Hier ist der 23. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 11&12/2025)“ – Die DVD-Edition.
Erneut veröffentlichen wir eine Doppelausgabe. Ich bekam alles en bloc vom Kollegen Kramer, deswegen gibt es alle Beiträge je Kapitel thematisch und nicht wie sonst bei Ausgaben über mehrere Kalenderwochen üblich nach Kalenderwoche gegliedert.
Wir beiden haben natürlich die geleakten Dokumente rund um die Koalitionsverhandlungen und auch den Bericht zur Signal-Nutzung durch die US-Führung mitbekommen. Aber das kommt erst in der KW 13.
Die aktuelle Ausgabe ist kein Monster geworden, aber trotzdem reichlich.
- Aufsichtsbehörden
- EDSA: Guidelines zur Pseudonymisierung
- EDSA: Erklärung zu Fluggastrechten
- EDSA: Festlegung zur Kooperation bei Genehmigungen von BCR
- DSK oder so: Stellungnahme zur Umsetzung des Data Acts
- BfDI: Rechtsgrundlagen für KI in der Bundesverwaltung
- LfD Bayern: Kurz-Information 59 – Einladung zum Mammographie-Screening
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Körperschaftsstatusgesetz und Religionsgemeinschaften
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Datenzugriff des Arbeitgebers im Beschäftigungsverhältnis
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Einsatz von Schadsoftware-Scannern im Beschäftigungsverhältnis
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Wächtermodus bei Fahrzeugkameras für die Polizei
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – KI-Anwendung in Schwimmbädern
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – KI in der Schule
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Webseiten von öffentlichen Schulen
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – HomeOffice in Drittstaaten
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – KI-Tool in der Praxis: Transkription
- LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Fotoerstellung – und Veröffentlichung im Vereinskontext
- BayLDA: Tätigkeitsbericht für das Jahr 2024
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Auskunftsprozess und Verzicht auf Auskunft
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Fragen zum Berichtigungsanspruch
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Löschungsanspruch nach Identitätsdiebstahl
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Bestandskundenwerbung
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Datenverarbeitung durch den Betriebsrat
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Dauerbrenner: Bilder von Beschäftigten
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Anforderungen an Einwilligungen
- BayLDA: Tätigkeitsbericht für das Jahr 2024 – Kein Haushaltsprivileg bei Veröffentlichungen im öffentlichen Internet
- LfDI Baden-Württemberg: Mitarbeiterexzess bei privater Nutzung dienstlicher Daten
- LfDI Baden-Württemberg: „Kehrwoche“ – Hinweise zur Vermittlung der Löschpflichten
- LfDI Baden-Württemberg: Wieder Datenzirkus zu Gast beim LfDI Baden-Württemberg
- Hamburg: Gastzugang im Onlinehandel erforderlich – fraglich ist nur wie
- Hamburg: Digitaler Frühjahrsputz – geänderte Aufbewahrungsfristen
- TLfDI: Landesregierung beruft einen Digitalbeirat
- LDI NRW: Öffentliche Aushänge in Schrebergärten
- Österreich: Unzulässigkeit einer Wetterwebcam?
- Niederlande: Stellungnahme zum Gesetzentwurf zu Polizeibefugnissen
- Finnland: Bußgeld für Kreditvergleichsportal wegen unzureichender Schutzmaßnahmen
- Spanien: Bußgeld i.H.v. 1,0 Mio. Euro nach Codierungsfehler und Fehlversand von Daten
- Belgien: Empfehlungen zum Direktmarketing mit Konsultation
- Skandinavische Aufsichtsbehörden: Anforderungen an Datenschutzbeauftragte
- Norwegen: Beschwerde von noyb gegen ChatGPT
- BSI: Kompendium für organisationsinterne TK-Systeme mit erhöhtem Schutzbedarf
- BSI: Bedrohungen durch Phishing und Datenlecks und digitaler Verbraucherschutz
- BSI: Kooperation mit Google Cloud für die öffentliche Verwaltung
- BSI: Digitale Souveränität in Zeiten von Cyber Dominance
- Rechtsprechung
- EuGH: Berichtigungsanspruch bei Geschlechtsanpassung (C-247/23)
- EuGH: Unterlassungsansprüche neben datenschutzrechtlichen Ansprüchen (C-655/23)
- OLG Stuttgart: Verarbeitung dienstlicher Daten zu privaten Zwecken: Mitarbeiterexzess
- LG Wiesbaden: Besondere Situation nach Art. 21 Abs. 1 DS-GVO
- OLG Frankfurt: Prüfpflichten eines Hostproviders bei Hinweis auf Deepfake-Video
- OVG Münster: Anforderungen an E-Mail-Verschlüsselung durch Behörden
- LG Bielefeld: Urteil zur Auskunftserteilung
- Verwaltungsgericht Luxemburg: Klage von Amazon abgewiesen
- EuGH-Vorschau: Rechtsmittel von WhatsApp gegen Entscheidung des EDSA (C-97/23)
- EuGH-Vorschau: Fragen der Verantwortlichkeit bei Zugangsdaten zu Newsletter (C-654/23)
- EuGH-Vorschau: Mündliche Verhandlung zum TADPF
- Gesetzgebung
- EU: UK Angemessenheitsbeschluss soll bis 27.12.2025 verlängert werden
- EU: Konsultation zur Durchführungsverordnung zum CRA
- EU: Initiative zur Revision des CSA
- Vorschläge zum handlungsfähigen Staat
- SVR: Verbraucherpolitik in der nächsten Legislaturperiode
- BRAK: Vorratsdatenspeicherung reloaded?
- EU: Überarbeitung der DS-GVO?
- Stellungnahme des DAV zum Durchführungsgesetz zum Data Act
- Gutachten BMWK zum Bürokratieabbau
- Mal was Positives: Parkraumbewirtschaftung in Baden-Württemberg
- Marktüberwachungsstelle zur Barrierefreiheit geschaffen
- Künstliche Intelligenz und Ethik
- AI Office: Dritter Entwurf des GenAI Code of Practice
- Meta trainierte mit urheberrechtlich geschütztem Material
- Wie verlernen LLM?
- USA: Kein Urheberrechtsschutz ohne menschliches Eingreifen
- NIST: Änderungen bei den Vorgaben zu KI
- Gendergerechte Sprache: „FairFormuliert“ mit LLM
- EU-Policy: Studie zu Auswirkungen menschlicher Aufsicht bei KI
- BRAK: Kennzeichnungspflicht für KI-generierte Inhalte
- Spanien: Strafe für nicht gekennzeichneten Einsatz von Generativer KI?
- Podcast zu Möglichkeiten von KI
- Australien: Verantwortungsvoller Einsatz von KI
- Erklärbarkeit von KI-gesteuerten Entscheidungen
- Einsatz von KI am Beispiel der Stadt Nürnberg
- Beobachtet Sie Copilot?
- Niedersachsen testet Microsoft Copilot für Verwaltung
- KI-Tools und der Schutz der Daten
- Veröffentlichungen
- Verwaltungsreform zur Datennutzung?
- Neuer Podcast: “China’s Rise to Cyber Supremacy”
- Podcast mit Schwerpunktthema DS-GVO
- Neues von den ISO-Normen: Altersverifikation und Remote-Audits
- Cybersicherheit und Innentäter
- Datenschutzanforderungen an synthetische Daten
- Glücksspiel Online – Merkurgruppe
- Angriffsziel Kommunen
- Beschlagnahme bei Berufsgeheimnisträgern
- Veranstaltungen
- Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
- Webinar: KI kennt Ihre Passwörter – Unternehmensrisiko mit Katastrophenpotenzial -neu-
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- FragFinn: KI für Kinder erklärt
- Künstliche Intelligenz in der Schule
- Praxisbroschüre gegen sexualisierte Gewalt in Kindheit und Jugend
- Hass im Netz – Umgang aus pädagogischer Sicht
- Smartphone-Verbote für Kinder
- Faktenchecks: Facebook USA nutzt gleichen Algorithmus wie X
- Wie funktionieren Verschwörungstheorien?
- Franks Zugabe
- Apropos KI …
- KI-gestütze Assistenten in WhatsApp, Instagram und Facebook Messenger
- NCSC Releases Post-Quantum Cryptography Timeline
- Zum gewünschten Ende der Ende-zu-Ende-Verschlüsselung
- Digitalisierung im Gesundheitswesen
- Programmierer (und Dokumentierer) aufgemerkt
- Sie mögen auch Supermarkt-Apps?
- How WEIRD is Usable Privacy and Security Research?
- Please Mr. Postman – Dänemark Edition
- Noch ein Abo-Modell – DaaS
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Guidelines zur Pseudonymisierung
Der EDSA hatte zu seinen Guidelines 01/2025 bis 13. März 2025 zur Konsultation eingeladen. Hier schon mal als Beispiel eine Rückmeldung von IAB Europe. Es ist davon auszugehen, dass der EDSA auch auf die Rechtsprechung des EuGH im Verfahren C-413/23 (wir berichteten) eingehen wird.
1.2 EDSA: Erklärung zu Fluggastrechten
In seiner zweiten Erklärung zur Umsetzung der PNR-Richtlinie gibt der EDSA den PNR-Zentralstellen weitere Orientierungshilfen zu den erforderlichen Anpassungen und Einschränkungen bei der Verarbeitung von Fluggastdatensätzen im Anschluss an das EuGH-Urteil C-817/19.
Fluggastdatensätze sind personenbezogene Daten, die von Fluggästen zur Verfügung gestellt und von Luftfahrtunternehmen erfasst und gespeichert werden müssen und die Namen der Fluggäste, Reisedaten, Reiserouten, Sitzplätze, Gepäck, Kontaktdaten und Zahlungsmittel enthalten.
Die Erklärung enthält praktische Empfehlungen für die nationalen Rechtsvorschriften zur Umsetzung der PNR-Richtlinie, um den Feststellungen des Gerichtshofs der Europäischen Union im PNR-Urteil Wirkung zu verleihen. Die Empfehlungen decken einige der wichtigsten Aspekte des PNR-Urteils ab, z. B. wie die europäischen Länder die Flüge auswählen sollten, aus denen Fluggastdatensätze erhoben werden, oder wie lange Fluggastdatensätze aufbewahrt werden sollten. Nach Ansicht des Ausschusses sollte die Speicherfrist aller PNR-Daten einen anfänglichen Zeitraum von sechs Monaten nicht überschreiten. Nach Ablauf dieses Zeitraums dürfen europäische Länder Fluggastdatensätze nur so lange speichern, wie dies erforderlich ist und in einem angemessenen Verhältnis zu den Zielen der PNR-Richtlinie steht.
1.3 EDSA: Festlegung zur Kooperation bei Genehmigungen von BCR
Der EDSA hat in einem Dokument das Kooperationsverfahren für die Genehmigung verbindlicher unternehmensinterner Vorschriften (Binding Corporate Rules – BCR) für Verantwortliche und für Auftragsverarbeiter festgelegt.
1.4 DSK oder so: Stellungnahme zur Umsetzung des Data Acts
Die Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus, die Europa- und Verfassungsrecht beachtet und Doppelstrukturen vermeidet. Das geht aus der Stellungnahme der unabhängigen Datenschutzaufsichtsbehörden der Länder zum Referentenentwurf für ein Data Act Durchführungsgesetz hervor.
Was mir dabei auffiel, dass diese Stellungnahme nicht als „Datenschutzkonferenz“ (DSK) veröffentlicht wurde – wohl weil die BfDI dabei fehlte.
1.5 BfDI: Rechtsgrundlagen für KI in der Bundesverwaltung
Die BfDI veröffentlichte auf ihrer Webseite Ausführungen – neben einer Definition für KI (unter Bezugnahme auf die Definition für KI-System aus Art. 3 Nr. 1 KI-VO) – zu den Möglichkeiten die Rechtsgrundlagen aus Art. 6 Abs. 1 DS-GVO heranzuziehen. Dazu vertieft sie auch die Darstellung an die Anforderungen an weitere Rechtsgrundlagen aus dem nationalen Recht oder aus dem Unionsrecht i.V.m. Art. 6 Abs. 1 lit. c DS-GVO.
1.6 LfD Bayern: Kurz-Information 59 – Einladung zum Mammographie-Screening
Das Mammographie-Screening ist ein Programm zur Früherkennung von Brustkrebs. Ziel des Screening-Programms ist die deutliche Senkung der Brustkrebssterblichkeit in der besonders gefährdeten Bevölkerungsgruppe. In Bayern erhalten anspruchsberechtigte Frauen die Einladungsschreiben von der „Zentralen Stelle Mammographie-Screening Bayern“. Gerade bei der ersten Einladung stellen sich viele Fragen – darunter auch solche, die in den Bereich des Datenschutzes hineinragen. Mit der Aktuellen Kurz-Information 59 beantwortet der LfD Bayern die häufigsten Fragen.
Zusammengefasst erhält die Zentrale Stelle Mammographie-Screening Bayern die Kontaktdaten einzuladender Frauen auf Basis einer gesetzlichen Regelung. Eingeladene Frauen können der ersten Einladung grundsätzlich nicht, weiteren Einladungen jedoch voraussetzungslos widersprechen.
1.7 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024
Der LfDI Baden-Württemberg beginnt den Reigen der jährlich zu veröffentlichenden Tätigkeitsberichte. Schön finde ich den Überblick über die Themen auf dem Schreibtisch der Leitung des Hauses und den Jahresrückblick zu allgemeinen Themen und Entwicklungen jeweils ergänzt um Links und Erläuterungen zu bestimmten Begrifflichkeiten. Auch gibt es eine Podcastfolge (Dauer ca. 33 Min.), in der der LfDI Baden-Württemberg Hintergrundinformationen gibt, wie zur Mitwirkung im EDSA oder die Ankündigung zur Prüfung der Umsetzung von Löschansprüchen. Es folgt eine subjektive Auswahl von einzelnen Themen aus dem aktuellen Tätigkeitsbericht*:
* Franks Anmerkung: Beim LfDI Baden-Württemberg wird scheinbar noch an der veröffentlichten PDF-Version geändert, falls Links nicht direkt zur passenden Seite springen, scrollen Sie bitte selbst hin…
1.7.1 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Körperschaftsstatusgesetz und Religionsgemeinschaften
Ab Seite 49 befasst sich der LfDI Baden-Württemberg mit Fragen des Körperschaftsstatusgesetzes, mit dem festgelegt werden soll, unter welchen Voraussetzungen die Religions- und Weltanschauungsgemeinschaften den Status als Körperschaft des öffentlichen Rechts verliehen bekommen können, bzw. wie dieser Status ihnen aber auch wieder entzogen werden kann und welche Empfehlung er im Gesetzgebungsverfahren dazu erfolgreich anmerkte. Durch verfassungsrechtliche Hintergründe und den Voraussetzungen des Art. 91 DS-GVO können auch religiöse Gemeinschaften ein eigenes Datenschutzrecht gestalten. Der LfDI Baden-Württemberg verweist dazu auf eine Auflistung vom Juni 2022, nach der es in Baden-Württemberg insgesamt 34 Religionsgemeinschaften mit KdöR-Status gegeben habe.
