Zum Inhalt springen

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 02&03/2025)“ – Die DVD-Edition

Hier ist der 20. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 02&03/2025)“ – Die DVD-Edition.

Und da haben wir die erste Doppelausgabe des Jahres 2025. U.a. der Europäische Datenschutztag beschert uns viele Veranstaltungshinweise bis Ende Februar. Insgesamt ist es doch wieder eher mehr geworden.

  1. Aufsichtsbehörden
    1. EDSA: Guidelines zur Pseudonymisierung
    2. EDSA: Positionspapier zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht
    3. EDPS: Rüge an Frontex wegen nicht erforderlicher Datenweitergabe an Europol
    4. EDPS: MS 365 bei der EU-Kommission
    5. EDPS: Digital Clearinghouse
    6. EDPS: Neubesetzung der Position des EDPS
    7. EDSA: SPE – OSS Case Digest zum Recht auf Auskunft
    8. BayLDA: Beratungsangebot zu KI und Datenschutz
    9. BayLDA: Ausblick 2025
    10. BlnBfDI: Wechsel im Vorsitz der DSK
    11. Termine der DSK
    12. BlnBfDI: Gästin im Podcast „Follow the Rechtsstaat“
    13. LDI NRW: KI in der Verwaltung – Zwischen Hype und Horror
    14. LDI NRW: Polizeigesetz überarbeiten
    15. LfDI Rheinland-Pfalz: Datenschutz im Praxis-Alltag
    16. HmbBfDI: Fragen und Antworten zur ePA
    17. Liechtenstein: Hinweise zum Schwärzen von Dokumenten
    18. CNIL: Berechtigungen in mobilen Anwendungen
    19. Schweden: Fehlender Widerrufshinweis führt zu unwirksamer Einwilligung
    20. Dänemark: Arbeitsprogramm 2025
    21. Änderungen bei der Aufsicht bei der ev. Kirche
    22. Kath. Kirche: Willkommen bei #Fedikirche
    23. BSI: Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)
  2. Rechtsprechung
    1. EuG: Immaterieller Schadenersatz bei Datentransfer in die USA ohne DPF (T-354/22)
    2. EuGH: Datenschutzrechtliche Anforderungen an geschlechtliche Anrede (C-394/23)
    3. EuGH: Anforderung an Überforderung einer Datenschutzaufsicht (C-416/23)
    4. BGH: Kein Verwertungsverbot bei Zugriff auf verschlüsselten Daten
    5. BAG: Anforderungen an arbeitsvertragliche Geheimhaltungsklauseln
    6. LAG Hamburg: Können Auskunftsrechte verfallen?
    7. OLG Dresden: Ansprüche nach Scraping-Vorfall
    8. Google: Antrag auf Klageabweisung einer Sammelklage abgelehnt
    9. Irish High Court: Auslegung des Art. 49 Abs. 1 lit. d DS-GVO
  3. Gesetzgebung
    1. DAV: Stellungnahme zum Entwurf nach Art. 40 Abs. 13 DSA
    2. EU-Ministerrat: KI in der Justiz
    3. BAFin: Informationsregister nach DORA
    4. DSA und die BfDI
    5. Studie aus Schweden zu digitaler Transformation und Hindernisse
  4. Künstliche Intelligenz und Ethik
    1. BRAK: Leitfaden mit Hinweisen zum KI-Einsatz
    2. Meta: KI-Training ohne Risiko?
    3. FPF: AI Governance behind the Scenes
    4. Nutzungsbedingungen bei LLM
    5. USA: Fact Sheet zur Verbreitung von AI
    6. Interview zu KI-Regulatorik in USA
    7. Ev. Kirche Bayern: Welchen Nutzen bringt KI?
    8. Sprachvereinfachung durch KI
  5. Veröffentlichungen
    1. Sicherheitsleck bei Kindergartensoftware ist kein Kinderkram
    2. CEDPO: To Scrape or not to scrape!
    3. Hamburg: DSFA zum Einsatz von MS 365
    4. Cyberangriff auf spanischen Telekomprovider
    5. Musterdatenschutzerklärung
    6. Interessenskonflikte von Datenschutzbeauftragten
    7. Wissenswertes zur Orientierungshilfe zu Webseite und Apps
    8. Datenschutz und Personenbezug in EuGH-Verfahren
    9. Deutscher Kulturrat: Urheberrechtliche Fragen und KI
    10. Veranstaltungen
      1. IHK für München und Oberbayern – KI im Unternehmen einsetzen mit ISO 42001 -neu-
      2. Universität des Saarlandes – Datenschutz in der Praxis: „Datenverarbeitung im Ausland – What to do“
      3. eco-Verband – Open Talk „NIS2 – Was tun?“
      4. CNIL: Schutz der Stimme und des Bildes im Zeitalter der KI
      5. CPDP – Data Protection Day
      6. Universität des Saarlandes – Datenschutz in der Praxis: „Entwurf eines Beschäftigtendatengesetzes“
      7. EDPS: Data Protection Day 2025
      8. Fachkonferenz und Preisverleihung CDR-Award 2024
      9. EAID: Exportschlager AI Act
      10. Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
      11. Stiftung Datenschutz: Datenschutz am Mittag – Die Position des EDSA zu Datenschutz und KI-Modellen
      12. IHK für München und Oberbayern – KI-Kompetenz gemäß Artikel 4 KI-VO: Überblick und Praxistipps -neu-
      13. BSI: 1. IT-Grundschutztag 2025
      14. Stiftung Datenschutz: Datenschutz am Mittag – Cybersicherheitsrecht der EU: Auswirkungen auf den Datenschutz -neu-
      15. LDI NRW – KI in der Verwaltung -neu-
      16. Museum für Kommunikation Nürnberg – Geschlechtliche Diversität und Datenschutz / Frage der Erforderlichkeit? -neu-
      17. Universität der Bundeswehr München / Austrian Institute of Technology: „Exercise Contain“ – Rahmenwerk zur Bewältigung von Cybervorfällen
      18. IHK für München und Oberbayern – AI Act umsetzen: Künstliche Intelligenz und Datenschutz -neu-
  6. Gesellschaftspolitische Diskussionen
    1. Meta beendet seine Aktivitäten zu Diversität
    2. Hochschulen: Ausstieg aus „X“
    3. Datenhandel ohne Ende
  7. Sonstiges / Blick über den Tellerrand
    1. Social-Media-Nutzung erst ab 16 Jahren?
    2. Stimmungstief an Hochschulen: Grund: Lage der Cybersicherheit
  8. Franks Zugabe
    1. Apropos KI …
    2. Passend zum Start des Pilotbetriebs der ePA
    3. Ransomware-Angriff auf das digitale Grundbuch in der Slowakei
    4. Das ist mal eine Phishing-Attacke?
    5. Passworte
    6. Nearest Neighbour Attack
    7. Eine Buchempfehlung
    8. Wie ernst ist es Apple mit dem Datenschutz?
    9. Bruce Schneier rät: «Haben Sie einen guten Bullshit-Detektor»
    10. Ein Klick und weg war das Geld …
    11. Hacking Digital License Plates
    12. Schlüsselmanagement IRL
    13. Texas und Datenschutz
    14. Empfehlungsecke zu KI
    15. Doom per PDF?
  9. Die gute Nachricht zum Schluss
    1. Wahlprüfsteine



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Guidelines zur Pseudonymisierung

Der EDSA hat Leitlinien zur Pseudonymisierung verabschiedet und klärt darin die Verwendung der Pseudonymisierung zur Einhaltung der DS-GVO. Die Leitlinien enthalten zwei wichtige rechtliche Klarstellungen:

  • Pseudonymisierte Daten, die durch die Verwendung zusätzlicher Informationen einer Person zugeordnet werden könnten, bleiben Informationen, die sich auf eine identifizierbare natürliche Person beziehen, und sind daher weiterhin personenbezogene Daten. Wenn die Daten vom Datenverantwortlichen oder einer anderen Person mit einer Person in Verbindung gebracht werden können, handelt es sich in der Tat weiterhin um personenbezogene Daten.
  • Die Pseudonymisierung kann Risiken verringern und die Verwendung berechtigter Interessen als Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DS-GVO erleichtern, solange alle anderen Anforderungen der DS-GVO erfüllt sind. Ebenso kann die Pseudonymisierung dazu beitragen die Vereinbarkeit mit dem ursprünglichen Zweck (Art. 6 Abs. 4 DS-GVO) sicherzustellen.

In den Leitlinien wird auch erläutert, wie die Pseudonymisierung Organisationen dabei helfen kann ihren Verpflichtungen in Bezug auf die Umsetzung der Datenschutzgrundsätze (Art. 5 DS-GVO), den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DS-GVO) und die Sicherheit (Art. 32 DS-GVO) nachzukommen. Schließlich werden in den Leitlinien technische Maßnahmen und Schutzvorkehrungen bei der Verwendung der Pseudonymisierung analysiert, um die Vertraulichkeit zu gewährleisten und die unbefugte Identifizierung von Personen zu verhindern.
Bis 28. Februar 2025 sind im Rahmen einer öffentlichen Konsultation Hinweise durch Interessengruppen (unter dem obigen Link) möglich.

zurück zum Inhaltsverzeichnis

1.2 EDSA: Positionspapier zum Zusammenspiel von Datenschutz- und Wettbewerbsrecht

Der EDSA veröffentlichte seine Einschätzung zur Verbesserung der Zusammenarbeit zwischen den Regulierungsbehörden in einem Positionspapier. Anlässlich des Urteils des EuGH C-252/21 (Meta/BKartA, wir berichteten) macht sich der EDSA Gedanken, wie eine wirksame und koordinierte Durchsetzung des Datenschutz- und Wettbewerbsrechts erreicht werden könne.
In dem Positionspapier erläutert der EDSA, wie Datenschutz- und Wettbewerbsrecht zusammenwirken. Er schlägt Schritte vor, um Markt- und Wettbewerbsfaktoren in Datenschutzpraktiken einzubeziehen und Datenschutzregeln bei wettbewerbsrechtlichen Bewertungen zu berücksichtigen. Außerdem gibt er Empfehlungen zur Verbesserung der Zusammenarbeit zwischen den Regulierungsbehörden. Zum Beispiel: Die Behörden sollten die Einrichtung einer zentralen Anlaufstelle in Betracht ziehen, um die Koordination mit anderen Regulierungsbehörden zu verwalten.
Da könnten dann auch z.B. Anmerkungen zu den Aussagen in RN 22 eingebracht werden, ob pseudonymisierte Daten immer noch als pseudonym und damit personenbezogen gelten, wenn die Zusatzinformationen gelöscht wurden. Das könnte man nach den EuGH-Urteilen zu Breyer, Scania und IAB Europe auch anders sehen, wenn nach dem EuGH auch eine Möglichkeit zur Kenntniserlangung erforderlich ist. Auch wird in RN 60 bei den wirksamen Sicherheitsmaßnahmen für eine Pseudonymisierung eine Bewertung gefordert, welche Informationen erforderlich sind, die über das hinausgehen, was die ausgewählten Akteure besitzen oder mit vertretbarem Aufwand beschaffen können, damit die Sicherheitsmaßnamen für das Pseudonymisierungsverfahren wirksam sind. Und was bedeutet dies dann für Zuordnungskenntnisse, die nicht mit vertretbarem Aufwand erlangt werden können? Bleibt dann dafür das Merkmal des Personenbezugs überhaupt noch?
(Wer sich für die Thematik interessiert, erinnert sich sicher auch noch daran.)

zurück zum Inhaltsverzeichnis

1.3 EDPS: Rüge an Frontex wegen nicht erforderlicher Datenweitergabe an Europol

Der Europäische Beauftragte für Datenschutz (European Data Protection Supervisor – EDPS) informiert, dass er eine Rüge gegen Frontex erteilte, die Europäische Agentur für die Grenz- und Küstenwache, weil sie die Verordnung (EU) 2019/1896 (Frontex-Verordnung) nicht eingehalten habe, als sie personenbezogene Daten von Verdächtigen grenzüberschreitender Straftaten an Europol, die Agentur der EU für die Zusammenarbeit auf dem Gebiet der Strafverfolgung, übermittelte. Im Oktober 2022 führte der EDPS eine Prüfung der Tätigkeiten von Frontex bei der Unterstützung von Mitgliedstaaten an den EU-Außengrenzen bei gemeinsamen Aktionen durch. Bei seiner Prüfung stellte der EDPS fest, dass Frontex während dieser Nachbesprechungen auf der Grundlage der Aussagen der Befragten Informationen über Verdächtige der grenzüberschreitenden Kriminalität sammelte und diese systematisch und proaktiv an Europol weitergab. Frontex habe damit gegen die Frontex-Verordnung verstoßen, da Frontex nicht geprüft hatte, ob der Informationsaustausch mit Europol für die Erfüllung des Mandats von Europol unbedingt erforderlich war.

zurück zum Inhaltsverzeichnis

1.4 EDPS: MS 365 bei der EU-Kommission

Wie hier berichtet wird, hat der Europäische Datenschutzbeauftragte noch Rückfragen bei der EU-Kommission hinsichtlich des ordnungsgemäßen Einsatzes von MS 365. Die Kommission sieht keine Alternative zu MS 365. Momentan gäbe es auch keine weiteren Aussagen seitens des EDPS dazu, weil es zu seinen Entscheidungen Verfahren vor dem EuGH gäbe (EU-Kommission / EDPS T-262/24 und Microsoft / EDPS T-265/24).

