Hier ist der 17. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 51/2024)“ – Die DVD-Edition.
Hier nun unsere Weihnachtsausgabe und damit die 17. Vorstellung des Datenzirkus.
Es gibt in diesen Tagen Einiges in den Nachrichten, was datenschutzrechtliche Themen in den Hintergrund rücken lässt. Dennoch wollen wir unseren Beitrag leisten, um Sie, die Leser:innen, über Entwicklungen im Umgang mit personenbezogenen Daten auf dem Laufenden zu halten.
Wir wünschen Ihnen eine friedvolle Zeit über die Feiertage und den Jahreswechsel.
- Aufsichtsbehörden
- EDSA: Stellungnahme zu KI nach Art. 64 Abs. 2 DS-GVO
- EDPS: Microtargeting durch EU-Kommission auf „X“ moniert
- EDPS: 20Talks mit dem früheren Berichterstatter der DS-GVO
- Wunschliste der BfDI für die nächste Bundesregierung
- BayLDA: Anordnung gegen World Foundation – vormals WorldCoin
- LDI NRW: Kein Glück beim Glückspiel – hilft die DS-GVO?
- LDI Niedersachsen: Ergebnisse der KI-Expertengruppe und weiteres Vorgehen
- LfDI Baden-Württemberg: Vom Zuschauerrang in die Manege
- HBDI: Datenminimierter Fahrkartenkauf bei der Deutschen Bahn
- HBDI: Neue Verhaltensregeln bei Auskunfteien
- DSB Österreich: Neue Webseite
- CNIL: Aufforderung an Webseitenbetreiber bei Dark Patterns
- CNIL: Was geben wir gegenüber Sprachassistenten preis? Ein Experiment der CNIL
- ICO: Zusammenfassung der Aussagen zur Verantwortlichkeit zu KI nach Konsultation
- ICO: DSFA zu MS 365 Copilot
- Italien: Bußgeld gegen OpenAI wegen Datenschutzverstößen bei ChatGPT
- Niederlande: Informationskampagne zu Cookies
- Niederlande: Sanktion gegen Netflix wegen unzureichender Information
- Irland: 50 Case Studies
- Irland: Werden die Sanktionen eigentlich auch bezahlt?
- Irland: 251 Mio. Euro Bußgeld gegenüber Meta
- Irland: Datenschutzmythen zum Jahresende
- Irland: Toolkit für Schulen zur Umsetzung datenschutzrechtlicher Anforderungen
- Spanien: 1,3 Mio. Euro Sanktion wegen unzureichender Schutzmaßnahmen
- ICO: Aktualisierter Leitfaden zu Speicher- und Zugriffstechnologien (wie Cookies)
- BSI: Bewerbung um Marktaufsicht für vernetzte Produkte nach dem CRA
- BSI: Lagebericht 2024 zur IT-Sicherheit in Deutschland
- Australien: Einigung mit Meta über Bußgeldhöhe über 50 Mio. US-$ wegen Datenmissbrauch
- Brasilien: Kein Training von LLM mit Daten von Kindern
- Rechtsprechung
- EuGH K-GmbH: Anforderungen an Art. 88 DS-GVO
- EuGH-Vorschau: Löschen von Taufeinträgen
- OLG Düsseldorf: Art. 15 DS-GVO kann auch zur Prozessvorbereitung genutzt werden
- OLG Düsseldorf: Abtretbarkeit und Geltendmachung von Auskunftsansprüchen
- OLG München: Hinweisbeschluss zu Bonitätsbewertung
- ArbG Duisburg: 10.000 Euro immateriellen Schadenersatz auch gegen Leitungspersonal
- KG Berlin: Gestaltung eines Bestellbuttons gegenüber Verbrauchern
- AG Chemnitz: Keine Verjährung eines Auskunftsanspruchs
- LG Berlin II: Berichtserstattung gegen Persönlichkeitsrecht
- LG Hagen: Cyberversicherung und CEO-Fraud
- OLG Dresden: Scraping bei Facebook begründet Schadenersatzanspruch in Höhe von 100 Euro
- BVwG Österreich: Angabe der Speicherdauer (Löschfristen) bei Auskunftserteilung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Musterverträge der Europäischen Kommission für die Vergabe von KI-Projekten
- EU-Kommission: Zweiter Entwurf des General-Purpose AI Code of Practice
- Schweiz: Report zu KI-Sandbox des Kantons Zürich
- Gibt es einen Personenbezug in LLM?
- Apple, KI und Fakenews, die der BBC zugeschrieben werden
- Generative AI und ethische Risiken
- World Economic Forum: Navigation the AI Frontier
- Veröffentlichungen
- Musterverträge der Europäischen Kommission zu Art. 41 Data Act
- „Frucht des verbotenen Baumes“
- Daten(wirtschafts)völkerstrafrecht
- SURF: MS 365 Copilot für Bildungseinrichtungen
- Interview zur Beschäftigten-Überwachung
- bitkom befürchtet in Europa Datenschutz-Hürden für KI
- bitkom: Positionspapier und Erwartungen an nächste Bundesregierung
- CIPL: Grenzen der Einwilligung zur Datenverarbeitung
- Videoüberwachung im öffentlichen Raum
- Beschwerde von noyb: BeReal
- Protokollierungspflichten in Ermittlungsverfahren
- BStBK und DStV: aktualisierte Hinweise für den Umgang mit personenbezogenen Daten
- Veranstaltungen
- Niedersachsen.next: „Sexroboter: Wenn KI verführt“
- Universität des Saarlandes: Technischer Datenschutz -neu-
- CPDP – Data Protection Day
- Fachkonferenz und Preisverleihung CDR-Award 2024 -neu-
- EAID: Exportschlager AI Act -neu-
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- BSI: 1. IT-Grundschutztag 2025
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Medienscouts in Thüringen
- Gefährdungsatlas der Bundeszentrale für Kinder- und Jugendmedienschutz
- Pornofilter für Betriebssysteme
- Bayern: KI in der Schule
- Tools in der Schule, heute: MS Teams
- „Kein Raum für Missbrauch“
- Reicht Medienkompetenz noch aus? … Was immer das auch konkret sein mag?
- They see your photos
- Franks Zugabe
- Apropos KI …
- Hypernormalisierung
- Smarte Welt
- Quishing (mal wieder)
- Digitalkompetenz? Ausbaufähig
- Achtung Jahreswechsel, es steht ein ZUGFeRD vor der Tür …
- ZIP-Archive …
- Was soll mir schon passieren? Heute: Google Streetview
- Und noch ein Update zur ePA
- Sicherheitsempfehlungen der Five Eyes?
- Lesestoff für die Feiertage
- Short-Lived Certificates Coming to Let’s Encrypt
- A Fundamental-Rights Centered EU Digital Policy
- Zum Abschluss: Das neue DatenschutzArchiv
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Stellungnahme zu KI nach Art. 64 Abs. 2 DS-GVO
Die Stellungnahme des EDSA zur Anfrage aus Irland wurde noch rechtzeitig in diesem Jahr veröffentlicht. Der EDSA hatte dazu auch bereits ein Stakeholder Event durchgeführt. In der “Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models” nimmt der EDSA zu einigen Fragen Stellung, die im Umfeld des Einsatzes von LLM entstehen. So hält er als Rechtmäßigkeitsgrundlage eine Interessensabwägung nach Art. 6 Abs. 1 lit. f DS-GVO für ein Training von LLM mit personenbezogenen Daten für grundsätzlich möglich.
Interessant ist auch, dass nach Ansicht des EDSA durch eine ausreichende Anonymisierung mögliche datenschutzrechtliche Mängel bei der Entwicklung eines KI-Modell nicht zwangsläufig zu einem Verbot dessen Einsatzes führen müsste. Damit ein Modell anonym ist, sollte es sehr unwahrscheinlich sein, dass Personen, deren Daten zur Erstellung des Modells verwendet wurden, direkt oder indirekt identifiziert werden können und dass solche personenbezogenen Daten durch Abfragen aus dem Modell extrahiert werden können. Die Stellungnahme enthält eine nicht präskriptive und nicht erschöpfende Liste von Methoden zum Nachweis der Anonymität.
Die Stellungnahme enthält auch eine Reihe von Kriterien, die den Datenschutzbehörden bei der Beurteilung helfen sollen, ob Personen vernünftigerweise eine bestimmte Verwendung ihrer personenbezogenen Daten erwarten können. Zu diesen Kriterien gehören: Ob die personenbezogenen Daten öffentlich zugänglich waren oder nicht, die Art der Beziehung zwischen der Person und dem für die Verarbeitung Verantwortlichen, die Art des Dienstes, der Kontext, in dem die personenbezogenen Daten erhoben wurden, die Quelle, aus der die Daten stammen, die möglichen weiteren Verwendungen des Modells und ob die Personen tatsächlich wissen, dass ihre personenbezogenen Daten online sind.
Ergibt die Abwägungsprüfung, dass die Verarbeitung aufgrund der negativen Auswirkungen auf den Einzelnen nicht stattfinden sollte, können diese negativen Auswirkungen durch mildernde Maßnahmen begrenzt werden. Die Stellungnahme enthält eine nicht erschöpfende Liste von Beispielen für solche abmildernden Maßnahmen, die technischer Natur sein können oder es dem Einzelnen erleichtern, seine Rechte auszuüben, oder die Transparenz erhöhen.
Bericht dazu auch hier – aber es werden in den nächsten Tagen und Wochen sicher noch mehr Berichte dazu folgen.
Und abschließend: Die irische Aufsicht begrüßt die angeforderte Stellungnahme des EDSA.
Franks Nachtrag: Sie möchten vielleicht auch das hier lesen.
1.2 EDPS: Microtargeting durch EU-Kommission auf „X“ moniert
Auf Basis einer Beschwerde von noyb befasste sich der EDPS mit einer Aktion der EU-Kommission auf „X“ (vormals twitter). Um Werbung für eine politische Gesetzgebungsmaßnahme zur sog. „Chatkontrolle“ zu platzieren, wurde ein Dienstleister beauftragt. Ziel war es über Microtargeting eine bestimmte politische Zielgruppe zu erreichen bzw. eine andere auszuschließen. Allerdings zählen Daten zur politischen Meinung zu den besonderen Kategorien nach Art. 10 Abs. 1 EU VO 2018/1725 (für europäische Einrichtungen das Pendant zu Art. 9 Abs. 1 DS-GVO), deren Verarbeitung engeren Voraussetzungen unterliegt. Im Ergebnis rügt der EDPS das Vorgehen der EU-Kommission, wie auch noyb berichtet. Bericht dazu auch hier.
1.3 EDPS: 20Talks mit dem früheren Berichterstatter der DS-GVO
Im Rahmen der Feierlichkeiten zum 20-jährigen Bestehen des EDPS wird mit dem früheren EU-Parlamentarier und Berichterstatter zur DS-GVO die zentrale Rolle der Europäischen Kommission bei der Gestaltung neuer Vorschriften für digitale Plattformen in einem Interview erörtert (Dauer ca. 24 Min.). Gegenstand sind auch die seitens der EU-Kommission vorgeschlagene Strategie für die europäische Datenunion und die Herausforderungen, die sich aus dem Gleichgewicht zwischen Datenaustausch und Datenschutz ergeben.
1.4 Wunschliste der BfDI für die nächste Bundesregierung
Ok, sie nennt es nicht Wunschliste, sondern „Datenschutzpolitische Agenda“. Es geht dabei um Vorschläge der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit für die Wahlprogramme und Koalitionsvereinbarungen der Parteien. Sie formuliert es auch etwas geschickter, als ich es hier zusammenfasse. Es geht ihr um ein Digitalministerium, die digitale Souveränität Europas, insbesondere durch eigenständige Cloud-Umgebungen, ein horizontal angelegtes Forschungsdatengesetz und um ein durch Rechtssicherheit geprägtes Umfeld für das Training und die Anwendung von KI.
1.5 BayLDA: Anordnung gegen World Foundation – vormals WorldCoin
Das Unternehmen „Worldcoin“ stellt einen neuartigen digitalen Dienst zur Verifizierung als Mensch sowie eine Kryptowährung zur Verfügung, die beide unter anderem auf Blockchain-Technologie basieren. Ziel des Projekts ist die Schaffung eines Identitäts- und Finanznetzwerks (derzeit „World Network“ genannt). Im Mittelpunkt steht die sogenannte World ID, die im Zusammenhang mit digitalen Diensten den Nachweis erbringen soll, dass ein Akteur ein einzigartiger Mensch und keine Maschine ist. Dieser Nachweis wird durch die Verarbeitung biometrischer Daten sichergestellt. Dadurch soll sichergestellt werden, dass sich eine Person nur einmal bei „Worldcoin“ registrieren und nur eine „World ID“ erhalten kann. Das BayLDA prüfte diese Verarbeitungen und kam laut seiner Pressemitteilung zu dem Ergebnis, dass dieses neuartige Identifizierungsverfahrens auf Grundlage der aus Iris-Aufnahmen abgeleiteten individuellen biometrischen Daten eine Reihe grundlegender datenschutzrechtlicher Risiken für eine große Zahl betroffener Personen mit sich bringe. Im Mittelpunkt des von Amts wegen eingeleiteten Verfahrens standen neben Datensicherheitsanforderungen vor allem die Gewährleistung von Betroffenenrechten, insbesondere einer umfassenden Löschung nach Widerruf der Einwilligung und damit einhergehend auch der Prüfung des Einwilligungsprozesses.