1.7.2 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Datenzugriff des Arbeitgebers im Beschäftigungsverhältnis
Anlässlich einer Beratungsanfrage befasste sich der LfDI Baden-Württemberg mit Fragen aus dem Beschäftigtendatenschutz. Bei der Frage, ob Arbeitgebende auf die Dateiablagen, die E-Mail-Accounts und die Internetprotokolldaten ihrer Beschäftigten zugreifen dürfen, unterscheidet er ab Seite 53 drei Szenarien: erlaubte Privatnutzung, nicht geregelte Privatnutzung und ausdrücklich verbotene Privatnutzung. Weiterhin ist zwischen den einzelnen Datenarten (Inhalts- und Protokolldaten) zu differenzieren. Wenn die Privatnutzung erlaubt sei, geht er im Zweifel von der Anwendung des Fernmeldegeheimnisses aus [Anmerkung: Zu einem anderen Ergebnis kam die LDI NRW in ihrem Tätigkeitsbericht für das Jahr 2023, wir berichteten] und kommt dann (folgerichtig) zu entsprechende Anforderungen bei Zugriffen durch den Arbeitgebenden.
Wenn die private Nutzung explizit nicht erlaubt ist, ist die Frage, welche Anforderungen an Kontrollen zu stellen sind, ob die Regeln eingehalten werden. Zur Beurteilung der Angemessenheit ist nach dem LfDI Baden-Württemberg auf Seite 57 eine Abwägung der entgegenstehenden Interessen vorzunehmen. Bei verdachtsunabhängigen Kontrollen sei zu berücksichtigen, dass die Beschäftigten keinen Anlass zu diesen gegeben haben. Weiterhin kann von einer Kontrolle, welche Internetseiten Beschäftigte aufgerufen und mit wem sie E-Mails ausgetauscht haben, ein erheblicher Überwachungsdruck ausgehen, wenn sie zu häufig stattfinde. Hinsichtlich der Häufigkeit der Kontrollen und des Ausmaßes der dabei untersuchten Protokolldaten gebe es der Kenntnis des LfDI Baden-Württemberg nach keine konkreten Vorgaben aus Literatur oder Rechtsprechung. Er hält einen Umfang von 1% für ausreichend, um dem Interesse der Arbeitgeber an einer wirksamen Kontrolle des Verbots der Privatnutzung unter Berücksichtigung der Interessen der Beschäftigten zu genügen. Damit kann dieser Anteil der in einem Jahr anfallenden Protokolldaten (Datum und Uhrzeit des Aufrufs der Internetseiten / des Mailversands, genutzte externe E-Mail-Domänen, aufgerufene URLs und übertragene Datenmengen) auf deutlich über dem üblichen Nutzungsverhalten liegende, auffällige Häufungen im Kommunikationsverhalten und einen extensiven Anstieg von Übertragungsvolumina bzw. besonders hohen Übertragungsvolumina bestimmter Internet- oder externen E-Mail-Domänen untersucht werden.
1.7.3 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Einsatz von Schadsoftware-Scannern im Beschäftigungsverhältnis
Worauf muss geachtet werden, wenn Unternehmen Programme zum Scannen auf Schadsoftware (Malware) anwenden wollen. Das sei unzulässig, wenn es an einer datenschutzrechtlichen Grundlage fehle, insbesondere, weil das eingesetzte Programm zur Herstellung der IT-Sicherheit nicht geeignet, erforderlich und angemessen ist. Der LfDI Baden-Württemberg prüft dazu ab Seite 61 verschiedene Aspekte, zu denen ihn Beschwerden erreichten. So hält er eine Begründung aus Art. 6 Abs. 1 lit. f DS-GVO für angemessen, wenn dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist. Er prüft auch eine Grundlage aus Art. 6 Abs. 1 lit c i.V.m. Art. 32 DS-GVO und findet dies als Grundlage für die Verarbeitung personenbezogener Daten als zu problematisch.
Es sei zweifelhaft, ob Art. 32 DS-GVO eine rechtliche Pflicht nach Art. 6 Abs. 1 Satz 1 lit. c DS-GVO begründe. Er verpflichte die verantwortlichen Stellen nicht unmittelbar dazu personenbezogene Daten zu verarbeiten. Die in einer Vorschrift des objektiven Rechts vorgesehene „rechtliche Verpflichtung“ müsse sich zumindest nach einer Ansicht unmittelbar auf die Datenverarbeitung beziehen. Allein der Umstand, dass Verantwortliche, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten müssen, reiche (unter Verweis auf LSG Hessen BeckRS 2020, 1442 Rn. 13) hiernach nicht aus [leider geht er dabei auf die Aussagen des EuGH in C-17/22 und C-18/22 (wir berichteten) ab Rn. 66 nicht weiter ein].
1.7.4 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Wächtermodus bei Fahrzeugkameras für die Polizei
Über eine etwas ungewöhnliche Methode der Polizei berichtet er ab Seite 102. Die Polizei ermittelte Halter von Tesla-Fahrzeugen und bat diese den „Wächter-Modus“ zu aktivieren, um das direkte Umfeld zu beobachten, um Fahrzeugdiebstähle aufzuklären. Der LfDI Baden-Württemberg analysiert zuerst die Rechtmäßigkeit der Halterabfrage und dann die Veranlassung zur Datenerhebung. Ihr ahnt es: Er hält beides für unzulässig, argumentiert dabei sehr dogmatisch und vollständig.
In diesem Kontext weist er auch in einem Hinweiskasten auf die Anforderung der Nutzung des „Wächter-Modus“ hin, die den jeweiligen Fahrzeugbesitzer trifft.
1.7.5 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – KI-Anwendung in Schwimmbädern
Nicht nur durch ausgefallene Schwimmstunden während der Pandemie gehen die Schwimmfähigkeiten in der Bevölkerung zurück, auch fehlende ehrenamtliche Schwimmlehrer:innen sind eine Ursache, dass das Risiko von Badeunfällen steigt. So versuchen Bäder durch den Einsatz von KI durch eine Bildanalyse der Geschehnisse frühzeitig auf kritische Situationen hinzuweisen. Ab Seite 108 befasst sich der LfDI Baden-Württemberg mit diesen Einsatz-Szenarien. Er weist auf mehrere rechtliche Klippen hin: Sind die Bilder ausreichend verpixelt, wer wird evtl. als Dienstleister eingebunden und muss dadurch evtl. auch Drittstaatenübermittlungen geregelt werden? Bei den Grundlagen ist dabei auch zwischen den Betreibern der Bäder zu unterscheiden, ob bei öffentlichen Stellen z.B. das LDSG anzuwenden ist.
Franks Nachtrag: In der lokalen Presse (Karlsruhe) wird aktuell berichtet, dass Datenschutz bei der KI-Überwachung des Schwimmbetriebs kein Problem sei. Aus dem Artikel:
Probleme mit dem Datenschutz solle es laut den Bädern nicht geben. Bilddaten werden nicht gespeichert, sondern nur Bewegungsmuster zur Verbesserung des Systems genutzt.
Na dann, dann ist ja alles klar. Ist es eigentlich effizient und verichtet zuverlässig seinen Dienst, dieses KI-System? Auch dazu Zitate aus dem Artikel:
Eine Feedback-Funktion soll zudem die Fehlmeldungen reduzieren und das System immer weiter schulen.
Ach so, wir brauchen noch Trainingsdaten …
Die Erwartungen sind hoch, dass sich das System weiter verbessert und eine wertvolle Unterstützung für die Beckenaufsicht wird.
Wie „verbessert“, wie „wird“? Ist es etwa noch nicht sinnvoll und hilfreich?
Wird KI nun das neue Schlangenöl?
Eigentlich hätte das alles auch in Apropos KI … gepasst.
1.7.6 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – KI in der Schule
Auch in Baden-Württemberg wird über den Einsatz von KI in der Schule diskutiert. Der LfDI Baden-Württemberg ergänzt diese Diskussion um datenschutzrechtliche Aspekte ab Seite 112. Dabei nimmt er auch auf die KI-VO Bezug.
1.7.7 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Webseiten von öffentlichen Schulen
Eigentlich geht es in den Ausführungen ab Seite 125 um Webseiten öffentlicher Schulen. Doch die Ausführungen zu den Anforderungen und Umsetzungen können auch anderen Webseitenbetreibern helfen ihre Webseite auf Aktualität zu prüfen.
1.7.8 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – HomeOffice in Drittstaaten
HomeOffice ist seit der Pandemie zu einem Standard bei Bürotätigkeiten geworden. Doch was ist zu beachten, wenn dies aus Staaten außerhalb der EU / des EWR erfolgen soll? Antworten dazu finden sich ab Seite 129 des Tätigkeitsberichts.
1.7.9 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – KI-Tool in der Praxis: Transkription
Und natürlich befasst sich der LfDI Baden-Württemberg auch mit Fragen rund um den Einsatz von KI in der Praxis. Ab Seite 134 zeigt er am Beispiel einer Transkription von Sprache speziell von Online-Veranstaltungen und virtuellen Besprechungen, welche Fragestellungen sich diesbezüglich aus Datenschutzsicht ergeben können. Dabei befasst er sich auch mit Art. 6 Abs. 1 lit. f DS-GVO und weist auch auf § 201 StGB (Vertraulichkeit des Wortes) hin.
1.7.10 LfDI Baden-Württemberg: Tätigkeitsbericht für das Jahr 2024 – Fotoerstellung – und Veröffentlichung im Vereinskontext
Ein Dauerbrenner in der Beratung scheint auch das Thema der Fotoerstellung im Vereinskontext zu sein. Der LfDI Baden-Württemberg beschreibt ab Seite 136 seine Hilfestellungen für Vereine und konzentriert sich auf Seite 138 auf Empfehlungen zur Fotoerstellung und -veröffentlichung im Vereinskontext.
1.8 BayLDA: Tätigkeitsbericht für das Jahr 2024
Das BayLDA hat seinen Tätigkeitsbericht für das Jahr 2024 veröffentlicht. In einem Podcast (Dauer ca. 66 Min.) mit Vertreter:innen der Hochschule Ansbach und der Verbraucherzentrale Bayern werden einzelnen Punkte besprochen. Nachfolgend einige wiederum subjektiv ausgewählte Auszüge:
1.8.1 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Auskunftsprozess und Verzicht auf Auskunft
Das BayLDA schildert in Ziffer 4.6 seine Beteiligung an der europaweiten Prüfung des Auskunftsprozesses. Dabei informiert er auch darüber, wann nach seiner Ansicht eine gestaffelte Auskunft zulässig ist.
Im Übrigen führt er in Ziffer 4.5 aus, wann auf einen Auskunftsanspruch nach Art. 15 DS-GVO verzichtet werden kann.
1.8.2 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Fragen zum Berichtigungsanspruch
Kann ein Berichtigungsanspruch abgelehnt werden, wenn bezüglich eines Datensatzes ein Veränderungsverbot besteht, bspw. aufgrund entgegenstehender gesetzlicher Aufbewahrungspflichten? Das BayLDA empfehlt hier in Ziffer 6.1 eine entsprechende Ergänzung des Datensatzes; eine Ablehnung des Berichtigungsanspruches bewertet es als Datenschutzverstoß.
„Besteht ein Anspruch auf Änderungen in einem Sachverständigengutachten?“ ist ein weiteres Thema aus dem Tätigkeitsbericht des BayLDA. Nur hinsichtlich der der Bewertung zugrunde liegenden Angabe, nicht an der Bewertung selbst führt das BayLDA in Ziffer 11.4 aus.
1.8.3 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Löschungsanspruch nach Identitätsdiebstahl
Gibt es einen Anspruch auf Löschung von Daten, die erst als Folge eines Identitätsdiebstahl erstellt wurden? Das BayLDA berichtet in Ziffer 11.3 von vermehrt aufgetretenen Fällen, bei denen Personen angeben, Opfer von Identitätsdiebstahl geworden zu sein, indem mit ihren Daten Versicherungsverträge abgeschlossen wurden. Das BayLDA sieht hier einen Löschungsanspruch gegeben, wenn zuvor zivilrechtlich geklärt wurde, dass kein Anspruch gegen die beschwerdeführende Person besteht.
1.8.4 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Bestandskundenwerbung
Unter welchen Bedingungen können Bestandskunden beworben werden? Dass die Antwort des BayLDA in Ziffer 7.1 nicht allen bewusst ist, zeigen die Ausführungen zu den Anforderungen aus § 7 Abs. 3 UWG.
1.8.5 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Datenverarbeitung durch den Betriebsrat
Verarbeitungen durch den Betriebsrat werden grundsätzlich dem Arbeitgeber als Verantwortlichem zugerechnet. Wie ist vorzugehen, wenn der Betriebsrat denkbare Mitwirkungen z.B. bei Auskunftsansprüchen oder Informationen gegenüber der Datenschutzaufsicht (Art. 31 DS-GVO) unterlässt? In Ziffer 9.2 führt das BayLDA aus, dass bei Meinungsverschiedenheiten zwischen Arbeitgeber und Betriebsrat dies über den zivilrechtlichen Weg zu lösen ist.
Das BayLDA lässt es aber in seine (abschließende) Bewertung einfließen, wenn ausreichend geschildert werde, welche Schritte seitens des Arbeitgebers unternommen wurden, um den datenschutzrechtlichen Pflichten nachzukommen, soweit im konkreten Einzelfall angemessene Schritte unternommen wurden.
1.8.6 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Dauerbrenner: Bilder von Beschäftigten
Irgendwie scheinen Verantwortliche in Bayern unfähig Suchmaschinen im Netz zu benutzen: Das Thema Bilder von Beschäftigten nach Beendigung des Beschäftigungsverhältnisses scheint tatsächlich im Alltag noch eine Rolle zu spielen. Das BayLDA klärt hierzu unter Ziffer 9.3 auf und verweist auf eine entsprechende vertragliche Grundlage, wie einen Model-Release-Vertrag, um hier Rechtssicherheit zu bekommen. In einem seitens des BayLDA geschilderten Fall liegt allerdings auch eine Klage des ehemaligen Arbeitgebers gegen den Bescheid des BayLDA zur Löschung vor.
1.8.7 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Anforderungen an Einwilligungen
Einen Fall der unzulässigen Einwilligung schildert das BayLDA in Ziffer 6.3. Eine Bank wollte einen Betroffenen durch vorausgewählte Wahlmöglichkeiten und letztlich auch durch Zwang unzulässigerweise dazu bringen eine eigentlich freiwillige datenschutzrechtliche Einwilligung, z. B. zur individuellen werblichen Ansprache über verschiedene Kommunikationskanäle, zu erteilen. Für den Fall, dass er diese nicht erteile, wurde ihm eine Kündigung der Geschäftsbeziehung in Aussicht gestellt. Das BayLDA stellt dazu lapidar fest, dass eine durch Druck, Zwang und/oder Vorankreuzungen des Verantwortlichen erteilte Einwilligung nicht freiwillig und damit unwirksam ist.
Es fällt mir schwer dieses nicht weiter zu kommentieren.
1.8.8 BayLDA: Tätigkeitsbericht für das Jahr 2024 – Kein Haushaltsprivileg bei Veröffentlichungen im öffentlichen Internet
Einige Fälle schildert das BayLDA, in denen der Ausnahmebereich der DS-GVO verlassen wurde. So in einem Fall, bei dem Personen selbst einen Fahndungsaufruf nach vermeintlichen Tätern ins Netz stellten (Ziffer 17.1). Nicht nur, dass diese beschuldigten Personen unschuldig waren, sie wurden dadurch Opfer von Beschimpfungen und Belästigungen.
Auch für die Veröffentlichung von Bewertungen oder Beschwerden im öffentlich zugänglichen Internet unter Namensnennung der beteiligten anderen Personen eröffnet den Anwendungsbereich der DS-GVO. Hier führt das BayLDA in Ziffer 12.2 Überlegungen zur passenden Rechtsgrundlage aus.
