Hier ist der 30. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 29/2025)“ – Die DVD-Edition.
Ich bin (nach der Ankündigung letzte Woche) genauso überrascht wie Sie es sind. Aber da es Abends in meinem Urlaub Leerlaufphasen gibt, komme ich zum Umsetzen der Texte von Herrn Kramer in diesem Blog (sowie zum Schreiben meiner eigenen Texte). Und deswegen haben Sie nun hier die KW 29/2025. Grüße vom Meer.
- Aufsichtsbehörden
- EDSA: Opinion 16/2025 zur vorgelegten TÜV-Zertifizierung
- EDSA: Stellungnahme zur den Model Clauses unter dem Data Act
- LDI NRW: Fortsetzungserkrankung und Datenschutz
- CNIL: Informationen zu Phishing-Angriffen bei der Nutzung von Bank-Apps
- CNIL: Keine Altersfeststellung über Kameras in Tabakläden
- AEPD: Aussagen zur Zuständigkeit bei KI-Systemen
- AEPD: Tipps zu Social Media im Urlaub
- Niederlande: Austausch zu Best Practice
- BSI: Weiterentwicklung des C5:2025
- BSI: Empfehlungen zur E-Mail-Sicherheit
- ICO: Änderungen durch das Data Access and Use Bill (DAUB)
- Rechtsprechung
- Gesetzgebung
- EU: Berater für das KI-Forum gesucht
- EU: Verbesserung der Durchsetzung der DS-GVO
- EU: Angemessenheitsbeschluss für das Europäische Patentamt
- New York: „Dynamic Pricing“
- Abschlussbericht der „Initiative für einen handlungsfähigen Staat“
- Dänische Ratspräsidentschaft: Vorhaben zu GDPR und ePrivacy
- KI-VO: Code of Practice – Wie geht es weiter?
- EU: Entwurf des Digital Fairness Acts
- Künstliche Intelligenz und Ethik
- EAsyAnon: Empfehlungs- und Prüfsystem zur Anonymisierung von Daten
- ThinkTank des Europäischen Parlaments: Nutzung von Webseiten für das Training
- KI und Chatbotangriffe
- Neues KI-Strategiepapier für die NRW-Hochschulen
- DAV: Einsatz von KI in der Anwaltschaft
- EU: Veröffentlichung der Guidelines zu KI-Modellen
- Offenes Sprachmodell in der Schweiz
- IEEE Standard for the Procurement of Artificial Intelligence and Automated Decision Systems
- Ethik-Handreichung zum Thema “Generative Technologien“
- The Algorithmic Hand: How Large Language Models Disrupt Competition and Democracy
- Vortrag zur Einführung in die Ethik der KI (Englisch)
- Mit KI vom Wege abkommen
- CIO-Dialog: KI in der Verwaltung
- KI-Zusammenfassungen und das Ende des Internets
- Studie: Skalierung der Kompetenz im Bereich der künstlichen Intelligenz
- USA: Sammelklage um Urheberrecht gegen LLM-Anbieter – Major AI Copyright Case
- Veröffentlichungen
- Schutz vor manipulierten E-Mail-Rechnungen
- Auskunft und Geschäftsgeheimnisse
- Kauf von Palantir nun auch in Baden-Württemberg
- noyb: Beschwerden gegen TikTok, AliExpress und WeChat
- Podcast Daten-Dialog zu CISIS 12
- Microsoft, Cloud Act, Souveränität und Sommerloch
- Antrittsvorlesung zur Digitalrechtsgesellschaft
- Veranstaltungen
- IHK Aschaffenburg: Webseiten datenschutzkonform gestalten -neu-
- Stiftung Datenschutz „Data Act und DS-GVO“ -neu-
- DatenTag: Ein Grundrecht für die Gesellschaft
- Daten-Dienstag: KI-Agenten im Verbraucheralltag -neu-
- Konferenz der Plattform Lernende Systeme: „KI & WIR – Zukunft verantwortlich gestalten“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Opinion 16/2025 zur vorgelegten TÜV-Zertifizierung
Der EDSA hat noch einige Nacharbeitungswünsche bei einem durch die TÜV Nord eingereichten Zertifizierungsverfahren, wie er in seiner Opinion 16/2025 ausführt. Bericht dazu hier.
1.2 EDSA: Stellungnahme zur den Model Clauses unter dem Data Act
In seiner Stellungnahme 04/2025 zu den Entwürfen unverbindlicher Mustervertragsbedingungen für die gemeinsame Nutzung von Daten im Rahmen des Data Act (Fassung vom 22. Mai 2025) empfiehlt der EDSA u.a. die Entschädigungsmechanismen gemäß Art. 4 Abs. 13 Data Act auf nicht personenbezogene Daten zu beschränken.
1.3 LDI NRW: Fortsetzungserkrankung und Datenschutz
Die LDI NRW veröffentlichte eine Hilfestellung, welche Informationen Arbeitgeber bekommen dürfen, wenn Beschäftigte erkrankt sind. Insbesondere, wenn es um die Entgeltfortzahlung geht, gibt es dazu Fragen, wenn es z.B. zu mehreren Erkrankungen innerhalb kurzer Zeit kommt. Arbeitgeber möchten dann wissen, ob es sich um sogenannte Fortsetzungserkrankungen handelt. Die Lohnfortzahlung gibt es in der Regel nur für die ersten sechs Wochen einer Erkrankung. Danach gibt es Krankengeld durch die Krankenkasse. Handelt es sich nun hintereinander um die gleiche Krankheit, läuft nicht bei jeder Erkrankung wieder neu die Sechs-Wochen-Lohnfortzahlung. Vielmehr werden die Zeiten der „fortgesetzten“ Erkrankungen addiert.
Grundsätzlich dürfen Arbeitgeber:innen Gesundheitsdaten nur dann verarbeiten, wenn sie zur Erfüllung arbeitsrechtlicher Pflichten erforderlich sind. Bei der Entgeltfortzahlung im Krankheitsfall ergibt sich diese Erforderlichkeit aus der gesetzlichen Verpflichtung von Arbeitgeber*innen zur Lohnfortzahlung im Krankheitsfall, die im Entgeltfortzahlungsgesetz (EFZG) zu finden ist. Rechtsgrundlagen für die Verarbeitung dieser besonderen Kategorie personenbezogener Daten sind insbesondere § 26 Absatz 3 des Bundesdatenschutzgesetzes (BDSG) in Verbindung mit Art. 9 Abs. 2 lit. b DS-GVO. Die Verarbeitung erfolgt zur Ausübung von Rechten und zur Erfüllung rechtlicher Pflichten aus dem Arbeitsverhältnis. Die zusätzlich notwendige Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DS-GVO ist im Fall von Gesundheitsdaten Art. 6 Abs. 1 UAbs. 1 lit b DS-GVO in Verbindung mit dem Arbeitsvertrag. Danach ist die Verarbeitung erlaubt, sofern sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist“ erforderlich“ ist.
Arbeitgeber:innen unterliegen in diesem Zusammenhang nach Erkenntnissen der LDI NRW allerdings häufiger einem Irrtum. Die Verarbeitung ist nämlich nur insoweit zulässig, als sie tatsächlich erforderlich ist. Der bloße Verdacht, dass es sich um eine Fortsetzungserkrankung handeln könnte, reicht nicht aus. Es muss vielmehr eine konkrete Vermutung im Einzelfall vorliegen, etwa aufgrund zeitlicher Nähe oder inhaltlicher Hinweise, dass die Erkrankungen zusammenhängen. Arbeitgeber:innen seien zudem angehalten mildere Mittel zu prüfen. So könne es in bestimmten Fällen ausreichend sein, bei der Krankenkasse eine Einschätzung einzuholen, ob aus ihrer Sicht eine Fortsetzungserkrankung vorliegt. Eine weitere schonendere Alternative kann die Einschaltung des Betriebsarztes sein, der eine medizinische Einschätzung abgibt, ohne dass sensible Gesundheitsdaten direkt an die Arbeitgeber:in gelangen. Während das BAG diese Maßnahmen im gerichtlichen Verfahren zur Entgeltfortzahlung nicht für ausreichend hält, sind sie im Rahmen der vorprozessualen Datenverarbeitung durchaus vorzuziehen und zu prüfen. Des Weiteren befasst sich die LDI NRW auch mit Fragen zur Einwilligung und mit den Aufbewahrungsfristen.
Und weil es gut dazu passt:
Das LAG Schleswig-Holstein lehnte einen Anspruch auf Entgeltfortzahlung ab, nachdem eine Pflegekraft infolge einer Entzündung auf Grund einer freiwillig eingegangenen Tätowierungsbehandlung arbeitsunfähig wurde. Diese Komplikation wird bei Einwilligung in die Tätowierung billigend in Kauf genommen. Führt diese Komplikation zur Arbeitsunfähigkeit, besteht kein Anspruch auf Entgeltfortzahlung im Krankheitsfall, da den Arbeitnehmer ein Verschulden an der Arbeitsunfähigkeit trifft. Allerdings bleibt in dem Urteil offen, wie die Arbeitgeberin von der Ursache der Arbeitsunfähigkeit erfuhr. Mutmaßlich hatte es die Arbeitnehmerin im Rahmen der Information über die Arbeitsunfähigkeit selbst mitgeteilt.
1.4 CNIL: Informationen zu Phishing-Angriffen bei der Nutzung von Bank-Apps
Die CNIL informiert, welche Rechte bestehen, wenn eine Bank Technik einsetzt, um Betrugs- und Manipulationsversuche zu erkennen. Um diese Betrügereien zu bekämpfen, ergreifen die Banken verschiedene Maßnahmen wie Sensibilisierungsnachrichten oder regelmäßige Erinnerungen. Einige von ihnen versuchen nun herauszufinden, ob ihre Kunden zu dem Zeitpunkt, an dem sie eine Banktransaktion durchführen, z. B. einen Begünstigten hinzufügen oder eine Überweisung tätigen, am Telefon sind.
