Neue Produkthaftungsrichtlinie in Kraft
- EU Corrigendum zur VO 2018/1725
- Australien: Verbot von Sozialen Netzwerken für Personen unter 16 Jahren
- Künstliche Intelligenz und Ethik
- CIPL: Anwendung der Datenschutzgrundsätze auf Generative KI
- OpenAI und Täuschungen bei ChatGPT o1 Pro
- Boston Consulting: AI Maturity Matrix
- KI im öffentlichen Bereich (Rheinland-Pfalz)
- Unterschiede der verschiedenen Risiken nach DS-GVO, DSA und KI-VO
- AI Act: Die Macht der Standards
- AI Act im Spannungsfeld der Regulierung
- Risikomanagement nach Art. 10 KI-VO: DIN/TS 92004
- TÜV AI Assessment Matrix
- Weizenbaum-Institut: Die Symbiose von Generativer KI und die Arbeit
- Veröffentlichungen
- Verbandsklagen-Befugnis von noyb in der EU
- Koks, Nutten und der Datenschutz
- EuGH und Art. 82 DS-GVO
- Eurocloud: Whitepaper zu Confidential Computing
- Gesichtserkennung im Strafrecht
- Podcast zur BGH-Leitentscheidung
- Podcast zu Datenschutz, Biases, Urheberrecht und KI
- GDD: Statement zu „Consent or pay”
- Zulässigkeit von Kaltakquise
- LinkedIN und Nutzungsbedingungen
- Veranstaltungen
- „Update zu Microsofts Data Protection Addendum“ -neu-
- DGRI: “Torn in the USA” Internationale Datentransfers am Scheideweg -neu-
- Stiftung Datenschutz: Jahresrückblick am virtuellen Kamin
- Niedersachsen.next: „Sexroboter: Wenn KI verführt“
- CPDP – Data Protection Day
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- BSI: 1. IT-Grundschutztag 2025 -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Guideline 02/2024 zu Art. 48 DS-GVO inkl. Konsultation
Nach Art. 48 DS-GVO gelten Anforderungen von Behörden im Drittstaattransfer außerhalb von Rechtshilfeabkommen als unzulässig.
In einer stark vernetzten Welt erhalten Organisationen Anfragen von Behörden in anderen Ländern zur Weitergabe personenbezogener Daten. Der Austausch von Daten kann beispielsweise dazu beitragen Beweise im Falle von Straftaten zu sammeln, Finanztransaktionen zu überprüfen oder neue Medikamente zu genehmigen. Wenn eine europäische Einrichtung einen Antrag auf Datenübermittlung von einer Behörde eines „Drittlandes“ (d. h. einer Behörde außerhalb Europas) erhält, muss sie die DS-GVO einhalten. Darauf geht der EDSA in seiner Leitlinie ein und stellt klar, wie Organisationen am besten beurteilen können, unter welchen Bedingungen sie rechtmäßig auf solche Anfragen reagieren können. Auf diese Weise sollen die Leitlinien Organisationen helfen eine Entscheidung darüber zu treffen, ob sie personenbezogene Daten rechtmäßig an Behörden von Drittländern übermitteln können, wenn sie dazu aufgefordert werden. Nun hat der EDSA eine Konsultation zu dieser Leitlinie angeboten, Rückmeldungen werden bis 27. Januar 2025 erwartet.
1.2 EDSA: Rückmeldung des EDSA an das AI Office zur Rolle der Aufsichten
Der EDSA veröffentlichte seine Antwort auf den Brief des AI Office zur EDPB-Erklärung zur Rolle der Datenschutzbehörden (DPAs) im Rahmen der KI-VO. Wenig überraschend möchte der EDSA mit dem AI Office im Gespräch bleiben, nicht nur, weil die Datenschutzaufsichten bei Hochrisiko-KI eingebunden werden sollten, sondern auch, weil sie eine Stellungnahme zu KI-Modellen erarbeiten.
1.3 EDSA: Erklärung zum zweiten Evaluierungsbericht zur DS-GVO
Der EDSA betont in seiner Erklärung zum zweiten Bericht zur DS-GVO, dass er die Berichte der Europäischen Kommission und der Agentur für Grundrechte begrüßt. Wichtig ist für ihn, dass die Bedeutung der Rechtssicherheit und der Kohärenz der digitalen Gesetzgebung mit der DS-GVO und weiteren laufenden Initiativen beachtet wird. Der EDSA kündigt zudem an die Bereitstellung von Informationen für Nichtfachleute, kleine und mittlere Unternehmen (KMU) und andere Gruppen zu intensivieren. Das geht natürlich nur mit weiteren Ressourcen.
1.4 EDPS: Reaktion der Kommission zu MS 365
Bis 9. Dezember 2024 hatte der EDPS der EU-Kommission eine Frist gegeben, um den Einsatz von MS 365 den Vorgaben des EDPS anzupassen. Nun informiert der EDPS, dass am 06.12.2024 eine Rückmeldung der Kommission eingegangen sei. Parallel laufen zwei EuGH-Verfahren, die sich mit der Entscheidung des EDPS befassen: Die Kommission klagt dagegen (EuGH T-262) und auch Microsoft (EuGH T-265/24).
1.5 Bußgelder in Polen zu verschiedenen Fällen
Von wegen, deutsche Aufsichten sind so hartnäckig. Ein Blick nach Polen zeigt, dass es in anderen Mitgliedstaaten durchaus auch mal Bußgelder gibt. Wie z.B. in diesem Fall, in dem bei einem Gesundheitsunternehmen durch einen erfolgreicher Hackerangriff stattfand (330.000 Euro), bei einem unzureichenden Schutz bei einer Unterschriftenaktion (2.500 Euro) und bei einem unzureichenden Schutz bei Beschäftigtendaten auf einem unverschlüsselten USB-Stick, der verloren ging (54.000 Euro).
1.6 Österreich: Cookie-Bannergestaltung beim Internetauftritt des ORF
Die österreichische Datenschutzbehörde (DSB) veröffentlichte einen nicht rechtskräftigen Bescheid gegen den Sender ORF, in dem sie dessen Gestaltung des Einwilligungsbanners auf der Webseite kritisierte („Dark Patterns“). Neben der Gestaltung kritisierte die DSB die fehlende Einwilligung für die Auswertung für statistische Zwecke durch Cookies, die vor einer Einwilligung bereits gesetzt wurden. Im Ergebnis erwartet die DSB, dass der ORF seine Gestaltung und den Einsatz von Cookies innerhalb von sechs Wochen anpasst.
1.7 Irland: Bußgeld wegen unzulässiger Videoüberwachung gegen kommunale Einrichtung
Die irische Datenschutzaufsicht informiert, dass sie gegen das Sligo County Council ein Bußgeld in Höhe von 29.500 Euro verhängte. Weder verfügte das Council über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten aus Videoüberwachungs- und automatischen Kennzeichenerkennungskameras (ANPR), noch gab es eine angemessen formulierte und platzierte Beschilderung in Bezug auf die Verarbeitung personenbezogener Daten, die über die Videokameras erfasst wurden. Auch gab es keine Datenschutz-Folgenabschätzung. Das Council muss die Überwachung mittels Video an einigen Standorten nun unterlassen, bis eine gültige Rechtsgrundlage vorliegt.
1.8 Spanien: Löschen in der Blockchain
Die spanische Aufsicht AEPD veröffentliche einen technischen Hinweis zu Löschmöglichkeiten in einer Blockchain. Das Ganze unterstützt sie durch Videos (auf YouTube in Spanisch und Englisch, jeweils ca. 16 Min. Dauer). Der technische Hinweis beschreibt die Grundlagen von Blockchain-Infrastrukturen und erläutert die im Rahmen dieser Technologie verwendeten Konzepte aus der Perspektive des Datenschutzes. Er erörtert auch reale Fälle von Änderungsimplementierung und Governance-Management, die in solchen Infrastrukturen üblich sind. Anschließend werden Strategien, einschließlich organisatorischer und technischer Maßnahmen, für die Umsetzung des Rechts auf Löschung in einer Blockchain-Infrastruktur entwickelt. Nachdem die Komponenten einer realen, weit verbreiteten Blockchain-Infrastruktur analysiert und dokumentiert wurden, werden sie schließlich in einem Anwendungsfall praktisch angewandt, bei dem es um die Löschung der Aktivitäten eines Nutzers geht, einschließlich Informationen im Zusammenhang mit Smart-Contracts.
