Zum Inhalt springen

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 52/2024)“ – Die DVD-Edition

Hier ist der 18. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 52/2024)“ – Die DVD-Edition.

Und schwups, schon wieder neigt sich ein Jahr dem Ende. Aber trotzdem scheint es noch viele Aktivitäten in der Manege zu geben. Lesestoff für den Jahreswechsel haben Sie auf jeden Fall genug … Kommen Sie gut und gesund ins Jahr 2025!

  1. Aufsichtsbehörden
    1. BfDI: Berlin Group zu LLM
    2. BfDI: Berlin Group zum Data Sharing
    3. BfDI: Postbefugnisse zur Identifizierung
    4. BayLfD: Widerspruchsrechte bei der elektronischen Patientenakte
    5. HBDI: Videokonferenzlösung in Hessen
    6. LfD Niedersachsen: Einwilligungsverordnung (EinwV) verfehlt Ziel
    7. CNIL: KI-Systeme und Datenschutz
    8. CNIL: Zertifizierung von Auftragsverarbeitern und Subunternehmern
    9. CNIL: Bußgeld wegen zweckwidriger Verwendung von Kontaktdaten (von LinkedIn)
    10. Irland: Anforderungen an elektronische Belege
    11. Irland: Rechte der Kinder
    12. Italien: Anforderung an Einwilligung der Eltern zur Veröffentlichung von Kinderbildern
    13. Niederlande: Beispiel für Auspionieren durch Cookies
    14. Spanien: Anmerkungen zum Training eines LLM
    15. ICO: Fingerprinting und Google
    16. BSI: Neue Version 1.5 der TR-03138 RESISCAN
    17. FTC: Bußgeld gegen Marriott und Verpflichtung zu Schutzmaßnahmen über 20 Jahre
    18. EBA: DORA Reporting Framework 4.0
  2. Rechtsprechung
  3. Gesetzgebung
    1. Sicherheitsgesetzgebung
    2. UK: Urheberrecht und KI
    3. USA: Zugriff auf Daten von US-Amerikanern durch bestimmte Länder
  4. Künstliche Intelligenz und Ethik
    1. Datenschutz und Künstliche Intelligenz
    2. Künstliche Intelligenz und Vertragsrecht
    3. ELI: Vorschlag zur Definition eines KI-Systems
    4. 35 realisierte Use Cases mit Künstlicher Intelligenz
  5. Veröffentlichungen
    1. noyb: DPO Survey 2024/2025
    2. CCC: Standort-Tracking bei Volkswagen
    3. Justizministerium der Niederlande: Memo zu einer DSFA bei MS 365 Copilot
    4. Cybersicherheit und Geschäftsgeheimnisse
    5. Haftung von Aufsichtsräten
    6. Digitalgesetzgebung – online
    7. Datenschutz-Jahresrückblick in einem Podcast
    8. Veranstaltungen
      1. Niedersachsen.next: „Sexroboter: Wenn KI verführt“
      2. Universität des Saarlandes: Technischer Datenschutz
      3. Universität Passau – Distinguished Lecture: Haftung für unsichere Software -neu-
      4. CNIL: Schutz der Stimme und des Bildes im Zeitalter der KI -neu-
      5. CPDP – Data Protection Day
      6. EDPS: Data Protection Day 2025 -neu-
      7. Fachkonferenz und Preisverleihung CDR-Award 2024
      8. EAID: Exportschlager AI Act
      9. Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
      10. BSI: 1. IT-Grundschutztag 2025
      11. Universität der Bundeswehr München / Austrian Institute of Technology: „Exercise Contain“ – Rahmenwerk zur Bewältigung von Cybervorfällen -neu-
  6. Gesellschaftspolitische Diskussionen
    1. Albanien kündigt an TikTok für mindestens ein Jahr zu sperren
  7. Sonstiges / Blick über den Tellerrand
    1. Community und Shit Storms
  8. Franks Zugabe
    1. Apropos KI …
    2. Können Sie ePA in diesem Kapitel noch lesen?
    3. Sehr externe Datenschutzbeauftragte
    4. Warum bei der Digitalisierung in Schulen langsamer gemacht werden sollte …
  9. Die gute Nachricht zum Schluss
    1. Kindeswohlgefährdung im Netz durch Veröffentlichung von Bildern



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 BfDI: Berlin Group zu LLM

Die BfDI ist Mitglied der Internationalen Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT), der so genannten „Berlin Group“, und informiert, dass diese zwei neue Arbeitspapiere angenommen habe, darunter ein Papier zu sogenannten „Large Language Models“ (LLMs) mit Stand vom 6. Dezember 2024.
Das Papier behandelt Risiken für den Datenschutz und zeigt, wie diesen mit einem effektiven Verständnis der Funktionsweise der Technologie begegnet werden kann. Werden personenbezogene Daten zum Training eines LLM verarbeitet, müsse dies transparent und rechtmäßig geschehen. Für den angemessenen Umgang mit LLMs und eine effektive, Innovationen konstruktiv begleitende Aufsicht muss es eine umfassende Analyse geben. Das Papier will beschreiben, wie dies gelingen kann.

Franks Nachtrag: Wenn Sie nun weiterlesen, erfahren Sie auch etwas über das zweite Papier …

zurück zum Inhaltsverzeichnis

1.2 BfDI: Berlin Group zum Data Sharing

Wie bereits geschrieben ist die BfDI Mitglied der Internationalen Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT), der so genannten „Berlin Group“, und informiert, dass diese zwei neue Arbeitspapiere angenommen habe, darunter ein Papier zum Thema „Data Sharing“.
Das Teilen von Daten zwischen Organisationen – gerade auch international – könne unter Umständen zu größeren Datenschutzverstößen und Datenmissbrauch führen. Die Hinweise im Data-Sharing-Papier sollen zur Entwicklung einer vertrauenswürdigen Austausch- und Rechenumgebung beitragen, die das Potenzial eines sicheren und geschützten Datenaustauschs maximieren kann, während die Datenschutzgrundsätze gewahrt bleiben. Damit datengetriebene Innovationen allen Menschen zu Gute kommen, ist es der BfDI wichtig Wege aufzuzeigen, die eine datenschutzkonforme Anwendung und die Umsetzung von Innovationen ermöglichen. Insbesondere datenschutzfördernde Technologien, sogenannte Privacy-enhancing technologies, spielten eine besonders wichtige Rolle.

zurück zum Inhaltsverzeichnis

1.3 BfDI: Postbefugnisse zur Identifizierung

Nachdem in der Adventszeit viele Päckchen und Pakete zugestellt werden, kann es zu Irritationen kommen, welche Befugnisse Zustellende haben, um sich zu vergewissern, welche Person die Sendung entgegennimmt. Das kann bis zur Erfassung von Ausweisdaten gehen. Die BfDI hat auf ihrer Webseite dazu für Bürgerinnen und Bürger Informationen bereitgestellt und erläutert die gesetzlich geregelten Befugnisse zur Erfassung von Ausweisdaten, die sich aus § 69 Postgesetz ergeben.

