Hier ist der 21. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 04&05/2025)“ – Die DVD-Edition.
- Aufsichtsbehörden
- EDSA: Information zu den Ergebnissen der Schwerpunktprüfung „Auskunft“
- EDPS: Kommentierung zur Definition eines KI-Systems in der KI-VO
- EDSA: Komplexe Algorithmen und wirksame Datenschutzaufsicht
- DSK: Hilfestellung zu Pseudonymisierung und Anonymisierung
- LDI NRW: Untersuchung wegen unrechtmäßiger Weitergabe von Kundendaten
- HmbBfDI: Fotografieren in der Kita
- HmbBfDI zur KI-VO: Was gilt ab Februar 2025?
- HBDI: Rückblick auf den Datenschutztag
- LfDI Mecklenburg-Vorpommern: Einstieg für junge Menschen – FSJ
- LfDI Baden-Württemberg: Erneuter Besuch vom Datenzirkus
- Österreich: Benennungspflicht DSB und Interessenskonflikt
- Österreich: Bilanz der Schwerpunktprüfung Telekom-Sektor 2024
- Österreich: Geldbuße für unerlaubte Speicherung von Aktfotos
- Spanien: Bußgeld gegen Fußballverein wegen biometrischer Gesichtserkennung
- Polen: Bußgeld wegen unterbliebener Dokumentation und DSFA sowie weisungsabhängigem DSB
- CNIL: Weiterverwendung von Datenbanken
- APDCAT: Folgeabschätzung für Grundrechte beim Einsatz von KI
- Italien: Informationsanforderungen an Hersteller von DeepSeek – und Untersagung
- Schweiz: Leitfaden zu Cookies und ähnlichen Technologien
- ICO: Leitlinien zu „Consent or Pay“
- BSI: Chancen und Risiken generativer KI-Modelle – aktualisierte Fassung
- BSI: TR-03174 – Anforderungen an Anwendungen im Finanzwesen
- Rechtsprechung
- EuG: Befugnisse des EDSA gegenüber einzelner Datenschutzaufsicht
- BVerwG: Berechtigtes Interesse und UWG
- BAG: Digitale Bereitstellung des Gehaltsnachweises durch Arbeitgeber
- LG Köln: Haftung für unterbliebenes Löschen durch Auftragsverarbeiter
- OLG Bremen: Smartphone entsperren mit biometrischen Merkmalen
- OLG Karlsruhe: Ausnahmen von der Löschpflicht
- LG Berlin: Persönlichkeitsrecht und Beweisverwertungsverbote
- LG Düsseldorf: Haftung von Google nach DSA
- LG München: Urteil zum Fernunterricht
- LG Stuttgart: Anforderungen an die Nutzung von „Meta Business-Tools“
- OLG Schleswig: Zahlungsverweigerung der Versicherung bei unrichtigen Angaben
- OLG Oldenburg: Zugriffsrechte für Erben auf Social-Media-Accounts
- OLG Celle: Berechnung des immateriellen Schadenersatzes nach Art. 82 DS-GVO
- LG Lübeck: Einmeldung von Positivdaten rechtfertigt Schadenersatzanspruch i.H.v. 400 Euro
- EuGH-Vorschau: Unternehmensbegriff bei Sanktionen nach der DS-GVO (C-383/23)
- EuGH-Vorschau: Auskunftsanspruch und Geschäftsgeheimnisse (C-203/22)
- Gesetzgebung
- Wissenschaftlicher Dienst des EU-Parlaments zur Digital Fairness
- Wissenschaftlicher Dienst des EU-Parlaments zur Datenschutz-Politik der EU
- Überblick über die Digitalgesetzgebung der EU
- Europäischer Gesundheitsdatenraum (EHDS)
- EU: Ausschreibung für Machbarkeitsstudie zu Opt-out bei Text- und Data-Mining
- EU-Kommission: Verhaltensregeln im Netz nach DSA
- EU-Kommission: A Competitiveness Compass for the EU
- NIS-2-Richtlinie – und nun?
- C5-Äquivalenz-Verordnung zu § 393 SGB V für Gesundheitsdienstleister mit SaaS
- Podcast zu Erfordernis eines Digitalministeriums
- Kleine Anfrage im Bundestag zu Auswirkungen von Cyberangriffen auf die Wirtschaft
- SVRV: Erwartungen in der Verbraucherpolitik an die nächste Bundesregierung
- Neues aus der US-Politik
- Künstliche Intelligenz und Ethik
- DeepSeek – Es kam über Nacht
- Mimimi bei OpenAI – Urheberrecht mal anders
- Kalifornien: Illegale KI?
- MIT: Updates zum AI Risk Repository
- Praxishilfe zur Einführung von KI-Anwendungen bei medizinischen Daten
- KI-Marktplatz des Bundes
- Niederlande: AI Impact Assessment
- AI Office: Vorschlag zur Transparenz der Trainingsquellen
- Immer wieder: Die Frage des Urheberrechts beim Training von LLM
- bitkom: KI-Beispiele im Personalwesen im Lichte der KI-Verordnung
- Auswirkungen von KI auf die Kreativbranche – Woran erkenne ich KI?
- Woran drohen Unternehmensprojekte mit LLM zu scheitern?
- Übersetzungsvariationen bei DeepL?
- Ausführungen zur EDSA-Stellungnahme 28/2024
- Veröffentlichungen
- Nichts ist sicher – Bericht über Red-Testing bei Microsoft
- Sind Open-Source-Produkte sicher?
- Gutachten zur ePA (Widerspruchslösung)
- Anforderungen an Anonymisierung
- Allianz Risk Barometer: Top-Geschäftsrisiko Cybersicherheitsvorfall
- Monitor der Resilienz angesichts Ransomsoftware (Projekt Contain)
- IHK Oberbayern: Cybersecurity Day 2025
- Stiftung Datenschutz: Schwerpunkte in der Datenschutzpolitik aus Sicht der BfDI
- Barrierefreiheit auch bei Datenschutzerklärungen
- vzbv: Manipulatives Design auf Online-Marktplätzen und Social-Media-Plattformen
- Umsetzungstipps zum EuGH-Urteil zu Betriebsvereinbarungen (C-65/23)
- GDD: Stellungnahme zur Entscheidung des EuGH zu Betriebsvereinbarungen
- Beitrag zum EuGH-Urteil (C-394/23) zur geschlechtlichen Anrede
- Studie zu DS-GVO-Bußgeldern in Europa
- Universität Saarland: Folien der Vortragsreihe „Datenschutz in der Praxis“
- Kommentar zu den europäischen Grundrechten
- D-Trust: Angriff auf die Daten – oder auf das Image?
- Ergebnisse der CEDPO-Umfrage zum Datenschutzbeauftragten veröffentlicht
- GDD: Praxishilfe zu Benachrichtigungspflichten nach Datenschutzverletzungen
- „Kostenfalle für IT-Dienstleister“
- Zu wenig Geldbußen bei Datenschutzverstößen?
- bitkom: Mehrheit der Deutschen kauft wegen personalisierter Werbung
- Niederländische Rechnungskammer zum Cloudeinsatz
- Rund um Dashcams
- Veranstaltungen
- BSI: 1. IT-Grundschutztag 2025
- LDI NRW – KI in der Verwaltung
- Stiftung Datenschutz: Datenschutz am Mittag – Cybersicherheitsrecht der EU: Auswirkungen auf den Datenschutz
- Museum für Kommunikation Nürnberg – Geschlechtliche Diversität und Datenschutz / Frage der Erforderlichkeit?
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- Universität der Bundeswehr München / Austrian Institute of Technology: „Exercise Contain“ – Rahmenwerk zur Bewältigung von Cybervorfällen
- IHK für München und Oberbayern – AI Act umsetzen: Künstliche Intelligenz und Datenschutz
- Netzwerk „Interaktiv“ – „Lüge im Rampenlicht“ -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die guten Nachrichten zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Information zu den Ergebnissen der Schwerpunktprüfung „Auskunft“
Im Jahr 2024 hatte der EDSA sich auf eine europaweite Prüfung des Auskunftsprozesses verständigt. Auch wenn nicht alle Aufsichtsbehörden daran teilgenommen haben, lassen sich interessante Rückschlüsse ziehen. Der EDSA geht davon aus, dass eine stärkere Sensibilisierung auf die Leitlinien 01/2022 bei der Umsetzung des Auskunftsanspruches helfen können, da sich aus ihnen auch Ausnahmen und Einschränkungen des Auskunftsrechts ergeben. Es hätten sich durch die Prüfung sieben Herausforderungen gezeigt, wie unzureichend dokumentierte interne Verfahren zur Bearbeitung von Zugangsanfragen. Darüber hinaus wurden uneinheitliche und übermäßige Auslegungen der Grenzen des Auskunftsrechts festgestellt, wie z. B. die übermäßige Berufung auf bestimmte Ausnahmen, um Zugangsanfragen automatisch abzulehnen. Ein weiterer Punkt seien die Hindernisse, auf die Einzelpersonen bei der Ausübung ihres Auskunftsrechts stoßen könnten, wie z. B. formale Anforderungen oder die Aufforderung übermäßige Ausweisdokumente vorzulegen. Für jede identifizierte Herausforderung enthält der Abschlussbericht eine Liste unverbindlicher Empfehlungen, die von den Verantwortlichen und Datenschutzbehörden berücksichtigt werden sollten. Auch der Europäischen Datenschutzbeauftragte hat seine Ergebnisse veröffentlicht und die Datenschutzkonferenz hat dazu eine Pressemitteilung herausgegeben.
1.2 EDPS: Kommentierung zur Definition eines KI-Systems in der KI-VO
Der Europäische Datenschutzbeauftragte (EDPS) veröffentlichte noch im letzten Dezember seine Kommentare zur Definition eines KI-Systems und zur verbotenen KI. Er berücksichtigt dabei die Opinion 28/2024 des EDSA und die Leitlinien 05/2022 über den Einsatz von Gesichtserkennungstechnologie im Bereich der Strafverfolgung. Dabei befasst er sich u.a. mit dem Begriff der „Autonomie“ und damit, dass im Wesentlichen IT-Systeme immer autonom seien. So hält er es für unklar, ob Expertensysteme oder hybride (neurosymbolische) KI-Systeme unter die Definition von KI-Systemen fallen würden. Er weist zudem darauf hin, dass das Verbot schädlicher, unterschwelliger, manipulativer oder irreführender Praktiken auch für den Schutz der Privatsphäre und des Datenschutzes von Bedeutung sei.
1.3 EDSA: Komplexe Algorithmen und wirksame Datenschutzaufsicht
Das Projekt „KI: Effektive Datenschutzaufsicht und komplexe Algorithmen“ soll die Datenschutzbehörde bei Fragen zu zwei Aspekten unterstützen: bei der Bewertung von Voreingenommenheit in der KI durch Tools und bei der effektiven Umsetzung der Rechte betroffener Personen. Der EDSA hat das Projekt im Rahmen des Support Pool of Experts-Programms auf Ersuchen der BfDI ins Leben gerufen. Im März 2024 wurde das Projekt durch den SPE abgeschlossen. Dieses Projekt soll allen Beteiligten helfen Voreingenommenheit und die Umsetzung der Rechte betroffener Personen im KI-Kontext zu verstehen und zu bewerten. Insbesondere kann es Datenschutzbehörden helfen, indem es Methoden oder Instrumente zur Bewertung von Voreingenommenheit und zur Umsetzung der Rechte betroffener Personen erläutert. Das Projekt „KI: Komplexe Algorithmen und wirksame Datenschutzaufsicht“ umfasst zwei Ergebnisse: Bias Evaluation und Effective implementation of data subjects rights.
1.4 DSK: Hilfestellung zu Pseudonymisierung und Anonymisierung
Seit Jahren warten wir auf die seit langem angekündigten Guidelines des EDSA zur Anonymisierung, die Leitlinien zur Pseudonymisierung liegen ja bereits im Konsultationsverfahren vor (wir berichteten). Nun kündigt die Datenschutzkonferenz (DSK) an, dass sie konkrete Unterstützung entwickeln will, die die europäischen Leitlinien für ausgewählte Einzelfälle konkretisiert
Es sei für viele Stellen eine Herausforderung ein geeignetes Verfahren für die Anonymisierung oder Pseudonymisierung personenbezogener Daten auszuwählen. Das DSK-Papier soll auf den EDSA-Leitlinien aufbauen und anhand konkreter Beispiele aus medizinischer Forschung, KI-Entwicklung oder Statistik zeigen, welche Anforderungen und Verfahren für die Pseudonymisierung und Anonymisierung wichtig sind.
1.5 LDI NRW: Untersuchung wegen unrechtmäßiger Weitergabe von Kundendaten
Erfolgte zwischen ca. 30 Versicherern ein Austausch von Daten von Kunden von Auslandsreisekrankenversicherungen, um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen? Ob dabei datenschutzrechtliche Anforderungen beachtet wurden, ist Gegenstand einer gemeinsam koordinierten Untersuchung von zehn Aufsichtsbehörden, wie die LDI NRW mitteilte. Allein in NRW seien zehn Versicherungsunternehmen betroffen. Kurioserweise sei der Austausch durch E-Mail-Versand erfolgt. Einen Bericht dazu finden Sie auch hier.
1.6 HmbBfDI: Fotografieren in der Kita
Sowohl Eltern und Sorgeberechtigte als auch Erzieher:innen wissen oft nicht genau, wie sie einerseits diese schöne und wichtige Lebensphase dokumentieren und dabei andererseits die Persönlichkeitsrechte der Kinder schützen können.
Der HmbBfDI befasst sich deswegen mit den Fragen der Zulässigkeit von Kinderfotos in Kindertagesstätten. Dabei stellt er vor, dass die Kita ein Ort sei, an dem der Umgang mit modernen Medien bereits spielerisch erprobt wird. Dafür bedürfe es aber gerade hinsichtlich sensibler Daten einer sorgfältigen Abwägung und der Festlegung klarer Richtlinien.
Dafür hat er einen ausführlichen Informationstext zum Thema erstellt. Die Veröffentlichung soll Kindertagesstätten in ihrer Bestrebung zur Nutzung von Foto-, Ton- und Videoaufnahmen sensibilisieren und zugleich unterstützen. Darin enthalten ist zum einen eine Vorlage für eine Einverständniserklärung, zum anderen werden alle maßgeblichen Aspekte für Bild-, Ton- und Videoaufnahmen in Kitas ausführlich beleuchtet. Schwerpunkte sind: Transparenz und Information, zweckgebundene Einwilligungen, Datensicherheit und Aufbewahrung, Berücksichtigung des Elternrechts, Differenzierung nach Anlässen und technisch-organisatorische Maßnahmen.
1.7 HmbBfDI zur KI-VO: Was gilt ab Februar 2025?
Der HmbBfDI hat rechtzeitig seine Hinweise zur KI-VO veröffentlicht, in denen er zu den Anforderungen der KI-VO ab Februar 2025 hinweist. Dabei geht es um das Verbot bestimmter KI-Praktiken und Verpflichtungen zur KI-Kompetenz von Beschäftigen. Der HmbBfDI führt dazu aus, was das für Unternehmen und Behörden bedeutet.
1.8 HBDI: Rückblick auf den Datenschutztag
Der HBDI informiert über die Schwerpunktthemen des von ihm organisierten Datenschutztag 2025. Unter dem Titel „Digitalisierung um jeden Preis? Kein Zwang zur Preisgabe personenbezogener Daten“ wurden bestimmte Folgen der Digitalisierung aller Lebensbereiche aufgezeigt:
Inwieweit kann der Zugang zu Bahnfahrten und Paketabholungen, zu Arztterminen, zu Schwimmbädern und Museen, zu öffentlichen Zuschüssen und Leistungen eines Bürgeramts von der Nutzung digitaler Kommunikationsmittel abhängig gemacht werden? Wie wirken sich solche digitalen Zugangshürden auf diejenigen aus, die kein Smartphone oder keinen Internetzugang besitzen oder die ihre personenbezogenen Daten nicht für diesen Zweck preisgeben wollen? Ist die durch ausschließliche digitale Zugangshürden entstehende Datenverarbeitung gerechtfertigt? Welche datenschutzrechtlichen Gestaltungsvorgaben müssen die Verantwortlichen beachten?