Während es bereits frühere Arbeiten zur Verwaltung der Löschung von Informationen in einer Blockchain-Infrastruktur gibt, handelt es sich bei diesem Proof of Concept nach Ansicht der AEPD um einen voll funktionsfähigen, dokumentierten und speziell auf die Einhaltung der DS-GVO ausgerichteten Demonstrator, ohne den Anspruch zu erheben eine kommerzielle Lösung für die direkte Marktanwendung zu sein. Darüber hinaus wird die Verwaltung personenbezogener Daten, die in der gesamten Blockchain gespeichert sind, in Betracht gezogen, d. h. nicht nur die Informationen in den Blocktransaktionen, sondern auch andere Informationen, wie die in den Transaktionsbelegen aufgezeichneten. Dieses Dokument wird durch zusätzliche technische Informationen ergänzt.
1.9 CNIL: Werbung ohne Einwilligung führt zu 50 Mio. Euro Bußgeld
Die CNIL verhängte 50 Mio. Euro Bußgeld gegen einen E-Mail-Provider, der ohne erforderliche Einwilligung Werbung zwischen den E-Mails platzierte. Die Werbung war wie gesendete E-Mails gestaltet. Zudem stellte die CNIL fest, dass auch nach Widerruf einer Einwilligung Cookies ausgelesen wurden. Die CNIL bezieht sich mit ihrer Entscheidung auf ein Urteil des EuGH (C-102/20; StWL Städtische Werke Lauf a. d. Pegnitz GmbH; wir berichteten).
Neben dem Bußgeld erließ die CNIL auch die Anordnung das Lesen von Cookies nach dem Widerruf der Einwilligung durch die betroffene Person innerhalb von drei Monaten einzustellen, mit einem Bußgeld von 100.000 Euro pro überfälligem Tag. Die Höhe des Bußgeldes wurde aufgrund der sehr hohen Zahl der Betroffenen (mehr als 7,8 Millionen Menschen haben die fraglichen Anzeigen in ihren Postfächern gesehen) sowie der Marktposition des Unternehmens als führender Telekommunikationsanbieter in Frankreich festgelegt. Der beschränkte Ausschuss berücksichtigte auch die finanziellen Vorteile, die das Unternehmen daraus zog.
1.10 Belgien: Gemeinsame Verantwortlichkeit bei Kundenbindungsprogramm
In einer Entscheidung informiert die belgische Aufsicht, dass sie alle teilnehmenden Einzelhändler und den Anbieter eines gemeinsamen Treueprogramms als gemeinsame Verantwortliche bewertet, da der Zweck der „Erhebung und Weitergabe personenbezogener Daten […] von [dem Anbieter] und den Einzelhändlern geteilt wird“. Offen bleibt, ob dies auch zwischen den einzelnen Einzelhändlern gelte oder nur jeweils im Verhältnis zum Anbieter des Treueprogramms.
Auch geht die Aufsicht davon aus, dass der Abschluss des Vertrages zur Teilnahme am Kundenbindungsprogramm nicht ausreiche, um als Rechtsgrundlage herangezogen zu werden.
1.11 Finnland: Verarbeitung zur Vertragserfüllung ist eng auszulegen
Die finnische Aufsicht hat in einem Fall dargelegt, dass die Rechtmäßigkeitsgrundlage der Vertragserfüllung eng auszulegen sei. Ein Kunde beauftragte die Weiterleitung von Briefen. Nach den vertraglichen Regelungen war damit auch die Anlage eines E-Mail-Postfachs verbunden. Das elektronische Postfach wurde mit einer breiteren Palette von Diensten verknüpft, darunter die Postumleitung und ein Abholdienst. Die Studie zeigte, dass sich der Kunde nicht entscheiden konnte, ob er das elektronische Postfach nutzen wollte oder nicht, da die verschiedenen Dienste in einem einzigen Vertrag miteinander verknüpft waren. Auf das elektronische Postfach könnte nicht verzichtet werden, ohne dass auch die anderen Dienste wegfallen.
Dazu stellt die finnische Aufsicht fest, dass personenbezogene Daten auf der Grundlage eines Vertrags nur verarbeitet werden dürfen, wenn dies für die Erfüllung des Hauptzwecks des Vertrags erforderlich ist. Sie ist der Ansicht, dass die vom Kunden angeforderte Dienstleistung auch ohne die automatische Erstellung eines elektronischen Postfachs hätte erbracht werden können. Die Inanspruchnahme einer bestimmten Dienstleistung kann nicht erfordern, dass personenbezogene Daten für andere Zwecke verwendet werden. Gegen das Postunternehmen wurde wegen dieser fehlerhaften Praxis eine Geldbuße in Höhe von 2,4 Mio. Euro verhängt.
Zudem führt die finnische Aufsicht aus, dass die Kunden klarer über den Service informiert hätten werden müssen. Dem Kunden wurde nicht mitgeteilt, dass dieser sofort nach dem Start des Dienstes aktiviert wird und dass beispielsweise Briefe und Rechnungen sofort eintreffen können.
Das Unternehmen wurde angewiesen zu berücksichtigen, dass elektronische Dienste von Anfang an so aufgebaut werden müssen, dass nur die notwendigen personenbezogenen Daten verarbeitet werden. [Entscheidung ist hier, aber u.U. wegen unzureichender Absicherung besser hier nachlesbar.]
1.12 Brasilien: Weiterhin Untersagung des KI-Trainings mit Daten für Meta-Produkte
Wie hier berichtet wird, hält die brasilianische Datenschutzbehörde die gegen Meta verhängte Anordnung, die Nutzung von Daten aus dem Land für das Training seiner KI-Modelle einzustellen, weiterhin aufrecht.
1.13 BSI und BKA: Leitfaden für Kommunen
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das BSI haben einen Leitfaden veröffentlicht: „Kommunale IT-Krisen: Handlungsfähigkeit sichern“, um den Schutz vor Cybergefahren zu stärken und das Bewusstsein für IT-Krisen zu schärfen. Er enthält Hinweise für die konkrete Bewältigung eines Cyberangriffs auf kommunale Informationssysteme sowie für die drauffolgende Wiederherstellung der IT-Infrastruktur.
1.14 ENISA: Bericht zur Cybersicherheit in der EU
Die Europäische Agentur für Cybersicherheit (ENISA) hat den ersten Bericht zum Stand der Cybersicherheit in der EU veröffentlicht. Der Bericht basiert auf Art. 18 der NIS2-Richtlinie zur Netzwerk- und Informationssicherheit und wird künftig alle zwei Jahre erstellt. Der Bericht liefert eine Analyse des aktuellen Stands der Cybersicherheitslandschaft in der EU. Er untersucht die Fähigkeiten von Mitgliedstaaten, Unternehmen und Gesellschaften Cyberbedrohungen zu bewältigen, und gibt politische Empfehlungen, um die Cybersicherheit zu verbessern.
1.15 BKartA: Überragende Bedeutung Microsofts für marktübergreifenden Wettbewerb
Die Bundeskartellamt hat die Begründung für die Einstufung von Microsoft als „Unternehmen von überragender Bedeutung für den marktübergreifenden Wettbewerb“ nach der deutschen Gatekeeper Vorschrift § 19a GWB veröffentlicht. Das BKartA skizzierte fünf Faktoren, die nach seiner Ansicht die Marktmacht von Microsoft erklären:
Marktübergreifende Wirtschaftskraft; umfassendes Produktportfolio, Netzwerkeffekte und Ökosystemkontrolle: Wettbewerbshemmnisse und Strategisches Wachstum und Markteinfluss.
2 Rechtsprechung
2.1 EuGH: zur unmittelbaren Geltung von EU-Richtlinien (C-230/23)
Wie der EuGH bereits vor längerer Zeit bereits feststellte (Az. 26/62 vom 05.02.1963), können auch Richtlinien unmittelbare Wirkung entfalten, wenn sie nicht oder nicht ordnungsgemäß in nationales Recht umgesetzt wurden. Dies kam jetzt in einem Urheberrechtsfall vor dem EuGH (C-230/23, Reprobel) wieder zur Anwendung (vgl. RN 47 ff). Ausführliche Besprechung hier.
Spannend wird diese Thematik der unmittelbaren Anwendung aber auch in den Fällen europarechtlicher Richtlinien zur IT-Sicherheit, wenn diese nicht oder nicht richtig durch Mitgliedsstaaten umgesetzt wurden.
2.2 BVerfG: Beweisverwertungsverbote in Strafverfahren bei Datenschutzverletzungen
Das BVerfG äußerte sich zu Fragen des Beweisverbotes in einem Strafverfahren. Daraus lassen sich auch Ableitungen zur Debatte zu Beweisverboten wegen Datenschutzverletzungen treffen. Ein Dealer war zu fünf Jahren Freiheitsstrafe verurteilt worden. Die Verurteilung stützte sich in wesentlichen Punkten auf die Verwertung von verschlüsselter Kommunikation per EncroChat. Durften die Daten aus einer verschlüsselten Kommunikation verwendet werden, wenn der rechtskonforme Zugang zu den verschlüsselten Inhalten in Frankreich durch die dortigen Behörden diskutiert wird?