1.9 LfDI Baden-Württemberg: Mitarbeiterexzess bei privater Nutzung dienstlicher Daten
Der LfDI Baden-Württemberg informiert, dass er ein Bußgeld gegen einen Polizeibeamten in Höhe von 3.500 Euro verhängte, der den dienstlichen Zugang zu Meldedaten nutzte, um Frauen, an denen er ein rein persönliches Interesse hegte, zu recherchieren.
Zur Kenntnis gelangen dem Landesbeauftragten entsprechende Vorfälle entweder durch Anzeigen betroffener Personen oder durch Mitteilungen der Polizei selbst, z.B. im Rahmen von Stichprobenkontrollen oder Disziplinarverfahren.
1.10 LfDI Baden-Württemberg: „Kehrwoche“ – Hinweise zur Vermittlung der Löschpflichten
Originelle und niedrig-schwellige Vorschläge zur Vermittlung der Löschpflichten bietet der LfDI Baden-Württemberg auf seiner Homepage an, wie mit einer Bucket-List. Parallel dazu kündigt er weitere Aktivitäten dazu an, um Unternehmen und Behörden bei der Umsetzung ihrer Löschpflichten zu sensibilisieren und umzusetzen. Zudem informiert er Bürger:innen über ihre Rechte.
1.11 LfDI Baden-Württemberg: Wieder Datenzirkus zu Gast beim LfDI Baden-Württemberg
In der mittlerweile vierten Einladung des LfDI Baden-Württemberg zu verschiedenen Attraktionen aus dem Datenzirkus geht es u.a. um die europaweite Aktion der Datenschutzaufsichten zu Löschprozessen, um Konsultationen aus den Niederlanden und Spanien zu menschlichen Eingriffen in KI, um den europäischen Gesundheitsdatenraum und um die Einheitlichkeit der Rechtsordnungen bzgl. Anforderungen an Anonymisierung, um ethische Leitlinien zur digitalen Barrierefreiheit und um vieles mehr. Wieder in den Shownotes mit Angabe der Fundstellen sowohl im Podcast (Dauer ca. 1:07 Std.) wie auch im Datenzirkus.
1.12 Hamburg: Gastzugang im Onlinehandel erforderlich – fraglich ist nur wie
Der HmbBfDI sieht sich durch ein OLG-Urteil (OLG Hamburg vom 27.02.2025, Az. 5 U 30/24) in seiner Einschätzung zu Gastzugängen im Onlinehandel bestätigt. Im Ergebnis muss das Versandhaus keinen Gastzugang ermöglichen. Die Pflicht zur Einrichtung eines Kund:innenkontos für eine Bestellung verstieß nach Ansicht des Landgerichts nicht gegen das Gebot der Datenminimierung, wenn das Konto nach einer bestimmten Inaktivitätsperiode automatisch gelöscht wird und nur Daten erhoben werden, die für die Abwicklung des Vertrags notwendig sind. Zudem sind die Daten nach Ablauf der Gewährleistungsfristen auszusondern und nach Ablauf der Aufbewahrungsfristen zu löschen. Der HmbBfDI hatte vorher bereits Einfluss genommen, dass eine solche Bestellmöglichkeit eingerichtet wird.
Das OLG hat wie schon das Landgericht zuvor eine Klage der Verbraucherzentrale Nordrhein-Westfalen abgewiesen, mit der das Onlinekaufhaus verpflichtet werden sollte die Möglichkeit für Gastbestellungen anzubieten. Der HmbBfDI war mittels einer vom Landgericht eingeholten amtlichen Stellungnahme in den Rechtsstreit eingebunden. Auch die Kanzlei, die das beklagte Onlinekaufhaus vertrat, freut sich, wie hier nachzulesen ist.
1.13 Hamburg: Digitaler Frühjahrsputz – geänderte Aufbewahrungsfristen
Auch der HmbBfDI beteiligt sich an der Prüfaktion der Datenschutzaufsichten und erinnert in seiner Aktion „Frühjahrsputz“ daran Speicherfristen zu beachten und alte Daten zu löschen. Zu den gesetzlichen Aufbewahrungsfristen erinnert er an geänderte Aufbewahrungszeiträume (Bürokratieabbau!) und verlinkt u.a. auf eine Information der IHK Hamburg dazu.
1.14 TLfDI: Landesregierung beruft einen Digitalbeirat
Der TLfDI informiert, dass die neue Landesregierung einen Digitalbeirat berufen hat, der sich aus Expert:innen der Zivilgesellschaft, der Wirtschaft, der Wissenschaft und der Verwaltung zusammensetzt und die Landesregierung in Fragen der Verwaltungsdigitalisierung, der Technologieentwicklung und der Cyber-Sicherheit berät. Auch der TLfDI gehört diesem Beirat an.
1.15 LDI NRW: Öffentliche Aushänge in Schrebergärten
Irgendwie mag ich solche Nachrichten: Die transatlantische Allianz bröckelt, in den USA werden Anwaltskanzleien seiner früheren Gegner durch den Präsidenten gegängelt und Diversitätsprogramme diffamiert, der Plan eines völkerrechtswidrigen Angriff Russlands scheint aufzugehen, die Hamas hat weiterhin Geiseln und dann lese ich diese Information der LDI NRW:
Beachtet die datenschutzrechtlichen Anforderungen bei öffentlichen Aushängen in Schrebergärten.
Natürlich hat sie Recht darauf hinzuweisen! Und es tut gut, dass wir auch im Kleinen die Ruhe bewahren!
1.16 Österreich: Unzulässigkeit einer Wetterwebcam?
Für etwas Aufregung sorgte eine Meldung, dass Wetterwebcams wegen Datenschutzanforderungen unzulässig seien. Liest man die Meldung der Datenschutzbehörde (DSB) dazu, differenziert es sich dann doch: Im konkreten Fall konnte durch die Webcam aufgrund erleuchteter Fenster nachvollzogen werden, wann jemand in dem Haus sei oder nicht. Nach der Angabe auf der Webseite der DSB ist die Entscheidung noch nicht rechtkräftig.
1.17 Niederlande: Stellungnahme zum Gesetzentwurf zu Polizeibefugnissen
Die niederländische Datenschutzaufsicht nimmt Stellung zu einem Gesetzentwurf, in der die Regierung die Möglichkeiten für Polizei und Justiz, große Mengen an personenbezogenen Daten zu sammeln, deutlich ausweiten will. Die Aufsicht erinnert daran wichtige Rechte und Freiheiten im Gesetz angemessen zu schützen. So könnten unter anderem Risiken für Personen entstehen, die keine Verdächtigen sind, sondern als „Beifang“ bei der Sammlung digitaler Beweise in den Polizeisystemen landen.
1.18 Finnland: Bußgeld für Kreditvergleichsportal wegen unzureichender Schutzmaßnahmen
Ein finnischer Anbieter von Kreditvergleichen erhielt eine Bußgeldanordnung in Höhe von 950.000 Euro wegen Verletzung der Datensicherheit. Aufgrund der unzureichenden Datensicherheit war der Inhalt der Kreditanträge der Kunden für Dritte über persönliche URLs zugänglich, die für die Kunden bestimmt waren. Jeder, der Zugang zur URL hatte und über ausreichende technische Kenntnisse verfügte, um die Sicherheitslücke auszunutzen, hatte direkten Zugang zu den Daten. Die technische Untersuchung ergab, dass die URLs mit Phishing angegriffen und persönliche Daten an Dritte weitergegeben worden waren. Zu den über die Links abrufbaren Informationen gehörten zumindest die Kontaktdaten der Kreditantragsteller sowie Angaben zu deren Einkommen, Wohnkosten, Familienstand und möglichen Kindern.
Neben der Bußgeldentscheidung wurde das Unternehmen angewiesen seine Kunden über den Vorfall zu informieren. Der EDSA berichtet über die Entscheidung der finnischen Aufsicht hier.
1.19 Spanien: Bußgeld i.H.v. 1,0 Mio. Euro nach Codierungsfehler und Fehlversand von Daten
Ein Codierungsfehler führte bei einer Versicherungsgesellschaft dazu, dass die personenbezogenen Daten, einschließlich besonderer Datenkategorien, von 3.395 Personen fälschlicherweise per E-Mail an 354 Empfängerunternehmen gesendet wurden. Die Aufsicht ließ es bei der Verhängung eines Bußgeldes dafür bei einer geraden Zahl: 1.000.000 Euro. Bericht dazu hier.
1.20 Belgien: Empfehlungen zum Direktmarketing mit Konsultation
Die belgische Datenschutzbehörde hat ihre Empfehlung 01/2020 zum Direktmarketing nun mit Stand 01/2025 aktualisiert. Es handelt sich um eine Aktualisierung, die sich aus der Rechtsprechung des Gerichtshofs, des Marktgerichts (Berufungsgericht) und den Entscheidungen der Prozesskammer ergeben hat. Die Empfehlung wird von einer Checkliste begleitet, mit der die wichtigsten Konzepte des neuen Dokuments auf einen Blick eingesehen werden können. Bis 10. Mai 2025 können Rückmeldungen im Rahmen einer Konsultation übermittelt werden.
1.21 Skandinavische Aufsichtsbehörden: Anforderungen an Datenschutzbeauftragte
Hier wieder ein Beispiel für diejenigen, die immer behaupteten, deutsche Aufsichtsbehörden seien so streng: Die dänische, schwedische, finnische und norwegische Aufsicht prüften, bewerteten und sanktionierten den Einsatz und die Umsetzung der Vorgaben der DS-GVO eines internen Datenschutzbeauftragten (DSB) bei Telenor, einem TK-Anbieter in Skandinavien mit Sitz in Norwegen. Pressemeldung dazu hier. Für die festgestellten Verstöße dabei wurde eine Sanktion von umgerechnet ca. 343.000 Euro festgelegt. Es lohnt sich, die Ausführungen im Detail zu lesen:
So finden sich Aussagen zu den Anforderungen an eine Dokumentation, ob ein DSB nach Art. 37 DS-GVO zu benennen ist oder nicht (in Norwegen wurde von Art. 37 Abs. 4 DS-GVO nicht Gebrauch gemacht). Kurioserweise hatte Telenor angegeben, es hätte freiwillig einen DSB benannt, auch dazu äußern sich die Datenschutzaufsichten. Die Aufsichten bemängelten, dass die Kontaktdaten des DSB nicht veröffentlicht wurden, dass es keine internen Richtlinien gab, das und wann der DSB an das Management berichtete, dass seine Ressourcenausstattung nicht genügte, bezüglich Weisungsfreiheit und Freiheit von Interessenskollisionen wird moniert, dass in den internen Vorgaben lediglich die rechtlichen Anforderungen wiederholt würden und dass nicht nachvollziehbar zwischen den Aufgaben getrennt würde (im vorliegenden Fall war der DSB Teil der Rechtsabteilung und betreute auch andere Themen). So erwarteten die Datenschutzaufsichten, dass ein Mitglied der Rechtsabteilung, das als Zusatzaufgabe die Tätigkeit des DSB wahrnimmt, dies auch in der E-Mail-Signatur beachtet, also dass immer erkennbar ist, in welcher Funktion die E-Mail verfasst wurde.
Unerwartet war für mich im Zusammenhang des Interessenkonfliktes die Aussage, dass Telenor hätte prüfen und dokumentieren müssen, ob der DSB Aktien von Telenor hätte; im vorliegenden Fall seien es nicht viele gewesen, daher führe es nicht automatisch zu einem Interessenkonflikt.
Im Übrigen befasst sich der Bescheid auch mit der Umsetzung des Unternehmens hinsichtlich der Anforderungen in Art. 24 DS-GVO insb. hinsichtlich der Einbindung verschiedener Tochtergesellschaften und hinsichtlich der Klassifizierung der Zusammenarbeit als Auftragsverarbeitung, getrennte oder gemeinsame Verantwortlichkeit.
Ergänzend sei noch erwähnt, dass die Prüfung von Telenor auf Basis eines anonymen Hinweises erfolgte und dass der Bescheid auch Ausführungen zu einer möglichen Befangenheit der Leiterin der norwegischen Aufsicht enthält, die vor ihrer Amtsübernahme als Rechtsanwältin in einer Kanzlei war, die Telenor beriet – und sich daher nicht am Verfahren beteiligte.
1.22 Norwegen: Beschwerde von noyb gegen ChatGPT
Das NGO noyb informiert, dass es in Norwegen Beschwerde gegen ChatGPT von OpenAI eingereicht hat. OpenAI verstoße mit der oben beschriebenen Datenverarbeitung gegen den Grundsatz der Datenrichtigkeit gemäß Art. 5 Abs. 1 lit. d DS-GVO. noyb fordert OpenAI dazu auf den diffamierenden Output zu löschen und sein Modell entsprechend anzupassen, damit es keine vergleichbaren Ergebnisse mehr herausgibt. Nicht zuletzt schlägt noyb der Datenschutzbehörde die Verhängung eines Bußgelds vor, um ähnliche Verstöße in der Zukunft zu vermeiden.
Ausgangspunkt der Beschwerde ist der Fall eines Norwegers, zu dem ChatGPT unwahre Angaben zu Straftaten machte.
1.23 BSI: Kompendium für organisationsinterne TK-Systeme mit erhöhtem Schutzbedarf
Ohne digitale Kommunikation funktioniert nichts: Deshalb hat das BSI gestern das neue Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf veröffentlicht. Das Kompendium löst die Technische Leitlinie Sichere TK-Anlagen (BSI TL-02103, „TLSTK II“) sowie das Kompendium Videokonferenzsysteme ab: Dieses Kompendium soll bei der Absicherung moderner Telekommunikationssysteme in Bereichen mit erhöhtem Schutzbedarf über den gesamten Lebenszyklus von der Planung bis zum Rückbau unterstützen. Es adressiert Anwenderinnen und Anwender aus den Bereichen Planung, Beschaffung, Betrieb, Administration, Audit und Nutzung. Es umfasst drei Teile: Gefährdungen, Anforderungen und Umsetzungshinweise, Beispiele für Sicherheitskonzepte und einen Beschaffungsleitfaden. Und realitätsnah auch eine Management-Kurzfassung.
1.24 BSI: Bedrohungen durch Phishing und Datenlecks und digitaler Verbraucherschutz
Das Thema Cybersecurity scheint bei Verbraucher:innen leider immer noch nicht so wirklich angelangt zu sein – und das liegt u.a. auch an den Herstellern und dem Vertrieb, wie das BSI feststellt. Es wünscht sich mehr Transparenz und Orientierung bei IT-Sicherheitsinformationen, wie sich als Konsequenz aus einer Studie zur verbrauchergerechten Ausgestaltung von Produktinformationen ergibt. Es geht dabei um die transparente Kenntlichmachung von IT-Sicherheitsinformationen für digitale Produkte, den Status Quo, die rechtlichen Grundlagen sowie Handlungsempfehlungen und Best Practices: Im Rahmen der Studie belege ein exemplarischer Marktcheck unter anderem, dass IT-sicherheitsrelevante Verbraucherinformationen nur sehr lückenhaft verfügbar und zudem oft schwer zu finden oder schwer verständlich sei. Ein Schwerpunkt dieser Studie liege vor diesem Hintergrund auf der geeigneten Darstellung von produktbezogenen IT-Sicherheitsinformationen für Verbraucherinnen und Verbraucher und entsprechenden Handlungsempfehlungen für Hersteller und Händler
Passend dazu veröffentlicht das BSI auch den Jahresrückblick 2024 zum digitalen Verbraucherschutz. Darin geht es in seinem Themenschwerpunkt der Frage nach, welche Authentisierungslösungen beim Zugriff auf Onlinedienste und -anwendungen dazu beitragen können eine Balance zwischen nutzerfreundlicher, einfacher Anwendung und den Anforderungen der Informationssicherheit zu schaffen. Ein Gastbeitrag des bitkom beleuchtet dazu auch die Sicht der Anbieter und Hersteller.