Trotz eingeleiteter Verbesserungen seien noch Anpassungen erforderlich, um die Datenverarbeitung des Unternehmens in Einklang mit den geltenden Vorschriften zu bringen. Dazu wird das Unternehmen u.a. verpflichtet innerhalb eines Monats nach Bestandskraft des Bescheids ein den Regelungen der DS-GVO entsprechendes Löschverfahren bereit zu stellen. Darüber hinaus wird „das Unternehmen verpflichtet, künftig für bestimmte Verarbeitungsschritte eine ausdrückliche Einwilligung einzuholen. Außerdem wird von Amts wegen die Löschung bestimmter, bisher ohne ausreichende Rechtsgrundlage erhobener Datensätze angeordnet.
Der Bescheid ist dem Unternehmen bereits zugegangen und wird nun gerichtlich überprüft. Wie der Rechtsvertreter des Unternehmens auf LinkedIn mitteilt, gehe er davon aus, dass die Interpretation des BayLDA gegen europäisches Recht verstoße, was den Personenzeug des Iris-Codes betreffe. Das Unternehmen kenne oder will aber die Identität seiner Nutzer nicht kennen. Im Gegenteil – World hätte gerade zum Ziel einen Dienst anzubieten, der eine Identifizierung der Nutzer überflüssig mache. World verfüge auch über keinerlei zusätzliche Kenntnisse, um Nutzer in irgendeiner Weise zu identifizieren. Auch wenn die von World als Ausgangspunkt verwendeten Iris-Codes daher keine personenbezogenen Daten seien, unternimmt World umfangreiche technische Anstrengungen, um die verwendeten Informationen weiter zu anonymisieren. Er sieht daher vor allem die Frage zu klären, inwieweit EU-Datenschutzbehörden auch für die Regulierung anonymer Daten zuständig seien. Es gehe darum, wann Daten nach der DS-GVO als anonym gelten. Wenn schon irgendwelche entfernten oder rein hypothetischen Möglichkeiten zur Identifizierung von Nutzern ausreichen, um eine Anonymisierung auszuschließen, würden der Einsatz von KI und viele andere wirtschaftlich wichtige Anwendungsfälle praktisch verboten oder zumindest sehr erschwert. Aus seiner Stellungnahme ist erkennbar, dass der Rechtsweg zur Klärung ausgeschöpft werden solle.
1.6 LDI NRW: Kein Glück beim Glückspiel – hilft die DS-GVO?
Die LDI NRW berichtet, dass Glückspieler:innen, die bei lizenzlosen Anbieter:innen aus dem EU-Ausland gezockt haben, zunehmend auf mögliche Verstöße gegen das Datenschutzrecht setzen, um ihre Spieleinsätze zurückzubekommen. Sie erhalte zurzeit eine Vielzahl solcher Beschwerden, vorwiegend gegen Unternehmen mit Sitz in Malta. Doch die Aussichten, auf diesem Weg schnell ans Geld zu kommen, sind nach Ansicht der LDI NRW gering. Natürlich stünde für Rückforderungen nach der Rechtsprechung der zivilrechtliche Weg offen und grundsätzlich könnten Betroffene datenschutzrechtlich Auskünfte über ihre Spieleinsätze auch dann verlangen, wenn sie der Vorbereitung eines Gerichtsverfahrens dienen und weniger der Überprüfung der Richtigkeit und Vollständigkeit gespeicherten Daten. Die EU-Mitgliedstaaten können dazu jedoch Ausnahmeregeln erlassen. So habe Malta geregelt, dass Unternehmen berechtigt sind Auskünfte zu verweigern, wenn dies eine notwendige Maßnahme darstellt für die Verteidigung von Rechtsansprüchen und für Gerichtsverfahren. Die Frage, ob das maltesische Gesetz im Einklang mit dem europäischen Datenschutzrecht steht, wird derzeit vor dem maltesischen Datenschutzgericht geklärt. Bis dahin will die maltesische Datenschutzaufsichtsbehörde keine Sanktionen gegen die Glücksspielunternehmen verhängen.
Mit damit zusammenhängenden Fragen befasste sich nun auch bereits das OLG Düsseldorf am 2. Dezember 2024.
1.7 LDI Niedersachsen: Ergebnisse der KI-Expertengruppe und weiteres Vorgehen
Der LDI Niedersachsen informiert zu seiner KI-Expertengruppe. Letztendlich seien Transparenz und Datenschutz von Beginn an der Schlüssel für eine vertrauenswürdige KI. Das sei das Fazit nach der dritten und letzten Sitzung seines KI-Expertenkreises. Die Gespräche hätten einerseits datenschutzrechtliche Problemfelder beim Einsatz von Künstlicher Intelligenz genauer herausarbeiten können, andererseits erste Lösungswege für die Aufsicht, Unternehmen und die Wissenschaft aufgezeigt.
Der LDI Niedersachsen fasst nun die Ergebnisse der Gespräche zusammen, bewertet sie und wird sie im kommenden Jahr dem Niedersächsischen Landtag übergeben. Anschließend sollen sie zudem einer breiteren Öffentlichkeit präsentiert werden. Sei Ziel sei mit den Ergebnissen die Entwicklung Künstlicher Intelligenz konstruktiv zu begleiten.
1.8 LfDI Baden-Württemberg: Vom Zuschauerrang in die Manege
In seiner Podcast-Reihe „Datenfreiheit“ geht der LfDI Baden-Württemberg in der Folge #43 auf einzelne Beiträge aus der beim BvD und bei der DVD veröffentlichten Blog-Reihe „‘Menschen, Daten, Sensationen‘ – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe“ ein. Die Podcast-Folge dauert ca. 46 Minuten.
1.9 HBDI: Datenminimierter Fahrkartenkauf bei der Deutschen Bahn
Bei der Deutschen Bahn wird zurzeit wenig gespart: Weder bei Verspätungen noch bei Zugausfällen oder an Kritik. Nun muss die Bahn auch noch bei der Datenerhebung beim Kauf eines Sparpreistickets sparen: Seit 15. Dezember 2024 müssen Bahnreisende nicht mehr eine E-Mail-Adresse oder Mobilfunknummer angeben, um ein Sparpreisticket zu erhalten, wie der HBDI hier berichtet.
1.10 HBDI: Neue Verhaltensregeln bei Auskunfteien
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit informiert, dass bei der Auskunftei Schufa die Speicherfristen für ausstehende Forderungen, die aber dann kurz darauf ausgeglichen werden, ab Januar 2025 verkürzt werden. Dies beträfe ca. 120.000 Forderungen.
Eine Speicherung dieser Forderungen erfolge dann nur noch für 18 Monate statt wie bisher für 36 Monate. Etwa 56.000 derartige Forderungen werden zudem direkt gelöscht, da sie bereits mindestens 18 Monate bei der Auskunftei gespeichert seien.
Damit werde ein Teil der neuen Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die Wirtschaftsauskunfteien umgesetzt. Die neue Regelung siehe vor, dass grundsätzlich personenbezogene Daten über ausgeglichene Forderungen für 36 Monate gespeichert werden. Die Speicherung wird aber auf 18 Monate verkürzt, wenn folgende drei Voraussetzungen gegeben sind:
- Die Forderung wurde innerhalb von 100 Tagen nach der Übermittlung an die Auskunftei ausgeglichen,
- der Auskunftei wurden in diesen 18 Monaten keine weiteren Negativdaten (z.B. weitere Zahlungsstörungen) zu der betroffenen Person übermittelt
- und es liegen keine Informationen über sie aus dem Schuldnerverzeichnis oder aus Insolvenzbekanntmachungen vor.
Die neuen „Verhaltensregeln für die Prüf- und Speicherfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien vom 25. Mai 2024“ wurden vom HBDI im Mai 2024 genehmigt. Die Genehmigung findet sich hier.
1.11 DSB Österreich: Neue Webseite
Die österreichische Datenschutzbehörde hat ihre Webseite neu gestaltet. Es finden sich nun nach Zielgruppen geordnete Informationen und auch Online-Meldemöglichkeiten sowie Zugriffe auf die bisherigen Newsletter.
1.12 CNIL: Aufforderung an Webseitenbetreiber bei Dark Patterns
Wird die CNIL durch Beschwerden auf irrführende Consent-Banner aufmerksam, fordert sie nach der Information auf ihrer Webseite die Betreiber auf, dies innerhalb eines Monats zu ändern. Zu den festgestellten nicht konformen Praktiken gehören insbesondere die folgenden:
- Die Ablehnungsoption wird in Form eines anklickbaren Links dargestellt, dessen Wahl der Farbe, der Schriftgröße und des Schriftstils die Annahmeoption gegenüber der Ablehnungsoption unverhältnismäßig stark hervorhebt;
- Die Ablehnungsoption ist so in die Informationen eingebettet, dass sie nicht ohne weiteres erkennbar ist;
- die Ablehnungsoption ist neben anderen Absätzen platziert, ohne dass ein ausreichender Abstand vorhanden ist, um sie visuell von allen anderen Informationen zu unterscheiden;
- die Option „Akzeptieren“ wird im Banner mehrfach dargestellt, während die Option „Ablehnen“ nur einmal und in nicht expliziter Form („Ich lehne nicht wesentliche Zwecke ab“) dargestellt wird.
Besprechung auch hier.
1.13 CNIL: Was geben wir gegenüber Sprachassistenten preis? Ein Experiment der CNIL
Sprachassistenten zuhause können viele persönliche Informationen erfahren. Die französische Datenschutzbehörde CNIL hat dazu ein Experiment durchgeführt. Die CNIL begab sich auf einen öffentlichen Platz, um mehreren Passanten anzubieten sich mit Germain, „einem neuen Sprachassistenten, der künstliche Intelligenz verwendet“, zu unterhalten.
Die Passanten waren von dem Gerät fasziniert und befragten den Assistenten zu ihren alltäglichen Bedürfnissen: Sie suchten die Telefonnummer eines Reisebüros, wollten wissen, wie man mit dem Rauchen aufhört, wollten Fahrradtouren in der Umgebung ihres Wohnorts finden oder wissen, ob sie ihre Prüfungen bestehen würden.
Am Ende des Austauschs wurden die Teilnehmer informiert, dass sie in Wirklichkeit mit einem Beamten der CNIL kommuniziert hatten, der sich an einem Ort in der Nähe versteckt hatte, und dass sie im Laufe des Gesprächs zahlreiche persönliche Daten preisgegeben hatten, manchmal ohne sich dessen bewusst zu sein.
Die Interaktion mit einem Sprachassistenten kann die unbewusste Preisgabe von Daten verstärken. KI-Systeme, wie sie für den Kundenservice oder für Sprachassistenten eingesetzt werden, stellen oft direkte, manchmal persönliche Fragen, die harmlos oder für die Lösung eines Problems relevant erscheinen. Die Art dieser Fragen kann jedoch dazu verleiten zu antworten, ohne dass die Menge der geteilten Informationen bewusst wird. Der Austausch bildet die Bedingungen einer menschlichen Konversation nach und fördert eher den spontanen Austausch von Informationen im Verlauf der Diskussion. Die Interaktion mit einer KI wird als kontrolliert wahrgenommen, mit der Möglichkeit das Gespräch jederzeit zu beenden oder eine Frage nicht zu beantworten. Dies vermittelt somit ein Gefühl der Sicherheit, das manchmal dazu führt Informationen zu teilen, die ursprünglich als privat galten.
Einer der Teilnehmer gab zu, dann auch seinen Vornamen genannt zu haben, als die die KI sich vorstellte und ihn nach seinem Vornamen fragte, weil dies für ihn eine höfliche Angewohnheit sei.
Die CNIL empfiehlt daher acht Tipps für den Austausch mit einem Sprachassistenten:
- „Teilen Sie nur das absolute Minimum an Informationen, die Sie benötigen, um eine Antwort zu erhalten. Wenn der Assistent Sie nach persönlichen Informationen fragt, überlegen Sie, ob diese wirklich nützlich sind.
