2023.06 Subjektiv ausgewählte Datenschutz-Highlights

Den letzten Monat Januar 2023 finden Sie hier.

Erkenntnisse aus offenen Videoüberwachungen am Arbeitsplatz oder dem Firmengelände können in einem Kündigungsschutzprozess verwertet werden. Und zwar auch dann, wenn die Videoüberwachung möglicherweise in Teilen gegen die Datenschutz Grundverordnung verstößt - denn ein Arbeitszeit betrug ist höher zu werten als der Datenschutz. In diesem Fall ging es um eine Überwachung am Eingang zum Firmengelände allerdings wurden die Videosequenzen länger als ein Jahr gespeichert.
So hat das Bundesarbeitsgericht in dem Urteil mit dem Aktenzeichen 2 AZR 296/22 geurteilt. Das Verfahren wird damit zurückverwiesen an das Landesarbeitsgericht. Rechts direkt zu der Presseerklärung.

Klage gegen die Eigentümer von ChatGPT wie die in den USA. Der Vorwurf: Diebstahl geistiges Eigentums und personenbezogener Daten für das Training der künstlichen Intelligenz. Heise meldet, dass sich die Klage gegen Microsoft und dem Unternehmen OpenAI richtet.
Wer die Kläger sind, ist nicht bekannt. Sie werden in der Klage nur mit Kürzeln angegeben. Laut den Klägern verstößt das Vorgehen der Unternehmen unter anderem gegen die Datenschutz Grundverordnung in Europa aber auch gegen Datenschutzgesetze in Kalifornien. Details bei Heise.

Ein Fingerabdruck im Personalausweis ist in der EU inzwischen Bedingung. Netzpolitik.org meldet, dass die Klage von Gegnern des Fingerabdrucks vor dem europäischen Gerichtshof möglicherweise abgelehnt wird. Die Generalanwältin des europäischen Gerichtshofs hat in ihrem Schluss-Antrag Fingerabdrücke in europäischen Personalausweisdokumenten als zulässig bewertet.
Anmerkung der Redaktion: das Urteil ist zwar noch nicht gefällt - allerdings folgt der europäische Gerichtshof fast immer den Einschätzung des Generalsanwalts bzw. Generalsanwältin.

Die irische Datenschutzbehörde DPC steht schon länger unter Druck der anderen europäischen Datenschutzbehörden wie aber auch einzelner Institutionen, wie zum Beispiel die Nichtregierungsorganisationen NOYB (None Of Your Business). Eine der Hauptvorwürfe ist immer wieder, dass die PPC Verfahren verschleppt oder sehr wirtschaftsfreundlich scheidet. Die Organisation Netzpolitik.org schreibt jetzt, dass es der irischen Regierung jetzt mit dieser andauernden Kritik zu reichen scheint. Deshalb hat sie ein Gesetz verabschiedet, dass Informationen zu laufenden Paaren tätig als vertraulich einzustufen sind.
Der europäische Datenschutzausschuss (EDPB) sieht das sehr kritisch und wird eventuell dagegen vorgehen.
Anmerkung der Redaktion: ein angenehmer Nebeneffekt ist damit sicherlich der, dass, wenn die Antragsteller nicht wissen wie's vorangeht, sie auch keine Kritik üben können...

Künstliche Intelligenz wie GPT-3 nimmt es oft mit der Wahrheit genau. Können das unbedarfte Leser/Leserinnen merken? Heise berichtet, dass Schweizer Forscher dieser Problematik einmal nachgegangen sind und berichtet über die nicht zu tollen Ergebnisse für die Menschheit.

Update:
Heise berichtet in diesem Artikel, dass die Nichtwahl des neuen Datenschutzbeauftragten für Sachsen-Anhalt wohl eine Regierungskrise in dem Bundesland auslösen wird.
Dem Vernehmen nach, lag die nicht Wahl wohl nicht an der Qualität des Kandidaten - sondern an einer in einem Machtkampf zerstrittenen CDU. Aus der FDP kam der Vorwurf "politische Spielchen" zu spielen und aus der CDU kam, dass es wohl um "feige Heckenschützen" ging. Gerüchten nach, versuchten CDU Abgeordnete wohl die AfD zum Mitstimmen zu bewegen.
Den ergänzenden Artikel zu der Thematik finden Sie hier bei Heise unter diesem Link.