zurück zum Inhaltsverzeichnis

1.4 BayLfD: Widerspruchsrechte bei der elektronischen Patientenakte

In seiner Kurz-Information 56 befasst sich der Bayerische Landesbeauftragte für Datenschutz (BayLfD) mit den gesetzlich geregelten Widerspruchsrechten der Versicherten bei der elektronischen Patientenakte (ePA).
Die Information ist in 10 Fragen strukturiert. Ein erster Überblick über die Neuregelung kann in den Antworten auf die Fragen 1 und 2 gewonnen werden. Wer aus der ePA „aussteigen“ möchte, erhält die nötigen Informationen bei den Fragen 3, 4 sowie 8. Wer die ePA nutzen will, sich aber für das „Feintuning“ interessiert, bekommt bei den Fragen 5 und 6 einen ersten Eindruck, was alles an „Einstellmöglichkeiten“ angeboten wird; unter Frage 9 sind typische Handlungssituationen zusammengefasst. Besonderheiten der ePA von Kindern und Jugendlichen sind bei Frage 7, ein Kassenwechsel ist bei Frage 10 angesprochen.
Die Kernaussagen des Papiers umfassen, dass die Einrichtung und Nutzung der ePA auch nach der Systemumstellung auf die sog. Widerspruchslösung zum 15. Januar 2025 freiwillig bleibt. Versicherte, die mit der Einrichtung einer ePA grundsätzlich einverstanden sind, können einzelnen Verarbeitungen ihrer Daten widersprechen. Widersprüche können in den meisten Fällen über die ePA-App beziehungsweise gegenüber den von den Krankenkassen einzurichtenden Ombudsstellen abgegeben werden.

Franks Nachtrag: Ah, die nächste Datenschutzaufsichtsbehörde, die sich der ePA annimmt

Franks zweiter Nachtrag: Sie möchten vielleicht hier weiterlesen.

zurück zum Inhaltsverzeichnis

1.5 HBDI: Videokonferenzlösung in Hessen

In Hessen verzögert sich die landesweite Einführung der Videokonferenzlösung HessenConnect 2.0 auf Basis von Jitsi/Matrix, die zum 1. Januar 2025 für Ministerien und Behörden vorgesehen war, wie hier berichtet wird. Zwischenzeitlich will man nun in Hessen die Lösung WebEx nutzen. In ganz Hessen? Nein, der HBDI wird zum 1. Januar 2025 auf den aktuellen Stand von HessenConnect 2.0 aufsetzen.

zurück zum Inhaltsverzeichnis

1.6 LfD Niedersachsen: Einwilligungsverordnung (EinwV) verfehlt Ziel

Jetzt hatte der Bund extra eine Verordnung beschlossen (und der Bundesrat zugestimmt) – und nun passt diese auch nicht. Mit der Verordnung zur Umsetzung der Einwilligungsmöglichkeiten aus § 26 Abs. 2 TDDDG (Einwilligungsverwaltungsverordnung – EinwV) sollten die von vielen Nutzern als störend empfundenen Einwilligungsbanner auf Webseiten deutlich reduziert und der Vorgang der Entscheidung wesentlich vereinfacht werden. Während sich die BfDI noch neutral dazu äußerte und über einen Fachbeitrag informierte, wird der LfD Niedersachsen deutlicher: In einer Pressemitteilung verweist er darauf, dass seine bereits geäußerte Kritik kaum Änderungen brachte.
Er kritisiert nun insbesondere, dass

  • Einwilligungsbanner weiterhin notwendig blieben; erst bei einem erneuten Aufruf der Webseite würde ein wahrnehmbarer Effekt eintreten.
  • die Einwilligungsverwaltungsdienste nur Einwilligungen nach § 25 TDDDG abdecken, nicht jedoch Einwilligungen gemäß DS-GVO.
  • die Einbindung von Einwilligungsverwaltungsdiensten durch Webseitenbetreiber nach § 18 EinwV freiwillig sei; viele Anbieter würden weiterhin auf herkömmliche Einwilligungsbanner setzen.
  • es Auchbislang keine Dienste gäbe, die die Anforderungen der Verordnung erfüllen und dass insbesondere in Hinblick auf die strengen Zertifizierungsauflagen (§§ 3 ff. EinwV) unklar sei, wer dies übernehmen wolle.

Die als störend empfundenen Banner auf Webseiten könnten nach Ansicht des LfD Niedersachsen auch dadurch reduziert werden, wenn Webseitenbetreiber ihre Webseiten konsequent datenschutzfreundlicher gestalten, zum Beispiel indem sie auf Drittdienste und Cookies, insbesondere für exzessives und für den Nutzer nicht vorhersehbares digitales Marketing, verzichten. Außerdem störten viele Einwilligungsbanner nur deshalb so stark, weil sie von den Nutzern nicht einfach „weggeklickt“ werden können.

zurück zum Inhaltsverzeichnis

1.7 CNIL: KI-Systeme und Datenschutz

Der Foliensatz eines Beitrags der CNIL zu deren Empfehlungen für DS-GVO-Konforme KI-Systeme vom Juni 2024 ist nun veröffentlicht. In Frankreich wurde die Datenschutzaufsicht auch als Aufsichtsbehörde für die KI-VO festgelegt.

zurück zum Inhaltsverzeichnis

1.8 CNIL: Zertifizierung von Auftragsverarbeitern und Subunternehmern

Die CNIL führt eine Konsultation zum Entwurf eines Referenzrahmens für die Bewertung von Auftragsverarbeitern durch. Bis 28. Februar 2025 können im Rahmen einer öffentlichen Konsultation Rückmeldungen gegeben werden. Der Entwurf des Bewertungsrahmens besteht aus 90 Kontrollpunkten, die entsprechend der Chronologie der Umsetzung einer Auftragsverarbeitung strukturiert sind:

  • Teil 1: Der Vertragsabschluss
  • Teil 2: Vorbereitung der Verarbeitungsumgebung, einschließlich der Sicherheitsmaßnahmen, die im Anhang des Bezugsrahmens gefordert werden
  • Teil 3: Die Durchführung der Verarbeitung
  • Teil 4: Die Beendigung der Verarbeitung

Um eine Zertifizierung zu erhalten, muss der Nachweis erbracht werden, dass jedes Kriterium des Bezugsrahmens erfüllt ist. Ein fünfter Teil des Standards beinhaltet Kriterien für Aktionspläne, die der Auftragsverarbeiter während des Zertifizierungszeitraums, der drei Jahre beträgt und verlängert werden kann, durchführen muss.
Der Auftragsverarbeiter kann frei entscheiden, welche Leistung oder welchen Dienst er zertifizieren lassen möchte, um seinem Bedürfnis nach Anerkennung gerecht zu werden. Mit der Unterstützung des Zertifizierungsorganismus wird der Umfang der Bewertung davon ausgehend festgelegt und alle betroffenen Datenverarbeitungen werden anschließend anhand der Kriterien des Referenzsystems geprüft.
Da sich die Bewertung auf die operative Umsetzung der Verarbeitungen bezieht, eignet sich die Zertifizierung nach den Informationen der CNIL eher für „schlüsselfertige“ Leistungen und Dienste, die von Auftragsverarbeitern / Subunternehmern angeboten werden. Allerdings könnten auch „maßgeschneiderte“ Leistungen oder neue Dienstleistungen von Startups einige Monate nach dem tatsächlichen Beginn der dem Auftragsverarbeiter anvertrauten Datenverarbeitung Gegenstand eines Zertifizierungsantrags sein, auch im Zusammenhang mit einem Proof of Concept.
Für die Rückmeldungen im Rahmen der Konsultation stellt die CNIL ein aus sechs Fragen bestehendes Formular bereit. Spezifischere Rückmeldungen werden aber auch angenommen.