zurück zum Inhaltsverzeichnis

1.5 EDPS: Digital Clearinghouse

Wie können europäische digitale Rechtsakte in einem einheitlichen, kooperativen und kohärenten Ansatz durchgesetzt werden? Dazu veröffentlichte der EDPS sein Konzeptpapier „Digital Clearinghouse 2.0“, damit dabei auch die datenschutzrechtlichen Vorgaben beachtet werden.

zurück zum Inhaltsverzeichnis

1.6 EDPS: Neubesetzung der Position des EDPS

Am 16. Januar 2025 fand die Anhörung zu der ausgeschriebenen Position des Europäischen Datenschutzbeauftragten (EDPS) statt, der die Aufsicht über die europäischen Organe und Einrichtungen wahrnimmt. Das Europäische Parlament favorisiert dabei Bruno Gencarelli. Der Vorsitzende des Ausschusses für bürgerliche Freiheiten wird das Ergebnis der Abstimmung der Konferenz der Präsidenten (EP-Präsident und Fraktionsvorsitzende) mitteilen. Nach deren Bestätigung werden das Parlament und der Rat gemeinsam den neuen Europäischen Datenschutzbeauftragten für eine Amtszeit von fünf Jahren ernennen.
Doch nach diesem Bericht hat sich der Rat für den bisherigen Amtsinhaber entschieden, so dass es noch keine Entscheidung gibt.

zurück zum Inhaltsverzeichnis

1.7 EDSA: SPE – OSS Case Digest zum Recht auf Auskunft

Abkürzungen ohne Ende: der europäische Datenschutzausschuss (EDSA) präsentiert ein Dokument des Support Pool of Experts (SPE) zum One Shop Stop (OSS). Aufsichtsbehörden, die eine zentrale Zuständigkeit wahrnehmen, veröffentlichen ihre Entscheidungen zu zentralen Themen. Diese wurden von einem Mitglied des SPE bezüglich des Rechts auf Auskunft zusammengefasst und hier veröffentlicht.

zurück zum Inhaltsverzeichnis

1.8 BayLDA: Beratungsangebot zu KI und Datenschutz

Neben der Mitteilung der Verlängerung der Amtszeit seines Präsidenten um weitere fünf Jahre informiert das BayLDA zu seinem neuen Angebot der Beratung zu KI und Datenschutz. Unter einem zentralen Link zur Beratung finden sich verschiedene Ziel- / und Themengruppen, zu denen dann über Auswahlfelder und Freitextfelder Anfragen an das BayLDA gerichtet werden können, wenn z.B. das online erweiterte Beratungsangebot zu KI nicht ausreicht. Im Rahmen der Schaffung eines neuen Bereichs der „Digitalwirtschaft“ wurde auch das Organigramm überarbeitet.

zurück zum Inhaltsverzeichnis

1.9 BayLDA: Ausblick 2025

In diesem Blog-Beitrag werden die Aussagen des Präsidenten des BayLDA zu seinem Ausblick zu 2025 aus einem Interview von Anfang Dezember 2024 zusammengefasst. So wird dazu berichtet, dass sich die Datenschutz-Aufsichtsbehörden auf europäischer Ebene auf einen einheitlichen Ansatz zum Thema Anonymisierung geeinigt haben. Derzeit solle aber noch eine Entscheidung des EuGH zum relativen Personenbezug abgewartet werden (EuGH C-413/23, wir berichteten) bevor dieser offiziell vorgestellt werden wird. Die Aufsichtsbehörden selbst scheinen hier eher zum „relativen Personenbezug“ zu tendieren; die Anonymisierung selbst bedarf einer Rechtsgrundlage; soweit Gesundheitsdaten nach Art. 9 DS-GVO verarbeitet werden, sei die begleitende Forschungsausnahme eng auszulegen.

zurück zum Inhaltsverzeichnis

1.10 BlnBfDI: Wechsel im Vorsitz der DSK

Die BlnBfDI informiert anlässlich des Wechsels des DSK-Vorsitzes zu den voraussichtlichen inhaltlichen Schwerpunkten ihres Vorsitzes. Neben den Themen Anonymisierung und Pseudonymisierung erwartet sie weitere Schwerpunkte in der Wechselwirkung zwischen der DS-GVO und den Europäischen Digitalrechtsakten in der Praxis sowie die Standardisierung von Prüfkriterien der Datenschutzaufsichtsbehörden.

zurück zum Inhaltsverzeichnis

1.11 Termine der DSK

Das DatenschutzArchiv der Stiftung Datenschutz veröffentlicht die Termine der DSK für das Jahr 2025. Das Armutszeugnis deutscher Förderalpolitik, die darauf schimpft, dass dezentrale Aufsichten nicht besser zusammenarbeiten, aber Mittel für eine zentrale Geschäftsstelle nicht ermöglicht, wird dadurch aber nicht beeinträchtigt.

zurück zum Inhaltsverzeichnis

1.12 BlnBfDI: Gästin im Podcast „Follow the Rechtsstaat“

Als Gästin in der Folge 108 im Podcast (Dauer ca. 47 Min.) äußert sich die BlnBfDI zur Situation des Datenschutzes in Berlin und Deutschland und zur aktuellen Lage der DSK. Auch werden die Möglichkeiten und Veröffentlichungen des EDSA, aber auch Entscheidungen des EuGH angesprochen, bevor es in den Ausblick ihres Vorsitzjahres 2025 geht.

zurück zum Inhaltsverzeichnis

1.13 LDI NRW: KI in der Verwaltung – Zwischen Hype und Horror

Sicher werden einige von uns auch bestätigen, dass der Eindruck zwischen Hype und Horror in Teilen der öffentlichen Verwaltung auch bereits ohne KI gewonnen werden konnte. Damit befassen wir uns hier aber nicht, sondern verweisen auf die Ankündigung der LDI NRW zu einem ihrer Fokusthemen im Jahr 2025. Sie führt dazu auch eine Veranstaltung am 18.02.2025 durch.

zurück zum Inhaltsverzeichnis

1.14 LDI NRW: Polizeigesetz überarbeiten

Anlässlich des Beschlusses des BVerfG zu Teilen des Polizeigesetzes NRW weist die LDI NRW darauf hin, dass bei einer Anpassung des PolG NRW die Vorgaben des BVerfG zu berücksichtigen sind.
In seiner jüngsten Entscheidung hat das Bundesverfassungsgericht festgestellt, dass die Vorschriften im Polizeigesetz NRW, die eine längerfristige Observation unter Anfertigung von Bildaufnahmen und -aufzeichnungen zulassen, mit dem Grundgesetz unvereinbar sind, weil die Eingriffsschwelle für solche tiefen Eingriffe in die Persönlichkeitsrechte nicht bestimmt genug geregelt sei und höher angesetzt werden müsse. Erforderlich sei, so das Gericht, eine konkrete oder eine wenigstens konkretisierte Gefahr. Bis Ende 2025 hat die Landesregierung nun Zeit, das Polizeigesetz NRW entsprechend anzupassen. Bis dahin darf die Polizei Verdächtige nur noch längerfristig per Bildaufnahme observieren, wenn eine wenigstens konkretisierte Gefahr besteht.
Die LDI NRW betont auch, dass auch mehr Rechtssicherheit bei Datenanalyseverfahren zu schaffen sei, zudem bedürfe es Nachbesserungen bei der Überprüfung von Unternehmer:innen und deren Mitarbeiter:innen auf Großveranstaltungen.

zurück zum Inhaltsverzeichnis

1.15 LfDI Rheinland-Pfalz: Datenschutz im Praxis-Alltag

Der LfDI Rheinland-Pfalz informiert, dass die Initiative „Mit Sicherheit gut behandelt“ mit einer 12-teiligen Reihe auf ihrer Webseite monatlich Praxistipps veröffentlicht, um Ärztinnen, Ärzte, Psychotherapeutinnen und Psychotherapeuten bei der Umsetzung des Datenschutzes in ihrem Praxisalltag bedarfsgerecht zu unterstützen. Die Praxistipps werden auf der Website www.mit-sicherheit-gut-behandelt.de jeweils eine im Praxisbetrieb relevante datenschutzrechtliche Frage mit dazugehöriger Antwort vorstellen. Zusätzlich erhalten die behandelnden Hinweise zu Rechtsgrundlagen und weiterführende Links. Das alles kompakt auf einer Seite und zum Herunterladen als druckbare PDF-Dateien.
Der erste Praxistipp widmet sich dem Thema „Auskunftsanspruch nach der DSGVO“: Patientinnen und Patienten haben einen umfassenden Auskunftsanspruch über die zu ihrer Behandlung gespeicherten, sie betreffenden Daten. So haben sie das Recht eine vollständige Kopie der Behandlungsdokumentation zu erhalten. Patientinnen und Patienten können die Form der Auskunftserteilung – Papierform oder elektronisch – selbst bestimmen. Die erste Kopie ist kostenfrei auszuhändigen.

zurück zum Inhaltsverzeichnis

1.16 HmbBfDI: Fragen und Antworten zur ePA

Da auch Hamburg zu den Pilotregionen zur Einführung der elektronischen Patientenakte ab dem 15.01.2025 gehört, ist es naheliegend, dass auch der HmbBfDI Hinweise dazu veröffentlicht. Er tut dies in Fragen und Antworten.

zurück zum Inhaltsverzeichnis

1.17 Liechtenstein: Hinweise zum Schwärzen von Dokumenten

Dokumente und Bilder können offensichtliche (z.B. Namen, Gesichter, Autokennzeichen) oder weniger offensichtliche (z.B. Metadaten) personenbezogene Daten enthalten. Vor der Weitergabe oder Veröffentlichung eines Dokuments oder eines Bildes sind diese personenbezogenen Daten daher je nach Sachverhalt zu entfernen bzw. zu schwärzen. Das Schwärzen stellt dabei eine sogenannte technische und organisatorische Maßnahme (TOM) gemäß Art. 25 DS-GVO dar, um den Datenschutz zu gewährleisten.  
Wie datenschutzkonformes Schwärzen von Dokumenten und Bildern geht, hat die Datenschutzstelle Liechtenstein deshalb auf ihrer Internetseite beschrieben. Unzureichendes Schwärzen kann schnell zu einer Datenschutzverletzung führen. Es wird daher empfohlen klare Richtlinien und Schulungen für den Umgang mit Dokumenten und Metadaten sowie die Vornahme von Schwärzungen einzuführen. Auch aus Sachsen gab es ja bereits Hinweise, wir berichteten.

zurück zum Inhaltsverzeichnis

1.18 CNIL: Berechtigungen in mobilen Anwendungen

Bereits im September 2024 veröffentlichte die französische Datenschutzbehörde CNIL ihre Empfehlungen zur Gestaltung von datenschutzfreundlichen mobilen Anwendungen. In einem weiteren Beitrag geht sie auf die Schlüsselrolle von Berechtigungen innerhalb von mobilen Anwendungen ein.

zurück zum Inhaltsverzeichnis

1.19 Schweden: Fehlender Widerrufshinweis führt zu unwirksamer Einwilligung

Wie informiere ich im Rahmen einer Einwilligung nach Art. 7 DS-GVO über das Widerrufsrecht aus Art. 7 Abs. 3 DS-GVO? Darüber muss ja VOR Abgabe der Einwilligung die betroffene Person in Kenntnis gesetzt werden. Reicht es, wenn im Cookie-(Consent-)Banner das Feld „Cookie-Einstellungen“ neben „Alle ablehnen“ und „Alle akzeptieren“ zur Verfügung steht? Aus Art. 7 Abs. 2 DS-GVO geht hervor, dass das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen habe. Die schwedische Datenschutzaufsicht IMY sieht diese Anforderung auch für den Hinweis auf das Widerrufsrecht als erforderlich an.
Dazu stellt sie im Verfahren nach einer Beschwerde fest, dass weder der Informationstext auf dem Cookie-Banner noch die Website im Allgemeinen etwas über das Recht des Nutzers, seine Zustimmung jederzeit zu widerrufen, aussagen. Stattdessen heißt es im Informationstext auf dem Cookie-Banner: „Sie können Ihre Cookie-Entscheidungen auf unserer Website jetzt oder später verwalten, indem Sie auf „Cookie-Einstellungen“ klicken“. Unter „Cookie-Einstellungen“ heißt es: „Sie können Ihre Cookie-Einstellungen jederzeit aktualisieren, indem Sie auf allen Seiten auf „Cookie-Einstellungen“ klicken, was Sie dann zu diesem Einstellungszentrum zurückführt“. Die bloße Information über die Möglichkeit, seine Cookie-Entscheidungen zu verwalten oder die Einstellungen zu aktualisieren, reiche nach Ansicht der Aufsicht nicht aus, um dem Nutzer sein Recht auf Widerruf der Einwilligung deutlich zu machen.
Unter Verweis auf Art. 7 Abs. 3 DS-GVO und ErwGr 39 sowie auf die EDSA-Leitlinien zur Einwilligung begründet die IMY ihre Ansicht, dass der Beschwerdeführer nicht ausreichend klar über sein Recht auf Widerruf der Einwilligung informiert wurde, um ihm die Verteidigung seiner Rechte zu ermöglichen. Daher könne nicht davon ausgegangen werden, dass der Beschwerdeführer eine Einwilligung in Kenntnis der Sachlage gegeben hat. Da es keine Informationen über das Widerrufsrecht gab, sei es nicht so einfach die Einwilligung zu widerrufen wie zuzustimmen.
Die betroffene Person konnte daher ihre Einwilligung nicht in Kenntnis der Sachlage abgeben. Es läge daher keine gültige Einwilligung und damit keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten des Beschwerdeführers vor. Die Verarbeitung erfolgte daher unter einem Verstoß gegen Art. 6 und Art. 7 Abs. 3 DS-GVO.
Obwohl der Widerruf nicht so einfach gemacht wurde wie die Erteilung der Einwilligung, gab es die Möglichkeit die Einwilligung über einen ständig zugänglichen Link auf der Website zu widerrufen. Der Webseitenbetreiber hatte einige Informationen darüber bereitgestellt, dass die betroffene Person ihre Entscheidungen ändern kann, auch wenn dies seitens IMY als unzureichend angesehen wird. Auch habe der Webseitenbetreiber nach Erhalt der Beschwerde einige Verbesserungen vorgenommen, um es den betroffenen Personen zu erleichtern ihre Einwilligung zu widerrufen. Da das Unternehmen bislang nicht durch Verstöße gegen die DS-GVO aufgefallen sei und es beabsichtigt seinem Cookie-Banner klare und präzise Informationen über das Recht auf Widerruf der Zustimmung hinzuzufügen, hält es die schwedische Aufsicht nicht für angebracht ihm dies zusätzlich aufzuerlegen. Vor diesem Hintergrund ist IMY der Ansicht, dass es sich um einen geringfügigen Verstoß im Sinne von ErwGr 148 handelt und dass dem Unternehmen gemäß Art. 58 Abs. 2 lit. DS-GVO eine Rüge zu erteilen ist.