Wenn bestimmte Banking-Apps verwendet werden, werden Informationen im Zusammenhang mit Telefonanrufen (Vorhandensein eines Anrufs, Dauer des Anrufs) auf dem Telefon gesammelt. Diese Elemente werden mit anderen Signalen abgeglichen, die Aufmerksamkeit erregen können (Betrag des Vorhabens, Hinzufügung eines neuen Begünstigten, Überweisung in ein riskantes Land usw.). Auf diese Weise kann die App ungewöhnliche oder verdächtige Situationen in Echtzeit erkennen, um die Bankgeschäfte von Kunden besser zu schützen. Wenn eine Situation wirklich ungewöhnlich erscheint, kann eine Warnmeldung gesendet werden, und in einigen Fällen kann der Vorgang sogar blockiert werden. Das hängt von den Einstellungen ab, die vom Nutzenden der Bank gewählt wurden.
Diese App hilft Betrug zu erkennen und zu verhindern, aber es ist nicht dazu gedacht die Kunden-Telefongespräche abzuhören oder aufzuzeichnen: Es erkennt nur, ob ein Anruf im Gange ist, ohne jemals auf den Inhalt des Gesprächs zuzugreifen.
Die CNIL informiert dazu auch, welche Rechte die Nutzenden haben. Damit eine Banking-App auf Informationen im Zusammenhang mit Telefonanrufen zugreifen kann, müssen die Zustimmung in voller Kenntnis der Sachlage gegeben haben. Dies erfordere eine freie und informierte Einwilligung, was verlangt, dass umfassend über die Verwendung personenbezogenen Daten informiert werden muss und die Wahl, zu akzeptieren oder abzulehnen, gegeben werden muss.
Dazu gibt es auch Hinweise an Anbieter, wie die Vorschriften eingehalten werden können.
1.5 CNIL: Keine Altersfeststellung über Kameras in Tabakläden
Die französische Datenschutzaufsicht veröffentlichte ihre Ansicht, dass der Einsatz von „erweiterten“ Kameras zur Schätzung des Alters der Kunden von Tabakläden zur Kontrolle des Verkaufs verbotener Produkte an Minderjährige weder notwendig noch verhältnismäßig ist. Einige Tabakläden verwenden „erweiterte“ Kameras, um das Alter ihrer Kunden zu schätzen, bevor sie Produkte verkaufen, die für Minderjährige verboten sind (Tabak, Alkohol, Glücksspiel usw.). Diese Kameras benutzen einen Algorithmus mit künstlicher Intelligenz. Dabei wird das Gesicht der Person gescannt, um festzustellen, ob es sich um einen Minderjährigen oder um einen Erwachsenen handelt.
Derzeit bereitgestellte Geräte sind standardmäßig aktiviert und scannen die Gesichter aller Personen in ihrem Sichtfeld. Sie zeigen dann durch ein grünes oder rotes Licht an, ob das geschätzte Alter der Personen ein vorher festgelegtes Alter (18 Jahre, 21 Jahre oder andere) überschreitet oder nicht.
Diese „erweiterten“ Kameras werden derzeit von Tabakläden als Entscheidungshilfe eingesetzt: Sie sind nicht dazu gedacht, dass Kunden ihre Volljährigkeit beweisen können.
Nach mehreren Anfragen und angesichts der Herausforderungen, die diese Systeme mit sich bringen, hat die CNIL nach Konsultationsgesprächen mit den betroffenen Interessengruppen die Einhaltung der DS-GVO und des nationalen Datenschutzgesetzes analysiert.
Warum ist ihre Verwendung nicht DSGVO-konform? Die Analyse des Gesichts, die durch sogenannte „augmentierte“ Kameras durchgeführt wird, ist eine Verarbeitung personenbezogener Daten, die daher den in der DS-GVO festgelegten Grundsätzen entsprechen muss, um rechtlich konform umgesetzt zu werden.
In ihrem im Juli 2022 veröffentlichten Standpunkt zu den Bedingungen für den Einsatz von „erweiterten“ Kameras erinnerte die CNIL daran, dass es unerlässlich ist vor jedem Einsatz nachzuweisen, dass der Einsatz dieser Geräte notwendig und verhältnismäßig ist. Auf der Grundlage dieser Kriterien führte die CNIL ihre Analyse durch. Die Verarbeitung muss zur Erreichung des beabsichtigten Zwecks erforderlich sein. Das Gesetz verlangt von Tabakhändlern, dass sie vor dem Verkauf von Tabak oder Alkohol überprüfen, ob ihre Kunden volljährig sind. Diese Geräte können jedoch nur das Alter von Menschen schätzen, ohne Sicherheit, und sie bergen ein Fehlerrisiko, wie jedes System der künstlichen Intelligenz. Ihre Notwendigkeit und Aktualität erscheinen in diesem Zusammenhang daher fragwürdig.
1.6 AEPD: Aussagen zur Zuständigkeit bei KI-Systemen
Die spanische Datenschutzbehörde AEPD weist darauf hin, dass sie auch unabhängig vom Inkrafttreten der KI-Verordnung gegen verbotene KI-Systeme, die personenbezogene Daten verarbeiten, vorgehen kann. Ab dem 2. August 2025 tritt eine Reihe von Abschnitten in Kraft, darunter das für Art. 5 geltende Aufsichts- und Sanktionsregime in Bezug auf verbotene Systeme der künstlichen Intelligenz. Spanien hat das nationale Recht noch nicht übernommen, so dass die AEPD noch keine Marktüberwachungsbehörde im Sinne der KI-VO ist. In jedem Fall kann die AEPD als zuständige Behörde in Fragen des Datenschutzes bereits die Verarbeitung personenbezogener Daten durch KI, einschließlich verbotener Systeme, überwachen und dagegen vorgehen, soweit sie das Recht auf Datenschutz beeinträchtigt. Sie prüfe bereits, ob ihre technischen, personellen und finanziellen Kapazitäten gestärkt werden müssen, um diese Aufgaben wahrnehmen zu können.
1.7 AEPD: Tipps zu Social Media im Urlaub
Passend zur Urlaubszeit bringt die spanische Aufsicht Tipps zum Umgang mit Social Media. Während des Urlaubs könnten ja die Entspannung und der Wunsch, Erlebnisse und Erfahrungen mit Familie und Freunden zu teilen, dazu führen, dass die bis praktizierte Vorsicht nachlasse.
Sie empfiehlt, dass zweimal überlegt werden soll, bevor Informationen in sozialen Netzwerken veröffentlicht werden, denn diese könnten auch kompromittierend wirken. Auch sollten die Datenschutzeinstellungen für jedes soziale Netzwerk überprüft werden. Wenn Bilder einer anderen Person in ein soziales Netzwerk hochgeladen werden, rät die AEPD vorher um Erlaubnis zu bitten und vor allem soll verantwortungsbewusst gehandelt werden, wenn Bilder von minderjährigen Kindern online geteilt werden. Zudem sollten bestimmte Informationen nicht in den Profilen veröffentlicht werden, wie z. B. konkrete Urlaubspläne und Ticketcodes oder Bordkarten. Als Service verweist die AEPD auf ihren YouTube-Kanal, in dem sie auf Spanisch Informationen zur Privatsphäreneinstellung in gängigen sozialen Medien gibt.
1.8 Niederlande: Austausch zu Best Practice
Die niederländische Aufsicht AP fordert Unternehmen, die Algorithmen verantwortungsbewusst einsetzen, auf sich für einen Erfahrungsaustausch bei der Aufsicht zu melden. Bei einer Umfrage Anfang des Jahres bei 1.600 Unternehmen zeigte sich, dass sich die niederländische Wirtschaft für unzureichend gerüstet für den Einsatz von Algorithmen hält. In dem Austausch soll es auch um Überlegungen bei der Auswahl bestimmter algorithmischer Lösungen gehen, die Art und Weise, wie ein Unternehmen Chancen und Risiken abwägt, sowie um etwaige Abhängigkeiten von Softwareanbietern. Die Erkenntnisse aus diesen Unterhaltungen (ohne Bezug zu den beteiligten Organisationen) in einen Bericht mit „Best Practices“ aufgenommen sollen. Damit hofft die AP der niederländischen Geschäftswelt zu helfen sich in Zukunft eine zufriedenstellende Note zu geben.
1.9 BSI: Weiterentwicklung des C5:2025
Seit 2016 stellt das BSI mit dem Cloud Computing Compliance Criteria Catalogue (C5) einen etablierten Pfeiler für die Sicherheit von Cloud-Diensten bereit. Nun wurde er als C5:2025 (vorläufiger Titel) im Status eines Community Drafts veröffentlicht. Das BSI lädt ein sich aktiv an der Weiterentwicklung zu beteiligen. Die Kommentierungsphase läuft bis zum 15. September 2025. Weitere Informationen zum C5 sind beim BSI hier hinterlegt.
1.10 BSI: Empfehlungen zur E-Mail-Sicherheit
Seitens des BSI gibt es einige Hinweise zur sicheren E-Mail-Nutzung, wie hier oder da. Dieser Blog-Beitrag erklärt, warum das wichtig ist.
1.11 ICO: Änderungen durch das Data Access and Use Bill (DAUB)
Die britische Aufsicht informiert zu den Änderungen, die sich in UK durch das Data Access and Use Bill (DAUB) ergeben und die ihre eigenen Empfehlungen betrifft.
Zu den Änderungen gehören im Bereich der Datenverarbeitung bei Strafverfolgung und der nationalen Sicherheit:
- Neue Bestimmungen zur gemeinsamen Verarbeitung bei der Arbeit nach den Datenschutzvorschriften der Nachrichtendienste.
- Neue Ausnahme für die nationale Sicherheit, falls dies zum Schutz der nationalen Sicherheit erforderlich ist.
- Neue Ausnahme vom Anwaltsgeheimnis, wenn personenbezogene Daten dem Anwaltsgeheimnis unterliegen.