zurück zum Inhaltsverzeichnis

1.9 CNIL: Bußgeld wegen zweckwidriger Verwendung von Kontaktdaten (von LinkedIn)

Die CNIL verhängte eine Geldstrafe in Höhe von 240.000 Euro gegen ein Unternehmen, u. a. weil dieses auf LinkedIn Kontaktdaten von Nutzern gesammelt hatte, die sich jedoch dafür entschieden hatten, die Sichtbarkeit ihrer Daten einzuschränken. Das Unternehmen vertreibt eine kostenpflichtige Erweiterung für den Chrome-Browser, mit der seine Kunden die beruflichen Kontaktdaten von Personen erhalten können, deren Profil sie im sozialen Netzwerk LinkedIn besuchen. Dazu baut das Unternehmen eine Datenbank mit Kontaktdaten aus LinkedIn und anderen Websites, wie z. B. Domainnamen-Verzeichnissen, auf. Die so gesammelten Kontaktdaten können es den Kunden des Unternehmens ermöglichen, die Zielpersonen zu kontaktieren, z. B. zu Werbezwecken oder zur Überprüfung der Identität. In der vom Unternehmen erstellten Datenbank befinden sich etwa 160 Millionen Kontakte. Die CNIL erhielt mehrere Beschwerden von Personen, die von Einrichtungen angesprochen wurden, die über diese Browser-Erweiterung Kenntnis von ihren Kontaktdaten hatten.
Diese Geldstrafe wurde in Zusammenarbeit mit allen europäischen Amtskollegen der CNIL verabschiedet.
Es lohnt sich die Entscheidung im Detail zu lesen, so fehlte nach Ansicht der CNIL u.a. eine Rechtsgrundlage, auch reiche es für Informationspflichten nicht eine E-Mail in englischer Sprache zu versenden.

zurück zum Inhaltsverzeichnis

1.10 Irland: Anforderungen an elektronische Belege

Auch wenn die Information der irischen Aufsicht schon aus dem Juni 2019 stammt – aus aktuellem Anlass sei nochmal daran erinnert, was Händler aus Datenschutzsicht bei elektronischen Belegen zu beachten haben.

zurück zum Inhaltsverzeichnis

1.11 Irland: Rechte der Kinder

Die irische Datenschutzaufsicht (DPC) hat drei kurze Leitfäden für Kinder zum Thema Datenschutz und ihre Rechte gemäß der DS-GVO erstellt. Diese Leitfäden richten sich hauptsächlich an Kinder ab 13 Jahren, da dies das Alter ist, in dem Kinder beginnen können, sich selbstständig für viele Formen sozialer Medien anzumelden*.
Der Schutz der personenbezogenen Daten von Kindern ist eine wichtige Priorität für die DPC und eines der fünf strategischen Ziele ihrer Regulierungsstrategie 2022–2027. Zudem wurde die endgültige Fassung der „Grundlagen“-Leitlinien zu den Datenschutzrechten von Kindern veröffentlicht, um Organisationen dabei zu helfen den besonderen Schutz zu bieten, den Kinder bei der Verarbeitung ihrer Daten verdienen. Der Schutz der Daten von Kindern bedeutet aber auch, dass Kinder das Wissen und die Mittel erhalten, um ihre Daten zu schützen.
Vor diesem Hintergrund hat die DPC auch folgende Materialien veröffentlicht: „Um was geht es bei Datenschutz?“, „15 Tipps, um Daten sicher zu halten“ und folgende Kurz-Leitfäden zu einzelnen Themen: My Data Protection Rights – full guide; Why are data protection rights important?, Knowing what’s happening to your data, Getting a copy of your data, Getting your data deleted und Saying ’no‘ to other people using your data.

* Franks Anmerkung: Ja nee, is klar. Und jüngere Kinder melden sich natürlich nicht an, das ist ja nicht erlaubt 🙄 …

Franks Nachtrag: Der Fairness halber will ich aber gerne sagen: Schön, dass es in Irland so etwas zielgruppengerecht aufbereitet gibt.

zurück zum Inhaltsverzeichnis

1.12 Italien: Anforderung an Einwilligung der Eltern zur Veröffentlichung von Kinderbildern

Wieder einmal scheint über das Datenschutzrecht eine grundsätzliche Disharmonie abgebildet zu werden. Hier ging es um die Abbildung eines gemeinsamen minderjährigen Kindes auf dem Facebook-Profil des Vaters, der dazu angab, er dürfe das, schließlich stünde das Kind unter dem gemeinsamen Sorgerecht der Eltern. Zudem ließ er über seinen Anwalt erklären, dass er jedes Recht auf die Veröffentlichung des Fotos habe, da das Kind unter dem gemeinsamen Sorgerecht beider Elternteile stehe, dass das Bild, auf dem sowohl das Kind, das er mit der Mutter des Kindes hatte, als auch ein zweites Kind, das er mit seiner jetzigen Partnerin gezeugt hat, abgebildet ist, lediglich einige Besonderheiten und Ähnlichkeiten der beiden Kinder hervorhebt, da beide von demselben Vater gezeugt wurden, dass die Veröffentlichung des Fotos den Anstand und das Ansehen des Minderjährigen respektiere und dass das Bild nicht scharf sei und die Kinder mit geschlossenen Augen lächeln, so dass das Foto nicht gegen die geltenden Rechtsvorschriften über den Schutz personenbezogener Daten zu verstoßen scheint.
Man ahnt es: Die leibliche Mutter fand das nicht gut, sie hatte bereits erfolglos einen Antrag auf Entfernung des Fotos gestellt. Die Datenschutzaufsicht Garante stellte dazu fest, dass eine Einwilligung im gemeinsamen Sorgerecht der Zustimmung beider Elternteile bedarf, dass dies hier nicht vorlag und der Vater daher keine Rechtsgrundlage zur Veröffentlichung des Bildes hatte. Sie untersagte daher die weitere Veröffentlichung des Bildes, solange nicht die Zustimmung beider Eltern vorliege, und verwarnte den Vater.

zurück zum Inhaltsverzeichnis

1.13 Niederlande: Beispiel für Auspionieren durch Cookies

Die niederländische Datenschutzaufsicht bringt ein anschauliches Beispiel für unerwartetes Online-Tracking. Eine 32-jährige Person erhielt nach dem Tod ihres Vaters überall Werbung für Beerdigungsfeiern. Auf Nachrichtenseiten, in den sozialen Medien und beim Online-Shopping sah sie Werbung für Beerdigungsorte, Trauerkarten und Blumen. Sie fand das sehr konfrontierend und sie hatte das Gefühl, dass die Unternehmen genau wussten, was in ihr vorging. Und das nutzten sie nun aus, um ihr Dienstleistungen zu verkaufen. Später erfuhr sie über Website der Datenschutzbehörde, wie Unternehmen Cookies verwenden können, um z. B. an ihre Daten zu gelangen. Die Menschen gäben oft, ohne nachzudenken, ihre Zustimmung zu Cookies. Cookies können verfolgen, was die jeweilige Person online tut. Unternehmen wüssten, welche Websites sie besuche, was sie lese und wonach sie suchte. Die Unternehmen könnten diese Informationen an Werbefirmen weitergeben. Das Ergebnis sei, dass sie Werbung sehe, die zu ihrer Situation passe, auch wenn dies sehr persönlich sei. Darüber hatte sie vorher noch nie nachgedacht. Jetzt wisse diese Person, wie Unternehmen an ihre Daten herankommen könnten und wolle sich künftig genau überlegen, welche Cookies sie akzeptiert und welche nicht.
Die Aufsicht ergänzt dieses Beispiel durch folgende Tipps:

  • „Wenn Sie alle Cookies akzeptieren, geben Sie Websites oft die Erlaubnis Ihre Daten zu sammeln und weiterzugeben. Vielleicht an Hunderte von Unternehmen, die Sie nicht kennen. Werden Sie auf einer Website oder in einer App aufgefordert Cookies zu akzeptieren? Wenn ja, treffen Sie eine bewusste Entscheidung. Überlegen Sie, welche Cookies Sie akzeptieren möchten.
  • Sie können Ihre Privatsphäre besser schützen, indem Sie Ihre Browsereinstellungen anpassen. Sie können zum Beispiel weniger Daten an die von Ihnen besuchten Websites weitergeben. Außerdem können Sie in einigen Browsern bestimmte Cookies automatisch blockieren.
  • Die niederländische Datenschutzaufsicht prüft zunehmend, ob Websites und Anwendungen ordnungsgemäß um Erlaubnis für die Platzierung von Cookies bitten. Wenn dies nicht der Fall ist, kann die Datenschutzbehörde eingreifen. Zum Beispiel, indem sie eine Geldstrafe verhängt wie in diesen Fällen: Geldbuße in Höhe von 600.000 Euro für Tracking-Cookies auf Kruidvat.nl und Geldbuße in Höhe von 40.000 Euro für Coolblue wegen unaufgeforderter Verwendung von Cookies.
  • Sie können gegenüber Websites und Anwendungen fragen, welche Daten sie von Ihnen haben und wie sie diese verwenden.“

zurück zum Inhaltsverzeichnis

1.14 Spanien: Anmerkungen zum Training eines LLM

Die spanische Datenschutzaufsicht AEPD hat Anfang Dezember einen neuen Blogbeitrag veröffentlicht, in dem sie die Trainingsbehandlung eines KI-Systems auf Basis von maschinellem Lernen und neuronalen Netzen analysiert. Dieser Beitrag steht im Zusammenhang mit anderen Materialien, die von der Abteilung Innovation und Technologie der AEPD veröffentlicht wurden, wie z. B.:

zurück zum Inhaltsverzeichnis

1.15 ICO: Fingerprinting und Google

Die britische Aufsicht ICO hat sich anlässlich der Ankündigung von Google, Fingerprinting ab Februar einzusetzen, dazu geäußert. Beim Fingerprinting werden Informationen über die Software oder Hardware eines Geräts gesammelt, die in Kombination ein bestimmtes Gerät und einen bestimmten Benutzer eindeutig identifizieren können.
Der ICO betont: Unternehmen hätten nicht die freie Hand, Fingerprints nach Belieben zu verwenden. Wie jede Werbetechnologie müsse sie rechtmäßig und transparent eingesetzt werden – und wenn dies nicht der Fall ist, wird der ICO tätig werden. Das Fingerprinting sei kein faires Mittel zur Online-Verfolgung von Benutzern, da es nach seiner Ansicht die Auswahl und Kontrolle der Menschen darüber, wie ihre Informationen gesammelt werden, einschränke. Die Änderung der Google-Richtlinie bedeutet, dass Fingerprinting nun die Funktionen von Drittanbieter-Cookies ersetzen könnte.
Der ICO hält diese Änderung für unverantwortlich. Google selbst habe bereits früher erklärt, dass Fingerprinting nicht den Erwartungen der Nutzer an den Datenschutz entspräche, da die Nutzer nicht so einfach zustimmen können wie bei Cookies. Dies wiederum bedeute, dass sie nicht kontrollieren können, wie ihre Informationen gesammelt werden. Der ICO zitiert dazu Googles eigene Position zum Fingerprinting aus dem Jahr 2019: „Wir sind der Meinung, dass dies die Wahlfreiheit der Nutzer untergräbt und falsch ist.“

zurück zum Inhaltsverzeichnis

1.16 BSI: Neue Version 1.5 der TR-03138 RESISCAN

Das BSI hat Ende November 2024 eine neue Version der TR-03138 zum Ersetzenden Scannen veröffentlicht. Die neue Version beschreibt die notwendigen Maßnahmen zum ersetzenden Scannen, also zum beweiskrafterhaltenden Digitalisieren von Papierdokumenten, die dann im Anschluss vernichtet werden können. Die dazugehörige Anlage Prüfspezifikation Version 1.5 gilt für Zertifizierungsverfahren ab dem 11.12.2024.

zurück zum Inhaltsverzeichnis

1.17 FTC: Bußgeld gegen Marriott und Verpflichtung zu Schutzmaßnahmen über 20 Jahre

Wir hatten schon mal dazu berichtet: Bei der Übernahme der Hotelkette „Starwood“ „kaufte“ sich die Hotelkette Marriot auch deren vorherige Datenschutzverletzung mit ein. Nun ordnete die Federal Trade Commission (FTC) in den USA an, dass Marriott und Starwood innerhalb der nächsten 180 Tage entsprechende Schutzmaßnahmen einführen und diese für 20 Jahre aufrecht erhalten müssen. Details zu der Anordnung der FTC vom 20. Dezember 2024 können hier nachgelesen werden. Ein Bericht dazu findet sich hier.

zurück zum Inhaltsverzeichnis

1.18 EBA: DORA Reporting Framework 4.0

Die European Banking Authority (EBA) hat das technische Paket für das Berichtsrahmenwerk Version 4.0 veröffentlicht. Das Paket markiert den Übergang zum neuen semantischen Glossar des Datenpunktmodells (DPM) und führt die erweiterten Funktionen des DPM 2.0-Modells ein. Das technische Paket enthält die Standardspezifikationen, die die Validierungsregeln, das Datenpunktmodell (DPM) und die XBRL-Taxonomien zur Unterstützung der Meldepflichten.
Das DPM Query Tool wurde ebenfalls aktualisiert, um die aktuelle Version widerzuspiegeln.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

Für diesen Blog-Beitrag haben wir nichts Berichtenswertes für die Kategorie Rechtsprechung gefunden.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Sicherheitsgesetzgebung

Nach den Tötungsdelikten auf dem Weihnachtsmarkt von Magdeburg und über 200 Verletzten bekommt die Diskussion um eine Erweiterung der Befugnisse der Sicherheitsbehörden neuen Auftrieb. Offen bleibt dabei oft, was welche Änderung im konkreten Fall gebracht hätte, denn Auffälligkeiten bezüglich des Täters gab es genug – sie wurden nur nicht alle in erforderlicher Weise verfolgt, wie hier nachzulesen ist. Und ob die Umsetzung der Forderungen nach Speicherung von IP-Adressen oder die biometrische Gesichtserkennung an speziellen Gefahrenpunkten im konkreten Fall etwas gebracht hätte, bleibt auch offen.