Das BVerfG kommt zu dem Ergebnis, dass die EncroChat-Daten keinem aus einem Verfahrensfehler abgeleiteten Beweisverwertungsverbot unterliegen. Die Verwertung personenbezogener Informationen in einer gerichtlichen Entscheidung greife in das allgemeine Persönlichkeitsrecht ein. Dieses Recht gewährleiste die Befugnis grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu entscheiden (RN 94). Das allgemeine Persönlichkeitsrecht werde allerdings nicht vorbehaltlos gewährleistet (RN 95).
Wurden Informationen rechtswidrig erlangt, besteht von Verfassung wegen kein Rechtssatz, wonach die Verwertung der gewonnenen Informationen stets unzulässig wäre. (RN 96) Die strafgerichtliche Praxis geht in gefestigter Rechtsprechung davon aus, dass die Frage nach dem Vorliegen eines Verwertungsverbots jeweils nach den Umständen des Einzelfalls zu entscheiden ist. Die Annahme eines Beweisverwertungsverbots stellt dabei eine Ausnahme dar (RN 97).
Diese Wertung kann auch vor Zivilgerichten zu Beweisverboten wegen Datenschutzverstößen berücksichtigt werden. Trotz des Fehlens einer entsprechenden Norm kann der Ausschluss von Beweismaterial verfassungsrechtlich geboten sein. Sowohl in der StPO als auch in der ZPO ist hierüber in freier richterlicher Beweiswürdigung zu entscheiden.
Eine Besprechung der Thematik findet sich hier.
2.3 ArbG Bonn: Verantwortlichkeit für Aktivitäten eines Betriebsrats
Handelt ein Betriebsrat in Ausübung seiner zugewiesenen Aufgaben, gehen mögliche Schadenersatzansprüche gegen das Unternehmen als datenschutzrechtlich Verantwortlicher, urteilte das ArbG Bonn in Anwendung des § 79a BetrVG. Ein Anspruch direkt gegen den Betriebsrat bestünde nicht.
2.4 BVwG Österreich: reCAPTCHA und die Notwendigkeit des Einsatzes
Das österreichische Bundesverwaltungsgericht musste sich mit der Frage der Zulässigkeit des Einsatzes eines Google reCAPTCHA befassen. Es kam zu dem Schluss, dass dies nur über eine Einwilligung möglich sei. Im konkreten Fall wurden über das reCAPTCHA einzigartige Kennnummern auf dem Endgerät bzw. im Browser der nutzenden Person abgelegt. Mit diesen Kennungen sei es möglich Website-Besucher zu unterscheiden und auch die Information zu erhalten, ob es sich um einen neuen oder um einen wiederkehrenden Website-Besucher handelt. Schon aus der Kombination der übermittelten Informationen beim Aufruf einer Website (hier: Online-Kennungen, IP-Adresse, Informationen zum Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl) könne ein digitaler Fußabdruck generiert werden, der es erlaubt das Endgerät und in weiterer Folge den konkreten Nutzer eindeutig zu individualisieren.
Das Gericht sieht für die Verwendung von Google reCAPTCHA im konkreten Fall keine Rechtsgrundlage.
Cookies, die vom Google-Dienst reCAPTCHA gesetzt werden, sind nach Ansicht des erkennenden Senats für den Betrieb einer Webseite nicht erforderlich, weshalb das Gericht auch ein berechtigtes Interesse ablehnt, weil den Nutzern die Interessen nicht mitgeteilt wurden, ungeachtet der Tatsache, dass das Verhindern von Bot-Eingaben für Betreiber von Webseiten vorteilhaft ist. Die Implementierung von reCAPTCHA sei für den Betrieb der Website technisch nicht notwendig, da es keinen Einfluss auf die Funktionalität der Website hat, weshalb ein berechtigtes Interesse zu verneinen ist und die Einwilligung der mitbeteiligten Partei einzuholen gewesen wäre.
Das Thema wird auch in diesem Podcast (Dauer ca. 20 Min.) angesprochen.
2.5 OLG Schleswig-Holstein: Zulässigkeit der Einmeldung an Auskunftei
Welche Anforderung sind an eine Einmeldung rückständiger Forderungen an eine Auskunftei zu stellen? Damit befasste sich das OLG SH. Danach dürfen nur offene Forderungen eingemeldet werden, die auch zu einer fristlosen Kündigung berechtigt hätten. Nebenforderungen wie Mahngebühren, Nichterfüllungsschäden, Überweisungsgebühren oder Verzugskosten seien davon nicht betroffen, weil diese keine Rückschlüsse auf mangelnde Zahlungsfähigkeit des Schuldners zuließen. Können nach der Darstellung der Forderungen derartige Nebenforderungen und die Hauptforderung nicht klar voneinander getrennt werden, ist die gesamte Einmeldung laut OLG SH unrechtmäßig. Bericht dazu auch hier.
2.6 EuG-Vorschau: Drittstaatentransfer bei Webseiten (T-354/22)
Das neue Jahr fängt gut an: Im Verfahren vor dem EuG T-354/22 (Bindl/Kommission) ist das Urteil für den 8. Januar 2025 angekündigt. In ihm geht es um Datentransfer über Webseiten durch den Besuch der Webseiten der EU-Kommission. Basis ist die VO 2018/1725 für den Umgang mit personenbezogenen Daten durch Einrichtungen der EU. Für den Transfer in die USA hätte es keine zusätzlichen Schutzmaßnahmen gegeben, dadurch würden die Rechte des Klägers verletzt, er könne seine grundrechtlich geschützte Rechte nicht wahrnehmen, im Recht der USA gäbe es keinen gerichtlichen Rechtsschutz gegen Zugriff auf personenbezogene Daten von Bürgern der EU durch US-Sicherheitsbehörden und US-Nachrichtendienste. Auch seien Informationspflichten nicht eingehalten worden und immaterielle Schadenersatzansprüche (1.200 Euro) werden in dem gesamten Zusammenhang geltend gemacht.
2.7 EuGH-Vorschau: Urteil zur Erforderlichkeit einer geschlechtlichen Anrede (C-394/23)
Am 9. Januar 2025 wird das Urteil im Verfahren C-394/23 (Mousse) erwartet. Darin geht es um datenschutzrechtliche Grundlagen der Verwendung einer geschlechtlichen Anrede, wir berichteten zu den Schlussanträgen des Generalanwalts, der hierfür die Anforderungen aus Art. 5 Abs. 1 lit. c DS-GVO (Datenminimierung) anwendet und eine Rechtsgrundlage einfordert. Bei berechtigtem Interesse müsse dies aus den Informationen hervorgehen.
2.8 EuGH-Vorschau: Exzessive Anfragen an die Datenschutzaufsicht? (C-416/23)
Die Fragen zur österreichischen Datenschutzbehörde, wann diese Anfragen nicht bearbeiten müsse, weil diese zu exzessiv seien, entscheidet der EuGH im Verfahren C-416/23 am 9. Januar 2025. Zu den Schlussanträgen des Generalanwalts informierten wir bereits.
2.9 BGH-Leitentscheidungsverfahren: Jetzt gibt es eine Sammelklage des vzbv
Nachdem der BGH in seiner Entscheidung die Voraussetzung für einen immateriellen Schadenersatz mit einem bloßen Kontrollverlust andeutete und im konkreten Facebook-Scraping-Fall von 100 Euro ausging, kündigt der vzbv (verbraucherzentrale Bundesverband) eine Sammelklage gegen Facebook an.
3 Gesetzgebung
3.1 Einigung zur Vorratsdatenspeicherung?
Irgendwie denke ich dabei an „The same procedure as last year?” – natürlich geht es nicht um den Geburtstag von Miss Sophie, sondern um einen erneuten Versuch über eine Speicherung von IP-Adressen rechtswidriges Verhalten zu verfolgen und trotzdem die Grundrechte einzuhalten. Bisher ging das dann spätestens bei der Bewertung durch den EuGH immer schief, was auch beim Wissenschaftlichen Dienst des Bundestages und beim BMJ nachzulesen ist. Mal sehen, ob sich jetzt die Parteien ohne Grüne und FDP auf ein Gesetz verständigen – und wie lange dieses dann hält. Nicht, dass dann der EuGH auch sagt „The same procedure…?“
3.2 Bundesrat: Erprobung von Innovationen in Reallaboren etc.
Ok, so einfach sind die Titel von Gesetzen ja nicht, daher hier der vollständige Titel des Entwurfs aus dem Bundesrat, welcher wie folgt lautet: „Entwurf eines Gesetzes zur Verbesserung der Rahmenbedingungen für die Erprobung von Innovationen in Reallaboren und zur Förderung des regulatorischen Lernens“. Mal sehen, was daraus wird.