Dadurch entfalle die Notwendigkeit, ein Protokoll über die Gründe zu führen, aus denen Personen in Unternehmen auf die personenbezogenen Daten, die sie in automatisierten Verarbeitungssystemen gespeichert haben, zugegriffen oder diese offengelegt haben.
- Aktualisierungen von Anforderungen an Auskunftsbegehren die es ermöglichen in bestimmten Fällen länger auf Anfragen zum Zugriff auf personenbezogene Daten zu reagieren.
Die Definition der Einwilligung ist für die Verarbeitung durch Strafverfolgungsbehörden klarer definiert. - Verhaltenskodizes, die Experten jetzt zur Verwendung personenbezogener Daten für Strafverfolgungszwecke entwickeln können.
- Ermöglichung, personenbezogenen Daten von Personen zu verwenden, um unter mehr Umständen wichtige automatisierte Entscheidungen über sie zu treffen, solange weiterhin angemessene Sicherheitsvorkehrungen getroffen werden.
- Organisationen können jetzt angeforderte personenbezogenen Daten zur Verfügung stellen, basierend auf einer Erklärung, dass diese Informationen zur Erfüllung deren öffentlicher Aufgabe benötigt werden.
Außerdem gibt es neue Anforderungen an Datenschutzbeschwerden:
Der DUAA verlangt Maßnahmen, um Personen zu helfen, die Beschwerden über die Verwendung ihrer personenbezogenen Daten einzureichen, z. B. durch die Bereitstellung eines elektronischen Beschwerdeformulars. Auch müssen Beschwerden innerhalb von 30 Tagen bestätigt und es muss „unverzüglich“ darauf reagiert werden.
Der ICO will seine Leitlinien für Strafverfolgungsbehörden im Laufe der Zeit und mit Inkrafttreten der Änderungen aktualisieren. Weitere Informationen zu den Updates, an denen gearbeitet wird und die Pläne für neue und aktualisierte Anleitungen sind (unter dem obigen Link) auf der Webseite des ICO hinterlegt.
Das DUAA ändert auch einige andere Gesetze, die nicht den ICO betreffen. Informationen zu diesen Änderungen finden sich hier.
Franks Nachtrag: Apropos DAUB, da hatte ich doch noch eine Bewertung zum Gesetz gefunden, die ich Ihnen nicht vorenthalten wollte, zeigt sie doch, wie sehr dieses Gesetz das Datenschutzniveau in UK absenkt.
2 Rechtsprechung
2.1 EuG: Beschwerderecht und Betroffenheit auf Herausgabe von Verfahrensakten
Im Verfahren T-183/23 entschied das EuG über die Anforderungen, mit der der EDSA die Herausgabe von Akten bezüglich einer Beschwerde gegenüber der beschwerdeführenden Person ablehnte. Das Europäische Gericht sah in dem verbindlichen Beschluss 3/2022 des EDSA einen Verstoß gegen Art. 41 Abs. 2 lit. b GrCH. Dieser regelt den Anspruch auf eine gute Verwaltung und gewährleistet das Recht jeder Person auf Zugang zu den sie betreffenden Akten unter Wahrung des berechtigten Interesses der Vertraulichkeit sowie des Berufs- und Geschäftsgeheimnisses, um das Recht auf eine gute Verwaltung umzusetzen.
2.2 Oberstes Gericht der Niederlande: Zurechenbarkeit bei „communication to the public“
Wenn etwas im Internet abrufbar gemacht wird, ist es grundsätzlich überall abrufbar. Aber bedingt dies auch in jedem Land eine Verwertungshandlung („communication to the public“) im Sinne des Art. 3 Abs. 1 RL 2001/29? Insbesondere in einem Land, für das derjenige, der es online stellt, ein Geoblocking vorgenommen hat?
Der niederländische Beklagte „veröffentlichte“ ein Lichtbild ohne Zustimmung des Herstellers auf der Webseite seines Einzelunternehmens. Die Website ist zwar in Österreich abrufbar, hat aber die Top-Level-Domain „nl“ und ist ausschließlich in niederländischer Sprache gehalten. Der Beklagte hat seit Gründung seines Unternehmens keine Waren nach Österreich verkauft. Es kann nicht festgestellt werden, ob und inwieweit die Website in Österreich aufgerufen wurde oder wird.
Inhaltlich ging es um eine Veröffentlichung eines urheberrechtlich geschützten Werks von Anne Frank durch die Stiftung und andere auf einer Website in den Niederlanden, mit Geoblocking-Maßnahmen zum Schutz vor dem Aufruf woanders.
Bedeutet die Möglichkeit, Geoblocking durch die Verwendung eines VPN oder eines ähnlichen Dienstes zu umgehen, dass in den Niederlanden eine öffentliche Kommunikation stattfindet? Das Gericht hat vor diese Fragen dem EuGH vorzulegen – dazu erhalten die Parteien Gelegenheit zur Stellungnahme.
2.3 BGH: Anforderungen nach dem Fernunterrichtsschutzgesetz
Wir hatten das Thema bereits im Blog in den Jahren 2023 und 2024. Der BGH hat nun bestätigt, dass das Fernunterrichtsschutzgesetz (FernUSG) auch für Verträge zwischen Unternehmern gilt. Im Worstcase geht dann ein Vergütungsanspruch verloren, wenn keine entsprechende Lizenz dazu vorliegt. Der BGH entschied, dass die Anforderung „Vermittlung von Kenntnissen und Fähigkeiten“ weit auszulegen ist. Die Einräumung eines Fragerechtes reicht für „Überwachung des Lernerfolgs“ aus (Urteil Seite 14). Es genügt eine einzige Lernkontrolle (so ausdrücklich Bericht des Ausschusses für Bildung und Wissenschaft). Ein solcher Anspruch des Klägers ist auf der Grundlage der Programmbeschreibung zu bejahen. Dort war ausdrücklich die Möglichkeit und damit auch das Recht des Teilnehmers vorgesehen in den Online-Meetings, per Mail oder in der Facebook-Gruppe Fragen zu stellen.
3 Gesetzgebung
3.1 EU: Berater für das KI-Forum gesucht
Die EU-Kommission ruft zur Einreichung von Bewerbungen für die Teilnahme am Beratungsforum im Rahmen der KI-VO auf. Interessierte Akteure aus der Zivilgesellschaft, der Wissenschaft, der Industrie, KMU und Start-ups sind eingeladen einen Beitrag zur verantwortungsvollen und wirksamen Umsetzung der KI-Verordnung zu leisten. Das Beratungsforum wird als allgemeines Beratungsgremium der EU-Kommission fungieren. Es wird die Arbeit des wissenschaftlichen Gremiums ergänzen, das das AI Office und auf Anfrage die nationalen Marktüberwachungsbehörden in Fragen der allgemeinen KI beraten wird.
Das Forum soll unabhängiges technisches Fachwissen und Beratung zu einer Vielzahl von Themen bereitstellen und sicherstellen, dass die Interessengruppen gezielt und kompetent zu verschiedenen Aspekten der KI-VO, einschließlich der Herausforderungen im Zusammenhang mit der Normung und Umsetzung, beitragen können.
Zu den ständigen Mitgliedern werden wichtige EU-Agenturen wie die Agentur der Europäischen Union für Grundrechte (FRA) und die EU-Cybersicherheitsagentur ENISA sowie Normungsgremien wie das Europäische Komitee für Normung (CEN), das Europäische Komitee für elektrotechnische Normung (CENELEC) und das Europäische Institut für Telekommunikationsnormen (ETSI) gehören.
Die Mitglieder werden für eine Amtszeit von zwei Jahren (einmal verlängerbar) ernannt und sollen sich aktiv an Sitzungen, Untergruppen und schriftlichen Beiträgen beteiligen. Die Teilnahme wird nicht vergütet. Bewerbungen können bis 14. September 2025 eingereicht werden.
3.2 EU: Verbesserung der Durchsetzung der DS-GVO
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres hat die Einigung über die neue DS-GVO-Verfahrensverordnung gebilligt, die das Ergebnis inter-institutioneller Verhandlungen ist und mit der den Aufsichtsbehörden eine effektivere Durchsetzung der DS-GVO ermöglicht werden soll (Entwurf COM(2023) 348 final). In der Sitzungswoche des Europäischen Parlaments Anfang September 2025 soll darüber abgestimmt werden. Hintergrundinformation dazu findet sich hier, eine Stellungnahme des EDSA da, Kritik dazu dort.
3.3 EU: Angemessenheitsbeschluss für das Europäische Patentamt
Die Europäische Union hat nach Art. 45 DS-GVO festgestellt, dass die Europäische Patentorganisation ein Datenschutzniveau bietet, das dem der Europäischen Union gleichwertig ist. Das ist damit der erste EU-Angemessenheitsbeschluss für eine internationale Organisation und dieser wird sich in der Praxis positiv auf die Wirksamkeit europäischer und internationaler Patentanmeldungen auswirken.
Dem Europäischen Patentamt (EPA) gehören 39 Vertragsstaaten an, darunter alle EU-Mitgliedstaaten, Island, Norwegen und Liechtenstein sowie Albanien, Nordmazedonien, Monaco, San Marino, Serbien, die Schweiz, Montenegro, das Vereinigte Königreich und die Türkei.
Das EPA erhält personenbezogene Daten von verschiedenen Akteuren in der EU. Europäische Patentanmeldungen werden direkt vom Anmelder beim EPA eingereicht oder von den nationalen Patentämtern übermittelt. Das EPA erhält und verarbeitet personenbezogene Daten im Zusammenhang mit der Entgegennahme und Prüfung von Anträgen und Eintragungen für die einheitliche Wirkung europäischer Patente. Das EPA fungiert auch als internationale Recherchenbehörde im Rahmen des Vertrags über die internationale Zusammenarbeit auf dem Gebiet des Patentwesens und prüft in dieser Eigenschaft die Patentierbarkeit von Erfindungen, die in internationalen Anmeldungen offenbart sind, und hilft dem Anmelder bei der Entscheidung, ob er einen Antrag auf Sachprüfung auf nationaler/EU-Ebene stellt oder nicht.