zurück zum Inhaltsverzeichnis

3.2 UK: Urheberrecht und KI

Nach diesem Bericht wird im Vereinigten Königreich überlegt das Urheberrecht dahingehend zu ändern, dass Kreative nur noch per Widerspruch verhindern können, dass ihre Werke von OpenAI, Google & Co. verwendet werden. Die Kreativen sind von dieser Art der gesetzgeberischen Kreativität wenig begeistert. Zum Gesetzgebungsvorhaben gibt es eine vorherige Konsultation, zu der bis 25. Februar 2025 Hinweise eingereicht werden können.

zurück zum Inhaltsverzeichnis

3.3 USA: Zugriff auf Daten von US-Amerikanern durch bestimmte Länder

Im Februar 2024 erließ der US-Präsident die Executive Order 14117 zur Verhinderung des Zugriffs auf sensible personenbezogene Massendaten von Amerikanern und Daten der US-Regierung durch Länder, die Anlass zur Sorge geben. Die Executive Order beschreibt eine ungewöhnliche und außergewöhnliche Bedrohung für die nationale Sicherheit und Außenpolitik der Vereinigten Staaten, die durch die anhaltenden Bemühungen bestimmter Länder, die Anlass zur Sorge geben, auf sensible personenbezogene Daten von Amerikanern und Daten der US-Regierung zuzugreifen, entsteht. Um dieser Bedrohung zu begegnen, weist die Durchführungsverordnung das Justizministerium an, in Absprache mit anderen Behörden Vorschriften zu erlassen, die es US-Bürgern verbieten oder anderweitig einschränken, bestimmte Kategorien von Transaktionen durchzuführen, die Daten im Zusammenhang mit der US-Regierung oder sensible personenbezogene Massendaten betreffen, ein inakzeptables nationales Sicherheitsrisiko durch den Zugriff von Ländern, die Anlass zur Sorge geben, oder von betroffenen Personen, die ihrer Gerichtsbarkeit unterliegen, darstellen und andere in der Verordnung festgelegte Kriterien erfüllen.
Ende Dezember 2024 erließ die Abteilung für nationale Sicherheit des Ministeriums eine endgültige Regelung zur Umsetzung der Exekutivverordnung 14117. Eine inoffizielle Version der endgültigen Regelung ist hier verfügbar; die offizielle Version wird im Federal Register veröffentlicht. Die endgültige Regelung tritt 90 Tage nach der Veröffentlichung im Federal Register in Kraft, wobei bestimmte positive Anforderungen in Bezug auf die Sorgfaltspflicht und Prüfungen für eingeschränkte Transaktionen (Unterabschnitt J), Jahresberichte (§ 202.1103) und Berichte über abgelehnte verbotene Transaktionen (§ 202.1104) 270 Tage nach der Veröffentlichung im Federal Register in Kraft treten. Dazu wurde eine Pressemitteilung und ein Faktenblatt veröffentlicht. Weitere Informationen dazu finden sich hier.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Datenschutz und Künstliche Intelligenz

In diesem Blog-Beitrag werden die datenschutzrechtlichen Aspekte beim Einsatz von KI betrachtet, unter Berücksichtigung der Stellungname 28/2024 des EDSA und der Orientierungshilfe KI der Datenschutzkonferenz (DSK).

zurück zum Inhaltsverzeichnis

4.2 Künstliche Intelligenz und Vertragsrecht

Was bedeutet die Entwicklung Künstlicher Intelligenz in Unternehmen für Verträge und rechtliche Rahmenbedingungen? Die Integration von KI-Technologien bringt nicht nur Innovation, sondern auch komplexe rechtliche Herausforderungen mit sich. Dieser Blog-Beitrag widmet sich insbesondere den Themen Klärung der Vertragstypen, Datennutzung, Gewährleistung und Haftung und dem Einfluss der KI-VO.

zurück zum Inhaltsverzeichnis

4.3 ELI: Vorschlag zur Definition eines KI-Systems

Das European Law Institute (ELI) beteiligte sich im Januar 2024 an der öffentlichen Konsultation der EU-Kommission zu dem Leitlinien zu einem KI-System nach der KI-VO und schlug darin einen Drei-Faktor-Ansatz vor. Der erste Faktor umfasst die Menge an Daten oder domänenspezifischem Wissen, die in die Entwicklung geflossen sind, der zweite Faktor das Ausmaß, in dem Know-how während des Betriebs entsteht und mit dem dritten Faktor werden der Grad der formalen Unbestimmtheit der Ergebnisse berücksichtigt.

zurück zum Inhaltsverzeichnis

4.4 35 realisierte Use Cases mit Künstlicher Intelligenz

Die LLM Use Case Bibliothek von OpenGPT-X ist ein Katalog mit 35 bereits realisierbaren Geschäftsanwendungen (Use Cases) von großen KI-Sprachmodellen (Large Language Models, LLMs), wie sie im OpenGPT-X-Projekt entwickelt werden. Mit der Anwendungsfallbibliothek soll das Geschäftspotenzial großer KI-Sprachmodelle über ein breites Spektrum von Geschäftsfunktionen und Branchen hinweg aufgezeigt werden, indem in ihr jeweiliges wirtschaftliches Potenzial, Make-or-Buy-Überlegungen, aber auch mögliche Implementierungsrisiken und -herausforderungen in einem strukturierten und leicht verständlichen Format dargestellt werden. Die Anwendungsfallbibliothek ist nur auf Englisch verfügbar.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 noyb: DPO Survey 2024/2025

Das NGO noyb führt eine Umfrage bei Datenschutzbeauftragten durch, um mehr über deren Erfahrungen hinsichtlich Effektivität, Awareness und Durchsetzbarkeit zu und von Datenschutzthemen zu erfahren. Sie finden sie hier.

zurück zum Inhaltsverzeichnis

5.2 CCC: Standort-Tracking bei Volkswagen

Medienwirksam zum Auftakt seines 38. Kongresses veröffentlichte der Chaos Computer Club (CCC) seine Erkenntnisse, dass die Volkswagentochter Cariad nicht nur Daten aus Fahrzeugen des Volkswagenkonzerns speichert, sondern, dass dies auch wochenlang unzureichend geschützt in der AWS-Cloud verfügbar waren. Diesem Bericht nach sind von der Datenpanne 800.000 Fahrzeuge auch außerhalb Deutschlands umfasst. Der Bericht führt auch aus, welche Informationen konkret betroffen waren und welche Rückschlüsse mit diesen Daten möglich sind. Der CCC informierte frühzeitig Cariad, die nach diesem Bericht auch professionell reagierten.
Jetzt warten wir ab, welche datenschutzrechtliche Fragestellungen dazu (Rechtmäßigkeit, Anwendbarkeit der ePrivacy-Richtlinie, Schutzniveau, Benachrichtigung der betroffenen Personen) und Antworten hier noch veröffentlicht werden.