zurück zum Inhaltsverzeichnis

1.20 Dänemark: Arbeitsprogramm 2025

Die dänische Datenschutzaufsicht veröffentliche ihre geplanten Schwerpunkte für das Jahr 2025. Dazu gehören u.a. der Schutz von Kindern, das Datentracking im Alltag, Löschpflichten, medizinischer Datenschutz, generative KI im Gesundheitswesen und die Erprobung einer gemeinsamen Aufsicht mit der dänischen Finanzaufsichtsbehörde.

zurück zum Inhaltsverzeichnis

1.21 Änderungen bei der Aufsicht bei der ev. Kirche

Man könnte vom Glauben abfallen, wenn man die Meldungen zu der Umsetzung der Datenschutzaufsicht der ev. Kirche in Deutschland liest. Fehlende Tätigkeitsberichte und nun eine Zentralisierung. Mal sehen, ob sich dadurch hinsichtlich der Transparenz und der Umsetzung der Vorgaben der DS-GVO etwas ändert.

zurück zum Inhaltsverzeichnis

1.22 Kath. Kirche: Willkommen bei #Fedikirche

Im Rahmen eines ökumenischen Projektes bietet der Luki e.V. nun Fediverse-Accounts denjenigen Personen an, die sich für kirchliche und gesellschaftliche Themen interessieren und engagieren. Unter www.fedikirche.de finden sich Beispiele, wie Kirchenmitgliedsorganisationen im Fediverse miteinander kommunizieren können.

zurück zum Inhaltsverzeichnis

1.23 BSI: Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)

Das BSI veröffentlichte die Konkretisierung der Reife- und Umsetzungsgrade für die Nachweisprüfung (RUN), diese hinterlegt die Reifegrade für die Prüfungen bei KRITIS mit festgelegten Kriterien. Sie gilt für Prüfungen mit Ende der Prüfung nach dem 01.04.2025.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuG: Immaterieller Schadenersatz bei Datentransfer in die USA ohne DPF (T-354/22)

Da steckten etliche Fragen drin und es gibt nach dem Urteil im Verfahren T-354/22 (Bindl/EU-Kommission) fast mehr Fragen als vorher. Aber erst mal langsam zum Sachverhalt: Es geht um Anmeldungen zu einer Veranstaltung der EU-Kommission über deren Webseiten im März 2022. Rechtliche Rahmenbedingungen: Die EU VO 2018/1725 für die Datenverarbeitung durch Einrichtungen der EU ist in den wesentlichen Teilen fast identisch mit der DS-GVO und zu dem Zeitpunkt gab es noch keine Nachfolgeentscheidung zum EU-US Privacy Shield, das durch den EuGH im Verfahren C-311/18 (Schrems II) aufgehoben wurde. Der Kläger wollte sich dort anmelden und wählte bei den Anmeldeoption seinen Facebook-Account aus. Da damit ein Transfer in die USA verbunden war, die Person angab, nicht damit gerechnet zu haben, und da es dafür keine datenschutzrechtliche Zulässigkeit gab (die EU-Kommission hatte auch keine SCC und keine TIA vorzuweisen), sei diese Verarbeitung rechtswidrig gewesen. Der Kläger habe dadurch keine Kontrollmöglichkeit gehabt und damit Anspruch auf einen immateriellen Schadenersatz in Höhe von 400 Euro. Desweiteren gab es Prüfungen und Aussagen zu der Einbindung des Amazon CloudFront Dienstes durch die EU-Kommission, die aber letztendlich zu keinen Ansprüchen des Klägers führen.
Hier schon mal eine Stellungnahme des Klägers, die den Sachverhalt auch etwas ausführlicher und professioneller beschreibt als mein Text.
Es gibt in der Entscheidung Aspekte, die hervorzuheben sind:

  • RN 122: Die IP-Adresse gehört zu den personenbezogenen Daten im datenschutzrechtlichen Sinne, da sie die beiden dort genannten Voraussetzungen erfüllt. (…) Denn selbst dynamische IP-Adressen, die wesensbedingt ständig wechseln, sind zu einem bestimmtem Zeitpunkt – hier dem Zeitpunkt des Besuchs der Webseite der Konferenz zur Zukunft Europas – einer ganz bestimmten Person zuzuordnen.
  • RN 131: Eine Drittstaatenübermittlung liege nur vor, wenn die personenbezogenen Daten einem außerhalb des EWR ansässigen Empfänger zur Verfügung gestellt werden.
    Das gelte auch dann, wenn die Übermittlung an eine US-amerikanische Tochtergesellschaft erfolge, die verpflichtet sei personenbezogene Daten an die amerikanischen Behörden zu übermitteln, und zwar auch dann, wenn diese im Hoheitsgebiet der Union gespeichert seien (RN 132).
  • RN 135: Die bloße Gefahr des Zugangs eines Drittlands zu personenbezogenen Daten stellt aber keine Datenübermittlung im Sinne von Art. 46 der Verordnung 2018/1725 dar.
  • RN 149: Ein unmittelbarer Kausalzusammenhang ist zu verneinen, wenn der geltend gemachte Schaden unmittelbar auf die eigene Entscheidung oder die freie Wahl des Klägers zurückzuführen ist und daher nicht dem betreffenden Organ bzw. der betreffenden Einrichtung zugerechnet werden kann.
  • RN 187: Jeder Link zu einer Seite, die in einem Land ohne angemessenes Datenschutzniveau gehostet wird, stelle eine Übermittlung dar.
  • RN 197: Ein immaterieller Schaden liege vor, wenn eine Datenübermittlung, die unter Verstoß gegen Art. 46 der Verordnung 2018/1725 erfolgte, den Kläger in eine Lage bringt, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden.
  • RN 199: In diesen Fällen hält das EuG wegen des immateriellen Schadens, den die Kommission verursacht hat, eine Entschädigung in Höhe von 400 Euro für angemessen.

Es ist noch nicht sicher, ob die Verfahrensbeteiligten Rechtsmittel einlegen. Es wäre fast zu wünschen, da einige Aussagen doch sehr weitreichende Folgen hätten.

zurück zum Inhaltsverzeichnis

2.2 EuGH: Datenschutzrechtliche Anforderungen an geschlechtliche Anrede (C-394/23)

Dass die geschlechtliche Anrede ein personenbezogenes Datum ist, hat der EuG erneut in seinem Urteil im Verfahren C-394/23 (Mousse) bestätigt. Daraus folgen dann auch die üblichen datenschutzrechtlichen Anforderungen wie Rechtsgrundlage, Datenminimierung, bei der Grundlage der Interessenswahrung auch die Angaben bei der Information nach Art. 13 Abs 1 lit. d DS-GVO. Und wenn ein geschlechtsbezogenes Datum verwendet wird, dann muss darauf geachtet werden, dass Diskriminierungen vermieden werden.
Eigentlich ist alles vorhersehbar gewesen (vgl. unseren Bericht zu den Schlussanträgen des Generalanwalts). Trotzdem bietet das Urteil auch eine ungewohnte Direktheit, was die Abhängigkeit der erteilten Information über die Interessensabwägung zu der Rechtmäßigkeit betrifft. Erfolge keine Information über die Interessen im Rahmen der Informationspflicht, wirke sich dies auf die Rechtmäßigkeit der Interessensabwägung nach Art. 6 Abs. 1 lit. f DS-GVO aus (vgl. RN 58-64 des Urteils).
Das hatten viele in dieser Direktheit bisher nicht zugeordnet. Der EuGH verweist dazu auch auf Aussagen, die er bereits im Verfahren C-252/22 in RN 107 (Meta/ BKartA) getroffen hat.
Letztendlich ist auch noch zu ergänzen, dass, wenn ein geschlechtsbezogenes Datum (z.B. bei der Anrede) verwendet wird, darauf zu achten ist, dass dies nicht zu einer Diskriminierung führt (vgl. RN 62 des Urteils mit Verweis auf C-423/04 RN 24 und 25).
Hier gibt es bereits Hinweise zu den Auswirkungen dieses Urteils zum Vertragsmanagement, aus denen ich gerne direkt zitiere:

„Die Kernaussage der Entscheidung ist eindeutig: Datenschutz beginnt bei der Planung und Umsetzung der Datenverarbeitung. Unternehmen, die weiterhin unnötige Daten sammeln oder deren Erhebung erzwingen, laufen Gefahr, sowohl regulatorische Sanktionen als auch Vertrauensverluste zu erleiden.“

Franks Nachtrag: Sie möchten sich vielleicht auch diesen Veranstaltungshinweis anschauen.

zurück zum Inhaltsverzeichnis

2.3 EuGH: Anforderung an Überforderung einer Datenschutzaufsicht (C-416/23)

Ab wann kann eine Datenschutzaufsichtsbehörde nach Art. 57 Abs. 4 DS-GVO davon ausgehen, dass Anfragen exzessiv sind, so dass sie eine Gebühr für die Bearbeitung verlangen oder sich weigern kann die Anfrage zu bearbeiten? Und gilt dies auch für Beschwerden? Darum ging es im Verfahren C-416/23 aus Österreich. Die Datenschutzbehörde (DSB) berief sich auf Art. 57 Abs. 4 DS-GVO, als eine Person innerhalb von 20 Monaten 77 Beschwerden eingereicht hatte. Der EuGH musste nun klären, ob auch Beschwerden (vgl. Art. 77 Abs. 1 DS-GVO) wie eine Anfrage im Sinne des Art. 57 Abs. 4 DS-GVO behandelt werden können. Und wenn ja, welche Anforderungen sind dann zu beachten?
Der EuGH kommt zunächst zum Ergebnis (RN 41), dass Art. 57 Abs. 4 DSGVO dahin auszulegen ist, dass der darin enthaltene Begriff „Anfrage“ Beschwerden nach Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 1 DS-GVO umfasst.
Allein die Anzahl von Beschwerden lasse aber eine Bewertung als exzessiv nicht zu, es müsse zudem auch eine Missbrauchsabsicht nachgewiesen werden (RN 59). Wenn das vorläge, könne die Aufsicht, unter Berücksichtigung aller relevanten Umstände und nachdem sie sich vergewissert habe, dass die gewählte Option geeignet, erforderlich und verhältnismäßig ist, durch eine mit Gründen versehene Entscheidung wählen, ob sie eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlange oder sich weigere, aufgrund der Anfrage tätig zu werden (RN 70).
Eine Besprechung dazu findet sich bei noyb.