- Vertrauen Sie keine sensiblen oder intimen Daten an, wie z. B. Gesundheitsinformationen, Bankdaten oder Passwörter.
- Seien Sie sich darüber im Klaren, was Sie im Laufe der Konversationen geteilt haben, und löschen Sie Ihre Daten regelmäßig.
- Formulieren Sie klare und einfache Fragen, damit der Assistent sie nicht missverstehen kann.
- Bevorzugen Sie Geräte, bei denen Sie die Analyse Ihrer Daten deaktivieren können.
- Wenn Sie möchten, können Sie Ihr Recht auf Auskunft über die Verarbeitung Ihrer personenbezogenen Daten ausüben, indem Sie sich an den Anbieter des Dienstes wenden (Informieren Sie sich über die Datenschutzinformationen, die einen Abschnitt über die Ausübung Ihrer Rechte enthalten sollten).
- Die Antworten der Assistenten sind nicht immer zuverlässig. Zögern Sie nicht Informationen, die Sie aus anderen Quellen erhalten haben, zu überprüfen.
- Wenn Sie sich nicht sicher sind, ob es sich bei Ihrem Gesprächspartner um einen Roboter oder einen Menschen handelt, lesen Sie die Nutzungsbedingungen oder wenden Sie sich an den Entwickler des Dienstes.“
1.14 ICO: Zusammenfassung der Aussagen zur Verantwortlichkeit zu KI nach Konsultation
Der ICO veröffentlicht seine Aussagen zur Verantwortlichkeit in der Lieferkette nach der Konsultation zu seinen bisherigen Aussagen (wir berichteten).
An der Entwicklung eines KI-Systems können mehrere Betreiber beteiligt sein, die in unterschiedlichem Maße an der Verarbeitung personenbezogener Daten beteiligt sind. Bei der generativen KI lassen sich die Rollen von „Entwicklern“ und „Deployern“ nicht immer sauber auf die Konzepte von Controllern und Prozessoren abbilden.
Der ICO stellt fest, dass er sich in der Zuweisung von Verantwortlichkeiten in komplexen Lieferketten wie generativer KI durch die Sondierung reale Erkenntnisse über die komplexen Entscheidungen, die Deployer und Entwickler bei der Zuweisung von Verantwortlichkeiten treffen, gewonnen habe. Basierend auf den erhaltenen Hinweisen, hält er an der bisherigen Konsultationsposition fest und will weiterhin mit der Branche zusammenarbeiten.
Die übergreifenden Entscheidungen von generativen KI-Entwicklern können nach Ansicht des ICO beeinflussen, wie ein Modell in der Bereitstellungsphase funktioniert. Infolgedessen besteht die Gefahr, dass Deployer von „Closed-Access“-Modellen keine sinnvolle Kontrolle und keinen Einfluss auf die gesamte Verarbeitung bei der Bereitstellung hätten. Unter solchen Umständen sei es bei der Betrachtung der Rolle der Parteien bei der Verarbeitung wichtig zu berücksichtigen, welche Informationen der Bereitsteller hat und welches Maß an Kontrolle der Entwickler biete. Eine gemeinsame Verantwortlichkeit sei wahrscheinlicher, wenn beide Parteien während der Einsatzphase gemeinsame Ziele oder Einfluss behalten.
Er berichtet auch, dass es eine gewisse Verwirrung zwischen den Interessengruppen darüber gab, was eine gemeinsame Verantwortlichkeit mit sich bringt. Das bedeute nicht, dass beide Parteien gemeinsam und gleichberechtigt verantwortlich sind. In einer Vereinbarung über die gemeinsame Verantwortlichkeit werde festgelegt, wofür jede Partei verantwortlich ist. Das bedeute, dass sie nicht für alles, was mit der Verarbeitung zu tun hat, mitverantwortlich sein müsse. Dabei handelt es sich um eine faktenbasierte Einschätzung. Alle anderen Verträge, die zwischen Entwicklern und Bereitstellern eingerichtet werden, setzen die faktenbasierte Bewertung, die die Kontrolle bestimmt, nicht außer Kraft.
1.15 ICO: DSFA zu MS 365 Copilot
Die britische Datenschutzaufsicht möchte MS 365 für ca. 30 nutzende Personen einsetzen. Und was sollte da vorher u.U. gemacht werden? Genau, eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment – DPIA). Sind auch nur 169 Seiten – in der Version 0.1, die über eine Informationsfreiheitsanfrage veröffentlicht wurde und hier hinterlegt ist. Manche Schwärzungen im Dokument sind irritierend, z.B. zur Frage auf Seite 22, ob das Cyber Security Team ein Security Assessement durchführte, zwar mit „nein“ beantwortet, aber trotzdem ein mögliches Ergebnis dieses Assessments dann geschwärzt wird. Ab Seite 25 beginnen die risikominimierenden Maßnahmen, die allerdings auch geschwärzt wurden. Auch einzelne Empfehlungen des DSB der Datenschutzbehörde (ab Seite 36) wurden geschwärzt. Und nicht von der Länge der DSFA mit 169 Seiten abschrecken lassen, ab Seite 57 finden sich ausschließlich Unterlagen von Microsoft. Aber es ist ja auch nur die Version 0.1.
1.16 Italien: Bußgeld gegen OpenAI wegen Datenschutzverstößen bei ChatGPT
Kurz nachdem der EDSA seine Stellungnahme 28/2024 zur Anfrage aus Irland zu bestimmten Aspekten des Einsatzes von KI-Modellen veröffentlichte, machte die Garante bekannt, dass sie ein Bußgeld in Höhe von 15 Mio. Euro und Auflagen zur Awareness gegen OpenAI verhängte. Und zwar für Vorwürfe hinsichtlich der Verarbeitung personenbezogener Daten bei ChatGPT, die zeitlich vor der Entscheidung OpenAIs, in Irland eine Vertretung zu eröffnen, zu datieren sind. Die Vorwürfe beinhalten die Unterlassung der Meldung einer Datenschutzverletzung im März 2023, keine ausreichende Rechtsgrundlage beim Training ihres LLM mit personenbezogenen Daten nachweisen zu können und Informationspflichten unzureichend umgesetzt zu haben. Auch habe es keine Altersverifikation für Personen unter 13 Jahren gegeben, was deren Risko unangemessen erhöht habe. Immerhin habe sich die Kooperation OpenAIs auf die Höhe des Bußgelds ausgewirkt.
1.17 Niederlande: Informationskampagne zu Cookies
Die niederländische Aufsicht startet eine Sensibilisierungskampagne zu Cookies. „Cookies wissen alles über ihre Kunden. Glaubst Du, das ist normal?“ Mit dieser Frage beginnt die Datenschutzbehörde eine öffentliche Kampagne, die auf die Nachteile von Cookies hinweist. Personenbezogene Daten, die mit Cookies gesammelt werden, werden oft direkt an Hunderte von anderen Organisationen weitergegeben. Auf diese Weise verlieren nach Aussage der Aufsicht die Menschen unbemerkt die Kontrolle über ihre Privatsphäre. Mit der Kampagne fordert die Aufsicht Organisationen auf ihre Cookie-Richtlinie genauer unter die Lupe zu nehmen.
1.18 Niederlande: Sanktion gegen Netflix wegen unzureichender Information
Die niederländische Aufsicht informiert, dass Netflix seine Kunden zwischen 2018 und 2020 nicht ausreichend darüber informiert habe, was das Unternehmen mit ihren persönlichen Daten machte. Die Informationen, die Netflix zur Verfügung gestellt hatte, seien zum Teil unklar gewesen. Umso klarer sieht die Reaktion der Aufsicht aus: 4,75 Mio. Euro Bußgeld gegen den Streamingdienst. Inzwischen hat Netflix seine Datenschutzerklärung aktualisiert und die Informationen verbessert.
Aufmerksam wurde die Behörde durch eine Beschwerde des NGO noyb, das natürlich auch darüber berichtet.
1.19 Irland: 50 Case Studies
Die irische Datenschutzaufsicht hat einige „Case Stadies“ veröffentlicht, in denen sie Hinweise zur datenschutzrechtlichen Bewertung gibt. Die insgesamt 50 Beispiele umfassen Situationen wie Videoüberwachung am Arbeitsplatz, Weiterverarbeitung bei kompatiblen Zwecken oder auch „faire“ Verarbeitung durch einen Arbeitgeber.
1.20 Irland: Werden die Sanktionen eigentlich auch bezahlt?
Eigentlich eine simple Frage – und auch diese geht (wieder mal) erwartungskonform aus. So wird hier berichtet, dass aus einer Anfrage nach der Informationsfreiheit hervorgeht, dass trotz der erheblichen Geldbußen, die von der irischen Datenschutzbehörde verhängt wurden, bisher nur 19,9 Mio. Euro des Gesamtbetrags gezahlt wurden. Um das bewerten zu können, sollte vielleicht noch nachgereicht werden, dass wir hier von einer Gesamtsumme der letzten fünf Jahre von 3,26 Mrd. Euro reden. Immerhin ca. 0,6 %. Viele wurden nicht rechtskräftig, sondern werden mit Rechtsmitteln und in Gerichtsverfahren überprüft.
1.21 Irland: 251 Mio. Euro Bußgeld gegenüber Meta
Die irische Datenschutzkommission (DPC) hat ihre endgültigen Entscheidungen im Anschluss an zwei Untersuchungen zu Meta Platforms Ireland Limited („MPIL“) bekannt gegeben. Diese Untersuchungen wurden von der DPC nach einer Verletzung des Schutzes personenbezogener Daten eingeleitet, die von MPIL im September 2018 gemeldet wurde. Diese etwa 29 Millionen Facebook-Konten weltweit, von denen etwa 3 Millionen in der EU/im EWR ansässig waren. Zu den betroffenen Kategorien personenbezogener Daten gehörten: der vollständige Name des Nutzers, seine E-Mail-Adresse, seine Telefonnummer, sein Wohnort, sein Arbeitsplatz, sein Geburtsdatum, seine Religion, sein Geschlecht, seine Beiträge in der Timeline, die Gruppen, in denen der Nutzer Mitglied war, und die personenbezogenen Daten von Kindern. Die Sicherheitsverletzung entstand durch die Ausnutzung von Nutzer-Tokens auf der Facebook-Plattform durch unbefugte Dritte. Die Sicherheitsverletzung wurde von MPIL und seiner US-Muttergesellschaft kurz nach ihrer Entdeckung behoben.
Die Entscheidung wurde mit dem EDSA, von dem es keine Einwände gab, abgestimmt.
1.22 Irland: Datenschutzmythen zum Jahresende
Die irische Aufsicht befasst sich mit ein paar Mythen zum Jahresende rund um die DS-GVO wie Wunschliste an Santa, dessen Auflistung über das vorherige Verhalten oder ein vermeintliches Fotografierverbot an Schulaufführungen. Mein Favorit: “Do you need consent to leave cookies for Santa?” Schöne Quintessenz: Wenn eine Geschichte über die DS-GVO zu lächerlich klingt, um wahr zu sein, ist sie wahrscheinlich zu lächerlich, um wahr zu sein.
Franks Nachtrag: Ich habe auch einen Mythos für Sie: Die Unternehmen, welche von der irischen Aufsicht mit Bußgeldern beleget werden, bezahlen diese auch …
1.23 Irland: Toolkit für Schulen zur Umsetzung datenschutzrechtlicher Anforderungen
Irgendwie scheint Irland zum Jahreswechsel mal aktiver zu werden: Jetzt präsentieren sie auch noch ein Toolkit für Schulen, das Schulen bei der Erfüllung ihrer Datenschutzverpflichtungen bei der Verarbeitung personenbezogener Daten von Kindern unterstützen soll.
Im Rahmen ihres Engagements für den Bildungssektor durch ihre Beschwerdebearbeitungs- und Beratungsfunktionen hat die Aufsicht eine Reihe von Bereichen ermittelt, die Schulen als Sektor aus Sicht der Einhaltung des Datenschutzes vor Herausforderungen zu stellen scheinen, und beschlossen eine speziell auf Schulen zugeschnittene Ressource zum Datenschutz zu erstellen. Unter Berücksichtigung weiteren Feedbacks begann sie mit der Arbeit an ihrem Toolkit, das Folgendes umfasst: Einen detaillierten Leitfaden zu verschiedenen Aspekten des Datenschutzrechts im spezifischen Kontext von Schulen, einen FAQ-Bereich mit Antworten auf Fragen, die häufig aus dem Bildungssektor gestellt werden, sowie einen Anhang mit Mustervorlagen und Checklisten.