3.4 New York: „Dynamic Pricing“
Wir hatten schon dazu berichtet, dass es in New York eine Vorschrift gibt, die nun offenlegen muss, wenn das Pricing gegenüber einem Verbraucher auf Basis eines Algorithmus erfolgte (Dynamic Pricing“: „DIESER PREIS WURDE VON EINEM ALGORITHMUS ANHAND IHRER PERSÖNLICHEN DATEN FESTGELEGT.“). Dieses Gesetz trat nun in Kraft – und wird beklagt – und die Durchführung deswegen erstmal ausgesetzt, wie der zuständige State Attorney dem Richter mitteilte.
3.5 Abschlussbericht der „Initiative für einen handlungsfähigen Staat“
Nunmehr liegt auch der Abschlussbericht der früheren Verantwortungsträger und einer Managerin vor, die ihre Vorstellungen von erforderlichen Verbesserungen für Staat und Gesellschaft erarbeiteten. Hinsichtlich der Aussagen zum „Datenschutz“ sei auf die Hinweise zum Zwischenbericht verwiesen, die wir hier brachten. Bei den im Bericht genannten Mitgliedern der einberufenen Arbeitsgruppen ist niemand erkennbar, der in meiner Wahrnehmung bei konkreten Datenschutzthemen bisher hervorgetreten wäre. Auch interessant, da wird immer über zu viel Aufsichtsbehörden lamentiert, aber es scheinen dann doch zu wenig zu sein, um eine Person aus einer solchen einzubeziehen.
Aber warum soll es bei natürlicher Intelligenz anders ein, als bei künstlicher: Wenn die Trainingsquellen nicht ausreichen, wird halluziniert.
3.6 Dänische Ratspräsidentschaft: Vorhaben zu GDPR und ePrivacy
Was plant die dänische Präsidentschaft im 2. Halbjahr 2025 auf europäischer Ebene im Bereich Datenschutz und vertraulicher Kommunikation? Mit einem diesbezüglichen Non-Paper befasst sich dieser Bericht.
3.7 KI-VO: Code of Practice – Wie geht es weiter?
Wie geht es mit dem Code of Practice der EU für generative KI weiter? Etwas pessimistisch wird hier beschrieben, dass US-Tech-Giganten die Anforderungen weiter nach unten beeinflussen könnten.
3.8 EU: Entwurf des Digital Fairness Acts
Die EU-Kommission hat die Sondierung zum bevorstehenden Digital Fairness Act veröffentlicht, die einen detaillierten Ausblick auf die regulatorische Ausrichtung bietet, die die Kommission in Betracht zieht. Bis 9. Oktober 2025 kann dazu Rückmeldung gegeben werden. Unter Berücksichtigung des bestehenden digitalen Regelwerks der EU zielt diese Initiative darauf ab problematische Praktiken im Verbraucherrecht zu bekämpfen, wie z. B:
- unlautere Geschäftspraktiken im Zusammenhang mit manipulativer Gestaltung („Dark Patterns)
- irreführendes Marketing durch Influencer
- süchtig machendes Design digitaler Produkte
- unlautere Personalisierungspraktiken wie „Dynamic Pricing“
Außerdem sollen gleiche Wettbewerbsbedingungen für Online-Händler gewährleistet, die Durchsetzung erleichtert und mögliche Vereinfachungen eingeführt werden.
4 Künstliche Intelligenz und Ethik
4.1 EAsyAnon: Empfehlungs- und Prüfsystem zur Anonymisierung von Daten
Der Austausch digitaler Daten stellt für Organisationen und Unternehmen eine Herausforderung dar. In öffentlichen Einrichtungen, Forschungsinstitutionen und Unternehmen werden zunehmend mehr Datensätze generiert, die potenziell wertvolle Erkenntnisse enthalten könnten. Die Veröffentlichung dieser Daten als Open Data ist aufgrund rechtlicher Beschränkungen und fehlender technischer Lösungen häufig eingeschränkt. Viele Datensätze bleiben aufgrund der Herausforderungen des Datenschutzes, der Sicherheit und der Persönlichkeitsrechte der Allgemeinheit vorenthalten. Dadurch wird verhindert, dass aus den Daten ein gesellschaftlicher Mehrwert entsteht. Vor diesem Hintergrund wurde EAsyAnon ins Leben gerufen – ein Forschungsprojekt, das Dateneigentümern einen klaren Wegweiser bieten soll, um effektiv bestehende Anonymisierungskonzepte auszuwählen, zu implementieren und deren Wirksamkeit zu evaluieren.
Obwohl EAsyAnon ursprünglich mit Fokus auf Gesundheitsdaten entwickelt wird, ist es das Ziel das System auf verschiedene weitere Domänen anwendbar zu machen. Damit soll eine praktikable Lösung für das Problem der Datenfreigabe unter Wahrung der Privatsphäre geboten werden.
Die Ergebnisse wurden nun hier mit dem Titel „Expert Experiences in Anonymizing Personal Data and Its Use as Open Data: Qualitative Insights“ und als Poster veröffentlicht.
4.2 ThinkTank des Europäischen Parlaments: Nutzung von Webseiten für das Training
Der ThinkTank des Europäischen Parlaments untersuchte in der in der Studie „Generative AI and Copyright – Training, Creation, Regulation“, wie generative KI Kernprinzipien des EU-Urheberrechts in Frage stellt. Die Studie wurde von der Fachabteilung Justiz, bürgerliche Freiheiten und institutionelle Angelegenheiten des Europäischen Parlaments auf Ersuchen des Rechtsausschusses in Auftrag gegeben. Sie verdeutlicht die rechtliche Diskrepanz zwischen KI-Trainingspraktiken und den derzeitigen Text- und Data-Mining-Ausnahmen sowie den unsicheren Status von KI-generierten Inhalten. Diese Entwicklungen birgt strukturelle Risiken für die Zukunft der Kreativität in Europa, wo ein reiches und vielfältiges kulturelles Erbe vom kontinuierlichen Schutz und einer gerechten Vergütung der Urheber abhängt. Die Studie fordert klare Regeln für die Unterscheidung zwischen Input und Output, harmonisierte Opt-out-Mechanismen, Transparenzpflichten und gerechte Lizenzmodelle. Um Innovation und Urheberrechte in Einklang zu bringen, wird vom Europäischen Parlament erwartet, dass es Reformen anführt, die die sich wandelnden Realitäten von Kreativität, Autorenschaft und maschinellem Ausdruck widerspiegeln.
4.3 KI und Chatbotangriffe
„Für hier oder zum mitnehmen?“ Das ist die Frage, die aus Schnellimbiss-Restaurants zur Ermittlung des MwSt.-Satzes gestellt wird. Bei Cyberangriffen stellt sich diese Frage nicht: Sie betreffen Daten vor Ort, die dann auch abgezogen werden. Bei McDonalds konnten Sicherheitsforscher herausfinden, wie ein Angriff erfolgreich sein könnte, wie hier berichtet wird. Das Bemerkenswerte dabei ist, dass dabei der Einsatz eines Chatbots in Bewerbungsverfahren eine Rolle spielte. Über diesen konnte dann das Passwort für den Backend-Zugriff ohne Zwei-Faktor-Authentifizierung in Erfahrung gebracht werden. Das ermöglichte sodann den Zugriff auf die Chatprotokolle und Kontaktdaten von Millionen Bewerber:innen weltweit. Über dieses Konto konnten die Forscher nicht nur ihre eigenen Testdaten einsehen, sondern auch fremde Bewerbungen aufrufen. Insgesamt sollen bis zu 64 Millionen Datensätze betroffen sein – darin enthalten Namen, E-Mail-Adressen und Telefonnummern der Bewerber:innen.
Franks Nachtrag: Und wo haben Sie es zuerst gelesen?
Hier ist es natürlich besser beschrieben …
4.4 Neues KI-Strategiepapier für die NRW-Hochschulen
Texte verfassen, Forschungsdaten auswerten, Verwaltungsprozesse unterstützen – generative KI bietet vielfältige Anwendungsmöglichkeiten an NRW-Hochschulen. Die gemeinsamen Probleme: Wie können Hochschulen KI-Tools wie ChatGPT oder Open-Source-Sprachmodelle zur Verfügung stellen? Wie können Hochschulangehörige die Tools reflektiert einsetzen? Herausforderungen sind KI-Kompetenz, technische Infrastruktur, rechtliche Aspekte, Kosten, Datenschutz und digitale Souveränität. Antworten darauf will das „Neue Strategiepapier für die NRW-Hochschulen“ bieten, das hier veröffentlicht wurde.
4.5 DAV: Einsatz von KI in der Anwaltschaft
Der Deutsche Anwaltverein (DAV) veröffentlichte seine Stellungnahme zum Thema Einsatz von KI in der Anwaltschaft (Nr. 32/2025). Dabei geht es um die typischen Anwendungsfälle (use cases) wie Recherche, Dokumenten-Analyse, Entwürfe, Zusammenfassung von Urteilen u.v.m.
Der DAV stellt dabei klar, dass nach seiner Auffassung der Einsatz von KI-Tools in der Mandatsarbeit berufsrechtlich zulässig sei. Eine vorherige Anonymisierung der unter das Berufsgeheimnis fallenden Inhalte sei nicht zwingend erforderlich (in der Stellungnahme auf Seite 11). Die Einwilligung von Mandanten sei nur erforderlich, wenn das KI-Tool ausschließlich einem einzelnen Mandat diene und nicht allgemein in der Kanzlei eingesetzt werde. Typische KI-Tools in der Rechtsberatung unterlägen i.d.R. nicht den strengen Vorgaben der KI-VO für sog. Hochrisiko-KI-Systeme.