zurück zum Inhaltsverzeichnis

2.4 BGH: Kein Verwertungsverbot bei Zugriff auf verschlüsselten Daten

Es klingt so schön: „AnomChat-Daten zur Aufklärung schwerer Straftaten verwertbar“, wie der BGH in seiner Pressemitteilung titelt. Dahinter steckt die Frage, welche Möglichkeit haben Strafverfolgungsbehörden und welche Rechte stehen Bürgern zu.
Im Verfahren um Drogengeschäfte in erheblichem Ausmaß ging es um die Verwendung erlangter Daten aus den USA. Diese entstammten aus dem Mobiltelefon des Angeklagten aus verschlüsselten Dateien. Das FBI verfügte ohne Wissen der Nutzer über die Codes, um jede Nachricht zu entschlüsseln. Der Server, an den bei Versand einer Nachricht eine Kopie gesendet wurde, stand nach Auskunft des US-Justizministeriums seit Sommer 2019 in einem Mitgliedstaat der Europäischen Union, dessen Identität das FBI auf dessen Bitte nicht preisgab; auch warum der Drittstaat um Geheimhaltung bat, ist unbekannt. Jedenfalls sei dort im Oktober 2019 ein Gerichtsbeschluss ergangen, der ein Kopieren des Servers und den Empfang seiner Inhalte ermöglichte. Im Rechtshilfeverkehr leitete der EU-Staat die Anom-Server-Daten an das FBI weiter. Das Aus- und Weiterleiten der Daten war nach dem Gerichtsbeschluss zeitlich bis zum 7. Juni 2021 begrenzt. Das Bundeskriminalamt erhielt über eine internetbasierte Auswerteplattform informatorisch Zugang zu den entschlüsselten Inhaltsdaten mit Deutschlandbezug.
Der BGH konnte kein Beweisverwertungsverbot feststellen. Die Entscheidung soll in der finalen Fassung hier veröffentlicht werden. Es wird interessant sein, wie der BGH im Detail eine Verwertungsmöglichkeit begründet, wenn der Betroffene sich gegen den zugrundeliegenden Beschluss nicht wehren kann, nicht bekannt ist, wer den Beschluss erlassen hat und dieser dem Gericht nur vom Hörensagen her bekannt ist. Und bevor Zweifel aufkommen: Schwere Straftaten müssen natürlich verfolgt werden können. Die Frage ist nur, zu welchem Preis.

zurück zum Inhaltsverzeichnis

2.5 BAG: Anforderungen an arbeitsvertragliche Geheimhaltungsklauseln

Das BAG hat in einem Verfahren die Nichtigkeit bestimmter Formulierungen zu arbeitsrechtlichen Geheimhaltungsklauseln zu Lasten Beschäftigter festgestellt. „Eine formularmäßig vereinbarte Vertragsklausel, die den Arbeitnehmer bezüglich aller internen Vorgänge beim Arbeitgeber über das Ende des Arbeitsverhältnisses hinaus zeitlich unbegrenzt zum Stillschweigen verpflichtet (sog. Catch-all-Klausel), benachteiligt den Arbeitnehmer unangemessen und ist deshalb unwirksam.“
Im Verfahren ging es um wettbewerbsrechtliche Aktivitäten des vormals Beschäftigten, das GeschGehG und die Möglichkeit des vormaligen Arbeitgebers, um dies zu unterbinden.
Das Gericht stellte dazu fest (RN 37), dass es an arbeitsvertraglichen Verschwiegenheitsklauseln hinsichtlich konkreter Informationen und der Einrichtung eines Kontrollsystems fehle. Der Vortrag der Klägerin bzgl. technischer Sicherheitsmaßnahmen und einer angemessenen IT-Sicherheit beschränke sich auf pauschale Behauptungen, die einer Beurteilung der Angemessenheit des Geheimnisschutzes nicht zugänglich seien. Auch die verwendete Geheimhaltungsvereinbarung sei unwirksam, weil sie den betroffenen Arbeitnehmer unangemessen benachteilige (RN 42 – 46).

zurück zum Inhaltsverzeichnis

2.6 LAG Hamburg: Können Auskunftsrechte verfallen?

Das meint zumindest das LAG Hamburg in diesem Fall. Eine Arbeitnehmerin forderte ca. fünf Monate nach Ende ihres Arbeitsverhältnisses vom ehemaligen Arbeitgeber eine Abgeltung von nicht genommenem Urlaub aus den letzten drei Jahren. Der Arbeitsvertrag enthielt jedoch eine Ausschlussfrist, die eine Geltendmachung von Ansprüchen nur bis drei Monate nach Fälligkeit des Anspruchs vorsah. Das Gericht hat sich mit der Frage der „Un/Gültigkeit“ der Klausel und auch der Frage der Anwendbarkeit auf die DSGVO auseinandergesetzt und kommt zum Schluss, dass eine (angemessene) Ausschlussfrist zur Geltendmachung der Ansprüche nach der DSGVO zulässigerweise zwischen dem Verantwortlichen und der betroffenen Person vereinbart werden kann, und dass dies nicht mit dem Gemeinschaftsrecht unvereinbar ist. Das Urteil ist aber nicht rechtskräftig, sondern liegt nun beim BAG.
Die Entscheidung des LAG Hamburg wird hier und hier besprochen.

zurück zum Inhaltsverzeichnis

2.7 OLG Dresden: Ansprüche nach Scraping-Vorfall

Welche Ansprüche können nach einem Scraping-Vorfall geltend gemacht werden? Das OLG Dresden stellte in einem Urteil fest, dass der bloße Verlust der Kontrolle über die eigenen Daten infolge eines Datenschutzverstoßes auch dann einen immateriellen Schaden darstellen könne, wenn die begründete Befürchtung einer missbräuchlichen Verwendung dieser Daten nicht nachgewiesen ist. Auch sieht es die Vermutung der Wiederholungsgefahr für einen Unterlassungsanspruch gegen einen Datenschutzverstoß im Zusammenhang mit einem Scraping-Vorfall als entkräftet, wenn die dafür verantwortliche Sicherheitslücke geschlossen und davon auszugehen ist, dass ein hierauf gestütztes Abfischen von Daten nicht mehr möglich ist.
Das Gericht lehnte auch einen Unterlassungsanspruch des Klägers ab. Dieser forderte die Verpflichtung des Verletzers auf die Einhaltung der „nach dem Stand der Technik möglichen Sicherheitsmaßnahmen“. Auch sollte ihm die Weitergabe an „unbefugte Dritte“ untersagt werden. Diese Anträge waren dem Gericht zu unbestimmt.

zurück zum Inhaltsverzeichnis

2.8 Google: Antrag auf Klageabweisung einer Sammelklage abgelehnt

Hier ist nachzulesen, dass in den USA der Antrag Googles, eine Sammelklage abzuweisen, abgelehnt wurde. Google wird vorgeworfen, es hätte die Privatsphäre von Nutzern verletzt, die sich gegen die Funktion zur Aufzeichnung der Web- und App-Aktivitäten eines Nutzers entschieden haben. Weitere Details im o.g. Beitrag. Bericht dazu auch hier.

zurück zum Inhaltsverzeichnis

2.9 Irish High Court: Auslegung des Art. 49 Abs. 1 lit. d DS-GVO

In einem Verfahren um Einwanderungsmissbrauch hat sich der irische High Court auch mit Art. 49 DS-GVO befasst, der Ausnahmen für bestimmte Fälle bei den Zulässigkeitsanforderungen im Drittstaatentransfer vorsieht. In den RN 233 – 238 befasst sich das Gericht mit den Anforderungen des Art. 49 Abs. 1 lit. d DS-GVO (die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig) und befasst sich in diesem Kontext nicht mit der Frage, ob diese Übermittlung nur gelegentlich erfolge. Das sah der EDSA bislang anders: In seinen „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten Version 2 vom 18. Juni 2021“ artikuliert er in RN 25, dass die darin enthaltenen Ausnahmen so ausgelegt werden müssen, dass sie nicht im Widerspruch zur Natur der Ausnahmeregelungen stehen, da sie Ausnahmen von der Regel darstellen, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn das Land ein angemessenes Datenschutzniveau oder alternativ geeignete Garantien vorsieht. Ausnahmen dürften jedoch in der Praxis nicht zur „Regel“ werden, sondern müssten auf bestimmte Situationen beschränkt werden. Der EDSA habe dazu seine Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 erlassen. In diesen Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/67 steht dann auch unter 2.4, dass die Ausnahmeregelung des Art. 49 Abs. 1 lit. d DS-GVO auf Übermittlungen Anwendung finden könne, die in großem Umfang und systematisch erfolgten. Es gelte vielmehr, den allgemeinen Grundsatz zu beachten, dass die Ausnahmen nach Art. 49 in der Praxis nicht zur „Regel“ werden dürfen, sondern spezifischen Situationen vorzubehalten sind, und dass jeder Datenexporteur sicherstellen muss, dass das strenge Kriterium der Erforderlichkeit bei den Übermittlungen eingehalten wird.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 DAV: Stellungnahme zum Entwurf nach Art. 40 Abs. 13 DSA

Der Deutsche Anwaltverein hat zu dem Kommissionsentwurf zu Art. 40 DSA (hier auf deutsch) zu einem Forschungszugang Stellung genommen. Im Rahmen des Konsultationsverfahrens wurde bekannt, dass „zugelassenen Forschern“ dadurch ein umfassender Zugriff auf sensible Informationen, die auf Online-Plattformen gespeichert sind, ermöglicht werden soll. Der DAV weist darauf hin, dass der Datenschutz entgegen dem DSA nicht „unberührt“ bleiben, sondern erheblich eingeschränkt werden solle. Zu einer solchen Einschränkung auf dem Verordnungsweg sei die Kommission jedoch nicht befugt.

zurück zum Inhaltsverzeichnis

3.2 EU-Ministerrat: KI in der Justiz

Der Ministerrat der EU für Justiz und Inneres („JI-Rat“) hat Mitte Dezember 2024 (nicht rechtsverbindliche) Schlussfolgerungen zur Nutzung von künstlicher Intelligenz im Bereich der Justiz gebilligt.
Neben der Erinnerung an das Potential von KI, beispielsweise durch die Zusammenfassung juristischer Inhalte, die Analyse der Rechtsprechung, den Entwurf von Texten, die Simultanverdolmetschung, die Bearbeitung von Massenforderungen oder die Unterstützung der Entscheidungsfindung (RN 10),könne auch die Entscheidungsfindung in Gerichtsverfahren und alternativen Streitbeilegungsverfahren unterstützt, aber nicht ersetzt werden: Die endgültige Entscheidungsfindung müsse eine von Menschen gesteuerte Tätigkeit bleiben (RN16). Es werden daher die für die Ausbildung verantwortliche Stellen ersucht die Angehörige der Rechtsberufe in die Lage zu versetzen die Digitalisierung der Justizsysteme – insbesondere die Nutzung von KI im Justizbereich – zu bewältigen, sich an das sich wandelnde rechtliche Umfeld anzupassen, Lücken bei den digitalen Kompetenzen zu schließen und das Bewusstsein für die Chancen und Risiken von KI-Systemen im Justizbereich zu stärken (RN 19).

zurück zum Inhaltsverzeichnis

3.3 BAFin: Informationsregister nach DORA

Die BaFin informiert über Kap. V, Abschnitt I, Art. 28 Abs. 3 des Digital Operational Resilience Act (DORA). Danach werden Finanzunternehmen nicht nur zur Führung eines Informationsregisters verpflichtet, sondern dies umfasst zugleich weitere Einreichungs- und Anzeigepflichten. Das Register und die Anzeigepflichten erfüllen mehrere Funktionen: Das Informationsregister soll eine Übersicht über sämtliche Verträge mit Dienstleistern der Informations- und Kommunikationstechnologie (IKT), sog. IKT-Drittdienstleister, die dem Finanzunternehmen IKT-Dienstleistungen bereitstellen, darstellen. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, soll das Register nicht nur direkte IKT-Drittdienstleister umfassen, sondern auch sämtliche Unterauftragnehmer, die die Erbringung der IKT-Dienstleistung sicherstellen.

zurück zum Inhaltsverzeichnis

3.4 DSA und die BfDI

Wie sind Datenschutzaufsichten bei der Umsetzung des Digital Service Acts (DSA) eingebunden? Damit befasst sich dieser Blog-Beitrag, der die Rolle der BfDI hervorhebt.

zurück zum Inhaltsverzeichnis

3.5 Studie aus Schweden zu digitaler Transformation und Hindernisse

Jeder findet sicher schnell Gründe, die in Deutschland die digitale Transformation behindern. Eine Studie aus Schweden mit dem Titel „Digital transformation decoupling: The impact of willful ignorance on public sector digital transformation“ macht Hoffnung (über die Studie wird hier berichtet):
Die Forschung zeige auf, dass Unkenntnis der (tatsächlichen, nicht nur der angenommenen) Nutzerbedürfnisse oder schlicht das fehlende Wissen um die Notwendigkeit grundlegender Reformen nicht zufällig sei, sondern ein strategisches Werkzeug sein könne. Vorsätzliche Ignoranz soll in organisatorischen Entscheidungsprozessen dazu dienen Verantwortung oder politische Rechenschaftspflichten zu vermeiden und die bestehende Ordnung innerhalb einer Organisation aufrechtzuerhalten. Sie soll insbesondere individuellen Handlungsspielraum verleihen und für Einzelpersonen von Vorteil sein – allerdings auf Kosten der Innovation.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 BRAK: Leitfaden mit Hinweisen zum KI-Einsatz

Die Bundesrechtsanwaltskammer veröffentlichte ihren Leitfaden zum KI-Einsatz. Der Einsatz von Anwendungen der künstlichen Intelligenz, insbesondere von Sprachmodellen wie ChatGPT, bringe für Rechtsanwältinnen und Rechtsanwälte in der täglichen Praxis spürbare Effizienzgewinne. Allerdings sei diese neue Technologie auch mit berufsrechtlichen Risiken verbunden. Diese Hinweise dienten als Orientierungshilfe für den berufsrechtskonformen Einsatz von Anwendungen der künstlichen Intelligenz in der Anwaltskanzlei.

zurück zum Inhaltsverzeichnis

4.2 Meta: KI-Training ohne Risiko?

Das dachte ich mir, als ich diesen Beitrag las: Was soll einem schon passieren mit einem Staatsoberhaupt, das nie Ergebnisse schaffen musste, sondern durch Grundstückshandel mit geborgtem Geld sein Vermögen erreichte? Meta will nun seine KI auch bewusst mit urheberrechtlich geschützten Ergebnissen trainieren.