1.24 Spanien: 1,3 Mio. Euro Sanktion wegen unzureichender Schutzmaßnahmen
Die spanische Aufsicht AEPD sanktionierte ein Telefonunternehmen, weil dessen Schutzmaßnahmen einen Datenabzug erleichterten. Das Unternehmen wurde Opfer eines Cyberangriffs. Die persönlichen Daten, auf die zugegriffen wurde, umfassten Telefonnummern, technische Daten von WLAN-Verbindungen und Routern sowie Zugangsdaten für Konten (Benutzername und Passwort). Die Datenbank, die kompromittiert wurde, enthielt Daten von mehr als einer Million Kunden. Die Datenbank diente zur Verwaltung der WLAN-Router der Kunden.
Von einem einzigen Mitarbeiter in Litauen wurden täglich bis zu 4 Millionen Zugriffsanfragen auf das interne System des für die Verarbeitung Verantwortlichen gestellt. Die übliche Zahl der Zugriffsanfragen lag bei 55.000 pro Tag. Dies wurde am 16. September 2022 festgestellt. Die Zugangsdaten des Mitarbeiters wurden jedoch erst vier Tage später, am 20. September 2022, gesperrt, da er im Urlaub war und erst dann bestätigen konnte, dass er diese Anfragen nicht gestellt hatte. Im Anschluss an die Aussage des Mitarbeiters untersuchte das Unternehmen den Vorfall.
Nach der Entdeckung der Datenschutzverletzung appellierte das Unternehmen an seine Kunden ihre Passwörter zu ändern. Eine Verantwortung für den Cyberangriff lehnte das Unternehmen aber ab, da dieser unvorhergesehen gewesen sei. Es machte vor allem geltend, dass es sich bei den durchgesickerten Daten nicht um sensible Daten oder Daten von großer Bedeutung handelte, da sie hauptsächlich technische Daten enthielten. Außerdem bestritt das Unternehmen, dass es sich bei einer Festnetznummer um personenbezogene Daten handelt.
Die Datenschutzaufsicht kam zu dem Schluss, dass das Unternehmen den risikobasierten Ansatz für die Datensicherheit und den Grundsatz der Rechenschaftspflicht nicht beachtet habe. In Anbetracht der Menge der verarbeiteten personenbezogenen Daten und der Anzahl der über 1,4 Mio. betroffenen Personen habe es grob fahrlässig gehandelt.
Die Aufsicht vertritt die Auffassung, dass die betroffenen Daten zu einem völligen Kontrollverlust führen könnten und darüber hinaus zur Begehung von Straftaten wie Diebstahl, Identitätsbetrug oder anderen Finanzdelikten verwendet werden könnten. Der Cyberangriff hätte verhindert werden können, wenn das Unternehmen eine zweistufige Verifizierung für den Zugriff auf die Datenbank (MultiFaktor-Authentifizierung) eingeführt hätte. Für den Verstoß gegen den allgemeinen Grundsatz angemessener Schutzmaßnahmen nach Art. 5 Abs. 1 lit. f DS-GVO legte die Aufsicht eine Sanktion in Höhe von 800.000 Euro, für den Verstoß gegen Art. 32 DS-GVO, angemessene technische und organisatorische Maßnahmen einzusetzen, die das Risiko eines Cyberangriffs gemäß Art. 32 DSGVO minimiert hätten weitere 500.000 Euro. Bericht dazu hier.
1.25 ICO: Aktualisierter Leitfaden zu Speicher- und Zugriffstechnologien (wie Cookies)
Die ICO hat ihren Vorschlag für aktualisierte Leitlinien zur Nutzung von Speicher- und Zugriffstechnologien zur öffentlichen Konsultation veröffentlicht. Bis Freitag, den 14. März 2025, können Hinweise eingereicht werden. Der Leitfaden stellt eine bedeutende Aktualisierung des detaillierten Leitfadens zu Cookies dar. Er zielt darauf ab die Bandbreite der heute neben Cookies weit verbreiteten Speicher- und Zugriffstechnologien zu verdeutlichen und zu referenzieren und zwar anhand von Beispielen. Der Leitfaden wurde unter Verwendung der Formulierungen „muss“, „sollte“ oder „könnte“ neu geschrieben, um den Lesern Klarheit über die Vorschriften zu verschaffen. Er spiegelt die jüngste Rechtsprechung und die Positionen des ICO zu Schlüsselthemen wider, einschließlich ihrer Erwartungen an die Online-Werbung.
1.26 BSI: Bewerbung um Marktaufsicht für vernetzte Produkte nach dem CRA
Wer übt in Deutschland eigentlich die Marktaufsicht nach dem Cyber Resiliance Act (CRA) aus? Auch wenn dieser nun mittlerweile in Kraft getreten ist, ist noch unklar, wer dessen Einhaltung überwacht. Es wurde in Deutschland noch keine nationalen Marktaufsichtsbehörde benannt, die die Einhaltung der im CRA formulierten Anforderungen durch Hersteller und Händler gewährleistet. Zum Aufgabenspektrum gehört zudem die Koordination zwischen Behörden auf nationaler und europäischer Ebene. Das BSI bringt sich für diese Aufgabe ins Gespräch und würde diese Marktaufsicht gerne übernehmen.
1.27 BSI: Lagebericht 2024 zur IT-Sicherheit in Deutschland
Der BSI-Lagebericht 2024 vermittelt einen Eindruck von der weiterhin angespannten Cybersicherheitslage. Er macht aber auch deutlich: Die Schutzmaßnahmen greifen und Schäden können mit vereinten Kräften signifikant begrenzt werden. Aber in der Kernaussage bleibt die Lage der IT-Sicherheit in Deutschland besorgniserregend. Unter den Kapiteln Bedrohungslage, Angriffsfläche, Gefährdungslage und Resilienz bietet der Bericht Analysen und Darstellungen, die bei Bedarf zwischen Verbrauchern, Wirtschaft und Bundesverwaltung differenziert.
1.28 Australien: Einigung mit Meta über Bußgeldhöhe über 50 Mio. US-$ wegen Datenmissbrauch
Die australische Datenschutzaufsicht informiert über eine Streitbeilegung mit Meta. 50 Mio. US-$ werden von Meta an australische Nutzer ausgezahlt, die von Cambridge Analytica betroffen waren. Die australische Datenschutzbehörde stimmte diesem Zahlungsprogramm zu, das Teil einer von Meta eingegangenen vollstreckbaren Verpflichtung zur Beilegung eines Zivilstrafverfahrens ist. Das Zahlungsprogramm steht allen berechtigten australischen Facebook-Nutzern offen, die von der Cambridge-Analytica-Sache betroffen waren.
Persönliche Daten einiger australischer Facebook-Nutzer wurden unter Verstoß gegen geltende Datenschutzgesetze an die App „This is Your Digital Life“ weitergegeben. Dadurch bestand das Risiko, dass die Informationen an Cambridge Analytica und andere Dritte weitergegeben und für politische Profiling-Zwecke verwendet wurden.
1.29 Brasilien: Kein Training von LLM mit Daten von Kindern
Die Datenschutzaufsicht Brasiliens gab bekannt, dass sie die Plattform „X“ angewiesen hat das Training von LLM mit den Daten von Kindern auszusetzen.
2 Rechtsprechung
2.1 EuGH K-GmbH: Anforderungen an Art. 88 DS-GVO
Der EuGH hat die Vorlagefragen des BAG im Verfahren C-65/23 (K GmbH) beantwortet. Auch bei Kollektivvereinbarungen über Art. 88 DS-GVO sind die Anforderungen aus Artt. 5, 6 Abs. 1 und Art. 9 Abs. 1 und 2 DS-GVO einzuhalten. Gerichte können dabei auch das Kriterium der Erforderlichkeit überprüfen.
2.2 EuGH-Vorschau: Löschen von Taufeinträgen
Gibt es einen Anspruch auf Löschung aus einem Taufregister? Zu dieser Frage haben wir bereits aus Slowenien (hier) und Irland (hier) berichtet. Auch zu Belgien hatten wir bereits eine Meldung (hier). Und aus Belgien kommt nun auch (endlich einmal) eine Anfrage an den EuGH zum Löschrecht bei Taufbüchern. Ausführlicher Bericht zu Hintergründen, Vorlagefrage und den Fragen zur Abwägung zwischen Recht auf Religionsfreiheit und dem Recht auf Datenschutz und Datenlöschung findet sich wieder bei Artikel91.de. Dort habe ich jetzt auch erfahren, dass diese Thematik auch bereits in Frankreich behandelt wurde.
2.3 OLG Düsseldorf: Art. 15 DS-GVO kann auch zur Prozessvorbereitung genutzt werden
Das OLG Düsseldorf musste entscheiden, ob ein Auskunftsverlangen nicht erfüllt werden müsste, wenn die auskunftbegehrende Person die Informationen für ein nachfolgendes Klageverfahren nutzen will. Konkret ging es um die Auskunft über Glücksspieleinsätze und deren Klage auf Rückzahlung. Hierzu stellt das OLG Düsseldorf in Anwendung der EuGH-rechtsprechung (EuGH C-307/22, RN 43) fest, dass es einem Auskunftsanspruch aus Art. 15 Abs. 1 DS-GVO auch nicht entgegen steht, wenn sich die betroffene Person – wie bei einer sogenannten pre-trial discovery – dadurch Erkenntnisse zur Bezifferung eines Zahlungsantrags erhofft. Der in Art. 15 Abs. 1 DS-GVO normierte Auskunftsanspruch ist nicht an die Voraussetzung geknüpft, dass die betroffene Person mit den erwünschten Angaben und Informationen in bestimmter Weise verfährt (RN 36).
Weiterhin stellt das OLG fest, dass der vom Kläger an die Beklagte gerichtete vorgerichtliche Auskunftsverlangen nach Art. 15 Abs. 1 DS-GVO zwischen den Parteien ein eigenes Schuldverhältnis im Sinne von § 280 Abs. 1 Satz 1 BGB begründete (RN 50). Auch läge mit der geschuldeten Auskunftserteilung nach Art. 15 Abs. 1 DS-GVO ein vorauszugehendes Ereignis im Sinne von § 286 Abs. 2 Nr. 2 BGB vor. Dieser Antrag löse nach Art. 12 Abs. 3 Satz 1 DS-GVO eine gesetzliche Antwortfrist aus. Das Auskunftsverlangen sei danach unverzüglich, spätestens aber – im Einklang mit der Aufforderung des Klägers – innerhalb eines Monats nach Eingang des Antrags zu beantworten. Das reicht für die Berechenbarkeit nach dem Kalender im Sinne von § 286 Abs. 2 Nr. 2 BGB aus. Dabei kann dahinstehen, ob dies für den von Art. 12 Abs. 3 Satz 1 DS-GVO verwendeten Begriff „unverzüglich“ gilt. Es gilt jedenfalls für die in Art. 12 Abs. 3 Satz 1 DS-GVO genannte Höchstfrist „innerhalb eines Monats nach Eingang des Antrags“ (RN 50). Durch das Nichtreagieren sei ein Verzug eingetreten (RN 51).
Und auch wenn das jetzt alles für den Kläger ganz positiv klingt: Wie die LDI NRW berichtet, habe im Juni 2023 das Parlament in Malta ein Gesetz verabschiedet, das die heimische Glücksspielindustrie vor Schadensersatzklagen aus dem Ausland schützen soll. Dabei sei vorgesehen, dass Gerichte in Malta künftig Gerichtsurteile aus dem Ausland nicht mehr vollstrecken dürfen, wenn die beklagten Firmen eine maltesische Glücksspiellizenz besitzen und die örtlichen Regularien befolgen.
Doppeltes Pech für die Glücksspieler?
2.4 OLG Düsseldorf: Abtretbarkeit und Geltendmachung von Auskunftsansprüchen
Wieder mal ein Auskunftsverfahren gegen eine Versicherung zur Klärung von Prämienabpassungen. Hervorzuheben sind aber die Bewertungen des OLG Düsseldorf, dass ein Auskunftsrecht nach Art. 15 DS-GVO ein höchstpersönliches Recht und nicht abtretbar sei (RN 159 ff). Auch könne ein Auskunftsbegehren nach Art. 12 Abs. 5 S. 2 lit. b DS-GVO als rechtsmissbräuchlich abgelehnt werden, wenn sie offensichtlich nur der Vorbereitung von Schadensersatzansprüchen diene (RN 163 mit weiteren Nachweisen). Überraschend ist für mich die Argumentation, dass aufgrund von Verjährung von denkbaren Rückforderungen auch ein Auskunftsanspruch ausgeschlossen sei (RN 173).
2.5 OLG München: Hinweisbeschluss zu Bonitätsbewertung
In einem Hinweisbeschluss an die Parteien informiert das OLG München, dass die Verarbeitung personenbezogener Daten zur wirtschaftlichen Bewertung einer Person durch Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt werden können (RN 14). Die Höhe der ausstehenden Forderung (hier 389 Euro) sei bei der Frage der Erforderlichkeit nicht relevant. (RN 15)
Und weil es gut dazu passt: Das OLG Schleswig-Holstein hatte in einem anderen Verfahren bei einer Einmeldung bei einer Auskunftei auch zwischen offener Forderung und Nebenforderungen unterschieden. Wir berichteten.