Der DAV weist aber auch darauf hin, dass KI-Tools gem. § 43e BRAO sorgfältig ausgewählt und die Dienstleister zur Verschwiegenheit verpflichtet und die mit dem KI-Tool einhergehende Datenverarbeitung DS-GVO-konform ausgestaltet werden müssen. Urheberrechtlich geschützte Inhalte (z.B. juristische Fachliteratur) sollten nur dann in ein KI-Tool hochgeladen werden, wenn bestehende Lizenzen diese Nutzung abdeckten.
4.6 EU: Veröffentlichung der Guidelines zu KI-Modellen
Die nun veröffentlichten Leitlinien definieren allgemeine KI-Modelle als Modelle, die mit Rechenressourcen von mehr als 10^23 Fließkomma-Operationen trainiert wurden und in der Lage sind Sprache (Text oder Audio), Text-zu-Bild oder Text-zu-Video zu generieren. Sie umreißen, was unter einem „Anbieter“ und „Inverkehrbringen“ zu verstehen ist, und klären Ausnahmen für Modelle, die unter einer freien und quell-offenen Lizenz veröffentlicht werden und die Transparenzbedingungen erfüllen. Die Leitlinien erläutern auch die Auswirkungen der Einhaltung des Verhaltenskodex für allgemeine KI und umreißen die Erwartungen der Kommission hinsichtlich der Einhaltung.
Schließlich klären die Leitlinien die spezifischen Verpflichtungen für Anbieter der fortschrittlichsten oder wirkungsvollsten allgemeinen KI-Modelle, insbesondere solcher, die systemische Risiken darstellen, wie z. B. Risiken für Grundrechte, Sicherheit und den potenziellen Verlust der Kontrolle über das Modell, die diese Risiken bewerten und mindern müssen.
Hier sind die Leitlinien erhältlich. Zudem bietet die Kommission auch weitere Informationen und Fragen und Antworten dazu an.
4.7 Offenes Sprachmodell in der Schweiz
Wie hier berichtet wird, soll im Spätsommer 2025 ein öffentlich entwickeltes Large Language Model (LLM) veröffentlicht werden, das gemeinsam von Forschenden der EPFL (École Polytechnique Fédérale de Lausann), der ETH Zürich und des Nationalen Hochleistungsrechenzentrums (CSCS) entwickelt wurde. Dieses LLM soll vollständig offen sein: Diese Offenheit soll eine breite Akzeptanz unterstützen und Innovationen in Wissenschaft, Gesellschaft und Industrie fördern. Ein charakteristisches Merkmal des Modells sei eine mehrsprachige Beherrschung von über 1.000 Sprachen. Es wurde für die öffentliche Infrastruktur entwickelt. Trainiert auf dem Supercomputer «Alps» am Swiss National Supercomputing Centre (CSCS) markiere das neue LLM einen Meilenstein in Sachen Open-Source-KI und mehrsprachiger Exzellenz.
4.8 IEEE Standard for the Procurement of Artificial Intelligence and Automated Decision Systems
Mit dem “IEEE Standard for the Procurement of Artificial Intelligence and Automated Decision Systems“ (3119-2025) soll Beschaffungsteams geholfen werden die Risiken bei Systemen der künstlichen Intelligenz (AIS) zu verringern, indem sie beim Kauf von KI maßgeschneiderte Risikomanagement-Verfahren anwenden. Es werden spezifische Prozessschritte für die Definition von Ki-Problemen, die Vorbereitung von Ausschreibungen, die Bewertung von Anbietern und Lösungen, die Vertragsverhandlung und die Vertragsüberwachung beschrieben. Es werden Risikomanagement-Methoden vorgestellt, die die üblichen Aktivitäten und Aufgaben während des Beschaffungslebenszyklus ergänzen, einschließlich der Identifizierung, Analyse, Bewertung, Priorisierung, Abschwächung und Kontrolle einzigartiger KI-Risiken, die den einzigartigen Nutzen von KI beeinträchtigen können. Darüber hinaus wird erläutert, wie Beschaffungsteams praktische KI-Tools und -Metriken nutzen und anwenden können. Der Standard konzentriert sich explizit auf KI-Risiken (im Vergleich zu traditioneller, nicht-KI-Technologie) und ist für den Kauf von kommerziellen KI-Produkten und -Dienstleistungen konzipiert, die über einen formalen Vertrag oder Vertragsrahmen beschafft werden. Ergänzt wird es um ein Register der Wertschöpfungskette von Drittanbietern und ein Register für Metriken und Messungen.
4.9 Ethik-Handreichung zum Thema “Generative Technologien“
Wie sieht ethische Arbeit im Kontext digitaler Technologien aus? Und wie können Generative Technologien ethisch reflektiert und an Hochschulen eingesetzt werden? Diese und weitere Fragen stehen im Zentrum der dritten Handreichung zum Thema „Digitale Technologien an Hochschulen Ethische Orientierung für die Praxis“ Teil III: Generative Technologien. Sie führt die Reihe fort, in der bereits Teil I: Grundlage und Teil II: Learning Analytic veröffentlicht und im Rahmen des Ethik-Teilprojektes von KI:edu.nrw erarbeitet wurden.
4.10 The Algorithmic Hand: How Large Language Models Disrupt Competition and Democracy
Der Einfluss großer Sprachmodelle auf politische Einstellungen steigt, wie in dieser Studie der marktliberalen Denkfabrik Centrum für europäische Politik (cep) ausgeführt wird. Große Sprachmodelle beeinflussen längst nicht mehr nur Konsumentscheidungen, sondern auch politische Einstellungen. Mit dem Übergang von der Websuche zur KI-Antwort werde die Vielfalt von Informationen durch eine einzige vorgefilterte Perspektive ersetzt. Die sei algorithmisch optimiert und von wenigen Gatekeepern kontrolliert. Kurz: Was früher zehn Links waren, sei heute ein Satz im Chatfenster. KI-Modelle würden dabei nicht einfach nur externe Daten wiedergeben. Sondern strukturieren diese nach eigenen Mustern, gefiltert durch die Verzerrungen in ihren Trainingsdaten, technische Vorgaben und sprachliche Gestaltung.
„Wenn ChatGPT und Co. bestimmen, welche Informationen wir sehen und wie sie klingen, dann kontrolliert eine Handvoll Unternehmen nicht nur unsere Kaufentscheidungen, sondern auch unsere politischen Überzeugungen. Das ist konzentrierte Macht in neuer Form“, warnt der Autor vom cep, der die Studie zu den Gefahren von Large Language Models (LLM) verfasst hat. Das cep fordert die europäische Politik auf entschlossener zu handeln. Die bestehenden Regelwerke wie der Digital Markets Act, der Digital Services Act und der AI Act müssten konsequenter angewendet und um Transparenzpflichten, unabhängige Prüfungen und demokratische Kontrollmechanismen ergänzt werden. Mit Investitionen in den Euro-Stack, ein offenes und souveränes europäisches KI-Ökosystem, könne Europa auch langfristig digitale Souveränität und faire Informationsräume für seine Märkte und den politischen Diskurs sicherstellen.
4.11 Vortrag zur Einführung in die Ethik der KI (Englisch)
In diesen YouTube-Video (Dauer 1:25 Std.) veröffentlicht ein Professor der Universität Osnabrück seine Vorlesung in Englisch zur Einführung in die Ethik der KI. Dabei konzentriert er sich auf die datenschutzrechtlichen Herausforderungen wie „Predictive Privacy“ als qualitativ neues Thema, das sich aus „Predictive Analytics“ ergibt, führt die Idee der Vorhersagekraft ein und diskutiert Risiken, die mit der Sekundärnutzung von trainierten KI-Modellen verbunden sind.
Mehr Aufzeichnungen seiner Vorträge bietet der Professor auf seiner Webseite an.
4.12 Mit KI vom Wege abkommen
Solche Meldungen werden wir noch öfter lesen: Mit einem Sprachmodell können auch Ergebnisse generiert werden, die von der Realität abweichen. Demonstriert wurde dies diesmal mit der Frage nach Wanderrouten, über die hier mal mit und mal ohne Paywall berichtet wird.
4.13 CIO-Dialog: KI in der Verwaltung
Im 2. CIO-Dialog an der Universität Bamberg ging es um den „ganzen Hype um GenAI und LLMs“. Der Paradigmenwechsel ist real: Statt Webseiten zu googlen geht direkt prompten schneller. Als grundlegende Mindestregeln für den Einsatz sollte beachtet werden: KI nicht nutzen, um über Menschen zu entscheiden, personenbezogene Daten entfernen, wenn man etwas in die Cloud lädt und Urheberrecht beachten. Die Folien des Vortrag sind hier veröffentlicht.
4.14 KI-Zusammenfassungen und das Ende des Internets
Jetzt merken es auch andere (wir hatten bereits vor Wochen dazu berichtet): Wie wirkt es sich aus, wenn weniger Suchmaschinen genutzt werden, sondern gleich eine KI, die dann aus dem Quellen des Internets eine Antwort erstellt? Ruft dann noch jemand z.B. Legal Tribune Online (LTO) auf – und was passiert mit deren Werbekunden? Jetzt zu lesen – auf LTO.
4.15 Studie: Skalierung der Kompetenz im Bereich der künstlichen Intelligenz
Die spezifischen Facetten der KI und die menschenähnliche Natur der generativen KI stellen Herausforderungen dar, die angegangen werden müssen, wie z. B. die sich verändernde Dynamik der Handlungsfähigkeit. Angesichts des rasanten technologischen Fortschritts und der zunehmenden Geschwindigkeit der KI-Einführung ist es für Nicht-Experten unerlässlich KI-Kenntnisse zu erwerben. Eine umfassende Zusammenfassung der vielfältigen Attribute von KI-Kompetenz wurde jedoch bisher nicht erarbeitet. Die Arbeit „Scaling Artificial Intelligence Literacy“ steht in der Tradition der Taxonomie-Entwicklung in der Wirtschaftsinformatik. So wird auf der Grundlage einer Literaturrecherche und ergänzenden Inhalten aus KI-Online-Kursen eine KI-Literacy-Taxonomie entwickelt und durch Interviews mit KI-Führungskräften validiert. Das Modell wurde Im Dezember 2024 auf einer Konferenz in Canberra vorgestellt.