3.3 Hamburg: Geplante Änderung des Hamburger Datenschutzgesetzes
Neben den Klarstellungen der Zuständigkeiten wird in dem Antrag zur Änderung des Hamburgischen Datenschutzgesetzes auch die Grundlage für eine Kostenerhebung bei Kontrollhandlungen gegenüber nicht-öffentlichen Stellen geschaffen. Nichts Ungewöhnliches, wie hier bereits im Jahr 2021 zu erfahren war.
3.4 EU: Verordnung zur Cybersicherheit von Managed Security Services
Wieder was aus Brüssel und wieder was zur IT-Sicherheit: Darin wird eine Änderung der Verordnung (EU) 2019/881 angestrebt, um den Rahmen für die europäische Cybersicherheitszertifizierung auf Managed Security Services auszuweiten. Vorgesehen wird dies u.a. durch Einführung von Zertifizierungsschemata für Managed Security Services; Stärkung des EU-Binnenmarkts und Vermeidung von Fragmentierung; Fokussierung auf Kompetenz, Expertise und Integrität der Service-Provider; Förderung von KMU und Mikrounternehmen im Bereich Cybersicherheit; Harmonisierung durch internationalen Standards und Verbesserung der Transparenz und Vertrauenswürdigkeit von Diensten. Informationen dazu auch aus dem Research Service des EP.
3.5 Digitaler Fairnesscheck durch den Think Tank cerre
Das Centre in Regulation in Europe (cerre) hat in einem digitalen Fitnesscheck ein Themenpapier zu den Rahmenbedingungen eines Gesetzes zur digitalen Fairness verfasst. Bei der Fairness gehe es darum, ein Gleichgewicht zwischen mehreren wichtigen Zielen herzustellen: Neben einem soliden Verbraucherschutz im digitalen Zeitalter müsse gleichzeitig aber auch die Förderung von Wettbewerbsfähigkeit und Wachstum sowie die Vermeidung von Überregulierung ermöglicht werden.
Der Fitness Check listet dazu eine Reihe an problematischen Praktiken, wie Dark Patterns, KI-Chatbots oder eine algorithmische Personalisierung auf. Die aufgeführten Praktiken werden als zu weit gefasst bewertet und sollten durch eine nuancierte Bewertung überprüft werden. So habe die algorithmische Personalisierung demnach auch eine Reihe von positiven Auswirkungen für den Verbraucher. Auch der Einsatz von KI-Chatbots könne nicht nur als „problematisch“ angesehen werden.
Um für mehr Rechtssicherheit zu sorgen, wird empfohlen die Definitionen in den verschiedenen Verordnungen und Richtlinien zu harmonisieren. Zudem sollte u.a. durch eine effektivere Durchsetzungsarchitektur eine wirksamere Durchsetzung und Einhaltung des EU-Verbraucherrechts erreicht werden.
3.6 EU: Digital-Strategie: 2. Meeting des AI Boards
Schau an – nun hat sich das AI Board zum zweiten Mal getroffen. Was passierte dabei? Es wurde u.a. zu Aktualisierungen berichtet; Einblicke in nationale Ansätze zur KI-Governance aus Malta, Finnland und Slowenien gewährt und eine strategische Vision für KI im nächsten Mandat der EU-Kommission.
3.7 EU: Neue Produkthaftungsrichtlinie in Kraft
Die EU-Produkthaftungsrichtlinie trat zum 9. Dezember 2024 in Kraft. Die Mitgliedstaaten haben nun zwei Jahre Zeit, um diese in nationales Recht umzusetzen. „Dann haben wir ja noch Zeit, das schauen wir uns dann an.“ mag eine Reaktion sein, die nun vielerorts erfolgt. Dann blicken wir doch mal in Details, über die die EU hier informiert:
Die Produkthaftungsrichtlinie stellt sicher, dass Opfer Schadenersatz von den Herstellern verlangen können, wenn sie einen durch ein fehlerhaftes Produkt verursachten Schaden erleiden. Diese Richtlinie beruht auf zwei Hauptgrundsätzen:
Der Hersteller hat den durch ein fehlerhaftes Produkt verursachten Schaden zu ersetzen und die geschädigte Person muss die Fehlerhaftigkeit des Produkts und den verursachten Schaden nachweisen und dass die Fehlerhaftigkeit kausal für den Schaden war.
Alle Produkte fallen unabhängig von ihrer Art (z. B. traditionelle Produkte, Rohstoffe, digitale Produkte) unter die neuen Vorschriften, solange sie auf dem EU-Markt in Verkehr gebracht wurden.
Nach der neuen Produkthaftungsrichtlinie gilt ein Produkt als fehlerhaft, wenn das Produkt nicht die Sicherheit bietet, die eine Person von ihm erwarten kann oder die gesetzlich vorgeschrieben ist.
In den Produkthaftungsregelungen wird ausdrücklich klargestellt, dass alle Arten von Software unter die neue Richtlinie fallen, einschließlich Anwendungen, Betriebssystemen und KI-Systemen. Die Hersteller können für jeden Defekt haftbar gemacht werden, der zum Zeitpunkt der Veröffentlichung ihrer Software oder ihres KI-Systems bestand. Dazu gehören Defekte, die nach ihrer Veröffentlichung durch Updates, Upgrades oder eine Machine-Learning-Funktion aufgetreten sind. Die neuen Vorschriften sehen auch vor, dass ein Produkt, das wesentlich verändert wurde (z. B. durch ein Wiederaufarbeitungsverfahren), als neues Produkt gilt. Die Person, die die Änderung vorgenommen hat, wird ein Hersteller.
Die Wirtschaftsakteure haften für ihre fehlerhaften Produkte für einen Zeitraum von zehn Jahren nach dem Inverkehrbringen des Produkts. In bestimmten gesundheitsbezogenen Fällen, in denen der Schaden länger dauert, wird dieser Zeitraum auf 25 Jahre verlängert. Die Opfer haben drei Jahre Zeit, um den Entschädigungsantrag vor einem nationalen Gericht zu stellen.
Vielleicht sollten man dann doch nicht auf die Umsetzungszeit bis 2026 warten, um sich mit der Fehlerfreiheit von Software – und KI-Systemen – zu befassen.
3.8 EU Corrigendum zur VO 2018/1725
Die deutsche Fassung der Europäischen Verordnung zum Schutz natürlicher Personen bei der Verarbeitung ihrer Daten durch Einrichtungen der EU und zum freien Datenverkehr (EU 2018/1725) erfährt eine redaktionelle Korrektur in Art. 29. Details dazu hier. Es fehlte das Verb „verarbeitet“.
3.9 Australien: Verbot von Sozialen Netzwerken für Personen unter 16 Jahren
Na, da gab es natürlich gleich die entsprechende Kommentierungswelle in den sozialen Medien zu der Information, dass in Australien beschlossen wurde, dass Minderjährigen der Zugang zu bestimmten sozialen Netzwerken gesetzlich verboten werden soll. Der bitkom hatte im August 2024 u.a. von der Politik noch mehr Medienkompetenz in der Schule gefordert und die Wirtschaft solle geschützte Bereiche für Kinder und Jugendliche schaffen. Aber Fordern ändert ja nicht wirklich was, und richtige Alternativen zu einem Verbot von Netzwerken mit intransparenten Algorithmen sind nicht ersichtlich, eher Debatten um „Brain rot“.
Zum Thema passt dieser Vortrag vom 01.10.2024 um 13:30 Uhr aus der KI-Woche 2024 des LfDI Baden-Württemberg zum Thema „Künstliche Intelligenz und die Psyche“.
4 Künstliche Intelligenz und Ethik
4.1 CIPL: Anwendung der Datenschutzgrundsätze auf Generative KI
Das Centre for Information Policy Leadership (CIPL) veröffentlichte ein Diskussionspapier zur Anwendung von Datenschutzgrundsätzen auf generative KI – Praktische Ansätze für Organisationen und Regulierungsbehörden. („Applying Data Protection Principles to Generative AI“). Darin werden einige Konzepte zum Schutz der Privatsphäre und zum Datenschutz untersucht, wie sie effektiv auf die Entwicklung und den Einsatz von genAI-Modellen und -Systemen angewendet werden können. Dies umfasst die Aspekte Fairness; Datenminimierung, Zweckbestimmung, Nutzungsbeschränkung, Betroffenenrechte; Transparenz, Rechenschaftspflicht und Drittstaatentransfer.