Franks Nachtrag: Hier ist alternativ ein deutscher Artikel zum Thema.

zurück zum Inhaltsverzeichnis

4.3 FPF: AI Governance behind the Scenes

Das Future of Privacy Forum (FPF) hat seine “AI Governance behind the Scenes”, Stand Dezember 2024, veröffentlicht. Auf das Schaubild dazu hatten wir bereits hingewiesen.

zurück zum Inhaltsverzeichnis

4.4 Nutzungsbedingungen bei LLM

Wer von Ihnen, die fröhlich prompten, was das Zeug hält, hat sich mit den jeweilige Nutzungsbedingungen der LLM befasst, die Sie nutzen? Oder verhalten Sie sich genauso wie bei datenschutzrechtlichen Hinweisen und Verarbeitungszwecken, die auch seltenst beachtet werden? Dieser Aufsatz mit dem malerische Titel „The Mirage of Artificial Intelligence Terms of Use Restrictions“ befasst sich mit den Nutzungsbedingungen verschiedener LLM-Anwendungen, insbesondere hinsichtlich des Nutzungsausschlusses.

zurück zum Inhaltsverzeichnis

4.5 USA: Fact Sheet zur Verbreitung von AI

In den letzten Tagen der Biden Administration verabschiedete diese noch ein Fact Sheet zur Verbreitung Künstlicher Intelligenz. Unternehmen, die hohe Sicherheits- und Vertrauensstandards erfüllen und ihren Hauptsitz bei engen Verbündeten und Partnern haben, können den hochvertrauenswürdigen Status ‚Universal Verified End User‘ erhalten (offen ist noch, was da eigentlich dazu gehört).
Unternehmen, die dieselben Sicherheitsanforderungen erfüllen und ihren Hauptsitz in einem Land haben, das nicht zu den Risikoländern gehört, können den Status ‚National Verified End User‘ beantragen, der es ihnen ermöglicht in den nächsten zwei Jahren Rechenleistung im Wert von bis zu 320.000 fortschrittlichen GPUs zu erwerben.

zurück zum Inhaltsverzeichnis

4.6 Interview zu KI-Regulatorik in USA

Was erwartet uns aus den USA bezüglich der KI-Regulatorik in der nächsten Zeit? Hier ein Interview (in einem YouTube-Video, Dauer ca. 42 Min.) mit einem Prof. und Anwalt, der sowohl mit der europäischen wie auch der US-amerikanischen Regulatorik bestens vertraut ist.

zurück zum Inhaltsverzeichnis

4.7 Ev. Kirche Bayern: Welchen Nutzen bringt KI?

Die ev. Bayerische Landeskirche befasst sich nun intensiver mit dem Thema KI. Auch datenschutzrechtliche Aspekte sind dabei im Blick. Bis zum Frühjahr 2025 soll eine entsprechende Strategie erarbeitet sein.

zurück zum Inhaltsverzeichnis

4.8 Sprachvereinfachung durch KI

Im Rahmen des BMBF-geförderten Projekts „RechTech“ an der TU München wurde das White Paper – Rechtliche Aspekte der Sprachvereinfachung durch KI in der Öffentlichen Verwaltung erstellt. Der Einsatz von KI für Übersetzungen in leichte Sprache könne vor dem Hintergrund des rechtsstaatlichen Effektivitätsgebots und des Grundsatzes der Wirtschaftlichkeit auch begründet werden. Das Recht stelle nicht nur Anforderungen für den Einsatz von KI auf – KI könne auch zur Erfüllung von Rechtspflichten geeignet oder sogar geboten sein. Mit dem EU Accessibility Act und dem Barrierefreiheitsstärkungsgesetz werden die Anforderungen diesbezüglich weiter steigen.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Sicherheitsleck bei Kindergartensoftware ist kein Kinderkram

Dieser hier geschilderte Fall ist ein gutes Beispiel, wie man reagieren sollte: Einerseits als der „Ethical Hacker“, der eine ausnutzbare Sicherheitslücke bei einer weit verbreiteten Kindergartensoftware feststellt. Über die Lücke wären Daten von Kindern und deren Eltern abrufbar gewesen. Und als Beispiel für professionelles Reagieren durch den Betreiber mit Schließen der Lücke und Meldung bei der Aufsicht. Und als Beispiel, warum es wichtig ist, sog. „Ethical Hacker“ aus dem Strafbarkeitsrisiko zu befreien, dass sie derzeit noch haben.

zurück zum Inhaltsverzeichnis

5.2 CEDPO: To Scrape or not to scrape!

Wir hatten auf die Veranstaltung „To Scrape or Not to Scrape?“ Anfang Dezember 2024 hingewiesen, nun ist auch die Aufzeichnung verfügbar.

zurück zum Inhaltsverzeichnis

5.3 Hamburg: DSFA zum Einsatz von MS 365

Über eine Anfrage bei FragDenStaat.de wurden Unterlagen der der Hansestadt Hamburg bekannt, die sich mit dem Einsatz von MS 365 befassen. Neben einer DSFA (Stand Juli 2023) sind dabei auch Feinkonzepte zu Teams und OneDrive, Protokolle von Workshops und Beschreibungen der Verarbeitung enthalten.
Der HmbBfDI sieht zwar laut seinem letzten Tätigkeitsbericht noch Schwächen, die DSFA kommt aber zum Ergebnis, dass mit guten Gründen davon auszugehen sei, dass die von der FHH geplante Nutzung von MS 365 datenschutzkonform ist und die Risiken mit den technisch-organisatorischen Maßnahmen angemessen beherrscht werden.

zurück zum Inhaltsverzeichnis

5.4 Cyberangriff auf spanischen Telekomprovider

Wie hier berichtet wird, soll es einen erfolgreichen Angriff auf das spanische Unternehmen Telefónica gegeben haben. Die Angreifer hätten die erbeuteten Daten in einem Hackerforum bereitgestellt. In diesem Beitrag werden vier verschiedene Akteure genannt, die an dem Angriff beteiligt gewesen sein sollen. Es soll ein Zugriff und ein Datenabzug aus einem internen Ticketsystem des Telekommunikationskonzerns erfolgt sein.

zurück zum Inhaltsverzeichnis

5.5 Musterdatenschutzerklärung

Die Musterdatenschutzerklärung eines Hochschulinstituts (itm) hat schon Vielen für den ersten Wurf geholfen. Sie wurde nun überarbeitet. Und wie immer der Hinweis bei Mustern und Templates:
Immer prüfen, ob der vorgeschlagene Text auch zum umgesetzten Sachverhalt passt!

zurück zum Inhaltsverzeichnis

5.6 Interessenskonflikte von Datenschutzbeauftragten

Mit der Fragestellung denkbarer Interessenskonflikte befasst sich dieser Blog-Beitrag und bewertet dabei verschiedene Szenarien. Der Autor hatte sich an anderer Stelle bereits vertieft damit befasst.

zurück zum Inhaltsverzeichnis

5.7 Wissenswertes zur Orientierungshilfe zu Webseite und Apps

Ein Unternehmen setzt sich mit den Änderungen bei der Orientierungshilfe für Anbieter:innen von Digitalen Diensten (wir berichteten) im Vergleich zur Vorfassung auseinander. Es haben sich nicht nur die Änderungen in den gesetzlichen Bezeichnungen vom TTDSG zum TDDDG ergeben. Wenig überraschend, dass das Unternehmen auch für diese Thematik eine Lösung anbietet …

zurück zum Inhaltsverzeichnis

5.8 Datenschutz und Personenbezug in EuGH-Verfahren

Welchen Stellenwert hat Datenschutz in EuGH-Verfahren? Damit befasst sich dieser Vortrag mit Diskussion (auf YouTube, Dauer ca. 1:16 Std.), der in Englisch gehalten ist. Inhaltlich fokussiert er sich auf den Fall C-470/21 (La Quadrature du Net, wir berichteten) und die Frage des Personenbezugs.

zurück zum Inhaltsverzeichnis

5.9 Deutscher Kulturrat: Urheberrechtliche Fragen und KI

Der deutsche Kulturrat veröffentlichte seine Stellungnahme zu urheberrechtlichen Fragen im Zusammenhang mit Künstlicher Intelligenz. Damit erstellt er zunächst eine kurze urheberrechtliche Bestandsaufnahme und präsentiert auf dieser Grundlage erste Überlegungen für mögliche gesetzliche Regelungen.

zurück zum Inhaltsverzeichnis

5.10 Veranstaltungen

5.10.1 IHK für München und Oberbayern – KI im Unternehmen einsetzen mit ISO 42001 -neu-

21.01.2025, 14:00 – 15:00 Uhr, online: Im Rahmen der Webinarreihe der IHK für München und Oberbayern geht es um den „Einsatz von KI in Unternehmen – einfach, effizient und gesetzeskonform dank ISO 42001“. Der Einsatz von KI im Unternehmen hat verschiedene Aspekte, darunter auch organisatorische und regulatorische Fragen. Denn durch die KI-Verordnung setzt die EU einen Mindeststandard zur Bewertung des KI-Einsatzes, zum Risikomanagement sowie zur Dokumentation und der Behandlung der Daten. Die gesetzlichen Anforderungen, auch an Datenschutz und Informationssicherheit, gelten über den ganzen Lebenszyklus der Systeme.  Ziel des Webinars ist es die Norm ISO42001 in den wesentlichen Elementen kennenzulernen und im Kontext zur KI die einfache und gesetzeskonforme Anwendung zu behandeln. Weitere Informationen und Anmeldung hier.

5.10.2 Universität des Saarlandes – Datenschutz in der Praxis: „Datenverarbeitung im Ausland – What to do“

21.01.2025, 18:15 – 19:45 Uhr, online: In der Vortragsreihe der Universität des Saarlandes geht an dem Abend um die Fragestellungen zur Datenverarbeitung im Ausland. Weitere Informationen und Link zur Veranstaltung hier.

5.10.3 eco-Verband – Open Talk „NIS2 – Was tun?“

22.01.2025, 15:00 – 16:30 Uhr, online: Die EU-Richtlinie NIS2 hat in den vergangenen beiden Jahren vielfach die Diskussion um Cybersicherheit dominiert. Allerdings hat Deutschland nicht nur die Vorgabe der EU verfehlt, die Richtlinie bis zum 18. Oktober 2024 in nationales Recht umzusetzen, und handelte sich dafür ein Vertragsverletzungsverfahren ein. Der noch amtierenden Bundesregierung gelingt es voraussichtlich nicht das NIS2-Umsetzungsgesetz noch in dieser Legislaturperiode zu verabschieden. Damit wird sich die rechtliche Umsetzung von NIS2 noch einmal deutlich verzögern und Experten zufolge frühestens im Herbst 2025 erfolgen. Doch was bedeutet diese Situation für Unternehmen, die von der Richtlinie betroffen sind? Bei dem virtuellen Event wird diese Thematik durch Experten in juristischer, politischer und sicherheitstechnischer Hinsicht betrachtet, bevor es in die Diskussion geht. Weitere Informationen und Link zur Anmeldung hier.

5.10.4 CNIL: Schutz der Stimme und des Bildes im Zeitalter der KI

23.01.2025, 14:30 – 18:00 Uhr, Paris: Im Vorfeld des Aktionsgipfels zu KI, bei dem Frankreich Gastgeber sein wird, lädt die CNIL zusammen mit Universitäten ein, wie sich Desinformation, Betrug und Verletzungen der Privatsphäre verhindern und gleichzeitig die Vorteile der KI nutzen lässt. Weitere Informationen und Anmeldung hier.

5.10.5 CPDP – Data Protection Day

28.01.2025, 09:30 – 17:00 Uhr, Brüssel und online: Ab dem 4. November 2024 kann die Anmeldung für eine Hybrid-Veranstaltung in Brüssel erfolgen, die sich mit der Erkundung der aktuellen und zukünftigen Landschaft des Datenschutzes befasst.
Die Hauptthemen, die während der Veranstaltung diskutiert werden, umfassen die digitale Agenda unter neuen politischen Mandaten, Neurowissenschaften, Zugang zu Daten für die Strafverfolgung sowie die Zukunft des Datenschutzes. Mehr dazu hier und hier.

5.10.6 Universität des Saarlandes – Datenschutz in der Praxis: „Entwurf eines Beschäftigtendatengesetzes“

28.01.2025, 18:15 – 19:45 Uhr, online: In der Vortragsreihe der Universität des Saarlandes geht an dem Abend um den Entwurf des Beschäftigtendatengesetzes. Weitere Informationen und Link zur Veranstaltung hier.