Das Artefakt ist in Wissens- und Kompetenzdimensionen in Bezug auf technische Fachgebiete, Technologiemanagement, Geschäftsfunktion und zwischenmenschliche Aspekte unterteilt. Sie unterscheidet zwischen Verständnis-, Nutzungs- und Spezialisierungskonstrukten, die sich an kognitiven Prozessen ausrichten. Insgesamt spezifizieren 21 Dimensionen und 58 Merkmale die KI-Kompetenz und geben einen ganzheitlichen Überblick über ihre komplexe Natur.
Wie kann man vom KI-Neuling zum KI-Profi werden? Das neue Modell zur Förderung von AI Literacy teilt den Lernprozess in die Stufen Verstehen, Anwenden und Spezialisieren ein und macht damit transparent, wie der Weg zu einem souveränen Umgang mit KI aussehen kann. Das Modell ermöglicht nicht nur eine Standortbestimmung, sondern zeigt auch konkrete Entwicklungsmöglichkeiten auf. Auf Basis dieser Forschung entsteht derzeit ein Tool, mit dem AI Literacy systematisch erfasst und gefördert werden kann.
4.16 USA: Sammelklage um Urheberrecht gegen LLM-Anbieter – Major AI Copyright Case
In einem gerne als „Major AI Copyright Case“ bezeichneten Verfahren in den USA hat ein Bundesgericht eine umfangreiche Sammelklage gegen Anthropic zugelassen, weil das Unternehmen Millionen von Büchern aus Piratenbibliotheken (LibGen, Z-Library) heruntergeladen habe, um seine KI-Modelle zu trainieren. Bericht dazu hier. Das Gericht wies Anthropics Verteidigung der fairen Nutzung zurück und stellte ausdrücklich fest, dass Anthropic wusste, dass es sich um Piratenbibliotheken handelte (interne Nachricht: „zlibrary my beloved“). Die Zulassung als Sammelklage beeinflusst das Verfahren: Anstelle von Einzelklagen können nun Millionen von Urheberrechtsinhabern ihre Ansprüche gemeinsam geltend machen.
5 Veröffentlichungen
5.1 Schutz vor manipulierten E-Mail-Rechnungen
Dass es verstärkt zu Rechtsstreitigkeiten kommt, wenn aufgrund manipulierter Rechnungen, die über E-Mail verschickt werden, auf ein falsches Konto gezahlt wird, haben wir bereits mehrfach berichtet. Vor Gericht ist dann für die Haftung oft entscheidend, wem der bei den Beteiligten der größere Vorwurf zur Vermeidbar- oder Erkennbarkeit gemacht werden kann. Nun nehmen die Fälle zu, es gibt Warnungen und Tipps durch verschiedenste Akteure. Nach diesem Bericht handelt es sich bei „Man-in-the-Middle“ (MITM) um eine „besonders perfide Betrugsmasche“ im digitalen Raum. Zwar sei das Phänomen nicht neu – die jüngsten Vorfälle zeigten allerdings, wie hoch professionell und gezielt die Täter mittlerweile vorgingen.
Bei einem sogenannten MITM-Angriff verschaffen sich Cyberkriminelle in mehreren Schritten Zugang zu sensiblen Informationen und schleusen sich gezielt in bestehende Kommunikationsverläufe zwischen Unternehmen ein, um Zahlungen auf eigene Konten umzuleiten. Dabei beschaffen sich die Täter im Rahmen ihrer Vorbereitung persönliche und betriebliche Daten – etwa E-Mail-Adressen und Passwörter –, die häufig aus Datenlecks stammen und im Darknet gehandelt werden. Anschließend erstellen sie täuschend echte Phishing-E-Mails, die etwa vermeintliche Rechnungen im Anhang enthalten oder auf gefälschte Webseiten verlinken. Diese Mails werden anschließend automatisiert und massenhaft an potenzielle Opfer versendet.
Sobald ein Empfänger eine solche manipulierte Datei öffnet, installiert sich unbemerkt eine Schadsoftware auf dem Rechner. Diese ermöglicht es den Tätern gespeicherte Zugangsdaten – etwa zum E-Mail-Postfach oder zu Online-Konten – abzugreifen. Mit diesen Informationen loggen sich die Täter in das E-Mail-Konto des Opfers ein, lesen den laufenden Schriftverkehr mit und richten teils automatische Weiterleitungen ein, um dauerhaft Zugriff zu behalten. Finden sie in diesem E-Mail-Verlauf beispielsweise eine Korrespondenz mit einem Geschäftspartner über anstehende oder bereits gestellte Rechnungen, greifen sie gezielt ein. Die Täter manipulieren dann die Originalrechnung, indem sie die angegebene Bankverbindung durch eine eigene (häufig ein sogenanntes Geldwäschekonto) ersetzen.
Der Rechnungsadressat überweist dann in gutem Glauben das Geld, das meist sofort ins Ausland weitergeleitet wird und eine nachträgliche Rückholung erschwert. Die Kriminalpolizei rät Unternehmen laut Bericht insbesondere im Bereich der digitalen Kommunikation äußerste Vorsicht walten zu lassen:
- Rechnungen und Mitteilungen über geänderte Kontodaten sollten grundsätzlich telefonisch oder auf einem zweiten, unabhängigen Kommunikationsweg – idealerweise mit bekannten Ansprechpartnern des rechnungsstellenden Unternehmens – überprüft werden.
- Es empfiehlt sich die Nutzung einer Zwei-Faktor-Authentifizierung für E-Mail-Postfächer.
- Mitarbeitenden sollten regelmäßige Schulungen im Bereich der Cyber-Security erhalten.
5.2 Auskunft und Geschäftsgeheimnisse
Ob, wann und in welchem Umfang Geschäftsgeheimnisse einem datenschutzrechtlichem Auskunftsanspruch entgegengehalten werden können, wird in diesem Blog-Beitrag behandelt. Da werden verschiedene Aussagen der Datenschutzaufsichtsbehörden und Entscheidungen der Rechtsprechung herangezogen.
5.3 Kauf von Palantir nun auch in Baden-Württemberg
Wie hier in diesem Hörfunkbeitrag (Dauer 8 Min.) zu entnehmen ist, fand in Baden-Württemberg bereits der Erwerb der Software von Palantir zum Einsatz bei der Polizei statt. Das Bundesland, dass es nicht schafft 1.400 Lehrerstellen aufgrund einer „Computerpanne“ zu besetzen, vertraut polizeiliche Daten einem Unternehmen an, bei dem nicht nur hauptberufliche Datenschützer ins Grübeln kommen. Und das nicht nur, weil dafür bis zu 400.000 Euro pro Monat über fünf Jahre fällig werden sollen und dies als Rabatt „verkauft“ wird. Ohne Gesetzesänderung wird der Einsatz nicht möglich sein.
Egal – gezahlt wird trotzdem.
Franks Nachtrag: Hier noch ein weiterer Bericht zur „Computerpanne“. So geht Digitalisierung in Deutschland!
5.4 noyb: Beschwerden gegen TikTok, AliExpress und WeChat
Das NGO noyb hat nach eigenen Berichten gegen die Tech-Unternehmen TikTok, AliExpress und WeChat Beschwerde eingereicht, weil sie den Unternehmen vorwerfen Auskunftsanfragen nach Art. 15 DS-GVO nicht nachgekommen zu sein. Dies mache es den europäischen Nutzern unmöglich ihr Grundrecht auf Privatsphäre wahrzunehmen, zu erfahren, wie ihre personenbezogenen Daten verarbeitet werden – und ob die Unternehmen andere Bestimmungen der DS-GVO, zum Beispiel in Bezug auf Datenübermittlungen, tatsächlich einhalten.
5.5 Podcast Daten-Dialog zu CISIS 12
In dieser Podcast-Folge (Dauer 1:08 Std.) geht es um CISIS 12, ein ISMS zwischen BSI Grundschutz und ISO 27001. Interessant für Einheiten, für die die Anforderungen eines ISO-27001-ISMS zu überdimensioniert erscheinen.
5.6 Microsoft, Cloud Act, Souveränität und Sommerloch
Und wieder ist die Aufregung groß, weil eine Person in Frankreich im Rahmen eines Untersuchungsausschusses um die Vergabe eines Auftrags mit Gesundheitsdaten französischer Bürger unter Einbezug von Microsoft Azure befragt wurde. Da es sich bei dieser Person um einen hohen Manager Microsofts handelte, ist dessen Aussage unter Eid, dass er nicht garantieren könne, dass US-Behörden über den Cloud Act nicht auf Daten zugreifen könnten, ohne europäische Behörden einzubinden, jetzt der Aufreger im nahenden Sommerloch. Dass er auch sagte, dass dies noch nie mit Daten europäischer Kunden passierte, wird dann schon gar nicht mehr diskutiert.
Was hätte er auch sagen sollen – wir hatten auch schon auf die Expertise des Wissenschaftlichen Dienstes des Deutschen Bundestages zum Cloud Act hingewiesen. So kann jede:r mit der Aussage da herauslesen, was ihm / ihr vorher schon bekannt war.
5.7 Antrittsvorlesung zur Digitalrechtsgesellschaft
.Die Antrittsvorlesung an einer juristischen Fakultät findet auch hier ihren Platz, wenn es um die „Digitalrechtsgesellschaft“ geht. Klingt langweilig, ist es aber nicht. Es geht dabei auch um Machtverhältnisse und Wettbewerb, um Wirtschaft und Politik. Und beginnt mit einem Zitat „Digital ist besser“ (von Tocotronic!). Die Aufzeichnung der Vorlesung (Dauer ca. 49 Min.) ist auf den Seiten der Universität verfügbar.