...........................

Die Wahl des Landes Datenschützer in Sachsen-Anhalt ist wieder einmal gescheitert. Damit hat das Land seit 2018 keinen Landesdatenschutzbeauftragten. Der Mitteldeutsche Rundfunk MDR berichtet. Obwohl die Regierungskoalition aus ihrer Sicht alles getan hat, dass diesmal die Wahl gut läuft, ist der Kandidat wieder durchgefallen.
Denn die Regierungskoalition in Sachsen-Anhalt (CDU, SPD, FDP) hatte doch extra ein Gesetz geändert, damit es doch bitteschön keine öffentliche Ausschreibung der Stelle gibt.
Es gab zwar einen Gegenkandidaten, der sogar gegen dieses Verfahren ein Eilverfahren anstrengte - was dann aber vom Gericht abgelehnt wurde (wir berichteten).
Anmerkung der Redaktion: wenn es eine Steigerung von Peinlichkeit gibt, dann finden wir sie wohl in der Wahl eines Landesdatenschutzbeauftragten im Bundesland Sachsen-Anhalt. Als externer Beobachter kann man nur fassungslos diese Situation beobachten. Und hoffen, dass der Gegenkandidat trotz des gescheiterten Eilverfahrens die Problematiken der Wahl von Landesdatenschutzbeauftragten bis zum europäischen Gerichtshof bringt. Denn vermutlich werden die Verfahren, wie in Deutschland die Landesdatenschutzbeauftragten und auch der Bundesdatenschutzbeauftragte bestimmt werden, nicht den Anforderungen der DSGVO standhalten.

Überall werden unsere Daten weitergegeben - sei es im Auto oder bei Küchenmaschinen. Aber wem gehören die eigentlich? Wer darf sie verwerten? Und wer darf sie nicht verwerflich? Golem hat in einem Artikel das neue Datengesetz (Data Act), beschlossen vom Europaparlament am 28. Juni 2023, einmal unter die Lupe genommen.
Natürlich sind nicht alle Gesellschaftsgruppen damit einverstanden so gibt es Kritik von Verbraucherschützern und Lob aus der Politik. Details im Artikel.

Die Mobilnummer eines Betroffenen gibt seinen Risiko-Wert für Unternehmen wieder. Skurril? Irgendwie schon, dass die Telefonnummer eine Risiko-Abschätzung geben soll. Netzpolitik.org berichtet, dass die Plattform des US Unternehmens Telesign solche Berechnung vornimmt. Laut Telesign werden monatlich über 5 Milliarden eindeutige Telefonnummern entsprechend verifiziert. Das ist etwa die Hälfte aller weltweiten Mobilfunknutzer.
Die österreichische Datenschutzorganisation NOYB geht jetzt gegen das Unternehmen war. NOYB nutzt dazu auch eine Recherche einer belgischen Zeitung, wonach Telesign Daten für die Telefone vom belgischen Unternehmen BICS bekommt - ein Dienstleister, der weltweites Roaming und Daten-Austausch zwischen Kommunikations-Netzen ermöglicht.
NOYB wird jetzt bei der belgischen Datenschutz Behörde eine Beschwerde einreichen. Mehr bei Netzpolitik.org.