4.2 OpenAI und Täuschungen bei ChatGPT o1 Pro
Ältere Zirkusbesucher können sicher noch was mit „HAL 9000“ aus dem Film „2001: Odyssee im Weltraum“ anfangen, als das Computersystem sich „selbstständig“ machte. Daran musste ich denken, als ich in diesem Bericht las, dass die neue o1 Pro-Version von ChatGPT leistungsfähiger und zuverlässiger arbeitet. Die verbesserte Zuverlässigkeit wird von OpenAI auf das Training mit „Chain-of-Thought“-Methoden zurückgeführt. Dabei lernt das Modell einen längeren Denkprozess durchzuführen, bevor es antwortet. Dadurch könne das System Fakten besser verifizieren und unzuverlässige Informationen schneller erkennen.
Dem Bericht nach stießen bei der Untersuchung des Modells die Forscher laut System Card auch auf ein neues Phänomen: In einigen Fällen zeigte o1 bewusstes Täuschungsverhalten. OpenAI entwickelte dafür einen speziellen Monitor, der die internen „Gedankengänge“ des Modells überwacht. In etwa 0,17 Prozent der getesteten Fälle seien irreführende Antworten festgestellt worden. Der häufigste Fall (0,09 %): Das Modell erfindet eigene Regeln und verschweigt dann bewusst Informationen unter Berufung auf diese erfundenen Regeln.
Willkommen bei „HAL 9000“.
4.3 Boston Consulting: AI Maturity Matrix
Wie stehen die einzelnen Länder beim Einsatz von KI da? Damit befasst sich ein Beratungsunternehmen und veröffentlichte sein Ergebnis. Dabei werden in dem Bericht auch eine Reihe von Initiativen zur Unterstützung / Verbesserung der jeweiligen Typen vorgeschlagen.
4.4 KI im öffentlichen Bereich (Rheinland-Pfalz)
Wie sich aus einem Schreiben innerhalb der Landesregierung Rheinland-Pfalz ergibt, wird dort, zusammen mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, eine gemeinsame Leitlinie im Zusammenhang mit der Nutzung von KI-Anwendungen in der Landesverwaltung erarbeitet, die künftig verbindlich gelten soll. Vielleicht gibt es ja sogar ein Ergebnis, das nicht an Landesgrenzen Halt macht, bevor es 16 Varianten der Bundesländer plus eine für die Bundesverwaltung gibt – und alle über Bürokratie jammern. Auf europäischer Ebene gibt es dazu auch bereits Vorarbeiten. Und in Hamburg? Naja, LLMoin… (wir berichteten).
4.5 Unterschiede der verschiedenen Risiken nach DS-GVO, DSA und KI-VO
Wie entwickelte sich der Risikobegriff von der DS-GVO über den Digital Service Act bis hin zur KI-VO? Damit befasst sich ein Vortrag eines Beschäftigten des ULD vom November 2024, der hier veröffentlicht wurde.
4.6 AI Act: Die Macht der Standards
Im Mai 2023, mehr als ein Jahr vor Inkrafttreten des KI-Gesetzes, hat die Europäische Kommission einen formellen Normungsantrag angenommen, der von CEN-CENELEC akzeptiert wurde.
Die KI-VO ist August dieses Jahres in Kraft getreten und die Bestimmungen für KI-Systeme mit hohem Risiko werden nach einer Übergangszeit von zwei oder drei Jahren in Kraft treten. Wie bei anderen Produktvorschriften werden technische Normen konkrete Ansätze zur Erfüllung der gesetzlichen Anforderungen in der Praxis festlegen. Die Einhaltung der harmonisierten europäischen Normen, sofern sie im Amtsblatt der Europäischen Union veröffentlicht werden, begründet eine rechtliche Vermutung der Konformität mit der Verordnung. Auf diese Weise unterstützen die Normen die Schaffung gleicher Wettbewerbsbedingungen für die Konzeption und Entwicklung von KI-Systemen, insbesondere für kleine und mittlere Unternehmen, die KI-Lösungen entwickeln.
Harmonisierte KI-Normen werden eine zentrale Rolle bei der Umsetzung des EU-KI-Gesetzes spielen. Ein neues JRC-Briefing „Wissenschaft für die Politik“ erläutert den aktuellen Stand der Dinge und erörtert einige der wichtigsten Merkmale künftiger Normen für das KI-Gesetz.
Wir hatten bereits dazu berichtet. Mehr zur Standardsetzung in der KI-VO lesen Sie hier.
4.7 AI Act im Spannungsfeld der Regulierung
Wie fügt sich die KI-VO ein in die Regulierung ausgewählter Digitalgesetze – wie der DS-GVO, dem Digital Services Act (DSA) sowie sektoraler Gesetzgebung im Finanz-, Medizin- und Automobilbereich? Damit befasst sich diese Studie der Bertelsmann Stiftung aus dem Projekt „reframe[Tech] – Algorithmen für das Gemeinwohl“.
4.8 Risikomanagement nach Art. 10 KI-VO: DIN/TS 92004
Nach Art. 10 KI-VO müssen bei Hochrisiko-KI-Systemen für die Daten-Governance bestimmte Maßnahmen ergriffen werden, um die dort genannte Qualitätskriterien zu erfüllen. Doch nach was richtet man/frau sich dabei? Nach dem DIN können mit der Technischen Spezifikation DIN/TS 92004 die Anforderungen an die Risikoidentifikation und -analyse für die Entwicklung und den Betrieb von KI-Systemen erarbeitet werden. Das Dokument richtet sich an Entwickler, Anbieter und Betreiber. Die Spezifikation beschreibt danach ein systematisches Vorgehen, um Risiken von KI-Systemen zu identifizieren und analysieren. Hierbei lege sie besonderen Wert auf die Dimensionen Zuverlässigkeit, Vermeidung von Bias sowie Autonomie und Kontrolle. Sie stelle somit einen wichtigen Baustein zur Operationalisierung der KI-Verordnung dar.
Die DIN/TS 92004 ergänzt die internationale Norm ISO/IEC 23894. Diese enthält Leitlinien dazu, wie Organisationen mit KI verbundene Risiken managen können – beispielsweise, wenn ihre Produkte, Systeme und Dienstleistungen Künstliche Intelligenz nutzen oder selbst entwickeln. Ergänzend zu ISO/IEC 23894 nimmt die neue Technische Spezifikation eine Systemperspektive auf KI-Risiken ein. Das DIN geht davon aus, dass Unternehmen und Organisationen die DIN/TS 92004 künftig als Grundlage für die Implementierung ihrer jeweiligen Risikomanagementprozesse in Bezug auf bestimmte KI-Systeme nutzen können. Die TS ist nach Anlage eines Kundenkontos hier bei DIN Media kostenfrei abrufbar.
4.9 TÜV AI Assessment Matrix
Wie könnte die Einhaltung der verschiedenen regulatorischen Anforderungen an eine KI geprüft und bestätigt werden? Hierzu bietet der TÜV mit seinem TÜV AI Lab eine Antwort. Mit seiner AI Assessment Matrix sollen die Herausforderungen dazu abgebildet werden können. Dies umfasse eine schlüssige systematische Konstellation von Prüfkriterien, Prüfbereichen und Prüfformen, die speziell auf die Prüfung von KI-Systemen ausgelegt ist. Eine umfassende Systematisierung aller Prüfkriterien, um deren Vollständigkeit zu garantieren und gleichzeitig eine bewusste und informierte Auswahl der Kriterien zu gewährleisten. Und ein konsistentes Set an Definitionen für alle Prüfkriterien sowie angrenzende Begriffe, das anschlussfähig an bestehende Normen sowie das gängige Verständnis in Wissenschaft, Prüf- und Testpraxis ist.
Zusätzlich beinhalte die Matrix eine systematisch durchgängige Gesamtordnung aller KI-Prüfkriterien; ein in sich konsistentes, umfassendes und anschlussfähiges Set an Begriffsdefinitionen für alle Prüfkriterien; eine Integration aller auf das KI-System bezogenen Anforderungen aus der KI-VO sowie die potenzielle Einbindungen weiterer gesetzlicher Vorgaben, etwa internationaler KI-Regulierungen oder der DS-GVO; eine potenzielle Integration bestehender Prüfansätze und -kataloge zur besseren Anschlussfähigkeit und Vergleichbarkeit; ein Instrumentarium zur gezielten Ergänzung der gesetzlichen Vorgaben, beispielsweise um weitere ethische Prüfdimensionen oder Aspekte der Nachhaltigkeit von KI-Systemen; und eine durchgängig mitgedachte Vermittlung zwischen abstrakter Begriffsebene und praktikabler Prüfmethodik, sodass einerseits der Anschluss an die Begrifflichkeit der gesetzlichen Vorgaben und andererseits die Umsetzung in der konkreten Testung von KI-Software-Systemen gewährleistet sei.