1.9 LfDI Mecklenburg-Vorpommern: Einstieg für junge Menschen – FSJ
Über den rückblickenden Bericht über Ablauf und Erkenntnisse und Erfahrungen eines freiwilligen sozialen Jahres beim LfDI Mecklenburg-Vorpommern informiert der LfDI Mecklenburg-Vorpommern, dass diese Stelle ab September wieder besetzt werden kann und Bewerbungen willkommen sind.
1.10 LfDI Baden-Württemberg: Erneuter Besuch vom Datenzirkus
Es passiert derzeit so viel im Datenzirkus, dass nicht alle immer alles lesen können. So reden wir halt darüber. Der LfDI Baden-Württemberg lädt in unregelmäßigen Abständen einen der Autoren des Datenzirkus als Gast in seinen Podcast ein – und dieser nimmt immer sehr gerne an. Anzuhören hier (Dauer ca. 46 Min..
1.11 Österreich: Benennungspflicht DSB und Interessenskonflikt
Aus Österreich kommt eine Entscheidung der dortigen Datenschutzbehörde (DSB), die nicht überrascht, aber dennoch hinsichtlich einer Anforderung an die Benennungspflicht sehr konkret wird. Einem Labor wird vorgeworfen, dass der benannte Datenschutzbeauftragte gegen die Interessensneutralität aus Art. 38 Abs. 6 DS-GVO verstoße, da er gleichzeitig auch Geschäftsführer gewesen sei. Das allein reicht normalerweise nicht, um hier im Zirkus auftreten zu dürfen. Die DSB beschreibt aber auch die Voraussetzungen der Benennungspflicht (aus Art. 37 Abs. 1 lit. c DS-GVO) da die Kerntätigkeit des Labors in einer umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 bestand.
Die DSB stellt dazu fest, dass im Winter 2021/22 täglich ca. 45.000 Einzel PCR-Analysen durchgeführt wurden, somit eine Verarbeitung einer großen Anzahl von Gesundheitsdaten nach Art. 9 Abs. 1 DS-GVO, die Beschuldigte durchschnittlich 200 Mitarbeiter:innen beschäftigte sowie die Tätigkeitsbereiche der Beschuldigten aufgrund der steigenden Auftragslage im Laufe der Zeit umfangreicher wurden, so dass damit eine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art. 9 DS-GVO bestand und deswegen verpflichtend ein Datenschutzbeauftragter bestellt werden musste.
1.12 Österreich: Bilanz der Schwerpunktprüfung Telekom-Sektor 2024
Die österreichische Datenschutzbehörde zeigt sich zufrieden mit der Schwerpunktprüfung 2024. Gegenstand waren zehn Unternehmen der Telekom-Branche mit Fokus Auskunftsrecht und datenschutzrechtlichen Kernpflichten. Lediglich in einigen Fällen wurden Empfehlungen zur Nachbesserung ausgesprochen.
1.13 Österreich: Geldbuße für unerlaubte Speicherung von Aktfotos
Ein Kameramann hatte mit dem Einverständnis der abgebildeten Personen Aktaufnahmen mit deren Smartphone erstellt. Ohne Wissen der Abgebildeten übermittelte er sich aber selbst diese Bilder über einen Dienst auf sein eigenes Smartphone. Die Betroffen forderte ihn auf die Bilder zu löschen, was er nach dem festgestellten Sachverhalt auch tat. Die österreichische Datenschutzbehörde verhängte gegen den Kameramann, der auf Anschreiben der Aufsicht zu diesem Fall nie reagierte, eine Geldbuße in Höhe von 2.000 Euro. Irritierend für mich daran ist, dass in der Entscheidung die sog. „Haushaltsausnahme“ nicht einmal andiskutiert wurde, dafür aber die Aktaufnahmen als intime Bildaufnahmen – also als Daten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO – klassifiziert wurden. Die Höhe der Geldbuße ermittelte die Behörde mangels Mitwirkung des Kameramanns anhand statistischer Daten.
1.14 Spanien: Bußgeld gegen Fußballverein wegen biometrischer Gesichtserkennung
Die spanische Datenschutzbehörde gab bekannt, dass sie einem spanischen Profifußballverein eine Geldstrafe in Höhe von 200.000 Euro auferlegt hat, weil dieser ein biometrisches Gesichtserkennungssystem für den Zugang zu Stadien verwendet hat.
1.15 Polen: Bußgeld wegen unterbliebener Dokumentation und DSFA sowie weisungsabhängigem DSB
In einer Entscheidung vom Dezember 2024 verhängte die polnische Datenschutzaufsicht ein Bußgeld in Höhe von ca. 74.000 Euro gegen ein Unternehmen, weil der benannte DSB nicht der obersten Leitung unterstellt wurde und nicht weisungsfrei agieren konnte. Zudem unterblieb die Dokumentation einer Verarbeitung im Verzeichnis nach Art. 30 Abs. 1 DS-GVO und die Durchführung einer DSFA.
1.16 CNIL: Weiterverwendung von Datenbanken
Die französische Datenschutzaufsicht CNIL hat Aussagen zur Verwendung von im Internet verfügbaren Datenbanken veröffentlicht. Sie erinnert an die durchzuführenden Überprüfungen, um dabei die Rechtskonformität sicherzustellen. Datenverarbeiter, die Datenbanken verwenden, die im Internet frei verfügbar sind oder von einem Dritten zur Verfügung gestellt werden, müssen überprüfen, dass deren Erstellung oder Weitergabe nicht offensichtlich rechtswidrig ist. So empfiehlt sie u.a. die Überprüfung, ob die Datenbank ihre Quelle nennt bzw. die Herkunft der Daten ausreichend dokumentiert ist, sodass es keinen eklatanten Zweifel daran gibt, dass die Datenbank rechtmäßig ist.
1.17 APDCAT: Folgeabschätzung für Grundrechte beim Einsatz von KI
Die katalanische Datenschutzbehörde (APDCAT) hat ein Modell für die Entwicklung von Lösungen für künstliche Intelligenz (KI) veröffentlicht, welches auch Grundrechtsaspekte berücksichtigt.
Die angewandte Methodik des Fundamental Rights Impact Assessments (FRIA) wird in drei Phasen entwickelt, wobei der Kontext und die Typologie der Personen, die dem Risiko ausgesetzt sind, die potenzielle Verletzung der Grundrechte sowie die erforderlichen Präventions- und Abhilfemaßnahmen abgebildet werden. Die erste Phase ist die Planung, das Scoping und die Risikoidentifikation. Sie umfasst die Beschreibung des KI-Systems und seines Nutzungskontexts unter Berücksichtigung der intrinsischen Risiken (in Bezug auf das System selbst) und der extrinsischen Risiken (in Bezug auf die Interaktion zwischen dem System und der Umgebung, in der es implementiert ist). Die zweite Phase ist die Risikoanalyse, die über eine allgemeine Identifizierung potenzieller Wirkungsbereiche hinausgehen und das Ausmaß der Auswirkungen auf jedes Recht oder jede Freiheit abschätzen muss. Und schließlich ist die dritte Phase die Risikominderung und das Risikomanagement. Nur durch die Definition des Risikoniveaus vor und nach der Verabschiedung von Präventions- und Minderungsmaßnahmen kann nachgewiesen werden, dass dem Risiko spezifisch und wirksam begegnet wurde.
Die APDCAT möchte mit dem „FRIA model: Guide and use cases“ einen Beitrag zur Debatte zur Durchführung einer Folgenabschätzung für die Grundrechte leisten, wie zur Methodik für die Bewertung und Erstellung von Risikoindizes, zur Rolle, die Standardfragebögen spielen können, und ihre Grenzen und zur Rolle der Sachverständigen bei dieser Art der Bewertung. Dieses Modell könne als Inspirationsquelle für Organisationen in Europa und Nicht-EU-Ländern dienen, die einen grundrechtlichen Ansatz für KI verfolgen wollen, aber kein bewährtes Referenzmodell haben, mit dem sie ihre Erfahrungen vergleichen können.
1.18 Italien: Informationsanforderungen an Hersteller von DeepSeek – und Untersagung
Fast schon „The same procedure as …”: Wenn ein Unternehmen in Europa Leistungen anbietet, muss es bei der Verarbeitung personenbezogener Daten aus diesem Markt die DS-GVO beachten („Marktortprinzip, Art. 3 Abs. 2 lit. a DS-GVO). Hat es dann in Europa keine Niederlassung, ist jede Datenschutzaufsicht dafür zuständig, in deren Zuständigskeitsgebiet dieser Marktbezug erfolgt. Und (wieder mal) sind die Italiener mit ihrer Aufsicht „Garante“ hier besonders konsequent (wie bisher bei Clubhouse, TikTok oder OpenAI) und befassen sich mit den datenschutzrechtlichen Fragestellungen. So informiert die Garante, dass sie nun bestimmte Auskünfte über die Datenverarbeitung von DeepSeek einfordert: Welche personenbezogenen Daten werden gesammelt, aus welchen Quellen, zu welchen Zwecken, auf welcher Rechtsgrundlage erfolgt die Verarbeitung und ob sie auf Servern in China gespeichert werden. Zudem möchte die Aufsicht wissen, welche Art von Informationen zum Trainieren des Systems der künstlichen Intelligenz verwendet wird, und sie fordern auf, falls personenbezogene Daten durch Web-Scraping-Aktivitäten erhoben werden, zu erläutern, wie registrierte und nicht abonnierte Nutzer des Dienstes über die Verarbeitung ihrer Daten informiert wurden oder werden. Innerhalb von 20 Tagen erwartet die Garante die Antwort.
Und nachdem die Hersteller von DeepSeek offenbar die Verarbeitung von Daten aus Italien ermöglichten und die Zuständigkeit europäischen Rechts verneinten unternimmt die Garante deutliche Maßnahmen: Sie verkündet, dass sie die Verarbeitung personenbezogener Daten von Menschen aus Italien durch DeepSeek einschränkt.
1.19 Schweiz: Leitfaden zu Cookies und ähnlichen Technologien
Der EDÖB hat einen Leitfaden zur Datenverarbeitung durch Cookies und ähnliche Technologien veröffentlicht. Darin erläutert er die Anforderungen an die Einholung von Einwilligungen und an die Information der Nutzer über die Verwendung von Cookies. Der EDÖB betont die Notwendigkeit einer ausdrücklichen Einwilligung für sensible Daten und Profiling, während für nicht essenzielle Cookies eine Opt-in-Einwilligung erforderlich ist. Die Richtlinien sind weniger streng als EU-Vorschriften. Sie gelten für verschiedene Tracking-Technologien, einschließlich Apps. Ein Bericht zum Leitfaden findet sich hier.
1.20 ICO: Leitlinien zu „Consent or Pay“
Nach einer Konsultation im vergangenen Jahr zu „Consent or Pay“-Modellen – bei denen Organisationen den Menschen die Wahl gelassen wird, ob sie personalisierter Werbung für den Zugang zu einer Dienstleistung zustimmen oder für den Zugang zu einer Dienstleistung bezahlen und personalisierte Werbung vermeiden – hat der ICO einen Leitfaden für Organisationen veröffentlicht, die „Consent or Pay“-Modelle einführen wollen oder in Erwägung ziehen. Der Leitfaden stellt klar, wie Organisationen „Consent or Pay“-Modelle einsetzen können, um den Nutzern eine sinnvolle Kontrolle zu geben und gleichzeitig ihre wirtschaftliche Lebensfähigkeit zu unterstützen, und enthält eine Reihe von Faktoren, anhand derer Organisationen ihre Modelle bewerten können, um nachzuweisen, dass die Menschen ihre Einwilligung frei geben können. Die Strategie umfasst auch Pläne zur weiteren Zusammenarbeit mit „Consent Management Platforms“ (CMPs), die oft von zentraler Bedeutung für die Verwaltung von Online-Einwilligungen in Unternehmen sind.
Passend dazu kündigt der ICO die Prüfung der 1000 beliebtes Webseiten des Vereinigten Königreichs an, ob auf diesen die Vorgaben zum Tracking beachtet werden.
1.21 BSI: Chancen und Risiken generativer KI-Modelle – aktualisierte Fassung
Mit der aktualisierten Analyse zu Risiken generativer KI-Modelle informiert das BSI, wie die Chancen trotzdem genutzt werden können. Es werden sowohl Chancen als auch Risiken dieser Technologien beleuchtet. Die Risiken werden in drei Kategorien unterteilt: ordnungsgemäße Nutzung, missbräuchliche Nutzung und Angriffe. Zu den Hauptrisiken zählen: Abhängigkeit von Entwicklern/Betreibern, fehlende Vertraulichkeit eingegebener Daten, fehlerhafte Reaktionen auf Eingaben, problematische und verzerrte Ausgaben, Erzeugung von Falschinformationen, mögliche Rekonstruktion von Trainingsdaten und Anfälligkeit für verschiedene Arten von Cyberangriffen.
Das BSI schlägt zahlreiche Gegenmaßnahmen vor, u.a. die sorgfältige Auswahl von Modellen und Betreibern, die Implementierung von Erklärbarkeits-Mechanismen, eine Robustheitserhöhung der Modelle, den Einsatz von Filtermechanismen und regelmäßige Sicherheitsaudits.
1.22 BSI: TR-03174 – Anforderungen an Anwendungen im Finanzwesen
Die TR-03174 des BSI richtet sich an Fintech-Unternehmen wie Banken, Finanzdienstleister oder Start-Ups aus dem Bereich Finanztechnologie und bietet konkrete Prüfaspekte für die Entwicklung von mobilen Anwendungen, Web-Anwendungen und Hintergrundsystemen. Die TR-03174 soll dabei helfen Dienstleistungen von Beginn an sicher zu gestalten und die notwendigen Aspekte nach dem Prinzip „Security by Design“ bei jedem Entwicklungsschritt zu berücksichtigen. Das Dokument orientiert sich an internationalen Standards wie dem „Application Security Verification Standard“ (ASVS) und dem „Web Security Testing Guide“ (WSTG). In die Bedrohungsszenarien und Prüfaspekte sind Erfahrungen eingeflossen, die bei bisherigen Untersuchungen von Web-Anwendungen gesammelt wurden. Darüber hinaus werden Anforderungen an die Schnittstellen zu Payment-Service-Providern im Sinne der PSD2 definiert. Es gibt insgesamt drei Dokumente aus der TR-03174 zu mobilen Anwendungen, zu Web-Anwendungen und zu Hintergrundsystemen.
Die Technische Richtlinie umfasst in mehreren Teilen Anforderungen an mobile Anwendungen und kann auch für weitere mobile Anwendungen außerhalb des Finanz- oder Gesundheitswesens herangezogen werden, die sensible Daten verarbeiten oder speichern. Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. Eine vollständige Liste an prüfberechtigten Stellen veröffentlicht das BSI auf seiner Website.
2 Rechtsprechung
2.1 EuG: Befugnisse des EDSA gegenüber einzelner Datenschutzaufsicht
In den Klagen der irischen Aufsicht (DPC) gegen den Beschluss des EDSA zur Umsetzung gewisser Vorgaben gegen den Meta-Konzern hat das EuG in den verbundenen Verfahren T‑70/23, T‑84/23 und T‑111/23 entschieden, dass der Europäische Datenschutzausschuss (EDSA) befugt sei, von einer federführende Aufsichtsbehörde zu verlangen eine neue Untersuchung zu noch nicht geprüften Aspekten durchzuführen und auf der Grundlage der Ergebnisse dieser neuen Untersuchung einen neuen Beschlussentwurf zu erlassen. In dem fraglichen Fall war der EDSA mit der Untersuchung der DPC in drei Angelegenheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch Meta Ireland unzufrieden. Der EDSA war der Ansicht, dass die DPC nicht alle relevanten Fakten untersucht hatte, und forderte die DPC daher auf eine zusätzliche Untersuchung durchzuführen und seinen Beschlussentwurf entsprechend zu überarbeiten. Die DPC beantragte die Nichtigerklärung dieser Entscheidungen mit der Begründung, dass der EDSA seine Befugnisse überschritten habe.