2.6 ArbG Duisburg: 10.000 Euro immateriellen Schadenersatz auch gegen Leitungspersonal
Das ArbG Duisburg hat gegen eine Präsidentin eines Verbandes wegen unrechtmäßiger Offenlegung von Gesundheitsdaten per E-Mail gegenüber 10.000 Mitgliedern des Verbandes einen Anspruch auf immateriellen Schadenersatz nach Art. 82 DS-GVO in Höhe von 10.000 Euro festgestellt.
In einem Rundschreiben wurde durch die damalige Vereinspräsidentin die Erkrankung und der Krankenstand des Klägers sowie Vorwürfe gegen ihn publik machte. Dies führte zu einer Rufschädigung des Klägers unter knapp 10.000 Vereinsmitgliedern. Der Kläger machte geltend, dass die Veröffentlichung seiner Gesundheitsdaten ohne rechtmäßige Grundlage erfolgte und sein sozialer Geltungsanspruch verletzt worden sei. Das Arbeitsgericht bejahte den Anspruch gegen die (vormalige) Präsidentin (nicht jedoch gegenüber dem Verband)!
2.7 KG Berlin: Gestaltung eines Bestellbuttons gegenüber Verbrauchern
Wie muss ein Bestellbutton gegenüber Verbrauchern gestaltet werden? Das war Gegenstand eines Verfahrens vor dem KG Berlin. Im konkreten Fall kam der Nutzer über einen Button mit der Aufschrift „kostenloses Probeabo starten Easy testen, easy beenden“ zu einer weiteren Information, bei der dem Nutzer ein weiterer Hinweis mit den Angaben „kostenloses Probeabo (1 Woche) ab heute“ sowie „79,99 € pro Jahr ab dem 19.03.2024“ und „unverbindlich. Du kannst jederzeit unter „Einstellungen“ > „Apple-ID“ kündigen“ angezeigt. Darüber befand sich oben rechts die Angabe „zum Abonnieren zweimal drücken“. Unter dem vorgenannten Hinweis befand sich die Angabe „Mit Seitentaste bestätigen“.
Betätigte der Nutzer die Seitentaste aufforderungsgemäß zweimal, erhielt er in der Folge eine „Abo-Bestätigung“ von „Apple“, mit der ihm ausweislich der Anlage B 4 mitgeteilt wurde: „Hallo […], du hast das folgende Angebot angenommen“. Dieser Angabe folgte eine Zusammenfassung der wesentlichen Vertragsbestandteile sowie der Hinweis „Dein Abo wird fortgesetzt, bis es gekündigt wird. Der App-Anbieter bietet als Abo-Service an, unter anderem Sachbücher auf Englisch sowie Deutsch zusammenzufassen und die Kernaussagen als Audio-Podcast bereitzustellen.
Dier verbraucherzentrale bundesverband (vzbv) hielt diese Gestaltung für unzulässig. Aus Sicht des vzbv verstoße das Vorgehen gegen die zwingenden Vorgaben aus § 312j Abs. 2 BGB. Der Norm nach hätte die Schaltfläche mit „zahlungspflichtig bestellen“ (oder ähnlichen Schriftzügen) beschriftet gewesen sein müssen.
Das Berliner KG sah keinen Verstoß in der Beschriftung. § 312j Abs. 3 BGB betreffe lediglich den finalen Bestellschritt, mit dem der Verbraucher eine rechtlich bindende Erklärung abgebe. Im vorliegenden Falle erfolge der rechtsgültige Abschluss allerdings erst im eigentlichen App-Store. Daher sei auch kein Rechtsverstoß anzunehmen.
Der Begriff „starten“ werde auch im allgemeinen Sprachgebrauch nicht mit „bestellen“ gleichgesetzt. Vielmehr deute er zunächst nur auf die Ingangsetzung eines – weitere Schritte erfordernden – Bestellvorganges hin. Besprechung des Falles hier.
2.8 AG Chemnitz: Keine Verjährung eines Auskunftsanspruchs
Wieder Mal ein Streit um Prämienanpassungen bei einer Versicherung. Und wieder versucht ein Versicherungsnehmer seine Unterlagen über einen Auskunftsanspruch nach Art. 15 DS-GVO zu vervollständigen. Und wieder einmal verweigert die Versicherung die Herausgabe – nur diesmal kommt sie auch auf die Idee dem Auskunftsanspruch Verjährung entgegenzuhalten.
Selbst dem AG Chemnitz (Urt. v. 22.11.2024 – Az.: 16 C 1063/24) ist dies dann doch zu – äh – ungewöhnlich. Letztendlich sehe das Europarecht keine Verjährung des Auskunftsanspruchs aus Art. 15 DS-GVO vor. Bericht dazu hier.
2.9 LG Berlin II: Berichtserstattung gegen Persönlichkeitsrecht
Weil immer wieder die Frage komme, wie denn eine Abwägung erfolgen könne, wenn es um Persönlichkeitsrechte und andere Rechte gehe, hier ein aktuelles Beispiel: Eine Person wurde bei einer Demo gegen die Politik Israels mit erhobener rechter Hand erwischt. Ein Polizist wertete dies als „Hitlergruß“ und griff ein. Über die Demonstration berichtete eine Zeitung und zeigte dabei auch eine Abbildung mit der Person mit dem erhobenen Arm. Der Demonstrant behauptete hingegen, er habe sich mit seiner Geste gegen Filmaufnahmen wehren wollen und ging gerichtlich gegen die Veröffentlichung des Bildes vor. Das LG Berlin II hält im einstweiligen Rechtsschutz die Berichterstattung für zulässig (Urteil vom 26.11.2024 – 27 O 250/24). Es war in der Beweisaufnahme davon überzeugt, dass der Kundgebungsteilnehmer tatsächlich mit „überwiegender Wahrscheinlichkeit“ den Hitlergruß gezeigt hatte. Im einstweiligen Rechtsschutzverfahren reicht dieser Beweismaßstab aus. Ein Unterlassungsanspruch stehe dem Mann nicht zu. Die Berichterstattung verletze ihn insoweit nicht in seinem allgemeinen Persönlichkeitsrecht.
Der gesamten Berichterstattung bei pro-palästinensischen und anti-israelischen Kundgebungen, die angesichts ihrer gesellschaftlichen Relevanz von großem Interesse sei, komme erheblicher Informationswert zu, so das Gericht. Daher bestehe hier auch ein erhebliches Interesse der Zeitgeschichte beteiligte Personen und ihr Verhalten zu zeigen. Bei der Abwägung der kollidierenden Rechtspositionen entschied das LG insofern klar zulasten des Demo-Teilnehmers. So habe der Demonstrant „bewusst direkt vor der Kamera agiert“ und damit „selbst Aufmerksamkeit“ erregt in einem Moment, in dem mit einer starken Beobachtung durch die Presse zu rechnen gewesen sei. Bericht dazu hier.
2.10 LG Hagen: Cyberversicherung und CEO-Fraud
Das LG Hagen musste über einen Ersatzanspruch aus einem Cyber-Versicherungsvertrag entscheiden.
Die Versicherung umfasste Schäden aufgrund von Verletzungen der Informationssicherheit oder der Netzwerksicherheit.
Das Unternehmen war Opfer eines (CEO-)Frauds geworden. Das Opfer zahlte auf geänderte Kontoangaben, die ihr in betrügersicher Weise über E-Mail mitgeteilt wurden. Das Gericht bestätigte die Interpretation der Versicherung, dass keine Netzwerksicherheitsverletzung (RN 50 ff) und auch kein Versicherungsfall nach der Vertrauensschadenversicherung vorliege (RN 56ff). Bericht dazu hier.
2.11 OLG Dresden: Scraping bei Facebook begründet Schadenersatzanspruch in Höhe von 100 Euro
In einem aktuellen Fall hat das OLG Dresden die Rechtsprechung des BGH* berücksichtigt und einem Kläger 100 Euro immateriellen Schadenersatz zugesprochen, wie hier nachzulesen ist. Ein zweifelhafter Erfolg, wurde doch der Streitwert mit 8.500 Euro angegeben. Da das Gericht hier aber nur 100 Euro zusprach, darf der Kläger nun die Kosten zu 93% übernehmen.
* Franks Anmerkung: In die diesem Podcast (ca. 1:17 Std. Dauer) wird das Urteil des BGH (allerdings vor dem Urteil des OLG Dresden) fachkundig besprochen.
2.12 BVwG Österreich: Angabe der Speicherdauer (Löschfristen) bei Auskunftserteilung
Wie genau müssen in Auskünften die Angaben zur Speicherdauer gemacht werden? Reicht eine Formulierung die auf das „Ende der Frist der Aufbewahrungspflicht“ verweist? Das Österreichische Bundesverwaltungsgericht hatte dazu zu entscheiden und stellte Folgendes auf Seite 17 fest: Nach Art. 15 Abs.1 lit. d DS-GVO sollten – falls möglich – die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer beauskunftet werden. Die Aufbewahrungsfrist kann und wird durch externe Faktoren wie gesetzliche Anforderungen oder Branchenrichtlinien vorgegeben, die Informationen darüber sollten jedoch so formuliert sein, dass die betroffene Person auf der Grundlage ihrer eigenen Situation die Dauer der Speicherung beurteilen kann. Falls eine Information über die konkrete Speicherdauer nicht möglich ist sind die Kriterien für die Festlegung der Speicherdauer auszuweisen. Ein ganz allgemein gehaltener Verweis auf gesetzliche Aufbewahrungsfristen (z.B. „entsprechend der gesetzlichen Vorgaben“) sei als Angabe zu den Löschfristen jedoch nicht ausreichend.
Das Unternehmen war und sei daher auch verpflichtet, zumindest die Kriterien für die Festlegung der Speicherdauer anzugeben (etwa Abschluss des zivilgerichtlichen Verfahrens im Zusammenhang oder – im Hinblick auf die Abwehr von Haftungsansprüchen – eine Speicherdauer im Sinne der absoluten Verjährungsfrist im ABGB von 30 Jahren). Dadurch, dass das Unternehmen dies unterlassen hat, sei die Auskunft auch in Hinsicht auf Art. 15 Abs. 1 lit. d DS-GVO als (noch) nicht vollständig erteilt zu betrachten.
3 Gesetzgebung
3.1 Digitalministerkonferenz: Forderungen zur Durchführung der KI-VO
Die zweite Digitalministerkonferenz (DMK) hat in TOP 5 ihre Vorstellungen hinsichtlich der Zusammenwirkungen von Bund und Ländern bei der Durchführung der EU-Verordnung über künstliche Intelligenz formuliert.
So fordert die DMK den Bund auf unter enger Einbindung der Länder schnellstmöglich die rechtlichen und organisatorischen Voraussetzungen für eine Durchführung der KI-VO in Deutschland zu schaffen. Nach Ansicht der DMK ist es sinnvoll, dass sowohl der Bund als auch die Länder KI-Reallabore (sog. „regulatory sandboxes“) auf nationaler bzw. regionaler und lokaler Ebene einrichten. Dabei sollen Reallabore für die Verwaltung (GovTech), Wissenschaft und auch für die Erprobung von KI-basierten Produkten und Anwendungen durch Unternehmen bundesweit in den Ländern ermöglicht werden. Zudem erwartet die DMK, dass der Bund die Länder bei der Benennung der Vertreterin oder des Vertreters für das KI-Gremium beteiligt.
Schauen wir mal, was wann nun tatsächlich entschieden werden wird.
3.2 EU: Inhaltliche Planung für die neue Kommission
In Deutschland warten wir den neuen Bundestag ab, auf europäischer Ebene richtet sich die neue Kommission gerade ein. Um mögliche Schwerpunkte der kommenden Jahre einschätzen zu können, kann der Brief der Kommissionspräsidentin an neuen Kommissar für Justiz hilfreich sein.
So erwartet diese, dass der neue Kommissar mitwirkt, um die EU einfacher und schneller zu machen – schafft es aber selbst nicht mal in ihren Briefen eine Seitenzahl einzufügen, die das Zitieren erleichtern würde. Na ja.
So erwartet die Kommissionspräsidentin von dem neuen Kommissar, dass er sich auf Kommunikation und Sensibilisierung konzentriert, um eine Kultur der Rechtsstaatlichkeit bei den europäischen Bürgern, Behörden und allen Beteiligten zu fördern.