1.25 BSI: Kooperation mit Google Cloud für die öffentliche Verwaltung
Nach dieser Meldung haben Google Cloud und das BSI eine Kooperationsvereinbarung für sichere Cloud-Lösungen in der öffentlichen Verwaltung geschlossen. Ziel sei es die Entwicklung und Bereitstellung sicherer und souveräner Cloud-Lösungen für Behörden auf Bundes-, Landes- und Kommunalebene zu unterstützen. Ein besonderer Schwerpunkt der Vereinbarung läge auf der Gewährleistung der Datensouveränität. Die entwickelten Lösungen werden speziell auf die Anforderungen des öffentlichen Sektors zugeschnitten – unter Einhaltung der deutschen und europäischen Datenschutzbestimmungen – und erfüllten höchste Standards hinsichtlich Datensouveränität und -sicherheit.
Die Kooperation umfasse das gesamte Google-Cloud-Portfolio, einschließlich KI-Anwendungen und zugehöriger Support-Dienste. Details zu den spezifischen Produkten und Dienstleistungen sind in den Google-Cloud-Kundenverträgen festgelegt und könnten unter cloud.google.com/terms/services eingesehen werden. Jedoch wird Google keinen Zugang zu Nutzerdaten gewähren (dies ist ein Zitat von der Webseite von Google: Was immer auch damit gemeint sein mag).
Die Vereinbarung diene der Sicherheit der Nutzer:innen in Deutschland und umfasse auch die Integration modernster kryptografischer Verfahren. Die Partner arbeiten gemeinsam an der Entwicklung von Post-Quanten-Kryptografie und an dem Einsatz von Brainpool-Kurven*. Diese Technologien seien entscheidend für die langfristige Sicherheit sensibler Daten, besonders im Hinblick auf die Herausforderungen durch künftige Quantencomputer.
Die Kooperation wird nicht überall mit Begeisterung aufgenommen: Die Gesellschaft für Informatik (GI) formuliert ihre Kritik hier. Für sie ist es unverantwortlich, dass u.a. die US-Regierung zusätzliches Erpressungspotenzial – noch dazu von einer für IT-Sicherheit verantwortlichen deutschen Behörde – frei Haus erhalte.
* Franks Anmerkung: Ähhh, Brainpool-Kurven? Wirklich?
1.26 BSI: Digitale Souveränität in Zeiten von Cyber Dominance
Das BSI positioniert sich beim Thema Cybersicherheit und weist darauf hin, dass in der heutigen Zeit wirtschaftliche, politische und gesellschaftliche Machtverhältnisse zunehmend durch Technologie bestimmt würden, und Digitalisierung in diesen Bereichen über Erfolg und Misserfolg entscheide. Durch Technologie wiederum sind neue Angriffsflächen entstanden. Diese Cyberaggression gefährde nicht nur Informationssysteme, sondern auch den Wohlstand, unsere Gesellschaft, unsere Institutionen, unseren Staat und nicht zuletzt uns alle.
Daher müssen Cybersicherheit und Digitalisierung gemeinsam – als zwei Seiten einer Medaille – betrachtet werden. Dem steht eine Bedrohungslage gegenüber, die auf anhaltend hohem Niveau sei und sich zudem auch qualitativ verändere: Neben den Gefahren durch Cyber Crime (Straftaten im digitalen Raum aus finanziellen Motiven) und Cyber Conflict (staatlich gelenkte Angriffe mit politischem oder militärischem Hintergrund) wird zunehmend der Bereich Cyber Dominance relevant.
Mit diesem Begriff Cyber Dominance verbindet das BSI, dass Monopole und damit erpressbare Abhängigkeiten aufgebrochen werden müssen: Die Einflussnahme durch digitale Produkte, indem sie Herstellern Zugriff auf Informationen und Kontrolle über Systeme ermöglichen. Hersteller dieser Produkte haben potentiell dauerhaften Zugriff darauf, auch während letztere bereits im Besitz des Kunden sind. Auch das Thema Cloud in der Bundesverwaltung wird dabei betrachtet.
Franks Nachtrag: Ob beim BSI alle Abteilungen wissen, was sie so jeweils machen?
2 Rechtsprechung
2.1 EuGH: Berichtigungsanspruch bei Geschlechtsanpassung (C-247/23)
Eine geflüchtete Person wurde 2014 in Ungarn bei der dortigen Ankunft im Flüchtlingsregister als weiblich eingetragen. Die Person hatte sich unter Vorlage psychiatrischen und gynäkologischen Atteste auf ihre Transidentität berufen und wollte sich als männlich eintragen lassen, was damals abgelehnt wurde. Nun forderte sie im Jahr 2022 über einen datenschutzrechtlichen Berichtigungsanspruch nach Art. 16 DS-GVO eine Korrektur. Der EuGH entschied dabei im Verfahren C-247/23 (Deldits), dass eine mit der Führung eines öffentlichen Registers betraute nationale Behörde verpflichtet ist personenbezogene Daten betreffend die Geschlechtsidentität einer natürlichen Person zu berichtigen, wenn diese Daten nicht richtig im Sinne von Art. 5 Abs. 1 lit. d DS-GVO sind.
Er entschied auch, dass die Person verpflichtet sein kann, entsprechende Nachweise zur Geschlechtsidentität vorzulegen, dass diese Nachweise aber nicht erfordern, dass eine geschlechtsangleichende Operation nachgewiesen werden muss.
Die Bezeichnung des Falles als „Deldits“ beruht auf einer Entscheidung des EuGH, die Namen natürlicher Beteiligter nicht mehr in den Bezeichnungen zu verwenden (wir berichteten).
2.2 EuGH: Unterlassungsansprüche neben datenschutzrechtlichen Ansprüchen (C-655/23)
Im Verfahren C-655/23 (Quirin Privatbank) geht es beim EuGH nur um die Fragen der parallelen Geltendmachung eines Unterlassungsanspruches neben datenschutzrechtlichen Ansprüchen. Der Ausgangsfall spielt im richtigen Leben: Im Rahmen eines Bewerbungsverfahrens teilt eine Personalabteilung dem Bewerber über ein soziales Netzwerk die Einschätzung zu dessen Gehaltsvorstellungen mit. Dummerweise versendet sie dies an eine andere Person. Und noch dummererweise kennt diese Person den Bewerber, leitet die Nachricht weiter und spricht diesen darauf an.
In der ersten Instanz wurde die Bank zu einem Schadenersatz in Höhe von 1.000 Euro verurteilt. Die Bank ging in Berufung. Nun darf der EuGH entscheiden und der Generalanwalt hat in seinen Schlussanträgen empfohlen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig offengelegt wurden, gemäß Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 i.V.m. Art. 79 Abs. 1 DS-GVO ein Anspruch gegen den Verantwortlichen auf künftige Unterlassung einer erneuten unrechtmäßigen Weiterleitung der Daten, die der bereits erfolgten vergleichbar ist, zustehe.
Zudem bestehe bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens gemäß Art. 82 Abs. 1 DS-GVO kein anspruchsmindernder Umstand, dass der betroffenen Person neben dem Anspruch auf Schadenersatz auch das Recht zustehe von dem für die Verarbeitung Verantwortlichen zu verlangen, dass er künftig eine weitere unrechtmäßige Verarbeitung, die der bereits erfolgten vergleichbar ist, unterlässt.
2.3 OLG Stuttgart: Verarbeitung dienstlicher Daten zu privaten Zwecken: Mitarbeiterexzess
Das OLG Stuttgart entschied, dass eine nicht dienstlich veranlasste Datenbankabfrage durch Behördenmitarbeiter (hier: Polizeiauskunftssystem „POLAS“) eine Verantwortlichkeit gem. Art. 4 Nr. 7 DS-GVO begründet und eine (unzulässige) Verarbeitung gem. Art. 4 Nr. 2 DS-GVO darstelle. Der Behördenmitarbeiter wehrte sich gegen ein Bußgeld in Höhe von 1.500 Euro, so dass der Fall vor dem OLG Stuttgart landete. Eine Besprechung des Falles findet sich hier.
2.4 LG Wiesbaden: Besondere Situation nach Art. 21 Abs. 1 DS-GVO
Wann liegt eine besondere Situation nach Art. 21 DS-GVO, die zum Widerspruch einer Datenverarbeitung nach Art. 6 Abs. 1 lit. f oder lit. e DS-GVO berechtigt? Das LG Wiesbaden hatte sich in einem Verfahren damit zu befassen. Es ging um die Löschung der im Datenbestand gespeicherten Einträge samt Forderungsverlauf, die Unterlassung erneuter Speicherung sowie die Zahlung eines Schmerzensgeldes, die die betroffene Person von der beklagten Wirtschaftsauskunftei forderte. Unter anderem stellte sich für die Löschung der Daten nach Art. 17 Abs. 1 lit. c DS-GVO die Frage, ob der Betroffene wirksam nach Art. 21 Abs. 1 DS-GVO widersprochen hatte und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.
Das LG Wiesbaden geht zunächst davon aus, dass eine rechtmäßige Verarbeitung vorliegt, gegen die durch die Darlegung individueller Gründe widersprochen werden könne. Ein solcher individueller Grund sei aber nicht vorgebracht worden.
„Danach ist erforderlich, dass die betroffene Person gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung eingelegt hat und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen. Der Widerspruch dient als Korrektiv im Einzelfall, indem er eine rechtmäßige Datenverarbeitung ausnahmsweise unterbindet. Um die Wertung des Art. 6 Abs. 1 lit. f DS-GVO nicht auszuhöhlen, muss daher eine atypische Situation etwa rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur vorliegen. Die betroffene Person muss ihren Widerspruch mit konkreten Tatsachen begründen und hat auf Verlangen des Verantwortlichen Nachweise beizubringen. Vorliegend hat der Kläger eine solche atypische Situation, aufgrund derer eine fortdauernde Verarbeitung unzumutbar wäre, nicht dargelegt. Die geschilderte Situation um die Erforderlichkeit der Anmietung einer größeren und mangelfreien Wohnung begründet eine derartige besondere Situation nicht. Die Erschwerung der Anmietung einer größeren Wohnung sind gerade keine individuellen Schwierigkeiten, die den Kläger von sonstigen Schuldnern unterscheiden. Es handelt sich dabei vielmehr gerade um die typischen Folgen früheren nicht vertragsgemäßen Zahlungsverhaltens, die dazu führen, dass neuere Anschaffungen sowie die Verbesserung des bisherigen Lebensstandards durch die Neuanmietung von größeren oder hochwertigeren Wohnraum für einen bestimmten Zeitraum erschwert wird.“
Eine Besprechung des Falles findet sich hier.
2.5 OLG Frankfurt: Prüfpflichten eines Hostproviders bei Hinweis auf Deepfake-Video
Nach der Eil-Entscheidung vom 04.03.2025 (Az. 16 W 10/25) führt das OLG Frankfurt die Rechtsprechung zu Prüfpflichten eines Hostproviders im Anschluss an Entscheidung zum sog. Künast-Meme fort.
Ein Hostprovider – hier Meta – muss nach einem Hinweis auf einen rechtsverletzenden Post auf der Social-Media-Plattform Facebook auch ohne weitere Hinweise sinngleiche Inhalte sperren. Sinngleich sind etwa Beiträge mit identischem Text und Bild, aber abweichender Gestaltung (Auflösung, Größe/Zuschnitt, Verwendung von Farbfiltern, Einfassung), bloßer Änderung typografischer Zeichen oder Hinzufügung von Elementen, etwa sog. Captions, welche den Aussagegehalt nicht verändern, entschied das OLG Frankfurt auch unter Berücksichtigung des zwischenzeitlich in Kraft getretenen Digital Services Act. Video auf YouTube zum Verfahren hier.
2.6 OVG Münster: Anforderungen an E-Mail-Verschlüsselung durch Behörden
Das OVG Münster stellte fest, dass Behörden nicht verpflichtet sind Daten mit Ende-zu-Ende-Verschlüsselung zu versenden (ab Rn. 19). Daneben äußerte es sich auch zu der Auslegung des in Art. 18 Abs. 1 lit. d DS-GVO genannten Zeitraums (ab Rn. 13). Die Thematik der Anforderungen an eine E-Mail-Verschlüsselung wird auch in dieser Ausgabe eines Podcasts (Dauer ca. 1:14 Std.) vor dem Hintergrund des Urteils des OVG Schleswig-Holstein erörtert (wir berichteten).
2.7 LG Bielefeld: Urteil zur Auskunftserteilung
Eine Person begehrt Auskunft, nachdem sie behauptete, ihre Daten seien von einem Datenleck betroffen und im Darknet aufgetaucht. Der Streaming-Dienst gibt an kein Nutzungsprofil der Person zu finden. Viele Geschichten enden hier. Nicht vor dem LG Bielefeld. Der Kläger konnte sich nämlich vor Gericht und Beklagter bei der Beklagten unter der benannten Kundennummer, E-Mail-Adresse und Nutzername einloggen. Innerhalb der dann eingeräumten Frist erteilte der beklagte Streaming-Dienst dann auch weiterhin keine Auskunft, so dass nun ein Urteil des LG Bielefeld zur Erteilung einer Auskunft erging. Der Fall liegt nun beim OLG Hamm (8 U 23/25), denn es ging u.a. auch noch um Schadenersatz, den das LG Bielefeld ablehnte.
2.8 Verwaltungsgericht Luxemburg: Klage von Amazon abgewiesen
Es ist schon fast in Vergessenheit geraten: Das Verfahren um das Bußgeld in Luxemburg gegen Amazon mit 746 Mio. Euro im Jahr 2021 (wir berichteten). Nun hat das Gericht die Klage Amazons dagegen abgewiesen, wie hier berichtet wird.
In seinem Urteil vom Dienstag stellte sich das Verwaltungsgericht auf die Seite der Aufsicht und entschied, dass Amazon mehrere Aspekte der DS-GVO nicht eingehalten habe, darunter Transparenz- und Informationspflichten gegenüber Personen, die von der Verarbeitung ihrer personenbezogenen Daten betroffen sind, und eine Verletzung des Rechts auf Widerspruch gegen die Verarbeitung personenbezogener Daten. Amazon überlegt in die nächste Instanz zu gehen.
2.9 EuGH-Vorschau: Rechtsmittel von WhatsApp gegen Entscheidung des EDSA (C-97/23)
Der EuGH muss im Verfahren C-97/23 über Rechtsmittel entscheiden, die WhatsApp einlegte, nachdem das EuG die Klage gegen den Beschluss des EDSA abwies (T-709/21), mit dem der EDSA der irischen Aufsicht Vorgaben zur Entscheidung gegen WhatsApp machte (wir berichteten). Am 27. März 2025 freuen wir uns auf die Schlussanträge des Generalanwalts dazu.
2.10 EuGH-Vorschau: Fragen der Verantwortlichkeit bei Zugangsdaten zu Newsletter (C-654/23)
Welche Anforderungen sind bei einem Newsletter über gesetzliche Änderungen aus Datenschutzsicht und der ePrivacy-RL zu beachten und wie wirkt sich das u.U. auf eine Sanktionsentscheidung nach Art. 83 DS-GVO aus? Die konkreten Fragen im Verfahren C-654/23 (Inteligo Media) aus Rumänien sind natürlich viel detaillierter und komplexer. Am 27. März 2025 bekommen wir die Schlussanträge des Generalanwalts dazu.