5.8 Veranstaltungen
5.8.1 IHK Aschaffenburg: Webseiten datenschutzkonform gestalten -neu-
28.07.2025, 10:00 – 11:00 Uhr, online: In einer Stunde werden in der Veranstaltung der IHK durch eine Bereichsleiterin des BayLDA die grundlegenden Inhalte vermittelt, die für eine datenschutzkonforme Webseite zu beachten sind. Der Termin wurde vom 24.07.2025 auf den 28.07.2025 verlegt. Weitere Informationen und Anmeldung hier.
5.8.2 Stiftung Datenschutz „Data Act und DS-GVO“ -neu-
04.09.2025, 13:00 – 14:00 Uhr, online: Der Data Act bringt neue Regelungen für den Zugang zu Daten, zur Datenweitergabe und zu vertraglichen Vorgaben für datenbasierte Geschäftsmodelle. Gleichzeitig bleibt die DS-GVO zentraler Maßstab für die Verarbeitung personenbezogener Daten, sodass sich eine Vielzahl von Auslegungsfragen ergeben. Wenn nun Datenschutz auf Datennutzung trifft: Entsteht daraus ein unlösbarer Widerspruch oder ein harmonisches Zusammenspiel?
Der Vortrag mit dem Titel „Data Act und DS-GVO – Schnittstellen, Spannungsfelder, Auslegungsfragen“ in der Reihe „Datenschutz am Mittag“ soll einen Überblick über die Spannungsfelder und Lösungsansätze aus Sicht einer Datenschutzaufsichtsbehörde geben und vor allem die folgenden Fragen adressieren:
Wie ist das Zusammenspiel Data Act und DS-GVO geregelt? Wann ist der Anwendungsbereich beider Gesetze überhaupt eröffnet? Braucht es eine eigene Rechtsgrundlage? Wie ist der Personenbezug bei IoT- Daten zu bewerten? Was passiert, wenn der Nutzer nach dem Data Act nicht identisch mit der betroffenen Person nach DS-GVO ist? Wie ändern sich Informationspflichten?
Weitere Informationen und Anmeldung dazu hier.
5.8.3 DatenTag: Ein Grundrecht für die Gesellschaft
16.09.2025, 10:00 – 16:00 Uhr, Berlin und online: Das Grundrecht auf Datenschutz ist von essenzieller Bedeutung. Denn es schützt die Rechte und Freiheiten von Menschen vor Beeinträchtigungen durch öffentliche oder kommerzielle Akteure.
Viele Erwartungen lasten auf dem Datenschutz, doch zugleich hat er in der öffentlichen Wahrnehmung einen schweren Stand: Es geht wenig darum, was der Datenschutz ermöglicht. Debatten drehen sich eher darum, was er ausbremst. Dabei will der Datenschutz die Digitalisierung gar nicht verhindern, sondern in Bahnen lenken, die individuelle und gesellschaftliche Belange respektieren. Darum geht es in dieser Veranstaltung. Weitere Informationen und Anmeldung hier.
5.8.4 Daten-Dienstag: KI-Agenten im Verbraucheralltag -neu-
23.09.2025, 10:00 – 20:30 Uhr, Nürnberg: Unter dem Titel „Digitale Helfer oder unsichtbare Strippenzieher? KI-Agenten im Verbraucheralltag“ informiert die VZ Bayern zu Chancen und Risiken des Einsatzes im Verbraucheralltag. Hierzu hatte sie bereits den Bayerischen Landtag informiert. Der Vortrag stellt die aktualisierten Informationen dar, die sich für den Komfort und Unterstützung für Verbraucher:innen ergeben, aber auch welche Anforderungen sich dabei für die Anbieter stellen. Weitere Informationen und Anmeldung hier.
[Anmeldedaten stimmen, Informationen kommen die nächsten Tage.]
5.8.6 Konferenz der Plattform Lernende Systeme: „KI & WIR – Zukunft verantwortlich gestalten“
30.09.2025, 10:00 Uhr – 17:00 Uhr, Berlin: Im Bereich der Künstlichen Intelligenz (KI) herrscht international eine nie dagewesene Dynamik – befördert durch rasante technologische Entwicklungen und milliardenschwere Investitionen. Deutschland sei als Pionier der KI-Forschung seit vielen Jahren gut aufgestellt und international vernetzt. Dabei nutze nicht nur die hiesige Wissenschaft, sondern zunehmend auch die deutsche Wirtschaft – von Start-ups über KMU bis hin zu Großunternehmen – die Potentiale von KI. Zugleich stellen sich im globalen Wettbewerb zentrale Fragen: Wohin entwickeln sich die Technologien und ihre Anwendungen? Wie können Deutschland und Europa dauerhaft mit den USA und China auf Augenhöhe kooperieren und konkurrieren – und zugleich werteorientiert handeln? Wie bleiben wir technologisch souverän? Und wie wollen wir als Gesellschaft von KI unterstützt werden? Dazu diskutieren KI-Expertinnen und -Experten aus Wissenschaft, Wirtschaft, Politik und Gesellschaft auf der Konferenz der Plattform Lernende Systeme unter dem Titel „KI & WIR – Zukunft verantwortlich gestalten“. Weitere Informationen und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Medienpädagogik zwischen KI und Kapitalismuskritik
Durch die Gesellschaft für Medienpädagogik und Kommunikationskultur e.V. wurde auch unter Mitwirkung von SIN – Studio im Netz e.V. die Bedeutung der Medienpädagogik für die Stärkung von Demokratie und Menschenrechten untersucht. Insbesondere angesichts des Erstarkens nationalistischer und rechtsextremer Tendenzen sowie zunehmender Hasskommunikation im Netz wird die Notwendigkeit einer politischen Medienbildung erläutert, „die kritische Medienkompetenz vermittelt und gesellschaftliche Partizipation ermöglicht, indem sie normative Grundlagen vermittelt und alternative Narrative aufzeigt“.
Die Beiträge gibt es in diesem Handbuch zum „Dieter Baacke-Preis 2025“, aus dem einzelne Beiträge auch als PDF verfügbar sind. Der Artikel „Haltung zeigen, Gesellschaft gestalten“ steht als kostenlose PDF-Datei bereit.
6.2 Deutschlandfunk: Chatbots und Privatsphäre
Chatbots sind für viele Menschen längst Berater in Beziehungs-, Rechts- und Gewissensfragen. So gelangen auch ganz private Informationen in die Hände großer Tech-Konzerne – meist ohne unser Wissen. Gibt es einen Schutz davor? Damit befasst sich dieser Hörfunkbeitrag (Dauer ca. 30 Min.).
6.3 Schufa informiert zu eigenen Scores
Vor dem Hintergrund einiger Urteile zu den datenschutzrechtlichen Aspekten von Schufa-Scores informiert nun die Schufa zur eigenen Score-Erstellung. Sie weist dabei darauf hin, dass nach ihrer Wahrnehmung die meisten Gerichte die automatische Score-Erstellung durch die Schufa für rechtmäßig halten und geht in ihren FAQ darauf ein. So stellt sie klar, dass Score-Bezieher wie Banken oder Telekommunikationsanbieter zur Beurteilung der Zahlungsfähigkeit weitere Daten heranziehen müssen, um ihre Entscheidung für oder gegen einen Geschäftsabschluss zu treffen. Sie dürften sich nicht allein auf die Aussagekraft des Scores verlassen.
6.4 Die informierte Gesellschaft und ihre Feinde
Im Rahmen der 20. Tübinger Mediendozentur hielt ein (aus den Medien bekannter) Wissenschaftler einen Vortrag mit dem Titel „Die informierte Gesellschaft und ihre Feinde“. Er behandelt die Frage, wie das Zusammenspiel von Populismus, sozialen Medien und Künstlicher Intelligenz die Idee von Wahrheit, den Charakter von Debatten und die politischen Verhältnisse verändert – auf dem Weg zu einer polarisierten, von Hypes und Hysterien regierten Gesellschaft, der die nötige Kompromiss- und Konsensfindung im Angesicht ineinander verschlungener Großkrisen immer schwerer fällt. Der Vortrag ist auf YouTube (Dauer ca. 1:30 Std.) zu sehen.
6.5 Weitblick: Unterstützung für die Medienbildung
Das Projekt „weitklick – das Netzwerk für digitale Medien- und Meinungsbildung“ unterstützt Lehrkräfte weiterführender Schulen dabei ihren Schüler*innen einen verantwortungsbewussten Umgang mit Künstlicher Intelligenz (KI) zu vermitteln. So bietet es z.B. eine Erklärung zu falschen Informationen im Internet (Deepfakes) oder auch Materialien für Unterricht und Elternarbeit.
7 Sonstiges/Blick über den Tellerrand
7.1 Wenn KI Nacktfotos erstellt … und wie darauf reagiert werden kann
Jetzt ist es soweit: Ein Portraitfoto reicht – und eine KI erstellt daraus ein täuschend echtes Nacktfoto. Was erstmal banal klingt, ist für betroffene Opfer eine Katastrophe – und je jünger, desto schlimmer. Undress AI oder sogenannte DeepNude-Software verletzen gezielt die Privatsphäre von Menschen. Das ist digitale sexualisierte Gewalt, die auch als Straftatbestände erfüllen kann.
Juuuport informiert auf seinen Webseiten, wie solche KI-Tools funktionieren, warum sie so gefährlich sind, was Personen tun können, die selbst betroffen sind und wie sich vor solchen Angriffen geschützt werden kann.
7.2 Studie zu Kindern und KI-Chatbots
Wie nutzen Kinder Chatbots und welche Folgen kann dies haben? Ein neuer Bericht von Internet Matters zur Studie „Me, myself and AI“ zeigt, dass Kinder KI-Chatbots intensiv für emotionale Unterstützung und auch für Schulaufgaben nutzen. Die Studie warnt vor unzureichenden Schutzmaßnahmen, Fehlinformationen und emotionaler Abhängigkeit, insbesondere bei vulnerablen Kindern. So gab fast ein Viertel (23 %) der vulnerablen Kinder an Chatbots zu nutzen, weil sie sonst niemanden zum Reden hätten. 16 % sagten, sie wünschten sich einen Freund. Die Hälfte dieser Nutzergruppe empfindet das Gespräch mit einer KI als „wie mit einem Freund zu reden“. Bericht dazu hier.