Das EuG stellte sich auf die Seite des EDSA, ein Beschluss nach Art. 65 Abs. 1 lit. a DS-GVO beeinträchtige nicht die Unabhängigkeit der irischen Aufsicht (RN 79 ff) und stärkte damit die Befugnisse des EDSA im Rahmen des Kohärenzmechanismus. Die DPC kann dies aber noch vor dem EuGH überprüfen lassen. noyb hat dazu eine Stellungnahme veröffentlicht.
2.2 BVerwG: Berechtigtes Interesse und UWG
Wann darf ein Unternehmen Freiberufler ungefragt anrufen, um eigene Leistungen anzubieten? Dazu muss neben der DS-GVO auch das UWG beachtet werden. Sogenannte „Cold Calls“ sind gegenüber Verbrauchern als unzumutbare Belästigung rechtlich nicht zulässig (§ 7 Abs. 2 lit. a UWG). Doch wie sieht es bei Anrufen durch ein Unternehmen, das Edelmetallreste von Zahnarztpraxen und Dentallaboren ankauft? Dieses erhob aus öffentlich zugänglichen Verzeichnissen – wie z.B. den Gelben Seiten – Namen und Vornamen des Praxisinhabers sowie die Praxisanschrift nebst Telefonnummern. Die von ihr gespeicherten Kontaktdaten nutzt sie, um durch eine telefonische Ansprache der Zahnarztpraxen und Dentallabore in Erfahrung zu bringen, ob die Angesprochenen Edelmetalle an sie verkaufen möchten. Wie ging es aus?
Die saarländische Datenschutzaufsicht fand hierbei einen Verstoß gegen die DS-GVO, sie erwartete eine Einwilligung der Betroffenen oder ein bestehendes Geschäftsverhältnis mit ihm (die Details zu dem Verfahren, das 2017 unter dem früheren BDSG begann, lassen wir hier mal aus).
Jetzt wies das BVerwG die Revision der Klägerin zurück (BVerwG 6 C 3.23, Pressemeldung hier). Zwar sei der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DS-GVO hier grundsätzlich anwendbar. Bei der Beurteilung, ob die Datenverarbeitung zur Wahrung eines „berechtigten Interesses“ im Sinne dieser Bestimmung erfolgt, sind jedoch die Wertungen des § 7 Abs. 2 Nr. 1 UWG zu berücksichtigen. Denn mit § 7 UWG hat der deutsche Gesetzgeber die in Art. 13 der Richtlinie 2002/58/EG enthaltenen Vorgaben zum Schutz der Privatsphäre der Betroffenen vor unverlangt auf elektronischem Weg zugesandter Werbung umgesetzt, wenn diese lauterkeitsrechtlichen Wertungen bei der Konkretisierung des berechtigten Interesses im Sinne des Art. 6 Abs. 1 lit. f DS-GVO außer Betracht bleiben müssten.
Hiervon ausgehend fehle es der Klägerin an einem berechtigten Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO, weil der von ihr verfolgte Zweck der Datenverarbeitung gegen § 7 Abs. 2 Nr. 1 UWG verstoße. Bei den Telefonanrufen, mit denen die Klägerin die Bereitschaft der angerufenen Zahnärzte zum Verkauf von Edelmetallen in Erfahrung zu bringen sucht, handelt es sich um Werbung im Sinne dieser Bestimmung. Da die von der Klägerin angesprochenen Inhaber von Zahnarztpraxen in dem hier vorliegenden Kontext als sonstige Marktteilnehmer zu qualifizieren sind, ist eine zur Unzulässigkeit der Werbeanrufe führende unzumutbare Belästigung nach § 7 Abs. 2 Nr. 1 UWG anzunehmen, wenn nicht zumindest eine mutmaßliche Einwilligung vorliegt.
Diese wird durch ein sachliches Interesse der Anzurufenden an der Telefonwerbung indiziert. Auf der Grundlage der für das Bundesverwaltungsgericht bindenden tatsächlichen Feststellungen des Oberverwaltungsgerichts sei diese Voraussetzung nicht erfüllt. Denn danach dient die Veröffentlichung der Telefonnummern der Zahnärzte in öffentlich zugänglichen Verzeichnissen ausschließlich dazu die Erreichbarkeit für Patienten zu gewährleisten. Zudem hat das Oberverwaltungsgericht festgestellt, dass der Verkauf von Edelmetallresten zur Gewinnerzielung weder typisch noch wesentlich für die Tätigkeit eines Zahnarztes ist. Damit entspreche die telefonische Werbeansprache mangels einer zumindest mutmaßlichen Einwilligung der angesprochenen Zahnärzte nicht den Anforderungen des § 7 Abs. 2 Nr. 1 UWG. Es widerspräche daher dem Grundsatz der Einheit der Unionsrechtsordnung, wenn diese lauterkeitsrechtlichen Wertungen bei der Konkretisierung des berechtigten Interesses im Sinne des Art. 6 Abs. 1 lit. f DS-GVO außer Betracht bleiben müssten.
Oder kurz gesagt:
Verstößt meine Maßnahme gegen § 7 UWG, kann ich darauf kein berechtigtes Interesse begründen.
2.3 BAG: Digitale Bereitstellung des Gehaltsnachweises durch Arbeitgeber
Nach § 108 Abs. 1 GewO muss ein Arbeitgeber seinen Arbeitnehmern bei Zahlung des Arbeitsentgelts eine Abrechnung in Textform zu erteilen. Reicht es, wenn er dazu die Abrechnung als elektronisches Dokument zum Abruf in ein passwortgeschütztes digitales Mitarbeiterpostfach einstellt?
Im vorliegenden Fall gab es in dem Unternehmen eine Konzernbetriebsvereinbarung, die dies vorsah, wobei der Arbeitgeber den Arbeitnehmern, sofern für diese keine Möglichkeit bestehe über ein privates Endgerät auf die im digitalen Mitarbeiterpostfach hinterlegten Dokumente zuzugreifen, zu ermöglichen habe die Dokumente im Betrieb einzusehen und auszudrucken.
De Klägerin verlangte, dass ihr weiterhin die Abrechnung in Papierform zugesandt werden sollte. Das BAG ist der Ansicht, dass der Arbeitgeber damit grundsätzlich die von § 108 Abs. 1 Satz 1 GewO vorgeschriebene Textform wahre, wenn er Entgeltabrechnungen in ein digitales Mitarbeiterpostfach einstellt. Pressemeldung dazu hier, das Urteil ist noch nicht veröffentlicht.
Der Anspruch eines Arbeitnehmers auf Abrechnung seines Entgelts sei eine sog. Holschuld, die der Arbeitgeber erfüllen kann, ohne für den Zugang der Abrechnung beim Arbeitnehmer verantwortlich zu sein. Es genügt, dass er die Abrechnung an einer elektronischen Ausgabestelle bereitstellt. Hierbei hat er den berechtigten Interessen der Beschäftigten, die privat nicht über die Möglichkeit eines Online-Zugriffs verfügen, Rechnung zu tragen. Das heisst, er muss auch eine Möglichkeit schaffen für Arbeitnehmer, die keinen privaten Online-Zugang haben.
Die in der Konzernbetriebsvereinbarung im Rahmen des § 87 Abs. 1 Nr. 6 BetrVG geregelte digitale Zurverfügungstellung der Entgeltabrechnungen greife nicht unverhältnismäßig in die Rechte der betroffenen Arbeitnehmer ein. Im konkreten Fall konnte das BAG aber dies nicht abschließend entscheiden, da die Vorinstanz erst die Zulässigkeit der Konzernbetriebsvereinbarung feststellen müsse.
2.4 LG Köln: Haftung für unterbliebenes Löschen durch Auftragsverarbeiter
Löschen wird im Jahr 2025 wohl das Thema im Datenschutzmanagement. Sicherlich nicht nur, weil die europäischen Aufsichtsbehörden dies als gemeinsames Schwerpunktthema für eine gemeinsame Prüfaktion auswählten (wir berichteten). Neben dem Urteil des VG Bremen zu Anforderungen an einen Löschnachweis (hier nachzulesen) und der Feststellung des OLG Dresden, welche Anforderungen an den Verantwortlichen zur Kontrolltiefe seinen Auftragsverarbeiters zu stellen sind (Bericht dazu findet sich hier), gesellt sich das LG Köln mit einem Urteil zur Haftung eines Auftraggebers auf immateriellen Schadenersatz, wenn ein Dienstleister der vereinbarten Löschpflicht nicht nachkommt.
Dem Dienstleister wurden Daten abgezogen, die er noch hatte, obwohl sie eigentlich zu diesem Zeitpunkt bereits hätten gelöscht worden sein sollen. So landeten Daten eines Kunden wie die E-Mail-Adresse im Darknet. Der Kunde verklagt den Auftraggeber auf immateriellen Schadenersatz. Und das LG Köln stellt dazu fest, dass der Auftraggeber als Verantwortlicher gegen die ihm obliegende Pflicht zur sorgfältigen Überwachung des von ihm beauftragten externen Auftragsverarbeiters verstoßen habe (RN 100, Details dazu in RN 104-109 des Urteils). Missachtet der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen, haftet der Verantwortliche auch hierfür (RN 95). Im Übrigen stellt das LG Köln auch fest, dass eine Beauftragung eines Dienstleisters ohne Umsetzung des Abschlusses eines Vertrages oder einen sonstigen Rechtsinstruments dazu führe, dass sich die Übermittlung der Daten von dem Verantwortlichen an den Auftragsverarbeiter oder Unterauftragsverarbeiter als rechtswidrig darstelle (RN 109).
Bezüglich der Schadenshöhe nimmt das LG Köln Bezug auf das Urteil des BGH (Bericht dazu hier) und lässt bereits den Kontrollverlust als anspruchsbegründend ausreichen (RN 114).
2.5 OLG Bremen: Smartphone entsperren mit biometrischen Merkmalen
In einem Beschluss rechtfertigt das OLG Bremen das Entsperren eines mittels biometrischen Merkmalen versperrten Smartphones durch Auflegen des Fingers auch gegen den Willen eines Beschuldigten. Diese Maßnahme werde durch § 81b Abs. 1 StPO gerechtfertigt. Eine Besprechung der Entscheidung findet sich hier.
2.6 OLG Karlsruhe: Ausnahmen von der Löschpflicht
Unter welchen Voraussetzungen kann eine Löschpflicht nach Art. 17 Abs. 3 lit. e DS-GVO (Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) unterbleiben? Damit hatte sich das OLG Karlsruhe zu befassen und es ist der Ansicht, dass eine Berufung auf Art. 17 Abs. 3 lit. e DS-GVO nicht in Betracht kommt, wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist. Im konkreten Fall musste daher gelöscht werden. Besprechung des Urteils hier.
2.7 LG Berlin: Persönlichkeitsrecht und Beweisverwertungsverbote
Das LG Berlin hat zu Fragen des Persönlichkeitsrechts und zu Beweisverwertungsverboten Stellung bezogen. Werden über die Verletzung des allgemeinen Persönlichkeitsrechts des Betroffenen Erkenntnisse über dessen Privatsphäre verschafft und verlangt der Betroffene daraufhin Unterlassung einer auf der persönlichkeitsrechtswidrigen Informationsbeschaffung beruhenden Berichterstattung, unterfällt der Vortrag des Medienunternehmens zur angeblichen Wahrheit des berichteten – und die Privatsphäre des Betroffenen berührenden – Geschehens nicht nur einem Beweisverwertungs-, sondern auch einem Sachvortragsverwertungsverbot. Bericht dazu hier.
2.8 LG Düsseldorf: Haftung von Google nach DSA
Nach einem Urteil des LG Düsseldorf haftet Google als Betreiberin von Google Ads für von Dritten geschaltete markenrechtsverletzende Anzeigen als Störerin nach dem Digital Services Act.
Bei Google handele es sich um einen Vermittlungsdienstleister im Sinne des Art. 2 Abs. 1 DSA, weil sie einen „Hosting“-Dienst betreibt, der darin besteht, von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern (Art. 3 lit. g Nr. iii DSA).
2.9 LG München: Urteil zum Fernunterricht
Wir hatten schon mal zu der Thematik berichtet. Nun hat das LG München auch in einem Fall die Betreiberin einer Plattform für Online-Coaching zur Rückzahlung von 1.500 Euro an eine Kundin verurteilt. Zudem hat es festgestellt, dass der zwischen Kundin und Coach geschlossene Vertrag nichtig sei. Der Coaching-Plattform fehle schon die erforderliche Zulassung für das Anbieten von Fernunterricht. Bericht dazu hier.
2.10 LG Stuttgart: Anforderungen an die Nutzung von „Meta Business-Tools“
Welche Anforderungen stellen sich, wenn ein Unternehmen sog. „Meta-Business-Tool“ (insb. „Meta Pixel“, „App Events über Facebook SDK“ (bzw. „Facebook SDK“), „Conversions API“ und „App Events API“) auf seinen Seiten einsetzt? In den Verfahren vor dem LG Stuttgart verklagte eine Person Meta, weil sie Meta für verantwortlich hielt. Richtig, so das LG Stuttgart in RN 55 des Urteils. Meta sei als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen, da die erhobenen Daten letztlich von Meta verarbeitet und in deren Geschäftsmodell integriert würden. Die Drittanbieter, die die Tools nutzten, trügen ebenfalls Verantwortung, doch dies entbinde Meta nicht von seinen Pflichten. Die Einwilligung der Nutzer müsse spezifisch, informiert und freiwillig sein.
Letztendlich wies das LG Stuttgart aber alle geltend gemachten Ansprüche auf Feststellung der Unzulässigkeit der Verarbeitung, auf Unterlassung der Verarbeitung auf den Webseiten von Drittanbietern, auf Einschränkung, auf Auskunft, auf künftige Löschung und auf immateriellen Schadenersatz ab. Das Urteil ist noch nicht rechtskräftig. Besprechung des Urteils hier mit Tipps zum Vorgehen für betroffene Unternehmen.
2.11 OLG Schleswig: Zahlungsverweigerung der Versicherung bei unrichtigen Angaben
Inwieweit können Versicherungen Zahlungen verweigern, wenn bei dem Abschluss der Versicherungen Angaben nicht stimmten?
Diese Frage könnte u.U. bald beim BGH landen, wie hier nachzulesen ist. Dabei ging es wohl nicht um bewusste Täuschung, sondern eher um Aussagen ins Blaue hinein. Das LG Kiel schloss daher einen Zahlungsanspruch der Versicherung aus. Das OLG Schleswig wies die Berufung zurück. Die Aussagen ins Blaue hinein wurden als bewusst unrichtige Angaben gewertet.
2.12 OLG Oldenburg: Zugriffsrechte für Erben auf Social-Media-Accounts
Es ging um die Frage, ob Erben einen Anspruch darauf haben, das Konto eines Verstorbenen weiterhin aktiv zu nutzen? Das OLG Oldenburg bejahte dies. Erben hätten einen Anspruch darauf den vollen Zugriff auf das Instagram-Konto des Erblassers zu bekommen, inklusive aktiver Nutzungsmöglichkeit. Die Witwe sei als Erbin in das Vertragsverhältnis ihres Mannes mit Meta im Wege der Gesamtrechtsnachfolge eingetreten und das umfasse neben einem passiven Anspruch auch einen Anspruch auf aktive Nutzung. Nach Überzeugung des OLG seien die von Meta erbrachten Leistungen nicht als höchstpersönlich anzusehen. Meta sei lediglich zur Bereitstellung technischer Leistungen verpflichtet, etwa zur Bereitstellung der Plattform und zur Veröffentlichung von Inhalten, ohne dass dabei ein persönlicher Bezug zu den ursprünglichen Vertragspartnern erforderlich sei. Diese Leistungen könnten daher problemlos auch gegenüber den Erben erbracht werden. Die Revision an den BGH ist zugelassen. Bericht dazu hier.