2.11 EuGH-Vorschau: Mündliche Verhandlung zum TADPF
Es passt in die Zeit: Der EuGH prüft die Angemessenheit des Angemessenheitsbeschlusses zugunsten der USA durch die Klage eine Abgeordneten des Europäischen Parlaments. Hat es für ein Dringlichkeitsverfahren im Jahr 2023 (T-553/23) nicht gereicht, prüft der EuGH nun regulär in der Hauptsache (wir berichteten). Für den 1. April 2025 ist die mündliche Verhandlung vorgesehen.
Und die Entwicklungen bieten ja reichlich Anlass dazu, sei es die Entscheidungen zu vermeintlichem Rechtsmissbrauch oder die erzwungenen Änderungen im Privacy and Civil Liberties Oversight Board (PCLOB), das im Angemessenheitsbeschluss der EU eine wesentliche Rolle spielt (wir berichteten).
3 Gesetzgebung
3.1 EU: UK Angemessenheitsbeschluss soll bis 27.12.2025 verlängert werden
Da war doch noch was? 2016 war nicht nur das Jahr der ersten Wahl von Trump als US-Präsidenten, das Vereinigte Königreich entschied sich auch, die EU zu verlassen und seitdem bedarf es nach einer Übergangszeit einer entsprechenden Regelung, um DS-GVO-konform den Transfer personenbezogener Daten zu gestalten. Es gibt einen Angemessenheitsbeschluss der EU-Kommission, der nun am 27. Juni 2025 ausläuft. Der wissenschaftliche Dienst des Europäischen Parlaments hat dazu auch schon mal recherchiert.
Und schau an: Schon kündigt die EU-Kommission an, den Angemessenheitsbeschluss zugunsten von UK bis zum 27.12.2025 zu verlängern (weil ja im Dezember immer alles flotter geht als sonst).
3.2 EU: Konsultation zur Durchführungsverordnung zum CRA
Die Europäische Kommission hat einen Entwurf für die Durchführungsverordnung des CRA* (Cyber Resilience Act ) veröffentlicht, in dem die Kategorien wichtiger und kritischer Produkte mit digitalen Elementen festgelegt werden. Nach dem CRA ist die EU-Kommission verpflichtet, die technische Beschreibung der in den Anhängen III und IV der Ratingagenturen aufgeführten Kategorien wichtiger und kritischer Produkte mit digitalen Elementen* zu präzisieren. Während die Konformitätsbewertung für Produkte der Kategorie „Standard/nicht kritisch“ Selbstbewertungen zulässt (internes Kontrollverfahren), unterliegen Produkte der Kategorie „wichtig“ und „kritisch“ strengeren Konformitätsbewertungsverfahren, die von Dritten (Benannten Stellen) durchgeführt werden.
So wird der Anwendungsbereich der in den Anhängen III und IV der Ratingagenturen aufgeführten Kategorien wichtiger und kritischer Produkte präzisiert, so dass z. B. weit gefasste Kategorien wie Betriebssysteme, physische und virtuelle Netzwerkschnittstellen oder Netzmanagementsysteme umfassen. Zum Entwurf der Durchführungsverordnung kann bis zum 15. April 2025 über ein hier hinterlegtes Template* Rückmeldung gegeben werden.
* Franks Anmerkung: Sie müssen sich bitte auf der Seite die entsprechenden Downloadlinks selbst raussuchen.
3.3 EU: Initiative zur Revision des CSA
Im Juli 2019 wurde der Cybersecurity Act (CSA) Verordnung EU 2019/881 im Amtsblatt der EU veröffentlicht. Im Januar 2024 wurde zudem die Durchführungsverordnung (EU) 2024/482 mit Durchführungsbestimmungen hinsichtlich der Annahme des auf den Gemeinsamen Kriterien beruhenden europäischen Systems für die Cybersicherheitszertifizierung (EUCC) veröffentlicht.
Nun gibt es eine Initiative der EU, die den Rechtsakt zur Cybersicherheit überarbeiten, das Mandat der EU-Agentur für Cybersicherheit (ENISA) klären und den Europäischen Rahmen für die Cybersicherheitszertifizierung verbessern will, um die Widerstandsfähigkeit zu erhöhen. Die Initiative ziele auch darauf ab die EU-Rechtsvorschriften zu straffen, zu vereinfachen und zu ergänzen, um die Umsetzung des EU-Cybersicherheitsrahmens benutzer- und unternehmensfreundlicher zu gestalten und Maßnahmen zur Unterstützung der EU-Ziele der Entwicklung einer sicheren und widerstandsfähigen Lieferkette, einschließlich der industriellen Basis für Cybersicherheit in der EU, zu priorisieren.
Die öffentliche Konsultation ist für das erste Quartal 2025 vorgesehen – die finale Übernahme für das vierte Quartal 2025. Wie gesagt: „vorgesehen“.
3.4 Vorschläge zum handlungsfähigen Staat
Welche Veränderungen müssen vorgenommen werden, dass wir als Gesellschaft die aktuellen und kommenden Herausforderungen besser und effizienter bewältigen können? Drei Männer und eine Frau haben sich dazu – unterstützt von Stiftungen und einer Anzahl dabei nicht näher genannten Expert:innen – zusammengesetzt und nun einen Zwischenbericht unter dem Titel „Initiative für einen handlungsfähigen Staat“ veröffentlicht. Von Seite 50 bis 53 gibt es dann auch Aussagen zum Datenschutz, die – wohlwollend formuliert – mindestens erwartungskonform sind, teilweise auch Erwartungen übertreffen.
- Bürger:innen sollen einen abrufbaren Anspruch auf Informationen haben (äh – Art. 13, 14 DS-GVO?).
- Für die Datenverarbeitungen sollen Widerspruchslösungen vorgesehen werden (äh – Art. 6 Abs. 1 lit. f DS-GVO?).
- Regeln sollen gelockert werden (liegt außerhalb der Kompetenz der Bundesrepublik).
- Alle Betroffenen sollen einen Tracking-Anspruch haben, also die Möglichkeit der Nachverfolgung der Nutzung ihrer Daten mit entsprechender Löschungsverpflichtung (äh – Art. 15 und 17 DS-GVO?).
- Die Nutzung von Daten für wissenschaftliche Zwecke wird privilegiert, ähnlich wie im Gesundheitsbereich (äh – Art. 85 und 89 DS-GVO?).
- Kleine und mittlere Unternehmen müssen zukünftig über keinen Datenschutzbeauftragten mehr verfügen (Adieu § 38 BDSG).
- Nicht-kommerzielle Tätigkeiten, zum Beispiel in Sportvereinen, sollten von der DS-GVO ausgenommen werden. Das Gleiche gilt für Datenverarbeitungen, die „risikoarm“ sind (Beispiel: Kundenlisten von Handwerkern) (kann nur über Europa geregelt werden – und die DS-GVO sieht bereits ein risikobasiertes Modell vor).
- Die Aufsicht über den nichtöffentlichen Bereich (Unternehmen), die heute durch die Datenschutzaufsichtsbehörden der Länder ausgeübt wird, sollte bei der Bundesbeauftragten erfolgen, um eine uneinheitliche Rechtsauslegung zu vermeiden, die Effizienz zu steigern und eine Spezialisierung zu ermöglichen (etwa auf KI, Wissenschaft, Werbung, Kreditwirtschaft). Dies muss insbesondere für länderübergreifend arbeitende und international agierende Unternehmen gelten (na, warten wir es mal ab, ob sich das dann wirklich so leicht erfüllt, wenn die kleinen Vereine und KMU dann keine regionalen Ansprechpartner mehr haben).
Hier die Stellungnahme der Europäischen Akademie für Informationsfreiheit und Datenschutz dazu.
3.5 SVR: Verbraucherpolitik in der nächsten Legislaturperiode
Der Sachverständigenrat für Verbraucherfragen hat sein Impulspapier „Verbraucherpolitik in der nächsten Legislaturperiode“ veröffentlicht. Eine Verbraucherpolitik, die die Alltagsprobleme der Menschen ernst nimmt und die Voraussetzungen für selbstbestimmte Entscheidungen schafft, stärke das Vertrauen der Bürger:innen in die staatlichen Institutionen. Die Verbraucherpolitik trage damit zur Sicherung des gesellschaftlichen Zusammenhalts bei. Gute Verbraucherpolitik stärke darüber hinaus auch das Vertrauen zwischen Verbrauchern und Wirtschaft und könne so einen Beitrag zur Stärkung der Binnennachfrage leisten.
3.6 BRAK: Vorratsdatenspeicherung reloaded?
Aus den Sondierungsgesprächen sind einige Themen bekannt, bei denen bei SPD und Union wenig Differenzen zu erwarten sind: Leider gehört auch die Vorratsdatenspeicherung von IP-Adressen dazu – trotz mehrmaliger entgegenstehender Entscheidungen des EuGH. Dies sehen auch die Bundesrechtsanwaltskammer (BRAK) und der Verband der Internetwirtschaft (eco) so, wie hier berichtet wird. Die BRAK formuliert auf 16 Seiten ihre rechtsstaatlichen Bedenken gegen Überlegungen, wie sie in einem Gesetzesentwurf der Union nachzulesen sind. Auch der eco fordert erstmal eine Evaluierung bestehender Regelungen durchzuführen, bevor neue EU-Sicherheitsmaßnahmen eingeführt werden.
3.7 EU: Überarbeitung der DS-GVO?
Grundsätzlich will die EU-Kommission die Digitalrechtsakte einer Überprüfung unterziehen. Auch die DS-GVO soll davon umfasst sein, wie Berichte den zuständigen EU-Kommissar zitieren oder wie er hierzu selbst in diesem Interview auf YouTube (Dauer ca. 42 Min.) angibt. In der Überlegung seien Entlastungen kleinerer Organisationen in Bezug auf die Aufbewahrung von Aufzeichnungen.
3.8 Stellungnahme des DAV zum Durchführungsgesetz zum Data Act
Der Deutsche Anwaltverein (DAV) hat seine Stellungnahme zum Durchführungsgesetz zum Data Act veröffentlicht. Darin kritisiert er am Entwurf des BMWK und des BMDV u.a. die Ermittlungsmöglichkeiten der BNetzA, dass die Aufgaben der BnetzA verschlankt und vereinfacht werden sollten und dass der vorgesehene Entfall der aufschiebenden Wirkung von Widerspruch und Klage gegen Entscheidungen der Bundesnetzagentur der Vielschichtigkeit der Fallgestaltungen nicht gerecht werde und den Schutz von Geschäftsgeheimnissen weiter schwäche. Weitere Stellungnahmen zum Entwurf des Durchführungsgesetzes zum Data Act sind auf den Seiten des BMWK hier veröffentlicht.
3.9 Gutachten BMWK zum Bürokratieabbau
Seitens des BMWK wurde ein Gutachten des Wissenschaftlichen Beirats beim BMWK veröffentlicht. In diesem werden die Anforderungen aus Brandschutz und Denkmalschutz als zu oft als bürokratisch dargestellt. Beispielhaft werden dazu Art. 30 und 33 der DS-GVO genannt und dazu auf eine Veröffentlichung der Stiftung Familienunternehmen verwiesen.
3.10 Mal was Positives: Parkraumbewirtschaftung in Baden-Württemberg
Ich bringe das hier nicht, weil mir die Parkraumbewirtschaftung am Herzen liegt, dieses Wort bislang in meinem aktiven Wortschatz schlummerte oder weil ich dem Anzeigenhauptmeister die Existenz abgraben möchte. Nein, ich finde es als positives Beispiel, dass auch bzw. gerade wenn frühzeitig eine fundierte datenschutzrechtliche Begleitung erfolgt, vieles auch rechtskonform gestaltet werden könnte. Hier im Rahmen des Landesmobilitätsgesetzes die Überprüfung einer gültigen Parkberechtigung in Echtzeit, indem durch Scanfahrzeuge per Kamera Kfz-Kennzeichen erfasst werden. Nur bei Abweichungen erfolgt eine längere Speicherung, die anderen Daten werden gelöscht. Das Gesetz sieht eine Verwendung der Daten für andere Zwecke nicht vor.
3.11 Marktüberwachungsstelle zur Barrierefreiheit geschaffen
Wie dieser Pressemeldung zu entnehmen ist, erhält Sachsen-Anhalt mit der gemeinsamen „Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen“ (MLBF) eine neue Anstalt des öffentlichen Rechts mit Sitz in Magdeburg. Die Stelle wird eine zentrale Rolle bei der Kontrolle und Durchsetzung der gesetzlichen Vorgaben der Barrierefreiheit von Produkten und Dienstleistungen spielen.
Eine länderübergreifende Aufsichtsbehörde zu errichten scheint doch einfacher zu sein als gedacht.
4 Künstliche Intelligenz und Ethik
4.1 AI Office: Dritter Entwurf des GenAI Code of Practice
Das AI Office der EU hat einen straffen Zeitplan, bis der GenAI Code of Practice im Mai 2025 final sein muss (Zeitplan siehe hier). Nun wurde der dritte Entwurf veröffentlicht. In den ersten beiden Abschnitten des Entwurfs des Kodex werden die Transparenz- und Urheberrechtsverpflichtungen für alle Anbieter von KI-Modellen mit allgemeinem Verwendungszweck detailliert aufgeführt, wobei die Anbieter bestimmter Open-Source-Modelle im Einklang mit dem KI-Gesetz von den Transparenzverpflichtungen ausgenommen sind. Im Zusammenhang mit der Transparenz haben die Vorsitzenden ein benutzerfreundliches Modelldokumentationsformular aufgenommen, das es den Unterzeichnern ermöglicht die erforderlichen Informationen leicht an einem einzigen Ort zu dokumentieren. Der Abschnitt über das Urheberrecht enthält die wichtigsten Maßnahmen aus dem zweiten Entwurf, jedoch in vereinfachter und klarerer Form. Dem Ganzen vorangestellt wird ein allgemeines Commitment.
Der dritte Abschnitt des Kodex ist nur für eine kleine Anzahl von Anbietern fortschrittlichster KI-Modelle für allgemeine Zwecke relevant, die gemäß den Klassifizierungskriterien in Art. 51 der KI-VO systemische Risiken darstellen könnten. Hier umreißt der Kodex Maßnahmen zur Bewertung und Abschwächung systemischer Risiken, einschließlich Modellbewertungen, Berichterstattung über Vorfälle und Cybersicherheitsverpflichtungen.
Für Klarstellungen versucht das AI Office vorerst mit einem Q&A zu sorgen, die mit dem dritten Entwurf des Kodex aktualisiert wurden.
Vehemente Kritik insbesondere an den Vorgaben zum Urheberrecht gibt es von European Writers Council, der insbesondere die vereinfachte und industriefreundliche Ausrichtung des Verhaltenskodexes in Verbindung mit einem Vokabular, das kaum Verbindlichkeit einfordert, kritisiert. Es würden das EU-Recht untergraben und die Mindestanforderungen des AI-Gesetzes nicht erfüllt werden.
4.2 Meta trainierte mit urheberrechtlich geschütztem Material
Fast schon passend zur vorherigen Meldung wurde nun bekannt, dass Meta sein LLM mit Millionen von urheberrechtlich geschützten Werken trainierte. In diesem o.g. Link findet sich ein Suchfeld, in dem nach Autor:innen gesucht werden kann. Selbst ich konnte mich mit früheren Werken wieder finden.
Franks Nachtrag: Auch ich habe ein Werk unter meinem Namen gefunden (lustigerweise zusammen mit Kollegen Kramer). Aber das verblasst gegenüber den 199 Treffen, auf die Bruce Schneier kommt.