Franks Nachtrag: Und während Sie warten, können Sie sich den Beitrag vom 38C3 (Dauer: 38 Minuten) auch anschauen.

zurück zum Inhaltsverzeichnis

5.3 Justizministerium der Niederlande: Memo zu einer DSFA bei MS 365 Copilot

Das niederländische Ministerium für Justiz und Sicherheit veröffentlichte im Dezember 2024 ein Memo, in welchem es über den Stand der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) zu MS365 Copilot durch die Beschaffungsstelle (SLM) berichtet.
Die SLM führte eine DSFA zu Microsoft Copilot für Microsoft 365 (MS 365 Copilot) durch. MS 365 Copilot ist ein universelles KI-System, das Mitarbeiter unter anderem bei der Erstellung von Zusammenfassungen, Texten und Konversationen in Microsoft-Anwendungen wie Word, Excel, PowerPoint, Outlook und Teams unterstützt. Microsoft bietet unter dem Namen Copilot mehrere KI-Systeme für allgemeine Zwecke an. Der Anwendungsbereich der DSFA begrenzt sich auf MS 365 Copilot.
Laut dem Memo geht aus der DSFA hervor, dass mit dem Einsatz von MS 365 Copilot zum jetzigen Zeitpunkt vier hohe Risiken verbunden wären. Im Wesentlichen handelt es sich dabei um Risiken, die durch die unzureichende Transparenz von Microsoft bei der Verarbeitung personenbezogener Daten verursacht werden. Diese Intransparenz habe u. a. zur Folge, dass Einzelpersonen ihr Auskunftsrecht nicht in ausreichendem Maße wahrnehmen können, dass Organisationen nicht hinreichend gewährleisten können, dass personenbezogene Daten korrekt verarbeitet werden, und dass Organisationen keine ausreichende Sichtbarkeit und Kontrolle über die Verarbeitung personenbezogener Daten hätten, die Microsoft nach eigenen Angaben für die Bereitstellung von MS 365 Copilot benötigt.
Die SLM steht dazu mit Microsoft in Kontakt und will im Januar die Konsultationen fortführen. Sobald Maßnahmen vereinbart worden sind, die ausreichende Schutzmaßnahmen bieten, wird die SLM laut dem Memo diese Maßnahmen bewerten und eine Neubewertung vornehmen.
Neben der DSFA führte die SLM auch eine Folgenabschätzung für Grundrechte und Algorithmen (Fundamental Rights and Algorithms Impact Assessment – FRAIA) für MS 365 Copilot durch. Bei einer FRAIA werden auch die Auswirkungen von MS 365 Copilot auf andere Grundrechte als die Privatsphäre bewertet. Obwohl eine FRAIA für diesen Dienst nach dem KI-Gesetz laut dem Memo nicht verpflichtend sei, wurde damit begonnen, um dazu Erfahrungen mit dieser Methodik zu sammeln.
Allerdings wurde während der Untersuchung festgestellt, dass das derzeitige FRAIA-Modell für die Bewertung eines KI-Systems für allgemeine Zwecke wie MS 365 Copilot weniger geeignet sei. Daher wurde diese Untersuchung vorübergehend gestoppt, und die SLM wird sich zunächst um zusätzliche Methoden und Anleitungen u. a. von der EU-Kommission (AI-Office) und der nationalen Regulierungsbehörde bemühen.

zurück zum Inhaltsverzeichnis

5.4 Cybersicherheit und Geschäftsgeheimnisse

Cybersicherheit ist heute nicht mehr nur ein technisches Anliegen, sondern durchdringt alle Bereiche moderner Unternehmensführung. In diesem Blog-Beitrag wird erläutert, warum Cybersicherheit eine zentrale Rolle für Geschäftsgeheimnisse, den Umgang mit Künstlicher Intelligenz inkl. KI-VO und den Hinweisgeberschutz spielt.
Es geht damit los, dass als Geschäftsgeheimnis im rechtlichen Sinne nur das anerkannt wird, was auch wirklich geschützt ist. Geschäftsgeheimnisse können technologische Innovationen, Kundendaten und strategische Pläne umfassen. Und ein Schutzkonzept für Geschäftsgeheimnisse ist ohne integriertes Cybersicherheitskonzept nicht mehr denkbar. Ohne robuste Cybersicherheitsmaßnahmen riskieren Unternehmen nicht nur den Verlust sensibler Informationen, sondern auch schwerwiegende Reputationsschäden. Ein effektives Informationssicherheitsmanagementsystem kann die Grundlage sein, um diesen Schutz zu gewährleisten.
Mit der KI-VO können Unternehmen im Einzelfall vor eine komplexe Aufgabe gestellt werden, wenn Transparenzpflichten zur Offenlegung technischer Details ihrer KI-Systeme mit dem Schutz von Geschäftsgeheimnissen kollidieren. Durch die KI-Haftungsrichtlinie wird das noch verschärft werden. Auch bei einem aufgrund des Hinweisgeberschutzgesetzes eingeführten Meldesystems sind IT-Sicherheitsanforderungen zu erfüllen. Sie müssen technisch abgesichert sein, um Vertraulichkeit und Schutz der Hinweisgeber zu gewährleisten.

zurück zum Inhaltsverzeichnis

5.5 Haftung von Aufsichtsräten

Die Haftung von Aufsichtsräten wird immer wieder (wie hier) diskutiert. Oft kommt zu mangelndem Fachwissen auch noch Pech dazu. Mit den Pflichten und den damit verbundenen Risiken befasst sich dieser Blog-Beitrag. Häufige Ursachen für die Haftung von Aufsichtsratsmitgliedern sind danach mangelnde Kontrolle oder Überwachung des Vorstands, unzureichende Vorbereitung oder Teilnahme an Sitzungen, Zustimmung zu rechtswidrigen Geschäften und fehlende Reaktion auf erkennbare Risiken. Der Beitrag befasst sich auch mit dem Einfluss des Abstimmungsverhaltens auf die Haftung von Aufsichtsratsmitgliedern und stellt klar, dass eine ordnungsgemäße Dokumentation der Entscheidungsfindung und der Gründe für das eigene Abstimmungsverhalten ist daher essenziell sind.

zurück zum Inhaltsverzeichnis

5.6 Digitalgesetzgebung – online

Auf der Webseite streamlex wird europäische Gesetzgebung zu digitalen Themen angeboten. Neben Gesetzestexten will die Seite auch offizielle Leitfäden, Vorlagen und Links zu externen Datenbanken, die einen ganzheitlichen Ansatz zum Verständnis und zur Umsetzung digitaler Gesetze bieten, abbilden.

zurück zum Inhaltsverzeichnis

5.7 Datenschutz-Jahresrückblick in einem Podcast

Als Datenschutz-Silvestershow gibt es eine Sonderfolge einer Podcast-Reihe (Dauer ca. 2:10 Std.) unter dem Titel „Menschen, Bilder, Datenschutz“ (das erinnert mich doch an etwas …). Dabei werden kurz relevante Themen aus dem Jahr 2024 angeschnitten, es konzentriert sich aber auf Gespräche mit dem Manager EMEA Policy, Privacy and Data Regulation bei Meta, mit einem Datenschutzexperten bei einer Rechtsanwaltskanzlei und mit dem HmbBfDI. Und wer lieber zuschaut als nur zuhört, es gibt die Folge auch als YouTube-Video.