5.10.7 EDPS: Data Protection Day 2025

29.01.2025, 08:30 – 18:00 Uhr, Brüssel & online: Der Europarat, die CPDP-Konferenzen und der Europäische Datenschutzbeauftragte (EDPS) laden ein, den Datenschutztag mit einer Sonderausgabe der CPDP zu feiern. Die Veranstaltung wird sich auf das sich weiterentwickelnde Mandat des Datenschutzes konzentrieren, insbesondere auf seine wesentliche Rolle als Schutz unserer demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure.
Anlässlich des Datenschutztags organisieren der Europarat (CoE), CPDP-Konferenzen und der Europäische Datenschutzbeauftragte (EDPS) gemeinsam eine eintägige Veranstaltung, bei der die aktuelle und zukünftige Landschaft des Datenschutzes erkundet wird. Die Konferenz wird als Plattform zur Diskussion der Herausforderungen und Chancen an der Schnittstelle zwischen neuen Technologien und Datenschutzrisiken sowie zwischen Innovation und regulatorischen Rahmenbedingungen dienen.
In diesem Jahr findet der CPDP – Datenschutztag zu einem entscheidenden Zeitpunkt statt, da mit der kürzlich erfolgten Wahl des Europäischen Parlaments und der anschließenden Ernennung einer neuen Europäischen Kommission neue politische Mandate der EU beginnen, die politische Landschaft zu prägen. Diese Änderungen fallen mit neuen Mandaten des Menschenrechtskommissars des Europarats und des Europäischen Datenschutzbeauftragten zusammen. Gleichzeitig bringen neue technologische Entwicklungen in Bereichen wie künstliche Intelligenz und Neurowissenschaften neue Herausforderungen für das Recht auf Schutz personenbezogener Daten und anderer Grundrechte mit sich. Uralte Herausforderungen wie der Zugang zu Daten für Zwecke der Strafverfolgung und der nationalen Sicherheit stehen weiterhin ganz oben auf der politischen Agenda.
Die Teilnehmer werden eingeladen, über das sich entwickelnde Mandat des Datenschutzes nachzudenken und zu diskutieren, insbesondere über seine wesentliche Rolle als Schutz unserer demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure. Weitere Informationen hier und zur Anmeldung dort.

5.10.8 Fachkonferenz und Preisverleihung CDR-Award 2024

29.01.2025, 14:00 – 18:00 Uhr, Berlin, Fachkonferenz / 18:00 – 20:00 Uhr, Berlin, Preisverleihung: Im Anschluss an eine Fachkonferenz findet in der bayerische Landesvertretung die Preisverleihung des CDR-Award 2024 statt. Die Nominierten und die Shortlist der einzelnen Kategorien sind hier hinterlegt (wir berichteten). Tickets können hier bestellt werden.

5.10.9 EAID: Exportschlager AI Act

29.01.2025, 18:00 – 20:00 Uhr, Europäische Akademie in Berlin und online: Am Europäischen Datenschutztag befasst sich die Europäischen Akademie für Informationsfreiheit und Datenschutz (EDIID) mit der Frage „Exportschlager AI Act – setzt die EU einen weltweiten Standard für die KI-Regulierung?“. Expert:innen aus Politik, Wissenschaft und NGO bringen sich dazu mit Einführungsstatements und in die anschließende Paneldiskussion ein. Weitere Informationen und Anmeldemöglichkeit für eine vor-Ort-Teilnahme oder zur Online-Teilnahme hier.

5.10.10 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung

In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:

  • Ausgabe 3: Wie soll die nationale Aufsicht gestaltet werden?
    29.01.2025 \\ vor Ort im Weizenbaum-Institut
  • Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
    25.02.2025 \\ online
  • Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
    16.04.2025 \\ online
  • Ausgabe 6: Thema wird in Kürze bekannt gegeben*
    28.05.2025 \\ online
  • Ausgabe 7: Thema wird in Kürze bekannt gegeben
    09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin

* Franks Anmerkung: Ja, das steht da immer noch so…

5.10.11 Stiftung Datenschutz: Datenschutz am Mittag – Die Position des EDSA zu Datenschutz und KI-Modellen

30.01.2025, 13:00 – 14:30 Uhr, online: In der Veranstaltung der Stiftung Datenschutz in deren Reihe „Datenschutz am Mittag“ wird im dritten Teil der Schwerpunktreihe „KI und Datenschutz“ die am 17.12.2024 vorgelegte Stellungnahme des Europäischen Datenschutzausschusses (EDSA) einer detaillierten Würdigung unterzogen. Was sagt der EDSA, was sagt er nicht? Wann kann ein statisches KI-Modell als anonym und damit als datenschutzrechtlich irrelevant erachtet werden? Wie können Verantwortliche den Nachweis führen, dass ein KI-Modell auf Grundlage der allgemeinen Interessenabwägungsklausel entwickelt und eingesetzt wird? Infiziert ein datenschutzwidriges Training eines KI-Modells dessen Nutzbarkeit? Der Referent wird diesen und anderen Fragen nachgehen und einen Ausblick wagen, wie die Einschätzung des EDSA den Einsatz von KI-Modellen und KI-Anwendungen in der Praxis beeinflussen wird. Weitere Informationen und Anmeldung hier.
Der erste Teil („KI und Datenschutz“) der Reihe ist hier, der zweite Teil („Datenschutz- und KI-Folgenabschätzung“) dort als Aufzeichnung abrufbar.

5.10.12 IHK für München und Oberbayern – KI-Kompetenz gemäß Artikel 4 KI-VO: Überblick und Praxistipps -neu-

30.01.2025, 14:00 – 15:00 Uhr, online: Im Rahmen der Webinarreihe der IHK für München und Oberbayern geht es um die „KI-Kompetenz gemäß Artikel 4 – Überblick und Praxistipps für die Umsetzung“. Ab Februar 2025 müssen alle Unternehmen, die in der EU KI entwickeln oder einsetzen, sicherstellen, dass ihre Beschäftigten über ein ausreichendes Maß an KI-Kompetenz verfügen. Dies ist eine rechtliche Anforderung, die sich aus Art. 4 der KI-VO ergibt. Ziel des Webinars ist es zu vermitteln, wie der AI Act KI-Kompetenz definiert und welche Anforderungen sich daraus ergeben. Darüber hinaus wird anhand konkreter Praxisbeispiele erläutert, wie Unternehmen Artikel 4 schrittweise in die Praxis umsetzen können. Weitere Informationen und Anmeldung hier.

5.10.13 BSI: 1. IT-Grundschutztag 2025

04.02.2025, 08:30 – 16:15 Uhr, Magdeburg und online: Zusammen mit dem Land Sachsen-Anhalt richtet das BSI die Veranstaltung zum Thema „Gemeinsam sicher. Gemeinsam digital.“ in hybrider Form aus. Der IT-Grundschutz-Tag in Magdeburg gibt praxisnahe Einblicke in den IT-Grundschutz und in das BCM, sowie die Umsetzung aktueller Vorschriften wie beispielsweise die NIS2-Richtinie in den Bundesländern und in der kommunalen Verwaltung. Im Fokus der Veranstaltung stehen daher Landesverwaltungen und Kommunen. Aktuelle Neuigkeiten zum IT-Grundschutz runden den Tag ab. Die Teilnahme ist kostenfrei. Weitere Informationen zur Agenda und Anmeldung finden sich hier.

5.10.14 Stiftung Datenschutz: Datenschutz am Mittag – Cybersicherheitsrecht der EU: Auswirkungen auf den Datenschutz -neu-

18.02.2025, 13:00 – 14:00 Uhr, online: In der Reihe „Datenschutz am Mittag“ gibt es zu dem Thema „Das neue Cybersicherheitsrecht der EU – Auswirkungen von NIS-2 und CRA auf den Datenschutz“ Informationen zu den zentralen Neuerungen und Anforderungen der NIS-2-Richtlinie und des CRA, den Wechselwirkungen mit bestehenden Datenschutzvorschriften, Hinweise auf praktische Konsequenzen für Unternehmen und sonstigen Einrichtungen, sowie Empfehlungen für Maßnahmen zur strategischen Vorbereitung auf die neue Rechtslage und damit einhergehende neue Aufgaben für Datenschutzverantwortliche. Weitere Informationen und Anmeldung hier.

5.10.15 LDI NRW – KI in der Verwaltung -neu-

18.02.2025, 10:00 – 15:00 Uhr, vor Ort in Düsseldorf: Wo konkret kann KI in der Verwaltung zum Einsatz kommen? Vor welchen spezifischen rechtlichen und strukturellen Herausforderungen stehen Verwaltungen dabei? Welche Rahmenbedingungen gilt es zu schaffen oder zu verändern? Wie KI und Datenschutz gemeinsam realisiert werden, will die LDI NRW mit Vertreter:innen aus Wirtschaft, Politik, Verwaltung und Wissenschaft unter dem Titel „Zwischen Hype und Horror – Kann die Verwaltung KI verantwortungsvoll einsetzen?“ diskutieren. Weitere Informationen und Anmeldung (ab 21.01.2025 möglich) hier.

5.10.16 Museum für Kommunikation Nürnberg – Geschlechtliche Diversität und Datenschutz / Frage der Erforderlichkeit? -neu-

18.02.2025, 19:00 – 20:30 Uhr, vor Ort in Nürnberg: m Rahmen der Reihe Daten-Dienstag, die das Museum für Kommunikation Nürnberg mit dem BayLDA und dem BvD veranstaltet, geht es unter dem Titel „Frau, Mann und dann? – Geschlechtliche Diversität und datenschutzrechtliche Anforderungen – was ist „erforderlich?“ um Auswirkungen der EuGH-Entscheidung zur Erforderlichkeit von Angaben zur Geschlechtsidentität beim Online-Kauf von Eisenbahntickets (Urt. v. 09.01.2025, Az. C‑394/23). Inwieweit können sich bei einer Angabe, aus der sich das Geschlecht einer Person ableiten lässt, datenschutzrechtliche Konsequenzen ergeben? Welche Angaben dürfen und welche Angaben müssen dabei berücksichtigt werden? In welchen Fällen kann ich davon ausgehen, ein geschlechtsbezogenes Datum verarbeiten zu dürfen?
Welche datenschutzrechtlichen Anforderungen wie Datenminimierung, Informationspflichten, Berichtigungsrechte und Nachweispflicht der Rechtmäßigkeit sind zu beachten? Welche Folgen kann die Nichtbeachtung nach sich ziehen und welche Empfehlungen zur Umsetzung können ergriffen werden? Zu diesem datenschutzrechtlich, aber auch gesellschaftspolitisch genauso aktuellen wie grundlegenden Fragestellungen informieren und diskutieren der Präsident des BayLDA und ein Lehrbeauftragter* der Hochschule Ansbach. Weitere Informationen und Anmeldung hier.

* Franks Anmerkung: Hey, den Lehrbeauftragten kenne ich doch irgendwoher …

5.10.17 Universität der Bundeswehr München / Austrian Institute of Technology: „Exercise Contain“ – Rahmenwerk zur Bewältigung von Cybervorfällen

25./26.02.2025, (25.02.2025,) 12:00 Uhr – (26.02.2025,) 16:00 Uhr, München: In einer Kooperation zwischen Deutschland und Österreich forschen Universitäten, Unternehmen und Behörden daran, die Reaktion auf digitale Bedrohungen, insbesondere Ransomware, effektiver und effizienter zu gestalten. Das Forschungsprojekt CONTAIN entwickelt hierfür ein Rahmenwerk von Prozessen und Verfahren zu Bewältigung von Cyber-Vorfällen, unterstützt durch Serious Games und Simulationen. Details zum Programm finden sich hier unter „Info“, die Anmeldung dazu unter „Anmeldung“*.

* Franks Anmerkung: Na, das ist ja mal eine toll gebaute Seite. Ohne Javascript geht nix. Gute Navigation 👍

5.10.18 IHK für München und Oberbayern – AI Act umsetzen: Künstliche Intelligenz und Datenschutz -neu-

27.02.2025, 14:00 – 15:00 Uhr, online: Künstliche Intelligenz (KI) ist in aller Munde und viele Unternehmen in Bayern setzen diese, sei es Chat GPT & Co. oder mittels anderer Softwaresysteme, bereits ein. Die KI-Verordnung (KI-VO) greift schrittweise ab dem Jahr 2025 und bringt zwangsläufig im Augenblick noch mehr Fragen als Antworten mit sich. Zugleich bleibt die DS-GVO unangetastet beim Themenfeld KI bestehen. In diesem Webinar zeigt das BayLDA auf, welche spezifischen Anforderungen und Einschränkungen die Verordnungen für den Umgang mit Daten und KI-Systemen festlegen. Weitere Informationen und Anmeldung hier.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Meta beendet seine Aktivitäten zu Diversität

Während in Europa ein Urteil des EuGH (C-394/23) in Erinnerung ruft, dass Fragen der Diversität auch im Datenschutz ihren Platz haben, kappt, wie hier berichtet wird, Meta sein Programm zur Diversität. Trump und Musk wird es gefallen. Zudem beendet Meta auch entsprechende Kanäle mit non-binären Themen, wie hier nachzulesen ist.

zurück zum Inhaltsverzeichnis

6.2 Hochschulen: Ausstieg aus „X“

Nun haben sich (endlich) auch mehr als 60 Hochschulen dazu durchgerungen die Plattform „X“ (früher mal Twitter) zu verlassen. Als Grund wird die zunehmende Radikalisierung des Diskurses in der gemeinsamen Pressemitteilung angegeben. Das betreffe aber nicht ihre Kommunikation über andere Social-Media-Kanäle. Im Lichte der jüngsten Ereignisse würden sie die Entwicklung der Plattformen und ihrer Algorithmen weiterhin aufmerksam beobachten.

zurück zum Inhaltsverzeichnis

6.3 Datenhandel ohne Ende

Schon im letzten Jahr berichteten wir über die Recherche-Ergebnisse zum Datenhandel mit Standortdaten. Nun offenbart sich nach diesem Folgebericht, wie viele Apps in den Datenhandel zu Standortdaten eingebunden sind. Es sollen 40.000 Apps sein, die munter die Daten an Empfänger in 137 Länder geben. Der frustrierendste Satz aus dem Bericht lautet:

„Kontrolle über eigene Daten ist eine Täuschung“.