2.13 OLG Celle: Berechnung des immateriellen Schadenersatzes nach Art. 82 DS-GVO
Der immaterielle Schadenersatz nach Art. 82 Abs. 1 DS-GVO soll als Ausgleich dienen für Einbußen, die nicht in Geld zu berechnen sind. Doch nach welchen Maßstäben kann sich dieser berechnen, insb. nach Datenschutzverletzungen wie einem „Datenscraping-Vorfall“? Das OLG Celle versucht in einem Beschluss hier Vorgaben für die Berechnung zu geben. Speziell geht es um Verfahren, die im Verantwortungsbereich des OLG Celle aufgrund eines Vorfalls bei Facebook anhängig sind. Das OLG stellt dabei für bestimmte Fallkonstellationen Richtwerte auf. So bewertet das OLG Celle einen bloßen Kontrollverlust mit 100 Euro, bei einhergehenden „Folgeerscheinungen“ seinen diese in jedem Einzelfall zusätzlich zu bewerten. Ein leicht lesbaren Bericht zu dem Beschluss findet sich hier.
2.14 LG Lübeck: Einmeldung von Positivdaten rechtfertigt Schadenersatzanspruch i.H.v. 400 Euro
In einem Verfahren des Einmeldens von Positivdaten durch ein Telekommunikationsunternehmen an die Schufa legt das LG Lübeck einen engen Maßstab an und spricht einem Kläger 400 Euro immateriellen Schadenersatz zu. Dabei lässt es dahinstehen, ob die Einmeldung von Positivdaten durch Telekommunikationsunternehmen an die SCHUFA zur Verwirklichung berechtigter Interessen erforderlich ist. Jedenfalls überwiege im Rahmen der vorzunehmenden Interessenabwägung das Recht der Betroffenen auf informationelle Selbstbestimmung. Es läge ein überwiegend schutzwürdiges Interesse der betroffenen Personen jedenfalls dann vor, wenn Zweck der Datenübertragung die Erstellung eines Persönlichkeitsprofils ist, wenn eine große Reihe von Daten miteinander verkettet werden sollen oder wenn eine Datenverarbeitung besonders umfassend ist, sie potenziell unbegrenzte Daten betrifft und erhebliche Auswirkungen auf den Nutzer hat (RN 79). Eine derartige Konstellation erkennt das LG Lübeck im Fall der Einmeldung von Positivdaten durch Telekommunikationsunternehmen an die Schufa. Auch wenn es Zweifel an der vom Kläger geschilderten Folgen für ihn hat, wie ständige Angst vor unangenehmen Rückfragen, ein allgemeines Gefühl des Unwohlseins bis zur schieren Existenzsorge und ein Gefühl der Ohnmacht (RN 111-114), bejaht es einen durch die Einmeldung hervorgerufenen Schaden im Sinne von Art. 82 DS-GVO in der Verletzung des Rechts des Betroffenen auf informationelle Selbstbestimmung. Das Recht des Klägers auf informationelle Selbstbestimmung wurde durch die Einmeldung der Positivdaten durch die Beklagte verletzt.
2.15 EuGH-Vorschau: Unternehmensbegriff bei Sanktionen nach der DS-GVO (C-383/23)
Das Verkündungsdatum im Verfahren C-383/23 (ILVA) ist für den 13. Februar 2025 angekündigt. Ist der Begriff „Unternehmen“ in den Art. 83 Abs. 4 bis 6 DS-GVO als ein Unternehmen im Sinne der Art. 101 und 102 AEUV in Verbindung mit dem 150. ErwGr der DS-GVO und der Rechtsprechung des Gerichtshofs der Europäischen Union im Bereich des Wettbewerbsrechts der Union so zu verstehen, dass der Begriff „Unternehmen“ jede Einheit erfasst, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von der Rechtsstellung dieser Einheit und der Art und Weise, in der sie finanziert wird? Und falls dies bejaht wird, ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass bei der Verhängung einer Geldbuße gegen ein Unternehmen der gesamte weltweit erzielte Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört, zu berücksichtigen ist oder nur der gesamte weltweit erzielte Jahresumsatz des Unternehmens selbst? Der Generalanwalt sah das in seinen Schlussanträgen so (wir berichteten), er verweist aber auch auf das Maß der Verhältnismäßigkeit.
2.16 EuGH-Vorschau: Auskunftsanspruch und Geschäftsgeheimnisse (C-203/22)
In dem Verfahren C-203/22 (Dun & Bradstreet Austria) kündigt der EuGH für den 27. Februar 2025 sein Urteil an. Wir hatten über das Verfahren schon mehrfach berichtet. Inwieweit können Geschäftsgeheimnisse bei einer Auskunftserteilung zu einer Ausnahme führen?
3 Gesetzgebung
3.1 Wissenschaftlicher Dienst des EU-Parlaments zur Digital Fairness
Der Wissenschaftliche Dienst des EU Parlaments äußerte sich zur Digitalen Fairness. Zum Thema passt auch gut eine Veröffentlichung in einer Fachzeitschrift zum Europäischen Recht unter dem Titel „Dark Patterns, Enforcement, and the Emerging Digital Design Acquis: Manipulation beneath the Interface“.
3.2 Wissenschaftlicher Dienst des EU-Parlaments zur Datenschutz-Politik der EU
Der Wissenschaftliche Dienst des EU-Parlaments aktualisierte sein Briefing zur Datenschutz-Politik der EU.
3.3 Überblick über die Digitalgesetzgebung der EU
Wer glaubt den Überblick verloren zu haben, kann dies nun überprüfen: Eine Kanzlei hat die Regulatorik zu digitalen Themen auf EU-Ebene und den aktuellen Stand zusammengefasst. Besonders gut gefiel mir die Zeitschiene im Fazit.
3.4 Europäischer Gesundheitsdatenraum (EHDS)
Der Rat der EU hat eine neue Verordnung angenommen, durch die der Austausch von und der Zugang zu Gesundheitsdaten auf EU-Ebene erleichtert wird, und damit den Weg für ihr Inkrafttreten bereitet.
Die Verordnung wird nun vom Rat und vom Europäischen Parlament förmlich unterzeichnet und tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft.
3.5 EU: Ausschreibung für Machbarkeitsstudie zu Opt-out bei Text- und Data-Mining
Die Europäische Kommission hat eine Ausschreibung für eine Machbarkeitsstudie für die Entwicklung eines zentralen Registers für Rechteinhaber veröffentlicht, in dem sie ihre Opt-outs im Rahmen der Ausnahmeregelung für Text- und Data-Mining (TDM) äußern können. In der Studie soll untersucht werden, wie ein Register den Ausdruck des TDM-Opt-outs für einzelne urheberrechtlich geschützte Werke auf der Grundlage von werkbasierten Identifikatoren und zugehörigen Metadaten unterstützen könnte, die den Rechtevorbehalt sowie gegebenenfalls die Lizenzierung von Rechten unterstützen.
3.6 EU-Kommission: Verhaltensregeln im Netz nach DSA
Die EU-Kommission informiert, dass sie den „Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet +“ geprüft und positiv bewertet hat. Im Rahmen des Gesetzes über digitale Dienste zielt der Kodex darauf ab, die Verbreitung illegaler Hetze im Internet zu verhindern und zu bekämpfen. Am 20. Januar 2025 wurde der überarbeitete Verhaltenskodex zur Bekämpfung illegaler Hetze im Internet (im Folgenden „Verhaltenskodex+“) nach einer positiven Bewertung durch die Kommission und den Europäischen Rat für digitale Dienste (im Folgenden „Ausschuss“) in den Rechtsrahmen des Gesetzes über digitale Dienste (DSA) integriert.
Der Verhaltenskodex+, der auf dem 2016 angenommenen Verhaltenskodex aufbaut, stärkt die Art und Weise, wie Online-Plattformen im Einklang mit dem EU-Recht und den Rechtsvorschriften der Mitgliedstaaten mit Inhalten umgehen, die als illegale Hetze gelten. Sie erleichtert die Einhaltung und wirksame Durchsetzung des Gesetzes über digitale Dienste in diesem spezifischen Bereich.
Nach seiner Integration kann die Einhaltung des Verhaltenskodex+ als geeignete Maßnahme zur Risikominderung für Unterzeichner angesehen werden, die im Rahmen des Gesetzes über digitale Dienste als sehr große Online-Plattformen (VLOPs) und Suchmaschinen (VLOSEs) bezeichnet werden.
Der Verhaltenskodex+ wurde von Dailymotion, Facebook, Instagram, Jeuxvideo.com, LinkedIn, von durch Microsoft gehostete Verbraucherdienste, von Snapchat, Rakuten, Viber, TikTok, Twitch, X und YouTube unterzeichnet und zur Integration im Rahmen des DSA eingereicht. Die EU-Kommission und der Ausschuss werden die Verwirklichung der Ziele des Verhaltenskodex+ überwachen und bewerten und die regelmäßige Überprüfung und Anpassung des Kodex unter Berücksichtigung dieser ursprünglichen Empfehlungen erleichtern.
Im Rahmen der Information veröffentlichte die EU-Kommission den Verhaltenskodex, die Stellungnahme der EU-Kommission und die Schlussfolgerungen des Gremiums für digitale Dienste.
3.7 EU-Kommission: A Competitiveness Compass for the EU
Mit ihrem Competitive Compass für die EU (COM/2025/30) will die neue EU-Kommission die europäische Wirtschaft wieder weltweit wettbewerbsfähig machen. Da macht sie auch vor der datenschutzrechtlichen Regulierung nicht halt, wenn sie unter Ziffer 1.1. formuliert:
“To ensure a level playing field across the Single Market, as well as fight fragmentation and gold plating, the Commission will pursue a forceful approach to full harmonisation and enforcement. In addition to work on simplifying record-keeping under the General Data Protection Regulation, the Commission will continue work on its more harmonised implementation and enforcement.”
Na, dann schaun ´mer mal.
3.8 NIS-2-Richtlinie – und nun?
Was gilt nun, nachdem der deutsche Gesetzgeber zu blöd war, um rechtzeitig bis zum 17.10.2024 ein Umsetzungsgesetz zu beschließen. Damit befasst sich ein Experte in seinem Podcast (Dauer ca. 21 Min.). Er befasst sich dabei auch mit Verpflichtungen zu technischen und organisatorischen Maßnahmen, die aber ohne weitere Übergangsfrist in einem künftigen Umsetzungsgesetz gelten werden. Dies führe zu einer Pflicht zur Einführung von erforderlichen Maßnahmen, um diese dann rechtzeitig vorweisen zu können. Und sofern dabei personenbezogenen Daten verarbeitet werden, auch zu den Fragen der Rechtsgrundlagen dazu; ist Art. 6 Abs. 1 lit. c DS-GVO vertretbar für Zeiträume, in denen es noch kein Umsetzungsgesetz gibt? Was ist hier anders als bei der Verordnung DORA? Das BSI informiert zur Umsetzung der NIS-2-Richtlinie hier mit FAQ.
Franks Nachtrag: In diesem Kommentar wird die „Leistung“ des Gesetzgebers aus berufenem Munde gewürdigt.
3.9 C5-Äquivalenz-Verordnung zu § 393 SGB V für Gesundheitsdienstleister mit SaaS
Über die geänderten Anforderungen durch § 393 SGB V im Rahmen des Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) hatten wir bereits berichtet. Eine der wesentlichen Neuerungen ist das Erfordernis eines C5-Testats für SaaS-Anbieter im Gesundheitswesen in Bezug auf ihre Cloud-Systeme. Das Gesetz sieht vor, dass Cloud-Dienste derzeit bis zum 30.06.2025 ein C5-Typ1-Testat benötigen, ab dem 01.07.2025 dann ein C5-Typ2-Testat erforderlich sein wird. Selbst in Berlin merkte man, dass das für manche etwas kurzfristig kommt, und so wird von der Möglichkeit aus § 393 Abs. 4 Satz 3 SGV V Gebrauch gemacht, per Rechtsverordnung (hier der Entwurf) übergangsweise auch andere Standards anzuerkennen. Bericht dazu auch hier.
3.10 Podcast zu Erfordernis eines Digitalministeriums
Brauchen wir in Deutschland ein Digitalministerium? Wie müsste dieses konzipiert sein? Welche Kompetenzen und Themen müssten hier gebündelt werden? Und welche weiteren politischen Maßnahmen wären erforderlich, um die Digitalisierung in Deutschland voranzutreiben? Damit befasst sich dieser Podcast (Dauer ca. 1:07 Std.).
3.11 Kleine Anfrage im Bundestag zu Auswirkungen von Cyberangriffen auf die Wirtschaft
Im Bundestag beantwortete die Bundesregierung eine Kleine Anfrage der FDP zu Auswirkungen von Cyberangriffen auf die Sicherheit und die Wirtschaft von Deutschland. So leicht lasse sich das nicht beantworten. Außer den Meldepflichten gegenüber dem BSI gäbe es aufgrund unterschiedlicher Meldeformulare keine spezifische Auswertung über alle Meldestellen aus der Wirtschaft. Daher sei eine Aufschlüsselung nach Art und Umfang des Angriffs nicht meldestellenübergreifend möglich. Es existiert meldeübergreifend keine einheitliche Kategorisierung in Wirtschaftszweige. Eine Schadenshöhe läge dem BSI nicht vor. Die getroffenen Gegenmaßnahmen seitens der Betroffenen lägen dem BSI nur teilweise vor. Eine statische Auswertung der Gegenmaßnahmen erfolge nicht.
3.12 SVRV: Erwartungen in der Verbraucherpolitik an die nächste Bundesregierung
Der Sachverständigenrat für Verbraucherfragen hat seine Empfehlungen an die kommende Verbraucherpolitik formuliert. Es sei wichtig, dass Verbraucherpolitik und Wirtschaftspolitik zusammengedacht werden, um Innovation, Nachhaltigkeit und Vertrauen gleichermaßen zu fördern.
Als Kernpunkte sieht der SVRV u.a., dass Verbraucherpolitik als Schlüssel für gesellschaftlichen Zusammenhalt betrachtet werde. Verbraucherfreundliche Politik stärke das Vertrauen in staatliche Institutionen und den fairen Wettbewerb. Die zunehmende Rolle von KI, der demografische Wandel und Virtualisierung erfordern neue, innovative Ansätze. Letztendlich müsse Verbraucherpolitik als Querschnittsthema dauerhaft stabil verankert werden.
3.13 Neues aus der US-Politik
Der neu ernannte US-Präsident unterzeichnete noch am Tag der Amtseinführung zahlreiche Executive Orders. Einige davon wirken sich auch auf rechtliche Bewertungen innerhalb Europas aus. Zum Beispiel die Aufhebung der Förderungen von Genderstudien oder der Umgang mit TikTok.
Spannend wird auch die Aufhebung der EO der Biden Administration zum Umgang mit KI und der Verzicht auf Schutzmaßnahmen gegen Bias.
Trump selbst findet seine ersten 100 Stunden in der 2. Amtszeit toll, der bitkom befürchtet hingegen eine Steigerung der technischen Abhängigkeit.
Durch angeordnete Änderungen in der Besetzung einer Einrichtung (Privacy and Civil Liberties Oversight Board – PCLOB), die auch als Basis des TADPF betrachtet wird, steigt auch die Befürchtung, dass der Angemessenheitsbeschluss der EU-Kommission dadurch (vorsichtig ausgedrückt) in Mitleidenschaft gezogen werden kann. noyb wird da deutlicher.
Franks erster Nachtrag: Eigentlich würde das auch in Apropos KI … passen, aber hier passt es natürlich genauso: Trump Admin Accused of Using AI to Draft Executive Orders. Ein Zitat aus der Quelle:
„This is poor, slipshod work,“ he added, before alleging that the actions were „obviously assisted by AI.“
Franks zweiter Nachtrag: Hier eine weitere Quelle aus den USA (die aber auch nur zum Artikel der NY Times verlinkt) zur Umbesetzung des PCLOB (Sie können über den Lesemodus Ihres Browsers wahrscheinlich die Anmeldesperre der NY Times austricksen, bei mir hat es im Firefox funktioniert).