4.3 Wie verlernen LLM?
Wie lernen LLMs zu vergessen? Große Sprachmodelle speichern riesige Mengen an Knowledge, aber was passiert, wenn sie etwas vergessen müssen, z.B. aufgrund einer Löschpflicht nach der DS-GVO oder weil sie unter Verstoß von Urheberechten trainiert wurden?
Diese Herausforderung untersucht das Paper ReLearn: Unlearning via Learning for Large Language Models aus dem Februar 2025, das hier veröffentlicht wurde.
Bisherige Methoden wie Gradient Ascent (GA) und Negative Preference Optimization (NPO) setzen darauf bestimmte Wissensbereiche durch Umkehrung der Wahrscheinlichkeiten zu „löschen“. Doch das führt zu unerwünschten Nebenwirkungen wie „Sprachstörungen“: Modelle erzeugen unzusammenhängende, repetitive oder sogar unverständliche Sätze; „Wissenschaos“: Nicht nur das Zielwissen wird unterdrückt – auch andere Fähigkeiten des Modells leiden und haben „unkontrollierbare Effekte“: Die Vergessensprozesse laufen oft nicht präzise ab, sodass kritische Inhalte teilweise erhalten bleiben.
Das Problem erinnert an neurologische Störungen: Wenn das Gehirn bestimmte Erinnerungen verliert, kann es passieren, dass auch angrenzendes Wissen betroffen ist. Wie lösen die Autor:innen das Problem? Statt Wissen nur zu unterdrücken, ersetzt ReLearn es aktiv durch neues, nicht-sensibles Wissen. Der Ansatz kombiniert drei Kernmethoden:
Statt Wahrscheinlichkeiten für bestimmte Antworten zu verringern (wie GA/NPO), rekonstruiert ReLearn das Modell gezielt mit neuen Informationen („positive Optimierung“). Sensible Inhalte werden durch kontextuell sinnvolle, aber neutrale Antworten ersetzt („Datenaugmentation“). So bleiben Sprachfähigkeit und Kohärenz erhalten.
Und Knowledge Forgetting Rate (KFR) misst, ob das Zielwissen wirklich vergessen wurde, während Knowledge Retention Rate (KRR) sicherstellt, dass das restliche Wissen intakt bleibt („neue Metriken für Unlearning“).
Linguistic Score (LS) bewertet dann, ob das Modell weiterhin verständliche und zusammenhängende Antworten generiert.
Trotz der vielversprechenden Ergebnisse gibt es noch offene Fragen, z.B. wie sich der hohe Rechenaufwand reduzieren lässt? Die Datensynthese ist aufwendig, was die Skalierbarkeit einschränken könnte. Sind die neuen Metriken tatsächlich ausreichend? Können KFR/KRR wirklich garantieren, dass alles Kritische vergessen wurde?
4.4 USA: Kein Urheberrechtsschutz ohne menschliches Eingreifen
Das Berufungsgericht in den USA lehnte einen Urheberrechtsschutz für KI-generierte Werke ab, sofern kein Mensch mitwirkte. Das Gericht entschied, dass es sich um einen Menschen handeln müsse. Dem Fall lag die Frage zum Urheberrechtsschutz für ein mit einer „Creativity Machine“ erstelltes Bild zugrunde. Das Copyright Office lehnte den Antrag auf Urheberrechtsschutzes auf der Basis des Erfordernisses einer menschlichen Urheberschaft ab. Diese Richtlinie verlangt, dass ein Werk in erster Linie von einem Menschen verfasst wurde, um für eine Urheberrechtsregistrierung in Frage zu kommen. Der Fall landete zur Überprüfung der Entscheidung vor dem Bundesbezirksgericht, und das Gericht bestätigte sie.
4.5 NIST: Änderungen bei den Vorgaben zu KI
Das National Institute of Standards and Technology (NIST) war bislang eine verlässliche Quelle für Vorgaben zur IT-Sicherheit oder qualitativer Umsetzung der Regulatorik. Mit dieser Meldung, dass Begriffe wie „AI Safety“ oder „AI Fairness“ nach einer Anordnung aus dem Weißen Haus nicht mehr verwendet werden dürfen, relativiert sich das – wie so vieles derzeit aus dem Weißen Haus.
4.6 Gendergerechte Sprache: „FairFormuliert“ mit LLM
Angesicht der Entwicklungen in den USA müsste „jetzt erst recht“ die Vielfalt im menschlichen Sein noch mehr betont werden. Aber es bleibt dabei – Sprachpolizei sollen andere. Wer mit seiner Sprache bemüht ist, nicht auszugrenzen, sondern möglichst vielen gerecht zu werden, sieht sich oft vor die Herausforderung gestellt, dass Texte weiterhin leicht lesbar sein sollen. Hier möchte eine Aktion des BdKom (Bundesverband der Kommunikatoren e. V.) unterstützen: Sie stellen ein ChatGBT-basiertes Tool bereit, mit dem Texte inklusiv gedacht und gendersensibel formuliert werden können. Und das ohne Sonderzeichen. Die KI-Assistenz „FairFormuliert“.
4.7 EU-Policy: Studie zu Auswirkungen menschlicher Aufsicht bei KI
Kann menschliche Aufsicht verhindern, dass Künstliche Intelligenz diskriminiert? Eine neue Studie der European Commission: Joint Research Centre mit 1.411 Fachkräften aus HR und Banking zeigt: Nein – zumindest nicht automatisch. Menschliche Kontrolle versage bei einer Diskriminierung durch KI oft, weil 60 % der Entscheider KI-Empfehlungen unkritisch übernehmen – selbst wenn sie nachweislich diskriminieren; 45 % vertrauen der KI nur dann nicht, wenn ihre Empfehlung ihren eigenen Vorurteilen widerspricht und 70 % priorisieren Unternehmensinteressen über Fairness.
Überraschend dabei: Selbst wenn eine KI speziell auf Fairness trainiert wird, verschwinden Verzerrungen nicht vollständig – weil menschliche Entscheider ihre eigenen Vorurteile einbringen. Empfohlen werden dagegen verbindliche Regeln zur Überstimmung von KI-Entscheidungen; Schulungen zu unbewussten Vorurteilen und regelmäßige, unabhängige Audits der Algorithmen. Im Kern sagt die Studie aus, dass ohne klare Vorgaben menschliche Aufsicht oft zum Feigenblatt wird.
4.8 BRAK: Kennzeichnungspflicht für KI-generierte Inhalte
Der Ausschuss Medienrecht der Bundesrechtsanwaltskammer hat ein Positionspapier zu Kennzeichnungspflichten für KI-generierte Inhalte<7a> veröffentlicht. Im Kern geht es dabei um die Auslegung von Art. 50 der KI-VO, welcher sich mit den Transparenz- und Kennzeichnungsfragen von KI-Inhalten befasst.
Die BRAK empfiehlt einen weiten persönlichen Anwendungsbereich der Kennzeichnungspflichten (Anknüpfung an die „öffentliche Wiedergabe“ im Urheberrecht); einen weiten sachlichen Anwendungsbereich der Kennzeichnungspflichten (weite Definition des „Deepfake“-Begriffs); die Nutzung privater Rechtsdurchsetzungsmöglichkeiten (bspw. KI-Verordnung als Marktverhaltensregelung i.S.d. § 3a UWG) und bei gegenläufig entwickelnder Rechtsprechung: ergänzende nationale Regelungen. Die BRAK formuliert auch grundsätzliche Bedenken gegen den Einsatz von Emotionserkennungssystemen und Systemen zur biometrischen Kategorisierung i.S.v. Art. 50 Abs. 3 KI-VO.
4.9 Spanien: Strafe für nicht gekennzeichneten Einsatz von Generativer KI?
Während bei uns noch in Kleinkleckersdorf darüber diskutiert wird, wer die Marktüberwachungsbehörde zur KI-VO sein wird, wird in Villarriba, ähhhh … Spanien schon konkreter über Maßnahmen nachgedacht, wie hier zu lesen ist. Die spanische Regierung hat einen Gesetzentwurf verabschiedet, mit dem Unternehmen, die von künstlicher Intelligenz (KI) generierte Inhalte ohne sie als solche zu kennzeichnen verwenden, mit hohen Geldstrafen belegt werden sollen, um die Verwendung sogenannter „Deepfakes“ einzudämmen. Der Gesetzentwurf übernimmt nach Angabe des Ministers für digitale Transformation Vorgaben aus der KI-VO, die strenge Transparenzverpflichtungen für KI-Systeme vorsieht, die als risikoreich gelten.
4.10 Podcast zu Möglichkeiten von KI
In diesem Compliance-Podcast (Dauer ca. 39 Min.) kommt ein Forschungsprofessor im Bereich „Sprachtechnologie und Kognitive Assistenzsysteme“ zu Wort, der als Scientific Director das Forschungsinstitut COAI Research mit Schwerpunkt „Human compatible AI“ leitet. Seine Forschung fokussiert sich auf drei Kernbereiche: die Integration von KI in mittelständische Unternehmen, die mechanistische Interpretierbarkeit großer Sprachmodelle sowie die Erforschung von KI-Systemen, die den Menschen in Zukunft optimal unterstützen können. Es geht um DeepSeek, Tesla, Roboter und unsere Zukunft. Und damit auch um Sicherheit, Missbrauchsmöglichkeiten und Regulierung.
4.11 Australien: Verantwortungsvoller Einsatz von KI
Künstliche Intelligenz verändert den öffentlichen Dienst – doch wie sicher ist ihr Einsatz? Der aktuelle Bericht im Parlament von Australien „AI in the Public Service – Proceed with Caution“ warnt: Ohne klare Regeln könnten sich Risiken unkontrolliert entfalten.
Er betont die Potenziale von KI in der Verwaltung, dass KI Prozesse effizienter machen kann, etwa durch automatisierte Entscheidungsfindung, z. B. im Visumwesen, bei der Optimierung der Datenanalyse, z. B. für Steuerprüfungen oder für die Steigerung der Produktivität, z. B. durch Generative KI.
Doch mit der Technologie kommen auch Herausforderungen wie Bias und Diskriminierung: Verzerrte Daten können zu ungerechten Entscheidungen führen. Bei der Datensicherheit stellt sich die Frage, wer hat Zugriff auf die verwendeten Daten? Die Automatisierungsfalle: Können Behörden KI-Entscheidungen überhaupt nachvollziehen?
Der Bericht empfiehlt daher die Governance mit vier Maßnahmen zu stärken:
- Mehr Transparenz durch verpflichtende Befragungen zur KI-Nutzung
- Strengere Regulierung, um Missbrauch zu verhindern
- Parlamentarische Kontrolle über KI-Einsätze
- Verbindliche Standards für unterschiedliche KI-Anwendungen
Im Ergebnis birgt: KI im öffentlichen Dienst enorme Chancen – doch nur mit klaren Regeln kann sie wirklich zum Fortschritt beitragen. Den Verweis, dass den Mitarbeitenden nur spärlich Kompetenzen vermittelt wurde, finde ich besonders bezeichnend.
4.12 Erklärbarkeit von KI-gesteuerten Entscheidungen
Wie lassen sich KI-gesteuerte Entscheidungen erklären? Damit befasst sich der Artikel „Explaining and Contesting Judicial Profiling Systems“, der sich mit den Fällen der Schufa, Dun & Bradstreet und verschiedenen anderen, die vor nationalen Gerichten und Datenschutzbehörden verhandelt wurden, um die drängendsten rechtlichen, technischen, normativen und praktischen Fragen zum Recht auf Erklärung zu erörtern, beschäftigt. Die Autoren fassen die wissenschaftliche Debatte über Umfang, Inhalt und Abwägung des Erklärungsrechts zusammen (Stand Sept. 2024).
Ebenfalls mit dieser Thematik befasst sich der Beitrag The right to an explanation in practice: insights from case law for the GDPR and the AI Act.
4.13 Einsatz von KI am Beispiel der Stadt Nürnberg
Schau an: Hier wird auf den Seiten der Stadt Nürnberg der Bericht zum „Einsatz von Künstlicher Intelligenz (KI) bei der Stadtverwaltung Nürnberg – Erprobung und erste Erkenntnisse“ veröffentlicht. Es geht um sich die Frage, wie und wo KI-Lösungen nutzbringend eingesetzt werden können. Zur Beantwortung dieser Frage wird über konkrete Erprobungsansätze, abgeleitete Erkenntnisse und das weitere Vorgehen berichtet.
4.14 Beobachtet Sie Copilot?
Zumindest kommt diese Frage auf, wenn dieser Bericht gelesen wird. Danach werden Interessen der Nutzenden analysiert, deren Verhaltensmuster und sogar deren Kommunikationsstil. Selbst „flüchtige Gedanken“ und psychologische Merkmale soll Copilot aufzeichnen, auswerten und diese Daten nutzen, um seine Antworten anzupassen. Ist die nutzende Person eher locker oder etwas zu ernst? All das nutze Copilot, um den Nutzenden persönlich anzusprechen! Wie weit Copilot dabei geht, sei unklar, aber es sei möglich, dass nur die Informationen anzeigt werden, die aufgrund des Persönlichkeitsprofils zum Nutzenden passen.
4.15 Niedersachsen testet Microsoft Copilot für Verwaltung
Dabei geht es um den Einsatz des Tools LLMoin als generativer KI-Assistent in der Landesverwaltung Niedersachsen, wie hier durch den Dienstleister berichtet wird. Das Tool soll Mitarbeitenden in der Verwaltung bei Textaufgaben wie Recherchen oder Zusammenfassungen helfen und soll die geltenden Datenschutzanforderungen erfüllen. Begründet wird dies u.a. mit dem Ausrollen von Microsoft Teams innerhalb der Verwaltung.
4.16 KI-Tools und der Schutz der Daten
Noch immer muss auf angemessene Maßnahmen bei der Nutzung von KI-Tools hingewiesen werden. Orientierung dazu bietet dieser Beitrag aus der Schweiz, der die Aspekte des Schutzes der verwendeten Daten in den Fokus nimmt. Zudem findet sich eine Tabelle mit verschiedenen Tools und mit unterschiedlichen Anforderungen gemappt.
Weitere Teil der Blog-Serie finden sich hier.
5 Veröffentlichungen
5.1 Verwaltungsreform zur Datennutzung?
Alle wollen Datenschätze nutzen. In der Regel immer mal erst die der anderen. Wie die Daten der ca. 1.500 kommunalen Unternehmen genutzt werden dürfen, ist noch nicht ganz ausgeforscht:
In welchem Umfang dürfen sie diese intra- und interorganisatorisch nutzen? Und inwieweit müssen sie Dritten eine Nutzung gestatten? Den normativen Spielraum, in dem sie sich insoweit bewegen, steckt seit dem Jahr 2021 das Datennutzungsgesetz (DNG) ab. Reicht das aus? Damit befasst sich ein Beitrag, der hier öffentlich zugänglich gemacht wurde.
5.2 Neuer Podcast: “China’s Rise to Cyber Supremacy”
In diesem mehrteiligen englischen-sprachigen Podcast geht es um den Aufstieg Chinas zur Cyber-Vorherrschaft. Der Podcast „To catch a Thief“ zeichnet die Entwicklung von Chinas staatlich geförderten Hackern nach, von ihren Anfängen als „die höflichsten, mittelmäßigsten Hacker im Cyberspace“ bis hin zum „Spitzenprädator“, der jetzt Amerikas kritische Infrastrukturen heimsucht. Die Gastgeberin, eine Bestsellerautorin und ehemalige leitende Reporterin für Cybersicherheit und digitale Spionage bei der New York Times, interviewt diejenigen, die Opfer chinesischer Cyberangriffe wurden und maßgeblich an der Verfolgung dieser Angriffe beteiligt waren, als sich die Bedrohung vom Diebstahl von Geschäftsgeheimnissen über die flächendeckende Überwachung bis hin zur Vorverlagerung in Amerikas kritische Infrastrukturen entwickelte. Zu welchem Zweck? „To Catch a Thief“ hinterfragt die Motive, die hinter all dem stecken.