Franks Nachtrag: Wie heißt es so schön? Das größte Lob ist die Kopie? Wenn wir bei der Titelgebung inspirieren, dann fühlen wir uns doch gelobt …

zurück zum Inhaltsverzeichnis

5.8 Veranstaltungen

5.8.1 Niedersachsen.next: „Sexroboter: Wenn KI verführt“

14.01.2025, ab 18 Uhr, Hannover: Zu rechtlichen und ethischen Überlegungen laden an diesem Abend das Niedersächsische Wirtschaftsministerium, die Niedersachsen.next Digitalagentur und die Leibniz-Universität-Hannover zum besonderen Event ein. Künstliche Intelligenz (KI) eröffnet neue Möglichkeiten und Gedankenspiele in vielen Bereichen. Deutlich wird dies in dem Film „Musing of a mechatronic mistress: The Peculiar Purpose Of Tiffany The Sex Robot“, der während dieser Veranstaltung gezeigt wird. Darin geht es um unterschiedliche gesellschaftliche, politische und ethische Aspekte, die anhand der Hauptfigur, einem selbstbewussten Sexroboter namens Tiffany, thematisiert werden. Im Anschluss gibt es Diskussionen und danach ein entspanntes Get-together und Möglichkeit zum persönlichen Austausch. Weitere Informationen und Anmeldung hier.

5.8.2 Universität des Saarlandes: Technischer Datenschutz

14.01.2025, 19:00 – 20:30 Uhr, online: In der Vorlesungsreihe „Datenschutz in der Praxis“ geht es um „Aktuelles zum Technischen Datenschutz“. Weitere Informationen und Einwahldaten hier.

5.8.3 Universität Passau – Distinguished Lecture: Haftung für unsichere Software -neu-

17.01.2025, 17:00 – 19:00 Uhr, München: Die Distinguished Lecture beschäftigt sich mit der Haftung für unsichere Software nach dem Cyber Resilience Act (CRA). Der CRA schafft erstmalig sektorübergreifende Sicherheitsanforderungen für (beinahe alle) Softwareprodukte. Jedoch geht das Gesetz konzeptionell davon aus, dass im Fall unsicherer Softwareprodukte die Marktaufsicht einschreiten muss (sog. public enforcement). Die Vorträge gehen deshalb der Frage nach, inwiefern eine private Durchsetzung (sog. private enforcement) der Sicherheitsanforderungen mit den Mitteln des Zivilrechts möglich ist. Können etwa die Opfer eines Ransomware-Angriffs, welcher durch vermeidbare Sicherheitslücken ermöglicht wurde, Schadensersatzansprüche gegen den Hersteller oder gar den Verkäufer der Software geltend machen? Weitere Informationen hier und der Link zur Anmeldung findet sich dort.

5.8.4 CNIL: Schutz der Stimme und des Bildes im Zeitalter der KI -neu-

23.01.2025, 14:30 – 18:00 Uhr, Paris: Im Vorfeld des Aktionsgipfels zu KI, bei dem Frankreich Gastgeber sein wird, lädt die CNIL zusammen mit Universitäten ein, wie sich Desinformation, Betrug und Verletzungen der Privatsphäre verhindern und gleichzeitig die Vorteile der KI nutzen lässt. Weitere Informationen und Anmeldung hier.

5.8.5 CPDP – Data Protection Day

28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.

5.8.6 EDPS: Data Protection Day 2025 -neu-

29.01.2025, 08:30 – 18:00 Uhr, Brüssel & online: Der Europarat, die CPDP-Konferenzen und der Europäische Datenschutzbeauftragte (EDPS) laden ein, den Datenschutztag mit einer Sonderausgabe der CPDP zu feiern. Die Veranstaltung wird sich auf das sich weiterentwickelnde Mandat des Datenschutzes konzentrieren, insbesondere auf seine wesentliche Rolle als Schutz unserer demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure.
Anlässlich des Datenschutztags organisieren der Europarat (CoE), CPDP-Konferenzen und der Europäische Datenschutzbeauftragte (EDPS) gemeinsam eine eintägige Veranstaltung, bei der die aktuelle und zukünftige Landschaft des Datenschutzes erkundet wird. Die Konferenz wird als Plattform zur Diskussion der Herausforderungen und Chancen an der Schnittstelle zwischen neuen Technologien und Datenschutzrisiken sowie zwischen Innovation und regulatorischen Rahmenbedingungen dienen.
In diesem Jahr findet der CPDP – Datenschutztag zu einem entscheidenden Zeitpunkt statt, da mit der kürzlich erfolgten Wahl des Europäischen Parlaments und der anschließenden Ernennung einer neuen Europäischen Kommission neue politische Mandate der EU beginnen, die politische Landschaft zu prägen. Diese Änderungen fallen mit neuen Mandaten des Menschenrechtskommissars des Europarats und des Europäischen Datenschutzbeauftragten zusammen. Gleichzeitig bringen neue technologische Entwicklungen in Bereichen wie künstliche Intelligenz und Neurowissenschaften neue Herausforderungen für das Recht auf Schutz personenbezogener Daten und anderer Grundrechte mit sich. Uralte Herausforderungen wie der Zugang zu Daten für Zwecke der Strafverfolgung und der nationalen Sicherheit stehen weiterhin ganz oben auf der politischen Agenda.
Die Teilnehmer werden eingeladen, über das sich entwickelnde Mandat des Datenschutzes nachzudenken und zu diskutieren, insbesondere über seine wesentliche Rolle als Schutz unserer demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure. Weitere Informationen hier und zur Anmeldung dort.

5.8.7 Fachkonferenz und Preisverleihung CDR-Award 2024

29.01.2025, 14:00 – 18:00 Uhr, Berlin, Fachkonferenz / 18:00 – 20:00 Uhr, Berlin, Preisverleihung: Im Anschluss an eine Fachkonferenz findet in der bayerische Landesvertretung die Preisverleihung des CDR-Award 2024 statt. Die Nominierten und die Shortlist der einzelnen Kategorien sind hier hinterlegt (wir berichteten). Tickets können hier bestellt werden.

5.8.8 EAID: Exportschlager AI Act

29.01.2025, 18:00 – 20:00 Uhr, Europäische Akademie in Berlin und online: Am Europäischen Datenschutztag befasst sich die Europäischen Akademie für Informationsfreiheit und Datenschutz (EDIID) mit der Frage „Exportschlager AI Act – setzt die EU einen weltweiten Standard für die KI-Regulierung?“. Expert:innen aus Politik, Wissenschaft und NGO bringen sich dazu mit Einführungsstatements und in die anschließende Paneldiskussion ein. Weitere Informationen und Anmeldemöglichkeit für eine vor-Ort-Teilnahme oder zur Online-Teilnahme hier.

5.8.9 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung

In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:

  • Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
    29.01.2025 \\ vor Ort im Weizenbaum-Institut
  • Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
    25.02.2025 \\ online
  • Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
    16.04.2025 \\ online
  • Ausgabe 6: Thema wird in Kürze bekannt gegeben*
    28.05.2025 \\ online
  • Ausgabe 7: Thema wird in Kürze bekannt gegeben
    09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin

* Franks Anmerkung: Ja, das steht da immer noch so…

5.8.10 BSI: 1. IT-Grundschutztag 2025

04.02.2025, 08:30 – 16:15 Uhr, Magdeburg und online: Zusammen mit dem Land Sachsen-Anhalt richtet das BSI die Veranstaltung zum Thema „Gemeinsam sicher. Gemeinsam digital.“ in hybrider Form aus. Der IT-Grundschutz-Tag in Magdeburg gibt praxisnahe Einblicke in den IT-Grundschutz und in das BCM, sowie die Umsetzung aktueller Vorschriften wie beispielsweise die NIS2-Richtinie in den Bundesländern und in der kommunalen Verwaltung. Im Fokus der Veranstaltung stehen daher Landesverwaltungen und Kommunen. Aktuelle Neuigkeiten zum IT-Grundschutz runden den Tag ab. Die Teilnahme ist kostenfrei. Weitere Informationen zur Agenda und Anmeldung finden sich hier.