Auch solle er dafür sorgen, dass die DS-GVO mit dem digitalen Wandel Schritt hält und den Anforderungen zur Durchsetzung und der Wirtschaft gerecht wird, sich für die vollständige Durchsetzung der DS-GVO in den Mitgliedstaaten einsetzen und den vertrauensvollen Datenverkehr mit internationalen Partnern fördern.
3.3 UK: Konsultation zu Änderungen im Urheberrecht zugunsten des Einsatzes von KI
Im Vereinigten Königreich gibt es eine offene Konsultation zu Änderungen im Urheberrecht, um den Einsatz von KI diesbezüglich rechtssicherer zu gestalten. Im Wesentlichen geht es um die Einführung einer Ausnahme für Text- und Data-Mining mit Opt-out-Möglichkeit für Rechteinhaber, um Transparenzpflichten für KI-Entwickler bezüglich der Trainingsdaten, um die Förderung von Lizenzierungsmöglichkeiten und kollektiver Rechteverwaltung, um die Überprüfung des Schutzes für computergenerierten Werke, um mögliche Kennzeichnungspflichten für KI-generierte Inhalte und um die Prüfung des rechtlichen Rahmens bei „Deepfakes“. Bis 25. Februar 2025 können zum Entwurf Hinweise eingereicht werden. Zusammenfassung dazu hier und Bericht dazu dort.
3.4 UK: Weitere Einschränkungsmöglichkeiten geplant
Wie hier berichtet wird, sind in einem Gesetz Data (Use and Access) Bill (DUAB-Gesetzentwurf) im vereinigten Königreich weitere Erleichterungen für Unternehmen geplant. Neue Befugnisse geben Ministern die Möglichkeit wichtige Elemente der UK-GDPR, durch die betroffene Personen vor Funktionsausweitung im öffentlichen Sektor geschützt werden, auszusetzen.
4 Künstliche Intelligenz und Ethik
4.1 Musterverträge der Europäischen Kommission für die Vergabe von KI-Projekten
Die EU-Kommission hat zwei Versionen von Musterverträgen für die Beschaffung von KI durch öffentliche Einrichtungen veröffentlicht. Sie gibt es nun auch in der Version für Hochrisiko und Nicht-Hochrisiko-Systeme und haben den Stand September 2023.
4.2 EU-Kommission: Zweiter Entwurf des General-Purpose AI Code of Practice
Stolz verkündet die EU-Kommission den zweiten Entwurf des unabhängigen Expert:innenteams. Eine Zusammenfassung der auf diesen Arbeitsgruppensitzungen besprochenen Inhalte wurde der Vollversammlung vorgelegt. Die Vorsitzenden erhielten außerdem 354 schriftliche Rückmeldungen zum ersten Entwurf über eine spezielle Plattform und berücksichtigten das Feedback von Anbietern von Allzweck-KI-Modellen, das in speziellen Workshops vorgestellt wurde, in denen Protokolle erstellt wurden, die zur Wahrung der Transparenz an alle Vollversammlungsteilnehmer weitergegeben werden. Zusätzlich zu dem schriftlichen Feedback, das bis zum 15. Januar 2025 eingeht, sind gemäß dem vom AI-Büro veröffentlichten vorläufigen Zeitplan mündliche Besprechungen des zweiten Entwurfs mit den Vorsitzenden und stellvertretenden Vorsitzenden geplant.
4.3 Schweiz: Report zu KI-Sandbox des Kantons Zürich
Da lassen sich sicherlich auch Erkenntnisse für Organisationen außerhalb des Kantons Zürich erschließen: Die dortige Innovations-Sandbox zur Stärkung des KI-Standorts hat ihren Report veröffentlicht.
Das Programm hat 2021 begonnen und bringt verschiedene Akteure aus der öffentlichen Verwaltung, der Privatwirtschaft und der Forschung zusammen, um den Metropolitanraum Zürich als führenden KI-Standort zu etablieren. Wichtige Ziele waren der Aufbau von regulatorischem Know-how, die Förderung von KI-Innovation, die Stärkung des Wissenstransfers und das Generieren von Impulsen für die künftige KI-Regulierung. Die Sandbox diente als neuartige Umgebung zum Testen und Entwickeln von KI-Technologien. Das Projektteam hat in den Jahren 2022 bis 2024 fünf Projekte in den Bereichen Smart Parking, autonome Systeme, automatisierte Infrastrukturwartung, maschinelle Übersetzung und KI in der Bildung erfolgreich umgesetzt. Die Sandbox habe in diesem Zeitraum eine positive Wirkung auf das KI-Ökosystem entfaltet. Der Bericht findet sich hier.
4.4 Gibt es einen Personenbezug in LLM?
Mit der Fragestellung, inwieweit ein Personenbezug in einem LLM vorliege, befasste sich auch Suchir Balaji, der seine Ergebnisse auch veröffentlichte und sich insgesamt mit seinen Veröffentlichungen bei seinem ehemaligen Arbeitgeber nicht beliebt machte. Ende November 2024 wurde er tot in seinem Apartment aufgefunden, wie die BBC berichtete.
4.5 Apple, KI und Fakenews, die der BBC zugeschrieben werden
Hier wird über eine Beschwerde der BBC berichtet, die sich bei Apple über KI-generierte Fake News beschwert, die dem Sender zugeschrieben werden. Benachrichtigungen von einem neuen Apple-Produkt deuteten fälschlicherweise darauf hin, dass die BBC behauptete, der New Yorker Schütze Luigi Mangione habe sich selbst getötet. Das Produkt „Apple Intelligence“ wurde kurz vorher in Großbritannien eingeführt und erstellt von künstlicher Intelligenz generierte Benachrichtigungen von mehreren Informationsseiten. Eine davon deutete darauf hin, dass die Website BBC News einen Artikel veröffentlicht hatte, in dem behauptet wurde, Luigi Mangione, der in den USA wegen Mordes an einem leitenden Angestellten im Gesundheitswesen in New York verhaftet worden war, habe Selbstmord begangen. Die BBC sorge sich um ihren guten Ruf als seriöse Nachrichtenquelle und hat nach eigenen Angaben Apple kontaktiert und um Behebung gebeten.
Franks Nachtrag: Passend zum Thema ein deutschsprachiger Artikel, mit einem Ruf nach EU-Regeln für KI-News-Zusammenfassungen.
4.6 Generative AI und ethische Risiken
In einer aktuellen Veröffentlichung wird die Mensch-Technik-Beziehung in der aktuellen Anwendung von generativer KI (GenAI) durch die Linse der Existenzphilosophie untersucht. Durch die Einnahme einer historischen Perspektive unterstreicht das Papier die Notwendigkeit kritischer Vorsicht in Bezug auf die ethischen Risiken, die mit dem schnellen und allgegenwärtigen Aufstieg von GenAI in den letzten Jahren verbunden sind.
4.7 World Economic Forum: Navigation the AI Frontier
KI-Agenten sind autonome Systeme, die ihre Umgebung wahrnehmen, daraus lernen und entsprechend handeln können. In einem Whitepaper des World Economic Forum (WEF) wird deren Entwicklung untersucht und der Frage nachgegangen, wie sie mit den jüngsten Fortschritten bei großen Sprach- und multimodalen Modellen zusammenhängen. Es will aufzeigen, wie KI-Agenten die Effizienz in verschiedenen Sektoren wie dem Gesundheitswesen, dem Bildungswesen und dem Finanzwesen steigern können. Das Whitepaper mit dem Titel „Navigating the AI Frontier: A Primer on the Evolution and Impact of AI Agents” findet sich hier.
5 Veröffentlichungen
5.1 Musterverträge der Europäischen Kommission zu Art. 41 Data Act
Art. 41 Data Act sieht vor, dass die Kommission vor dem 12. September 2025 unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen – sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing erstellt und empfiehlt. Damit sollen die Parteien bei der Ausarbeitung und Aushandlung von Verträgen mit fairen, angemessenen und nichtdiskriminierenden vertraglichen Rechten und Pflichten unterstützt werden.
Mit dem Data Act kommt auf Unternehmen einiges zu, soll doch die Datennutzung dadurch unterstützt werden. Nun gibt es die ersten Entwürfe der Musterverträge, wie hier veröffentlicht.
5.2 „Frucht des verbotenen Baumes“
Da war doch was? Dürfen Daten weiterhin verwendet werden, wenn es Mängel bei der Rechtmäßigkeit gegeben hatte? Angesichts dieses Beitrags der University of Washington School of Law („America‘s Next „Stop Model!“: Model Deletion“), der die Frage bei LLM platziert, erinnerte ich mich an das Verfahren des BfDI zur „Kindeswohlstudie“ des Bundesministeriums für Familie, Senioren Frauen und Jugend (BMFSFJ) aus dem Jahr 2021, als er die anonymisierte Verwendung von Daten untersagte, weil er Mängel bei der Erhebung sah (wir berichteten). Er argumentierte dabei mit der „Frucht des verbotenen Baumes“, dass der Anreiz rechtskonformen Verhaltens entfiele, wenn die Daten trotzdem genutzt werden dürften.
Das BMFSFJ klagte dagegen (VG Köln 13 K 1468/21) – und man verständigte sich im Jahr 2023 dann auf einen Vergleich, wie ich erst jetzt mitbekam. Daher bleibt es spannend, inwieweit die Mitglieder des EDSA dann nach ihrer Stellungnahme 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models<7a> dann auf Verstöße reagieren, wenn sie deren Ergebnisse aber tolerieren würden (ab RN 133).
5.3 Daten(wirtschafts)völkerstrafrecht
Braucht es ein Daten(wirtschafts)völkerstrafrecht? Die Beiträge zu einer Tagung zu dieser Frage sind nun als Tagungsband veröffentlicht worden. Antrieb für diese Fragestellung sei es gewesen zwei unterschiedliche Entwicklungen zusammenzuführen: Die Frontstellung der datenschützenden Menschenrechte gegen systematische digitale Überwachung einerseits und die zunehmende Ausdifferenzierung des Völkerstrafrechts sowie die allmähliche Herausbildung eines Wirtschaftsvölkerstrafrechts andererseits. Der Tagungsband ist hier frei verfügbar.
5.4 SURF: MS 365 Copilot für Bildungseinrichtungen
SURF ist die IKT-Kooperative niederländischer Bildungs- und Forschungseinrichtungen. Diese hat nun ihre Bewertung zum Einsatz von MS365 Copilot in Bildungs- und Forschungseinrichtungen veröffentlicht. Im Ergebnis rät SURF davon ab MS 365 Copilot vorerst zu verwenden, da es Datenschutzrisiken gäbe. Zwar stünden sie in Kontakt mit Microsoft, um dies zu ändern, vorerst raten sie aber davon ab. Sie begründen diese Einschätzung mit einer Datenschutz-Folgenabschätzung, die sie im Jahr 2024 durchführten. Dabei untersuchten sie die Nutzung durch Mitarbeiter und erwachsene Studierende, da Microsoft die kostenpflichtige Bildungslizenz noch nicht für Minderjährige zur Verfügung stellte. Die Untersuchung ergab eine Reihe von Datenschutzrisiken für die Nutzer.
Eines der Risiken sei die mangelnde Transparenz von Microsoft. Es sei nicht klar, welche personenbezogenen Daten Microsoft über die Nutzung von MS 365 Copilot sammelt und speichert. Darüber hinaus seien die Informationen, die Benutzer erhalten, wenn sie einen Antrag auf Zugang stellen, unvollständig und unverständlich. Außerdem halten sie es für wahrscheinlich, dass MS 365 Copilot falsche und unvollständige personenbezogene Daten generiere und die Benutzer es nicht bemerken, dass sie mit falschen Daten arbeiten, weil sie sich bei der Nutzung dieses Tools zu sehr auf das die Leistung des generativen KI-Tools verlassen.
Bemerkenswert ist auch, dass es in den Niederlanden eine Einrichtung gibt, die Bildungseinrichtungen dabei unterstützt, bei der Lieferantenauswahl Compliance-Vorgaben einzuhalten. Mehr dazu hier bei SURF Vendor Compliance. In Deutschland muss dies noch jede Schule selbst übernehmen.
5.5 Interview zur Beschäftigten-Überwachung
Wir hatten bereits zu den Studien, wie Beschäftigte durch Tools überwacht werden könnten, berichtet. Hier nun ein Interview mit dem Verfasser der Studien dazu.