7.3 Beeinflussung zur Wahl der Richter:innen des BVerfG
Wir scheinen kein wichtigeres Thema zu haben – und doch ist es wichtig genug, wenn daran deutlich wird, wie manipulativ digitale Medien zur Manipulation eingesetzt werden. Ich bin sicher, selbst in der geneigten, interessierten und aufgeklärten Besucherschaft des „Datenzirkus“ werden die wenigsten alle Richter:innen am Bundesverfassungsgericht namentlich kennen, bestenfalls einzelne aus bestimmten Kontexten heraus. Nun kennen alle eine – die es werden sollte. Warum sie es noch nicht ist, wird hier analysiert – und in den Kontext der „Informationen“ über Social Media-Kanäle gestellt.
Auch wenn sich an den Vorwürfen bisher kein Einziger bestätigte, sondern alle (!) als Desinformationen bloßgestellt wurden, scheint eine Wahl der Kandidatin aktuell nicht sicher.
Auch hier wäre eine Art „Medienkompetenz“ wünschenswert, die auf Faktencheck setzt, statt auf pawlowsche Reaktionen bei der Nennung bestimmter Themen.
7.4 DAK-Gesundheitsreport zu GenZ und Depression
Wie wirken sich aktuelle Entwicklungen auf die mentale Gesundheit der jüngeren Generation aus? So habe die Corona-Pandemie insbesondere bei den jungen Menschen ihre Spuren hinterlassen, wie aus dem DAK-Gesundheitsreport 2025 zur GenZ zu entnehmen ist. Auch befasst sich der Report mit der Zufriedenheit junger Beschäftigter mit ihrer beruflichen Tätigkeit. Dabei geht es darum darzustellen, welche Aspekte jungen Beschäftigten bei der Arbeit besonders wichtig sind und um die Frage, ob andere Einflussfaktoren als durch die Generation beeinflusste Charaktermerkmale eine Rolle spielen.
8. Franks Zugabe
8.1 Apropos KI …
Nachdem ich mich in den letzten Blog-Beiträgen (tatsächlich aus Zeitgründen) eher zurückgehalten habe, kommt hier mal wieder ein umfangreicher „Apopos KI …“-Beitrag. Legen wir los:
- Fangen wir harmlos an, mit Dirty Talk. Dem verlinkten Beitrag können Sie entnehmen, bei welchen KI-Modellen das klappen kann.
- OK, es muss ja nicht immer Dirty Talk sein, ganz normale Sprache reicht ja auch. Aber sprechen KI-Nutzer:innen noch normal? Nach dieser Studie nicht, tatsächlich haben sie sich an KI-Formulierungen angepasst (mehr Details im Bericht). Das mit den Veränderungen am Gehirn hatten wir ja schon …
- Hier berichtet in einem Interview ein österreichischer Lehrer von einem durch ihn erstellten kostenlosen Handbuch zum Thema KI-resistente Prüfungsformate, da wird auch darüber berichtet. Für alle, die Prüfungen abnehmen wollen, vielleicht hilfreich.
- Ich bin hin- und hergerissen:
Wenn eine KI die Kaufentscheidung übernimmt, geraten etablierte Mechanismen wie Cross-Selling, Upselling, Kundendialog und Markenbindung unter Druck.
Was finde ich jetzt schlimmer? Aber lesen Sie selbst.
- Hohe Gebühren für Schramme dank KI (Danke, Hertz!).
- Bumbles KI-Eisbrecher brechen vor allem EU-Recht, sagt noyb. Ich frage mich, was sind KI-Eisbrecher. Und dann lese ich die Quelle und dann schüttele ich nur langsam den Kopf …
- Hier (vorletzter Eintrag) hatte ich ja schon zur geplanten deutschen KI-Gigafabrik berichtet, europaweit soll es wohl 76 interessierte Unternehmen geben, die sich bis zum 20.06.2025 bereit erklärt haben KI-Gigafabriken zu bauen (die angekündigten 20 Milliarden Euro EU-Fördergelder können bei den Bereitschaftsbekundungen geholfen haben).
- Facebook und KI-Moderation – need I say more?
- Wie der Herr, so’s Gescherr – Heute: Grok
- Passend dazu eine Buchbesprechung: Tech-Ideologien und der neue Faschismus. Wir hatten das Thema ja bereits.
- Lassen Sie uns über KI-Agenten sprechen: Sie erinnern sich? Die uns die ganze Arbeit abnehmen sollen? Manche sind nicht so sehr begeistert, andere hingegen sind sehr begeistert, wieder andere warnen ausdrücklich vor dem eigenen Produkt. Verwirrend, das.
- Und zum Abschluss: Beim Deutschlandfunk gibt es einen hörenswerten Beitrag (mit ca. 31 Minuten Dauer) zum Thema „Warum man ChatGPT nicht alles erzählen sollte“.
8.2 NCSC Guidance on “Advanced Cryptography”
Bruce Schneier hat im Mai 2025 einen Blog-Beitrag des britische National Cyber Security Center (NCSC) mit Guidance on “Advanced Cryptography” entdeckt und kommentiert. Er findet speziell die Tipps im White Paper “Advanced Cryptography”. Er würdigt das entsprechend in seinem Blog. Falls Sie also Empfehlungen suchen, wann Sie wie Verschlüsselung einsetzen können und wenn Sie bei der die Informationen anbietenden Organisation nicht grundsätzlich negativ eingestellt sind, dann ist das eine gute Quelle.
8.3 Hacking Ampeln … USA-Style
Das (mögliche) Hacken von Ampeln hatten wir ja auch schon in unserem Blog. Hier ein recht aktuelles Beispiel (Stand Mitte April 2025) aus den USA. Dort wurden die kleinen Soundgeneratoren, die es ab und zu an Ampeln gibt (und die üblicherweise Warngeräusche bzw. kurze Ansagen wie „wait“, „walk“, etc. abspielen), durch ein dokumentiertes und nicht beim Aufbauen der Ampeln geändertes Standard-Passwort (tatsächlich 1234) von Menschen mit eher lustiges Ambitionen übernommen und dazu gebracht spaßige Texte abzuspielen. Beispiel gefällig?
You know, please don’t tax the rich, otherwise all the other billionaires will move to Florida too. Wouldn’t it be terrible if all the rich people left Seattle or got Luigi-ed and then the normal people could afford to live here again?
Es ist immer eine gute Idee Standard-Passworte vor dem Echtbetrieb zu ändern.
8.4 Warum Videoüberwachnung im Straßenverkehr eine schlechte Idee sein kann
Und wir gehen noch einmal in die USA, dort wird gerade Videoüberwachung (Claim
[the] technology is intended to “solve and eliminate crime” and “protect your community”
laut Herstellerangaben) durch US-Sherrifs genutzt, um zum Beispiel Frauen zu verfolgen, die sich um eine Abtreibung kümmern, obwohl das in ihrem Bundesstaat verboten ist. Und spätestens dann ist diese Technologie zu haben eine schlechte Idee.
8.5 Hacken per DNA
OK, auch diese Meldung ist ein wenig älter, aber haben Sie es damals mitbekommen? Nein? Nun ja, deswegen bringe ich es ja. Worum geht es?
Jemand hat bereits im Jahr 2017 eine DNA-Probe so manipuliert, dass der DNA-Sequenzer, der genutzt wurde, um diese Probe zu analysieren, auf Grund von in der Software des Geräts vorhandener Sicherheitslücken zum Ausführen manipulierten Codes gebracht werden konnte.
Also als Analogie: Das ist in etwa so, als wenn Sie eine Datenbank-Software mit einem offensichtlich unsinnigen Wert füttern, dieser Wert aber die Software, die den Wert interpretieren und ihn in die Datenbank schreiben soll, dazu bringt, etwas ganz anderes zu machen (siehe auch SQL-Injection).
Nur wird hier kein manipulierter Wert an eine Datenbank-Software übergeben, sondern halt manipuliertes DNA-Material an ein DNA-Sequenzierungsgerät. Fragen Sie mich nicht, was genau da das Ziel eines solchen Angriffs sein kann, es hört sich eh alles wie ein ziemlich unwahrscheinlicher SF-Plot an. Aber in solchen Zeiten leben wir offensichtlich bereits seit acht Jahren. Und nun wissen Sie es auch.
8.6 AdBlock for Jeeps?
Manche Produktentwickler haben Ideen … Oder hätten Sie erwartet, dass Ihr Onboard-Entertainment-System Sie in Fahrpausen mit Werbung bombardiert? Wenn Sie ein Fahrzeug aus den Haus Stellantis fahren, kann so etwas gemäß diesem Bericht durchaus vorgekommen sein.
8.7 Wenn Sie mal ein Digitalprojekt zum Scheitern bringen wollen …
Das ist doch mal eine lesenswerte Anleitung. Oder Sie machen es einfach komplett nicht so, und wer weiß, vielleicht gelingt Ihr Digitalprojekt? Testen Sie es…
9. Die gute Nachricht zum Schluss
9.1 Elektronische Patientenakte: Wer widerspricht, soll nicht benachteiligt werden
Bevor Sie sich zu sehr freuen, weder kommt diese gute Nachricht von Herrn Kramer, noch ist es erklärter Wille des Gesetzgebers bzw. der Bundesregierung (der Kanzler hatte ja erklärtermaßen schon ganz andere Ideen).
Aber immerhin ist das eine Forderung der Delegierten des 129. Deutschen Ärztetag 2025. Da sind wir ja dann schon dankbar.
Und natürlich ist die Meldung auch älter (immerhin vom Ende Mai 2025). Aktuelle Meldungen zur ePA sind ja aktuell mal wieder eher düster.