Landesdatenschutzbeauftragte werden von den Regierenden in dem jeweiligen Bundesland stimmen. Allerdings ist das Verfahren in der Regel völlig intransparent und es wird oft nicht klar, warum ein Kandidat auf den Schild gehoben wird und den Job bekommt.
Ein entsprechendes Problem gibt es gerade in Sachsen-Anhalt. Der Kandidat Malte Engeler, Richter und renommierter Datenschutzexperte, hat sich auf den seit langem unbesetzten Posten des Landesdatenschutzbeauftragten in Sachsen-Anhalt beworben. Allerdings will die Regierungskoalition aus CDU, SPD und FDP in einem wiederum transparenten Verfahren einen eigenen Kandidaten benennen.
Die Institution FragdenStaat berichtet, dass Engeler jetzt mit einem Eilantrag vor das Verwaltungsgericht Magdeburg mit Unterstützung von Dr. Carlo Piltz zieht. FragdenStaat unterstützt den Eilantrag.
Pikant: der Mitteldeutsche Rundfunk MDR berichtete am 13. April 2023, dass die Regierungskoalition hat im Vorfeld das Landesdatenschutzgesetz so geändert, dass eine öffentliche Ausschreibung nicht mehr Pflicht ist - wahrscheinlich wird dies gegen die Datenschutz Grundverordnung verstoßen.

Registermodernisierungsgesetz: das Wortungetüm enthält die Regelung, dass die Steuer-ID die Basis für eine einheitliche Bürgernummer wird. Golem berichtet, dass die Ampel-Koalition eine solche Identifikationsnummer plant. Das wurde schon im Koalitionsvertrag vereinbart - auch wenn Grüne und FDP dies noch in der Opposition abgelehnt haben. Durch diese Identifikationsnummer ist es den Behörden möglich, Daten der Bürger besser untereinander auszutauschen.
Golem berichtet auch, dass die Gesellschaft für Freiheitsrechte (wie FF) eine Klage plant.

Kein Datenschutz: Finanzbehörden prüfen, ob die Gewinne von Spekulanten bei Bitcoin Bitcoin.de entsprechend versteuert werden. Es wurden von der Finanzverwaltung Nordrhein-Westfalen Datensätze abgerufen, die von 2015-2017 50.000 € pro Jahr umgesetzt haben. Zur Zeit werden die Betroffenen angeschrieben. Entweder mit einer Aufforderung zu einer strafbefreienden Selbstanzeige oder direkt von der Bußgeldstelle. Heise berichtet.

Die Stimmen vom Vorgesetzten oder von der Freundin-Freund fälschen? Sie glauben, dass sie dies erkennen werden? Im Tagesschau Podcast Deepfakeg: bei Anruf Klon finden Sie in 25 Minuten Informationen dazu, die sie sicherlich beunruhigen werden. Auf der rechten Seite der direkte Link zum Podcast in der ARD Mediathek.

Datenschutzverletzung bei der Schweizer Polizei und dem Zoll? Heise berichtet, dass der oberste Schweizer Datenschützer, der Eidgenössische Datenschutz-und Öffentlichkeitsbeauftragter (EDÖB)  gegen die beiden Bundesbehörden aufgrund potenziell schwerer Datenschutzverstöße ermittelt.

Kein Datenschutz - aber trotzdem interessant und dramatisch: Heise berichtet über eine Forschungsgruppe die ermittelt hat, dass die Grundwasserentnahme die Achse der Erde jedes Jahr um mehrere Zentimeter verschiebt. Um was für dramatische Mengen von Grundwasser es sich dabei handelt, ist dem Artikel zu entnehmen.

Inzwischen liegt ein Entwurf für das Gesundheitsdatennutzungsgesetz GDNG vor.
Heise berichtet, dass dieser schlichtweg von Ärztevertretern - aber auch von Datenschützern zerrissen wird.
So nennt der Deutsche Hausärzteverband den Gesetzentwurf für schlichtweg haarsträubend. Datenschützer Weichert geht sogar noch weiter und bezeichnet ihn in Teilen als verfassungswidrig, da Rechte von Betroffenen weiter nicht wirklich gewährleistet sind. Heise erläutert in einem ausführlichen Artikel die Problematik.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder DSK haben eine Pressemitteilung zur geplanten EU Regelung zur Transparenz und zum Targeting politischer Werbung vorgestellt. Dort wird die Problematik erläutert, dass es für einzelne Personen im Internet in der Regel nicht erkennbar ist, dass bestimmte Botschaften auf ihr individuelles Interessensprofil zugestellt - und das die politischen Werbetreibenden diese Informationen ohne Zustimmung zusammengestellt haben.
Die Information ist erhältlich über das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, welches in 2023 den Vorsitz der Datenschutzkonferenz innehat.