5.6 bitkom befürchtet in Europa Datenschutz-Hürden für KI
Noch bevor der EDSA seine Stellungnahme zu der irischen Anfrage veröffentlichte, befürchtete der bitkom schon Hürden durch den Datenschutz. Zudem bemängelt der bitkom, dass der EDSA im Vorfeld keinen echten Dialog gesucht hätte. Was der bitkom dabei mit „echt“ meint, wird aber offen gelassen. Zumindest fordert er die Einführung verbindlicher, verpflichtender und transparenter Konsultationsverfahren, um die Wirtschaft auf nationaler und europäischer Ebene frühzeitig einzubinden. Art. 70 Abs. 5 DS-GVO scheint nicht zu genügen. Eventuell hilft es bei der Meinungsbildung bereits, wenn auch die Positionen in anderen Staaten berücksichtigt werden würden, wie die der FTC in den USA, oder in Brasilien oder Singapur, die ähnliche Abwägungen wie der EDSA zu treffen haben. Seltsamerweise konnten andere Verbände in der (kurzfristigen) Konsultationsfrage zu der Stellungnahme des EDSA ihre Position unterbringen – scheint auch eine Frage der internen Organisation zu sein.
5.7 bitkom: Positionspapier und Erwartungen an nächste Bundesregierung
Der bitkom erwartet sich nach seinem Positionspapier „Re-Start Deutschland“ von der nächsten Bundesregierung hinsichtlich des Datenschutzes vor allem Bürokratieabbau für KMU. Datenschutz müsse umsetzbar und praxistauglich sein, der regulatorische Flickenteppich müsse der Vergangenheit angehören. Insbesondere eine innovationsfreundliche DS-GVO-Auslegung werde besonders im Hinblick auf KI und datengetriebene Geschäftsmodelle ebenso erwartet wie Rechtssicherheit bei internationalen Datentransfers. Der Datenschutz bleibe ein zentrales Thema – sowohl als Voraussetzung für Vertrauen als auch als Grundlage für Innovation.
Ähm… Fachkenntnis über Gewaltenteilung aber auch – irgendwie.
5.8 CIPL: Grenzen der Einwilligung zur Datenverarbeitung
Die Grenzen der Einwilligung als Rechtsgrundlage für die Datenverarbeitung in der digitalen Gesellschaft wurden durch das Centre for Information Policy Leadership (CIPL) veröffentlicht. Darin werden die jüngsten Veränderungen im EU-Rahmen und die daraus resultierenden Herausforderungen dargestellt und die Grenzen eines einwilligungsbasierten Modells und seine Auswirkungen auf die effektive und nutzbringende Nutzung von personenbezogen Daten und auf die Entwicklung und auf den Einsatz von KI-gesteuerten Anwendungen untersucht. Zudem gibt es Vorschläge, wie die Rechte aller Akteure in der digitalen Wirtschaft fair und effizient ausbalanciert werden können und wie für einen sinnvollen Schutz der Privatsphäre gesorgt werden kann.
In dem letzten Teil des Beitrags werden die Entwicklungen in Südkorea als Fallstudie betrachtet. Länder, die sich bei der Überarbeitung ihrer eigenen digitalen Rechtsvorschriften von der EU inspirieren lassen, verfolgen einen vorsichtigen Ansatz, um aus den Herausforderungen lernen, die in der EU aus diesen sich oft überschneidenden digitalen Rechtsvorschriften entstehen.
5.9 Videoüberwachung im öffentlichen Raum
Auf was ist bei Videoüberwachung im öffentlichen Raum zu achten? Hier befasst sich eine Veröffentlichung mit den Aspekten aus der aktuellen Rechtsprechung der bayerischen Verwaltungsgerichtsbarkeit und des Bundesverwaltungsgerichts.
5.10 Beschwerde von noyb: BeReal
noyb informiert, dass sich das NGO bei der CNIL über die App beschwert habe (hier eine englische Autoübersetzung). Die französische Social-Media-Plattform nutze sogenannte Dark Patterns, um User:innen zur Einwilligung in Tracking zu drängen. Nach dem Öffnen der App werde man sofort mit einem Pop-up-Fenster konfrontiert und soll “Ja” oder “Nein” zur Verwendung persönlicher Daten für Werbezwecke sagen. In Wirklichkeit wolle BeReal eine bestimmte Entscheidung erzwingen: Klickt man einmal auf “Akzeptieren”, verschwindet das Banner für immer. Wagt man es hingegen, auf “Ablehnen” zu klicken, poppt das Banner jeden Tag erneut auf – und zwar bis User:innen am Ende widerwillig zustimmen.
5.11 Protokollierungspflichten in Ermittlungsverfahren
Auf was ist in strafrechtlichen Ermittlungsverfahren zu achten? Am besten sollten alle Schritte nachvollziehbar dokumentiert werden, wie in diesem kurzen Beitrag ausgeführt wird.
5.12 BStBK und DStV: aktualisierte Hinweise für den Umgang mit personenbezogenen Daten
Die Bundessteuerberaterkammer (BStBK) und der Deutsche Steuerberaterverband (DStV) haben ihre Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und steuerberatende Berufsausübungsgesellschaften mit Stand Oktober 2024 überarbeitet. Die Änderungen sind freundlicherweise farblich hervorgehoben und umfassen u.a. Anpassungen an rechtliche Rahmenbedingungen wie das DPF im Datentransfer in die USA, die Rechtsprechung des EuGH z.B. zur Handlungspflicht der Datenschutzaufsichten oder zur gemeinsamen Verantwortlichkeit sowie Aussagen des LfD Bayern zur gemeinsamen Verantwortlichkeit im Mandatsverhältnis. Neu hinzugekommen sind Ausführungen zu Konsequenzen bei Nichteinhaltung datenschutzrechtlicher Vorgaben.
5.13 Veranstaltungen
5.13.1 Niedersachsen.next: „Sexroboter: Wenn KI verführt“
14.01.2025, ab 18 Uhr, Hannover: Zu rechtlichen und ethischen Überlegungen laden an diesem Abend das Niedersächsische Wirtschaftsministerium, die Niedersachsen.next Digitalagentur und die Leibniz-Universität-Hannover zum besonderen Event ein. Künstliche Intelligenz (KI) eröffnet neue Möglichkeiten und Gedankenspiele in vielen Bereichen. Deutlich wird dies in dem Film „Musing of a mechatronic mistress: The Peculiar Purpose Of Tiffany The Sex Robot“, der während dieser Veranstaltung gezeigt wird. Darin geht es um unterschiedliche gesellschaftliche, politische und ethische Aspekte, die anhand der Hauptfigur, einem selbstbewussten Sexroboter namens Tiffany, thematisiert werden. Im Anschluss gibt es Diskussionen und danach ein entspanntes Get-together und Möglichkeit zum persönlichen Austausch. Weitere Informationen und Anmeldung hier.
5.13.2 Universität des Saarlandes: Technischer Datenschutz -neu-
14.01.2025, 19:00 – 20:30 Uhr, online: In der Vorlesungsreihe „Datenschutz in der Praxis“ geht es um „Aktuelles zum Technischen Datenschutz“. Weitere Informationen und Einwahldaten hier.
5.13.3 CPDP – Data Protection Day
28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.
5.13.4 Fachkonferenz und Preisverleihung CDR-Award 2024 -neu-
29.01.2025, 14:00 – 18:00 Uhr, Berlin, Fachkonferenz / 18:00 – 20:00 Uhr, Berlin, Preisverleihung: Im Anschluss an eine Fachkonferenz findet in der bayerische Landesvertretung die Preisverleihung des CDR-Award 2024 statt. Die Nominierten und die Shortlist der einzelnen Kategorien sind hier hinterlegt (wir berichteten). Tickets können hier bestellt werden.
5.13.5 EAID: Exportschlager AI Act -neu-
29.01.2025, 18:00 – 20:00 Uhr, Europäische Akademie in Berlin und online: Am Europäischen Datenschutztag befasst sich die Europäischen Akademie für Informationsfreiheit und Datenschutz (EDIID) mit der Frage „Exportschlager AI Act – setzt die EU einen weltweiten Standard für die KI-Regulierung?“. Expert:innen aus Politik, Wissenschaft und NGO bringen sich dazu mit Einführungsstatements und in die anschließende Paneldiskussion ein. Weitere Informationen und Anmeldemöglichkeit für eine vor-Ort-Teilnahme oder zur Online-Teilnahme hier.
5.13.6 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
29.01.2025 \\ vor Ort im Weizenbaum-Institut - Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
25.02.2025 \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben*
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Ja, das steht da immer noch so…
5.13.7 BSI: 1. IT-Grundschutztag 2025
04.02.2025, 08:30 – 16:15 Uhr, Magdeburg und online: Zusammen mit dem Land Sachsen-Anhalt richtet das BSI die Veranstaltung zum Thema „Gemeinsam sicher. Gemeinsam digital.“ in hybrider Form aus. Der IT-Grundschutz-Tag in Magdeburg gibt praxisnahe Einblicke in den IT-Grundschutz und in das BCM, sowie die Umsetzung aktueller Vorschriften wie beispielsweise die NIS2-Richtinie in den Bundesländern und in der kommunalen Verwaltung. Im Fokus der Veranstaltung stehen daher Landesverwaltungen und Kommunen. Aktuelle Neuigkeiten zum IT-Grundschutz runden den Tag ab. Die Teilnahme ist kostenfrei. Weitere Informationen zur Agenda und Anmeldung finden sich hier.
6 Gesellschaftspolitische Diskussionen
6.1 Studie zu KI, Microtargeting und Wahlkampf
Die Konrad-Adenauer-Stiftung und die Friedrich-Naumann-Stiftung konnten sich bislang erfolgreich dagegen wehren im Verdacht „Die machen links-grün-versiffte Propaganda“ zu stehen. Umso bemerkenswerter sind ihre Veröffentlichungen zu Themen wie Tracking im Netz. Zusammen mit der Gesellschaft für Auswärtige Politik veröffentlichten sie nun eine Studie zu KI und Microtargeting im Wahlkampf. Sie betrachtete dabei Wahlen in Südafrika, Mexiko und Indien. So zeigte sich in Indien, wie personalisierte Desinformation Wahlkämpfe verändern kann. Die regierende BJP setzte die Saral-App gezielt ein, um Wählerdaten zu sammeln und Strategien maßgeschneidert auf unterschiedliche Gruppen zuzuschneiden.
Die App (mit über 2,9 Millionen Downloads) sammelt persönliche Daten wie Alter, Geschlecht, Religion, Kaste und sozioökonomischen Status. Die Wähler wurden durch Hausbesuche und lokale Camps für die App registriert – mit der Aussicht Modi persönlich zu treffen. Die gewonnenen Daten ermöglichen eine gezielte Ansprache, die politische Botschaften individuell zuschneidet – aber auch Manipulationsmöglichkeiten eröffnet. Das zeigt, dass Microtargeting Wähler nicht nur beeinflussen, sondern auch Wählergruppen spalten kann. Die gezielte Manipulation von Wählergruppen durch personalisierte Desinformation ist eine Bedrohung für freie und faire Wahlen.
6.2 ARD-Dokumentation: „Gefährden wir unsere Kinder?“
Gut zwei Drittel der Kinder im Grundschulalter nutzen Smartphones. Zu früh, warnen Experten und verweisen auf Gewalt oder Pornografie im Netz. Braucht es ein Social-Media-Verbot wie in Australien oder gibt es ausreichend technische Lösungen? Damit befasst sich dieser Beitrag aus der Mediathek der ARD (Dauer ca. 6 Min.).
6.3 Analoge Teilhabe und Digitalzwang
Wie lässt sich die digitale Transformation rechtfertigen, wenn es nur noch digitale Angebote gibt oder sind analoge Angebote europa- und verfassungsrechtlich nicht auszuschließen? Damit befasst sich dieses Gutachten.
7 Sonstiges/Blick über den Tellerrand
7.1 Medienscouts in Thüringen
Über ein Projekt der Thüringer Landesmedienanstalt (TLM) für mehr Medienkompetenz an Thüringer Schulen berichtet hier der MDR. Das St.-Josef-Gymnasium in Dingelstädt macht vor, wie Schüler sich gegenseitig beim verantwortungsvollen Umgang mit digitalen Medien unterstützen können. Als „Medienscouts“ helfen Jugendliche ihren Mitschülern bei Problemen wie übermäßiger Bildschirmzeit oder Cybermobbing. Die Medienscouts durchlaufen eine fundierte Ausbildung mit sechs Modulen zu Themen wie soziale Medien und Klassenchat-Regeln. Besonders wertvoll: Sie beraten auch Eltern, etwa darüber, dass Apps wie TikTok erst ab 13 und WhatsApp ab 16 Jahren genutzt werden sollten.
Mehr Informationen dazu hier bei der TLM.