5.3 Podcast mit Schwerpunktthema DS-GVO
Im renommierten Podcast zweier Experten zum Datenschutzrecht geht es in dieser Folge 115 (Dauer ca. 45 Min.) u.a um das TADPF, den Referentenentwurf zum Data Act-Durchführungsgesetz und um die laut den Mitwirkenden bröckelnde Allianz der Datenschutz-Aufsichtsbehörden der Länder und des Bundes. Auch werden Überlegungen zur Überarbeitung der DS-GVO angesprochen.
5.4 Neues von den ISO-Normen: Altersverifikation und Remote-Audits
Es tut sich wieder einiges bei den ISO-Normen. Um altersbezogene Entscheidungen über die Anspruchsberechtigungen zu ermöglichen, gibt es den Entwurf der ISO/IEC DIS 27556-1, in dem dazu Grundprinzipien, einschließlich des Datenschutzes und der Sicherheit festgelegt werden. Die Veröffentlichung von Teil 1 (Rahmenwerk) ist für den Oktober 2025 geplant.
Die DIN EN ISO 19011 wird auch aktuell überarbeitet. Hier sollen künftig auch Remote-Audits vorgesehen werden.
5.5 Cybersicherheit und Innentäter
Gerne fokussieren sich Schutzmaßnahmen auf Angriffe von außen. Doch wie begegnet man denkbaren Angriffen von innen? Das können frustrierte, entlassene, geltungssüchtige oder enttäuschte Mitarbeitende sein. Die Hierarchieebene im Unternehmen spielt dabei nie eine Rolle (vgl. Wirecard). Mit den Aspekten hinsichtlich der Cybersicherheit befasst sich dieser Blog-Beitrag.
Er empfiehlt, dass Unternehmen Kontrolle mit Awareness kombinieren sollten, wie Frühwarnsysteme für auffälliges Verhalte; strikte Zugangskontrollen und automatisierte Deaktivierungen; Schulungen für Mitarbeitende, um unbewusste Sicherheitslücken zu schließen und Etablierung einer Sicherheitskultur, die Risiken aktiv minimiert.
5.6 Datenschutzanforderungen an synthetische Daten
Synthetische Daten gelten als eine vielversprechende Lösung für den datenschutzfreundlichen Datenaustausch mit dem Potenzial Forschung und Innovation zu beschleunigen. Viele Studien bewerten jedoch nicht die Offenlegungsschwachstellen in synthetischen Daten, und es gibt keinen Standard oder Konsens für eine solche Bewertung.
Auf Basis einer kritischen Analyse aktueller Kennzahlen wurden in der Studie „A Consensus Privacy Metrics Framework for Synthetic Data“ Konsensempfehlungen entwickelt. Das Ergebnis soll eine praktische Anleitungen zur richtigen Bewertung von Datenschutzanforderungen bieten, die (impliziten) Annahmen erläutern, denen verschiedenen Metriken zugrunde liegen und stellt Bereiche vor, in denen Forschungslücken geschlossen werden müssen. Damit soll diese Konsensstudie zur Standardisierung der synthetischen Datenauswertung beitragen und zur Beschleunigung in allen Sektoren.
5.7 Glücksspiel Online – Merkurgruppe
Dass Glücksspiel mit Glück zu tun hat, verrät schon der Name. Normalerweise bezieht es sich darauf, ob und was man gewinnt, weil die spielende Person keinen Einfluss auf die Entscheidung hat. Wenn scheinbar auch die anbietenden Einrichtung Sicherheitsmaßnahmen zum Glücksspiel erklärt, hat das dann eher mit Unvermögen zu tun. Eine Sicherheitsforscherin berichtet hier, wie es ihr gelang über die GraphQL-Schnittstelle des Casino-Backends an Zahlungsdaten, Spiel-Sessions und Ausweiskopien zu gelangen.
5.8 Angriffsziel Kommunen
Wie ist es um die Cybersicherheit der deutschen Städte und Kommunen bestellt? Nicht unbedingt gut – doch woran liegt das und was kann man besser machen? Die Ergebnisse der Studie des CyberIntelligence Instituts versucht hierzu Antworten zu geben.
Das White Paper mit dem Titel „Kommunale Cybersicherheit auf dem Prüfstand: Defizite, Anforderungen und Maßnahmen“ das hier veröffentlicht wurde, trägt die zentrale Erkenntnis, dass Cyberkriminalität im Bereich der Städte und Kommunen bislang vor allem als punktuelles und nicht als flächendeckendes Problem wahrgenommen werde. Der Bund ist nicht zuständig, die Länder wälzen die Probleme auf die Kommunen im Rahmen ihrer Selbstverwaltungsautonomie ab, und bei den Kommunen selbst fehlen entsprechende Ressourcen und die Themen bleiben liegen – oder aber es wird auf externe IT-Dienstleister wie Südwestfalen IT (SIT) ausgelagert, deren Cybersicherheit zuvor nicht angemessen überprüft wurde (wir berichteten).
Es werden jedoch nicht nur Problemfelder beschrieben, es werden auch Empfehlungen gegeben: Personelle Ressourcen sollten durch Quereinstiege und städtische und gemeindliche Weiterbildungsprogramme aufgebaut werden. Der Kommunalpolitik muss dazu motiviert werden wirtschaftliche Cyber-Rücklagen zu bilden, einen kommunalen IT-Notfallplan bereitzuhalten, die Abhängigkeiten und Beziehungen zu externen IT-Dienstleistern zu überprüfen und versicherbare Risiken abzudecken.
5.9 Beschlagnahme bei Berufsgeheimnisträgern
Wir hatten bereits über das Urteil des LG Nürnberg-Fürth zu den Beschlagnahmeanforderungen gegen einen Berufsgeheimnisträger (hier einen Arzt) berichtet. Weitaus qualifizierter als wir befasst sich hier ein Experte mit der Thematik der Beschlagnahme digitaler Beweismittel in der Arztpraxis. Auch hier müssen die Maßnahmen der Ermittlungsbehörden verhältnismäßig sein.
5.10 Veranstaltungen
5.10.1 Weizenbaum-Institut: Dialogreihe KI-VO – Wege zur Umsetzung
In dieser Reihe werden unterschiedliche Themen angeboten, bitte die genauen Zeiten und Anmeldeoptionen jeweils der Webseite entnehmen:
- Ausgabe 5: KI-Verordnung und die europäische Innovations- und Wettbewerbsfähigkeit
16.04.2025 \\ online - Ausgabe 6: Thema wird in Kürze bekannt gegeben*
28.05.2025 \\ online - Ausgabe 7: Thema wird in Kürze bekannt gegeben
09.07.2025 \\ vor Ort in der Bertelsmann Stiftung Berlin
* Franks Anmerkung: Ja, das steht da wirklich immer noch so…
5.10.2 Webinar: KI kennt Ihre Passwörter – Unternehmensrisiko mit Katastrophenpotenzial -neu-
23.04.2025, 10:00 – 11:00 Uhr, online: KI im Unternehmen – klingt nach Innovation, ist aber potentiell brandgefährlich, wenn die KI ungeschützte Passwörter und Login-Daten auslesen kann. Jeder Mitarbeitende hat durchschnittlich 14 E-Mails im Postfach, in denen Zugangsinformationen im Klartext schlummern. Was passiert, wenn KI genau damit trainiert und so unbemerkt zum Sicherheitsleck wird? Solche ungesicherten Daten können nicht nur zu massiven Datenschutzverletzungen führen, sondern auch die Tür für Ransomware-Angriffe weit öffnen. Damit befasst sich ein Vortrag, der online von einem Fachverlag angeboten wird. Weitere Informationen und Anmeldung dazu hier.
6 Gesellschaftspolitische Diskussionen
6.1 Alexa zu Gast / zu Gast bei Alexa
Sie nutzen Alexa oder Alexa nutzt Sie? Nach dieser Meldung wird die Sprachassistenz Alexa aus dem Hause Amazon ab Ende März beginnen auch Gespräche aufzuzeichnen und für eigene Zwecke zu verwenden. Und an was denken Datenschützer:innen nun? Ist das noch von der Haushaltsausnahme aus Art. 2 Abs. 2 lit. c DS-GVO gedeckt für Gespräche mit Personen, die nicht Vertragspartner von Amazon für die Sprachassistenz sind?
Und dann der nächste, ernst gemeinte Hinweis:
Private Sprachassistenzsysteme sollten nicht in Räumen stehen, in denen mobile Arbeit / HomeOffice ausgeübt wird!
6.2 FATF: Kindesmissbrauch und Finanztransaktionen
Die Financial Action Task Force (FATF) hat ihren neuesten Bericht über die sexuelle Ausbeutung von Kindern im Internet (OCSE) im Jahr 2025 veröffentlicht. Dieser Bericht beleuchtet die Nutzung von Finanztransaktionen zur Erleichterung von Verbrechen gegen Kinder. Einige Details daraus: 1 von 8 Kindern weltweit – rund 300 Millionen – ist jährlich von sexuellem Missbrauch im Internet betroffen. Der live-gestreamte Kindesmissbrauch nimmt zu, wobei Kriminelle verschlüsselte Technologie und Finanzdienstleistungen nutzen, um der Entdeckung zu entgehen. Die finanzielle sexuelle Erpressung (Sextortion) von Kindern nimmt zu und zielt vor allem auf Teenager ab. Kriminelle nutzen Zahlungsplattformen, virtuelle Vermögenswerte und Finanznetzwerke aus, um von Kindesmissbrauch zu profitieren.
Der Bericht unterstreicht die dringende Notwendigkeit für Finanzinstitute, Strafverfolgungsbehörden und politische Entscheidungsträger, bei der Aufdeckung, Störung und Verfolgung dieser Verbrechen zusammenzuarbeiten. Er enthält auch bewährte Verfahren zur Aufdeckung und Unterbindung der sexuellen Ausbeutung von Kindern im Internet.
6.3 Was passiert mit den Daten von 23andme?
Wer erinnert sich noch an den Datenskandal von 23andme in den USA? Im Oktober 2023 gab es bei dem Dienstleister um genetische Datenanalyse einen Datenschutzvorfall und im Jahr 2024 dann eine finanzielle Einigung mit den betroffenen Personen über 30 Mio. US-$ im Rahmen einer Massenklage (wir berichteten). Nun befindet sich das Unternehmen in einer finanziellen Notlage und zahlreiche Einrichtungen in den USA erinnern die vormaligen Kunden, von ihrem Recht auf Löschung der Daten Gebrauch zu machen, bevor diese „gehandelt“ werden.
Franks Nachtrag: Und schon haben sie Probleme beim Umsetzen der Betroffenenrechte, konkret der Lösch-Ersuchen.
7 Sonstiges/Blick über den Tellerrand
7.1 FragFinn: KI für Kinder erklärt
Niedrigschwellige, kindgerechte Erklärungen helfen auch manche Erwachsenen, um komplexe Themen zu verstehen. So profitieren auch andere Altersgruppe von der Initiative von FragFinn KI zu erklären. Der Trickfilm erzählt die Geschichte von Tony. Immer wieder stellt sich die Hauptfigur des Films die Frage, was es mit dieser KI auf sich hat. Tony findet dank des schlauen FINNroboters Antworten.
7.2 Künstliche Intelligenz in der Schule
Im Rahmen des KI-Begleitprozesses des BMBF im Rahmenprogramm der empirischen Bildungsforschung entstand eine Handreichung zum Stand in Wissenschaft und Praxis zum Themenkomplex „KI in der Schule“. Diese Forschungssynthese „Künstliche Intelligenz (KI) in der Schule“ will mit Blick auf die schulische Praxis alle Akteur:innen dabei unterstützen, den Herausforderungen im Umgang mit Künstlicher Intelligenz aktiv zu begegnen. Sie will einen umfassenden Überblick über zentrale Aspekte in verschiedenen Handlungsfeldern und den aktuellen Stand der Forschung bieten. Gängige Befürchtungen und Vorurteile (negative wie positive) gegenüber KI würden auf ihren Realitätsgehalt hin überprüft. Die Synthese möchte damit auch einen Beitrag leisten, um verbreiteten „Mythen“, Ängsten sowie überzogenen Erwartungen entgegenzuwirken.
7.3 Praxisbroschüre gegen sexualisierte Gewalt in Kindheit und Jugend
Im BMBF-Förderschwerpunkt „Forschung zu sexualisierter Gewalt gegen Kinder und Jugendliche in pädagogischen Kontexten“ haben Wissenschaftler:innen unterschiedlicher Disziplinen gemeinsam mit Partner:innen aus der Praxis, Betroffenenvertretungen und jungen Menschen zwischen 2012 und 2024 neue Konzepte und Materialien für den Schutz vor sexualisierter Gewalt entwickelt. Diese werden nun in der digitalen Praxisbroschüre „Gemeinsam aktiv werden gegen sexualisierte Gewalt in Kindheit und Jugend – Materialien und Angebote für die Praxis“ gebündelt vorgestellt. Die Broschüre beinhaltet eine kurze Einführung in den Schutz vor sexualisierter Gewalt und Hinweise zum Vorgehen in der Planung und Umsetzung konkreter Maßnahmen. Den Schwerpunkt bildet die Vorstellung der vielfältigen Materialien wie Schulungsmanuale, Workshop-Konzepte, Curricula und Arbeitshilfen, digitale Tools, Evaluationsinstrumente, Websites sowie Fort- und Weiterbildungen zu den vier Oberthemen Schutzkonzepte, Prävention, Intervention sowie Aus- und Fortbildung.
7.4 Hass im Netz – Umgang aus pädagogischer Sicht
Die Gesellschaft für Museumspädagogik und Kommunikationskultur bietet verschiedene Materialen und Unterstützungsmöglichkeiten zum pädagogischen Umgang mit Hass im Netz an. Seien es Praxismethoden für die medienpädagogische Arbeit gegen Hass im Netz oder neue Konzepte für die medienpädagogische Fachqualifizierung gegen Hass im Netz. Zudem finden sich auf den Seiten der gmk auch Verlinkungen zu einer Good-Practice-Sammlung zur pädagogischen Arbeit gegen Hass im Netz.
7.5 Smartphone-Verbote für Kinder
Wo fange ich an: Einerseits gibt es eine Petition zu diesem Thema, anderseits hat nun mit Hessen das erste Bundesland dazu eine Regelung getroffen, um sogenannte Smartphone-Schutzzonen an allen Schulen einzurichten.
7.6 Faktenchecks: Facebook USA nutzt gleichen Algorithmus wie X
Es überrascht nicht wirklich, was der Faktencheck des Bayerischen Rundfunks berichtet: Facebook nutzt in den USA den gleichen Algorithmus wie die Plattform X von Elon Musk, um das durchzuführen, was sie dann „Faktencheck“ nennen: „Community Notes“ sollen irreführende Aussagen kennzeichnen.
Ich weiß nicht, an was mich das mehr erinnert. Orwells „1984“ oder den Geschichtsunterricht und die 30erJahre in Deutschland.
7.7 Wie funktionieren Verschwörungstheorien?
Der Forschungsverbund Neovex, an dem auch Wissenschaftler:innen des Weizenbaum-Instituts beteiligt sind, untersuchte Verschwörungstheorien. Die Studie gibt Antworten auf zentrale Fragen:
Wie entstehen und verbreiten sich Verschwörungstheorien? Wie nutzen Rechtsextreme sie für ihre Zwecke? Welche Rolle spielen digitale Plattformen dabei? Die Studie findet sich hier.