Und natürlich gibt es auch einen Disclaimer: Diese Matrix bietet „nur“ einen systematischen Überblick über das Gesamtfeld für Expert:innen im Feld AI Assessment und stellt natürlich nicht die Anforderungen an KI-Unternehmen oder einen realen Prüfprozess dar.
4.10 Weizenbaum-Institut: Die Symbiose von Generativer KI und die Arbeit
Das Weizenbaum-Institut veröffentlichte ein Diskussionspapier, wie Generative KI (GKI) sinnvoll eingesetzt werden kann. Dabei stellt es fünf Thesen auf, wie Mensch und Maschine zukünftig zusammenarbeiten könnten:
- Trotz technischer Durchbrüche stellt GKI kein Äquivalent zu menschlicher Intelligenz dar.
- GKI wird durch menschliche Arbeit nutzbar.
- GKI stellt eine neue Qualität der Interaktion zwischen Mensch und Maschine dar.
- Die Einführung von GKI macht Arbeit.
- Generative KI erfordert neue Antworten im Sinne guter Arbeit.
Das Weizenbaum-Institut will diese Erkenntnisse im aktuellen Forschungsprojekt GENKIA (Generative KI in der Arbeitswelt) berücksichtigen.
5 Veröffentlichungen
5.1 Verbandsklagen-Befugnis von noyb in der EU
Wie noyb selbst berichtet, wurde das NGO als „Qualifizierte Einrichtung“ zugelassen und kann nun nach der „Verbandklagen-Richtlinie“ 2020/1828“ der EU Unterlassungsklagen und auch Abhilfeklagen einbringen. Unterlassungsklagen“ erlauben dabei rechtswidrige Praktiken von Unternehmen generell für alle Nutzer:innen zu verbieten – das betrifft auch Verstöße gegen die DS-GVO. „Abhilfeklagen“ ermöglichen eine europäische Version von „Sammelklagen“, bei denen Tausende oder Millionen von Nutzer:innen von noyb vertreten werden. noyb veröffentlicht dazu auch die Bescheide aus Österreich und Irland<7a> und die erforderlichen Informationen gemäß Art. 4 Abs. 3 der RL 2020/1828.
5.2 Koks, Nutten und der Datenschutz
Es gibt Menschen, die lesen solche Meldungen zu Koks und Nutten und denken sich, „Prima, das machen wir auch!“ Dabei geht es in dem Artikel darum, welche Konsequenzen humorige Angaben im Verwendungszweck bei Banküberweisungen haben können. Banken haben hier über das Geldwäschegesetz eine gesetzliche Pflicht Transferleistungen auf vermeintlich rechtswidrige Aktivitäten zu prüfen. Wollen andere Unternehmen Daten ihrer Kunden nach bestimmten Kriterien analysieren, brauchen sie dazu bei personenbezogenen Daten eine datenschutzrechtliche Grundlage. Fehlt hierfür eine gesetzliche Bestimmung, ist vorher zu prüfen, ob sich die Analyse für den beabsichtigten Zweck auf eine Einwilligung oder auf eine Abwägung der Interessen stützen lässt. Auch eine Analyse für die Vertragserfüllung ist in Einzelfällen und damit abhängig vom jeweiligen Zweck als Begründung nicht von vornherein ausgeschlossen. Jedenfalls muss es für die betroffene Person vorhersehbar sein, was gemacht wird bzw. ist sie darüber zu informieren, damit sie auch in der Lage ist – wenn sie es will – ihre Rechte geltend zu machen.
5.3 EuGH und Art. 82 DS-GVO
Weil der BGH sich nun auch zum Anspruch aus Art. 82 DS-GVO in seinem ersten Leitentscheidungsverfahren äußerte (hier unser Bericht dazu) nochmal eine Zusammenstellung von Darstellungen der Entscheidungen des EuGH zum immateriellen Schadenersatz in dieser und jener Veröffentlichung.
5.4 Eurocloud: Whitepaper zu Confidential Computing
Der Verband Eurocloud hat ein Whitepaper Confidential Computing veröffentlicht, welches die Aspekte sichere und souveräne Cloudnutzung beschreibt. Neben den Begrifflichkeiten befasst es sich mit den Vorteilen und Risiken der Cloud-Nutzung, aber auch mit Anwendungsfeldern und praktischen Umsetzungshinweisen.
5.5 Gesichtserkennung im Strafrecht
Nicht nur bei uns wird biometrische Gesichtserkennung für die Strafverfolgung diskutiert. Die moderne Gesichtserkennungstechnologie (Facial Recognition Technology, FRT) hat sich als leistungsstarkes Instrument für die Strafverfolgung erwiesen, das die automatisierte Identifizierung von Personen anhand ihrer einzigartigen Gesichtsmerkmale ermöglicht. Behörden nutzen die Technologie zunehmend, um strafrechtliche Ermittlungen durch die Analyse von Bild- und Videomaterial zu verbessern. Angesichts der zunehmenden Nutzung in Europa untersucht diese Veröffentlichung aus der Schweiz unter dem Titel „Facial recognition technology in law enforcement: Regulating data analysis of another kind“ die rechtlichen Auswirkungen der FRT in der Strafverfolgung nach EU-Recht und bewertet Regulierungsansätze. Die Nutzung von FRT stellt eine Verarbeitung biometrischer Daten dar und geht mit einer besonders sensiblen Datenanalyse einher. Ihre Besonderheit liegt in der Schaffung einer neuen (biometrischen) Datenqualität, um anschließend Übereinstimmungen zu vergleichen. Aufgrund ihrer Auswirkungen auf die Grundrechte unterscheidet sich dieser Ansatz von herkömmlichen forensischen Analysen und muss entsprechend reguliert werden. Eine solche Regulierung sollte die verschiedenen Datenverarbeitungsschritte berücksichtigen und die Auswirkungen jedes Schritts auf die Grundrechte widerspiegeln. Aus dieser verfahrensrechtlichen Perspektive werden die Mängel des EU-Gesetzes über künstliche Intelligenz (KI-Gesetz) deutlich. Das KI-Gesetz enthält spezifische Regeln für biometrische KI-Systeme, bietet aber nicht die notwendigen Rechtsgrundlagen, um den Einsatz von FRT durch die Strafverfolgungsbehörden zu rechtfertigen. Ohne einen umfassenden Rechtsrahmen ist ein solcher Einsatz nicht zulässig. Dieser Artikel enthält konkrete Leitlinien für die Regulierung.
5.6 Podcast zur BGH-Leitentscheidung
In einer Folge befasst sich dieser Podcast (ca. 29 Min. Dauer) mit der Leitentscheidungsverfahren des BGH zum immateriellen Schadenersatz (wir berichteten). Es wird das Verfahren, aber auch die Entscheidung erläutert.
5.7 Podcast zu Datenschutz, Biases, Urheberrecht und KI
Im Anschluss an eine Veranstaltung kamen die Referierenden nochmal zu einer Podcast-Folge (Dauer ca. 1:39 Std.) zu den wesentlichen Aussagen ihrer Vorträge vor das Mikrophon. Dabei geht es um den Personenbezug in Large Language Models, KI und Beschäftigtendaten, Mitbestimmungsrechte, Biasas und Urheberrechte und Patentschutz.
5.8 GDD: Statement zu „Consent or pay”
Es ist zwar schon alles gesagt, aber noch nicht von allen in Englisch. Das leicht abgewandelte Zitat von Karl Valentin führt heute hin zum Statement der GDD, die diese über die CEDPO in den europäischen Diskussionsprozess zur Fragestellung „Consent or Pay“ einbringt.
5.9 Zulässigkeit von Kaltakquise
Ein altes Thema aktuell aufbereitet: Hier kann nachgelesen werden, was bei einer Ansprache potenzieller Kunden ohne vorherige geschäftliche Beziehung aus datenschutzrechtlicher und wettbewerbsrechtlicher Sicht zu beachten ist.
5.10 LinkedIN und Nutzungsbedingungen
LinkedIn kündigt an in den nächsten Wochen Änderungen der Nutzungsbedingungen einzuführen. Ziel sei es sicherzustellen, dass die Zwecke, zu denen die Daten der Nutzer auf der Grundlage von Einwilligung und berechtigten Interessen verwendet werden, eindeutig sind und dass diese Nutzer Zugang zu weiteren Informationen über Targeted Advertising haben. Origineller Weise stützt sich LinkedIn dabei auf berechtigte Interessen, um Profildaten (z. B. die Daten, die im Profil angegeben werden) für personalisierte Anzeigen zu verwenden, einschließlich Messung und Verbesserung.