Das Bundesamt für die Sicherheit in der Informationstechnik BSI hat eine Handlungsempfehlung zu baulich-technischen Maßnahmen für Rechenzentren mit erhöhtem Verfügungsbedarf erstellt. Laut BSI richtet es sich an Personen, die mit der Planung, dem Aufbau und Betrieb entsprechender RZ-Infrastrukturen erfasst sind.

Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit BfDI beschäftigt sich in einem Arbeitspapier mit der Authentifizierung im Bereich der Telekommunikation - also der Thematik, wo sich Kundinnen bzw. Kunden identifizieren müssen. Über die Risiken und Möglichkeiten einer Authentifizierung wird ausführlich berichtet.

Die EU und eine KI-Regulierung: die grundlegende Richtung ist durch das EU-aller meint in einer Verordnung zur künstlichen Intelligenz festgelegt worden Heise berichtet in einem Artikel und in einem Podcast.

Die Commission Nationale de l'Informatique et des Libertés (CNIL), die französische Datenschutzbehörde, hat kürzlich eine Geldstrafe in Höhe von 40 Millionen Euro gegen CRITEO verhängt. CRITEO ist ein Unternehmen, das personalisierte Werbung und Retargeting-Dienste anbietet.

Bei ihren Untersuchungen stellte die CNIL fest, dass CRITEO verschiedene Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) begangen hat, darunter:

1. Mangelnde Einholung der Einwilligung: CRITEO hat es versäumt, die explizite und informierte Einwilligung der betroffenen Personen für die Verarbeitung ihrer personenbezogenen Daten einzuholen. Gemäß der DSGVO müssen Unternehmen eine klare Zustimmung von den Nutzern erhalten, bevor sie deren Daten für Werbezwecke verwenden.


2. 
   

   Fehlende Transparenz: CRITEO hat es versäumt, ausreichend transparent über die Verarbeitung personenbezogener Daten zu informieren. Die Datenschutz-Grundverordnung legt großen Wert auf die Transparenz und fordert von Unternehmen, dass sie die betroffenen Personen über den Umfang und die Zwecke der Datenverarbeitung informieren.

   
   


3. 
   

   Mangelnde Möglichkeit zur Ausübung von Rechten: Die CNIL stellte fest, dass CRITEO es den Nutzern nicht leicht gemacht hat, ihre Rechte in Bezug auf ihre personenbezogenen Daten auszuüben. Die DSGVO gibt den Personen das Recht, ihre Daten einzusehen, zu berichtigen oder zu löschen, und Unternehmen müssen sicherstellen, dass diese Rechte leicht zugänglich sind.

   
   

Die CNIL hat beschlossen, eine Geldstrafe von 40 Millionen Euro gegen CRITEO zu verhängen, da das Ausmaß und die Schwere der Verstöße erheblich waren. Diese Geldstrafe soll sowohl als abschreckendes Signal für CRITEO als auch als Signal für andere Unternehmen dienen, die in ähnlicher Weise gegen die Datenschutzbestimmungen verstoßen.

CRITEO hat angekündigt, die Geldstrafe anzufechten und seine Bemühungen zu verstärken, um sicherzustellen, dass seine Aktivitäten im Einklang mit den geltenden Datenschutzbestimmungen stehen. Das Unternehmen hat betont, dass es die Bedenken der CNIL ernst nimmt und daran arbeitet, seine Datenschutzpraktiken zu verbessern.

Der Link auf der rechten Seite führt direkt zu dem englischsprachigen Artikel der CNIL.