8. Franks Zugabe
8.1 Apropos KI …
Was hatten wir denn die letzten zwei Wochen noch so alles zur KI?
- Wie war das? KI übernimmt das Programmieren für uns? Scheinbar nicht immer. Immerhin ist die Begründung ehrlich:
Reason: Generating code for others can lead to dependency and reduced learning opportunities.
- Tja, eigentlich zerstört KI ja Arbeitsplätze in der Programmierung. In den USA ist laut diesem Bericht in den letzten zwei Jahren jeder vierte Job als Programmierer weggefallen. Dabei hieß es ja mal, dass (Zitat aus dem Artikel)
Learning to code was supposed to save millions of would-have-been liberal arts majors.
Aber es gibt Hoffnung, denn spezielle Dienstleister kümmern sich nun um KI-programmierte Projekte (Vibe coding, falls Ihnen das nichts sagt, heißt, dass ich mir den Code von einer KI generieren lasse (besonders für „Wegwerf-Wochenendprojekte“ geeignet), und dann gegenüber Dritten so tue, als sei ich Programmierer).
- Wir hatten ja schon weiter oben über die Quellen von Metas Trainingsdaten berichtet. Hier warnt nun OpenAI, dass die USA OpenAI mit copyright-geschützem Material trainieren müssen, weil sonst die USA gegen China im KI-Rennen verliere.
Ach so. - Auch zu Microsoft Copilot hatten wir ja heute schon berichtet. Wenn Sie Copilot nun deswegen loswerden wollten, habe ich hier einen Tipp für Sie (wenn Sie Windows benutzen): Installieren Sie diese Updates, aber vermeiden Sie jene … You’re welcome 😜
- Laut diesem Artikel soll Grok mit Notfall-Gasturbinen zur Stromerzeugung betrieben werden.
Vielleicht sind es aber auch nur reguläre Stromerzeugungsvarianten (wie nennen wir die doch gleich in Deutschland? Ach ja, BHKW)? Dann wäre der Forbes-Artikel leicht reißerisch. Wobei wir ja nun Elon Musk mittlerweile wirklich viel zutrauen … - Kommen wir zu etwas ganz anderem: eBay. Warum eBay und KI, fragen Sie? Weil eBay seine AGB geändert hat und gemäß diesen ab dem 21. April 2025 alle Nutzer:innendaten zu KI-Trainingszwecken verarbeiten darf. Auch Mike Kuketz berichtet darüber, natürlich gleich mit Abhilfemaßnahmen.
- Bewerbungen per Videocall sind in Zeiten von KI-Deepfakes ein Problem (und das sicherlich nicht nur eim englischsprachigen Raum). Der Lösungsansatz „Winken Sie mit Ihrer Hand vor dem Gesicht.“ ist kreativ.
- Große Worte und nicht ganz so große Taten. So könnte ich den Inhalt dieses Artikels auch (sehr freundlich) umschreiben. Oder ich zitiere einfach daraus:
CEO of AI ad-tech firm pledging “world free of fraud” sentenced for fraud
- Hatten wir heute eigentlich schon etwas zum Einfluss von KI auf Fachliteratur? Das sind doch gut ausgegebene Dollar für dieses Fachbuch. Haben Fachbuchverlage eigentlich gar keine menschlichen Lektoren mehr?
- Um auch hier mal wieder mit einer nicht-negativen Nachricht zu enden. Scheinbar gibt es eine wiklich sinnvolle Anwendung für KI-gestützte Videomodifikation: Lippensynchronität bei übersetzten Filmen.
8.2 KI-gestütze Assistenten in WhatsApp, Instagram und Facebook Messenger
Falls Sie die genannten Dienste nutzen (müssen), sollten Sie überlegen, ob Sie das weiterhin wollen. Speziell für Eltern in Schul- oder Kita-WhatsApp-Gruppen hat Mike Kuketz eine Argumentationshilfe geschrieben, wie Sie argumentieren können, um zu besseren Alternativen zu wechseln (und bei ihm scheint es geklappt zu haben).
Natürlich können Sie auch jede andere Gruppe, der Sie angehören wollen, versuchen mit diesen Argumenten zur Abkehr von Produkten aus dem Hause Meta zu bewegen.
8.3 NCSC Releases Post-Quantum Cryptography Timeline
Bruce Schneier berichtet über die Pläne des UK National Computer Security Center zur Einführung von Post-Quantum Cryptography. Ob die dazu auch mit Google kooperieren?
8.4 Zum gewünschten Ende der Ende-zu-Ende-Verschlüsselung
Letzte Woche hatten wir schon einen Beitrag zum möglichen Ende der Ende-zu-Ende-Verschlüsselung (E2EE). Dass europäische Staaten E2EE aufbrechen wollen, ist mittlerweile auch in den USA ein Thema. Wired berichtet darüber, Bruce Schneier kommentiert es. Es wird niemanden verwundern, dass er das als schlechte Idee empfindet. Und es schon lange auch so sagt. Oder mit anderen (wie Whitfield Diffie, Ross Anderson oder Ronald L. Rivest) bereits im Jahr 2015 dazu einen „Computer Science and Artificial Intelligence Laboratory
Technical Report“ veröffentlicht hat. Und nachdem in Frankreich erst mal die Gesetzesinitiative zumindest teilweise abgelehnt wurde, soll Anfang April 2025 weiter über das Thema beraten werden.
Und natürlich gibt es noch weitere Staaten Europas, die die Verschlüsselung aufbrechen wollen, zum Beispiel die Schweiz.
Aber wenigstens können wir ja grundsätzlich immer den bei der Polizei Beschäftigten trauen, dass sie die Privilegien, die sich aus solchen Werkzeugen, die in diesen ganzen Gesetzesentwürfen gefordert werden, nicht missbrauchen, oder?
Dieses Paper mit dem Titel „Police behaving badly“ könnte Ihre Gewissheit erschüttern. Es geht darin zwar nur um UK, aber auch aus Deutschland kennen wir Fälle, wo in der Polizei Beschäftigte die Systeme der Polizei missbrauchen.
8.5 Digitalisierung im Gesundheitswesen
Fällt Ihnen auch auf, wie ruhig es die letzten Wochen um das Prestigeprojekt der Digitalisierung im deutschen Gesundheitswesen (sprich, die ePA) geworden ist? Es wirkt so, als ob das noch nicht alles so reibungslos läuft, wie es versprochen wurde …
In Schweden sind sie weiter. Aber nicht glücklicher. Ich sage nur Höllenhamsterrad.
Derweil wird bei uns darüber nachgedacht, ob wir nicht Palantir auch auf Gesundheitsdaten ansetzen sollen. Läuft ja. Ich verlinke jetzt nicht auf die vielen Seiten, die das als schlechte Idee empfinden.
Wenn Sie sich fragen, warum die deutsche Politik so auf Palantir anspringt, dann wollen Sie vielleicht das hier lesen.
Und wenn Sie mehr über den Mensch hinter Palantir erfahren wollen (und Sie entweder kroatisch können oder die Übersetzungsfunktion Ihres Browsers bemühen), dann habe ich hier eine spannende Lektüre (von einer kroatischen Faktencheck-Seite) für Sie.
8.6 Programmierer (und Dokumentierer) aufgemerkt
Wenn Sie Beispiel-Adressen benutzen wollen, um Funktionsweisen von Programmen darzustellen, oder wenn Sie diese für Testmails in Ihrer Software verwenden wollen, dann sollten Sie sich vorher diese Podcast-Folge (Dauer ca. 1:48 Std., im letzten Drittel, aber die gesamte Folge ist hörenswert) anhören. Und nicht die Fehler des BAMF oder von AVM (ich sage nur fritz.box) wiederholen. Oder Sie schauen in den RFC 2606.
(Der Podcast beginnt übrigens mit einem Teil zu den Versuchen E2EE aufzubrechen.)
8.7 Sie mögen auch Supermarkt-Apps?
Gehören Sie auch zu den Menschen, die vom jeweiligen Discounter oder Supermarkt ausgegebene Apps auf ihrem Smartphone nutzen?
In einer aktuellen Newsletter-Mail (die ich leider nicht als Link gefunden habe, und deren Inhalt ich hier jetzt einfach in Auszügen einfüge) klärt die verbraucherzentrale NRW über fünf Irrtümer über Supermarkt-Apps auf (ab hier beginnt der Auszug):
Fast drei Viertel der Smartphone-Nutzer:innen verwenden Apps von Supermärkten, um Rabattcoupons einzulösen oder an Treueprogrammen teilzunehmen. Das ergab eine Umfrage des Digitalverbands bitkom. „Viele Verbraucher:innen überschätzen jedoch die Vorteile dieser Apps“, sagt Christine Steffen, Datenschutzexpertin bei der Verbraucherzentrale NRW. „Der Spar-Vorteil ist oft geringer als gedacht und Verbraucher:innen zahlen für die Rabatte mit der Preisgabe umfangreicher persönlicher Daten.“ Verbraucher:innen sollten die Werbeversprechen der Anbieter daher krititisch hinterfragen. Diese Irrtümer über Rabatt-Apps sind besonders verbreitet:
- Irrtum 1: Mit Rabatten spart man immer Geld:
Nicht unbedingt. Ob und wie viel Verbraucher:innen beim Einkauf sparen, hängt von vielen Faktoren ab. Werden regionale und saisonale Produkte bevorzugt? Landen überwiegend Markenprodukte im Einkaufswagen oder eher die Eigenmarken der Händler? Wird nur so viel gekauft, wie wirklich benötigt wird? Rabattaktionen beeinflussen unsere Kaufentscheidungen nicht immer zugunsten des eigenen Geldbeutels. Ein Produkt im Angebot ist mitunter immer noch teurer als vergleichbare Produkte anderer Marken. Besonders Mengenrabatte verleiten dazu, insgesamt mehr zu kaufen, als eigentlich benötigt wird. - Irrtum 2: Die Ersparnis ist immer eindeutig:
30 Prozent Rabatt auf den Bio-Joghurt! Was heißt das überhaupt? Damit Verbraucher:innen überprüfen können, ob es sich wirklich um ein Schnäppchen handelt, sind Händler verpflichtet bei Preisermäßigungen, auch den niedrigsten Preis der letzten 30 Tage für die beworbene Ware anzugeben. So soll verhindert werden, dass Preise erst heraufgesetzt werden, um dann mit einem vermeintlichen Rabatt werben zu können. Verbraucher:innen müssen also auch ins Kleingedruckte schauen und dürfen sich nicht von bunt beworbenen Mega-Rabatten blenden lassen. In einem Urteil gegen Aldi Süd (EuGH C-330/23) hat der Europäische Gerichtshof erst im September 2024 erklärt, dass der günstigste Preis der letzten 30 Tage nicht nur angegeben werden muss, sondern die beworbene Preisreduzierung sich auch auf eben diesen Preis beziehen muss. - Irrtum 3: Rabatte sind kostenlos:
Einfach die App runterlanden und schon kann das Sparen beginnen? Supermärkte haben ein großes Interesse an digitalen Kundenprogrammen. Denn anders als die Stempelkarte beim Bäcker, sammelt die App zahlreiche Kundendaten, die analysiert und verarbeitet werden können. Verbraucher:innen zahlen also durchaus einen Preis, um Rabatte zu erhalten. Denn unsere Einkaufsliste sagt viel über uns aus: Liegen zum Beispiel Allergien oder Unverträglichkeiten vor? Leben Schwangere, Babys oder Kleinkinder im Haushalt? Macht der Kunde oder die Kundin gerade eine Diät? Aus all diesen Informationen können Kundenprofile erstellt und zu Werbezwecken genutzt werden. Was vielen nicht bewusst ist: Nicht nur die getätigten Einkaufe werden analysiert, sondern auch die Nutzung der App selbst: Wann und wie oft öffne ich die App? Welche Produkte schaue ich länger an? Welche Suchbegriffe gebe ich ein? Auch daraus können Händler viele Rückschlüsse ziehen. - Irrtum 4: Personalisierte Werbung schadet doch nicht:
Ist es nicht praktisch, wenn Anbieter Vorlieben kennen und individuell zugeschnittene Werbung ausspielen? Die Macht der Werbung wird von vielen Menschen unterschätzt. Tatsächlich sind die Möglichkeiten der Manipulation und der Beeinflussung von Kaufentscheidungen enorm. Dabei kommen psychologische Tricks zum Einsatz, wie zeitlich befristetet Angebote oder (vermeintlich) begrenzte Kontingente. Die versteckte Botschaft: Wenn Sie jetzt nicht zuschlagen, verpassen Sie das Angebot des Jahres! Je mehr Anbieter über ihre Kund:innen wissen desto schwieriger ist es, sich diesem Einfluss zu entziehen. Denn neben Vorlieben kennen sie auch ganz genau die persönlichen Schwächen der App-Nutzer:innen. - Irrtum 5: Gegen Datensammlung kann ich gar nichts tun:
Doch! Wer Supermarkt-Apps nutzen möchte, kann in der Regel in den Datenschutzeinstellungen Anpassungen vornehmen. Hier können Verbraucher:innen etwa den Zugriff auf ihren Standort unterbinden oder der Personalisierung widersprechen. Wer genau wissen möchte, welche personenbezogenen Daten die Anbieter verarbeiten, kann dies über eine kostenlose Auskunft beim Anbieter erfragen. Die Verbraucherzentrale NRW bietet dafür einen Musterbrief an.
(Und hier endet der Auszug)
Die verbraucherzentrale NRW hat auch weiterführende lesenswerte Informationen (zu Risiken und Rabatten) für Sie.
8.8 How WEIRD is Usable Privacy and Security Research?
WEIRD steht übrigens für „Western, Educated, Industrialized, Rich, and Democratic countries“. Wie es scheint unterscheiden sich Ansprüche und der „human factor“ regional.
Mehr dazu in dieser Studie.
8.9 Please Mr. Postman – Dänemark Edition
In ein paar Jahren werden Menschen in Dänemark dieses Lied noch weniger verstehen, da nach diesem Bericht die dänische Post (PostNord) die Briefzustellung Ende 2025 komplett einstellen wird.
Ehrlich gesagt fühlt sich das manche Tage mittlerweile bei der Deutschen Post schon ähnlich an …
8.10 Noch ein Abo-Modell – DaaS
Sie fragen sich, was DaaS bedeutet? Lassen Sie mich Ihnen helfen: Defense as a Service.
In Zeiten wachsender Verteidigungsbudgets sollte die Frage, ob es gut ist, wenn der Anbieter die Waffe remote ein- aber auch ausschalten kann, sicherlich mitgedacht werden, oder?
9. Die gute Nachrichte zum Schluss
9.1 500 Jahre Freiheitsdrang – 500 Jahre Bauernproteste
Ok, wenn ich jetzt mit 500 Jahre Bauernkrieg beginne, wird der Bezug zur guten Nachricht auch nicht ganz klar. Ist auch schwer zu vermitteln, wenn Bauernproteste in der letzten Zeit eher mit Agrardiesel in Verbindung gebracht wurden. Das war früher anders: Vor 500 Jahren formulierten Bauern im Memmingen das, was wir heute mit Freiheitsrechten bezeichnen würden. Es handelte sich um 12 Artikel, die damals 50 Bauernvertreter in der Memminger Kramerzunft (echt nur Zufall!!) formulierten.
Diese gelten als Dokument der Freiheitsgeschichte in Deutschland und in Europa und formulierten insbesondere Forderungen zur Religionsfreiheit, zur Steuerbelastung und zur Beendigung der Leibeigenschaft.