7.2 Gefährdungsatlas der Bundeszentrale für Kinder- und Jugendmedienschutz
Es kann ja keiner sagen, es sei nicht bekannt gewesen. Die zweite Auflage des Gefährdungsatlas liegt seit Mai 2022 vor. Entstanden ist er durch Autor:innen des JFF – Institut für Medienpädagogik in Forschung und Praxis in Zusammenarbeit mit dem Leibniz-Institut für Medienforschung – Hans-Bredow-Institut (HBI). Die Publikation bietet einen aktuellen, wissenschaftlich fundierten Rahmen über die Herausforderungen und Gefährdungen, welche bei der Etablierung eines intelligenten Chancen- und Risikomanagements im Kinder- und Jugendmedienschutz zu berücksichtigen sind. Zeitgleich dient der Gefährdungsatlas als überblicksartiges Orientierungs- und Nachschlagewerk über mögliche Gefährdungen, aber teilweise auch Chancen für die Entwicklung von Kindern- und Jugendlichen bei der Nutzung digitaler Medien.
7.3 Pornofilter für Betriebssysteme
Die Bundesländer beschlossen die Einführung einer Jugendschutzvorrichtung im Netz, wie hier berichtet wird. Die Reform des Jugendmedienschutz-Vertrags bringt mit einem Beschluss der Bundesländer den lange geplanten Porno-Filter für Betriebssysteme. Letztendlich geht es dabei um eine altersabhängige Schutzmaßnahme, die bei allen jugendgefährdenden Inhalten eingesetzt werden könnte. Kritik kommt dazu u.a. vom bitkom, der ausführt, dass der Gesetzesentwurf technische Hindernisse schaffe, indem er ein abweichendes Altersklassifizierungssystem einführt, das international etablierten Standards widerspreche, und länderspezifische technische Verpflichtungen für sämtliche Arten von Betriebssystemanbietern schaffe. Der Jugendmedienschutz soll in Zukunft technisch umsetzbar und rechtssicher sein und auf marktbewährte Lösungen setzen.
7.4 Bayern: KI in der Schule
Das Kultusministerium in Bayern gibt Hinweise zum Einsatz von KI-Anwendungen an Schulen. Dies umfasst Hinweise zum Einsatz von KI-Anwendungen an Schulen, einen Selbstlernkurs zum Erwerb von KI-Grundkompetenzen sowie Verlinkungen zu einen kollegialen Austauschangebot, aber auch Hintergrundinformationen zu KI.
Diese Materialen ergänzen die Leitfäden des Freistaates Bayern zu KI, die sich an Beschäftigte und Dienststellen richten und zusammen mit Muster-Datenschutzanweisungen und Hinweisen zu Rechtsgrundlagen hier veröffentlicht sind.
7.5 Tools in der Schule, heute: MS Teams
Wie werden Tools aus Datenschutzsicht bewertet, die in Schulen eingesetzt werden? Einige der gängigen Tools wurden getestet und bewertet, wie z.B. moodle, Anton oder MS Teams.
7.6 „Kein Raum für Missbrauch“
Die Unabhängige Beauftragte für Fragen des sexuellen Kindesmissbrauchs veröffentlicht eine Handreichung „Kein Raum für Missbrauch: Personalverantwortung bei Prävention und Intervention nutzen!“. Darin wird beschrieben, wie Institutionen im Rahmen von Schutzkonzepten vorbeugend oder bei Verdacht auf sexuellen Missbrauch durch eine*n Mitarbeiter*in arbeitsrechtlich vorgehen können.
Und mir stellt sich die Frage, warum es bei diesem Thema eine „unabhängige“ Beauftragte braucht?
7.7 Reicht Medienkompetenz noch aus? … Was immer das auch konkret sein mag?
Die Gesellschaft für Medienpädagogik und Kommunikationskultur nimmt die Entscheidung in Australien auch zum Anlass sich zu äußern. Auch sie findet ein Verbot zu überzogen, setzt auf pädagogische Angebote (wie das eigene), scheint aber auch keine Erklärung zu haben, warum das bisher keine zählbaren Ergebnisse brachte.
7.8 They see your photos
Hier (They See Your Photos) lässt sich erahnen, welche Informationen durch die Technik aus einem digitalen Foto erkennbar wird. Und dann stellt euch das über alle Bilder auf eurem Smartphone vor. Und dann überlegt dreimal, welche Apps von welchen Anbietern ihr auf eure Bilder zugreifen lasst – oder ob jedes Bild geteilt werden muss.
8. Franks Zugabe
8.1 Apropos KI …
Es ist zwar nur eine Woche seit dem letzten Blog-Beitrag vergangen, aber es hat für eine (kürzere) Liste gereicht:
- OK, bisher hatte ja nur Elon Musk rumgeheult, dass OpenAI gestoppt werden müsse (Verstehen Sie mich nicht falsch, viele wollen wahrscheinlich, dass OpenAI auf die eine oder die andere Art gestoppt wird, ich meine hier andere Milliardäre, die eigene KI-Systeme pushen wollen.), nun äußert sich Marc Zuckerberg ähnlich. Nun ja, „Eine Krähe hackt der andern kein Auge aus“ war wohl gestern.
- „Automation on the Move“ ist der Titel eines Projekts von AlgorithmWatch. Es ist erschreckend, wie KI mittlerweile genutzt wird, um Migration zu überwachen und auch zu steuern.
- Microsoft hat einen Änderungswunsch an der Dokumentation von Microsoft abgelehnt mit der Begründung, dass die im Änderungswunsch gewählte tabellarische Form (die deutlich kompakter auf den Punkt gekommen wäre) für KI deutlich schlechter zu verstehen sei. Also schreibt Microsoft seine Hilfeseiten mittlerweile optimiert für KI und nicht mehr für Menschen?
- Derweil eine Weltpremiere in Delmenhorst: Humanoider Roboter als Lehrer … natürlich KI-powered.
- Beim SwissPass nutzen sie KI zur Bilderretuschierung. Und scheinbar sind die Deutschen schuld. Meiner Meinung nach liegt wie so oft das Problem bei der fehlenden menschlichen Kontrolle. Sonst wären solche Patzer aufgefallen. Aber das kostet halt.
- Bei uns nur per WhatsApp-Chat, in den USA auch per Telefon: 1-800-ChatGPT
- Und weil Google eine „denkende“ Gemini-Version herausbringt, zieht OpenAI mit dem neuen Modell o3 nach? (Ich muss übrigens Sam Altman einmal Recht geben: In der Namensgebung sind sie wirklich schlecht.)
8.2 Hypernormalisierung
Im Bericht geht es um die Hypernormalisierung (siehe HyperNormalisation) der Tatsache, dass Online-Dienste so viel über ihre Nutzer:innen wissen, wenn sie ihnen zum Beispiel zum Jahresende ihre „best-of“-Zusammenstellungen nach den persönlichen Vorlieben kuratieren.
Food for Thought imho…
8.3 Smarte Welt
„Im Rahmen einer Studie hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheitseigenschaften smarter Heizkörperthermostate untersucht und festgestellt: Insbesondere in Sachen Nutzerfreundlichkeit, beim Produktsupport und im Umgang mit Schwachstellen gibt es Optimierungsbedarf.“
So beginnt die Pressemitteilung des BSI, hier gehts zur passenden Studie, hier wird über die smarten Heinzkörperthermostate berichtet.
Vom smarten Heizkörperthermostat ist es kein großer Schritt bis zum smarten Rauchmelder, auch wenn solche Überschriften füher immer dem Bereich der Verschwörungsmythen zugeordnet wurden: In „Der Spion hängt an der Decke“ wird berichtet, dass die smarten Rauchmelder auch Temperatur und Luftfeuchtigkeit messen („Auf seiner Webseite wirbt das Unternehmen übrigens damit, dass die neuen Rauchmelder weder Mikrofon noch Kamera haben.“ What the …?) Seit wann gehören solche Auswertungen (also die, die über Sensoren Temperatur und Luftfeuchtigkeit bestimmen wollen, ob richtig geheizt wird, und die natürlich nur über die Cloud funktionieren) zum Umfang der Rauchmelder-Leistung, die gesetzlich normiert in Wohnungen erbracht werden muss? Und da hilft es kaum, dass die „Funkverbindung der neuen Geräte […] nur aktiviert [wird], wenn die Mieter:innen aktiv einwilligen.“
Und natürlich wäre ein Beitrag über Smarte Geräte nicht komplett ohne Smart-TV. Diese werten laut diesem Bericht sogar dann Bildinhalte aus, wenn ein HDMI-Zuspieler genutzt wird. Die Analysen dienen gezielter Werbung. Konsolen-Spieler:innen (auch die, die nur offline spielen bzw. solo nur auf ihrer Konsole) wird es freuen.
8.4 Quishing (mal wieder)
Sie erinnern sich? Die neueste Variante betrifft Parkautomaten. Wie fies, da haben Sie endlich einen Parkplatz gefunden, wollen nur noch schnell digital bezahlen und dann das.
Ich habe ja immer Münzen im Auto liegen, das klappert zwar, aber …
8.5 Digitalkompetenz? Ausbaufähig
Darüber hatten wir schon berichtet. Nun hatte das BSI dazu einigermaßen passend einen Pocast (mit ca. 36 Minuten Dauer) veröffentlicht, den ich auch noch ergänzend verlinken möchte. In ihm wird unter dem Titel „Digitale Bildung & Hacken – wieso das zusammenpasst“ der jungen Zielgruppe vermittelt „Wie ihr durch legales Hacken ein tieferes Verständnis für Computersysteme bekommt, IT-Kompetenzen aufbaut und dabei noch Spaß habt“. Na dann mal los.
8.6 Achtung Jahreswechsel, es steht ein ZUGFeRD vor der Tür …
Die Selbstständigen unter Ihnen sollten sich bereits damit beschäftigt haben (die größeren Unternehmen doch bestimmt alle, oder? Nun ja …), falls nicht, hier ist ein informativer Podcast (Dauer ca. 1:25 Std., er beginnt mit ZUGFeRD), der Ihnen benötigte Informationen bietet. Es geht, falls Sie es bisher nicht schon anhand des Titels ahnten, um die digitale Rechnungs-(Empfangs-)Pflicht, die uns alle ab nächstem Jahr beglückt. Und um die Komplikationen, die daraus erwachsen kännen.
8.7 ZIP-Archive …
… bieten viel Potential für Probleme, so der Artikel, der uns anhand aktueller Phishing-Kampagnen mit aneinandergehängten Archiven sowie neu aufgetauchter Varianten erprobter Anti-Analyse-Tricks die typischen Tricks der Kriminellen erklären will. Bei Interesse klicken.
8.8 Was soll mir schon passieren? Heute: Google Streetview
Das Argument hören wir doch häufiger, oder? Und dann noch bei Google Streetview (Manche Politiker dachten wohl (laut Hören-Sagen) anfangs, dass sie da Echtzeitbilder sähen, die sie für Fahnungen nutzen wollten, aber das klärte sich schnell)?
Nun ja, mittlerweile gibt es die ersten Fahndungserfolge (die Seite ist auf spanisch, mein Firefox übersetzt sie mir (holprig), es reicht, um die Inhalte zu verstehen).
8.9 Und noch ein Update zur ePA
Ja, das Thema hatten wir nun schon oft. Aber mittlerweile gibt es auch die ersten Pressemitteilungen von Datenschutzaufsichten. Und weiterhin natürlich auch lesenswerte Artikel. Denken Sie auch an die Kinder!
8.10 Sicherheitsempfehlungen der Five Eyes?
Warum nicht? Lesen können Sie sie ja mal. Falls Sie AD einsetzen.
8.11 Lesestoff für die Feiertage
Falls Sie sich mit Digital Distrust, mit dem „inxodus onto Bluesky“, vielleicht auch mit der Rückkehr der vier Reiter der Apokalypse oder mit der Altersverifikation im Internet – und was das mit der Abkürzung GIAAS zu tun hat – beschäftigen wollen, dann haben Sie nun Einiges zu lesen. Viel Erkenntnisgewinn.
8.12 Short-Lived Certificates Coming to Let’s Encrypt
Je kürzer Webseiten-Zertifikate gültig sind, um so schneller verlieren kompromittierte Zertifikate ihren Nutzen. Auch Let’s encrypt will nun die Dauer, für die sie Zertifikate ausstellen, drastisch verkürzen. Spannende Lektüre. Apropos Verschlüsselung: Es gibt einen neuen Kandidaten fürs Bullshit-Bingo!
8.13 A Fundamental-Rights Centered EU Digital Policy
So stellt sich das die EFF vor. Und gibt passende Empfehlungen.
8.14 Zum Abschluss: Das neue DatenschutzArchiv
Wir hatten es wahrscheinlich schon mal. Aber nach dem Motto „Doppelt hält besser“ ist hier einfach noch mal der Link auf das DatenschutzArchiv der Stiftung Datenschutz.
9. Die gute Nachricht zum Schluss
9.1 Weihnachtliche Stimmung
Für Sie und Ihre Lieben eine schöne Zeit über die Feiertage und den Jahreswechsel – mit einem Weihnachtsmärchen aus New York.