Franks Nachtrag: Ich habe da auch noch eine Quelle. Und auch hier gibt es ein frustrierendes Zitat:

Because much of the collection is occurring through the advertising ecosystem­—not code developed by the app creators themselves—­this data collection is likely happening both without users’ and even app developers’ knowledge.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Social-Media-Nutzung erst ab 16 Jahren?

Die Diskussion um die Nutzung von Social Media, diese erst ab 16 Jahren zu erlauben, wird auch in Deutschland weitergeführt. Nicht zuletzt die Beispiele in Australien oder die Entscheidung von Meta, die Moderation umzustellen, bieten neue Aspekte zu der Thematik. Dies wird auch in diesem Beitrag beleuchtet.

Franks Nachtrag: Das hätte auch in Apropos KI … gepasst, aber inhaltlich gehört es auch hier hin: Meta verliert einen ihrer Top-„KI“-Copyright-Anwälte. Warum, fragen Sie? Es gibt da ein Zitat:

He’s “fired Meta as a client” because Mark Zuckerberg has gone full “Neo-Nazi”.

zurück zum Inhaltsverzeichnis

7.2 Stimmungstief an Hochschulen: Grund: Lage der Cybersicherheit

Nach dem Hochschulbarometer des Stifterverbands und der Heinz-Nixdorf-Stiftung sei die Stimmung an den deutschen Hochschulen nicht besonders gut. Das liege auch an der prekären IT-Sicherheitslage. Forschungsdaten sind ein wertvolles Gut. Bericht dazu hier.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apropos KI …

OK, ich hoffe, Sie haben Zeit, es wird länger dauern:

  • Nach diesem Artikel versucht die KI-Industrie die Definition von Open Source zu verwässen. Bruce Schneier kommt zum Ergebnis, dass sie eher von Open Weights als von Open Source sprechen sollten. Details im verlinkten Bericht.
  • Hier ist eine interessante Studie, in der untersucht wird, ob Angreifer, die versuchen LLMs automatisiert für ihre Angriffe auszunutzen, über ein Defensive Framework namens MANTIS quasi zurückgehackt werden können, indem die Ergebnisse um Anweisungen erweitert werden, die die Angriffe verhindern (so habe ich es zumindest verstanden).
  • Und noch eine Studie, von der ich nur so viel verstehe, dass auch sie untersucht, wie LLM, die Code komplettieren, angegriffen werden können.
  • Wenn wir doch gerade bei Angriffen auf LLM sind: „Suicide Bot: New AI Attack Causes LLM to Provide Potential “Self-Harm” Instructions“. So weit ich es verstehe wird da nicht das LLM direkt angegriffen, sondern der Code, der um das LLM herum existiert (also die Schnittstelle zum LLM).
  • Hier sind zwei Essays von Bruce Schneier zu KI und Wahlen vom Anfang Dezember 2024 (ja, ich arbeite gerade meine Liste an interessanten Quellen ab).
  • Und noch ein Essay von Bruce Schneier, dieses mit dem Titel Trust Issues in AI.
  • Werden wir mal praktischer: Wie hier dargestellt wird, ist es nach dieser Studie gar nicht schwer einen per LLM gesteuerten Roboter dazu zu bringen die Sicherheitsinstruktionen, die ihm mitgegeben wurden, zu ignorieren.
  • In diesem Zusammenhang ist die Meldung, dass aufgrund von Arbeitskräftemangel in der Landwirtschaft der Hersteller John Deere selbstfahrende Traktoren für eine gute Lösung hält, nicht beruhigend, oder?
  • Gehen wir weg von der Landwirtschaft und hin zu Tieren. Niedlichen, die auf Tischen liegen. Diese sollen „dementen Patienten und depressiven oder überängstlichen Menschen einen tierähnlichen Begleiter an die Seite stellen, der nicht unter mangelnder Pflege leiden wird“. Ich denke da ja spontan an Furbys, Sie auch?
  • Ein Zitat: Endlich ist die „KI“-Dividende da! Ein ganzer Think Tank besteht nur aus Stock Photos und „KI“!
  • Das NGO Liberties hat eine Stellungnahme zu Art. 3 und 5 der KI-VO veröffentlicht.
  • Der ab dem 20.01.2025 neue und auch alte US-Präsident Trump hat ja schon deutlich gemacht, dass ihn Kanada wie auch Grönland interessiert. Hier gibt es ein Video (Youtube, ca. 28 Min Dauer), welches aufzeigt, wieso das vielleicht so ist. Gruselig. Aber bei einer Oligarchie erwartbar.
  • Nun sprechen wir mal über was ganz anderes, über Geld: Microsoft versucht Kunden in ein teureres MS-365-Abo mit KI zu überführen. Hier wird eine Abhilfe gezeigt. Ist ja intuitiv, dass man erst kündigen muss, um dann Optionen abzuwählen und danach doch nicht zu kündigen. Dark pattern, irgendjemand?
    Passend dazu hier noch ein Kommentar zur Alternativlosigkeit von MS 365.
    Ach ja, und was Microsoft kann, kann Google natürlich auch: Google is making AI in Gmail and Docs free — but raising the price of Workspace.
  • Währenddessen so bei OpenAI: Haben wir gesagt, 200 US-$ kostet des ChatGPT-Abo pro Monat (und wir machen da noch Verlust)? Wir meinten natürlich 1.000 US-$ pro Monat (hoffentlich machen wir dann keinen Verlust mehr…)
  • Microsoft verklagt laut dieser Meldung „Dienstleister“, die „hacking-as-a-service“ für die Microsoft KI-Tools angeboten haben.
  • KI kann ja so schön Personal einsparen. So denken zumindest die Banken. Und laut einer Studie vom bitkom (Link direkt zur grafischen Darstellung der Ergebnisse) setzt jedes fünfte Unternehmen ab 250 Mitarbeitenden KI ein, um dem Fachkräftemangel zu begegnen, wie hier berichtet wird. Derweil verkündet Herr Zuckerberg, dass sie bei Meta demnächst mehr durch KI coden lassen wollen.
  • ChatGPT soll demnächst ein bisschen digitaler Assistent werden. Bei digitaler Assistent denke ich an PDA. Ich hatte so einen, einen Palm, wenn ich mich recht erinnere. Boah, bin ich alt …
  • Elon Musk ruft derweil Peak Training Data aus.
  • Das kann, wenn es zuverlässig arbeitet, tatsächlich ein sinnvolles KI-Feature sein. Wobei, omnipräsente Videoüberwachung. Und außerdem: 400.000.000 Menschen in sechs Wochen am gleichen Ort? Ach Du meine Nase…
  • When I think Brandschutz, I think KI! Anders kann ich mir diesen Lehrgang nicht erklären.
  • Ähnlich überraschend: Kölnbäder führen KI-System zur Erkennung von Notlagen ein.

    Das System „Lynxight“ ist dort seit einer Woche installiert, das mit fünf Kameras über dem Sportbecken sowie weiteren drei rund um das Lehrschwimmbecken nebenan den gesamten Betrieb im Wasser und am Rand überwacht. In Echtzeit werden dabei kontinuierlich das Bewegungsverhalten der Schwimmerinnen und Schwimmer analysiert und Anzeichen für potenzielle Notlagen erkannt, so Riemann: „Innerhalb von 30 Sekunden erkennt das Programm eine Gefahr und alarmiert das Personal umgehend.“

    Als ob wir nicht schon genug Videoüberwachung hätten, nun auch noch in den Badeanstalten. Auch in den Umkleiden?

  • Apropos Videoüberwachung, diese Art von Masken wird wohl auch KI-gestützte Gesichtserkennung erstmal verwirren. Und reguläre Videoüberwachung sowieso.
  • Und zum Schluss für heute: Kabel ab – Ki-Standard versorgt Küchengeräte drahtlos mit Strom. Und wenn Sie jetzt fragen, was das mit KI zu tun hat, dann sage ich „Nichts“. Aber ich will zukünftigen Verwirrungen ob der Namensgleichheit vorbeugen. Nehmen Sie es als PSA.

zurück zum Inhaltsverzeichnis

8.2 Passend zum Start des Pilotbetriebs der ePA

Neu ist das Thema ja wirklich nicht mehr. Aber mit dem 15.01.2025 hat nun der Pilotbetrieb in ca. 230 Praxen in Hamburg, in Teilen NRWs und in Franken (Wer hat das eigentlich warum genau so festgelegt? Egal …) begonnen. Und trotzdem verstummen nicht die mahnenden Stimmen:

  • Fangen wir doch einfach an mit dem Bundesärztekammer-Präsident Klaus Reinhardt an: Er sagte, er würde seinen Patienten Stand jetzt (der Artikel ist vom 07.01.2025) die ePA nicht empfehlen – die möglichen Einfallstore seien zu groß.
  • Er war wohl laut diesem Artikel (vom 10.01.2025) nicht allein: Immer mehr Experten warnen vor elektronischer Patientenakte. Ach …
  • Es werden auch offene Briefe geschrieben. Hier (Stand 14.01.2025) ist einer unterschrieben von knapp 30 zivilgesellschaftliche Organisationen und diversen Privatpersonen. Darin werden fünf Maßnahmen für mehr Vertrauen in die elektronische Patientenakte eingefordert.
  • Andere geben Interviews (Stand 15.01.2025): Datenkrake Patientenakte? Interview mit „Digitalcourage“
  • Wieder andere schreiben Kommentare (Stand 16.01.2025, den Titel muss ich wieder wörtlich zitieren): „Des Karls neue ePA: Märchenstunde im Gesundheitsministerium“

Aber ist denn jetzt alles schlimm bei der ePA? Wenn Sie noch weitere Bewertungen hören wollen, möchten Sie vielleicht das erste Kapitel dieses Podcasts anhören (Stand 16.01.2025, der Podcast geht ca. 1:45 Std, das erste Kapitel dauert etwas über 26 Min.). Die beiden Hosts des Podcasts (Schreibt man das so? Die Hosts? Oder sind das die Podcaster? Ich bin zu alt …) berichten von ihren eigenen Erfahrungen mit der ePA, mindestens einer hat sie nämlich schon vorher freiwillig gehabt und gibt mal Einblicke, was da wirklich geht und was nicht. Hörenswert.
Und als ob das nicht reichen würde (im Podcast wird auch die Sicherheit rund um die ePA thematisiert) wurde dann am 17.01.2025 bekannt, dass die D-Trust GmbH, eine Tochter und zugleich das Trustcenter (Zertifizierungsstelle) der Bundesdruckerei, einen Datenschutzvorfall hatte (am 13.01.2025). Und die betreiben das Antragsportal für Signatur- und Siegelkarten. Diese benötigen Ärzte, Apotheker und andere am Gesundheitswesen Beteiligte, um digitale Dienste im Gesundheitswesen zu nutzen. Womit wir sowohl bei der ePA als auch bei der Telematik-Infrastruktur sind (aber das Thema TI machen wir heute mal nicht auf …).
Und wenn Sie jetzt denken: „Typisch, nur die Deutschen kriegen das nicht richtig hin.“, dann muss ich sagen: Weit gefehlt, das geht auch anderen in Europa so.

zurück zum Inhaltsverzeichnis

8.3 Ransomware-Angriff auf das digitale Grundbuch in der Slowakei

Dieser Angriff (eine Ransomware-Attacke) hat es in sich, betroffen ist das digitale Grundbuch in der Slowakei. Ein Zitat aus der Quelle:

Critical property data is inaccessible; some may be recoverable from paper records, but some could be irreversibly lost. No proper backups available. Hackers demand a 7-figure ransom in USD.

Hier ist eine weitere Quelle, die nicht auf Bluesky, dafür aber in slowakischer Sprache, ist.
Ich glaube, bei solch einem Datenverlust ist das Chaos vorprogrammiert. Und ja, es sicherlich immer gut, wenn immer alles digitalisiert wird 🙄.

zurück zum Inhaltsverzeichnis

8.4 Das ist mal eine Phishing-Attacke?

Große Aufregung in einer IT-Abteilung zwei Wochen vor dem Weihnachtsfest: Alle Mitarbeiter eines großen Unternehmens (laut der Meldung gab es ca. zweitausend Meldungen besorgter und sensibilisierter Mitarbeiter ans interne CERT-Team – wow, die müssen groß sein, wenn sie ein eigenes CERT-Team haben) erhalten Mails mit einem Link für digitale Gutscheinkarten, wo sie sich registrieren sollen, um, Sie ahnen es, eine Gutscheinkarte geschenkt zu bekommen.
Die IT-Abteilung beendet alle Urlaube ihrer Mitarbeiter und aktiviert rund-um-die-Uhr-High-Alert-Schichten. Anfragen an „befreundete“ CERTs ergeben keine Erkenntnisse, dieser Angriff addressiert nur dieses Unternehemn. Wie waren die an alle E-Mail-Adressen gekommen? Selbst der CISO hat solch eine Mail bekommen. Wie frech. War das ein Nation-state actor?
Nach fünf Stunden höchster Aktivität (und sicherlich der einen oder anderen Panik-Attacke) dann das (ich zitiere mal):

About five hours into the whole mess, a call arrived in the H***-on-earth task force room from our CISO. He told us to cancel it all. The head of Human Resources had just called him and explained pretty sheepishly that top management wanted to hand out a surprise gift to everyone, and apparently, they somehow must have forgotten that this might trigger a few reactions.