Franks dritter Nachtrag: Apropos Trump und AI, Sie haben von Projekt Star Gate gehört, oder? Die Finanzierung scheint solide und von hehren Zielen motiviert. Ein Zitat:
Son versucht gerade, mit einer großen Wette auf KI desaströse Investitionen von Softbank in gescheiterte Firmen wie das Büroraum-Start-up WeWork auszugleichen, bei denen sich Milliarden in Luft auflösten.
So wie es sich mittlerweile darzustellen scheint, soll aber nur OpenAI vom 500 Milliarden US-Dollar teuren KI-Rechenzentrum profitieren. Gut für sie…
4 Künstliche Intelligenz und Ethik
4.1 DeepSeek – Es kam über Nacht
Mit gefällt in diesem Zusammenhang die Bezeichnung „Sputnik-Moment“ der KI. In den 50er Jahren des letzten Jahrhunderts wurde der Westen – auch über Nacht – von dem Fortschritt in der Weltraumfahrt der damaligen Sowjetunion überrascht, als diese ihre Rakete „Sputnik“ in den Weltraum schoß. Die Konzentration der USA auf die Mondlandung war die Folge. Nun hat ein chinesisches Unternehmen ein LLM „DeepSeek“ R1 auf den Markt gebracht, was vergleichbare Disruptionen hervorruft. Es liefert eine vergleichbare Leistung wie die besten Chatbots der Welt zu einem Bruchteil der Kosten, vgl. diesen Bericht und diesen Faktencheck.
Datenschutztechnisch läuft alles erwartungskonform: Datensammeln ohne Ende, keine Hinweise auf rechtskonforme Übermittlung personenbezogener Daten nach China und Datenschutzinformationen, die nicht die Anforderungen der DS-GVO erfüllen*.
Und genauso erwartungskonform wurde es in den USA und sonst wo millionenfach heruntergeladen und benutzt, auch wenn sich in den Ergebnissen der Prompts das kommunistische Weltbild widerspiegelt, wie hier am Beispiel des Massakers am Himmlischen Platz dargestellt wird. Trotzdem hat es die Tech-Oligarchen um den neuen US-Präsidenten geschockt, so brach allein der Kurs der Nvidia-Akte um 600 Mrd. US-$ ein. Mögliche Szenarien, wie es weitergeht, werden hier betrachtet.
* Franks Anmerkung: Es geht auch deutlicher, siehe diese Quelle mit dem Titel „Datenschutz bei DeepSeek: Es scheint an ’so ziemlich allem zu fehlen‘.“
Franks Nachtrag: Das Preismodell von DeepSeek scheint auch für die Kursverluste diverser KI-Werte verantwortlich zu sein. Und sie können wohl auch schon Bilder generieren. Meta ist auf jeden Fall unruhig ob der Preise.
Franks zweiter Nachtrag: Und natürlich ist DeepSeek nicht die einzige KI aus China, die nun auch im Westen wahrgenommen wird. Alibaba hat eine namens Qwen wie auch Bytedance (die Doubao heißt).
Franks dritter Nachtrag: Auch die Datensicherheit hatten sie nach dieser Meldung anfänglich bei DeepSeek nicht im Griff. Zwischenzeitlich musste auch die Registrierung deaktiviert werden.
4.2 Mimimi bei OpenAI – Urheberrecht mal anders
Wenn es darum geht, dass für das Training von LLM urheberrechtlich geschütztes Material verwendet wird, denken wir an wen? Genau, OpenAI. Und an wen denkt OpenAI? Genau, DeepSeek. Man hätte es sich nicht besser ausdenken können: Ein Unternehmen, dessen Geschäftsmodell (u.a. wegen unzähliger Urheberrechtsverstöße) in der Kritik steht (und das deswegen durch Gerichte überprüft wird), beschwert sich, dass andere seine (vermeintlichen) Rechte missachten, wie hier berichtet wird.
4.3 Kalifornien: Illegale KI?
Schau an: Auch in Kalifornien werden die Rechtsgrundlagen bei KI hinterfragt, wie hier berichtet wird. Die Rechtmäßigkeit der Geschäftspraktiken der KI-Branche sei seit langem eine umstrittene Frage. Als „disruptive“ neue Technologie habe künstliche Intelligenz eine Fülle von Problemen verursacht, während sie der Gesellschaft gleichzeitig neue Vorteile bietet. Insbesondere wurde KI dazu verwendet, um Verbraucher irrezuführen, um neue Formen der Desinformation und Propaganda zu schaffen und um bestimmte Personengruppen zu diskriminieren. Nun hat die Generalstaatsanwaltschaft von Kalifornien ein „Legal Advisory“ herausgegeben, in dem betont wird, dass all diese Dinge wahrscheinlich illegal sind.
4.4 MIT: Updates zum AI Risk Repository
Das MIT Risk Repository wurde mit Stand Dezember 2024 aktualisiert. Es besteht aus drei Teilen:
- Die KI-Risiko-Datenbank erfasst über 1000 Risiken, die aus 56 bestehenden Rahmenwerken und Klassifizierungen von KI-Risiken extrahiert wurden.
- Die kausale Taxonomie der KI-Risiken klassifiziert, wie, wann und warum diese Risiken auftreten.
- Die Domänentaxonomie der KI-Risiken klassifiziert diese Risiken in sieben Domänen (z. B. „Fehlinformationen“) und 23 Unterdomänen (z. B. „Falsche oder irreführende Informationen“)
Zu den Änderungen wird hier informiert.
4.5 Praxishilfe zur Einführung von KI-Anwendungen bei medizinischen Daten
Bei so einem Titel erfreue ich mich u.a. über das Wortspiel bei „Praxishilfe“ – auch wenn das wahrscheinlich nicht so gedacht war. Die Gesellschaft für medizinische Informatik, Biometrie und Epidemologie e.V. (gmds) und der BvD haben in einer gemeinsamen Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ eine „Praxishilfe zur Einführung von KI-Anwendungen“ erarbeitet. Diese Praxishilfe möchte eine praxisorientierte Orientierung für Unternehmen bieten, die KI einführen oder deren Einsatz strukturieren wollen. Sie thematisiert wesentliche Schritte wie die systematische Bestandsaufnahme vorhandener Technologien, die Festlegung unternehmensspezifischer Ziele, die Entwicklung verbindlicher Richtlinien sowie die Bedeutung von Kommunikation, Schulung und Mitbestimmung. Ziel der Praxishilfe ist es Unternehmen eine klare Grundlage zu geben, um KI verantwortungsvoll, effizient und unter Berücksichtigung der Interessen aller Beteiligten zu integrieren.
4.6 KI-Marktplatz des Bundes
Wie nutzt der Bund eigentlich Künstliche Intelligenz? In der Bundesverwaltung kommen KI-Systeme schon länger zum Beispiel in Form von Chatbots und Übersetzungstools zum Einsatz. Auch können Gespräche mit Mitarbeitenden oder Präsentationen mittels KI-Training simuliert werden. Aber es gibt noch viele weitere Anwendungen. Jetzt gibt es den „Marktplatz der KI-Möglichkeiten“ – kurz MaKI, über den jetzt öffentlich ein Einblick zu KI-Systemen der Bundesverwaltung genommen werden kann. Folgende Möglichkeiten bietet der „MaKI“:
- Übersicht über KI-Systeme, Leuchtturmprojekte und Erfahrungen in der Bundesverwaltung
- Optimierter Einsatz von Ressourcen, durch Nachnutzung bestehender KI-Systeme
- Verbesserte Vernetzung zwischen Behörden und erleichterte Zusammenarbeit an KI-Systemen
- Ausbau und effizienter Einsatz technischer Expertise
Die testweise Einbindung der Länder und Kommunen auf dem Marktplatz der KI-Möglichkeiten wurde durch den IT-Planungsrat beschlossen. So könnten künftig bestehende Synergien und Potentiale noch weitreichender genutzt werden.
4.7 Niederlande: AI Impact Assessment
Das niederländische Ministerium für Infrastruktur und Wasserverwaltung veröffentlichte Hinweise und Vorgaben für die Durchführung eines AI Risk Assessments. Dazu gibt es auch ein Video (Dauer 2 Min.) zur Erklärung.
4.8 AI Office: Vorschlag zur Transparenz der Trainingsquellen
Wie hier berichtet wird*, hat das AI Office der EU einen Entwurf für eine Zusammenfassung der Quellen, die zum Trainieren von KI-Modellen verwendet werden, vorgestellt*, die Anbieter im Rahmen der KI-Verordnung melden müssen. Die Zusammenfassungen enthalten drei Teile: allgemeine Informationen über die Einheit, die die KI trainiert, den Umfang des Trainings und die Quellen, dann eine Liste der Datenquellen und schließlich die Verarbeitung zur Einhaltung des Rechtevorbehalts („Opt-out“) und zur Entfernung unerwünschter Inhalte. Das Dokument verlangt zahlreiche Details zu den verwendeten Datenpaketen, ihren Quellen, ihrer Größe und ihren Lizenzen. In Bezug auf die abgezogenen Inhalte möchte die Kommission die Liste der „Top 10 %“ der besuchten Websites nach Datentyp (Text, Bild…) kennen. Bis Ende Januar 2025 haben die Teilnehmer Zeit, um sich zu diesem Entwurf zu äußern.
n dem Bericht wird auch darauf hingewiesen, dass vorher durch Lobbyisten aus den Bereichen Presse, Verlagswesen, Musik und audiovisuelle Medien in einer E-Mail das AI Office aufgefordert wurde, die Vorschläge der Tech-Branche abzulehnen, darunter auch den Vorschlag eines „globalen“ Modells, den die CCIA Mitte Januar 2025 veröffentlichte. „Das Ankreuzen einiger Kästchen mit zwei bis vier Sätzen kann nicht ernsthaft als ausreichend detaillierte Zusammenfassung der Trainingsdaten der Modelle dargestellt werden“, schrieben diese Rechteinhaber.
* Franks Anmerkung: Bei mir enden beide Links auf Anmelde- bzw. Registrierungsseiten. Beim Kollegen Kramer nicht. Go figure… Vielleicht funktionieren sie bei Ihnen.
4.9 Immer wieder: Die Frage des Urheberrechts beim Training von LLM
Mit dieser Frage befasste sich auch eine interdisziplinären Studie „Urheberrecht & Training generativer KI – technologische und rechtliche Grundlagen“, die letzten September im Europäischen Parlament vorgestellt wurde, wie hier informiert wird. Dort gibt es neben einem Abstract auch eine Zusammenfassung auf Deutsch und Englisch. Die Studie befasst sich auch mit den Ausnahmetatbeständen der §§ 44a, 44b und 60 UrhG.
4.10 bitkom: KI-Beispiele im Personalwesen im Lichte der KI-Verordnung
Der bitkom veröffentlichte KI-Anwendungsbeispiele im HR-Bereich im Lichte der KI-Verordnung. Laut einer bitkom-Studie aus dem Jahr 2024 nutze aktuell bereits jedes fünfte Unternehmen (20 Prozent) Künstliche Intelligenz (KI), 2023 waren es 15 Prozent. Ein weiteres Drittel (37 Prozent) plant bzw. diskutiert den Einsatz von KI. Auch in die Personalarbeit hält KI Einzug. Sie optimiert Arbeitsprozesse, entlastet bei Standardaufgaben oder verbessert die Qualität der Arbeitsergebnisse. KI-Tools können im gesamten Employee-Cycle zum Einsatz kommen.
Mit dem Praxisleitfaden möchte der bitkom dazu beitragen, dass KI-Anwendungen in Unternehmen im Personalbereich noch stärker genutzt werden und der Arbeitsalltag in Deutschland innovativer und digitaler wird.
Der Leitfaden gibt einen allgemeinen Überblick über die für das Personalwesen relevanten Bestimmungen der KI-Verordnung, zeigt Anwendungsbeispiele für KI im Personalwesen auf und unterstützt Anbieter von KI-Systemen bei der Risikoklassifizierung von KI-basierten HR-Tools gemäß der KI-Verordnung. Er ergänzt den horizontalen „Umsetzungsleitfaden zur KI-Verordnung“ des bitkom. Weiterhin befasst sich der bitkom-Leitfaden „Generative KI im Unternehmen“ unter anderem mit arbeitsrechtlichen Aspekten und gibt Praxishinweise zur Erstellung einer unternehmensinternen Richtlinie zur Nutzung generativer KI.
Auf den Praxisleitfaden „Künstliche Intelligenz & Datenschutz“ wird übrigens nicht hingewiesen.
4.11 Auswirkungen von KI auf die Kreativbranche – Woran erkenne ich KI?
In einem Podcast (Dauer ca. 61 Min.) zu Literaturkritiken wird auch thematisiert, wie erkennbar wird, dass beim Cover eine KI am Werk war. Dies erklärt ein Kinderbuchillustrator ca. ab Min. 35 und hier zum Nachlesen.
4.12 Woran drohen Unternehmensprojekte mit LLM zu scheitern?
Damit befasst sich diese Veröffentlichung unter dem Titel „Mind the Data Gap: Bridging LLMs to Enterprise Data Integration“ und kommt zu dem Ergebnis, dass oft die zugrundeliegenden Daten nicht ausreichend sind, sofern diese nur mit öffentlichen Daten trainiert wurden. „Interne“ Daten seien zum Zeitpunkt des Trainings nicht verfügbar gewesen.
4.13 Übersetzungsvariationen bei DeepL?
Ich habe eine Meldung mitbekommen, dass es bei Übersetzungen mit DeepL Unterschiede zwischen kostenloser und Bezahl-Variante geben kann. Das ist an sich nicht unüblich, aber die Unterschiede sind nicht transparent erkennbar.
4.14 Ausführungen zur EDSA-Stellungnahme 28/2024
Die Stellungnahme des EDSA 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (wir berichteten) ist bislang nur in Englisch auf den Seiten des EDSA veröffentlicht. Hier fasst eine Kanzlei die wesentlichen Aussagen zusammen.
5 Veröffentlichungen
5.1 Nichts ist sicher – Bericht über Red-Testing bei Microsoft
In diesem Beitrag geht es um die Bewertung der Auswirkungen von KI auf die Sicherheitsrisiken. Er verweist auf eine Veröffentlichung mit dem Titel „Lessons from red-teaming 100 generative AI products“, die letztendlich (u.a.) zu dem Schluss kommt, dass die Arbeit zur Sicherung von KI-Systemen nie abgeschlossen sein wird.
5.2 Sind Open-Source-Produkte sicher?
In der Diskussion um Fragestellungen der digitalen Souveränität kommen immer wieder Hinweise, dass Open Source Produkte außerhalb der staatlichen Einflussmöglichkeit lägen und dies eine Verfügbarkeit und Unabhängigkeit sichere. Wie ist aber der Zusammenhang zwischen Open Source und Qualität? Damit befasst sich dieser Beitrag.
5.3 Gutachten zur ePA (Widerspruchslösung)
Die Diskussion um die Sicherheit der elektronische Patientenakte ist in vollem Gange, Daher sei an ein Gutachten (aus dem Jahr 2022), das sich mit der datenschutzrechtlichen Fragestellung befasst, ob ein Opt-out ausreicht, und welches im Auftrag der Bertelsmann-Stiftung erstellt wurde, erinnert.
Franks Nachtrag: Sie möchten vielleicht hier weiterlesen.
5.4 Anforderungen an Anonymisierung
Was sind die Anforderungen an eine wirksame Anonymisierung? Wie können Schwachstellen diesbezüglich bewertet werden? Damit befasst sich diese Veröffentlichung „Towards more accurate and useful data anonymity vulnerability measures”, die sich auch mit den Anforderungen aus der DS-GVO befasst.
5.5 Allianz Risk Barometer: Top-Geschäftsrisiko Cybersicherheitsvorfall
Aus dem Allianz Risk Barometer 2025 werden die größten Herausforderungen, denen sich Unternehmen in einem zunehmend komplexen und vernetzten Risikoumfeld gegenübersehen, aufgelistet. Betriebsunterbrechungen rangieren mit 31 % der Nennungen auf Platz zwei und sind häufig die Folge von Cyberangriffen, Naturkatastrophen oder geopolitischen Spannungen, die Lieferketten und operative Abläufe stören. Ein Link zum Barometer findet sich hier und einen Bericht darüber dort.