5.8.11 Universität der Bundeswehr München / Austrian Institute of Technology: „Exercise Contain“ – Rahmenwerk zur Bewältigung von Cybervorfällen -neu-

25./26.02.2025, (25.02.2025,) 12:00 Uhr – (26.02.2025,) 16:00 Uhr, München: In einer Kooperation zwischen Deutschland und Österreich forschen Universitäten, Unternehmen und Behörden daran, die Reaktion auf digitale Bedrohungen, insbesondere Ransomware, effektiver und effizienter zu gestalten. Das Forschungsprojekt CONTAIN entwickelt hierfür ein Rahmenwerk von Prozessen und Verfahren zu Bewältigung von Cyber-Vorfällen, unterstützt durch Serious Games und Simulationen. Details zum Programm finden sich hier unter „Info“, die Anmeldung dazu unter „Anmeldung“*.

* Franks Anmerkung: Na, das ist ja mal eine toll gebaute Seite. Ohne Javascript geht nix. Gute Navigation 👍

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Albanien kündigt an TikTok für mindestens ein Jahr zu sperren

Der albanische Premierminister kündigte an, dass in Albanien das Netzwerk TikTok für mindestens ein Jahr gesperrt würde, nachdem ein 14-jähriger Schüler getötet und ein weiterer verletzt wurde, nachdem es zu einer Online-Konfrontation gekommen war. Die Inhalte, die TikTok in China anbiete, seien völlig andere als die, die außerhalb Chinas verbreitet würden. „Da gibt es nur Dreck und Kot“, wurde der Premierminister von der staatlichen Nachrichtenagentur ATA zitiert, wie hier nachzulesen ist. Auch wird Albanien ein Bildungsprogramm zu sozialen Netzwerken starten.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Community und Shit Storms

Wie reagiert man in sozialen Netzen auf Shit Storms, wie organisiert man ein Social-Media-Team und wie geht man mit der Verantwortung dazu um? Nachdem ich jetzt hier so oft das generische Maskulinum gebrauchte, ahnen Sie es, wenn es um Kompetenz geht, geht es nicht ohne den weiblichen Einfluss: In diesem Podcast (Dauer ca. 55 Min.) tauschen sich zwei Frauen dazu aus, eine davon ist die Team Lead Social Media der ARD.
Auszüge aus dem Gespräch: „Die ARD setzt bei der Moderation bewusst auf echte Menschen statt KI. „Community Management ist Beziehungsarbeit“ – dieser Grundsatz präge die tägliche Arbeit. Es ist zu unterscheiden, ist es eine wirkliche Empörung, weil ich mich über etwas berechtigt ärgere, oder ist es eine Empörung der Empörung wegen. Nur 11 % der Social-Media-Nutzer kommentieren aktiv. Die „laute Minderheit“ ist nicht repräsentativ für die gesamte Community.“

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apropos KI …

Da ich über Weihnachten unter anderem da war, hatte ich kaum Zeit (und Lust) neue Nachrichten zu suchen, deswegen ist diese Liste heute eher kurz:

  • Als erstes hätte ich einen Podcast mit dem Titel „KI in der Strafverteidigung: Anwälte und Gerichte werden verstärkt auf Algorithmen setzen“ (Dauer ca. 34 Min.), Sie finden ihn unter anderem hier (oder direkt unter dem ersten Link).
    Mir stellt sich da ja nur eine Frage: Welchen Regeln müssen eigentlich die Strafverteidiger genügen beim Einsatz von KI und im Umgang mit personenbezogenen Daten?
  • Und passend zur vorherigen Meldung: Illinois reguliert KI-Benutzung im Rechtswesen. Sind die uns etwa mal im positiven Sinne voraus?
  • Was ist eigentlich eine Allgemeine Künstliche Intelligenz? Dazu gibt es Definitionen. OpenAIs Definition hat ein Preisschild. Na dann. Wenn die Kasse stimmt, ist es eine?

Und das war es schon für diese Woche, aber im nächsten Jahr gibt es an dieser Stelle bestimmt wieder viele schöne Meldungen unter dem Stichwort „Apropos KI …“.

zurück zum Inhaltsverzeichnis

8.2 Können Sie ePA in diesem Kapitel noch lesen?

Sie wundert es vielleicht nicht, wenn ich ich Ihnen zum Jahresende 2024 offenbare, dass ich der ePA für mich widersprochen habe.
Aber wie gesagt, ich will Sie zu nichts drängen, das überlasse ich anderen.
Wie wäre es mit einem Interview mit einer Psychologin? Beim 38C3 scheint die ePA auch nicht so gut weggekommen zu sein, dazu gibt es das Video (Dauer ca. 40 Min., es beginnt nach Minute 16), aber auch die Präsentation, je nachdem, ob Sie lieber selbst lesen oder es sich zeigen lassen wollen.
Das wir schon oft über die ePA berichteten und sie auch in diesem Blog-Beitrag schon vorkam, erwähne ich nur der Vollständigkeit halber.

zurück zum Inhaltsverzeichnis

8.3 Sehr externe Datenschutzbeauftragte

Ach, das ich mal über einen Tätigkeitsbericht einer Aufsichtsbehörde berichte.
Wobei, ich zitiere ja nur aus einem Bericht über den Tätigkeitsbericht 2023 des Katholischen Datenschutzzentrums Dortmund:

Interessant ist, dass vor allem externe bDSB bestellt sind – und nur in 39 Prozent der Einrichtungen waren die bestellten bDSB schon einmal in der Einrichtung.

So gut haben es meine Kunden nicht, die müssen mich regelmäßig bei sich im Haus ertragen.

zurück zum Inhaltsverzeichnis

8.4 Warum bei der Digitalisierung in Schulen langsamer gemacht werden sollte …

Der Sozial- und Wirtschaftswissenschaftler Prof. Tim Engartner erläutert im Interview, warum bei der Digitalisierung im Schulbetrieb auf die Bremse getreten werden sollte. Lesenswert (das „Told you so“ erspar ich mir an der Stelle mal …).

zurück zum Inhaltsverzeichnis

9. Die gute Nachricht zum Schluss

9.1 Kindeswohlgefährdung im Netz durch Veröffentlichung von Bildern

In Zusammenarbeit u.a. mit dem Deutschen Kinderhilfswerk und Campact e.V. erstellte eine Kanzlei ein Gutachten mit dem Titel „Kindeswohlgefährdung durch kommerzielle Veröffentlichung von Kinderfotos und -videos im Internet“, um hinsichtlich Kindeswohlgefährdungen zu sensibilisieren und die derzeitigen rechtlichen Rahmenbedingungen sowie zukünftige Regulierungsalternativen aufzuzeigen. Oft sei Eltern und Verwandten nicht bewusst, wie sie durch Veröffentlichung von Kinderfotos und -videos in den sozialen Medien die Persönlichkeitsrechte ihrer Kinder verletzen.

zurück zum Inhaltsverzeichnis