5.11 Veranstaltungen
5.11.1 „Update zu Microsofts Data Protection Addendum“ -neu-
17.12.2025, 10:00 – 11:00 Uhr, online: Hier unterhalten sich zwei Experten zu datenschutzrechtlichen Fragestellungen bei Einsatz von MS 365 im Einsatz im B2B-Bereich. Angesprochen werden eine datenschutzrechtliche Einordnung des Inhalts des Data Protection Addendum (DPA) von Microsoft, Updates dazu, die Reaktion von Microsoft zur Kritik der Aufsichtsbehörden, Erläuterungen zur (optionalen) Connected Experiences, worum es beim Schlagwort „Telemetrie-Daten“ geht und was sich hinter den oft zitierten „eigenen Zwecken“ von Microsoft verbirgt. Weitere Informationen dazu hier und Link zur Anmeldung dort.
5.11.2 DGRI: “Torn in the USA” Internationale Datentransfers am Scheideweg -neu-
17.12.2025, 12:00 – 13:00 Uhr, online: Im Rahmen einer Sitzung des Fachausschusses Datenschutz und Datenökonomie der DGRI findet online eine Veranstaltung statt, die sich mit den Datentransfers in Drittländer, insb. in die USA, befasst. Weitere Informationen und der Link zur Anmeldung hier.
5.17.3 Stiftung Datenschutz: Jahresrückblick am virtuellen Kamin
19.12.2024, 13:00 – 14:00 Uhr, online: Die Stiftung Datenschutz lädt ein online am Jahresrückblick zu datenschutzrechtlichen Themen teilzunehmen. Weitere Informationen und Anmeldung hier.
5.17.4 Niedersachsen.next: „Sexroboter: Wenn KI verführt“
14.01.2025, ab 18 Uhr, Hannover: Zu rechtlichen und ethischen Überlegungen laden an diesem Abend das Niedersächsische Wirtschaftsministerium, die Niedersachsen.next Digitalagentur und die Leibniz-Universität-Hannover zum besonderen Event ein. Künstliche Intelligenz (KI) eröffnet neue Möglichkeiten und Gedankenspiele in vielen Bereichen. Deutlich wird dies in dem Film „Musing of a mechatronic mistress: The Peculiar Purpose Of Tiffany The Sex Robot“, der während dieser Veranstaltung gezeigt wird. Darin geht es um unterschiedliche gesellschaftliche, politische und ethische Aspekte, die anhand der Hauptfigur, einem selbstbewussten Sexroboter namens Tiffany, thematisiert werden. Im Anschluss gibt es Diskussionen und danach ein entspanntes Get-together und Möglichkeit zum persönlichen Austausch. Weitere Informationen und Anmeldung hier.
5.17.5 CPDP – Data Protection Day
28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.
5.17.6 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
29.01.2025 \\ vor Ort im Weizenbaum-Institut - Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
25.02.2025 \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben*
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Ja, das steht da immer noch so…
5.11.7 BSI: 1. IT-Grundschutztag 2025 -neu-
04.02.2025, 08:30 – 16:15 Uhr, Magdeburg und online: Zusammen mit dem Land Sachsen-Anhalt richtet das BSI die Veranstaltung zum Thema „Gemeinsam sicher. Gemeinsam digital.“ in hybrider Form aus. Der IT-Grundschutz-Tag in Magdeburg gibt praxisnahe Einblicke in den IT-Grundschutz und in das BCM, sowie die Umsetzung aktueller Vorschriften wie beispielsweise die NIS2-Richtinie in den Bundesländern und in der kommunalen Verwaltung. Im Fokus der Veranstaltung stehen daher Landesverwaltungen und Kommunen. Aktuelle Neuigkeiten zum IT-Grundschutz runden den Tag ab. Die Teilnahme ist kostenfrei. Weitere Informationen zur Agenda und Anmeldung finden sich hier.
6 Gesellschaftspolitische Diskussionen
6.1 Schulkinder auf Klassenfotos
Welche rechtlichen Grundlagen sind bei Schulkindern auf Klassenfotos zu beachten. Wer sich dafür interessiert, sollte sich diesen Blog-Beitrag ansehen. Zur Einwilligung durch Kinder findet sich dann dazu was.
6.2 Hanau verbietet Tracking von Kindern durch Angehörige in Kita
Schau an, wenn die Eltern nicht von sich aus darauf verzichten – verbietet Hanau einfach mal das Tracking von Kindern in der Kita. Nachzulesen hier – auch interessant sind die Diskussionen in den Kommentaren.
6.3 JIM-Studie 2024
Die aktuelle JIM-Studie (für Jugend, Information, Medien) 2024 zeigt wieder die Entwicklung der Mediennutzung durch junge Menschen. So scheint es für Minderjährige völlig normal, innerhalb eines Monats mit digitalen Risiken – von Hasskriminalität bis zu Sexualdelikten – konfrontiert zu werden (hier ab Folie 40). Zwei Drittel der Jugendlichen geben an, dass sie oft mehr Zeit am Handy verbringen als ursprünglich geplant. Zwei Fünftel berichten von Ablenkungen beim Hausaufgabenmachen. Das passt dann gut zur Diskussion um das Verbot in Australien.
6.4 Bahn beachtet nun doch Gebot der Datenminimierung
Hat es erst so weit kommen müssen? Nun kündigt die Bahn an, dass es künftig nicht mehr erforderlich sei, beim Kauf von Sparpreistickets am Schalter eine Handynummer oder E-Mail-Adresse angeben zu müssen. Der Hessische Datenschutzbeauftragte hatte sich diesbezüglich im Herbst 2023 an die Bahn gewandt. Lesen Sie mehr Details im Bericht dazu.
6.5 Kommt ein TikTok-Verbot in den USA?
Es würde einen eigentlich nicht wundern – zumal im Umfeld des künftigen Präsidenten sich auch ein paar interessierte Käufer finden würden, sollte TikTok den Eigentümer wechseln müssen. Aber noch gibt es kein letztinstanzliches Urteil, wie hier berichtet wird.
6.6 EU-Kommission und TikTok
Auch keine Überraschung: Die Meldungen zur Wahlbeeinflussung über das Tanz- und Pädophilennetzwerk TikTok bei der Wahl in Rumänien. Auch keine Überraschung, dass dies keine Reaktion bei den Entscheider:innen in den Marketing- und Kommunikationsabteilungen von Unternehmen und Behörden hat. So kümmert sich nun wohl die EU-Kommission um eine Aufarbeitung und fordert „Auskunft zu Dokumenten und Informationen“, etwa über Empfehlungsalgorithmen.
Damit sollen laut Bericht verfügbare Informationen und Beweise für den Fall einer weiteren Untersuchung der EU-Kommission über die Einhaltung des Digital Service Acts durch TikToks gesichert werden. Die Speicheranordnung betrifft nationale Wahlen in der EU zwischen dem 24. November 2024 und dem 31. März 2025. Sie bezieht sich also nicht nur auf die bereits laufende Wahl in Rumänien, sondern etwa auch auf die für Februar 2025 geplante Bundestagswahl.
6.7 bitkom: Verbesserung der digitalen Governance
bitkom weiß, wie´s geht: Ohne klare Verantwortlichkeiten und ein starkes Digitalministerium wird es schwierig in Deutschland mit der Digitalisierung. Und er begründet auch gleich, warum ein eigenständiges Digitalministerium nötig ist: Fragmentierte Zuständigkeiten, föderale Hürden und geringe Priorisierung digitaler Vorhaben behindern Deutschlands Wettbewerbsfähigkeit. Ein eigenes Ministerium würde Schlüsselaufgaben bündeln – von IT-Koordination bis Datenschutz –, mit einem zentralem Budget agieren und eine effiziente Koordination zwischen Ressorts ermöglichen.
Die operative Umsetzung solle durch eine zentrale Digitalagentur erfolgen. Wer´s genauer nachlesen will, findet hier die Aussagen zum Digitalministerium.
7 Sonstiges/Blick über den Tellerrand
7.1 Digitale Souveränität
Wieder ein Beitrag zur Debatte über die Souveränität von Gesellschaften: Diesmal u.a. vom University College London (UCL) „Reclaiming Digital Sovereignty – A roadmap to build a digital stack for people and the planet“. Die Empfehlungen umfassen z.B. die Vermeidung von Engpässen und panoptische Macht im digitalen Raum durch Kontrollformen jenseits des Eigentums. Ebenso liegt ein Fokus auf Fusionen und Übernahmen auch in Form von „strategischen Allianzen“ und des Einsatzes von Risikokapital. Die Monopolisierung von geistigem Eigentum wie Daten, Wissen und die Kontrolle von Narrativen sollte beschränkt werden.