5.6 Monitor der Resilienz angesichts Ransomsoftware (Projekt Contain)
Wir hatten schon zur Umfrage im letzten Jahr berichtet. Nun sind die Ergebnisse veröffentlicht. Der Monitor Resilienz vermittelt angesichts Ransomware Einblicke in die Praxis und thematisiert technische und organisatorische Aspekte entsprechenden-Attacken. Dies umfasst das Spektrum von möglichen Vorbereitungen über Auswirkungen bis hin zu Nachwirkung und -bearbeitung.
Der Monitor wurde erstellt vom deutsch-österreichischen Forschungsprojekt „Effiziente Reaktion auf IT-Sicherheitsvorfälle in transnationalen Lieferketten (CONTAIN)“. Hier auch nochmal der Hinweis zur Veranstaltung dazu Ende Februar in München und Wien, Anmeldung hier.
5.7 IHK Oberbayern: Cybersecurity Day 2025
Die Folien aus der Veranstaltung der IHK Oberbayern mit Beteiligung des BayLDA rund um Cybersicherheit (den Cybersecurity Day 2025) wurden nun auf den Seiten der IHK Oberbayern veröffentlicht.
Franks Nachtrag: Das BayLDA hat zu den eigenen Aktivtäten im Zusammenhang mit dem Cybersecurity Day 2025 in einer separaten Pressemitteilung berichtet.
5.8 Stiftung Datenschutz: Schwerpunkte in der Datenschutzpolitik aus Sicht der BfDI
Die Veranstaltung der Stiftung Datenschutz mit der BfDI ist nun auch online als Aufzeichnung (Dauer ca. 1:35 Std.) verfügbar.
Franks Nachtrag: Passend dazu finden Sie hier auch die „Datenschutzpolitische Agenda für die 21. Wahlperiode des Deutschen Bundestages” der BfDI (wir berichteten).
5.9 Barrierefreiheit auch bei Datenschutzerklärungen
Falls es viele vergessen haben: Auch Datenschutzerklärungen müssen als Texte die Anforderungen an eine Barrierefreiheit erfüllen. Mehr dazu hier und dort.
5.10 vzbv: Manipulatives Design auf Online-Marktplätzen und Social-Media-Plattformen
Der verbraucherzentrale bundesverband e.V. (vzbv) veröffentlichte seine Untersuchung zur Umsetzung von Art. 25 DSA (Digital Services Act). Die Untersuchung zeige deutlich, dass Plattformen trotz der Regelungen des Digital Services Act weiterhin manipulative Designelemente, insbesondere Hyper Engaging Dark Patterns, in sehr intensiven Formen einsetzen. Dies stünde im Widerspruch zu den Vorgaben des Art. 25 DSA, der darauf abzielt manipulative Praktiken zu unterbinden.
5.11 Umsetzungstipps zum EuGH-Urteil zu Betriebsvereinbarungen (C-65/23)
Kurz vor Weihnachten 2024 veröffentlichte der EuGH sein Urteil zu datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen im Verfahren C-65/23 (wir berichteten). In diesem Beitrag wird dargestellt, nach welchen Aspekten bestehende Betriebsvereinbarungen geprüft werden sollten. Auch fehlt nicht der Hinweis auf die Rechtsfolge für Betriebsvereinbarungen, die die Anforderungen des EuGH nicht erfüllen: Sie entfallen i.d.R. ersatzlos, es gelten dann die gesetzlichen Regelungen.
5.12 GDD: Stellungnahme zur Entscheidung des EuGH zu Betriebsvereinbarungen
Welche Folgen für die Praxis hat das EuGH-Urteil C-65/23 zu Kollektivvereinbarungen wie Betriebsvereinbarungen (wir berichteten)? Darin äußerte sich der EuGH zu den datenschutzrechtlichen Anforderungen an Betriebsvereinbarungen und der Frage nach der gerichtlichen Überprüfbarkeit solcher Kollektivvereinbarungen. Grund dafür war eine Vorlagefrage des BAG zur deutschen Umsetzung in § 26 Abs. 4 BDSG. In ihrer Stellungnahme schildert die GDD den Ausgangsfall, die rechtlichen Hintergründe und die Entscheidung des EuGH, bevor sie diese selbst bewertet und kurz die Folgen der Entscheidung darlegt.
5.13 Beitrag zum EuGH-Urteil (C-394/23) zur geschlechtlichen Anrede
In diesem Beitrag wird das Urteil des EuGH (C-394/23) zu Anforderungen des EuGH zu einer geschlechtlichen Anrede bei der Buchung von Bahnfahrkarten (wir berichteten) besprochen. Insbesondere die Aussagen des EuGH als Erfordernis bei der Höflichkeit wird kritisiert.
5.14 Studie zu DS-GVO-Bußgeldern in Europa
Wie viele DS-GVO-Bußgelder wurden verhängt, welche Gesamthöhe ergibt sich und durch welche Aufsicht wurden die höchsten Bußgelder veröffentlicht? Wer sich dafür interessiert, findet in diesem Report Antworten. Die Kanzlei fasst die Ergebnisse auch auf ihrer Homepage zusammen.
Franks Nachtrag: Zu DS-GVO-Bußgeldern wollen Sie vielleicht hier weiterlesen.
5.15 Universität Saarland: Folien der Vortragsreihe „Datenschutz in der Praxis“
Auf die Vortragsreihe, die online frei zugänglich angeboten wird, hatten wir bereits regelmäßig hingewiesen. Wir ergänzen unsere Empfehlung um den Hinweis, dass hinterher unter diesem Link nicht nur die Daten zu den geplanten Vorträgen, sondern auch die gezeigten Folien der bereits gehaltenen Vorträge verfügbar sind.
5.16 Kommentar zu den europäischen Grundrechten
Die portugiesische Universität Braga bietet online einen kostenlosen Kommentar zu der europäischen Grundrechtecharta in englischer Sprache an. Er umfasst über 500 Seiten.
5.17 D-Trust: Angriff auf die Daten – oder auf das Image?
Zunächst gab es Meldungen, dass es bei D-Trust einen Angriff auf das Antragsportal für Signatur- und Siegelkarten gegeben habe. Da lesen sich die Darstellungen beim Chaos Computer Club dann doch etwas anders.
Franks Nachtrag: Hier wird über die Darstellung des CCC berichtet. Der CCC fordert u.a. die Abschaffung des Hackerparagrafen, da sich ohne diesen der Entdecker der Schwachstelle höchstwahrscheinlich direkt an die D-Trust gewendet hätte.
5.18 Ergebnisse der CEDPO-Umfrage zum Datenschutzbeauftragten veröffentlicht
Die CEDPO hat im Rahmen einer europaweiten Umfrage über 1.100 DSB zu ihren Aufgaben und den Herausforderungen befragt, die mit ihrer Stellung als DSB einhergehen. Dabei wurden Unterschiede im Selbstverständnis, der Zufriedenheit und bei den Bedürfnissen der DSB im europaweiten Vergleich deutlich. Anlässlich des 19. Europäischen Datenschutztages stellt die CEDPO die Ergebnisse der Umfrage hier zur Verfügung.
5.19 GDD: Praxishilfe zu Benachrichtigungspflichten nach Datenschutzverletzungen
In ihrer Praxishilfe zu Benachrichtigungspflichten zu Datenschutzverletzungen bietet die GDD Verantwortlichen eine Unterstützung bei der Umsetzung der Anforderungen bei einer Datenschutzverletzung. Es sind praxisorientierte Erläuterungen zu den Voraussetzungen und Verfahren der Meldepflichten ebenso enthalten wie anschauliche Fallbeispiele aus der Praxis.
5.20 „Kostenfalle für IT-Dienstleister“
Eigentlich wäre eine andere Überschrift passender, aber so wird es eher wahrgenommen. In diesem Beitrag geht es um die gesteigerten Risiken durch Sammelklagen, bei denen nach Datenschutzverletzungen (oft nach erfolgreichen Cyberangriffen) dann erst die eigentlichen Kosten und Aufwände auf Unternehmen zukommen. Einzelansprüche oder Massenverfahren, die Ressourcen binden und Geld kosten. Zwar konzentriert sich der Bericht auf die Entwicklungen in den USA, führt aber auch aus, dass in Deutschland durch das Verbandsklagerichtlinienumsetzungsgesetz auch hier Sammelklagen – für Geschädigte und deren Rechtsvertreter – lukrativer werden und somit ein oft unerwartetes Risiko für Unternehmen darstellen.
5.21 Zu wenig Geldbußen bei Datenschutzverstößen?
Das NGO noyb führt zum Datenschutztag auf, dass fast 40 Prozent aller in der EU verhängten DS-GVO-Strafen zwischen 2018 und 2023 auf von der NGO selbst initiierte Verfahren zurückzuführen seien. Das sei aber immer noch wenig: Nur 1,3 % der Verfahren endeten mit einer Geldstrafe. Die höchste „Strafquote“ hätte die Slowakei.
5.22 bitkom: Mehrheit der Deutschen kauft wegen personalisierter Werbung
Das wäre auch eine gute Frage für meine Student:innen bei der Übung zur Auslegung von Gesetzen. Denn der Satz in der Aussage des bitkom lässt offen, ob sie das toll finden oder gar freiwillig tun oder ob damit nur ausgesagt werden soll, dass personalisierte Werbung einen höheren Erfolgsgrad hat als Postwurfsendungen oder Werbung auf Webseiten, die „nur“ zufällig erscheinen. Letztendlich geht es um eine Studie zum Wertbeitrag des digitalen Marketings, die der bitkom veröffentlicht hat. Dazu gibt es drei Folien / Grafiken: Werbung im Internet, Ausgaben für digitales Marketing und personalisierte Werbung. Und keine Sorge: Es gibt in dem Foliensatz auch die Aussage, dass 47 % der Befragten kostenfreie Webseiten mit nicht-personalisierten Werbeinhalten bevorzugen würden, der Rest teilt sich auf in 37 %, die kostenfrei Webseiten mit personalisierten Werbeinhalten bevorzugen und 16 %, die auch zahlen würden, um überhaupt keine Werbeinhalte angezeigt zu bekommen. Aber die Headline, dass 47 % der Deutschen eigentlich kein Profiling wünschen, hätte vom bitkom auch realistisch keiner erwartet.
5.23 Niederländische Rechnungskammer zum Cloudeinsatz
Die niederländische Rechnungskammer hat ihren Bericht zu Einsatz von Cloud-Lösungen veröffentlicht. Seit dem Jahr 2022 hat die niederländische Zentralregierung den Einsatz von Public-Cloud-Diensten erlaubt, um Effizienz und Servicequalität zu steigern. Der Bericht zeigt auf, dass dabei einige Risiken entstehen: 26 % der genutzten Cloud-Dienste seien unklar klassifiziert. Zwei Drittel der kritischen Dienste wurden ohne ausreichende Risikobewertung implementiert. Unterschiedliche Cloud-Strategien erschwerten eine einheitliche Sicherheitssteuerung. Bei den grösseren Gefahren werde die Abhängigkeit von US-Anbietern ausgemacht: Die digitale Souveränität sei gefährdet. Es fehlten Notfallpläne, die dem IT-Ausfall und der Lahmlegung zentraler Dienstleistungen entgegenwirkten. Die Rechnungskammer empfiehlt u.a. einheitliche Cloud-Richtlinien für alle Ministerien, zentralisierte Vertragsverhandlungen zur Risikominimierung und die Stärkung der Sicherheitsstandards, um Datenschutz und Betriebskontinuität zu gewährleisten.
5.24 Rund um Dashcams
Das auch im privaten Umfeld immer wieder aktuelle Thema „Dashcam“ wird in diesem Blog-Beitrag behandelt. Es gibt ja eine BGH-Entscheidung, ob Aufnahmen einer „Dashcam“ als Beweismittel verwendet werden darf (allerdings noch auf Basis des früheren BDSG).
5.25 Veranstaltungen
5.25.1 BSI: 1. IT-Grundschutztag 2025
04.02.2025, 08:30 – 16:15 Uhr, Magdeburg und online: Zusammen mit dem Land Sachsen-Anhalt richtet das BSI die Veranstaltung zum Thema „Gemeinsam sicher. Gemeinsam digital.“ in hybrider Form aus. Der IT-Grundschutz-Tag in Magdeburg gibt praxisnahe Einblicke in den IT-Grundschutz und in das BCM, sowie die Umsetzung aktueller Vorschriften wie beispielsweise die NIS2-Richtinie in den Bundesländern und in der kommunalen Verwaltung. Im Fokus der Veranstaltung stehen daher Landesverwaltungen und Kommunen. Aktuelle Neuigkeiten zum IT-Grundschutz runden den Tag ab. Die Teilnahme ist kostenfrei. Weitere Informationen zur Agenda und Anmeldung finden sich hier.
5.25.2 LDI NRW – KI in der Verwaltung
18.02.2025, 10:00 – 15:00 Uhr, vor Ort in Düsseldorf: Wo konkret kann KI in der Verwaltung zum Einsatz kommen? Vor welchen spezifischen rechtlichen und strukturellen Herausforderungen stehen Verwaltungen dabei? Welche Rahmenbedingungen gilt es zu schaffen oder zu verändern? Wie KI und Datenschutz gemeinsam realisiert werden, will die LDI NRW mit Vertreter:innen aus Wirtschaft, Politik, Verwaltung und Wissenschaft unter dem Titel „Zwischen Hype und Horror – Kann die Verwaltung KI verantwortungsvoll einsetzen?“ diskutieren. Weitere Informationen und Anmeldung (ab 21.01.2025 möglich) hier.
5.25.3 Stiftung Datenschutz: Datenschutz am Mittag – Cybersicherheitsrecht der EU: Auswirkungen auf den Datenschutz
18.02.2025, 13:00 – 14:00 Uhr, online: In der Reihe „Datenschutz am Mittag“ gibt es zu dem Thema „Das neue Cybersicherheitsrecht der EU – Auswirkungen von NIS-2 und CRA auf den Datenschutz“ Informationen zu den zentralen Neuerungen und Anforderungen der NIS-2-Richtlinie und des CRA, den Wechselwirkungen mit bestehenden Datenschutzvorschriften, Hinweise auf praktische Konsequenzen für Unternehmen und sonstigen Einrichtungen, sowie Empfehlungen für Maßnahmen zur strategischen Vorbereitung auf die neue Rechtslage und damit einhergehende neue Aufgaben für Datenschutzverantwortliche. Weitere Informationen und Anmeldung hier.
5.25.4 Museum für Kommunikation Nürnberg – Geschlechtliche Diversität und Datenschutz / Frage der Erforderlichkeit?
18.02.2025, 19:00 – 20:30 Uhr, vor Ort in Nürnberg: m Rahmen der Reihe Daten-Dienstag, die das Museum für Kommunikation Nürnberg mit dem BayLDA und dem BvD veranstaltet, geht es unter dem Titel „Frau, Mann und dann? – Geschlechtliche Diversität und datenschutzrechtliche Anforderungen – was ist „erforderlich?“ um Auswirkungen der EuGH-Entscheidung zur Erforderlichkeit von Angaben zur Geschlechtsidentität beim Online-Kauf von Eisenbahntickets (Urt. v. 09.01.2025, Az. C‑394/23). Inwieweit können sich bei einer Angabe, aus der sich das Geschlecht einer Person ableiten lässt, datenschutzrechtliche Konsequenzen ergeben? Welche Angaben dürfen und welche Angaben müssen dabei berücksichtigt werden? In welchen Fällen kann ich davon ausgehen, ein geschlechtsbezogenes Datum verarbeiten zu dürfen?
Welche datenschutzrechtlichen Anforderungen wie Datenminimierung, Informationspflichten, Berichtigungsrechte und Nachweispflicht der Rechtmäßigkeit sind zu beachten? Welche Folgen kann die Nichtbeachtung nach sich ziehen und welche Empfehlungen zur Umsetzung können ergriffen werden? Zu diesem datenschutzrechtlich, aber auch gesellschaftspolitisch genauso aktuellen wie grundlegenden Fragestellungen informieren und diskutieren der Präsident des BayLDA und ein Lehrbeauftragter* der Hochschule Ansbach. Weitere Informationen und Anmeldung hier.