Beschäftigten-Daten von SAP sind auf einer SSD bei eBay aufgetaucht. Das meldet Heise. Die SSD stammt wohl aus einem selbst betriebenen Rechenzentrum von SAP am Firmensitz Walldorf. Angeblich handelt es sich nicht nur um eine verlorene SSD.
Anmerkung der Redaktion: Datenträger mit personenbezogenen Daten müssen verschlüsselt sein. Das ist Stand der Technik. Und dies gilt auch - auch wenn Administratoren das nicht gerne hören wollen - auch für die Datenträger, die in Server eingebaut sind. Sollte durch einen Diebstahl eines internen Beschäftigten schützenswerte Daten auf Datenträgern lesbar nach außen geraten, ist dies eine perfekte Datenschutzverletzung.
Auf Mitleid der Aufsichtsbehörden für Datenschutz darf man hierbei sicher nicht hoffen...

Meta will eine Alternative für Twitter auf den Markt bringen. Elon Musk will dieses Thema in einem achteckigen Käfig-Ring als Kampf austragen. Zuckerberg hat zugesagt. Spiegel hat die Details.
Anmerkung der Redaktion: Wie bitte? Zwei Konzernlenker mit unkontrollierten Testosteronausbrüchen? Da kann man sich schon so einiges fragen....

Darknet? Was ist das denn? Das Bundesamt für Sicherheit in der Informationstechnik BSI beantwortet dazu die eine oder andere Frage in einem Podcast. Rechts erreichbar über die Webseite des BSI.

Die PIN Nummer mit seiner EC-Karte zusammen in einer Geldbörse auf zu bewahren, ist üblicherweise grob fahrlässig. Allerdings hat das Münchner Amtsgericht entschieden das, wenn man die PIN Nummer verschlüsselt, es nicht fahrlässig sein muss. Die Süddeutsche Zeitung hat diesen Fall und das Urteil dazu beschrieben.

Datenschutz und Telekommunikation - die aktuelle Information des Bundesbeauftragten für den Datenschutz und der Informationsfreiheit BfDI steht zum Download zur Verfügung. Rechts finden Sie den Link zur Downloadseite.

Hamburg installiert im öffentlichen Raum Videokameras zur Erkennung von "verdächtigen Bewegungen": laut Netzpolitik.org soll es sich dabei erst einmal dreimonatigen Testlauf mit vier Kameras handeln. Ein ähnliches Projekt in Mannheim lässt allerdings Zweifel an der Funktionalität aufkommen. Dort gibt es eine Fehlerquote im niedrig-stelligen Bereich. Interessant: laut Netzpolitik.org kann das Systemschlägen nicht zuverlässig von entscheiden... Mehr Informationen im verlinkten Artikel.

KI im Einsatz gegen Hetzer im Sport: die FIFA identifizierte er in sozialen Medien diverse Hetzer und blockierte diese. Heise mit Details.

Künstliche Intelligenz: beschäftigen wir uns wirklich ausreichend mit den zukünftigen Risiken oder konzentrieren wir uns nur auf die Risiken die gerade aktuell zu sehen sind? Diese Frage erörtert Heise in einem Artikel zur Konferenz RightsCon.

Ein Medienfreiheitsgesetz der EU-Kommission soll Journalisten stärker vor staatlicher Überwachung schützen: der EU Rat, also die Mitgliedsstaaten, wollen das so nicht akzeptieren, da das die nationale Sicherheit gefährden würde. Heise erläutert dieses heikle Thema in einem Artikel.

ChatGPT-Texte erkennen: nicht so einfach... Heise hat sich dieses Themas angenommen und in einem Podcast KI-Update die Thematik erklärt. Mehr Infos rechts beim Link.

Sie möchten Datensätze mit der Kategorie „fragile Senioren" oder andere differenzierte Ausprägungen wie Daten über Gesundheit oder Sexualität kaufen? Dann wären sie auf dem Datenmarktplatz Xandr eventuell richtig. Heise berichtet jetzt, dass Datenschutzbehörden aus mehreren Bundesländern gegen das Unternehmen aber auch gegen die Käufer dieser Datensätze ermitteln. Unter den Käufern von Daten aus diesem Werbenetzwerk sind zum Beispiel eine Telekom-Tochter oder eine ProSiebenSat.1-Tochter. Details bei Heise.