7.2 Das BMJ will deine Autoschlüssel
Die Justizministerinnen formulieren es zwar anders – es läuft aber drauf hinaus, auch wenn es etwas formeller formuliert wird:
„Die Justizministerinnen und Justizminister der Bundesländer bitten den Bundesminister der Justiz, sich der Thematik einer gesetzlichen Verpflichtung Dritter zur Mitwirkung bei der verdeckten Fahrzeugöffnung bei Maßnahmen nach §§ 100c, 100f und 100h StPO anzunehmen, diese im Anschluss an die im Abschlussbericht der Arbeitsgruppe des Strafrechtsausschusses „Digitale Agenda – Konnektivität und Mobilität“ hierzu formulierte Empfehlung zu prüfen und ggfs. einen entsprechenden Regelungsvorschlag vorzulegen.“
Damit sollen Hersteller verpflichtet werden Strafverfolgungsbehörden Autoschlüssel zur Verfügung zu stellen, damit im Falle der verdeckten Fahrzeugöffnungen (also so, dass es Halter / Fahrer nicht merken) die Polizei auch ins Fahrzeug kommt. Einen kompetenten Bericht dazu gibt es hier.
Franks Nachtrag: Das kommt mir doch bekannt vor, auch wenn ich es mehr als Fernsteuerungsmöglichkeit interpretiert hatte. Aber gruselig ist beides.
7.3 Deepfakes – und nackte Tatsachen
Wie lernen wir Realität von Deepfakes zu unterscheiden – oder wie verbreiten wir wieder Anstand genug, dass sich die Anzahl von Deepfakes reduzieren lässt? Damit befasst sich diese Veröffentlichung der Bundeszentrale für politischen Bildung. Darin geht es u.a. um Schuldumkehrungen zu Lasten der Opfer. In dem Dossier „Wenn der Schein trügt – Deepfakes und die politische Realität“ werden wir damit konfrontiert, dass Deepfakes zwar alle betreffen, aber eben nicht alle gleich: Was ist die geschlechtsspezifische Komponente? Kann es so etwas wie harmlose Deepfake-Pornografie überhaupt geben? Und wie steht es um den strafrechtlichen Schutz vor nicht einvernehmlichen sexualisierten Deepfakes aus?
7.4 UK: Virtuelle Oma stört Telefonbetrüger
In UK geht ein TK-Anbieter originell gegen Telefonbetrüger vor, die insb. bei älteren Mitbürger:innen durch Telefonate, diese zu einer Vermögensverfügung bewegen wollen. Die „Granny Daisy“ verwickelt die Anrufer teilweise in stundenlange Telefonate – und hält diese dadurch davon ab, reale Personen zu belästigen bzw. diese zu betrügen. Bericht dazu hier.
Franks Nachtrag: Das kommt mir doch auch bekannt vor…
8. Franks Zugabe
8.1 Apropos KI …
Los geht’s:
- Deutschen Autobauern geht es momentan nicht so gut. Opel hat da eine Idee: Packen wir doch einfach ChatGPT ins Auto. Mir fällt dazu gar kein Kommentar ein …
- Reden wir lieber über die Effizienzsteigerung durch KI: KI macht alles besser, oder? Eine Intel-Umfrage hat ergeben, dass Nutzer an KI-PCs langsamer sind. Der Hersteller vermutet, es liegt an mangelnder Aufklärung (Ich gebe zu, dieser Text ist direkt dem Bericht entnommen, aber er fasst schön zusammen, worum es geht). Nun ja, ab dem 02.02.2025 ist das ja dann kein Problem mehr, oder? Schließlich greift dann die Pflicht zur Schulung der KI-Nutzer gemäß Art. 4 KI-VO …
- Wer ist David Mayer? ChatGPT kann darauf nicht antworten. OK, schon wieder 1:1 zitiert. Aber trotzdem lustig. Was passiert eigentlich, wenn besagter David Mayer nun einen Opel Mokka fahren will? 🤔
- Derweil in the land of the free: Viele, viele Tickets für Falsch-Parken dank KI-Kameras an Bussen.
- Er hätte es besser wissen sollen und auch können … 🤦♂️
- Quality journalism for the digital age: Axel Springer + Palantir. 😱 – Wobei das Einiges erklärt, finde ich.
- So schnell von non-profit zum militärisch-industriellen Komplex? Respekt, OpenAI!
- Und noch ein Zitat: For the largest health insurer in the US, AI’s error rate is like a feature, not a bug – UnitedHealth uses AI model with 90% error rate to deny care, lawsuit alleges.
- Aber KI einzusetzen, um Urheberrechtsverstöße zu erkennen, kann doch kein Problem sein, oder? Oder?
- Wo wir gerade bei zuverlässigen KI-Lösungen waren: Hessen hat da eine Idee. Und wenn es um Bodycams geht, dann schreibt die KI auch gleich die Berichte, so wie in den USA? Da wären dann auch andere nicht happy.
- Apropos Palantir: Da scheint es ja einige Tolkien-Fans zu geben, die mittlerweile fragwürdige Produkte vertreiben: Palantir, Anduril form fellowship for AI adventures. Die sind nicht gut für das Image der „normalen“ Tolkien-Fans. Wobei, da sind ja manche mittlerweile auch recht toxisch (Link führt zu einem über 2,5 Stunden langen Podcast).
- Reddit testet KI-Suche. Da war doch was? Wird das dann nicht ein Zirkelbezug?
- Apropos KI, die Nutzer:innen falsche Antworten gibt: „Lawsuit: A chatbot hinted a kid should kill his parents over screen time limits“.
- Apropos Halluzinationen: Der Artikel ist älter (Oktober 2024. Ja, das ist bei KI schon echt alt …), aber er beschreibt das Dilemma gut.
- Aber solange durch KI Geld gespart werden kann: Bei Klarna gibt es kein neues Personal mehr, KI übernimmt. Bezahlen per Klarna, immer eine gute Idee.
- Der Autor dieses Artikels stellt eine interessante Frage: Führt KI zu mehr arbeitslosen Entwicklern oder zu mehr Softwareproduktion? Einer der Kommentatoren des Artikels bietet eine Option 3 als Antwort. Ob das eine realistische Option ist? Ich bezweifele es.
- Derweil wird im fernen Osten gruselige Technik getestet.
- Whistleblower sein ist nicht immer gesundheitsfördernd. Aktuell: Ein OpenAI-Whistleblower beging Selbstmord.
8.2 Ein Selbstversuch – So radikalisiert TikTok österreichische Teenager
Nicht von mir, nein. Ebenso wie Sie wahrscheinlich (ich hoffe, ich trete Ihnen jetzt gerade nicht zu nahe) sind wir für diesen Selbstversuch höchstwahrscheinlich zu alt. Also lassen wir mal die Zielgruppe ran.
8.3 Ob das nicht ein bisschen zu spät ist?
So ein, zwei Jahrzehnte? Hier ein Bericht über eine Warnung der Bundesnetzagentur vor smarten Geräten, dort wird berichtet, dass sich Unternehmen wegen Abhängigkeiten von den USA sorgen. Wie gesagt, leicht zu spät. Und hier passt der Satz: „Lieber spät als nie“ leider nicht. Manchmal ist zu spät einfach nur das: zu spät.
8.4 Haben Sie sich schon mit dem CRA beschäftigt?
Ich habe da ein informatives Video (Dauer: eine Stunde) zum Cyber Resilience Act (CRA) für Sie.
8.5 Umstieg zu Linux? Und wie geht das?
Wir hatten ja über die Anstrengungen in Schleswig-Holstein berichtet. Falls Sie die Feiertage nutzen und selbst den Umstieg wagen wollen, hier finden Sie einen hilfreichen Text.
8.6 Die BfDI zu turbulenten Zeiten und roten Tüchern
8.7 Und noch eine Idee für die Feiertage
Wenn Sie nicht auf Linux umsteigen wollen, wollen Sie aber vielleicht Facebook den Rücken kehren?
9. Die gute Nachricht zum Schluss
9.1 CDR-Award 2024
Wir freuen uns, dass mit der Shortlist des 3. CDR Award die Initiative „Datenschutz geht zur Schule“ zusammen mit anderen Projekten und Ideen in der Kategorie „Daten, Privatsphäre & Sicherheit“ nominiert wurde. Die Preisverleihung mit der Bekanntgabe der Sieger findet am 29. Januar 2025 in Berlin statt. Kostenlose Tickets gibt es hier.