* Franks Anmerkung: Hey, den Lehrbeauftragten kenne ich doch irgendwoher …
5.25.5 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 4: Vorbereitung und Umsetzung der KI-Verordnung in der Wirtschaft
25.02.2025 \\ online - Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben*
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Ja, das steht da immer noch so…
5.25.6 Universität der Bundeswehr München / Austrian Institute of Technology: „Exercise Contain“ – Rahmenwerk zur Bewältigung von Cybervorfällen
25./26.02.2025, (25.02.2025,) 12:00 Uhr – (26.02.2025,) 16:00 Uhr, München: In einer Kooperation zwischen Deutschland und Österreich forschen Universitäten, Unternehmen und Behörden daran, die Reaktion auf digitale Bedrohungen, insbesondere Ransomware, effektiver und effizienter zu gestalten. Das Forschungsprojekt CONTAIN entwickelt hierfür ein Rahmenwerk von Prozessen und Verfahren zu Bewältigung von Cyber-Vorfällen, unterstützt durch Serious Games und Simulationen. Details zum Programm finden sich hier unter „Info“, die Anmeldung dazu unter „Anmeldung“*.
* Franks Anmerkung: Na, das ist ja mal eine toll gebaute Seite. Ohne Javascript geht nix. Gute Navigation 👍
5.25.7 IHK für München und Oberbayern – AI Act umsetzen: Künstliche Intelligenz und Datenschutz
27.02.2025, 14:00 – 15:00 Uhr, online: Künstliche Intelligenz (KI) ist in aller Munde und viele Unternehmen in Bayern setzen diese, sei es Chat GPT & Co. oder mittels anderer Softwaresysteme, bereits ein. Die KI-Verordnung (KI-VO) greift schrittweise ab dem Jahr 2025 und bringt zwangsläufig im Augenblick noch mehr Fragen als Antworten mit sich. Zugleich bleibt die DS-GVO unangetastet beim Themenfeld KI bestehen. In diesem Webinar zeigt das BayLDA auf, welche spezifischen Anforderungen und Einschränkungen die Verordnungen für den Umgang mit Daten und KI-Systemen festlegen. Weitere Informationen und Anmeldung hier.
5.25.8 Netzwerk „Interaktiv“: „Lüge im Rampenlicht“ -neu-
27.02.2025, ab 19:30 Uhr, München und online: Das Netzwerk „Interaktiv“ ist ein Zusammenschluss zahlreicher Partner aus der kommunalen Kinder- und Jugendkulturarbeit in München. Nach den Wahlen in USA, Österreich und Deutschland werden Behauptungen ohne Bezug zur Faktenlage, ein die Wahrheit entstellendes Dekontextualisieren sowie manipulative Narrative analysiert. Dabei zeigt sich einmal mehr, wie schmal der Grat zwischen den beiden Abgründen, dem der wissentlichen Täuschung und jenem einer gleichgültigen Bullshit-Kultur, ist. Doch wie viel von beidem kann eine Gesellschaft aushalten? Wie viel Wahrheit braucht die Demokratie? Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Cyber-Bedrohungen – Wie sicher sind Cloud-Anwendungen?
In dieser Ausgabe in der ARD-Audiothek (Dauer ca. 30 Min.) geht es um Sicherheitsfragen bei der Nutzung von Cloud-Angeboten. Wie kann man sich schützen? Und welchen Einfluss hat Trumps „America First“-Politik auf die Datensicherheit?
6.2 USA: Übernahme von TikTok?
In der Frage des Umgangs mit TikTok in den USA scheint sich eine Lösung anzubahnen. Nach diesem Bericht erwägen Oracle und Microsoft künftig gemeinsam das Netzwerk zu betreiben.
6.3 Strafverfolgung und Vertrauen
Wir hatten es ja in letzter Zeit immer wieder mal, wenn es um Befugnisse der Strafverfolgungsbehörden ging und um Fragestellungen zur Verwendung von Beweisen. Hier mal ein praktisches Beispiel, wie es sich auswirken kann, wenn belastende Angaben der Verteidigung nicht transparent zur Verfügung gestellt werden: Eine Person wurde auf Basis von Angaben ausländischer Dienste vorgeworfen Anschläge zu planen, wie hier berichtet wird. Es wurden belastende Chat-Verläufe vorgelegt. Nur waren diese gefälscht. Eine rechtliche Einschätzung dazu hier.
6.4 Meta und politische Manipulation
Es scheint ein Wettrennen bei Betreibern sozialer Medien in den USA ausgebrochen zu sein sich gegenseitig in der Herabsetzung moralischer Standrads überbieten zu wollen, um dem neuen Präsidenten zu gefallen. Hier ist eine weitere Meldung* zum Niveau-Limbo großer Anbieter aus den USA: Wie berichtet wird, würden bei Instagram Hashtags der Demokraten blockiert oder Nutzer auf Facebook auf einmal bemerkten, dass sie als Follower von Trump oder dessen Vizepräsidenten eingetragen wurden, obwohl sie dies nicht anklickten.
Das wäre ja nicht das erste Mal, dass sich Meta Vorwürfen, politische Entscheidungen ihrer Nutzer intransparent zu beeinflussen, ausgesetzt sieht, siehe auch diesen Vortrag zum Brexit.
* Franks Anmerkung: Hier passend eine Quelle aus den USA. Trump steht ja auf Follower, Meta liefert…
6.5 Faktencheck zur Bundestagwahl
Auf den Seiten von Correctiv werden Aussagen und Behauptungen rund um die Bundestagswahl 2025 einem Faktencheck unterzogen. Aber auch öffentlich-rechtliche Anbieter wie der Faktenfinder der Tagesschau oder private Stellen wie MIMIKAMA können hier helfen. Leider ist das immer mehr erforderlich.
6.6 Kritik an der High-Level Group (HLG)
Mit einem offenen Brief äußern das NGO European Digital Rights und 57 weitere Berufsverbände und zivilrechtliche Gruppen Kritik an der High-Level Group (HLG). Die HLG ist eine Arbeitsgruppe, die durch die Kommission ins Leben gerufen wurde, um alle Herausforderungen zu untersuchen, mit denen Strafverfolgungsbeamte in der Union bei ihrer täglichen Arbeit im Zusammenhang mit dem Datenzugang konfrontiert sind, und um mögliche Lösungen zu geben, um diese zu bewältigen.
Der Abschlussbericht der HLG und deren Empfehlungen bergen erhebliche Gefahren für die Sicherheit und Privatsphäre, die sich aus der „Going Dark“-Agenda ergeben könnten, die den Strafverfolgungsbehörden maximalen Zugriff auf personenbezogene Daten ermögliche. Der Bericht der HLG spiegele eine einseitige Ausrichtung wider und fordere gefährliche Maßnahmen wie den Einbau von Hintertüren in Technologien und die europaweite Harmonisierung einer anlasslosen Vorratsdatenspeicherung. Diese Vorschläge würden die Privatsphäre und Sicherheit aller EU-Bürger gefährden und den Grundrechten massiv widersprechen. Den Brief haben u.a. die DVD e.V. und der LOAD e.V. mitunterzeichnet.
7 Sonstiges/Blick über den Tellerrand
7.1 Kognitive Fähigkeiten bei jüngeren Menschen und KI
Welche Auswirkungen hat die Nutzung von KI-Tools auf die Entwicklung junger Menschen? Damit befasst sich diese Studie der Swiss Business School, über die hier berichtet wird und die dabei feststellt, dass eine intensive Nutzung von KI-Tools die Fähigkeit zum kritischen Denken deutlich reduziert. Besonders jüngere Menschen sind betroffen. Je häufiger Menschen KI-Werkzeuge nutzen, desto schlechter schneiden sie bei Tests zum kritischen Denken ab. Zur Messung des kritischen Denkens verwendeten sie den standardisierten Halpern Critical Thinking Assessment (HCTA). Dieser Test kombiniert Multiple-Choice- und offene Fragen, um verschiedene Aspekte des kritischen Denkens zu prüfen – von Argumentationsanalyse bis zur Bewertung von Wahrscheinlichkeiten.
Es wird empfohlen KI-Tools in Bildungseinrichtungen ausgewogen einzusetzen. Statt KI-Werkzeuge passive Aufgaben übernehmen zu lassen, sollten aktive Lernstrategien gefördert werden, die kritisches Denken erfordern. Lehrer sollten geschult werden, um KI-Tools so zu integrieren, dass sie das kognitive Engagement der Schüler nicht untergraben. Zudem sollten Schüler lernen, wann und wie sie KI-Tools angemessen nutzen können ohne ihre kognitiven Fähigkeiten zu vernachlässigen.
7.2 Symbole mit rechtsradikaler Bedeutung
Sticker mit Zahlenkombinationen an Laternen, Ampeln oder Heckscheiben, Buchstabenkombinationen als Tätowierung, auf T-Shirts oder in online Foren – Aspekte die womöglich nicht sofort auffallen, können bewusst verwendete Codes von Rechtsextremen sein, um antidemokratische, rassistische oder antisemitische Inhalte auszudrücken. Welche Codes gibt es und was ist deren Funktion? Wer sich dazu informieren will, findet auf den Seiten des Verfassungsschutzes oder bei der Konrad-Adenauer-Stiftung ausreichende Information dazu.
7.3 Entscheidungshelfer zur Bundestagwahl
Wer noch unentschlossen ist, wem er seine Stimme gibt, oder einfach nur bereits getroffenen Entscheidungen validieren möchte, findet einige Unterstützung: so bei der Übersicht der Wahlprogramme von sieben Parteien, bei dem legendären Wahl-O-Mat der Bundeszentrale für politische bildung oder bei einem Chatprogramm zu dem Programm von acht Parteien. Neben dem Wahlpapier des bitkom gibt es zu den digitalen Themen der Bundestagswahl auch die „digitalen Bausteine“ und den bitkomat mit Wahlprogrammfragen.
Sehr anschaulich zeigt die Webseite bundestagswahl.ai, wie eine KI die Wahlprogramme einzelner Parteien grafisch umsetzt. Bei formalen Fragen hilft die Webseite der Bundeswahlleiterin weiter.
Meine Empfehlung lautet einfach nur: Informieren Sie sich und gehen Sie wählen. Jede Stimme, die nicht abgegeben wird, stärkt genau diejenigen, die Sie am wenigsten wollen.
(Und das gilt für jede politische Richtung.)
7.4 Der 28. Januar und der Datenschutz
Was ist da eigentlich los am 28. Januar, wenn so viele Veranstaltungen und Informationen zum Datenschutz angeboten werden?
Der 28. Januar ist der europäische Datenschutztag. Er wurde eingeführt in Erinnerung an den 28.01.1981, als der damalige Europarat die Konvention Nr. 108 verabschiedete. Darin werden die Grundlagen des europäischen Datenschutzverständnisses definiert. Diese Konvention wurde zur Basis der späteren europäischen Richtlinie zum Umgang mit personenbezogenen Daten und der aktuellen Datenschutz-Grundverordnung. Die Konvention 108 ist aber nicht nur Basis des Verständnisses innerhalb der Europäischen Union, sie ist auch die Grundlage all der Staaten, die sie seitdem ratifiziert haben – und die sind nicht nur innerhalb Europas zu finden, wie auf den Seiten des Europarates nachzulesen ist.
Inhaltlich hat die Konvention Nr. 108 auch eine Aktualisierung erfahren: Nr. 108+. Sie bildet u.a. den Anschluss des Verständnisses zu den technischen Möglichkeiten, die Erweiterung des Schutzes um genetische und biometrische Daten, die Betroffenenrechte werden gestärkt und eine Meldepflicht für Verantwortliche bei Verletzungen des Datenschutzes an die Aufsichtsbehörde eingeführt. Die Schaffung einer unabhängigen Aufsichtsbehörde wird für alle Konventionsstaaten verpflichtend. Netterweise findet sich in der Schweiz eine Fassung mit Änderungsmarkierung. Der Europarat veröffentlicht auch, welche Staaten die Ergänzung bereits ratifiziert haben.
7.5 Jurist:innenausbildung: „Unrecht mit Recht“
Während frühere Generationen in der Juristenausbildung auf Veröffentlichungen wie „Furchtbare Juristen“ angewiesen waren, um sich mit der Situation des Rechts während des Nationalsozialismus auseinanderzusetzen, ist dies zwischenzeitlich Teil der Ausbildung (vgl. § 5a Abs. 2 S. 3 DRiG). Um dies zu unterstützen, veröffentlichte der AK Zeitgeschichte und Ausbildung Forum Justizgeschichte e.V. aus Münster die Publikation „Unrecht mit Recht“. Damit soll sensibilisiert werden, wie mithilfe juristischer Sprache und unter dem Deckmantel des Rechts Gewalt und Terror durch vermeintlich neutrale Begriffe verschleiert werden können. Die Veröffentlichung will dieses Neutralisierungspotenzial entlarven und angehende Jurist:innen dazu motivieren (heutige) Rechtsvorschriften kritisch zu hinterfragen.
8. Franks Zugabe
8.1 Apropos KI …
Auch diese Liste ist eher länger. Soll ich warten, bis Sie etwas Leckeres zu Trinken haben und bequem sitzen? … Fertig? Los gehts:
- Wenn wir in der Schule KI nutzen, können wir dann die Schüler:innen nicht mit durch KI simulierte Personen sprechen lassen? Was soll dabei schon schief gehen?
- Warum sollte jemand gegen Zahlung von monatlichen Abo-Gebühren mit einem depressiven (KI-)Teenager Videoanrufe führen wollen?
- Wenn natürlich die CIA einen Chatbot nutzt, um Unterhaltungen mit Staatslenkern, die sonst nicht so viel mit der CIA reden wollen, zu simulieren, dann ist das gar nicht beunruhigend. Denn dabei kann ja gar nichts schiefgehen.
- In diesem Zusammenhang ist es auch sehr beruhigend, wenn – wie in diesem Essay ausgeführt wird, KI-Fehler ganz anders als menschliche Fehler sind.
- Und natürlich ist es nur folgerichtig, wenn KI schon Staatenlenker simulieren kann, dass es dann auch komplexe Gesetze schreiben wird (wie KI ja scheinbar auch schon viele Executive Orders geschrieben hat). Wenn es Sie interessiert, hier gehts zum nächsten Essay.
- Kommen wir zu etwas anderem, kommen wir zu Apple und KI. Speziell dem, was Apple schon lange anbietet (sich aber bisher nicht KI zu nennen traut, da viele es einfach schlecht finden): Siri. Laut dieser Meldung soll Siri bei bestimmten Anfragen fragwürdige Ergebnisse liefern. Nun ja. Ach, dafür war dieser Nacktfotoscanner von Apple?
- Bleiben wir bei Apple und KI, speziell der Apple Intelligence. Diese ist mit dem Update auf die iOS-Version 18.3 (bzw. iPadOS 18.3 und auch MacOS 15.3) aktiviert worden. Zumindest überall dort, wo sie von Apple angeboten wird. Also bisher noch nicht in Europa (wenn Sie nicht getrickst haben). Wie bei einem anderen Thema auch nervt wieder, dass Apple das von sich aus aktiviert und die Nutzer:innen nicht die Entscheidung lässt, ob sie die Funktionalität aktivieren wollen. Mit dem nächsten Update (also dann auf iOS / iPadOS 18.4 bzw. MacOS 15.3) kommt Apple Intelligence dann wohl doch nach Europa. Wenn Sie (wie ich) zu den fünf Personen gehören, die das nicht standardmäßig aktiviert haben wollen (siehe auch diese Grafik, die hätte ich gerne als Sticker … Hier ist die Quelle. Da gibts T-Shirts von?), schalten Sie es direkt nach dem Update erst mal aus.
- Toll, wenn KI das Internet zerstört. Reichte das mit dem Planeten und dem Klima nicht? Muss nun auch noch das Internet dran glauben?