Google warnt die eigenen Mitarbeiter vor der Nutzung der hauseigenen künstlichen Intelligenz Bard: Heise berichtet, dass der Grund relativ profan ist. Gibt man in die KI vertrauliche Daten (sei es Datenschutz oder Datensicherheit) ein, so ist nicht sichergestellt, dass diese Informationen auch vertraulich bleiben.
Laut Google ist auch eines der Probleme, dass die KI lernt - also eingegebene Daten für weitere Ergebnisse bei Dritten in der Zukunft nutzt. Das gefährdet möglicherweise innovative - aber noch vertrauliche - Ideen.

Anmerkung der Redaktion: wir können es nicht oft genug sagen. Aber der Einsatz von KI ist nicht so toll, wie man es im ersten Moment vermuten könnte.

(HEISE)

Vom Datenschutz gedeckt? Immer mehr Bundesländer planen oder nutzen eine Technik, um die nicht erlaubte Nutzung von Smartphones beim Führen eines Kfz nachzuweisen (sogenannte Handy-Blitzer). Netzpolitik.org setzt sich mit dieser Problematik und den datenschutzrechtlichen Problemen auseinander.
Die Hauptproblematik ist, dass es sich hier um eine anlasslose Erfassung von personenbezogenen Daten (Gesicht und Kennzeichen) handelt. Bei einer reinen Kennzeichenerfassung ist eine anlasslose Vorahnung bei reinen Ordnungswidrigkeiten nicht erlaubt.
Ein Artikel mit kontroversen Standpunkten die diskutiert werden müssen.

Salesforce will KI mit Datenschutz und Datensicherheit in seinen Anwendungen: Heise meldet, dass Salesforce einen Weg gefunden hat, wie die Datenverarbeitung mit künstlicher Intelligenz und gleichzeitiger Datensicherheit und Datenschutz umgesetzt werden kann.

Anmerkung der Redaktion: ein sehr interessanter Ansatz, der das oft noch ungelöste Problem der Weitergabe von wichtigen Unternehmensdaten an unbekannte Drittel (Cloud) eventuell verhindern kann

Spotify hat Nutzern eine mangelnde Auskunft nach Art. 33 DSGVO vorgelegt. Heise meldet, dass daraufhin hat die schwedische Aufsichtsbehörde Integritetsskyddsmyndigheten (IMY) ein Bußgeld von rund 5 Millionen € verhängt hat.
Dadurch ist die Thematik für Spotify allerdings noch nicht beendet: laut Heise sind wohl noch mehrere Verfahren in Schweden nicht entschieden.

Die künstliche Intelligenz von Google Bard bekommt in der EU noch keine Zulassung: Heise meldet, die irische Datenschutzbehörde (Data Protection Commission (DPC)) hat den Betrieb noch untersagt, da Google noch keine Datenschutz-Folgenabschätzung vorgelegt hat.

Künstliche Intelligenz nicht nur als Vorteil - sondern auch als Bedrohung: Golem meldet, dass die Vereinten Nationen, hier der Generalsekretär, die Idee ins Spiel gebracht haben, eine internationale KI-Aufsichtsbehörde zu schaffen (Link zur UN). Der Aufbau soll ähnlich der Internationalen Atomenergiebehörde sein.
Hintergrund ist, dass die Organisation Center for AI Safety vor vor einer Ausrottung der Menschheit durch KI gewandt hat (Link zu diesem Artikel von Golem im Text).

Ein neuer Datenschutzbeauftragter für Niedersachsen: die Frankfurter Allgemeine meldet, dass die bisherige Datenschutzbeauftragte dagegen beim Verwaltungsgericht vorgeht.

Anmerkung der Redaktion: Datenschutzbeauftragte sind unabhängig. Allerdings ist es leider in den Bundesländern Usus, dass Datenschutzbeauftragte nicht unbedingt nach Fähigkeit sondern nach politischem Gusto benannt werden. Ob sich das mit der in der DSGVO festgeschriebenen Unabhängigkeit abbilden lässt, ist zumindestens als problematisch anzusehen. Und die Diskussion ist überfällig.