Was sind nun die Erkenntnisse? Gut gemeint ist nicht gut gemacht?
Besser nachdenken, bevor ich so etwas mache? (Es soll ja Führungskräfte geben, die so etwas vielleicht herausfordert, siehe u.a. das Dilbert-Prinzip.)
Der Autor des Beitrags, der wohl beteiligt war, hat für sich eine ganz besondere Erkenntnis gezogen (ich zitiere wieder):

But it was worth it. At least I now know very well how to call someone higher up the chain of command a f****** moron without using those two words per se but leaving very little leeway for guessing wrong.

Und wenn wir diese, meine Meldung nun als Medienkompetenz-Übung nehmen, dann können Sie natürlich sagen: Moment mal, er schrieb doch aktuell (habe ich tatsächlich nicht, aber ich habe es so geschrieben, als ob es aktuell sei), der Autor der ursprünglichen Meldung spricht aber von vor ein paar Jahren. Stimmt. Aber er (also der Autor der ursprünglichen Meldung) verweist auf einen Fall, der ähnlich gelagert ist.
(Und ja, auch dieser Fall war in der Vergangenheit. Aber war es nicht trotzdem wertvoll, diesen ganzen Beitrag zu lesen? Wobei: Wir haben nicht die Formulierungen aus der ersten Meldung, um sie selbst an passender Stelle nutzen zu können. Aber wir können solche Beispiele in unsere Sensibilisierungs-Veranstaltungen einbauen. Your welcome.)

zurück zum Inhaltsverzeichnis

8.5 Passworte

Hier ein gutes Essay zur Geschichte von schlechten Password-Policies mit der Überschrift: How some of the world’s most brilliant computer scientists got password policies so wrong.
Was waren Fehler der Passwort Policies?

After implementing a requirement that password have multiple characters sets or more total characters, they wrote: These improvements make it exceedingly difficult to find any individual password. The user is warned of the risks and if he cooperates, he is very safe indeed.

That second mistake was convincing sysadmins to hash passwords, so there was no way to evaluate how secure anyone’s password actually was. And it wasn’t until hackers started stealing and publishing large troves of actual passwords that we got the data: people are terrible at generating secure passwords, even with rules.

Und hier ein Bericht (u.a.) über das erste im Internet (tatsächlich im Vorläufer, dem Arpanet) genutzte Passwort (welches nicht genannt wird, schade).
Und wer hats erfunden? Ein Engländer (mal kein Schweizer).

zurück zum Inhaltsverzeichnis

8.6 Nearest Neighbour Attack

Wow, das ist mal eine neue Art des Angriffs (zumindest für mich):

Die Forensiker von Volexity berichteten am 22.11.2024 ausführlich, wie russische Hacker in ein Unternehmensnetzwerk eingebrochen sind, indem sie zunächst Computer benachbarter Firmen kaperten. Anschließend nutzten sie deren WLAN, um in das schlecht gesicherte WLAN des Zielunternehmens einzudringen. Volexity taufte diese bisher eher hypothetische Angriffsmethode treffend als „Nearest Neighbour Attack“.
Die Annahme, dass ein Angreifer sich in unmittelbarer Nähe eines WLANs aufhalten müsste, um es zu kompromittieren, übersieht diesen Angriffsvektor: Benachbarte Netzwerkinfrastrukturen können von einem Angreifer als Proxy genutzt werden.

zurück zum Inhaltsverzeichnis

8.7 Eine Buchempfehlung

Und sie kostet nicht einmal etwas (wenn Sie das Buch nicht in den Händen halten wollen):
Ross Anderson — Security Engineering — Third Edition
Das Buch ist schon etwas älter, dafür aber frei verfügbar. Der Grund fürs etwas älter sein ist zum einen, dass der Autor leider letztes Jahr verstorben ist, zum anderen aber auch, dass der Autor beim Abschluss des Vertrags mit dem Verlag eine Zeitdauer von 42 Monaten vereinbart hatte, in denen er es nicht frei auf seiner Webseite veröffentlichen durfte. Diese sind seit dem November 2024 rum. Und nun wird es, solange es die Webseite gibt, frei der Welt zur Verfügung stehen (als Einzelkapitel, aber auch als Gesamt-PDF). Es gibt auch eine Errata-Seite mit Korrekturen, die es nicht mehr in die gedruckte Auflage geschafft haben. Dieses Werk war und ist eines der Standardwerke der IT-Sicherheit.
Bin ich der einzige, der sich köstlich über die Frist von 42 Monaten amüsiert?

zurück zum Inhaltsverzeichnis

8.8 Wie ernst ist es Apple mit dem Datenschutz?

Ich habe die Antwort nicht, hoffe als Nutzer von Apple-Geräten natürlich sehr, und verlinke hier nur auf einen Podcast (Dauer 1:12 Std.), in dem genau diese Frage ausführlich und am Beispiel vieler Funktionalitäten und Sachverhalte diskuitiert wird.
(Letzte Woche hatten wir ja u.a. diese Meldung, die es bezweifeln lässt, ob es Apple so sehr ernst mit dem Datenschutz meint. Die erweiterte visuelle Suche wird in der Podcast-Folge auch besprochen.)
Übrigens, wenn wir die Sicherheit als Teilbereich des Datenschutzes sehen, da macht Apple ja schon einiges, um es zumindest unberechtigten Nutzern von z.B. iPhones schwerer zu machen, wie (u.a.) hier und hier nachzulesen ist.

zurück zum Inhaltsverzeichnis

8.9 Bruce Schneier rät: «Haben Sie einen guten Bullshit-Detektor»

Ich verweise ja immer wieder gerne auf Bruce Schneier, hier hat eine Schweizer Zeitung ein Interview mit ihm geführt. Und darin kommt auch das schöne Zitat aus der Überschrift vor. Er hat auch eine (laut der Zeitung) radikale Lösung:
Topmanager sollten ins Gefängnis gehen müssen, wenn sie ihre Firmennetzwerke nicht gegen Hackerangriffe schützten.
Das könnte mit der NIS-2-Richtlinie ja demnächst werden bei uns in Europa, oder?

zurück zum Inhaltsverzeichnis

8.10 Ein Klick und weg war das Geld …

Laut diesem Bericht sind Kryptowährungs-Investoren in den USA (das passiert sicherlich auch anderswo) durch unvorsichtiges Klicken um viel Geld erleichtert worden. Der Bericht verweist auf KrebsOnSecurity, wo der Sicherheits-Experte Brian Krebs mehr Details vorhält.
Wie es dazu kam, fragen Sie, bevor Sie klicken wollen? Sage ich Ihnen gerne: Es war den Scammern gelungen, Mails (und scheinbar auch Anrufe) von Google vorzutäuschen. Und zumindest eines der Opfer hatte seinen geheimen Schlüssel fürs Crpto-Wallet (die secret seed phrase) als Bild in Google Photos gespeichert. Eine schlechte Idee, wie sich herausgestellt hat.
Das menschliche Elend, welches dem Diebstahl folgt, ist schlimm. Aber die Kryptowährungs-Investoren haben sicherlich Fehler gemacht. Und zumindest einer beschuldigt in der Quelle Google es den Scammern zu einfach zu machen.
Eine lustige Anekdote dazu (wenn Sie sowas als lustig bezeichnen wollen): Scheinbar versuchten entweder die gleichen Scammer oder andere, die ähnliche Angriffe fahren, einen Podcaster (der zu Kryptowährungen podcastet) auszurauben, er nahm den Anruf auf und bekam am Ende des Telefonats ein Geständnis bzw. eine Erklärung, wie einfach es sei so Geld zu stehlen. Hier wird darüber berichtet. Der Scammer, der interviewt wurde, soll ein Jugendlicher sein.
Was nehmen wir (mindestens) als Erkenntnis mit?
Es ist immer gut die folgende einfache Regel zu befolgen (Sie dürfen sich nur nicht in Panik versetzen lassen, das ist der schwere Teil):
When in Doubt: Hang Up, Look Up, & Call Back
Also auf Deutsch: Wenn Sie nicht sicher sind, ob ein Anrufer echt ist, dann müssen Sie sich Name und Position (in welcher Organisation) der anrufenden Person sagen lassen, aufhängen, die echten Kontaktdaten im Internet (auf vertrauenswürdigen Seiten!) recherchieren und dann zurückrufen. Das bedarf dann schon deutlich mehr Aufwand, um Ihnen dann eine falsche Nummer unterzujubeln.

zurück zum Inhaltsverzeichnis

8.11 Hacking Digital License Plates

Im Jahr 2022 hatten wir schon mal über digitale Nummernschilder in Kalifornien berichtet.
Warum solche vielleicht nicht die beste Idee der Digitalisierung sind, zeigt sich erwartungskonform in folgendem Artikel.
Laut dem verlinkten Artikel kann wohl per Kabel die interne Firmware des digitalen Nummernschilds in Minuten geändert und ab dann können per Blutooth aus dem Auto jegliche Zeichen auf dem Nummernschild angezeigt werden. Das hat ja so ein bisschen was von James Bonds Aston Martin. Im echten Leben sparen die Menschen, die so etwas nutzen, unter anderem die 30 US-$ Lizenz, die das Schild im Monat (WTF?) kostet. In Deutschland hat es scheinbar in Berlin im Jahr 2017 schon Funde von Hardwarelösungen für den Kennzeichenwechsel gegeben.
Ich denke, der einzige Zweck eines Nummernschild ist es, das Kennzeichen möglichst fälschungssicher zu zeigen. Warum sollte gerade das (und dann natürlich schlecht, s.o.) digitalisiert werden?

Ach, und wo wir gerade bei Kennzeichen und automatisch sind, aus den USA gibt es eine Seite namens DeFlock, die weltweit automatische Kennzeichen-Scanner auflistet. Hier wird darüber berichtet. Die Kennzeichenscanner der Polizei aus Sachsen, welche dafür einen BigBrotherAward 2024 bekam (wir berichteten), scheinen in der Datenbank übrigens noch zu fehlen.

zurück zum Inhaltsverzeichnis

8.12 Schlüsselmanagement IRL

Ist auch notwendig, wie uns dieses Beispiel zeigt.

zurück zum Inhaltsverzeichnis

8.13 Texas und Datenschutz

In Texas wird laut diesem Bericht eine Versicherung verklagt, weil sie über per Apps (die nichts mit der konkreten Versicherungsgesellschaft per se zu tun haben) gesammelten Standortdaten aufs Fahrverhalten der Kfz-Besitzer:innen schloss und dann die Prämien erhöhte. Und das verstößt gegen den Texas’s Data Privacy and Security Act.

zurück zum Inhaltsverzeichnis

8.14 Empfehlungsecke zu KI

Damit es in Apropos KI … nicht untergeht zeige ich Ihnen diese neue Kategorien in der Empfehlungsecke des Kuketz-Blog lieber separat:
KI-Tools ist die eine Neuerung, alle anderen Neuerungen zum Jahreswechsel werden hier dargestellt.
In dem Bereich KI-Tools finden Sie KI-Tools, die offline genutzt werden können, wie lokale Sprachmodelle, und somit eine datenschutzfreundliche Option darstellen.

zurück zum Inhaltsverzeichnis

8.15 Doom per PDF?

Ich habe Doom nie ernsthaft gespielt, finde es aber trotzdem faszinierend, auf welchen Plattformen das Spiel mittlerweile so portiert wurde (siehe hier oder dort) und auch (mehr oder weniger) läuft. Nun ist laut diesem Bericht PDF als Plattform dazugekommen. Wenn Sie einen Chromium-basierten Brwoser benutzen, können Sie es hier „spielen“.

zurück zum Inhaltsverzeichnis

9. Die gute Nachricht zum Schluss

9.1 Wahlprüfsteine

Eine politische Wahl wird im Regelfall von den Erwartungen abhängig gemacht, die mit einer Partei oder deren Personal verbunden sind. Wer dabei auch digitalpolitische Aspekte berücksichtigen will und die Einschätzungen von Verbänden / Organisationen dazu lesen möchte, erfährt hier*, nach welchen Kriterien die Parteien diese Verbände / Organisationen auswählen, um deren Fragen / Wahlprüfsteine zu beantworten.

* Franks Anmerkung: Für mich geht aber eine gute Botschaft eigentlich anders. Schön zu sehen, das zivilgesellschaftliche Organisationen, die Datenschutz im Fokus haben, so reichlich vertreten sind 🙁 …

zurück zum Inhaltsverzeichnis