Ich weiß, dass LWN.net nicht das Internet ist. Das ist ja das hier. Aber ernsthaft, diese Art von Traffic (der ja nur dadurch entsteht, dass KI-Entwickler immer mehr Trainingsdaten automatisiert suchen lassen) belastet das Internet, wie auch in der Quelle steht. - Kommen wir nun zu etwas ganz anderem: KI fürs Klo.
- Die Schweiz soll hingegen vom unbegrenzten Zugriff auf KI-Chips ausgeschlossen werden.
- Wenn Sie sichere Software schreiben (lassen) wollen, sollen Ihnen Exploit Prediction Scoring Systems beim Absichern dieser Software helfen können. Wie gut programmieren denn KI-Systeme? Answer AI hat mal Devin, einen autonomen KI-Softwareingenieur, getestet. Das Ergbnis war jetzt nicht so gut. Als Test hat jemand 500 US-$ (pro Monat, sic!) bezahlt, um sich von Devin Pong schreiben zu lassen. Devin hat Fehler eingebaut (Youtube-Video, ca. 56 Min. Dauer). Vielleicht hilft ja ein Exploit Prediction Scoring System? 🤦🏼♂️
- Mich macht die Meldung, dass KI nun Schusswaffen erkennen können soll, aber tatsächlich schrecklich versagt hat, einfach nur traurig.
- Wechseln wir wieder das Thema: In der Wissenschaft konnte KI doch helfen, oder? Auch nicht?
- Wenn ein LKA vor den Gefahren von KI warnt, ist das dann gut?
- Da heute der 02. Februar 2025 ist, ist heute der erste Teil der KI-VO in Kraft getreten. Wie steht es denn so mit der geforderten KI-Kompetenz-Vermittlung bei den Betreibern von KI-Systemen? Nicht so gut, würde ich sagen.
- Sprechen wir lieber von Büchern. Nein, nicht von denen, die von KI gemacht werden und die den Buchmarkt zumüllen. Wie finde ich die anderen? Über ein Anti-KI-Siegel? Für mich ist das ein Kaufargument.
- Na ja, wenigsten als Chatbot sind sie doch zuverlässig, diese KI-Systeme, oder? Nicht immer, wie Israel gemerkt hat.
- Und zum Abschluss noch ein Schaubild, in dem Microsoft-Produkte, die darin integrierte KI und die Nutzer.Innen anschaulich visualisiert werden (hier ist die Quelle).
8.2 Die ePA (mal wieder …)
Ach ja, die gute, alte ePA. Was haben wir nicht schon darüber berichtet, gerade erst auch in dieser Ausgabe wieder.
Und immer wieder finden sich Neues, was uns beim Lesen erfreut (wenn wir bereits unseren Opt-Out erklärt haben, sonst eher nicht):
- Nach dieser Meldung wurden Warnungen von Experten vor Problemen beim Betrieb der ePA monatelang von verantwortlicher Stelle ignoriert.
- Nach diesem Artikel war der Gematik das Ausmaß der Sicherheitslücken in der ePA erst nicht bewusst. Ein Zitat:
Die Gematik nahm die Sicherheitslücken bei der E-Patientenakte wohl erst nach Kenntnis von gültigen, auf Kleinanzeigen käuflichen Praxisidentitäten ernst.
- Dazu dieser Kommentar zur unsicheren elektronischen Patientenakte (ePA): Hoffnung als Strategie
- Und hier ein auch als Pressemitteilung verschickter Text eines NGO zur ePA, in dem auch ein Link zu einer Widerspruchslösung angeboten wird.
- In diesem Artikel wird eine interessante Frage gestellt: Kann der Staat auf die ePA zugreifen?
- Und dann habe ich noch drei Themen für Sie. Als erstes einen Artikel (bereits vom Okotober 2024), der sich mit dem Opt-Out gegen die Weiterleitung strukturierter Gesundheitsdaten aus der ePA an das Forschungsdatenzentrum beschäftigt.
- Als nächstes eine Meldung über (Sie erwarteten es bestimmt bereits, oder?) einen ungeahnten Datenschatz im Gesundheitswesen, konkret bei Reha-Kliniken in ganz Deutschland, von dem hunderttausende Patient:innen potentiell betroffen sind.
Weil unser digitalisiertes Gesundheitswesen ja nur so stark sein kann, wie das schwächste Glied, sollten solche Meldungen durch uns an der Sicherheit Interessierte zur Kenntnis genommen werden. - Und damit hier nicht der Eindruck entsteht, nur in Deutschland könnte niemand sichere Digtalisierung im Gesundheitswesen, hier als Drittes drei Meldungen von unseren europäischen Nachbarn: Als erstes eine Meldung über eine Ransomware-Attacke auf Arztpraxen aus Dänemark (wenn Sie wie ich nicht so richtig der dänischen Sprache mächtig sind und nicht der Übersetzen-Funktion Ihres Browsers vertrauen wollen, hier meine Quelle, in der als Bonus auch ein Link auf die WHO gesetzt ist, die Dänemark als Vorreiter in Sachsen Digitalisierung des Gesundheitswesens lobt), als zweites eine Meldung über das ordentlich durchdigitalisierte österreichische Gesundheitssystem (Stichwort „Boten“) und als drittes (zum Abschluss des dritten von oben, verworen, ich weiß) eine Meldung über den Berner Gesundheitsdienst, der sensible Daten wieder per Post statt digital verschickt.
Ach, und weil wir ja mit einer positiven Note aus solchen Meldungen herausgehen wollen, hier der Postillion, der etwas Ähnliches vorher schon ahnte (Stichwort „Boten“).
8.3 Doctolib und KI-Training
Auch diese Meldung hätte eigentlich gut zu Apropos KI … oder Die ePA (mal wieder …) gepasst, aber ich möchte nicht, dass sie dort im Wust der anderen Meldungen untergeht, also bekommt sie eine eigene Überschrift.
Worum geht es? Na ja, der Titel deutet es ja schon an: Doctolib hat seine Datenschutzhinweise geändert, will ab Ende Februar 2025 die Daten seiner Nutzer:innen zum Trainieren von KI-Modellen mit Gesundheitsdaten nutzen. War ja klar, dass so etwas kommt.
Falls Sie nun denken „Aber, habe ich denn keine Betroffenenrechte?“, dann möchten Sie vielleicht diesen Beitrag lesen. Und Sie sollten auch die Ärzt:innen, die Ihre Daten Doctolib überhaupt erst gegeben haben, einbeziehen. Feuer frei!
8.4 Geschwätzige Kfz
Sie erinnern sich, zum Jahresende 2024 berichteten wir über die Erkenntnisse, die beim 38C3 über Volkswagens Datensammelwut bekannt wurden. Und wenn Sie jetzt aber einen Subaru fahren und sich denken „Was interessiert mich das Elend der Volkswagen-Fahrer?“, dann sollten Sie sich nicht so unbeobachtet fühlen, wie diese Meldung zeigt. Pikanterweise waren bei dieser Marke auch Eingriffe aus der Ferne möglich. Nun ja, Ähnliches (mindestens bezogen auf die Datensammelwut) wird wahrscheinlich auch bei anderen Herstellern ein Thema sein, nur wissen wir es bisher noch nicht.
Volkswagen wird auf jeden Fall weiterhin kritisiert, es werden harte Konsequenzen gefordert.
12,8 Milliarden Euro, das wäre doch mal ein Bußgeld … (wir werden ja wohl noch träumen dürfen).
8.5 X-it
Was die Überschrift heißen soll? Denken Sie Brexit und X (vormals Twitter) und dann haben Sie es.
Wir hatten ja schon berichtet, dass einige Universitäten mittlerweile diesen Dienst verlassen. Diese Abwanderbewegung geht munter weiter. Neu im Club: NGO. So hat EDRi sich entschieden X den Rücken zu kehren. Auch Bits of Freedom (eine niederländische NGO) geht weg.
Und das ist gut so. Immer wieder lese ich Argumente wie „Aber wir müssen doch da sein, wo die Menschen sind“.
Dieser Blog-Beitrag widerspricht dieser Argumentation vehement.
Und aus der „gleichen Ecke“ gibt es seit dem 01. Februar 2025 einen neuen Hashtag auf Mastodon: #UnplugTrump
Dort wird (wie hier auch) beschrieben, warum es gut ist, vielleicht Alternativen zu den US-dominierten Diensten zu suchen, um die eigenen Abhängigkeiten von einem erratisch-handelnden Menschen zu verringern (das war jetzt echt schwer, das so neutral zu schreiben …).
Apropos Alternativen … aber daraus mache ich eine neue Überschrift (siehe im folgenden Beitrag).
8.6 (u.a.) Alternativen zu US-Dienstleistern
Das Reinschauen in den (oben bereits verlinkten Hashtag auf Mastodon: #UnplugTrump) lohnt sich, so habe ich z.B. die Seite Amazon-Alternativen gefunden.
Wenn Sie online shoppen möchten, nur halt nicht da (zum Thema „Amazon boykottieren“ gibt es hier einen lesenswerten Beitrag).
Und wenn Sie alternative Dienste aus der EU suchen, können Sie hier fündig werden (faszinierend, was ein einzelner Software-Entwickler aus Wien so alles zusammentragen kann. Irgendetwas ist mit diesen Wiener Studenten und US-Dienstleistern…). Da sag noch mal einer, dass es solche Dienste nicht auch aus der EU gibt.
Aber ich wollte ja nicht nur über meine Suchergebnisse unter dem Hashtag sprechen, sondern über Alternativen zu US-Dienstleistern und wo sie zu finden sind.
Aber vorher vielleicht noch mal eine Begründung, warum es gut ist darüber nachzudenken.
Nachdem Sie die Begründung gelesen haben, hier nun einige Seiten, die Mittel zur Selbsthilfe anbieten:
- Sie wollen Cloud-Funktionalität, aber nicht durch die großen US-Anbieter, am liebsten selbstgehostet (oder zumindest selbstverwaltet)? Dann lesen Sie mal interessiert den ersten Artikel einer neuen Artikelreihe zur Nextcloud.
- Oder schauen Sie sich an, was NGO so alles an Instrumenten zur digitalen Selbstverteidigung bieten. Als erstes aus Deutschland: Digitalcourage
- Als zweites aus Deutschland (alphabetisch sortiert, deswegen als zweites): netzpolitik.org
- Von der Electronic Frontier Foundation (EFF, international): Surveillance Self-Defense
- Von The Front Line Defenders (FLD, Irland): security in-a-box
- Von Amnesty International (international): Digital Security Resource Hub for Civil Society
- Von Tactical Tech at Publix (aus Deutschland, immer noch alphabetisch): Das Data Detox Kit
- Und zum Abschluss aus dem letzten Jahr eine Einladung ins Fediverse: Mastodon als Alternative zu X, Instagram und Co. (übrigens, sowohl der BvD als auch die DVD haben einen Mastodon-Account).
Einige Beiträge aus der Liste führen Sie zu Alternativen zu US-Diensten (Stichwort eigene Cloud, sichere Mail-Anbieter), andere dienen tatsächlich mehr der digitalen Selbstverteidigung. Manche sind top-aktuell, manche sind etwas älter. Manche enthalten Listen von einsetzbaren Tools, andere Empfehlungen / Anleitungen, lesenswerte Beiträge. Es sollte für jede:n von Ihnen etwas dabei sein.
8.7 Wie große US-Tech-Unternehmen mit Mitarbeitenden umgehen (Stichwort: Low-Performer)
Mark Zuckerbergs Meta macht es vor, Microsoft macht Ähnliches. Einfach die Low-Performers (die 5% mit der schlechtesten Performance-Bewertung) rausschmeissen. Dann läuft der Laden besser. So scheint dieser Management-Ansatz zu lauten. Dazu hat dieser Kommentator eine Meinung.
Unabhängig davon gibt es – wie so oft – eine andere Seite der Medaille: Nach einer Umfrage zieht es Teenager in den USA nicht mehr zu Tech-Firmen, sie trauen ihnen nicht mehr, auch nicht mehr ihren Produkten. So motiviert man zukünftige Mitarbeitende!
8.8 Ein bisschen was zum Hacken
Noch eine Auflistung, fragen Sie? Ja, ich wollte nicht zu viele Einzelbeiträge aus diesen Themen machen, meist reicht ja auch ein kurzer Satz:
- Was Hacker so hacken. Heute: Noten (und Schifffahrtsrouten). Was Fünfzehnjährige so machen. um bessere Noten zu bekommen. Und wenn sie schon mal dabei sind, warum nicht auch Schiffe umleiten, wenn das geht. Dass er Italiener ist, ist nicht so bedeutend. Es zeigt maximal, dass die in Italien es bei der Digitalisierung der Verwaltung auch gut können …
- Criminals Exploiting FBI Emergency Data Requests (eine non-technical backdoor). Hier gehts zur Meldung, in ihr geht es um Anfragen, die Kriminelle an US-Tech-Unternehmen stellen (wobei sie sich als Strafverfolgungsbehörden ausgeben und „emergency data requests“ stellen). Auch jenseits des Teichs haben sie scheinbar ihre Prozesse nicht im Griff …
- Bruce Schneier berichtet über eine (nach seinen Worten mit interessanten Taktiken funktionierende) neue VPN-Backdoor.
- Kennen Sie das mSpy-Leak? Hier gibts Empfehlungen zur Abhilfe.
- Eigentlich sollen Virenscanner die Nutzer nur vor Viren schützen (ich spare mir mal Hinweise auf Schlangenöl). Manchmal analysieren sie Mails, um darin Bedrohungen zu finden. Neuerdings scheinen sie auch auf Links zu klicken und die sich öffnenden Seite zu analysieren. Das kann ja sogar hilfreich sein, wenn sich auf diesen Seiten Schadsoftware verbirgt.
Wenn das aber Einmal-Links sind (z.B. zum Setzen eines neuen Passworts oder für ein Double-Opt-In)? Dann ist das eher eine schlechte Idee, Microsoft (und andere…)! - Ist es Hacken, wenn ich eine Domain eines (nicht mehr existierenden) Startups übernehmen und damit dann (weil die alten Besitzer nicht ordentlich aufgeräumt und Googles OAuth-Login für diverse Dienste genutzt haben) auf andere Dienste, die dieses Startup nutzte und auf dem noch (im Zweifelsfall personenbeziehbare) Daten liegen, zugreife? Das liegt im Auge der betrachtenden Person. Hier gehts zur Meldung.
Aber die Erkenntnis bleibt: Auch beim Abwickeln eines Startups nicht das Aufräumen vergessen!
8.9 Avoid staying signed in
Schreibt Microsoft. Also, wenn Sie MS-Cloud-Dienste (wie MS 365) nutzen (und das sollen ja einige sein, die das wollen oder müssen, zur letzteren Gruppe darf ich mich zählen), dann sollten Sie entweder gleich einen Private-Tab nutzen (auf der verlinkten Seite beschreibt Microsoft, wie das bei populären Browsern geht) oder wie beim Online-Banking auch für Microsoft-Cloud-Dienste einen separaten Browser nutzen, den Sie exklusiv (zumindest während der Nutzung besagter MS-Dienste) nur für MS-Dienste nutzen, und den Sie so konfiguriert haben, dass er nach der Nutzung alles vergisst. Sonst könnte jemand anderes am gleichen Gerät in Ihren Accunt kommen. Danke Microsoft!
9. Die guten Nachrichten zum Schluss
9.1 Medienkompetenz: FragFinn – Eltern
Alle sprechen von erforderlicher Medienkompetenz. Meist werden dann Kinder / Jugendliche gemeint. Doch was gibt es für deren Erziehungsberechtigte? FragFinn bietet auch eine Elternseite an, die u.a. Hinweise zur Einrichtung als Startseite und zu Kinderschutzsoftware sowie weitere Praxistipps gibt.
9.2 Mehr Sicherheit für Kinder an Tablet, Smartphone und Konsole
Mit diesem Plakat unterstützt klicksafe Eltern dabei, für eine sichere Digitale-Umgebung ihrer Kinder zu sorgen. In Kindergärten und Schulen, in Arztpraxen oder beim Sportverein – überall dort, wo Eltern von Grundschulkindern ein- und ausgehen, kann mit diesem Plakat zum Schutz von Kindern beigetragen werden.